# Détails

## Qu’est-ce que RADIUS ?

Chaque fois que les grandes entreprises ont besoin d’une authentification réseau, [RADIUS (RFC 2865)](https://tools.ietf.org/html/rfc2865) est le protocole de choix. RADIUS est un protocole AAA, qui signifie **authentification, autorisation et comptabilisation**. Il est donc particulièrement adapté au contrôle de l’accès à des réseaux comme le Wi‑Fi, le réseau filaire (802.1X, EAP) ou le VPN. Le protocole a été développé par Livingston Enterprises, Inc. en 1991 et fait désormais partie des normes de l’IETF.

## Qu’est-ce que RadSec ?

RADIUS est un protocole efficace à des fins d’authentification qui utilise le protocole de transport UDP. Néanmoins, une partie du trafic ne sera pas chiffrée pendant le transport. Cela peut être évité en utilisant [RadSec (RFC 6614)](https://tools.ietf.org/html/rfc6614) qui est transporté via TCP et entièrement encapsulé dans un tunnel TLS.&#x20;

## Certificats d’authentification

La manière la plus simple de déployer des certificats d’appareil ou d’utilisateur sur vos clients est [SCEPman](https://www.scepman.com/), car il est très facile à déployer et s’intègre parfaitement à Intune et à d’autres systèmes MDM.\
\
Vous pouvez également utiliser [Microsoft Cloud PKI](https://docs.radiusaas.com/fr/configuration/get-started/scenario-based-guides/microsoft-cloud-pki), votre propre PKI sur site ou d’autres autorités de certification compatibles.

RADIUSaaS prend en charge plusieurs autorités de certification en parallèle.

#### Vérification en ligne des certificats

Pour vérifier si un certificat est considéré comme valide par votre autorité de certification (CA) **au moment de l’authentification**, RADIUSaaS s’appuie sur le protocole OCSP (Online Certificate Status Protocol) ou sur des listes de révocation de certificats (CRL).

{% hint style="info" %}
Afin de réduire le nombre de requêtes envoyées à un répondeur OCSP, certains états de certificats seront [mis en cache temporairement](https://docs.radiusaas.com/fr/autre/faqs/log-and-common-errors#certificate-status-was-revoked-previously).
{% endhint %}

## Notre service

### RADIUS

#### Portail d’administration

Chaque client a accès à sa propre instance via son propre portail d’administration RADIUSaaS, qui peut être utilisé pour des tâches telles que [la création d’utilisateurs](https://docs.radiusaas.com/fr/portail-dadministration/users#add), la modification [des certificats autorisés](https://docs.radiusaas.com/fr/portail-dadministration/settings/trusted-roots), [, l’ajout de proxys](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-proxy), la création de [règles](https://docs.radiusaas.com/fr/portail-dadministration/settings/rules) ou l’exécution d’un dépannage à l’aide de RADIUSaaS Insights.&#x20;

#### Proxy RADIUS vers RadSec

Le serveur RADIUS interne du service autorise uniquement les connexions [RadSec](#what-is-radsec) . Si votre infrastructure Wi‑Fi ne prend pas en charge RadSec, RADIUSaaS inclut une fonctionnalité de [proxy](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-proxy) qui établira un tunnel sécurisé vous permettant d’utiliser le service avec le RADIUS traditionnel basé sur UDP.

#### Invités, BYOD et appareils IoT&#x20;

Certains de vos appareils peuvent ne pas être en mesure de recevoir des certificats. Les raisons peuvent être qu’ils ne sont gérés par aucun fournisseur de stratégie/système MDM, ou qu’ils ne sont tout simplement pas techniquement capables de fonctionner avec des certificats. \
Dans ces cas, dans des scénarios BYOD ou invités, vous pouvez [ajouter des utilisateurs](https://docs.radiusaas.com/fr/portail-dadministration/users#add) à votre instance et restreindre l’accès à une période de temps spécifique, si nécessaire. Cela vous permet d’authentifier des imprimantes, des téléviseurs ou d’autres appareils avec une seule instance du service tout en utilisant le même SSID.

### Régions

RADIUSaaS peut être utilisé dans le monde entier.

**Le service principal de RADIUSaaS** peut être déployé dans des centres de données dans les régions et pays suivants :

* Australie
* Union européenne
* Royaume-Uni
* États-Unis d’Amérique

**Les proxys RADIUS** peuvent être déployés dans des centres de données sur [tous les continents](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-proxy#regions).&#x20;

### Intégration SCEPman

Les clients peuvent choisir entre deux offres groupées RADIUSaaS & SCEPman :

* RADIUSaaS & SCEPman Enterprise
* RADIUSaaS & <code class="expression">space.vars.SCEPmanSAAS\_ProductName</code>

Pour les deux options, la [connexion SCEPman](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-server#scepman-connection) permet l’émission et le renouvellement automatiques des certificats de serveur RADIUSaaS via SCEPman.

#### Comparaison des éditions SCEPman

|                                                                                                       |                      SCEPman Enterprise                     |                  SCEPman SaaS                  |
| ----------------------------------------------------------------------------------------------------- | :---------------------------------------------------------: | :--------------------------------------------: |
| **SCEPman s’exécute dans**                                                                            |                  le tenant Azure du client                  |      les centres de données du fournisseur     |
| **Coût de l’infrastructure**                                                                          |                            Client                           |                   Fournisseur                  |
| **Maintenance de l’infrastructure**                                                                   |                        Client / Azure                       |                   Fournisseur                  |
| **Configuration**                                                                                     |                            Client                           |                     Client                     |
| **Option de redondance géographique**                                                                 |                             Oui                             |                 Non<sup>1</sup>                |
| **RBAC pour Certificate Master**                                                                      |                             Oui                             |                       Non                      |
| <p><strong>Inscription basée sur GPO</strong> <br>("inscription AD")</p>                              |                             Oui                             |                 Non<sup>1</sup>                |
| **API REST d’inscription**                                                                            |                             Oui                             |                 Non<sup>1</sup>                |
| **Journalisation**                                                                                    |                Azure Monitor / Log Analytics                |                   Console Web                  |
| <p><strong>Autorité de certification subordonnée /</strong> <br><strong>hiérarchie de CA</strong></p> |                             Oui                             | <p>avec<br>Bring your own Key Vault (BYOK)</p> |
| **Options de licence**                                                                                | <p> SCEPman Enterprise<br>ou<br>offre groupée RADIUSaaS</p> |             offre groupée RADIUSaaS            |

<sup>1</sup> Nous prévoyons d’ajouter cette fonctionnalité à SCEPman SaaS à l’avenir.

## Premiers pas

Veuillez suivre les étapes de la page suivante pour préparer vos clients à l’authentification avec RADIUS-as-a-Service !

{% content-ref url="configuration/get-started" %}
[get-started](https://docs.radiusaas.com/fr/configuration/get-started)
{% endcontent-ref %}