Berechtigungen
Berechtigungen und RADIUSaaS REST-API-Zugriffstoken können unter https://YOURNAME.radius-as-a-service.com/settings/permissions verwaltet werden
Überblick
Das Berechtigungen Menü ermöglicht es Ihnen, den Zugriff auf das RADIUSaaS Admin-Portal und die RADIUSaaS REST-API zu steuern.
RADIUSaaS unterstützt mehrere IDPs für die Authentifizierung beim Anmelden am RADIUSaaS Admin-Portal.
RADIUSaaS speichert oder verwaltet keine eigenen Administratoridentitäten.
Daher können Administratoren bequem mit ihren eigenen Identitäten arbeiten und müssen keine zusätzlichen Konten einrichten.
Änderungen an den Rollenzuweisungen und das Ungültigmachen von Benutzertokens werden erst nach einem Klick auf Speichern.
Unterstützte IDPs
Unter Zugelassene Authentifizierungsanbieter können beliebige (auch mehrere) der von RADIUSaaS unterstützten IDPs aktiviert werden:
Apple (Apple ID)
DigitalOcean (Benutzer-E-Mail-Adresse)
Entra ID (User Principal Name)
Google (Primäre E-Mail-Adresse)
Außerdem können Sie unter Benutzerdefinierter OICD-Anbieter eigene OpenID-Connect-Anbieter konfigurieren, um andere IDPs zu nutzen, z. B. Okta oder souveräne Azure-Clouds (GCC, GCC High, ...).
Rollen
Administratoren
Identitäten oder Konten, die hier eingetragen sind, können mit vollen Lese- und Schreibberechtigungen auf den Dienst zugreifen. Diese Berechtigungen umfassen:
Anzeigen Dashboards und Protokolle
Anzeigen, hinzufügen, ändern, löschen Benutzer
Anzeigen, hinzufügen, ändern, löschen RADIUS-Serverzertifikate und vertrauenswürdige Zertifikate für Client-Authentifizierung und RadSec
Anzeigen, hinzufügen, löschen Proxys
Andere Einstellungen anzeigen und ändern, einschließlich Berechtigungen
Verwalten RADIUSaaS REST API Zugriffstoken
Zugriff auf alle API-Endpunkte und CRUD-Operationen
Betrachter
Identitäten oder Konten, die hier eingetragen sind, können mit volle Leseberechtigungen auf den Dienst zugreifen. Diese Berechtigungen umfassen:
Anzeigen Dashboards und Protokolle
Anzeigen Benutzer
Anzeigen, hinzufügen, ändern, löschen RADIUS-Serverzertifikate und vertrauenswürdige Zertifikate für Client-Authentifizierung und RadSec
Anzeigen Proxys
Andere Einstellungen anzeigen (Berechtigung kann nicht angezeigt werden)
Zugriff auf alle API-Endpunkte - auf Leseoperationen beschränkt
Benutzer
Identitäten oder Konten, die hier eingetragen sind können nicht auf das RADIUSaaS Admin-Portal zugreifen, können jedoch auf das Meine eingeladenen Benutzer Portal zugreifen, wo sie in der Lage sind, zu erstellen Benutzer für BYOD oder Gastzugang.
Benutzertokens ungültig machen
Bei der Authentifizierung am RADIUSaaS Admin-Portal erhält jede erlaubte Identität ein Zugriffstoken (Bearer-Token), das im Cookie-Speicher des Browsers zwischengespeichert wird. Die Lebensdauer des Tokens beträgt 30 Tage. Außerdem hat RADIUSaaS die Berechtigung, diese Zugriffstoken zu aktualisieren.
Bei einem Sicherheitsereignis können RADIUSaaS-Administratoren alle zuvor ausgestellten Zugriffstoken ungültig machen indem sie das minimale Ausgabedatum auf jetzt setzen.
Technische Kontakte
Bitte beachten Sie, dass diese Funktion zur Vorbereitung einer Benachrichtigungsfunktion in einer zukünftigen RADIUSaaS-Version dient.
Fügen Sie bis zu 5 technische Kontakte hinzu, um E-Mail-Benachrichtigungen zu Ihrer Instanz zu erhalten. Sie können für jeden Kontakt das Ereignisniveau auswählen.
Info
Geplante Aktualisierungen Ihrer Instanz.
Warnung
Ein Zertifikat läuft bald ab oder ein ISP hat Probleme, die Ihre Instanz beeinträchtigen könnten.
