Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

Google Workspace を ID プロバイダとして統合する

Google Workspace ポータルで Mist をクライアントとして追加し、証明書をダウンロードして、ID プロバイダを Juniper Mist 組織に追加する手順は次のとおりです。

Juniper Mist Access Assuranceを使用すると、ID プロバイダ(IdP)として Google Workspace と統合し、次のユースケースで安全な Lightweight Directory Access Protocol over SSL(LDAPS)コネクタを活用できます。

  • 証明書ベース(EAP-TLSまたはEAP-TTLS)認証の場合:
    • ユーザー・グループ・メンバーシップ情報を取得し、このユーザー・アイデンティティに基づく認証ポリシーをサポートします。
    • ユーザー アカウントの状態 (アクティブまたは中断) を取得します

  • PAP を使用した EAP-TTLS

    • ユーザー名とパスワードを Google の ID プロバイダーで認証することを確認します
手記:

このドキュメントに含まれるスクリーンショットの一部は、サードパーティのアプリケーションからのものです。これらのスクリーンショットは時間の経過とともに変更される可能性があり、アプリケーションの現在のバージョンと常に一致するとは限らないことに注意してください。

Google Workspace での設定

次の手順は、Juniper Mistを使用してGoogle Workspaceをプロバイダーの(IdP)として設定する方法を示しています。

  1. Google 管理者の認証情報を使用して Google Workspace ポータルにログインします。

    Google 管理画面が表示されます。

  2. LDAPクライアントを作成します。
    1. Google 管理コンソールの左側のナビゲーション バーで [アプリ] > [LDAP] に移動し、[クライアントを追加] をクリックします。
    2. LDAPクライアント名とオプションの「説明」を入力し、「続行」をクリックします。

      [ アクセス許可 ] ページは、LDAPクライアントを追加すると表示されます。

  3. ユーザーの資格情報を検証するためのアクセス許可を構成します。

    次のオプションを使用できます。

    • [ユーザ クレデンシャルの確認(Verify user credentials)]:EAP-TTLS/PAP を使用したユーザ クレデンシャル認証を許可します。この設定では、LDAPクライアントがユーザーの認証情報を確認するためにアクセスできる組織グループを指定します。
    • [ユーザ情報の読み取り(Read user Information)]:基本的なユーザ情報を読み取ることができます。この設定では、追加のユーザー情報を取得するために LDAPクライアントがアクセスできる組織単位とグループを指定します。
    1. 特定の組織が必要ない場合は、両方のオプションで [ドメイン全体] を選択します。
    2. [グループ情報の読み取り] まで下にスクロールします。この設定では、LDAPクライアントがグループの詳細を読み取ったり、ユーザーのグループメンバーシップを確認したりできるかどうかを指定します。

      アクセス許可の設定が完了し、LDAPクライアントが追加されると、同じページに証明書が自動的に生成されます。

  4. 生成されたLDAPSクライアント証明書をダウンロードします。
    1. [証明書のダウンロード] をクリックし、ダウンロードした証明書を安全な場所に保存します。この証明書は、Juniper Mist ポータルで IdP を設定するときに必要になります。
    2. クライアントの詳細に進む」をクリックします。

      [Settings for <LDAPクライアント name>] ページが表示されます。

    3. [認証] セクションを展開します。
    4. 「アクセス資格証明」で、「新規資格証明の生成」をクリックします。

      ユーザー名とパスワードは、[ アクセス資格情報 ] ページで確認できます。

      ユーザ名とパスワードをコピーして保存します。これらの詳細は、Juniper MistクラウドポータルのLDAPSクライアント構成に必要です。

  5. LDAPクライアントのサービスステータスを[オン]に変更して、LDAPクライアントサービスを有効にします。この手順により、セキュア LDAP サービスを使用してクライアントをセットアップできます。
    1. Google 管理コンソールから [アプリ] > [LDAP] に移動します。クライアントを選択し、「サービス・ステータス」をクリックします。

