Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Microsoft Entra ID を ID プロバイダーとして統合する

Microsoft Azure Active Directory (Azure AD) は、現在は Microsoft Entra ID と呼ばれており、ID およびアクセス管理ソリューションです。Juniper Mist Access Assuranceでは、OAuthを使用して次のことを実行することで、認証サービスをEntra IDに統合できます。

  • 拡張認証プロトコルトンネル TLS(EAP-TTLS)によるユーザー認証
    • 委任認証、つまり、OAuth を使用してユーザー名とパスワードを確認します。
    • ユーザー・グループ・メンバーシップ情報を取得して、このユーザー・アイデンティティに基づく認証ポリシーをサポートします。
    • ユーザー アカウントの状態 (アクティブまたは中断) を取得します。
  • 拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)およびEAP-TTLSによるユーザー認証
    • ユーザー・グループ・メンバーシップ情報を取得して、このユーザー・アイデンティティに基づく認証ポリシーをサポートします。
    • ユーザー アカウントの状態 (アクティブまたは中断) を取得します
  • EAP-TTLS とパスワード認証プロトコル(PAP)

    • 委任認証、つまり、OAuth またはリソース所有者パスワード資格情報 (ROPC) を使用してユーザー名とパスワードを確認します。
    • ユーザー・グループ・メンバーシップ情報を取得して、このユーザー・アイデンティティに基づく認証ポリシーをサポートします。
    • ユーザー アカウントの状態 (アクティブまたは中断) を取得します

Entra IDポータルでの設定

Entra IDをJuniper Mist Access Assuranceと統合するには、Entra IDポータルが生成する値であるクライアントID、クライアントシークレット、およびテナントIDが必要です。

  1. 資格情報を使用して Azure portal にサインインし、AD に移動します。
  2. Microsoft Entra 管理センターで、左側のナビゲーション バーから [アプリの登録] を選択します。
  3. 新規登録」をクリックします。
  4. [新規登録(New Registration)] ページで、次のフィールドに必要な情報を入力します。次の一覧には、サンプルのユーザー入力とサンプル設定が表示されます。
    • [名前(Name)]:Mist AA IDP connector
    • [サポートされているアカウント タイプ(Supported Account Type)]: [この組織ディレクトリ内のアカウントのみ(デフォルト ディレクトリのみ - シングル テナント))] を選択します。
  5. 登録」をクリックして続行します。
    [登録済みアプリケーション] ページが表示され、新しく作成されたコネクタに関する情報が表示されます。
  6. 次の詳細を書き留めます。
    • アプリケーション (クライアント) ID:Juniper Mist Cloud ポータルの [OAuth クライアント資格情報 (CC) クライアント ID] フィールドと [ リソース所有者パスワード資格情報クライアント ID ] フィールドにこの情報を入力する必要があります。
    • ディレクトリ (テナント) ID - この情報は、Juniper Mist ポータルの [OAuth テナント ID ] フィールドに必要になります。

    Juniper Mist ポータルで プロバイダーの (IdP) コネクタを設定する必要があります。

  7. 同じページで [証明書またはシークレットの追加] をクリックします。
  8. [クライアントとシークレット] ページで、[新しいクライアント シークレット] をクリックします。
    [クライアント シークレットの追加] ウィンドウが表示されます。
  9. 次のフィールドに必要な情報を入力し、「追加」をクリックします。
    • 説明 - クライアント シークレットの説明を入力します。
    • [有効期限(Expires)]:シークレットの有効期限を選択します。

    システムは [値 ] と [シークレット ID] を生成します。

    」フィールドの情報をコピーして、安全な場所に保存します。このフィールドは一度だけ表示されることに注意してください。つまり、シークレット ID が作成された直後です。

    この情報は、Azure AD を IdP として追加するときに、Juniper Mist ポータルの [OAuth クライアント資格情報クライアント シークレット ] フィールドに必要になります。

  10. 左側のナビゲーション バーで [認証] を選択し、[詳細設定] セクションまで下にスクロールします。[パブリック クライアント フローを許可する] で [はい] を選択します。
  11. 左側のナビゲーション バーで [API のアクセス許可] を選択します。
    [Microsoft Graph] で、次のアクセス許可を追加します。
    • User.Read - 委任済み
    • User.Read.All - アプリケーション
    • Group.Read.All - アプリケーション
    • Device.Read.All - アプリケーション

