Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Hinzufügen von Identitätsanbietern und -benutzern

Führen Sie die folgenden Schritte aus, um Identitätsanbieter (IdPs) hinzuzufügen, die zur Authentifizierung Ihrer Portalbenutzer verwendet werden sollen.

Fügen Sie Ihre IdPs zu Ihrer Organisation hinzu und fügen Sie dann Ihre benutzerdefinierten Rollen hinzu, löschen Sie nicht benötigte lokale Konten, und geben Sie Ihren Benutzern Anweisungen zur erstmaligen Anmeldung.

Anmerkung:

Sie benötigen die Administratorrolle "Superuser", um SSO zu konfigurieren.

So fügen Sie Identitätsanbieter hinzu:

  1. Wählen Sie im linken Menü des Juniper Mist Portals die Option Organisations- > Admin->Einstellungen aus.
  2. Klicken Sie im Abschnitt Identitätsanbieter auf IDP hinzufügen.
    Identity Providers Section of the Organization Settings Page
  3. Gehen Sie im Fenster "Identitätsanbieter erstellen" wie folgt vor:
    1. Geben Sie einen Namen ein, und klicken Sie dann auf Hinzufügen.
    2. Wählen Sie für Namens-ID-Format das Format aus, das Sie verwenden möchten.
      Die meisten Menschen verwenden die E-Mail-Adresse für die Namens-ID. Wenn Sie eine andere Kennung für Ihre IdP-Benutzerkonten verwenden, wählen Sie Nicht angegeben aus.
    3. Kopieren Sie die ACS-URL (Assertion Consumer Service URL), die Sie benötigen, um die SAML 2.0-Integration im Portal Ihres IdP abzuschließen.
      location of the ACS URL field
    4. Lassen Sie das Fenster Identitätsanbieter erstellen geöffnet, damit Sie später in diesem Verfahren darauf zurückgreifen können.
  4. Rufen Sie Ihr IdP-Portal auf und führen Sie die folgenden Aufgaben aus:

    • Richten Sie die Benutzerkonten und Rollen für die Benutzer ein, die diese Integration verwenden, um sich bei Juniper Mist Portal zu authentifizieren.

    • Erstellen Sie eine SAML 2.0 SSO-Integration für Juniper Mist.

      Anmerkung:

      Wenn Ihr IdP Metadaten von Juniper Mist benötigt, finden Sie weitere Informationen unter Abrufen von Juniper Mist Metadaten für die SAML 2.0-Integration.

    • Die SAML 2.0 SSO-Integration enthält die folgenden Informationen:

      • Signier-Algorithmus

      • Emittent

      • SSO-URL

    • Laden Sie das Zertifikat herunter.

  5. Kehren Sie zu Create Identity Provider in Juniper Mist zurück und verwenden Sie die Informationen aus der SAML 2.0 SSO-Integration, um die folgenden Felder auszufüllen:

    • Signaturalgorithmus: Wählen Sie denselben Signaturalgorithmus aus, den Sie in Ihrer IdP-SAML 2.0-Integration ausgewählt haben.

    • Emittent

    • SSO-URL

    • Zertifikat: Öffnen Sie das Zertifikat, das Sie heruntergeladen haben. Kopieren Sie den gesamten Text und fügen Sie ihn in dieses Feld ein. Fügen Sie die Zeilen BEGIN CERTIFICATE und END CERTIFICATE hinzu.

    Beispiel:

    In diesem Beispiel wird gezeigt, wie Sie die Juniper Mist Felder auf der linken Seite ausfüllen würden, indem Sie die Werte aus den Microsoft Azure-Feldern auf der rechten Seite eingeben.

    Example: Create Identity Provider window and corresponding fields from Azure

  6. Klicken Sie auf Speichern, um die Einstellungen zu speichern und das Fenster zu schließen.
  7. Erfüllen Sie alle folgenden Anforderungen, um den Benutzerzugriff sicherzustellen:

    • Erstellen Sie benutzerdefinierte Rollen. Erstellen Sie benutzerdefinierte Rollen, die den IdP-Rollen für Ihre Benutzer entsprechen, die über SSO auf Juniper Mist zugreifen. Die Benutzerrolle bestimmt, auf welche Portalfunktionen der Benutzer zugreifen kann. Hilfe zu benutzerdefinierten Rollen finden Sie unter Erstellen von benutzerdefinierten Rollen für den Single Sign-On-Zugriff.

    • Löschen Sie lokale Konten.Löschen Sie alle zuvor erstellten Administratorkonten für Ihre Mist Organisation, mit Ausnahme eines Superuser-Kontos.

      Und zwar aus folgenden Gründen:

      Da Sie Ihren IdP anstelle von Mist zur Authentifizierung von Benutzern verwenden möchten, dienen deren zuvor erstellte Mist Konten keinem Zweck. Wenn sich jemand mit SSO anmeldet, wird diese E-Mail-Adresse mit dem SSO-IdP "verknüpft", und das zuvor erstellte lokale Konto kann nur verwendet werden, wenn die SSO-Konfiguration gelöscht wird.

      Wir empfehlen, ein lokales Konto mit der Rolle "Superuser" als Notfallsicherung zu haben. Auf diese Weise kann eine Person im Falle von SSO-Problemen ihr lokales Konto verwenden, um auf Ihre Mist Organisation zuzugreifen.

      Da eine Person nicht sowohl eine E-Mail-Adresse für SSO als auch für ein lokales Konto verwenden kann, sollte das lokale Konto mit einer anderen E-Mail-Adresse eingerichtet werden als die, die sie für SSO verwenden wird. Verwenden Sie z. B. eine persönliche E-Mail-Adresse für das lokale Konto und die geschäftliche E-Mail-Adresse für das SSO-Konto.

    • Geben Sie Anweisungen für die erstmalige Anmeldung an. Stellen Sie sicher, dass Ihre Benutzer den Prozess der erstmaligen Anmeldung verstehen. Wenn sie sich zum ersten Mal bei Juniper Mist anmelden, müssen sie über die SSO-URL oder ihr IdP-Dashboard eine Verbindung zu Juniper Mist herstellen. Dieser Schritt ist nur für die erste Anmeldung erforderlich, um das Konto als SSO-Konto einzurichten. Danach können sie die SSO-URL verwenden oder direkt zum Juniper Mist Portal (manage.mist.com) wechseln.

Wenn Fehler auftreten, finden Sie weitere Informationen unter Beheben von Problemen mit der Einrichtung des Identitätsanbieters.