Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ジュニパー Mist Access Assurance の ID プロバイダを追加する

これらの手順に従って、IDプロバイダーを組織に追加し、認証とアクセス制御を強化します。IDプロバイダ(IdP)設定で使用できるさまざまなオプションについて理解します。

ジュニパー Mist™ Access アシュアランスは、さまざまなIDプロバイダ(IdP)と統合して、認証とアクセス制御を強化します。IDプロバイダーは、EAP-TLSまたはEAP-TTLSの認証ソース(EAP-TTLSの場合)および承認ソース(ユーザーグループメンバーシップ、アカウントの状態などを取得することで)として機能します。

サポートされているIdPは次のとおりです。

  • Microsoft Entra ID (以前の Azure Active Directory)

  • Okta Workforce ID

  • Google Workspace

  • ジュニパー Mist Edge プロキシー

ジュニパー Mist Access Assuranceは、IDプロバイダ(IdP)を使用して次のことを行います。

  • ユーザーグループのメンバーシップやクライアントのアカウント状態など、追加のIDコンテキストを取得します。

    この情報は、EAP-TLS(Extensible Authentication Protocol-トランスポート層 セキュリティ)やEAP-TTLS(Extensible Authentication Protocol-Tunneled TLS)などの証明書ベースの認証方法で利用できます。

  • 資格情報を検証してクライアントを認証します。EAP-TTLSは、資格ベースの認証をサポートします。

IDPの設定はEAP-TLS証明書ベースの認証ではオプションですが、資格ベースの認証(EAP-TTLS)では必須であることに注意してください。IdPを設定する場合は、IDプロバイダーからクライアントIDやクライアントシークレットなどの必要な詳細情報を入手していることを確認してください。

ジュニパー Mist Access Assuranceは、以下のプロトコルを使用して任意のIdPに統合し、ユーザーを検索し、デバイスの状態情報を取得します。

  • セキュアLightweight Directory Access Protocol(LDAP)
  • OAuth 2.0

IdPの設定は、EAP-TLS証明書ベースの認証ではオプションであり、資格ベースの認証(EAP-TTLS)では必須です。

前提 条件

  • Azure、Okta、または同様のIdPを使用している場合は、IdPに登録します。登録後にIdPからクライアントIDとクライアントシークレットの詳細を取得できます。

    ヘルプについては、以下を参照してください。

  • Mist EdgeプロキシをIdPとして使用している場合は、Mist Edgeを登録または登録し、Mist Edgeクラスターを作成します。

    これらのタスクを実行するには、ジュニパー Mistポータルの左側のメニューから[ Mist Edges ]を選択します。次に、ボタンを使用して、 Mist Edgeを請求し、 Mist Edgeを作成しクラスターを作成します

ジュニパー Mist Access AssuranceのIDプロバイダを追加するには:

  1. ジュニパー Mistポータルの左側のメニューから、組織>アクセス>IDプロバイダーを選択します。
  2. IDプロバイダーページの右上隅にあるIDPを追加をクリックします。
  3. 新しいIDプロバイダーページで、名前を入力し、IDPタイプを選択します。

    • LDAPS

    • OAuth

    • Mist Edgeプロキシ

      • New Identity Provider Page - Name and IDP Type
  4. 選択したタイプに必要な情報を入力するには、以下の表を参照してください。

    LDAPS

    表1:LDAPS IdPの設定

    パラメーター

    細部
    LDAPタイプ ドロップダウンメニューから以下のオプションの1つを選択します。
    • 紺碧
    • Okuta
    • 習慣

    グループ、メンバー、またはユーザーのタイプを識別するLDAPフィルターを指定します。このオプションは、LDAPタイプ カスタムでのみ使用できます。

    サーバーホスト

    認証に使用するLDAPサーバーの名前またはIPアドレスを入力します。

    ドメイン名

    LDAPサーバーの完全修飾ドメイン名(FQDN)を入力します。

    デフォルトのIDP

    選択したIDプロバイダーをデフォルトのIdPとして設定します。入力されたユーザーのドメイン名が不明であるか見つからない場合、システムはこのIdPでルックアップを実行します。

    DNのバインド

    		 ベースドメイン名の検索を許可したユーザーを指定します。例:cn=admin、dc=abc、dc=com

    パスワードのバインド

    インドDNに記載されているユーザーのパスワードを入力します。

    ベースDN

    検索 ベース にドメイン全体または特定の組織ユニット(コンテナ)を入力して、ユーザーとグループがLDAPツリー内のどこにあるかを指定します(例: OU=NetworkAdmins,DC=your,DC=domain,DC=com)。

