DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
omnivista_cirrus_10_microsoft_entra_id_integration

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
omnivista_cirrus_10_microsoft_entra_id_integration [2025/03/14 22:00] danielomnivista_cirrus_10_microsoft_entra_id_integration [2025/09/22 09:14] (aktuell) simon
Zeile 1: Zeile 1:
-Damit Im Microsoft Entra ID als Authentifizierende Instanz verwendet werden kann müssen vorher in Entra ID einige Vorbereitungen getroffen werden. Diese beinhalten das Erstellen einer Applikation in Entra ID.+====== Microsoft Entra Integration in OmniVista Cirrus 10.x ======
  
-Falls diese Applikation schon erstellt wurde ist hier der Link zur Offiziellen Dokumentation und wie die Daten der Applikation korrekt eingetragen werden müssen:[[https://docs.ovcirrus.com/ov/cloud-identity]] +Auf dieser Seite erhalten Sie Informationen um Microsoft Entra als Radius Server in OmniVista Cirrus 10.x (OVCX) zu integrieren. In diesem Beispiel wird eine SSID ausgestrahlt als WPA3 Enterprise, indem sich die Clients per 802.1x authentifizieren.
-{{:erstellte_entra_id_ap_client_secret.png?600|}}+
  
 +===== Links zu den Produkten =====
 +  * https://www.al-enterprise.com/de-de/produkte/netzwerkmanagement-sicherheit/omnivista-cirrus - OmniVista Cirrus 10.x
 +  * https://www.al-enterprise.com/de-de/produkte/wlan - OmniAccess Stellar WLAN
  
-Falls noch eine Applikation erstellt werden muss läuft das erstellen der Applikation wie folgt ab:+===== Links zur Dokumentation & Software ===== 
 +  * Stellar Wireless (Zugang zum ALE BusinessPortal wird benötigt) 
 +    * https://myportal.al-enterprise.com/a6fSZ0000001hSjYAI |AWOS 5.0.3.13 - Stellar AP User Guide AWOS 5.0.3, GA Release Notes, Stellar AWOS 5.0.3.13 GA 
  
-**Erstellung einer Applikation:** +  OmniVista Cirrus 10.5.1 
-Begeben Sie sich zuerst in das Webportal von Microsoft Azure/Entra ID. +    https://docs.ovcirrus.com/ov/ |OmniVista® Cirrus 10.5.1 Documentation
-Um eine neue Applikation zu erstellen muss zuerst zum Punkt App Registrierung navigiert werden und dann auf das Plus gedrückt werden.+
  
- 1. Menu Punkt App Registrierung Grün 
- 2. Menu Punkt neue Registrierung BLAU 
-{{::erstelllen_einer_applikation.png?600|}} 
-Punkt Abgeschlossen 
  
-Die neue Applikation muss jetzt definiert werden+===== Anlegen einer App-Registrierung im Entra ID ===== 
 +Zuerst muss über den Microsoft Entra Admin Center unter App-Registrierung eine neue Anwendung angelegt werden.  
 +{{ :0:appregistrierung-ovcxupam_anlegen.png?direct |}}
  
-**Nächster Punkt Namensvergabe und Grundlegende Berechtigung innerhalb der Organisation:**+Nach dem Anlegen ist darauf zu achten, dass bei den unterstütze Kontotypen "Nur meine Organisation" ausgewählt ist. 
 +{{ :0:appregistrierung-ovcxupam_nurmeineorganisation.png?direct |}}
  
- 1Namen der Applikation wählen +Dies ist wichtig, damit bei den Endpunkten die richtige Verzeichnis-ID (Mandant) hinterlegt ist
- 2Art der Unterstützten Kontotypen wählen +{{ :0:appregistrierung-ovcxupam_endpunkte.png?direct |}}
- 3. Für die Bestätigung Registrieren Drücken+
  
-{{::namensvergabe_und_grundlegende_berechtigung.png?600|}}+Anschließend wird über "Zertifikate & Geheimnisse" ein geheimer Clientschlüssel erzeugt. 
 +{{ :0:appregistrierung-ovcxupam_clientsecret.png?direct |}}
  
-Das Resultat sieht so aus:+<WRAP center round tip 60%> 
 +ACHTUNG!!! Dieser Schlüssel (Wert) kann nur direkt nach dem Anlegen kopiert werden. 
 +</WRAP>
  
-{{::resulat_erst_erstellung.png?600|}} 
  
-Punkt abgeschlossen+===== Benötigte API-Berechtigungen im Entra ID ===== 
 +Damit die Anmeldung und das Logging sauber laufen, benötigt es noch "API-Berechtigungen". Um Berechtigungen hinzuzufügen muss man auf den Reiter "Microsoft Graph" klicken. Anschließend kann man die benötigten Berechtigungen hinzufügen. 
 +{{ :0:api_berechtigungen_entra_1.png?direct |}}
  
-**Nächster Punkt: +<WRAP center round tip 60%> 
-Erstellen eines Client Secret.**+Wichtig!!! Wenn alle Berechtigungen hinzugefügt wurden, muss noch die "Administratorzustimmung für "XXXX" erteilt" werden! 
 +</WRAP> 
 +{{ :0:api_berechtigungen_entra_2.png?direct |}}
  
- 1. Unter dem Punkt "Schlüssel & Zertifikate" - 
- 2. Auf das "+" drücken um einen neuen Geheimschlüssel zu erstellen.  
  
