Freigeben über


Tutorial: Microsoft Entra-SSO-Integration mit Akamai

In diesem Tutorial erfahren Sie, wie Sie Akamai mit Microsoft Entra ID integrieren. Wenn Sie Akamai mit Microsoft Entra ID integrieren, ist Folgendes möglich:

  • In Microsoft Entra ID steuern, wer Zugriff auf Akamai hat
  • Ihren Benutzer*innen ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Akamai anzumelden
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Die Integration von Microsoft Entra ID mit Akamai Enterprise Application Access ermöglicht den nahtlosen Zugriff auf in der Cloud oder lokal gehostete Legacyanwendungen. Die integrierte Lösung nutzt alle modernen Funktionen von Microsoft Entra ID wie den bedingten Zugriff von Microsoft Entra, Microsoft Entra ID Protection und Microsoft Entra ID Governance für den Zugriff auf Legacyanwendungen ohne App-Änderungen oder die Installation von Agents.

Die folgende Abbildung zeigt, wie sich Akamai EAA in das allgemeine Szenario für sicheren Hybridzugriff einfügt.

Akamai EAA fügt sich in das allgemeine Szenario für sicheren Hybridzugriff ein.

Wichtige Authentifizierungsszenarien

Neben der nativen Microsoft Entra-Integrationsunterstützung für moderne Authentifizierungsprotokolle wie OpenID Connect, SAML und WS-Fed erweitert Akamai EAA den sicheren Zugriff für legacybasierte Authentifizierungs-Apps sowohl für den internen als auch für den externen Zugriff mit Microsoft Entra ID. So werden für diese Anwendungen moderne Szenarien wie etwa der kennwortlose Zugriff ermöglicht. Dies schließt Folgendes ein:

  • Apps mit headerbasierter Authentifizierung
  • Remotedesktop
  • SSH (Secure Shell)
  • Apps mit Kerberos-Authentifizierung
  • VNC (Virtual Network Computing)
  • Apps mit anonymer Authentifizierung oder ohne integrierte Authentifizierung
  • Apps mit NTLM-Authentifizierung (Schutz mit doppelten Eingabeaufforderungen für den Benutzer)
  • Formularbasierte Anwendung (Schutz mit doppelten Eingabeaufforderungen für den Benutzer)

Integrationsszenarien

Die Partnerschaft zwischen Microsoft und Akamai EAA ermöglicht eine flexible Erfüllung Ihrer geschäftlichen Anforderungen. Hierzu werden basierend auf Ihrer geschäftlichen Anforderung verschiedene Integrationsszenarien unterstützt. Dies ermöglicht eine Zero-Day-Abdeckung für sämtliche Anwendungen mit anschließender schrittweiser Klassifizierung und Konfiguration geeigneter Richtlinienklassifizierungen.

Integrationsszenario 1

Akamai EAA wird als einzelne Anwendung in der Microsoft Entra ID-Instanz konfiguriert. Der Administrator kann die Richtlinie für bedingten Zugriff für die Anwendung konfigurieren, und Benutzer können auf das Akamai EAA-Portal zugreifen, sobald die Bedingungen erfüllt sind.

Vorteile:

  • Der IDP muss nur einmal konfiguriert werden.

Nachteile:

  • Benutzer verfügen über zwei Anwendungsportale.

  • Abdeckung aller Anwendungen durch eine einzelne allgemeine Richtlinie für bedingten Zugriff

Integrationsszenario 1

Integrationsszenario 2

Die Akamai EAA-Anwendung wird individuell im Azure-Portal eingerichtet. Der Administrator kann eine individuelle Richtlinie für bedingten Zugriff für die Anwendungen konfigurieren, und Benutzer können direkt zur jeweiligen Anwendung umgeleitet werden, sobald die Bedingungen erfüllt sind.

Vorteile:

  • Sie können einzelne Richtlinien für bedingten Zugriff definieren.

  • Alle Apps werden im Office 365-Waffelmenü und im Bereich „myApps.microsoft.com“ dargestellt.

Nachteile:

  • Sie müssen mehrere IDPs konfigurieren.

Integrationsszenario 2

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • Ein Akamai-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Akamai unterstützt IDP-initiiertes einmaliges Anmelden.

