Häufig gestellte Fragen zu SSO

F: Was sind die Grundlagen der SSO-Implementierung von Mist Systems, die ich kennen sollte?

A: Mist Systems unterstützt SAML2.0-basiertes SSO in mehreren Teilen unseres Produkts mit identischen Implementierungen. Obwohl dieses Dokument für Admin-SSO geschrieben wurde, unterstützen wir auch SSO für den Gastzugriff sowie die PPSK-Selbstbereitstellung, bei der die Implementierungen mit Ausnahme der obligatorischen Attribute identisch sind. Dieses Dokument kann also auf alle SSOs von Mist Systems angewendet werden.

Ein Benutzerkonto bei Mist Systems kann eine von drei Arten von Konten sein, je nachdem, wie es sich bei Mist Systems authentifiziert; als lokales Konto bei Mist Systems und SSO-Konto oder OAUTH2-Konto. Ein Konto kann nur einer dieser Typen sein. Ein SSO-Konto würde sich also immer über den IdP bei Mist Systems authentifizieren (es sei denn, der Benutzer ändert seinen Kontotyp).

Stellen Sie sicher, dass Sie die IdP-Assertion und -Antwort signieren und die richtigen Attribute in der Assertion mit der korrekten Großschreibung der Attributnamen zurückgeben.

F: Welche IdPs unterstützt Mist Systems für den SSO-Zugriff?

A: Mist Systems unterstützt alle IdP, die SAML2.0 unterstützen.

F: Unterstützt Mist Systems SP- und IdP-initiiertes SSO?

A: Ja, Mist Systems unterstützt sowohl SP- als auch IdP-initiiertes SSO. Mit der Einschränkung, dass die allererste Anmeldung für einen SSO-Benutzer bei Mist Systems IdP initiiert werden muss. Beachten Sie auch, dass für die vom SP initiierte Anmeldung die im IdP eingegebene Entitäts-ID mit der ACS-URL übereinstimmen muss.

F: Welche Attribute benötige ich, um meine Assertion einzureichen?

A: Dies sind die Attribute, die Mist Systems in der SAML-Assertion erwartet:

Beachten Sie, dass die Großschreibung wichtig ist.

• NameID
• Rolle
• Vorname
• Nachname

NameID ist erforderlich. Die Rolle ist erforderlich, es sei denn, Sie konfigurierendefault_roleüber die API. Vorname und Nachname werden empfohlen, sonst sehen Sie ? ? als Vor- und Nachname des Benutzers.

F: Welche NameID-Formate unterstützen Sie?

A: NameID wird als eindeutige Kennung für den Benutzer verwendet. Wir unterstützen E-Mail und nicht spezifiziert. Die meisten Leute verwenden E-Mails, aber Sie können wirklich alles senden, solange Sie in der Mist Systems SSO-SSO-Konfiguration nicht spezifiziert konfigurieren. Wenn Sie unspezifisch verwenden, können Sie uns fast alles senden, solange es einzigartig und konsistent ist. Sie werden sehen, dass wir eine eindeutige ID für den Benutzer in Mist Systems mit unspecified generieren.

F: Wofür wird eine Rolle verwendet?

A: Die Rolle wird verwendet, um die Berechtigung abzuleiten, die dem Benutzer erteilt werden soll. Die in der Assertion zurückgegebene Rolle würde mit einer Rolle in der Mist Systems SSO-Rollenkonfiguration auf der Seite "Organisationseinstellungen" übereinstimmen. Bitte beachten Sie, dass die Benutzerberechtigung pro SSO-Anmeldung dynamisch generiert wird.

F: Kann ich mehrere Rollen für einen Benutzer zurückgeben?

A: Ja, wenn mehrere Rollen zurückgegeben und abgeglichen werden, übernehmen wir die Obermenge der Berechtigungen. Bitte beachten Sie, dass standardmäßig alle Rollen übereinstimmen müssen, da dem Benutzer sonst der Zugriff verweigert wird. Um einen teilweisen Abgleich von Rollen zu ermöglichen, gibt es eine API-Option ignore_unmatched_roles. Alternativ gibt es auch eine API-Option default_role, wenn keine Rollen übereinstimmen.

Wir akzeptieren mehrere Rollen in einer Vielzahl von Formaten in der Behauptung. Mehrere Rollen können als kommagetrennt, mehrere AttributeValue-Paare oder mit CN-Analyse gesendet werden. Hier sind ein paar Beispiele:

Durch Kommas getrennte "Rollen"-Attribute

# Geparste Liste der Rollen

Mehrere "Rolle"-Attributwertpaare

# Geparste Liste der Rollen

Kombination aus kommagetrennten und mehreren AV-Paaren

# Geparste Liste der Rollen

Beispiel für die CN-Extraktion – "role_attr_extraction": "CN",

# Geparste Liste der Rollen

F: Wie kann ich SSO-Fehler beheben?

