Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Integre o Microsoft Entra ID como um provedor de identidade

O Microsoft Azure Active Directory (Azure AD), agora conhecido como Microsoft Entra ID, é uma solução de gerenciamento de identidade e acesso. Com o Juniper Mist Access Assurance, você pode integrar um serviço de autenticação à Entra ID usando o OAuth para executar:

  • Autenticação do usuário com protocolo de autenticação extensível — TLS em túnel (EAP-TTLS)
    • Realiza autenticação delegada, ou seja, verifica nome de usuário e senha usando OAuth.
    • Recupera informações de associação de grupos de usuários para oferecer suporte a políticas de autenticação baseadas nessa identidade de usuário.
    • Obtém o status — ativo ou suspenso — de uma conta de usuário.
  • Autorização do usuário com protocolo de autenticação extensível — Segurança de camada de transporte (EAP-TLS) e EAP-TTLS
    • Recupera informações de associação de grupos de usuários para oferecer suporte a políticas de autenticação baseadas nessa identidade de usuário.
    • Obtém o status — ativo ou suspenso — de uma conta de usuário
  • EAP-TTLS com protocolo de autenticação de senha (PAP)

    • Realiza autenticação delegada, ou seja, verifica nome de usuário e senha usando OAuth ou credenciais de senha do proprietário de recursos (ROPC).
    • Recupera informações de associação de grupos de usuários para oferecer suporte a políticas de autenticação baseadas nessa identidade de usuário.
    • Obtém o status — ativo ou suspenso — de uma conta de usuário

Configuração no portal Entra ID

Para integrar o Entra ID com o Juniper Mist Access Assurance, você precisa do ID do cliente, segredo do cliente e ID do locatário, que são valores que o portal Entra ID gera.

  1. Use suas credenciais para entrar no portal do Azure e navegar até seu anúncio.
  2. No microsoft entra admin center, a partir da barra de navegação à esquerda, selecione registros de aplicativos.
  3. Clique em Nova inscrição.
  4. Na página de Inscrição Nova, insira as informações necessárias nos seguintes campos. Observe que a lista a seguir exibe configurações de amostra de entrada do usuário e de amostra.
    • Nome:Mist AA IDP connector
    • Tipo de conta suportada — selecione apenas contas neste diretório organizacional (apenas no Diretório Padrão — Locatário único).
  5. Clique em Registrar-se para continuar.
    A página de aplicativo registrada aparece exibindo informações sobre o conector recém-criado.
  6. Observe os seguintes detalhes:
    • ID do aplicativo (cliente) — Você precisará inserir essas informações nos campos de ID de cliente de credencial de cliente (CC) da OAuth e senha de cliente com senha do proprietário de recursos no portal de nuvem juniper Mist.
    • ID do diretório (Locatário) — Você precisará dessas informações para o campo de ID do Locatário OAuth no portal Juniper Mist.

    Você precisará configurar um conector de provedor de identidade (IdP) no portal Juniper Mist:

  7. Clique em Adicionar um certificado ou segredo na mesma página.
  8. Na página clientes e segredos, clique em Novo segredo do cliente.
    A janela secreta Adicionar um cliente aparece.
  9. Insira as informações necessárias nos seguintes campos e clique em Adicionar.
    • Descrição — forneça a descrição do segredo do cliente.
    • Expira — Selecione o período de expiração para o segredo.

    O sistema gera valor e ID secreto.

    Copie e economize as informações no campo Valor em um local seguro. Observe que você só verá este campo uma vez. Isto é, logo após a ID secreta ser criada.

    Você precisará dessas informações para o campo OAuth Client Credentials Client Secret no portal Juniper Mist quando você adicionar o Azure AD como um IdP.

  10. Selecione a autenticação na barra de navegação à esquerda e role para baixo até a seção Configurações avançadas. Selecione Sim para permitir fluxos de clientes públicos.
  11. Selecione as permissões de API na barra de navegação à esquerda.
    Nos termos do Microsoft Graph, adicione as seguintes permissões:
    • User.ReadDelegado
    • User.Read.AllAplicativo
    • Group.Read.AllAplicativo
    • Dispositivo.Read.AllAplicativo

    Clique no consentimento do administrador da Grant.

    Você deve fornecer ao seu aplicativo as permissões de acesso necessárias para usar a API do Microsoft Graph para obter informações sobre os usuários.

Configuração no painel da Juniper Mist

  1. No portal Juniper Mist, do menu esquerdo, selecione A Organização > Acesso > Provedores de Identidade.

    A página provedores de identidade aparece, exibindo uma lista de IdPs configurados (se houver).

