チュートリアル: Microsoft Entra SSO と Akamai の統合
このチュートリアルでは、Akamai を Microsoft Entra ID と統合する方法について説明します。 Akamai を Microsoft Entra ID と統合すると、次のことができます。
- Akamai にアクセスできるユーザーを Microsoft Entra ID で制御します。
- ユーザーが自分の Microsoft Entra アカウントを使用して Akamai に自動的にログインできるようにします。
- 1 つの中心的な場所でアカウントを管理します。
Microsoft Entra ID と Akamai Enterprise Application Access の統合により、クラウドまたはオンプレミスでホストされているレガシ アプリケーションにシームレスにアクセスできます。 この統合ソリューションは、レガシ アプリケーションにアクセスするために Microsoft Entra 条件付きアクセス、Microsoft Entra ID 保護、Microsoft Entra ID ガバナンス など、Microsoft Entra ID の最新機能をすべて活用でき、アプリの変更やエージェントのインストールは不要です。
以下の図は、Akamai EAA が安全なハイブリッド アクセスの広範なシナリオに適していることを示しています。
キー認証のシナリオ
先進認証プロトコル (OpenID Connect、SAML、WS-Fed など) に対する Microsoft Entra のネイティブ統合のサポートとは別に、Akamai EAA は、Microsoft Entra ID を使用して内部と外部の両方のアクセスにレガシベース認証アプリの安全なアクセスを展開し、これらのアプリケーションに最新のシナリオ (パスワードレス アクセスなど) を実現します。 これには、次のものが含まれます。
- ヘッダーベースの認証アプリ
- リモート デスクトップ
- SSH (Secure Shell)
- Kerberos 認証アプリ
- VNC (Virtual Network コンピューティング)
- 匿名認証または非ビルトイン認証アプリ
- NTLM 認証アプリ (ユーザーに対する二重プロンプトでの保護)
- フォームベース アプリケーション (ユーザーを二重プロンプトで保護)
統合シナリオ
Microsoft と Akamai EAA のパートナーシップにより、ビジネス要件に基づく複数の統合シナリオがサポートされるため、柔軟にビジネス要件を満たすことができます。 これらを使用することにより、すべてのアプリケーションにゼロデイのカバレッジを実現し、適切なポリシー分類を段階的に分類と構成できます。
統合シナリオ 1
Akamai EAA は Microsoft Entra ID で単一のアプリケーションとして構成されます。 管理者はアプリケーションで条件付きアクセス ポリシーを構成することができます。条件が満たされると、ユーザーは Akamai EAA のポータルにアクセスできます。
長所:
- IDP の構成は 1 回のみ必要です。
短所:
ユーザーは最終的に 2 つのアプリケーション ポータルを持つことになります。
すべてのアプリケーションを対象とする 1 つの共通条件付きアクセス ポリシー。
統合シナリオ 2
Akamai EAA アプリケーションは Azure Portal で個別に設定されます。 管理者はアプリケーションに対して個別の条件付きアクセス ポリシーを構成できます。条件が満たされると、ユーザーを特定のアプリケーションに直接リダイレクトできます。
長所:
個別の条件付きアクセス ポリシーを定義できます。
すべてのアプリが 0365 のワッフルと myApps.microsoft.com パネルに表されます。
短所:
- 複数の IDP を構成する必要があります。
前提条件
開始するには、次が必要です:
- Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウント を取得できます。
- Akamai のシングル サインオン (SSO) が有効なサブスクリプション。
シナリオの説明
このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。
- Akamai は、IDP 駆動型 SSO をサポートしています。
重要
以下に記載されたすべての設定内容は、統合シナリオ 1 とシナリオ 2 で同じです。 統合シナリオ 2 では、Akamai EAA で個々の IDP を設定する必要があり、URL プロパティはアプリケーション URL を指すように変更する必要があります。
ギャラリーから Akamai の追加
Microsoft Entra ID への Akamai の統合を構成するには、ギャラリーからマネージド SaaS アプリのリストに Akamai を追加する必要があります。
- Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] を参照します。
- [ギャラリーから追加] セクションで、検索ボックスに「Akamai」と入力します。
- 結果パネルから [Akamai] を選択したら、アプリを追加します。 アプリがお使いのテナントに追加されるまで数秒待ちます。
または、Enterprise アプリ 構成ウィザード を使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細について説明します。
Akamai 用の Microsoft Entra SSO の構成とテスト
B.Simon というテスト ユーザーを使用し、Akamai で Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと Akamai の関連ユーザーの間でリンク関係を確立する必要があります。
Akamai で Microsoft Entra SSO を構成してテストするには、次の手順を実行します。
- Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。
- Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
- Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
- Akamai SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
- IDP の設定
- ヘッダー ベースの認証
- リモート デスクトップ
- SSH
- Kerberos 認証
