Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Integre a Okta como proveedor de identidad

Siga estos pasos para completar los requisitos previos, configurar sus aplicaciones de credenciales en Okta y agregar su proveedor de identidad a su organización de Juniper Mist.

Puede usar Okta Workforce Identity Cloud a través del panel de control de Juniper Mist para autenticar a los usuarios finales que intentan acceder a la red. Juniper Mist Access Assurance usa a Okta como proveedor de identidad (DPI) para llevar a cabo diversas tareas de autenticación:

  • Para la autenticación basada en credenciales (EAP-TTLS), Okta:
    • Lleva a cabo la autenticación delegada, es decir, comprueba el nombre de usuario y la contraseña mediante OAuth.
    • Recupera la información de pertenencia a grupos de usuarios para admitir políticas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario
  • Para la autorización basada en certificados (EAP-TLS o EAP-TTLS), Okta:
    • Recupera información de pertenencia a grupos de usuarios para admitir políticas de autenticación basadas en esta identidad de usuario
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario

Requisitos previos

  • Cree una suscripción para Okta y obtenga su ID de inquilino. Durante la creación de la suscripción, especifique un inquilino que se utiliza para crear una dirección URL para acceder al panel de control de Okta. Puede encontrar su ID de inquilino en la esquina superior derecha del panel de control de Okta. El ID de inquilino no debe incluir okta.com.

    Nota:

    Su URL de inicio de sesión de Okta tiene el siguiente formato:

    https://{your-okta-account-id}-admin.okta.com/admin/getting-started.

    Reemplácelo {your-okta-account-id} por su ID de inquilino de Okta.
  • Debe tener permiso de superusuario en el portal de Juniper Mist.

Integración de la aplicación de credenciales de contraseña de propietario de recursos de OKTA

Nota:

Las capturas de pantalla de las aplicaciones de terceros son correctas en el momento de la publicación. No tenemos forma de saber cuándo o si las capturas de pantalla serán precisas en el futuro. Consulte el sitio web de terceros para obtener orientación sobre los cambios en estas pantallas o los flujos de trabajo involucrados.
  1. Inicie sesión en la consola de administración de Okta y seleccione Aplicaciones > aplicaciones.
  2. Haga clic en Crear nueva integración de aplicaciones.
    En Método de inicio de sesión, seleccione OICD-OpenID Connect y, en Tipo de aplicación, seleccione Aplicación nativa. El resultado se ve así: <se necesita imagen>
    Haga clic en Siguiente.
  3. En Método de inicio de sesión, seleccione OIDC-OpenID Connect y en Tipo de aplicación, seleccione Aplicación nativa.
  4. En la página Nueva integración de aplicaciones nativas, seleccione:
    • Nombre de la integración de la aplicación: introduzca un nombre con el que resuene.
    • Tipo de subvención: seleccione la contraseña del propietario del recurso.
    • Acceso controlado: seleccione Permitir acceso a todos los miembros de su organización. En este ejemplo, estamos otorgando acceso a la aplicación a todos.
  5. Haga clic en Guardar.

    Después de guardar el sistema como una nueva integración de aplicaciones, la aplicación se vuelve a cargar con la pestaña General seleccionada.

  6. En la pestaña General, haga clic en Editar y seleccione las siguientes opciones: .
    • Autenticación de cliente: seleccione secreto de cliente
  7. Haga clic en Guardar para continuar.
    Okta genera el ID de cliente y el secreto de cliente después de este paso.

    Anote el ID de cliente y el secreto de cliente. Necesitará esta información más adelante.

  8. Vaya a la pestaña Ámbitos de la API de Okta y seleccione las siguientes casillas de verificación para conceder permisos de lectura:
    • okta.roles.read
    • okta.usuarios.leer
    • okta.users.read.self
Ahora, vaya al portal de la nube de Juniper Mist y comience a integrar a Okta como IdP.

