Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

将 Microsoft Entra ID 集成为标识提供者

请按照以下步骤了解 Entra ID 选项,在 Entra ID 中将 Mist 添加为新注册,并将您的身份提供商添加到您的瞻博网络 Mist 组织。

Microsoft Azure Active Directory (Azure AD),现在称为 Microsoft Entra ID,是一种标识和访问管理解决方案。借助瞻博网络 Mist Access Assurance,您可以使用 OAuth 将身份验证服务集成到 Entra ID 中,从而执行以下作:

  • 使用可扩展身份验证协议隧道式 TLS (EAP-TTLS) 进行用户身份验证
    • 执行委派身份验证,即使用 OAuth 检查用户名和密码。
    • 检索用户组成员身份信息,以支持基于此用户标识的身份验证策略。
    • 获取用户帐号的状态(有效或已暂停)。
  • 使用可扩展身份验证协议传输层安全性 (EAP-TLS) 和 EAP-TTLS 的用户授权
    • 检索用户组成员身份信息,以支持基于此用户标识的身份验证策略。
    • 获取用户帐号的状态(有效或已暂停)

  • 带有 密码身份验证协议 (PAP) 的 EAP-TTLS

    • 执行委派身份验证,即使用 OAuth 或资源所有者密码凭据 (ROPC) 检查用户名和密码。
    • 检索用户组成员身份信息,以支持基于此用户标识的身份验证策略。
    • 获取用户帐号的状态(有效或已暂停)

Entra ID 门户中的配置

要将 Entra ID 与瞻博网络 Mist Access Assurance 集成,您需要客户端 ID、客户端密码和租户 ID,这些是 Entra ID 门户生成的值。

注意:

第三方应用程序的屏幕截图在发布时是正确的。我们无法知道屏幕截图在未来任何时间何时或是否准确。请参阅第三方网站,了解有关这些屏幕或所涉及工作流程的更改的指导。
  1. 使用凭据登录到 Azure 门户并导航到 AD。
  2. 在 Microsoft Entra 管理中心,从左侧导航栏中选择“应用注册”。
  3. 单击新注册
  4. 在“新注册”页上,在以下字段中输入所需信息。请注意,以下列表显示示例用户输入和示例设置。
    • 姓名——Mist AA IDP connector
    • 支持的帐号类型 - 选择仅此组织目录中的帐号(仅限默认目录 - 单租户)。
  5. 单击注册继续
    将显示已注册的应用程序页面,显示有关新创建的连接器的信息。
  6. 下以下详细信息:
    • 应用(客户端)ID — 您需要在瞻博网络 Mist 云门户的 OAuth 客户端凭据 (CC) 和资源 所有者密码凭据客户端 ID 字段中输入此信息。
    • 目录(租户)ID — 您需要在瞻博网络 Mist 门户的 OAuth 租户 ID 字段中获取此信息。

    您需要在瞻博网络 Mist 门户上设置身份提供商 (IdP) 连接器:

  7. 单击同一页面上的添加证书或密钥
  8. 在“客户端和机密”页中,单击“新建客户端机密”
    此时将显示“添加客户端密码”窗口。
  9. 以下字段中输入所需信息,然后单击 添加
    • 描述 — 提供客户端密钥的说明。
    • 过期 - 选择密钥的到期期限。

    系统将生成 密钥 ID

    将“ ”字段中的信息复制并保存在安全位置。请注意,您只会看到此字段一次。也就是说,在创建密钥 ID 之后。

    将 Azure AD 添加为 IdP 时,瞻博网络 Mist 门户上的“ OAuth 客户端凭据客户端密钥” 字段将需要提供此信息。

  10. 选择左侧导航栏中的身份验证,然后向下滚动到高级设置部分。对于“允许公共客户端流”选择“是”。
  11. 左侧导航栏中选择 API 权限
    在“ Microsoft Graph”下,添加以下权限:
    • User.Read - 委托
    • User.Read.All应用程序
    • Group.Read.All应用程序
    • Device.Read.All应用程序

