Okta를 아이덴티티 공급업체로 통합

다음 단계에 따라 사전 필수 조건을 완료하고, Okta에서 자격 증명 앱을 구성하고, Juniper Mist 조직에 자격 증명 공급자를 추가합니다.

Juniper Mist 대시보드를 통해 Okta Workforce Identity Cloud를 사용하여 네트워크에 액세스하려는 최종 사용자를 인증할 수 있습니다. Juniper Mist Access Assurance는 Okta를 ID 공급자(IdP)로 사용하여 다양한 인증 작업을 수행합니다.

자격 증명 기반(EAP-TTLS) 인증의 경우, Okta는 다음과 같이 합니다.
- 위임된 인증, 즉 OAuth를 사용하여 사용자 이름과 암호를 확인합니다.
- 이 사용자 ID를 기반으로 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
- 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다
인증서 기반(EAP-TLS 또는 EAP-TTLS) 권한 부여의 경우 Okta는 다음을 수행합니다.
- 이 사용자 ID를 기반으로 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
- 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다

필수 구성 요소

Okta에 대한 구독을 생성하고 테넌트 ID를 가져옵니다. 구독을 만드는 동안 Okta 대시보드에 액세스하기 위한 URL을 만드는 데 사용되는 테넌트를 지정합니다. Okta 대시보드의 오른쪽 상단에서 ID를 찾을 수 있습니다. 테넌트 ID에는 okta.com 포함해서는 안 됩니다.

메모:
Okta 로그인 URL의 형식은 다음과 같습니다.
https://{your-okta-account-id}-admin.okta.com/admin/getting-started을 클릭합니다.
을 Okta 계정 ID로 바꿉니다 {your-okta-account-id} .
Juniper Mist 포털에 대한 수퍼유저 권한이 있어야 합니다.

OKTA 리소스 소유자 암호 자격 증명 앱 통합

Okta 관리 콘솔에 로그인하고 애플리케이션 > 애플리케이션을 선택합니다.
Create App Integration(앱 통합 생성)을 클릭합니다.
Create a new app integration(새 앱 통합 만들기) 페이지가 열립니다.
로그인 방법에서 OIDC-OpenID Connect를 선택하고 애플리케이션 유형에서 네이티브 애플리케이션을 선택합니다.
New Native App Integration(새 네이티브 앱 통합) 페이지에서 다음을 선택합니다.
- 앱 통합 이름 - 공감할 수 있는 이름을 입력합니다.
- Grant Type(권한 부여 유형) - Resource Owner Password(리소스 소유자 비밀번호)를 선택합니다.
- 제어된 액세스: 기관의 모든 사용자가 액세스할 수 있도록 허용을 선택합니다. 이 예제에서는 모든 사용자에게 애플리케이션에 대한 액세스 권한을 부여합니다.
저장을 클릭합니다.

시스템이 새 앱 통합으로 저장되면 일반 탭이 선택된 상태로 애플리케이션이 다시 로드됩니다.
General(일반) 탭에서 Edit(편집)를 클릭하고 다음 옵션을 선택합니다.
- Client Authentication(클라이언트 인증) - Client Secret(클라이언트 암호)을 선택합니다.
- 코드 교환을 위한 증명 키(Proof Key for Code Exchange) - 추가 확인으로 PKCE 필요를 선택합니다.
Save(저장)를 클릭하여 계속합니다.
Okta는 이 단계 후에 클라이언트 ID와 클라이언트 암호를 생성합니다.
클라이언트 ID 및 클라이언트 암호를 기록해 둡니다. 이 정보는 나중에 필요합니다.
Okta API 범위 탭으로 이동하고 다음 확인란을 선택하여 읽기 권한을 부여합니다.
- okta.roles.read
- okta.users.read
- okta.users.read.self

이제 Juniper Mist 클라우드 포털로 이동하여 Okta를 IdP로 통합하십시오.

