Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Agregar proveedores de identidad para Juniper Mist Access Assurance

Juniper Mist™ Access Assurance se integra con varios proveedores de identidad (IdP) para mejorar la autenticación y el control de acceso. Los proveedores de identidad sirven como fuente de autenticación (en el caso de EAP-TTLS) y fuente de autorización (mediante la obtención de membresías de grupos de usuarios, estado de cuenta, etc.) para EAP-TLS o EAP-TTLS.

Estos son los IdP compatibles:

  • Microsoft Entra ID (anteriormente conocido como Azure Active Directory)

  • Identidad de la fuerza laboral de Okta

  • Google Workspace

  • Proxy de borde de Juniper Mist

Juniper Mist Access Assurance utiliza proveedores de identidad (IdP) para:

  • Obtenga contexto de identidad adicional, como pertenencias a grupos de usuarios y estado de cuenta de clientes.

    Esta información está disponible en métodos de autenticación basados en certificados, como Protocolo de autenticación extensible-Seguridad de la capa de transporte (EAP-TLS) y Protocolo de autenticación extensible-TLS tunelizado (EAP-TTLS).

  • Autenticar clientes mediante la validación de credenciales. EAP-TTLS admite la autenticación basada en credenciales.

Recuerde que la configuración de IdP es opcional para la autenticación basada en certificados EAP-TLS, pero es obligatoria para la autenticación basada en credenciales (EAP-TTLS). Si va a configurar un IdP, asegúrese de tener los detalles necesarios, como el ID de cliente y el secreto de cliente, del proveedor de identidades.

Juniper Mist Access Assurance utiliza los siguientes protocolos para integrarse en cualquier IdP, con el fin de buscar usuarios y obtener información sobre el estado del dispositivo:

  • Protocolo ligero seguro de acceso a directorios (LDAP)
  • OAuth 2.0

La configuración de IdP es opcional para la autenticación basada en certificados EAP-TLS y obligatoria para la autenticación basada en credenciales (EAP-TTLS).

Requisitos previos

Para agregar proveedores de identidad para Juniper Mist Access Assurance:

  1. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > acceso> proveedores de identidad.
  2. Haga clic en Agregar IDP cerca de la esquina superior derecha de la página Proveedores de identidad.
  3. En la página Nuevo proveedor de identidades, escriba un Nombre y seleccione el tipo de IDP:

    • LDAPS

    • Oauth

    • Proxy de borde de Mist

    New Identity Provider Page - Name and IDP Type
  4. Consulte las tablas siguientes para introducir la información necesaria para el tipo seleccionado.

    LDAPS

    Tabla 1: Configuración para IdP LDAPS

    Parámetros

    Detalles
    Tipo LDAP Seleccione una de las siguientes opciones en el menú desplegable:
    • Azul
    • Okta
    • Personalizado

    Hosts de servidor

    Introduzca el nombre o la dirección IP del servidor LDAP que va a utilizar para la autenticación.

    Nombres de dominio

    Introduzca el nombre de dominio completo (FQDN) del servidor LDAP.

    IDP predeterminado

    Establezca el proveedor de identidades seleccionado como IdP predeterminado. El sistema realiza búsquedas en este IdP si el nombre de dominio de usuario introducido es desconocido o no se encuentra.

    DN de enlace

    		 Especifique el usuario al que ha permitido buscar el nombre de dominio base. Ejemplo: cn=admin, dc=abc, dc=com.

    Enlazar contraseña

    Escriba la contraseña del usuario que se menciona en el DN de enlace.

    Base DN

    Introduzca un dominio completo o una unidad organizativa específica (contenedor) en Base de búsqueda para especificar dónde se encuentran los usuarios y grupos en el árbol LDAP, por ejemplo: OU=NetworkAdmins,DC=your,DC=domain,DC=com.

    Certificados LDAPS

    Agregue el certificado generado por la entidad emisora de certificados y el certificado de cliente.
    • Filtro de grupo
    • Filtro de miembros
    • Filtro de usuario

    Especifique el filtro LDAP que identificará el tipo de grupo, miembro o usuario. Esta opción solo está disponible para LDAP Type Custom.

