Поделиться через

Руководство по интеграции единого входа Microsoft Entra с Akamai

  • Статья

В этом руководстве вы узнаете, как интегрировать Akamai с идентификатором Microsoft Entra ID. Интеграция Akamai с идентификатором Microsoft Entra id позволяет:

  • Контроль доступа к Akamai с помощью идентификатора Microsoft Entra ID.
  • Включите автоматический вход пользователей в Akamai с помощью учетных записей Microsoft Entra.
  • Управление учетными записями в одном центральном расположении.

Интеграция Microsoft Entra ID и Akamai Enterprise Application Access обеспечивает простой доступ к устаревшим приложениям, размещенным в облаке или локальной среде. Интегрированное решение использует преимущества всех современных возможностей идентификатора Microsoft Entra ID, таких как условный доступ Microsoft Entra, Защита идентификации Microsoft Entra и Управление идентификацией Microsoft Entra для устаревших приложений без изменений приложений или Установка агентов.

На рисунке ниже показано место, которое Akamai ЕАА занимает в более обширном гибридном сценарии безопасного доступа.

Место Akamai ЕАА в более обширном гибридном сценарии безопасного доступа

Сценарии проверки подлинности с использованием ключа

Помимо поддержки собственной интеграции Microsoft Entra для современных протоколов проверки подлинности, таких как OpenID Connect, SAML и WS-Fed, Akamai EAA расширяет безопасный доступ для устаревших приложений проверки подлинности на основе устаревших приложений для внутреннего и внешнего доступа с помощью идентификатора Microsoft Entra, что позволяет использовать современные сценарии (например, доступ без пароля) к этим приложениям. Сюда входит следующее:

  • приложения с проверкой подлинности на основе заголовков;
  • Удаленный рабочий стол
  • SSH (Secure Shell);
  • приложения с проверкой подлинности Kerberos;
  • VNC (Virtual Network Computing);
  • приложения с анонимной проверкой подлинности или без встроенной проверки подлинности;
  • приложения с проверкой подлинности NTLM (защита с двойным подтверждением для пользователя);
  • приложение на основе форм (защита с двойным подтверждением для пользователя).

Сценарии интеграции

Партнерство между корпорацией Майкрософт и компанией Akamai в отношении решения ЕАА обеспечивает гибкие возможности для соблюдения бизнес-требований благодаря поддержке нескольких сценариев интеграции в зависимости от потребностей организации. С их помощью можно предоставить недостающие компоненты для всех приложений, а также постепенно классифицировать их и настроить соответствующие классификации политик.

Сценарий интеграции 1

Akamai EAA настраивается как одно приложение на идентификаторе Microsoft Entra. Администратор может настроить политику условного доступа для приложения, а при выполнении соответствующих условий пользователи могут получить доступ к порталу Akamai ЕАА.

Преимущества.

  • Достаточно один раз настроить поставщик удостоверений.

Недостатки.

  • У пользователей в итоге оказывается два портала приложений.

  • Для всех приложений применяется одна общая политика условного доступа.

Сценарий интеграции 1

Сценарий интеграции 2

Приложение Akamai EAA настраивается отдельно на портал Azure. Администратор может настроить отдельные политики условного доступа для приложений, а при выполнении соответствующих условий пользователи могут напрямую перенаправляться к конкретному приложению.

Преимущества.

  • Можно определить отдельные политики условного доступа.

  • Все приложения представлены в меню запуска приложений O365 и на панели myApps.microsoft.com.

Недостатки.

  • Необходимо настроить несколько поставщиков удостоверений.

Сценарий интеграции 2

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

  • Akamai поддерживает единый вход, инициированный поставщиком удостоверений.

Внимание

Все перечисленные ниже настройки одинаковы для сценариев интеграции 1 и 2. Для сценария интеграции 2 необходимо настроить отдельный поставщик удостоверений в Akamai ЕАА, а значение свойства "URL-адрес" необходимо изменить на URL-адрес приложения.

