# Permisos
## Descripción general
El **Permisos** menú le permite controlar el acceso al Portal de administración de RADIUSaaS y a la API REST de RADIUSaaS.
{% hint style="success" %}
RADIUSaaS admite múltiples IDP para la autenticación al iniciar sesión en el Portal de administración de RADIUSaaS.
RADIUSaaS no almacena ni administra sus propias identidades de administrador.
Por lo tanto, los administradores disfrutan de la comodidad de trabajar con sus propias identidades y no tienen que configurar cuentas adicionales.
{% endhint %}
{% hint style="info" %}
Los cambios en las asignaciones de roles y la invalidez de los tokens de usuario solo entran en vigor después de hacer clic en **Guardar**.
{% endhint %}
## IDP admitidos
En **Proveedores de autenticación permitidos** se puede habilitar cualquiera (incluidos varios) de los IDP que admite RADIUSaaS:
* Apple (Apple ID)
* DigitalOcean (dirección de correo electrónico del usuario)
* Entra ID (nombre principal de usuario)
* Google (dirección de correo electrónico principal)
Además, en **Proveedor OICD personalizado** puede configurar sus propios proveedores OpenID Connect para aprovechar otros IDP, por ejemplo, Okta o nubes soberanas de Azure (GCC, GCC High, ...).
## Roles
### Administradores
Las identidades o cuentas introducidas aquí pueden acceder al Portal de administración de RADIUSaaS con **permisos completos de lectura y escritura** en el servicio. Estos permisos incluyen:
* Ver [paneles y registros](/es/portal-de-administracion/insights.md)
* Ver, agregar, cambiar, eliminar [Usuarios](/es/portal-de-administracion/users.md)
* Ver, agregar, cambiar, eliminar [certificados del servidor RADIUS](/es/portal-de-administracion/settings/settings-server.md#server-certificates) y [certificados de confianza](/es/portal-de-administracion/settings/trusted-roots.md) para autenticación de clientes y RadSec
* Ver, agregar, eliminar [Proxies](/es/portal-de-administracion/settings/settings-proxy.md)
* Ver y cambiar otras configuraciones, incluidos los permisos
* Administrar [Token de acceso a la API REST de RADIUSaaS](#access-tokens)
* Acceso a todos los [puntos de conexión de la API](/es/otro/rest-api.md) y operaciones CRUD
### Visores
Las identidades o cuentas introducidas aquí pueden acceder al Portal de administración de RADIUSaaS con **permisos completos de lectura** en el servicio. Estos permisos incluyen:
* Ver [paneles y registros](/es/portal-de-administracion/insights.md)
* Ver [Usuarios](/es/portal-de-administracion/users.md)
* Ver, agregar, cambiar, eliminar [certificados del servidor RADIUS](/es/portal-de-administracion/settings/settings-server.md#server-certificates) y [certificados de confianza](/es/portal-de-administracion/settings/trusted-roots.md) para autenticación de clientes y RadSec
* Ver [Proxies](/es/portal-de-administracion/settings/settings-proxy.md)
* Ver otras configuraciones (el permiso no se puede ver)
* Acceso a todos los [puntos de conexión de la API](/es/otro/rest-api.md) - **limitado a operaciones de lectura**
### Usuarios
Las identidades o cuentas introducidas aquí **no pueden** acceder al Portal de administración de RADIUSaaS; sin embargo, pueden acceder al portal [**Mis usuarios invitados**](/es/portal-de-administracion/mis-usuarios-invitados.md) donde pueden crear [Usuarios](/es/portal-de-administracion/users.md) para BYOD o acceso de invitado.
### Invalidar tokens de usuario
Durante la autenticación en el Portal de administración de RADIUSaaS, cada identidad permitida obtiene un token de acceso (bearer) que se almacena en la caché del navegador. La vida útil del token es de 30 días. Además, RADIUSaaS tiene permiso para actualizar estos tokens de acceso.
En un evento de seguridad, los administradores de RADIUSaaS pueden **invalidar todos los tokens de acceso emitidos previamente** estableciendo la fecha mínima de emisión en ahora.
## Contactos técnicos
{% hint style="info" %}
Tenga en cuenta que esta función está en preparación para una función de notificación en una futura versión de RADIUSaaS.
