Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Microsoft Entra ID를 ID 공급자로 통합

현재 Microsoft Entra ID로 알려진 Microsoft Azure AD(Azure Active Directory)는 ID 및 액세스 관리 솔루션입니다. Juniper Mist Access Assurance를 사용하면 OAuth를 사용하여 인증 서비스를 Entra ID에 통합하여 다음을 수행할 수 있습니다.

  • EAP-TTLS(Extensible Authentication Protocol–Tunneled TLS)를 사용한 사용자 인증
    • 위임된 인증, 즉 OAuth를 사용하여 사용자 이름과 암호를 확인합니다.
    • 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
    • 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다.
  • EAP-TLS(Extensible Authentication Protocol–전송 레이어 보안) 및 EAP-TTLS를 통한 사용자 권한 부여
    • 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
    • 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다
  • PAP(암호 인증 프로토콜)를 사용하는 EAP-TTLS

    • OAuth 또는 ROPC(Resource Owner Password Credentials)를 사용하여 사용자 이름과 암호를 확인하는 위임된 인증을 수행합니다.
    • 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
    • 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다

Entra ID 포털의 구성

Entra ID를 Juniper Mist Access Assurance와 통합하려면 Entra ID 포털에서 생성하는 값인 클라이언트 ID, 클라이언트 암호 및 테넌트 ID가 필요합니다.

  1. 자격 증명을 사용하여 Azure Portal에 로그인하고 AD로 이동합니다.
  2. Microsoft Entra 관리 센터의 왼쪽 탐색 모음에서 앱 등록을 선택합니다.
  3. New Registration(새 등록)을 클릭합니다.
  4. New Registration(새 등록) 페이지에서 다음 필드에 필요한 정보를 입력합니다. 다음 목록에는 샘플 사용자 입력 및 샘플 설정이 표시됩니다.
    • 이름Mist AA IDP connector
    • 지원되는 계정 유형 - 이 조직 디렉터리의 계정만(기본 디렉터리만 - 단일 테넌트)을 선택합니다.
  5. Register(등록)를 클릭하여 계속합니다.
    새로 만든 커넥터에 대한 정보를 표시하는 등록된 응용 프로그램 페이지가 나타납니다.
  6. 다음 세부 정보를 기록해 둡니다.
    • 애플리케이션(클라이언트) ID - Juniper Mist 클라우드 포털의 OAuth CC(클라이언트 자격 증명) 클라이언트 ID리소스 소유자 암호 자격 증명 클라이언트 ID 필드에 이 정보를 입력해야 합니다.
    • 디렉터리(테넌트) ID - Juniper Mist 포털의 OAuth 테넌트 ID 필드에 이 정보가 필요합니다.

    Juniper Mist 포털에서 IdP(ID 공급자) 커넥터를 설정해야 합니다.

  7. 같은 페이지에서 Add a certificate or secret(인증서 또는 비밀 추가)을 클릭합니다.
  8. 클라이언트 및 비밀 페이지에서 새 클라이언트 암호를 클릭합니다.
    클라이언트 암호 추가 창이 나타납니다.
  9. 다음 필드에 필요한 정보를 입력하고 추가를 클릭합니다.
    • Description(설명) - 클라이언트 암호에 대한 설명을 제공합니다.
    • Expires(만료) - 암호의 만료 기간을 선택합니다.

    시스템에서 비밀 ID를 생성합니다.

    필드의 정보를 복사하여 안전한 위치에 저장합니다. 이 필드는 한 번만 표시됩니다. 즉, 비밀 ID가 생성된 직후입니다.

    Azure AD를 IdP로 추가할 때 Juniper Mist 포털의 OAuth 클라이언트 자격 증명 클라이언트 암호 필드에 이 정보가 필요합니다.

  10. 왼쪽 탐색 모음에서 Authentication(인증)을 선택하고 Advanced Settings(고급 설정) 섹션까지 아래로 스크롤합니다. Allow public client flows(공용 클라이언트 흐름 허용)에 대해 Yes(예)를 선택합니다.
  11. 왼쪽 탐색 모음에서 API 권한을 선택합니다.
    Microsoft Graph에서 다음 권한을 추가합니다.
    • User.Read - 위임됨
    • User.Read.All - 응용 프로그램
    • Group.Read.All - 응용 프로그램
    • Device.Read.All - 응용 프로그램

    관리자 동의 부여를 클릭합니다.

    Microsoft Graph API를 사용하여 사용자에 대한 정보를 가져오는 데 필요한 액세스 권한을 애플리케이션에 부여해야 합니다.

Juniper Mist 대시보드의 구성

  1. Juniper Mist 포털의 왼쪽 메뉴에서 조직 > 액세스 > ID 제공자를 선택합니다.

    ID 공급자 페이지가 나타나고 구성된 IdP 목록(있는 경우)이 표시됩니다.

