Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Intégration SCIM avec Microsoft Entra ID et Okta

Le cloud Mist Access Assurance utilise OAuth 2.0 pour s’intégrer à Microsoft Entra ID (Azure AD) et Okta pour sécuriser l’authentification et l’autorisation des utilisateurs. L’intégration du système de gestion des identités inter-domaines (SCIM) améliore les performances d’autorisation en permettant au cloud Access Assurance de maintenir un référentiel synchronisé localement des utilisateurs et des groupes, réduisant ainsi la latence et la dépendance vis-à-vis des IdP externes. Suivez ces étapes pour intégrer SCIM avec Entra ID ou Okta.

Le cloud de Mist Access Assurance s’intègre aux fournisseurs d’identité (IdP) externes tels que Microsoft Entra ID (Azure AD) et Okta à l’aide d’OAuth 2.0. Grâce à cette intégration, Mist Access Assurance gère les éléments suivants :

  • Authentification pour EAP-TTLS et Admin-Auth

  • Autorisation (récupération des informations du groupe d’utilisateurs) pour EAP-TLS, EAP-TTLS et Admin-Auth via des connexions OAuth 2.0 aux IdP

Étant donné que les opérations d’authentification et d’autorisation impliquent une communication en temps réel avec des IdP externes, chaque appel de chemin de contrôle peut introduire des latence supplémentaires, ce qui affecte le temps de réponse global pour l’authentification et l’évaluation des stratégies. Cela ajoute également un goulot d’étranglement potentiel et un domaine d’échec dans les cas où le service IdP est dégradé.

Pour optimiser le processus d’autorisation, Juniper Mist Access Assurance prend en charge l’intégration SCIM (System for Cross-domain Identity Management) avec les IdP. L’un des principaux avantages de l’intégration basée sur SCIM est la réduction de la latence pendant le processus d’autorisation.

Le cloud de Mist Access Assurance utilise SCIM pour maintenir un référentiel synchronisé localement d’informations sur les utilisateurs et les groupes pour chaque organisation cliente. Ce référentiel permet au service de stratégies d’évaluer les appartenances à des groupes d’utilisateurs et d’appliquer des règles d’autorisation sans avoir à effectuer de recherches en temps réel auprès du fournisseur d’identité externe.

Remarque :

Si le cloud de Mist Access Assurance rencontre une erreur lors de la récupération du mappage de groupe à partir des données SCIM, il revient automatiquement à l’autorisation OAuth existante en se connectant à l’IdP externe.

La désactivation de SCIM supprimera toutes les données d’utilisateur et de groupe synchronisées et empêchera toute synchronisation ultérieure à partir de l’IdP.

Conditions préalables

Avant d’intégrer SCIM, assurez-vous d’effectuer les tâches suivantes :

  1. Intégrez Mist Access Assurance à Microsoft Entra ID ou Okta IdP. Voir Intégration de Microsoft Entra ID et Intégration d’Okta pour obtenir des instructions détaillées.

  2. Assurez-vous qu’au moins un client est intégré avec Mist Access Assurance avant de procéder à la configuration SCIM.

  3. Activez le provisionnement SCIM dans la configuration IdP. Le jeton d’authentification SCIM et l’URL de base SCIM sont générés automatiquement lorsque vous activez le provisionnement SCIM. Ces paramètres sont nécessaires pour synchroniser les informations sur les utilisateurs et les groupes entre l’IdP et Mist Access Assurance.

Comment intégrer SCIM à Microsoft Entra ID

Pour intégrer SCIM à Microsoft Entra ID :
Remarque :

Les captures d’écran des applications tierces sont correctes au moment de la publication. Nous n’avons aucun moyen de savoir quand ou si les captures d’écran seront exactes à l’avenir. Veuillez vous référer au site Web tiers pour obtenir des conseils sur les modifications apportées à ces écrans ou aux workflows impliqués.
  1. Connectez-vous au Centre d’administration Microsoft Entra, accédez à Applications d’entreprise, puis cliquez sur Nouvelle application.
  2. Cliquez sur Créer votre propre application. Entrez un nom pour l’application et cliquez sur Créer.
  3. Une fois l’application créée, accédez à Provisionnement dans la section Gérer et cliquez sur Nouvelle configuration.
  4. Entrez les détails suivants dans la configuration IdP de Mist Access Assurance :

    • URL du locataire : URL de base SCIM

    • Jeton secret : jeton d’authentification SCIM

    Cliquez sur Tester la connexion et vérifiez que le test réussit. Cliquez ensuite sur Créer.

