Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Agregar proveedores de identidad y usuarios

Para configurar el inicio de sesión único (SSO) para el portal de Juniper Mist™, agregue los proveedores de identidades (IdP) que desea usar para autenticar a los usuarios del portal. Cuando haya terminado, siga las instrucciones para crear roles personalizados, eliminar cuentas locales innecesarias y proporcionar a los usuarios instrucciones de inicio de sesión por primera vez.

Nota:

Necesita el rol de administrador de superusuario para configurar el inicio de sesión único.

Para agregar proveedores de identidad:

  1. En el menú izquierdo del portal de Juniper Mist, seleccione Organización > Configuración del > de administrador.
  2. En la sección Proveedores de identidades, haga clic en Agregar IDP.
    Identity Providers Section of the Organization Settings Page
  3. En la ventana Crear proveedor de identidades:
    1. Escriba un nombre y, a continuación, haga clic en Agregar.
    2. En Name ID Format (Formato de ID de nombre), seleccione el formato que desea utilizar.
      La mayoría de las personas usan la dirección de correo electrónico para el ID del nombre. Si utiliza un identificador diferente para sus cuentas de usuario de IdP, seleccione No especificado.
    3. Copie la URL de ACS (URL del servicio de consumidor de aserciones), que necesitará para completar la integración de SAML 2.0 en el portal de su IdP.
      location of the ACS URL field
    4. Mantenga abierta la ventana Crear proveedor de identidades para poder volver a ella más adelante en este procedimiento.
  4. Vaya al portal de IdP y realice estas tareas:
    • Configure las cuentas de usuario y los roles de los usuarios que usarán esta instalación para autenticarse en el portal de Juniper Mist.

    • Cree una integración de SSO SAML 2.0 para Juniper Mist.

      Nota:

      Si su IdP requiere metadatos de Juniper Mist, consulte Obtener metadatos de Juniper Mist para la integración SAML 2.0.

    • Obtén la siguiente información de la integración de SSO SAML 2.0:

      • Algoritmo de firma

      • Emisor

      • SSO URL

    • Descargue el certificado.

  5. Vuelve a Crear proveedor de identidades en Juniper Mist y usa la información de la integración de SSO SAML 2.0 para completar estos campos:
    • Algoritmo de firma: seleccione el mismo algoritmo de firma que seleccionó en la integración SAML 2.0 de IdP.

    • Emisor

    • URL de SSO

    • Certificado: abra el certificado que descargó. Copie todo el texto y péguelo en este campo. Incluya las líneas BEGIN CERTIFICATE y END CERTIFICATE .

    Ejemplo:

    En este ejemplo se muestra cómo completaría los campos de Juniper Mist de la izquierda especificando los valores de los campos de Microsoft Azure de la derecha.

    Example: Create Identity Provider window and corresponding fields from Azure

  6. Haga clic en Guardar para guardar la configuración y cerrar la ventana.
  7. Para garantizar el acceso de los usuarios, cumpla todos los requisitos siguientes:
    • Crear roles personalizados. Cree roles personalizados correspondientes a los roles de IdP para sus usuarios que accederán a Juniper Mist a través de SSO. El rol de usuario determina a qué características del portal puede acceder el usuario. Para obtener ayuda con los roles personalizados, consulte Crear roles personalizados para el acceso de inicio de sesión único.

    • Eliminar cuentas locales.Elimine todas las cuentas de administrador creadas anteriormente para su organización de Mist, excepto una cuenta de superusuario.

      He aquí por qué:

      Dado que desea utilizar su IdP en lugar de Mist para autenticar usuarios, sus cuentas de Mist creadas anteriormente no sirven para nada. Cuando alguien usa SSO para iniciar sesión, esa dirección de correo electrónico se "vincula" al IdP de SSO y su cuenta local creada previamente no se puede usar a menos que se elimine la configuración de SSO.

      Recomendamos tener una cuenta local con el rol de superusuario como respaldo de emergencia. De esta forma, en caso de que se produzcan problemas de SSO, una persona podrá usar su cuenta local para acceder a tu organización de Mist.

      Dado que una persona no puede usar una dirección de correo electrónico tanto para SSO como para una cuenta local, la cuenta local debe configurarse con una dirección de correo electrónico diferente a la que usará con SSO. Por ejemplo, use una dirección de correo electrónico personal para la cuenta local y use la dirección de correo electrónico del trabajo para la cuenta de SSO.

    • Proporcione instrucciones de inicio de sesión por primera vez. Asegúrese de que los usuarios entiendan el proceso de inicio de sesión por primera vez. Cuando inician sesión por primera vez en Juniper Mist, deben conectarse a Juniper Mist mediante la URL de SSO o su panel de IdP. Este paso es necesario solo para el primer inicio de sesión, para establecer la cuenta como una cuenta SSO. Después de eso, pueden usar la URL de SSO o ir directamente al portal de Juniper Mist (manage.mist.com).