Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Juniper Mist Access Assuranceのアイデンティティプロバイダの追加

次の手順に従って、ID プロバイダーを組織に追加し、認証とアクセス制御を強化します。ID プロバイダー (IdP) 設定で使用できるさまざまなオプションを理解します。

™ Juniper Mist Access Assuranceは、さまざまなアイデンティティプロバイダ(IdP)と統合して、認証とアクセス制御を強化します。ID プロバイダーは、EAP-TLS または EAP-TTLS の認証ソース (EAP-TTLS の場合) および承認ソース (ユーザー グループのメンバーシップ、アカウントの状態などを取得することによる) として機能します。

サポートされている IdP は次のとおりです。

  • Microsoft Entra ID (旧称 Azure Active Directory)

  • Okta Workforce Identity

  • Google Workspaceの

  • Juniper Mist Edge プロキシ

Juniper Mist Access Assuranceは、アイデンティティプロバイダ(IdP)を使用して、次のことを行います。

  • ユーザーグループのメンバーシップやクライアントのアカウント状態など、追加のアイデンティティコンテキストを取得します。

    この情報は、拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS) や拡張認証プロトコル - トンネル TLS (EAP-TTLS) などの証明書ベースの認証方法で利用できます。

  • 資格情報を検証してクライアントを認証します。EAP-TTLSは、クレデンシャルベースの認証をサポートします。

IdP の構成は、EAP-TLS 証明書ベースの認証ではオプションですが、資格情報ベースの認証 (EAP-TTLS) では必須であることに注意してください。IdP を設定する場合は、クライアント ID やクライアント シークレットなどの必要な詳細を ID プロバイダーのから入手していることを確認します。

Juniper Mist Access Assuranceは、以下のプロトコルを使用して任意のIdPに統合し、ユーザーを検索し、デバイスの状態情報を取得します。

  • セキュアLightweight Directory Access Protocol (LDAP)
  • OAuth 2.0

IdP の構成は、EAP-TLS 証明書ベース認証ではオプションであり、資格情報ベース認証 (EAP-TTLS) では必須です。

前提 条件

  • Azure、Okta、または同様の IdP を使用している場合は、IdP に登録します。登録後に、IdP からクライアント ID とクライアントシークレットの詳細を取得できます。

    ヘルプについては、以下を参照してください。

  • Mist Edge ProxyをIdPとして使用している場合は、Mist Edgeを要求または登録し、Mist Edgeクラスタを作成します。

    これらのタスクは、Juniper Mist ポータルの左側のメニューから [ Edge Mist ( Edges )] を選択して実行できます。次に、ボタンを使用して[ Claim Mist Edge]、[ Create Mist Edge]、および [Create Cluster]の順にクリックします。

Juniper Mist Access Assuranceのアイデンティティプロバイダを追加するには、次の手順を実行します。

  1. Juniper Mist ポータルの左側のメニューから、 [組織>アクセス> ID プロバイダー] を選択します。
  2. [ID プロバイダー(Identity Providers)] ページの右上隅付近にある [IDP の追加(Add IDP)] をクリックします。
  3. [新しい ID プロバイダー] ページで、[名前] を入力し、IDP タイプを選択します。

    • LDAPS

    • OAuth

    • Mist Edge プロキシ

    New Identity Provider Page - Name and IDP Type
  4. 以下の表を参照して、選択したタイプに必要な情報を入力します。

    LDAPS

    表 1: LDAPS IdP の設定

    パラメーター

    細部
    LDAPタイプ ドロップダウンメニューから次のオプションのいずれかを選択します。
    • 紺碧
    • Okuta
    • 習慣

    サーバー ホスト

    認証に使用する LDAP サーバーの名前または IP アドレスを入力します。

    ドメイン名

    LDAP サーバーの完全修飾ドメイン名 (FQDN) を入力します。

    デフォルトIDP

    選択した ID プロバイダーの既定の IdP として設定します。システムは、入力されたユーザードメイン名が不明または見つからない場合、この IdP でルックアップを実行します。

    バインド DN

    		 ベースドメイン名の検索を許可したユーザーを指定します。例: cn=admin、dc=abc、dc=com。

    バインドパスワード

    バインドDNに記載されているユーザーのパスワードを入力します。

    ベース DN

    [検索ベース] にドメイン全体または特定の組織単位 (コンテナ) を入力して、LDAP ツリー内のユーザーおよびグループがある場所を指定します (例: OU=NetworkAdmins,DC=your,DC=domain,DC=com)。

