次の方法で共有

チュートリアル: Microsoft Entra SSO と Akamai の統合

  • [アーティクル]

このチュートリアルでは、Akamai を Microsoft Entra ID と統合する方法について説明します。 Akamai を Microsoft Entra ID と統合すると、次のことができます。

  • Akamai にアクセスできるユーザーを Microsoft Entra ID で制御します。
  • ユーザーが自分の Microsoft Entra アカウントを使用して Akamai に自動的にログインできるようにします。
  • 1 つの中心的な場所でアカウントを管理します。

Microsoft Entra ID と Akamai Enterprise Application Access の統合により、クラウドまたはオンプレミスでホストされているレガシ アプリケーションにシームレスにアクセスできます。 この統合ソリューションは、レガシ アプリケーションにアクセスするために Microsoft Entra 条件付きアクセスMicrosoft Entra ID 保護Microsoft Entra ID ガバナンス など、Microsoft Entra ID の最新機能をすべて活用でき、アプリの変更やエージェントのインストールは不要です。

以下の図は、Akamai EAA が安全なハイブリッド アクセスの広範なシナリオに適していることを示しています。

Akamai EAA は安全なハイブリッド アクセスの広範なシナリオに適しています

キー認証のシナリオ

先進認証プロトコル (OpenID Connect、SAML、WS-Fed など) に対する Microsoft Entra のネイティブ統合のサポートとは別に、Akamai EAA は、Microsoft Entra ID を使用して内部と外部の両方のアクセスにレガシベース認証アプリの安全なアクセスを展開し、これらのアプリケーションに最新のシナリオ (パスワードレス アクセスなど) を実現します。 これには、次のものが含まれます。

  • ヘッダーベースの認証アプリ
  • リモート デスクトップ
  • SSH (Secure Shell)
  • Kerberos 認証アプリ
  • VNC (Virtual Network コンピューティング)
  • 匿名認証または非ビルトイン認証アプリ
  • NTLM 認証アプリ (ユーザーに対する二重プロンプトでの保護)
  • フォームベース アプリケーション (ユーザーを二重プロンプトで保護)

統合シナリオ

Microsoft と Akamai EAA のパートナーシップにより、ビジネス要件に基づく複数の統合シナリオがサポートされるため、柔軟にビジネス要件を満たすことができます。 これらを使用することにより、すべてのアプリケーションにゼロデイのカバレッジを実現し、適切なポリシー分類を段階的に分類と構成できます。

統合シナリオ 1

Akamai EAA は Microsoft Entra ID で単一のアプリケーションとして構成されます。 管理者はアプリケーションで条件付きアクセス ポリシーを構成することができます。条件が満たされると、ユーザーは Akamai EAA のポータルにアクセスできます。

長所:

  • IDP の構成は 1 回のみ必要です。

短所:

  • ユーザーは最終的に 2 つのアプリケーション ポータルを持つことになります。

  • すべてのアプリケーションを対象とする 1 つの共通条件付きアクセス ポリシー。

統合シナリオ 1

統合シナリオ 2

Akamai EAA アプリケーションは Azure Portal で個別に設定されます。 管理者はアプリケーションに対して個別の条件付きアクセス ポリシーを構成できます。条件が満たされると、ユーザーを特定のアプリケーションに直接リダイレクトできます。

長所:

  • 個別の条件付きアクセス ポリシーを定義できます。

  • すべてのアプリが 0365 のワッフルと myApps.microsoft.com パネルに表されます。

短所:

  • 複数の IDP を構成する必要があります。

統合シナリオ 2

前提条件

開始するには、次が必要です:

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウント を取得できます。
  • Akamai のシングル サインオン (SSO) が有効なサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • Akamai は、IDP 駆動型 SSO をサポートしています。

重要

以下に記載されたすべての設定内容は、統合シナリオ 1シナリオ 2 で同じです。 統合シナリオ 2 では、Akamai EAA で個々の IDP を設定する必要があり、URL プロパティはアプリケーション URL を指すように変更する必要があります。

Akamai Enterprise Application Access で AZURESSO-SP の [全般] タブのスクリーンショット。[認証構成] の URL フィールドが強調表示されています。

Microsoft Entra ID への Akamai の統合を構成するには、ギャラリーからマネージド SaaS アプリのリストに Akamai を追加する必要があります。

