Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Intégrer Microsoft Entra ID en tant que fournisseur d’identité

Suivez ces étapes pour comprendre les options d’Entra ID, ajouter Mist en tant que nouvel enregistrement dans Entra ID et ajouter votre fournisseur d’identité à votre organisation Juniper Mist.

Microsoft Azure Active Directory (Azure AD), désormais connu sous le nom de Microsoft Entra ID, est une solution de gestion des identités et des accès. Avec Juniper Mist Access Assurance, vous pouvez intégrer un service d’authentification à Entra ID en utilisant OAuth pour effectuer :

  • Authentification des utilisateurs avec protocole d’authentification extensible – TLS tunnelisé (EAP-TTLS)
    • Effectue une authentification déléguée, c’est-à-dire vérifie le nom d’utilisateur et le mot de passe à l’aide d’OAuth.
    • Récupère les informations d’appartenance aux groupes d’utilisateurs pour prendre en charge les stratégies d’authentification basées sur cette identité utilisateur.
    • Obtient l’état (actif ou suspendu) d’un compte utilisateur.
  • Autorisation utilisateur avec le protocole d’authentification extensible - Sécurité de la couche de couche transport (EAP-TLS) et EAP-TTLS
    • Récupère les informations d’appartenance aux groupes d’utilisateurs pour prendre en charge les stratégies d’authentification basées sur cette identité utilisateur.
    • Obtient l’état (actif ou suspendu) d’un compte utilisateur

  • EAP-TTLS avec protocole d’authentification par mot de passe (PAP)

    • Effectue l’authentification déléguée, c’est-à-dire vérifie le nom d’utilisateur et le mot de passe à l’aide d’OAuth ou d’informations d’identification de mot de passe du propriétaire des ressources (ROPC).
    • Récupère les informations d’appartenance aux groupes d’utilisateurs pour prendre en charge les stratégies d’authentification basées sur cette identité utilisateur.
    • Obtient l’état (actif ou suspendu) d’un compte utilisateur

Configuration dans le portail Entra ID

Pour intégrer Entra ID à Juniper Mist Access Assurance, vous avez besoin de l’ID client, de la clé secrète client et de l’ID locataire, qui sont des valeurs générées par le portail Entra ID.

Remarque :

Les captures d’écran des applications tierces sont correctes au moment de la publication. Nous n’avons aucun moyen de savoir quand ou si les captures d’écran seront exactes à l’avenir. Veuillez vous référer au site Web tiers pour obtenir des conseils sur les modifications apportées à ces écrans ou aux workflows impliqués.
  1. Utilisez vos informations d’identification pour vous connecter au portail Azure et accéder à votre AD.
  2. Dans le Centre d’administration Microsoft Entra, dans la barre de navigation de gauche, sélectionnez Inscriptions d’applications.
  3. Cliquez sur Nouvelle inscription.
  4. Sur la page Nouvelle inscription, saisissez les informations requises dans les champs suivants. Notez que la liste suivante affiche des exemples d’entrée utilisateur et des exemples de paramètres.
    • NomMist AA IDP connector
    • Type de compte pris en charge : sélectionnez uniquement les comptes dans ce répertoire organisationnel (Répertoire par défaut uniquement - Locataire unique).
  5. Cliquez sur S’inscrire pour continuer.
    La page de l’application enregistrée s’affiche et affiche des informations sur le connecteur nouvellement créé.
  6. Notez les détails suivants :
    • ID d'application (client) : vous devez entrer ces informations dans les champs ID client OAuth Client ID (CC) et ID client Resource Owner Password Credential sur le portail cloud Juniper Mist.
    • Directory (Tenant) ID : vous aurez besoin de ces informations pour le champ ID de locataire OAuth sur le portail Juniper Mist.

    Vous devrez configurer un connecteur de fournisseur d’identité (IdP) sur le portail Juniper Mist :

  7. Cliquez sur Ajouter un certificat ou un secret sur la même page.
  8. Sur la page Clients et secrets, cliquez sur Nouveau secret client.
    La fenêtre Ajouter une clé secrète client s’affiche.
  9. Entrez les informations requises dans les champs suivants et cliquez sur Ajouter.
    • Description : fournit une description de la clé secrète client.
    • Expire : sélectionnez la période d’expiration du secret.

    Le système génère une valeur et un identifiant secret.

    Copiez et enregistrez les informations dans le champ Valeur dans un emplacement sécurisé. Notez que vous ne verrez ce champ qu'une seule fois. C’est-à-dire juste après la création de l’ID secret.

    Vous aurez besoin de ces informations pour le champ Secret client des informations d’identification client OAuth sur le portail Juniper Mist lorsque vous ajoutez Azure AD en tant que fournisseur d’identité.

  10. Sélectionnez Authentification dans la barre de navigation de gauche et faites défiler jusqu’à la section Paramètres avancés. Sélectionnez Oui pour Autoriser les flux de clients publics.
  11. Sélectionnez Autorisations d’API dans la barre de navigation de gauche.
    Sous Microsoft Graph, ajoutez les autorisations suivantes :
    • User.ReadDélégué
    • User.Read.All : application
    • Group.Read.All : application
    • Device.Read.All : application

    Cliquez sur Accorder le consentement de l’administrateur.

    Vous devez accorder à votre application les autorisations d’accès requises pour utiliser l’API Microsoft Graph afin de récupérer des informations sur les utilisateurs.

