Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Identitätsanbieter für Juniper Mist Access Assurance hinzufügen

Führen Sie die folgenden Schritte aus, um Ihre Identitätsanbieter zu Ihrer Organisation hinzuzufügen, um die Authentifizierung und Zugriffssteuerung zu verbessern. Machen Sie sich mit den verschiedenen Optionen vertraut, die in den Einstellungen des Identitätsanbieters (IdP) verfügbar sind.

Juniper Mist Systems™ Access Assurance lässt sich in verschiedene Identitätsanbieter (IdPs) integrieren, um die Authentifizierung und Zugriffskontrolle zu verbessern. Identitätsanbieter dienen als Quelle (im Falle von EAP-TTLS) und Authentifizierung Autorisierungsquelle (durch Abrufen von Benutzergruppenmitgliedschaften, Kontostatus usw.) für EAP-TLS oder EAP-TTLS.

Hier sind die unterstützten IdPs:

  • Microsoft Entra ID (früher bekannt als Azure Active Directory)

  • Okta Workforce Identity

  • Google Workspace

  • Juniper Mist Edge Proxy

Juniper Mist Access Assurance verwendet Identitätsanbieter (IdPs) für Folgendes:

  • Rufen Sie zusätzlichen Identitätskontext ab, z. B. Benutzergruppenmitgliedschaften und Kontostatus von Clients.

    Diese Informationen sind in zertifikatbasierten Authentifizierungsmethoden wie Extensible Authentication Protocol – Transportschicht Sicherheit (EAP-TLS) und Extensible Authentication Protocol – Tunneled TLS (EAP-TTLS) verfügbar.

  • Authentifizieren von Clients durch Validieren von Anmeldeinformationen. EAP-TTLS unterstützt die auf Nachweisen basierende Authentifizierung.

Denken Sie daran, dass die Konfiguration von IdPs für die zertifikatbasierte EAP-TLS-Authentifizierung optional ist, für die auf Nachweisen basierende Authentifizierung (EAP-TTLS) jedoch obligatorisch. Wenn Sie einen IdP einrichten, stellen Sie sicher, dass Sie über die erforderlichen Details wie Client-ID und geheimen Clientschlüssel vom Identitätsanbieter verfügen.

Juniper Mist Access Assurance verwendet die folgenden Protokolle zur Integration in jeden IdP, um Benutzer zu suchen und Informationen zum Gerätestatus zu erhalten:

  • Secure Lightweight Directory Access Protocol (LDAP)
  • OAuth 2.0

Die Konfiguration von IdPs ist für die zertifikatbasierte EAP-TLS-Authentifizierung optional und für die auf Nachweisen basierende Authentifizierung (EAP-TTLS) obligatorisch.

Voraussetzungen

  • Wenn Sie Azure, Okta oder ähnliche IdPs verwenden, registrieren Sie sich beim IdP. Sie können die Client-ID und die Details zum geheimen Clientschlüssel nach der Registrierung vom IdP abrufen.

    Weitere Informationen finden Sie unter:

  • Wenn Sie Juniper Mist Edge Proxy als IdP verwenden, beanspruchen oder registrieren Sie einen Juniper Mist Edge und erstellen Sie einen Juniper Mist Edge-Cluster.

    Sie können diese Aufgaben ausführen, indem Sie im linken Menü des Juniper Mist Systems-Portals die Option Mist Systems Edges auswählen. Verwenden Sie dann die Schaltflächen, um Juniper Mist Edge zu beanspruchen, Juniper Mist Edge zu erstellen und Cluster zu erstellen.

So fügen Sie Identitätsanbieter für Juniper Mist Access Assurance hinzu:

  1. Wählen Sie im linken Menü des Juniper Mist Systems-Portals die Option Organisation > Zugriff> Identitätsanbieter aus.
  2. Klicken Sie auf IDP hinzufügen in der oberen rechten Ecke der Seite Identitätsanbieter.
  3. Geben Sie auf der Seite Neuer Identitätsanbieter einen Namen ein, und wählen Sie den IDP-Typ aus:

    • LDAPS

    • OAuth

    • Mist Edge Proxy

    New Identity Provider Page - Name and IDP Type
  4. In den folgenden Tabellen können Sie die für den ausgewählten Typ erforderlichen Informationen eingeben.

    LDAPS

    Tabelle 1: Einstellungen für LDAPS-IdPs

    Parameter

    Einzelheiten
    LDAP-Typ Wählen Sie eine der folgenden Optionen aus dem Dropdown-Menü aus:
    • Azurblau
    • Okta
    • Benutzerdefiniert

    Geben Sie den LDAP-Filter an, der den Typ der Gruppe, des Mitglieds oder des Benutzers identifiziert. Diese Option ist nur für benutzerdefinierte LDAP-Optionen verfügbar.

    Server-Hosts

    Geben Sie den Namen oder die IP-Adresse des LDAP-Servers ein, den Sie für die Authentifizierung verwenden möchten.

    Domainnamen

    Geben Sie den vollqualifizierten Domänennamen (FQDN) des LDAP-Servers ein.

    Standard-IDP

    Legen Sie den ausgewählten Identitätsanbieter als Standard-IdP fest. Das System führt in diesem IdP eine Suche durch, wenn der eingegebene Benutzerdomänenname unbekannt ist oder nicht gefunden wurde.

    DN binden

    		 Geben Sie den Benutzer an, dem Sie erlaubt haben, den Basisdomänennamen zu durchsuchen. Beispiel: cn=admin, dc=abc, dc=com.

    Kennwort binden

    Geben Sie das Kennwort des Benutzers ein, der in der Bindungs-DN erwähnt wird.