Kritisch
Unterbrechung Ihrer Instanz.
Zugriffstoken
Zugriffstoken sind erforderlich, um Aufrufe an die RADIUSaaS REST-API.
Hinzufügen
Befolgen Sie diese Schritte, um ein neues Zugriffstoken zu erstellen:
Klicken Sie auf Hinzufügen
Geben Sie einen aussagekräftigen Namen für das Zugriffstoken an
Legen Sie die Berechtigungsstufe fest, indem Sie eine Rolle
wählen
Klicken Sie auf Erstellen
Kopieren Sie das Zugriffstoken in die Zwischenablage und speichern Sie es an einem sicheren Ort.
Klicken Sie auf Schließen
Löschen
Um ein Zugriffstoken zu löschen, suchen Sie es in der Tabelle und klicken Sie auf das Papierkorbsymbol:
Berechtigungszustimmung
Wählen Sie aus verschiedenen Identitätsanbietern, um sich in Ihrem Portal anmelden zu können.
Microsoft Entra ID (Azure AD)-Konten, die sich zum ersten Mal am RADIUSaaS Admin-Portal anmelden, müssen RADIUSaaS eine begrenzte Menge an Berechtigungen in ihrem Azure-Mandanten.
gewähren.
Es gibt zwei alternative Möglichkeiten, die Zustimmung zu erteilen: Benutzerzustimmung
Jeder Benutzer akzeptiert die Zustimmung beim ersten Login im Portal. Administratorzustimmung
Ein Administrator kann im Namen der Organisation für alle Benutzer zustimmen.
Benutzerzustimmung
Wenn zuvor nicht von einem Administrator im Namen der Organisation zugestimmt wurde, sieht ein Benutzer einen Zustimmungsdialog: Benutzer können diese Zustimmung in Microsoft überprüfen oder widerrufen.
Meine AppsAdministratoren können Benutzerzustimmungen im Azure-Portal überprüfen und widerrufen ( > Microsoft Entra ID > Unternehmensanwendungen):
RADIUS as a Service
Administratorzustimmung
Anstatt die Zustimmung von jedem Benutzer zu verlangen, können Administratoren bei der ersten Anmeldung im RADIUSaaS-Webportal im Namen der Organisation für alle Benutzer zustimmen:Administratoren können Benutzerzustimmungen im Azure-Portal überprüfen und widerrufen ( > Microsoft Entra ID > UnternehmensanwendungenAlternativ können Administratoren die Zustimmung auch im Azure-Portal im Namen der Organisation erteilen (
Apple Wenn Sie eine Apple ID zur Anmeldung bei RADIUSaaS verwenden, stellen Sie sicher, dass Sie Ihre E-Mail-Adresse nicht verbergen
Wenn Sie sich in diesem Dialog dafür entschieden haben, Ihre E-Mail-Adresse zu verbergen, können Sie sich nicht in Ihrem Portal anmelden. Sie müssen dann die RADIUSaaS-App auf account.apple.com entfernen im Abschnitt "Mit Apple anmelden"
Digital Ocean wird Sie auffordern, die Anwendung in einem Team zu autorisieren, um sich anmelden zu können:
Google fordert Sie auf, der Anwendung den Zugriff auf begrenzte Daten in Ihrem Konto zu erlauben.
Die spezifischen Informationen, die Sie für den benutzerdefinierten OIDC-Anbieter angeben müssen, hängen vom gewählten Identitätsanbieter ab. Das folgende Beispiel basiert auf Okta.
Im Okta-Admin-Console müssen Sie eine neue App-Integration mit den folgenden Details erstellen:
Anmeldemethode
OIDC - OpenID Connect
Anwendungstyp
Webanwendung
Anmelde-Redirect-URI
Im obigen RADIUSaaS-Dialog bereitgestellt Beispiel: https://eu1.radius-as-a-service.com/loginserver/authResponse
Stellen Sie sicher, dass Sie die Integration der vorgesehenen Benutzergruppe zuweisen und speichern. Sie können nun die erforderlichen Informationen aus dieser Anwendung abrufen, um sie in RADIUSaaS einzugeben:
Das Anzeigename kann frei gewählt werden und wird während der Anmeldung angezeigt.
