Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IoTデバイスおよび個人用デバイスのセルフプロビジョニング

セキュアなセルフプロビジョニングにより、個人デバイスやIoT向けに大規模なクライアントオンボーディングを自動化します。

寮などの環境にいる無線ユーザーは、Xbox、Apple TV、Rokuなどの個人用デバイスを安全にセルフプロビジョニングできます。同様に、無人のIoTデバイスは、指定されたVLANまたはネットワークセグメントに安全かつ自動的に参加できます。これを「パーソナルネットワークエクスペリエンス」と呼んでいます。また、クライアントのMACアドレスの登録やIT部門の介入が不要となるため、大規模なWi-Fiアクセスの提供に最適なソリューションとなります。

パーソナル ネットワーク エクスペリエンスによるセルフ プロビジョニングは、Microsoft Entra ID などの SAML 準拠のプロバイダーの (IDP) を Mist Active Assurance ポータルに接続することで機能します。ユーザーはWLANにログオンし、そこで認証と承認のためにシングルサインオンサービスにリダイレクトされます。Mist、認証されたユーザーに、個々のユーザーと SSID の両方に固有の個人の事前共有キー(PSK)を割り当てます。パーソナルPSKを使用することでマイクロセグメンテーションも可能になり、役割やプロファイルに応じてユーザーに特定のVLANを接続させることができます。IoTデバイスについても同じことが言えます。特定のVLANに自動的に接続できるため、IoT乗っ取り攻撃から保護するためのベストプラクティスです。

Mist コンソールでは、必要なパスフレーズの複雑さと、鍵のローテーションの頻度の両方を設定できます。

図1:セルフプロビジョニングログオン画面 WiFi interface showing SSID byod-net, passphrase 2FJACc!%, QR code, email and regenerate options, alongside three people working on a wooden deck with greenery visible.

セルフプロビジョニング中に、ラップトップ ユーザーは一意のパスフレーズを生成し、プロンプトが表示されたらそれをコピーしてポータルに貼り付けることができます。または、モバイルデバイスで作業している場合は、パスフレーズをメールで送信することもできます。生成されたパスフレーズは 24 時間後に期限切れになります。

始める前に

  • Juniper Mist™ Access Assuranceサブスクリプションを取得してアクティブ化します。サブスクリプション管理の詳細については、『 Juniper Mist Management Guide』を参照してください。
  • Juniper Mist組織で、マルチ PSK を有効にした組織レベルの WLAN を少なくとも 1 つ設定します(ローカルまたはクラウドの PSK オプションのいずれかで問題ありません)。WLANの設定に関するヘルプについては、『 Juniper Mist Wireless Assurance Configuration Guide』を参照してください。

  • IdP 管理コンソールで、SAML 2.0 アプリ統合を設定します。PSK ポータルはこのアプリケーションと統合され、ポータル ユーザーへのシングル サインオン (SSO) アクセスが有効になります。SAML 2.0をサポートしている限り、さまざまなIdP(OktaやMicrosoft Azureなど)を使用できます。SAML 2.0アプリ統合の設定については、IdPのドキュメントを参照してください。

    SAML 2.0アプリ統合から次の情報をコピーして保存し、Juniper MistでPSKポータルを設定するために使用できるようにします。

    • 署名アルゴリズム

    • 発行者 ID (このキーは、たとえば、Okta では ID プロバイダー発行者 と呼ばれ、Azure では Azure AD 識別子と呼ばれます。

    • SSO URL (このキーは、たとえば、Okta では [ID プロバイダー シングル サインオン URL ] と呼ばれ、Azure では [ログイン URL] と呼ばれます。

    • 証明書 - BEGIN CERTIFICATE 行から END CERTIFICATE 行まで、証明書の全文をコピーします。

セルフプロビジョニングを設定する

BYOD PSKポータルでクライアントオンボーディングを設定するには:

  1. Juniper Mist ポータルの左側のメニューから、 [組織の> アクセス] > [クライアントのオンボード] を選択します。
  2. [クライアントのオンボーディング(Client Onboarding)] ページの右上隅にある [PSK ポータルの追加(Add PSK Portal)] をクリックします。
  3. [Add PSK Portal] ポップアップウィンドウで、[Name] を入力し、ポータル タイプとして [BYOD(SSO)] を選択して、[Create] をクリックします。
  4. [Edit PSK Portal] ウィンドウの [Portal Settings] タブで、次の手順を実行します。