Wichtig

Alle unten aufgeführten Einrichtungsschritte gelten sowohl für das Integrationsszenario 1 als auch für das Szenario 2. Für das Integrationsszenario 2 müssen Sie einen individuellen IdP in der Akamai EAA-Instanz einrichten, und die URL-Eigenschaft muss so geändert werden, dass sie auf die Anwendungs-URL verweist.

Screenshot der Registerkarte

Zum Konfigurieren der Integration von Akamai mit Microsoft Entra ID müssen Sie Akamai aus dem Katalog Ihrer Liste mit den verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Akamai in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Akamai aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra-SSO für Akamai

Konfigurieren und testen Sie von Microsoft Entra-SSO mit Akamai mithilfe einer Testbenutzerin mit dem Namen B. Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzer*innen und den entsprechenden Benutzer*innen in Akamai eingerichtet werden.

Führen Sie zum Konfigurieren und Testen von Microsoft Entra-SSO mit Akamai die folgenden Schritte aus:

  1. Konfigurieren von Microsoft Entra-SSO, um Ihren Benutzer*innen das Verwenden dieses Features zu ermöglichen
  2. Konfigurieren des einmaligen Anmeldens für Akamai , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Akamai>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Bearbeiten der SAML-Basiskonfiguration

  5. Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte in die folgenden Felder ein, wenn Sie die Anwendung im IDP-initiierten Modus konfigurieren möchten:

    a. Geben Sie im Textfeld Bezeichner eine URL im folgenden Format ein: https://<Yourapp>.login.go.akamai-access.com/saml/sp/response

    b. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response

    Hinweis

    Hierbei handelt es sich um Beispielwerte. Aktualisieren Sie diese Werte mit dem eigentlichen Bezeichner und der Antwort-URL. Diese Werte erhalten Sie vom Supportteam für den Akamai-Client. Sie können sich auch die Muster im Abschnitt Grundlegende SAML-Konfiguration ansehen.

  6. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    Downloadlink für das Zertifikat

  7. Kopieren Sie im Abschnitt Akamai einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    Kopieren der Konfiguration-URLs

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon das Verwenden des einmaligen Anmeldens, indem Sie ihr Zugriff auf Akamai gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Akamai.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für Akamai

Einrichten des IDP

Akamai EAA: IDP-Konfiguration

  1. Melden Sie sich bei der Enterprise Application Access-Konsole von Akamai an.

  2. Wählen Sie in der EAA-Konsole von Akamai die Optionen Identity>Identity Providers (Identität > Identitätsanbieter) aus, und klicken Sie auf Add Identity Provider (Identitätsanbieter hinzufügen).

    Screenshot des Fensters Identity Providers der Akamai EAA-Konsole. Wählen Sie im Menü Identität „Identitätsanbieter“ und dann „Identitätsanbieter hinzufügen“ aus.

  3. Führen Sie im Dialogfeld Create New Identity Provider (Neuen Identitätsanbieter erstellen) die folgenden Schritte aus:

    a. Geben Sie einen eindeutigen Namen ein.

    b. Wählen Sie Third Party SAML (Drittanbieter-SAML) aus, und klicken Sie auf Create Identity Provider and Configure (Identitätsanbieter erstellen und konfigurieren).

Allgemeine Einstellungen

Geben Sie folgende Informationen auf der Registerkarte Allgemein ein:

  1. Identität abfangen: Geben Sie den Namen der Domäne ein. (Für die Microsoft Entra-Konfiguration wird die SP-basierte URL verwendet.)

    Hinweis

    Sie können eine eigene benutzerdefinierte Domäne verwenden. (Dafür sind ein DNS-Eintrag und ein Zertifikat erforderlich.) In diesem Beispiel verwenden wir die Akamai-Domäne.

  2. Akamai Cloud Zone (Akamai-Cloudzone): Wählen Sie die entsprechende Cloudzone aus.

  3. Certificate Validation (Zertifikatüberprüfung): Lesen Sie die Akamai-Dokumentation (optional).

Authentifizierungskonfiguration

  1. URL: Geben Sie die gleiche URL wie unter „Identity Intercept“ (Identität abfangen) ein. (An diese URL werden Benutzer nach der Authentifizierung weitergeleitet.)