    点击授予管理员同意。

    必须向应用程序授予使用 Microsoft Graph API 提取有关用户的信息所需的访问权限。

瞻博网络 Mist 仪表板上的配置

  1. 从 瞻博网络 Mist 门户的左侧菜单中,选择组织>访问>标识提供者

    “身份提供程序”页面显示任何已配置的身份提供程序。

    图 1:“身份提供商”页面 Identity Providers Page
  2. 点击添加 IDP 以添加新的 IDP。
  3. “新建身份提供程序”页面上,输入所需信息,如下所示。
    图 2:将 Azure AD 添加为标识提供者 Add Azure AD as Identity Provider
    1. 名称 - 输入 IdP 名称(对于此示例:Azure AD)。
    2. IDP 类型 - 选择 OAuth
    3. OAuth 类型 - 从下拉列表中选择 Azure
    4. OAuth 租户 ID - 输入从 Azure AD 应用程序复制的目录(租户)ID。
    5. 域名 - 输入域名,即用户的用户名(例如:username@domain.com)。域名字段检查传入的身份验证请求,识别相应的用户名和关联的域。连接器使用设置的域名来标识连接器需要与之通信的 Azure 租户。

    6. 默认 IDP - 选中此选项以获取计算机组成员资格。

    7. OAuth 客户端凭据 (CC) 客户端 ID - 输入 Microsoft Entra 管理中心中已注册应用程序的应用程序(客户端)ID。
    8. OAuth 客户端凭据 (CC) 客户端密码 - 输入之前在 Azure 门户上创建的应用程序密码。
    9. OAuth 资源所有者密码凭据 (ROPC) 客户端 ID - 输入已注册的 Azure AD 应用程序的应用程序(客户端)ID。

在 瞻博网络 Mist 门户上,转到 监控 > Insights >客户端事件

当瞻博网络 Mist Access Assurance 通过与 Azure AD 搭配使用 EAP-TLS 对用户进行身份验证时,您可以看到 NAC IDP 组查找成功 事件,如下所示:

图 3:IdP 执行 EAP-TLS 身份验证的成功消息 Success Message for EAP-TLS Authentication by IdP

对于 EAP-TTLS 身份验证,您会看到 NAC IDP 身份验证成功事件。此事件指示 Azure AD 已验证用户凭据。对于此身份验证,您还会看到获取用户组成员资格的 NAC IDP 组查找成功事件。

图 4:IdP 执行 EAP-TTLS 身份验证的成功消息 Success Message for EAP-TTLS Authentication by IdP

使用 Azure AD 和 ROPC 进行 EAP-TTLS 身份验证

EAP-TTLS 利用资源所有者密码凭据 (ROPC) OAuth 流与 Azure AD 来对用户进行身份验证并检索用户组信息。使用旧版身份验证时,必须考虑几个因素,例如 ROPC 流,它仅验证用户名和密码,并跳过多重身份验证 (MFA)。

  • 必须使用移动设备管理 (MDM) 或组策略对象 (GPO) 来配置具有正确无线配置文件的客户端设备。如果在登录提示时仅提供用户名和密码,则旧有身份验证不适用于某些作系统。
  • 用户输入的用户名必须采用用户主体名称 (UPN) 格式 (username@domain) 。
  • 您必须将客户端配置为信任服务器证书。
  • 用户必须至少登录一次 Azure 门户,然后才能尝试使用 ROPC 身份验证进行访问。此步骤对于测试用户帐户很重要。
  • Azure 门户必须将用户密码存储在完整的云帐户中,或存储在使用 Azure AD Connect 启用密码同步的本地 AD 中。不支持联合身份验证用户。
  • 必须为选择 ROPC 身份验证的用户禁用 MFA。实现 EAP-TTLS MFA 旁路的一种方法是使用以下步骤将 Mist Access Assurance 源 IP 地址 标记为可信位置:
    1. 在 Microsoft Entra 门户中,转到“ 保护”>“条件访问”>“命名位置” ,然后选择“ 新建位置”。
    2. 在新位置(IP 范围)中,输入详细信息。
      图 5:绕过 MFA 从受信任的 IP 地址范围 Bypass MFA for Sign in from a Trusted IP Address Range登录
    3. 输入位置的名称。
    4. 选择标记为受信任位置。
    5. 输入瞻博网络 Mist Access Assurance IP 地址的 IP 范围。
    6. 单击 “创建”
    7. 在条件访问 MFA 策略中,将受信任的 IP 源称为排除条件。
      图 6:从访问策略 Exclude Named Location from Access Policy中排除命名位置

也可以看看