  1. Microsoft Entra 管理センタークラウド アプリケーション管理者 以上の権限でサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] を参照します。
  3. [ギャラリーから追加] セクションで、検索ボックスに「Akamai」と入力します。
  4. 結果パネルから [Akamai] を選択したら、アプリを追加します。 アプリがお使いのテナントに追加されるまで数秒待ちます。

または、Enterprise アプリ 構成ウィザード を使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細について説明します。

Akamai 用の Microsoft Entra SSO の構成とテスト

B.Simon というテスト ユーザーを使用し、Akamai で Microsoft Entra SSO を構成してテストします。 SSO が機能するには、Microsoft Entra ユーザーと Akamai の関連ユーザーの間でリンク関係を確立する必要があります。

Akamai で Microsoft Entra SSO を構成してテストするには、次の手順を実行します。

  1. Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。
  2. Akamai SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. Microsoft Entra 管理センタークラウド アプリケーション管理者 以上の権限でサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Akamai]>[シングル サインオン] に参照します。

  3. [シングル サインオン方式の選択] ページで、[SAML] を選択します。

  4. ‬[SAML によるシングル サインオンの設定]‭ ページで、鉛筆アイコンをクリックして [基本的な SAML 構成] から設定を編集します。

    基本的な SAML 構成の編集

  5. [基本的な SAML 構成] セクションで、アプリケーションを IDP 開始モードで構成する場合は、次のフィールドに値を入力します:

    a. [識別子] テキスト ボックスに https://<Yourapp>.login.go.akamai-access.com/saml/sp/response のパターンを使用して URL を入力します。

    b. [応答 URL] テキスト ボックスに https:// <Yourapp>.login.go.akamai-access.com/saml/sp/response のパターンを使用して URL を入力します。

    注意

    これらは実際の値ではありません。 実際の識別子と応答 URL でこれらの値を更新します。 これらの値を取得するには、Akamai クライアント サポート チームにご連絡ください。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  6. [SAML によるシングル サインオンの設定] ページの [SAML 署名証明書] セクションで、[フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードしてお使いのコンピューターに保存します。

    証明書のダウンロード リンク

  7. [Akamai の設定] セクションで、要件に基づいて適切な URL をコピーします。

    構成 URL をコピーする

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します:
    1. [表示名] フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、B.Simon@contoso.com のようにします。
    3. [パスワードを表示] チェック ボックスをオンにし、[パスワード] ボックスに表示された値を書き留めます。
    4. [レビュー + 作成] を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーの割り当て

このセクションでは、Akamai へのアクセスを許可することにより、B.Simon がシングル サインオンを使用できるようにします。

  1. Microsoft Entra 管理センタークラウド アプリケーション管理者 以上の権限でサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Akamai] を参照します。
  3. アプリの概要ページで [ユーザーとグループ] を選択します。
  4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
    2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
    3. [割り当ての追加] ダイアログで [割り当て] ボタンをクリックします。

Akamai SSO の構成

IDP の設定

AKAMAI EAA IDP の構成

  1. Akamai Enterprise Application Access コンソールにログインします。

  2. Akamai EAA コンソール[ID]>[ID プロバイダー] を選択し、[ID プロバイダーの追加] をクリックします。

    Akamai EAA コンソールの [ID プロバイダー] ウィンドウのスクリーンショット。[ID] メニューで [ID プロバイダー] を選択し、[ID プロバイダーの追加] を選択します。

  3. [新しい ID プロバイダーの作成] で次の手順を実行します。

    Akamai EAA コンソールの [新しい ID プロバイダーの作成] ダイアログのスクリーンショット。

    a. 一意の名前を指定します。

    b. [サード パーティの SAML] を選択し、[ID プロバイダーの作成と構成] をクリックします。

全般設定

  1. [ID のインターセプト] - 名前を指定します (SP ベース URL を Microsoft Entra 構成に使用します)。

    注意

    お持ちのカスタム ドメインを選択することもできます (DNS エントリと証明書が必要です)。 この例では、Akamai ドメインを使用します。

  2. [Akamai クラウド ゾーン] - 適切なクラウド ゾーンを選択します。

  3. [証明書の検証] - Akamai ドキュメントを確認します (省略可)。

    [ID インターセプト]、[Akamai クラウド ゾーン]、[証明書の検証] の各設定を示す Akamai EAA コンソールの [全般] タブのスクリーンショット。

