Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Hinzufügen von Identitätsanbietern für Juniper Mist Access Assurance

Führen Sie die folgenden Schritte aus, um Ihre Identitätsanbieter zu Ihrer Organisation hinzuzufügen, um die Authentifizierung und Zugriffskontrolle zu verbessern. Informieren Sie sich über die verschiedenen Optionen, die in den Einstellungen des Identitätsanbieters (IdP) verfügbar sind.

™ Juniper Mist Access Assurance lässt sich in verschiedene Identitätsanbieter (IdPs) integrieren, um die Authentifizierung und Zugriffskontrolle zu verbessern. Identitätsanbieter dienen als Authentifizierungsquelle (im Falle von EAP-TTLS) und Autorisierungsquelle (durch Abrufen von Benutzergruppenmitgliedschaften, Kontostatus usw.) für EAP-TLS oder EAP-TTLS.

Hier sind die unterstützten IdPs:

  • Microsoft Entra ID (ehemals Azure Active Directory)

  • Okta Workforce Identity

  • Google Workspace

  • Juniper Mist Edge-Proxy

Juniper Mist Access Assurance nutzt Identitätsanbieter (IdPs) für folgende Zwecke:

  • Rufen Sie zusätzlichen Identitätskontext ab, z. B. Benutzergruppenmitgliedschaften und Kontostatus von Clients.

    Diese Informationen sind in zertifikatbasierten Authentifizierungsmethoden wie Extensible Authentication Protocol – Transportschicht Security (EAP-TLS) und Extensible Authentication Protocol–Tunneled TLS (EAP-TTLS) verfügbar.

  • Authentifizieren Sie Clients, indem Sie Anmeldeinformationen überprüfen. EAP-TTLS unterstützt die authentifizierungsbasierte Authentifizierung.

Denken Sie daran, dass die Konfiguration von IdPs für die zertifikatbasierte EAP-TLS-Authentifizierung optional ist, für die anmeldeinformationsbasierte Authentifizierung (EAP-TTLS) jedoch obligatorisch ist. Wenn Sie einen IdP einrichten, stellen Sie sicher, dass Sie über die erforderlichen Details wie Client-ID und geheimen Clientschlüssel vom Identitätsanbieter verfügen.

Juniper Mist Access Assurance verwendet die folgenden Protokolle für die Integration in jeden IdP, um Benutzer nachzuschlagen und Informationen zum Gerätestatus zu erhalten:

  • Sicheres Lightweight Directory Access Protocol (LDAP)
  • OAuth 2.0

Die Konfiguration von IdPs ist für die zertifikatbasierte EAP-TLS-Authentifizierung optional und für die anmeldeinformationsbasierte Authentifizierung (EAP-TTLS) obligatorisch.

Voraussetzungen

  • Wenn Sie Azure, Okta oder ähnliche IdPs verwenden, registrieren Sie sich beim IdP. Sie können die Client-ID und den geheimen Clientschlüssel nach der Registrierung vom IdP abrufen.

    Weitere Informationen finden Sie unter:

  • Wenn Sie Juniper Mist Edge Proxy als IdP verwenden, beantragen oder registrieren Sie einen Juniper Mist Edge und erstellen Sie einen Juniper Mist Edge-Cluster.

    Sie können diese Aufgaben ausführen, indem Sie im linken Menü des Juniper Mist-Portals Mist Kanten auswählen. Verwenden Sie dann die Schaltflächen, um Juniper Mist Edge zu beanspruchen, Juniper Mist Edge zu erstellen und Cluster zu erstellen.

So fügen Sie Identitätsanbieter für Juniper Mist Access Assurance hinzu:

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organization > Access> Identity Providers aus.
  2. Klicken Sie in der oberen rechten Ecke der Seite "Identitätsanbieter" auf IDP hinzufügen.
  3. Geben Sie auf der Seite Neuer Identitätsanbieter einen Namen ein und wählen Sie den IDP-Typ aus:

    • LDAPS

    • OAuth

    • Mist Edge Proxy

    New Identity Provider Page - Name and IDP Type
  4. In den folgenden Tabellen geben Sie die für den ausgewählten Typ erforderlichen Informationen ein.

    LDAPS

    Tabelle 1: Einstellungen für LDAPS-IdPs

    Parameter

    Details
    LDAP-Typ Wählen Sie eine der folgenden Optionen aus dem Dropdown-Menü aus:
    • Azurblau
    • Okta
    • Gewohnheit

    Server-Hosts

    Geben Sie den Namen oder die IP-Adresse des LDAP-Servers ein, den Sie für die Authentifizierung verwenden möchten.

    Domänennamen

    Geben Sie den vollqualifizierten Domänennamen (FQDN) des LDAP-Servers ein.

    Standard-IDP

    Legen Sie den ausgewählten Identitätsanbieter als Standard-IdP fest. Das System führt eine Suche in diesem IdP durch, wenn der eingegebene Benutzerdomänenname unbekannt oder nicht gefunden wird.

    DN binden

    		 Geben Sie den Benutzer an, dem Sie erlaubt haben, den Basisdomänennamen zu durchsuchen. Beispiel: cn=admin, dc=abc, dc=com.

    Kennwort binden

    Geben Sie das Kennwort des Benutzers ein, der im Bind-DN erwähnt wird.

    Basis-DN

    Geben Sie in der Suchbasis eine ganze Domäne oder eine bestimmte Organisationseinheit (Container) ein, um anzugeben, wo Benutzer und Gruppen in der LDAP-Struktur zu finden sind, z. B.: OU=NetworkAdmins,DC=your,DC=domain,DC=com.

