Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Agregar proveedores de identidad para Juniper Mist Access Assurance

Siga estos pasos para agregar sus proveedores de identidad a su organización y mejorar la autenticación y el control de acceso. Comprenda las diversas opciones disponibles en la configuración del proveedor de identidad (DPI).

Juniper Mist™ Access Assurance se integra con varios proveedores de identidad (IdP) para mejorar la autenticación y el control de acceso. Los proveedores de identidad sirven como fuente de autenticación (en caso de EAP-TTLS) y fuente de autorización (mediante la obtención de membresías a grupos de usuarios, estado de la cuenta, etc.) para EAP-TLS o EAP-TTLS.

Estos son los IDP compatibles:

  • Identificador de Microsoft Entra (anteriormente conocido como Azure Active Directory)

  • Identidad de la fuerza laboral de Okta

  • Google Workspace

  • Juniper Mist Edge Proxy

Juniper Mist Access Assurance utiliza proveedores de identidad (IdP) para:

  • Obtenga contexto de identidad adicional, como pertenencias a grupos de usuarios y estado de cuenta de los clientes.

    Esta información está disponible en métodos de autenticación basados en certificados, como el Protocolo de autenticación extensible de seguridad de la capa de transporte (EAP-TLS) y el Protocolo de autenticación extensible y TLS en túnel (EAP-TTLS).

  • Autentique a los clientes validando las credenciales. EAP-TTLS admite la autenticación basada en credenciales.

Recuerde que la configuración de IdP es opcional para la autenticación basada en certificados EAP-TLS, pero es obligatoria para la autenticación basada en credenciales (EAP-TTLS). Si está configurando un IdP, asegúrese de tener los detalles necesarios, como el ID de cliente y el secreto de cliente, del proveedor de identidad.

Juniper Mist Access Assurance utiliza los siguientes protocolos para integrarse en cualquier IdP con el fin de buscar usuarios y obtener información del estado del dispositivo:

  • Protocolo de acceso a directorios ligero y seguro (LDAP)
  • OAuth 2.0

La configuración de IDP es opcional para la autenticación basada en certificados EAP-TLS y obligatoria para la autenticación basada en credenciales (EAP-TTLS).

Prerrequisitos

Para agregar proveedores de identidad para Juniper Mist Access Assurance:

  1. En el menú de la izquierda del portal de Mist Juniper, seleccione Organización > acceso> Proveedores de identidad.
  2. Haga clic en Agregar DPI cerca de la esquina superior derecha de la página Proveedores de identidad.
  3. En la página Nuevo proveedor de identidad, escriba un Nombre y seleccione el tipo de DPI:

    • LDAPS

    • OAuth

    • Mist Edge Proxy

    New Identity Provider Page - Name and IDP Type
  4. Consulte las tablas a continuación para ingresar la información requerida para el tipo seleccionado.

    LDAPS

    Tabla 1: Configuración para IDP de LDAPS

    Parámetros

    Detalles
    Tipo de LDAP Seleccione una de las siguientes opciones en el menú desplegable:
    • Celeste
    • Okta
    • Costumbre

    Especifique el filtro LDAP que identificará el tipo de grupo, miembro o usuario. Esta opción solo está disponible para LDAP Tipo Personalizado.

    Hosts de servidor

    Introduce el nombre o la dirección IP del servidor LDAP que vas a utilizar para la autenticación.

    Nombres de dominio

    Introduzca el nombre de dominio completo (FQDN) del servidor LDAP.

    DPI predeterminado

    Establezca el proveedor de identidad seleccionado como IdP predeterminado. El sistema realiza una búsqueda en este IdP si el nombre de dominio de usuario introducido es desconocido o no se encuentra.

    Enlazar DN

    		 Especifica el usuario al que has permitido buscar el nombre de dominio base. Ejemplo: cn=admin, dc=abc, dc=com.

    Contraseña de enlace

    Ingrese la contraseña del usuario que se menciona en el DN de enlace.

    Base DN

    Introduzca un dominio completo o una unidad organizativa específica (contenedor) en la base de búsqueda para especificar dónde se encuentran los usuarios y grupos en el árbol LDAP, por ejemplo: OU=NetworkAdmins,DC=your,DC=domain,DC=com.

    Certificados LDAPS

    Agregue el certificado generado por la autoridad de certificación y el certificado de cliente.

