Tutorial: Microsoft Entra-SSO-Integration mit Akamai
In diesem Tutorial erfahren Sie, wie Sie Akamai mit Microsoft Entra ID integrieren. Wenn Sie Akamai mit Microsoft Entra ID integrieren, ist Folgendes möglich:
- In Microsoft Entra ID steuern, wer Zugriff auf Akamai hat
- Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Akamai anzumelden
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Die Integration von Microsoft Entra ID mit Akamai Enterprise Application Access ermöglicht den nahtlosen Zugriff auf in der Cloud oder lokal gehostete Legacyanwendungen. Die integrierte Lösung nutzt alle modernen Funktionen von Microsoft Entra ID wie den bedingten Zugriff von Microsoft Entra, Microsoft Entra ID Protection und Microsoft Entra ID Governance für den Zugriff auf Legacyanwendungen ohne App-Änderungen oder die Installation von Agents.
Die folgende Abbildung zeigt, wie sich Akamai EAA in das allgemeine Szenario für sicheren Hybridzugriff einfügt.
Wichtige Authentifizierungsszenarien
Neben der nativen Microsoft Entra-Integrationsunterstützung für moderne Authentifizierungsprotokolle wie OpenID Connect, SAML und WS-Fed erweitert Akamai EAA den sicheren Zugriff für legacybasierte Authentifizierungs-Apps sowohl für den internen als auch für den externen Zugriff mit Microsoft Entra ID. So werden für diese Anwendungen moderne Szenarien wie etwa der kennwortlose Zugriff ermöglicht. Dies schließt Folgendes ein:
- Apps mit headerbasierter Authentifizierung
- Remotedesktop
- SSH (Secure Shell)
- Apps mit Kerberos-Authentifizierung
- VNC (Virtual Network Computing)
- Apps mit anonymer Authentifizierung oder ohne integrierte Authentifizierung
- Apps mit NTLM-Authentifizierung (Schutz mit doppelten Eingabeaufforderungen für den Benutzer)
- Formularbasierte Anwendung (Schutz mit doppelten Eingabeaufforderungen für den Benutzer)
Integrationsszenarien
Die Partnerschaft zwischen Microsoft und Akamai EAA ermöglicht eine flexible Erfüllung Ihrer geschäftlichen Anforderungen. Hierzu werden basierend auf Ihrer geschäftlichen Anforderung verschiedene Integrationsszenarien unterstützt. Dies ermöglicht eine Zero-Day-Abdeckung für sämtliche Anwendungen mit anschließender schrittweiser Klassifizierung und Konfiguration geeigneter Richtlinienklassifizierungen.
Integrationsszenario 1
Akamai EAA wird als einzelne Anwendung in der Microsoft Entra ID-Instanz konfiguriert. Der Administrator kann die Richtlinie für bedingten Zugriff für die Anwendung konfigurieren, und Benutzer können auf das Akamai EAA-Portal zugreifen, sobald die Bedingungen erfüllt sind.
Vorteile:
- Der IDP muss nur einmal konfiguriert werden.
Nachteile:
Benutzer verfügen über zwei Anwendungsportale.
Abdeckung aller Anwendungen durch eine einzelne allgemeine Richtlinie für bedingten Zugriff
Integrationsszenario 2
Die Akamai EAA-Anwendung wird individuell im Azure-Portal eingerichtet. Der Administrator kann eine individuelle Richtlinie für bedingten Zugriff für die Anwendungen konfigurieren, und Benutzer können direkt zur jeweiligen Anwendung umgeleitet werden, sobald die Bedingungen erfüllt sind.
Vorteile:
Sie können einzelne Richtlinien für bedingten Zugriff definieren.
Alle Apps werden im Office 365-Waffelmenü und im Bereich „myApps.microsoft.com“ dargestellt.
Nachteile:
- Sie müssen mehrere IDPs konfigurieren.
Voraussetzungen
Für die ersten Schritte benötigen Sie Folgendes:
- Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
- Ein Akamai-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist
Beschreibung des Szenarios
In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.
- Akamai unterstützt IDP-initiiertes einmaliges Anmelden.
Wichtig
Alle unten aufgeführten Einrichtungsschritte gelten sowohl für das Integrationsszenario 1 als auch für das Szenario 2. Für das Integrationsszenario 2 müssen Sie einen individuellen IdP in der Akamai EAA-Instanz einrichten, und die URL-Eigenschaft muss so geändert werden, dass sie auf die Anwendungs-URL verweist.
