Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

将 Microsoft Entra ID 集成为标识提供者

Microsoft Azure Active Directory (Azure AD)(现在称为 Microsoft Entra ID)是一种身份和访问管理解决方案。借助 Juniper Mist Access Assurance,您可以使用 OAuth 将身份验证服务集成到 Entra ID 中,从而执行以下操作:

  • 使用可扩展身份验证协议-隧道 TLS (EAP-TTLS) 的用户身份验证
    • 执行委派身份验证,即使用 OAuth 检查用户名和密码。
    • 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略。
    • 获取用户帐户的状态(活动或暂停)。
  • 使用可扩展身份验证协议-传输层安全性 (EAP-TLS) 和 EAP-TTLS 进行用户授权
    • 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略。
    • 获取用户帐户的状态(活动或暂停)

  • 具有密码身份验证协议 (PAP) 的 EAP-TTLS

    • 执行委派身份验证,即使用 OAuth 或资源所有者密码凭据 (ROPC) 检查用户名和密码。
    • 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略。
    • 获取用户帐户的状态(活动或暂停)

Entra ID Portal 中的配置

要将 Entra ID 与 Juniper Mist Access Assurance 集成,您需要客户端 ID、客户端密钥和租户 ID,这是 Entra ID 门户生成的值。

  1. 使用凭据登录到 Azure 门户并导航到 AD
  2. 在 Microsoft Entra 管理中心的左侧导航栏中,选择“应用注册”
  3. 单击“新建注册”
  4. 在“新建注册”页上,在以下字段中输入所需信息。请注意,以下列表显示示例用户输入和示例设置。
    • 姓名Mist AA IDP connector
    • 支持的帐户类型 - 仅选择此组织目录中的帐户(仅限默认目录 - 单个租户)。
  5. 单击“注册”继续。
    此时将显示已注册的应用程序页面,其中显示有关新创建的连接器的信息。
  6. 记下以下详细信息:
    • 应用程序(客户端)ID - 您需要在Juniper Mist云门户上的 OAuth 客户端凭证 (CC) 客户端 ID资源所有者密码凭证客户端 ID 字段中输入此信息。
    • 目录(租户)ID - Juniper Mist门户上的 OAuth 租户 ID 字段需要此信息。

    您需要在Juniper Mist门户上设置身份提供商 (IdP) 连接器:

  7. 单击同一页面上的“添加证书或密钥”。
  8. 在“客户端和机密”页中,单击“新建客户端机密”。
    此时将显示“添加客户端密码”窗口。
  9. 在以下字段中输入所需信息,然后单击“添加”。
    • 描述 (Description) - 提供客户端密码的描述。
    • 过期 (Expires) - 选择密钥的过期期限。

    系统将生成密钥 ID。

    将“ ”字段中的信息复制并保存在安全位置。请注意,此字段只会显示一次。也就是说,在创建密钥 ID 之后。

    将 Azure AD 添加为 IdP 时,Juniper Mist门户上的“ OAuth 客户端凭据客户端机密 ”字段需要此信息。

  10. 在左侧导航栏中选择“身份验证”,然后向下滚动到“高级设置”部分。为“允许公共客户端流”选择“”。
  11. 在左侧导航栏中选择 API 权限
    在“ Microsoft Graph”下,添加以下权限:
    • User.Read - 委托
    • User.Read.All - 应用程序
    • Group.Read.All - 应用程序
    • Device.Read.All - 应用程序

