Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

将 Okta 集成为身份提供商

您可以通过瞻博网络 Mist 仪表板使用 Okta Workforce Identity Cloud 对尝试访问网络的最终用户进行身份验证。Juniper Mist Access Assurance 使用 Okta 作为身份提供程序 (IdP) 来执行各种身份验证任务:

  • 对于基于凭据的 (EAP-TTLS) 身份验证,Okta:
    • 执行委派身份验证,即使用 OAuth 检查用户名和密码。
    • 检索用户组成员身份信息以支持基于此用户身份的身份验证策略。
    • 获取用户帐户的状态(活动或已挂起)
  • 对于基于证书(EAP-TLS 或 EAP-TTLS )授权,Okta:
    • 检索用户组成员身份信息以支持基于此用户身份的身份验证策略
    • 获取用户帐户的状态(活动或已挂起)

先决条件

  • 为 Okta 创建订阅并获取租户 ID。在订阅创建期间,您可以指定用于创建 URL 以访问 Okta 仪表板的租户。您可以在 Okta 仪表板的右上角找到您的 ID。请注意,租户 ID 不得包含 okta.com。

    注意:

    您的 Okta 登录 URL 具有以下格式:

    https://{your-okta-account-id}-admin.okta.com/admin/getting-started.

    替换为 {your-okta-account-id} 您的 Okta 帐户 ID。
  • 您必须具有瞻博网络 Mist 门户上的超级用户权限。

OKTA 资源所有者密码凭据应用集成

  1. 登录到 Okta 管理控制台并选择应用程序>应用程序。
  2. 单击创建应用集成
    此时将打开“创建新的应用集成”页。
  3. 在“登录方法”下,选择“OIDC-OpenID 连接”,然后在“应用程序类型”下选择“本机应用程序”。
  4. 在“新建本机应用集成”页上,选择:
    • 应用集成名称 - 输入与您产生共鸣的名称。
    • 授权类型 - 选择 资源所有者密码
    • 受控访问 - 选择 允许组织中的所有人访问。在此示例中,我们授予每个人对应用程序的访问权限。
  5. 单击保存

    将系统另存为新的应用程序集成后,应用程序将重新加载并选中“常规”选项卡。

  6. 在常规选项卡上,单击编辑并选择以下选项:。
    • 客户端身份验证 - 选择 客户端密钥
    • 用于代码交换的证明密钥 - 选择 需要 PKCE 作为附加验证
  7. 单击保存以继续。
    在此步骤之后,Okta 会生成客户端 ID 和客户端密钥。

    记下客户端 ID 和客户端密码。稍后将需要此信息。

  8. 转到 Okta API 范围选项卡,然后选中以下复选框以授予读取权限:
    • okta.roles.read
    • okta.users.read
    • okta.users.read.self
现在,转到瞻博网络 Mist 云门户,开始将 Okta 集成为 IdP。

Okta 客户端凭据应用集成

  1. 登录到 Okta 管理控制台并选择应用程序>应用程序。
  2. 单击创建应用集成
    此时将打开“创建新的应用集成”页。
  3. 在“登录方法”下,选择“API 服务”。
    此时将打开“新建 API 服务应用集成”页。
  4. “应用集成名称”输入名称,然后单击“保存”。
  5. 转到新应用集成页面中的常规选项卡,然后单击编辑。
  6. 单击编辑并选择客户端身份验证方法作为公钥/私钥,然后单击公钥部分中的添加密钥
  7. 在“私钥”部分中选择文件格式为 PEM,然后复制私钥并将其保存在安全的位置。
    在安全的地方,保存 Okta 生成的私钥文件。

    您将无法再次检索此私钥。

    单击 完成
  8. 单击保存以存储并激活密钥。

    您可以注意到,密钥的状态现在为“活动”。复制屏幕上显示的客户端 ID 和密钥,

  9. 转到 Okta API 范围选项卡并允许以下读取权限:
    • okta.roles.read
    • okta.users.read
    • okta.users.read.self

瞻博网络 Mist 仪表板上的配置

  1. 在瞻博网络 Mist 门户上,单击组织,然后在访问下选择身份提供商
    此时将打开“身份提供程序”页面,其中显示已配置的身份提供程序(如果有)的列表。
  2. 单击添加 IDP 以添加新的身份提供程序。
  3. “新建身份提供程序”页面上,输入以下信息:
    1. 名称 — 输入 IdP 名称。
    2. IDP 类型 — 选择 IdP 类型作为 OAuth
      表 1:身份提供程序类型 OAuth 的设置

      参数

      描述

      OAuth 类型

      		 选择 Okta

      OAuth 租户 ID

      输入 OAuth 租户 ID。使用您在 Okta 应用程序配置期间收到的 ID。

      域名

      输入您的 Okta 用户名。示例:abc.com

      默认 IDP

      如果未指定用户域名,请将所选身份提供程序设置为默认值。

      OAuth 客户端凭据 (CC) 客户端 ID

      使用您在 Okta 应用程序配置期间收到的 ID。

      Okta 客户端凭据应用集成
      OAuth 客户端凭据 (CC) 客户端私钥 输入 Okta 应用程序配置期间生成的私钥。请参阅 Okta 客户端凭据应用集成

      OAuth 资源所有者密码凭据 (ROPC) 客户端 ID

      输入您在 Okta 应用程序配置期间收到并存储的密钥 ID。

      请参阅 OKTA 资源所有者密码凭据应用集成
      OAuth 资源所有者密码凭据 (ROPC) 客户端密码

      提供在 Okta 应用程序配置期间接收并存储的客户端密钥值。

      请参阅 OKTA 资源所有者密码凭据应用集成
  4. 单击“创建”以保存更改。

在瞻博网络 Mist 门户中,转至 监控 > 见解 > 客户端事件

当用户通过 Okta 使用 EAP-TLS 进行身份验证时,您可以看到名为 NAC IDP 组查找成功的 事件,如下所示:

如果是 EAP-TTLS 身份验证,您可以看到 NAC IDP 身份验证成功 事件。此事件表示 Azure AD 已验证用户凭据。您还可以看到获取用户组成员身份的 NAC IDP 组查找成功 事件。

参见