Tutorial: integração do SSO do Microsoft Entra com o Akamai
Nesse tutorial, você aprenderá a integrar o Akamai ao Microsoft Entra ID. Ao integrar o Akamai ao Microsoft Entra ID, é possível fazer o seguinte:
- Controlar no Microsoft Entra ID quem tem acesso ao Akamai.
- Permitir que seus usuários entrem automaticamente no Akamai com suas contas do Microsoft Entra.
- Gerencie suas contas em um local central.
A integração de acesso a aplicativos empresariais do Microsoft Entra ID e do Akamai permite acesso contínuo a aplicativos herdados hospedados na nuvem ou localmente. A solução integrada aproveita as vantagens de todos os recursos modernos do Microsoft Entra ID, como Acesso Condicional do Microsoft Entra, Microsoft Entra ID Protection e Microsoft Entra ID Governance para acesso de aplicativos herdados sem modificações de aplicativo ou instalação de agentes.
A imagem abaixo descreve como o EAA do Akamai se encaixa no cenário de Acesso Seguro Híbrido mais amplo.
Cenários de autenticação de chaves
Além do suporte à integração nativa do Microsoft Entra para protocolos de autenticação modernos, como Open ID Connect, SAML e WS-Fed, a Akamai EAA estende o acesso seguro para aplicativos de autenticação herdados para acesso interno e externo com o Microsoft Entra ID, habilitando cenários modernos (por exemplo, acesso sem senha) a esses aplicativos. Isso inclui:
- Aplicativos de autenticação baseada em cabeçalho
- Área de Trabalho Remota
- SSH (Secure Shell)
- Aplicativos de autenticação Kerberos
- VNC (Computação de Rede Virtual)
- Autenticação anônima ou nenhum aplicativo de autenticação interno
- Aplicativos de autenticação NTLM (proteção com prompts duplos para o usuário)
- Aplicativo baseado em formulários (proteção com prompts duplos para o usuário)
Cenários de integração
A parceria entre a Microsoft e o EAA do Akamai permite a flexibilidade de atender aos seus requisitos de negócios, dando suporte a vários cenários de integração com base em seu requisito de negócios. Isso pode ser usado para fornecer cobertura, desde o início, para todos os aplicativos, bem como classificar e configurar gradualmente as classificações de política apropriadas.
Cenário de integração 1
O EAA do Akamai é configurado como um único aplicativo no Microsoft Entra ID. O administrador pode configurar a política de Acesso Condicional no aplicativo e, depois que as condições forem satisfeitas, os usuários poderão obter acesso ao portal do EAA do Akamai.
Prós:
- você só precisa configurar o IDP uma vez.
Contras:
os usuários acabam tendo dois portais de aplicativos.
Cobertura da política de Acesso Condicional única comum para todos os aplicativos.
Cenário de integração 2
O Aplicativo EAA do Akamai é configurado individualmente no portal do Azure. O administrador pode configurar a política de Acesso Condicional individual nos aplicativos e, depois que as condições são atendidas, os usuários poderão ser redirecionados diretamente para o aplicativo específico.
Prós:
Você pode definir Políticas de Acesso Condicional individuais.
Todos os aplicativos são representados no 0365 Waffle e no painel myApps.microsoft.com.
Contras:
- Você precisa configurar vários IDPs.
Pré-requisitos
Para começar, você precisará dos seguintes itens:
- Uma assinatura do Microsoft Entra. Caso você não tenha uma assinatura, obtenha uma conta gratuita.
- Assinatura do Akamai habilitada para SSO (logon único).
Descrição do cenário
Neste tutorial, você vai configurar e testar o SSO do Microsoft Entra em um ambiente de teste.
- O Akamai dá suporte ao SSO iniciado por IDP.
Importante
Todas as configurações listadas abaixo são as mesmas para o Cenário de integração 1 e para o Cenário 2. Para o Cenário de integração 2, você precisa configurar o IDP individual no EAA do Akamai e a propriedade de URL precisará ser modificada para apontar para a URL do aplicativo.
