Marvisクライアントアプリを使用したNACポータルを介したクライアントオンボーディング
NACオンボーディングポータルでMarvisクライアントアプリからプロビジョニングされたWi-Fiクライアント証明書を使用して、デバイスをJuniper Mist Access Assuranceネットワークに安全にオンボーディングします。
ネットワークアクセスコントロール(NAC)ポータルからデバイスをオンボーディングすると、MarvisクライアントアプリからWi-Fiクライアント証明書をプロビジョニングできます。オンボーディング プロセスでは、オンボード Mist 認証局を使用して、EAP-TLS クライアント証明書をデバイスに発行できるようにします。これらの証明書は、クライアントがEAP-TLS(拡張認証プロトコル - トランスポート層セキュリティ)を使用してJuniper Mist Access Assuranceネットワークに対して認証するために使用されます。
Marvisクライアントアプリは、デバイスにプリインストールすることも、NACオンボーディングポータルから直接ダウンロードすることもできます。エンドユーザーは、SSOクレデンシャル(Azure AD、Okta)を使用してNACオンボーディングポータルに対して認証する必要があります。
認証に成功すると、NACポータル(エンタープライズIdPと統合)により、デバイスにバインドされたX.509クライアント証明書がプロビジョニングされ、Marvisクライアントアプリ内にインストールする必要がある事前設定済みのWi-Fiネットワークプロファイルが提供されます。プロファイルがインストールされると、デバイスは EAP-TLS を使用して指定されたセキュア SSID にシームレスに接続できます。
このオンボーディングプロセスでは、PKIの配布やSSIDの設定を手動で行う必要がなくなり、BYOD環境内の管理対象外デバイスにはエンタープライズネットワークアクセスポリシーが適用されます。
NACポータルを介したクライアントオンボーディングのメリット
Marvisクライアントアプリを使用してNACポータルからクライアントをオンボーディングすることで、組織のWi-Fiネットワークへの安全でシームレスなパスワードレスアクセスが保証されます。ユーザー名とパスワードを使用した従来のWi-Fi接続は、誤用、漏洩、手動エラーに対して脆弱でした。NAC オンボーディング ポータルは、組織のシングル サインオン(SSO)システムを介して ID を検証した後にのみ発行される証明書ベースの認証を使用して、これらのリスクを排除します。
使いやすさに加え、オンボーディングにより、BYOD(個人所有デバイスの持ち込み)、ゲスト、請負業者にエンタープライズグレードのセキュリティが提供されるため、接続ごとにIT部門が介入する必要がなくなります。
Marvisクライアントアプリを使用してNACポータルにデバイスをオンボーディングすると、以下のメリットがあります。
-
ID とデバイスに紐づけられた一意のデジタル証明書。
-
安全なWi-Fiプロファイルの自動インストール、手動による設定不要。
-
アクセスは、Juniper Mistクラウドで定義されたゼロトラストネットワークポリシーによって管理されます。
Android、Windows、macOS、iOSの各デバイスをオンボードできます。オンボーディングは、以下を実行するデバイスでサポートされています。
-
Windows - リリース 10 または 11
-
macOS - Sonoma (バージョン 14) およびそれ以降のリリース
-
Android - Android 12+
-
iOS—16 以降のリリース
始める前に
デバイスのオンボードに進む前に、以下を確認してください
-
Juniper Mist™ Access Assuranceサブスクリプションを取得してアクティブ化します。サブスクリプション管理の詳細については、『 Juniper Mist Management Guide』を参照してください。
-
オンボーディングを有効にします。
Juniper Mist ポータルの左側のメニューから、 [組織 >アクセス>証明書] を選択します。
[認証局] ページが表示されます。
ページの右上隅にある設定アイコンをクリックし、[ CA 設定のオンボード(Onboard CA Configuration)] を選択します。
[オンボード CA 構成] ダイアログ ボックスで [ アクティブ ] を選択し、[ OK ] をクリックして、組み込み CA がクライアント証明書を発行できるようにします。
[オンボード CA 構成] がアクティブになると、次のタブが表示されます。
[外部(External)]:外部 CA の詳細を表示します。
[内部(Internal)]:組み込み CA が NAC ポータルまたは MDM を通じて発行したクライアント証明書の詳細を表示します。
-
アプリ統合機能を備えた IdP アカウントがあることを確認します。IdP は、SAML 2.0 統合をサポートする任意のプロバイダーにすることができます。例としては、Azure、Google、Okta などがあります。
このトピックでは、NACポータルを作成し、Microsoft AzureおよびOktaと統合する方法について説明します。
NACポータルをセットアップしてMicrosoft Azureと統合する方法
NAC オンボーディング ポータルの設定と Azure との統合は、以下の手順で行います。
NACポータルを作成してAzureと統合する
[証明書(Certificates)] ページでオンボード CA 設定が有効になっていることを確認します。 「始める前に」を参照してください。
NACポータルを作成します。ポータルを作成すると、ユーザが SSO を使用してアクセスするための NAC ポータル URL が生成されます。