Hinzufügen von Akamai über den Katalog
Zum Konfigurieren der Integration von Akamai mit Microsoft Entra ID müssen Sie Akamai aus dem Katalog Ihrer Liste mit den verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
- Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Akamai in das Suchfeld ein.
- Wählen Sie im Ergebnisbereich Akamai aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.
Konfigurieren und Testen von Microsoft Entra-SSO für Akamai
Konfigurieren und testen Sie von Microsoft Entra-SSO mit Akamai mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzer*innen und den entsprechenden Benutzer*innen in Akamai eingerichtet werden.
Führen Sie zum Konfigurieren und Testen von Microsoft Entra-SSO mit Akamai die folgenden Schritte aus:
- Konfigurieren von Microsoft Entra-SSO, um Ihren Benutzer*innen das Verwenden dieses Features zu ermöglichen
- Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra SSO mit dem Testbenutzerkonto B. Simon zu testen.
- Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
- Konfigurieren des einmaligen Anmeldens für Akamai , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
- Einrichten des IDP
- Headerbasierte Authentifizierung
- Remotedesktop
- SSH
- Kerberos-Authentifizierung
- Erstellen einer Akamai-Testbenutzerin, um in Akamai eine Entsprechung von B. Simon zu erhalten, die mit der Benutzerin in Microsoft Entra verknüpft ist
- Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert
Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Akamai>Einmaliges Anmelden.
Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.
Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.
Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte in die folgenden Felder ein, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:
a. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein:
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein:
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
Hinweis
Hierbei handelt es sich um Beispielwerte. Aktualisieren Sie diese Werte mit dem eigentlichen Bezeichner und der Antwort-URL. Diese Werte erhalten Sie vom Supportteam für den Akamai-Client. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration ansehen.
Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Kopieren Sie im Abschnitt Akamai einrichten die entsprechenden URLs gemäß Ihren Anforderungen.
Erstellen einer Microsoft Entra-Testbenutzerin
In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
- Browsen Sie zu Identität>Benutzer>Alle Benutzer.
- Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
- Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
- Geben Sie im Feld Anzeigename den Namen
B.Simon
ein. - Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel:
B.Simon@contoso.com
. - Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
- Klicken Sie auf Überprüfen + erstellen.
- Geben Sie im Feld Anzeigename den Namen
- Klicken Sie auf Erstellen.
Zuweisen der Microsoft Entra-Testbenutzerin
In diesem Abschnitt ermöglichen Sie B. Simon das Verwenden des einmaligen Anmeldens, indem Sie ihr Zugriff auf Akamai gewähren.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.
- Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Akamai.
- Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
- Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
- Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
- Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
- Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.
Konfigurieren des einmaligen Anmeldens für Akamai
Einrichten des IDP
Akamai EAA: IDP-Konfiguration
Melden Sie sich bei der Enterprise Application Access-Konsole von Akamai an.
Wählen Sie in der EAA-Konsole von Akamai die Optionen Identity>Identity Providers (Identität > Identitätsanbieter) aus, und klicken Sie auf Add Identity Provider (Identitätsanbieter hinzufügen).
Führen Sie im Dialogfeld Create New Identity Provider (Neuen Identitätsanbieter erstellen) die folgenden Schritte aus:
a. Geben Sie einen eindeutigen Namen ein.
b. Wählen Sie Third Party SAML (Drittanbieter-SAML) aus, und klicken Sie auf Create Identity Provider and Configure (Identitätsanbieter erstellen und konfigurieren).
Allgemeine Einstellungen
Geben Sie folgende Informationen auf der Registerkarte Allgemein ein:
Identität abfangen: Geben Sie den Namen der Domäne ein. (Für die Microsoft Entra-Konfiguration wird die SP-basierte URL verwendet.)
Hinweis
Sie können eine eigene benutzerdefinierte Domäne verwenden. (Dafür sind ein DNS-Eintrag und ein Zertifikat erforderlich.) In diesem Beispiel verwenden wir die Akamai-Domäne.
Akamai Cloud Zone (Akamai-Cloudzone): Wählen Sie die entsprechende Cloudzone aus.
Certificate Validation (Zertifikatüberprüfung): Lesen Sie die Akamai-Dokumentation (optional).
Authentifizierungskonfiguration
URL: Geben Sie die gleiche URL wie unter „Identity Intercept“ (Identität abfangen) ein. (An diese URL werden Benutzer nach der Authentifizierung weitergeleitet.)
Logout URL (Abmelde-URL): Aktualisieren Sie die Abmelde-URL.
