# General ## Autenticación #### ¿Con qué frecuencia suele autenticarse un dispositivo contra RADIUSaaS? Esto es difícil de responder, ya que depende del comportamiento de sus usuarios, clientes y equipos de red (APs, NACs, switches). Además, **importante** señalar que RADIUSaaS no * activará una autenticación ni * enviará una solicitud de terminación a través de su puerto de contabilidad al cliente, lo que podría desencadenar una reautenticación. Si cree que sus dispositivos se están autenticando con mucha frecuencia (varias veces por hora) sin que el usuario reinicie constantemente el cliente, entonces esto podría deberse a las siguientes razones: * El controlador de red no autentica al cliente con la suficiente rapidez para que el cliente se una a la red, por lo que el cliente intenta autenticarse de nuevo. Compruebe el controlador de red para ver si/cuándo está recibiendo una respuesta de RaaS. * El controlador de red está reiniciando la autenticación. Compruebe el controlador de red para ver qué podría estar causando esto. ## RADIUSaaS Admin Portal #### ¿Cómo puedo agregar el RADIUSaaS Admin Portal a Mis aplicaciones? **Crear la aplicación** Primero, debe crear una aplicación empresarial. Para hacerlo a través del portal de Azure, siga estos pasos: 1. Inicie sesión en su [Azure](https://portal.azure.com/) cuenta 2. Vaya a **Microsoft Entra ID** 3. Seleccione **Aplicaciones empresariales** 4. Haga clic en **+ Nueva aplicación**

Mostrando la creación de una nueva aplicación

5. Haga clic en **+ Crear su propia aplicación** 6. Asigne un nombre a la aplicación (por ejemplo, RADIUSaaS Portal) 7. Elija **Integrar cualquier otra aplicación que no encuentre en la galería** y 8. Haga clic en **Crear**
Después de que la aplicación esté configurada, ahora necesitamos agregar usuarios y configurar el logotipo y el enlace **Agregar usuarios y un logotipo** 1. En **Administrar** vaya a **Usuarios y grupos** - Agregue todos los usuarios/grupos que deban poder ver/usar su nuevo mosaico de URL y guarde

Haga clic en "Usuarios y grupos"

2. Haga clic en **Propiedades** - Cargue una imagen de logotipo de su elección y guarde

Haga clic en "Propiedades"

3. Haga clic en **Inicio de sesión único** - Seleccione **Vinculado** modo - Luego introduzca la URL que desee y guarde.

Haga clic en Inicio de sesión único - Seleccione el modo "Vinculado"

