教學課程:Microsoft Entra SSO 與 Akamai 整合
在本教學課程中,您將瞭解如何整合 Akamai 與 Microsoft Entra ID。 在整合 Akamai 與 Microsoft Entra ID 時,您可以.
- 在 Microsoft Entra 識別碼中控制可存取 Akamai 的人員。
- 讓使用者使用其 Microsoft Entra 帳戶自動登入 Akamai。
- 在一個中央位置管理您的帳戶。
Microsoft Entra ID 和 Akamai 企業應用程式存取整合可讓您順暢地存取雲端或內部部署中裝載的繼承應用程式。 整合式解決方案會利用 Microsoft Entra ID 的所有現代化功能,例如 Microsoft Entra 條件式存取 、 Microsoft Entra ID Protection ,以及 Microsoft Entra ID 控管 繼承應用程式存取,而不需要修改應用程式或代理程式安裝。
下圖說明 Akamai EAA 適用于更廣泛的混合式安全存取案例。
金鑰驗證案例
除了 Microsoft Entra 原生整合支援新式驗證通訊協定,例如 OpenID 連線、SAML 和 WS-Fed,Akamai EAA 還透過 Microsoft Entra ID 為內部和外部存取延伸舊版驗證應用程式的安全存取,從而啟用這些應用程式的新式案例(例如無密碼存取)。 這包括:
- 標頭型驗證應用程式
- 遠端桌面
- SSH (安全殼層)
- Kerberos 驗證應用程式
- VNC (虛擬網絡運算)
- 匿名驗證或無內建驗證應用程式
- NTLM 驗證應用程式 (使用使用者的雙重提示保護)
- 表單型應用程式 (對使用者使用雙重提示的保護)
整合案例
Microsoft 和 Akamai EAA 合作關係可讓您根據業務需求支援多個整合案例,彈性地符合您的商務需求。 這些可用來在所有應用程式中提供零天涵蓋範圍,並逐步分類及設定適當的原則分類。
整合案例 1
Akamai EAA 會設定為 Microsoft Entra 識別碼上的單一應用程式。 管理員可以在應用程式上設定條件式存取原則,一旦滿足條件,使用者就可以存取 Akamai EAA 入口網站。
優點:
- 您只需要設定 IDP 一次。
缺點:
使用者最終會有兩個應用程式入口網站。
所有應用程式的單一通用條件式存取原則涵蓋範圍。
整合案例 2
Akamai EAA 應用程式會在Azure 入口網站上個別設定。 管理員可以在應用程式上設定個人條件式存取原則,一旦滿足條件,使用者就可以直接重新導向至特定應用程式。
優點:
您可以定義個別的條件式存取原則。
所有應用程式都會在 0365 Waffle 和 myApps.microsoft.com Panel 上表示。
缺點:
- 您必須設定多個 IDP。
必要條件
若要開始使用,您需要下列專案:
- Microsoft Entra 訂用帳戶。 如果您沒有訂用帳戶,可以取得免費帳戶。
- 已啟用 Akamai 單一登入 (SSO) 的訂用帳戶。
案例描述
在本教學課程中,您會在測試環境中設定及測試 Microsoft Entra SSO。
- Akamai 支援由 IDP 起始的 SSO。
重要
下列所有設定都與 整合案例 1 和 案例 2 相同。 針對整合案例 2 ,您必須在 Akamai EAA 中設定個別 IDP,且 URL 屬性必須修改才能指向應用程式 URL。
從資源庫新增 Akamai
若要設定將 Akamai 整合到 Microsoft Entra ID 中,您需要從資源庫將 Akamai 新增到受控 SaaS 應用程式清單。
- 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
- 流覽至 [ 身分 > 識別應用程式 > 企業應用程式 > ] [新增應用程式]。
- 在 [ 從資源庫 新增] 區段的搜尋方塊中輸入 Akamai 。
- 從結果面板中選取 [Akamai ],然後新增應用程式。 將應用程式新增至您的租使用者時,請稍候幾秒鐘。
