====== Microsoft Entra Integration in OmniVista Cirrus 10.x ======

Auf dieser Seite erhalten Sie Informationen um Microsoft Entra als Radius Server in OmniVista Cirrus 10.x (OVCX) zu integrieren. In diesem Beispiel wird eine SSID ausgestrahlt als WPA3 Enterprise, indem sich die Clients per 802.1x authentifizieren.

===== Links zu den Produkten =====
  * https://www.al-enterprise.com/de-de/produkte/netzwerkmanagement-sicherheit/omnivista-cirrus - OmniVista Cirrus 10.x
  * https://www.al-enterprise.com/de-de/produkte/wlan - OmniAccess Stellar WLAN

===== Links zur Dokumentation & Software =====
  * Stellar Wireless (Zugang zum ALE BusinessPortal wird benötigt)
    * https://myportal.al-enterprise.com/a6fSZ0000001hSjYAI |AWOS 5.0.3.13 - Stellar AP User Guide AWOS 5.0.3, GA Release Notes, Stellar AWOS 5.0.3.13 GA 

  * OmniVista Cirrus 10.5.1
    * https://docs.ovcirrus.com/ov/ |OmniVista® Cirrus 10.5.1 Documentation


===== Anlegen einer App-Registrierung im Entra ID =====
Zuerst muss über den Microsoft Entra Admin Center unter App-Registrierung eine neue Anwendung angelegt werden. 
{{ :0:appregistrierung-ovcxupam_anlegen.png?direct |}}

Nach dem Anlegen ist darauf zu achten, dass bei den unterstütze Kontotypen "Nur meine Organisation" ausgewählt ist.
{{ :0:appregistrierung-ovcxupam_nurmeineorganisation.png?direct |}}

Dies ist wichtig, damit bei den Endpunkten die richtige Verzeichnis-ID (Mandant) hinterlegt ist.
{{ :0:appregistrierung-ovcxupam_endpunkte.png?direct |}}

Anschließend wird über "Zertifikate & Geheimnisse" ein geheimer Clientschlüssel erzeugt.
{{ :0:appregistrierung-ovcxupam_clientsecret.png?direct |}}

<WRAP center round tip 60%>
ACHTUNG!!! Dieser Schlüssel (Wert) kann nur direkt nach dem Anlegen kopiert werden.
</WRAP>


===== Benötigte API-Berechtigungen im Entra ID =====
Damit die Anmeldung und das Logging sauber laufen, benötigt es noch "API-Berechtigungen". Um Berechtigungen hinzuzufügen muss man auf den Reiter "Microsoft Graph" klicken. Anschließend kann man die benötigten Berechtigungen hinzufügen.
{{ :0:api_berechtigungen_entra_1.png?direct |}}

<WRAP center round tip 60%>
Wichtig!!! Wenn alle Berechtigungen hinzugefügt wurden, muss noch die "Administratorzustimmung für "XXXX" erteilt" werden!
</WRAP>
{{ :0:api_berechtigungen_entra_2.png?direct |}}




===== Anbindung der angelegten App-Registrierung im OmniVista Cirrus 10.x =====
Die Anbindung von Entra ID befindet sich unter "Network Access -> UPAM-NAC -> External Source". Dort kann man in dem Reiter "Cloud Identity" das "Microsoft Entra ID (Azure) anbinden.
{{ :0:createcloudidentity_entraid.png?direct |}}

Die Zuordnung der Clients ist wie folgt:
  * Client ID = Anwendungs-ID (Client)
  * Tenant ID = Verzeichnis-ID (Mandant)
  * Client Secret = Wert (Geheimer Clientschlüssel)
  * Email Suffix = Primäre Domäne

{{ :0:zuordnung_ids.png?direct |}}


===== Konfigurieren der SSID =====
Hier die wichtigsten Informationen zum Konfigurieren der SSID:
  * Encryption Type = WPA3_AES
  * Radius Server = UPAMRadiusServer
  * Authentication Source = Cloud Identity (angelegte External Source)

{{ :0:1_createssid_basicinformation.png?direct |}}
{{ :0:2_createssid_authenticationstrategy.png?direct |}}
{{ :0:3_createssid_authenticationsource.png?direct |}}
{{ :0:4_createssid_defaultvlan.png?direct |}}
{{ :0:5_createssid_apgroupzuweisung.png?direct |}}
{{ :0:6_createssid_maptovlan.png?direct |}}


===== Client Einstellung =====
Um sich erfolgreich mit der SSID zu verbinden, benötigt man KEIN Zertifikat. Als Authentifizierungsmethode wählt man "TTLS" aus. Anschließend kann man sich mit Benutzer/Passwort, welches im Entra ID hinterlegt ist, einloggen.
{{ :0:clienteinstellung.png?direct&400 |}}


===== MFA Clients =====
Sollte der MFA Login aktiv sein, muss man bei den Benutzern ein Regelwerk anlegen. Bei den Benutzer gibt es die Einstellung "MFA pro Benutzer". Unter diesem Punkt gibt es einen Reiter "Diensteinstellungen". Dort kann man "Vertrauenswürdige IPs" hinterlegen. Da die angelegte Anwendung unter App-Registrierung immer mit der selben IP-Adresse im Entra ID anfragt, kann man diese IP-Adresse als Vertrauenswürdig einstufen und die MFA wird "nur" für diese Anwendung ausgesetzt.

=== Fehlermeldung Logs MFA Clients ===
{{ :0:benutzer_anmeldeprotokoll_1.png?direct |}}

=== Erfolgreiche Logs MFA Clients ===
{{ :0:benutzer_anmeldeprotokoll_2.png?direct |}}

=== IP-Adresse der Anwendung (App-Registrierung) ===
{{ :0:benutzer_anmeldeprotokoll_3.png?direct |}}

=== MFA pro Benutzer - Vertrauenswürdige IP eintragen ===
{{ :0:benutzer_mfasetting_1.png?direct |}}
{{ :0:benutzer_mfasetting_2.png?direct |}}