  2. Logout URL (Abmelde-URL): Aktualisieren Sie die Abmelde-URL.

  3. Sign SAML Request (SAML-Anforderung signieren): Diese Option ist standardmäßig deaktiviert.

  4. Fügen Sie für die IdP-Metadatendatei die Anwendung in der Microsoft Entra ID-Konsole hinzu.

    Screenshot der Authentifizierungskonfiguration der Akamai EAA-Konsole mit Einstellungen für „URL“, „Logout URL“ (Abmelde-URL), „Sign SAML Request“ (SAML-Anforderung signieren) und „IDP Metadata File“ (IDP-Metadatendatei).

Sitzungseinstellungen

Übernehmen Sie die Standardeinstellungen.

Screenshot des Dialogfelds „Session Settings“ (Sitzungseinstellungen) der Akamai EAA-Konsole.

Verzeichnisse

Überspringen Sie auf der Registerkarte Verzeichnisse die Verzeichniskonfiguration.

Benutzeroberfläche für die Anpassung

Der IDP kann auf Wunsch angepasst werden. Auf der Registerkarte Anpassung gibt es Einstellungen zum Anpassen der Benutzeroberfläche, Spracheinstellungen und Designs.

Erweiterte Einstellungen

Akzeptieren Sie auf der Registerkarte Erweiterte Einstellungen die Standardwerte. Weitere Informationen finden Sie in der Akamai-Dokumentation.

Bereitstellung

  1. Klicken Sie auf der Registerkarte Bereitstellung auf „Identitätsanbieter bereitstellen“.

  2. Vergewissern Sie sich, dass die Bereitstellung erfolgreich war.

Headerbasierte Authentifizierung

Headerbasierte Authentifizierung von Akamai

  1. Wählen Sie im Assistenten zum Hinzufügen von Anwendungen die Option Custom HTTP (Benutzerdefiniertes HTTP) aus.

    Screenshot des Assistenten zum Hinzufügen von Anwendungen der Akamai-EAA-Konsole mit „Custom HTTP“ (Benutzerdefiniertes HTTP) im Abschnitt „Access Apps“ (Zugriff auf Apps).

  2. Geben Sie unter Application Name (Anwendungsname) einen Anwendungsnamen und unter Description (Beschreibung) eine Beschreibung ein.

    Screenshot des Dialogfelds „Custom HTTP App“ (Benutzerdefiniertes HTTP-App) mit Einstellungen für „Application Name“ (Anwendungsname) und „Description“ (Beschreibung).

    Screenshot der Registerkarte „General“ (Allgemein) der Akamai EAA-Konsole mit allgemeinen Einstellungen für „MYHEADERAPP“.

    Screenshot der Akamai-EAA-Konsole mit Einstellungen für „Certificate“ (Zertifikat) und „Location“ (Speicherort).

Authentifizierung

  1. Wählen Sie die Registerkarte Authentication (Authentifizierung) aus.

    Screenshot der Akamai-EAA-Konsole, auf der die Registerkarte „Authentication“ (Authentifizierung) ausgewählt ist.

  2. Wählen Sie Identitätsanbieter zuweisen aus.

Dienste

Klicken Sie auf „Save“ (Speichern), und gehen Sie zu „Authentication“ (Authentifizierung).

Screenshot der Registerkarte „Services“ (Dienste) der Akamai EAA-Konsole für MYHEADERAPP mit der Schaltfläche „Save“ (Speichern) und der Schaltfläche zum Wechseln zu „Advanced Settings“ (Erweiterte Einstellungen) in der unteren rechten Ecke.

Erweiterte Einstellungen

  1. Geben Sie unter Custom HTTP Headers (Benutzerdefinierte HTTP-Header) Werte für Custom Header (Benutzerdefinierter Header) und SAML Attribute (SAML-Attribut) ein.

    Screenshot der Registerkarte „Advanced Settings“ (Erweiterte Einstellungen) der Akamai-EAA-Konsole, auf der das Feld „SSO Logged URL“ (SSO-protokollierte URL) unter „Authentication“ (Authentifizierung) hervorgehoben ist.

  2. Klicken Sie auf die Schaltfläche Save and go to Deployment (Speichern und zur Bereitstellung wechseln).

    Screenshot der Registerkarte „Advanced Settings“ (Erweiterte Einstellungen) der Akamai EAA-Konsole mit der Schaltfläche „Save“ (Speichern) und der Schaltfläche zum Wechseln zu „Deployment“ (Bereitstellung) in der unteren rechten Ecke.