    点击授予管理员同意。

    必须为应用程序提供所需的访问权限,才能使用 Microsoft Graph API 获取有关用户的信息。

瞻博网络 Mist 仪表板上的配置

  1. 在Juniper Mist门户的左侧菜单中,选择“组织>访问>身份提供程序”。

    此时将显示 Identity Providers 页面,其中显示已配置的 IdP(如果有)列表。

    图 1:身份提供商页面 Identity Providers Page
  2. 单击添加 IDP 以添加新的 IdP。
  3. “新建身份提供程序”页面上,输入所需信息,如下所示。
    图 2:将 Azure AD 添加为标识提供者Figure 2: Add Azure AD as Identity Provider Add Azure AD as Identity Provider
    1. 名称 - 输入 IdP 名称(对于此示例:Azure AD)。
    2. IDP 类型 - 选择 OAuth
    3. OAuth 类型 - 从下拉列表中选择 Azure
    4. OAuth 租户 ID - 输入从 Azure AD 应用程序复制的目录(租户)ID。
    5. 域名 - 输入域名,即用户的用户名(例如:username@domain.com)。域名字段检查传入的身份验证请求,识别相应的用户名和关联的域。连接器使用你设置的域名来标识连接器需要与之通信的 Azure 租户。

    6. 默认 IDP - 选中此选项可获取计算机组成员身份。

    7. OAuth 客户端凭据 (CC) 客户端 ID - 在 Microsoft Entra 管理中心输入已注册应用程序的应用程序(客户端)ID。
    8. OAuth 客户端凭据 (CC) 客户端密码 - 输入之前在 Azure 门户上创建的应用程序密码。
    9. OAuth 资源所有者密码凭据 (ROPC) 客户端 ID - 输入已注册的 Azure AD 应用程序的应用程序(客户端)ID。

在Juniper Mist门户上,转到 监控 > 见解>客户端事件

当 Juniper Mist Access Assurance 通过将 EAP-TLS 与 Azure AD 一起使用来对用户进行身份验证时,可以看到 NAC IDP 组查找成功 事件,如下所示:

图 3:IdP 的 EAP-TLS 身份验证成功消息 Success Message for EAP-TLS Authentication by IdP

对于 EAP-TTLS 身份验证,您会看到 NAC IDP 身份验证成功事件。此事件表示 Azure AD 已验证用户凭据。对于此身份验证,您还会看到获取用户组成员身份的 NAC IDP 组查找成功事件。

图 4:IdP 的 EAP-TTLS 身份验证成功消息 Success Message for EAP-TTLS Authentication by IdP

使用 Azure AD 和 ROPC 进行 EAP-TTLS 身份验证

EAP-TTLS 利用资源所有者密码凭据 (ROPC) OAuth 流与 Azure AD 来对用户进行身份验证并检索用户组信息。使用旧式身份验证(如 ROPC 流)时,必须考虑几个因素,该流仅验证用户名和密码,并跳过多重身份验证 (MFA)。

  • 您必须使用移动设备管理 (MDM) 或组策略对象 (GPO) 为客户端设备配置正确的无线配置文件。如果在登录提示时仅提供用户名和密码,则旧式身份验证无法在某些操作系统中正常工作。
  • 用户输入的用户名必须采用用户主体名称 (UPN) 格式 (username@domain)。
  • 您必须将客户端配置为信任服务器证书。
  • 用户必须至少登录到 Azure 门户一次,然后才能尝试使用 ROPC 身份验证进行访问。此步骤对于测试用户帐户很重要。
  • Azure 门户必须将用户密码存储在完整云帐户中,或者存储在通过 Azure AD Connect 启用密码同步的本地 AD 中。不支持联合身份验证用户。
  • 您必须为选择 ROPC 身份验证的用户禁用 MFA。绕过 EAP-TTLS 的 MFA 的一种方法是使用以下过程将 Mist Access Assurance 源 IP 地址 标记为受信任的位置:
    1. 在 Microsoft Entra 门户中,转到“ 保护>条件访问”>“命名位置 ”,然后选择 “新建位置”。
    2. 在“新位置(IP 范围)”中,输入详细信息。
      图 5:绕过 MFA 从受信任的 IP 地址范围 Bypass MFA for Sign in from a Trusted IP Address Range登录
    3. 输入位置的名称。
    4. 选择 “标记为受信任位置”。
    5. 输入Juniper Mist Access Assurance IP 地址的 IP 范围。
    6. 单击 创建
    7. 在条件访问 MFA 策略中,将受信任的 IP 源引用为排除条件。
      图 6:从访问策略 Exclude Named Location from Access Policy中排除指定位置

另见