Руководство по интеграции единого входа Microsoft Entra с Akamai
В этом руководстве вы узнаете, как интегрировать Akamai с идентификатором Microsoft Entra ID. Интеграция Akamai с идентификатором Microsoft Entra id позволяет:
- Контроль доступа к Akamai с помощью идентификатора Microsoft Entra ID.
- Включите автоматический вход пользователей в Akamai с помощью учетных записей Microsoft Entra.
- Управление учетными записями в одном центральном расположении.
Интеграция Microsoft Entra ID и Akamai Enterprise Application Access обеспечивает простой доступ к устаревшим приложениям, размещенным в облаке или локальной среде. Интегрированное решение использует преимущества всех современных возможностей идентификатора Microsoft Entra ID, таких как условный доступ Microsoft Entra, Защита идентификации Microsoft Entra и Управление идентификацией Microsoft Entra для устаревших приложений без изменений приложений или Установка агентов.
На приведенном ниже рисунке описано, где Akamai EAA вписывается в более широкий сценарий гибридного безопасного доступа.
Сценарии проверки подлинности ключей
Помимо поддержки собственной интеграции Microsoft Entra для современных протоколов проверки подлинности, таких как OpenID Connect, SAML и WS-Fed, Akamai EAA расширяет безопасный доступ для устаревших приложений проверки подлинности на основе устаревших приложений для внутреннего и внешнего доступа с помощью идентификатора Microsoft Entra, что позволяет использовать современные сценарии (например, доступ без пароля) к этим приложениям. К ним относятся:
- Приложения проверки подлинности на основе заголовков
- Удаленный рабочий стол
- SSH (Secure Shell)
- Приложения проверки подлинности Kerberos
- VNC (виртуальная сеть вычисления)
- Анонимная проверка подлинности или нет встроенных приложений проверки подлинности
- Приложения проверки подлинности NTLM (защита с двумя запросами для пользователя)
- Приложение на основе форм (защита с двумя запросами для пользователя)
Сценарии интеграции
Партнерство Microsoft и Akamai EAA позволяет гибко соответствовать вашим бизнес-требованиям, поддерживая несколько сценариев интеграции на основе бизнес-требований. Их можно использовать для обеспечения нулевого уровня охвата всех приложений и постепенно классифицировать и настраивать соответствующие классификации политик.
Сценарий интеграции 1
Akamai EAA настраивается как одно приложение на идентификаторе Microsoft Entra. Администратор может настроить политику условного доступа в приложении, и после удовлетворения условий пользователи смогут получить доступ к порталу Akamai EAA.
Плюсы:
- Необходимо настроить только поставщика удостоверений один раз.
Минусы:
Пользователи в конечном итоге имеют два портала приложений.
Единый общий охват политики условного доступа для всех приложений.
Сценарий интеграции 2
Приложение Akamai EAA настраивается отдельно на портал Azure. Администратор может настроить политику условного доступа для отдельных пользователей, а после выполнения условий пользователям можно напрямую перенаправить в конкретное приложение.
Плюсы:
Можно определить отдельные политики условного доступа.
Все приложения представлены на панели waffle 0365 и myApps.microsoft.com Панели.
Минусы:
- Необходимо настроить несколько удостоверений поставщика удостоверений.
Необходимые условия
Чтобы приступить к работе, вам потребуется следующее:
- Подписка Microsoft Entra. Если у вас нет подписки, вы можете получить бесплатную учетную запись.
- Подписка Akamai с поддержкой единого входа.
Описание сценария
В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.
- Akamai поддерживает единый вход, инициированный поставщиком удостоверений.
Важный
Все параметры, перечисленные ниже, одинаковы для сценария интеграции 1 и сценария 2. Для сценария интеграции 2 необходимо настроить отдельный идентификатор поставщика удостоверений в Akamai EAA, а свойство URL-адреса необходимо изменить, чтобы указать URL-адрес приложения.
Добавление Akamai из коллекции
Чтобы настроить интеграцию Akamai с идентификатором Microsoft Entra ID, необходимо добавить Akamai из коллекции в список управляемых приложений SaaS.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
- В разделе "Добавление из коллекции" в поле поиска введите Akamai.
- Выберите Akamai на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.
Кроме того, можно использовать мастер корпоративной Конфигурация приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Дополнительные сведения о мастерах Microsoft 365.
Настройка и проверка единого входа Microsoft Entra для Akamai
Настройте и проверьте единый вход Microsoft Entra в Akamai с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Akamai.
Чтобы настроить и проверить единый вход Microsoft Entra в Akamai, выполните следующие действия.
- Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
- Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
- Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
- Настройте единый вход Akamai, чтобы настроить параметры единого входа на стороне приложения.
- Настройка поставщика удостоверений
- Проверка подлинности на основе заголовков
- Удаленный рабочий стол
- SSH
- Проверка подлинности Kerberos
- Создание тестового пользователя Akamai требуется для того, чтобы в Akamai был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
- Проверьте единый вход , чтобы проверить, работает ли конфигурация.
