Udostępnij za pośrednictwem

Integracja logowania jednokrotnego Microsoft Entra z usługą Akamai

  • Artykuł

Z tego artykułu dowiesz się, jak zintegrować aplikację Akamai z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Akamai z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Akamai.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Akamai przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Integracja usługi Microsoft Entra ID i Akamai Enterprise Application Access umożliwia bezproblemowy dostęp do starszych aplikacji hostowanych w chmurze lub lokalnie. Zintegrowane rozwiązanie korzysta ze wszystkich nowoczesnych funkcji Microsoft Entra ID, takich jak Microsoft Entra Conditional Access, Microsoft Entra ID Protection oraz Microsoft Entra ID Governance dla starszych aplikacji bez modyfikacji aplikacji lub instalacji agentów.

Na poniższej ilustracji opisano, gdzie Akamai EAA pasuje do szerszego scenariusza bezpiecznego dostępu hybrydowego.

Usługa Akamai EAA pasuje do szerszego scenariusza bezpiecznego dostępu hybrydowego

Scenariusze uwierzytelniania kluczy

Oprócz obsługi natywnej integracji przez Microsoft Entra dla nowoczesnych protokołów uwierzytelniania, takich jak OpenID Connect, SAML i WS-Fed, Akamai EAA rozszerza bezpieczny dostęp do aplikacji uwierzytelniających opartych na starszych technologiach, zarówno dla wewnętrznego, jak i zewnętrznego dostępu przy użyciu Microsoft Entra ID, co umożliwia nowoczesne scenariusze, takie jak dostęp bez hasła do tych aplikacji. Obejmuje to:

  • Aplikacje uwierzytelniania oparte na nagłówkach
  • Zdalny pulpit
  • SSH (Secure Shell)
  • Aplikacje uwierzytelniania Kerberos
  • VNC (Virtual Network Computing)
  • Anonimowe uwierzytelnianie lub brak wbudowanych aplikacji uwierzytelniania
  • Aplikacje uwierzytelniania NTLM (ochrona z podwójnymi monitami dla użytkownika)
  • Aplikacja oparta na formularzach (ochrona z podwójnymi monitami dla użytkownika)

Scenariusze integracji

Partnerstwo firmy Microsoft i Akamai EAA umożliwia elastyczność spełnienia wymagań biznesowych przez obsługę wielu scenariuszy integracji na podstawie wymagań biznesowych. Mogą one służyć do zapewnienia ochrony przed zagrożeniami typu zero-day we wszystkich aplikacjach oraz stopniowego klasyfikowania i konfigurowania odpowiednich zasad.

Scenariusz integracji 1

Akamai EAA jest konfigurowana jako pojedyncza aplikacja w identyfikatorze Entra firmy Microsoft. Administrator może skonfigurować zasady dostępu warunkowego w aplikacji i po spełnieniu warunków użytkownicy mogą uzyskać dostęp do portalu EAA usługi Akamai.

Zalety:

  • Musisz skonfigurować IDP tylko raz.

Wady:

  • Użytkownicy mają dwa portale aplikacji.

  • Pojedyncza wspólna zasada dostępu warunkowego dla wszystkich aplikacji.

Scenariusz integracji 1

Scenariusz integracji 2

Aplikacja Akamai EAA jest konfigurowana indywidualnie w witrynie Azure Portal. Administrator może skonfigurować zasady dostępu warunkowego dla poszczególnych aplikacji, a po spełnieniu warunków użytkownicy mogą zostać bezpośrednio przekierowani do określonej aplikacji.

Zalety:

  • Można zdefiniować poszczególne zasady dostępu warunkowego.

  • Wszystkie aplikacje są reprezentowane na 0365 Waffle i panelu myApps.microsoft.com.

Wady:

  • Należy skonfigurować wiele dostawców tożsamości.

Scenariusz integracji 2

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji Akamai z obsługą logowania jednokrotnego.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz Microsoft Entra SSO w środowisku testowym.

  • Usługa Akamai obsługuje logowanie jednokrotne inicjowane przez dostawcę tożsamości.

