Integre o Microsoft Entra ID como um provedor de identidade
O Microsoft Azure Active Directory (Azure AD), agora conhecido como Microsoft Entra ID, é uma solução de gerenciamento de identidade e acesso. Com o Juniper Mist Access Assurance, você pode integrar um serviço de autenticação à Entra ID usando o OAuth para executar:
- Autenticação do usuário com protocolo de autenticação extensível — TLS em túnel (EAP-TTLS)
- Realiza autenticação delegada, ou seja, verifica nome de usuário e senha usando OAuth.
- Recupera informações de associação de grupos de usuários para oferecer suporte a políticas de autenticação baseadas nessa identidade de usuário.
- Obtém o status — ativo ou suspenso — de uma conta de usuário.
- Autorização do usuário com protocolo de autenticação extensível — Segurança de camada de transporte (EAP-TLS) e EAP-TTLS
- Recupera informações de associação de grupos de usuários para oferecer suporte a políticas de autenticação baseadas nessa identidade de usuário.
- Obtém o status — ativo ou suspenso — de uma conta de usuário
-
EAP-TTLS com protocolo de autenticação de senha (PAP)
- Realiza autenticação delegada, ou seja, verifica nome de usuário e senha usando OAuth ou credenciais de senha do proprietário de recursos (ROPC).
- Recupera informações de associação de grupos de usuários para oferecer suporte a políticas de autenticação baseadas nessa identidade de usuário.
- Obtém o status — ativo ou suspenso — de uma conta de usuário
Configuração no portal Entra ID
Para integrar o Entra ID com o Juniper Mist Access Assurance, você precisa do ID do cliente, segredo do cliente e ID do locatário, que são valores que o portal Entra ID gera.
Configuração no painel da Juniper Mist
No portal Juniper Mist, acesse Monitore > Insights > eventos do cliente.
Quando o Juniper Mist Access Assurance autentica um usuário usando EAP-TLS com Azure AD, você pode ver o evento de sucesso de pesquisa do grupo IDP da NAC , conforme mostrado abaixo:
Para autenticação EAP-TTLS, você vê o evento nac IDP Authentication Success. Este evento indica que o Azure AD validou as credenciais do usuário. Para essa autenticação, você também vê o evento NAC IDP Group Lookup Success que busca associações de grupos de usuários.
Autenticação EAP-TTLS com Azure AD e ROPC
O EAP-TTLS aproveita o fluxo de OAuth de Credenciais de Senha do Proprietário de Recursos (ROPC) com OD do Azure para autenticar usuários e recuperar informações do grupo de usuários. Você deve considerar vários fatores quando usa uma autenticação legável, como o fluxo de ROPC, que verifica apenas nome e senha do usuário e ignora a autenticação multifa (MFA).
- Você deve configurar os dispositivos clientes com o perfil sem fio correto, seja usando o gerenciamento de dispositivos móveis (MDM) ou um objeto de política de grupo (GPO). Se você fornecer apenas nome e senha do usuário no prompt de login, a autenticação legável não funcionará para alguns sistemas operacionais.
- O nome de usuário que um usuário insira deve estar no formato nome principal do usuário (UPN) (username@domain).
- Você deve configurar clientes para confiar no certificado do servidor.
- Os usuários devem fazer login pelo menos uma vez no portal do Azure antes de tentar acessar usando a autenticação do ROPC. Essa etapa é importante para testar contas de usuário.
- O portal do Azure deve armazenar senhas de usuário em contas de nuvem completas ou em um anúncio local onde a sincronização de senhas seja habilitada com o Azure AD Connect. Os usuários da Federated Authentication não têm suporte.
- Você deve desabilitar o MFA para usuários que selecionam a autenticação do ROPC. Uma maneira de conseguir o bypass MFA para EAP-TTLS é marcar os endereços IP da Fonte do Mist Access Assurance como locais confiáveis usando o seguinte procedimento:
- No portal Microsoft Entra, acesse Proteção > Acesso Condicional > Locais nomeados e selecione Novo local.
- No novo local (intervalos de IP), digite os detalhes.
Figura 5: Desfaça o MFA para entrar em uma faixa de endereço IP confiável
- Insira um nome para o local.
- Selecione Mark como local de confiança.
- Insira a faixa de IP para endereços IP juniper Mist Access Assurance.
- Clique em Criar.
- Na política de MFA de acesso condicional, consulte as fontes de IP confiáveis como critérios de exclusão.
Figura 6: Exclua a localização nomeada da política de acesso