Bereitstellen der Anwendung

  1. Klicken Sie auf die Schaltfläche Deploy Application (Anwendung bereitstellen).

    Screenshot der Registerkarte „Deployment“ (Bereitstellung) der Akamai EAA-Konsole mit der Schaltfläche „Deploy application“ (Anwendung bereitstellen).

  2. Vergewissern Sie sich, dass die Anwendung erfolgreich bereitgestellt wurde.

    Screenshot der Registerkarte „Deployment“ (Bereitstellung) der Akamai EAA-Konsole mit der Anwendungsstatusmeldung: „Application Successfully Deployed“ (Anwendung erfolgreich bereitgestellt).

  3. Endbenutzererfahrung:

    Screenshot des Begrüßungsbildschirms für „myapps.microsoft.com“ mit einem Hintergrundbild und einem Anmeldedialogfeld.

    Screenshot: Teil eines Apps-Fensters mit Symbolen für Add-In, HRWEB, Akamai – CorpApps, Ausgaben, Gruppen und Zugriffsüberprüfungen

  4. Bedingter Zugriff:

    Screenshot der Nachricht: Anmeldeanfrage genehmigen. Wir haben eine Benachrichtigung an Ihr Mobilgerät gesendet. Bitte antworten Sie, um fortzufahren.

    Screenshot des Bildschirms „Anwendungen“ mit einem Symbol für MyHeaderApp.

Remotedesktop

  1. Wählen Sie im Assistenten zum Hinzufügen von Anwendungen die Option RDP aus.

    Screenshot des Assistenten zum Hinzufügen von Anwendungen der Akamai-EAA-Konsole mit „RDP“ in der Liste der Apps im Abschnitt „Access Apps“ (Zugriff auf Apps).

  2. Geben Sie den Anwendungsnamen ein, z. B. SecretRDPApp.

  3. Wählen Sie eine Beschreibungaus, z. B. Schützen der RDP-Sitzung mithilfe von Microsoft Entra Conditional Access.

  4. Geben Sie den Connector dafür an.

    Screenshot der Akamai EAA-Konsole mit Einstellungen für Zertifikat und Standort. Zugehörige Konnektoren sind auf USWST-CON1. eingestellt.

Authentifizierung

Klicken Sie auf der Registerkarte Authentifizierung auf Speichern und zu Diensten wechseln.

Dienste

Klicken Sie auf Save and go to Advanced Settings (Speichern und zu erweiterten Einstellungen wechseln).

Screenshot der Registerkarte „Services“ (Dienste) der Akamai EAA-Konsole für SECRETRDPAPP mit der Schaltfläche „Save“ (Speichern) und der Schaltfläche zum Wechseln zu „Advanced Settings“ (Erweiterte Einstellungen) in der unteren rechten Ecke.

Erweiterte Einstellungen

  1. Klicken Sie auf Save and go to Deployment (Speichern und zur Bereitstellung wechseln).

    Screenshot der Registerkarte „Advanced Settings“ (Erweiterte Einstellungen) der Akamai EAA-Konsole für SECRETRDPAPP mit den Einstellungen für die Konfiguration des Remotedesktops.

    Screenshot der Registerkarte „Advanced Settings“ (Erweiterte Einstellungen) der Akamai EAA-Konsole für SECRETRDPAPP mit den Einstellungen für „Authentication“ (Authentifizierung) und die Konfiguration der Integritätsüberprüfung.

    Screenshot der Registerkarte „Custom HTTP headers“ (Benutzerdefinierte HTTP-Header) der Akamai EAA-Konsole für SECRETRDPAPP mit der Schaltfläche „Save“ (Speichern) und der Schaltfläche zum Wechseln zu „Deployment“ (Bereitstellung) in der unteren rechten Ecke.

  2. Endbenutzererfahrung

    Screenshot eines „myapps.microsoft.com“-Fensters mit einem Hintergrundbild und einem Anmeldedialogfeld.

    Screenshot des Fensters „Apps“ von „myapps.microsoft.com“ mit Symbolen für Add-In, HRWEB, Akamai – CorpApps, Ausgaben, Gruppen und Zugriffsüberprüfungen.

