Aruba ClearPass 整合 Azure AD 做網路驗證

將企業員工資訊放在雲端目錄上，除了可以享受雲端提供商的HA，另外還能更方便與其他應用程式整合，透過SSO可以暢行各種應用程式使用。

AD出狀況後，由於AD是所有身份驗證的核心，因此整個企業網路都會受到影響。

Azure AD就是一個雲端AD方案，不過雲端與地端不同，ClearPass傳統將AD作為驗證源就無法使用，AD無法作為驗證源，也意味著企業員工電腦也可能沒有加入網域，這會造成無法走最常見的驗證方法，也需要透過其他條件去確定是連線裝置是否為企業設備。

本文將教學如何設定 Aruba ClearPass 利用 Azure AD Social Login辨識身份。

參考來源

ClearPass Tiny Bite 7 – Clearpass Guest Social Login With Azure AD (Part 1)

ClearPass Tiny Bite 8 – Clearpass Guest Social Login With Azure AD (Part 2)

https://arubanetworking.hpe.com/techdocs/ClearPass/6.11/PolicyManager/Content/CPPM_UserGuide/Auth/AuthSource_Azure.htm?Highlight=azure+ad

概述

Azure AD要作為驗證主依據，這點ClearPass Guest 可以利用 Social Login 串接。

Azure AD作為ClearPass Policy Manager的驗證源，只能作為「授權」使用，「不能用於Service的驗證源」「不能用於Service的驗證源」「不能用於Service的驗證源」，因為很重要，要連講三次。如果將Azure AD作為Service的驗證源，CPPM的驗證功能可能會出狀況。※在6.11.1發生

因此綜合以上限制，Azure AD作為主驗證依據的話，需要透過Captive Portal去做Social Login，並且在CPPM的Service中，使用授權源Azure取得更多資料，條件判斷，然後給與對應的配置。

條件

1. Microsoft Azure上部署應用程式，新增對應的API權限，紀錄相關Client ID、Secret、Ternet ID，並且將ClearPass Guest Web Login設定Redirect URL。
2. ClearPass Guset新增Web Login，並導入Azure AD作為Social Login。
3. ClearPass Policy Manager新增Social Login類型服務，並調整為azure符合的。
4. ClearPass Policy Manager新增Social Login類型服務，並調整為azure符合的，並導入Azure驗證源作為授權。
5. Aruba Gateway新增Captive Portal類型無線網路，並指向ClearPass Guest所新增的Web Login。

設定過程

Microsoft Azure

根據 ClearPass Tiny Bite 8 – Clearpass Guest Social Login With Azure AD (Part 2) 可以充分設定。

唯有API permissions有些不同，下圖還加入了Azure AD作為認證源需要的權限。

在 Overview ，複製Client ID與Tenant ID。

並加入Redirect URL，這個之後在ClearPass Guest Web Login建立後，或是Aruba Gateway設定Captive Portal時取得。稍後在ClearPass Guest建立頁面之後，會再回頭到此添加URL。

創造一個Token，複製其Value，保存為Client Secret。

ClearPass Guset

新增一個Web Login Page，並且調整下方設定：

• Pre-Auth Check：Single Sign-On — SAML Service Provider
• Cloud Identity：Enabled勾選，並且新增Authentication Provider「Microsoft Azure AD」。

Client ID、Client Secert、Tenant從Azure AD上複製填入。

如果有貼Tenant ID，在Client使用AAD登入時，可以看到該Social Login所屬的組織。

建立Web Login完成後，記得在Azure AD上添加Redirect URL，啟動該Web Login Page，複製網址，到Azure AD APP上添加Redirect URL。

ClearPass Policy Manager – Azure 驗證源

新增驗證源，類型選擇Azure AD，在Primary分頁中貼上Tenant ID、Client ID、Client Secret。

ClearPass Policy Manager – Service – Social Login For Azure AD

根據 ClearPass Tiny Bite 8 – Clearpass Guest Social Login With Azure AD (Part 2) 可以充分設定。

從Template選擇「Cloud Identity / Social Media Authentication」。

參數不需要調整，按到完成。

調整 Service ， 並且加入條件 Radius:Aruba Aruba-Essid-Name EQUALS <ESSID>，確保能精準命中。

調整Enforcement，刪掉Google、FB等，保留一個改為azure。

Aruba Gateway

建立訪客用途SSID

Primary usage選擇「Guset」，其餘看需求調整，若無特別需求則下一步設定VLAN。

VLAN也是依據需求，再下一步設定Captive Portal，選擇「ClearPass or otherexternal Captive Portal」，並新增Auth Server「CPPM」，並將剛剛新增的Web Login路徑填入。

最後直接按到完成。

調整Azure AD的白名單

經過一番隨意實測，網路上列出來很多，應該有些多餘的，以下是我實測可用的白名單。

*.microsoftonline.com
login.windows.net
login.microsoft.com
*.msauth.net
*.msauthimages.net
*.aadcdn.microsoftonline-p.com
graph.microsoft.com

可能還有疏漏，如果缺少再麻請告知。

驗證

Web

點擊Microsoft Azure AD，進行Social Login。

跳出Azure AD的登入畫面，繼續輸入AAD帳號登入，遵循AAD的管理登入規則。

it1在Azure AD上的配置

順利通過驗證 – CPPM Access Tracker

順利取得授權源 Azure AD，可以看到取到該User在Azure AD上的相關屬性。