Intégrez Google Workspace en tant que fournisseur d’identité
Suivez ces étapes pour ajouter Mist en tant que client dans votre portail Google Workspace, télécharger votre certificat et ajouter votre fournisseur d’identité à votre organisation Juniper Mist.
Juniper Mist Access Assurance vous permet d’intégrer Google Workspace en tant que fournisseur d’identité (IdP) afin d’exploiter le connecteur sécurisé LDAPS (Lightweight Directory Access Protocol over SSL) dans les cas d’utilisation suivants :
- Pour une autorisation basée sur un certificat (EAP-TLS ou EAP-TTLS) :
- Récupère les informations d’appartenance aux groupes d’utilisateurs pour prendre en charge les stratégies d’authentification basées sur cette identité utilisateur
- Obtient l’état (actif ou suspendu) d’un compte utilisateur
-
EAP-TTLS avec PAP
- Vérifie le nom d’utilisateur et le mot de passe pour l’authentification auprès du fournisseur d’identité de Google
Certaines des captures d’écran incluses dans ce document proviennent d’applications tierces. Sachez que ces captures d’écran peuvent changer au fil du temps et peuvent ne pas toujours correspondre à la version actuelle des applications.
Configuration sur Google Workspace
La procédure suivante vous montre comment configurer Google Workspace en tant que fournisseur d’identité (IdP) avec Juniper Mist.
Les captures d’écran des applications tierces sont correctes au moment de la publication. Nous n’avons aucun moyen de savoir quand ou si les captures d’écran seront exactes à l’avenir. Veuillez vous référer au site Web tiers pour obtenir des conseils sur les modifications apportées à ces écrans ou aux workflows impliqués.
- Créez un client LDAP.
- Dans la console d’administration Google, dans la barre de navigation de gauche, accédez à Applications > LDAP et cliquez sur Ajouter un client.
- Fournissez un nom de client LDAP et une description facultative, puis cliquez sur Continuer.
La page Autorisations d’accès s’affiche après l’ajout du client LDAP.
- Dans la console d’administration Google, dans la barre de navigation de gauche, accédez à Applications > LDAP et cliquez sur Ajouter un client.
- Configurez l’autorisation d’accès pour vérifier les informations d’identification de l’utilisateur.
Les options suivantes sont disponibles :
- Vérifier les informations d’identification de l’utilisateur : permet l’authentification des informations d’identification de l’utilisateur à l’aide de EAP-TTLS/PAP. Ce paramètre spécifie les groupes organisationnels auxquels le client LDAP peut accéder pour vérifier les informations d’identification de l’utilisateur.
- Lire les informations utilisateur : permet de lire les informations de base sur l’utilisateur. Ce paramètre spécifie les unités et groupes organisationnels auxquels le client LDAP peut accéder pour récupérer des informations utilisateur supplémentaires.
- Sélectionnez Domaine entier pour les deux options si aucune organisation spécifique n’est requise.
- Faites défiler vers le bas jusqu’à Lire les informations du groupe. Ce paramètre spécifie si le client LDAP peut lire les détails du groupe et vérifier les appartenances aux groupes d’un utilisateur.
Une fois que vous avez terminé de configurer les autorisations d’accès et ajouté le client LDAP, le certificat est généré automatiquement sur la même page.
- Téléchargez le certificat client LDAPS généré.
- Cliquez sur Télécharger le certificat et enregistrez le certificat téléchargé dans un endroit sécurisé. Vous aurez besoin de ce certificat lorsque vous configurerez un IdP sur le portail Juniper Mist.
- Développez la section Authentification.
- Sous Informations d’identification d’accès, cliquez sur Générer de nouvelles informations d’identification.
Vous pouvez afficher le nom d’utilisateur et le mot de passe sur la page Identifiants d’accès .
Copiez et enregistrez le nom d’utilisateur et le mot de passe. Vous avez besoin de ces détails pour configurer le client LDAPS sur le portail cloud Juniper Mist.
- Cliquez sur Télécharger le certificat et enregistrez le certificat téléchargé dans un endroit sécurisé. Vous aurez besoin de ce certificat lorsque vous configurerez un IdP sur le portail Juniper Mist.
- Activez le service client LDAP en modifiant l’état du service sur Activé pour le client LDAP. Cette étape vous permet de configurer un client avec le service LDAP sécurisé.