認証の構成

  1. URL - ID インターセプトと同じ URL を指定します (認証後、ユーザーはここにリダイレクトされます)。

  2. ログアウト URL: ログアウト URL を更新します。

  3. SAML 要求に署名: 既定ではオフです。

  4. IDP メタデータ ファイルには、Microsoft Entra ID コンソールでアプリケーションを追加します。

    [URL]、[ログアウト URL]、[SAML 要求の署名]、[IDP メタデータ ファイル] の各設定を示す Akamai EAA コンソールの [認証構成] のスクリーンショット。

セッションの設定

設定は既定値のままにします。

Akamai EAA コンソールの [セッション設定] ダイアログのスクリーンショット。

ディレクトリ

ディレクトリの構成をスキップします。

Akamai EAA コンソールの [ディレクトリ] タブのスクリーンショット。

カスタマイズ UI

IDP にカスタマイズを追加できます。

[UI のカスタマイズ]、[言語設定]、[テーマ] の各設定を示す Akamai EAA コンソールの [カスタマイズ] タブのスクリーンショット。

詳細設定

詳細設定をスキップするか、Akamai のドキュメントで詳細を確認してください。

[EAA クライアント]、[詳細]、[OIDC から SAML へのブリッジ] の各設定を示す Akamai EAA コンソールの [詳細設定] タブのスクリーンショット。

展開

  1. [ID プロバイダーの展開] をクリックします。

    [ID プロバイダーの展開] ボタンを示す Akamai EAA コンソールの [展開] タブのスクリーンショット。

  2. 展開が正常に実行されたことを確認します。

ヘッダー ベースの認証

Akamai ヘッダー ベースの認証

  1. アプリケーションの追加ウィザードで [カスタム HTTP] を選択します。

    [アプリへのアクセス] セクションに [カスタム HTTP] を示す Akamai EAA コンソールにあるアプリケーションの追加ウィザードのスクリーンショット。

  2. [アプリケーション名][説明] を入力します。

    [アプリケーション名] と [説明] の各設定を示す [カスタム HTTP アプリ] ダイアログのスクリーンショット。

    MYHEADERAPP の全般設定を示す Akamai EAA コンソールの [全般] タブのスクリーンショット。

    [証明書] と [場所] の各設定を示す Akamai EAA コンソールのスクリーンショット。

認証

  1. [認証] タブを選択します。

    [認証] タブが選択された Akamai EAA コンソールのスクリーンショット。

  2. ID プロバイダーを割り当てます。

    [ID プロバイダー] が [Microsoft Entra SSO] に設定された状態を示す MYHEADERAPP の Akamai EAA コンソール [認証] タブのスクリーンショット。

サービス

[保存して認証に移動] をクリックします。

右下隅の [保存して詳細設定に移動] ボタンを示す MYHEADERAPP の Akamai EAA コンソール [サービス] タブのスクリーンショット。

詳細設定

  1. [カスタマー HTTP ヘッダー] で、CustomerHeaderSAML 属性を指定します。

    [認証] で強調表示された [SSO ログ URL] フィールドを示す Akamai EAA コンソールの [詳細設定] タブのスクリーンショット。

  2. [保存してデプロイに移動] ボタンをクリックします。

    右下隅の [保存して展開に移動] ボタンを示す Akamai EAA コンソールの [詳細設定] タブのスクリーンショット。

アプリケーションの展開

  1. [アプリケーションの展開] ボタンをクリックします。

    [アプリケーションの展開] ボタンを示す Akamai EAA コンソールの [展開] タブのスクリーンショット。

  2. アプリケーションが正しく展開されたことを確認してください。

    アプリケーション状態のメッセージが「アプリケーションが正常に展開されました」と示す Akamai EAA コンソールの [展開] タブのスクリーンショット。

  3. エンドユーザー エクスペリエンス。

    背景画像と [ログイン] ダイアログを示す myapps.microsoft.com の開始画面のスクリーンショット。

    [アプリ] ウィンドウの一部と [アドイン]、[HRWEB]、[Akamai - CorpApps]、[経費]、[グループ]、[アクセス レビュー] のアイコンを示すスクリーンショット。

  4. 条件付きアクセス。

    「ログイン要求を承認してください。お使いのモバイル デバイスに通知を送信しました。続行するには、応答してください」というメッセージのスクリーンショット。

    MyHeaderApp のアイコンを示す [アプリケーション] 画面のスクリーンショット。

リモート デスクトップ

  1. ADD アプリケーション ウィザードから [RDP] を選択します。

    [アプリへのアクセス] セクションで一連のアプリの中で [RDP] を示す Akamai EAA コンソールにあるアプリケーションの追加ウィザードのスクリーンショット。

