Kurz: Integrace jednotného přihlašování Microsoft Entra s Akamai
V tomto kurzu se dozvíte, jak integrovat Akamai s Microsoft Entra ID. Když integrujete Akamai s Microsoft Entra ID, můžete:
- Řízení v Microsoft Entra ID, který má přístup k Akamai.
- Povolte uživatelům, aby se k Akamai automaticky přihlásili pomocí svých účtů Microsoft Entra.
- Spravujte účty v jednom centrálním umístění.
Integrace Microsoft Entra ID a Akamai Enterprise Application Access umožňují bezproblémový přístup ke starším aplikacím hostovaným v cloudu nebo místně. Integrované řešení využívá všechny moderní funkce Microsoft Entra ID, jako je podmíněný přístup Microsoft Entra, ochrana Microsoft Entra ID a zásady správného řízení microsoft Entra ID pro starší verze aplikací bez úprav nebo instalací agentů.
Následující obrázek popisuje, kde Akamai EAA zapadá do širšího scénáře hybridního zabezpečeného přístupu.
Scénáře ověřování klíčů
Kromě podpory nativní integrace Microsoft Entra pro moderní ověřovací protokoly, jako je OpenID Connect, SAML a WS-Fed, Akamai EAA rozšiřuje zabezpečený přístup pro starší verze ověřovacích aplikací pro interní i externí přístup pomocí Microsoft Entra ID, což umožňuje moderní scénáře (například přístup bez hesla) k těmto aplikacím. Sem patří:
- Ověřovací aplikace založené na hlavičkách
- Vzdálená plocha
- SSH (Secure Shell)
- Ověřovací aplikace Kerberos
- VNC (Virtual Network Computing)
- Anonymní ověřování nebo žádné předem připravené ověřovací aplikace
- Ověřovací aplikace NTLM (ochrana se dvěma výzvami pro uživatele)
- Aplikace založená na formulářích (ochrana se dvěma výzvami pro uživatele)
Scénáře integrace
Partnerství Microsoft a Akamai EAA umožňuje flexibilitu splnit vaše obchodní požadavky díky podpoře více scénářů integrace na základě vašeho obchodního požadavku. Ty se dají použít k zajištění pokrytí nulou dne ve všech aplikacích a postupné klasifikaci a konfiguraci vhodných klasifikací zásad.
Scénář integrace 1
Akamai EAA je nakonfigurovaná jako jedna aplikace na ID Microsoft Entra. Správce může v aplikaci nakonfigurovat zásady podmíněného přístupu a jakmile budou splněné podmínky, můžou uživatelé získat přístup k portálu Akamai EAA.
Profesionálové:
- Potřebujete nakonfigurovat jenom jednou protokol IDP.
Nevýhody:
Uživatelé mají dva portály aplikací.
Jedno společné pokrytí zásad podmíněného přístupu pro všechny aplikace.
Scénář integrace 2
Aplikace Akamai EAA se nastavuje individuálně na webu Azure Portal. Správce může nakonfigurovat zásady podmíněného přístupu pro jednotlivé aplikace a jakmile budou splněné podmínky, můžou být uživatelé přímo přesměrováni na konkrétní aplikaci.
Profesionálové:
Můžete definovat jednotlivé zásady podmíněného přístupu.
Všechny aplikace jsou reprezentovány na panelu 0365 Waffle a myApps.microsoft.com.
Nevýhody:
- Potřebujete nakonfigurovat více ZDP.
Požadavky
Abyste mohli začít, potřebujete následující položky:
- Předplatné Microsoft Entra. Pokud předplatné nemáte, můžete získat bezplatný účet.
- Předplatné s povoleným jednotným přihlašováním (SSO) Akamai
Popis scénáře
V tomto kurzu nakonfigurujete a otestujete jednotné přihlašování Microsoft Entra v testovacím prostředí.
- Akamai podporuje jednotné přihlašování iniciované protokolem IDP.
Důležité
Všechna níže uvedená nastavení jsou stejná pro scénář integrace 1 a scénář 2. Pro scénář integrace 2 musíte nastavit individuální IDP v Akamai EAA a vlastnost URL musí být upravena tak, aby odkazovat na adresu URL aplikace.
Přidání Akamai z galerie
Pokud chcete nakonfigurovat integraci Akamai do Microsoft Entra ID, musíte do seznamu spravovaných aplikací SaaS přidat Akamai z galerie.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Přejděte k podnikovým aplikacím>Identita>Aplikace>– Nová aplikace.
- Do části Přidat z galerie zadejte do vyhledávacího pole Akamai.