- Akamai のテスト ユーザーの作成 - ユーザーの Microsoft Entra 表現にリンクされた Akamai の B.Simon に対応するユーザーを持ちます。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
次の手順に従って Microsoft Entra SSO を有効にします。
Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Akamai]>[シングル サインオン] に参照します。
[シングル サインオン方式の選択] ページで、[SAML] を選択します。
[SAML によるシングル サインオンの設定] ページで、鉛筆アイコンをクリックして [基本的な SAML 構成] から設定を編集します。
[基本的な SAML 構成] セクションで、アプリケーションを IDP 開始モードで構成する場合は、次のフィールドに値を入力します:
a. [識別子] テキスト ボックスに
https://<Yourapp>.login.go.akamai-access.com/saml/sp/response
のパターンを使用して URL を入力します。b. [応答 URL] テキスト ボックスに
https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response
のパターンを使用して URL を入力します。注意
これらは実際の値ではありません。 実際の識別子と応答 URL でこれらの値を更新します。 これらの値を取得するには、Akamai クライアント サポート チームにご連絡ください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。
[SAML によるシングル サインオンの設定] ページの [SAML 署名証明書] セクションで、[フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードしてお使いのコンピューターに保存します。
[Akamai の設定] セクションで、要件に基づいて適切な URL をコピーします。
Microsoft Entra テスト ユーザーを作成する
このセクションでは、B.Simon というテスト ユーザーを作成します。
- Microsoft Entra 管理センターにユーザー管理者以上でサインインしてください。
- [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
- 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
- [ユーザー] プロパティで、以下の手順を実行します:
- [表示名] フィールドに「
B.Simon
」と入力します。 - [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、
B.Simon@contoso.com
のようにします。 - [パスワードを表示] チェック ボックスをオンにし、[パスワード] ボックスに表示された値を書き留めます。
- [レビュー + 作成] を選択します。
- [表示名] フィールドに「
- [作成] を選択します。
Microsoft Entra テスト ユーザーの割り当て
このセクションでは、Akamai へのアクセスを許可することにより、B.Simon がシングル サインオンを使用できるようにします。
- Microsoft Entra 管理センター に クラウド アプリケーション管理者 以上の権限でサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Akamai] を参照します。
- アプリの概要ページで [ユーザーとグループ] を選択します。
- [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
- [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
- ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
- [割り当ての追加] ダイアログで [割り当て] ボタンをクリックします。
Akamai SSO の構成
IDP の設定
AKAMAI EAA IDP の構成
Akamai Enterprise Application Access コンソールにログインします。
Akamai EAA コンソールで [ID]>[ID プロバイダー] を選択し、[ID プロバイダーの追加] をクリックします。
[新しい ID プロバイダーの作成] で次の手順を実行します。
a. 一意の名前を指定します。
b. [サード パーティの SAML] を選択し、[ID プロバイダーの作成と構成] をクリックします。
全般設定
[ID のインターセプト] - 名前を指定します (SP ベース URL を Microsoft Entra 構成に使用します)。
注意
お持ちのカスタム ドメインを選択することもできます (DNS エントリと証明書が必要です)。 この例では、Akamai ドメインを使用します。
[Akamai クラウド ゾーン] - 適切なクラウド ゾーンを選択します。
[証明書の検証] - Akamai ドキュメントを確認します (省略可)。
認証の構成
URL - ID インターセプトと同じ URL を指定します (認証後、ユーザーはここにリダイレクトされます)。
ログアウト URL: ログアウト URL を更新します。
SAML 要求に署名: 既定ではオフです。
IDP メタデータ ファイルには、Microsoft Entra ID コンソールでアプリケーションを追加します。
セッションの設定
設定は既定値のままにします。
ディレクトリ
ディレクトリの構成をスキップします。
カスタマイズ UI
IDP にカスタマイズを追加できます。
詳細設定
詳細設定をスキップするか、Akamai のドキュメントで詳細を確認してください。
展開
[ID プロバイダーの展開] をクリックします。
展開が正常に実行されたことを確認します。
ヘッダー ベースの認証
Akamai ヘッダー ベースの認証
アプリケーションの追加ウィザードで [カスタム HTTP] を選択します。
[アプリケーション名] と [説明] を入力します。
認証
[認証] タブを選択します。
ID プロバイダーを割り当てます。
サービス
[保存して認証に移動] をクリックします。
詳細設定
[カスタマー HTTP ヘッダー] で、CustomerHeader と SAML 属性を指定します。
[保存してデプロイに移動] ボタンをクリックします。
アプリケーションの展開
[アプリケーションの展開] ボタンをクリックします。
アプリケーションが正しく展開されたことを確認してください。