或者,您也可以使用 企業應用程式組態精靈 。 在此精靈中,您可以將應用程式新增至租使用者、將使用者/群組新增至應用程式、指派角色,以及逐步解說 SSO 設定。 深入瞭解 Microsoft 365 精靈。
設定及測試 Akamai 的 Microsoft Entra SSO
以名為 B.Simon 的測試使用者,設定及測試與 Akamai 搭配運作的 Microsoft Entra SSO。 若要讓 SSO 能夠運作,您必須建立 Microsoft Entra 使用者與 Akamai 中相關使用者之間的連結關聯性。
若要設定及測試與 Akamai 搭配運作的 Microsoft Entra SSO,請執行下列步驟:
- 設定 Microsoft Entra SSO - 讓使用者能夠使用此功能。
- 建立 Microsoft Entra 測試使用者 - 以使用 B.Simon 測試 Microsoft Entra 單一登入。
- 指派 Microsoft Entra 測試使用者 - 讓 B.Simon 能夠使用 Microsoft Entra 單一登入。
- 設定 Akamai SSO - 在應用程式端設定單一登入設定。
- 設定 IDP
- 標頭式驗證
- 遠端桌面
- SSH
- Kerberos 驗證
- 建立 Akamai 測試使用者 - 使 Akamai 中對應的 B.Simon 連結到該使用者在 Microsoft Entra 中的代表專案。
- 測試 SSO - 確認組態是否正常運作。
設定 Microsoft Entra SSO
請遵循下列步驟來啟用 Microsoft Entra SSO。
以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至 [ 身分 > 識別應用程式企業應用程式 >> Akamai > 單一登入]。
在 [ 選取單一登入方法] 頁面上,選取 [SAML ]。
在 [ 使用 SAML 設定單一登入] 頁面上,按一下 [基本 SAML 組態 ] 的 鉛筆圖示以編輯設定。
如果您想要以 IDP 起始模式設定應用程式,請在 [ 基本 SAML 組態 ] 區段上輸入下欄欄位的值:
a. 在 [ 識別碼 ] 文字方塊中,使用下列模式輸入 URL:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. 在 [ 回復 URL ] 文字方塊中,使用下列模式輸入 URL:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
注意
這些值不是真實的。 使用實際的識別碼和回復 URL 來更新這些值。 請連絡 Akamai 用戶端支援小組 以取得這些值。 您也可以參考基本 SAML 組態 一節中顯示的 模式。
在 [ 使用 SAML 設定單一登入] 頁面上的 [SAML 簽署憑證 ] 區段中,尋找 [同盟中繼資料 XML ],然後選取 [下載 ] 以下載憑證,並將它儲存在您的電腦上。
在 [ 設定 Akamai ] 區段上,根據您的需求複製適當的 URL。
建立 Microsoft Entra 測試使用者
在本節中,您將建立名為 B.Simon 的測試使用者。
- 至少 以使用者管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
- 流覽至 [ 身分 > 識別使用者 > 所有使用者]。
- 選取 畫面頂端的 [新增使用者 > 建立新使用者]。
- 在 [ 使用者 屬性] 中,遵循下列步驟:
- 在 [ 顯示名稱] 欄位中,輸入
B.Simon
。 - 在 [ 使用者主體名稱] 欄位中,輸入 username@companydomain.extension 。 例如:
B.Simon@contoso.com
。 - 選取 [ 顯示密碼] 核取方塊,然後記下 [密碼 ] 方塊中顯示的 值。
- 選取 [檢閱 + 建立]。
- 在 [ 顯示名稱] 欄位中,輸入
- 選取 建立。
指派 Microsoft Entra 測試使用者