    Oauth

    Para el tipo de autenticación OAuth, escriba los valores que se proporcionan en la tabla 2. Algunos de los campos que especifique aquí requieren valores que recibirá cuando configure Azure u Okta Application. Consulte Integrar Azure AD como proveedor de identidades o Integrar Okta como proveedor de identidades.

    Tabla 2: Configuración de los IdP de OAuth

    Parámetros

    Descripción

    Tipo de OAuth

    		 Seleccione una de las siguientes opciones en el menú desplegable:
    • Azul
    • Okta

    ID de inquilino de OAuth

    Escriba el identificador de inquilino de OAuth. Use el identificador que recibió durante la configuración de aplicaciones de Azure u Okta.

    Nombres de dominio

    Introduzca un nombre de dominio completo.

    IDP predeterminado

    Establezca el proveedor de identidad seleccionado como predeterminado si no se especifica el nombre de dominio del usuario.

    ID de cliente de la credencial de cliente (CC) de OAuth

    El identificador de aplicación de la aplicación cliente. Use el identificador que recibió durante la configuración de aplicaciones de Azure u Okta.
    Clave privada de cliente de la credencial de cliente (CC) de OAuth (Para Okta) Introduzca la clave privada generada durante la configuración de la aplicación Okta.

    ID de cliente de la credencial de contraseña de propietario de recursos (ROPC) de OAuth

    (Para Okta) Introduzca el ID secreto de cliente. Utilice el ID secreto que recibió durante la configuración de la aplicación Okta.
    Credencial de contraseña de propietario de recursos OAuth (ROPC) Secreto de cliente

    (Para Okta) Proporcione valor de secreto de cliente. Utilice el valor secreto que recibió durante la configuración de la aplicación Okta.
    ID de cliente de la credencial de cliente (CC) de OAuth (Para Azure) Escriba el identificador de cliente generado durante la configuración de la aplicación de Azure.
    Secreto de cliente de la credencial de cliente (CC) de OAuth (Para Azure) Escriba el valor secreto de cliente generado durante la configuración de la aplicación de Azure.
    ID de cliente de la credencial de contraseña de propietario de recursos (ROPC) de OAuth (Para Azure) igual que el identificador de cliente de la credencial de cliente (CC) de OAuth.

    Proxy de borde de Mist

    Tabla 3: Configuración del proxy de borde de niebla

    Parámetros

    Descripción
    Proxy Hosts

    Introduzca una lista separada por comas de las direcciones IP públicas o NAT de los Mist Edges que actúan como proxies. Todas estas direcciones deben formar parte del clúster que se identifica en el campo Clúster de borde de niebla .

    Mist Edge escuchará en las direcciones especificadas para:

    • Solicitudes RadSec entrantes de Mist Access Assurance

    • Solicitudes RADIUS de servidores RADIUS externos
    Ssids Escriba una lista separada por comas de los SSID que usará este IdP.
    Clúster de borde de niebla Seleccione un clúster de la lista.
    Nota:

    Si necesita agregar un clúster de borde de niebla, seleccione Bordes de niebla en el menú de la izquierda y, a continuación, seleccione Crear clúster e introduzca la información.
    Excluir dominios

    Utilice esta opción si desea evitar el proxy de determinados usuarios. Esto solo es necesario cuando se usa EAP-TLS para usuarios sin ningún IdP externo agregado como origen de autorización.

    Introduzca los nombres o dominios de dominio que desea excluir; Todos los demás dominios de usuario válidos se redirigirán.
    Nombre del operador

    Si especifica un nombre de operador, se incluirá en las solicitudes de acceso que se reenvíen al servidor RADIUS externo. Por ejemplo, algunas NRO de eduroam requieren el atributo operator name.

    Este atributo debe comenzar con 1, seguido de un FQDN.

    Ejemplo: 1abc_university.edu
    Servidores de autenticación RADIUS Debe especificar al menos un servidor. Haga clic en Agregar servidor y, a continuación, escriba la dirección IP, el puerto y el secreto compartido.
    Servidores de contabilidad RADIUS Haga clic en Agregar servidor y, a continuación, escriba la dirección IP, el puerto y el secreto compartido.
  5. Para guardar los cambios, haga clic en Crear en la esquina superior derecha de la página Nuevo proveedor de identidades.

Documentación relacionada