Integración de la aplicación de credenciales del cliente de Okta

  1. Inicie sesión en la consola de administración de Okta y seleccione Aplicaciones > aplicaciones.
  2. Haga clic en Crear integración de aplicaciones.
    Se abre la página Crear una nueva integración de aplicación.
  3. En Método de inicio de sesión, seleccione Servicios de API.
    Se abre la página Nueva integración de aplicaciones de servicios de API.
  4. Introduzca un nombre para Nombre de la integración de la aplicación y, a continuación, haga clic en Guardar.
  5. Vaya a la pestaña General en la página de integración de nuevas aplicaciones y haga clic en Editar.
  6. Haga clic en Editar y seleccione el método de autenticación de cliente como Clave pública / Clave privada y, a continuación, haga clic en Agregar clave en la sección CLAVES PÚBLICAS.
  7. Seleccione el formato de archivo como PEM en la sección Clave privada, luego copie la clave privada y guárdela en un lugar seguro.
    En un lugar seguro, guarde el archivo de clave privada que genera Okta.

    No podrá recuperar esta clave privada de nuevo.

    Haga clic en Listo.
  8. Haga clic en Guardar para almacenar y activar la clave.

    Puede observar que el estado de la clave ahora es Activo. Copie el ID de cliente y el secreto que se muestran en la pantalla.

  9. Desplácese hacia abajo hasta que vea la sección Configuración general. Haga clic Edite y desmarque el encabezado Requerir demostración de prueba de posesión (DPoP) en la opción de solicitudes de token.
    General settings configuration screen with fields for App integration name set to User AuthZ - Mist Access Assurance, Application type set to Service, and Proof of possession option requiring DPoP header unchecked. Grant type options include Client acting on behalf of itself with Client Credentials selected and Client acting on behalf of a user with Token Exchange unselected. Proof of possession section highlighted in red. Save and Cancel buttons at the bottom.
  10. Vaya a la pestaña Ámbitos de la API de Okta y permita los siguientes permisos de lectura:
    • okta.roles.read
    • okta.usuarios.leer
    • okta.grupos.leer

Configuración en el panel de control de Juniper Mist

  1. En el menú izquierdo del portal de Mist Juniper, seleccione Organización > Acceso > proveedores de identidad.
    En la página Proveedores de identidad se muestran los proveedores de identidades configurados.
  2. Haga clic en Agregar DPI para agregar un nuevo proveedor de identidad.
  3. En la página Nuevo proveedor de identidad, escriba la siguiente información:
    1. Nombre: introduzca un nombre de DPI.
    2. Tipo de DPI: seleccione un tipo de IDP como OAuth.
      Tabla 1: Configuración para el tipo de proveedor de identidades OAuth

      Parámetros

      Descripción

      Tipo de OAuth

      		 Seleccione Okta

      ID de inquilino de OAuth

      Ingrese el ID de inquilino de OAuth. Utilice el ID que recibió durante la configuración de la aplicación de Okta.

      Nombres de dominio

      Ingrese su nombre de dominio de usuarios de Okta. Ejemplo: abc.com

      DPI predeterminado

      Establezca el proveedor de identidad seleccionado como predeterminado si no se especifica el nombre de dominio del usuario.

      Credencial de cliente (CC) de OAuth ID de cliente

      Utilice el ID que recibió durante la configuración de la aplicación de Okta.

      Integración de la aplicación de credenciales del cliente de Okta
      Credencial de cliente OAuth (CC) Clave privada de cliente Ingrese la clave privada generada durante la configuración de la aplicación Okta. Consulte Integración de aplicaciones de credenciales de cliente de Okta

      Credencial de contraseña de propietario de recursos de OAuth (ROPC) ID de cliente

      Ingrese el ID secreto que recibió y almacenó durante la configuración de la aplicación Okta.

      Consulte Integración de la aplicación de credenciales de contraseña de propietario de recursos de OKTA.
      Credencial de contraseña de propietario de recursos de OAuth (ROPC) Secreto de cliente

      Proporcione el valor secreto del cliente que recibió y almacenó durante la configuración de la aplicación de Okta.

      Consulte la integración de la aplicación de credenciales de contraseña de propietario de recursos de OKTA
  4. Haga clic en Crear para guardar los cambios.

En Juniper portal de Mist, vaya a Supervisión de > Insights > Eventos de cliente.

Cuando un usuario se autentica mediante EAP-TLS con Okta, puede ver el evento llamado Éxito de la búsqueda de grupo de DPI de NAC como se muestra a continuación:

En el caso de la autenticación EAP-TTLS, puede ver el evento Éxito de la autenticación DPI de NAC . Este evento indica que Azure AD tiene credenciales de usuario validadas. También puede ver el evento de éxito de la búsqueda de grupo de DPI de NAC que recupera la pertenencia a grupos de usuarios.

Ver también