このページの目次
Juniper Mistポータルへのシングルサインオン
概要 Juniper Mist™ポータルにシングルサインオン(SSO)を実装するための重要な概念を理解しています。
ユーザーがシングルサインオン(SSO)を使用してJuniper Mistポータルにアクセスできるように組織を設定できます。セキュリティ アサーション マークアップ言語 (SAML) 2.0 をサポートする任意の ID プロバイダー (IdP) を使用できます。
IdP は、SAML 2.0 統合をサポートする任意のプロバイダーにすることができます。例としては、Azure、ADFS、Google、Okta などがあります。
要件
-
SAML 2.0 をサポートする任意の IdP を使用できます。
-
SAML 構成には、これらの属性を、示されているように大文字と小文字とスペースで含める必要があります。
-
名(推奨)
-
姓 (推奨)
-
NameID(必須)- NameID はユーザー アカウントの一意の識別子です。ID 形式 (電子メール アドレスまたは未指定) は、[組織の設定] ページで IdP を追加するときに選択します。詳細については、「 ID プロバイダーの追加」を参照してください。
-
ロール(API 経由で default_role を設定する場合に必須):ロールは、ユーザーに付与する必要がある権限を取得するために使用されます。IdP アカウントに割り当てるロールは、Juniper Mist でカスタムロールとして設定する必要があります。詳細については、「 シングル サインオン アクセス用のカスタム ロールの作成」を参照してください。
メモ:ユーザーアカウントが複数のロールに関連付けられている場合は、Juniper Mistですべてのロールがカスタムロールとして設定されていることを確認してください。ロールが見つからない場合、アクセスは拒否されます。
-
複数の ID プロバイダー
ユーザーアカウントに複数の IdP を使用する場合は、組織の設定ですべての IdP を追加できます。
SSO ユーザー アカウントは 1 つの SSO にのみ関連付ける必要があることに注意してください。これは通常、テストと運用の目的で異なる IdP を使用する場合に最も関連します。このような場合は、ユーザーの 2 つの IdP アカウントが異なるユーザー名 (NameID に使用する形式の場合は電子メール アドレス) で設定されていることを確認します。
ローカル ユーザー アカウント
スーパー ユーザー管理者ロールを持つローカル ユーザー アカウントを少なくとも 1 つ設定します。これにより、証明書の期限切れなどのSSOの問題が発生した場合、少なくとも1人の管理者がJuniper Mistポータルにアクセスできるようになります。
他のユーザーはローカル ユーザー アカウントを必要としません。SSO では、IdP ポータルでユーザー アカウントを設定すると、ユーザーが Juniper Mist ポータルにログインしたときに IdP が認証を実行します。ユーザーに割り当てられたロールによって、ポータルでアクセスできる機能が決まります。