Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Integrar Okta como proveedor de identidad

Siga estos pasos para completar los requisitos previos, configurar sus aplicaciones de credenciales en Okta y agregar su proveedor de identidad a su organización de Juniper Mist.

Puede usar Okta Workforce Identity Cloud a través del panel de control de Juniper Mist para autenticar a los usuarios finales que intentan acceder a la red. Juniper Mist Access Assurance utiliza Okta como proveedor de identidad (IDP) para realizar diversas tareas de autenticación:

  • Para la autenticación basada en credenciales (EAP-TTLS), Okta:
    • Realiza la autenticación delegada, es decir, comprueba el nombre de usuario y la contraseña mediante OAuth.
    • Recupera información de pertenencia a grupos de usuarios para admitir directivas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario
  • Para la autorización basada en certificados (EAP-TLS o EAP-TTLS), Okta:
    • Recupera información de pertenencia a grupos de usuarios para admitir directivas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario

Prerrequisitos

  • Cree una suscripción para Okta y obtenga su ID de inquilino. Durante la creación de la suscripción, se especifica un inquilino que se utiliza para crear una URL para acceder al panel de Okta. Puedes encontrar tu ID en la esquina superior derecha del panel de control de Okta. Tenga en cuenta que el identificador de inquilino no debe incluir okta.com.

    Nota:

    La URL de inicio de sesión de Okta tiene el siguiente formato:

    https://{your-okta-account-id}-admin.okta.com/admin/getting-started.

    Reemplácelo {your-okta-account-id} por su ID de cuenta de Okta.
  • Debe tener permiso de superusuario en el portal de Juniper Mist.

Integración de aplicaciones de credenciales de contraseña de propietario de recursos OKTA

  1. Inicie sesión en la consola de administración de Okta y seleccione Aplicaciones > Aplicaciones.
  2. Haga clic en Crear integración de aplicaciones.
    Se abre la página Crear una nueva integración de aplicaciones.
  3. En Método de inicio de sesión, seleccione OIDC-OpenID Connect y, en Tipo de aplicación, seleccione Aplicación nativa.
  4. En la página Nueva integración de aplicaciones nativas, seleccione:
    • Nombre de integración de aplicaciones: introduce un nombre con el que resuene.
    • Tipo de concesión: seleccione Contraseña del propietario del recurso.
    • Acceso controlado: seleccione Permitir el acceso de todos los usuarios de su organización. En este ejemplo, estamos concediendo a todos acceso a la aplicación.
  5. Haga clic en Guardar.

    Después de guardar el sistema como una nueva integración de aplicaciones, la aplicación se vuelve a cargar con la pestaña General seleccionada.

  6. En la ficha General, haga clic en Editar y seleccione las siguientes opciones: .
    • Autenticación de cliente: seleccione Secreto de cliente
    • Clave de prueba para intercambio de código: seleccione Requerir PKCE como verificación adicional
  7. Haga clic en Guardar para continuar.
    Okta genera el ID de cliente y el secreto de cliente después de este paso.

    Anote el identificador de cliente y el secreto de cliente. Necesitará esta información más adelante.

  8. Vaya a la pestaña Okta API Scopes (Ámbitos de la API de Okta) y seleccione las siguientes casillas de verificación para conceder permisos de lectura:
    • okta.roles.read
    • okta.users.read
    • okta.users.read.self
Ahora, vaya al portal de la nube de Juniper Mist y comience a integrar Okta como un IdP.

Integración de la aplicación de credenciales de cliente de Okta

  1. Inicie sesión en la consola de administración de Okta y seleccione Aplicaciones > Aplicaciones.
  2. Haga clic en Crear integración de aplicaciones.
    Se abre la página Crear una nueva integración de aplicaciones.
  3. En Método de inicio de sesión, seleccione Servicios de API.
    Se abre la página Nueva integración de aplicaciones de Servicios de API.
  4. Escriba un nombre para Nombre de integración de aplicaciones y, a continuación, haga clic en Guardar.
  5. Vaya a la pestaña General en la página de integración de la nueva aplicación y haga clic en Editar.
  6. Haga clic en Editar y seleccione el método de autenticación de cliente como Clave pública / Clave privada y, a continuación, haga clic en Agregar clave en la sección CLAVES PÚBLICAS.
  7. Seleccione el formato de archivo como PEM en la sección Clave privada, luego copie la clave privada y guárdela en un lugar seguro.
    En un lugar seguro, guarde el archivo de clave privada que genera Okta.

    No podrá recuperar esta clave privada de nuevo.

    Haga clic en Listo.
  8. Haga clic en Guardar para almacenar y activar la clave.

    Puede observar que el estado de la clave ahora es Activo. Copie el ID de cliente y el secreto que aparecen en la pantalla,

  9. Vaya a la pestaña Okta API Scopes y permita los siguientes permisos de lectura:
    • okta.roles.read
    • okta.users.read
    • okta.users.read

Configuración en el panel de control de Juniper Mist

  1. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > proveedores de acceso > identidad.
    La página Proveedores de identidad muestra los proveedores de identidad configurados.
  2. Haga clic en Agregar IDP para agregar un nuevo proveedor de identidades.
  3. En la página Nuevo proveedor de identidades, escriba la siguiente información:
    1. Nombre: introduzca un nombre de IdP.
    2. Tipo de IDP: seleccione un tipo de IdP como OAuth.
      Tabla 1: Configuración para OAuth del tipo de proveedor de identidad

      Parámetros

      Descripción

      Tipo de OAuth

      		 Seleccione Okta

      ID de inquilino de OAuth

      Escriba el ID de inquilino de OAuth. Utilice el ID que recibió durante la configuración de la aplicación Okta.

      Nombres de dominio

      Introduce tu nombre de dominio de usuario de Okta. Ejemplo: abc.com

      IDP predeterminado

      Establezca el proveedor de identidad seleccionado como predeterminado si no se especifica el nombre de dominio del usuario.

      ID de cliente de la credencial de cliente (CC) de OAuth

      Utilice el ID que recibió durante la configuración de la aplicación Okta.

      Integración de la aplicación de credenciales de cliente de Okta
      Clave privada de cliente de la credencial de cliente (CC) de OAuth Introduzca la clave privada generada durante la configuración de la aplicación Okta. Consulte Integración de aplicaciones de credenciales de cliente de Okta

      ID de cliente de la credencial de contraseña de propietario de recursos (ROPC) de OAuth

      Ingrese el ID secreto que recibió y almacenó durante la configuración de la aplicación Okta.

      Consulte Integración de aplicaciones de credenciales de contraseña de propietario de recursos OKTA.
      Credencial de contraseña de propietario de recursos OAuth (ROPC) Secreto de cliente

      Proporcione el valor secreto de cliente que recibió y almacenó durante la configuración de la aplicación Okta.

      Consulte Integración de aplicaciones de credenciales de contraseña de propietario de recursos OKTA
  4. Haga clic en Crear para guardar los cambios.

En el portal de Juniper Mist, vaya a Monitoring > Insights > Client Events.

Cuando un usuario se autentica mediante EAP-TLS con Okta, puede ver el evento denominado Éxito de búsqueda de grupo de IDP de NAC, como se muestra a continuación:

En el caso de la autenticación EAP-TTLS, puede ver el evento de éxito de autenticación de IDP de NAC . Este evento indica que Azure AD tiene credenciales de usuario validadas. También puede ver el evento realizado correctamente en la búsqueda de grupos de desplazados internos de NAC que recupera las pertenencias a grupos de usuarios.

Ver también