      ページの右上に表示されるサービスステータスは、最初は OFFに設定されています。

      すべてのユーザーに対して [オン] を選択して、サービスを有効にします。変更がGoogle側に適用されるまでしばらく待ちます。

Juniper Mistダッシュボードでの設定

  1. Juniper Mist ポータルの左側のメニューから、 [組織>アクセス > ID プロバイダー] を選択します。

    [ID プロバイダー] ページには、構成済みの ID プロバイダーが表示されます。

    図 1: [Identity Providers] ページ Identity Providers Page
  2. [IDP の追加] をクリックして、新しい IdP を追加します。
  3. [新しい ID プロバイダー] ページで、Google Workspace と統合するために必要な情報を入力します。
    図 2: [Update Identity Provider Details] Update Identity Provider Details

    次に、Google Workspace LDAPエンドポイントと統合するようにLDAPSコネクタを構成します。

    • [名前(Name)]:IdP 名を入力します。(この例では、「 Google Workspace」と入力します。
    • [IDP タイプ(IDP Type)]: [LDAPS] を選択します。
    • [LDAP タイプ(LDAP Type)]: [カスタム(Custom)] を選択します。
    • [グループ フィルター] - [memberOf] を選択します。このオプションは、 グループ属性からグループメンバーシップを取得するために必要です。
    • [メンバー フィルター] - [memberOf] を選択します。
    • [ユーザ フィルタ(User Filter)]: (mail=%s) と入力します。
    • [サーバ ホスト(Server Hosts)]: ldap.google.com と入力します。
    • ドメイン名 - Google Workspace ドメイン名を入力します。たとえば、 abc.comです。
    • バインド DN - 前のステップで Google から提供されたユーザー名を使用します。
    • [バインド パスワード(Bind Password)]:上記のユーザ名のパスワードを入力します。
    • ベース DN - Google Workspace ドメインに一致するベース DN を設定します。たとえば、ドメインが abc.com の場合、ベースDNは dc=abc,dc=comです。
  4. [CA 証明書(CA Certificates)] セクションで、[証明書の追加(Add Certificate)] をクリックし、次の 2 つの証明書を貼り付けます。
    図 3: CA 証明書Add CA Certificateの追加
  5. [クライアント証明書] で、Google からダウンロードしたクライアント証明書を追加します。次の例に示すように、.key で終わるファイルを [秘密キー] の下に、.crt で終わるファイルを [署名付き証明書] の下に配置します。
    図 4: クライアント証明書Add Client Certificateの追加

    保存」をクリックします。

Juniper Mist ポータルで、 [> Insights >クライアント イベントの監視] に移動します。

ユーザが EAP-TTLS を使用して認証すると、ユーザ グループのメンバーシップ情報を取得する [NAC IDP 認証成功(NAC IDP Authentication Success )] イベントと [NAC IDP グループ ルックアップ成功(NAC IDP Group Lookup Success )] イベントが表示されます。

ユーザが Google Workspace で EAP-TTS を使用して認証すると、ユーザ グループのメンバーシップ情報を取得する NAC IDP Group Lookup Success イベントが表示されます。
図 5:IDP グループ ルックアップ成功認証イベント IDP Group Lookup Success Authentication Event

EAP-TTLS 認証の場合は、 NAC IDP 認証成功 イベントを確認できます。このイベントは、Google Workspace でユーザーの認証情報が検証されたことを示します。

図 6: IDP 認証成功イベント IDP Authentication Success Event

認証ポリシールールで Google Workspace の IDP ロールを活用して、ユーザーロールに基づいてネットワークのセグメント化を実行できます。

ROPC を使用した EAP-TTLS と Azure AD について

Extensible Authentication Protocol–Tunneled TLS (EAP-TTLS) は、Azure AD で LDAPS OAuth フローを利用してユーザー認証を実行します。これは、MFA なしでユーザー名とパスワードを使用するレガシ認証の使用を意味します。この方法を採用する際には、いくつかの要素を考慮する必要があります。

  • GPOまたはMDMから、正しいWi-Fiプロファイルを使用してクライアントデバイスを構成します。 ログイン プロンプトでユーザー名とパスワードのみを指定しても、一部のオペレーティング システムでは機能しません。
  • ユーザーは、ユーザー名の入力に Google メール ID(username@domain)ユーザー名の形式を使用する必要があります。
  • サーバー証明書を信頼するようにクライアントを構成します。 「デジタル証明書を使用する」を参照してください。

参照