  2. [アプリケーション名][説明] を入力します。

    [アプリケーション名] と [説明] の各設定を示す [RDP アプリ] ダイアログのスクリーンショット。

    SECRETRDPAPP の [アプリケーション ID] 設定を示す Akamai EAA コンソールの [全般] タブのスクリーンショット。

  3. このサービスを提供するコネクタを指定します。

    [証明書] と [場所] の各設定を示す Akamai EAA コンソールのスクリーンショット。関連するコネクタは USWST-CON1 に設定されています。

認証

[保存してサービスに移動] をクリックします。

右下隅に [保存してサービスに移動] ボタンを示す SECRETRDPAPP の Akamai EAA コンソール [認証] タブのスクリーンショット。

サービス

[保存して詳細設定に移動] をクリックします。

右下隅に [保存して詳細設定に移動] ボタンを示す SECRETRDPAPP の Akamai EAA コンソール [サービス] タブのスクリーンショット。

詳細設定

  1. [保存して展開に移動] をクリックします。

    [リモート デスクトップ構成] の設定を示す SECRETRDPAPP の Akamai EAA コンソール [詳細設定] タブのスクリーンショット。

    [認証] と [正常性チェックの構成] の設定を示す SECRETRDPAPP の Akamai EAA コンソール [詳細設定] タブのスクリーンショット。

    右下隅に [保存して展開に移動] ボタンを示す SECRETRDPAPP の Akamai EAA コンソール [カスタム HTTP ヘッダー] 設定のスクリーンショット。

  2. エンドユーザー エクスペリエンス

    背景画像と [ログイン] ダイアログを示す [myapps.microsoft.com] ウィンドウのスクリーンショット。

    [アドイン]、[HRWEB]、[Akamai - CorpApps]、[経費]、[グループ]、[アクセス レビュー] のアイコンを示す myapps.microsoft.com の [アプリ] ウィンドウのスクリーンショット。

  3. 条件付きアクセス

    「ログイン要求を承認してください。お使いのモバイル デバイスに通知を送信しました。続行するには、応答してください」という条件付きアクセス メッセージのスクリーンショット。

    MyHeaderApp と SecretRDPApp のアイコンを示す [アプリケーション] 画面のスクリーンショット。

    汎用ユーザー アイコンを示す Windows Server 2012 RS 画面のスクリーンショット。 管理者、user0、user1 のアイコンは、それらのユーザーがサインイン済みであることを示しています。

  4. または、RDP アプリケーションの URL を直接入力することもできます。

SSH

  1. [アプリケーションの追加] に移動し、[SSH] を選択します。

    [アプリへのアクセス] セクションで一連のアプリの中で [SSH] が記載されている状態を示す Akamai EAA コンソールにあるアプリケーションの追加ウィザードのスクリーンショット。

  2. [アプリケーション名][説明] を入力します。

    [アプリケーション名] と [説明] の各設定を示す [SSH アプリ] ダイアログのスクリーンショット。

  3. アプリケーション ID を構成します。

    a. 名前と説明を指定します。

    b. アプリケーション サーバーの IP または FQDN と SSH のポートを指定します。

    c. SSH ユーザー名とパスフレーズを指定します (Akamai EAA を確認してください)。

    d. 外部ホスト名を指定します。

    e. コネクタの場所を指定し、コネクタを選択します。

認証

[保存してサービスに移動] をクリックします。

右下隅に [保存してサービスに移動] ボタンを示す SSH-SECURE の Akamai EAA コンソール [認証] タブのスクリーンショット。

サービス

[保存して詳細設定に移動] をクリックします。

右下隅に [保存して詳細設定に移動] ボタンを示す SSH-SECURE の Akamai EAA コンソール [サービス] タブのスクリーンショット。

詳細設定

[保存して展開に移動] をクリックします。

[認証] と [正常性チェック構成] の各設定を示す SSH-SECURE の Akamai EAA コンソール [詳細設定] タブのスクリーンショット。

右下隅に [保存して展開に移動] ボタンを示す SSH-SECURE の Akamai EAA コンソール [カスタム HTTP ヘッダー] のスクリーンショット。

