Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 Juniper Mist Access Assurance 添加身份提供商

按照以下步骤将标识提供者添加到组织以增强身份验证和访问控制。了解身份提供商 (IdP) 设置中提供的各种选项。

™ Juniper Mist Access Assurance 与各种身份识别服务提供商 (IdP) 集成,以增强身份验证和访问控制。身份提供商充当 EAP-TLS 或 EAP-TTLS 的身份验证源(如果是 EAP-TTLS)和授权源(通过获取用户组成员身份、帐户状态等)。

以下是支持的 IdP:

  • Microsoft Entra ID(以前称为 Azure Active Directory)

  • Okta 员工身份

  • Google Workspace

  • Juniper Mist 边缘代理

Juniper Mist Access Assurance 使用身份提供商 (IdP) 来:

  • 获取其他身份上下文,例如客户端的用户组成员身份和帐户状态。

    此信息在基于证书的身份验证方法中提供,例如可扩展身份验证协议 - 传输层安全性 (EAP-TLS) 和可扩展身份验证协议 - 隧道 TLS (EAP-TTLS)。

  • 通过验证凭据来验证客户端。EAP-TTLS 支持基于凭据的身份验证。

请记住,对于基于 EAP-TLS 证书的身份验证,配置 IdP 是可选的,但对于基于凭据的身份验证 (EAP-TTLS) 是必需的。如果要设置 IdP,请确保您拥有来自身份提供商的必要详细信息,例如客户端 ID 和客户端密钥。

Juniper Mist Access Assurance 使用以下协议集成到任何 IdP 中,以查找用户并获取设备状态信息:

  • 安全的轻型目录访问协议 (LDAP)
  • OAuth 2.0

对于基于 EAP-TLS 证书的身份验证,配置 IdPs 是可选的,对于基于凭据的身份验证 (EAP-TTLS) 是必需的。

先决条件

要为 Juniper Mist Access Assurance 添加身份提供商:

  1. 从Juniper Mist门户的左侧菜单中,选择“组织>访问>身份提供程序”。
  2. 单击“身份提供商”页面右上角附近的“添加 IDP”。
  3. 在“新建身份提供程序”页上,输入“名称”并选择 IDP 类型

    • LDAPS

    • OAuth

    • Mist Edge 代理

    New Identity Provider Page - Name and IDP Type
  4. 请参阅下表以输入所选类型所需的信息。

    LDAPS

    表 1:LDAPS IdP 的设置

    参数

    LDAP 类型 从下拉菜单中选择以下选项之一:
    • 天蓝色
    • Okta
    • 习惯

    服务器主机

    输入要用于身份验证的 LDAP 服务器的名称或 IP 地址。

    域名

    输入 LDAP 服务器的完全限定域名 (FQDN)。

    默认 IDP

    将所选身份提供程序设置为默认 IdP。如果输入的用户域名未知或未找到,系统将在此 IdP 中执行查找。

    绑定 DN

    		 指定允许您搜索基本域名的用户。示例:cn=admin、dc=abc、dc=com。

    绑定密码

    输入 绑定 DN 中提到的用户的密码。

    基本 DN

    搜索库 中输入整个域或特定组织单位(容器),以指定在 LDAP 树中找到用户和组的位置,例如: OU=NetworkAdmins,DC=your,DC=domain,DC=com

    LDAPS 证书

    添加证书颁发机构生成的证书和客户端证书。
    • 组过滤器
    • 成员过滤器
    • 用户过滤器

    指定用于标识组、成员或用户类型的 LDAP 过滤器。此选项仅适用于 LDAP 类型 自定义

    OAuth

    对于 OAuth 身份验证类型,输入 表 2 中提供的值。在此处输入的某些字段需要配置 Azure 或 Okta 应用程序时将收到的值。请参阅 将 Microsoft Entra ID 集成为标识提供者将 Okta 集成为标识提供者

    表 2:OAuth IdP 的设置

    参数

    描述

    OAuth 类型

    		 从下拉菜单中选择以下选项之一:
    • 天蓝色
    • Okta

    OAuth 租户 ID

    输入 OAuth 租户 ID。 使用在 Azure 或 Okta 应用程序配置期间收到的 ID。

    域名

    输入完全限定的域名。

    默认 IDP

    如果未指定用户域名,则将所选身份提供程序设置为默认值。

    OAuth 客户端凭据 (CC) 客户端 ID

    客户端应用程序的应用程序 ID。使用在 Azure 或 Okta 应用程序配置期间收到的 ID。
    OAuth 客户端凭据 (CC) 客户端私钥 (对于Okta)输入在 Okta 应用程序配置期间生成的私钥。

    OAuth 资源所有者密码凭据 (ROPC) 客户端 ID

    (对于Okta)输入客户端密钥 ID。使用您在 Okta 应用程序配置期间收到的密钥 ID。
    OAuth 资源所有者密码凭据 (ROPC) 客户端密码

    (对于Okta)提供客户端密钥值。使用您在 Okta 应用程序配置期间收到的密钥值。
    OAuth 客户端凭据 (CC) 客户端 ID (适用于 Azure)输入在 Azure 应用程序配置期间生成的客户端 ID。
    OAuth 客户端凭据 (CC) 客户端密钥 (适用于 Azure)输入在 Azure 应用程序配置期间生成的客户端密码值。
    OAuth 资源所有者密码凭据 (ROPC) 客户端 ID (对于 Azure)与 OAuth 客户端凭据 (CC) 客户端 ID 相同。

    Mist Edge 代理

    表 3:Mist Edge 代理的设置

    参数

    描述
    代理主机

    输入充当代理的 Mist Edge 的公用 IP 或 NAT IP 地址(以逗号分隔)列表。所有这些地址都必须是您在 Mist Edge 集群 字段中标识的集群的一部分。

    Mist Edge 将侦听以下指定地址:

    • 来自 Mist Access Assurance 的入站 RadSec 请求

    • 来自外部 RADIUS 服务器的 RADIUS 请求
    SSID 输入此 IdP 将使用的 SSID 的逗号分隔列表。
    Mist Edge 群集 从列表中选择一个群集。
    注意:

    如果需要添加Mist Edge集群,请从左侧菜单中选择 Mist Edge, 然后选择 创建集群,然后输入信息。
    排除领域

    如果要避免代理某些用户,请使用此选项。仅当未添加任何外部 IdP 作为授权源的用户使用 EAP-TLS 时,才需要执行此作。

    输入要排除的域名/领域;所有其他有效的用户领域都将被代理。
    作员名称

    如果指定作员名称,则该名称将包含在转发至外部 RADIUS 服务器的访问请求中。例如,某些 eduroam NRO 需要作员名称属性。

    此属性必须以 1 开头,后跟 FQDN。

    示例: 1abc_university.edu
    RADIUS 身份验证服务器 您必须至少指定一台服务器。单击 “添加服务器”,然后输入 IP 地址、端口和共享密钥。
    RADIUS 计费服务器 单击 “添加服务器”,然后输入 IP 地址、端口和共享密钥。
  5. 要保存更改,请单击“新建身份提供程序”页面右上角的“创建”。

相关主题