Adicionar o Akamai por meio da galeria
Para configurar a integração do Akamai ao Microsoft Entra ID, você precisará adicionar o Akamai da galeria à lista de aplicativos SaaS gerenciados.
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Novo aplicativo.
- Na seção Adicionar por meio da galeria, digite Akamai na caixa de pesquisa.
- Selecione Akamai no painel de resultados e, em seguida, adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Opcionalmente, você também pode usar o Assistente de Configuração de Aplicativos do Enterprise. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração de SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o SSO do Microsoft Entra para o Akamai
Configure e teste o SSO do Microsoft Entra com o Akamai usando um usuário de teste chamado B.Fernandes. Para que o SSO funcione, é necessário estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado do Akamai.
Para configurar e testar o SSO do Microsoft Entra com o Akamai, execute as seguintes etapas:
- Configurar o SSO do Microsoft Entra - para permitir que os usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Silva.
- Atribuir o usuário de teste do Microsoft Entra – para permitir que B.Fernandes use o logon único do Microsoft Entra.
- Configurar o SSO do Akamai – para definir as configurações de logon único no lado do aplicativo.
- Como configurar o IDP
- Autenticação baseada em cabeçalho
- Área de trabalho remota
- SSH
- Autenticação Kerberos
- Criar um usuário de teste do Akamai – Para ter um equivalente de B. Fernandes no Akamai que esteja vinculado à representação de usuário do Microsoft Entra.
- Testar o SSO – para verificar se a configuração funciona.
Configurar o SSO do Microsoft Entra
Siga estas etapas para habilitar o SSO do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
Navegue até Identidade>Aplicativos>Aplicativos empresariais>Akamai>Logon único.
Na página Selecionar um método de logon único, escolha SAML.
Na página Configurar o logon único com o SAML, clique no ícone de caneta da Configuração Básica do SAML para editar as configurações.
Na seção Configuração Básica do SAML, caso deseje configurar o aplicativo no modo iniciado por IDP, digite os valores dos seguintes campos:
a. No identificador caixa de texto, digite uma URL usando o seguinte padrão:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. No URL de resposta caixa de texto, digite uma URL usando o seguinte padrão:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
Observação
Esses valores não são reais. Atualize esses valores com o Identificador e a URL de Resposta reais. Contate a equipe de suporte ao Cliente do Akamai para obter esses valores. Você também pode consultar os padrões mostrados na seção Configuração Básica do SAML.
Na página Configurar o logon único com o SAML, na seção Certificado de Autenticação SAML, localize XML de Metadados de Federação e selecione Baixar para baixar o certificado e salvá-lo no computador.
Na seção Configurar o Akamai, copie as URLs apropriadas de acordo com suas necessidades.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste chamado B.Fernandes.
- Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
- Navegue até Identidade>Usuários>Todos os usuários.
- Na parte superior da tela, selecione Novo usuário>Criar novo usuário.
- Nas propriedades do Usuário, siga estas etapas:
- No campo Nome de exibição, insira
B.Simon
. - No campo Nome principal do usuário, insira o username@companydomain.extension. Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e, em seguida, anote o valor exibido na caixa Senha.
- Selecione Examinar + criar.
- No campo Nome de exibição, insira
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você permitirá que B.Simon use o logon único ao conceder acesso ao Akamai.
- Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.
- Navegue até Identidade>Aplicativos>Aplicativos empresariais>Akamai.
- Na página de visão geral do aplicativo, selecione Usuários e grupos.
- Selecione Adicionar usuário/grupo e, em seguida, Usuários e grupos na caixa de diálogo Adicionar atribuição.
- Na caixa de diálogo Usuários e grupos, selecione B.Fernandes na lista Usuários e clique no botão Selecionar na parte inferior da tela.
- Se você estiver esperando que uma função seja atribuída aos usuários, escolha-a na lista suspensa Selecionar uma função. Se nenhuma função tiver sido configurada para esse aplicativo, você verá a função "Acesso Padrão" selecionada.
- Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.
Configurar o SSO do Akamai
Configurando IDP
Configuração de IDP do EAA do AKAMAI
Entre no console de Acesso ao aplicativo empresarial do Akamai.
No Console EAA do Akamai, selecione Identidade>Provedores de Identidade e clique em Adicionar Provedor de Identidade.
Em Criar Novo Provedor de Identidade, execute as seguintes etapas:
a. Especifique o Nome Exclusivo.
b. Escolha SAML de Terceiros e clique em Criar Provedor de Identidade e Configurar.
Configurações gerais
Na guia Geral, insira as informações a seguir:
Interceptação de identidade – Especifique o nome do domínio (URL base do SP – será usado para a configuração do Microsoft Entra).
Observação
Você pode optar por ter seu próprio domínio personalizado (exigirá uma entrada DNS e um Certificado). Neste exemplo, vamos usar o domínio do Akamai.
Zona de nuvem do Akamai – selecione a zona de nuvem apropriada.
Validação de certificado – verifique a documentação do Akamai (opcional).
Configuração de autenticação
URL – especifique a URL igual à sua interceptação de identidade (é aqui que os usuários são redirecionados após a autenticação).
URL de Logoff: Atualize a URL de logoff.
Assinar solicitação SAML: padrão desmarcado.
Para o arquivo de metadados de IDP, adicione o aplicativo no console do Microsoft Entra ID.
Configurações da sessão
Deixe as configurações como padrão.
Diretórios
Na guia Diretórios, ignore a configuração do diretório.
Interface do usuário de personalização
É possível adicionar a personalização ao IDP. Na guia Personalização, há configurações para Personalizar a Interface do Usuário, Configurações de Idiomae Temas.
Configurações Avançadas
Na guia Configurações avançadas, aceite os valores padrão. Veja a documentação do Akamai para obter mais detalhes.
Implantação
Na guia Implantação, clique em Implantar o Provedor de Identidade.
Verifique se a implantação foi bem-sucedida.
Autenticação baseada em cabeçalho
Autenticação baseada em cabeçalho do Akamai
Escolha HTTP personalizado para o Assistente para adicionar aplicativos.
Insira o Nome do Aplicativo e a Descrição.
Autenticação
Selecione a guia Autenticação.
Selecione Atribuir um provedor de identidade.
Serviços
Clique em Salvar e Ir para Autenticação.
Configurações avançadas
Em Cabeçalhos HTTP do Cliente, especifique CustomerHeader e Atributo SAML.
Clique no botão Salvar e ir para Implantação.
Implantar o aplicativo
Clique no botão Implantar Aplicativo.
Verifique se o aplicativo foi implantado com êxito.
Experiência do usuário final.
Acesso Condicional.
Área de Trabalho Remota
Escolha RDP no Assistente para adicionar aplicativos.
Insira o Nome do aplicativo, como SecretRDPApp.
Selecione uma Descrição, como Proteger Sessão RDP usando o Acesso condicional do Microsoft Entra.
Especifique o Conector que atenderá a ele.
Autenticação
Na guia Autenticação, clique em Salvar e ir para Serviços.
Serviços
Clique em Salvar e ir para Configurações Avançadas.
Configurações avançadas
Clique em Salvar e ir para Implantação.
Experiência do usuário final
Acesso Condicional
Como alternativa, você também pode digitar diretamente a URL do aplicativo RDP.
SSH
Vá para Adicionar Aplicativos e escolha SSH.
Insira o Nome do Aplicativo e a Descrição, como Autenticação moderna do Microsoft Entra para o SSH.
Configure a identidade do aplicativo.
a. Especifique nome/descrição.
b. Especifique o IP/FQDN do servidor de aplicativos e a porta para SSH.
c. Especifique o nome de usuário/senha de SSH *Verifique a EAA do Akamai.
d. Especifique o nome do host externo.
e. Especifique o local para o conector e escolha o conector.
Autenticação
Na guia Autenticação, clique em Salvar e ir para Serviços.
