Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IoTおよび個人デバイスのセルフプロビジョニング

セキュアなセルフプロビジョニングにより、個人のデバイスやIoT向けに、大規模なクライアントオンボーディングを自動化します。

寮などの環境にいる無線ユーザーは、Xbox、Apple TV、Rokuなどの個人デバイスを安全にセルフプロビジョニングできます。同様に、無人のIoTデバイスは、指定したVLANまたはネットワークセグメントに安全かつ自動的に参加できます。これをパーソナルネットワークエクスペリエンスと呼んでいます。また、クライアントのMACアドレス登録やIT部門の介入が不要になるため、Wi-Fiアクセスを大規模に提供するための理想的なソリューションとなります。

パーソナルネットワークエクスペリエンスを使用したセルフプロビジョニングは、Microsoft Entra IDなどのSAML準拠のIDプロバイダ(IDP)をMistアクティブアシュアランスポータルに接続することで機能します。ユーザーはWLANにログオンすると、そこで認証と承認のためにシングルサインオンサービスにリダイレクトされます。Mistは、認証されたユーザーに、個々のユーザーとSSIDの両方に固有の個人事前共有キー(PSK)を割り当てます。パーソナルPSKを使用することでマイクロセグメンテーションも可能になり、ユーザーの役割やプロファイルに応じて特定のVLANに接続させることができます。同じことがIoTデバイスにも当てはまります。特定のVLANに自動的に接続できるため、IoT乗っ取り攻撃から保護するためのベストプラクティスとなります。

Mistコンソールでは、必要なパスフレーズの複雑さと、キーのローテーションの頻度の両方を設定できます。

図1:セルフプロビジョニングログオン画面 WiFi interface showing SSID byod-net, passphrase 2FJACc!%, QR code, email and regenerate options, alongside three people working on a wooden deck with greenery visible.

セルフプロビジョニング中に、ラップトップユーザーは固有のパスフレーズを生成し、プロンプトが表示されたらそれをコピーしてポータルに貼り付けることができます。または、モバイルデバイスから作業している場合は、パスフレーズをメールで送信してもらうことができます。生成されたパスフレーズは24時間後に期限切れになります。

始める前に

  • ジュニパー Mist™ Access アシュアランスサブスクリプションを取得して有効化します。サブスクリプション管理については、 ジュニパー Mist 管理ガイドをご覧ください。
  • ジュニパーMist組織で、マルチPSKを有効にした組織レベルのWLANを少なくとも1つ設定します(ローカルまたはクラウドPSKオプションのいずれかで問題ありません)。WLANの設定に関するヘルプについては、 『Juniper Mist Wireless Assurance設定ガイド』を参照してください。

  • IdP管理コンソールで、SAML 2.0アプリ統合を設定します。PSKポータルはこのアプリケーションと統合され、ポータルユーザーにシングルサインオン(SSO)アクセスを有効にします。SAML 2.0をサポートしている限り、さまざまなIdP(OktaやMicrosoft Azureなど)を使用できます。SAML 2.0アプリ統合の設定方法については、IdPのドキュメントを参照してください。

    SAML 2.0アプリ統合から以下の情報をコピーして保存し、ジュニパー MistでPSKポータルを設定するために使用できるようにします。

    • 署名アルゴリズム

    • 発行者 ID (このキーは異なる場合があります。たとえば、Okta ではこの値を ID プロバイダー発行者 と呼び、Azure では Azure AD ID と呼びます。

    • SSO URL(このキーは異なる場合があります。たとえば、Oktaではこの値を IDプロバイダーシングルサインオンURL と呼び、Azureではログイン URLと呼びます。

    • 証明書—証明書の全文を BEGIN CERTIFICATE 行から END CERTIFICATE 行までコピーします。

セルフプロビジョニングの設定

BYOD PSKポータルでクライアントのオンボーディングを設定するには:

  1. ジュニパー Mistポータルの左側のメニューから、[組織>アクセス]> [クライアントオンボーディング]を選択します。
  2. クライアントオンボーディングページの右上隅にあるPSKポータルの追加をクリックします。
  3. PSKポータルの追加ポップアップウィンドウで、名前を入力し、ポータルタイプとしてBYOD(SSO)を選択し、作成をクリックします。
  4. PSKポータルの編集ウィンドウのポータル設定タブで、次の手順に従います。

