Permisos
Los permisos y los tokens de acceso a la API REST de RADIUSaaS se pueden gestionar en https://YOURNAME.radius-as-a-service.com/settings/permissions
Descripción general
El Permisos menú le permite controlar el acceso al Portal de administración de RADIUSaaS y a la API REST de RADIUSaaS.
RADIUSaaS admite múltiples IDP para la autenticación al iniciar sesión en el Portal de administración de RADIUSaaS.
RADIUSaaS no almacena ni administra sus propias identidades de administrador.
Por lo tanto, los administradores disfrutan de la comodidad de trabajar con sus propias identidades y no tienen que configurar cuentas adicionales.
Los cambios en las asignaciones de roles y la invalidez de los tokens de usuario solo entran en vigor después de hacer clic en Guardar.
IDP admitidos
En Proveedores de autenticación permitidos se puede habilitar cualquiera (incluidos varios) de los IDP que admite RADIUSaaS:
Apple (Apple ID)
DigitalOcean (dirección de correo electrónico del usuario)
Entra ID (nombre principal de usuario)
Google (dirección de correo electrónico principal)
Además, en Proveedor OICD personalizado puede configurar sus propios proveedores OpenID Connect para aprovechar otros IDP, por ejemplo, Okta o nubes soberanas de Azure (GCC, GCC High, ...).
Roles
Administradores
Las identidades o cuentas introducidas aquí pueden acceder al Portal de administración de RADIUSaaS con permisos completos de lectura y escritura en el servicio. Estos permisos incluyen:
Ver, agregar, cambiar, eliminar Usuarios
Ver, agregar, cambiar, eliminar certificados del servidor RADIUS y certificados de confianza para autenticación de clientes y RadSec
Ver, agregar, eliminar Proxies
Ver y cambiar otras configuraciones, incluidos los permisos
Administrar Token de acceso a la API REST de RADIUSaaS
Acceso a todos los puntos de conexión de la API y operaciones CRUD
Visores
Las identidades o cuentas introducidas aquí pueden acceder al Portal de administración de RADIUSaaS con permisos completos de lectura en el servicio. Estos permisos incluyen:
Ver Usuarios
Ver, agregar, cambiar, eliminar certificados del servidor RADIUS y certificados de confianza para autenticación de clientes y RadSec
Ver Proxies
Ver otras configuraciones (el permiso no se puede ver)
Acceso a todos los puntos de conexión de la API - limitado a operaciones de lectura
Usuarios
Las identidades o cuentas introducidas aquí no pueden acceder al Portal de administración de RADIUSaaS; sin embargo, pueden acceder al portal Mis usuarios invitados donde pueden crear Usuarios para BYOD o acceso de invitado.
Invalidar tokens de usuario
Durante la autenticación en el Portal de administración de RADIUSaaS, cada identidad permitida obtiene un token de acceso (bearer) que se almacena en la caché del navegador. La vida útil del token es de 30 días. Además, RADIUSaaS tiene permiso para actualizar estos tokens de acceso.
En un evento de seguridad, los administradores de RADIUSaaS pueden invalidar todos los tokens de acceso emitidos previamente estableciendo la fecha mínima de emisión en ahora.
Contactos técnicos
Tenga en cuenta que esta función está en preparación para una función de notificación en una futura versión de RADIUSaaS.
Agregue hasta 5 contactos técnicos para recibir notificaciones por correo electrónico relacionadas con su instancia. Puede seleccionar el nivel de evento para cada contacto.
Información
Actualizaciones programadas de su instancia.
Advertencia
Un certificado está a punto de expirar, o un ISP está experimentando problemas que podrían afectar a su instancia.
Crítico
Interrupción de su instancia.
Tokens de acceso
Los tokens de acceso son necesarios para autenticar las llamadas a la API REST de RADIUSaaS.
Agregar
Siga estos pasos para crear un nuevo token de acceso:
Haga clic en Agregar
Proporcione un Nombre significativo para el token de acceso
Establezca el nivel de permiso seleccionando un Rol
Seleccione la vida útil del token de acceso
Haga clic en Crear
Copie el token de acceso al portapapeles y guárdelo en una ubicación segura.
Haga clic en Cerrar
Eliminar
Para eliminar un token de acceso, búsquelo en la tabla y haga clic en el icono de la papelera:
Consentimiento de permisos
Elija entre diferentes proveedores de identidad para poder iniciar sesión en su portal.
Las cuentas de Microsoft Entra ID (Azure AD) que inicien sesión en el Portal de administración de RADIUSaaS por primera vez deben conceder a RADIUSaaS un conjunto limitado de permisos en su inquilino de Azure.
Hay dos formas alternativas de proporcionar consentimiento:
Consentimiento del usuario Cada usuario acepta el consentimiento al iniciar sesión por primera vez en el portal.
Consentimiento del administrador Un administrador puede dar su consentimiento en nombre de la organización para todos los usuarios.
Consentimiento del usuario
Si un administrador no ha dado previamente el consentimiento en nombre de la organización, el usuario verá un cuadro de diálogo de solicitud de permisos:
Los usuarios pueden revisar o revocar este consentimiento en Microsoft Mis aplicaciones.
