Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

将Microsoft Entra ID 集成为身份提供程序

Microsoft Azure Active Directory (Azure AD),现在称为 Microsoft Entra ID,是一种身份和访问管理解决方案。借助瞻博网络 Mist Access Assurance,您可以使用 OAuth 将身份验证服务集成到 Entra ID 中,以执行以下操作:

  • 使用可扩展身份验证协议 - 隧道 TLS (EAP-TTLS) 进行用户身份验证
    • 执行委派身份验证,即使用 OAuth 检查用户名和密码。
    • 检索用户组成员身份信息以支持基于此用户标识的身份验证策略。
    • 获取用户帐户的状态(活动或挂起)。
  • 使用可扩展身份验证协议 - 传输层安全性 (EAP-TLS) 和 EAP-TTLS 进行用户授权
    • 检索用户组成员身份信息以支持基于此用户标识的身份验证策略。
    • 获取用户帐户的状态(活动或已挂起)

  • 具有密码认证协议 (PAP) 的 EAP-TTLS

    • 执行委派身份验证,即使用 OAuth 或资源所有者密码凭据 (ROPC) 检查用户名和密码。
    • 检索用户组成员身份信息以支持基于此用户标识的身份验证策略。
    • 获取用户帐户的状态(活动或已挂起)

Entra ID 门户中的配置

要将 Entra ID 与瞻博网络 Mist Access Assurance 集成,您需要客户端 ID、客户端密钥和租户 ID,它们是 Entra ID 门户生成的值。

  1. 使用凭据登录到 Azure 门户并导航到 AD。
  2. 在“Microsoft Entra 管理中心”的左侧导航栏中,选择“应用注册”。
  3. 单击“新建注册”。
  4. 在“新建注册”页上,在以下字段中输入所需信息。请注意,以下列表显示示例用户输入和示例设置。
    • 姓名—Mist AA IDP connector
    • 支持的帐户类型 - 仅选择此组织目录中的帐户(仅限瞻博网络 - 单租户)。
  5. 单击注册以继续。
    此时将显示已注册的应用程序页面,其中显示有关新创建的连接器的信息。
  6. 记下以下详细信息:
    • 应用程序(客户端)ID — 您需要在瞻博网络 Mist 云门户的 OAuth 客户端凭据 (CC) 客户端 ID 和资源 所有者密码凭据客户端 ID 字段中输入此信息。
    • 目录(租户)ID — 瞻博网络 Mist 门户上的 OAuth 租户 ID 字段需要此信息。

    您需要在瞻博网络 Mist 门户上设置身份提供商 (IdP) 连接器:

  7. 单击同一页面上的添加证书或机密
  8. 在“客户端和机密”页中,单击“新建客户端机密”。
    此时将显示“添加客户端密码”窗口。
  9. 在以下字段中输入所需信息,然后单击添加
    • 描述 - 提供客户端密钥的说明。
    • 过期 — 选择密钥的过期期限。

    系统将生成和密钥 ID

    将“ ”字段中的信息复制并保存在安全位置。请注意,此字段只会看到一次。也就是说,在创建密钥 ID 之后。

    将 Azure AD 添加为 IdP 时,瞻博网络 Mist 门户上的 “OAuth 客户端凭据客户端密码 ”字段将需要此信息。

  10. 在左侧导航栏中选择“身份验证”,然后向下滚动到“高级设置”部分。为“允许公共客户端流”选择“是”。
  11. 在左侧导航栏中选择 API 权限
    在“ Microsoft Graph”下,添加以下权限:
    • User.Read - 委派
    • User.Read.All - 应用程序
    • Group.Read.All - 应用程序
    • 设备.全部读取 - 应用程序

