Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

Microsoft Entra ID를 ID 공급자로 통합

다음 단계에 따라 Entra ID 옵션을 이해하고, Mist를 Entra ID의 새 등록으로 추가하고, ID 공급자를 주니퍼 Mist 조직에 추가합니다.

현재 Microsoft Entra ID로 알려진 Azure AD(Microsoft Azure Active Directory)는 ID 및 액세스 관리 솔루션입니다. 주니퍼 Mist Access Assurance를 사용하면 OAuth를 사용하여 인증 서비스를 Entra ID에 통합하여 다음을 수행할 수 있습니다.

  • EAP-TTLS(Extensible Authentication Protocol–Tunneled TLS)를 사용한 사용자 인증
    • 위임된 인증, 즉 OAuth를 사용하여 사용자 이름과 비밀번호를 확인합니다.
    • 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
    • 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다.
  • EAP-TLS(Extensible Authentication Protocol–전송 레이어 보안) 및 EAP-TTLS를 통한 사용자 권한 부여
    • 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
    • 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다

  • PAP(Password Authentication Protocol)를 사용하는 EAP-TTLS

    • 위임된 인증, 즉 OAuth 또는 ROPC(리소스 소유자 암호 자격 증명)를 사용하여 사용자 이름과 암호를 확인합니다.
    • 이 사용자 ID를 기반으로 하는 인증 정책을 지원하기 위해 사용자 그룹 구성원 정보를 검색합니다.
    • 사용자 계정의 상태(활성 또는 일시 중단됨)를 가져옵니다

Entra ID 포털의 구성

Entra ID를 주니퍼 Mist Access Assurance와 통합하려면 Entra ID 포털에서 생성하는 값인 클라이언트 ID, 클라이언트 암호 및 테넌트 ID가 필요합니다.

참고:

타사 애플리케이션의 스크린샷은 게시 당시에 정확합니다. 향후 스크린샷이 언제 정확할지 여부를 알 수 있는 방법은 없습니다. 이러한 화면 또는 관련 워크플로우의 변경 사항에 대한 지침은 타사 웹 사이트를 참조하십시오.
  1. 자격 증명을 사용하여 Azure Portal에 로그인하고 AD로 이동합니다.
  2. Microsoft Entra 관리 센터의 왼쪽 탐색 모음에서 앱 등록을 선택합니다.
  3. 새 등록을 클릭합니다.
  4. 새 등록 페이지에서 다음 필드에 필요한 정보를 입력합니다. 다음 목록에는 샘플 사용자 입력 및 샘플 설정이 표시됩니다.
    • 이름Mist AA IDP connector
    • 지원되는 계정 유형이 조직 디렉터리의 계정만(기본 디렉터리만 - 단일 테넌트)을 선택합니다.
  5. 등록을 클릭하여 계속합니다.
    새로 생성된 커넥터에 대한 정보가 표시되는 등록된 애플리케이션 페이지가 나타납니다.
  6. 다음 세부 사항을 기록해 둡니다.
    • 애플리케이션(클라이언트) ID - 주니퍼 Mist 클라우드 포털의 OAuth CC(클라이언트 자격 증명) 클라이언트 ID리소스 소유자 암호 자격 증명 클라이언트 ID 필드에 이 정보를 입력해야 합니다.
    • 디렉터리(테넌트) ID - 주니퍼 Mist 포털의 OAuth 테넌트 ID 필드에 이 정보가 필요합니다.

    주니퍼 Mist 포털에서 ID 공급자(IdP) 커넥터를 설정해야 합니다.

  7. 동일한 페이지에서 인증서 또는 암호 추가를 클릭합니다.
  8. 클라이언트 및 암호 페이지에서 새 클라이언트 암호를 클릭합니다.
    클라이언트 암호 추가 창이 나타납니다.
  9. 다음 필드에 필요한 정보를 입력하고 추가를 클릭합니다.
    • 설명 - 클라이언트 암호에 대한 설명을 제공합니다.
    • 만료 - 암호의 만료 기간을 선택합니다.

    시스템에서 비밀 ID를 생성합니다.

    필드의 정보를 복사하여 안전한 위치에 저장합니다. 이 필드는 한 번만 표시됩니다. 즉, 비밀 ID가 생성된 직후입니다.

    Azure AD를 IdP로 추가할 때 주니퍼 Mist 포털의 OAuth 클라이언트 자격 증명 클라이언트 암호 필드에 이 정보가 필요합니다.

  10. 왼쪽 탐색 모음에서 인증을 선택하고 고급 설정 섹션까지 아래로 스크롤합니다. 공용 클라이언트 흐름 허용에 대해 예를 선택합니다.
  11. 왼쪽 탐색 모음에서 API 권한을 선택합니다.
    Microsoft Graph에서 다음 권한을 추가합니다.
    • User.Read - 위임됨
    • User.Read.All - 애플리케이션
    • Group.Read.All - 애플리케이션
    • Device.Read.All - 애플리케이션

    관리자 동의 부여를 클릭합니다.

    Microsoft Graph API를 사용하여 사용자에 대한 정보를 가져오는 데 필요한 액세스 권한을 애플리케이션에 부여해야 합니다.

Juniper Mist 대시보드의 구성

  1. 주니퍼 Mist 포털의 왼쪽 메뉴에서 조직> 액세스 > ID 공급자를 선택합니다.

    ID 공급자 페이지에는 구성된 모든 ID 공급자가 표시됩니다.