    Sockel DN

    Geben Sie eine ganze Domäne oder eine bestimmte Organisationseinheit (Container) in die Suchbasis ein, um anzugeben, wo Benutzer und Gruppen in der LDAP-Struktur zu finden sind, z. B.: OU=NetworkAdmins,DC=your,DC=domain,DC=com.

    LDAPS-Zertifikate

    Fügen Sie das von der Zertifizierungsstelle generierte Zertifikat und das Clientzertifikat hinzu.

    OAuth

    Geben Sie für den OAuth-Typ der Authentifizierung die Werte wie in Tabelle 2 angegeben ein. Einige der Felder, die Sie hier eingeben, erfordern Werte, die Sie erhalten, wenn Sie Azure oder Okta Application konfigurieren. Weitere Informationen finden Sie unter Integrieren von Microsoft Entra ID als Identitätsanbieter oder Integrieren von Okta als Identitätsanbieter.

    Tabelle 2: Einstellungen für OAuth-IdPs

    Parameter

    Beschreibung

    OAuth-Typ

    		 Wählen Sie eine der folgenden Optionen aus dem Dropdown-Menü aus:
    • Azurblau
    • Okta

    OAuth-Mandanten-ID

    Geben Sie die OAuth-Mandanten-ID ein. Verwenden Sie die ID, die Sie während der Azure- oder Okta-Anwendungskonfiguration erhalten haben.

    Domainnamen

    Geben Sie einen vollqualifizierten Domänennamen ein.

    Standard-IDP

    Legen Sie den ausgewählten Identitätsanbieter als Standard fest, wenn der Domänenname des Benutzers nicht angegeben ist.

    OAuth-Client-Anmeldeinformationen (CC) Client-ID

    Die Anwendungs-ID Ihrer Clientanwendung. Verwenden Sie die ID, die Sie während der Azure- oder Okta-Anwendungskonfiguration erhalten haben.
    Privater Clientschlüssel für OAuth-Clientanmeldeinformationen (CC) (für Okta) Geben Sie den privaten Schlüssel ein, der während der Okta-Anwendungskonfiguration generiert wurde.

    OAuth Resource Owner Password Credential (ROPC) Client-ID

    (für Okta) Geben Sie die geheime Client-ID ein. Verwenden Sie die geheime ID, die Sie während der Okta-Anwendungskonfiguration erhalten haben.
    OAuth Resource Owner Password Credential (ROPC) Client Secret

    (für Okta) Bereitstellung von Wert für geheimen Clientschlüssel. Verwenden Sie den geheimen Wert, den Sie während der Okta-Anwendungskonfiguration erhalten haben.
    OAuth-Client-Anmeldeinformationen (CC) Client-ID (Für Azure) Geben Sie die Client-ID ein, die während der Azure-Anwendungskonfiguration generiert wurde.
    OAuth Client Credential (CC) Client Secret (Für Azure) Geben Sie den Wert für den geheimen Clientschlüssel ein, der während der Azure-Anwendungskonfiguration generiert wurde.
    OAuth Resource Owner Password Credential (ROPC) Client-ID (Für Azure) identisch mit OAuth-Clientanmeldeinformationen (CC) Client-ID.

    Mist Edge Proxy

    Tabelle 3: Einstellungen für Juniper Mist Edge Proxy

    Parameter

    Beschreibung
    Proxy-Hosts

    Geben Sie eine durch Kommas getrennte Liste der öffentlichen IP- oder NAT-IP-Adressen der Mist Systems Edges ein, die als Proxys fungieren. Alle diese Adressen müssen Teil des Clusters sein, den Sie im Feld "Juniper Mist Edge-Cluster" angeben.

    Juniper Mist Edge überwacht die angegebenen Adressen für:

    • Eingehende RadSec-Anfragen von Mist Access Assurance

    • RADIUS-Anforderungen von externen RADIUS-Servern
    SSIDs Geben Sie eine durch Kommas getrennte Liste der SSIDs ein, die dieser IdP verwendet.
    Mist Edge Cluster Wählen Sie einen Cluster aus der Liste aus.
    Hinweis:

    Wenn Sie einen Juniper Mist Edge-Cluster hinzufügen müssen, wählen Sie im linken Menü Mist Systems Edges und dann Cluster erstellen aus, und geben Sie die Informationen ein.
    Realms ausschließen

    Verwenden Sie diese Option, wenn Sie die Proxy-Funktion bestimmter Benutzer vermeiden möchten. Dies ist nur erforderlich, wenn EAP-TLS für Benutzer verwendet wird, ohne dass ein externer IdP als Autorisierungsquelle hinzugefügt wurde.

    Geben Sie die Domainnamen/Realms ein, die Sie ausschließen möchten. Alle anderen gültigen Benutzerrealms werden mit einem Proxy versehen.
    Name des Betreibers

    Wenn Sie einen Operatornamen angeben, wird er in Zugriffsanforderungen einbezogen, die an den externen RADIUS-Server weitergeleitet werden. Einige eduroam-NROs benötigen beispielsweise das Attribut operator name.

    Dieses Attribut muss mit 1 beginnen, gefolgt von einem FQDN.

    Beispiel: 1abc_university.edu
    RADIUS Authentifizierungsserver Sie müssen mindestens einen Server angeben. Klicken Sie auf Server hinzufügen, und geben Sie dann die IP-Adresse, den Port und den gemeinsamen geheimen Schlüssel ein.
    RADIUS Buchhaltungsserver Klicken Sie auf Server hinzufügen, und geben Sie dann die IP-Adresse, den Port und den gemeinsamen geheimen Schlüssel ein.
  5. Um die Änderungen zu speichern, klicken Sie oben rechts auf der Seite Neuer Identitätsanbieter auf Erstellen.

Zugehörige Dokumentation