Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Microsoft Entra ID als Identitätsanbieter integrieren

Führen Sie die folgenden Schritte aus, um die Optionen für die Entra ID zu verstehen, fügen Sie Mist als neue Registrierung in der Entra ID hinzu und fügen Sie Ihren Identitätsanbieter zu Ihrer Juniper Mist Organisation hinzu.

Microsoft Azure Active Directory (Azure AD), jetzt bekannt als Microsoft Entra ID, ist eine Lösung für die Identitäts- und Zugriffsverwaltung. Mit Juniper Mist Access Assurance können Sie einen Authentifizierungsdienst in Entra ID integrieren, indem Sie OAuth verwenden, um Folgendes auszuführen:

  • Benutzerauthentifizierung mit Extensible Authentication Protocol–Tunneled TLS (EAP-TTLS)
    • Führt die delegierte Authentifizierung durch, d. h. überprüft Benutzername und Kennwort mithilfe von OAuth.
    • Ruft Informationen zur Mitgliedschaft in Benutzergruppen ab, um Authentifizierungsrichtlinien zu unterstützen, die auf dieser Benutzeridentität basieren.
    • Ruft den Status (aktiv oder gesperrt) eines Benutzerkontos ab.
  • Benutzerautorisierung mit EAP-TLS (Extensible Authentication Protocol–Transportschicht Security) und EAP-TTLS
    • Ruft Informationen zur Mitgliedschaft in Benutzergruppen ab, um Authentifizierungsrichtlinien zu unterstützen, die auf dieser Benutzeridentität basieren.
    • Ruft den Status (aktiv oder gesperrt) eines Benutzerkontos ab

  • EAP-TTLS mit Password Authentication Protocol (PAP)

    • Führt die delegierte Authentifizierung durch, d. h. überprüft Benutzername und Kennwort mithilfe von OAuth oder Resource Owner Password Credentials (ROPC).
    • Ruft Informationen zur Mitgliedschaft in Benutzergruppen ab, um Authentifizierungsrichtlinien zu unterstützen, die auf dieser Benutzeridentität basieren.
    • Ruft den Status (aktiv oder gesperrt) eines Benutzerkontos ab

Konfiguration im Entra ID Portal

Um die Entra ID in Juniper Mist Access Assurance zu integrieren, benötigen Sie die Client-ID, den geheimen Clientschlüssel und die Mandanten-ID, bei denen es sich um Werte handelt, die vom Entra ID-Portal generiert werden.

  1. Melden Sie sich mit Ihren Anmeldeinformationen beim Azure-Portal an, und navigieren Sie zu Ihrem AD.
  2. Wählen Sie im Microsoft Entra Admin Center in der linken Navigationsleiste App-Registrierungen aus.
  3. Klicken Sie auf Neue Registrierung.
  4. Geben Sie auf der Seite "Neue Registrierung" die erforderlichen Informationen in die folgenden Felder ein. Beachten Sie, dass in der folgenden Liste Beispielbenutzereingaben und Beispieleinstellungen angezeigt werden.
    • NameMist AA IDP connector
    • Unterstützter Kontotyp: Wählen Sie Nur Konten in diesem Organisationsverzeichnis aus (nur Standardverzeichnis – Einzelmandant).
  5. Klicken Sie auf Registrieren, um fortzufahren.
    Die Seite "Registrierte Anwendung" wird angezeigt, auf der Informationen zum neu erstellten Connector angezeigt werden.
  6. Notieren Sie sich die folgenden Details:
    • Anwendungs-ID (Client-ID): Sie müssen diese Informationen im Juniper Mist-Cloud-Portal in die Felder OAuth Client Credential (CC) Client ID und Resource Owner Password Credential Client-ID eingeben.
    • Verzeichnis-ID (Mandanten-ID): Sie benötigen diese Informationen für das Feld OAuth-Mandanten-ID im Juniper Mist-Portal.