エンドユーザー エクスペリエンス。
条件付きアクセス。
リモート デスクトップ
ADD アプリケーション ウィザードから [RDP] を選択します。
[アプリケーション名] と [説明] を入力します。
このサービスを提供するコネクタを指定します。
認証
[保存してサービスに移動] をクリックします。
サービス
[保存して詳細設定に移動] をクリックします。
詳細設定
[保存して展開に移動] をクリックします。
エンドユーザー エクスペリエンス
条件付きアクセス
または、RDP アプリケーションの URL を直接入力することもできます。
SSH
[アプリケーションの追加] に移動し、[SSH] を選択します。
[アプリケーション名] と [説明] を入力します。
アプリケーション ID を構成します。
a. 名前と説明を指定します。
b. アプリケーション サーバーの IP または FQDN と SSH のポートを指定します。
c. SSH ユーザー名とパスフレーズを指定します (Akamai EAA を確認してください)。
d. 外部ホスト名を指定します。
e. コネクタの場所を指定し、コネクタを選択します。
認証
[保存してサービスに移動] をクリックします。
サービス
[保存して詳細設定に移動] をクリックします。
詳細設定
[保存して展開に移動] をクリックします。
展開
[アプリケーションの展開] をクリックします。
エンドユーザー エクスペリエンス
条件付きアクセス
Kerberos 認証
以下の例では、http://frp-app1.superdemo.live
で内部 Web サーバーを発行し、KCD を使用して SSO を有効にしています。
[全般] タブ
[認証] タブ
ID プロバイダーを割り当てます。
[サービス] タブ
詳細設定
注意
このデモでは、Web サーバーの SPN は SPN@Domain 形式 (例: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE
) にする必要があります。 残りの設定は既定値のままにします。
[展開] タブ
ディレクトリの追加
ドロップダウン リストから [AD] を選択します。
必要なデータを入力します。
ディレクトリの作成を確認します。
アクセスを必要とするグループまたは OU を追加します。
以下では、グループは EAAGroup と呼ばれて 1 名のメンバーが含まれています。
ID プロバイダーにディレクトリを追加するには、[ID]>[ID プロバイダー] をクリックし、[ディレクトリ] タブをクリックして [ディレクトリの割り当て] をクリックします。
EAA チュートリアル用の KCD 委任の構成
手順 1:アカウントの作成
この例では、「EAADelegation」というアカウントを使用します。 [Active Directory ユーザーとコンピューター] スナップインを使用して実行します。
注意
ユーザー名は ID インターセプト名に基づく特定の形式にする必要があります。 図 1 によると、corpapps.login.go.akamai-access.com であることがわかります。
ユーザー ログオン名は
HTTP/corpapps.login.go.akamai-access.com
になります。
手順 2:このアカウントの SPN の構成
このサンプルに基づき、SPN は以下のようになります。
setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation
手順 3:委任の構成
EAADelegation アカウントには、[委任] タブをクリックします。
- [任意の認証プロトコルの使用] を指定します。
- [追加] をクリックし、Kerberos Web サイトのアプリ プール アカウントを追加します。 正しく構成されていれば、自動的に正しい SPN に修正されます。
手順 4:AKAMAI EAA 用 Keytab ファイルの作成
汎用構文は次のとおりです。
ktpass /out ActiveDirectorydomain.keytab /princ
HTTP/yourloginportalurl@ADDomain.com
/mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL説明されている例
スニペット 説明 Ktpass /out EAADemo.keytab // 出力 keytab ファイルの名前 /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live // HTTP/yourIDPName@YourdomainName /mapuser eaadelegation@superdemo.live // EAA 委任アカウント /pass RANDOMPASS // EAA 委任アカウントのパスワード /crypto All ptype KRB5_NT_PRINCIPAL // Akamai EAA のドキュメントを参照してください Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL
手順 5:Akamai EAA コンソールで Keytab のインポート
[システム]>[Keytabs] をクリックします。
[Keytab の種類] で [Kerberos 委任] を選択します。
Keytab が [展開済] と [確認済] として表示されていることを確認します。
ユーザー エクスペリエンス
条件付きアクセス
Akamai のテスト ユーザーの作成
このセクションでは、Akamai で B.Simon というユーザーを作成します。 Akamai クライアント サポート チームと連携し、Akamai プラットフォームにユーザーを追加してください。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。
SSO のテスト
このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。
[このアプリケーションのテスト] をクリックすると、SSO を設定した Akamai に自動的にログインされます。
Microsoft マイ アプリを使用することができます。 マイ アプリで [Akamai] タイルをクリックすると、SSO を設定した Akamai に自動的にログインされます。 マイ アプリの詳細については、「マイ アプリの概要」を参照してください。
次のステップ
Akamai を構成したら、リアルタイムで組織の機密データを流出と侵入から保護するセッション制御を実施できます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。