Tutorial: integración del SSO de Microsoft Entra con Akamai
En este tutorial, aprenderá a integrar Akamai con Microsoft Entra ID. Al integrar Akamai con Microsoft Entra ID, puede hacer lo siguiente:
- Controlar en Microsoft Entra ID quién tiene acceso a Akamai.
- Permitir que los usuarios puedan iniciar sesión automáticamente en Akamai con sus cuentas de Microsoft Entra.
- Administre sus cuentas en una ubicación central.
La integración de Microsoft Entra ID y Akamai Enterprise Application Access permite un acceso sin problemas a las aplicaciones heredadas hospedadas en la nube o en el entorno local. La solución integrada aprovecha todas las funcionalidades modernas de Microsoft Entra ID como Acceso condicional de Microsoft Entra, Protección de Microsoft Entra ID y Gobernanza de Microsoft Entra ID para el acceso a aplicaciones heredadas sin modificaciones de aplicaciones ni instalación de agentes.
En la imagen siguiente se describe en qué lugar encaja Akamai EAA en el escenario de Acceso híbrido seguro, que es más amplio.
Escenarios de autenticación de claves
Además de la compatibilidad con la integración nativa de Microsoft Entra con protocolos de autenticación modernos, como Open ID Connect, SAML y WS-Fed, Akamai EAA amplía el acceso seguro para las aplicaciones de autenticación heredadas tanto en el acceso interno como en el externo con Microsoft Entra ID, lo que habilita escenarios modernos (por ejemplo, el acceso sin contraseña) en estas aplicaciones. Esto incluye:
- Aplicaciones de autenticación basadas en encabezados
- Escritorio remoto
- SSH (Secure Shell)
- Aplicaciones de autenticación Kerberos
- VNC (Virtual Network Computing)
- Aplicaciones sin autenticación integrada o autenticación anónima
- Aplicaciones de autenticación NTLM (protección con dos preguntas para el usuario)
- Aplicaciones basadas en formularios (protección con dos preguntas para el usuario)
Escenarios de integración
La asociación entre Microsoft y Akamai EAA permite la flexibilidad necesaria para satisfacer los requisitos empresariales, ya que admite varios escenarios de integración en función de las necesidades de las empresas. Se pueden usar para proporcionar cobertura desde el primer día en todas las aplicaciones y clasificar y configurar gradualmente las clasificaciones de directivas adecuadas.
Escenario de integración 1
Akamai EAA se configura como una sola aplicación en Microsoft Entra ID. El administrador puede configurar la directiva de acceso condicional en la aplicación y, una vez que se cumplan las condiciones, los usuarios puedan obtener acceso al portal de Akamai EAA.
Ventajas:
- IDP solo tiene que configurarse una vez.
Inconvenientes:
los usuarios acaban teniendo dos portales de aplicaciones.
Cobertura de la directiva de acceso condicional común única para todas las aplicaciones.
Escenario de integración 2
La aplicación Akamai EAA se configura de forma individual en Azure Portal. El administrador puede configurar una directiva de acceso condicional individual en las aplicaciones y, una vez que se cumplan las condiciones, se puede redirigir a los usuarios directamente a la aplicación específica.
Ventajas:
Puede definir directivas de acceso condicional individuales.
Todas las aplicaciones se representan en el panel de myApps.microsoft.com y 0365 Waffle.
Inconvenientes:
- Debe configurar varios IDP.
Requisitos previos
Para empezar, necesitas los siguientes elementos:
- Una suscripción a Microsoft Entra. Si no tiene una suscripción, puede obtener una cuenta gratuita.
- Suscripción habilitada para el inicio de sesión único (SSO) en Akamai.
Descripción del escenario
En este tutorial va a configurar y probar el inicio de sesión único de Microsoft Entra en un entorno de prueba.
- Akamai admite SSO iniciado por IDP.
Importante
Toda la configuración que se muestra a continuación es la misma para el escenario de integración 1 y el escenario 2. En el escenario de integración 2, ha configurado un IDP individual en Akamai EAA. La propiedad URL debe modificarse para que apunte a la dirección URL de la aplicación.
Adición de Akamai desde la galería
Para configurar la integración de Akamai en Microsoft Entra ID, deberá agregar Akamai desde la galería a la lista de aplicaciones SaaS administradas.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Nueva aplicación.
- En la sección Agregar desde la galería, escriba Akamai en el cuadro de búsqueda.
- Seleccione Akamai en el panel de resultados y agregue la aplicación. Espere unos segundos mientras la aplicación se agrega al inquilino.