-**Hinweis! Der Schlüssel "Wert" muss Dokumentiert werden für das Spätere eintragen in den OV-Cirrus 10 UPAM Benötigt. Dieser ist nur für eine bestimmte Zeit aus Sicherheitsgründen einsehbar.** 
  
-{{::erstellung_client_secret.png?600|}} 
  
-Resultat:+===== Anbindung der angelegten App-Registrierung im OmniVista Cirrus 10.x ===== 
 +Die Anbindung von Entra ID befindet sich unter "Network Access -> UPAM-NAC -> External Source". Dort kann man in dem Reiter "Cloud Identity" das "Microsoft Entra ID (Azure) anbinden. 
 +{{ :0:createcloudidentity_entraid.png?direct |}}
  
-{{::resultat_client_secret.png?600|}}+Die Zuordnung der Clients ist wie folgt: 
 +  * Client ID = Anwendungs-ID (Client) 
 +  * Tenant ID = Verzeichnis-ID (Mandant) 
 +  * Client Secret = Wert (Geheimer Clientschlüssel) 
 +  * Email Suffix = Primäre Domäne
  
-Punkt Abgeschlossen+{{ :0:zuordnung_ids.png?direct |}}
  
-**Nächster Punkt: 
-API Berechtigungen** 
- 1. Unter dem Punkt "API-Berechtigungen"(Grün) 
- 2. "Berechtigung Hinzufügen" Wählen (Blau) 
- 3. Und "Microsoft Graph" auswählen (Orange) 
  
-{{::api_berechtigungen_bild1.png?600|}}+===== Konfigurieren der SSID ===== 
 +Hier die wichtigsten Informationen zum Konfigurieren der SSID: 
 +  * Encryption Type = WPA3_AES 
 +  * Radius Server = UPAMRadiusServer 
 +  * Authentication Source = Cloud Identity (angelegte External Source)
  
-    Nummerierter Listenpunkt4.Delegierte Berechtigung auswählen+{{ :0:1_createssid_basicinformation.png?direct |}} 
 +{{ :0:2_createssid_authenticationstrategy.png?direct |}} 
 +{{ :0:3_createssid_authenticationsource.png?direct |}} 
 +{{ :0:4_createssid_defaultvlan.png?direct |}} 
 +{{ :0:5_createssid_apgroupzuweisung.png?direct |}} 
 +{{ :0:6_createssid_maptovlan.png?direct |}} 
 + 
 + 
 +===== Client Einstellung ===== 
 +Um sich erfolgreich mit der SSID zu verbinden, benötigt man KEIN Zertifikat. Als Authentifizierungsmethode wählt man "TTLS" aus. Anschließend kann man sich mit Benutzer/Passwort, welches im Entra ID hinterlegt ist, einloggen. 
 +{{ :0:clienteinstellung.png?direct&400 |}} 
 + 
 + 
 +===== MFA Clients ===== 
 +Sollte der MFA Login aktiv sein, muss man bei den Benutzern ein Regelwerk anlegen. Bei den Benutzer gibt es die Einstellung "MFA pro Benutzer". Unter diesem Punkt gibt es einen Reiter "Diensteinstellungen". Dort kann man "Vertrauenswürdige IPs" hinterlegen. Da die angelegte Anwendung unter App-Registrierung immer mit der selben IP-Adresse im Entra ID anfragt, kann man diese IP-Adresse als Vertrauenswürdig einstufen und die MFA wird "nur" für diese Anwendung ausgesetzt. 
 + 
 +=== Fehlermeldung Logs MFA Clients === 
 +{{ :0:benutzer_anmeldeprotokoll_1.png?direct |}} 
 + 
 +=== Erfolgreiche Logs MFA Clients === 
 +{{ :0:benutzer_anmeldeprotokoll_2.png?direct |}} 
 + 
 +=== IP-Adresse der Anwendung (App-Registrierung) === 
 +{{ :0:benutzer_anmeldeprotokoll_3.png?direct |}} 
 + 
 +=== MFA pro Benutzer - Vertrauenswürdige IP eintragen === 
 +{{ :0:benutzer_mfasetting_1.png?direct |}} 
 +{{ :0:benutzer_mfasetting_2.png?direct |}}
  
omnivista_cirrus_10_microsoft_entra_id_integration.1741989650.txt.gz · Zuletzt geändert: von daniel
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki