Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autoaprovisionamiento para IoT y dispositivos personales

Automatice la incorporación de clientes a escala, para dispositivos personales e IoT, con un autoaprovisionamiento seguro.

Los usuarios inalámbricos en entornos como dormitorios pueden autoaprovisionarse de forma segura de sus dispositivos personales, como Xbox, Apple TV y Roku. Del mismo modo, los dispositivos IoT desatendidos pueden unirse de forma segura y automática a una VLAN o segmento de red específico. A esto lo llamamos la experiencia de red personal. Y debido a que elimina la necesidad de registrar la dirección MAC del cliente e intervenir en TI, es una solución ideal para proporcionar acceso Wi-Fi a escala.

El autoaprovisionamiento con Personal Network Experience funciona mediante la conexión de un proveedor de identidad (IDP) compatible con SAML, por ejemplo, Microsoft Entra ID, al portal de Mist Active Assurance. Los usuarios inician sesión en la WLAN, donde se les redirige al servicio de inicio de sesión único para su autenticación y autorización. Mist asigna a los usuarios autenticados una clave personal previamente compartida (PSK) que es específica tanto para el usuario individual como para el SSID. El uso de PSK personales también permite la microsegmentación, lo que significa que puede hacer que los usuarios se conecten a una VLAN específica según su rol o perfil. Lo mismo es cierto para los dispositivos IoT; se pueden conectar automáticamente a una VLAN específica, una práctica recomendada para protegerse contra ataques de adquisición de IoT.

En la consola de Mist, puede configurar tanto la complejidad de la frase de contraseña requerida como la frecuencia de rotación de las teclas.

Figura 1: Pantalla de inicio de sesión de autoaprovisionamiento WiFi interface showing SSID byod-net, passphrase 2FJACc!%, QR code, email and regenerate options, alongside three people working on a wooden deck with greenery visible.

Durante el autoaprovisionamiento, los usuarios de portátiles pueden generar una frase de contraseña única, copiarla y pegarla en el portal cuando se les solicite. O, si trabajan desde un dispositivo móvil, pueden recibir la frase de contraseña por correo electrónico. Las frases de contraseña generadas caducan después de 24 horas.

Antes de empezar

  • Obtenga y active una suscripción a Juniper Mist™ Access Assurance. Para obtener información sobre la administración de suscripciones, consulte la Guía de administración de Juniper Mist.
  • En su organización de Juniper Mist, configure al menos una WLAN a nivel de organización con Multi-PSK habilitado (las opciones de PSK local o en la nube están bien). Para obtener ayuda con la configuración de WLAN, consulte la Guía de configuración de Juniper Mist Wireless Assurance.

  • En la consola de administración de IdP, configura una integración de aplicaciones SAML 2.0. Su portal de PSK se integrará con esta aplicación para habilitar el acceso de inicio de sesión único (SSO) a los usuarios de su portal. Puedes usar una amplia variedad de IdP (como Okta y Microsoft Azure), siempre y cuando sean compatibles con SAML 2.0. Para obtener ayuda para configurar una integración de aplicaciones SAML 2.0, consulta la documentación del IdP.

    Copie la siguiente información de la integración de la aplicación SAML 2.0 y guárdela para poder usarla para configurar su portal de PSK en Juniper Mist.

    • Algoritmo de firma

    • Identificador de emisor (esta clave puede variar, por ejemplo, en Okta, este valor se denomina emisor de proveedor de identidades y en Azure, se denomina identificador de Azure AD.

    • Dirección URL de SSO (esta clave puede variar, por ejemplo, en Okta, este valor se denomina URL de inicio de sesión único del proveedor de identidades y en Azure, se llama URL de inicio de sesión.

    • Certificado: copie el texto completo del certificado, desde la línea BEGIN CERTIFICATE hasta la línea END CERTIFICATE .

Configurar el autoaprovisionamiento

Para configurar la incorporación de clientes con un portal BYOD PSK:

  1. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > Access > Incorporación de clientes.
  2. Haga clic en Agregar portal de PSK en la esquina superior derecha de la página Incorporación de clientes.
  3. En la ventana emergente Agregar portal de PSK, escriba un Nombre, seleccione BYOD (SSO) como tipo de portal y, a continuación, haga clic en Crear.
  4. En la pestaña Configuración del portal de la ventana Editar portal de PSK:

    • Mantenga las opciones de diseño predeterminadas o realice cambios para personalizar la pantalla de inicio de sesión.

