Udostępnij za pośrednictwem

Samouczek: integracja usługi Microsoft Entra SSO z aplikacją Akamai

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować aplikację Akamai z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu aplikacji Akamai z usługą Microsoft Entra ID można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do aplikacji Akamai.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Akamai przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji.

Integracja usługi Microsoft Entra ID i Akamai Enterprise Application Access umożliwia bezproblemowy dostęp do starszych aplikacji hostowanych w chmurze lub lokalnie. Zintegrowane rozwiązanie korzysta ze wszystkich nowoczesnych funkcji identyfikatora Entra firmy Microsoft, takich jak dostęp warunkowy firmy Microsoft Entra, Ochrona tożsamości Microsoft Entra i Zarządzanie tożsamością Microsoft Entra w przypadku starszych aplikacji, bez modyfikacji aplikacji lub agentów instalacja.

Na poniższej ilustracji opisano, gdzie Akamai EAA pasuje do szerszego scenariusza bezpiecznego dostępu hybrydowego.

Usługa Akamai EAA pasuje do szerszego scenariusza bezpiecznego dostępu hybrydowego

Scenariusze uwierzytelniania kluczy

Oprócz natywnej integracji firmy Microsoft Entra dla nowoczesnych protokołów uwierzytelniania, takich jak OpenID Connect, SAML i WS-Fed, Akamai EAA rozszerza bezpieczny dostęp dla starszych aplikacji uwierzytelniania zarówno dla dostępu wewnętrznego, jak i zewnętrznego przy użyciu identyfikatora Microsoft Entra ID, umożliwiając nowoczesne scenariusze (takie jak dostęp bez hasła) do tych aplikacji. Obejmuje to:

  • Aplikacje uwierzytelniania oparte na nagłówkach
  • Pulpit zdalny
  • SSH (Secure Shell)
  • Aplikacje uwierzytelniania Kerberos
  • VNC (przetwarzanie sieci wirtualnej)
  • Anonimowe uwierzytelnianie lub brak wbudowanych aplikacji uwierzytelniania
  • Aplikacje uwierzytelniania NTLM (ochrona z podwójnymi monitami dla użytkownika)
  • Aplikacja oparta na formularzach (ochrona z podwójnymi monitami dla użytkownika)

Scenariusze integracji

Partnerstwo firmy Microsoft i Akamai EAA umożliwia elastyczność spełnienia wymagań biznesowych przez obsługę wielu scenariuszy integracji na podstawie wymagań biznesowych. Mogą one służyć do zapewnienia zasięgu zero-dniowego we wszystkich aplikacjach i stopniowe klasyfikowanie i konfigurowanie odpowiednich klasyfikacji zasad.

Scenariusz integracji 1

Akamai EAA jest konfigurowana jako pojedyncza aplikacja w identyfikatorze Entra firmy Microsoft. Administrator może skonfigurować zasady dostępu warunkowego w aplikacji i po spełnieniu warunków użytkownicy mogą uzyskać dostęp do portalu EAA usługi Akamai.

Zalety:

  • Musisz skonfigurować dostawcę tożsamości tylko raz.

Wady:

  • Użytkownicy mają dwa portale aplikacji.

  • Pojedyncze wspólne pokrycie zasad dostępu warunkowego dla wszystkich aplikacji.

Scenariusz integracji 1

Scenariusz integracji 2

Aplikacja Akamai EAA jest konfigurowana indywidualnie w witrynie Azure Portal. Administrator może skonfigurować zasady dostępu warunkowego dla poszczególnych aplikacji, a po spełnieniu warunków użytkownicy mogą zostać bezpośrednio przekierowani do określonej aplikacji.

Zalety:

  • Można zdefiniować poszczególne zasady dostępu warunkowego.

  • Wszystkie aplikacje są reprezentowane na waffle 0365 i myApps.microsoft.com Panel.

Wady:

  • Należy skonfigurować wiele dostawców tożsamości.

Scenariusz integracji 2

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji Akamai z obsługą logowania jednokrotnego.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa Akamai obsługuje logowanie jednokrotne inicjowane przez dostawcę tożsamości.

Ważne

Wszystkie konfiguracje wymienione poniżej są takie same dla scenariusza integracji 1 i scenariusza 2. W scenariuszu integracji 2 należy skonfigurować indywidualnego dostawcę tożsamości w akamai EAA, a właściwość ADRESU URL musi zostać zmodyfikowana, aby wskazywała adres URL aplikacji.

Zrzut ekranu przedstawiający kartę Ogólne dla usługi AZURESSO-SP w usłudze Akamai Enterprise Application Access. Pole Adres URL konfiguracji uwierzytelniania jest wyróżnione.

Aby skonfigurować integrację aplikacji Akamai z usługą Microsoft Entra ID, należy dodać aplikację Akamai z galerii do listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wpisz Akamai w polu wyszukiwania.
  4. Wybierz pozycję Akamai z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO dla aplikacji Akamai

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z aplikacją Akamai przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Akamai.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft z aplikacją Akamai, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
    • Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
    • Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
  2. Konfigurowanie logowania jednokrotnego aplikacji Akamai — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
  3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do sekcji Identity Applications Enterprise applications>>(Aplikacje dla>przedsiębiorstw) Akamai Single sign-on (Logowanie jednokrotne usługi Akamai).>

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Edycja podstawowej konfiguracji protokołu SAML

  5. Jeśli chcesz skonfigurować aplikację w trybie inicjowany przez dostawcę tożsamości, w sekcji Podstawowa konfiguracja protokołu SAML wprowadź wartości następujących pól:

    a. W polu tekstowym Identyfikator wpisz adres URL, korzystając z następującego wzorca: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, korzystając z następującego wzorca: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Uwaga

    Te wartości nie są prawdziwe. Zastąp te wartości rzeczywistymi wartościami identyfikatora i adresu URL odpowiedzi. Skontaktuj się z zespołem pomocy technicznej klienta aplikacji Akamai, aby uzyskać te wartości. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź plik XML metadanych federacji i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

    Link do pobierania certyfikatu

  7. W sekcji Konfigurowanie aplikacji Akamai skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

    Kopiowanie adresów URL konfiguracji

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do aplikacji Akamai.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity>Applications Enterprise Applications>>Akamai.
  3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
  4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
    1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
    2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
    3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfigurowanie logowania jednokrotnego usługi Akamai

Konfigurowanie dostawcy tożsamości

Konfiguracja dostawcy tożsamości EAA AKAMAI

  1. Zaloguj się do konsoli programu Akamai Enterprise Application Access .

  2. W konsoli Akamai EAA wybierz pozycję Dostawcy tożsamości tożsamości>i kliknij pozycję Dodaj dostawcę tożsamości.

    Zrzut ekranu przedstawiający okno Dostawcy tożsamości konsoli EAA usługi Akamai. Wybierz pozycję Dostawcy tożsamości w menu Tożsamość i wybierz pozycję Dodaj dostawcę tożsamości.

  3. Na stronie Create New Identity Provider (Tworzenie nowego dostawcy tożsamości) wykonaj następujące kroki:

    a. Określ unikatową nazwę.

    b. Wybierz pozycję SAML innej firmy i kliknij pozycję Utwórz dostawcę tożsamości i skonfiguruj.

Ustawienia ogólne

Na karcie Ogólne wprowadź następujące informacje:

  1. Identity Intercept — określ nazwę domeny (podstawowy adres URL sp — będzie używany dla usługi Microsoft Entra Configuration).

    Uwaga

    Możesz wybrać własną domenę niestandardową (będzie wymagać wpisu DNS i certyfikatu). W tym przykładzie użyjemy domeny Akamai.

  2. Strefa chmury Akamai — wybierz odpowiednią strefę chmury.

  3. Weryfikacja certyfikatu — sprawdź dokumentację usługi Akamai (opcjonalnie).

Konfiguracja uwierzytelniania

  1. ADRES URL — określ adres URL taki sam jak przechwycenie tożsamości (jest to miejsce, w którym użytkownicy są przekierowywani po uwierzytelnieniu).

  2. Adres URL wylogowywania: zaktualizuj adres URL wylogowywania.

  3. Podpisz żądanie SAML: domyślne niezaznaczone.

  4. W przypadku pliku metadanych dostawcy tożsamości dodaj aplikację w konsoli Microsoft Entra ID.

    Zrzut ekranu przedstawiający konfigurację uwierzytelniania konsoli EAA usługi Akamai z ustawieniami adresu URL, adresu URL wylogowywania, żądania LOGOWANIA SAML i pliku metadanych dostawcy tożsamości.

Ustawienia sesji

Pozostaw ustawienia domyślne.

Zrzut ekranu przedstawiający okno dialogowe Ustawienia sesji konsoli eaa usługi Akamai.

Directories

Na karcie Katalogi pomiń konfigurację katalogu.

Interfejs użytkownika dostosowywania

Dostosowywanie można dodać do dostawcy tożsamości. Na karcie Dostosowywanie znajdują się ustawienia dla ustawienia Dostosowywanie interfejsu użytkownika, ustawień języka i motywów.

Ustawienia zaawansowane

Na karcie Ustawienia zaawansowane zaakceptuj wartości domyślne. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Akamai.

Wdrożenie

  1. Na karcie Wdrożenie kliknij pozycję Wdróż dostawcę tożsamości.

  2. Sprawdź, czy wdrożenie zakończyło się pomyślnie.

Uwierzytelnianie oparte na nagłówku

Uwierzytelnianie oparte na nagłówku Akamai

  1. Wybierz pozycję Niestandardowy formularz HTTP Kreatora dodawania aplikacji.

    Zrzut ekranu przedstawiający kreatora dodawania aplikacji konsoli Akamai EAA z wyświetloną pozycją CustomHTTP wymienioną w sekcji Aplikacje programu Access.

  2. Wprowadź nazwę aplikacji i opis.

    Zrzut ekranu przedstawiający okno dialogowe Niestandardowej aplikacji HTTP z ustawieniami nazwy aplikacji i opisu.

    Zrzut ekranu przedstawiający kartę Ogólne konsoli EAA usługi Akamai z ustawieniami ogólnymi aplikacji MYHEADERAPP.

    Zrzut ekranu przedstawiający konsolę EAA usługi Akamai z ustawieniami certyfikatu i lokalizacji.

Uwierzytelnianie

  1. Wybierz kartę Uwierzytelnianie .

    Zrzut ekranu przedstawiający konsolę EAA usługi Akamai z wybraną kartą Uwierzytelnianie.

  2. Wybierz pozycję Przypisz dostawcę tożsamości.

Usługi

Kliknij pozycję Zapisz i przejdź do uwierzytelniania.

Zrzut ekranu przedstawiający kartę Usługi konsolowe EAA Akamai dla aplikacji MYHEADERAPP z przyciskiem Zapisz i przejdź do pozycji AdvancedSettings w prawym dolnym rogu.

Ustawienia zaawansowane

  1. W obszarze Nagłówki HTTP klienta określ atrybut CustomerHeader i SAML.

    Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli EAA aplikacji Akamai z wyróżnionym polem Uwierzytelnianie zarejestrowanego adresu URL logowania jednokrotnego.

  2. Kliknij przycisk Zapisz i przejdź do pozycji Wdrożenie .

    Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli EAA usługi Akamai z przyciskiem Zapisz i przejdź do pozycji Wdrożenie w prawym dolnym rogu.

Wdrażanie aplikacji

  1. Kliknij przycisk Wdróż aplikację .

    Zrzut ekranu przedstawiający kartę Wdrażanie konsoli eaa usługi Akamai z przyciskiem Wdróż aplikację.

  2. Sprawdź, czy aplikacja została pomyślnie wdrożona.

    Zrzut ekranu przedstawiający kartę Wdrażanie konsoli EAA usługi Akamai z komunikatem o stanie aplikacji:

  3. Środowisko użytkownika końcowego.

    Zrzut ekranu przedstawiający ekran otwierania myapps.microsoft.com z obrazem tła i oknom dialogowym Logowanie.

    Zrzut ekranu przedstawiający część okna Aplikacje z ikonami dodatków, HRWEB, Akamai — CorpApps, Expense, Groups i Access.

  4. Dostęp warunkowy.

    Zrzut ekranu przedstawiający komunikat: Zatwierdzanie żądania logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikonę aplikacji MyHeaderApp.

Pulpit zdalny

  1. Wybierz pozycję RDP w Kreatorze DODAWANIA aplikacji.

    Zrzut ekranu przedstawiający kreatora dodawania aplikacji konsoli Akamai EAA z wyświetlonym protokołem RDP w sekcji Aplikacje programu Access.