展開

  1. [アプリケーションの展開] をクリックします。

    [アプリケーションの展開] ボタンを示す SSH-SECURE の Akamai EAA コンソール [展開] タブのスクリーンショット。

  2. エンドユーザー エクスペリエンス

    [myapps.microsoft.com] ウィンドウの [ログイン] ダイアログのスクリーンショット。

    [アドイン]、[HRWEB]、[Akamai - CorpApps]、[経費]、[グループ]、[アクセス レビュー] のアイコンを示す myapps.microsoft.com の [アプリ] ウィンドウのスクリーンショット。

  3. 条件付きアクセス

    「ログイン要求を承認してください。お使いのモバイル デバイスに通知を送信しました。続行するには、応答してください」というメッセージを示すスクリーンショット。

    MyHeaderApp、SSH Secure、SecretRDPApp のアイコンを示す [アプリケーション] 画面のスクリーンショット。

    [パスワード] プロンプトを示す ssh-secure-go.akamai-access.com のコマンド ウィンドウのスクリーンショット。

    アプリケーションに関する情報を示し、コマンドのプロンプトを表示する ssh-secure-go.akamai-access.com のコマンド ウィンドウのスクリーンショット。

Kerberos 認証

以下の例では、http://frp-app1.superdemo.live で内部 Web サーバーを発行し、KCD を使用して SSO を有効にしています。

[全般] タブ

MYKERBOROSAPP の Akamai EAA コンソール [全般] タブのスクリーンショット。

[認証] タブ

ID プロバイダーを割り当てます。

[ID プロバイダー] が [Microsoft Entra SSO] に設定されている状態を示す MYKERBOROSAPP の Akamai EAA コンソール [認証] タブのスクリーンショット。

[サービス] タブ

MYKERBOROSAPP の Akamai EAA コンソール [サービス] タブのスクリーンショット。

詳細設定

[関連アプリケーション] と [認証] の各設定を示す MYKERBOROSAPP の Akamai EAA コンソール [詳細設定] タブのスクリーンショット。

注意

このデモでは、Web サーバーの SPN は SPN@Domain 形式 (例: HTTP/frp-app1.superdemo.live@SUPERDEMO.LIVE) にする必要があります。 残りの設定は既定値のままにします。

[展開] タブ

[アプリケーションの展開] ボタンを示す MYKERBOROSAPP の Akamai EAA コンソール [展開] タブのスクリーンショット。

ディレクトリの追加

  1. ドロップダウン リストから [AD] を選択します。

    [ディレクトリ タイプ] のドロップダウン リストで [AD] が選択された [新しいディレクトリの作成] ダイアログを示す Akamai EAA コンソール [ディレクトリ] ウィンドウのスクリーンショット。

  2. 必要なデータを入力します。

    [DirectoryName]、[ディレクトリ サービス]、[コネクタ]、[属性マッピング] の各設定を示す Akamai EAA コンソール [SUPERDEMOLIVE] ウィンドウのスクリーンショット。

  3. ディレクトリの作成を確認します。

    ディレクトリ superdemo.live が追加されていることを示す Akamai EAA コンソールの [ディレクトリ] ウィンドウのスクリーンショット。

  4. アクセスを必要とするグループまたは OU を追加します。

    superdemo.live ディレクトリ の設定のスクリーンショット。グループまたは OU を追加するときに選択するアイコンが強調表示されています。

  5. 以下では、グループは EAAGroup と呼ばれて 1 名のメンバーが含まれています。

    Akamai EAA コンソール [SUPERDEMOLIVE ディレクトリのグループ] ウィンドウのスクリーンショット。1 名のユーザーが含まれている EAAGroup は [グループ] でリストされています。

  6. ID プロバイダーにディレクトリを追加するには、[ID]>[ID プロバイダー] をクリックし、[ディレクトリ] タブをクリックして [ディレクトリの割り当て] をクリックします。

    現在割り当てられているディレクトリ のリストで superdemo.live を示す Microsoft Entra SSO の Akamai EAA コンソール [ディレクトリ] タブのスクリーンショット。

EAA チュートリアル用の KCD 委任の構成

手順 1:アカウントの作成

  1. この例では、「EAADelegation」というアカウントを使用します。 [Active Directory ユーザーとコンピューター] スナップインを使用して実行します。

    Microsoft Entra SSO の Akamai EAA コンソール [ディレクトリ] タブのスクリーンショット。ディレクトリ superdemo.live は現在割り当てられているディレクトリに表示されています。

    注意

    ユーザー名は ID インターセプト名に基づく特定の形式にする必要があります。 図 1 によると、corpapps.login.go.akamai-access.com であることがわかります。

