Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Autoaprovisionamiento para IoT y dispositivos personales

Automatice la incorporación de clientes a escala, para dispositivos personales e IoT, con un autoaprovisionamiento seguro.

Los usuarios inalámbricos en entornos como dormitorios pueden auto aprovisionar de forma segura sus dispositivos personales, como Xbox, Apple TV y Roku. Del mismo modo, los dispositivos de IoT desatendidos pueden unirse de forma segura y automática a una VLAN o segmento de red especificados. A esto lo llamamos la experiencia de red personal. Además, debido a que elimina la necesidad de registrar la dirección MAC del cliente y la intervención de TI, es una solución ideal para proporcionar acceso Wi-Fi a escala.

El autoaprovisionamiento con la experiencia de red personal funciona mediante la conexión de un proveedor de identidad compatible con SAML (DPI), por ejemplo, Microsoft Entra ID, al portal de Mist Active Assurance. Los usuarios inician sesión en la WLAN, donde se les redirige al servicio de inicio de sesión único para su autenticación y autorización. Mist asigna a los usuarios autenticados una clave personal precompartida (PSK) que es específica tanto para el usuario individual como para el SSID. El uso de PSK personales también habilita la microsegmentación, lo que significa que puede hacer que los usuarios se conecten a una VLAN específica según su función o perfil. Lo mismo ocurre con los dispositivos de IoT; se pueden conectar automáticamente a una VLAN específica, una práctica recomendada para protegerse contra ataques de adquisición de IoT.

En la consola de Mist, puede configurar tanto la complejidad de la frase de contraseña requerida como la frecuencia de rotación de la tecla.

Figura 1: Pantalla de inicio de sesión de autoaprovisionamiento WiFi interface showing SSID byod-net, passphrase 2FJACc!%, QR code, email and regenerate options, alongside three people working on a wooden deck with greenery visible.

Durante el autoaprovisionamiento, los usuarios de computadoras portátiles pueden generar una frase de contraseña única y, a continuación, copiarla y pegarla en el portal cuando se les solicite. O, si trabajan desde un dispositivo móvil, pueden recibir la frase de contraseña por correo electrónico. Las frases de contraseña generadas caducan después de 24 horas.

Antes de empezar

  • Obtenga y active una suscripción a Juniper Mist™ Access Assurance. Para obtener más información acerca de la administración de suscripciones, consulte la Guía de administración de Juniper Mist.
  • En su organización de Juniper Mist, configure al menos una WLAN a nivel de organización con Multi-PSK habilitado (las opciones de PSK local o en la nube están bien). Para obtener ayuda con la configuración de WLAN, consulte la Guía de configuración de Juniper Mist Wireless Assurance.

  • En la consola de administración de IdP, configure una integración de aplicaciones SAML 2.0. Su portal PSK se integrará con esta aplicación para habilitar el acceso de inicio de sesión único (ISU) a los usuarios de su portal. Puede usar una amplia variedad de IdP (como Okta y Microsoft Azure), siempre que sean compatibles con SAML 2.0. Para obtener ayuda para configurar una integración de aplicaciones SAML 2.0, consulte la documentación de su IdP.

    Copie la siguiente información de su integración de la aplicación SAML 2.0 y guárdela para poder usarla para configurar su portal de PSK en Juniper Mist.

    • Algoritmo de firma

    • Identificador de emisor (esta clave puede variar, por ejemplo, en Okta, este valor se denomina emisor del proveedor de identidades y en Azure, se denomina identificador de Azure AD.

    • Dirección URL de ISU (esta clave puede variar, por ejemplo, en Okta, este valor se denomina Dirección URL de inicio de sesión único del proveedor de identidades y, en Azure, se denomina Dirección URL de inicio de sesión.

    • Certificado: copie el texto completo del certificado, desde la línea BEGIN CERTIFICATE hasta la línea END CERTIFICATE .

Configurar el autoaprovisionamiento

Para configurar la incorporación de clientes con un portal PSK de BYOD:

  1. En el menú de la izquierda del portal de Juniper Mist, seleccione Organización > acceso > incorporación de clientes.
  2. Haga clic en Agregar portal de PSK en la esquina superior derecha de la página Incorporación de clientes.
  3. En la ventana emergente Agregar portal de PSK, escriba un nombre, seleccione BYOD (ISU) como tipo de portal y, a continuación, haga clic en Crear.
  4. En la pestaña Configuración del portal de la ventana Editar portal de PSK:

    • Mantenga las opciones de diseño predeterminadas o realice cambios para personalizar la pantalla de inicio de sesión.

