Microsoft Entra ID를 ID 공급자로 통합
현재 Microsoft Entra ID로 알려진 Microsoft Azure AD(Azure Active Directory)는 ID 및 액세스 관리 솔루션입니다. Juniper Mist Access Assurance를 사용하면 OAuth를 사용하여 인증 서비스를 Entra ID에 통합하여 다음을 수행할 수 있습니다.
- EAP-TTLS(Extensible Authentication Protocol–Tunneled TLS)를 사용한 사용자 인증
- 위임된 인증, 즉 OAuth를 사용하여 사용자 이름과 암호를 확인합니다.
- 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
- 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다.
- EAP-TLS(Extensible Authentication Protocol–전송 레이어 보안) 및 EAP-TTLS를 통한 사용자 권한 부여
- 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
- 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다
-
PAP(암호 인증 프로토콜)를 사용하는 EAP-TTLS
- OAuth 또는 ROPC(Resource Owner Password Credentials)를 사용하여 사용자 이름과 암호를 확인하는 위임된 인증을 수행합니다.
- 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
- 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다
Entra ID 포털의 구성
Entra ID를 Juniper Mist Access Assurance와 통합하려면 Entra ID 포털에서 생성하는 값인 클라이언트 ID, 클라이언트 암호 및 테넌트 ID가 필요합니다.
Juniper Mist 대시보드의 구성
Juniper Mist 포털에서 클라이언트 이벤트 > > 인사이트 모니터링으로 이동합니다.
Juniper Mist Access Assurance가 Azure AD에서 EAP-TLS를 사용하여 사용자를 인증하는 경우 아래와 같이 NAC IDP 그룹 조회 성공 이벤트를 볼 수 있습니다.

EAP-TTLS 인증의 경우 NAC IDP 인증 성공 이벤트가 표시됩니다. 이 이벤트는 Azure AD가 사용자 자격 증명의 유효성을 검사했음을 나타냅니다. 이 인증의 경우 사용자 그룹 구성원 자격을 가져오는 NAC IDP 그룹 조회 성공 이벤트도 표시됩니다.

Azure AD 및 ROPC를 사용한 EAP-TTLS 인증
EAP-TTLS는 Azure AD와 함께 ROPC(리소스 소유자 암호 자격 증명) OAuth 흐름을 활용하여 사용자를 인증하고 사용자 그룹 정보를 검색합니다. 사용자 이름과 암호만 확인하고 MFA(다단계 인증)를 건너뛰는 ROPC 흐름과 같은 레거시 인증을 사용할 때는 몇 가지 요소를 고려해야 합니다.
- MDM(모바일 장치 관리) 또는 GPO(그룹 정책 개체)를 사용하여 올바른 무선 프로필로 클라이언트 장치를 구성해야 합니다. 로그인 프롬프트에서 사용자 이름과 암호만 제공하면 일부 운영 체제에서 레거시 인증이 작동하지 않습니다.
- 사용자가 입력하는 사용자 이름은 UPN(사용자 계정 이름) 형식(username@domain)이어야 합니다.
- 서버 인증서를 신뢰하도록 클라이언트를 구성해야 합니다.
- 사용자는 ROPC 인증을 사용하여 액세스를 시도하기 전에 Azure Portal에 한 번 이상 로그인해야 합니다. 이 단계는 사용자 계정을 테스트하는 데 중요합니다.
- Azure Portal은 전체 클라우드 계정 또는 Azure AD Connect를 사용하여 암호 동기화를 사용하도록 설정된 로컬 AD에 사용자 암호를 저장해야 합니다. 연합 인증 사용자는 지원되지 않습니다.
- ROPC 인증을 선택하는 사용자에 대해 MFA를 사용하지 않도록 설정해야 합니다. EAP-TTLS에 대해 MFA 바이패스를 달성하는 한 가지 방법은 다음 절차에 따라 Mist Access Assurance 소스 IP 주소를 신뢰할 수 있는 위치로 표시하는 것입니다.
- Microsoft Entra 포털에서 보호 > 조건부 액세스 > 명명된 위치로 이동하여 새 위치를 선택합니다.
- 새 위치(IP 범위)에 세부 정보를 입력합니다.
그림 5: 신뢰할 수 있는 IP 주소 범위
에서 로그인하기 위해 MFA 우회
- 위치의 이름을 입력합니다.
- 신뢰할 수 있는 위치로 표시를 선택합니다.
- Juniper Mist Access Assurance IP 주소의 IP 범위를 입력합니다.
- 만들기를 클릭합니다.
- 조건부 액세스 MFA 정책에서 신뢰할 수 있는 IP 원본을 제외 조건으로 참조합니다.
그림 6: 액세스 정책
에서 명명된 위치 제외