Configuration sur le tableau de bord Juniper Mist

  1. Dans le menu de gauche du portail Mist Juniper, sélectionnez Fournisseurs d’accès > d’accès > d’identité.

    La page Fournisseurs d’identité affiche tous les fournisseurs d’identité configurés.

    Figure 1 : Page Identity Providers Page des fournisseurs d’identité
  2. Cliquez sur Ajouter un IDP pour ajouter un nouvel IdP.
  3. Sur la page Nouveau fournisseur d’identité, entrez les informations requises comme indiqué ci-dessous.
    Figure 2 : Ajouter Azure AD en tant que fournisseur d’identité Add Azure AD as Identity Provider
    1. Nom : entrez un nom d’IdP (pour cet exemple : Azure AD).
    2. Type d’IDP : sélectionnez OAuth.
    3. Type OAuth : sélectionnez Azure dans la liste déroulante.
    4. ID de locataire OAuth : entrez l’ID de répertoire (locataire) que vous avez copié à partir de l’application Azure AD.
    5. Noms de domaine : entrez le nom de domaine, c'est-à-dire le nom d'utilisateur de l'utilisateur (par exemple : username@domain.com). Le champ du nom de domaine examine les demandes d’authentification entrantes, identifiant le nom d’utilisateur respectif et le domaine associé. Un connecteur utilise le nom de domaine que vous avez configuré pour identifier le locataire Azure avec lequel le connecteur doit communiquer.

    6. Default IDP : cochez cette option pour obtenir des appartenances à un groupe de machines.

    7. ID client (CC) d’informations d’identification client OAuth : entrez l’ID d’application (client) de l’application enregistrée dans le centre d’administration Microsoft Entra.
    8. Clé secrète client OAuth (CC) : entrez la clé secrète d’application que vous avez créée précédemment sur le portail Azure.
    9. ID client du propriétaire de la ressource OAuth (ROPC) : entrez l’ID d’application (client) de l’application Azure AD inscrite.

Sur le portail Mist Juniper, accédez à Surveillance des informations > > des événements client.

Lorsque Juniper Mist Access Assurance authentifie un utilisateur à l’aide d’EAP-TLS avec Azure AD, vous pouvez voir l’événement NAC IDP Group Lookup Success comme indiqué ci-dessous :

Figure 3 : Message de réussite de l’authentification EAP-TLS par IdP Success Message for EAP-TLS Authentication by IdP

Pour l’authentification EAP-TTLS, l’événement NAC IDP Authentication Success s’affiche. Cet événement indique qu’Azure AD a validé les informations d’identification de l’utilisateur. Pour cette authentification, vous voyez également l’événement NAC IDP Group Lookup Success qui récupère les appartenances aux groupes d’utilisateurs.

Figure 4 : Message de réussite de l’authentification EAP-TTLS par IdP Success Message for EAP-TTLS Authentication by IdP

Authentification EAP-TTLS avec Azure AD et ROPC

EAP-TTLS exploite le flux OAuth ROPC (Resource Owner Password Credentials) avec Azure AD pour authentifier les utilisateurs et récupérer les informations de groupe d’utilisateurs. Vous devez prendre en compte plusieurs facteurs lorsque vous utilisez une authentification héritée, telle que ROPC flow, qui vérifie uniquement le nom d’utilisateur et le mot de passe et ignore l’authentification multifactorielle (MFA).

  • Vous devez configurer les appareils clients avec le profil sans fil approprié, soit à l’aide de la gestion des appareils mobiles (MDM), soit à l’aide d’un objet de stratégie de groupe (GPO). Si vous fournissez uniquement le nom d’utilisateur et le mot de passe à l’invite de connexion, l’authentification héritée ne fonctionne pas avec certains systèmes d’exploitation.
  • Le nom d’utilisateur saisi par un utilisateur doit être au format UPN (username@domain).
  • Vous devez configurer les clients pour qu’ils fassent confiance au certificat du serveur.
  • Les utilisateurs doivent se connecter au moins une fois au portail Azure avant de tenter d’y accéder à l’aide de l’authentification ROPC. Cette étape est importante pour tester les comptes d’utilisateurs.
  • Le portail Azure doit stocker les mots de passe des utilisateurs dans des comptes cloud complets ou dans un AD local où la synchronisation des mots de passe est activée avec Azure AD Connect. Les utilisateurs de l’authentification fédérée ne sont pas pris en charge.
  • Vous devez désactiver l’authentification multifacteur pour les utilisateurs qui sélectionnent l’authentification ROPC. Pour contourner l’authentification multifacteur EAP-TTLS, vous pouvez simplement marquer les adresses IP sources de Mist Access Assurance comme emplacements approuvés en suivant la procédure suivante :
    1. Dans le portail Microsoft Entra, accédez à Protection > accès conditionnel > Emplacements nommés et sélectionnez Nouvel emplacement.
    2. Dans Nouvel emplacement (plages d’adresses IP), saisissez les détails.
      Figure 5 : Ignorer l’authentification multifacteur pour la connexion à partir d’une plage Bypass MFA for Sign in from a Trusted IP Address Range d’adresses IP approuvées
    3. Saisissez un nom pour l’emplacement.
    4. Sélectionnez Marquer comme emplacement approuvé.
    5. Saisissez la plage d’adresses IP des adresses IP de Juniper Mist Access Assurance.
    6. Cliquez sur Créer.
    7. Dans la stratégie d’authentification multifacteur d’accès conditionnel, faites référence aux sources IP approuvées comme critères d’exclusion.
      Figure 6 : Exclusion d’un emplacement désigné de la stratégie Exclude Named Location from Access Policy d’accès

Voir aussi