  2. Wprowadź nazwę aplikacji, taką jak SecretRDPApp.

  3. Wybierz opis, taki jak Ochrona sesji protokołu RDP przy użyciu dostępu warunkowego firmy Microsoft Entra.

  4. Określ łącznik, który będzie obsługiwał ten łącznik.

    Zrzut ekranu przedstawiający konsolę EAA usługi Akamai z ustawieniami certyfikatu i lokalizacji. Skojarzone łączniki są ustawione na USWST-CON1.

Uwierzytelnianie

Na karcie Uwierzytelnianie kliknij pozycję Zapisz i przejdź do pozycji Usługi.

Usługi

Kliknij pozycję Zapisz i przejdź do pozycji Ustawienia zaawansowane.

Zrzut ekranu przedstawiający kartę Usługi konsolowe EAA Akamai dla aplikacji SECRETRDPAPP z przyciskiem Zapisz i przejdź do pozycji AdvancedSettings w prawym dolnym rogu.

Ustawienia zaawansowane

  1. Kliknij pozycję Zapisz i przejdź do pozycji Wdrożenie.

    Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli Akamai EAA dla aplikacji SECRETRDPAPP z ustawieniami konfiguracji pulpitu zdalnego.

    Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli EAA usługi Akamai dla aplikacji SECRETRDPAPP z ustawieniami konfiguracji uwierzytelniania i sprawdzania kondycji.

    Zrzut ekranu przedstawiający ustawienia niestandardowych nagłówków HTTP konsoli Akamai EAA dla aplikacji SECRETRDPAPP z przyciskiem Zapisz i przejdź do pozycji Wdrożenie w prawym dolnym rogu.

  2. Środowisko użytkownika końcowego

    Zrzut ekranu przedstawiający okno myapps.microsoft.com z obrazem tła i oknem dialogowym Logowanie.

    Zrzut ekranu przedstawiający okno aplikacje myapps.microsoft.com z ikonami dodatków, HRWEB, Akamai — CorpApps, Expense, Groups i Access.

  3. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat dostęp warunkowy: Zatwierdzanie żądania logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikony aplikacji MyHeaderApp i SecretRDPApp.

    Zrzut ekranu przedstawiający ekran systemu Windows Server 2012 RS przedstawiający ogólne ikony użytkownika. Ikony administratora, użytkownika0 i użytkownika1 pokazują, że są one zalogowane.

  4. Alternatywnie możesz również bezpośrednio wpisać adres URL aplikacji RDP.

SSH

  1. Przejdź do pozycji Dodaj aplikacje, wybierz pozycję SSH.

    Zrzut ekranu przedstawiający kreatora dodawania aplikacji konsoli Akamai EAA z wyświetloną pozycją SSH w sekcji Aplikacje programu Access.

  2. Wprowadź wartość Application Name (Nazwa aplikacji) i Description (Opis aplikacji), na przykład Microsoft Entra modern authentication to SSH (Nowoczesne uwierzytelnianie firmy Microsoft) do protokołu SSH.

  3. Konfigurowanie tożsamości aplikacji.

    a. Określ nazwę/opis.

    b. Określ adres IP/nazwę FQDN serwera aplikacji i port dla protokołu SSH.

    c. Określ nazwę użytkownika/hasło SSH *Sprawdź Akamai EAA.

    d. Określ nazwę hosta zewnętrznego.

    e. Określ lokalizację łącznika i wybierz łącznik.

Uwierzytelnianie

Na karcie Uwierzytelnianie kliknij pozycję Zapisz i przejdź do pozycji Usługi.

Usługi

Kliknij pozycję Zapisz i przejdź do pozycji Ustawienia zaawansowane.

Zrzut ekranu przedstawiający kartę Usługi konsolowe EAA Akamai dla protokołu SSH-SECURE z przyciskiem Zapisz i przejdź do pozycji AdvancedSettings w prawym dolnym rogu.

Ustawienia zaawansowane

Kliknij pozycję Zapisz i przejdź do pozycji Wdrażanie.

Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli Akamai EAA dla protokołu SSH-SECURE z ustawieniami konfiguracji uwierzytelniania i sprawdzania kondycji.

Zrzut ekranu przedstawiający ustawienia niestandardowych nagłówków PROTOKOŁU HTTP konsoli Akamai EAA dla protokołu SSH-SECURE z przyciskiem Zapisz i przejdź do pozycji Wdrażanie w prawym dolnym rogu.

Wdrożenie

  1. Kliknij pozycję Wdróż aplikację.

    Zrzut ekranu przedstawiający kartę Wdrażanie konsoli Akamai EAA dla protokołu SSH-SECURE z przyciskiem Wdróż aplikację.

  2. Środowisko użytkownika końcowego

    Zrzut ekranu przedstawiający okno logowania myapps.microsoft.com.

    Zrzut ekranu przedstawiający okno Aplikacje dla myapps.microsoft.com z ikonami dodatków, HRWEB, Akamai — CorpApps, Expense, Groups i Access reviews.

  3. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat: Zatwierdź żądanie logowania. Wysłaliśmy powiadomienie do twojego urządzenia przenośnego. Odpowiedz, aby kontynuować.

    Zrzut ekranu aplikacji przedstawiający ikony myHeaderApp, SSH Secure i SecretRDPApp.

    Zrzut ekranu przedstawiający okno polecenia dla ssh-secure-go.akamai-access.com przedstawiający wiersz polecenia.

    Zrzut ekranu przedstawiający okno polecenia dla ssh-secure-go.akamai-access.com z informacjami o aplikacji i wyświetleniem wiersza polecenia.

Uwierzytelnianie Kerberos

W poniższym przykładzie opublikujemy wewnętrzny serwer internetowy na stronie http://frp-app1.superdemo.live i włączymy logowanie jednokrotne przy użyciu KCD.

Karta Ogólne

Zrzut ekranu przedstawiający kartę Ogólne konsoli EAA usługi Akamai dla aplikacji MYKERBOROSAPP.

Karta Uwierzytelnianie

Na karcie Uwierzytelnianie przypisz dostawcę tożsamości.

Karta Usługi

Zrzut ekranu przedstawiający kartę Usługi konsolowe EAA Akamai dla aplikacji MYKERBOROSAPP.

Ustawienia zaawansowane

Zrzut ekranu przedstawiający kartę Ustawienia zaawansowane konsoli EAA usługi Akamai dla aplikacji MYKERBOROSAPP z ustawieniami powiązanych aplikacji i uwierzytelniania.

Uwaga

Nazwa SPN dla serwera sieci Web ma format SPN@Domain na przykład: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE dla tego pokazu. Pozostaw pozostałe ustawienia domyślne.

Karta Wdrażanie

Zrzut ekranu przedstawiający kartę Wdrażanie konsoli EAA aplikacji Akamai dla aplikacji MYKERBOROSAPP z przyciskiem Wdróż aplikację.

Dodawanie katalogu

  1. Wybierz pozycję AD z listy rozwijanej.

    Zrzut ekranu przedstawiający okno katalogów konsoli programu Akamai EAA z wyświetlonym oknem dialogowym Tworzenie nowego katalogu z usługą AD wybraną na liście rozwijanej Typ katalogu.

  2. Podaj niezbędne dane.

    Zrzut ekranu przedstawiający okno konsoli Akamai EAA SUPERDEMOLIVE z ustawieniami DirectoryName, Directory Service, Connector i Attribute mapowania.

  3. Sprawdź tworzenie katalogu.

    Zrzut ekranu przedstawiający okno Katalogi konsoli programu Akamai EAA z wyświetlonym superdemo.live katalogu.

  4. Dodaj grupy/jednostki organizacyjne, które będą wymagały dostępu.

    Zrzut ekranu przedstawiający ustawienia superdemo.live katalogu. Wyróżniono ikonę dodawania grup lub jednostek organizacyjnych.

  5. Poniżej grupa nosi nazwę EAAGroup i ma 1 element członkowski.

    Zrzut ekranu przedstawiający okno Akamai EAA CONSOLE GROUPS ON SUPERDEMOLIVE DIRECTORY (GRUPY konsoli Akamai EAA W KATALOGU SUPERDEMOLIVE). Grupa EAAGroup z 1 użytkownikiem jest wyświetlana w obszarze Grupy.

  6. Dodaj katalog do dostawcy tożsamości, klikając pozycję Dostawcy tożsamości tożsamości>, a następnie kliknij kartę Katalogi i kliknij pozycję Przypisz katalog.

Konfigurowanie delegowania KCD na potrzeby przewodnika EAA

Krok 1. Tworzenie konta

  1. W tym przykładzie użyjemy konta o nazwie EAADelegation. Można to zrobić przy użyciu przystawki przystawki i użytkowników usługi Active Directory.

