Поделиться через

Интеграция SSO Microsoft Entra с Akamai

  • Статья

Из этой статьи вы узнаете, как интегрировать Akamai с идентификатором Microsoft Entra ID. Интеграция Akamai с идентификатором Microsoft Entra id позволяет:

  • Контролируйте, кто имеет доступ к Akamai через Microsoft Entra ID.
  • Включите автоматический вход пользователей в Akamai с помощью учетных записей Microsoft Entra.
  • Управляйте своими учетными записями в одном месте.

Интеграция Microsoft Entra ID и Akamai Enterprise Application Access обеспечивает простой доступ к устаревшим приложениям, размещенным в облаке или локальной среде. Интегрированное решение использует преимущества всех современных возможностей идентификатора Microsoft Entra ID, таких как условный доступ Microsoft Entra, защита идентификаторов Microsoft Entra и управление идентификаторами Microsoft Entra для устаревших приложений без изменений приложений или установки агентов.

На следующем рисунке описывается, где Akamai EAA вписывается в более широкий сценарий гибридного безопасного доступа.

Место Akamai ЕАА в более обширном гибридном сценарии безопасного доступа

Сценарии проверки подлинности с использованием ключа

Помимо поддержки интеграции Microsoft Entra для современных протоколов аутентификации, таких как OpenID Connect, SAML и WS-Fed, Akamai EAA расширяет безопасный доступ к приложениям с устаревшей аутентификацией для внутреннего и внешнего использования с помощью Microsoft Entra ID, что позволяет реализовать современные сценарии, такие как доступ без пароля, в этих приложениях. Сюда входит следующее:

  • приложения с проверкой подлинности на основе заголовков;
  • Удаленный рабочий стол
  • SSH (Secure Shell);
  • приложения для аутентификации с помощью Kerberos
  • VNC (Virtual Network Computing);
  • приложения с анонимной проверкой подлинности или без встроенной проверки подлинности;
  • приложения с проверкой подлинности NTLM (защита с двойным подтверждением для пользователя);
  • приложение на основе форм (защита с двойным подтверждением для пользователя).

Сценарии интеграции

Партнерство между корпорацией Майкрософт и компанией Akamai в отношении решения ЕАА обеспечивает гибкие возможности для соблюдения бизнес-требований благодаря поддержке нескольких сценариев интеграции в зависимости от потребностей организации. С их помощью можно обеспечить покрытие с нулевого дня для всех приложений и постепенно классифицировать и настраивать соответствующие политики.

Сценарий интеграции 1

Akamai EAA настраивается как одно приложение в системе Microsoft Entra ID. Администратор может настроить политику условного доступа для приложения, а при выполнении соответствующих условий пользователи могут получить доступ к порталу Akamai ЕАА.

Преимущества.

  • Вам нужно настроить поставщик удостоверений (IDP) только один раз.

Недостатки.

  • У пользователей в итоге оказывается два портала приложений.

  • Для всех приложений применяется одна общая политика условного доступа.

Сценарий интеграции 1

Сценарий интеграции 2

Приложение Akamai EAA настраивается отдельно на портале Azure. Администратор может настроить политику условного доступа в приложениях, и после того, как условия будут удовлетворены пользователями, можно напрямую перенаправить в конкретное приложение.

Преимущества.

  • Можно определить отдельные политики условного доступа.

  • Все приложения представлены в панели 0365 Waffle и на панели myApps.microsoft.com.

Недостатки.

  • Необходимо настроить несколько поставщиков удостоверений (IDP).

Сценарий интеграции 2

Предварительные требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

  • Подписка Akamai с активированным единым входом (SSO).

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Akamai поддерживает Единый Вход, инициированный IDP (поставщиком удостоверений).

Внимание

Все перечисленные ниже настройки одинаковы для сценариев интеграции 1 и 2. Для сценария интеграции 2 необходимо настроить Индивидуальный поставщик удостоверений (IDP) в Akamai EAA, а свойство "URL-адрес" необходимо изменить на URL-адрес приложения.

Снимок экрана вкладки General (Общие) для AZURESSO-SP в Akamai Enterprise Application Access. На снимке выделено поле URL-адреса в разделе конфигурации проверки подлинности.

Чтобы настроить интеграцию Akamai с Microsoft Entra ID, необходимо добавить Akamai из галереи в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора облачных приложений.
  2. Перейдите к разделу Entra ID>корпоративные приложения>Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите Akamai.
  4. Выберите Akamai в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в ваш тенант.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Akamai

Настройте и протестируйте единый вход Microsoft Entra для Akamai, используя тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Akamai.

