Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为瞻博网络 Mist Access Assurance 添加身份提供商

请按照以下步骤将标识提供者添加到组织,以增强身份验证和访问控制。了解身份提供程序 (IdP) 设置中可用的各种选项。

瞻博网络 Mist™ Access Assurance 与各种身份提供商 (IdP) 集成,以增强身份验证和访问控制。身份提供程序充当 EAP-TLS 或 EAP-TTLS 的身份验证源(在 EAP-TTLS 的情况下)和授权源(通过获取用户组成员资格、帐户状态等)。

以下是受支持的 IdP:

  • Microsoft Entra ID(以前称为 Azure Active Directory)

  • Okta 员工队伍身份

  • Google Workspace

  • 瞻博网络 Mist Edge 代理

瞻博网络 Mist Access Assurance 使用身份提供商 (IdP) 来:

  • 获取其他标识上下文,例如客户端的用户组成员身份和帐户状态。

    此信息可用于基于证书的身份验证方法,例如可扩展身份验证协议 - 传输层安全性 (EAP-TLS) 和可扩展身份验证协议 - 隧道 TLS (EAP-TTLS)。

  • 通过验证凭据来验证客户端身份。EAP-TTLS 支持基于证书的身份验证。

请记住,配置 IdP 对于基于 EAP-TLS 证书的身份验证是可选的,但对于基于证书的身份验证 (EAP-TTLS) 是强制性的。如果您要设置 IdP,请确保您拥有来自身份提供商的必要详细信息,例如客户端 ID 和客户端密码。

瞻博网络 Mist Access Assurance 使用以下协议集成到任何 IdP 中,以查找用户并获取设备状态信息:

  • 安全轻量目录访问协议 (LDAP)
  • OAuth 2.0

配置 IdP 对于基于 EAP-TLS 证书的身份验证是可选的,对于基于证书的身份验证 (EAP-TTLS) 是必需的。

先决条件

要为瞻博网络 Mist Access Assurance 添加身份提供商:

  1. 从 瞻博网络 Mist门户的左侧菜单中,选择组织>访问>标识提供程序
  2. 单击“身份提供商”页面右上角附近的添加 IDP
  3. 在 New Identity Provider 页面上,输入名称并选择 IDP 类型

    • LDAP

    • OAuth

    • Mist Edge 代理

    New Identity Provider Page - Name and IDP Type
  4. 请参阅下表,输入所选类型所需的信息。

    LDAP

    表 1:LDAPS IdP 的设置

    参数

    LDAP 类型 从下拉菜单中选择以下选项之一:
    • 天蓝色
    • Okta
    • 习惯

    指定用于标识组、成员或用户类型的 LDAP 过滤器。此选项仅适用于 LDAP 类型 自定义

    服务器主机

    输入要用于身份验证的 LDAP 服务器的名称或 IP 地址。

    域名

    输入 LDAP 服务器的全限定域名 (FQDN)。

    默认 IDP

    将选定的身份提供程序设置为默认 IdP。如果输入的用户域名未知或未找到,系统将在此 IdP 中进行查找。

    绑定 DN

    		 指定您允许搜索基域名的用户。例如:cn=admin、dc=abc、dc=com。

    绑定密码

    输入 绑定 DN 中提及的用户的密码。

    基准 DN

    在搜索 基准 中输入整个域或特定组织部门(容器),以指定用户和组在 LDAP 树中找到的位置,例如: OU=NetworkAdmins,DC=your,DC=domain,DC=com

    LDAPS 证书

    添加证书颁发机构生成的证书和客户端证书。

    OAuth

    对于 OAuth 类型的身份验证,请输入 表 2 中提供的值。您在此处输入的某些字段需要配置 Azure 或 Okta 应用程序时收到的值。请参阅 将 Microsoft Entra ID 集成为标识提供者将 Okta 集成为标识提供者

    表 2:OAuth IdP 的设置

    参数

    描述

    OAuth 类型

    		 从下拉菜单中选择以下选项之一:
    • 天蓝色
    • Okta

    OAuth 租户 ID

    输入 OAuth 租户 ID。 使用您在 Azure 或 Okta 应用程序配置期间收到的 ID。

    域名

    输入一个完全限定的域名。

    默认 IDP

    如果未指定用户域名,则将选定的身份提供程序设置为默认。

    OAuth 客户端凭据 (CC) 客户端 ID

    客户端应用程序的应用程序 ID。使用您在 Azure 或 Okta 应用程序配置期间收到的 ID。
    OAuth 客户端凭据 (CC) 客户端私钥 (对于 Okta)输入在配置 Okta 应用期间生成的私钥。

    OAuth 资源所有者密码凭据 (ROPC) 客户端 ID

    (对于 Okta)输入客户端密钥 ID。 使用您在 Okta 应用程序配置期间收到的密钥 ID。
    OAuth 资源所有者密码凭据 (ROPC) 客户端密码

    (对于 Okta)提供客户端密钥值。使用您在 Okta 应用程序配置期间收到的密钥值。
    OAuth 客户端凭据 (CC) 客户端 ID (对于 Azure)输入在 Azure 应用程序配置期间生成的客户端 ID。
    OAuth 客户端凭据 (CC) 客户端密码 (对于 Azure)输入在 Azure 应用程序配置期间生成的客户端密码值。
    OAuth 资源所有者密码凭据 (ROPC) 客户端 ID (对于 Azure)与 OAuth 客户端凭据 (CC) 客户端 ID 相同。

    Mist Edge 代理

    表 3:Mist Edge 代理的设置

    参数

    描述
    代理主机

    输入充当代理的 Mist Edge 的公共 IP 或 NAT IP 地址的逗号分隔列表。所有这些地址都必须是您在“ Mist Edge群集 ”字段中标识的群集的一部分。

    Mist Edge 将在指定地址侦听以下内容:

    • 来自 Mist Access Assurance 的入站 RadSec 请求

    • 来自外部 RADIUS 服务器的 RADIUS 请求
    SSID 输入此 IdP 将使用的 SSID 的逗号分隔列表。
    Mist Edge 群集 从列表中选择一个群集。
    注意:

    如果您需要添加 Mist Edge 群集,请在左侧菜单中选择 Mist Edge, 然后选择 创建群集,并输入信息。
    排除领域

    如果要避免代理某些用户,请使用此选项。仅当 EAP-TLS 用于未添加任何外部 IdP 作为授权源的用户时,才需要这样做。

    输入要排除的域名/领域;所有其他有效用户领域都将被代理。
    运维人员名称

    如果指定运算符名称,则该名称将包含在转发到外部 RADIUS 服务器的访问请求中。例如,某些 eduroam NRO 需要运算符名称属性。

    此属性必须以 1 开头,后跟 FQDN。

    示例: 1abc_university.edu
    RADIUS 身份验证服务器 您必须至少指定一台服务器。单击 “添加服务器”,然后输入 IP 地址、端口和共享密钥。
    RADIUS 计费服务器 单击 “添加服务器”,然后输入 IP 地址、端口和共享密钥。
  5. 要保存更改,请单击“新建身份提供程序”页面右上角的“创建”。

相关文档