  3. Bedingter Zugriff

    Screenshot der Nachricht zum bedingten Zugriff: Anmeldeanforderung genehmigen. Wir haben eine Benachrichtigung an Ihr Mobilgerät gesendet. Bitte antworten Sie, um fortzufahren.

    Screenshot des Bildschirms „Applications“ (Anwendungen) mit Symbolen für MyHeaderApp und SecretRDPApp.

     Screenshot des Windows Server 2012 RS-Bildschirms mit allgemeinen Benutzersymbolen. Die Symbole für Administrator, Benutzer0 und Benutzer1 zeigen an, dass sie angemeldet sind.

  4. Alternativ können Sie die RDP-Anwendungs-URL auch direkt eingeben.

SSH

  1. Navigieren Sie zu „Add Applications“ (Anwendungen hinzufügen), und wählen Sie SSH aus.

    Screenshot des Assistenten zum Hinzufügen von Anwendungen der Akamai-EAA-Konsole mit „SSH“ in der Liste der Apps im Abschnitt „Access Apps“ (Zugriff auf Apps).

  2. Geben Sie den Anwendungsnamen und eine Beschreibung ein, z. B. Moderne Microsoft Entra-Authentifizierung für SSH.

  3. Konfigurieren Sie die Anwendungsidentität.

    a. Geben Sie einen Namen und eine Beschreibung ein.

    b. Geben Sie die Anwendungsserver-IP bzw. den FQDN und Port für SSH an.

    c. Geben Sie den SSH-Benutzernamen und die SSH-Passphrase an. *Diese finden Sie in Akamai EAA.

    d. Geben Sie den Namen des externen Hosts an.

    e. Geben Sie den Speicherort für den Connector an, und wählen Sie den Connector aus.

Authentifizierung

Klicken Sie auf der Registerkarte Authentifizierung auf Speichern und zu Diensten wechseln.

Dienste

Klicken Sie auf Save and go to Advanced Settings (Speichern und zu erweiterten Einstellungen wechseln).

Screenshot der Registerkarte „Services“ (Dienste) der Akamai EAA-Konsole für SSH-SECURE mit der Schaltfläche „Save“ (Speichern) und der Schaltfläche zum Wechseln zu „Advanced Settings“ (Erweiterte Einstellungen) in der unteren rechten Ecke.

Erweiterte Einstellungen

Klicken Sie auf „Save and go to Deployment“ (Speichern und zur Bereitstellung wechseln).

Screenshot der Registerkarte „Advanced Settings“ (Erweiterte Einstellungen) der Akamai EAA-Konsole für SSH-SECURE mit den Einstellungen für „Authentication“ (Authentifizierung) und die Konfiguration der Integritätsüberprüfung.

Screenshot der Registerkarte „Custom HTTP headers“ (Benutzerdefinierte HTTP-Header) der Akamai EAA-Konsole für SSH-SECURE mit der Schaltfläche „Save“ (Speichern) und der Schaltfläche zum Wechseln zu „Deployment“ (Bereitstellung) in der unteren rechten Ecke.

Bereitstellung

  1. Klicken Sie auf Deploy Application (Anwendung bereitstellen).

    Screenshot der Registerkarte „Deployment“ (Bereitstellung) der Akamai EAA-Konsole für SSH-SECURE mit der Schaltfläche „Deploy application“ (Anwendung bereitstellen).

  2. Endbenutzererfahrung

    Screenshot des Anmeldedialogfelds eines myapps.microsoft.com-Fensters.

    Screenshot des Fensters „Apps“ von „myapps.microsoft.com“ mit Symbolen für Add-In, HRWEB, Akamai – CorpApps, Ausgaben, Gruppen und Zugriffsüberprüfungen.

  3. Bedingter Zugriff

    Screenshot mit der Meldung: Anmeldeanfrage genehmigen. Wir haben eine Benachrichtigung an Ihr Mobilgerät gesendet. Bitte antworten Sie, um fortzufahren.

    Screenshot des Bildschirms „Applications“ (Anwendungen) mit Symbolen für MyHeaderApp, SSH Secure und SecretRDPApp.

