Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Integrar Microsoft Entra ID como proveedor de identidades

Microsoft Azure Active Directory (Azure AD), ahora conocido como Microsoft Entra ID, es una solución de administración de identidades y accesos. Con Juniper Mist Access Assurance, puede integrar un servicio de autenticación en Entra ID mediante OAuth para realizar:

  • Autenticación de usuario con Protocolo de autenticación extensible – TLS tunelizado (EAP-TTLS)
    • Realiza la autenticación delegada, es decir, comprueba el nombre de usuario y la contraseña mediante OAuth.
    • Recupera información de pertenencia a grupos de usuarios para admitir directivas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario.
  • Autorización de usuario con Protocolo de autenticación extensible: Seguridad de la capa de transporte (EAP-TLS) y EAP-TTLS
    • Recupera información de pertenencia a grupos de usuarios para admitir directivas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario

  • EAP-TTLS con protocolo de autenticación de contraseña (PAP)

    • Realiza la autenticación delegada, es decir, comprueba el nombre de usuario y la contraseña mediante OAuth o credenciales de contraseña de propietario de recursos (ROPC).
    • Recupera información de pertenencia a grupos de usuarios para admitir directivas de autenticación basadas en esta identidad de usuario.
    • Obtiene el estado (activo o suspendido) de una cuenta de usuario

Configuración en el portal de ID Entra

Para integrar el ID de Entra con Juniper Mist Access Assurance, necesita el ID de cliente, el Secreto de cliente y el ID de inquilino, que son valores que genera el portal del ID de Entrada.

  1. Use sus credenciales para iniciar sesión en Azure Portal y navegar hasta su AD.
  2. En el Centro de administración de Microsoft Entra, en la barra de navegación izquierda, seleccione Registros de aplicaciones.
  3. Haga clic en Nuevo registro.
  4. En la página Nuevo registro, escriba la información necesaria en los campos siguientes. Tenga en cuenta que la siguiente lista muestra la entrada del usuario de ejemplo y la configuración de ejemplo.
    • NombreMist AA IDP connector
    • Tipo de cuenta admitido: seleccione Cuentas solo en este directorio organizativo (solo directorio predeterminado - inquilino único).
  5. Haga clic en Registrarse para continuar.
    Aparece la página de la aplicación registrada que muestra información sobre el conector recién creado.
  6. Anote los siguientes detalles:
    • ID de aplicación (cliente): deberá ingresar esta información en los campos ID de cliente de credencial de cliente (CC) de OAuth e ID de cliente de contraseña de propietario del recurso en el portal de nube de Juniper Mist.
    • ID de directorio (inquilino): necesitará esta información para el campo ID de inquilino de OAuth en el portal de Juniper Mist.

    Deberá configurar un conector de proveedor de identidad (IdP) en el portal de Juniper Mist:

  7. Haga clic en Agregar un certificado o secreto en la misma página.
  8. En la página Clientes y secretos, haga clic en Nuevo secreto de cliente.
    Aparecerá la ventana Agregar un secreto de cliente.
  9. Introduzca la información necesaria en los campos siguientes y haga clic en Agregar.
    • Descripción: proporciona una descripción para el secreto de cliente.
    • Caduca: seleccione el período de caducidad del secreto.

    El sistema genera ID de valor y secreto.

    Copie y guarde la información del campo Valor en un lugar seguro. Ten en cuenta que solo verás este campo una vez. Es decir, justo después de crear el ID secreto.

    Necesitará esta información para el campo Secreto de cliente de credenciales de cliente de OAuth en el portal de Juniper Mist cuando agregue Azure AD como IdP.

  10. Seleccione Autenticación en la barra de navegación izquierda y desplácese hacia abajo hasta la sección Configuración avanzada. Seleccione en Permitir flujos de cliente público.
  11. Seleccione Permisos de API en la barra de navegación izquierda.
    En Microsoft Graph, agregue los permisos siguientes:
    • User.Read: delegado
    • User.Read.AllAplicación
    • Group.Read.AllAplicación
    • Device.Read.All: aplicación

    Haz clic en Conceder consentimiento de administrador.

    Debe conceder a la aplicación los permisos de acceso necesarios para usar Microsoft Graph API para obtener información sobre los usuarios.

Configuración en el panel de control de Juniper Mist

  1. En el portal de Juniper Mist, en el menú de la izquierda, seleccione Organización > proveedores de acceso > identidad.

    Aparece la página Proveedores de identidades, que muestra una lista de los IdP configurados (si los hubiera).