    그림 1: ID 공급자 페이지 Identity Providers Page
  2. IDP 추가를 클릭하여 새 IdP를 추가합니다.
  3. New Identity Provider(새 ID 공급자) 페이지에서 아래와 같이 필요한 정보를 입력합니다.
    그림 2: Azure AD를 ID 공급자 Add Azure AD as Identity Provider 로 추가
    1. 이름 - IdP 이름(이 예: Azure AD)을 입력합니다.
    2. IDP Type(IDP 유형) - OAuth를 선택합니다.
    3. OAuth Type(OAuth 유형) - 드롭다운 목록에서 Azure 를 선택합니다.
    4. OAuth 테넌트 ID - Azure AD 애플리케이션에서 복사한 디렉터리(테넌트) ID를 입력합니다.
    5. Domain Names(도메인 이름) - 도메인 이름, 즉 사용자의 사용자 이름(예: username@domain.com)을 입력합니다. 도메인 이름 필드는 수신 인증 요청을 검사하여 해당 사용자 이름 및 관련 도메인을 식별합니다. 커넥터는 커넥터가 통신해야 하는 Azure 테넌트를 식별하기 위해 설정한 도메인 이름을 사용합니다.
    6. Default IDP(기본 IDP) - 머신 그룹 구성원 자격을 얻으려면 이 옵션을 선택합니다.

    7. OAuth CC(클라이언트 자격 증명) 클라이언트 ID - Microsoft Entra 관리 센터에 등록된 애플리케이션의 애플리케이션(클라이언트) ID를 입력합니다.
    8. OAuth CC(클라이언트 자격 증명) 클라이언트 암호 - 이전에 Azure Portal에서 만든 애플리케이션 암호를 입력합니다.
    9. OAuth ROPC(리소스 소유자 암호 자격 증명) 클라이언트 ID - 등록된 Azure AD 애플리케이션의 애플리케이션(클라이언트) ID를 입력합니다.

Juniper Mist 포털에서 클라이언트 이벤트 > > 인사이트 모니터링으로 이동합니다.

Juniper Mist Access Assurance가 Azure AD에서 EAP-TLS를 사용하여 사용자를 인증하는 경우 아래와 같이 NAC IDP 그룹 조회 성공 이벤트를 볼 수 있습니다.

그림 3: IdP에 의한 EAP-TLS 인증에 대한 성공 메시지 Success Message for EAP-TLS Authentication by IdP

EAP-TTLS 인증의 경우 NAC IDP 인증 성공 이벤트가 표시됩니다. 이 이벤트는 Azure AD가 사용자 자격 증명의 유효성을 검사했음을 나타냅니다. 이 인증의 경우 사용자 그룹 구성원 자격을 가져오는 NAC IDP 그룹 조회 성공 이벤트도 표시됩니다.

그림 4: IdP에 의한 EAP-TTLS 인증에 대한 성공 메시지 Success Message for EAP-TTLS Authentication by IdP

Azure AD 및 ROPC를 사용한 EAP-TTLS 인증

EAP-TTLS는 Azure AD와 함께 ROPC(리소스 소유자 암호 자격 증명) OAuth 흐름을 활용하여 사용자를 인증하고 사용자 그룹 정보를 검색합니다. 사용자 이름과 암호만 확인하고 MFA(다단계 인증)를 건너뛰는 ROPC 흐름과 같은 레거시 인증을 사용할 때는 몇 가지 요소를 고려해야 합니다.

  • MDM(모바일 장치 관리) 또는 GPO(그룹 정책 개체)를 사용하여 올바른 무선 프로필로 클라이언트 장치를 구성해야 합니다. 로그인 프롬프트에서 사용자 이름과 암호만 제공하면 일부 운영 체제에서 레거시 인증이 작동하지 않습니다.
  • 사용자가 입력하는 사용자 이름은 UPN(사용자 계정 이름) 형식(username@domain)이어야 합니다.
  • 서버 인증서를 신뢰하도록 클라이언트를 구성해야 합니다.
  • 사용자는 ROPC 인증을 사용하여 액세스를 시도하기 전에 Azure Portal에 한 번 이상 로그인해야 합니다. 이 단계는 사용자 계정을 테스트하는 데 중요합니다.
  • Azure Portal은 전체 클라우드 계정 또는 Azure AD Connect를 사용하여 암호 동기화를 사용하도록 설정된 로컬 AD에 사용자 암호를 저장해야 합니다. 연합 인증 사용자는 지원되지 않습니다.
  • ROPC 인증을 선택하는 사용자에 대해 MFA를 사용하지 않도록 설정해야 합니다. EAP-TTLS에 대해 MFA 바이패스를 달성하는 한 가지 방법은 다음 절차에 따라 Mist Access Assurance 소스 IP 주소를 신뢰할 수 있는 위치로 표시하는 것입니다.
    1. Microsoft Entra 포털에서 보호 > 조건부 액세스 > 명명된 위치로 이동하여 새 위치를 선택합니다.
    2. 새 위치(IP 범위)에 세부 정보를 입력합니다.
      그림 5: 신뢰할 수 있는 IP 주소 범위 Bypass MFA for Sign in from a Trusted IP Address Range 에서 로그인하기 위해 MFA 우회
    3. 위치의 이름을 입력합니다.
    4. 신뢰할 수 있는 위치로 표시를 선택합니다.
    5. Juniper Mist Access Assurance IP 주소의 IP 범위를 입력합니다.
    6. 만들기를 클릭합니다.
    7. 조건부 액세스 MFA 정책에서 신뢰할 수 있는 IP 원본을 제외 조건으로 참조합니다.
      그림 6: 액세스 정책 Exclude Named Location from Access Policy 에서 명명된 위치 제외