Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Adicionar provedores de identidade ao Juniper Mist Access Assurance

Siga estas etapas para adicionar seus provedores de identidade à sua organização para aprimorar a autenticação e o controle de acesso. Entenda as várias opções disponíveis nas configurações do Provedor de identidade (IdP).

O Juniper Mist™ Access Assurance é integrado a vários provedores de identidade (IDPs) para aprimorar a autenticação e o controle de acesso. Os provedores de identidade servem como fonte de autenticação (no caso de EAP-TTLS) e fonte de autorização (obtendo associações de grupo de usuários, estado da conta etc.) para EAP-TLS ou EAP-TTLS.

Aqui estão os IdPs suportados:

  • Microsoft Entra ID (anteriormente conhecido como Azure Active Directory)

  • Identidade da força de trabalho da Okta

  • Google Workspace

  • Juniper Mist Edge Proxy

O Juniper Mist Access Assurance usa provedores de identidade (IdPs) para:

  • Obtenha contexto de identidade adicional, como associações de grupo de usuários e estado da conta dos clientes.

    Essas informações estão disponíveis em métodos de autenticação baseados em certificados, como EAP-TLS (Extensible Authentication Protocol–Camada de Transporte de Segurança) e EAP-TLS (Extensible Authentication Protocol–Tunneled TLS).

  • Autentique clientes validando credenciais. O EAP-TTLS oferece suporte à autenticação baseada em credencial.

Lembre-se de que a configuração de IdPs é opcional para autenticação baseada em certificado EAP-TLS, mas é obrigatória para autenticação baseada em credencial (EAP-TTLS). Se você estiver configurando um IdP, certifique-se de ter os detalhes necessários, como ID do cliente e segredo do cliente, do provedor de identidade.

O Juniper Mist Access Assurance usa os seguintes protocolos para se integrar a qualquer IdP para pesquisar usuários e obter informações de estado do dispositivo:

  • Protocolo de acesso a diretórios (LDAP) Secure Lightweight
  • OAuth 2.0

A configuração de IdPs é opcional para autenticação baseada em certificado EAP-TLS e obrigatória para autenticação baseada em credencial (EAP-TTLS).

Pré-requisitos

Para adicionar provedores de identidade ao Juniper Mist Access Assurance:

  1. No menu à esquerda do portal Juniper Mist, selecione Organização > Acesso> Provedores de Identidade.
  2. Clique em Adicionar IDP próximo ao canto superior direito da página Provedores de identidade.
  3. Na página Novo Provedor de Identidade, insira um Nome e selecione o tipo de IDP:

    • LDAPS

    • OAuth

    • Mist Edge Proxy

    New Identity Provider Page - Name and IDP Type
  4. Consulte as tabelas abaixo para inserir as informações necessárias para o tipo selecionado.

    LDAPS

    Tabela 1: Configurações para IdPs LDAPS

    Parâmetros

    Detalhes
    Tipo de LDAP Selecione uma das seguintes opções no menu suspenso:
    • Azul
    • Okta
    • Costume

    Especifique o filtro LDAP que identificará o tipo de grupo, membro ou usuário. Essa opção está disponível somente para LDAP Tipo Personalizado.

    Hosts de servidor

    Insira o nome ou o endereço IP do servidor LDAP que você usará para autenticação.

    Nomes de domínio

    Insira o nome de domínio totalmente qualificado (FQDN) do servidor LDAP.

    IDP padrão

    Defina o provedor de identidade selecionado como IdP padrão. O sistema executa a pesquisa neste IdP se o nome de domínio do usuário inserido for desconhecido ou não encontrado.

    DN de ligação

    		 Especifique o usuário que você permitiu que pesquisasse o nome de domínio base. Exemplo: cn=admin, dc=abc, dc=com.

    Senha de vinculação

    Insira a senha do usuário mencionado no DN de vinculação.

    Base DN

    Insira um domínio inteiro ou uma unidade organizacional específica (contêiner) na Base de pesquisa para especificar onde os usuários e grupos são encontrados na árvore LDAP, por exemplo: OU=NetworkAdmins,DC=your,DC=domain,DC=com.

    Certificados LDAPS

    Adicione o certificado gerado pela Autoridade de Certificação e o certificado do cliente.