Снимок экрана вкладки General (Общие) для AZURESSO-SP в Akamai Enterprise Application Access. На снимке выделено поле URL-адреса в разделе конфигурации проверки подлинности.

Чтобы настроить интеграцию Akamai с идентификатором Microsoft Entra ID, необходимо добавить Akamai из коллекции в список управляемых приложений SaaS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
  3. В разделе Добавление из коллекции в поле поиска введите Akamai.
  4. Выберите Akamai в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Akamai

Настройте и проверьте единый вход Microsoft Entra в Akamai с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Akamai.

Чтобы настроить и проверить единый вход Microsoft Entra в Akamai, выполните следующие действия.

  1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
  2. Настройка единого входа в Akamai необходима, чтобы настроить параметры единого входа на стороне приложения.
  3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

  2. Перейдите к приложениям>Identity>Applications>Enterprise Akamai>Single sign-on.

  3. На странице Выбрать метод единого входа выберите SAML.

  4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

    Изменение базовой конфигурации SAML

  5. Если вы хотите настроить приложение в режиме, инициируемом поставщиком удостоверений, в разделе Базовая конфигурация SAML введите значения следующих полей.

    a. В текстовом поле Идентификатор введите URL-адрес в следующем формате: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response.

    b. В текстовом поле URL-адрес ответа введите URL-адрес в следующем формате: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response.

    Примечание.

    Эти значения приведены для примера. Измените их на фактические значения идентификатора и URL-адреса ответа. Чтобы получить эти значения, обратитесь в службу поддержки клиентов Akamai. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML".

  6. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите элемент XML метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

    Ссылка для скачивания сертификата

  7. Требуемые URL-адреса можно скопировать в разделе Настройка Akamai.

    Копирование URL-адресов настройки

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
  3. Выберите "Создать пользователя>" в верхней части экрана.
  4. В свойствах пользователя выполните следующие действия.
    1. В поле "Отображаемое имя" введите B.Simon.
    2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
    3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
    4. Выберите Review + create (Просмотреть и создать).
  5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Akamai.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
  2. Перейдите к приложениям>Identity>Applications>Enterprise Akamai.
  3. На странице обзора приложения выберите "Пользователи" и "Группы".
  4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
    1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
    2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
    3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа Akamai

Настройка поставщика удостоверений

Конфигурация поставщика удостоверений Akamai ЕАА

  1. Войдите в консоль Akamai Enterprise Application Access.

  2. В консоли Akamai ЕАА выберите Identity>Identity Providers (Удостоверение > Поставщики удостоверений) и щелкните Add Identity Provider (Добавить поставщик удостоверений).

    Снимок экрана, на котором показано окно поставщиков удостоверений для консоли Akamai ЕАА. В меню Identity (Удостоверение) выберите пункт Identity Providers (Поставщики удостоверений) и нажмите Add Identity Provider (Добавить поставщика удостоверений).

  3. В разделе Create New Identity Provider (Создание поставщика удостоверений) выполните следующие действия.

    a. Укажите уникальное имя в Name (Имя).

    b. Выберите Third Party SAML (SAML стороннего производителя) и щелкните Create Identity Provider and Configure (Создать и настроить поставщик удостоверений).

Общие параметры

На вкладке "Общие " введите следующие сведения:

  1. Перехват удостоверений— укажите имя домена (базовый URL-адрес sp— будет использоваться для конфигурации Microsoft Entra).

    Примечание.

    Вы можете выбрать собственный пользовательский домен (для этого потребуется запись DNS и сертификат). В этом примере мы будем использовать домен Akamai.

  2. Akamai Cloud Zone (Облачная зона Akamai) — выберите соответствующую облачную зону.

  3. Certificate Validation (Проверка сертификата) — описано в документации по Akamai (необязательно).

Настройка проверки подлинности

  1. URL-адрес — укажите URL-адрес, который вы задали для перехвата идентификаторов (именно сюда направляются пользователи после аутентификации).

