将Microsoft Entra ID 集成为身份提供程序
Microsoft Azure Active Directory (Azure AD),现在称为 Microsoft Entra ID,是一种身份和访问管理解决方案。借助瞻博网络 Mist Access Assurance,您可以使用 OAuth 将身份验证服务集成到 Entra ID 中,以执行以下操作:
- 使用可扩展身份验证协议 - 隧道 TLS (EAP-TTLS) 进行用户身份验证
- 执行委派身份验证,即使用 OAuth 检查用户名和密码。
- 检索用户组成员身份信息以支持基于此用户标识的身份验证策略。
- 获取用户帐户的状态(活动或挂起)。
- 使用可扩展身份验证协议 - 传输层安全性 (EAP-TLS) 和 EAP-TTLS 进行用户授权
- 检索用户组成员身份信息以支持基于此用户标识的身份验证策略。
- 获取用户帐户的状态(活动或已挂起)
-
具有密码认证协议 (PAP) 的 EAP-TTLS
- 执行委派身份验证,即使用 OAuth 或资源所有者密码凭据 (ROPC) 检查用户名和密码。
- 检索用户组成员身份信息以支持基于此用户标识的身份验证策略。
- 获取用户帐户的状态(活动或已挂起)
Entra ID 门户中的配置
要将 Entra ID 与瞻博网络 Mist Access Assurance 集成,您需要客户端 ID、客户端密钥和租户 ID,它们是 Entra ID 门户生成的值。
瞻博网络 Mist 仪表板上的配置
在瞻博网络 Mist 门户上,转至 监控>见解>客户端事件。
当瞻博网络 Mist Access Assurance 将 EAP-TLS 与 Azure AD 结合使用来对用户进行身份验证时,您可以看到 NAC IDP 组查找成功 事件,如下所示:
图 3:IdP
进行 EAP-TLS 身份验证的成功消息
![Success Message for EAP-TLS Authentication by IdP](/documentation/us/en/software/mist/mist-access/images/maa-azure-integration-11.png)
对于 EAP-TTLS 身份验证,您会看到 NAC IDP 身份验证成功事件。此事件表示 Azure AD 已验证用户凭据。对于此身份验证,您还会看到获取用户组成员身份的 NAC IDP 组查找成功事件。
图 4:IdP 进行 EAP-TTLS 身份验证的成功消息
![Success Message for EAP-TTLS Authentication by IdP](/documentation/us/en/software/mist/mist-access/images/maa-azure-integration-12.png)
使用 Azure AD 和 ROPC 进行 EAP-TTLS 身份验证
EAP-TTLS 将资源所有者密码凭据 (ROPC) OAuth 流与 Azure AD 结合使用,对用户进行身份验证并检索用户组信息。使用旧式身份验证(如 ROPC 流)时,必须考虑多个因素,该流仅验证用户名和密码,并跳过多重身份验证 (MFA)。
- 必须使用移动设备管理 (MDM) 或组策略对象 (GPO) 使用正确的无线配置文件配置客户端设备。如果在登录提示符下仅提供用户名和密码,则旧式身份验证无法对某些操作系统起作用。
- 用户输入的用户名必须采用用户主体名称 (UPN) 格式 (username@domain)。
- 必须将客户端配置为信任服务器证书。
- 用户必须至少登录到一次 Azure 门户,然后才能尝试使用 ROPC 身份验证进行访问。此步骤对于测试用户帐户非常重要。
- Azure 门户必须将用户密码存储在完整的云帐户中,或者存储在使用 Azure AD Connect 启用密码同步的本地 AD 中。不支持联合身份验证用户。
- 您必须为选择 ROPC 身份验证的用户禁用 MFA。为 EAP-TTLS 实现 MFA 绕过的一种方法是使用以下过程将 Mist Access Assurance 源 IP 地址 标记为受信任位置:
- 在 Microsoft Entra 门户中,转到“ 保护”>“条件访问”>“命名位置”, 然后选择“ 新建位置”。
- 在“新位置(IP 范围)”中,输入详细信息。
图 5:绕过 MFA 从受信任的 IP 地址范围
登录
- 输入位置的名称。
- 选择“ 标记为受信任位置”。
- 输入瞻博网络 Mist Access Assurance IP 地址的 IP 范围。
- 单击 创建。
- 在条件访问 MFA 策略中,将受信任的 IP 源作为排除条件。
图 6:从访问策略
中排除命名位置