物联网和个人设备的自主配置

通过安全的自主配置，为个人设备和物联网大规模实现客户端入网自动化。

宿舍等环境中的无线用户可以安全地自行配置其个人设备，如 Xbox、Apple TV 和 Roku。同样地，无人值守的物联网设备也可以安全、自动地加入指定的 VLAN 或网段。我们称之为个人网络体验。由于它消除了对客户端 MAC 地址注册和 IT 干预的需求，因此它是提供大规模 Wi-Fi 接入的理想解决方案。

通过个人网络体验进行自我配置，方法是将符合 SAML 标准的身份提供商（IDP）（例如，Microsoft Entra ID）连接到 Mist Active Assurance 门户。用户登录到 WLAN，在此处他们被重定向到单点登录服务进行身份验证和授权。Mist为经过身份验证的用户分配特定于单个用户和/或 SSID 的个人预共享密钥（PSK）。使用个人 PSK 还可以实现微分段，这意味着您可以让用户根据其角色或配置文件连接到特定的 VLAN。物联网设备也是如此;它们可以自动连接到特定的 VLAN，这是防止物联网接管攻击的最佳做法。

在 Mist 控制台中，您可以配置所需密码短语的复杂度和密钥轮换的频率。

图 1：自配置登录屏幕 WiFi interface showing SSID byod-net, passphrase 2FJACc!%, QR code, email and regenerate options, alongside three people working on a wooden deck with greenery visible.

WiFi interface showing SSID byod-net, passphrase 2FJACc!%, QR code, email and regenerate options, alongside three people working on a wooden deck with greenery visible.

在自行配置期间，笔记本电脑用户可以生成唯一的密码短语，然后在出现提示时将其复制并粘贴到门户中。或者，如果在移动设备上工作，他们可以通过电子邮件将密码发送给他们。生成的密码将在 24 小时后过期。

准备工作

获取并激活 Juniper Mist™ Access Assurance 订阅。有关订阅管理的信息，请参阅 Juniper Mist管理指南。
在您的Juniper Mist组织中，配置至少一个启用了多 PSK 的组织级 WLAN（本地或云 PSK 选项均可）。有关 WLAN 配置的帮助，请参阅《瞻博网络 Mist Wireless Assurance 配置指南》。
在 IdP 管理控制台中，配置 SAML 2.0 应用集成。您的 PSK 门户将与此应用程序集成，以启用对门户用户的单点登录（SSO）访问。您可以使用各种 IdP（如 Okta 和 Microsoft Azure），只要它们支持 SAML 2.0。如需帮助设置 SAML 2.0 应用集成，请参阅 IdP 文档。

从 SAML 2.0 应用集成中复制以下信息并保存，以便在Juniper Mist中设置 PSK 门户。
- 签名算法
- 颁发者 ID（此键可能会有所不同，例如，在 Okta 中，此值称为 “标识提供者颁发者 ”，而在 Azure 中称为“ Azure AD 标识符”。
- SSO URL（此项可能会有所不同，例如，在 Okta 中，此值称为“ 标识提供者单一登录 URL ”，在 Azure 中称为“ 登录 URL”。
- 证书 - 复制证书的全文，从 BEGIN CERTIFICATE 行到 END CERTIFICATE 行。

配置自配置

要使用 BYOD PSK 门户设置客户端入网：

从 Juniper Mist 门户的左侧菜单中，选择“组织>访问>客户端载入”。
单击“客户端上线”页面右上角的“添加 PSK 门户”。
在“添加 PSK 门户”弹出窗口中，输入“名称”，选择“BYOD （SSO）”作为门户类型，然后单击“创建”。
在“编辑 PSK 门户”窗口的“门户设置”选项卡上：
- 保留默认布局选项，或进行更改以自定义登录屏幕。
- 复制 PSK 门户 URL ，以便将其提供给用户。
在“编辑 PSK 门户”窗口的“门户授权”选项卡上：
- 在 IdP 管理控制台中输入您从应用集成中复制的颁发者、签名算法、 SSO URL 和证书。
- 选择名称 ID 格式。大多数人使用电子邮件地址作为名称 ID。如果对 IdP 用户帐户使用其他标识符，请选择“ 未指定”。
复制门户 SSO URL。
打开单独的浏览器窗口，然后完成以下步骤以完成 SAML 2.0 应用集成：
1. 导航到您的 IdP 管理控制台。
2. 转到 SAML 2.0 应用集成的设置。
3. 在相应的字段中输入复制的值，以标识 IdP 的Juniper Mist PSK 门户。如需帮助，请参阅 IdP 文档。
4. 保存更改。
您的 IdP 对于需要粘贴门户 SSO URL 的字段，可能具有不同的名称。请考虑以下示例，并查看 IdP 文档以获取帮助。

Okta 示例

在此示例中，Juniper Mist 的门户 SSO URL 将复制到 Okta 管理控制台中的相应字段中。

Microsoft Azure 示例

在此示例中，Juniper Mist 的门户 SSO URL 将复制到 Azure 管理控制台中的相应字段中。
返回Juniper Mist门户。
在“编辑 PSK 门户”窗口的“PSK 参数”选项卡上：
- 选择 SSID （必需）。
  
  注意：
  此列表仅包含启用了多 PSK 的组织级 WLAN 的 SSID。
- 根据需要调整可选设置。例如：
  - 如果希望将此门户的用户分配到特定 VLAN，请指定 VLAN ID 。要使用此选项，您必须输入 WLAN 的 VLAN 列表中包含的 VLAN。
  - 设置密码短语设置以强制执行密码复杂性策略。
  - 调整 PSK 有效期选项以设置过期期限并在密钥过期前发送提醒。
    
    如果启用发送提醒选项，Juniper Mist会在用户的 PSK 即将过期时向用户发送一封电子邮件。
    
    该电子邮件包含默认的重新身份验证 URL 或密钥过期续订 URL （如果输入）。这通常是单一登录 URL（例如，通过 Okta 或 Microsoft Azure 使用企业标识提供者 URL）。
  - 在最大使用量下，您可以限制可以连接到门户的设备数量。
  - 在 “角色”下，您可以指定角色以限制对某些类型的用户帐户的访问（使用您为 IdP 用户帐户设置的角色）。
单击“编辑 PSK 门户”窗口底部的“保存”。

注意：
在各个选项卡上输入所需的设置之前，该按钮不可用。所需设置以红色字体标记。
通过转到从“编辑 PSK”窗口的“门户设置”选项卡复制的 PSK 门户 URL，验证您的门户是否按预期工作。
为您的用户提供 PSK 门户 URL，以便他们可以连接到您的门户。

提示：
在您的 DNS 中创建一个 CNAME，以创建与您的域关联的更易用的 URL。

用户可以按照屏幕上的文本来加载他们的设备。