    [管理者の同意を付与する] をクリックします。

    Microsoft Graph API を使用してユーザーに関する情報をフェッチするために必要なアクセス許可をアプリケーションに付与する必要があります。

Juniper Mistダッシュボードでの設定

  1. Juniper Mist ポータルで、左側のメニューから [組織>アクセス > ID プロバイダー] を選択します。

    [Identity Providers] ページが表示され、設定済みの IdP(存在する場合)のリストが表示されます。

    図 1: [Identity Providers] ページ Identity Providers Page
  2. [IDP の追加] をクリックして、新しい IdP を追加します。
  3. [新しい ID プロバイダー] ページで、次に示すように必要な情報を入力します。
    図 2: Azure AD を ID プロバイダー Add Azure AD as Identity Providerとして追加する
    1. 名前 - IdP 名を入力します (この例では Azure AD)。
    2. IDP 種別 - [OAuth] を選択します。
    3. [OAuth タイプ(OAuth Type)]:ドロップダウン リストから [ Azure ] を選択します。
    4. OAuth テナント ID - Azure AD アプリケーションからコピーしたディレクトリ (テナント) ID を入力します。
    5. [ドメイン名(Domain Names)]:ドメイン名、つまりユーザのユーザ名を入力します(例:username@domain.com)。ドメイン名フィールドは、受信認証リクエストを調べて、それぞれのユーザー名と関連するドメインを識別します。コネクタは、設定したドメイン名を使用して、コネクタが通信する必要がある Azure テナントを識別します。
    6. [デフォルト IDP(Default IDP)]:コンピュータ グループ メンバーシップを取得するには、このオプションをオンにします。

    7. OAuth クライアント資格情報 (CC) クライアント ID:Microsoft Entra 管理センターに登録されているアプリケーションのアプリケーション (クライアント) ID を入力します。
    8. OAuth クライアント資格情報 (CC) クライアント シークレット - Azure portal で前に作成したアプリケーション シークレットを入力します。
    9. OAuth リソース所有者パスワード資格情報 (ROPC) クライアント ID - 登録済みの Azure AD アプリケーションのアプリケーション (クライアント) ID を入力します。

Juniper Mist ポータルで、 [> Insights > Client Events の監視] に移動します。

Juniper Mist Access Assurance が Azure AD で EAP-TLS を使用してユーザーを認証すると、次に示すように NAC IDP Group Lookup Success イベントが表示されます。

図 3: IdP による EAP-TLS 認証の成功メッセージ Success Message for EAP-TLS Authentication by IdP

EAP-TTLS 認証の場合、NAC IDP 認証成功イベントが表示されます。このイベントは、Azure AD によってユーザー資格情報が検証されたことを示します。この認証では、ユーザ グループ メンバーシップを取得する NAC IDP Group Lookup Success イベントも表示されます。

図 4: IdP による EAP-TTLS 認証の成功メッセージ Success Message for EAP-TTLS Authentication by IdP

Azure AD と ROPC を使用した EAP-TTLS 認証

EAP-TTLS は、Azure AD によるリソース所有者パスワード資格情報 (ROPC) OAuth フローを利用して、ユーザーを認証し、ユーザー グループ情報を取得します。ユーザー名とパスワードのみを検証し、多要素認証 (MFA) をスキップする ROPC フローなどのレガシ認証を使用する場合は、いくつかの要素を考慮する必要があります。

  • モバイルデバイス管理(MDM)またはグループポリシーオブジェクト(GPO)を使用して、正しいワイヤレスプロファイルでクライアントデバイスを構成する必要があります。ログインプロンプトでユーザー名とパスワードのみを入力すると、一部のオペレーティングシステムではレガシー認証が機能しません。
  • ユーザーが入力するユーザー名は、ユーザー プリンシパル名 (UPN) 形式 (username@domain) である必要があります。
  • サーバー証明書を信頼するようにクライアントを構成する必要があります。
  • ユーザーは、ROPC 認証を使用してアクセスを試みる前に、少なくとも 1 回は Azure portal にログインする必要があります。この手順は、ユーザー アカウントをテストするために重要です。
  • Azure portal では、ユーザー パスワードをフル クラウド アカウント、または Azure AD Connect でパスワード同期が有効になっているローカル AD に格納する必要があります。フェデレーション認証ユーザーはサポートされていません。
  • ROPC 認証を選択したユーザーの MFA を無効にする必要があります。EAP-TTLS の MFA バイパスを実現する方法の 1 つは、以下の手順で Mist Access Assurance 元 IP アドレス を信頼できる場所としてマークすることです。
    1. Microsoft Entra ポータルで、 [ 保護] > [条件付きアクセス] > [ネームド ロケーション ] に移動し、 [ 新しい場所] を選択します。
    2. [新しい場所 (IP 範囲)] で、詳細を入力します。
      図 5: 信頼されたIP アドレス範囲からのサインインに MFA をバイパスする Bypass MFA for Sign in from a Trusted IP Address Range
    3. 場所の名前を入力します。
    4. [ 信頼できる場所としてマークする] を選択します。
    5. Juniper Mist Access Assurance IPアドレスのIP範囲を入力します。
    6. 「作成」をクリックします。
    7. 条件付きアクセス MFA ポリシーで、信頼できる IP ソースを除外条件として参照します。
      図 6: アクセス ポリシー Exclude Named Location from Access Policyからネームド ロケーションを除外する