Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Häufig gestellte Fragen zu SSO

Hier erhalten Sie Antworten auf häufig gestellte Fragen zur SSO-Implementierung von Mist, zu den Anforderungen, zur Bereitstellung und mehr.

F: Was sind die Grundlagen der SSO-Implementierung von Mist, die ich kennen sollte?

A: Mist unterstützt SAML2.0-basiertes SSO in mehreren Teilen unseres Produkts mit identischen Implementierungen. Obwohl dieses Dokument für das Administrator-SSO geschrieben ist, unterstützen wir auch SSO für den Gastzugriff sowie die PPSK-Selbstbereitstellung, bei der die Implementierungen mit Ausnahme der obligatorischen Attribute identisch sind. Dieses Dokument kann also auf alle Mist SSOs angewendet werden.

Ein Benutzerkonto in Mist kann einer von drei Arten von Konten sein, basierend auf der Art und Weise, wie es sich bei Mist authentifiziert. als lokales Konto zu Mist und SSO-Konto oder als OAUTH2-Konto. Ein Konto kann nur einer dieser Typen sein. Ein SSO-Konto würde sich also immer über den IdP bei Mist authentifizieren (es sei denn, der Benutzer ändert seinen Kontotyp).

Stellen Sie sicher, dass Sie die IdP-Assertion und -Antwort signieren und die richtigen Attribute in der Assertion mit der korrekten Großschreibung der Attributnamen zurückgeben.

F: Welche IdPs unterstützen Mist für den SSO-Zugriff?

A: Mist unterstützt jeden IdP, der SAML2.0 unterstützt.

F: Unterstützt Mist SP und vom IdP initiiertes SSO?

A: Ja, Mist unterstützt sowohl SP- als auch IdP-initiiertes SSO. Mit der Einschränkung, dass die allererste Anmeldung für einen SSO-Benutzer zum Mist vom IdP initiiert werden muss. Beachten Sie auch, dass für die SP-initiierte Anmeldung die im IdP eingegebene Entitäts-ID mit der ACS-URL übereinstimmen muss.

F: Welche Attribute muss ich in meiner Behauptung einreichen?

A: Dies sind die Attribute, die Mist in der SAML-Assertion erwartet:

Beachten Sie, dass die Groß-/Kleinschreibung wichtig ist.

  • NameID
  • Rolle
  • Vorname
  • Nachname

NameID ist erforderlich. Die Rolle ist erforderlich, es sei denn, Sie konfigurierendefault_roleüber API. FirstName und LastName werden empfohlen, sonst wird ? ? als Vor- und Nachname des Benutzers.

F: Welche NameID-Formate werden unterstützt?

A: NameID wird als eindeutiger Bezeichner für den Benutzer verwendet. Wir unterstützen E-Mail und nicht spezifiziert. Die meisten Leute verwenden E-Mails, aber Sie können wirklich alles senden, solange Sie in der Mist SSO-Konfiguration nicht angegeben konfigurieren. Wenn Sie unspecified verwenden, können Sie uns fast alles senden, solange es eindeutig und konsistent ist. Sie werden sehen, dass wir eine eindeutige ID für den Benutzer innerhalb von Mist mit nicht spezifiziert generieren.

F: Wofür wird eine Rolle verwendet?

A: Die Rolle wird verwendet, um die Berechtigung abzuleiten, die dem Benutzer erteilt werden soll. Die in der Assertion zurückgegebene Rolle stimmt mit einer Rolle in der Konfiguration Mist SSO-Rolle auf der Seite "Organisationseinstellungen" überein. Bitte beachten Sie, dass die Benutzerberechtigung dynamisch pro SSO-Anmeldung generiert wird.

F: Kann ich mehrere Rollen für einen Benutzer zurückgeben?

