Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Integrieren von Microsoft Entra ID als Identitätsanbieter

Führen Sie die folgenden Schritte aus, um die Entra ID-Optionen zu verstehen, fügen Sie Mist Systems als neue Registrierung in Entra ID hinzu und fügen Sie Ihren Identitätsanbieter zu Ihrer Juniper Mist Systems Organisation hinzu.

Microsoft Azure Active Directory (Azure AD), jetzt bekannt als Microsoft Entra ID, ist eine Identitäts- und Zugriffsverwaltungslösung. Mit Juniper Mist Access Assurance können Sie einen Authentifizierungs-Service in Entra ID integrieren, indem Sie OAuth verwenden, um Folgendes auszuführen:

  • Benutzer-Authentifizierung mit Extensible Authentication Protocol –Tunneled TLS (EAP-TTLS)
    • Führt die delegierte Authentifizierung durch, d. h. überprüft Benutzername und Kennwort mithilfe von OAuth.
    • Ruft Informationen zur Benutzergruppenmitgliedschaft ab, um Authentifizierungsrichtlinien zu unterstützen, die auf dieser Benutzeridentität basieren.
    • Ruft den Status – aktiv oder gesperrt – eines Benutzerkontos ab.
  • Benutzerautorisierung mit erweiterbarem Authentifizierungsprotokoll – Transportschicht-Sicherheit (EAP-TLS) und EAP-TTLS
    • Ruft Informationen zur Benutzergruppenmitgliedschaft ab, um Authentifizierungsrichtlinien zu unterstützen, die auf dieser Benutzeridentität basieren.
    • Ruft den Status – aktiv oder gesperrt – eines Benutzerkontos ab

  • EAP-TTLS mit Password Authentication Protocol (PAP)

    • Führt die delegierte Authentifizierung durch, d. h. überprüft Benutzername und Kennwort mithilfe von OAuth oder Resource Owner Password Credentials (ROPC).
    • Ruft Informationen zur Benutzergruppenmitgliedschaft ab, um Authentifizierungsrichtlinien zu unterstützen, die auf dieser Benutzeridentität basieren.
    • Ruft den Status – aktiv oder gesperrt – eines Benutzerkontos ab

Konfiguration im Entra ID Portal

Um Entra ID in Juniper Mist Access Assurance zu integrieren, benötigen Sie die Client-ID, den geheimen Clientschlüssel und die Mandanten-ID, die vom Entra ID-Portal generiert werden.

Hinweis:

Die Screenshots aus Anwendungen von Drittanbietern sind zum Zeitpunkt der Veröffentlichung korrekt. Wir haben keine Möglichkeit zu wissen, wann oder ob die Screenshots zu einem späteren Zeitpunkt korrekt sein werden. Auf der Website des Drittanbieters finden Sie Informationen zu Änderungen an diesen Bildschirmen oder den beteiligten Workflows.
  1. Melden Sie sich mit Ihren Anmeldeinformationen beim Azure-Portal an, und navigieren Sie zu Ihrem AD.
  2. Wählen Sie im Microsoft Entra Admin Center in der linken Navigationsleiste die Option App-Registrierungen aus.
  3. Klicken Sie auf Neue Registrierung.
  4. Geben Sie auf der Seite Neue Registrierung die erforderlichen Informationen in die folgenden Felder ein. Beachten Sie, dass in der folgenden Liste Beispielbenutzereingaben und Beispieleinstellungen angezeigt werden.
    • NameMist AA IDP connector
    • Unterstützter Kontotyp: Wählen Sie Konten nur in diesem Organisationsverzeichnis aus (nur Standardverzeichnis – Einzelmandant).
  5. Klicken Sie auf Registrieren, um fortzufahren.
    Die Seite "Registrierte Anwendung" wird mit Informationen über den neu erstellten Konnektor angezeigt.
  6. Notieren Sie sich die folgenden Details:
    • Anwendungs-ID (Client-ID): Sie müssen diese Informationen in die Felder OAuth-Client-Anmeldeinformationen (CC) Client-ID und Ressourcenbesitzerkennwort-Anmeldeinformationen Client-ID im Juniper Mist Systems-Cloud-Portal eingeben.
    • Verzeichnis-ID (Mandanten-ID): Sie benötigen diese Informationen für das Feld OAuth-Mandanten-ID im Portal von Juniper Mist Systems.