    OAuth

    Para o tipo de autenticação OAuth, insira os valores conforme fornecido na Tabela 2. Alguns dos campos inseridos aqui exigem valores que você receberá ao configurar o aplicativo do Azure ou do Okta. Consulte Integrar a ID do Microsoft Entra como um provedor de identidade ou Integrar o Okta como um provedor de identidade.

    Tabela 2: Configurações para IdPs OAuth

    Parâmetros

    Descrição

    Tipo de OAuth

    		 Selecione uma das seguintes opções no menu suspenso:
    • Azul
    • Okta

    ID do locatário OAuth

    Insira a ID do locatário OAuth. Use a ID recebida durante a configuração do aplicativo Azure ou Okta.

    Nomes de domínio

    Insira um nome de domínio totalmente qualificado.

    IDP padrão

    Defina o provedor de identidade selecionado como padrão se o nome de domínio do usuário não for especificado.

    ID do cliente da credencial do cliente OAuth (CC)

    A ID do aplicativo cliente. Use a ID recebida durante a configuração do aplicativo Azure ou Okta.
    Chave privada do cliente OAuth Client Credential (CC) (Para Okta) Insira a chave privada gerada durante a configuração do aplicativo Okta.

    ID do cliente da credencial de senha do proprietário do recurso OAuth (ROPC)

    (Para Okta) Insira o ID secreto do cliente. Use o ID secreto que você recebeu durante a configuração do aplicativo Okta.
    Segredo do cliente da credencial de senha do proprietário do recurso OAuth (ROPC)

    (Para Okta) Forneça o valor do segredo do cliente. Use o valor secreto que você recebeu durante a configuração do aplicativo Okta.
    ID do cliente da credencial do cliente OAuth (CC) (Para Azure) Insira a ID do cliente gerada durante a configuração do aplicativo do Azure.
    Segredo do cliente da credencial do cliente OAuth (CC) (Para Azure) Insira o valor do segredo do cliente gerado durante a configuração do aplicativo do Azure.
    ID do cliente da credencial de senha do proprietário do recurso OAuth (ROPC) (Para o Azure) igual à ID do cliente CC (credencial do cliente OAuth).

    Mist Edge Proxy

    Tabela 3: Configurações do proxy do Mist Edge

    Parâmetros

    Descrição
    Proxy Hosts

    Insira uma lista separada por vírgulas dos endereços IP públicos ou NAT dos Mist Edges que estão atuando como proxies. Todos esses endereços devem fazer parte do cluster que você identifica no campo Cluster do Mist Edge .

    O Mist Edge escutará nos endereços especificados para:

    • Solicitações RadSec de entrada do Mist Access Assurance

    • Solicitações RADIUS de servidores RADIUS externos
    SSIDs Insira uma lista separada por vírgulas dos SSIDs que esse IdP usará.
    Mist Edge Cluster Selecione um cluster na lista.
    Nota:

    Se você precisar adicionar um cluster do Mist Edge, selecione Mist Edges no menu à esquerda e, em seguida, selecione Criar cluster e insira as informações.
    Excluir reinos

    Use essa opção se quiser evitar o proxy de determinados usuários. Isso é necessário somente quando o EAP-TLS é usado para usuários sem nenhum IdP externo adicionado como fonte de autorização.

    Insira os nomes de domínio/domínios que deseja excluir; Todos os outros realms de usuário válidos serão proxy.
    Nome do operador

    Se você especificar um nome de operador, ele será incluído nas solicitações de acesso encaminhadas ao servidor RADIUS externo. Por exemplo, alguns NROs eduroam exigem o atributo de nome do operador.

    Esse atributo deve começar com 1, seguido por um FQDN.

    Exemplo: 1abc_university.edu
    Servidores de autenticação RADIUS Você deve especificar pelo menos um servidor. Clique em Adicionar Servidor e insira o endereço IP, a porta e o segredo compartilhado.
    Servidores de contabilidade RADIUS Clique em Adicionar Servidor e insira o endereço IP, a porta e o segredo compartilhado.
  5. Para salvar as alterações, clique em Criar no canto superior direito da página Novo provedor de identidade.

Documentação relacionada