A: Ja, wenn mehrere Rollen zurückgegeben und abgeglichen werden, nehmen wir die Obermenge der Berechtigungen. Bitte beachten Sie, dass standardmäßig alle Rollen übereinstimmen müssen, da dem Benutzer sonst der Zugriff verweigert wird. Um einen teilweisen Abgleich von Rollen zu ermöglichen, gibt es eine API-Option ignore_unmatched_roles. Alternativ gibt es auch eine API-Option default_role, wenn keine Rollen übereinstimmen.

Wir akzeptieren mehrere Rollen in einer Vielzahl von Formaten in der Assertion. Mehrere Rollen können durch Kommas getrennt, mit mehreren AttributeValue-Paaren oder mit CN-Analyse gesendet werden. Hier ein paar Beispiele:

Durch Kommas getrennte "Rollen"-Attribute

# geparste Liste der Rollen

Mehrere "Rollen"-Attribut-Wert-Paare

# geparste Liste der Rollen

Kombination aus kommagetrennten und mehreren AV-Paaren

# geparste Liste der Rollen

Beispiel für eine CN-Extraktion – "role_attr_extraction": "CN",

# geparste Liste der Rollen

F: Wie kann ich SSO-Fehler beheben?

A: Sie können Fehler anzeigen, indem Sie diesen API-Aufruf ausgeben: {api_endpoint}/api/v1/orgs/:{org_id}/ssos/:{sso_id}/failures

Sie sehen den Fehlergrund sowie die Bestätigung, die empfangen wurde.

Um den API-Aufruf auszuführen, müssen Sie die kursiv gesetzten Begriffe in Klammern durch die tatsächlichen Werte ersetzen.

  • {api_endpoint}

    Wenn Sie sich über die API-Endpunkt-URL Ihrer Organisation nicht sicher sind, können Sie sie aus der URL Ihres Juniper Mist-Portals ableiten. Die Portal-URL beginnt mit manage. Die entsprechende API-Endpunkt-URL ersetzt manage durch api. Beachten Sie die fett gedruckten Zeichen in den folgenden Beispielen.

    Portal-URL

    manage.ac2.mist.com/admin/?org_id=xxxxxxx-xxxx-xxx

    Entsprechende API-Endpunkt-URL

    api.ac2.mist.com/admin/?org_id=xxxxxxx-xxxx-xxx

  • {org_id}

    Sie finden Ihre Organisations-ID auch in der Juniper Mist-Portal-URL. Die ID wird nach den Zeichen org_id= angezeigt. Beachten Sie die fett gedruckten Zeichen im folgenden Beispiel.

    Organisations-ID in der Portal-URL

    manage.ac2.mist.com/admin/?org_id=12345678-1a2b-3456cdef-xyz123

  • {sso_id}

    Um Ihre SSO-ID zu finden, führen Sie den folgenden API-Aufruf aus: {api_endpoint}/api/v1/orgs/:{org_id}/ssos

    Suchen Sie im ID-Feld nach Ihrer SSO-ID.

F: Muss ich meine SSO-Benutzer innerhalb Mist manuell bereitstellen?

A: Nein, das müssen Sie nicht. Der Zugriff für SSO-Benutzer wird bei Bedarf von Ihrem IdP gewährt. Das heißt, SSO-Benutzer werden vom IdP authentifiziert, nicht aber von Mist. Die Zugriffsebene auf das Mist Dashboard wird durch das Rollenattribut gesteuert, das in der Assertion zurückgegeben wird und mit einer in Mist definierten Rolle übereinstimmt.

F: Wie sieht der erstmalige Anmeldevorgang für meine SSO-Benutzer aus?

Geben Sie Ihren SSO-Benutzern die SSO-URL Ihrer Mist Organisation für die erstmalige Anmeldung weiter. Dieser Schritt ist nur für die erste Anmeldung erforderlich, um das Konto als SSO-Konto einzurichten. Danach können sie die SSO-URL verwenden oder direkt zum Juniper Mist Portal (manage.mist.com) wechseln. Weitere Informationen zur Benutzereinrichtung mit SSO finden Sie unter Hinzufügen von Identitätsanbietern und Benutzern.