Si lo deseas, puedes usar también el asistente para la configuración de aplicaciones empresariales. En este asistente puedes agregar una aplicación al inquilino, agregar usuarios o grupos a la aplicación y asignar roles, así como recorrer la configuración de SSO. Obtenga más información sobre los asistentes de Microsoft 365.
Configuración y prueba del inicio de sesión único de Microsoft Entra para Akamai
Configure y pruebe el inicio de sesión único de Microsoft Entra con Akamai mediante un usuario de prueba llamado B.Simon. Para que el inicio de sesión único funcione, es necesario establecer una relación de vínculo entre un usuario de Microsoft Entra y el usuario relacionado de Akamai.
Para configurar y probar el inicio de sesión único de Microsoft Entra con Akamai, complete los siguientes pasos:
- Configuración del inicio de sesión único de Microsoft Entra, para que los usuarios puedan utilizar esta característica.
- Cree un usuario de prueba de Microsoft Entra para probar el inicio de sesión único de Microsoft Entra con B.Simon.
- Asigne el usuario de prueba de Microsoft Entra, para permitir que B.Simon use el inicio de sesión único de Microsoft Entra.
- Configuración del inicio de sesión único en Akamai , para configurar los valores de inicio de sesión único en la aplicación.
- Configuración de IDP
- Autenticación basada en encabezados
- Escritorio remoto
- SSH
- Autenticación Kerberos
- Creación de un usuario de prueba de Akamai, para tener un homólogo de B.Simon en Akamai que esté vinculado a su representación en Microsoft Entra.
- Prueba del inicio de sesión único : para comprobar si la configuración funciona.
Configuración del inicio de sesión único de Microsoft Entra
Siga estos pasos para habilitar el SSO de Microsoft Entra.
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Akamai>Inicio de sesión único.
En la página Seleccione un método de inicio de sesión único, elija SAML.
En la página Configuración del inicio de sesión único con SAML, haga clic en el icono de lápiz de Configuración básica de SAML para editar la configuración.
En la sección Configuración básica de SAML, si desea configurar la aplicación en modo iniciado por IDP, escriba los valores de los siguientes campos:
a. En el cuadro de texto Identificador, escriba una dirección URL con el patrón siguiente:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. En el cuadro de texto URL de respuesta, escriba una dirección URL con el siguiente patrón:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
Nota:
Estos valores no son reales. Actualice estos valores con el identificador y la URL de respuesta reales. Póngase en contacto con el equipo de soporte técnico de cliente de Akamai para obtener estos valores. También puede consultar los patrones que se muestran en la sección Configuración básica de SAML.
En la página Configurar el inicio de sesión único con SAML, en la sección Certificado de firma de SAML, busque XML de metadatos de federación y seleccione Descargar para descargar el certificado y guardarlo en su equipo.
En la sección Set up Akamai (Configurar Akamai), copie las direcciones URL adecuadas según sus necesidades.
Cree un usuario de prueba de Microsoft Entra
En esta sección, se crea un usuario llamado B.Simon.
- Inicia sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.
- Ve a Identidad>Usuarios>Todos los usuarios.
- Selecciona Nuevo usuario>Crear nuevo usuario, en la parte superior de la pantalla.
- En las propiedades del usuario, sigue estos pasos:
- En el campo Nombre para mostrar, escribe
B.Simon
. - En el campo Nombre principal de usuario, escribe username@companydomain.extension. Por ejemplo,
B.Simon@contoso.com
. - Activa la casilla Mostrar contraseña y, después, anota el valor que se muestra en el cuadro Contraseña.
- Selecciona Revisar + crear.
- En el campo Nombre para mostrar, escribe
- Selecciona Crear.
Asignación del usuario de prueba de Microsoft Entra
En esta sección, va a permitir que B.Simon acceda a Akamai mediante el inicio de sesión único.
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de aplicaciones en la nube.
- Vaya a Identidad>Aplicaciones>Aplicaciones empresariales>Akamai.
- En la página de información general de la aplicación, seleccione Usuarios y grupos.
- Selecciona Agregar usuario o grupo y luego, en el cuadro de diálogo Agregar asignación, selecciona Usuarios y grupos.
- En el cuadro de diálogo Usuarios y grupos, selecciona B.Simon de la lista de usuarios y haz clic en el botón Seleccionar de la parte inferior de la pantalla.
- Si esperas que se asigne un rol a los usuarios, puedes seleccionarlo en la lista desplegable Seleccionar un rol. Si no se ha configurado ningún rol para esta aplicación, verás seleccionado el rol "Acceso predeterminado".