Чтобы настроить и проверить единый вход Microsoft Entra в Akamai, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
    • Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
    • Назначьте тестового пользователя Microsoft Entra, чтобы Б.Саймон мог использовать функцию единого входа Microsoft Entra.
  2. Настроить Akamai SSO — чтобы задать параметры единого входа на стороне приложения.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройте единый вход для Microsoft Entra

Выполните следующие действия, чтобы активировать Microsoft Entra SSO.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора облачных приложений.

  2. Перейдите к Entra ID>приложениям Enterprise>Akamai>Единый вход.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML выберите значок карандаша для базовой конфигурации SAML, чтобы изменить параметры.

    Изменение базовой конфигурации SAML

  5. В разделе Базовая конфигурация SAML, если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, введите значения следующих полей.

    a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response.

    б. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response.

    Примечание.

    Эти значения не являются реальными. Измените их на фактические значения идентификатора и URL-адреса ответа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Akamai. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

    Ссылка для скачивания сертификата

  7. Требуемые URL-адреса можно скопировать в разделе Настройка Akamai.

    Копирование URL-адресов настройки

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в руководстве по созданию и назначению учетной записи пользователя быстрого старта, чтобы создать тестовую учетную запись пользователя B.Simon.

Настройка Akamai SSO (единого входа)

Настройка поставщика удостоверений личности

Конфигурация IDP Akamai EAA

  1. Войдите в консоль Akamai Enterprise Application Access.

  2. В консоли Akamai EAA выберите Удостоверение>Поставщики удостоверений и выберите Добавить поставщика удостоверений.

    Снимок экрана, на котором показано окно поставщиков удостоверений для консоли Akamai ЕАА. В меню Identity (Удостоверение) выберите пункт Identity Providers (Поставщики удостоверений) и нажмите Add Identity Provider (Добавить поставщика удостоверений).

  3. На странице Create New Identity Provider выполните следующие действия.

    a. Укажите Unique Name.

    б. Выберите SAML стороннего поставщика и затем создайте поставщика удостоверений и настройте.

Общие параметры

На вкладке "Общие " введите следующие сведения:

  1. Перехват идентификации — укажите имя домена (базовый URL-адрес SP — используется для конфигурации Microsoft Entra).

    Примечание.

    Вы можете выбрать собственный личный домен (требуется запись DNS и сертификат). В этом примере мы будем использовать домен Akamai.

  2. Akamai Cloud Zone (Облачная зона Akamai) — выберите соответствующую облачную зону.

  3. Certificate Validation (Проверка сертификата) — проверьте документацию по Akamai (по желанию).

Настройка проверки подлинности

  1. Укажите URL, который совпадает с адресом вашего идентификационного перехвата (именно сюда перенаправляются пользователи после аутентификации).

  2. URL-адрес выхода: обновите URL-адрес выхода.

  3. Sign SAML Request (Подписать запрос SAML): по умолчанию этот флажок снят.

  4. Для файла метаданных провайдера удостоверений добавьте приложение в консоль Microsoft Entra ID.

    Снимок экрана консоли Akamai EAA с настройками аутентификации, показывающий параметры для URL, URL выхода, запроса SAML и файла метаданных IDP.

Параметры сеанса

Оставьте параметры по умолчанию без изменений.

Снимок экрана с диалоговым окном параметров сеанса в консоли Akamai ЕАА.

Каталоги

На вкладке "Каталоги" пропустите шаг настройки каталога.

Пользовательский интерфейс настройки

Вы могли бы добавить возможности настройки для IDP (поставщика удостоверений). На вкладке "Настройка" есть параметры для настройки пользовательского интерфейса, языковых параметров и тем.

Расширенные параметры

На вкладке "Дополнительные параметры" примите значения по умолчанию. Дополнительные сведения см. в документации по Akamai.

Развертывание

  1. На вкладке «Развертывание» выберите «Развертывание поставщика удостоверений».

  2. Проверьте успешность развертывания.

Проверка подлинности на основе заголовков

Проверка подлинности на основе заголовков Akamai

  1. Выберите вариант Custom HTTP (Настраиваемый HTTP) в мастере добавления приложений.

    Снимок экрана консоли Akamai ЕАА с мастером добавления приложений, в котором в разделе Access Apps (Доступ к приложениям) отображается CustomHTTP.

