Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Integrar Microsoft Entra ID como proveedor de identidades

Siga estos pasos para entender las opciones de Entra ID, agregar Mist como un nuevo registro en Entra ID y agregar su proveedor de identidad a su organización de Juniper Mist.

Microsoft Azure Active Directory (Azure AD), ahora conocido como Microsoft Entra ID, es una solución de administración de identidades y acceso. Con Juniper Mist Access Assurance, puede integrar un servicio de autentificación en Entra ID mediante OAuth para realizar:

  • Autenticación de usuario con TLS en túnel con protocolo de autenticación extensible (EAP-TTLS)
    • Lleva a cabo la autenticación delegada, es decir, comprueba el nombre de usuario y la contraseña mediante OAuth.
    • Recupera la información de pertenencia a grupos de usuarios para admitir políticas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario.
  • Autorización de usuario con protocolo de autenticación extensible – Seguridad de la capa de transporte (EAP-TLS) y EAP-TTLS
    • Recupera la información de pertenencia a grupos de usuarios para admitir políticas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario

  • EAP-TTLS con protocolo de autenticación de contraseña (PAP)

    • Lleva a cabo la autenticación delegada, es decir, comprueba el nombre de usuario y la contraseña mediante OAuth o las credenciales de contraseña del propietario del recurso (ROPC).
    • Recupera la información de pertenencia a grupos de usuarios para admitir políticas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario

Configuración en Entra ID Portal

Para integrar Entra ID con Juniper Mist Access Assurance, necesita el ID de cliente, el secreto de cliente y el ID de inquilino, que son valores que genera el portal de Entra ID.

Nota:

Las capturas de pantalla de las aplicaciones de terceros son correctas en el momento de la publicación. No tenemos forma de saber cuándo o si las capturas de pantalla serán precisas en el futuro. Consulte el sitio web de terceros para obtener orientación sobre los cambios en estas pantallas o los flujos de trabajo involucrados.
  1. Use sus credenciales para iniciar sesión en Azure Portal y navegar hasta el AD.
  2. En el Centro de administración de Microsoft Entra, en la barra de navegación izquierda, seleccione Registros de aplicaciones.
  3. Haga clic en Nuevo registro.
  4. En la página Nuevo registro, ingrese la información requerida en los siguientes campos. Tenga en cuenta que la siguiente lista muestra una entrada de usuario de ejemplo y configuraciones de muestra.
    • Nombre:Mist AA IDP connector
    • Tipo de cuenta admitida: seleccione Cuentas solo en este directorio organizativo (Solo directorio predeterminado: inquilino único).
  5. Haga clic en Registrarse para continuar.
    Aparece la página de la aplicación registrada que muestra información sobre el conector recién creado.
  6. Anote los siguientes detalles:
    • ID de aplicación (cliente): deberá introducir esta información en los campos Credencial de cliente de OAuth (CC), ID de cliente y Credencial de contraseña de propietario del recurso e ID de cliente en el portal de la nube de Juniper Mist.
    • ID de directorio (inquilino): necesitará esta información para el campo ID de inquilino de OAuth en el portal de Juniper Mist.

    Deberá configurar un conector de proveedor de identidad (IdP) en el portal de Juniper Mist:

  7. Haga clic en Agregar un certificado o secreto en la misma página.
  8. En la página Clientes y secretos, haga clic en Nuevo secreto de cliente.
    Aparece la ventana Agregar un secreto de cliente.
  9. Ingrese la información requerida en los siguientes campos y haga clic en Agregar.
    • Descripción: proporciona una descripción del secreto de cliente.
    • Caduca: seleccione el período de caducidad para el secreto.

    El sistema genera valor e ID secreto.

    Copie y guarde la información del campo Valor en un lugar seguro. Tenga en cuenta que verá este campo solo una vez. Es decir, justo después de crear el ID secreto.

    Necesitará esta información para el campo Secreto de cliente de credenciales de cliente de OAuth en el portal de Juniper Mist cuando agregue Azure AD como IdP.

  10. Seleccione Autenticación en la barra de navegación izquierda y desplácese hacia abajo hasta la sección Configuración avanzada. Seleccione en Permitir flujos de cliente públicos.
  11. Seleccione Permisos de API en la barra de navegación izquierda.
    En Microsoft Graph, agregue los siguientes permisos:
    • User.Read: delegado
    • User.Read.All: aplicación
    • Group.Read.All: aplicación
    • Device.Read.All: aplicación

    Haga clic en Otorgar consentimiento del administrador.

    Debe conceder a la aplicación los permisos de acceso necesarios para usar Microsoft Graph API para capturar información sobre los usuarios.

Configuración en el panel de control de Juniper Mist

  1. En el menú izquierdo del portal de Mist Juniper, seleccione Proveedores de identidad> acceso > organización.

    En la página Proveedores de identidad se muestran los proveedores de identidades configurados.