Настройка единого входа Microsoft Entra
Выполните следующие действия, чтобы включить единый вход Microsoft Entra.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
Перейдите к приложениям>Identity>Applications>Enterprise Akamai>Single sign-on.
На странице "Выбор метода единого входа" выберите SAML.
На странице "Настройка единого входа" на странице SAML щелкните значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.
Если вы хотите настроить приложение в режиме, инициированном поставщиком удостоверений, введите значения для следующих полей:
a. В текстовом поле "Идентификатор" введите URL-адрес, используя следующий шаблон:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. В текстовом поле "URL-адрес ответа" введите URL-адрес, используя следующий шаблон:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
Заметка
Эти значения не являются реальными. Обновите эти значения фактическим URL-адресом идентификатора и ответа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Akamai. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".
На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" найдите XML метаданных федерации и выберите "Скачать", чтобы скачать сертификат и сохранить его на компьютере.
Скопируйте соответствующие URL-адреса в разделе "Настройка Akamai" в соответствии с вашим требованием.
Создание тестового пользователя Microsoft Entra
В этом разделе описано, как создать тестового пользователя B.Simon.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
- Перейдите ко всем пользователям удостоверений>>.
- Выберите "Создать пользователя>" в верхней части экрана.
- В свойствах пользователя выполните следующие действия.
- В поле "Отображаемое имя" введите
B.Simon
. - В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например,
B.Simon@contoso.com
. - Установите флажок "Показать пароль", а затем запишите значение, отображаемое в поле "Пароль".
- Выберите "Рецензирование и создание".
- В поле "Отображаемое имя" введите
- Нажмите кнопку "Создать".
Назначение тестового пользователя Microsoft Entra
В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Akamai.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
- Перейдите к приложениям>Identity>Applications>Enterprise Akamai.
- На странице обзора приложения выберите "Пользователи" и "Группы".
- Выберите " Добавить пользователя или группу", а затем выберите "Пользователи" и "Группы " в диалоговом окне "Добавить назначение ".
- В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
- Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке "Выбор роли ". Если для этого приложения не настроена роль, вы увидите выбранную роль "Доступ по умолчанию".
- В диалоговом окне "Добавление назначения" нажмите кнопку "Назначить".
Настройка единого входа Akamai
Настройка поставщика удостоверений
Конфигурация поставщика удостоверений AKAMAI EAA
Войдите в консоль Akamai Enterprise Application Access .
В консоли Akamai EAA выберите поставщики удостоверений и нажмите кнопку "Добавить поставщика удостоверений>".
В разделе "Создание поставщика удостоверений" выполните следующие действия.
a. Укажите уникальное имя.
b. Выберите стороннее SAML и нажмите кнопку "Создать поставщика удостоверений" и "Настроить".
Общие параметры
Перехват удостоверений— укажите имя базового URL-адреса субъекта-службы, который будет использоваться для настройки Microsoft Entra.
Заметка
Вы можете выбрать собственный личный домен (потребуется запись DNS и сертификат). В этом примере мы будем использовать домен Akamai.
Зона Akamai Cloud — выберите соответствующую облачную зону.
Проверка сертификата — проверка документации Akamai (необязательно).
Конфигурация проверки подлинности
URL-адрес — укажите URL-адрес, аналогичный перехвату удостоверений (это место, где пользователи перенаправляются после проверки подлинности).
URL-адрес выхода: обновите URL-адрес выхода.
Подписать запрос SAML: по умолчанию снят.
Для файла метаданных поставщика удостоверений добавьте приложение в консоль идентификатора Microsoft Entra ID.
Параметры сеанса
Оставьте параметры по умолчанию.
Каталоги
Пропустите конфигурацию каталога.
Пользовательский интерфейс настройки
Вы можете добавить настройку для поставщика удостоверений.
Дополнительные параметры
Пропустить предварительные параметры / дополнительные сведения см. в документации akamai.
Развёртывание
Щелкните "Развернуть поставщик удостоверений".
Убедитесь, что развертывание выполнено успешно.
Проверка подлинности на основе заголовков
Проверка подлинности на основе заголовков Akamai
Выберите настраиваемую форму HTTP в мастере добавления приложений.
Введите имя и описание приложения.
Аутентификация
Перейдите на вкладку " Проверка подлинности ".
Назначьте поставщик удостоверений.
Услуги
Нажмите кнопку "Сохранить" и "Перейти к проверке подлинности".
Дополнительные параметры
В заголовках HTTP клиента укажите атрибут CustomerHeader и SAML.
Нажмите кнопку "Сохранить" и нажмите кнопку "Развертывание ".
Развертывание приложения
Нажмите кнопку "Развернуть приложение ".
Убедитесь, что приложение успешно развернуто.
Взаимодействие с конечным пользователем.
Условный доступ.