  2. Заполните поля Application Name (Имя приложения) и Description (Описание).

    Снимок экрана диалогового окна Custom HTTP App (Пользовательское HTTP-приложение), в котором отображаются параметры для имени и описания приложения.

    Снимок экрана консоли Akamai ЕАА с вкладкой General (Общие), на которой отображаются общие параметры для MYHEADERAPP.

    Снимок экрана консоли Akamai ЕАА, в которой отображаются параметры для сертификата и расположения.

Проверка подлинности

  1. Перейдите на вкладку Authentication (Проверка подлинности).

    Снимок экрана консоли Akamai ЕАА с выбранной вкладкой Authentication (Проверка подлинности).

  2. Выберите Назначить поставщика удостоверений личности.

Службы

Выберите "Сохранить" и "Перейти к проверке подлинности".

Снимок экрана консоли Akamai ЕАА с вкладкой Services (Службы) для MYHEADERAPP, на которой в правом нижнем углу показана кнопка

Расширенные параметры

  1. В разделе Customer HTTP Headers (Настраиваемые заголовки HTTP) укажите значения CustomerHeader и SAML Attribute.

    Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры), на которой выделено поле SSO Logged URL (Зарегистрированный URL-адрес для единого входа) в разделе Authentication (Проверка подлинности).

  2. Нажмите кнопку "Сохранить" и нажмите кнопку "Развертывание ".

    Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры), на которой в правом нижнем углу показана кнопка Save and go to Deployment (Завершить и перейти к развертыванию).

Развертывание приложения

  1. Нажмите кнопку "Развернуть приложение ".

    Снимок экрана консоли Akamai ЕАА с вкладкой Deployment (Развертывание), на которой отображается кнопка Deploy Application (Развернуть приложение).

  2. Убедитесь, что приложение развернуто успешно.

    Снимок экрана: вкладка развертывания консоли Akamai EAA с сообщением о состоянии приложения:

  3. Пользовательский опыт.

    Снимок экрана, на котором показано открытие сайта myapps.microsoft.com с фоновым изображением и диалоговым окном входа.

    Снимок экрана, на котором показана часть окна

  4. Условный доступ.

    Снимок экрана с сообщением:

    Снимок экрана приложения со значком для MyHeaderApp.

Удаленный рабочий стол

  1. Выберите вариант RDP в мастере добавления приложений.

    Снимок экрана консоли Akamai ЕАА с мастером добавления приложений, в котором в разделе Access Apps (Доступ к приложениям) в списке приложений отображается RDP.

  2. Введите имя приложения, например SecretRDPApp.

  3. Выберите описание, например защита сеанса RDP с помощью условного доступа Microsoft Entra.

  4. Укажите соединитель, обслуживающий это.

    Снимок экрана консоли Akamai ЕАА, в которой отображаются параметры для сертификата и расположения. Для связанных соединителей задано значение USWST-CON1.

Проверка подлинности

На вкладке "Проверка подлинности" выберите "Сохранить" и выберите "Службы".

Службы

Нажмите кнопку "Сохранить" и перейдите к дополнительным параметрам.

Скриншот консоли Akamai ЕАА, вкладка Services (Службы) для SECRETRDPAPP, с кнопкой

Расширенные параметры

  1. Нажмите кнопку "Сохранить" и перейдите к развертыванию.

    Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры) для SECRETRDPAPP, на которой показаны параметры конфигурации удаленного рабочего стола.

    Скриншот вкладки Advanced Settings (Дополнительные параметры) консоли Akamai EAA для SECRETRDPAPP, показывающий параметры настройки аутентификации и проверки состояния.

    Снимок экрана настроек консоли Akamai EAA для Custom HTTP headers (Пользовательские HTTP-заголовки) приложения SECRETRDPAPP с кнопкой «Сохранить и перейти к развертыванию» в правом нижнем углу.

  2. Опыт конечного пользователя

    Снимок экрана, на котором показано окно myapps.microsoft.com с фоновым изображением и диалоговым окном входа.

    Снимок экрана, на котором показано окно

  3. Условный доступ

    Снимок экрана сообщения условного доступа: Одобрите запрос на вход. Мы отправили уведомление на ваше мобильное устройство. Пожалуйста, ответьте, чтобы продолжить.

    Снимок экрана приложения со значком для MyHeaderApp и SecretRDPApp.