F: Woher weiß ich, welche SSO-Benutzer auf meine Organisation zugegriffen haben?

A: Sie würden die Audit-Protokolle auf der Registerkarte "Organisation" überprüfen. Es wird ein Protokoll ähnlich dem folgenden angezeigt: Austin Powers austin@groovy.com Login mit der Rolle "Groove-Master"

F: Verfügt Mist über eine Metadatendatei?

A: Ja, sie finden Sie unter /api/v1/orgs/:org_id/ssos/:sso_id/metadata oder /metadata.xml.

Zum Beispiel:

F: Ich benötige mehrere SSOs in meiner Organisation. Unterstützt Mist das?

A: Ja, absolut. Es werden mehrere SSOs innerhalb einer Organisation unterstützt. Beachten Sie, dass eine Organisation zwar über mehrere SSOs und ein Benutzer über Berechtigungen für mehrere Organisationen verfügen kann, ein SSO-Benutzer in Mist jedoch nur zu einem SSO "gehören" kann. Dies ist in der Regel am relevantesten, wenn Sie eine "Dev"- und eine "Production"-SSO haben und für beide dieselbe E-Mail-Adresse verwenden.

F: Ich habe mehrere Organisationen, kann ich SSO mit mehreren Organisationen verwenden?

A: Ja, auch das ist möglich. Es kann auf zwei Arten gehandhabt werden. Zuerst haben Sie eine "Heimat"-Organisation, in der Sie die SSO haben. Anschließend können Sie Benutzer manuell zu Ihrer zweiten Organisation einladen. Bei der Anmeldung werden beide Organisationen aufgelistet. Die zweite Möglichkeit besteht darin, unsere MSP-Funktion (bei der es sich um eine Funktion für kontrollierten Zugriff handelt) zu verwenden. Wenn Sie das SSO auf der MSP-Ebene platzieren, haben Benutzer basierend auf der zurückgegebenen Rolle Zugriff auf den MSP oder nur auf bestimmte Organisationen im MSP.

F: Was passiert, wenn ich eine SSO innerhalb Mist lösche?

A: Wenn Sie eine SSO löschen, werden automatisch alle Benutzerkonten in Mist gelöscht, die mit dieser SSO verknüpft sind. Dies ist besonders nützlich bei der Migration von einem SSO zu einem anderen, z. B. "dev" zu "production".

F: Wie funktionieren API-Token mit SSO-Benutzern?

A: SSO-Benutzer können Organisations-API-Token verwenden. Superuser können eine Organisations-API mit den erforderlichen Berechtigungen erstellen. SSO-Benutzer unterstützen keine "benutzerbasierten" API-Token. Alternativ können je nach Kundenwunsch auch lokale Servicekonten verwendet werden.

F: Brauche ich einen lokalen Benutzer innerhalb Mist?

A: Wenn Sie mit der Verwendung von SSO beginnen, können Sie alle zuvor erstellten lokalen Benutzerkonten in Mist löschen, mit einer Ausnahme. Es wird empfohlen, einen lokalen Benutzer mit der Rolle "Superuser" beizubehalten, um sicherzustellen, dass Sie im Falle eines Problems mit dem SSO nicht aus der Organisation ausgesperrt werden. Da eine Person nicht sowohl eine E-Mail-Adresse für SSO als auch für ein lokales Konto verwenden kann, sollte das lokale Konto mit einer anderen E-Mail-Adresse eingerichtet werden als die, die sie für SSO verwenden wird. Verwenden Sie z. B. eine persönliche E-Mail-Adresse für das lokale Konto und die geschäftliche E-Mail-Adresse für das SSO-Konto. Weitere Informationen zu den Schritten zum Einrichten von SSO-Benutzern finden Sie unter Hinzufügen von Identitätsanbietern und -benutzern.