    Uwaga

    Nazwa użytkownika musi być w określonym formacie na podstawie nazwy przechwycenia tożsamości. Na rysunku 1 widzimy, że jest to corpapps.login.go.akamai-access.com

  2. Nazwa logowania użytkownika będzie:HTTP/corpapps.login.go.akamai-access.com

    Zrzut ekranu przedstawiający właściwości funkcji EAADelegation z wartością Imię ustawioną na wartość

Krok 2. Konfigurowanie nazwy SPN dla tego konta

  1. Na podstawie tego przykładu nazwa SPN będzie następująca.

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Zrzut ekranu wiersza polecenia administratora przedstawiający wyniki polecenia setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Krok 3. Konfigurowanie delegowania

  1. Dla konta EAADelegation kliknij kartę Delegowanie.

    Zrzut ekranu wiersza polecenia administratora przedstawiający polecenie służące do konfigurowania nazwy SPN.

    • Określ użycie dowolnego protokołu uwierzytelniania.
    • Kliknij pozycję Dodaj i dodaj konto puli aplikacji dla witryny internetowej Protokołu Kerberos. Jeśli nazwa SPN zostanie prawidłowo skonfigurowana, powinna zostać automatycznie rozpoznana.

Krok 4. Tworzenie pliku karty kluczy dla AKAMAI EAA

  1. Oto ogólna składnia.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Przykład objaśniony

    Fragment kodu Wyjaśnienie
    Ktpass /out EAADemo.keytab Nazwa wyjściowego pliku keytab
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live Konto delegowania UMOWY EAA
    /pass RANDOMPASS Hasło konta delegowania umowy EAA
    /crypto Wszystkie KRB5_NT_PRINCIPAL ptype zapoznaj się z dokumentacją umowy EAA usługi Akamai

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Zrzut ekranu wiersza polecenia administratora przedstawiający wyniki polecenia służącego do tworzenia pliku keytab dla AKAMAI EAA.

Krok 5. Importowanie karty klucza w konsoli EAA usługi AKAMAI

  1. Kliknij pozycję Karte systemowych>.

    Zrzut ekranu przedstawiający konsolę EAA usługi Akamai z wybraną kartą z menu System.

  2. Na karcie Typ klucza wybierz pozycję Delegowanie protokołu Kerberos.

    Zrzut ekranu przedstawiający ekran konsoli EAA EAA EAA w konsoli Akamai EAAKEYTAB przedstawiający ustawienia karty kluczy. Typ tab klucza jest ustawiony na Delegowanie Protokołu Kerberos.

  3. Upewnij się, że na karcie Klucz jest wyświetlana wartość Wdrożono i Zweryfikowano.

    Zrzut ekranu konsoli Akamai EAA KEYTABS przedstawiający kartę klucza EAA jako

  4. Środowisko użytkownika

    Zrzut ekranu przedstawiający okno dialogowe Logowanie w myapps.microsoft.com.

    Zrzut ekranu przedstawiający okno Aplikacje dla myapps.microsoft.com przedstawiający ikony aplikacji.

  5. Dostęp warunkowy

    Zrzut ekranu przedstawiający komunikat Zatwierdź żądanie logowania. komunikat.

    Zrzut ekranu aplikacji przedstawiający ikony myHeaderApp, SSH Secure, SecretRDPApp i myKerberosApp.

    Zrzut ekranu powitalny aplikacji myKerberosApp. Komunikat

Tworzenie użytkownika testowego aplikacji Akamai

W tej sekcji utworzysz użytkownika O nazwie B.Simon w aplikacji Akamai. We współpracy z zespołem pomocy technicznej klienta usługi Akamai dodaj użytkowników na platformie Akamai. Użytkownicy muszą być utworzeni i aktywowani przed rozpoczęciem korzystania z logowania jednokrotnego.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.

  • Kliknij pozycję Przetestuj tę aplikację i powinno nastąpić automatyczne zalogowanie do aplikacji Akamai, dla której skonfigurowano logowanie jednokrotne.

  • Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Akamai w Moje aplikacje powinno nastąpić automatyczne zalogowanie do aplikacji Akamai, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Następne kroki

Po skonfigurowaniu usługi Akamai możesz wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza się od dostępu warunkowego. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.