Okta를 ID 프로바이더로 통합

다음 단계에 따라 전제 조건을 완료하고, Okta에서 자격 증명 앱을 구성하고, ID 공급자를 주니퍼 Mist 조직에 추가합니다.

주니퍼 Mist 대시보드를 통해 Okta Workforce Identity Cloud를 사용하여 네트워크에 액세스하려는 최종 사용자를 인증할 수 있습니다. 주니퍼 Mist Access Assurance는 Okta를 ID 공급자(IdP)로 사용하여 다양한 인증 작업을 수행합니다.

자격 증명 기반(EAP-TTLS) 인증의 경우 Okta:
- 위임된 인증, 즉 OAuth를 사용하여 사용자 이름과 비밀번호를 확인합니다.
- 이 사용자 ID를 기반으로 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
- 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다
인증서 기반(EAP-TLS 또는 EAP-TTLS) 권한 부여의 경우, Okta:
- 이 사용자 ID를 기반으로 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다
- 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다

필수 구성 요소

Okta 구독을 생성하고 테넌트 ID를 가져옵니다. 구독을 생성하는 동안 Okta 대시보드에 액세스하기 위한 URL을 생성하는 데 사용되는 테넌트를 지정합니다. 테넌트 ID는 Okta 대시보드의 오른쪽 상단에서 확인할 수 있습니다. 테넌트 ID에는 okta.com 포함해서는 안 됩니다.

메모:
Okta 로그인 URL의 형식은 다음과 같습니다.
https://{your-okta-account-id}-admin.okta.com/admin/getting-started입니다.
Okta 테넌트 ID로 바꿉 {your-okta-account-id} 니다.
주니퍼 Mist 포털에 대한 슈퍼 사용자 권한이 있어야 합니다.

OKTA 리소스 소유자 암호 자격 증명 앱 통합

Okta 관리 콘솔에 로그인하고 애플리케이션 > 애플리케이션을 선택합니다.
새 앱 통합 만들기를 클릭합니다.
로그인 방법에서 OICD-OpenID Connect 를 선택하고 애플리케이션 유형에서 기본 애플리케이션을 선택합니다. 결과는 다음과 같습니다. <이미지 필요>

다음을 클릭합니다.
로그인 방법에서 OIDC-OpenID Connect를 선택하고 애플리케이션 유형에서 네이티브 애플리케이션을 선택합니다.
새 네이티브 앱 통합 페이지에서 다음을 선택합니다.
- 앱 통합 이름 - 공감하는 이름을 입력합니다.
- 권한 부여 유형— 리소스 소유자 비밀번호를 선택합니다.
- 제어된 액세스: 조직의 모든 사용자가 액세스할 수 있도록 허용을 선택합니다. 이 예에서는 모든 사용자에게 애플리케이션에 대한 액세스 권한을 부여합니다.
저장을 클릭합니다.

시스템이 새 앱 통합으로 저장되면 일반 탭이 선택된 상태로 애플리케이션이 다시 로드됩니다.
일반 탭에서 편집을 클릭하고 다음 옵션을 선택합니다.
- 클라이언트 인증 - 클라이언트 암호를 선택합니다
저장을 클릭하여 계속합니다.
Okta는 이 단계 후에 클라이언트 ID와 클라이언트 암호를 생성합니다.
클라이언트 ID 및 클라이언트 암호를 기록해 둡니다. 이 정보는 나중에 필요합니다.
Okta API 범위 탭으로 이동하여 다음 확인란을 선택하여 읽기 권한을 부여합니다.
- okta.roles.read
- okta.users.read
- okta.users.read.self를 사용합니다.

이제 주니퍼 Mist 클라우드 포털로 이동하여 Okta를 IdP로 통합해 보세요.