在本節中,您會將 Akamai 的存取權授與 B.Simon,讓其能夠使用單一登入。
- 以至少雲端 應用程式管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
- 流覽至 [ 身分 > 識別應用程式企業應用程式 >> Akamai]。
- 在應用程式的 [概觀] 頁面中,選取 [ 使用者和群組 ]。
- 選取 [新增使用者/群組 ],然後在 [新增指派 ] 對話方塊中選取 [ 使用者和群組 ]。
- 在 [ 使用者和群組] 對話方塊中,從 [使用者] 清單中選取 B.Simon ,然後按一下畫面底部的 [ 選取 ] 按鈕。
- 如果您預期將角色指派給使用者,您可以從 [選取角色] 下拉式清單中選取該 角色 。 如果未為此應用程式設定任何角色,您會看到已選取 [預設存取] 角色。
- 在 [ 新增指派] 對話方塊中,按一下 [ 指派 ] 按鈕。
設定 Akamai SSO
設定 IDP
AKAMAI EAA IDP 設定
登入 Akamai 企業應用程式存取 主控台。
在 Akamai EAA 主控台上 ,選取 [識別 > 識別提供者 ],然後按一下 [ 新增識別提供者 ]。
在 [ 建立新的識別提供者 ] 上,執行下列步驟:
a. 指定唯一 名稱 。
b. 選擇 [協力廠商 SAML ],然後按一下 [ 建立識別提供者並設定 ]。
一般設定
身分識別攔截 - 指定的名稱 (SP 基底 URL - 將用於 Microsoft Entra 組態)。
注意
您可以選擇有自己的自訂網域(將需要 DNS 專案和憑證)。 在此範例中,我們將使用 Akamai 網域。
Akamai 雲端區域 - 選取適當的雲端區域。
憑證驗證 - 檢查 Akamai 檔 (選擇性)。
驗證組態
URL – 指定與您的身分識別攔截相同的 URL(這是驗證後使用者重新導向的位置)。
登出 URL:更新登出 URL。
簽署 SAML 要求:預設未核取。
針對 IDP 中繼資料檔案,在 Microsoft Entra ID 主控台中新增應用程式。
工作階段設定
將設定保留為預設值。
Directories
略過目錄組態。
自訂 UI
您可以將自訂新增至 IDP。
進階設定
略過進階設定/請參閱 Akamai 檔以取得詳細資料。
部署
按一下 [部署識別提供者]。
確認部署成功。
標頭式驗證
Akamai 標頭型驗證
選擇 [新增應用程式精靈] 的 [自訂 HTTP ] 表單。
輸入 應用程式名稱和 描述 。
驗證
選取 [ 驗證] 索引標籤。
指派識別 提供者 。
服務
按一下 [儲存] 並移至 [驗證]。
進階設定
在 [ 客戶 HTTP 標頭 ] 底下,指定 CustomerHeader 和 SAML 屬性 。
按一下 [ 儲存],然後移至 [部署] 按鈕。
部署應用程式
按一下 [ 部署應用程式 ] 按鈕。
確認已成功部署應用程式。
使用者體驗。
條件式存取。
遠端桌面
從 [新增應用程式精靈] 中選擇 [RDP ]。
輸入 應用程式名稱和 描述 。
指定將維護此連線器。
驗證
按一下 [ 儲存] 並移至 [服務 ]。
服務
按一下 [ 儲存],然後移至 [進階設定 ]。
進階設定
按一下 [ 儲存] 並移至 [部署 ]。
一般使用者體驗
條件式存取
或者,您也可以直接輸入 RDP 應用程式 URL。
SSH
移至 [新增應用程式],選擇 [ SSH ]。
輸入 應用程式名稱和 描述 。
設定應用程式識別。
a. 指定名稱/描述。
b. 指定 SSH 的應用程式伺服器 IP/FQDN 和埠。
c. 指定 SSH 使用者名稱/ 複雜密碼 *檢查 Akamai EAA。
d. 指定外部主機名稱。
e. 指定連接器的位置,然後選擇連接器。
驗證
按一下 [ 儲存] 並移至 [服務 ]。
服務
按一下 [ 儲存],然後移至 [進階設定 ]。
進階設定
按一下 [儲存] 並移至 [部署]。
部署
按一下 [ 部署應用程式 ]。
一般使用者體驗
條件式存取
Kerberos 驗證
