Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

Microsoft Entra ID を ID プロバイダーとして統合する

以下の手順に従って、Entra IDオプションを理解し、Entra IDに新しい登録としてMistを追加し、IDプロバイダーをジュニパーMist組織に追加します。

Microsoft Azure Active Directory(Azure AD)(現在はMicrosoft Entra IDとして知られる)は、IDおよびアクセス管理ソリューションです。ジュニパー Mist Access Assuranceでは、OAuthを使用して認証サービスをEntra IDに統合し、以下を実行できます。

  • 拡張認証プロトコルトンネルTLS(EAP-TTLS)によるユーザー認証
    • 委任された認証、つまり、OAuthを使用してユーザー名とパスワードをチェックします。
    • このユーザーIDに基づく認証ポリシーをサポートするために、ユーザーグループのメンバーシップ情報を取得します。
    • ユーザーアカウントのステータス(アクティブまたは中断)を取得します。
  • 拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)およびEAP-TTLSによるユーザー認証
    • このユーザーIDに基づく認証ポリシーをサポートするために、ユーザーグループのメンバーシップ情報を取得します。
    • ユーザーアカウントのステータス(アクティブまたは中断)を取得します

  • パスワード認証プロトコル(PAP)を使用したEAP-TTLS

    • 委任された認証、つまり、OAuthまたはリソース所有者パスワード資格情報(ROPC)を使用して、ユーザー名とパスワードをチェックします。
    • このユーザーIDに基づく認証ポリシーをサポートするために、ユーザーグループのメンバーシップ情報を取得します。
    • ユーザーアカウントのステータス(アクティブまたは中断)を取得します

Entra IDポータルでの設定

Entra IDをジュニパー Mist Access Assuranceと統合するには、Entra IDポータルが生成する値であるクライアントID、クライアントシークレット、テナントIDが必要です。

注:

サードパーティ製アプリケーションのスクリーンショットは、公開時点のものです。スクリーンショットがいつ、または将来正確になるかを知る方法はありません。これらの画面の変更や関連するワークフローのガイダンスについては、サードパーティーのWebサイトを参照してください。
  1. 資格情報を使用して Azure portal にサインインし、AD に移動します。
  2. Microsoft Entra 管理センターで、左側のナビゲーション バーから [アプリの登録] を選択します。
  3. 新規登録をクリックします
  4. 新規 登録ページで、以下のフィールドに必要な情報を入力します。以下のリストは、サンプルのユーザー入力とサンプル設定を示しています。
    • 名前Mist AA IDP connector
    • サポートされているアカウントタイプこの組織ディレクトリ内のアカウントのみを選択します(デフォルトのディレクトリのみ - シングルテナント)。
  5. 登録をクリックして続行します。
    登録済みアプリケーションページが表示され、新しく作成されたコネクタに関する情報が表示されます。
  6. 以下の詳細をメモします。
    • アプリケーション(クライアント)ID—この情報は、ジュニパーMistクラウドポータルの OAuthクライアント資格情報(CC)クライアントID フィールドとリソース 所有者パスワード資格情報クライアントID フィールドに入力する必要があります。
    • ディレクトリ(テナント)ID—この情報は、ジュニパー Mistポータルの OAuthテナントID フィールドに必要になります。

    ジュニパー MistポータルでIDプロバイダ(IdP)コネクタを設定する必要があります。

  7. 同じページで証明書またはシークレットを追加をクリックします。
  8. クライアント とシークレットページで、 新しいクライアントシークレットをクリックします。
    クライアントシークレットの追加ウィンドウが表示されます。
  9. 以下のフィールドに必要な情報を入力し、追加をクリックします
    • 説明—クライアントシークレットの説明を入力します。
    • 有効期限—シークレットの有効期限を選択します。

    シークレットIDが生成されます。

    [ 値] フィールドの情報をコピーして、安全な場所に保存します。このフィールドは1回しか表示されないことに注意してください。つまり、シークレットIDが作成された直後です。

    この情報は、Azure ADをIdPとして追加する際に、ジュニパーMistポータルの [OAuthクライアント資格情報クライアントシークレット ]フィールドに必要になります。

  10. 左側のナビゲーションバーで認証を選択し、下にスクロールして詳細設定セクションを表示します。パブリッククライアントフローを許可するではいを選択します。
  11. 左側のナビゲーション バーで [API の許可] を選択します。
    [ Microsoft Graph] で、次のアクセス許可を追加します。
    • User.Read委任
    • User.Read.Allアプリケーション
    • Group.Read.Allアプリケーション
    • Device.Read.Allアプリケーション

