Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Okta als Identitätsanbieter integrieren

Führen Sie die folgenden Schritte aus, um die Voraussetzungen zu erfüllen, Ihre Apps für Anmeldeinformationen in Okta zu konfigurieren und Ihren Identitätsanbieter zu Ihrer Juniper Mist Organisation hinzuzufügen.

Sie können Okta Workforce Identity Cloud über das Juniper Mist-Dashboard verwenden, um Endbenutzer zu authentifizieren, die versuchen, auf das Netzwerk zuzugreifen. Juniper Mist Access Assurance verwendet Okta als Identitätsanbieter (IdP), um verschiedene Authentifizierungsaufgaben auszuführen:

  • Für die anmeldeinformationsbasierte Authentifizierung (EAP-TTLS) führt Okta:
    • Führt die delegierte Authentifizierung durch, d. h. überprüft Benutzername und Kennwort mithilfe von OAuth.
    • Ruft Informationen zur Mitgliedschaft in Benutzergruppen ab, um Authentifizierungsrichtlinien basierend auf dieser Benutzeridentität zu unterstützen.
    • Ruft den Status (aktiv oder gesperrt) eines Benutzerkontos ab
  • Für die zertifikatbasierte Autorisierung (EAP-TLS oder EAP-TTLS) führt Okta:
    • Ruft Informationen zur Mitgliedschaft in Benutzergruppen ab, um Authentifizierungsrichtlinien basierend auf dieser Benutzeridentität zu unterstützen
    • Ruft den Status (aktiv oder gesperrt) eines Benutzerkontos ab

Voraussetzungen

  • Erstellen Sie ein Abonnement für Okta und rufen Sie Ihre Mandanten-ID ab. Während der Erstellung eines Abonnements geben Sie einen Mandanten an, mit dem eine URL für den Zugriff auf das Okta-Dashboard erstellt wird. Sie finden Ihre ID in der oberen rechten Ecke des Okta-Dashboards. Beachten Sie, dass die Mandanten-ID keine okta.com enthalten darf.

    Anmerkung:

    Ihre Okta-Anmelde-URL hat das folgende Format:

    https://{your-okta-account-id}-admin.okta.com/admin/getting-startedaus.

    Ersetzen Sie {your-okta-account-id} sie durch Ihre Okta-Konto-ID.
  • Sie müssen über die Administratorberechtigung für das Juniper Mist Portal verfügen.

Integration von OKTA-Ressourcenbesitzern für Passwort Anmeldeinformationen App-Integration

  1. Melden Sie sich bei der Okta-Verwaltungskonsole an und wählen Sie Anwendungen > Anwendungen.
  2. Klicken Sie auf App-Integration erstellen.
    Die Seite Neue App-Integration erstellen wird geöffnet.
  3. Wählen Sie unter Anmeldemethode die Option OIDC-OpenID Connect aus, und wählen Sie unter Anwendungstyp die Option Systemeigene Anwendung aus.
  4. Wählen Sie auf der Seite Neue native App-Integration die folgende Option aus:
    • Name der App-Integration: Geben Sie einen Namen ein, der Ihnen gefällt.
    • Grant-Typ: Wählen Sie das Kennwort des Ressourcenbesitzers aus.
    • Kontrollierter Zugriff: Wählen Sie Zugriff für alle Personen in Ihrer Organisation zulassen aus. In diesem Beispiel gewähren wir allen Benutzern Zugriff auf die Anwendung.
  5. Klicken Sie auf Speichern.

    Nachdem das System als neue App-Integration gespeichert wurde, wird die Anwendung neu geladen, wobei die Registerkarte Allgemein ausgewählt ist.

  6. Klicken Sie auf der Registerkarte Allgemein auf Bearbeiten, und wählen Sie die folgenden Optionen aus: .
    • Clientauthentifizierung: Wählen Sie den geheimen Clientschlüssel aus.
    • Nachweisschlüssel für Codeaustausch: Wählen Sie PKCE als zusätzliche Überprüfung erforderlich aus.
  7. Klicken Sie auf Speichern, um fortzufahren.
    Okta generiert nach diesem Schritt die Client-ID und den geheimen Client-Schlüssel.

    Notieren Sie sich die Client-ID und den geheimen Clientschlüssel. Sie benötigen diese Informationen später.

  8. Wechseln Sie zur Registerkarte Okta-API-Bereiche und aktivieren Sie die folgenden Kontrollkästchen, um Leseberechtigungen zu erteilen:
    • okta.rollen.read
    • okta.users.read
    • okta.benutzer.lesen.self
Rufen Sie nun das Juniper Mist Cloud-Portal auf und beginnen Sie mit der Integration von Okta als IdP.