Serviços
Clique em Salvar e ir para Configurações Avançadas.
Configurações avançadas
Clique em Salvar e vá para a Implantação.
Implantação
Clique em Implantar aplicativo.
Experiência do usuário final
Acesso Condicional
Autenticação Kerberos
No exemplo abaixo, publicaremos um servidor Web interno em http://frp-app1.superdemo.live
e habilitaremos o SSO utilizando o KCD.
Guia Geral
Guia Autenticação
Na página Autenticação, atribua o Provedor de identidade.
Guia Serviços
Configurações avançadas
Observação
O SPN para o servidor da Web deve estar no formato SPN @ Domain HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
, por exemplo, para esta demonstração. Deixe o restante das configurações como padrão.
Guia Implantação
Adicionando diretório
Selecione AD no menu suspenso.
Forneça os dados necessários.
Verifique a criação do diretório.
Adicione os grupos/UOs que precisariam de acesso.
Abaixo, o grupo é chamado de EAAGroup e tem um membro.
Adicione o diretório ao seu provedor de identidade clicando em Identidade>Provedores de Identidade e clique na guia Diretórios e em Atribuir diretório.
Passo a passo da configuração da delegação de KCD para EAA
Etapa 1: Criar uma conta
No exemplo, usaremos uma conta chamada EAADelegation. Execute isso usando o snap-in Usuários e computadores do Active Directory.
Observação
O nome de usuário deve estar em um formato específico com base no Nome da Interceptação de Identidade. Na Figura 1, vemos que é corpapps.login.go.akamai-access.com
O nome de logon do usuário será:
HTTP/corpapps.login.go.akamai-access.com
Etapa 2: configurar o SPN para essa conta
Com base neste exemplo, o SPN será o seguinte.
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
Etapa 3: configurar a delegação
Para a conta do EAADelegation, clique na guia Delegação.
- Especifique o uso de qualquer protocolo de autenticação.
- Clique em Adicionar e Adicionar Conta do Pool de Aplicativos ao site do Kerberos. Isso deve ser resolvido automaticamente para o SPN correto, se configurado corretamente.
Etapa 4: criar um arquivo Keytab para o EAA do AKAMAI
Aqui está a sintaxe genérica.
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPALExemplo explicado
Snippet Explicação Ktpass /out EAADemo.keytab // O nome do arquivo Keytab de saída /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live // HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live // Conta de delegação do EAA /pass RANDOMPASS // Conta de delegação do EAA Senha /crypto All ptype KRB5_NT_PRINCIPAL // Documentação do EAA do Akamai de consultoria Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
Etapa 5: importar Keytab no console do EAA do AKAMAI
Clique em Sistema>Keytabs.
Em Tipo de Keytab, escolha Delegação Kerberos.
Verifique se Keytab aparece como Implantado e Verificado.
Experiência de usuário
Acesso Condicional
Criar usuário de teste do Akamai
Nesta seção, você criará um usuário chamado B.Fernandes no Akamai. Trabalhe com a equipe de suporte ao Cliente do Akamai para adicionar os usuários à plataforma Akamai. Os usuários devem ser criados e ativados antes de usar o logon único.
Testar o SSO
Nesta seção, você vai testar a configuração de logon único do Microsoft Entra com as opções a seguir.
Clique em Testar este aplicativo para entrar automaticamente no Akamai para o qual configurou o SSO.
Você pode usar os Meus Aplicativos da Microsoft. Ao clicar no bloco do Akamai em Meus Aplicativos, você deverá ser conectado automaticamente ao Akamai no qual você configurou o SSO. Para obter mais informações sobre os Meus Aplicativos, confira Introdução aos Meus Aplicativos.
Próximas etapas
Depois de configurar o Akamai, você poderá impor um controle de sessão, que protege contra exfiltração e infiltração de dados confidenciais da sua organização em tempo real. O controle da sessão é estendido do acesso condicional. Saiba como impor o controle de sessão com o Microsoft Defender for Cloud Apps.