    • 既定のレイアウト オプションを維持するか、変更を加えてサインイン画面をカスタマイズします。

    • ユーザーに提供できるように、 PSKポータルURL をコピーします。

      • s070676.png
  5. PSKポータルの編集ウィンドウのポータル認証タブで、次の手順に従います。

    • IdP管理コンソールで、アプリ統合からコピーした発行 署名アルゴリズムSSO URL証明書 を入力します。

    • 名前IDの形式を選択します。ほとんどの人は、名前 ID に電子メール アドレスを使用します。IdPユーザーアカウントに別の識別子を使用する場合は、未指定を選択します。

      • Edit PSK Portal configuration window with Portal Authorization tab selected, showing required fields with red exclamation marks. Error message: SSO Issuer is required. Fields include Issuer, Name ID Format, Signing Algorithm set to SHA256, Certificate, and SSO URL with copy button. Buttons include Delete, Save, and Cancel.
  6. ポータルSSO URLをコピーします。
  7. 別のブラウザー ウィンドウを開き、次の手順を完了して SAML 2.0 アプリ統合を完了します。
    1. IdP管理コンソールに移動します。
    2. SAML 2.0アプリ統合の設定に移動します。
    3. コピー した値を適切なフィールドに入力して、IdPへのジュニパー Mist PSKポータルを識別します。ヘルプについては、IdPのドキュメントを参照してください。
    4. 変更を保存します。

    IdPには、ポータルSSO URLを貼り付ける必要があるフィールドの名前が異なる場合があります。次の例を考え、ヘルプについてはIdPのドキュメントを参照してください。

    Oktaの例

    この例では、ジュニパー Mistの ポータルSSO URL が、Okta管理コンソールの該当するフィールドにコピーされます。

    Configuration screen for SAML settings with consistent URL across Portal SSO URL, Single sign on URL, and Audience URI fields.

    Microsoft Azureの例

    この例では、ジュニパー Mist からの ポータル SSO URL が Azure 管理コンソールの適切なフィールドにコピーされています。

    Configuration screen for Basic SAML setup in Azure Active Directory, showing repeated use of the URL https://api.mist.com/api/v1/pskportal/ in Portal SSO URL, Identifier Entity ID, and Reply URL fields.
  8. ジュニパー Mist ポータルに戻ります。
  9. PSKポータルの編集ウィンドウのPSKパラメータタブで、次の手順に従います。

    • SSIDを選択します(必須)。

      注:

      このリストには、マルチPSKが有効になっている組織レベルWLANのSSIDのみが含まれています。

    • 必要に応じてオプションの設定を調整します。

      表1:オプション設定
      オプション の説明
      VLAN ID

      このポータルのユーザーを特定のVLANに割り当てる場合は、IDを指定します。ID は WLAN の VLAN リストに存在する必要があります。
      パスフレーズ設定 設定を入力して、パスワードの複雑さに対するポリシーを適用します。
      PSKの有効性

      キーの有効期限を設定し、キーの有効期限が切れる前にリマインダーを送信できます。

      リマインダーを送信するオプションを有効にすると、PSKの有効期限が近づいたときに、ジュニパーMistからユーザーにメールが送信されます。

      メールには、デフォルトの再認証URLまたは キーの有効期限更新URL (入力した場合)のいずれかが含まれています。これは通常、シングルサインオンURLです(たとえば、OktaまたはMicrosoft Azure経由で企業IDプロバイダーのURLを使用する場合)。

      最大使用率 ポータルに接続できるデバイスの最大数を入力します。
      役割

      特定のタイプのユーザーアカウントへのアクセスを制限する場合は、ポータルの使用を許可するロールを指定します。IdPユーザーアカウント用に設定したロールである必要があります。
    Configuration interface for editing a PSK Portal, including fields for SSID, VLAN ID, passphrase settings, PSK validity, expiration renew URL, max usage, role assignment, and save, delete, or cancel options.
  10. PSKポータルの編集ウィンドウの下部にある保存をクリックします。
    注:

    このボタンは、さまざまなタブで必要な設定を入力するまで使用できません。必要な設定は赤色でラベル付けされています。
  11. PSKの編集ウィンドウのポータル設定タブからコピーしたPSKポータルURLに移動し、ポータルが期待どおりに機能していることを確認します。
  12. ユーザーがポータルに接続できるように、PSKポータルURLを提供します。
    ヒント:

    DNSにCNAMEを作成して、ドメインに関連付けられたよりユーザーフレンドリーなURLを作成します。

    ユーザーは画面のテキストに従ってデバイスをオンボーディングできます。