Bei Okta ist die Authentifizierungs-URL in folgender Form:
https://{IhrOrga}.okta.com/oauth2/v1/authorize
Die Token-URL wird ebenfalls so zusammengesetzt und sieht folgendermaßen aus:
https://{IhrOrga}.okta.com/oauth2/v1/token
Das Client-ID und Client-Geheimnis kann in der Anwendung selbst kopiert und erstellt werden:
Für den Client-Scope openid email ist erforderlich. Dies teilt Okta mit, dass wir eine OpenID-Authentifizierung verwenden und die E-Mail-Adresse des angemeldeten Benutzers lesen müssen.
Nachdem Sie die Konfiguration gespeichert und diesen Anbieter zugelassen haben, sollten Sie ihn von der Anmeldeseite aus zur Authentifizierung verwenden können:
Falls in bestimmten Szenarien erforderlich (z. B. GCC High Mandanten), können Sie auch eine selbst erstellte Entra ID App-Registrierung verwenden, um sich bei Ihrem RADIUSaaS-Portal zu authentifizieren.
Vorbereitung
Bevor Sie die App-Registrierung erstellen, stellen Sie sicher, dass Sie die Redirect-URL aus dem Berechtigungen Abschnitt Ihres RADIUSaaS-Portals kopiert haben. Sie finden die URL oben im Dialog zum Bearbeiten des benutzerdefinierten OIDC-Anbieters: App-Registrierung erstellen
Navigieren Sie in Entra ID zu
App-Registrierungen und erstellen Sie eine neue Registrierung: Wählen Sie eine aussagekräftige
für die Registrierung und fügen Sie die Redirect-URI, die Sie im vorherigen Schritt kopiert haben, als Namen Web Typ hinzu. API-Berechtigungen hinzufügen
Navigieren Sie in der erstellten Registrierung zu
API-Berechtigungen und fügen Sie email openid und aus Microsoft Graph als Delegierte Berechtigungen hinzu. Stellen Sie außerdem sicher, dass Sie die Administratorzustimmung für Ihren Mandanten erteilen: Client-Geheimnis hinzufügen
Um RADIUSaaS die Nutzung dieser Registrierung zu ermöglichen, erstellen Sie ein Client-Geheimnis im
Zertifikate & Geheimnisse Abschnitt der Registrierung. Kopieren Sie den Wert des Geheimnisses für später. Registrierungsdetails notieren
Sie werden später die Registrierungs-
und einige mandantenspezifische URLs benötigen. Sie finden diese auf der Übersichtsseite der Registrierung: Client-ID Benutzer zuweisen
Damit jemand diese App-Registrierung für Anmeldungen nutzen kann, stellen Sie sicher, dass Sie ihn in der verwalteten Unternehmensanwendung hinzufügen. Diese finden Sie in Entra ID unter
mit dem gleichen Namen wie Ihre App-Registrierung. Es gibt auch einen Link dazu in der Übersicht der App-Registrierung. Microsoft Entra ID Konfigurieren Sie den OIDC-Anbieter in RADIUSaaS
Gehen Sie zurück im RADIUSaaS-Portal zum Abschnitt Berechtigungen, bearbeiten Sie den benutzerdefinierten OIDC-Anbieter und füllen Sie die erforderlichen Informationen aus:
Feld
Anzeigename
OAuth 2.0-Autorisierungsendpunkt (v2)
Authentifizierungs-URL
aus den Registrierungsendpunkten Token-URL
OAuth 2.0-Tokenendpunkt (v2)
Die Client-ID der App-Registrierung. Ist auf deren Übersichtsseite zu finden Token-URL
Client-ID
Das zuvor erstellte Client-Geheimnis
Client-Geheimnis
Definiert die während der Authentifizierung angeforderten Informationen. Geben Sie
Client-Scope
hier ein. openid email Nachdem Sie die Konfiguration gespeichert haben, stellen Sie sicher, dass Sie den benutzerdefinierten Anbieter zulassen und einige Benutzer für diesen Anbieter hinzufügen. Sie sollten nun den Anbieter zur Anmeldung in Ihrem RADIUSaaS-Portal verwenden können:
Es kann erforderlich sein, dass ein Entra-Administrator sich zunächst mit dieser Anmeldung anmeldet, um erneut für seinen Mandanten zuzustimmen. Dies muss nur einmal durchgeführt werden.
Es kann erforderlich sein, dass ein Entra-Administrator sich zunächst mit dieser Anmeldung anmeldet, um erneut für seinen Mandanten zuzustimmen. Dies muss nur einmal durchgeführt werden.
Zuletzt aktualisiert
War das hilfreich?