Ważne

Wszystkie konfiguracje wymienione poniżej są takie same dla scenariusza integracji 1 i scenariusza 2. W scenariuszu integracji 2 należy skonfigurować Indywidualnego Dostawcę Tożsamości w Akamai EAA, a właściwość adresu URL musi zostać zmodyfikowana, aby wskazywała adres URL aplikacji.

Zrzut ekranu karty Ogólne dla AZURESSO-SP w Akamai Enterprise Application Access. Pole adresu URL konfiguracji uwierzytelniania jest wyróżnione.

Aby skonfigurować integrację aplikacji Akamai z usługą Microsoft Entra ID, należy dodać aplikację Akamai z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wpisz Akamai w polu wyszukiwania.
  4. Wybierz pozycję Akamai z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, podczas gdy aplikacja jest dodawana do Twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojego dzierżawcy, dodać użytkowników lub grupy do aplikacji, przypisać role, a także skonfigurować logowanie jednokrotne (SSO). Dowiedz się więcej o asystentach Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla aplikacji Akamai

Skonfiguruj i przetestuj Microsoft Entra SSO z Akamai, używając użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić powiązanie między użytkownikiem Microsoft Entra a powiązanym użytkownikiem Akamai.

Aby skonfigurować i przetestować Microsoft Entra SSO z aplikacją Akamai, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO — aby umożliwić użytkownikom korzystanie z tej funkcji.
    • Utwórz użytkownika testowego usługi Microsoft Entra — aby przetestować jednokrotne logowanie usługi Microsoft Entra z B.Simon.
    • Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania do Microsoft Entra.
  2. Konfiguruj Akamai SSO - aby skonfigurować ustawienia logowania jednokrotnego na stronie aplikacji.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie jednokrotnego logowania Microsoft Entra

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Identity>Applications>Enterprise applications>Akamai>Single sign-on.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka dla podstawowej konfiguracji SAML, aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  5. W sekcji Podstawowa konfiguracja protokołu SAML, jeśli chcesz skonfigurować aplikację w trybie inicjowanym przez dostawcę tożsamości, wprowadź wartości w następujących polach:

    a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Uwaga

    Te wartości nie są prawdziwe. Zastąp te wartości rzeczywistymi wartościami identyfikatora i adresu URL odpowiedzi. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Akamai, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu SAML, w sekcji Certyfikat podpisywania SAML, znajdź Metadane XML Federacji i wybierz Pobierz, aby pobrać certyfikat i zapisać go na swoim komputerze.

    Link do pobierania certyfikatu

  7. W sekcji Konfigurowanie aplikacji Akamai skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie i przypisywanie użytkownika testowego aplikacji Microsoft Entra

Postępuj zgodnie z wytycznymi w tworzenia i przypisywania konta użytkownika szybki start, aby utworzyć testowe konto użytkownika o nazwie B.Simon.

Konfiguracja SSO Akamai

Konfigurowanie dostawcy tożsamości (IDP)

Konfiguracja IDP AKAMAI EAA

  1. Zaloguj się do konsoli programu Akamai Enterprise Application Access .

  2. W konsoli Akamai EAA wybierz Tożsamość>Dostawcy Tożsamości i kliknij Dodaj dostawcę tożsamości.

    Zrzut ekranu przedstawiający okno Dostawcy tożsamości konsoli EAA usługi Akamai. Wybierz pozycję Dostawcy tożsamości w menu Tożsamość i wybierz pozycję Dodaj dostawcę tożsamości.

  3. Na stronie Create New Identity Provider (Tworzenie nowego dostawcy tożsamości) wykonaj następujące kroki:

    a. Określ unikatową nazwę.

    b. Wybierz SAML strony trzeciej i kliknij Utwórz dostawcę tożsamości i skonfiguruj.

Ustawienia ogólne

Na karcie Ogólne wprowadź następujące informacje:

  1. Identity Intercept — określ nazwę domeny (podstawowy adres URL sp — będzie używany dla usługi Microsoft Entra Configuration).

    Uwaga

    Możesz wybrać własną domenę niestandardową (będzie wymagać wpisu DNS i certyfikatu). W tym przykładzie użyjemy domeny Akamai.