    Figura 1: Página Identity Providers Page de proveedores de identidad
  2. Haga clic en Agregar DPI para agregar un nuevo IDP.
  3. En la página Nuevo proveedor de identidad, escriba la información requerida como se muestra a continuación.
    Figura 2: Agregar Azure AD como proveedor Add Azure AD as Identity Provider de identidades
    1. Nombre: escriba un nombre de IdP (para este ejemplo: Azure AD).
    2. Tipo de DPI: seleccione OAuth.
    3. Tipo de OAuth: seleccione Azure en la lista desplegable.
    4. Identificador de inquilino de OAuth: escriba el identificador de directorio (inquilino) que copió de la aplicación de Azure AD.
    5. Nombres de dominio: introduzca el nombre de dominio, es decir, el nombre de usuario del usuario (por ejemplo: username@domain.com). El campo nombre de dominio examina las solicitudes de autenticación entrantes, identificando el nombre de usuario respectivo y el dominio asociado. Un conector usa el nombre de dominio que configuró para identificar el inquilino de Azure con el que el conector debe comunicarse.

    6. DPI predeterminado: marque esta opción para obtener membresías de grupos de máquinas.

    7. Credencial de cliente OAuth (CC) ID de cliente: escriba el identificador de aplicación (cliente) de la aplicación registrada en el Centro de administración de Microsoft Entra.
    8. Credencial de cliente de OAuth (CC) Secreto de cliente: escriba el secreto de aplicación que creó anteriormente en Azure Portal.
    9. Credencial de contraseña de propietario de recursos de OAuth (ROPC) ID de cliente: escriba el identificador de aplicación (cliente) de la aplicación registrada de Azure AD.

En el portal de Juniper Mist, vaya a Supervisión de > Insights > eventos de cliente.

Cuando Juniper Mist Access Assurance autentica a un usuario mediante EAP-TLS con Azure AD, puede ver el evento de éxito de la búsqueda de grupo de DPI de NAC como se muestra a continuación:

Figura 3: Mensaje de éxito para la autenticación EAP-TLS por IdP Success Message for EAP-TLS Authentication by IdP

Para la autenticación EAP-TTLS, verá el evento Autenticación DPI de NAC exitosa. Este evento indica que Azure AD ha validado las credenciales de usuario. Para esta autenticación, también verá el evento de éxito de búsqueda de grupo de DPI de NAC que recupera la pertenencia a grupos de usuarios.

Figura 4: Mensaje de éxito para la autenticación EAP-TTLS por IdP Success Message for EAP-TTLS Authentication by IdP

Autenticación EAP-TTLS con Azure AD y ROPC

EAP-TTLS aprovecha el flujo de OAuth de credenciales de contraseña de propietario de recursos (ROPC) con Azure AD para autenticar a los usuarios y recuperar información del grupo de usuarios. Debe tener en cuenta varios factores al usar una autenticación heredada, como el flujo ROPC, que verifica solo el nombre de usuario y la contraseña y omite la autenticación multifactor (MFA).

  • Debe configurar los dispositivos cliente con el perfil inalámbrico correcto, ya sea mediante la administración de dispositivos móviles (MDM) o un objeto de directiva de grupo (GPO). Si solo proporciona el nombre de usuario y la contraseña en el indicador de inicio de sesión, la autenticación heredada no funcionará para algunos sistemas operativos.
  • El nombre de usuario que escriba un usuario debe tener el formato de nombre principal de usuario (UPN) (username@domain).
  • Debe configurar los clientes para que confíen en el certificado de servidor.
  • Los usuarios deben iniciar sesión al menos una vez en Azure Portal antes de intentar acceder mediante la autenticación ROPC. Este paso es importante para probar las cuentas de usuario.
  • Azure Portal debe almacenar las contraseñas de usuario en cuentas de nube completas o en un AD local donde la sincronización de contraseñas esté habilitada con Azure AD Connect. No se admiten usuarios de autenticación federada.
  • Debe deshabilitar MFA para los usuarios que seleccionen autenticación ROPC. Una manera de lograr la omisión de MFA para EAP-TTLS es marcar las direcciones IP de origen de Mist Access Assurance como ubicaciones de confianza mediante el siguiente procedimiento:
    1. En el portal de Microsoft Entra, vaya a Protección > acceso condicional > ubicaciones con nombre y seleccione Nueva ubicación.
    2. En Nueva ubicación (rangos IP), escriba los detalles.
      Figura 5: Omitir MFA para iniciar sesión desde un rango Bypass MFA for Sign in from a Trusted IP Address Range de direcciones IP de confianza
    3. Ingrese un nombre para la ubicación.
    4. Seleccione Marcar como ubicación de confianza.
    5. Ingrese el rango de IP para las direcciones IP de Juniper Mist Access Assurance.
    6. Haga clic en Crear.
    7. En la directiva MFA de acceso condicional, haga referencia a los orígenes IP de confianza como criterios de exclusión.
      Figura 6: Excluir ubicación con nombre de la política Exclude Named Location from Access Policy de acceso

Ver también