App-Integration für Okta-Clientanmeldeinformationen

  1. Melden Sie sich bei der Okta-Verwaltungskonsole an und wählen Sie Anwendungen > Anwendungen.
  2. Klicken Sie auf App-Integration erstellen.
    Die Seite Neue App-Integration erstellen wird geöffnet.
  3. Wählen Sie unter Anmeldemethode die Option API-Dienste aus.
    Die Seite Neue API-Services-App-Integration wird geöffnet.
  4. Geben Sie einen Namen für den Namen der App-Integration ein, und klicken Sie dann auf Speichern.
  5. Wechseln Sie auf der neuen App-Integrationsseite zur Registerkarte Allgemein und klicken Sie auf Bearbeiten.
  6. Klicken Sie auf Bearbeiten, wählen Sie als Client-Authentifizierungsmethode den öffentlichen Schlüssel/Privaten Schlüssel aus und klicken Sie dann im Abschnitt ÖFFENTLICHE SCHLÜSSEL auf Schlüssel hinzufügen.
  7. Wählen Sie im Abschnitt "Privater Schlüssel" das Dateiformat PEM aus, kopieren Sie dann den privaten Schlüssel und speichern Sie ihn an einem sicheren Ort.
    Speichern Sie die von Okta generierte Datei mit dem privaten Schlüssel an einem sicheren Ort.

    Sie können diesen privaten Schlüssel nicht erneut abrufen.

    Klicken Sie auf Fertig.
  8. Klicken Sie auf Speichern, um den Schlüssel zu speichern und zu aktivieren.

    Sie können feststellen, dass der Status des Schlüssels jetzt Aktiv ist. Kopieren Sie die Client-ID und den geheimen Schlüssel, die auf dem Bildschirm angezeigt werden.

  9. Wechseln Sie zur Registerkarte Okta-API-Bereiche und lassen Sie die folgenden Leseberechtigungen zu:
    • okta.rollen.read
    • okta.users.read
    • okta.users.read

Konfiguration auf dem Juniper Mist Dashboard

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organization > Access > Identity Providers aus.
    Auf der Seite "Identitätsanbieter" werden alle konfigurierten Identitätsanbieter angezeigt.
  2. Klicken Sie auf IDP hinzufügen, um einen neuen Identitätsanbieter hinzuzufügen.
  3. Geben Sie auf der Seite Neuer Identitätsanbieter die folgenden Informationen ein:
    1. Name: Geben Sie einen IdP-Namen ein.
    2. IDP-Typ: Wählen Sie einen IdP-Typ als OAuth aus.
      Tabelle 1: Einstellungen für den Identitätsanbietertyp OAuth

      Parameter

      Beschreibung

      OAuth-Typ

      		 Okta auswählen

      OAuth-Mandanten-ID

      Geben Sie die OAuth-Mandanten-ID ein. Verwenden Sie die ID, die Sie bei der Okta-Anwendungskonfiguration erhalten haben.

      Domänennamen

      Geben Sie den Domänennamen Ihres Okta-Benutzers ein. Beispiel: abc.com

      Standard-IDP

      Legen Sie den ausgewählten Identitätsanbieter als Standard fest, wenn der Domänenname des Benutzers nicht angegeben ist.

      OAuth Client Credential (CC) Client-ID

      Verwenden Sie die ID, die Sie bei der Konfiguration der Okta-Anwendung erhalten haben.

      App-Integration für Okta-Clientanmeldeinformationen
      Privater Schlüssel für OAuth-Clientanmeldeinformationen (CC) des Clients Geben Sie den privaten Schlüssel ein, der während der Okta-Anwendungskonfiguration generiert wurde. Weitere Informationen finden Sie unter App-Integration für Okta-Clientanmeldeinformationen

      OAuth Resource Owner Password Credential (ROPC) Client-ID

      Geben Sie die geheime ID ein, die Sie während der Okta-Anwendungskonfiguration erhalten und gespeichert haben.

      Weitere Informationen finden Sie unter Integration der App "OKTA Resource Owner Password Credential App".
      Kennwortanmeldeinformationen für OAuth-Ressourcenbesitzer (ROPC) Clientgeheimnis

      Geben Sie den Wert des geheimen Clientschlüssels an, den Sie während der Okta-Anwendungskonfiguration erhalten und gespeichert haben.

      Weitere Informationen finden Sie unter Integration von OKTA-Ressourcenbesitzer-Anmeldeinformationen
  4. Klicken Sie auf Erstellen, um die Änderungen zu speichern.

Wechseln Sie im Juniper Mist Portal zu Monitoring > Insights > Client-Ereignissen.

Wenn sich ein Benutzer mit EAP-TLS mit Okta authentifiziert, wird das Ereignis " NAC IDP Group Lookup Success" (Erfolg bei der Suche nach einer NAC-IDP-Gruppe) wie unten dargestellt angezeigt:

Im Falle einer EAP-TTLS-Authentifizierung können Sie das Ereignis NAC IDP Authentication Success (NAC-IDP-Authentifizierung erfolgreich ) sehen. Dieses Ereignis weist darauf hin, dass Azure AD über überprüfte Benutzeranmeldeinformationen verfügt. Sie können auch das Ereignis NAC IDP Group Lookup Success sehen, das Benutzergruppenmitgliedschaften abruft.

Siehe auch