  2. Strefa chmury Akamai — wybierz odpowiednią strefę chmury.

  3. Weryfikacja certyfikatu — sprawdź dokumentację usługi Akamai (opcjonalnie).

Konfiguracja uwierzytelniania

  1. ADRES URL — określ identyczny z adresem URL punkt przechwytywania tożsamości (tj. miejsce, do którego użytkownicy są przekierowywani po uwierzytelnieniu).

  2. Adres URL wylogowywania: zaktualizuj adres URL wylogowywania.

  3. Podpisz żądanie SAML: domyślne niezaznaczone.

  4. W przypadku pliku metadanych IDP dodaj aplikację w konsoli Microsoft Entra ID.

    Zrzut ekranu konsoli uwierzytelniania EAA usługi Akamai pokazujący konfigurację ustawień: adres URL, adres URL wylogowania, Podpisz żądanie SAML i plik metadanych IDP.

Ustawienia sesji

Pozostaw ustawienia domyślne.

Zrzut ekranu przedstawiający okno dialogowe Ustawienia sesji konsoli EAA usługi Akamai.

Katalogi

Na karcie Katalogi pomiń konfigurację katalogu.

Interfejs użytkownika do dostosowywania

Możesz dodać dostosowywanie do IdP. Na karcie Dostosowywanie znajdują się ustawienia dla ustawienia Dostosowywanie interfejsu użytkownika, ustawień języka i motywów.

Ustawienia zaawansowane

Na karcie Ustawienia zaawansowane zaakceptuj wartości domyślne. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Akamai.

Wdrożenie

  1. Na karcie Wdrożenie kliknij pozycję Wdróż dostawcę tożsamości.

  2. Sprawdź, czy wdrożenie zakończyło się pomyślnie.

Uwierzytelnianie oparte na nagłówku

Uwierzytelnianie oparte na nagłówku Akamai

  1. Wybierz Opcję Niestandardowy HTTP z Kreatora dodawania aplikacji.

    Zrzut ekranu kreatora dodawania aplikacji w konsoli Akamai EAA z elementem CustomHTTP wymienionym w sekcji Aplikacje dostępu.

  2. Wprowadź nazwę aplikacji i opis.

    Zrzut ekranu przedstawiający okno dialogowe Niestandardowej aplikacji HTTP z ustawieniami nazwy aplikacji i opisu.

    Zrzut ekranu przedstawiający kartę Ogólne konsoli EAA usługi Akamai z ustawieniami ogólnymi aplikacji MYHEADERAPP.

    Zrzut ekranu przedstawiający konsolę EAA usługi Akamai z ustawieniami certyfikatu i lokalizacji.

Uwierzytelnianie

  1. Wybierz zakładkę Uwierzytelnianie

    Obraz przedstawiający konsolę Akamai EAA z wybraną kartą Uwierzytelnianie.

  2. Wybierz Przypisz dostawcę tożsamości.

Usługi

Kliknij pozycję Zapisz i przejdź do uwierzytelniania.

Zrzut ekranu karty Usługi konsoli EAA Akamai dla aplikacji MYHEADERAPP, pokazujący przycisk

Ustawienia zaawansowane

  1. Pod Nagłówki HTTP klienta określ CustomerHeader oraz atrybut SAML.

    Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli EAA aplikacji Akamai z wyróżnionym polem zarejestrowanego adresu URL SSO w sekcji Uwierzytelnianie.

  2. Kliknij przycisk Zapisz i przejdź do pozycji Wdrożenie .

    Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli EAA usługi Akamai z przyciskiem Zapisz i przejdź do Wdrożenia w prawym dolnym rogu.

Wdrażanie aplikacji

  1. Kliknij przycisk Wdróż aplikację .

    Zrzut ekranu przedstawiający zakładkę Wdrażanie konsoli EAA usługi Akamai z przyciskiem Wdróż aplikację.

  2. Sprawdź, czy aplikacja została pomyślnie wdrożona.

    Zrzut ekranu przedstawiający kartę Wdrażanie konsoli EAA usługi Akamai z komunikatem o stanie aplikacji:

  3. Doświadczenie użytkownika końcowego.

    Zrzut ekranu przedstawiający ekran otwierania myapps.microsoft.com z obrazem tła i oknom dialogowym Logowanie.

    Zrzut ekranu przedstawiający część okna Aplikacje z ikonami dodatków, HRWEB, Akamai — CorpApps, Expense, Groups i Access.