- Na panelu výsledků vyberte Akamai a pak přidejte aplikaci. Počkejte několik sekund, než se aplikace přidá do vašeho tenanta.
Alternativně můžete také použít Průvodce konfigurací podnikové aplikace. V tomto průvodci můžete do tenanta přidat aplikaci, přidat uživatele nebo skupiny do aplikace, přiřadit role a také si projít konfiguraci jednotného přihlašování. Přečtěte si další informace o průvodcích Microsoft 365.
Konfigurace a testování jednotného přihlašování Microsoft Entra pro Akamai
Nakonfigurujte a otestujte jednotné přihlašování Microsoft Entra s Akamai pomocí testovacího uživatele s názvem B.Simon. Aby jednotné přihlašování fungovalo, musíte vytvořit vztah propojení mezi uživatelem Microsoft Entra a souvisejícím uživatelem v Akamai.
Pokud chcete nakonfigurovat a otestovat jednotné přihlašování Microsoft Entra s Akamai, proveďte následující kroky:
- Nakonfigurujte jednotné přihlašování Microsoft Entra – aby uživatelé mohli tuto funkci používat.
- Vytvoření testovacího uživatele Microsoft Entra – k otestování jednotného přihlašování Microsoft Entra pomocí B.Simon.
- Přiřaďte testovacího uživatele Microsoft Entra – aby B.Simon mohl používat jednotné přihlašování Microsoft Entra.
- Konfigurace jednotného přihlašování Akamai – konfigurace nastavení jednotného přihlašování na straně aplikace
- Nastavení ZDP
- Ověřování na základě hlaviček
- Vzdálená plocha
- SSH
- Ověřování protokolu Kerberos
- Vytvořte testovacího uživatele Akamai – aby měl protějšek B.Simon v Akamai, který je propojený s reprezentací uživatele Microsoft Entra.
- Otestujte jednotné přihlašování a ověřte, jestli konfigurace funguje.
Konfigurace jednotného přihlašování Microsoft Entra
Následujícím postupem povolíte jednotné přihlašování microsoftu Entra.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
Přejděte k podnikovým aplikacím>identit>>akamai>– jednotné přihlašování.
Na stránce Vybrat metodu jednotného přihlašování vyberte SAML.
Na stránce Nastavení jednotného přihlašování pomocí SAML klikněte na ikonu tužky pro základní konfiguraci SAML a upravte nastavení.
Pokud chcete nakonfigurovat aplikaci v režimu iniciovaném protokolem IDP, zadejte hodnoty pro následující pole v části Základní konfigurace SAML:
a. Do textového pole Identifikátor zadejte adresu URL pomocí následujícího vzoru:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. Do textového pole Adresa URL odpovědi zadejte adresu URL pomocí následujícího vzoru:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
Poznámka:
Tyto hodnoty nejsou reálné. Aktualizujte tyto hodnoty skutečným identifikátorem a adresou URL odpovědi. Pokud chcete získat tyto hodnoty, obraťte se na tým podpory klienta Akamai. Můžete také odkazovat na vzory uvedené v části Základní konfigurace SAML.
Na stránce Nastavit jednotné přihlašování pomocí SAML v části Podpisový certifikát SAML vyhledejte XML federačních metadat a vyberte Stáhnout a stáhněte certifikát a uložte ho do počítače.
V části Nastavit Akamai zkopírujte odpovídající adresy URL podle vašeho požadavku.
Vytvoření testovacího uživatele Microsoft Entra
V této části vytvoříte testovacího uživatele s názvem B.Simon.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce uživatelů.
- Přejděte do části Identita>Uživatelé>Všichni uživatelé.
- V horní části obrazovky vyberte Nový uživatel>Vytvořit nového uživatele.
- Ve vlastnostech uživatele postupujte takto:
- Do pole Zobrazovaný název zadejte
B.Simon
. - Do pole Hlavní název uživatele zadejte .username@companydomain.extension Například
B.Simon@contoso.com
. - Zaškrtněte políčko Zobrazit heslo a potom poznamenejte hodnotu, která se zobrazí v poli Heslo.
- Vyberte Zkontrolovat a vytvořit.
- Do pole Zobrazovaný název zadejte
- Vyberte Vytvořit.
Přiřazení testovacího uživatele Microsoft Entra
V této části povolíte B.Simonu používat jednotné přihlašování tím, že udělíte přístup K Akamai.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
- Přejděte na Podnikové aplikace>Identity>Applications>Akamai.
- Na stránce s přehledem aplikace vyberte Uživatelé a skupiny.
- Vyberte Přidat uživatele nebo skupinu a pak v dialogovém okně Přidat přiřazení vyberte Uživatelé a skupiny.
