Adicione provedores de identidade para o Juniper Mist Access Assurance

Siga essas etapas para adicionar seus provedores de identidade à sua organização para melhorar a autenticação e o controle de acesso. Entenda as várias opções disponíveis nas configurações do Provedor de Identidade (IdP).

O Juniper Mist™ Access Assurance se integra com vários provedores de identidade (IdPs) para melhorar a autenticação e o controle de acesso. Os provedores de identidade servem como fonte de autenticação (no caso do EAP-TTLS) e fonte de autorização (obtendo associações de grupos de usuários, estado de conta etc) para EAP-TLS ou EAP-TTLS.

Aqui estão os IdPs com suporte:

Microsoft Entra ID (anteriormente conhecido como Azure Active Directory)
Identidade da força de trabalho da Okta
Google Workspace
Proxy de borda da Juniper Mist

O Juniper Mist Access Assurance usa provedores de identidade (IdPs) para:

Obtenha um contexto de identidade adicional, como associações de grupos de usuários e estado de conta dos clientes.
Essas informações estão disponíveis em métodos de autenticação baseados em certificados, como o Extensible Authentication Protocol — Transport Layer Security (EAP-TLS) e o Extensible Authentication Protocol — Tunneled TLS (EAP-TTLS).
Autenticar clientes validando credenciais. O EAP-TTLS oferece suporte à autenticação baseada em credencial.

Lembre-se que a configuração de IdPs é opcional para autenticação baseada em certificadoS EAP-TLS, mas é obrigatória para autenticação baseada em credencial (EAP-TTLS). Se você estiver configurando um IdP, certifique-se de ter os detalhes necessários, como o ID do cliente e o segredo do cliente, do provedor de identidade.

O Juniper Mist Access Assurance usa os seguintes protocolos para se integrar a qualquer IdP para procurar usuários e obter informações de estado do dispositivo:

Secure Lightweight Directory Access Protocol (LDAP)
OAuth 2.0

A configuração de IdPs é opcional para autenticação baseada em certificadoS EAP-TLS e obrigatória para autenticação baseada em credencial (EAP-TTLS).

Pré-requisitos

Se você estiver usando Azure, Okta ou IdPs semelhantes, registre-se no IdP. Você pode obter a ID do cliente e os detalhes secretos do cliente do IdP após a inscrição.

Para obter ajuda, veja:
Se você estiver usando o Mist Edge Proxy como IdP, registre ou registre um Mist Edge e crie o cluster Mist Edge.
Você pode fazer essas tarefas selecionando o Mist Edges no menu esquerdo do portal Juniper Mist. Em seguida, use os botões para reivindicar o Mist Edge, criar o Mist Edge e criar clusters.

Para adicionar provedores de identidade para o Juniper Mist Access Assurance:

No menu à esquerda do portal Juniper Mist, selecione Provedores de identidade > acesso> da Organização.
Clique em Adicionar IDP perto do canto superior direito da página provedores de identidade.
Na página do Novo Provedor de Identidade, digite um Nome e selecione o tipo de IDP:
- LDAPS
- OAuth
- Mist Edge Proxy

Consulte as tabelas abaixo para inserir as informações necessárias para o tipo selecionado.

LDAPS

Tabela 1: Configurações para IdPs LDAPS
Parâmetros	Detalhes
Tipo de LDAP	Selecione uma das seguintes opções no menu suspenso: Azul Okta Costume
Hosts de servidor	Digite o nome ou o endereço IP do servidor LDAP que você usará para autenticação.
Nomes de domínio	Digite o nome de domínio totalmente qualificado (FQDN) do servidor LDAP.
IDP padrão	Definir o provedor de identidade selecionado como IdP padrão. O sistema realiza uma pesquisa neste IdP se o nome de domínio do usuário inserido for desconhecido ou não for encontrado.
Bind DN	Especifique o usuário que você permitiu pesquisar o nome de domínio base. Exemplo: cn=admin, dc=abc, dc=com.
Vincule a senha	Digite a senha do usuário que é mencionado no Bind DN.
Base DN	Insira um domínio inteiro ou uma unidade de organização (contêiner) específica na base de pesquisa para especificar onde os usuários e grupos são encontrados na árvore LDAP, por exemplo: `OU=NetworkAdmins,DC=your,DC=domain,DC=com`.
Certificados LDAPS	Adicione o certificado gerado pela Autoridade de Certificado e o certificado de cliente.
Filtro de grupo Filtro de membro Filtro de usuário	Especifique o filtro LDAP que identificará o tipo de grupo, membro ou usuário. Essa opção está disponível apenas para LDAP Type Custom.

