Usar Microsoft® Azure para el inicio de sesión único en el portal de invitados

Use esta información si desea integrarse con Microsoft® Azure para autenticar a los usuarios invitados.

Cuando configure una WLAN en el portal de Juniper Mist™, puede configurar un portal para invitados que permita a los usuarios iniciar sesión mediante un proveedor de identidad (DPI). En este tema se proporcionan sugerencias para usar Microsoft® Azure. Seguiría pasos similares para otros IdP.

Configuración de la aplicación en el identificador de Microsoft Entra (anteriormente Azure Active Directory):

Configure una aplicación en Microsoft Entra ID (Azure AD) con el inicio de sesión único habilitado.
Elija SAML (lenguaje de marcado para confirmaciones de seguridad) como método de inicio de sesión único.
Copie y guarde el identificador de Microsoft Entra (identificador de Azure ID) y la dirección URL de inicio de sesión.
Agregue usuarios o grupos y asígnelos a la aplicación para que puedan autenticarse a través de la aplicación ISU.

Nota:

Si necesita ayuda para agregar una aplicación SAML en Entra, consulte su información de soporte de Microsoft. Por ejemplo, considere este tema en el sitio de Microsoft: Cómo habilitar el inicio de sesión único para una aplicación empresarial.

Para configurar el ISU del portal de invitados con Azure:

En su configuración de WLAN, seleccione ISU con proveedor de identidad, como se describe en Usar un proveedor de identidad para el acceso de invitado.
Escriba la información que obtuvo de Microsoft Entra en los campos Dirección URL del emisor y del ISU.
Complete el campo Certificado (puede completarlo con información aleatoria por ahora).
Haga clic en Guardar.
Se genera la URL de ISU del portal.
Copie y guarde la URL de ISU del portal.
Vaya al portal de Microsoft Entra y complete estas tareas:
- Edite la configuración básica de SAML que creó para Juniper Mist y pegue la URL de ISU del portal en los campos Identificador, URL de respuesta y URL de inicio de sesión . Haga clic en Guardar.
- Edite la sección Atributos de usuario y reclamos . Consulte Configuración de notificaciones emitidas por Microsoft Entra.
  - Elimine las notificaciones que terminan en "/emailaddress" y "/name".
  - Edite la afirmación de "nombre de pila". Borre el contenido del campo Espacio de nombres y, a continuación, cambie el campo Nombre a "Nombre".
  - Edite la afirmación "apellido". Borre el contenido del campo Espacio de nombres y, a continuación, cambie el campo Nombre a "Apellido".
- Vuelva a la página de configuración de SAML y edite el certificado de firma de SAML.
  - En el campo Opción de firma, seleccione Firmar respuesta y aserción de SAML .
  - Haga clic en Guardar.
  - Descargue el certificado base 64.
  - Abra el certificado como un archivo de texto y copie su contenido.
En el portal de Juniper Mist, vaya a la WLAN.
Nota:
- Si el WLAN está en una plantilla de WLAN, seleccione Organización > Conexión inalámbrica | Plantillas de WLAN, haga clic en la plantilla y, a continuación, haga clic en WLAN.
- Para una WLAN a nivel de sitio, seleccione Sitio > Inalámbrico | WLAN y, luego, haga clic en la WLAN.
Seleccione SHA256 para el algoritmo de firma y pegue el contenido del certificado en el campo Certificado.
Opcionalmente, puede configurar el campo Función predeterminada con Invitado para la autorización de invitado.
Agregue los FQDN de Microsoft en el campo Nombres de host permitidos para permitir que los clientes invitados se autentiquen.
Para obtener una lista completa de los FQDN de Microsoft necesarios, consulte la documentación de Microsoft. Entre los FQDN de Microsoft sugeridos se incluyen:
- login.microsoftonline.com
- *.aadcdn.msftauth.net
- *.aadcdn.msftauthimages.net
- *.aadcdn.msauthimages.net
- *.logincdn.msftauth.net
- login.live.com
- *.msauth.net
- *.aadcdn.microsoftonline-p.com
- *.microsoftonline-p.com
- Nota: Es posible que deba permitir URL de autenticación adicionales según su entorno. Consulte las secciones 56, 59 y 97 de Direcciones URL e IP de Microsoft 365.