- Dans la console d’administration Google, accédez à Applications > LDAP. Sélectionnez votre client et cliquez sur État du service.
L’état du service, affiché en haut à droite de la page, est initialement défini sur OFF.
Sélectionnez Activé pour que tout le monde active le service. Prévoyez un peu de temps pour que les changements s’appliquent du côté de Google.
- Dans la console d’administration Google, accédez à Applications > LDAP. Sélectionnez votre client et cliquez sur État du service.
Configuration sur le tableau de bord Juniper Mist
- Dans le menu de gauche du portail Mist Juniper, sélectionnez Organisation > accès > fournisseurs d’identité.
La page Fournisseurs d’identité affiche tous les fournisseurs d’identité configurés.
Figure 1 : Page
des fournisseurs d’identité
- Sur la page Nouveau fournisseur d’identité, saisissez les informations requises pour l’intégration à Google Workspace.
Figure 2 : Mettre à jour les informations
du fournisseur d’identité
Configurez maintenant le connecteur LDAPS pour qu’il s’intègre au point de terminaison LDAP Google Workspace.
- Nom : saisissez un nom d’IDP. (Dans cet exemple, entrez Google Workspace.)
- Type d’IDP : sélectionnez LDAPS.
- Type LDAP : sélectionnez Personnalisé.
- Filtre de groupe : sélectionnez membreDe. Cette option est requise pour obtenir des appartenances à un groupe à partir de l’attribut Groupe.
- Filtre de membre : sélectionnez membreDe.
- Filtre utilisateur : entrez (mail=%s).
- Hôtes de serveur : entrez ldap.google.com.
- Noms de domaine : saisissez votre nom de domaine Google Workspace. Par exemple : abc.com.
- DN de liaison : utilisez le nom d’utilisateur fourni par Google à l’étape précédente.
- Mot de passe de liaison : saisissez le mot de passe du nom d’utilisateur ci-dessus.
- DN de base : configurez votre DNS de base correspondant à votre domaine Google Workspace. Par exemple, si votre domaine est abc.com, votre DN de base est dc=abc,dc=com.
- Dans la section Certificats d’AC, cliquez sur Ajouter un certificat et collez les deux certificats suivants :
Figure 3 : Ajouter un certificat
d’AC
-----BEGIN CERTIFICATE----- MIIFljCCA36gAwIBAgINAgO8U1lrNMcY9QFQZjANBgkqhkiG9w0BAQsFADBHMQsw CQYDVQQGEwJVUzEiMCAGA1UEChMZR29vZ2xlIFRydXN0IFNlcnZpY2VzIExMQzEU MBIGA1UEAxMLR1RTIFJvb3QgUjEwHhcNMjAwODEzMDAwMDQyWhcNMjcwOTMwMDAw MDQyWjBGMQswCQYDVQQGEwJVUzEiMCAGA1UEChMZR29vZ2xlIFRydXN0IFNlcnZp Y2VzIExMQzETMBEGA1UEAxMKR1RTIENBIDFDMzCCASIwDQYJKoZIhvcNAQEBBQAD ggEPADCCAQoCggEBAPWI3+dijB43+DdCkH9sh9D7ZYIl/ejLa6T/belaI+KZ9hzp kgOZE3wJCor6QtZeViSqejOEH9Hpabu5dOxXTGZok3c3VVP+ORBNtzS7XyV3NzsX lOo85Z3VvMO0Q+sup0fvsEQRY9i0QYXdQTBIkxu/t/bgRQIh4JZCF8/ZK2VWNAcm