    LDAPS 証明書

    認証局が生成した証明書とクライアント証明書を追加します。
    • グループフィルター
    • メンバー フィルター
    • ユーザーフィルター

    グループ、メンバー、またはユーザーのタイプを識別する LDAP フィルターを指定します。このオプションは、LDAP タイプ が [カスタム] の場合にのみ使用できます。

    OAuth

    [OAuth タイプの認証] に、 表 2 に示す値を入力します。ここに入力するフィールドの一部は、AzureまたはOktaアプリケーションを構成するときに受け取る値を必要とします。「 Microsoft Entra IDをIDプロバイダーとして統合 する」または「 OktaをIDプロバイダーとして統合する」を参照してください。

    表 2: OAuth IdP の設定

    パラメーター

    形容

    OAuthタイプ

    		 ドロップダウンメニューから次のオプションのいずれかを選択します。
    • 紺碧
    • Okuta

    OAuth テナント ID

    OAuthテナントIDを入力します。 AzureまたはOktaアプリケーションの構成中に受け取ったIDを使用します。

    ドメイン名

    完全修飾ドメイン名を入力します。

    デフォルトIDP

    ユーザー ドメイン名が指定されていない場合は、選択したプロバイダーの既定値として設定します。

    OAuthクライアント資格情報(CC)クライアントID

    クライアント アプリケーションのアプリケーション ID。AzureまたはOktaアプリケーションの構成中に受け取ったIDを使用します。
    OAuthクライアント資格情報(CC)クライアント秘密キー (Oktaの場合)Oktaアプリケーションの構成中に生成された秘密キーを入力します。

    OAuthリソース所有者パスワード資格情報(ROPC)クライアントID

    (Oktaの場合)クライアント・シークレットIDを入力します。 Oktaアプリケーションの構成中に受け取ったシークレットIDを使用します。
    OAuthリソース所有者パスワード資格情報(ROPC)クライアントシークレット

    (Oktaの場合)クライアント シークレット値を指定します。Oktaアプリケーションの構成中に受け取ったシークレット値を使用します。
    OAuthクライアント資格情報(CC)クライアントID (Azure の場合)Azure アプリケーション構成時に生成されたクライアント ID を入力します。
    OAuthクライアント資格情報(CC)クライアントシークレット (Azure の場合)Azure アプリケーションの構成中に生成されたクライアント シークレット値を入力します。
    OAuthリソース所有者パスワード資格情報(ROPC)クライアントID (Azure の場合) OAuth クライアント資格情報 (CC) クライアント ID と同じです。

    Mist Edge プロキシ

    表3:Mist Edgeプロキシの設定

    パラメーター

    形容
    プロキシ ホスト

    プロキシとして機能している Mist Edge のパブリック IP アドレスまたは NAT IP アドレスのカンマ区切りリストを入力します。これらのアドレスはすべて、[ Mist Edge Cluster ]フィールドで特定するクラスタの一部である必要があります。

    Mist Edgeは、指定されたアドレスで以下をリッスンします。

    • Mist Access Assuranceからの受信RadSecリクエスト

    • 外部RADIUSサーバーからのRADIUS要求
    SSID この IdP が使用する SSID のリストをカンマで区切って入力します。
    Mist Edgeクラスタ リストからクラスターを選択します。
    手記:

    Mist Edge クラスタを追加する必要がある場合は、左側のメニューから [Edge Mist (Edge )] を選択し、[ クラスタの作成 (Create Cluster)] を選択して情報を入力します。
    レルムを除外する

    このオプションは、特定のユーザーのプロキシを回避する場合に使用します。これは、外部 IdP が認証ソースとして追加されていないユーザーに EAP-TLS が使用されている場合にのみ必要です。

    除外するドメイン名/レルムを入力します。他のすべての有効なユーザーレルムがプロキシされます。
    オペレーター名

    オペレーター名を指定すると、外部RADIUSサーバーに転送されるアクセス要求に含まれます。たとえば、一部の eduroam NRO では、operator name 属性が必要です。

    この属性は 1 で始まり、その後に FQDN が続く必要があります。

    例: 1abc_university.edu
    RADIUS認証サーバー 少なくとも 1 つのサーバーを指定する必要があります。[ サーバーの追加] をクリックし、IP アドレス、ポート、および共有シークレットを入力します。
    RADIUSアカウンティングサーバー [ サーバーの追加] をクリックし、IP アドレス、ポート、および共有シークレットを入力します。
  5. 変更を保存するには、[新しい ID プロバイダー] ページの右上隅にある [作成] をクリックします。

関連資料