- V dialogovém okně Uživatelé a skupiny vyberte B.Simon ze seznamu Uživatelé a potom klikněte na tlačítko Vybrat v dolní části obrazovky.
- Pokud očekáváte přiřazení role uživatelům, můžete ji vybrat v rozevíracím seznamu Vybrat roli . Pokud pro tuto aplikaci nebyla nastavena žádná role, zobrazí se vybraná výchozí role pro přístup.
- V dialogovém okně Přidat přiřazení klikněte na tlačítko Přiřadit .
Konfigurace jednotného přihlašování Akamai
Nastavení ZDP
Konfigurace protokolu IDP AKAMAI EAA
Přihlaste se ke konzole Akamai Enterprise Application Access .
V konzole Akamai EAA vyberte zprostředkovatele identity>a klikněte na Přidat zprostředkovatele identity.
V okně Vytvořit nového zprostředkovatele identity proveďte následující kroky:
a. Zadejte jedinečný název.
b. Zvolte SAML třetí strany a klikněte na Vytvořit zprostředkovatele identity a nakonfigurujte.
Obecná nastavení
Na kartě Obecné zadejte následující informace:
Zachycení identity – Zadejte název domény (základní adresa URL sp se použije pro Microsoft Entra Configuration).
Poznámka:
Můžete zvolit vlastní doménu (bude vyžadovat položku DNS a certifikát). V tomto příkladu použijeme doménu Akamai.
Zóna cloudu Akamai – vyberte příslušnou cloudovou zónu.
Ověření certifikátu – Zkontrolujte dokumentaci k Akamai (volitelné).
Konfigurace ověřování
ADRESA URL – Zadejte adresu URL stejnou jako zachytávání identity (to je místo, kde se uživatelé po ověření přesměrují).
Adresa URL odhlášení: Aktualizujte adresu URL odhlášení.
Podepsat požadavek SAML: Výchozí není zaškrtnuto.
Pro soubor metadat IDP přidejte aplikaci do konzoly Microsoft Entra ID.
Nastavení relace
Ponechte nastavení jako výchozí.
Directories
Na kartě Adresáře přeskočte konfiguraci adresáře.
Uživatelské rozhraní pro přizpůsobení
Do protokolu IDP můžete přidat vlastní nastavení. Na kartě Přizpůsobení jsou nastavení pro přizpůsobení uživatelského rozhraní, nastavení jazyka a motivy.
Rozšířená nastavení
Na kartě Upřesnit nastavení přijměte výchozí hodnoty. Další podrobnosti najdete v dokumentaci k Akamai.
Nasazení
Na kartě Nasazení klikněte na Nasadit zprostředkovatele identity.
Ověřte, že nasazení proběhlo úspěšně.
Ověřování na základě hlaviček
Ověřování založené na hlavičce Akamai
Zvolte vlastní formulář HTTP Průvodce přidáním aplikací.
Zadejte název a popis aplikace.
Ověřování
Vyberte kartu Ověřování .
Vyberte Přiřadit zprostředkovatele identity.
Služby
Klikněte na Uložit a přejít na ověřování.
Rozšířená nastavení
V části Hlavičky HTTP zákazníka zadejte CustomerHeader a SAML Attribute.
Klikněte na Uložit a přejděte na tlačítko Nasazení .
Nasazení aplikace
Klikněte na tlačítko Nasadit aplikaci .
Ověřte, že se aplikace úspěšně nasadila.
Prostředí koncového uživatele
Podmíněný přístup.
Vzdálená plocha
V Průvodci přidáním aplikací zvolte protokol RDP .
Zadejte název aplikace, například SecretRDPApp.
Vyberte popis, například chránit relaci RDP pomocí podmíněného přístupu Microsoft Entra.
Zadejte konektor, který bude tento servis obsluhovat.
Ověřování
Na kartě Ověřování klikněte na Uložit a přejděte na Služby.
Služby
Klikněte na Uložit a přejděte na Upřesnit nastavení.
Rozšířená nastavení
Klikněte na Uložit a přejděte na Nasazení.
Prostředí koncového uživatele
Podmíněný přístup
Alternativně můžete také přímo zadat adresu URL aplikace RDP.
SSH
Přejděte na Přidat aplikace a zvolte SSH.
Zadejte název a popis aplikace, například moderní ověřování Microsoft Entra pro SSH.
Konfigurace identity aplikace
a. Zadejte název nebo popis.
b. Zadejte IP/plně kvalifikovaný název domény aplikačního serveru a port pro SSH.
c. Zadejte uživatelské jméno nebo heslo SSH *Zkontrolujte Akamai EAA.
d. Zadejte název externího hostitele.
e. Zadejte umístění konektoru a zvolte konektor.
