Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Oktaをアイデンティティ・プロバイダーとして統合する

Juniper MistダッシュボードからOkta Workforce Identity Cloudを使用して、ネットワークにアクセスしようとするエンドユーザーを認証できます。Juniper Mist Access Assuranceは、OktaをIDプロバイダー(IdP)として使用し、さまざまな認証タスクを実行します。

  • クレデンシャル・ベース(EAP-TTLS)認証の場合、Oktaは以下を行います。
    • 委任認証、つまり OAuth を使用してユーザー名とパスワードを確認します。
    • このユーザー ID に基づく認証ポリシーをサポートするためのユーザー グループ メンバーシップ情報を取得します。
    • ユーザー アカウントの状態 (アクティブまたは中断) を取得します
  • 証明書ベースの(EAP-TLSまたはEAP-TTLS)認証の場合、Oktaは以下を行います。
    • このユーザー ID に基づく認証ポリシーをサポートするためのユーザー グループ メンバーシップ情報を取得します。
    • ユーザー アカウントの状態 (アクティブまたは中断) を取得します

前提 条件

  • Okta のサブスクリプションを作成し、テナント ID を取得します。サブスクリプションの作成時に、OktaダッシュボードにアクセスするためのURLの作成に使用するテナントを指定します。IDはOktaダッシュボードの右上隅にあります。テナント ID に okta.com を含めることはできません。

    メモ:

    OktaログインURLの形式は次のとおりです。

    https://{your-okta-account-id}-admin.okta.com/admin/getting-startedです。

    お使いのOktaアカウントIDに置き換えます {your-okta-account-id}

  • Juniper Mistポータルに対するスーパーユーザー権限が必要です。

OKTAリソース所有者パスワード資格情報アプリの統合

  1. Okta管理コンソールにログインし、[アプリケーション]>[アプリケーション]を選択します。
  2. アプリ統合の作成」をクリックします。
    [新しいアプリ統合の作成] ページが開きます。
  3. [サインイン方法] で [OIDC-OpenID 接続] を選択し、[アプリケーションの種類] で [ネイティブ アプリケーション] を選択します。
  4. [新しいネイティブ アプリの統合] ページで、次を選択します。
    • アプリ統合名 - 共感できる名前を入力します。
    • 付与タイプリソース所有者のパスワードを選択します。
    • アクセスの制御 - [ 組織内のすべてのユーザーにアクセスを許可する] を選択します。この例では、すべてのユーザーにアプリケーションへのアクセス権を付与します。
  5. 保存」をクリックします。

    システムが新しいアプリ統合として保存されると、[全般] タブが選択された状態でアプリケーションがリロードされます。

  6. [全般] タブで、[編集] をクリックし、次のオプションを選択します。
    • クライアント認証 - クライアント シークレットの選択
    • コード交換の証明キー - [追加の検証として PKCE が必要] を選択します。
  7. [保存] をクリックして続行します。
    Oktaは、この手順の後にクライアントIDとクライアント・シークレットを生成します。

    クライアント ID とクライアント シークレットをメモします。この情報は後で必要になります。

  8. [Okta API Scopes]タブに移動し、次のチェック・ボックスを選択して読み取り権限を付与します。
    • okta.roles.read
    • okta.users.read
    • okta.users.read.self
次に、Juniper Mistクラウドポータルに移動し、IotaをIdPとして統合します。

Oktaクライアント資格情報アプリの統合

  1. Okta管理コンソールにログインし、[アプリケーション]>[アプリケーション]を選択します。
  2. アプリ統合の作成」をクリックします。
    [新しいアプリ統合の作成] ページが開きます。
  3. [サインイン方法] で [API サービス] を選択します。
    [新しい API サービス アプリの統合] ページが開きます。
  4. [アプリ統合名] に名前を入力し、[保存] をクリックします。
  5. 新しいアプリ統合ページの [全般] タブに移動し、[編集] をクリックします。
  6. [編集] をクリックし、クライアント認証方法を [公開キー] / [秘密キー] として選択し、[公開キー] セクションの [キーの追加] をクリックします。
  7. [秘密キー] セクションでファイル形式を PEM として選択し、秘密キーをコピーして安全な場所に保存します。
    安全な場所に、Oktaが生成する秘密鍵ファイルを保存します。

    この秘密キーを再度取得することはできません。

    [ 完了] をクリックします。
  8. [保存] をクリックしてキーを保存し、アクティブ化します。

    キーの状態が [アクティブ] になっていることがわかります。画面に表示されているクライアントIDとシークレットをコピーし、

  9. [Okta API Scopes]タブに移動し、次の読み取り権限を付与します。
    • okta.roles.read
    • okta.users.read
    • okta.users.read.self

Juniper Mistダッシュボードの設定

  1. Juniper Mist ポータルで、[組織] をクリックし、[アクセス] の下の [ID プロバイダー] を選択します。
    「アイデンティティ・プロバイダ」ページが開き、設定済みのアイデンティティ・プロバイダ(存在する場合)のリストが表示されます。
  2. [IDP の追加] をクリックして、新しい ID プロバイダーを追加します。
  3. [新しい ID プロバイダー] ページで、次の情報を入力します。
    1. 名前 - IdP 名を入力します。
    2. IDP タイプ - IdP タイプとして OAuth を選択します。
      表 1: アイデンティティプロバイダタイプ OAuth の設定

      パラメーター

      説明

      OAuth タイプ

      Oktaを選択

      OAuth テナント ID

      OAuthテナントIDを入力します。 Oktaアプリケーションの構成時に受け取ったIDを使用します。

      ドメイン名

      Oktaユーザーのドメイン名を入力します。例: abc.com

      デフォルトのIDP

      ユーザー ドメイン名が指定されていない場合は、選択した ID プロバイダーを既定として設定します。

      OAuth クライアント資格情報 (CC) クライアント ID

      Oktaアプリケーションの構成時に受け取ったIDを使用します。

      Oktaクライアント資格情報アプリの統合
      OAuth クライアント資格情報 (CC) クライアント秘密キー Oktaアプリケーションの構成中に生成されたプライベート・キーを入力します。「Oktaクライアント資格情報アプリの統合」を参照

      OAuthリソース所有者パスワード資格情報(ROPC)クライアントID

      Oktaアプリケーションの構成時に受信して保存したシークレットIDを入力します。

      OKTAリソース所有者パスワード資格情報アプリの統合を参照してください。
      OAuthリソース所有者パスワード資格情報(ROPC)クライアントシークレット

      Oktaアプリケーションの構成中に受信して保存したクライアントシークレット値を指定します。

      「OKTAリソース所有者パスワード資格情報アプリの統合」を参照してください。
  4. [作成] をクリックして変更を保存します。

Juniper Mistポータルで、[ モニタリング > インサイト > クライアントイベント]に移動します。

OktaでEAP-TLSを使用してユーザーを認証すると、次に示すように NAC IDPグループ検索成功 というイベントが表示されます。

EAP-TTLS 認証の場合は、 NAC IDP 認証成功 イベントを確認できます。このイベントは、Azure AD がユーザーの資格情報を検証したことを示します。また、ユーザーグループのメンバーシップを取得する NAC IDPグループ検索成功 イベントも確認できます。