Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

将 Azure AD 集成为标识提供者

Microsoft Azure Active Directory (Azure AD),现在称为 Microsoft Entra ID,是一种身份和访问管理解决方案。Juniper Mist Access Assurance 允许你使用 OAuth 将身份验证服务本机集成到 Azure AD 中。

  • 对于基于凭据的 (EAP-TTLS) 身份验证,Azure AD:
    • 执行委派身份验证,即使用 OAuth 检查用户名和密码。
    • 检索用户组成员身份信息以支持基于此用户身份的身份验证策略。
    • 获取用户帐户的状态(活动或挂起)。
  • 对于基于证书(EAP-TLS 或 EAP-TTLS)的授权,Azure AD:
    • 检索用户组成员身份信息以支持基于此用户身份的身份验证策略。
    • 获取用户帐户的状态(活动或已挂起)
  • EAP-TTLS 与 PAP

    • 执行委派身份验证,即使用 OAuth 或 ROPC 检查用户名和密码。
    • 检索用户组成员身份信息以支持基于此用户身份的身份验证策略。
    • 获取用户帐户的状态(活动或已挂起)

Azure 门户上的配置

若要将 Azure AD 与瞻博网络 Mist Access Assurance 集成,需要客户端 ID、客户端密码和租户 ID。

  1. 使用凭据登录到 Azure 门户并导航到 Azure AD。
  2. 在左侧导航栏中,选择“应用注册”。
  3. 单击“新建注册”以注册新应用程序。
  4. 在“新建注册”页上,在以下字段中输入所需信息。
    请注意,以下列表显示了示例用户输入。
    • 姓名—Mist AA IDP connector
    • 支持的帐户类型 - 仅选择此组织目录中的帐户
  5. 单击注册以继续。
    将出现一个页面,显示有关新创建的连接器的信息。
  6. 记下以下详细信息,您需要在瞻博网络 Mist 门户上设置身份提供商 (IdP) 连接器:
    • 应用程序(客户端)ID — 您需要在瞻博网络 Mist 云门户的 OAuth 客户端凭据 (CC) 客户端 ID 和资源 所有者密码凭据客户端 ID 字段中输入此信息。
    • 目录(租户)ID — 瞻博网络 Mist 门户上的 OAuth 租户 ID 字段需要此信息。
  7. 单击“添加证书或机密”,然后在“添加客户端机密”窗口中设置以下内容:
    输入以下详细信息,然后单击 添加
    • 名字
    • 到期时间

    系统将生成和密钥 ID

    复制并保存“ ”字段。请注意,此字段只会看到一次。也就是说,在创建密钥之后。确保将其保存在安全的地方。

    记下“值”字段中的信息。将 Azure AD 添加为 IdP 时,瞻博网络 Mist 门户上的 “OAuth 客户端凭据客户端密码 ”字段将需要此信息。

  8. 在已注册应用程序的 Azure 门户页上的左侧导航栏中,转到“身份验证”选项卡,然后向下滚动到“高级设置”部分。
  9. 在已注册应用程序的 Azure 门户页上的左侧导航栏上,选择“API 权限”>“添加权限”。

    您必须为应用程序授予所需的访问权限,才能使用 Microsoft Graph API 获取有关用户的信息。

    在 Microsoft Graph 下,添加以下权限:
    • User.Read - 委派
    • User.Read.All - 应用程序
    • Group.Read.All - 应用程序

    点击 为您的广告授予管理员同意

瞻博网络 Mist 仪表板上的配置

  1. 在瞻博网络 Mist 门户的左侧菜单中选择“组织>访问”>身份提供程序”。

    此时将显示身份提供程序页面,其中显示已配置的 IdP(如果有)的列表。

    图 1:身份提供程序页面 Identity Providers Page
  2. 单击添加 IDP 以添加新的 IDP。
  3. “新建身份提供程序”页面上,输入所需信息,如下所示。
    图 2:将 Azure AD 添加为标识提供者 Add Azure AD as Identity Provider
    1. 名称 - 输入 IdP 名称(在此示例中,使用 Azure AD)。
    2. IDP 类型 - 选择 OAuth
    3. OAuth 类型 - 从下拉列表中选择“ Azure ”。
    4. OAuth 租户 ID - 输入从 Azure 应用程序复制的目录(租户) ID 中的值。
    5. 域名 - 输入域名,即用户的用户名(例如:username@domain.com)。域名字段检查传入的身份验证请求,标识相应的用户名和关联的域。为连接器设置域名后,连接器可以标识需要与之通信的 Azure 租户。
    6. OAuth 客户端凭据 (CC) 客户端 ID - 输入已注册的 Azure AD 应用程序的应用程序(客户端)ID。
    7. OAuth 客户端凭据 (CC) 客户端机密 - Azure AD 应用程序机密。这是之前从 Azure 门户创建的机密的值。
    8. OAuth 资源所有者密码凭据 (ROPC) 客户端 ID - 输入已注册 Azure AD 应用程序的应用程序(客户端)ID。

在瞻博网络 Mist 门户上,转到 监控>见解>客户端事件

当用户将 EAP-TLS 与 Azure AD 结合使用时,你可以看到名为 NAC IDP 组查找成功的 事件,如下所示:

图 3:查看 EAP-TLS 身份验证 View IDP Authentication Success for EAP-TLS Authentication的 IDP 身份验证成功情况

如果是 EAP-TTLS 身份验证,您可以看到 NAC IDP 身份验证成功 事件。此事件表示 Azure AD 已验证用户凭据。您还可以看到获取用户组成员身份的 NAC IDP 组查找成功 事件。

图 4:查看 EAP-TTLS 身份验证 View IDP Authentication Success for EAP-TTLS Authentication的 IDP 身份验证成功情况

关于使用 ROPC 的 EAP-TTLS 和 Azure AD

EAP-TTLS 将 ROPC(资源所有者密码凭据)OAuth 流与 Azure AD 结合使用来执行用户身份验证和组检索。这意味着使用旧式身份验证,这涉及在没有 MFA 的情况下使用用户名和密码。采用此方法时需要考虑几个因素:

  • 使用正确的 Wi-Fi 配置文件(从 GPO 或 MDM)配置客户端设备。 仅在登录提示符下提供用户名和密码不适用于某些操作系统。
  • 用户必须使用完整的用户主体名称 (UPN) 格式 (username@domain) 输入用户名。
  • 将客户端配置为信任服务器证书。看到
  • 用户必须至少登录到一次 Azure 门户,然后才能尝试使用 ROPC 身份验证进行访问。此步骤对于测试用户帐户非常重要。
  • Azure 门户必须将用户的密码存储在完整的云帐户中,或者存储在使用 Azure AD Connect 启用密码同步的本地 AD 中。不支持联合身份验证用户。
  • 需要为使用身份验证的用户禁用 MFA。