    Figura 1: Página Identity Providers Page de provedores de identidade
  2. Clique em Adicionar IDP para adicionar um novo IdP.
  3. Na página do Novo Provedor de Identidade, insira as informações necessárias conforme mostrado abaixo.
    Figura 2: Adicione o Azure AD como provedor de Add Azure AD as Identity Provider identidade
    1. Nome — Insira um nome de IdP (Para este exemplo: Azure AD).
    2. Tipo de IDP — selecione OAuth.
    3. OAuth Type — Selecione o Azure na lista de quedas.
    4. ID do locatário OAuth — Insira a ID do diretório (locatário) que você copiou do aplicativo Azure AD.
    5. Nomes de domínio — Digite o nome de domínio, ou seja, o nome de usuário do usuário (Por exemplo: username@domain.com). O campo de nome de domínio examina as solicitações de autenticação recebidas, identificando o respectivo nome de usuário e o domínio associado. Um conector usa o nome de domínio que você configura para identificar o locatário do Azure com o qual o conector precisa se comunicar.
    6. IDP padrão — Verifique essa opção para obter associações de grupos de máquinas.

    7. ID do cliente da Credencial de Cliente (CC) OAuth — Digite a ID do aplicativo (cliente) do aplicativo registrado no microsoft entra admin center.
    8. Segredo do cliente da credencial de cliente (CC) da OAuth — Digite o segredo do aplicativo que você criou anteriormente no portal Azure.
    9. ID do cliente da credencial de senha do proprietário de recursos OAuth (ROPC) — Digite a ID do aplicativo (cliente) do aplicativo Azure AD registrado.

No portal Juniper Mist, acesse Monitore > Insights > eventos do cliente.

Quando o Juniper Mist Access Assurance autentica um usuário usando EAP-TLS com Azure AD, você pode ver o evento de sucesso de pesquisa do grupo IDP da NAC , conforme mostrado abaixo:

Figura 3: Mensagem de sucesso para autenticação EAP-TLS pelo IdP Success Message for EAP-TLS Authentication by IdP

Para autenticação EAP-TTLS, você vê o evento nac IDP Authentication Success. Este evento indica que o Azure AD validou as credenciais do usuário. Para essa autenticação, você também vê o evento NAC IDP Group Lookup Success que busca associações de grupos de usuários.

Figura 4: Mensagem de sucesso para autenticação EAP-TTLS pelo IdP Success Message for EAP-TTLS Authentication by IdP

Autenticação EAP-TTLS com Azure AD e ROPC

O EAP-TTLS aproveita o fluxo de OAuth de Credenciais de Senha do Proprietário de Recursos (ROPC) com OD do Azure para autenticar usuários e recuperar informações do grupo de usuários. Você deve considerar vários fatores quando usa uma autenticação legável, como o fluxo de ROPC, que verifica apenas nome e senha do usuário e ignora a autenticação multifa (MFA).

  • Você deve configurar os dispositivos clientes com o perfil sem fio correto, seja usando o gerenciamento de dispositivos móveis (MDM) ou um objeto de política de grupo (GPO). Se você fornecer apenas nome e senha do usuário no prompt de login, a autenticação legável não funcionará para alguns sistemas operacionais.
  • O nome de usuário que um usuário insira deve estar no formato nome principal do usuário (UPN) (username@domain).
  • Você deve configurar clientes para confiar no certificado do servidor.
  • Os usuários devem fazer login pelo menos uma vez no portal do Azure antes de tentar acessar usando a autenticação do ROPC. Essa etapa é importante para testar contas de usuário.
  • O portal do Azure deve armazenar senhas de usuário em contas de nuvem completas ou em um anúncio local onde a sincronização de senhas seja habilitada com o Azure AD Connect. Os usuários da Federated Authentication não têm suporte.
  • Você deve desabilitar o MFA para usuários que selecionam a autenticação do ROPC. Uma maneira de conseguir o bypass MFA para EAP-TTLS é marcar os endereços IP da Fonte do Mist Access Assurance como locais confiáveis usando o seguinte procedimento:
    1. No portal Microsoft Entra, acesse Proteção > Acesso Condicional > Locais nomeados e selecione Novo local.
    2. No novo local (intervalos de IP), digite os detalhes.
      Figura 5: Desfaça o MFA para entrar em uma faixa Bypass MFA for Sign in from a Trusted IP Address Range de endereço IP confiável
    3. Insira um nome para o local.
    4. Selecione Mark como local de confiança.
    5. Insira a faixa de IP para endereços IP juniper Mist Access Assurance.
    6. Clique em Criar.
    7. Na política de MFA de acesso condicional, consulte as fontes de IP confiáveis como critérios de exclusão.
      Figura 6: Exclua a localização nomeada da política Exclude Named Location from Access Policy de acesso