    Figura 1: Página Identity Providers Page de proveedores de identidad
  2. Haga clic en Agregar IDP para agregar un nuevo IdP.
  3. En la página Nuevo proveedor de identidad, escriba la información necesaria como se muestra a continuación.
    Figura 2: Agregar Azure AD como proveedor Add Azure AD as Identity Provider de identidades
    1. Nombre: escriba un nombre de IdP (para este ejemplo: Azure AD).
    2. Tipo de IDP: seleccione OAuth.
    3. Tipo de OAuth: seleccione Azure en la lista desplegable.
    4. Identificador de inquilino de OAuth: escriba el identificador de directorio (inquilino) que copió de la aplicación de Azure AD.
    5. Nombres de dominio: introduzca el nombre de dominio, es decir, el nombre de usuario del usuario (por ejemplo: username@domain.com). El campo de nombre de dominio examina las solicitudes de autenticación entrantes, identificando el nombre de usuario respectivo y el dominio asociado. Un conector usa el nombre de dominio que configuró para identificar el inquilino de Azure con el que el conector necesita comunicarse.

    6. IDP predeterminado: marque esta opción para obtener membresías a grupos de máquinas.

    7. Credencial de cliente (CC) de OAuth Id. de cliente: escriba el identificador de aplicación (cliente) de la aplicación registrada en el centro de administración de Microsoft Entra.
    8. Secreto de cliente de credenciales de cliente (CC) de OAuth: escriba el secreto de aplicación que creó anteriormente en Azure Portal.
    9. Credencial de contraseña de propietario de recursos OAuth (ROPC) Id. de cliente: escriba el identificador de aplicación (cliente) de la aplicación de Azure AD registrada.

En el portal de Juniper Mist, vaya a Monitoreo de > información > eventos de cliente.

Cuando Juniper Mist Access Assurance autentica a un usuario mediante EAP-TLS con Azure AD, puede ver el evento de éxito de búsqueda de grupo de IDP de NAC como se muestra a continuación:

Figura 3: Mensaje de éxito para la autenticación EAP-TLS por IdP Success Message for EAP-TLS Authentication by IdP

Para la autenticación EAP-TTLS, verá el evento de éxito de autenticación de IDP de NAC. Este evento indica que Azure AD ha validado las credenciales de usuario. Para esta autenticación, también verá el evento IDP Group Lookup Success de NAC que recupera las pertenencias a grupos de usuarios.

Figura 4: Mensaje de éxito para la autenticación EAP-TTLS por IdP Success Message for EAP-TTLS Authentication by IdP

Autenticación EAP-TTLS con Azure AD y ROPC

EAP-TTLS aprovecha el flujo de OAuth de credenciales de contraseña de propietario de recursos (ROPC) con Azure AD para autenticar usuarios y recuperar información de grupos de usuarios. Debe tener en cuenta varios factores cuando use una autenticación heredada, como el flujo ROPC, que comprueba solo el nombre de usuario y la contraseña y omite la autenticación multifactor (MFA).

  • Debe configurar los dispositivos cliente con el perfil inalámbrico correcto, ya sea mediante Administración de dispositivos móviles (MDM) o un objeto de directiva de grupo (GPO). Si solo proporciona el nombre de usuario y la contraseña en el mensaje de inicio de sesión, la autenticación heredada no funcionará para algunos sistemas operativos.
  • El nombre de usuario que escriba un usuario debe tener el formato de nombre principal de usuario (UPN) (username@domain).
  • Debe configurar los clientes para que confíen en el certificado de servidor.
  • Los usuarios deben iniciar sesión al menos una vez en Azure Portal antes de intentar el acceso mediante la autenticación ROPC. Este paso es importante para probar las cuentas de usuario.
  • Azure Portal debe almacenar las contraseñas de usuario en cuentas completas en la nube o en un AD local donde la sincronización de contraseñas esté habilitada con Azure AD Connect. No se admiten usuarios de autenticación federada.
  • Debe deshabilitar MFA para los usuarios que seleccionen la autenticación ROPC. Una forma de lograr la omisión de MFA para EAP-TTLS es marcar las direcciones IP de origen de Mist Access Assurance como ubicaciones de confianza mediante el siguiente procedimiento:
    1. En el portal de Microsoft Entra, vaya a Protección > acceso condicional > Ubicaciones con nombre y seleccione Nueva ubicación.
    2. En Nueva ubicación (rangos de IP), introduzca los detalles.
      Figura 5: Omitir MFA para iniciar sesión desde un intervalo Bypass MFA for Sign in from a Trusted IP Address Range de direcciones IP de confianza
    3. Escriba un nombre para la ubicación.
    4. Seleccione Marcar como ubicación de confianza.
    5. Introduzca el intervalo de direcciones IP de Juniper Mist Access Assurance.
    6. Haga clic en Crear.
    7. En la directiva de MFA de acceso condicional, haga referencia a las fuentes IP de confianza como criterios de exclusión.
      Figura 6: Excluir ubicación con nombre de la directiva Exclude Named Location from Access Policy de acceso

Ver también