- En el cuadro de diálogo Agregar asignación, haga clic en el botón Asignar.
Configuración del inicio de sesión único de Akamai
Configuración de IDP
Configuración de IDP de AKAMAI EAA
Inicie sesión en la consola Enterprise Application Access de Akamai.
En la consola EAA de Akamai, seleccione Identity (Identidad) >Identity Providers (Proveedores de identidades) y haga clic en Add Identity Provider (Agregar proveedor de identidades).
En Create New Identity Provider (Crear proveedor de identidades), realice los pasos siguientes:
a. Especifique el valor de Unique Name (Nombre único).
b. Elija Third Party SAML (SAML de terceros) y haga clic en Create Identity Provider and Configure (Crear proveedor de identidades y configurar).
Configuración general
En la pestaña General, escriba la siguiente información:
Interceptación de identidad: especifique el nombre del dominio (se usará la dirección URL base de SP para la configuración de Microsoft Entra).
Nota:
Puede elegir tener su propio dominio personalizado (requerirá una entrada DNS y un certificado). En este ejemplo, vamos a usar el dominio de Akamai.
Akamai Cloud Zone (Zona de nube de Akamai): seleccione la zona de nube adecuada.
Certificate Validation (Validación de certificado): consulte la documentación de Akamai (opcional).
Configuración de autenticación
URL: especifique la misma dirección URL que la que indicó en la interceptación de identidad (aquí es donde se redirigirá a los usuarios después de la autenticación).
Logout URL (Dirección URL de cierre de sesión): actualice la dirección URL de cierre de sesión.
Sign SAML Request (Firmar solicitud SAML): el valor está desactivado de manera predeterminada.
Para el archivo de metadatos de IDP, agregue la aplicación en la consola de Microsoft Entra ID.
Configuración de la sesión
Deje la configuración predeterminada.
Directorios
En la pestaña Directorios, omita la configuración del directorio.
IU de personalización
Puede agregar personalización a IDP. En la pestaña Personalización, hay opciones para personalizar la interfaz de usuario, la configuraciónde idioma y los temas.
Configuración avanzada
En la pestaña Configuración avanzada, acepte los valores predeterminados. Consulte la documentación de Akamai para más información.
Implementación
En la pestaña Implementación, haga clic en Implementar proveedor de identidades.
Compruebe que la implementación se ha realizado correctamente.
Autenticación basada en encabezados
Autenticación basada en encabezados de Akamai
Elija Custom HTTP (HTTP personalizado) en el Asistente para agregar aplicaciones.
Escriba Application Name (Nombre de aplicación) y Description (Descripción).
Authentication
Seleccione Authentication (Autenticación).
Seleccione Asignar proveedor de identidades.
Servicios
Haga clic en Save and Go to Authentication (Guardar e ir a Autenticación).
Configuración avanzada
En los Customer HTTP Headers (Encabezados de HTTP del cliente), especifique CustomerHeader y SAML Attribute (Atributo de SAML).
Haga clic en el botón Save and go to Deployment (Guardar e ir a Implementación).
Implementación de la aplicación
Haga clic en el botón Deploy Application (Implementar aplicación).
Compruebe que la aplicación se ha implementado correctamente.
Experiencia del usuario final.
Acceso condicional.
Escritorio remoto
Elija RDP en el Asistente para agregar aplicaciones.
Escriba Nombrede aplicación, como SecretRDPApp.
Seleccione una descripción, como Proteger sesión RDP mediante el acceso condicional de Microsoft Entra.
Especifique el conector que funcionará con esta aplicación.
Autenticación
En la pestaña Autenticación, haga clic en Guardar y vaya a Servicios.
Servicios
Haga clic en Save and go to Advanced Settings (Guardar e ir a Configuración avanzada).
Configuración avanzada
Haga clic en Save and go to Deployment (Guardar e ir a Implementación).
Experiencia del usuario final
Acceso condicional
También puede escribir directamente la dirección URL de la aplicación RDP.
SSH
Vaya a Add Applications (Agregar aplicaciones) y elija SSH.
Escriba El nombre y la descripciónde la aplicación, como la autenticación moderna de Microsoft Entra en SSH.
Configure Application Identity (Identidad de aplicación).
a. Especifique un nombre y una descripción.
b. Especifique la dirección IP y el nombre de dominio completo del servidor de aplicaciones y el puerto para SSH.
c. Especifique el nombre de usuario y la frase de contraseña de SSH *Consulte la consola de acceso de aplicaciones empresariales de Akamai.
d. Especifique el nombre de host externo.
e. Especifique la ubicación del conector y elija el conector.