    Screenshot eines Befehlsfensters für „ssh-secure-go.akamai-access.com“ mit einer Kennworteingabeaufforderung.

    Screenshot eines Befehlsfensters für „ssh-secure-go.akamai-access.com“ mit Informationen über die Anwendung und einer Eingabeaufforderung für Befehle.

Kerberos-Authentifizierung

Im folgenden Beispiel wird ein interner Webserver (http://frp-app1.superdemo.live) veröffentlicht und einmaliges Anmelden mit KCD aktiviert.

Registerkarte Allgemein

Screenshot der Registerkarte „General“ (Allgemein) der Akamai EAA-Konsole für MYKERBOROSAPP.

Registerkarte „Authentication“ (Authentifizierung)

Weisen Sie auf der Seite Authentifizierung den Identitätsanbieter zu.

Registerkarte „Services“ (Dienste)

Screenshot der Registerkarte „Services“ (Dienste) der Akamai EAA-Konsole für MYKERBOROSAPP.

Erweiterte Einstellungen

Screenshot der Registerkarte „Advanced Settings“ (Erweiterte Einstellungen) der Akamai EAA-Konsole für MYKERBOROSAPP mit Einstellungen für „Related Applications“ (Verwandte Anwendungen) und „Authentication“ (Authentifizierung).

Hinweis

Der SPN für den Webserver befindet sich in SPN@Domain Format, z. B.: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE für diese Demo. Lassen Sie die restlichen Einstellungen unverändert.

Registerkarte „Deployment“ (Bereitstellung)

Screenshot der Registerkarte „Deployment“ (Bereitstellung) der Akamai EAA-Konsole für MYKERBOROSAPP mit der Schaltfläche „Deploy application“ (Anwendung bereitstellen).

Hinzufügen eines Verzeichnisses

  1. Wählen Sie in der Dropdownliste die Option AD aus.

    Screenshot des Fensters „Directories“ (Verzeichnisse) der Akamai EAA-Konsole mit dem Dialogfeld „Create New Directory“ (Neues Verzeichnis erstellen), in dem „AD“ in der Dropdownliste für den Verzeichnistyp ausgewählt ist.

  2. Geben Sie die erforderlichen Daten an.

    Screenshot des Fensters „SUPERDEMOLIVE“ der Akamai EAA-Konsole mit Einstellungen für „DirectoryName“ (Verzeichnisname), „Directory Service“ (Verzeichnisdienst), Connector und „Attribute mapping“ (Attributzuordnung).

  3. Überprüfen Sie die Verzeichniserstellung.

    Screenshot des Fensters „Directories“ (Verzeichnisse) der Akamai EAA-Konsole mit dem hinzugefügten Verzeichnis „superdemo.live“.

  4. Fügen Sie die Gruppen/Organisationseinheiten hinzu, die Zugriff benötigen.

    Screenshot der Einstellungen für das Verzeichnis superdemo.live. Das Symbol, das Sie zum Hinzufügen von Gruppen oder OUs auswählen, wird hervorgehoben.

  5. Hier heißt die Gruppe „EAAGroup“ und hat ein einzelnes Mitglied.

    Screenshot des Fensters GROUPS ON SUPERDEMOLIVE DIRECTORY der Akamai EAA-Konsole. Die EAAGruppe mit 1 Benutzer wird unter Gruppen aufgelistet.

  6. Fügen Sie das Verzeichnis dem Identitätsanbieter hinzu, indem Sie unter Identität>Identitätsanbieter auf der Registerkarte Verzeichnisse auf Verzeichnis zuweisen klicken.

Konfigurieren der KCD-Delegierung für EAA: Exemplarische Vorgehensweise

Schritt 1: Erstellen eines Kontos

  1. In dem Beispiel wird ein Konto namens EAADelegation verwendet. Sie können hierzu das Snap-In Active Directory-Benutzer und -Computer verwenden.

    Hinweis

    Der Benutzername muss in einem bestimmten Format vorliegen, das auf dem für Identity Intercept (Identität abfangen) angegebenen Namen basiert. In Abbildung 1 ist zu sehen, dass dieser corpapps.login.go.akamai-access.com lautet.

  2. Der Benutzeranmeldename lautet: HTTP/corpapps.login.go.akamai-access.com

    Screenshot der EAADelegation-Eigenschaften, wobei der Vorname auf „EAADelegation“ und der Anmeldename des Benutzers auf „HTTP/corpapps.login.go.akamai-access.com“ festgelegt ist.