    Снимок экрана Windows Server 2012 RS, на котором показаны универсальные пользовательские значки. Значки для администратора, пользователя 0 и пользователя 1 указывают на то, что они вошли в систему.

  4. Кроме того, можно непосредственно ввести URL-адрес приложения для работы по протоколу RDP.

SSH

  1. Перейдите к разделу Add Applications (Добавление приложений) и выберите SSH.

    Снимок экрана консоли Akamai ЕАА с мастером добавления приложений, в котором в разделе Access Apps (Доступ к приложениям) в списке приложений отображается SSH.

  2. Введите имя приложения и описание, например современную проверку подлинности Microsoft Entra в SSH.

  3. Настройте идентификатор приложения.

    a. Укажите имя и описание.

    б. Укажите IP-адрес или полное доменное имя сервера приложений и порт для подключения SSH.

    с. Укажите имя пользователя и парольную фразу для SSH. Проверьте Akamai EAA.

    д. Укажите имя внешнего хоста.

    д) Укажите расположение соединителя и выберите нужный соединитель.

Проверка подлинности

На вкладке "Проверка подлинности" выберите "Сохранить" и выберите "Службы".

Службы

Нажмите кнопку "Сохранить" и перейдите к дополнительным параметрам.

Снимок экрана консоли Akamai ЕАА с вкладкой Services (Службы) для SSH-SECURE, на которой в правом нижнем углу показана кнопка Save and go to AdvancedSettings (Сохранить и перейти к расширенным настройкам).

Расширенные параметры

Нажмите кнопку "Сохранить" и перейти к развертыванию.

Снимок экрана консоли Akamai EAA с вкладкой Advanced Settings (Дополнительные параметры) для SSH-SECURE, на которой показаны параметры конфигурации аутентификации и проверки работоспособности системы.

Скриншот консоли Akamai EAA с настройками пользовательских HTTP-заголовков для SSH-SECURE. В правом нижнем углу расположена кнопка

Развертывание

  1. Выберите "Развернуть приложение".

    Снимок экрана вкладки Deployment (Развертывание) в консоли Akamai EAA для SSH-SECURE с кнопкой Развернуть приложение.

  2. Опыт конечного пользователя

    Снимок экрана диалогового окна входа в окне myapps.microsoft.com.

    Скриншот окна

  3. Условный доступ

    Снимок экрана с сообщением:

    Снимок экрана приложения со значком для MyHeaderApp, SSH-Secure и SecretRDPApp.

    Снимок экрана командного окна для ssh-secure-go.akamai-access.com, в котором показан запрос пароля.

    Снимок экрана: командное окно для ssh-secure-go.akamai-access.com с информацией о приложении и командной строкой.

Проверка подлинности Kerberos

В следующем примере мы публикуем внутренний веб-сервер http://frp-app1.superdemo.live и включаем единый вход с использованием KCD.

Вкладка "Общие"

Снимок экрана консоли Akamai ЕАА с вкладкой General (Общие) для MYKERBOROSAPP.

Вкладка "Authentication" (Аутентификация)

На вкладке "Проверка подлинности " назначьте поставщика удостоверений.

Вкладка "Службы" (Services)

Снимок экрана вкладки

Расширенные параметры

Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры) для MYKERBOROSAPP, на которой показаны параметры для связанных приложений и проверки подлинности.

Примечание.

Имя субъекта-службы (SPN) для веб-сервера было представлено в формате SPN@Domain (например: HTTP/[email protected]) для этой демонстрации. Оставьте для остальных параметров значение по умолчанию.

Вкладка Deployment (Развертывание)

Снимок экрана консоли Akamai EAA на вкладке Развертывание для MYKERBOROSAPP, на которой показана кнопка Deploy Application (Развернуть приложение).

Добавление каталога

  1. Выберите в раскрывающемся списке AD.

    Скриншот окна консоли Akamai EAA, показывающий диалоговое окно

  2. Укажите необходимые данные.

    Снимок экрана окна SUPERDEMOLIVE консоли Akamai ЕАА с параметрами для имени каталога, службы каталогов, соединителя и сопоставления атрибутов.

  3. Проверьте правильность создания каталога.

    Снимок экрана окна Directories (Каталоги) консоли Akamai ЕАА, в котором показано, что был добавлен каталог superdemo.live.

  4. Добавьте группы и подразделения, которым требуется доступ.

    Снимок экрана параметров для каталога superdemo.live. Выделен значок, выбранный для добавления групп или подразделений.