A: Sie können Fehler anzeigen, indem Sie diesen API-Aufruf ausführen: {api_Endgerät}/api/v1/orgs/:{org_id}/ssos/:{sso_id}/failures

Sie sehen den Fehlergrund sowie die erhaltene Behauptung.

Um den API-Aufruf auszugeben, müssen Sie die kursiv geschriebenen Terme in Klammern durch die tatsächlichen Werte ersetzen.

• {api_Endgerät}

  Wenn Sie sich bei der API-Endgerät-URL Ihres Unternehmens nicht sicher sind, können Sie sie von Ihrer Juniper Mist Systems Portal-URL ableiten. Die Portal-URL beginnt mit manage. Die entsprechende API-Endgerät-URL ersetzt manage with api. Beachten Sie die fettgedruckten Zeichen in den folgenden Beispielen.

  Portal-URL

  manage.ac2.mist.com/admin/?org_id=xxxxxxx-xxxx-xxx

  Entsprechende API-Endpunkt-URL

  api.ac2.mist.com/admin/?org_id=xxxxxxx-xxxx-xxx

• {org_id}

  Sie finden Ihre Unternehmens-ID auch in der Portal-URL von Juniper Mist Systems. Die ID wird nach den Zeichen org_id= angezeigt. Beachten Sie die fettgedruckten Zeichen im folgenden Beispiel.

  Organisations-ID in der Portal-URL

  manage.ac2.mist.com/admin/?org_id=12345678-1a2b-3456cdef-xyz123

• {sso_id}

  Um Ihre SSO-ID zu finden, geben Sie diesen API-Aufruf ein: {api_Endgerät}/api/v1/orgs/:{org_id}/ssos

  Suchen Sie im Feld ID nach Ihrer SSO-ID.

F: Muss ich meine SSO Benutzer innerhalb Mist Systems manuell Bereitstellung?

A: Nein, das tust du nicht. Der Zugriff für SSO-Benutzer wird auf Anfrage von Ihrem IdP gewährt. Das heißt, SSO-Benutzer werden vom IdP authentifiziert, nicht von Mist Systems. Die Zugriffsebene auf das Mist Systems Dashboard wird durch das Rollenattribut gesteuert, das in der Assertion zurückgegeben wird, die einer in Mist Systems definierten Rolle entspricht.

F: Wie lange melden sich meine SSO-Benutzer zum ersten Mal an?

Geben Sie Ihren SSO-Benutzern die SSO-URL Ihrer Mist Systems-Organisation für die erstmalige Anmeldung zu. Dieser Schritt ist nur für die erste Anmeldung erforderlich, um das Konto als SSO-Konto einzurichten. Danach können sie die SSO-URL verwenden oder direkt zum Juniper Mist Systems-Portal (manage.mist.com) wechseln. Weitere Informationen zur Benutzereinrichtung mit SSO finden Sie unter Hinzufügen von Identitätsanbietern und Benutzern.

F: Woher weiß ich, welche SSO-Benutzer auf meine Organisation zugegriffen haben?

A: Sie würden die Audit-Protokolle auf der Registerkarte Organisation überprüfen. Sie würden ein Protokoll ähnlich dem folgenden sehen: Austin Powers austin@groovy.com Login mit der Rolle "Groove-Master"

F: Verfügt Mist Systems über eine Metadatendatei?

A: Ja, sie finden Sie unter /api/v1/orgs/:org_id/ssos/:sso_id/metadata oder /metadata.xml.

Zum Beispiel:

F: Ich benötige mehrere SSOs in meiner Organisation. Unterstützt Mist Systems das?

A: Ja, absolut. Mehrere SSOs innerhalb einer Organisation werden unterstützt. Denken Sie daran, dass eine Organisation mehrere SSOs haben kann und ein Benutzer Berechtigungen für mehrere Organisationen haben kann, während ein SSO-Benutzer in Mist Systems nur zu einem SSO "gehören" kann. Dies ist in der Regel am relevantesten, wenn Sie ein "Entwickler"- und ein "Produktions"-SSO haben und für beide dieselbe E-Mail-Adresse verwenden.

F: Ich habe mehrere Organisationen, kann ich SSO mit mehreren Organisationen verwenden?

A: Ja, auch das ist möglich. Es kann auf zwei Arten gehandhabt werden. Zuerst haben Sie eine "Home"-Organisation, in der Sie das SSO haben. Anschließend können Sie Benutzer manuell zu Ihrer zweiten Organisation einladen. Wenn sie sich anmelden, sehen sie beide Orgs aufgelistet. Die zweite Möglichkeit besteht darin, unsere MSP-Funktion zu verwenden (eine Funktion für kontrollierten Zugriff). Wenn Sie das SSO auf MSP-Ebene platzieren und basierend auf der zurückgegebenen Rolle haben Benutzer Zugriff auf den MSP oder nur auf bestimmte Organisationen im MSP.

