Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

将 Google Workspace 集成为身份提供商

按照以下步骤在 Google Workspace 门户中将Mist添加为客户端,下载证书,然后将身份提供商添加到Juniper Mist单位。

Juniper Mist Access Assurance 允许您作为身份提供商 (IdP) 与 Google Workspace 集成,以便在以下用例中利用安全的轻型 SSL 目录访问协议 (LDAPS) 连接器:

  • 对于基于证书(EAP-TLS 或 EAP-TTLS)的授权:
    • 检索用户组成员身份信息以支持基于此用户身份的身份验证策略
    • 获取用户帐户的状态(活动或暂停)

  • 带 PAP 的 EAP-TTLS

    • 检查用户名和密码,以便通过 Google 的身份识别服务提供商进行身份验证

Google Workspace 上的配置

以下过程说明如何通过 Juniper Mist 将 Google Workspace 配置为身份提供商 (IdP)。

  1. 使用 Google 管理员凭据登录 Google Workspace 门户。

    此时将显示 Google 管理员信息中心。

  2. 创建 LDAP 客户端。
    1. 在 Google 管理控制台的左侧导航栏中,转到应用> LDAP,然后点击添加客户端
    2. 提供 LDAP 客户机名称和可选描述,然后单击继续

      添加 LDAP 客户端后,将显示 “访问权限” 页面。

  3. 配置用于验证用户凭据的访问权限。

    可以使用以下选项:

    • 验证用户凭据 — 允许使用 EAP-TTLS/PAP 进行用户凭据验证。此设置指定 LDAP 客户端可以访问哪些组织组以验证用户的凭据。
    • 读取用户信息 - 允许您读取基本用户信息。此设置指定 LDAP 客户端可以访问哪些单位部门和群组以检索其他用户信息。
    1. 如果不需要特定组织,则为这两个选项选择整个域
    2. 向下滚动以读取组信息。此设置指定 LDAP 客户端是否可以读取群组详细信息并检查用户的群组成员身份。

      完成访问权限配置并添加LDAP客户端后,证书将自动在同一页面上生成。

  4. 下载生成的 LDAPS 客户端证书。
    1. 单击下载证书并将下载的证书保存在安全的地方。在 Juniper Mist 门户上设置 IdP 时,需要此证书。
    2. 单击“继续到客户端详细信息”

      此时将显示 <LDAP 客户端名称的设置>页面。

    3. 展开“身份验证”部分。
    4. 在“访问凭据”下,单击“生成新凭据”。

      您可以在 “访问凭据” 页面上查看用户名和密码。

      复制并保存用户名和密码。您需要这些详细信息才能在Juniper Mist云门户上进行 LDAPS 客户端配置。

  5. 通过将 LDAP 客户端的服务状态更改为 On 来启用 LDAP 客户端服务。通过此步骤,您可以使用安全 LDAP 服务设置客户端。
    1. 在 Google 管理控制台中,转到应用> LDAP。选择您的客户端,然后单击“服务状态”

      页面右上角显示的服务状态最初设置为 OFF。

      为所有人选择“打开”以打开服务。请留出一些时间让这些更改应用于 Google 端。

瞻博网络 Mist 仪表板上的配置

  1. 从Juniper Mist门户的左侧菜单中,选择“组织>访问>身份提供程序”。

    “身份提供程序”(Identity Providers) 页面显示所有已配置的身份提供程序。

    图 1:身份提供商页面 Identity Providers Page
  2. 单击添加 IDP 以添加新的 IdP。
  3. “新身份提供商”页面上,输入与 Google Workspace 集成所需的信息。
    图 2:更新身份提供程序详细信息 Update Identity Provider Details

    现在,将 LDAPS 连接器配置为与 Google Workspace LDAP 终端节点集成。

    • 名称 - 输入 IdP 名称。(在本例中,输入 Google Workspace。)
    • IDP 类型 - 选择 LDAPS
    • LDAP 类型 - 选择 自定义
    • 组过滤器 (Group Filter) - 选择 memberOf。要从 Group 属性获取组成员身份,需要此选项。
    • 成员过滤器 (Member Filter) - 选择 “memberOf”(memberOf)。
    • 用户过滤器 (User Filter) - 输入。(mail=%s)
    • 服务器主机 (Server Hosts) - 输入。ldap.google.com
    • 域名 - 输入您的 Google Workspace 域名。例如: abc.com.
    • 绑定 DN - 使用 Google 在上一步中提供的用户名。
    • 绑定密码 - 输入上述用户名的密码。
    • 基本 DN - 配置与 Google Workspace 网域匹配的基本 DN。例如,如果您的域为 abc.com,则您的基本 DN 为 dc=abc,dc=com
  4. 在“CA 证书”部分中,单击“添加证书”并粘贴以下两个证书:
    图 3:添加 CA 证书 Add CA Certificate
  5. “客户端证书”下,添加您从 Google 下载的客户端证书。将以 .key 结尾的文件放在“私钥”下,将以 .crt 结尾的文件放在“签名证书”下,如以下示例所示:
    图 4:添加客户端证书 Add Client Certificate

    点击 保存

在 Juniper Mist 门户上,转到 监控 > 见解 > 客户端事件

当用户使用 EAP-TTLS 进行身份验证时,您可以看到获取用户组成员身份信息的 NAC IDP 身份验证成功NAC IDP 组查找成功 事件。

当用户在 Google Workspace 中使用 EAP-TTS 进行身份验证时,您可以看到获取用户组成员身份信息的事件 NAC IDP 组查找成功
图 5:IDP 组查找成功身份验证事件 IDP Group Lookup Success Authentication Event

如果进行 EAP-TTLS 身份验证,您可以看到 NAC IDP 身份验证成功 事件。此事件表示 Google Workspace 的用户凭据已通过验证。

图 6:IDP 身份验证成功事件 IDP Authentication Success Event

您可以在身份验证策略规则中使用 Google Workspace 中的 IDP 角色,以便根据用户角色执行网络分段。

关于使用 ROPC 的 EAP-TTLS 和 Azure AD

可扩展身份验证协议 - 隧道 TLS (EAP-TTLS) 利用 Azure AD 的 LDAPS OAuth 流来执行用户身份验证。这意味着使用传统身份验证,这涉及使用没有 MFA 的用户名和密码。使用此方法时,需要考虑几个因素:

  • 使用正确的 Wi-Fi 配置文件(来自 GPO 或 MDM)配置客户端设备。 在登录提示时仅提供用户名和密码不适用于某些作系统。
  • 用户必须使用 Google 电子邮件 ID (username@domain) 用户名格式来输入用户名。
  • 将客户端配置为信任服务器证书。请参阅 使用数字证书

另见