  4. Dostęp warunkowy.

    Zrzut ekranu przedstawiający komunikat: Zatwierdzanie żądania logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikonę aplikacji MyHeaderApp.

Zdalny pulpit

  1. Wybierz RDP w kreatorze dodawania aplikacji.

    Zrzut ekranu przedstawiający kreatora dodawania aplikacji konsoli Akamai EAA z wyświetlonym protokołem RDP w sekcji Aplikacje programu Access.

  2. Wprowadź nazwę aplikacji, taką jak SecretRDPApp.

  3. Wybierz opis, taki jak Ochrona sesji protokołu RDP przy użyciu dostępu warunkowego firmy Microsoft Entra.

  4. Określ łącznik, który będzie to obsługiwał.

    Zrzut ekranu przedstawiający konsolę EAA usługi Akamai z ustawieniami certyfikatu i lokalizacji. Skojarzone łączniki są ustawione na USWST-CON1.

Uwierzytelnianie

Na karcie Uwierzytelnianie kliknij pozycję Zapisz i przejdź do pozycji Usługi.

Usługi

Kliknij Zapisz i przejdź do Ustawień zaawansowanych.

Zrzut ekranu przedstawiający kartę Usługi konsoli EAA Akamai dla aplikacji SECRETRDPAPP z przyciskiem 'Zapisz i przejdź do Zaawansowanych Ustawień' w prawym dolnym rogu.

Ustawienia zaawansowane

  1. Kliknij Zapisz i przejdź do wdrożenia.

    Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli Akamai EAA dla aplikacji SECRETRDPAPP z ustawieniami konfiguracji pulpitu zdalnego.

    Zrzut ekranu karty Ustawień zaawansowanych konsoli Akamai EAA dla aplikacji SECRETRDPAPP pokazujący ustawienia dotyczące konfiguracji uwierzytelniania oraz sprawdzania kondycji.

    Zrzut ekranu z konsoli Akamai EAA przedstawiający ustawienia niestandardowych nagłówków HTTP dla aplikacji SECRETRDPAPP z przyciskiem Zapisz i przejdź do Wdrożenia w prawym dolnym rogu.

  2. Doświadczenie użytkownika końcowego

    Zrzut ekranu przedstawiający okno myapps.microsoft.com z obrazem tła i oknem dialogowym Logowanie.

    Zrzut ekranu przedstawiający okno Aplikacje myapps.microsoft.com z ikonami dla Dodatków, HRWEB, Akamai - CorpApps, Expense, Groups i recenzji dostępu.

  3. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat dostęp warunkowy: Zatwierdzanie żądania logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikony aplikacji MyHeaderApp i SecretRDPApp.

    Zrzut ekranu przedstawiający ekran systemu Windows Server 2012 RS przedstawiający ogólne ikony użytkownika. Ikony administratora, użytkownika0 i użytkownika1 pokazują, że są one zalogowane.

  4. Alternatywnie możesz również bezpośrednio wpisać adres URL aplikacji RDP.

SSH

  1. Przejdź do pozycji Dodaj aplikacje, wybierz pozycję SSH.

    Zrzut ekranu kreatora dodawania aplikacji w konsoli Akamai EAA, w której w sekcji Aplikacje z dostępem wymienione jest SSH.

  2. Wprowadź Nazwę aplikacji i Opis, na przykład nowoczesne uwierzytelnianie Microsoft Entra do protokołu SSH.

  3. Konfigurowanie tożsamości aplikacji.

    a. Określ nazwę/opis.

    b. Określ adres IP/nazwę FQDN serwera aplikacji i port dla protokołu SSH.

    c. Określ nazwę użytkownika/hasło SSH *Sprawdź Akamai EAA.

    d. Określ nazwę hosta zewnętrznego.

    e. Określ lokalizację łącznika i wybierz łącznik.

Uwierzytelnianie

Na karcie Uwierzytelnianie kliknij pozycję Zapisz i przejdź do pozycji Usługi.

Usługi

Kliknij Zapisz i przejdź do Ustawień zaawansowanych.

Zrzut ekranu karty Usługi konsoli EAA Akamai dla SSH-SECURE, pokazujący przycisk Zapisz i przejdź do zaawansowanych ustawień w prawym dolnym rogu.