Sign SAML Request (SAML-Anforderung signieren): Diese Option ist standardmäßig deaktiviert.
Fügen Sie für die IdP-Metadatendatei die Anwendung in der Microsoft Entra ID-Konsole hinzu.
Sitzungseinstellungen
Übernehmen Sie die Standardeinstellungen.
Verzeichnisse
Überspringen Sie auf der Registerkarte Verzeichnisse die Verzeichniskonfiguration.
Benutzeroberfläche für die Anpassung
Der IDP kann auf Wunsch angepasst werden. Auf der Registerkarte Anpassung gibt es Einstellungen zum Anpassen der Benutzeroberfläche, Spracheinstellungen und Designs.
Erweiterte Einstellungen
Akzeptieren Sie auf der Registerkarte Erweiterte Einstellungen die Standardwerte. Weitere Informationen finden Sie in der Akamai-Dokumentation.
Bereitstellung
Klicken Sie auf der Registerkarte Bereitstellung auf „Identitätsanbieter bereitstellen“.
Vergewissern Sie sich, dass die Bereitstellung erfolgreich war.
Headerbasierte Authentifizierung
Headerbasierte Authentifizierung von Akamai
Wählen Sie im Assistenten zum Hinzufügen von Anwendungen die Option Custom HTTP (Benutzerdefiniertes HTTP) aus.
Geben Sie unter Application Name (Anwendungsname) einen Anwendungsnamen und unter Description (Beschreibung) eine Beschreibung ein.
Authentifizierung
Wählen Sie die Registerkarte Authentication (Authentifizierung) aus.
Wählen Sie Identitätsanbieter zuweisen aus.
Dienste
Klicken Sie auf „Save“ (Speichern), und gehen Sie zu „Authentication“ (Authentifizierung).
Erweiterte Einstellungen
Geben Sie unter Custom HTTP Headers (Benutzerdefinierte HTTP-Header) Werte für Custom Header (Benutzerdefinierter Header) und SAML Attribute (SAML-Attribut) ein.
Klicken Sie auf die Schaltfläche Save and go to Deployment (Speichern und zur Bereitstellung wechseln).
Bereitstellen der Anwendung
Klicken Sie auf die Schaltfläche Deploy Application (Anwendung bereitstellen).
Vergewissern Sie sich, dass die Anwendung erfolgreich bereitgestellt wurde.
Endbenutzererfahrung:
Bedingter Zugriff:
Remotedesktop
Wählen Sie im Assistenten zum Hinzufügen von Anwendungen die Option RDP aus.
Geben Sie den Anwendungsnamen ein, z. B. SecretRDPApp.
Wählen Sie eine Beschreibungaus, z. B. Schützen der RDP-Sitzung mithilfe von Microsoft Entra Conditional Access.
Geben Sie den Connector dafür an.
Authentifizierung
Klicken Sie auf der Registerkarte Authentifizierung auf Speichern und zu Diensten wechseln.
Dienste
Klicken Sie auf Save and go to Advanced Settings (Speichern und zu erweiterten Einstellungen wechseln).
Erweiterte Einstellungen
Klicken Sie auf Save and go to Deployment (Speichern und zur Bereitstellung wechseln).
Endbenutzererfahrung
Bedingter Zugriff
Alternativ können Sie die RDP-Anwendungs-URL auch direkt eingeben.
SSH
Navigieren Sie zu „Add Applications“ (Anwendungen hinzufügen), und wählen Sie SSH aus.
Geben Sie den Anwendungsnamen und eine Beschreibung ein, z. B. Moderne Microsoft Entra-Authentifizierung für SSH.
Konfigurieren Sie die Anwendungsidentität.
a. Geben Sie einen Namen und eine Beschreibung ein.
b. Geben Sie die Anwendungsserver-IP bzw. den FQDN und Port für SSH an.
c. Geben Sie den SSH-Benutzernamen und die SSH-Passphrase an. *Diese finden Sie in Akamai EAA.
d. Geben Sie den Namen des externen Hosts an.
e. Geben Sie den Speicherort für den Connector an, und wählen Sie den Connector aus.
Authentifizierung
Klicken Sie auf der Registerkarte Authentifizierung auf Speichern und zu Diensten wechseln.
Dienste
Klicken Sie auf Save and go to Advanced Settings (Speichern und zu erweiterten Einstellungen wechseln).
Erweiterte Einstellungen
Klicken Sie auf „Save and go to Deployment“ (Speichern und zur Bereitstellung wechseln).
Bereitstellung
Klicken Sie auf Deploy Application (Anwendung bereitstellen).