    Sie müssen einen IdP-Connector (Identitätsanbieter) im Juniper Mist-Portal einrichten:

  7. Klicken Sie auf derselben Seite auf Zertifikat oder Geheimnis hinzufügen.
  8. Klicken Sie auf der Seite Clients und Geheimnisse auf Neuer geheimer Clientschlüssel.
    Das Fenster Clientschlüssel hinzufügen wird angezeigt.
  9. Geben Sie die erforderlichen Informationen in die folgenden Felder ein und klicken Sie auf Hinzufügen.
    • Beschreibung: Geben Sie eine Beschreibung für den geheimen Clientschlüssel an.
    • Läuft ab – Wählen Sie den Ablaufzeitraum für den geheimen Schlüssel aus.

    Das System generiert eine Wert- und eine Geheimnis-ID.

    Kopieren und speichern Sie die Informationen im Feld Wert an einem sicheren Ort. Beachten Sie, dass dieses Feld nur einmal angezeigt wird. Das heißt, direkt nachdem die geheime ID erstellt wurde.

    Sie benötigen diese Informationen für das Feld OAuth Client Credentials Client Secret im Juniper Mist Portal, wenn Sie Azure AD als IdP hinzufügen.

  10. Wählen Sie in der linken Navigationsleiste Authentifizierung aus, und scrollen Sie nach unten zum Abschnitt Erweiterte Einstellungen. Wählen Sie Ja für Öffentliche Clientflows zulassen aus.
  11. Wählen Sie in der linken Navigationsleiste API-Berechtigungen aus.
    Fügen Sie unter Microsoft Graph die folgenden Berechtigungen hinzu:
    • User.Read: Delegiert
    • User.Read.All: Anwendung
    • Group.Read.All: Anwendung
    • Device.Read.AllAnwendung

    Klicken Sie auf Administratoreinwilligung erteilen.

    Sie müssen Ihrer Anwendung die erforderlichen Zugriffsberechtigungen erteilen, um die Microsoft Graph-API zum Abrufen von Informationen über Benutzer zu verwenden.

Konfiguration auf dem Juniper Mist Dashboard

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organization> Access > Identity Providers aus.

    Auf der Seite "Identitätsanbieter" werden alle konfigurierten Identitätsanbieter angezeigt.

    Abbildung 1: Seite "Identitätsanbieter" Identity Providers Page
  2. Klicken Sie auf IDP hinzufügen, um einen neuen IdP hinzuzufügen.
  3. Geben Sie auf der Seite Neuer Identitätsanbieter die erforderlichen Informationen ein, wie unten dargestellt.
    Abbildung 2: Hinzufügen von Azure AD als Identitätsanbieter Add Azure AD as Identity Provider
    1. Name: Geben Sie einen IdP-Namen ein (in diesem Beispiel: Azure AD).
    2. IDP-Typ: Wählen Sie OAuth aus.
    3. OAuth-Typ: Wählen Sie Azure aus der Dropdown-Liste aus.
    4. OAuth-Mandanten-ID: Geben Sie die Verzeichnis-ID (Mandanten-ID) ein, die Sie aus der Azure AD-Anwendung kopiert haben.
    5. Domänennamen: Geben Sie den Domänennamen ein, d. h. den Benutzernamen des Benutzers (z. B. username@domain.com). Das Feld "Domainname" untersucht eingehende Authentifizierungsanfragen und identifiziert den jeweiligen Benutzernamen und die zugehörige Domain. Ein Connector verwendet den Domänennamen, den Sie eingerichtet haben, um den Azure-Mandanten zu identifizieren, mit dem der Connector kommunizieren muss.

    6. Standard-IDP: Aktivieren Sie diese Option, um Computergruppenmitgliedschaften abzurufen.

    7. OAuth-Clientanmeldeinformationen (CC) Client-ID: Geben Sie die Anwendungs-ID (Client-ID) der registrierten Anwendung im Microsoft Entra Admin Center ein.
    8. OAuth Client Credential (CC) Client Secret: Geben Sie den geheimen Anwendungsschlüssel ein, den Sie zuvor im Azure-Portal erstellt haben.
    9. OAuth Resource Owner Password Credential (ROPC) Client-ID: Geben Sie die Anwendungs-ID (Client-ID) der registrierten Azure AD-Anwendung ein.

Navigieren Sie im Juniper Mist-Portal zu Monitoring > Insights > Client Events.