  2. URL-адрес выхода: обновите URL-адрес выхода.

  3. Sign SAML Request (Подписать запрос SAML): по умолчанию этот флажок снят.

  4. Для файла метаданных поставщика удостоверений добавьте приложение в консоль идентификатора Microsoft Entra ID.

    Снимок экрана страницы конфигурации проверки подлинности консоли Akamai ЕАА, на которой отображаются параметры для URL-адреса, URL-адреса выхода, подписанного запроса SAML и файла метаданных IDP.

Параметры сеанса

Оставьте параметры по умолчанию без изменений.

Снимок экрана с диалоговым окном параметров сеанса в консоли Akamai ЕАА.

Directories

На вкладке "Каталоги" пропустите конфигурацию каталога.

Пользовательский интерфейс настройки

Поставщик удостоверений можно настроить. На вкладке "Настройка" есть параметры для настройки пользовательского интерфейса, языковых параметров и тем.

Расширенные параметры

На вкладке "Дополнительные параметры" примите значения по умолчанию. Дополнительные сведения см. в документации по Akamai.

Развертывание

  1. На вкладке "Развертывание" щелкните "Развернуть поставщика удостоверений".

  2. Проверьте успешность развертывания.

Проверка подлинности на основе заголовков

Проверка подлинности Akamai на основе заголовков

  1. Выберите вариант Custom HTTP (Настраиваемый HTTP) в мастере добавления приложений.

    Снимок экрана консоли Akamai ЕАА с мастером добавления приложений, в котором в разделе Access Apps (Доступ к приложениям) отображается CustomHTTP.

  2. Заполните поля Application Name (Имя приложения) и Description (Описание).

    Снимок экрана диалогового окна Custom HTTP App (Пользовательское HTTP-приложение), в котором отображаются параметры для имени и описания приложения.

    Снимок экрана консоли Akamai ЕАА с вкладкой General (Общие), на которой отображаются общие параметры для MYHEADERAPP.

    Снимок экрана консоли Akamai ЕАА, в которой отображаются параметры для сертификата и расположения.

Проверка подлинности

  1. Перейдите на вкладку Authentication (Проверка подлинности).

    Снимок экрана консоли Akamai ЕАА с выбранной вкладкой Authentication (Проверка подлинности).

  2. Выберите " Назначить поставщика удостоверений".

Службы

Щелкните "Save and Go to Authentication" (Сохранить и перейти к проверке подлинности).

Снимок экрана консоли Akamai ЕАА с вкладкой Services (Службы) для MYHEADERAPP, на которой в правом нижнем углу показана кнопка Save and go to Authentication (Сохранить и перейти к проверке подлинности).

Расширенные параметры

  1. В разделе Customer HTTP Headers (Настраиваемые заголовки HTTP) укажите значения CustomerHeader и SAML Attribute.

    Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры), на которой выделено поле SSO Logged URL (Зарегистрированный URL-адрес для единого входа) в разделе Authentication (Проверка подлинности).

  2. Нажмите кнопку Save and go to Deployment (Завершить и перейти к развертыванию).

    Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры), на которой в правом нижнем углу показана кнопка Save and go to Deployment (Завершить и перейти к развертыванию).

Развертывание приложения

  1. Нажмите кнопку Deploy Application (Развернуть приложение).

    Снимок экрана консоли Akamai ЕАА с вкладкой Deployment (Развертывание), на которой отображается кнопка Deploy Application (Развернуть приложение).

  2. Убедитесь, что приложение развернуто успешно.

    Снимок экрана: вкладка развертывания консоли Akamai EAA с сообщением о состоянии приложения:

  3. Проверьте взаимодействие с пользователем.

    Снимок экрана, на котором показано открытие сайта myapps.microsoft.com с фоновым изображением и диалоговым окном входа.

    Снимок экрана, на котором показана часть окна

  4. Условный доступ.

