# Général

## Authentification

#### À quelle fréquence un appareil s’authentifie-t-il généralement auprès de RADIUSaaS ?

Il est difficile de répondre à cette question, car cela dépend du comportement de vos utilisateurs, de vos clients et de votre équipement réseau (AP, NAC, commutateurs). De plus, il est **important** de noter que RADIUSaaS ne déclenchera ni

* une authentification ni
* n’enverra une requête de terminaison via son port de comptabilité au client, ce qui pourrait potentiellement déclencher une réauthentification.

Si vous pensez que vos appareils s’authentifient très fréquemment (plusieurs fois par heure) sans que l’utilisateur redémarre constamment le client, cela peut être dû aux raisons suivantes :

* Le contrôleur réseau n’authentifie pas assez rapidement le client pour que celui-ci rejoigne le réseau, donc le client tente de s’authentifier à nouveau. Vérifiez le contrôleur réseau pour voir s’il reçoit une réponse de RaaS, et quand. 
* Le contrôleur réseau réinitie l’authentification. Vérifiez le contrôleur réseau pour déterminer ce qui pourrait en être la cause. 

## Portail d’administration RADIUSaaS

#### Comment puis-je ajouter le Portail d’administration RADIUSaaS à Mes applications ?

**Créer l’application**

Tout d’abord, vous devez créer une application d’entreprise. Pour ce faire via le Azure portal, suivez les étapes suivantes :

1. Connectez-vous à votre [Azure](https://portal.azure.com/) compte
2. Accédez à **Microsoft Entra ID**
3. Sélectionnez **Applications d’entreprise**
4. Cliquez sur **+ Nouvelle application**

<figure><img src="/files/12e13c2ebd449c4ec9f0fe6c0e9f8a4fec7475b9" alt=""><figcaption><p>Création d’une nouvelle application</p></figcaption></figure>

5. Cliquez sur **+ Créez votre propre application**
6. Donnez un nom à l’application (par ex. Portail RADIUSaaS)
7. Choisissez **Intégrer toute autre application que vous ne trouvez pas dans la galerie** et&#x20;
8. Cliquez sur **Créer**

<figure><img src="/files/bde8ab63a68b43e69be61a80fe45ac8ae3f174db" alt=""><figcaption></figcaption></figure>

Une fois l’application configurée, nous devons maintenant lui ajouter des utilisateurs et configurer le logo ainsi que le lien

**Ajouter des utilisateurs et un logo**

1. Sous **Gérer** allez à **Utilisateurs et groupes** - Ajoutez tous les utilisateurs/groupes qui doivent pouvoir voir/utiliser votre nouvelle tuile URL et enregistrez

   <figure><img src="/files/81d55cf0ee3953c131454c8a927b0ed0c642e072" alt=""><figcaption><p>Cliquez sur « Utilisateurs et groupes »</p></figcaption></figure>
2. Cliquez sur **Propriétés** - Téléversez un logo image de votre choix et enregistrez

   <figure><img src="/files/853ff0729555c53a6c2583db6f742f0bf39274b9" alt=""><figcaption><p>Cliquez sur « Propriétés »</p></figcaption></figure>
3. Cliquez sur **Authentification unique** - Sélectionnez **Lié** mode - Puis saisissez l’URL souhaitée et enregistrez.

   <figure><img src="/files/d4a840a5515feeaee83266c6440bf67167817946" alt=""><figcaption><p>Cliquez sur Authentification unique - Sélectionnez le mode « Lié »</p></figcaption></figure>

<figure><img src="/files/9bbe18f0e8a85c443261097d03eb48c008c2b12e" alt="Enter your RADIUSaaS instance URL"><figcaption><p>Entrez l’URL de votre instance RADIUSaaS</p></figcaption></figure>

**Accéder à Mes applications**

Vos utilisateurs devraient maintenant pouvoir accéder à la tuile de lien nouvellement créée via [Mes applications](https://myapps.microsoft.com/).

## Attributs de retour RADIUS

#### Quels attributs liés au VLAN RADIUSaaS renvoie-t-il par défaut ?

{% hint style="info" %}
Si vous avez besoin d’autres attributs VLAN que ceux renvoyés par défaut, veuillez [contacter notre support](https://www.radius-as-a-service.com/help/).
{% endhint %}

Si le balisage VLAN est activé en configurant et en activant une [Règle](/fr/portail-dadministration/settings/rules.md#vlan-assignment) pertinente, RADIUSaaS renvoie les attributs VLAN génériques suivants

`"Tunnel-Type": "VLAN"`&#x20;

`"Tunnel-Medium-Type": "802"`

`"Tunnel-Private-Group-ID"`

ainsi que les autres attributs VLAN spécifiques aux fournisseurs couramment utilisés :

