Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Integrar a ID do Microsoft Entra como um provedor de identidade

Siga estas etapas para entender as opções de ID do Entra, adicionar a Mist como um novo registro no ID do Entra e adicionar seu provedor de identidade à sua organização do Juniper Mist.

O Microsoft Azure Active Directory (Azure AD), agora conhecido como Microsoft Entra ID, é uma solução de gerenciamento de identidade e acesso. Com o Juniper Mist Access Assurance, você pode integrar um serviço de autenticação ao Entra ID usando o OAuth para executar:

  • Autenticação de usuário com TLS com túnel do protocolo de autenticação extensível (EAP-TTLS)
    • Executa a autenticação delegada, ou seja, verifica o nome de usuário e a senha usando o OAuth.
    • Recupera informações de associação de grupo de usuários para dar suporte a políticas de autenticação baseadas nessa identidade de usuário.
    • Obtém o status — ativo ou suspenso — de uma conta de usuário.
  • Autorização de usuário com protocolo de autenticação extensível — Segurança de Camada de Transporte (EAP-TLS) e EAP-TTLS
    • Recupera informações de associação de grupo de usuários para dar suporte a políticas de autenticação baseadas nessa identidade de usuário.
    • Obtém o status — ativo ou suspenso — de uma conta de usuário

  • EAP-TTLS com protocolo de autenticação de senha (PAP)

    • Executa a autenticação delegada, ou seja, verifica o nome de usuário e a senha usando OAuth ou ROPC (Resource Owner Password Credentials).
    • Recupera informações de associação de grupo de usuários para dar suporte a políticas de autenticação baseadas nessa identidade de usuário.
    • Obtém o status — ativo ou suspenso — de uma conta de usuário

Configuração no Portal de ID do Entra

Para integrar o ID do Entra com o Juniper Mist Access Assurance, você precisa do ID do cliente, do segredo do cliente e do ID do locatário, que são valores gerados pelo portal do ID do Entra.

Observação:

As capturas de tela de aplicativos de terceiros estão corretas no momento da publicação. Não temos como saber quando ou se as capturas de tela serão precisas no futuro. Consulte o site de terceiros para obter orientação sobre alterações nessas telas ou os fluxos de trabalho envolvidos.
  1. Use suas credenciais para entrar no portal do Azure e navegar até o AD.
  2. No centro de administração do Microsoft Entra, na barra de navegação à esquerda, selecione Registros de aplicativo.
  3. Clique em Novo registro.
  4. Na página Novo registro, insira as informações necessárias nos campos a seguir. Observe que a lista a seguir exibe a entrada do usuário de exemplo e as configurações de exemplo.
    • NomeMist AA IDP connector
    • Tipo de conta com suporte — Selecione Contas somente neste diretório organizacional (somente diretório padrão - locatário único).
  5. Clique em Registrar para continuar.
    A página do aplicativo registrado é exibida exibindo informações sobre o conector recém-criado.
  6. Anote os seguintes detalhes:
    • ID do aplicativo (cliente) — Você precisará inserir essas informações nos campos ID do cliente OAuth Client Credential (CC) e Resource Owner Password Credential Client ID no portal de nuvem da Juniper Mist.
    • ID do diretório (locatário): você precisará dessas informações para o campo ID do locatário do OAuth no portal da Juniper Mist.

    Você precisará configurar um conector de provedor de identidade (IdP) no portal Juniper Mist:

  7. Clique em Adicionar um certificado ou segredo na mesma página.
  8. Na página Clientes e segredos, clique em Novo segredo do cliente.
    A janela Adicionar um segredo do cliente é exibida.
  9. Insira as informações necessárias nos campos a seguir e clique em Adicionar.
    • Descrição — Forneça uma descrição para o segredo do cliente.
    • Expira — Selecione o período de expiração para o segredo.

    O sistema gera valor e ID secreto.

    Copie e salve as informações no campo Valor em um local seguro. Observe que você verá esse campo apenas uma vez. Ou seja, logo após a criação do ID secreto.

    Você precisará dessas informações para o campo Segredo do Cliente de Credenciais do Cliente OAuth no portal do Juniper Mist ao adicionar o Azure AD como um IdP.

  10. Selecione Autenticação na barra de navegação à esquerda e role para baixo até a seção Configurações avançadas. Selecione Sim para Permitir fluxos de clientes públicos.
  11. Selecione Permissões de API na barra de navegação à esquerda.
    Em Microsoft Graph, adicione as seguintes permissões:
    • User.ReadDelegado
    • User.Read.AllAplicativo
    • Group.Read.AllAplicativo
    • Device.Read.AllAplicativo

    Clique em Conceder consentimento do administrador.

    Você deve conceder ao seu aplicativo as permissões de acesso necessárias para usar a API do Microsoft Graph para buscar informações sobre os usuários.

Configuração no Painel da Juniper Mist

  1. No menu à esquerda do portal Juniper Mist, selecione Organização> Acesso > Provedores de Identidade.

    A página Provedores de identidade exibe todos os provedores de identidade configurados.

