Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Integrieren Sie Okta als Identitätsanbieter

Führen Sie die folgenden Schritte aus, um die Voraussetzungen zu erfüllen, Ihre Apps für den Nachweis in Okta zu konfigurieren und Ihren Identitätsanbieter zu Ihrer Juniper Mist Systems-Organisation hinzuzufügen.

Sie können Okta Workforce Identity Cloud über das Juniper Mist Systems Dashboard verwenden, um Endbenutzer zu authentifizieren, die versuchen, auf das Netzwerk zuzugreifen. Juniper Mist Access Assurance verwendet Okta als Identitätsanbieter (Identity Provider, IdP) für verschiedene Authentifizierungs-Aufgaben:

  • Für die auf Nachweisen basierende (EAP-TTLS) Authentifizierung gilt Okta:
    • Führt die delegierte Authentifizierung durch, d. h. überprüft Benutzername und Kennwort mithilfe von OAuth.
    • Ruft Informationen zur Benutzergruppenmitgliedschaft ab, um Authentifizierungsrichtlinien basierend auf dieser Benutzeridentität zu unterstützen.
    • Ruft den Status – aktiv oder gesperrt – eines Benutzerkontos ab
  • Für die zertifikatbasierte Autorisierung (EAP-TLS oder EAP-TTLS) gilt Okta:
    • Ruft Informationen zur Benutzergruppenmitgliedschaft ab, um auf dieser Benutzeridentität basierende Authentifizierungsrichtlinien zu unterstützen.
    • Ruft den Status – aktiv oder gesperrt – eines Benutzerkontos ab

Voraussetzungen

  • Erstellen Sie ein Abonnement für Okta, und rufen Sie Ihre Mandanten-ID ab. Während der Abonnementerstellung geben Sie einen Mandanten an, der zum Erstellen einer URL für den Zugriff auf das Okta-Dashboard verwendet wird. Sie finden Ihre Mandanten-ID in der oberen rechten Ecke des Okta-Dashboards. Die Mandanten-ID darf keine okta.com enthalten.

    Anmerkung:

    Ihre Okta-Anmelde-URL hat das folgende Format:

    https://{your-okta-account-id}-admin.okta.com/admin/getting-started.

    Ersetzen Sie {your-okta-account-id} durch Ihre Okta-Mandanten-ID.
  • Sie müssen über die Superuser-Berechtigung für das Juniper Mist Systems Portal verfügen.

OKTA Resource Owner Password Credential App-Integration

  1. Melden Sie sich bei der Okta-Verwaltungskonsole an und wählen Sie Anwendungen > Anwendungen.
  2. Klicken Sie auf Neue App-Integration erstellen.
    Wählen Sie unter Anmeldemethode die Option OICD-OpenID Connect und unter Anwendungstyp die Option Native Anwendung aus. Das Ergebnis sieht so aus: <Image benötigt>
    Klicken Sie auf Weiter.
  3. Wählen Sie unter Anmeldemethode die Option OIDC-OpenID Connect und unter Anwendungstyp die Option Native Anwendung aus.
  4. Wählen Sie auf der Seite Neue native App-Integration Folgendes aus:
    • Name der App-Integration: Geben Sie einen Namen ein, mit dem Sie in Resonanz stehen.
    • Grant-Typ: Wählen Sie das Kennwort des Ressourcenbesitzers aus.
    • Kontrollierter Zugriff: Wählen Sie Zugriff für jeden in Ihrer Organisation zulassen aus. In diesem Beispiel gewähren wir allen Benutzern Zugriff auf die Anwendung.
  5. Klicken Sie auf Speichern.

    Nachdem das System als neue App-Integration gespeichert wurde, wird die Anwendung mit der Registerkarte Allgemein neu geladen.

  6. Klicken Sie auf der Registerkarte Allgemein auf Bearbeiten und wählen Sie die folgenden Optionen aus: .
    • Clientauthentifizierung: Wählen Sie geheimen Clientschlüssel aus.
  7. Klicken Sie auf Speichern, um fortzufahren.
    Okta generiert nach diesem Schritt die Client-ID und den geheimen Clientschlüssel.

    Notieren Sie sich die Client-ID und den geheimen Clientschlüssel. Sie benötigen diese Informationen später.

  8. Gehen Sie zur Registerkarte Okta-API-Bereiche und aktivieren Sie die folgenden Kontrollkästchen, um Leseberechtigungen zu erteilen:
    • okta.roles.read
    • okta.users.read
    • okta.users.read.self
Rufen Sie nun das Cloud-Portal von Juniper Mist Systems auf, und beginnen Sie mit der Integration von Okta als IdP.