BA2o/X3KLu/qSHw3TT8An4Pf73WELnlXXPxXbhqW//yMmqaZviXZf5YsBvcRKgKA gOtjGDxQSYflispfGStZloEAoPtR28p3CwvJlk/vcEnHXG0g/Zm0tOLKLnf9LdwL tmsTDIwZKxeWmLnwi/agJ7u2441Rj72ux5uxiZ0CAwEAAaOCAYAwggF8MA4GA1Ud DwEB/wQEAwIBhjAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwEgYDVR0T AQH/BAgwBgEB/wIBADAdBgNVHQ4EFgQUinR/r4XN7pXNPZzQ4kYU83E1HScwHwYD VR0jBBgwFoAU5K8rJnEaK0gnhS9SZizv8IkTcT4waAYIKwYBBQUHAQEEXDBaMCYG CCsGAQUFBzABhhpodHRwOi8vb2NzcC5wa2kuZ29vZy9ndHNyMTAwBggrBgEFBQcw AoYkaHR0cDovL3BraS5nb29nL3JlcG8vY2VydHMvZ3RzcjEuZGVyMDQGA1UdHwQt MCswKaAnoCWGI2h0dHA6Ly9jcmwucGtpLmdvb2cvZ3RzcjEvZ3RzcjEuY3JsMFcG A1UdIARQME4wOAYKKwYBBAHWeQIFAzAqMCgGCCsGAQUFBwIBFhxodHRwczovL3Br aS5nb29nL3JlcG9zaXRvcnkvMAgGBmeBDAECATAIBgZngQwBAgIwDQYJKoZIhvcN AQELBQADggIBAIl9rCBcDDy+mqhXlRu0rvqrpXJxtDaV/d9AEQNMwkYUuxQkq/BQ cSLbrcRuf8/xam/IgxvYzolfh2yHuKkMo5uhYpSTld9brmYZCwKWnvy15xBpPnrL RklfRuFBsdeYTWU0AIAaP0+fbH9JAIFTQaSSIYKCGvGjRFsqUBITTcFTNvNCCK9U +o53UxtkOCcXCb1YyRt8OS1b887U7ZfbFAO/CVMkH8IMBHmYJvJh8VNS/UKMG2Yr PxWhu//2m+OBmgEGcYk1KCTd4b3rGS3hSMs9WYNRtHTGnXzGsYZbr8w0xNPM1IER lQCh9BIiAfq0g3GvjLeMcySsN1PCAJA/Ef5c7TaUEDu9Ka7ixzpiO2xj2YC/WXGs Yye5TBeg2vZzFb8q3o/zpWwygTMD0IZRcZk0upONXbVRWPeyk+gB9lm+cZv9TSjO z23HFtz30dZGm6fKa+l3D/2gthsjgx0QGtkJAITgRNOidSOzNIb2ILCkXhAd4FJG AJ2xDx8hcFH1mt0G/FX0Kw4zd8NLQsLxdxP8c4CU6x+7Nz/OAipmsHMdMqUybDKw juDEI/9bfU1lcKwrmz3O2+BtjjKAvpafkmO8l7tdufThcV4q5O8DIrGKZTqPwJNl 1IXNDw9bg1kWRxYtnCQ6yICmJhSFm/Y3m6xv+cXDBlHz4n/FsRC6UfTd -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIFYjCCBEqgAwIBAgIQd70NbNs2+RrqIQ/E8FjTDTANBgkqhkiG9w0BAQsFADBX MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIwMDYx OTAwMDA0MloXDTI4MDEyODAwMDA0MlowRzELMAkGA1UEBhMCVVMxIjAgBgNVBAoT GUdvb2dsZSBUcnVzdCBTZXJ2aWNlcyBMTEMxFDASBgNVBAMTC0dUUyBSb290IFIx MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAthECix7joXebO9y/lD63 ladAPKH9gvl9MgaCcfb2jH/76Nu8ai6Xl6OMS/kr9rH5zoQdsfnFl97vufKj6bwS iV6nqlKr+CMny6SxnGPb15l+8Ape62im9MZaRw1NEDPjTrETo8gYbEvs/AmQ351k KSUjB6G00j0uYODP0gmHu81I8E3CwnqIiru6z1kZ1q+PsAewnjHxgsHA3y6mbWwZ DrXYfiYaRQM9sHmklCitD38m5agI/pboPGiUU+6DOogrFZYJsuB6jC511pzrp1Zk j5ZPaK49l8KEj8C8QMALXL32h7M1bKwYUH+E4EzNktMg6TO8UpmvMrUpsyUqtEj5 cuHKZPfmghCN6J3Cioj6OGaK/GP5Afl4/Xtcd/p2h/rs37EOeZVXtL0m79YB0esW CruOC7XFxYpVq9Os6pFLKcwZpDIlTirxZUTQAs6qzkm06p98g7BAe+dDq6dso499 iYH6TKX/1Y7DzkvgtdizjkXPdsDtQCv9Uw+wp9U7DbGKogPeMa3Md+pvez7W35Ei Eua++tgy/BBjFFFy3l3WFpO9KWgz7zpm7AeKJt8T11dleCfeXkkUAKIAf5qoIbap sZWwpbkNFhHax2xIPEDgfg1azVY80ZcFuctL7TlLnMQ/0lUTbiSw1nH69MG6zO0b 9f6BQdgAmD06yK56mDcYBZUCAwEAAaOCATgwggE0MA4GA1UdDwEB/wQEAwIBhjAP BgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTkrysmcRorSCeFL1JmLO/wiRNxPjAf BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzBgBggrBgEFBQcBAQRUMFIw JQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnBraS5nb29nL2dzcjEwKQYIKwYBBQUH MAKGHWh0dHA6Ly9wa2kuZ29vZy9nc3IxL2dzcjEuY3J0MDIGA1UdHwQrMCkwJ6Al oCOGIWh0dHA6Ly9jcmwucGtpLmdvb2cvZ3NyMS9nc3IxLmNybDA7BgNVHSAENDAy MAgGBmeBDAECATAIBgZngQwBAgIwDQYLKwYBBAHWeQIFAwIwDQYLKwYBBAHWeQIF AwMwDQYJKoZIhvcNAQELBQADggEBADSkHrEoo9C0dhemMXoh6dFSPsjbdBZBiLg9 NR3t5P+T4Vxfq7vqfM/b5A3Ri1fyJm9bvhdGaJQ3b2t6yMAYN/olUazsaL+yyEn9 WprKASOshIArAoyZl+tJaox118fessmXn1hIVw41oeQa1v1vg4Fv74zPl6/AhSrw 9U5pCZEt4Wi4wStz6dTZ/CLANx8LZh1J7QJVj2fhMtfTJr9w4z30Z209fOU0iOMy +qduBmpvvYuR7hZL6Dupszfnw0Skfths18dG9ZKb59UhvmaSGZRVbNQpsg3BZlvi d0lIKO2d1xozclOzgjXPYovJJIultzkMu34qQb9Sz/yilrbCgj8= -----END CERTIFICATE-----
- Sous Certificat client, ajoutez un certificat client que vous avez téléchargé à partir de Google. Placez le fichier se terminant par .key sous Clé privée et le fichier se terminant par .crt sous Certificat signé, comme indiqué dans l’exemple suivant :
Figure 4 : Ajouter un certificat
client
Cliquez sur Enregistrer.
Sur le portail Juniper Mist, accédez à Surveillance des > Insights > des événements client.
Lorsqu’un utilisateur s’authentifie à l’aide d’EAP-TTLS , vous pouvez voir les événements NAC IDP Authentication Success et NAC IDP Group Success qui récupèrent les informations d’appartenance au groupe d’utilisateurs.
En cas d’authentification EAP-TTLS, vous pouvez voir l’événement NAC IDP Authentication Successful . Cet événement indique que Google Workspace a validé les informations d’identification de l’utilisateur.
de réussite de l’authentification IDP
Vous pouvez utiliser les rôles IDP de Google Workspace dans vos règles de stratégie d’authentification pour segmenter le réseau en fonction des rôles des utilisateurs.
À propos d’EAP-TTLS et d’Azure AD à l’aide de ROPC
Le protocole d’authentification extensible – TLS tunnelisé (EAP-TTLS) exploite le flux OAuth LDAPS avec Azure AD pour effectuer l’authentification des utilisateurs. Cela implique l’utilisation de l’authentification héritée, qui implique l’utilisation d’un nom d’utilisateur et d’un mot de passe sans MFA. Plusieurs facteurs doivent être pris en compte lors de l’utilisation de cette méthode :
- Configurez les appareils clients avec le profil Wi-Fi approprié, à partir d’un objet de stratégie de groupe ou d’un MDM. Le fait de n’indiquer qu’un nom d’utilisateur et un mot de passe à l’invite de connexion ne fonctionne pas avec certains systèmes d’exploitation.
- Les utilisateurs doivent utiliser le format de nom d’utilisateur Google Email ID (username@domain) pour saisir le nom d’utilisateur.
- Configurez les clients pour approuver le certificat du serveur. Voir Utiliser des certificats numériques.