Autenticación
En la pestaña Autenticación, haga clic en Guardar y vaya a Servicios.
Servicios
Haga clic en Save and go to Advanced Settings (Guardar e ir a Configuración avanzada).
Configuración avanzada
Haga clic en Save and go to Deployment (Guardar e ir a implementación).
Implementación
Haga clic en Deploy Application (Implementar aplicación).
Experiencia del usuario final
Acceso condicional
Autenticación Kerberos
En el ejemplo siguiente, se publicará un servidor web interno en http://frp-app1.superdemo.live
y se habilitará el inicio de sesión único mediante KCD.
Pestaña General
Pestaña Autenticación
En la pestaña Autenticación, asigne el proveedor de identidades.
Pestaña Servicios
Configuración avanzada
Nota:
El SPN del servidor web debe tener el formato SPN@Dominio, como por ejemplo HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
para esta demostración. Deje los valores predeterminados en el resto de la configuración.
Pestaña Implementación
Incorporación de directorio
Seleccione AD en la lista desplegable.
Proporcione los datos necesarios.
Compruebe la creación del directorio.
Agregue los grupos o unidades organizativas que requerirán acceso.
En la parte inferior, el grupo se denomina EAAGroup y tiene 1 miembro.
Agregue el directorio al proveedor de identidades; para ello, haga clic en Identity (Identidad) >Identity Providers (Proveedores de identidades), haga clic en la pestaña Directories (Directorios) y haga clic en Assign directory (Assign directory).
Tutorial de configuración de la delegación de KCD para EAA
Paso 1: Creación de una cuenta
En el ejemplo, usaremos una cuenta llamada EAADelegation. Para ello, puede usar el complemento Usuarios y equipos de Active Directory.
Nota:
El nombre de usuario tiene que estar en un formato específico basado en el nombre de interceptación de identidad. En la figura 1, vemos que es corpapps.login.go.akamai-access.com
El nombre de inicio de sesión de usuario será
HTTP/corpapps.login.go.akamai-access.com
Paso 2: Configuración del SPN para esta cuenta
Según este ejemplo, el SPN será como el que se indica a continuación.
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
Paso 3: Configuración de la delegación
En la cuenta EAADelegation, haga clic en la pestaña Delegation (Delegación).
- Especifique el uso de cualquier protocolo de autenticación.
- Haga clic en Agregar y agregue la cuenta del grupo de aplicaciones para el sitio web de Kerberos. Se debe resolver automáticamente para corregir el SPN, si se ha configurado correctamente.
Paso 4: Creación de un archivo keytab para AKAMAI EAA
Esta es la sintaxis genérica.
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPALExplicación del ejemplo
Fragmento de código Explicación Ktpass /out EAADemo.keytab // Nombre del archivo keytab de salida /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live // HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live // Cuenta de delegación de EAA /pass RANDOMPASS // Contraseña de la cuenta de delegación de EAA /crypto All ptype KRB5_NT_PRINCIPAL // Consulte la documentación de Akamai EAA Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
Paso 5: Importación de keytab en la consola de AKAMAI EAA
Haga clic en System (Sistema) >Keytabs.
En el tipo de keytab, elija Delegación Kerberos.
Asegúrese de que el archivo keytab se muestre como Deployed (implementado) y Verified (Comprobado).
Experiencia del usuario
Acceso condicional
Creación de un usuario de prueba de Akamai
En esta sección, creará un usuario llamado B.Simon en Akamai. Colabore con el equipo de soporte técnico al cliente de Akamai para agregar los usuarios a la plataforma de Akamai. Los usuarios se tienen que crear y activar antes de usar el inicio de sesión único.
Prueba de SSO
En esta sección va a probar la configuración de inicio de sesión único de Microsoft Entra con las siguientes opciones.
Haga clic en Probar esta aplicación, y debería iniciar sesión automáticamente en el Akamai para el que configuró el SSO.
Puede usar Mis aplicaciones de Microsoft. Al hacer clic en el icono de Akamai en Aplicaciones, iniciará sesión automáticamente en la versión de Akamai para la que configuró el inicio de sesión único. Para más información acerca de Aplicaciones, consulte Inicio de sesión e inicio de aplicaciones desde el portal Aplicaciones.
Pasos siguientes
Una vez que haya configurado Akamai, podrá aplicar el control de sesión, que protege la información confidencial de la organización en tiempo real de posibles filtraciones. El control de sesión procede del acceso condicional. Aprende a aplicar el control de sesión con Microsoft Defender para aplicaciones en la nube.