  2. ユーザー ログオン名は HTTP/corpapps.login.go.akamai-access.com になります。

    [名] が「EAADelegation」に設定され、[ユーザー ログオン名] が「HTTP/corpapps.login.go.akamai-access.com」に設定されている状態で [EAADelegation] のプロパティを示すスクリーンショット。

手順 2:このアカウントの SPN の構成

  1. このサンプルに基づき、SPN は以下のようになります。

  2. setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation

    コマンド setspn -s Http/corpapps.login.go.akamai-access.com eaadelegation の結果を示す管理者コマンド プロンプトのスクリーンショット。

手順 3:委任の構成

  1. EAADelegation アカウントには、[委任] タブをクリックします。

    SPN を構成するコマンドを示す管理者コマンド プロンプトのスクリーンショット。

    • [任意の認証プロトコルの使用] を指定します。
    • [追加] をクリックし、Kerberos Web サイトのアプリ プール アカウントを追加します。 正しく構成されていれば、自動的に正しい SPN に修正されます。

手順 4:AKAMAI EAA 用 Keytab ファイルの作成

  1. 汎用構文は次のとおりです。

  2. ktpass /out ActiveDirectorydomain.keytab /princ HTTP/yourloginportalurl@ADDomain.com /mapuser serviceaccount@ADdomain.com /pass +rdnPass /crypto All /ptype KRB5_NT_PRINCIPAL

  3. 説明されている例

    スニペット 説明
    Ktpass /out EAADemo.keytab // 出力 keytab ファイルの名前
    /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live // HTTP/yourIDPName@YourdomainName
    /mapuser eaadelegation@superdemo.live // EAA 委任アカウント
    /pass RANDOMPASS // EAA 委任アカウントのパスワード
    /crypto All ptype KRB5_NT_PRINCIPAL // Akamai EAA のドキュメントを参照してください

  4. Ktpass /out EAADemo.keytab /princ HTTP/corpapps.login.go.akamai-access.com@superdemo.live /mapuser eaadelegation@superdemo.live /pass RANDOMPASS /crypto All ptype KRB5_NT_PRINCIPAL

    AKAMAI EAA の Keytab ファイルを作成するコマンドの結果を示す管理者コマンド プロンプトのスクリーンショット。

手順 5:Akamai EAA コンソールで Keytab のインポート

  1. [システム]>[Keytabs] をクリックします。

    [システム] メニューから [Keytabs] を選択している状態を示す Akamai EAA コンソールのスクリーンショット。

  2. [Keytab の種類] で [Kerberos 委任] を選択します。

    Keytab の設定を示す Akamai EAA コンソールの [EAAKEYTAB] 画面のスクリーンショット。[Keytab の種類] は [Kerberos 委任] に設定されています。

  3. Keytab が [展開済] と [確認済] として表示されていることを確認します。

    [Keytab が展開済と確認済] として EAA keytab を表示する Akamai EAA コンソールの [KEYTABS] 画面のスクリーンショット。

  4. ユーザー エクスペリエンス

    myapps.microsoft.com の [ログイン] ダイアログのスクリーンショット。

    アプリのアイコンを示す myapps.microsoft.com の [アプリ] ウィンドウのスクリーンショット。

  5. 条件付きアクセス

    「ログイン要求を承認してください」というメッセージを示すスクリーンショット。

    MyHeaderApp、SSH Secure、SecretRDPApp、myKerberosApp のアイコンを示す [アプリケーション] 画面のスクリーンショット。

    myKerberosApp のスプラッシュ スクリーンのスクリーンショット。背景画像の上に「Welcome superdemo\user1」というメッセージが表示されています。

Akamai のテスト ユーザーの作成

このセクションでは、Akamai で B.Simon というユーザーを作成します。 Akamai クライアント サポート チームと連携し、Akamai プラットフォームにユーザーを追加してください。 シングル サインオンを使用する前に、ユーザーを作成し、有効化する必要があります。

SSO のテスト

このセクションでは、次のオプションを使用して Microsoft Entra のシングル サインオン構成をテストします。

  • [このアプリケーションのテスト] をクリックすると、SSO を設定した Akamai に自動的にログインされます。

  • Microsoft マイ アプリを使用することができます。 マイ アプリで [Akamai] タイルをクリックすると、SSO を設定した Akamai に自動的にログインされます。 マイ アプリの詳細については、「マイ アプリの概要」を参照してください。

次のステップ

Akamai を構成したら、リアルタイムで組織の機密データを流出と侵入から保護するセッション制御を実施できます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。