Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

将 Google Workspace 集成为身份提供商

请按照以下步骤在您的 Google Workspace 门户中将 Mist 添加为客户端,下载您的证书,并将您的身份提供商添加到您的瞻博网络 Mist 组织。

通过瞻博网络 Mist Access Assurance,您可以与 Google Workspace 作为身份提供商 (IdP) 集成,以将安全的轻型目录访问协议 (LDAPS) 连接器用于以下用例:

  • 对于基于证书的(EAP-TLS 或 EAP-TTLS)授权:
    • 检索用户组成员身份信息,以支持基于此用户身份的身份验证策略
    • 获取用户帐号的状态(有效或已暂停)

  • EAP-TTLS 与 PAP

    • 检查用户名和密码,以便通过 Google 的身份提供商进行身份验证
注意:

本文档中包含的某些屏幕截图来自第三方应用程序。请注意,这些屏幕截图可能会随着时间的推移而更改,并且可能并不总是与应用程序的当前版本匹配。

在 Google Workspace 上进行配置

以下过程说明如何使用瞻博网络 Mist 将 Google Workspace 配置为身份提供商 (IdP)。

注意:

第三方应用程序的屏幕截图在发布时是正确的。我们无法知道屏幕截图在未来任何时间何时或是否准确。请参阅第三方网站,了解有关这些屏幕或所涉及工作流程的更改的指导。
  1. 使用 Google 管理员凭据登录 Google Workspace 门户。

    此时将显示 Google 管理信息中心。

  2. 创建 LDAP 客户端。
    1. 在 Google 管理控制台的左侧导航栏中,转到应用> LDAP,然后点击添加客户端
    2. 提供 LDAP 客户端名称和可选的描述,然后单击继续

      添加 LDAP 客户端后,将显示 “访问权限 ”页面。

  3. 配置用于验证用户凭据的访问权限。

    以下选项可用:

    • 验证用户凭据 — 允许使用 EAP-TTLS/PAP 进行用户证书身份验证。此设置指定 LDAP 客户端可以访问哪些组织组来验证用户的凭据。
    • 读取用户信息 — 允许您读取基本用户信息。此设置指定 LDAP 客户端可以访问哪些组织部门和群组以检索其他用户信息。
    1. 如果不需要特定组织,则为这两个选项选择“整个域”
    2. 向下滚动到读取群组信息。此设置指定 LDAP 客户端是否可以读取组详细信息并检查用户的组成员身份。

      完成访问权限配置并添加 LDAP 客户端后,将在同一页面上自动生成证书。

  4. 下载生成的 LDAPS 客户端证书。
    1. 单击下载证书并将下载的证书保存在安全位置。在瞻博网络 Mist 门户上设置 IdP 时,您将需要此证书。
    2. 单击“继续访问客户端详细信息”。

      此时将显示“<LDAP 客户端名称>的设置页面。

    3. 展开“身份验证”部分。
    4. 在“访问凭据”下,单击“生成新凭据”。

      您可以在 “访问凭据 ”页面上查看用户名和密码。

      复制并保存用户名和密码。您需要在瞻博网络 Mist 云门户上进行 LDAPS 客户端配置的这些详细信息。

  5. 通过将 LDAP 客户端的服务状态更改为 On 来启用 LDAP 客户端服务。通过此步骤,您可以使用安全 LDAP 服务设置客户端。
    1. 在 Google 管理控制台中,转到应用> LDAP。选择您的客户端并单击服务状态

      页面右上角显示的服务状态最初设置为关闭。

      选择 “为所有人打开” 以打开服务。请等待一些时间,让更改应用于 Google 端。

瞻博网络 Mist 仪表板上的配置

  1. 从 瞻博网络 Mist 门户的左侧菜单中,选择组织>访问>标识提供者

    “身份提供程序”页面显示任何已配置的身份提供程序。

    图 1:“身份提供商”页面 Identity Providers Page
  2. 点击添加 IDP 以添加新的 IDP。
  3. 新建身份提供商页面上,输入与 Google Workspace 集成所需的信息。
    图 2:更新身份提供程序详细信息 Update Identity Provider Details

    现在,将 LDAPS 连接器配置为与 Google Workspace LDAP 端点集成。

    • 名称 - 输入 IdP 名称。(在本例中,输入 Google Workspace
    • IDP 类型 — 选择 LDAPS
    • LDAP 类型 — 选择自定义。
    • 组过滤器 - 选择 memberOf。要从 组属性获取组成员资格,需要此选项。
    • 成员过滤器 - 选择 memberOf
    • 用户过滤器 - 输入 (mail=%s)
    • 服务器主机 - 输入 ldap.google.com
    • 域名 - 输入您的 Google Workspace 域名。例如: abc.com
    • 绑定 DN - 使用 Google 在上一步中提供的用户名。
    • 绑定密码 — 输入上述用户名的密码。
    • 基本 DN - 配置与 Google Workspace 网域匹配的基本 DN。例如,如果您的域是 abc.com,则您的基本 DN 是 dc=abc,dc=com
  4. 在“证书颁发机构”证书“部分中,单击”添加证书“并粘贴以下两个证书:
    图 3:添加证书颁发机构证书 Add CA Certificate
  5. 客户端证书下,添加您从 Google 下载的客户端证书。将以 .key 结尾的文件放在私有密钥下,将以 .crt 结尾的文件放在签名证书下,如以下示例所示:
    图 4:添加客户端证书 Add Client Certificate

    点击 保存

在 瞻博网络 Mist 门户上,转到 监控 > Insights > 客户端事件

当用户使用 EAP-TTLS 进行身份验证时,您可以看到获取用户组成员资格信息的 NAC IDP 身份验证成功NAC IDP 组查找成功 事件。

当用户在 Google Workspace 中使用 EAP-TTS 进行身份验证时,您可以看到获取用户群组成员信息的 NAC IDP 群组查找成功 事件。
图 5:IDP 组查找成功身份验证事件 IDP Group Lookup Success Authentication Event

如果是 EAP-TTLS 身份验证,您可以看到 NAC IDP 身份验证成功 事件。此事件表示 Google Workspace 已验证用户凭据。

图 6:IDP 身份验证成功事件 IDP Authentication Success Event

您可以在身份验证政策规则中利用 Google Workspace 中的 IDP 角色,根据用户角色执行网络分段。

关于使用 ROPC 的 EAP-TTLS 和 Azure AD

可扩展身份验证协议隧道 TLS (EAP-TTLS) 利用 LDAPS OAuth 流与 Azure AD 来执行用户身份验证。这意味着使用传统身份验证,其中涉及使用没有 MFA 的用户名和密码。使用此方法时需要考虑几个因素:

  • 使用正确的 Wi-Fi 配置文件配置客户端设备(来自 GPO 或 MDM)。 在登录提示时仅提供用户名和密码对于某些作系统不起作用。
  • 用户必须使用 Google 电子邮件 ID (username@domain) 用户名格式来输入用户名。
  • 配置客户端以信任服务器证书。请参阅 使用数字证书

也可以看看