    Снимок экрана с сообщением:

    Снимок экрана приложения со значком для MyHeaderApp.

Удаленный рабочий стол

  1. Выберите вариант RDP в мастере добавления приложений.

    Снимок экрана консоли Akamai ЕАА с мастером добавления приложений, в котором в разделе Access Apps (Доступ к приложениям) в списке приложений отображается RDP.

  2. Введите имя приложения, например SecretRDPApp.

  3. Выберите описание, например защита сеанса RDP с помощью условного доступа Microsoft Entra.

  4. Укажите соединитель, который будет обслуживать это подключение.

    Снимок экрана консоли Akamai ЕАА, в которой отображаются параметры для сертификата и расположения. Для связанных соединителей задано значение USWST-CON1.

Проверка подлинности

На вкладке "Проверка подлинности " нажмите кнопку "Сохранить" и выберите "Службы".

Службы

Щелкните Save and go to Advanced Settings (Сохранить и перейти к дополнительным параметрам).

Снимок экрана консоли Akamai ЕАА с вкладкой Services (Службы) для SECRETRDPAPP, на которой в правом нижнем углу показана кнопка Save and go to Authentication (Сохранить и перейти к проверке подлинности).

Расширенные параметры

  1. Щелкните Save and go to Deployment (Завершить и перейти к развертыванию).

    Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры) для SECRETRDPAPP, на которой показаны параметры конфигурации удаленного рабочего стола.

    Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры) для SECRETRDPAPP, на которой показаны параметры конфигурации проверки подлинности и работоспособности.

    Снимок экрана консоли Akamai ЕАА с вкладкой Custom HTTP headers (Пользовательские HTTP-заголовки) для SECRETRDPAPP, на которой в правом нижнем углу показана кнопка Save and go to Deployment (Завершить и перейти к развертыванию).

  2. Проверьте взаимодействие с пользователем.

    Снимок экрана, на котором показано окно myapps.microsoft.com с фоновым изображением и диалоговым окном входа.

    Снимок экрана, на котором показано окно

  3. Условный доступ

    Снимок экрана: сообщение условного доступа: утверждение запроса на вход. Мы отправили уведомление на мобильное устройство. Пожалуйста, ответьте на продолжение.

    Снимок экрана приложения со значком для MyHeaderApp и SecretRDPApp.

    Снимок экрана Windows Server 2012 RS, на котором показаны универсальные пользовательские значки. Значки для администратора, пользователя 0 и пользователя 1 указывают на то, что они вошли в систему.

  4. Кроме того, можно непосредственно ввести URL-адрес приложения для работы по протоколу RDP.

SSH

  1. Перейдите к разделу Add Applications (Добавление приложений) и выберите SSH.

    Снимок экрана консоли Akamai ЕАА с мастером добавления приложений, в котором в разделе Access Apps (Доступ к приложениям) в списке приложений отображается SSH.

  2. Введите имя приложения и описание, например современную проверку подлинности Microsoft Entra в SSH.

  3. Настройте удостоверение приложения.

    a. Укажите имя и описание.

    b. Укажите IP-адрес или полное доменное имя сервера приложений и порт для подключения SSH.

    c. Укажите имя пользователя и парольную фразу "Проверка Akamai ЕАА" для SSH.

    d. Укажите значение в поле "External host Name" (Имя внешнего узла).

    д) Укажите расположение соединителя и выберите нужный соединитель.

Проверка подлинности

На вкладке "Проверка подлинности" нажмите кнопку "Сохранить" и перейдите к службам.

Службы

Щелкните Save and go to Advanced Settings (Сохранить и перейти к дополнительным параметрам).

Снимок экрана консоли Akamai ЕАА с вкладкой Services (Службы) для SSH-SECURE, на которой в правом нижнем углу показана кнопка Save and go to Authentication (Сохранить и перейти к проверке подлинности).

Расширенные параметры

Щелкните "Save and go to Deployment" (Сохранить и перейти к развертыванию).

Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры) для SSH-SECURE, на которой показаны параметры конфигурации проверки подлинности и работоспособности.

Снимок экрана консоли Akamai ЕАА с вкладкой Custom HTTP headers (Пользовательские HTTP-заголовки) для SSH-SECURE, на которой в правом нижнем углу показана кнопка Save and go to Deployment (Завершить и перейти к развертыванию).

Развертывание

  1. Щелкните Deploy Application (Развернуть приложение).

    Снимок экрана консоли Akamai ЕАА с вкладкой Deployment (Развертывание) для SSH-SECURE, на которой отображается кнопка Deploy Application (Развернуть приложение).

  2. Проверьте взаимодействие с пользователем.

    Снимок экрана диалогового окна входа в окне myapps.microsoft.com.

    Снимок экрана, на котором показано окно

  3. Условный доступ

    Снимок экрана с сообщением:

    Снимок экрана приложения со значком для MyHeaderApp, SSH-Secure и SecretRDPApp.

    Снимок экрана командного окна для ssh-secure-go.akamai-access.com, в котором показан запрос пароля.

    Снимок экрана: командное окно для ssh-secure-go.akamai-access.com с информацией о приложении и командной строкой.

Проверка подлинности Kerberos

В приведенном ниже примере мы опубликуем внутренний веб-сервер http://frp-app1.superdemo.live и включите единый вход с помощью KCD.

Вкладка "Общие"

Снимок экрана консоли Akamai ЕАА с вкладкой General (Общие) для MYKERBOROSAPP.

Вкладка "Authentication" (Аутентификация)

На вкладке "Проверка подлинности " назначьте поставщика удостоверений.

Вкладка Services (Службы)

Снимок экрана консоли Akamai ЕАА с вкладкой Services (Службы) для MYKERBOROSAPP.

Расширенные параметры

Снимок экрана консоли Akamai ЕАА с вкладкой Advanced Settings (Дополнительные параметры) для MYKERBOROSAPP, на которой показаны параметры для связанных приложений и проверки подлинности.

Примечание.

Имя субъекта-службы для веб-сервера должно быть задано в формате <имя субъекта-службы>@<домен>. Например, в данном случае это HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE. Оставьте для остальных параметров значение по умолчанию.

Вкладка Deployment (Развертывание)

Снимок экрана консоли Akamai ЕАА с вкладкой Deployment (Развертывание) для MYKERBOROSAPP, на которой отображается кнопка Deploy Application (Развернуть приложение).

Добавление каталога

  1. Выберите в раскрывающемся списке AD.

    Снимок экрана окна Directories (Каталоги) консоли Akamai ЕАА, в котором отображается диалоговое окно Create New Directory (Создание каталога) со службой AD, выбранной в раскрывающемся списке Directory Type (Тип каталога).

  2. Укажите необходимые данные.

    Снимок экрана окна SUPERDEMOLIVE консоли Akamai ЕАА с параметрами для имени каталога, службы каталогов, соединителя и сопоставления атрибутов.

  3. Проверьте создание каталога.

    Снимок экрана окна Directories (Каталоги) консоли Akamai ЕАА, в котором показано, что был добавлен каталог superdemo.live.

  4. Добавьте группы или подразделения, которым требуется доступ.

    Снимок экрана параметров для каталога superdemo.live. Выделен значок, выбранный для добавления групп или подразделений.

  5. На изображении ниже группа называется EAAGroup и состоит из одного члена.

    Снимок экрана окна GROUPS ON SUPERDEMOLIVE DIRECTORY (ГРУППЫ В КАТАЛОГЕ SUPERDEMOLIVE) консоли Akamai ЕАА. В списке Groups (Группы) указана EAAGroup с 1 пользователем.

  6. Добавьте каталог в поставщик удостоверений, щелкнув поставщик удостоверений>и щелкнув вкладку "Каталоги" и щелкните "Назначить каталог".

