将 Microsoft Entra ID 集成为标识提供者
Microsoft Azure Active Directory (Azure AD)(现在称为 Microsoft Entra ID)是一种身份和访问管理解决方案。借助 Juniper Mist Access Assurance,您可以使用 OAuth 将身份验证服务集成到 Entra ID 中,从而执行以下操作:
- 使用可扩展身份验证协议-隧道 TLS (EAP-TTLS) 的用户身份验证
- 执行委派身份验证,即使用 OAuth 检查用户名和密码。
- 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略。
- 获取用户帐户的状态(活动或暂停)。
- 使用可扩展身份验证协议-传输层安全性 (EAP-TLS) 和 EAP-TTLS 进行用户授权
- 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略。
- 获取用户帐户的状态(活动或暂停)
-
具有密码身份验证协议 (PAP) 的 EAP-TTLS
- 执行委派身份验证,即使用 OAuth 或资源所有者密码凭据 (ROPC) 检查用户名和密码。
- 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略。
- 获取用户帐户的状态(活动或暂停)
Entra ID Portal 中的配置
要将 Entra ID 与 Juniper Mist Access Assurance 集成,您需要客户端 ID、客户端密钥和租户 ID,这是 Entra ID 门户生成的值。
瞻博网络 Mist 仪表板上的配置
在Juniper Mist门户上,转到 监控 > 见解>客户端事件。
当 Juniper Mist Access Assurance 通过将 EAP-TLS 与 Azure AD 一起使用来对用户进行身份验证时,可以看到 NAC IDP 组查找成功 事件,如下所示:
图 3:IdP 的 EAP-TLS 身份验证成功消息
对于 EAP-TTLS 身份验证,您会看到 NAC IDP 身份验证成功事件。此事件表示 Azure AD 已验证用户凭据。对于此身份验证,您还会看到获取用户组成员身份的 NAC IDP 组查找成功事件。
图 4:IdP 的 EAP-TTLS 身份验证成功消息
使用 Azure AD 和 ROPC 进行 EAP-TTLS 身份验证
EAP-TTLS 利用资源所有者密码凭据 (ROPC) OAuth 流与 Azure AD 来对用户进行身份验证并检索用户组信息。使用旧式身份验证(如 ROPC 流)时,必须考虑几个因素,该流仅验证用户名和密码,并跳过多重身份验证 (MFA)。
- 您必须使用移动设备管理 (MDM) 或组策略对象 (GPO) 为客户端设备配置正确的无线配置文件。如果在登录提示时仅提供用户名和密码,则旧式身份验证无法在某些操作系统中正常工作。
- 用户输入的用户名必须采用用户主体名称 (UPN) 格式 (username@domain)。
- 您必须将客户端配置为信任服务器证书。
- 用户必须至少登录到 Azure 门户一次,然后才能尝试使用 ROPC 身份验证进行访问。此步骤对于测试用户帐户很重要。
- Azure 门户必须将用户密码存储在完整云帐户中,或者存储在通过 Azure AD Connect 启用密码同步的本地 AD 中。不支持联合身份验证用户。
- 您必须为选择 ROPC 身份验证的用户禁用 MFA。绕过 EAP-TTLS 的 MFA 的一种方法是使用以下过程将 Mist Access Assurance 源 IP 地址 标记为受信任的位置:
- 在 Microsoft Entra 门户中,转到“ 保护>条件访问”>“命名位置 ”,然后选择 “新建位置”。
- 在“新位置(IP 范围)”中,输入详细信息。
图 5:绕过 MFA 从受信任的 IP 地址范围 登录
- 输入位置的名称。
- 选择 “标记为受信任位置”。
- 输入Juniper Mist Access Assurance IP 地址的 IP 范围。
- 单击 创建。
- 在条件访问 MFA 策略中,将受信任的 IP 源引用为排除条件。
图 6:从访问策略 中排除指定位置