    Sie müssen im Portal von Juniper Mist Systems einen Identitätsanbieter (IdP) einrichten:

  7. Klicken Sie auf derselben Seite auf Zertifikat oder Geheimnis hinzufügen.
  8. Klicken Sie auf der Seite Clients und Geheimnisse auf Neuer geheimer Clientschlüssel.
    Das Fenster Geheimen Clientschlüssel hinzufügen wird angezeigt.
  9. Geben Sie die erforderlichen Informationen in die folgenden Felder ein und klicken Sie auf Hinzufügen.
    • Beschreibung: Geben Sie eine Beschreibung für den geheimen Clientschlüssel an.
    • Läuft ab: Wählen Sie den Ablaufzeitraum für das Geheimnis aus.

    Das System generiert den Wert und die geheime ID.

    Kopieren Sie die Informationen, und speichern Sie sie im Feld Wert an einem sicheren Ort. Beachten Sie, dass dieses Feld nur einmal angezeigt wird. Das heißt, direkt nach dem Erstellen der geheimen ID.

    Sie benötigen diese Informationen für das Feld OAuth Client Credentials Client Secret im Juniper Mist Systems Portal, wenn Sie Azure AD als IdP hinzufügen.

  10. Wählen Sie in der linken Navigationsleiste Authentifizierung aus und scrollen Sie nach unten zum Abschnitt Erweiterte Einstellungen. Wählen Sie Ja für Öffentliche Clientflows zulassen aus.
  11. Wählen Sie in der linken Navigationsleiste API-Berechtigungen aus.
    Fügen Sie unter Microsoft Graph die folgenden Berechtigungen hinzu:
    • User.ReadDelegiert
    • User.Read.AllAnwendung
    • Group.Read.AllAnwendung
    • Device.Read.AllAnwendung

    Klicken Sie auf Administratoreinwilligung erteilen.

    Sie müssen Ihrer Anwendung die erforderlichen Zugriffsberechtigungen erteilen, um die Microsoft Graph-API zum Abrufen von Informationen zu Benutzern zu verwenden.

Konfiguration im Juniper Mist Dashboard

  1. Wählen Sie im linken Menü des Juniper Mist Systems-Portals die Option Organisation> Zugriff > Identitätsanbieter aus.

    Auf der Seite Identitätsanbieter werden alle konfigurierten Identitätsanbieter angezeigt.

    Abbildung 1: Seite Identity Providers Page "Identitätsanbieter"
  2. Klicken Sie auf IDP hinzufügen, um einen neuen IdP hinzuzufügen.
  3. Geben Sie auf der Seite Neuer Identitätsanbieter die erforderlichen Informationen wie unten gezeigt ein.
    Abbildung 2: Hinzufügen von Azure AD als Identitätsanbieter Add Azure AD as Identity Provider
    1. Name: Geben Sie einen IdP-Namen ein (in diesem Beispiel: Azure AD).
    2. IDP-Typ: Wählen Sie OAuth aus.
    3. OAuth-Typ: Wählen Sie Azure aus der Dropdownliste aus.
    4. OAuth-Mandanten-ID: Geben Sie die Verzeichnis-ID (Mandanten-ID ein), die Sie aus der Azure AD-Anwendung kopiert haben.
    5. Domänennamen: Geben Sie den Domänennamen ein, d. h. den Benutzernamen des Benutzers (z. B. username@domain.com). Das Feld für den Domänennamen untersucht eingehende Authentifizierungsanfragen und identifiziert den jeweiligen Benutzernamen und die zugehörige Domäne. Ein Connector verwendet den Domänennamen, den Sie eingerichtet haben, um den Azure-Mandanten zu identifizieren, mit dem der Connector kommunizieren muss.

    6. Standard-IDP – Aktivieren Sie diese Option, um Computergruppenmitgliedschaften abzurufen.

    7. OAuth-Clientanmeldeinformationen (CC) Client-ID: Geben Sie die Anwendungs-ID (Client-ID) der registrierten Anwendung im Microsoft Entra Admin Center ein.
    8. OAuth-Clientanmeldeinformationen (CC) Client Secret: Geben Sie den geheimen Anwendungsschlüssel ein, den Sie zuvor im Azure-Portal erstellt haben.
    9. OAuth Resource Owner Password Credential (ROPC) Client ID: Geben Sie die Anwendungs-ID (Client-ID) der registrierten Azure AD-Anwendung ein.