    点击授予管理员同意。

    必须为应用程序授予所需的访问权限Microsoft才能使用图形 API 获取有关用户的信息。

瞻博网络 Mist 仪表板上的配置

  1. 在瞻博网络 Mist 门户的左侧菜单中选择“组织>访问”>身份提供程序”。

    此时将显示身份提供程序页面,其中显示已配置的 IdP(如果有)的列表。

    图 1:身份提供程序页面 Identity Providers Page
  2. 单击添加 IDP 以添加新的 IDP。
  3. “新建身份提供程序”页面上,输入所需信息,如下所示。
    图 2:将 Azure AD 添加为标识提供者 Add Azure AD as Identity Provider
    1. 名称 - 输入 IdP 名称(对于此示例:Azure AD)。
    2. IDP 类型 - 选择 OAuth
    3. OAuth 类型 - 从下拉列表中选择“ Azure ”。
    4. OAuth 租户 ID - 输入从 Azure AD 应用程序复制的目录(租户)ID。
    5. 域名 - 输入域名,即用户的用户名(例如:username@domain.com)。域名字段检查传入的身份验证请求,标识相应的用户名和关联的域。连接器使用你设置的域名来标识连接器需要与之通信的 Azure 租户。

    6. 默认 IDP - 选中此选项可获取计算机组成员资格。

    7. OAuth 客户端凭据 (CC) 客户端 ID — 在 Microsoft Entra 管理中心中输入已注册应用程序的应用程序(客户端)ID。
    8. OAuth 客户端凭据 (CC) 客户端密码 - 输入之前在 Azure 门户上创建的应用程序机密。
    9. OAuth 资源所有者密码凭据 (ROPC) 客户端 ID - 输入已注册的 Azure AD 应用程序的应用程序(客户端)ID。

在瞻博网络 Mist 门户上,转至 监控>见解>客户端事件

当瞻博网络 Mist Access Assurance 将 EAP-TLS 与 Azure AD 结合使用来对用户进行身份验证时,您可以看到 NAC IDP 组查找成功 事件,如下所示:

图 3:IdP Success Message for EAP-TLS Authentication by IdP 进行 EAP-TLS 身份验证的成功消息

对于 EAP-TTLS 身份验证,您会看到 NAC IDP 身份验证成功事件。此事件表示 Azure AD 已验证用户凭据。对于此身份验证,您还会看到获取用户组成员身份的 NAC IDP 组查找成功事件。

图 4:IdP 进行 EAP-TTLS 身份验证的成功消息 Success Message for EAP-TTLS Authentication by IdP

使用 Azure AD 和 ROPC 进行 EAP-TTLS 身份验证

EAP-TTLS 将资源所有者密码凭据 (ROPC) OAuth 流与 Azure AD 结合使用,对用户进行身份验证并检索用户组信息。使用旧式身份验证(如 ROPC 流)时,必须考虑多个因素,该流仅验证用户名和密码,并跳过多重身份验证 (MFA)。

  • 必须使用移动设备管理 (MDM) 或组策略对象 (GPO) 使用正确的无线配置文件配置客户端设备。如果在登录提示符下仅提供用户名和密码,则旧式身份验证无法对某些操作系统起作用。
  • 用户输入的用户名必须采用用户主体名称 (UPN) 格式 (username@domain)。
  • 必须将客户端配置为信任服务器证书。
  • 用户必须至少登录到一次 Azure 门户,然后才能尝试使用 ROPC 身份验证进行访问。此步骤对于测试用户帐户非常重要。
  • Azure 门户必须将用户密码存储在完整的云帐户中,或者存储在使用 Azure AD Connect 启用密码同步的本地 AD 中。不支持联合身份验证用户。
  • 您必须为选择 ROPC 身份验证的用户禁用 MFA。为 EAP-TTLS 实现 MFA 绕过的一种方法是使用以下过程将 Mist Access Assurance 源 IP 地址 标记为受信任位置:
    1. 在 Microsoft Entra 门户中,转到“ 保护”>“条件访问”>“命名位置”, 然后选择“ 新建位置”。
    2. 在“新位置(IP 范围)”中,输入详细信息。
      图 5:绕过 MFA 从受信任的 IP 地址范围 Bypass MFA for Sign in from a Trusted IP Address Range登录
    3. 输入位置的名称。
    4. 选择“ 标记为受信任位置”。
    5. 输入瞻博网络 Mist Access Assurance IP 地址的 IP 范围。
    6. 单击 创建
    7. 在条件访问 MFA 策略中,将受信任的 IP 源作为排除条件。
      图 6:从访问策略 Exclude Named Location from Access Policy中排除命名位置

参见