    LDAPS証明書

    認証機関が生成した証明書とクライアント証明書を追加します。

    OAuth

    OAuthタイプの認証については、 表2に示す値を入力します。ここに入力するフィールドの一部には、AzureまたはOktaアプリケーションの設定時に受け取る値が必要です。「 Microsoft Entra IDをIDプロバイダーとして統合 する」または「 OktaをIDプロバイダーとして統合する」を参照してください。

    表2:OAuth IdPの設定

    パラメーター

    形容

    OAuthタイプ

    		 ドロップダウンメニューから以下のオプションの1つを選択します。
    • 紺碧
    • Okuta

    OAuthテナントID

    OAuthテナントIDを入力します。AzureまたはOktaアプリケーションの設定時に受け取ったIDを使用します。

    ドメイン名

    完全修飾ドメイン名を入力します。

    デフォルトのIDP

    ユーザードメイン名が指定されていない場合、選択したIDプロバイダーをデフォルトとして設定します。

    OAuthクライアント資格情報(CC)クライアントID

    クライアントアプリケーションのアプリケーションIDAzureまたはOktaアプリケーションの設定中に受け取ったIDを使用します。
    OAuthクライアント資格情報(CC)クライアントプライベートキー (Oktaの場合)Oktaアプリケーションの設定中に生成されたプライベートキーを入力します。

    OAuthリソース所有者パスワード資格情報(ROPC)クライアントID

    (Oktaの場合)クライアントシークレットIDを入力します。Oktaアプリケーションの設定中に受け取ったシークレットIDを使用します。
    OAuthリソース所有者パスワード資格情報(ROPC)クライアントシークレット

    (Oktaの場合)クライアントシークレット値を指定します。Oktaアプリケーションの設定中に受け取ったシークレット値を使用します。
    OAuthクライアント資格情報(CC)クライアントID (Azureの場合)Azureアプリケーションの設定中に生成されたクライアントIDを入力します。
    OAuthクライアント資格情報(CC)クライアントシークレット (Azureの場合)Azureアプリケーションの設定中に生成されたクライアントシークレット値を入力します。
    OAuthリソース所有者パスワード資格情報(ROPC)クライアントID (Azureの場合) OAuthクライアント資格情報(CC)クライアントIDと同じです。

    Mist Edgeプロキシ

    表3:Mist Edgeプロキシの設定

    パラメーター

    形容
    プロキシホスト

    プロキシとして動作するMist EdgeのパブリックIPまたはNAT IPアドレスのリストをカンマで区切って入力します。これらのアドレスはすべて、 Mist Edge クラスターフィールドで特定したクラスターの一部である必要があります。

    Mist Edgeは、指定されたアドレスで以下の情報をリッスンします。

    • Mist Access AssuranceからのインバウンドRadSecリクエスト

    • 外部RADIUSサーバーからのRADIUSリクエスト RADIUS
    SSID このIdPが使用するSSIDのリストをカンマで区切って入力します。
    Mist Edgeクラスター リストからクラスターを選択します。
    手記:

    Mist Edge クラスターを追加する必要がある場合は、左側のメニューから Mist Edge を選択し、 クラスターの作成 を選択して情報を入力します。
    レルムを除外する

    特定のユーザーのプロキシを回避したい場合は、このオプションを使用します。これは、認証ソースとして外部IdPが追加されていないユーザーにEAP-TLSが使用されている場合にのみ必要です。

    除外するドメイン名/レルムを入力します。その他の有効なユーザーレルムはすべてプロキシされます。
    オペレーター名

    運用担当者名を指定すると、外部RADIUSサーバーに転送されるアクセス要求に含まれます。例えば、一部のeduroamNROでは、運用担当者名属性が必要です。

    この属性は、1 で始まり、その後に FQDN が続く必要があります。

    例: 1abc_university.edu
    RADIUS認証サーバー 少なくとも1つのサーバーを指定する必要があります。 サーバーを追加をクリックし、IPアドレス、ポート、共有シークレットを入力します。
    RADIUSアカウンティングサーバー サーバーを追加をクリックし、IPアドレス、ポート、共有シークレットを入力します。
  5. 変更を保存するには、新しいIDプロバイダーページの右上隅にある作成をクリックします。

関連ドキュメント