Enter your RADIUSaaS instance URL

Introduzca la URL de su instancia de RADIUSaaS

**Acceder a Mis aplicaciones** Sus usuarios ahora deberían poder acceder al mosaico de enlace recién creado a través de [Mis aplicaciones](https://myapps.microsoft.com/). ## Atributos de retorno de RADIUS #### ¿Qué atributos relacionados con VLAN devuelve RADIUSaaS de forma predeterminada? {% hint style="info" %} En caso de que necesite otros atributos VLAN distintos de los devueltos de forma predeterminada, por favor [contacte con nuestro soporte](https://www.radius-as-a-service.com/help/). {% endhint %} Si el etiquetado VLAN está habilitado mediante la configuración y activación de una [Regla](/es/portal-de-administracion/settings/rules.md#vlan-assignment), RADIUSaaS devuelve los siguientes atributos VLAN genéricos `"Tunnel-Type": "VLAN"` `"Tunnel-Medium-Type": "802"` `"Tunnel-Private-Group-ID"` junto con los otros atributos VLAN específicos de fabricante de uso común: `"WiMAX-VLAN-ID"` `"Nexans-Port-Default-VLAN-ID"` `"Dlink-VLAN-ID"` `"UTStarcom-VLAN-ID"` `"DHCP-IEEE-802.1Q-VLAN-ID"` `"Motorola-WiMAX-VLAN-ID"` `"Telrad-C-VLAN-ID"` `"Telrad-S-VLAN-ID"` `"SN-Assigned-VLAN-ID"` `"Extreme-VM-VLAN-ID"` `"Ruckus-VLAN-ID"` `"Mikrotik-Wireless-VLANID"` `"Egress-VLANID"` `"HP-Egress-VLANID"` ## Instancia secundaria y conmutación por error #### ¿Cómo se comporta una instancia secundaria en términos de conmutación por error? Una instancia secundaria significa que tiene al menos un servidor RadSec secundario que funciona de forma independiente de su instancia principal pero tiene la misma configuración. Si tiene uno, puede ver varias direcciones IP en [Direcciones IP de RadSec](/es/portal-de-administracion/settings/settings-server.md#properties). **Conexión RadSec** Como los servidores RadSec son independientes entre sí, no gestionarán ningún tipo de conmutación por error. Debe agregar ambas direcciones IP/entradas DNS a su controlador de red, que decide a qué servidor se reenvían las solicitudes de autenticación. **Conexión RADIUS** Con sus proxies RADIUS, es un poco diferente: sus proxies conocen cada una de sus instancias RadSec y sus estados de salud, por lo que gestionarán la conmutación por error si falla el servidor principal. ## Temporizadores y tiempos de espera #### ¿Qué parámetros EAP y tiempos de espera deben configurarse? No todos los puntos de acceso o switches (autenticadores) le ofrecen la misma cantidad de opciones de configuración para EAP y para los parámetros generales de tiempo de espera (del servidor RADIUS). La siguiente vista general presenta el conjunto máximo de parámetros que conocemos y cómo deben configurarse para permitir la máxima fiabilidad de la conexión entre el autenticador y RADIUSaaS. **Tiempo de espera del servidor RADIUS** 5 segundos **Parámetros EAP**
Tiempo de espera EAP15 s
Reintentos máximos de EAP5
Tiempo de espera de identidad EAP10 s
Reintentos de identidad EAP5
Tiempo de espera de clave EAPOL2000 ms
Reintentos de clave EAPOL4
## Registros #### ¿Cómo puedo identificar la dirección IP pública del sitio desde el que se origina una autenticación? Para identificar la IP pública del sitio autenticador para una autenticación concreta, el enfoque depende de si está utilizando una conexión RADIUS (a través de los proxies RADIUS) o una conexión RadSec directa: **Conexión RadSec** * Vaya a **Insights > Logs**. * Configure el intervalo de tiempo / ventana de búsqueda relevante. * Establezca el **tipo de registro** filtro en **detalles**. * Identifique la autenticación relevante (correlacionando la marca de tiempo y el nombre de usuario). * Identifique un mensaje `Access-Request` (**message > Packet-Type** = **Access-Request**) que pertenezca a la autenticación en investigación. * Expanda la entrada de registro correspondiente. * La IP pública se puede extraer de la propiedad **message > Packet-Src-IP-Address** de la entrada de registro.