Wechseln Sie im Portal Juniper Mist Systems zu Überwachung > Einblicke > Clientereignissen.

Wenn Juniper Mist Access Assurance einen Benutzer mithilfe von EAP-TLS mit Azure AD authentifiziert, wird das NAC-Ereignis "Erfolg der IDP-Gruppensuche " wie unten dargestellt angezeigt:

Abbildung 3: Erfolgsmeldung für EAP-TLS-Authentifizierung durch IdP Success Message for EAP-TLS Authentication by IdP

Für die EAP-TTLS-Authentifizierung wird das Ereignis NAC IDP Authentication Successful angezeigt. Dieses Ereignis gibt an, dass Azure AD die Benutzeranmeldeinformationen überprüft hat. Für diese Authentifizierung wird auch das Ereignis NAC IDP Group Lookup Success angezeigt, das Benutzergruppenmitgliedschaften abruft.

Abbildung 4: Erfolgsmeldung für EAP-TTLS-Authentifizierung durch IdP Success Message for EAP-TTLS Authentication by IdP

EAP-TTLS-Authentifizierung mit Azure AD und ROPC

EAP-TTLS nutzt den OAuth-Fluss Resource Owner Password Credentials (ROPC) mit Azure AD, um Benutzer zu authentifizieren und Benutzergruppeninformationen abzurufen. Sie müssen mehrere Faktoren berücksichtigen, wenn Sie eine Legacy-Authentifizierung wie ROPC-Flow verwenden, die nur Benutzername und Kennwort überprüft und die mehrstufige Authentifizierung (MFA) überspringt.

  • Sie müssen die Clientgeräte mit dem richtigen drahtlosen Profil konfigurieren, entweder mithilfe der Verwaltung mobiler Geräte (Mobile Device Management, MDM) oder eines Gruppenrichtlinienobjekts (Group Policy Object, GPO). Wenn Sie an der Anmeldeaufforderung nur Benutzername und Kennwort angeben, funktioniert die Legacy-Authentifizierung bei einigen Betriebssystemen nicht.
  • Der Benutzername, den ein Benutzer eingibt, muss im UPN-Format (User Principal Name) (username@domain) vorliegen.
  • Sie müssen Clients so konfigurieren, dass sie dem Serverzertifikat vertrauen.
  • Benutzer müssen sich mindestens einmal beim Azure-Portal anmelden, bevor sie den Zugriff mithilfe der ROPC-Authentifizierung versuchen. Dieser Schritt ist wichtig, um Benutzerkonten zu testen.
  • Das Azure-Portal muss Benutzerkennwörter entweder in vollständigen Cloud-Konten oder in einem lokalen AD speichern, in dem die Kennwortsynchronisierung mit Azure AD Connect aktiviert ist. Benutzer mit Verbundauthentifizierung werden nicht unterstützt.
  • Sie müssen MFA für Benutzer deaktivieren, die ROPC-Authentifizierung auswählen. Eine Möglichkeit, eine MFA-Umgehung für EAP-TTLS zu erreichen, besteht darin, Mist Access Assurance-Quell-IP-Adressen wie folgt als vertrauenswürdige Speicherorte zu markieren:
    1. Wechseln Sie im Microsoft Entra Portal zu Schutz > bedingter Zugriff > Benannte Speicherorte , und wählen Sie Neuer Speicherort aus.
    2. Geben Sie unter Neuer Standort (IP-Bereiche) die Details ein.
      Abbildung 5: MFA für Anmeldung aus einem vertrauenswürdigen IP-Adressbereich Bypass MFA for Sign in from a Trusted IP Address Range umgehen
    3. Geben Sie einen Namen für den Speicherort ein.
    4. Wählen Sie Als vertrauenswürdigen Speicherort markieren aus.
    5. Geben Sie den IP-Bereich für die IP-Adressen von Juniper Mist Access Assurance ein.
    6. Klicken Sie auf Erstellen.
    7. Verweisen Sie in der MFA-Richtlinie für bedingten Zugriff auf die vertrauenswürdigen IP-Quellen als Ausschlusskriterien.
      Abbildung 6: Ausschließen des benannten Standorts aus der Zugriffsrichtlinie Exclude Named Location from Access Policy

Siehe auch