IoT 和个人设备的自我配置

借助安全的自我配置，针对个人设备和 IoT，实现大规模客户端自动化上线。

宿舍等环境中的无线用户可以安全地自行配置其个人设备，例如 Xbox、Apple TV 和 Roku。同样，无人值守的 IoT 设备可以安全、自动地加入指定的 VLAN 或网段。我们称之为个人网络体验。而且由于无需客户端 MAC 地址注册和 IT 干预，是提供大规模 Wi-Fi 访问的理想解决方案。

使用个人网络体验进行自我配置的工作原理是将符合 SAML 的身份提供商（IDP）（例如 Microsoft Entra ID）连接到 Mist Active Assurance 门户。用户登录到 WLAN，并在其中重定向到单点登录服务以进行身份验证和授权。Mist 为经过身份验证的用户分配特定于单个用户和/或 SSID 的个人预共享密钥（PSK）。使用个人 PSK 还支持微分段，这意味着您可以让用户根据其角色或配置文件连接到特定的 VLAN。IoT 设备也是如此;它们可以自动连接到特定的 VLAN，这是防止 IoT 接管攻击的最佳实践。

在 Mist 控制台中，您可以配置所需密码短语的复杂度和密钥轮换的频率。

图 1：自配置登录屏幕 WiFi interface showing SSID byod-net, passphrase 2FJACc!%, QR code, email and regenerate options, alongside three people working on a wooden deck with greenery visible.

WiFi interface showing SSID byod-net, passphrase 2FJACc!%, QR code, email and regenerate options, alongside three people working on a wooden deck with greenery visible.

在自主配置期间，笔记本电脑用户可以生成一个唯一密码，然后在出现提示时将其复制并粘贴到门户中。或者，如果通过移动设备工作，他们可以通过电子邮件将密码发送给他们。生成的密码短语将在 24 小时后过期。

开始之前

获取并激活瞻博网络 Mist™ Access Assurance 订阅。有关订阅管理的信息，请参阅瞻博网络 Mist 管理指南。
在您的瞻博网络 Mist 组织中，配置至少一个启用了多 PSK 的组织级 WLAN（本地或云 PSK 选项均可）。有关 WLAN 配置方面的帮助，请参阅瞻博网络 Mist Wireless Assurance 配置指南。
在 IdP 管理控制台中，配置 SAML 2.0 应用集成。您的 PSK 门户将与此应用程序集成，以对门户用户启用单点登录（SSO）访问。您可以使用各种 IdP（例如 Okta 和 Microsoft Azure），只要它们支持 SAML 2.0 即可。有关设置 SAML 2.0 应用集成的帮助，请参阅 IdP 文档。

从 SAML 2.0 应用集成中复制以下信息并保存，以便您可以使用它在瞻博网络 Mist 中设置 PSK 门户。
- 签名算法
- 颁发者 ID（此键可能有所不同，例如，在 Okta 中，此值称为“ 标识提供者颁发者 ”，在 Azure 中称为“ Azure AD 标识符”。
- SSO URL（此键可能有所不同，例如，在 Okta 中，此值称为 身份提供商单点登录 URL ，在 Azure 中称为登录 URL。
- 证书（Certificate） - 从 BEGIN CERTIFICATE 行到 END CERTIFICATE 行复制证书的全文。

配置自配置

要使用 BYOD PSK 门户设置客户端接入：

从瞻博网络 Mist 门户的左侧菜单中，选择组织>访问>客户端载入。
单击客户端载入页面右上角的添加 PSK 门户。
在添加 PSK 门户弹出窗口中，输入名称，选择 BYOD （SSO）作为门户类型，然后单击创建。
在“编辑 PSK 门户”窗口的“门户设置”选项卡上：
- 保留默认布局选项，或进行更改以自定义登录屏幕。
- 复制 PSK 门户 URL ，以便将其提供给用户。
在“编辑 PSK 门户”窗口的“门户授权”选项卡上：
- 在 IdP 管理控制台中输入您从应用集成复制的颁发者、签名算法、 SSO URL 和证书。
- 选择名称 ID 格式。大多数人使用电子邮件地址作为名称 ID。如果您为 IdP 用户帐户使用其他标识符，请选择 “未指定”。
复制门户 SSO URL。
打开单独的浏览器窗口，然后完成以下步骤以完成 SAML 2.0 应用集成：
1. 导航至您的 IdP 管理控制台。
2. 转到 SAML 2.0 应用集成的设置。
3. 在相应字段中输入复制的值，以标识您的 IdP 瞻博网络 Mist PSK 门户。有关帮助，请参阅您的 IdP 文档。
4. 保存更改。
对于需要粘贴门户 SSO URL 的字段，您的 IdP 可能具有不同的名称。请考虑以下示例，并查看 IdP 文档以获取帮助。

Okta 示例

在此示例中，瞻博网络 Mist 的门户 SSO URL 将复制到 Okta 管理控制台中的相应字段中。

Microsoft Azure 示例

在此示例中，来自瞻博网络 Mist 的门户 SSO URL 将复制到 Azure 管理控制台中的相应字段中。
返回瞻博网络 Mist 门户。

在“编辑 PSK 门户”窗口的“PSK 参数”选项卡上：

选择 SSID （必需）。

注意：
此列表仅包含已启用多 PSK 的组织级 WLAN 的 SSID。

根据需要调整可选设置。

表 1：可选设置
选项	说明
VLAN ID	如果要将此门户的用户分配到特定 VLAN，请指定 ID。该 ID 必须存在于 WLAN 的 VLAN 列表中。
密码设置	输入设置以强制执行密码复杂性策略。
PSK 有效期	您可以设置密钥到期时间并在密钥到期前发送提醒。如果启用发送提醒选项，则瞻博网络 Mist 会在用户的 PSK 即将到期时向用户发送一封电子邮件。电子邮件包含默认的重新验证 URL 或密钥到期续订 URL （如果您输入）。这通常是单点登录 URL（例如，通过 Okta 或 Microsoft Azure 使用您的公司身份提供商 URL）。
最大使用量	输入可以连接到门户的最大设备数。
角色	如果要限制对某些类型的用户帐户的访问，请指定允许使用门户的角色。这些角色必须是你为 IdP 用户帐户设置的角色。

Configuration interface for editing a PSK Portal, including fields for SSID, VLAN ID, passphrase settings, PSK validity, expiration renew URL, max usage, role assignment, and save, delete, or cancel options.

单击“编辑 PSK 门户”窗口底部的“保存”。

注意：
在您在各个选项卡上输入所需设置之前，该按钮不可用。所需的设置以红色类型标记。
转到从“编辑 PSK”窗口的“门户设置”选项卡复制的 PSK 门户 URL ，验证您的门户是否按预期工作。
向用户提供 PSK 门户 URL，以便他们可以连接到您的门户。

提示：
在您的 DNS 中创建一个 CNAME，以创建与您的域关联的更用户友好的 URL。

用户可以按照屏幕上的文本载入他们的设备。