{% endhint %}
Agregue hasta 5 contactos técnicos para recibir notificaciones por correo electrónico relacionadas con su instancia. Puede seleccionar el nivel de evento para cada contacto.
Nivel de evento
Ejemplos de eventos
Información
Actualizaciones programadas de su instancia.
Advertencia
Un certificado está a punto de expirar, o un ISP está experimentando problemas que podrían afectar a su instancia.
Crítico
Interrupción de su instancia.
## Tokens de acceso
Los tokens de acceso son necesarios para autenticar las llamadas a la [API REST de RADIUSaaS](/es/otro/rest-api.md).
### Agregar
Siga estos pasos para crear un nuevo token de acceso:
1. Haga clic en **Agregar**
2. Proporcione un **Nombre** significativo para el token de acceso
3. Establezca el nivel de permiso seleccionando un [**Rol**](#roles)
4. Seleccione la vida útil del token de acceso
5. Haga clic en **Crear**\
6. Copie el token de acceso al portapapeles y guárdelo en una ubicación segura.\
7. Haga clic en **Cerrar**
### **Eliminar**
Para eliminar un token de acceso, búsquelo en la tabla y haga clic en el icono de la papelera:
## Consentimiento de permisos
Elija entre diferentes proveedores de identidad para poder iniciar sesión en su portal.
{% tabs %}
{% tab title="Entra ID" %}
Las cuentas de Microsoft Entra ID (Azure AD) que inicien sesión en el Portal de administración de RADIUSaaS por primera vez deben conceder a RADIUSaaS un conjunto limitado de [permisos en su inquilino de Azure](https://docs.radiusaas.com/es/portal-de-administracion/settings/pages/572b6efa8cb1de93843990c483eb54b7006bdefc#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).
Hay dos formas alternativas de proporcionar consentimiento:
* **Consentimiento del usuario**\
Cada usuario acepta el consentimiento al iniciar sesión por primera vez en el portal.
* **Consentimiento del administrador**\
Un administrador puede dar su consentimiento en nombre de la organización para todos los usuarios.
### Consentimiento del usuario
Si un administrador no ha dado previamente el consentimiento en nombre de la organización, el usuario verá un cuadro de diálogo de solicitud de permisos:
Los usuarios pueden revisar o revocar este consentimiento en Microsoft [Mis aplicaciones](< https://myapps.microsoft.com>).
Los administradores pueden revisar y revocar los consentimientos de los usuarios en el Portal de Azure (**Microsoft Entra ID** > **Aplicaciones empresariales** > **RADIUS as a Service**):
### Consentimiento del administrador
En lugar de requerir el consentimiento de cada usuario, los administradores pueden conceder el consentimiento para todos los usuarios en nombre de la organización, al iniciar sesión en el portal web de RADIUSaaS por primera vez:
Alternativamente, los administradores pueden conceder el consentimiento en nombre de la organización en el portal de Azure (**Microsoft Entra ID** > **Aplicaciones empresariales** > **RADIUS as a Service**). En el Portal de Azure, los administradores también pueden revisar o revocar el consentimiento:
{% endtab %}
{% tab title="Apple" %}
Al usar un Apple ID para iniciar sesión en RADIUSaaS, asegúrese de **no ocultar** su dirección de correo electrónico.
{% hint style="warning" %}
Si eligió ocultar su correo electrónico en este cuadro de diálogo, no podrá iniciar sesión en su portal. Entonces deberá eliminar la aplicación de RADIUSaaS en **account.apple.com** en la **Iniciar sesión con Apple** sección
{% endhint %}
{% endtab %}
{% tab title="Digital Ocean" %}
Digital Ocean le exigirá autorizar la aplicación en un equipo para poder iniciar sesión:
{% endtab %}
{% tab title="Google" %}
Google requerirá que permita que la aplicación acceda a datos limitados de su cuenta.
{% endtab %}
{% tab title="Proveedor OIDC personalizado (Okta)" %}
La información específica que necesita proporcionar para el proveedor OIDC personalizado depende del proveedor de identidad que elija. El siguiente **ejemplo** se basa en **Okta**.