Schritt 2: Konfigurieren des SPN für dieses Konto

  1. In diesem Beispiel lautet der SPN wie folgt:

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    Screenshot einer Administratoreingabeaufforderung mit den Ergebnissen des Befehls „setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation“.

Schritt 3: Konfigurieren der Delegierung

  1. Klicken Sie für das Konto „EAADelegation“ auf die Registerkarte für die Delegierung.

    Screenshot einer Administratoreingabeaufforderung mit dem Befehl zum Konfigurieren des SPN.

    • Verwenden Sie ein beliebiges Authentifizierungsprotokoll.
    • Klicken Sie auf „Add“ (Hinzufügen), und fügen Sie das App-Pool-Konto für die Kerberos-Website hinzu. Bei korrekter Konfiguration sollte es automatisch zum korrekten SPN aufgelöst werden.

Schritt 4: Erstellen einer Schlüsseltabellendatei für Akamai EAA

  1. Die generische Syntax lautet wie folgt:

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. Erläuterung des Beispiels

    Codeausschnitt Erklärung
    Ktpass /out EAADemo.keytab // Der Name der ausgegebenen Schlüsseltabellendatei.
    /princ HTTP/\corpapps.login.go.akamai-access.com@superdemo.live HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live // EAA-Delegierungskonto
    /pass RANDOMPASS // Kennwort des EAA-Delegierungskontos
    /crypto All ptype KRB5_NT_PRINCIPAL // Siehe Akamai EAA-Dokumentation
  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    Screenshot einer Administratoreingabeaufforderung mit den Ergebnissen des Befehls zum Erstellen einer Schlüsseltabellendatei für AKAMAI EAA.

Schritt 5: Importieren der Schlüsseltabelle in der Akamai EAA-Konsole

  1. Klicken Sie auf System>Keytabs (System > Schlüsseltabellen).

    Screenshot der Akamai-EAA-Konsole, mit ausgewählten Schlüsseltabellen im Menü „System“.

  2. Wählen Sie als Schlüsseltabellentyp die Option Kerberos Delegation (Kerberos-Delegierung) aus.

    Screenshot des EAAKEYTAB-Bildschirms der Akamai EAA-Konsole mit den Keytab-Einstellungen. Der Keytab-Typ ist auf Kerberos-Delegierung eingestellt.

  3. Vergewissern Sie sich, dass die Schlüsseltabelle als bereitgestellt und überprüft angezeigt wird.

    Screenshot des KEYTABS-Bildschirms der Akamai EAA-Konsole, auf dem die EAA-Schlüsseltabelle als „Schlüsseltabelle bereitgestellt und verifiziert“ aufgeführt ist.

  4. Benutzererfahrung

    Screenshot: Anmeldedialogfeld für „myapps.microsoft.com“

    Screenshot des Fensters „Apps“ für „myapps.microsoft.com“ mit App-Symbolen.

  5. Bedingter Zugriff

    Screenshot mit einer Melduung zum Genehmigen der Anmeldeanforderung.

    Screenshot des Bildschirms „Applications“ (Anwendungen) mit Symbolen für MyHeaderApp, SSH Secure, SecretRDPApp und myKerberosApp.

    Screenshot des Begrüßungsbildschirms für die myKerberosApp. Die Meldung

Erstellen eines Akamai-Testbenutzers

In diesem Abschnitt erstellen Sie in Akamai einen Benutzer namens B. Simon. Arbeiten Sie mit dem Supportteam für den Akamai-Client zusammen, um die Benutzer zur Akamai-Plattform hinzuzufügen. Benutzer müssen erstellt und aktiviert werden, damit Sie einmaliges Anmelden verwenden können.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Konfiguration von Microsoft Entra ID-SSO mit den folgenden Optionen.

  • Klicken Sie auf Diese Anwendung testen. Dadurch sollten Sie automatisch bei der Akamai-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie unter „Meine Apps“ auf die Kachel „Akamai“ klicken, sollten Sie automatisch bei der Akamai-Instanz angemeldet werden, für die Sie einmaliges Anmelden eingerichtet haben. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Akamai können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.