`"WiMAX-VLAN-ID"`

`"Nexans-Port-Default-VLAN-ID"`

`"Dlink-VLAN-ID"`

`"UTStarcom-VLAN-ID"`

`"DHCP-IEEE-802.1Q-VLAN-ID"`

`"Motorola-WiMAX-VLAN-ID"`

`"Telrad-C-VLAN-ID"`

`"Telrad-S-VLAN-ID"`

`"SN-Assigned-VLAN-ID"`

`"Extreme-VM-VLAN-ID"`

`"Ruckus-VLAN-ID"`

`"Mikrotik-Wireless-VLANID"`

`"Egress-VLANID"`

`"HP-Egress-VLANID"`

## Instance secondaire et basculement

#### Comment une instance secondaire se comporte-t-elle en matière de basculement ?

Une instance secondaire signifie que vous disposez d’au moins un serveur RadSec secondaire qui fonctionne indépendamment de votre instance principale mais avec la même configuration. Si vous en avez une, vous pouvez voir plusieurs adresses IP sous [Adresses IP RadSec](/fr/portail-dadministration/settings/settings-server.md#properties).

**Connexion RadSec**

Comme les serveurs RadSec sont indépendants les uns des autres, ils ne gèrent aucun type de basculement. Vous devez ajouter les deux adresses IP/entrées DNS à votre contrôleur réseau, qui décide vers quel serveur les requêtes d’authentification sont acheminées.&#x20;

**Connexion RADIUS**

Avec vos proxys RADIUS, c’est un peu différent : vos proxys connaissent chacune de vos instances RadSec ainsi que leur état de santé et géreront donc le basculement si le serveur principal tombe en panne.

## Minuteries et délais d’expiration

#### Quels paramètres EAP et délais d’expiration doivent être configurés ?

Tous les points d’accès ou commutateurs (authenticator) ne vous offrent pas le même nombre d’options de configuration pour EAP et les paramètres généraux de délai d’expiration (serveur RADIUS). L’aperçu ci-dessous présente l’ensemble maximal de paramètres connus de notre part et la manière dont ils doivent être configurés afin de garantir une fiabilité maximale de la connexion entre l’authenticator et RADIUSaaS.

**Délai d’expiration du serveur RADIUS**

5 secondes

**Paramètres EAP**

<table data-header-hidden><thead><tr><th width="261"></th><th></th></tr></thead><tbody><tr><td>Délai d’expiration EAP</td><td>15 s</td></tr><tr><td>Nombre maximal de nouvelles tentatives EAP</td><td>5</td></tr><tr><td>Délai d’expiration de l’identité EAP</td><td>10 s</td></tr><tr><td>Nombre de nouvelles tentatives d’identité EAP</td><td>5</td></tr><tr><td>Délai d’expiration de la clé EAPOL</td><td>2000 ms</td></tr><tr><td>Nombre de nouvelles tentatives de clé EAPOL</td><td>4</td></tr></tbody></table>

## Journaux

#### Comment puis-je identifier l’adresse IP publique du site d’où provient une authentification ?

Pour identifier l’IP publique du site d’authentification pour une authentification particulière, l’approche dépend de l’utilisation d’une connexion RADIUS (via les proxys RADIUS) ou d’une connexion RadSec directe :

**Connexion RadSec**

* Accédez à **Insights > Journaux**.
* Configurez la plage de temps / fenêtre de recherche pertinente.
* Définissez le **Type de journal** filtre sur **détails**.
* Identifiez l’authentification pertinente (en corrélant l’horodatage et le nom d’utilisateur).
* Identifiez un `Access-Request` message (**message > Packet-Type** = **Acess-Request**) qui appartient à l’authentification étudiée.
* Développez l’entrée de journal correspondante.
* L’IP publique peut être extraite de la **message > Packet-Src-IP-Address** propriété de l’entrée de journal.<br>

  <figure><img src="/files/6d00f62021a8ae66149651c661d03351a9fd341b" alt=""><figcaption></figcaption></figure>

**Connexion RADIUS**

* Accédez à **Insights > Journaux**.
* Configurez la plage de temps / fenêtre de recherche pertinente.
* Définissez le **Type de journal** filtre sur le **proxy**.
* Identifiez l’authentification pertinente (en corrélant l’horodatage et le nom d’utilisateur).
* L’IP publique peut être extraite de la **message** propriété de l’entrée de journal :<br>

  <figure><img src="/files/87c5174cd19a3c4917f542896d80ff6bcf1d66b8" alt=""><figcaption></figcaption></figure>

## RADIUSaaS prend-il en charge WPA3 Enterprise ?

Oui, RADIUSaaS prend en charge WPA3 Enterprise. Il prend également en charge le mode WPA3 Enterprise 192 bits avec la limitation suivante :