Пошаговое руководство по настройке ограниченного делегирования Kerberos для ЕАА

Шаг 1. Создание учетной записи

  1. В этом примере мы будем использовать учетную запись с именем EAADelegation. Это можно сделать с помощью оснастки Пользователи и компьютеры Active Directory.

    Примечание.

    Имя пользователя должно быть указано в определенном формате и составлено на основе имени, которое задано в поле Identity Intercept (Перехват идентификаторов). На рис. 1 показано corpapps.login.go.akamai-access.com.

  2. Именем для входа пользователя будет HTTP/corpapps.login.go.akamai-access.com.

    Снимок экрана, на котором показаны свойства EAADelegation с именем EAADelegation и именем для входа пользователя HTTP/corpapps.login.go.akamai-access.com.

Шаг 2. Настройка имени участника-службы для этой учетной записи

  1. Для данного примера имя субъекта-службы будет следующим:

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Снимок экрана командной строки администратора с результатами выполнения команды setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation.

Шаг 3. Настройка делегирования

  1. Для учетной записи EAADelegation перейдите на вкладку Delegation (Делегирование).

    Снимок экрана командной строки администратора с командой для настройки имени субъекта-службы.

    • Укажите, что можно использовать любой протокол аутентификации.
    • Нажмите Add (Добавить) и добавьте учетную запись пула приложений для веб-сайта Kerberos. Если настройки заданы правильно, она должна автоматически разрешаться в правильное имя субъекта-службы.

Шаг 4. Создание файла keytab для AKAMAI EAA

  1. Ниже приведен общий синтаксис.

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Пояснения к примеру

    Фрагмент кода Описание
    Ktpass /out EAADemo.keytab // Имя выходного файла keytab
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live // HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live // Учетная запись делегирования EAA
    /pass RANDOMPASS // Пароль учетной записи делегирования EAA
    /crypto All ptype KRB5_NT_PRINCIPAL // См. в документации по Akamai ЕАА

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Снимок экрана командной строки администратора с результатами выполнения команды для создания keytab для AKAMAI EAA.

Шаг 5. Импорт ключа в консоли AKAMAI EAA

  1. Щелкните System>Keytabs (Система > Файлы keytab).

    Снимок экрана консоли Akamai ЕАА с меню System, в котором выбран пункт Keytabs (Файлы keytab).

  2. В поле Keytab Type (Тип keytab) выберите Kerberos Delegation (Делегирование Kerberos).

    Снимок экрана EAAKEYTAB в консоли Akamai ЕАА, на котором показаны параметры файла keytab. Для Keytab Type (Тип keytab) задано значение Kerberos Delegation (Делегирование Kerberos).

  3. Убедитесь, что файл keytab отображается как развернутый и проверенный.

    Снимок экрана KEYTABS в консоли Akamai ЕАА, на котором для ЕАА keytab задано значение Keytab deployed and verified (Файл keytab развернут и проверен).

  4. Взаимодействие с пользователем

    Снимок экрана диалогового окна входа на сайте myapps.microsoft.com.

    Снимок экрана окна

  5. Условный доступ

    Снимок экрана с сообщением

    Снимок экрана приложения со значком для MyHeaderApp, SSH-Secure, SecretRDPApp и myKerberosApp.

    Снимок экрана-заставки для myKerberosApp. Поверх фонового изображения отображается сообщение

Создание тестового пользователя Akamai

Из этого разделе вы узнаете, как создать пользователя B.Simon в приложении Akamai. Обратитесь в службу поддержки клиентов Akamai, чтобы добавить пользователей на платформу Akamai. Перед использованием единого входа необходимо создать и активировать пользователей.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

  • Щелкните "Тестировать это приложение", и вы автоматически войдете в приложение Akamai, для которого настроили единый вход.

  • Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку Akamai на портале "Мои приложения", вы автоматически войдете в приложение Akamai, для которого настроили единый вход. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Следующие шаги

После настройки Akamai вы можете применить функцию управления сеансами, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.