Los administradores pueden revisar y revocar los consentimientos de los usuarios en el Portal de Azure (Microsoft Entra ID > Aplicaciones empresariales > RADIUS as a Service):
Consentimiento del administrador
En lugar de requerir el consentimiento de cada usuario, los administradores pueden conceder el consentimiento para todos los usuarios en nombre de la organización, al iniciar sesión en el portal web de RADIUSaaS por primera vez:
Alternativamente, los administradores pueden conceder el consentimiento en nombre de la organización en el portal de Azure (Microsoft Entra ID > Aplicaciones empresariales > RADIUS as a Service). En el Portal de Azure, los administradores también pueden revisar o revocar el consentimiento:
Al usar un Apple ID para iniciar sesión en RADIUSaaS, asegúrese de no ocultar su dirección de correo electrónico.
Si eligió ocultar su correo electrónico en este cuadro de diálogo, no podrá iniciar sesión en su portal. Entonces deberá eliminar la aplicación de RADIUSaaS en account.apple.com en la Iniciar sesión con Apple sección
Digital Ocean le exigirá autorizar la aplicación en un equipo para poder iniciar sesión:
Google requerirá que permita que la aplicación acceda a datos limitados de su cuenta.
La información específica que necesita proporcionar para el proveedor OIDC personalizado depende del proveedor de identidad que elija. El siguiente ejemplo se basa en Okta.
En la consola de administración de Okta, deberá crear una nueva integración de aplicación con los siguientes detalles:
Método de inicio de sesión
OIDC - OpenID Connect
Tipo de aplicación
Aplicación web
URI de redirección de inicio de sesión
Proporcionado en el cuadro de diálogo de RADIUSaaS anterior Ejemplo: https://eu1.radius-as-a-service.com/loginserver/authResponse
Asegúrese de asignar la integración al grupo de usuarios previsto y guarde. Ahora puede recuperar la información requerida de esta aplicación para introducirla en RADIUSaaS:
El Nombre para mostrar se puede elegir libremente y se mostrará durante el inicio de sesión.
Con Okta, la URL de autenticación tiene la siguiente forma:
https://{YourOrga}.okta.com/oauth2/v1/authorize
La URL del token también se construye y se ve así:
https://{YourOrga}.okta.com/oauth2/v1/token
El ID de cliente y Secreto de cliente puede copiarse y crearse en la propia aplicación:
Para el Ámbito del cliente openid email es obligatorio. Esto indicará a Okta que estamos utilizando una autenticación OpenID y que necesitamos leer la dirección de correo electrónico del usuario que inició sesión.
Después de guardar y permitir este proveedor, debería poder usarlo para autenticarse desde la página de inicio de sesión:
Si es necesario en ciertos escenarios (por ejemplo, GCC High inquilinos), también puede usar un registro de aplicación de Entra ID creado por usted mismo para autenticarse en su portal de RADIUSaaS.
Preparación
Antes de crear el registro de la aplicación, asegúrese de copiar la URL de redirección de la Permisos sección de su portal de RADIUSaaS. Puede encontrar la URL en la parte superior del Proveedor OIDC personalizado cuadro de diálogo de edición:
Crear registro de aplicación
En Entra ID, vaya a Registros de aplicaciones y cree un nuevo registro:
Seleccione un Nombre descriptivo para el registro y agregue la URI de redirección que copió en el paso anterior como Web tipo.
Agregar permisos de API
En el registro creado, vaya a permisos de API y agregue email y openid de Microsoft Graph como Delegados permisos. Además, asegúrese de conceder consentimiento de administrador para su inquilino:
Agregar secreto de cliente
Para permitir que RADIUSaaS use este registro, cree un secreto de cliente en la sección Certificados y secretos del registro. Copie el valor del secreto para usarlo más adelante.
Anotar detalles del registro
Más adelante necesitará el ID de cliente del registro y algunas URL específicas de su inquilino. Puede encontrarlas en la página de resumen del registro:
Asignar usuarios
Para que cualquiera pueda usar este registro de aplicación para iniciar sesión, asegúrese de agregarlos en la aplicación empresarial administrada. Puede encontrar esto en Entra ID en Aplicaciones empresariales que tiene el mismo nombre que su registro de aplicación. También hay un enlace a esto en el resumen del registro de la aplicación.
Configurar el proveedor OIDC en RADIUSaaS
De vuelta en el portal de RADIUSaaS, navegue a la sección Permisos y edite el proveedor OIDC personalizado y complete la información requerida:
Nombre para mostrar
Este nombre se mostrará en la página de inicio de sesión
URL de autenticación
punto de conexión de autorización OAuth 2.0 (v2) de los puntos de conexión del registro
URL del token
punto de conexión del token OAuth 2.0 (v2) de los puntos de conexión del registro
ID de cliente
El ID de cliente del registro de la aplicación. Se puede encontrar en su página de resumen
Secreto de cliente
El secreto de cliente creado anteriormente
Ámbito del cliente
Define la información solicitada durante la autenticación. Introduzca openid email aquí.
Después de guardar la configuración, asegúrese de permitir el proveedor personalizado y añadir algunos usuarios para este proveedor. Ahora debería poder usar el proveedor para iniciar sesión en su portal de RADIUSaaS:
Puede ser necesario que un administrador de Entra use inicialmente este inicio de sesión para dar nuevamente su consentimiento para su inquilino. Esto solo debe hacerse una vez.
Última actualización
¿Te fue útil?