    Figura 1: Página Identity Providers Page Provedores de identidade
  2. Clique em Adicionar IDP para adicionar um novo IdP.
  3. Na página Novo Provedor de Identidade, insira as informações necessárias, conforme mostrado abaixo.
    Figura 2: Adicionar Azure AD como provedor de Add Azure AD as Identity Provider identidade
    1. Nome: insira um nome IdP (para este exemplo: Azure AD).
    2. Tipo de IDP — Selecione OAuth.
    3. Tipo de OAuth: selecione Azure na lista suspensa.
    4. ID do locatário OAuth – insira a ID do diretório (locatário) que você copiou do aplicativo Azure AD.
    5. Nomes de domínio — Insira o nome de domínio, ou seja, o nome de usuário do usuário (por exemplo: username@domain.com). O campo de nome de domínio examina as solicitações de autenticação recebidas, identificando o respectivo nome de usuário e domínio associado. Um conector usa o nome de domínio que você configurou para identificar o locatário do Azure com o qual o conector precisa se comunicar.

    6. IDP padrão — Marque esta opção para obter associações de grupo de máquinas.

    7. ID do cliente OAuth Client Credential (CC) — Insira a ID do aplicativo (cliente) do aplicativo registrado no centro de administração do Microsoft Entra.
    8. Credencial do cliente OAuth (CC) Segredo do cliente: insira o segredo do aplicativo que você criou anteriormente no portal do Azure.
    9. ID do cliente ROPC (Credencial de Senha do Proprietário do Recurso OAuth) – Insira a ID do aplicativo (cliente) do aplicativo registrado do Azure AD.

No portal Juniper Mist, acesse Monitoramento > Insights > Eventos do Cliente.

Quando o Juniper Mist Access Assurance autentica um usuário usando o EAP-TLS com o Azure AD, você pode ver o evento de sucesso da pesquisa de grupo de IDP do NAC , conforme mostrado abaixo:

Figura 3: Mensagem de sucesso para autenticação EAP-TLS por IdP Success Message for EAP-TLS Authentication by IdP

Para autenticação EAP-TTLS, você verá o evento NAC IDP Authentication Success. Esse evento indica que o Azure AD validou as credenciais do usuário. Para essa autenticação, você também verá o evento NAC IDP Group Lookup Success que busca associações de grupo de usuários.

Figura 4: Mensagem de sucesso para autenticação EAP-TTLS por IdP Success Message for EAP-TTLS Authentication by IdP

Autenticação EAP-TTLS com o Azure AD e o ROPC

O EAP-TTLS aproveita o fluxo OAuth das Credenciais de Senha do Proprietário do Recurso (ROPC) com o Azure AD para autenticar usuários e recuperar informações do grupo de usuários. Você deve considerar vários fatores ao usar uma autenticação herdada, como o fluxo ROPC, que verifica apenas o nome de usuário e a senha e ignora a autenticação multifator (MFA).

  • Você deve configurar os dispositivos cliente com o perfil sem fio correto, usando o MDM (gerenciamento de dispositivo móvel) ou um GPO (Objeto de Política de Grupo). Se você fornecer apenas nome de usuário e senha no prompt de login, a autenticação herdada não funcionará para alguns sistemas operacionais.
  • O nome de usuário que um usuário insere deve estar no formato UPN (Nome Principal do Usuário) (username@domain).
  • Você deve configurar os clientes para confiar no certificado do servidor.
  • Os usuários devem fazer logon pelo menos uma vez no portal do Azure antes de tentar acessar usando a autenticação ROPC. Esta etapa é importante para testar contas de usuário.
  • O portal do Azure deve armazenar senhas de usuário em contas de nuvem completas ou em um AD local em que a sincronização de senha está habilitada com o Azure AD Connect. Não há suporte para usuários de autenticação federada.
  • Você deve desabilitar a MFA para usuários que selecionam a autenticação ROPC. Uma maneira de obter o desvio de MFA para EAP-TTLS é marcar os endereços IP de origem do Mist Access Assurance como locais confiáveis usando o procedimento a seguir:
    1. No portal do Microsoft Entra, acesse Proteção > Acesso Condicional > Locais nomeados e selecione Novo local.
    2. Em Novo local (intervalos de IP), insira os detalhes.
      Figura 5: Ignorar MFA para entrar de um intervalo Bypass MFA for Sign in from a Trusted IP Address Range de endereços IP confiáveis
    3. Insira um nome para o local.
    4. Selecione Marcar como local confiável.
    5. Insira o intervalo de IP para os endereços IP do Juniper Mist Access Assurance.
    6. Clique em Criar.
    7. Na política de MFA de Acesso Condicional, consulte as fontes de IP confiáveis como critérios de exclusão.
      Figura 6: Excluir local nomeado da política Exclude Named Location from Access Policy de acesso

Veja também