En la consola de administración de Okta, deberá crear una nueva integración de aplicación con los siguientes detalles:
| Método de inicio de sesión | OIDC - OpenID Connect |
| -------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Tipo de aplicación | Aplicación web |
| URI de redirección de inicio de sesión |
Proporcionado en el cuadro de diálogo de RADIUSaaS anterior Ejemplo:
|
Asegúrese de asignar la integración al grupo de usuarios previsto y guarde. Ahora puede recuperar la información requerida de esta aplicación para introducirla en RADIUSaaS:
El **Nombre para mostrar** se puede elegir libremente y se mostrará durante el inicio de sesión.
Con Okta, la **URL de autenticación** tiene la siguiente forma:
`https://`**`{YourOrga}`**`.okta.com/oauth2/v1/authorize`
La URL del token también se construye y se ve así:
`https://`**`{YourOrga}`**`.okta.com/oauth2/v1/token`
El **ID de cliente** y **Secreto de cliente** puede copiarse y crearse en la propia aplicación:
Para el **Ámbito del cliente** `openid email` es obligatorio. Esto indicará a Okta que estamos utilizando una autenticación OpenID y que necesitamos leer la dirección de correo electrónico del usuario que inició sesión.
Después de guardar y permitir este proveedor, debería poder usarlo para autenticarse desde la página de inicio de sesión:
{% endtab %}
{% tab title="Proveedor OIDC personalizado (Entra ID)" %}
Si es necesario en ciertos escenarios (por ejemplo, **GCC High** inquilinos), también puede usar un registro de aplicación de Entra ID creado por usted mismo para autenticarse en su portal de RADIUSaaS.
#### Preparación
Antes de crear el registro de la aplicación, asegúrese de copiar la URL de redirección de la **Permisos** sección de su portal de RADIUSaaS. Puede encontrar la URL en la parte superior del **Proveedor OIDC personalizado** cuadro de diálogo de edición:
### Crear registro de aplicación
En Entra ID, vaya a **Registros de aplicaciones** y cree un nuevo registro:
Seleccione un **Nombre** descriptivo para el registro y agregue la URI de redirección que copió en el paso anterior como **Web** tipo.
#### Agregar permisos de API
En el registro creado, vaya a **permisos de API** y agregue `email` y `openid` de Microsoft Graph como **Delegados** permisos. Además, asegúrese de conceder consentimiento de administrador para su inquilino:
#### Agregar secreto de cliente
Para permitir que RADIUSaaS use este registro, cree un secreto de cliente en la sección **Certificados y secretos** del registro. Copie el valor del secreto para usarlo más adelante.
#### Anotar detalles del registro
Más adelante necesitará el **ID de cliente** del registro y algunas URL específicas de su inquilino. Puede encontrarlas en la página de resumen del registro:
#### Asignar usuarios
Para que cualquiera pueda usar este registro de aplicación para iniciar sesión, asegúrese de agregarlos en la aplicación empresarial administrada. Puede encontrar esto en Entra ID en **Aplicaciones empresariales** que tiene el mismo nombre que su registro de aplicación. También hay un enlace a esto en el resumen del registro de la aplicación.
### Configurar el proveedor OIDC en RADIUSaaS
De vuelta en el portal de RADIUSaaS, navegue a la sección Permisos y edite el proveedor OIDC personalizado y complete la información requerida:
| Campo | Explicación |
| -------------------- | ------------------------------------------------------------------------------------------ |
| Nombre para mostrar | Este nombre se mostrará en la página de inicio de sesión |
| URL de autenticación | `punto de conexión de autorización OAuth 2.0 (v2)` de los puntos de conexión del registro |
| URL del token | `punto de conexión del token OAuth 2.0 (v2)` de los puntos de conexión del registro |
| ID de cliente | El ID de cliente del registro de la aplicación. Se puede encontrar en su página de resumen |
| Secreto de cliente | El secreto de cliente creado anteriormente |
| Ámbito del cliente | Define la información solicitada durante la autenticación. Introduzca `openid email` aquí. |
Después de guardar la configuración, asegúrese de permitir el proveedor personalizado y añadir algunos usuarios para este proveedor. Ahora debería poder usar el proveedor para iniciar sesión en su portal de RADIUSaaS:
{% hint style="warning" %}
Puede ser necesario que un administrador de Entra use inicialmente este inicio de sesión para dar nuevamente su consentimiento para su inquilino. Esto solo debe hacerse una vez.
{% endhint %}
{% endtab %}
{% endtabs %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/es/portal-de-administracion/settings/permissions.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.