Ověřování
Na kartě Ověřování klikněte na Uložit a přejděte na Služby.
Služby
Klikněte na Uložit a přejděte na Upřesnit nastavení.
Rozšířená nastavení
Klikněte na Uložit a přejděte na Nasazení.
Nasazení
Klikněte na Nasadit aplikaci.
Prostředí koncového uživatele
Podmíněný přístup
Ověřování protokolu Kerberos
V následujícím příkladu publikujeme interní webový server a http://frp-app1.superdemo.live
povolíme jednotné přihlašování pomocí KCD.
Karta Obecné
Karta Ověřování
Na kartě Ověřování přiřaďte zprostředkovatele identity.
Karta Služby
Rozšířená nastavení
Poznámka:
Hlavní název služby (SPN) pro webový server je ve formátu SPN@Domain například pro HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
tuto ukázku. Ponechte zbývající nastavení výchozí.
Karta Nasazení
Přidání adresáře
V rozevíracím seznamu vyberte AD .
Zadejte potřebná data.
Ověřte vytvoření adresáře.
Přidejte skupiny nebo organizační jednotky, které by vyžadovaly přístup.
V níže uvedené skupině se nazývá EAAGroup a má 1 člena.
Přidejte adresář do zprostředkovatele identity kliknutím na >zprostředkovatele identity a kliknutím na kartu Adresáře a kliknutím na Přiřadit adresář.
Konfigurace delegování KCD pro názorný postup EAA
Krok 1: Vytvoření účtu
V příkladu použijeme účet s názvem EAADelegation. Můžete to provést pomocí modulu Snappin služby Active Directory a uživatele služby Active Directory.
Poznámka:
Uživatelské jméno musí být v určitém formátu na základě názvu zachytávání identity. Z obrázku 1 vidíme, že je to corpapps.login.go.akamai-access.com
Přihlašovací jméno uživatele bude:
HTTP/corpapps.login.go.akamai-access.com
Krok 2: Konfigurace hlavního názvu služby (SPN) pro tento účet
Na základě této ukázky bude hlavní název služby (SPN) následující.
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
Krok 3: Konfigurace delegování
U účtu EAADelegation klikněte na kartu Delegování.
- Zadejte libovolný ověřovací protokol.
- Klikněte na Přidat a přidat účet fondu aplikací pro web Kerberos. Pokud je správně nakonfigurovaný, měl by se automaticky přeložit na správnou opravu hlavního názvu služby.
Krok 4: Vytvoření souboru keytab pro AKAMAI EAA
Tady je obecná syntaxe.
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPALVysvětlení příkladu
Fragment kódu Vysvětlení Ktpass /out EAADemo.keytab Název výstupního souboru Keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live Účet delegování EAA /pass RANDOMPASS Heslo účtu delegování EAA /crypto All ptype KRB5_NT_PRINCIPAL projděte si dokumentaci K Akamai EAA. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
Krok 5: Import keytab v konzole AKAMAI EAA
Klikněte na systémové>klávesové zkratky.
V části Typ klávesové zkratky zvolte Delegování kerberos.
Ujistěte se, že se karta Keytab zobrazuje jako nasazená a ověřená.
Uživatelské prostředí
Podmíněný přístup
Vytvoření testovacího uživatele Akamai
V této části vytvoříte uživatele S názvem B.Simon v Akamai. Spolupracujte s týmem podpory klienta Akamai a přidejte uživatele na platformě Akamai. Uživatelé se musí vytvořit a aktivovat před použitím jednotného přihlašování.
Testování jednotného přihlašování
V této části otestujete konfiguraci jednotného přihlašování Microsoft Entra s následujícími možnostmi.
Klikněte na Otestovat tuto aplikaci a měli byste být automaticky přihlášení k Akamai, pro kterou jste nastavili jednotné přihlašování.
Můžete použít Microsoft Moje aplikace. Když kliknete na dlaždici Akamai v Moje aplikace, měli byste být automaticky přihlášení k Akamai, pro kterou jste nastavili jednotné přihlašování. Další informace o Moje aplikace naleznete v tématu Úvod do Moje aplikace.
Další kroky
Jakmile nakonfigurujete Akamai, můžete vynutit řízení relací, které chrání exfiltraci a infiltraci citlivých dat vaší organizace v reálném čase. Řízení relací se rozšiřuje z podmíněného přístupu. Přečtěte si, jak vynutit řízení relací pomocí Programu Microsoft Defender for Cloud Apps.