Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ID プロバイダーとユーザーの追加

ポータル ユーザーの認証に使用する ID プロバイダー (IdP) を追加するには、次の手順に従います。

IdP を組織に追加してから、カスタム ロールを追加し、不要なローカル アカウントを削除し、ユーザーに初回ログイン手順を提供します。

手記:

SSOを設定するには、スーパーユーザー管理者ロールが必要です。

ID プロバイダーを追加するには、次のようにします。

  1. Juniper Mist ポータルの左側のメニューで、 [組織>管理>設定] を選択します。
  2. [ID プロバイダー] セクションで、[IDP の追加] をクリックします。
    Identity Providers Section of the Organization Settings Page
  3. [Create Identity Provider] ウィンドウで、次の操作を行います。
    1. 名前を入力し、[追加] をクリックします。
    2. [名前 ID 形式] で、使用する形式を選択します。
      ほとんどの人は、名前 ID に電子メール アドレスを使用します。IdP ユーザーアカウントに別の識別子を使用する場合は、[ 未指定] を選択します。
    3. IdP のポータルで SAML 2.0 統合を完了するために必要な ACS URL (アサーション コンシューマー サービス URL) をコピーします。
      location of the ACS URL field
    4. 「アイデンティティ・プロバイダの作成」ウィンドウは開いたままにしておけば、この手順の後半でそのウィンドウに戻ることができます。
  4. IdP ポータルに移動し、次のタスクを完了します。

    • この統合を使用してポータルへの認証を行うユーザーのユーザーアカウントとロールJuniper Mistセットアップします。

    • Juniper Mist 用の SAML 2.0 SSO 統合を作成します。

      手記:

      IdP で Juniper Mist からのメタデータが必要な場合は、「 SAML 2.0 統合のための Juniper Mist メタデータの取得」を参照してください。

    • SAML 2.0 SSO統合から次の情報を取得します。

      • 署名アルゴリズム

      • 発行者

      • SSO URL

    • 証明書をダウンロードします。

  5. Juniper Mistの[Create Identity Provider]に戻り、SAML 2.0 SSO統合からの情報を使用して次のフィールドに入力します。

    • 署名アルゴリズム — IdP SAML 2.0 統合で選択したものと同じ署名アルゴリズムを選択します。

    • 発行者

    • SSO URL

    • [証明書(Certificate)]:ダウンロードした証明書を開きます。テキスト全体をコピーして、このフィールドに貼り付けます。 BEGIN CERTIFICATE 行と END CERTIFICATE 行を含めます。

    例:

    この例では、右側の [Microsoft Azure] フィールドの値を入力して、左側の [Juniper Mist] フィールドに入力する方法を示します。

    Example: Create Identity Provider window and corresponding fields from Azure

  6. 保存」をクリックして設定を保存し、ウィンドウを閉じます。
  7. ユーザー アクセスを確保するには、次の要件をすべて満たします。

    • カスタムロールを作成します。 SSO 経由で Juniper Mist にアクセスするユーザーの IdP ロールに対応するカスタムロールを作成します。ユーザーロールは、ユーザーがアクセスできるポータル機能を決定します。カスタムロールのヘルプについては、「 シングルサインオンアクセス用のカスタムロールの作成」を参照してください。

    • ローカル アカウントを削除します。1 つのスーパー ユーザー アカウントを除き、Mist組織の管理者アカウントをすべて削除します。

      その理由は次のとおりです。

      Mist の代わりに IdP を使用してユーザーを認証するため、以前に作成された Mist アカウントは役に立ちません。誰かがSSOを使用してログインすると、そのメールアドレスはSSO IdPに「リンク」され、SSO設定が削除されない限り、以前に作成したローカルアカウントは使用できません。

      緊急時のバックアップとして、スーパー ユーザー ロールを持つローカル アカウントを 1 つ用意しておくことをお勧めします。これにより、SSOの問題が発生した場合、1人のユーザーがローカルアカウントを使用してMist組織にアクセスできます。

      SSOとローカルアカウントの両方に1つのメールアドレスを使用することはできないため、ローカルアカウントはSSOで使用するメールアドレスとは異なるメールアドレスで設定する必要があります。たとえば、ローカルアカウントには個人のメールアドレスを使用し、SSOアカウントには職場のメールアドレスを使用します。

    • 初回ログイン手順を入力します。 初回ログインプロセスについてユーザーに理解してもらいます。Juniper Mist に初めてログインするときは、SSO URL または IdP ダッシュボードを使用して Juniper Mist に接続する必要があります。この手順は、アカウントをSSOアカウントとして確立するために、最初のログインにのみ必要です。その後、SSO URLを使用するか、Juniper Mistポータル(manage.mist.com)に直接移動できます。

エラーが発生した場合は、「 ID プロバイダの設定に関する問題のトラブルシューティング」を参照してください。