Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 OneLogin 启用访客门户单一登录访问Enable Guest Portal single sign-on access with OneLogin™

如果要与 OneLogin™ 集成以对来宾用户进行身份验证,请使用此信息。

Juniper Mist支持使用 SAML 2.0 在网络上进行设备身份验证。因此,您可以使用 OneLogin™ 作为身份提供程序 (IdP) 为访客访问设置单点登录 (SSO) WLAN。SAML SSO 允许用户登录一次到其身份提供商,然后无缝访问多个其他 Web 应用程序,而无需再次登录。Juniper Mist访客门户和 OneLogin 都支持 RADIUS EAP-TTLS/PAP 和 EAP-PEAP/MSCHAPv2 身份验证方法。

在开始设置访客门户之前,您应该拥有 OneLogin 门户的管理员凭据,并且已经拥有Mist客户端可以访问的 SAML 应用程序(或已准备好创建一个)(有关说明,请参阅: 为启用 SAML 的应用程序配置 SSO )。

您需要从 OneLogin SAML 应用程序(图 1)获取以下信息,才能在 Juniper Mist 门户(图 2)中配置 OneLogin SSO。

此外,您需要将 门户 SSO URL 从Mist门户复制到 OneLogin 应用程序,以完成该端的设置(门户 SSO URL 在保存初始 WLAN 配置后才会创建,因此您实际上会循环回 WLAN 配置页面)。

  • 对于 OneLogin 应用程序,签名算法应设置为 SHA-256。在进行此更改的同时,可以复制并保存 X.509 证书 ,以便以后在 Juniper Mist 门户中使用。x.509 证书是在 OneLogin 和您的 Juniper Mist 访客门户之间建立信任的公共证书。

  • 此外,在 OneLogin 应用程序中,复制并保存为 颁发者 URLSAML 2.0 端点显示的值。

    图 1:OneLogin SAML 应用 SSO 配置屏幕

    OneLogin SAML App SSO Configuration Screen

要通过 OneLogin 设置具有 SSO 访问权限的 WLAN,请执行以下作:

  1. 在Juniper Mist菜单中,单击“站点”|”无线> WLAN,然后从显示的列表中选择现有 WLAN,或单击“添加 WLAN”按钮创建一个新 WLAN。
    图 2:OneLogin 互作配置详细信息

    Configuration Details for OneLogin Interoperation
  2. 滚动到“WLAN 配置”页的“访客门户”部分,然后选择“使用身份提供商进行 SSO”。
  3. 在显示的字段中,使用从 OneLogin SAML 应用程序收集的信息(图 1)填写以下内容:

    • 颁发者 - 输入 OneLogin 应用程序中的 颁发者 URL

    • SSO URL - 从 OneLogin 应用中输入 SAML 2.0 端点

    • 证书 - 粘贴 OneLogin 应用程序的 X.509 证书

  4. (可选)在重新登录之前,您可以限制客户端可以在网络上停留的时间。为此,请从“设备保持对 __ 的授权”字段中选择一个时间。
  5. (可选)客户端登录后,您可以将其重定向到给定的 URL 或主页。为此,请在“授权后重定向到 URL”字段中键入该 URL。
  6. 单击“创建”或“保存”按钮(视情况而定),将配置上传到Mist云并生成门户 SSO URL,您需要在 OneLogin SAML 应用程序中输入该 URL,以便它可以识别来自访客门户的请求。
  7. 重新打开 WLAN 的“WLAN 配置”页,然后复制门户 SSO URL
  8. 有关详细说明,请参阅高级 SAML 自定义连接器。否则,您可以转到 OneLogin 应用程序详细信息页面,并将刚刚复制的门户 SSO URL 粘贴到以下字段中:

    • 中继状态

    • 受众 (EntityID)

    • 收件人

    • ACS(消费者)URL 验证器

    • ACS(使用者)URL

    • 登录 URL

    在OneLogin App配置的同一页面上,您可以包含用于断言和响应的 SAML签名元素 两者都选择
    关于设置OneLogin应用程序以与Juniper Mist访客门户进行互作,以上是您唯一需要的配置。但是,您还需要指定要为哪些用户显示应用程序。
  9. 要使 OneLogin 登录页面在被访客门户重定向时正确打开,您可能需要指定各种主机名来覆盖域。在 Juniper Mist WLAN 配置页面上的允许的主机名字段中执行此作。使用 OneLogin 中的此页面或数据包捕获来监控端口 53,并查看域的解析结果。
  10. 开启 异常情况下绕过访客/外部门户 ”选项后,如果 AP 无法到达门户或 OneLogin 服务,它将自动授权客户端连接到 WLAN。
  11. 单击“保存”以完成来宾门户的 OneLogin SSO。
要验证一切是否正常,请注销 OneLogin 门户,然后登录刚刚创建的 WLAN。您将被重定向到 OneLogin 页面,您可以在其中输入登录凭据,然后重定向至瞻博网络主页(或您指定的任何 URL)。