    OAuth

    Para Tipo de autenticación OAuth, introduzca los valores como se indica en la tabla 2. Algunos de los campos que escriba aquí requieren valores que recibirá al configurar Azure u Okta Application. Consulte Integración de Microsoft Entra ID como proveedor de identidades o Integración de Okta como proveedor de identidades.

    Tabla 2: Configuración para IDP de OAuth

    Parámetros

    Descripción

    Tipo de OAuth

    		 Seleccione una de las siguientes opciones en el menú desplegable:
    • Celeste
    • Okta

    ID de inquilino de OAuth

    Escriba el identificador de inquilino de OAuth. Use el identificador que recibió durante la configuración de la aplicación Azure u Okta.

    Nombres de dominio

    Ingrese un nombre de dominio completo.

    DPI predeterminado

    Establezca el proveedor de identidad seleccionado como predeterminado si no se especifica el nombre de dominio del usuario.

    Credencial de cliente (CC) de OAuth ID de cliente

    El ID de aplicación de la aplicación cliente. Use el identificador que recibió durante la configuración de la aplicación de Azure u Okta.
    Credencial de cliente OAuth (CC) Clave privada de cliente (Para Okta) Ingrese la clave privada generada durante la configuración de la aplicación Okta.

    Credencial de contraseña de propietario de recursos de OAuth (ROPC) ID de cliente

    (Para Okta) Introduzca el ID secreto del cliente. Utilice el ID secreto que recibió durante la configuración de la aplicación Okta.
    Credencial de contraseña de propietario de recursos de OAuth (ROPC) Secreto de cliente

    (Para Okta) Proporcione el valor secreto del cliente. Utilice el valor secreto que recibió durante la configuración de la aplicación de Okta.
    Credencial de cliente (CC) de OAuth ID de cliente (Para Azure) Escriba el identificador de cliente generado durante la configuración de la aplicación de Azure.
    Credencial de cliente OAuth (CC) Secreto de cliente (Para Azure) Escriba el valor secreto de cliente generado durante la configuración de la aplicación de Azure.
    Credencial de contraseña de propietario de recursos de OAuth (ROPC) ID de cliente (Para Azure) igual que el ID de cliente de la credencial de cliente OAuth (CC).

    Mist Edge Proxy

    Tabla 3: Configuración del proxy de Mist Edge

    Parámetros

    Descripción
    Proxy Hosts

    Ingrese una lista separada por comas de las direcciones IP públicas o IP TDR de las instancias de Mist Edge que actúan como servidores proxy. Todas estas direcciones deben formar parte del clúster que identifique en el campo Clúster de Mist Edge .

    Mist Edge escuchará en las direcciones especificadas para:

    • Solicitudes RadSec entrantes de Mist Access Assurance

    • Solicitudes RADIUS desde servidores RADIUS externos
    SSID Escriba una lista separada por comas de los SSID que usará este IDP.
    Grupo de Mist Edge Seleccione un clúster de la lista.
    Nota:

    Si necesita agregar un clúster de Mist Edge, seleccione Mist Edge en el menú de la izquierda, seleccione Crear clúster e ingrese la información.
    Excluir reinos

    Utilice esta opción si desea evitar el proxy de ciertos usuarios. Esto solo es necesario cuando se usa EAP-TLS para usuarios sin ningún IdP externo agregado como fuente de autorización.

    Introduzca los nombres de dominio/dominios que desea excluir; todos los demás reinos de usuario válidos serán proxy.
    Nombre del operador

    Si especifica un nombre de operador, se incluirá en las solicitudes de acceso que se reenvían al servidor RADIUS externo. Por ejemplo, algunos NRO de eduroam requieren el atributo operator name.

    Este atributo debe empezar por 1 seguido de un FQDN.

    Ejemplo: 1abc_university.edu
    Servidores de autenticación RADIUS Debe especificar al menos un servidor. Haga clic en Agregar servidor y, a continuación, escriba la dirección IP, el puerto y el secreto compartido.
    Servidores de contabilidad de RADIUS Haga clic en Agregar servidor y, a continuación, escriba la dirección IP, el puerto y el secreto compartido.
  5. Para guardar los cambios, haga clic en Crear en la esquina superior derecha de la página Nuevo proveedor de identidad.

Documentación relacionada