F: Was passiert, wenn ich ein SSO in Mist Systems lösche?

A: Wenn Sie ein SSO löschen, werden automatisch alle Benutzerkonten innerhalb von Mist Systems gelöscht, die mit diesem SSO verknüpft sind. Dies ist besonders nützlich, wenn Sie von einem SSO zu einem anderen migrieren, z. B. "dev" zu "production".

F: Wie funktionieren API-Token mit SSO-Benutzern?

A: SSO-Benutzer können Organisations-API-Token verwenden. Superuser können eine Organisations-API mit den erforderlichen Berechtigungen erstellen. SSO-Benutzer unterstützen keine "benutzerbasierten" API-Token. Alternativ können je nach Kundenwunsch auch lokale Servicekonten verwendet werden.

F: Benötige ich einen lokalen Benutzer innerhalb von Mist Systems?

A: Wenn Sie mit der Verwendung von SSO beginnen, können Sie alle zuvor erstellten lokalen Benutzerkonten in Mist Systems löschen, mit einer Ausnahme. Es wird empfohlen, einen lokalen Benutzer mit der Superuser-Rolle beizubehalten, um sicherzustellen, dass Sie im Falle eines Problems mit dem SSO nicht aus der Organisation ausgesperrt werden. Da eine Person nicht eine E-Mail-Adresse sowohl für SSO als auch für ein lokales Konto verwenden kann, sollte das lokale Konto mit einer anderen E-Mail-Adresse eingerichtet werden als die, die sie für SSO verwendet. Verwenden Sie beispielsweise eine persönliche E-Mail-Adresse für das lokale Konto und die geschäftliche E-Mail-Adresse für das SSO-Konto. Weitere Informationen zu den Schritten zum Einrichten von SSO-Benutzern finden Sie unter Hinzufügen von Identitätsanbietern und Benutzern.

F: Warum wird beim Einrichten von SSO ein Fehler mit einem nicht übereinstimmenden Zertifikat angezeigt?

Ein Zertifikatskonfliktfehler tritt normalerweise auf, wenn das in Mist Systems konfigurierte Zertifikat des Identitätsanbieters (IdP) nicht mit dem Zertifikat übereinstimmt, das von Ihrem IdP zum Signieren von SAML-Assertionen verwendet wird, was zu Problemen bei der Authentifizierung führt. Dieser Fehler tritt in der Regel aufgrund fehlender Zertifikatsinformationen, abgelaufener Zertifikate, falscher Zertifikate oder mehrerer Zertifikate im IdP auf. So beheben Sie dieses Problem:

• Laden Sie das richtige Zertifikat von Ihrem IdP herunter und stellen Sie sicher, dass es den vollständigen Text mit Kopf- und Fußzeilen enthält.
• Bestätigen Sie, dass das Zertifikat gültig ist. Wenn das Zertifikat abgelaufen ist, generieren Sie ein neues Zertifikat in Ihrem IdP-Portal und aktualisieren Sie die Details im Mist Systems Portal.

• Prüfen Sie, ob der IdP ein neues Zertifikat ausgestellt hat, und aktualisieren Sie die neuesten Zertifikatsinformationen im Mist Systems Portal.

Darüber hinaus ist es wichtig, mindestens ein lokales Administratorkonto in Mist Systems zu führen. Dies gewährleistet einen alternativen Zugriff, wenn SSO aufgrund von Zertifikatsproblemen fehlschlägt.

F: Warum wird ein lokales Konto bei der Authentifizierung über den IdP nicht in ein SSO-Konto umgewandelt?

Wenn Sie Single Sign-On (SSO) einrichten und sich ein Benutzer über den Identitätsanbieter (IdP) anmeldet, wandelt Mist Systems das Konto des Benutzers automatisch von einem lokalen Konto in ein SSO-Konto um. Diese Konvertierung erfolgt jedoch nicht, wenn

• Die E-Mail-Adresse in der IdP-Assertion stimmt nicht genau mit der E-Mail-Adresse des Benutzerkontos bei Mist Systems überein.

• Der IdP sendet nicht das richtige Attribut (wie Name, ID oder E-Mail-Adresse) zur Benutzeridentifizierung an Mist Systems.

• Dieselbe E-Mail-Adresse ist an ein SSO-Konto in einer anderen Organisation gebunden.

• Der lokale Benutzer hat eine Rolle, die der SSO-Rolle nicht ordnungsgemäß zugeordnet ist.