Okta 클라이언트 자격 증명 앱 통합

Okta 관리 콘솔에 로그인하고 애플리케이션 > 애플리케이션을 선택합니다.
Create App Integration(앱 통합 생성)을 클릭합니다.
Create a new app integration(새 앱 통합 만들기) 페이지가 열립니다.
로그인 방법에서 API 서비스를 선택합니다.
새 API Services 앱 통합 페이지가 열립니다.
App integration name(앱 통합 이름)에 이름을 입력하고 Save(저장)를 클릭합니다.
새 앱 통합 페이지의 General(일반) 탭으로 이동하고 Edit(편집)를 클릭합니다.
Edit(편집)를 클릭하고 클라이언트 인증 방법을 Public key / Private key(공개 키/개인 키)로 선택한 다음 PUBLIC KEYS(공개 키) 섹션에서 Add Key(키 추가)를 클릭합니다.
개인 키 섹션에서 파일 형식을 PEM으로 선택한 다음 개인 키를 복사하여 안전한 장소에 저장합니다.
Okta가 생성하는 개인 키 파일을 안전한 장소에 저장합니다.
이 개인 키를 다시 검색할 수 없습니다.

완료를 클릭합니다.
Save(저장)를 클릭하여 키를 저장하고 활성화합니다.

이제 키의 상태가 활성임을 알 수 있습니다. 화면에 표시된 클라이언트 ID와 암호를 복사하고,
Okta API 범위 탭으로 이동하여 다음 읽기 권한을 허용합니다.
- okta.roles.read
- okta.users.read
- okta.users.read

Juniper Mist 대시보드의 구성

Juniper Mist 포털의 왼쪽 메뉴에서 조직 > 액세스 > ID 제공자를 선택합니다.
[ID 제공자] 페이지에는 구성된 모든 ID 제공자가 표시됩니다.
IDP 추가를 클릭하여 새 ID 공급자를 추가합니다.

새 ID 제공자 페이지에서 다음 정보를 입력합니다.

Name(이름) - IdP 이름을 입력합니다.

IDP Type(IDP 유형) - IdP 유형을 OAuth로 선택합니다.

표 1: ID 제공자 유형 OAuth에 대한 설정
매개 변수	묘사
OAuth 유형	Okta를 선택합니다.
OAuth 테넌트 ID	OAuth 테넌트 ID를 입력합니다. Okta 애플리케이션 구성 중에 받은 ID를 사용합니다.
도메인 이름	Okta 사용자 도메인 이름을 입력합니다. 예: abc.com
기본 IDP	사용자 도메인 이름이 지정되지 않은 경우 선택한 ID 제공자를 기본값으로 설정합니다.
OAuth CC(클라이언트 자격 증명) 클라이언트 ID	Okta 애플리케이션 구성 중에 받은 ID를 사용합니다. Okta 클라이언트 자격 증명 앱 통합
OAuth CC(클라이언트 자격 증명) 클라이언트 개인 키	Okta 애플리케이션 구성 중에 생성된 프라이빗 키를 입력합니다. Okta 클라이언트 자격 증명 앱 통합을 참조하십시오.
OAuth ROPC(리소스 소유자 암호 자격 증명) 클라이언트 ID	Okta 애플리케이션 구성 중에 수신하고 저장한 시크릿 ID를 입력합니다. OKTA 리소스 소유자 암호 자격 증명 앱 통합을 참조하십시오.
OAuth ROPC(Resource Owner Password Credential) 클라이언트 시크릿	Okta 애플리케이션 구성 중에 수신 및 저장한 클라이언트 암호 값을 제공합니다. OKTA 리소스 소유자 암호 자격 증명 앱 통합을 참조하십시오.

Create(만들기)를 클릭하여 변경 사항을 저장합니다.

Juniper Mist 포털에서 클라이언트 이벤트 > > Insights 모니터링으로 이동합니다.

사용자가 Okta에서 EAP-TLS를 사용하여 인증하면 아래와 같이 NAC IDP Group Lookup Success 라는 이벤트를 볼 수 있습니다.

EAP-TTLS 인증의 경우 NAC IDP 인증 성공 이벤트를 확인할 수 있습니다. 이 이벤트는 Azure AD에 사용자 자격 증명의 유효성이 검사되었음을 나타냅니다. 사용자 그룹 구성원 자격을 가져오는 NAC IDP 그룹 조회 성공 이벤트도 볼 수 있습니다.

이 페이지 내용

Okta를 아이덴티티 공급업체로 통합

필수 구성 요소

OKTA 리소스 소유자 암호 자격 증명 앱 통합

Okta 클라이언트 자격 증명 앱 통합

Juniper Mist 대시보드의 구성

참조