    管理者の同意を付与をクリックします。

    Microsoft Graph API を使用してユーザーに関する情報を取得するために必要なアクセス許可をアプリケーションに付与する必要があります。

Juniper Mistダッシュボード上の設定

  1. ジュニパー Mistポータルの左側のメニューから、組織>アクセス>IDプロバイダーを選択します。

    IDプロバイダーページには、設定されているIDプロバイダーが表示されます。

    図1:IDプロバイダーページの Identity Providers Page
  2. 新しい IdPを追加するには、 IDPを追加 をクリックします。
  3. 新しいIDプロバイダーページで、以下に示すように必要な情報を入力します。
    図 2: Azure AD を ID プロバイダーとして追加する Add Azure AD as Identity Provider
    1. 名前—IdP名を入力します(この例では:Azure AD)。
    2. IDPタイプOAuthを選択します。
    3. OAuthタイプ—ドロップダウンリストから Azure を選択します。
    4. OAuthテナントID—Azure ADアプリケーションからコピーしたディレクトリ(テナント)IDを入力します。
    5. ドメイン名—ドメイン名、つまりユーザーのユーザー名を入力します(例:username@domain.com)。ドメイン名フィールドは、受信した認証要求を調べ、それぞれのユーザー名と関連するドメインを識別します。コネクタは、設定したドメイン名を使用して、コネクタが通信する必要がある Azure テナントを識別します。

    6. デフォルトのIDP—マシングループのメンバーシップを取得するには、このオプションにチェックを入れます。

    7. OAuthクライアント資格情報(CC) クライアントID—Microsoft Entra管理センターに登録されているアプリケーションのアプリケーション(クライアント)IDを入力します。
    8. OAuth クライアント資格情報 (CC) クライアントシークレット—Azure portalで前に作成したアプリケーションシークレットを入力します。
    9. OAuthリソース所有者パスワード資格情報(ROPC) クライアントID —登録済みのAzure ADアプリケーションのアプリケーション(クライアント)IDを入力します。

ジュニパー Mistポータルで、 >インサイト>クライアントイベントの監視に移動します。

ジュニパー Mist Access Assurance が Azure AD で EAP-TLS を使用してユーザーを認証すると、以下に示すように NAC IDP グループ ルックアップ成功 イベントを確認できます。

図3:IdPによるEAP-TLS認証の成功メッセージ Success Message for EAP-TLS Authentication by IdP

EAP-TTLS認証には、NAC IDP認証成功イベントが表示されます。このイベントは、Azure AD がユーザーの資格情報を検証したことを示します。この認証では、ユーザーグループのメンバーシップを取得するNAC IDPグループルックアップ成功イベントも表示されます。

図4:IdPによるEAP-TTLS認証の成功メッセージ Success Message for EAP-TTLS Authentication by IdP

Azure ADとROPCを使用したEAP-TTLS認証

EAP-TTLS は、Azure AD でのリソース所有者パスワード資格情報 (ROPC) OAuth フローを利用して、ユーザーを認証し、ユーザー グループ情報を取得します。ユーザー名とパスワードのみを検証し、多要素認証(MFA)をスキップするROPCフローなどのレガシー認証を使用する場合は、いくつかの要素を考慮する必要があります。

  • モバイルデバイス管理(MDM)またはグループポリシーオブジェクト(GPO)を使用して、正しい無線プロファイルを使用してクライアントデバイスを構成する必要があります。ログイン プロンプトでユーザー名とパスワードのみを指定した場合、一部のオペレーティング システムではレガシー認証が機能しません。
  • ユーザーが入力するユーザー名は、ユーザー プリンシパル名 (UPN) 形式 (username@domain) である必要があります。
  • サーバー証明書を信頼するようにクライアントを設定する必要があります。
  • ユーザーは、ROPC 認証を使用してアクセスを試みる前に、Azure portal に少なくとも 1 回ログインする必要があります。このステップは、ユーザーアカウントをテストするために重要です。
  • Azure portal では、フル クラウド アカウント、または Azure AD Connect でパスワード同期が有効になっているローカル AD にユーザー パスワードを格納する必要があります。フェデレーテッド認証ユーザーはサポートされていません。
  • ROPC 認証を選択するユーザーに対しては MFA を無効にする必要があります。EAP-TTLSのMFAバイパスを実現する1つの方法は、次の手順を使用して 、Mist Access Assuranceの送信元IPアドレス を信頼できる場所としてマークすることです。
    1. Microsoft Entra ポータルで、[ 保護>条件付きアクセス] > [名前付き場所] に移動し、[ 新しい場所] を選択します。
    2. 新しい場所(IP範囲)に、詳細を入力します。
      図5:信頼できるIPアドレス範囲からサインインするためにMFAをバイパスする Bypass MFA for Sign in from a Trusted IP Address Range
    3. ロケーションの名前を入力します。
    4. 信頼できる場所としてマークを選択します
    5. ジュニパー Mist Access Assurance IPアドレスのIP範囲を入力します。
    6. 作成をクリックします
    7. 条件付きアクセス MFA ポリシーで、信頼できる IP ソースを除外条件として参照します。
      図6:アクセスポリシーから名前付きロケーションを除外する Exclude Named Location from Access Policy

関連項目