  5. На изображении ниже группа называется EAAGroup и состоит из одного члена.

    Снимок экрана консоли Akamai EAA, окно GROUPS ON SUPERDEMOLIVE DIRECTORY (ГРУППЫ В КАТАЛОГЕ SUPERDEMOLIVE). В списке групп (Groups) указана EAAGroup с 1 пользователем.

  6. Добавьте каталог в поставщика удостоверений, выбрав Identity Providers, затем откройте вкладку Каталоги и нажмите Назначить каталог.

Настройка делегирования KCD для EAA: пошаговое руководство

Шаг 1. Создание учетной записи

  1. В этом примере используется учетная запись EAADelegation. Это можно сделать с помощью оснастки Пользователи и компьютеры Active Directory.

    Примечание.

    Имя пользователя должно быть в определённом формате на основе Identity Intercept Name. На рисунке 1 мы видим, что это corpapps.login.go.akamai-access.com

  2. Имя входа пользователя:HTTP/corpapps.login.go.akamai-access.com

    Снимок экрана, на котором показаны свойства EAADelegation, где имя установлено как

Шаг 2: Настройте SPN для этой учетной записи

  1. На основе этого примера SPN выглядит следующим образом.

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Снимок экрана командной строки администратора с результатами выполнения команды setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Шаг 3. Настройка делегирования

  1. Для учетной записи EAADelegation выберите вкладку "Делегирование".

    Снимок экрана Командной строки от имени администратора с командой для настройки служебного имени участника (SPN).

    • Укажите, что можно использовать любой протокол аутентификации.
    • Выберите «Добавить», затем добавьте учетную запись пула приложений для веб-сайта Kerberos. Если настройки заданы правильно, должен автоматически разрешаться правильный SPN.

Шаг 4. Создание файла keytab для AKAMAI EAA

  1. Ниже приведен универсальный синтаксис.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/[email protected] /mapuser [email protected] /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Пояснения к примеру

    Фрагмент Описание
    Ktpass /out EAADemo.keytab // Имя выходного файла keytab
    /princ HTTP/[email protected] HTTP/yourIDPName@YourdomainName
    /mapuser [email protected] // Учетная запись делегата EAA
    /pass RANDOMPASS // Пароль учетной записи делегирования EAA
    /crypto All ptype KRB5_NT_PRINCIPAL // См. документацию по Akamai EAA

  4. Ktpass /out EAADemo.keytab /princ HTTP/[email protected] /mapuser [email protected] /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Снимок экрана командной строки администратора с результатами выполнения команды для создания файла Keytab для AKAMAI EAA.

Шаг 5. Импорт Keytab в консоли AKAMAI EAA

  1. Выберите System>Keytabs.

    Снимок экрана консоли Akamai EAA, показывающий выбор Keytabs из меню System.

  2. В поле «Тип Keytab» выберите Делегирование Kerberos.

    Снимок экрана консоли Akamai EAA с экраном EAAKEYTAB, где показаны настройки Keytab. Тип Keytab установлен как Kerberos Delegation.

  3. Убедитесь, что файл Keytab отображается как «Развернутый» и «Проверенный».

    Снимок экрана страницы KEYTABS в консоли Akamai EAA, на которой файл keytab отображается со статусом

  4. Взаимодействие с пользователем

    Снимок экрана диалогового окна входа на сайте myapps.microsoft.com.

    Снимок экрана окна

  5. Условный доступ

    Скриншот, показывающий знак утверждения в сообщении запроса.

    Снимок экрана приложения со значком для MyHeaderApp, SSH-Secure, SecretRDPApp и myKerberosApp.

    Снимок экрана-заставки для myKerberosApp. Поверх фонового изображения отображается сообщение

Создание тестового пользователя Akamai

Из этого разделе вы узнаете, как создать пользователя B.Simon в приложении Akamai. Обратитесь в службу поддержки клиентов Akamai, чтобы добавить пользователей на платформу Akamai. Перед использованием единого входа необходимо создать и активировать пользователей.

Проверка единого входа

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra с использованием следующих параметров.

  • Выберите "Тестировать это приложение", и вы автоматически войдете в приложение Akamai, для которого настроили единый вход.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. При выборе плитки Akamai в разделе "Мои приложения" вы автоматически войдете в приложение Akamai, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанное содержимое

После настройки Akamai вы можете применить функцию управления сеансами, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.