    • Copie la URL del portal de PSK para poder proporcionársela a los usuarios.

    s070676.png
  5. En la pestaña Autorización del portal de la ventana Editar portal de PSK:

    • Introduce el emisor, el algoritmo de firma, la URL de ISU y el certificado que has copiado de la integración de la aplicación en la consola de administración del IDP.

    • Seleccione un formato de ID de nombre. La mayoría de las personas usan la dirección de correo electrónico para el ID del nombre. Si usa un identificador diferente para sus cuentas de usuario de IdP, seleccione Sin especificar.

    Edit PSK Portal configuration window with Portal Authorization tab selected, showing required fields with red exclamation marks. Error message: SSO Issuer is required. Fields include Issuer, Name ID Format, Signing Algorithm set to SHA256, Certificate, and SSO URL with copy button. Buttons include Delete, Save, and Cancel.
  6. Copie la URL de ISU del portal.
  7. Abra una ventana separada del navegador y complete estos pasos para finalizar su integración de la aplicación SAML 2.0:
    1. Vaya a la consola de administración de IdP.
    2. Vaya a la configuración de la integración de la aplicación SAML 2.0.
    3. Ingrese el valor copiado en el campo correspondiente para identificar su portal de Juniper Mist PSK para su IdP. Para obtener ayuda, consulte la documentación del IDP.
    4. Guarde los cambios.

    Es posible que el IdP tenga nombres diferentes para el campo en el que debe pegar la URL de ISU del portal. Considere los siguientes ejemplos y consulte su documentación de IdP para obtener ayuda.

    Ejemplo de Okta

    En este ejemplo, la URL de ISU del portal de Juniper Mist se copia en los campos correspondientes de Okta Admin Console.

    Configuration screen for SAML settings with consistent URL across Portal SSO URL, Single sign on URL, and Audience URI fields.

    Ejemplo de Microsoft Azure

    En este ejemplo, la dirección URL de ISU del portal de Juniper Mist se copia en los campos adecuados de Azure Admin Console.

    Configuration screen for Basic SAML setup in Azure Active Directory, showing repeated use of the URL https://api.mist.com/api/v1/pskportal/ in Portal SSO URL, Identifier Entity ID, and Reply URL fields.
  8. Regrese al portal de Juniper Mist.
  9. En la pestaña Parámetros de PSK de la ventana Editar portal de PSK:

    • Seleccione el SSID (obligatorio).

      Nota:

      La lista solo incluye los SSID de las WLAN de nivel de organización que tienen habilitado Multi-PSK.

    • Ajuste la configuración opcional según sea necesario.

      Tabla 1: Configuración opcional
      Descripción de la opción
      VLAN ID

      Especifique un ID si desea asignar los usuarios de este portal a una VLAN determinada. El ID debe existir en la lista de VLAN para la WLAN.
      Configuración de frase de contraseña Ingrese la configuración para aplicar sus políticas para la complejidad de las contraseñas.
      Validez de PSK

      Puede establecer el período de caducidad de la clave y enviar recordatorios antes de la caducidad de la clave.

      Si activa la opción de enviar recordatorios, Juniper Mist envía un correo electrónico a los usuarios cuando su PSK está a punto de caducar.

      El correo electrónico incluye la URL de reautenticación predeterminada o la URL de renovación de caducidad de clave (si ingresa una). Normalmente, se trata de una URL de inicio de sesión único (por ejemplo, mediante la URL de su proveedor de identidad corporativa a través de Okta o Microsoft Azure).

      Uso máximo Introduzca el número máximo de dispositivos que pueden conectarse al portal.
      Función

      Si desea limitar el acceso a determinados tipos de cuentas de usuario, especifique las funciones que se permiten para usar el portal. Estos deben ser roles que haya configurado para sus cuentas de usuario de IdP.
    Configuration interface for editing a PSK Portal, including fields for SSID, VLAN ID, passphrase settings, PSK validity, expiration renew URL, max usage, role assignment, and save, delete, or cancel options.
  10. Haga clic en Guardar en la parte inferior de la ventana Editar portal de PSK.
    Nota:

    El botón no está disponible hasta que ingrese la configuración requerida en las distintas pestañas. La configuración requerida está etiquetada en rojo.
  11. Para comprobar que el portal funciona según lo esperado, vaya a la URL del portal de PSK que copió de la pestaña Configuración del portal de la ventana Editar PSK.
  12. Proporcione a los usuarios la URL del portal de PSK para que puedan conectarse al portal.
    Propina:

    Cree un CNAME en su DNS para crear una URL más fácil de usar asociada con su dominio.

    Los usuarios pueden seguir el texto en pantalla para incorporar sus dispositivos.