    • 既定のレイアウト オプションをそのまま使用するか、変更を加えてサインイン画面をカスタマイズします。

    • PSK ポータルの URL をコピーして、ユーザーに提供できるようにします。

    s070676.png
  5. [Edit PSK Portal] ウィンドウの [Portal Authorization] タブで、次の手順を実行します。

    • IdP 管理コンソールのアプリ統合からコピーした 発行者署名アルゴリズムSSO URL証明書 を入力します。

    • 名前 ID の形式を選択します。ほとんどの人は、名前 ID に電子メール アドレスを使用します。IdP ユーザーアカウントに別の識別子を使用する場合は、[未指定] を選択します。

    Edit PSK Portal configuration window with Portal Authorization tab selected, showing required fields with red exclamation marks. Error message: SSO Issuer is required. Fields include Issuer, Name ID Format, Signing Algorithm set to SHA256, Certificate, and SSO URL with copy button. Buttons include Delete, Save, and Cancel.
  6. ポータル SSO の URL をコピーします。
  7. 別のブラウザー ウィンドウを開き、次の手順を実行して SAML 2.0 アプリの統合を完了します。
    1. IdP 管理コンソールに移動します。
    2. SAML 2.0アプリ統合の設定に移動します。
    3. コピーした値を適切なフィールドに入力して、IdP への Juniper Mist PSK ポータルを識別します。詳しくは、IdP のドキュメントをご覧ください。
    4. 変更を保存します。

    IdP では、ポータル SSO URL を貼り付ける必要があるフィールドの名前が異なる場合があります。次の例を検討し、IdP のドキュメントを参照してください。

    Oktaの例

    この例では、Juniper Mistからの ポータルSSO URL がOkta管理コンソールの適切なフィールドにコピーされます。

    Configuration screen for SAML settings with consistent URL across Portal SSO URL, Single sign on URL, and Audience URI fields.

    Microsoft Azure の例

    この例では、Juniper Mist からの ポータル SSO URL が Azure 管理コンソールの適切なフィールドにコピーされます。

    Configuration screen for Basic SAML setup in Azure Active Directory, showing repeated use of the URL https://api.mist.com/api/v1/pskportal/ in Portal SSO URL, Identifier Entity ID, and Reply URL fields.
  8. Juniper Mist ポータルに戻ります。
  9. [Edit PSK Portal] ウィンドウの [PSK Parameters] タブで、次の手順を実行します。

    • SSIDを選択します(必須)。

      手記:

      このリストには、マルチ PSK が有効になっている組織レベルの WLAN の SSID のみが含まれます。

    • 必要に応じてオプション設定を調整します。例えば:

      • このポータルのユーザーを特定の VLAN に割り当てる場合は、 VLAN ID を指定します。このオプションを使用するには、WLAN の VLAN リストに含まれる VLAN を入力する必要があります。

      • パスフレーズ設定を設定して、パスワードの複雑さに対するポリシーを適用します。

      • PSK の有効性オプションを調整して、有効期限を設定し、キーの有効期限が切れる前にリマインダーを送信します。

        リマインダーを送信するオプションを有効にすると、PSK の有効期限が近づくと、Juniper Mist からユーザーにメールが送信されます。

        メールには、デフォルトの再認証URLまたは キーの有効期限更新URL (入力した場合)のいずれかが含まれます。これは通常、シングル サインオン URL です (たとえば、Okta または Microsoft Azure を介して企業プロバイダーの URL を使用します)。

      • [最大使用量] で、ポータルに接続できるデバイスの数を制限できます。

      • [ロール] で、ロールを指定して、特定のタイプのユーザーアカウントへのアクセスを制限できます (IdP ユーザーアカウントに設定したロールを使用)。

    Configuration interface for editing a PSK Portal, including fields for SSID, VLAN ID, passphrase settings, PSK validity, expiration renew URL, max usage, role assignment, and save, delete, or cancel options.
  10. [Edit PSK Portal] ウィンドウの下部にある [Save] をクリックします。
    手記:

    このボタンは、さまざまなタブで必要な設定を入力するまで使用できません。必要な設定は赤いタイプでラベル付けされています。
  11. [Edit PSK] ウィンドウの [Portal Settings] タブからコピーした PSK ポータルの URL に移動して、ポータルが期待どおりに動作することを確認します。
  12. ユーザーがポータルに接続できるように、PSK ポータルの URL をユーザーに提供します。
    先端:

    DNSにCNAMEを作成して、ドメインに関連付けられたよりユーザーフレンドリーなURLを作成します。

    ユーザーは、画面のテキストに従ってデバイスをオンボードできます。