Juniper Mist ポータルの左側のメニューから [Organization>Client Onboarding] を選択し、[ NAC ] タブを選択します。
[Client Onboarding] ページの右上隅にある [Add NAC Onboarding Portal ] をクリックします。
[NAC オンボーディング ポータルの追加(Add NAC Onboarding Portal)] ページで、名前を入力して [作成(Create)] をクリックします。
[Edit NAC Onboarding portal] ページが表示されます。
「ポータル認証」タブを選択します。
[発行者]、[証明書]、および [SSO URL] のプレースホルダー値を入力します。これらの値は、後で IdP の実際の値に置き換えられます。
後で使用するために SSO ポータルの URL をコピーします。
「 オンボーディング・パラメーター 」タブを選択し、以下を構成します。
プロビジョニングする SSID 名を入力します。
[セキュリティの種類] で [WPA2] または [WPA3 エンタープライズ] を選択します。
クライアント証明書の有効期限が切れるまでの日数を設定します。値の範囲は 1 から 1825 日 (最大 5 年) です。
SSOを設定し、NACポータルをMicrosoft Azureと統合します。
Azure portal にログインします。「 エンタープライズ・アプリケーション 」に移動し、「 新規アプリケーション」をクリックします。
[Microsoft Entra Galleryの参照]セクションで、検索ボックスに「 Mist Cloud Admin SSO 」と入力します。
結果パネルから [Mist Cloud Admin SSO ] を選択します。アプリケーションの名前を指定し、「 作成」をクリックします。
アプリケーションを開き、「 シングル・サインオンの設定」をクリックします。
SSO 方法として [SAML ] を選択します。
[ Edit Basic SAML Configuration] をクリックします。
[SAML 構成] ページで、[識別子(Identifier)] と [応答 URL(Reply URL)] を、以前に NAC オンボーディング ポータルからコピーしたポータル SSO URL に設定します。「 保存」をクリックします。
証明書 (Base64) をダウンロードし、ログイン URL と Microsoft Entra 識別子をコピーします。
Juniper Mist ポータルで、NAC オンボーディング ポータルの [Portal Authorization] タブに移動します。
Issuer を Microsoft Entra 識別子に置き換えます。
証明書は、ダウンロードした Base64 証明書のペイロードに置き換えます。
SSO URLをログインURLに置き換えます。
ユーザーとグループを Azure アプリケーションに割り当てて、ポータルにアクセスできるようにします。
MarvisクライアントアプリとWi-Fiプロファイルのダウンロード
NAC ポータルを設定して Azure と統合すると、ユーザーは Azure SSO を使用して NAC ポータルにログインし、Marvis クライアント アプリから Wi-Fi プロファイルをインストールできます。ここでは、例としてmacOSデバイスを使用しました。
macOS デバイスでは、NAC オンボーディング ポータルの [ ポータル設定(Portal Settings )] タブにリストされている URL を使用して NAC ポータルにアクセスし、Azure SSO クレデンシャルを使用してサインインします。
認証が成功すると、次のページが表示されます。
[ Download and Install App](アプリのダウンロードとインストール )をクリックして、Marvisクライアントアプリをインストールします。
デバイスがWindowsまたはmacOSを実行している場合、アプリは自動的にダウンロードされ、ダウンロードプロセスが完了するとアプリをインストールできます。
AndroidおよびiOSの場合、アプリをダウンロードするためにGoogleまたはApplePlayストアにリダイレクトされます。
Marvis クライアント アプリをインストールした後(またはアプリをインストール済みの場合)、[NAC portal] ページに切り替えて [ Already have the app? ] をクリックし、プロファイルをインストールします。
Wi-FiプロファイルをインストールするためのMarvisクライアントアプリにリダイレクトされます。
[ インストール] をクリックし、デバイスの [設定] >> デバイス管理 に移動して、プロファイルのインストールを完了します。
Juniper Mist ポータルで、 [証明書] ページを開き、 [内部] セクションでクライアント発行の証明書の詳細を確認します。
ネットワークへのクライアント接続の確認
Marvisクライアントアプリでプロビジョニングされたクライアント証明書を使用して、デバイスがAccess Assuranceネットワークに接続されていることを確認します。
Juniper Mist ポータルの左側のメニューから [Organization> Access>Auth Policies ] を選択し、デバイスに必要な認証ポリシー ルールを構成します。
デバイスをネットワークに接続し、認証が成功したことを確認します。
[ Monitor>Service Levels>Insights ]ページに移動し、[Client Events]セクションに移動します。NAC Client 認証イベントを確認します。
NACポータルを設定してOktaと統合する方法
NACオンボーディングポータルの設定とOktaとの統合は、以下のステップで行います。
NACポータルを作成し、Oktaと統合する