Endbenutzererfahrung
Bedingter Zugriff
Kerberos-Authentifizierung
Im folgenden Beispiel wird ein interner Webserver (http://frp-app1.superdemo.live
) veröffentlicht und einmaliges Anmelden mit KCD aktiviert.
Registerkarte Allgemein
Registerkarte „Authentication“ (Authentifizierung)
Weisen Sie auf der Seite Authentifizierung den Identitätsanbieter zu.
Registerkarte „Services“ (Dienste)
Erweiterte Einstellungen
Hinweis
Der SPN für den Webserver befindet sich in SPN@Domain Format, z. B.: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
für diese Demo. Lassen Sie die restlichen Einstellungen unverändert.
Registerkarte „Deployment“ (Bereitstellung)
Hinzufügen eines Verzeichnisses
Wählen Sie in der Dropdownliste die Option AD aus.
Geben Sie die erforderlichen Daten an.
Überprüfen Sie die Verzeichniserstellung.
Fügen Sie die Gruppen/Organisationseinheiten hinzu, die Zugriff benötigen.
Hier heißt die Gruppe „EAAGroup“ und hat ein einzelnes Mitglied.
Fügen Sie das Verzeichnis dem Identitätsanbieter hinzu, indem Sie unter Identität>Identitätsanbieter auf der Registerkarte Verzeichnisse auf Verzeichnis zuweisen klicken.
Konfigurieren der KCD-Delegierung für EAA: Exemplarische Vorgehensweise
Schritt 1: Erstellen eines Kontos
In dem Beispiel wird ein Konto namens EAADelegation verwendet. Sie können hierzu das Snap-In Active Directory-Benutzer und -Computer verwenden.
Hinweis
Der Benutzername muss in einem bestimmten Format vorliegen, das auf dem für Identity Intercept (Identität abfangen) angegebenen Namen basiert. In Abbildung 1 ist zu sehen, dass dieser corpapps.login.go.akamai-access.com lautet.
Der Benutzeranmeldename lautet:
HTTP/corpapps.login.go.akamai-access.com
Schritt 2: Konfigurieren des SPN für dieses Konto
In diesem Beispiel lautet der SPN wie folgt:
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
Schritt 3: Konfigurieren der Delegierung
Klicken Sie für das Konto „EAADelegation“ auf die Registerkarte für die Delegierung.
- Verwenden Sie ein beliebiges Authentifizierungsprotokoll.
- Klicken Sie auf „Add“ (Hinzufügen), und fügen Sie das App-Pool-Konto für die Kerberos-Website hinzu. Bei korrekter Konfiguration sollte es automatisch zum korrekten SPN aufgelöst werden.
Schritt 4: Erstellen einer Schlüsseltabellendatei für Akamai EAA
Die generische Syntax lautet wie folgt:
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPALErläuterung des Beispiels
Codeausschnitt Erklärung Ktpass /out EAADemo.keytab // Der Name der ausgegebenen Schlüsseltabellendatei. /princ HTTP/\corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live // EAA-Delegierungskonto /pass RANDOMPASS // Kennwort des EAA-Delegierungskontos /crypto All ptype KRB5_NT_PRINCIPAL // Siehe Akamai EAA-Dokumentation Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
Schritt 5: Importieren der Schlüsseltabelle in der Akamai EAA-Konsole
Klicken Sie auf System>Keytabs (System > Schlüsseltabellen).
Wählen Sie als Schlüsseltabellentyp die Option Kerberos Delegation (Kerberos-Delegierung) aus.
Vergewissern Sie sich, dass die Schlüsseltabelle als bereitgestellt und überprüft angezeigt wird.
Benutzererfahrung
Bedingter Zugriff
Erstellen eines Akamai-Testbenutzers
In diesem Abschnitt erstellen Sie in Akamai einen Benutzer namens B. Simon. Arbeiten Sie mit dem Supportteam für den Akamai-Client zusammen, um die Benutzer zur Akamai-Plattform hinzuzufügen. Benutzer müssen erstellt und aktiviert werden, damit Sie einmaliges Anmelden verwenden können.
Testen des einmaligen Anmeldens
In diesem Abschnitt testen Sie die Konfiguration von Microsoft Entra ID-SSO mit den folgenden Optionen.
Klicken Sie auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Akamai-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben.
Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie unter „Meine Apps“ auf die Kachel „Akamai“ klicken, sollten Sie automatisch bei der Akamai-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.
Nächste Schritte
Nach dem Konfigurieren von Akamai können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.