Integration von Okta-Client-Anmeldeinformationen

  1. Melden Sie sich bei der Okta-Verwaltungskonsole an und wählen Sie Anwendungen > Anwendungen.
  2. Klicken Sie auf App-Integration erstellen.
    Die Seite Neue App-Integration erstellen wird geöffnet.
  3. Wählen Sie unter Anmeldemethode die Option API-Dienste aus.
    Die Seite Neue API Services-App-Integration wird geöffnet.
  4. Geben Sie einen Namen für den Namen der App-Integration ein, und klicken Sie dann auf Speichern.
  5. Gehen Sie auf der Seite für die neue App-Integration zur Registerkarte Allgemein, und klicken Sie auf Bearbeiten.
  6. Klicken Sie auf Bearbeiten, wählen Sie die Client-Authentifizierungsmethode als Öffentlicher Schlüssel/Privater Schlüssel aus, und klicken Sie dann im Abschnitt ÖFFENTLICHE SCHLÜSSEL auf Schlüssel hinzufügen.
  7. Wählen Sie im Abschnitt Privater Schlüssel das Dateiformat als PEM aus, kopieren Sie den privaten Schlüssel und speichern Sie ihn an einem sicheren Ort.
    Speichern Sie die von Okta generierte private Schlüsseldatei an einem sicheren Ort.

    Sie können diesen privaten Schlüssel nicht erneut abrufen.

    Klicken Sie auf Fertig.
  8. Klicken Sie auf Speichern, um den Schlüssel zu speichern und zu aktivieren.

    Sie können feststellen, dass der Status des Schlüssels jetzt Aktiv ist. Kopieren Sie die Client-ID und den geheimen Schlüssel, die auf dem Bildschirm angezeigt werden.

  9. Scrollen Sie nach unten, bis Sie den Abschnitt Allgemeine Einstellungen sehen. Klicken Sie auf Bearbeiten und deaktivieren Sie die Option Require Demonstrating Proof of Possession (DPoP) in Token requests.
    General settings configuration screen with fields for App integration name set to User AuthZ - Mist Access Assurance, Application type set to Service, and Proof of possession option requiring DPoP header unchecked. Grant type options include Client acting on behalf of itself with Client Credentials selected and Client acting on behalf of a user with Token Exchange unselected. Proof of possession section highlighted in red. Save and Cancel buttons at the bottom.
  10. Gehen Sie zur Registerkarte Okta API Scopes und erlauben Sie die folgenden Leseberechtigungen:
    • okta.roles.read
    • okta.users.read
    • okta.groups.read

Konfiguration im Juniper Mist Dashboard

  1. Wählen Sie im linken Menü des Juniper Mist Systems-Portals die Option Organisation > Zugriff > Identitätsanbieter aus.
    Auf der Seite Identitätsanbieter werden alle konfigurierten Identitätsanbieter angezeigt.
  2. Klicken Sie auf IDP hinzufügen, um einen neuen Identitätsanbieter hinzuzufügen.
  3. Geben Sie auf der Seite Neuer Identitätsanbieter die folgenden Informationen ein:
    1. Name: Geben Sie einen IdP-Namen ein.
    2. IDP-Typ: Wählen Sie einen IdP-Typ als OAuth aus.
      Tabelle 1: Einstellungen für Identitätsanbietertyp OAuth

      Parameter

      Beschreibung

      OAuth-Typ

      		 Okta auswählen

      OAuth-Mandanten-ID

      Geben Sie die OAuth-Mandanten-ID ein. Verwenden Sie die ID, die Sie während der Okta-Anwendungskonfiguration erhalten haben.

      Domänennamen

      Geben Sie den Domainnamen Ihres Okta-Benutzers ein. Beispiel: abc.com

      Standard-IDP

      Legen Sie den ausgewählten Identitätsanbieter als Standard fest, wenn der Domänenname des Benutzers nicht angegeben ist.

      OAuth-Client-Anmeldeinformationen (CC) Client-ID

      Verwenden Sie die ID, die Sie während der Okta-Anwendungskonfiguration erhalten haben.

      Integration von Okta-Client-Anmeldeinformationen
      Privater Clientschlüssel für OAuth-Clientanmeldeinformationen (CC) Geben Sie den privaten Schlüssel ein, der während der Okta-Anwendungskonfiguration generiert wurde. Siehe Okta-Client-Anmelde-App-Integration

      OAuth Resource Owner Password Credential (ROPC) Client-ID

      Geben Sie die geheime ID ein, die Sie während der Okta-Anwendungskonfiguration erhalten und gespeichert haben.

      Siehe OKTA Resource Owner Password Credential App Integration.
      OAuth Resource Owner Password Credential (ROPC) Client Secret

      Geben Sie den geheimen Client-Wert an, den Sie während der Okta-Anwendungskonfiguration erhalten und gespeichert haben.

      Siehe OKTA Resource Owner Password Credential App-Integration
  4. Klicken Sie auf Erstellen, um die Änderungen zu speichern.

Wechseln Sie im Juniper Mist Systems-Portal zu Überwachung > Einblicke > Clientereignissen.

Wenn sich ein Benutzer mit EAP-TLS bei Okta authentifiziert, wird das Ereignis NAC IDP Group Lookup Successful (Erfolg der NAC-IDP-Gruppensuche ) wie unten dargestellt angezeigt:

Bei der EAP-TTLS-Authentifizierung wird das Ereignis "Erfolg der NAC-IDP-Authentifizierung " angezeigt. Dieses Ereignis gibt an, dass Azure AD Benutzeranmeldeinformationen überprüft hat. Sie können auch das NAC-Ereignis "Erfolg der IDP-Gruppensuche " anzeigen, das Benutzergruppenmitgliedschaften abruft.

Siehe auch