OAuth

Para o tipo de autenticação OAuth, digite os valores conforme fornecido na Tabela 2. Alguns dos campos que você insira aqui exigem valores que você receberá quando configurar o Azure ou o Aplicativo Okta. Veja integrar o Microsoft Entra ID como um provedor de identidade ou integrar o Okta como um provedor de identidade.

Tabela 2: Configurações para IdPs OAuth
Parâmetros	Descrição
Tipo de OAuth	Selecione uma das seguintes opções no menu suspenso: Azul Okta
ID do locatário OAuth	Digite a ID do locatário OAuth. Use a ID que você recebeu durante a configuração do aplicativo Azure ou Okta.
Nomes de domínio	Digite um nome de domínio totalmente qualificado.
IDP padrão	Defina o provedor de identidade selecionado como padrão se o nome de domínio do usuário não for especificado.
ID do cliente da credencial de cliente (CC) da OAuth	A ID de aplicativo do seu aplicativo cliente. Use o ID que você recebeu durante a configuração do aplicativo Azure ou Okta.
Chave privada de cliente da credencial de cliente (CC) da OAuth	(Para Okta) Digite a chave privada gerada durante a configuração do aplicativo Okta.
ID de cliente com credencial de senha do proprietário de recursos OAuth (ROPC)	(Para Okta) Digite a ID secreta do cliente. Use a ID secreta que você recebeu durante a configuração do aplicativo Okta.
Segredo da credencial de senha do proprietário de recursos OAuth (ROPC)	(Para Okta) Forneça um valor secreto ao cliente. Use o valor secreto que você recebeu durante a configuração do aplicativo Okta.
ID do cliente da credencial de cliente (CC) da OAuth	(Para o Azure) Digite o ID do cliente gerado durante a configuração do aplicativo Azure.
Segredo do cliente da credencial de clientes da OAuth (CC)	(Para o Azure) Digite o valor secreto do cliente gerado durante a configuração do aplicativo Azure.
ID de cliente com credencial de senha do proprietário de recursos OAuth (ROPC)	(Para a Azure) o mesmo que a ID de cliente da credencial de cliente (CC) da OAuth.

Mist Edge Proxy

Tabela 3: Configurações para o proxy de borda da Mist
Parâmetros	Descrição
Proxy Hosts	Insira uma lista separada de vírgula dos endereços IP públicos ou NAT ip das Bordas mist que estão atuando como proxys. Todos esses endereços devem fazer parte do cluster que você identifica no campo de cluster de borda da Mist . O Mist Edge ouvirá os endereços especificados para: Solicitações de RadSec de entrada do Mist Access Assurance Solicitações RADIUS de servidores RADIUS externos
SSIDs	Insira uma lista separada de vírgula dos SSIDs que este IdP usará.
Mist Edge Cluster	Selecione um cluster da lista. Nota: Se você precisar adicionar um cluster Mist Edge, selecione o Mist Edges no menu esquerdo e selecione Criar cluster e inserir as informações.
Excluir reinos	Use essa opção se quiser evitar o proxy de determinados usuários. Isso só é necessário quando o EAP-TLS é usado para usuários sem qualquer IdP externo adicionado como fonte de autorização. Digite os nomes/reinos de domínio que deseja excluir; todos os outros reinos de usuário válidos serão eles.
Nome do operador	Se você especificar o nome de um operador, ele será incluído em solicitações de acesso que são encaminhadas ao servidor RADIUS externo. Por exemplo, alguns NROs eduroam exigem o atributo de nome do operador. Este atributo deve começar com 1, seguido por um FQDN. Exemplo: 1abc_university.edu
Servidores de autenticação RADIUS	Você deve especificar pelo menos um servidor. Clique em Adicionar servidor e digite o endereço IP, a porta e o segredo compartilhado.
Servidores de contabilidade RADIUS	Clique em Adicionar servidor e digite o endereço IP, a porta e o segredo compartilhado.

Para salvar as mudanças, clique em Criar no canto superior direito da página do Novo Provedor de Identidade.

Adicione provedores de identidade para o Juniper Mist Access Assurance

Documentação relacionada