    그림 1: ID 공급자 페이지 Identity Providers Page
  2. IDP 추가를 클릭하여 새 IdP를 추가합니다.
  3. 새 ID 공급자 페이지에서 아래와 같이 필수 정보를 입력합니다.
    그림 2: Azure AD를 ID 공급자 Add Azure AD as Identity Provider 로 추가
    1. 이름 - IdP 이름을 입력합니다(이 예: Azure AD).
    2. IDP 유형 - OAuth를 선택합니다.
    3. OAuth 유형 - 드롭다운 목록에서 Azure 를 선택합니다.
    4. OAuth 테넌트 ID - Azure AD 애플리케이션에서 복사한 디렉터리(테넌트) ID를 입력합니다.
    5. 도메인 이름 - 도메인 이름, 즉 사용자의 사용자 이름을 입력합니다(예: username@domain.com). 도메인 이름 필드는 들어오는 인증 요청을 검사하여 해당 사용자 이름 및 관련 도메인을 식별합니다. 커넥터는 사용자가 설정한 도메인 이름을 사용하여 커넥터가 통신해야 하는 Azure 테넌트를 식별합니다.

    6. Default IDP - 시스템 그룹 멤버십을 얻으려면 이 옵션을 선택합니다.

    7. OAuth CC(클라이언트 자격 증명) 클라이언트 ID - Microsoft Entra 관리 센터에 등록된 애플리케이션의 애플리케이션(클라이언트) ID를 입력합니다.
    8. OAuth CC(클라이언트 자격 증명) 클라이언트 암호 - 이전에 Azure Portal에서 만든 애플리케이션 암호를 입력합니다.
    9. OAuth ROPC(리소스 소유자 암호 자격 증명) 클라이언트 ID - 등록된 Azure AD 애플리케이션의 애플리케이션(클라이언트) ID를 입력합니다.

주니퍼 Mist 포털에서 > Insights > 클라이언트 이벤트 모니터링으로 이동합니다.

주니퍼 Mist Access Assurance가 Azure AD와 함께 EAP-TLS를 사용하여 사용자를 인증하면 아래와 같이 NAC IDP 그룹 조회 성공 이벤트를 볼 수 있습니다.

그림 3: IdP에 의한 EAP-TLS 인증 성공 메시지 Success Message for EAP-TLS Authentication by IdP

EAP-TTLS 인증의 경우 NAC IDP 인증 성공 이벤트가 표시됩니다. 이 이벤트는 Azure AD에서 사용자 자격 증명의 유효성을 검사했음을 나타냅니다. 이 인증의 경우 사용자 그룹 멤버십을 가져오는 NAC IDP 그룹 조회 성공 이벤트도 표시됩니다.

그림 4: IdP에 의한 EAP-TTLS 인증 성공 메시지 Success Message for EAP-TTLS Authentication by IdP

Azure AD 및 ROPC를 사용한 EAP-TTLS 인증

EAP-TTLS는 Azure AD와 함께 ROPC(리소스 소유자 암호 자격 증명) OAuth 흐름을 활용하여 사용자를 인증하고 사용자 그룹 정보를 검색합니다. 사용자 이름과 비밀번호만 확인하고 MFA(Multi-Factor 인증)를 건너뛰는 ROPC 플로우와 같은 레거시 인증을 사용할 때는 몇 가지 요소를 고려해야 합니다.

  • MDM(모바일 디바이스 관리) 또는 GPO(그룹 정책 개체)를 사용하여 올바른 무선 프로필로 클라이언트 디바이스를 구성해야 합니다. 로그인 프롬프트에서 사용자 이름과 비밀번호만 제공하면 일부 운영 체제에서 레거시 인증이 작동하지 않습니다.
  • 사용자가 입력하는 사용자 이름은 UPN(사용자 계정 이름) 형식(username@domain)이어야 합니다.
  • 서버 인증서를 신뢰하도록 클라이언트를 구성해야 합니다.
  • 사용자는 ROPC 인증을 사용하여 액세스를 시도하기 전에 Azure Portal에 한 번 이상 로그인해야 합니다. 이 단계는 사용자 계정을 테스트하는 데 중요합니다.
  • Azure Portal은 전체 클라우드 계정 또는 Azure AD Connect와 암호 동기화를 사용하도록 설정된 로컬 AD에 사용자 암호를 저장해야 합니다. 통합 인증 사용자는 지원되지 않습니다.
  • ROPC 인증을 선택하는 사용자에 대해 MFA를 사용하지 않도록 설정해야 합니다. EAP-TTLS에 대한 MFA 우회를 달성하는 한 가지 방법은 다음 절차에 따라 Mist Access Assurance 소스 IP 주소를 신뢰할 수 있는 위치로 표시하는 것입니다.
    1. Microsoft Entra 포털에서 보호 > 조건부 액세스 > 명명된 위치 로 이동하여 새 위치를 선택합니다.
    2. 새 위치(IP 범위)에 세부 정보를 입력합니다.
      그림 5: 신뢰할 수 있는 IP 주소 범위에서 로그인하기 위한 MFA 우회 Bypass MFA for Sign in from a Trusted IP Address Range
    3. 위치의 이름을 입력합니다.
    4. 신뢰할 수 있는 위치로 표시를 선택합니다.
    5. 주니퍼 Mist Access Assurance IP 주소의 IP 범위를 입력합니다.
    6. 만들기를 클릭합니다.
    7. 조건부 액세스 MFA 정책에서 신뢰할 수 있는 IP 원본을 제외 기준으로 참조합니다.
      그림 6: 액세스 정책 Exclude Named Location from Access Policy 에서 명명된 위치 제외

또한보십시오