    LDAPS-Zertifikate

    Fügen Sie das von der Zertifizierungsstelle generierte Zertifikat und das Clientzertifikat hinzu.
    • Gruppenfilter
    • Mitgliederfilter
    • Benutzerfilter

    Geben Sie den LDAP-Filter an, der den Typ der Gruppe, des Mitglieds oder des Benutzers identifiziert. Diese Option ist nur für den benutzerdefinierten LDAP-Typ verfügbar.

    OAuth

    Geben Sie für OAuth-Authentifizierungstyp die Werte wie in Tabelle 2 angegeben. Für einige der Felder, die Sie hier eingeben, sind Werte erforderlich, die Sie erhalten, wenn Sie Azure oder Okta Application konfigurieren. Weitere Informationen finden Sie unter Integrieren von Microsoft Entra ID als Identitätsanbieter oder Integrieren von Okta als Identitätsanbieter.

    Tabelle 2: Einstellungen für OAuth-IdPs

    Parameter

    Beschreibung

    OAuth-Typ

    		 Wählen Sie eine der folgenden Optionen aus dem Dropdown-Menü aus:
    • Azurblau
    • Okta

    OAuth-Mandanten-ID

    Geben Sie die OAuth-Mandanten-ID ein. Verwenden Sie die ID, die Sie bei der Konfiguration der Azure- oder Okta-Anwendung erhalten haben.

    Domänennamen

    Geben Sie einen vollqualifizierten Domänennamen ein.

    Standard-IDP

    Legen Sie den ausgewählten Identitätsanbieter als Standard fest, wenn der Domänenname des Benutzers nicht angegeben ist.

    OAuth Client Credential (CC) Client-ID

    Die Anwendungs-ID der Clientanwendung. Verwenden Sie die ID, die Sie bei der Konfiguration der Azure- oder Okta-Anwendung erhalten haben.
    Privater Schlüssel für OAuth-Clientanmeldeinformationen (CC) des Clients (Für Okta) Geben Sie den privaten Schlüssel ein, der während der Okta-Anwendungskonfiguration generiert wurde.

    OAuth Resource Owner Password Credential (ROPC) Client-ID

    (Für Okta) Geben Sie die ID des geheimen Clientschlüssels ein. Verwenden Sie die geheime ID, die Sie während der Okta-Anwendungskonfiguration erhalten haben.
    Kennwortanmeldeinformationen für OAuth-Ressourcenbesitzer (ROPC) Clientgeheimnis

    (Für Okta) Geben Sie den Wert des geheimen Clientschlüssels an. Verwenden Sie den geheimen Wert, den Sie während der Okta-Anwendungskonfiguration erhalten haben.
    OAuth Client Credential (CC) Client-ID (Für Azure) Geben Sie die Client-ID ein, die während der Konfiguration der Azure-Anwendung generiert wurde.
    Geheimer Clientschlüssel für OAuth-Clientanmeldeinformationen (CC) (Für Azure) Geben Sie den Wert für den geheimen Clientschlüssel ein, der während der Konfiguration der Azure-Anwendung generiert wird.
    OAuth Resource Owner Password Credential (ROPC) Client-ID (Für Azure) identisch mit der Client-ID für OAuth-Clientanmeldeinformationen (CC).

    Mist Edge Proxy

    Tabelle 3: Einstellungen für Juniper Mist Edge Proxy

    Parameter

    Beschreibung
    Proxy-Hosts

    Geben Sie eine durch Kommas getrennte Liste der öffentlichen IP- oder NAT-IP-Adressen der Mist-Edges ein, die als Proxys fungieren. Alle diese Adressen müssen Teil des Clusters sein, den Sie im Feld Juniper Mist Edge-Cluster identifizieren.

    Juniper Mist Edge überwacht die angegebenen Adressen auf:

    • Eingehende RadSec-Anfragen von Mist Access Assurance

    • RADIUS-Anforderungen von externen RADIUS-Servern
    SSIDs Geben Sie eine durch Kommas getrennte Liste der SSIDs ein, die dieser IdP verwenden wird.
    Juniper Mist Edge-Cluster Wählen Sie einen Cluster aus der Liste aus.
    Anmerkung:

    Wenn Sie einen Juniper Mist Edge Cluster hinzufügen müssen, wählen Sie im Menü auf der linken Seite Mist Edges und dann Cluster erstellen aus, und geben Sie die Informationen ein.
    Bereiche ausschließen

    Verwenden Sie diese Option, wenn Sie das Proxying bestimmter Benutzer vermeiden möchten. Dies ist nur erforderlich, wenn EAP-TLS für Benutzer verwendet wird, ohne dass ein externer IdP als Autorisierungsquelle hinzugefügt wurde.

    Geben Sie die Domänennamen/Bereiche ein, die Sie ausschließen möchten. Alle anderen gültigen Benutzerrealms werden über Proxy übermittelt.
    Name des Betreibers

    Wenn Sie einen Operatornamen angeben, wird dieser in Zugriffsanforderungen einbezogen, die an den externen RADIUS-Server weitergeleitet werden. Einige eduroam-NROs benötigen beispielsweise das Attribut operator name.

    Dieses Attribut muss mit 1 beginnen, gefolgt von einem FQDN.

    Beispiel: 1abc_university.edu
    RADIUS-Authentifizierungsserver Sie müssen mindestens einen Server angeben. Klicken Sie auf Server hinzufügen, und geben Sie dann die IP-Adresse, den Port und den gemeinsamen geheimen Schlüssel ein.
    RADIUS-Accounting-Server Klicken Sie auf Server hinzufügen, und geben Sie dann die IP-Adresse, den Port und den gemeinsamen geheimen Schlüssel ein.
  5. Um die Änderungen zu speichern, klicken Sie oben rechts auf der Seite "Neuer Identitätsanbieter" auf "Erstellen".

Zugehörige Dokumentation