**Conexión RADIUS** * Vaya a **Insights > Logs**. * Configure el intervalo de tiempo / ventana de búsqueda relevante. * Establezca el **tipo de registro** filtro en el **proxy**. * Identifique la autenticación relevante (correlacionando la marca de tiempo y el nombre de usuario). * La IP pública se puede extraer de la propiedad **mensaje** propiedad de la entrada de registro:
## ¿RADIUSaaS admite WPA3 Enterprise? Sí, RADIUSaaS admite WPA3 Enterprise. También admite el modo WPA3 Enterprise de 192 bits con la siguiente limitación: **Windows 11 24H2** introdujo requisitos de certificado más estrictos para el cifrado WPA3-Enterprise de 192 bits, lo que provoca fallos de autenticación si toda la cadena de certificados no cumple estándares específicos de fortaleza criptográfica. Esta actualización exige longitudes de clave RSA de al menos 3072 bits o ECDSA con la curva P-384 para todos los certificados implicados en el proceso de autenticación. Las organizaciones que utilicen certificados con parámetros más débiles, como RSA de 2048 bits, pueden encontrar problemas. Aunque SCEPman admite claves RSA de 4096 bits para Windows, esto está limitado al Proveedor de almacenamiento de claves de software (KSP), ya que el TPM de hardware no admite este tamaño de clave. Si después de actualizar a Windows 11 24H2 experimenta problemas de autenticación, busque errores "SEC\_E\_ALGORITHM\_MISMATCH" en el Visor de eventos (Registros del sistema y CAPI2) como indicador de incompatibilidad en los algoritmos criptográficos entre el cliente y el servidor. ### ¿Qué puedo hacer si quiero utilizar autenticación WPA3-Enterprise en Windows? Su opción actual a partir de ahora es abordar los requisitos de certificado para WPA3-Enterprise de 192 bits en sus clientes Windows 11 24H2. Esto incluye actualizar el certificado intermedio para cumplir los nuevos requisitos mínimos. Tenga en cuenta que Intune actualmente no incluye una opción en su perfil SCEP para especificar un tamaño de clave de 3072 bits que podría almacenarse en el Módulo de plataforma segura (TPM) del equipo receptor. Debido a esta limitación, actualmente la única solución viable para los clientes Windows es usar una clave RSA de 4096 bits inscrita en Software Key Storage Provider (KSP). {% hint style="success" %} Como el perfil WiFi de Intune solo ofrece WPA2-Enterprise, necesitará usar una herramienta externa para crear un perfil WiFi WPA3-Enterprise. Para mayor comodidad, RADIUSaaS incluye esta herramienta [aquí](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml). {% endhint %} ## Proveedores de identidad ### **¿RADIUSaaS admite Okta como proveedor de identidad?** * **Sí** para el inicio de sesión de administradores y usuarios en la consola web * **No** para la autenticación mediante el protocolo RADIUS #### **Inicio de sesión de usuario y administrador en el portal (consola web)** Okta es totalmente compatible como proveedor de identidad para iniciar sesión en el Portal web de RADIUSaaS. RADIUSaaS no mantiene identidades de administrador propias, sino que delega la autenticación a su proveedor de identidad existente, por lo que administradores, espectadores y usuarios invitados pueden iniciar sesión con sus cuentas de Okta. Okta está integrado a través de la **Proveedor OIDC personalizado** opción en la [Permisos](/es/portal-de-administracion/settings/permissions.md#custom-oidc-provider-okta) sección. Las instrucciones de configuración paso a paso, incluida la URI de redirección requerida, las URL de autenticación y de token, el ID de cliente, el secreto de cliente y el alcance `openid email` se documentan en el [Permisos](/es/portal-de-administracion/settings/permissions.md#overview) artículo. #### **Autenticación del protocolo RADIUS (Wi‑Fi, cableado 802.1X, VPN)** Okta **no** es compatible como proveedor de identidad para la autenticación que tiene lugar a través del protocolo RADIUS. Como se describe en la [Usuarios](/es/portal-de-administracion/users.md) sección, RADIUSaaS no se integra con ningún IDP externo para la autenticación de red basada en nombre de usuario/contraseña. Todas las cuentas de nombre de usuario/contraseña utilizadas para la autenticación RADIUS deben crearse y administrarse directamente en el RADIUSaaS Admin Portal. {% hint style="info" %} Para la autenticación de red basada en RADIUS, generalmente recomendamos **en contra de** enfoques basados en nombre de usuario/contraseña que dependen de un proveedor de identidad externo. Estas configuraciones requieren que las credenciales se transmitan o reenvíen durante la autenticación de red y amplían la superficie de ataque de maneras que consideramos un riesgo de seguridad relevante. Siempre que sea posible, utilice **autenticación basada en certificados** (EAP-TLS) en su lugar. Para información general y una explicación detallada de los riesgos de la autenticación de red basada en contraseñas, consulte [Autenticación de red basada en certificados](https://www.scepman.com/certificate-network-authentication/). {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/es/otro/faqs/general.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.