Удаленный рабочий стол
Выберите RDP в мастере добавления приложений.
Введите имя и описание приложения.
Укажите соединитель, который будет обслуживать это.
Аутентификация
Нажмите кнопку "Сохранить" и перейдите к службам.
Услуги
Нажмите кнопку "Сохранить" и перейдите к дополнительным параметрам.
Дополнительные параметры
Нажмите кнопку "Сохранить" и перейдите к развертыванию.
Взаимодействие с конечным пользователем
Условный доступ
Кроме того, можно также напрямую ввести URL-адрес приложения RDP.
SSH
Перейдите к разделу "Добавить приложения", выберите SSH.
Введите имя и описание приложения.
Настройка удостоверения приложения.
a. Укажите имя и описание.
b. Укажите IP-адрес или полное доменное имя сервера приложений и порт для SSH.
c. Укажите имя пользователя SSH / парольную фразу *Check Akamai EAA.
d. Укажите имя внешнего узла.
e. Укажите расположение соединителя и выберите соединитель.
Аутентификация
Нажмите кнопку "Сохранить" и перейдите к службам.
Услуги
Нажмите кнопку "Сохранить" и перейдите к дополнительным параметрам.
Дополнительные параметры
Нажмите кнопку "Сохранить" и перейдите к развертыванию.
Развёртывание
Нажмите кнопку "Развернуть приложение".
Взаимодействие с конечным пользователем
Условный доступ
Проверка подлинности Kerberos
В приведенном ниже примере мы опубликуем внутренний веб-сервер http://frp-app1.superdemo.live
и включите единый вход с помощью KCD.
Вкладка "Общие"
Вкладка "Проверка подлинности"
Назначьте поставщика удостоверений.
Вкладка "Службы"
Дополнительные параметры
Заметка
Имя субъекта-службы для веб-сервера имеет SPN@Domain формат, HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
например для этой демонстрации. Оставьте остальные параметры по умолчанию.
Вкладка "Развертывание"
Добавление каталога
Выберите AD из раскрывающегося списка.
Укажите необходимые данные.
Проверьте создание каталога.
Добавьте группы и подразделения, которым потребуется доступ.
В приведенной ниже группе называется EAAGroup и имеет 1 член.
Добавьте каталог к поставщику удостоверений, щелкнув поставщик удостоверений>и щелкнув вкладку "Каталоги" и "Назначить каталог".
Настройка делегирования KCD для EAA Walkthrough
Шаг 1. Создание учетной записи
В примере мы будем использовать учетную запись с именем EAADelegation. Это можно сделать с помощью пользователей Active Directory и оснастки компьютера .
Заметка
Имя пользователя должно находиться в определенном формате на основе имени перехвата удостоверений. На рисунке 1 мы видим, что это corpapps.login.go.akamai-access.com
Имя входа пользователя будет:
HTTP/corpapps.login.go.akamai-access.com
Шаг 2. Настройка имени участника-службы для этой учетной записи
На основе этого примера имя субъекта-службы будет следующим образом.
setpn -s Http/corpapps.login.go.akamai-access.com eaadelegation
Шаг 3. Настройка делегирования
Для учетной записи EAADelegation щелкните вкладку "Делегирование".
- Укажите любой протокол проверки подлинности.
- Нажмите кнопку "Добавить и добавить учетную запись пула приложений" для веб-сайта Kerberos. При правильной настройке он должен автоматически разрешаться для исправления имени участника-службы.
Шаг 4. Создание файла keytab для AKAMAI EAA
Ниже приведен универсальный синтаксис.
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPALПример описан
Обрезок Объяснение Ktpass /out EAADemo.keytab Имя выходного файла Keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live Учетная запись делегирования EAA /pass RANDOMPASS Пароль учетной записи делегирования EAA /crypto All ptype KRB5_NT_PRINCIPAL Ознакомьтесь с документацией по Akamai EAA Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
Шаг 5. Импорт ключа в консоли AKAMAI EAA
Щелкните системные>ключи.
В типе Keytab выберите делегирование Kerberos.
Убедитесь, что keytab отображается как развернутый и проверенный.
Взаимодействие с пользователем
Условный доступ
Создание тестового пользователя Akamai
В этом разделе описано, как создать пользователя B.Simon в Akamai. Обратитесь к группе поддержки клиентов Akamai, чтобы добавить пользователей на платформу Akamai. Пользователи должны быть созданы и активированы перед использованием единого входа.
Проверка единого входа
В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.
Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение Akamai, для которого настроили единый вход.
Вы можете использовать microsoft Мои приложения. Щелкнув плитку Akamai в Мои приложения, вы автоматически войдете в приложение Akamai, для которого настроили единый вход. Дополнительные сведения о Мои приложения см. в статье "Введение в Мои приложения".
Дальнейшие действия
После настройки Akamai вы можете применить функцию управления сеансами, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элемент управления сеансом расширяется от условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облака Apps.