**Windows 11 24H2** a introduit des exigences de certificat plus strictes pour le chiffrement WPA3-Enterprise 192 bits, ce qui entraîne des échecs d’authentification si l’ensemble de la chaîne de certificats ne respecte pas des normes spécifiques de robustesse cryptographique. Cette mise à jour impose des longueurs de clé RSA d’au moins 3072 bits ou ECDSA avec la courbe P-384 pour tous les certificats impliqués dans le processus d’authentification. Les organisations utilisant des certificats avec des paramètres plus faibles, comme RSA 2048 bits, peuvent rencontrer des problèmes.&#x20;

Bien que SCEPman prenne en charge les clés RSA 4096 bits pour Windows, cela est limité au fournisseur de stockage de clés logiciel (KSP), car le TPM matériel ne prend pas en charge cette taille de clé.&#x20;

Si, après la mise à niveau vers Windows 11 24H2, vous rencontrez des problèmes d’authentification, recherchez les erreurs « SEC\_E\_ALGORITHM\_MISMATCH » dans l’Observateur d’événements (journaux système et CAPI2) comme indicateur d’incompatibilité des algorithmes cryptographiques entre le client et le serveur.&#x20;

### Que puis-je faire si je souhaite utiliser l’authentification WPA3-Enterprise sur Windows ?

Votre option actuelle pour aller de l’avant est de répondre aux exigences de certificat pour WPA3-Enterprise 192 bits sur vos clients Windows 11 24H2. Cela inclut la mise à jour du certificat feuille afin de satisfaire aux nouvelles exigences minimales.&#x20;

Veuillez noter qu’Intune n’inclut actuellement pas d’option dans son profil SCEP permettant de spécifier une taille de clé de 3072 bits qui pourrait être stockée dans le module de plateforme sécurisée (TPM) de l’ordinateur récepteur. En raison de cette limitation, actuellement la seule solution viable pour les clients Windows est d’utiliser une clé RSA 4096 bits inscrite dans le fournisseur de stockage de clés logiciel (KSP).&#x20;

{% hint style="success" %}
Comme le profil WiFi d’Intune ne fournit que WPA2-Enterprise, vous devrez utiliser un outil externe pour créer un profil WiFi WPA3-Enterprise. Pour plus de commodité, RADIUSaaS inclut cet outil [ici](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml).
{% endhint %}

## Fournisseurs d’identité

### **RADIUSaaS prend-il en charge Okta comme fournisseur d’identité ?**

* **Oui** pour la connexion des administrateurs et des utilisateurs à la console web
* **Non** pour l’authentification via le protocole RADIUS

#### **Connexion des utilisateurs et de l’administrateur au portail (console web)**

Okta est entièrement pris en charge en tant que fournisseur d’identité pour la connexion au Portail Web RADIUSaaS. RADIUSaaS ne gère pas ses propres identités d’administrateur et délègue à la place l’authentification à votre fournisseur d’identité existant, de sorte que les administrateurs, les lecteurs et les utilisateurs invités peuvent se connecter avec leurs comptes Okta. Okta est intégré via l’ **Fournisseur OIDC personnalisé** option dans la section [Autorisations](/fr/portail-dadministration/settings/permissions.md#custom-oidc-provider-okta) . Les instructions de configuration étape par étape, y compris l’URI de redirection requis, les URL d’authentification et de jeton, l’ID client, le secret client et la portée `openid email` , sont documentées dans l’ [Autorisations](/fr/portail-dadministration/settings/permissions.md#overview) article.

#### **Authentification du protocole RADIUS (Wi‑Fi, filaire 802.1X, VPN)**

Okta n’est **pas** pris en charge comme fournisseur d’identité pour l’authentification qui s’effectue via le protocole RADIUS. Comme décrit dans la section [Utilisateurs](/fr/portail-dadministration/users.md) , RADIUSaaS ne s’intègre à aucun IDP externe pour l’authentification réseau basée sur nom d’utilisateur/mot de passe. Tous les comptes nom d’utilisateur/mot de passe utilisés pour l’authentification RADIUS doivent être créés et gérés directement dans le Portail d’administration RADIUSaaS.

{% hint style="info" %}
Pour l’authentification réseau basée sur RADIUS, nous recommandons généralement **contre** les approches nom d’utilisateur/mot de passe qui reposent sur un fournisseur d’identité externe. De telles configurations exigent que les identifiants soient transmis ou relayés pendant l’authentification réseau et élargissent la surface d’attaque d’une manière que nous considérons comme un risque de sécurité pertinent. Dans la mesure du possible, utilisez **l’authentification basée sur des certificats** (EAP-TLS) à la place. Pour plus de contexte et une explication détaillée des risques de l’authentification réseau par mot de passe, voir [Authentification réseau basée sur des certificats](https://www.scepman.com/certificate-network-authentication/).
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.radiusaas.com/fr/autre/faqs/general.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.