Ustawienia zaawansowane

Kliknij pozycję Zapisz i przejdź do pozycji Wdrażanie.

Zrzut ekranu karty Ustawienia zaawansowane konsoli Akamai EAA dla SSH-SECURE pokazujący ustawienia konfiguracji uwierzytelniania i sprawdzania stanu.

Zrzut ekranu przedstawiający ustawienia niestandardowych nagłówków HTTP konsoli Akamai EAA dla protokołu SSH-SECURE z przyciskiem Zapisz i przejdź do wdrażania w prawym dolnym rogu.

Wdrożenie

  1. Kliknij pozycję Wdróż aplikację.

    Zrzut ekranu przedstawiający kartę Wdrażania konsoli Akamai EAA dla protokołu SSH-SECURE z przyciskiem Wdróż aplikację.

  2. Doświadczenie użytkownika końcowego

    Zrzut ekranu przedstawiający okno logowania myapps.microsoft.com.

    Zrzut ekranu przedstawiający okno Aplikacje dla myapps.microsoft.com z ikonami dodatków, HRWEB, Akamai — CorpApps, Expense, Groups i Access reviews.

  3. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat: Zatwierdź żądanie logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikony myHeaderApp, SSH Secure i SecretRDPApp.

    Zrzut ekranu okna polecenia dla ssh-secure-go.akamai-access.com z monitem o hasło.

    Zrzut ekranu przedstawiający okno polecenia dla ssh-secure-go.akamai-access.com z informacjami o aplikacji i wyświetleniem wiersza polecenia.

Uwierzytelnianie Kerberos

W poniższym przykładzie opublikujemy wewnętrzny serwer internetowy na stronie http://frp-app1.superdemo.live i włączymy logowanie jednokrotne przy użyciu KCD.

Karta Ogólna

Zrzut ekranu karty Ogólne konsoli Akamai EAA dla aplikacji MYKERBOROSAPP.

Zakładka Uwierzytelnianie

W zakładce Uwierzytelnianie przypisz dostawcę tożsamości.

Zakładka Usługi

Zrzut ekranu karty Usługi w konsoli EAA Akamai dla aplikacji MYKERBOROSAPP.

Ustawienia zaawansowane

Zrzut ekranu przedstawiający kartę Zaawansowane ustawienia w konsoli EAA usługi Akamai dla aplikacji MYKERBOROSAPP z ustawieniami dla powiązanych aplikacji i uwierzytelniania.

Uwaga

Nazwa SPN dla serwera sieci Web powinna mieć format SPN@Domain, np. HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE dla tej demonstracji. Pozostaw pozostałe ustawienia domyślne.

Karta Wdrażania

Zrzut ekranu przedstawiający zakładkę Wdrażanie konsoli EAA dla aplikacji Akamai MYKERBOROSAPP z przyciskiem Wdróż aplikację.

Dodawanie katalogu

  1. Wybierz pozycję AD z listy rozwijanej.

    Zrzut ekranu okna Katalogi konsoli Akamai EAA, przedstawiający okno dialogowe Tworzenie nowego katalogu z wybraną usługą AD w rozwijanej liście Typ katalogu.

  2. Podaj niezbędne dane.

    Zrzut ekranu przedstawiający okno konsoli Akamai EAA SUPERDEMOLIVE z ustawieniami dla DirectoryName, Directory Service, Connector i mapowania atrybutów.

  3. Sprawdź tworzenie katalogu.

    Zrzut ekranu przedstawiający okno Katalogi konsoli Akamai EAA pokazujące, że katalog superdemo.live został dodany.

  4. Dodaj grupy/jednostki organizacyjne, które będą wymagały dostępu.

    Zrzut ekranu przedstawiający ustawienia katalogu superdemo.live. Wyróżniono ikonę, której używasz do dodawania grup lub jednostek organizacyjnych.

  5. Poniżej grupa nosi nazwę EAAGroup i ma 1 członka.

    Zrzut ekranu konsoli Akamai EAA przedstawiający okno GROUPS ON SUPERDEMOLIVE DIRECTORY. Grupa EAAGroup z 1 użytkownikiem jest wymieniona pod Grupami.