[証明書(Certificates)] ページでオンボード CA 設定が有効になっていることを確認します。 「始める前に」を参照してください。
NACポータルを作成します。ポータルを作成すると、ユーザが SSO を使用してアクセスするための NAC ポータル URL が生成されます。
Juniper Mist ポータルの左側のメニューから [Organization>Client Onboarding] を選択し、[ NAC ] タブを選択します。
[Client Onboarding] ページの右上隅にある [Add NAC Onboarding Portal ] をクリックします。
[NAC オンボーディング ポータルの追加(Add NAC Onboarding Portal)] ページで、名前を入力して [作成(Create)] をクリックします。
「ポータル認証」タブを選択します。
[発行者]、[証明書]、および [SSO URL] のプレースホルダー値を入力します。これらの値は、後で IdP の実際の値に置き換えられます。
後で使用するために SSO ポータルの URL をコピーします。
「 オンボーディング・パラメーター 」タブを選択し、以下を構成します。
プロビジョニングする SSID 名を入力します。
[セキュリティの種類] で [WPA2] または [WPA3 エンタープライズ] を選択します。
クライアント証明書の有効期限が切れるまでの日数を設定します。値の範囲は 1 から 1825 日 (最大 5 年) です。
SSOを構成し、NACポータルをOktaと統合します。
Okta管理コンソールにログインし、[Applications(アプリケーション)]ページに移動します。
[ Create App Integration] をクリックします。
「サインイン方法」として 「SAML 2.0 」を選択し、「 次へ」をクリックします。
アプリ名を入力し、「 次へ」をクリックします。
前にコピーしたポータル SSO の URL を [SAML 設定] の [ シングル サインオン URL ] フィールドと [対象ユーザー URL ] フィールドに貼り付けます。[名前 ID] の形式を [EmailAddress] に設定し、[ 次へ] をクリックして、[ 完了] をクリックします。
編集モードのアプリにリダイレクトされます。
下にスクロールして [ SAML 設定手順を表示] をクリックします。
ID プロバイダーのシングル サインオン URL、ID プロバイダーの発行者、および X.509 証明書をコピーします。
Juniper Mist ポータルに切り替えて、[Edit NAC Onboarding Portal] ページの [ Portal Authorization Settings ] タブに移動します。前の手順でコピーした情報を次のフィールドに貼り付けます。
[発行者(Issuer)]:アイデンティティ プロバイダー発行者
SSO URL - ID プロバイダのシングルサインオン URL
証明書 - X.509 証明書
「 保存」をクリックします。
[アプリケーション] > [ユーザーをアプリに割り当てる] に移動し、ユーザーを割り当てます。
ユーザーとアプリケーションを選択し、「 次へ」をクリックします。
[ Confirm Assignments] をクリックします。
MarvisクライアントアプリとWi-Fiプロファイルのダウンロード
NACポータルを構成してOktaと統合すると、ユーザーはOkta SSOを使用してNACポータルにログインし、MarvisクライアントアプリからWi-Fiプロファイルをインストールできます。ここでは、例としてiOSデバイスを使用しました。
iOSデバイスで、[Edit NAC Onboarding Portal(NACオンボーディングポータルの編集)]ページの[ Portal Settings(ポータル設定 )]タブにリストされているNACポータルURLにアクセスし、Okta SSO認証情報を使用してサインインします。
[ Download and Install App](アプリのダウンロードとインストール )をクリックして、Marvisクライアントアプリをインストールします。
デバイスがWindowsまたはmacOSを実行している場合、アプリは自動的にダウンロードされ、ダウンロードプロセスが完了するとアプリをインストールできます。
AndroidおよびiOSの場合、アプリをダウンロードするためにGoogleまたはApplePlayストアにリダイレクトされます。
Marvis クライアント アプリをインストールした後(またはアプリをインストール済みの場合)、[NAC portal] ページに切り替えて [ Already have the app? ] をクリックし、プロファイルをインストールします。
Wi-FiプロファイルをインストールするためのMarvisクライアントアプリにリダイレクトされます。
「 インストール」をクリックします。
Juniper Mist ポータルで、 [証明書] ページを開き、 [内部] セクションでクライアント発行の証明書の詳細を確認します。
ネットワークへのクライアント接続の確認
Marvisクライアントアプリでプロビジョニングされたクライアント証明書を使用して、デバイスがAccess Assuranceネットワークに接続されていることを確認します。
Juniper Mist ポータルの左側のメニューから [Organization> Access>Auth Policies ] を選択し、デバイスに必要な認証ポリシー ルールを構成します。
デバイスをネットワークに接続し、認証が成功したことを確認します。
[ Monitor>Service Levels>Insights ]ページに移動し、[Client Events]セクションに移動します。NAC Client 認証イベントを確認します。