    • Copie la URL del portal de PSK para poder proporcionársela a los usuarios.

    s070676.png
  5. En la pestaña Autorización del portal de la ventana Editar portal de PSK:

    • Introduce el emisor, el algoritmo de firma, la URL de SSO y el certificado que copiaste de la integración de la aplicación en la consola de administración del IdP.

    • Seleccione un formato de ID de nombre. La mayoría de las personas usan la dirección de correo electrónico para el ID del nombre. Si utiliza un identificador diferente para sus cuentas de usuario de IdP, seleccione No especificado.

    Edit PSK Portal configuration window with Portal Authorization tab selected, showing required fields with red exclamation marks. Error message: SSO Issuer is required. Fields include Issuer, Name ID Format, Signing Algorithm set to SHA256, Certificate, and SSO URL with copy button. Buttons include Delete, Save, and Cancel.
  6. Copie la URL de SSO del portal.
  7. Abre una ventana del navegador independiente y sigue estos pasos para finalizar la integración de la aplicación SAML 2.0:
    1. Vaya a la consola de administración de su IdP.
    2. Ve a la configuración de la integración de la aplicación SAML 2.0.
    3. Ingrese el valor copiado en el campo correspondiente para identificar su portal PSK de Juniper Mist en su IdP. Para obtener ayuda, consulte la documentación del IdP.
    4. Guarde los cambios.

    Es posible que el IdP tenga nombres diferentes para el campo en el que debe pegar la URL de SSO del portal. Considere los siguientes ejemplos y consulte la documentación del IdP para obtener ayuda.

    Ejemplo de Okta

    En este ejemplo, la URL de SSO del portal de Juniper Mist se copia en los campos correspondientes de Okta Admin Console.

    Configuration screen for SAML settings with consistent URL across Portal SSO URL, Single sign on URL, and Audience URI fields.

    Ejemplo de Microsoft Azure

    En este ejemplo, la dirección URL de SSO del portal de Juniper Mist se copia en los campos adecuados de Azure Admin Console.

    Configuration screen for Basic SAML setup in Azure Active Directory, showing repeated use of the URL https://api.mist.com/api/v1/pskportal/ in Portal SSO URL, Identifier Entity ID, and Reply URL fields.
  8. Regrese al portal de Juniper Mist.
  9. En la pestaña Parámetros PSK de la ventana Editar portal PSK:

    • Seleccione el SSID (obligatorio).

      Nota:

      La lista solo incluye SSID para WLAN de nivel de organización que tienen habilitado Multi-PSK.

    • Ajuste la configuración opcional según sea necesario. Por ejemplo:

      • Especifique un ID de VLAN si desea que los usuarios de este portal se asignen a una VLAN determinada. Para utilizar esta opción, debe introducir una VLAN que se incluya en la lista VLAN de la WLAN.

      • Establezca la Configuración de frase de contraseña para aplicar sus políticas de complejidad de contraseña.

      • Ajuste las opciones de validez de PSK para establecer el período de caducidad y enviar recordatorios antes de que caduque la clave.

        Si habilita la opción para enviar recordatorios, Juniper Mist envía un correo electrónico a los usuarios cuando su PSK está a punto de caducar.

        El correo electrónico incluye la URL predeterminada de reautenticación o su URL de renovación de caducidad de clave (si ingresa una). Normalmente es una URL de inicio de sesión único (por ejemplo, usar la URL de su proveedor de identidad corporativa a través de Okta o Microsoft Azure).

      • En Uso máximo, puede limitar el número de dispositivos que se pueden conectar al portal.

      • En Rol, puede especificar un rol para limitar el acceso a determinados tipos de cuentas de usuario (con los roles que configuró para sus cuentas de usuario de IdP).

    Configuration interface for editing a PSK Portal, including fields for SSID, VLAN ID, passphrase settings, PSK validity, expiration renew URL, max usage, role assignment, and save, delete, or cancel options.
  10. Haga clic en Guardar en la parte inferior de la ventana Editar portal de PSK.
    Nota:

    El botón no estará disponible hasta que ingrese la configuración necesaria en las distintas pestañas. La configuración requerida está etiquetada en rojo.
  11. Compruebe que su portal funciona como se esperaba yendo a la URL del portal de PSK que copió en la pestaña Configuración del portal de la ventana Editar PSK.
  12. Proporcione a los usuarios la URL del portal de PSK para que puedan conectarse a su portal.
    Propina:

    Cree un CNAME en su DNS para crear una URL más fácil de usar que esté asociada con su dominio.

    Los usuarios pueden seguir el texto en pantalla para incorporar sus dispositivos.