  6. Dodaj Katalog do dostawcy tożsamości, klikając na Tożsamość>Dostawcy tożsamości, a następnie kliknij kartę Katalogi i wybierz Przypisz katalog.

Konfigurowanie delegowania KCD na potrzeby przewodnika EAA

Krok 1. Tworzenie konta

  1. W tym przykładzie użyjemy konta o nazwie EAADelegation. Można to zrobić przy użyciu przystawki Użytkownicy i komputery usługi Active Directory.

    Uwaga

    Nazwa użytkownika musi być w określonym formacie w oparciu o Nazwa Interceptowi Tożsamości. Na rysunku 1 widzimy, że to jest corpapps.login.go.akamai-access.com

  2. Nazwa logowania użytkownika będzie:HTTP/corpapps.login.go.akamai-access.com

    Zrzut ekranu przedstawiający właściwości EAADelegation z imieniem ustawionym na

Krok 2. Konfigurowanie nazwy SPN dla tego konta

  1. Na podstawie tego przykładu SPN jest następujący.

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Zrzut ekranu wiersza polecenia administratora przedstawiający wyniki polecenia setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Krok 3. Konfigurowanie delegowania

  1. Dla konta EAADelegation kliknij kartę Delegowanie.

    Zrzut ekranu wiersza polecenia administratora przedstawiający polecenie służące do konfigurowania SPN.

    • Określ użycie dowolnego protokołu uwierzytelniania.
    • Kliknij Dodaj, a następnie dodaj konto puli aplikacji dla witryny Kerberos. Powinna się automatycznie rozwiązać do prawidłowego SPN, jeśli zostanie poprawnie skonfigurowana.

Krok 4: Tworzenie pliku Keytab dla AKAMAI EAA

  1. Oto ogólna składnia.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Przykład objaśniony

    Fragment kodu Wyjaśnienie
    Ktpass /out EAADemo.keytab Nazwa wyjściowego pliku keytab
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live Konto delegowania EAA
    /pass RANDOMPASS Hasło dla konta delegowania EAA
    /crypto Wszystkie ptype KRB5_NT_PRINCIPAL zapoznaj się z dokumentacją EAA Akamai

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Zrzut ekranu wiersza polecenia administratora przedstawiający wyniki polecenia służącego do tworzenia pliku keytab dla AKAMAI EAA.

Krok 5: Importowanie keytab w konsoli EAA usługi AKAMAI

  1. Kliknij System>Keytabs.

    Zrzut ekranu konsoli EAA usługi Akamai pokazujący wybór Keytabs z menu System.

  2. Na karcie Typ klucza wybierz pozycję Delegowanie Kerberos.

    Zrzut ekranu konsoli Akamai EAA na ekranie EAAKEYTAB przedstawiający ustawienia Keytab. Typ Keytab jest ustawiony na Delegowanie Kerberos.

  3. Upewnij się, że Keytab jest oznaczony jako wdrożony i zweryfikowany.

    Zrzut ekranu konsoli Akamai EAA KEYTABS przedstawiający EAA Keytab jako

  4. Środowisko użytkownika

    Zrzut ekranu przedstawiający okno logowania na myapps.microsoft.com.

    Zrzut ekranu przedstawiający okno Aplikacje dla myapps.microsoft.com przedstawiający ikony aplikacji.

  5. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat Zatwierdź żądanie logowania. komunikat.

    Zrzut ekranu aplikacji przedstawiający ikony myHeaderApp, SSH Secure, SecretRDPApp i myKerberosApp.

    Zrzut ekranu powitalny aplikacji myKerberosApp. Komunikat

Tworzenie użytkownika testowego aplikacji Akamai

W tej sekcji utworzysz użytkownika O nazwie B.Simon w aplikacji Akamai. We współpracy z zespołem Akamai Client support team dodaj użytkowników na platformie Akamai. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego Microsoft Entra z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do aplikacji Akamai, dla której skonfigurowano logowanie jednokrotne.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Akamai w Moich aplikacjach powinno nastąpić automatyczne zalogowanie do Akamai, dla którego skonfigurowano SSO. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Powiązana zawartość

Po skonfigurowaniu usługi Akamai możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Aplikacji w chmurze.