Wenn Juniper Mist Access Assurance einen Benutzer mithilfe von EAP-TLS mit Azure AD authentifiziert, wird das Ereignis " NAC IDP Group Lookup Success" wie unten dargestellt angezeigt:

Abbildung 3: Erfolgsmeldung für die EAP-TLS-Authentifizierung durch den IdP Success Message for EAP-TLS Authentication by IdP

Für die EAP-TTLS-Authentifizierung wird das Ereignis NAC IDP Authentication Success (NAC-IDP-Authentifizierung erfolgreich) angezeigt. Dieses Ereignis weist darauf hin, dass Azure AD die Anmeldeinformationen des Benutzers überprüft hat. Für diese Authentifizierung wird auch das Ereignis NAC IDP Group Lookup Success angezeigt, das Benutzergruppenmitgliedschaften abruft.

Abbildung 4: Erfolgsmeldung für die EAP-TTLS-Authentifizierung durch den IdP Success Message for EAP-TTLS Authentication by IdP

EAP-TTLS-Authentifizierung mit Azure AD und ROPC

EAP-TTLS nutzt den OAuth-Ablauf von Kennwortanmeldeinformationen für Ressourcenbesitzer (Resource Owner Password Credentials, ROPC) mit Azure AD, um Benutzer zu authentifizieren und Benutzergruppeninformationen abzurufen. Sie müssen mehrere Faktoren berücksichtigen, wenn Sie eine Legacyauthentifizierung verwenden, z. B. den ROPC-Flow, bei dem nur der Benutzername und das Kennwort überprüft und die mehrstufige Authentifizierung (MFA) übersprungen wird.

  • Sie müssen die Clientgeräte mit dem richtigen Drahtlosprofil konfigurieren, indem Sie entweder die Verwaltung mobiler Geräte (Mobile Device Management, MDM) oder ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) verwenden. Wenn Sie an der Anmeldeaufforderung nur den Benutzernamen und das Kennwort angeben, funktioniert die Legacyauthentifizierung bei einigen Betriebssystemen nicht.
  • Der von einem Benutzer eingegebene Benutzername muss im UPN-Format (User Principal Name) (username@domain) vorliegen.
  • Sie müssen Clients so konfigurieren, dass sie dem Serverzertifikat vertrauen.
  • Benutzer müssen sich mindestens einmal beim Azure-Portal anmelden, bevor sie versuchen, mithilfe der ROPC-Authentifizierung auf sie zuzugreifen. Dieser Schritt ist wichtig, um Benutzerkonten zu testen.
  • Das Azure-Portal muss Benutzerkennwörter entweder in vollständigen Cloudkonten oder in einem lokalen AD speichern, in dem die Kennwortsynchronisierung mit Azure AD Connect aktiviert ist. Verbundauthentifizierungsbenutzer werden nicht unterstützt.
  • Sie müssen die Multi-Faktor-Authentifizierung für Benutzer deaktivieren, die die ROPC-Authentifizierung auswählen. Eine Möglichkeit, eine MFA-Umgehung für EAP-TTLS zu erreichen, besteht darin, Mist Access Assurance-Quell-IP-Adressen wie folgt als vertrauenswürdige Speicherorte zu markieren:
    1. Wechseln Sie im Microsoft Entra-Portal zu Schutz > bedingter Zugriff > benannte Speicherorte , und wählen Sie Neuer Speicherort aus.
    2. Geben Sie unter Neuer Speicherort (IP-Bereiche) die Details ein.
      Abbildung 5: Umgehen der Multi-Faktor-Authentifizierung für die Anmeldung aus einem vertrauenswürdigen IP-Adressbereich Bypass MFA for Sign in from a Trusted IP Address Range
    3. Geben Sie einen Namen für den Standort ein.
    4. Wählen Sie Als vertrauenswürdigen Speicherort markieren aus.
    5. Geben Sie den IP-Bereich für Juniper Mist Access Assurance-IP-Adressen ein.
    6. Klicken Sie auf Erstellen.
    7. Verweisen Sie in der MFA-Richtlinie für bedingten Zugriff auf vertrauenswürdige IP-Quellen als Ausschlusskriterien.
      Abbildung 6: Benannten Speicherort aus Zugriffsrichtlinie Exclude Named Location from Access Policy ausschließen

Siehe auch