  5. Sélectionnez Utilisateurs et groupes sous Gérer, puis cliquez sur Ajouter un utilisateur/groupe pour attribuer des groupes au provisionnement.
  6. Ajoutez les groupes qui doivent être provisionnés sur le cloud Mist Access Assurance.
  7. Cliquez sur Démarrer le provisionnement.
    Remarque : L’intervalle de provisionnement dans Microsoft Entra ID est d’environ 40 minutes. Vous devez attendre le prochain cycle de synchronisation pour vérifier l’état du provisionnement.
  8. Vérifiez que l’état du provisionnement s’affiche comme Terminé dans Entra ID après l’intervalle de provisionnement de 40 minutes. La configuration du provisionnement SCIM avec Entra ID est maintenant terminée.

Comment intégrer SCIM à Okta

Pour intégrer SCIM à Okta :
Remarque :

Certaines des captures d’écran incluses dans cette rubrique proviennent d’applications tierces. Sachez que ces captures d’écran peuvent changer au fil du temps et peuvent ne pas toujours correspondre à la version actuelle des applications.
  1. Connectez-vous à Okta Admin Console et accédez à Applications>Créer une intégration d’applications.
  2. Sélectionnez la méthode de connexion SWA - Authentification Web sécurisée et cliquez sur Suivant.
  3. Saisissez un nom pour l’application et spécifiez l’URL de la page de connexion de l’application. Sélectionnez les options Visibilité de l’application et Type d’application, puis cliquez sur Terminer.
  4. Passez à l’onglet Général et cliquez sur Modifier les paramètres. Définissez le type de provisionnement sur SCIM et cliquez sur Enregistrer.
  5. Dans l’onglet Provisioning :

    1. Entrez les détails suivants :

      • URL de base du connecteur SCIM : URL de base SCIM de la configuration IdP
      • Champ d’identifiant unique pour les utilisateurs - nom d’utilisateur
      • Mode d’authentification – En-tête HTTP

      • Autorisation : jeton d’authentification SCIM de la configuration IdP

    2. Cochez les cases Push New Users, Push Profile Updates et Push Groups .

    3. Cliquez sur Test Connector Configuration (Test Configuration du connecteur). Si un message de réussite s’affiche, cliquez sur Enregistrer.

  6. Dans l’onglet Paramètres de provisionnement, activez les trois premières options de provisionnement et cliquez sur Enregistrer.

    • Créer des utilisateurs

    • Mettre à jour les attributs utilisateur

    • Désactiver des utilisateurs

  7. Sélectionnez l’onglet Affectations et sélectionnez Attribuer>Attribuer à des groupes. Sélectionnez et attribuez les groupes qui doivent être provisionnés sur Mist Access Assurance.
  8. Accédez à l’onglet Groupes de diffusion et cliquez sur Groupes de diffusion > Rechercher les groupes par nom. Poussez tous les groupes requis pour le provisionnement.

    Vérifiez que l’état Push est Actif. La configuration du provisionnement SCIM avec Okta IdP est maintenant terminée.

Connexion et vérification des clients

Lorsqu'un client est connecté, les événements client s'affichent sur la page Insights du portail Mist. Dans les exemples suivants, les clients étaient connectés à l’aide des méthodes d’authentification EAP-TLS et EAP-TTLS. Dans les deux cas, l’autorisation (c’est-à-dire la récupération et le mappage de groupes d’utilisateurs) a été effectuée via la base de données SCIM de Mist Access Assurance. Ce comportement peut être vérifié dans la description de l’événement, où la source des informations de groupe est affichée en tant que référentiel SCIM.

Exemple 1 : Client connecté à l’aide de l’authentification EAP-TLS

Exemple 2 : Client connecté à l’aide de l’authentification EAP-TTLS