Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

将 Okta 集成为身份提供商

按照以下步骤完成先决条件,在 Okta 中配置凭据应用,并将身份提供商添加到Juniper Mist组织。

您可以通过 Juniper Mist 仪表板使用 Okta Workforce Identity Cloud 对尝试访问网络的最终用户进行身份验证。Juniper Mist Access Assurance 使用 Okta 作为身份提供商 (IdP) 来执行各种身份验证任务。

  • 对于基于凭证 (EAP-TTLS) 的身份验证,Okta:
    • 执行委派身份验证,即使用 OAuth 检查用户名和密码。
    • 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略。
    • 获取用户帐户的状态(活动或暂停)
  • 对于基于证书(EAP-TLS 或 EAP-TTLS)的授权,Okta:
    • 检索用户组成员身份信息以支持基于此用户身份的身份验证策略
    • 获取用户帐户的状态(活动或暂停)

先决条件

  • 为 Okta 创建订阅并获取租户 ID。在订阅创建过程中,您可以指定一个租户,用于创建用于访问 Okta 仪表板的 URL。您可以在 Okta 仪表板的右上角找到您的 ID。请注意,租户 ID 不得包含 okta.com。

    注意:

    您的 Okta 登录 URL 格式如下:

    https://{your-okta-account-id}-admin.okta.com/admin/getting-started

    替换 {your-okta-account-id} 为您的 Okta 帐户 ID。
  • 您必须在Juniper Mist门户上具有超级用户权限。

OKTA 资源所有者密码凭据应用集成

  1. 登录到 Okta 管理控制台,然后选择“应用程序”>“应用程序”。
  2. 单击“创建应用程序集成”
    此时将打开“创建新的应用集成”页。
  3. 在“登录方法”下,选择“OIDC-OpenID 连接”,在“应用程序类型”下,选择“本机应用程序”。
  4. 在“新建本机应用集成”页上,选择:
    • 应用程序集成名称 - 输入您能产生共鸣的名称。
    • 授予类型 - 选择 资源所有者密码
    • 受控访问 - 选择 允许组织中的每个人都访问。在此示例中,我们授予每个人对应用程序的访问权限。
  5. 点击保存

    将系统另存为新的应用程序集成后,应用程序将重新加载,并选中“常规”选项卡。

  6. 在“常规”选项卡上,单击“编辑”,然后选择以下选项: 。
    • 客户端身份验证 - 选择 客户端密钥
    • 代码交换的证明密钥 - 选择 “需要 PKCE 作为附加验证”
  7. 单击“保存”继续。
    在此步骤之后,Okta 会生成客户端 ID 和客户端密码。

    记下客户端 ID 和客户端密码。您稍后将需要此信息。

  8. 转到 Okta API 范围选项卡,然后选中以下复选框以授予读取权限:
    • okta.roles.read(英语:okta.roles.read)
    • okta.users.read(英语:okta.users.read)
    • okta.users.read.self
现在,转到Juniper Mist云门户,并开始将 Okta 集成为 IdP。

Okta 客户端凭据应用程序集成

  1. 登录到 Okta 管理控制台,然后选择“应用程序”>“应用程序”。
  2. 单击“创建应用程序集成”
    此时将打开“创建新的应用集成”页。
  3. 在“登录方法”下,选择“API 服务”。
    此时将打开“新建 API 服务应用集成”页面。
  4. “应用集成名称”输入名称,然后单击“保存”。
  5. 转到新应用集成页面中的“常规”选项卡,然后单击“编辑”。
  6. 单击“编辑”,将客户端身份验证方法选择为“公钥/私钥”,然后单击“公钥”部分中的“添加密钥”。
  7. 在“私钥”部分中选择文件格式作为 PEM,然后复制私钥并将其保存在安全的地方。
    在安全的地方,保存 Okta 生成的私钥文件。

    您将无法再次检索此私钥。

    单击 “完成”
  8. 单击“保存”以存储并激活密钥。

    您可以注意到,密钥的状态现在为“活动”。复制屏幕上显示的客户端 ID 和密钥

  9. 转到 Okta API Scopes 选项卡并允许以下读取权限:
    • okta.roles.read(英语:okta.roles.read)
    • okta.users.read(英语:okta.users.read)
    • okta.users.read(英语:okta.users.read)

瞻博网络 Mist 仪表板上的配置

  1. 从Juniper Mist门户的左侧菜单中,选择“组织>访问>身份提供程序”。
    “身份提供程序”(Identity Providers) 页面显示所有已配置的身份提供程序。
  2. 单击“添加 IDP”以添加新的标识提供者。
  3. “新建身份提供程序”页面上,输入以下信息:
    1. 名称 - 输入 IdP 名称。
    2. IDP 类型 - 选择 IdP 类型作为 OAuth
      表 1:身份提供程序类型 OAuth 的设置

      参数

      描述

      OAuth 类型

      		 选择 Okta

      OAuth 租户 ID

      输入 OAuth 租户 ID,使用您在 Okta 应用程序配置期间收到的 ID。

      域名

      输入您的 Okta 用户域名。示例:abc.com

      默认 IDP

      如果未指定用户域名,则将所选身份提供程序设置为默认值。

      OAuth 客户端凭据 (CC) 客户端 ID

      使用您在 Okta 应用程序配置期间收到的 ID。

      Okta 客户端凭据应用程序集成
      OAuth 客户端凭据 (CC) 客户端私钥 输入在 Okta 应用程序配置期间生成的私钥。请参阅 Okta 客户端凭据应用程序集成

      OAuth 资源所有者密码凭据 (ROPC) 客户端 ID

      输入您在 Okta 应用程序配置期间接收和存储的密钥 ID。

      请参阅 OKTA 资源所有者密码凭据应用集成
      OAuth 资源所有者密码凭据 (ROPC) 客户端密码

      提供您在 Okta 应用程序配置期间接收和存储的客户端密钥值。

      请参阅 OKTA 资源所有者密码凭据应用集成
  4. 单击“创建”以保存更改。

在Juniper Mist门户中,转到 监控 > Insights > 客户端事件

当用户通过 Okta 使用 EAP-TLS 进行身份验证时,您可以看到名为 “NAC IDP 组查找成功 ”的事件,如下所示:

如果进行 EAP-TTLS 身份验证,您可以看到 NAC IDP 身份验证成功 事件。此事件表示 Azure AD 已验证用户凭据。您还可以看到获取用户组成员身份的 NAC IDP 组查找成功 事件。

另见