在下列範例中,我們將在 發佈內部網頁伺服器, http://frp-app1.superdemo.live
並使用 KCD 啟用 SSO。
General Tab
驗證索引標籤
指派識別提供者。
[服務] 索引標籤
進階設定
注意
Web 服務器的 SPN 格式為 SPN@Domain 格式,例如: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
此示範。 將其餘的設定保留為預設值。
部署索引標籤
新增目錄
從下拉式清單中選取 [AD ]。
提供必要的資料。
確認目錄建立。
新增需要存取權的群組/OU。
在下方,群組稱為 EAAGroup,且有 1 個成員。
按一下 > [識別識別提供者],然後按一下 [目錄] 索引標籤,然後按一下 [指派目錄 ],將目錄新增至您的識別提供者。
設定 EAA 的 KCD 委派逐步解說
步驟 1:建立帳戶
在此範例中,我們將使用名為 EAADelegation 的 帳戶。 您可以使用 Active Directory 使用者和電腦 Snappin 來執行此動作 。
注意
使用者名稱必須是以身分識別攔截名稱 為基礎的 特定格式。 從圖 1 中看到它是 corpapps.login.go.akamai-access.com
使用者登入名稱會是:
HTTP/corpapps.login.go.akamai-access.com
步驟 2:設定此帳戶的 SPN
根據此範例,SPN 如下所示。
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
步驟 3:設定委派
針對 EAADelegation 帳戶,按一下 [委派] 索引標籤。
- 指定使用任何驗證通訊協定。
- 按一下 [新增] 並新增 Kerberos 網站的 [應用程式集區帳戶]。 如果設定正確,它應該會自動解析為更正 SPN。
步驟 4:建立 AKAMAI EAA 的 Keytab 檔案
以下是一般語法。
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL說明的範例
程式碼片段 說明 Ktpass /out EAADemo.keytab 輸出 Keytab 檔案的名稱 /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live EAA 委派帳戶 /pass RANDOMPASS EAA 委派帳戶密碼 /crypto All ptype KRB5_NT_PRINCIPAL 請參閱 Akamai EAA 檔 Ktpass /out EAADemo.keytab /princ HTTP/ corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
步驟 5:在 AKAMAI EAA 主控台中匯入 Keytab
按一下 [系統 > 索引鍵] 索引標籤。
在 [金鑰表類型] 中,選擇 [Kerberos 委派 ]。
確定 Keytab 顯示為 [已部署] 和 [已驗證]。
使用者體驗
條件式存取
建立 Akamai 測試使用者
在本節中,您會在 Akamai 中建立名為 B.Simon 的使用者。 請與 Akamai 用戶端支援小組合作 ,在 Akamai 平臺中新增使用者。 使用者必須先建立並啟用,才能使用單一登入。
測試 SSO
在本節中,您會使用下列選項來測試您的 Microsoft Entra 單一登入設定。
按一下 [ 測試此應用程式 ],您應該會自動登入您已設定 SSO 的 Akamai。
您可以使用 Microsoft 我的應用程式。 當您在我的應用程式中按一下 [Akamai] 圖格時,應該會自動登入您已設定 SSO 的 Akamai。 如需我的應用程式的詳細資訊,請參閱 我的應用程式 簡介。
下一步
設定 Akamai 後,您可以強制執行會話控制項,以即時防止組織的敏感性資料遭到外泄和滲透。 會話控制項會從條件式存取延伸。 瞭解如何使用 適用於雲端的 Microsoft Defender Apps 強制執行會話控制項。