Okta 클라이언트 크리덴셜 앱 통합

Okta 관리 콘솔에 로그인하고 애플리케이션 > 애플리케이션을 선택합니다.
앱 통합 만들기를 클릭합니다.
새 앱 통합 만들기 페이지가 열립니다.
로그인 방법에서 API 서비스를 선택합니다.
새 API Services 앱 통합 페이지가 열립니다.
앱 통합 이름의 이름을 입력하고 저장을 클릭합니다.
새 앱 통합 페이지의 일반 탭으로 이동하여 편집을 클릭합니다.
편집을 클릭하고 클라이언트 인증 방법을 공개 키/개인 키로 선택한 다음 공개 키 섹션에서 키 추가를 클릭합니다.
개인 키 섹션에서 PEM으로 파일 형식을 선택한 다음 개인 키를 복사하여 안전한 장소에 저장합니다.
Okta가 생성하는 개인 키 파일을 안전한 장소에 저장합니다.
이 개인 키를 다시 검색할 수 없습니다.

완료를 클릭합니다.
저장을 클릭하여 키를 저장하고 활성화합니다.

키의 상태가 이제 활성임을 알 수 있습니다. 화면에 표시된 클라이언트 ID와 암호를 복사합니다.
일반 설정 섹션이 보일 때까지 아래로 스크롤합니다. 토큰 요청에서 DPoP(Proof of Possession) 헤더 증명 필요옵션을 편집하고 선택 취소합니다.
Okta API 범위 탭으로 이동하여 다음 읽기 권한을 허용합니다.
- okta.roles.read
- okta.users.read
- okta.groups.read

Juniper Mist 대시보드의 구성

주니퍼 Mist 포털의 왼쪽 메뉴에서 조직 > 액세스 > ID 공급자를 선택합니다.
ID 공급자 페이지에는 구성된 모든 ID 공급자가 표시됩니다.
IDP 추가를 클릭하여 새 ID 공급자를 추가합니다.

새 ID 공급자 페이지에서 다음 정보를 입력합니다.

이름 - IdP 이름을 입력합니다.

IDP 유형 - IdP 유형을 OAuth로 선택합니다.

표 1: ID 공급자 유형 OAuth 설정
매개 변수	묘사
OAuth 유형	Okta를 선택합니다
OAuth 테넌트 ID	OAuth 테넌트 ID를 입력합니다. Okta 애플리케이션 구성 중에 받은 ID를 사용합니다.
도메인 이름	Okta 사용자 도메인 이름을 입력합니다. 예: abc.com
기본 IDP	사용자 도메인 이름이 지정되지 않은 경우 선택한 ID 공급자를 기본값으로 설정합니다.
OAuth CC(클라이언트 자격 증명) 클라이언트 ID	Okta 애플리케이션 구성 중에 받은 ID를 사용합니다. Okta 클라이언트 크리덴셜 앱 통합
OAuth CC(클라이언트 자격 증명) 클라이언트 개인 키	Okta 애플리케이션 구성 중에 생성된 비공개 키를 입력합니다. Okta 클라이언트 크리덴셜 앱 통합을 참조하십시오.
OAuth 리소스 소유자 암호 자격 증명(ROPC) 클라이언트 ID	Okta 애플리케이션 구성 중에 수신 및 저장한 비밀 ID를 입력합니다. OKTA 리소스 소유자 암호 자격 증명 앱 통합을 참조하십시오.
OAuth 리소스 소유자 암호 자격 증명(ROPC) 클라이언트 암호	Okta 애플리케이션 구성 중에 수신 및 저장한 클라이언트 암호 값을 제공합니다. OKTA 리소스 소유자 암호 자격 증명 앱 통합을 참조하십시오.

만들기를 클릭하여 변경 사항을 저장합니다.

주니퍼 Mist 포털에서 클라이언트 이벤트> > 인사이트 모니터링으로 이동합니다.

사용자가 Okta에서 EAP-TLS를 사용하여 인증하면 아래와 같이 NAC IDP 그룹 조회 성공 이라는 이벤트를 볼 수 있습니다.

EAP-TTLS 인증의 경우 NAC IDP 인증 성공 이벤트를 확인할 수 있습니다. 이 이벤트는 Azure AD에서 사용자 자격 증명의 유효성을 검사했음을 나타냅니다. 사용자 그룹 멤버십을 가져오는 NAC IDP 그룹 조회 성공 이벤트도 볼 수 있습니다.

이 페이지의 내용

Okta를 ID 프로바이더로 통합

필수 구성 요소

OKTA 리소스 소유자 암호 자격 증명 앱 통합

Okta 클라이언트 크리덴셜 앱 통합

Juniper Mist 대시보드의 구성

또한보십시오