# Autorisations
## Vue d’ensemble
Le **Autorisations** menu vous permet de contrôler l’accès au portail d’administration RADIUSaaS et à l’API REST RADIUSaaS.
{% hint style="success" %}
RADIUSaaS prend en charge plusieurs IDP pour l’authentification lors de la connexion au portail d’administration RADIUSaaS.
RADIUSaaS ne stocke ni ne gère ses propres identités d’administrateur.
Ainsi, les administrateurs bénéficient du confort d’utiliser leurs propres identités et n’ont pas besoin de créer des comptes supplémentaires.
{% endhint %}
{% hint style="info" %}
Les modifications des affectations de rôles et l’invalidation des jetons utilisateur ne prennent effet qu’après avoir cliqué sur **Enregistrer**.
{% endhint %}
## IDP pris en charge
Sous **Fournisseurs d’authentification autorisés** n’importe lequel (y compris plusieurs) des IDP pris en charge par RADIUSaaS peut être activé :
* Apple (Apple ID)
* DigitalOcean (adresse e-mail de l’utilisateur)
* Entra ID (nom d’utilisateur principal)
* Google (adresse e-mail principale)
En outre, sous **Fournisseur OICD personnalisé** vous pouvez configurer vos propres fournisseurs OpenID Connect afin d’exploiter d’autres IDP, par exemple Okta ou des clouds Azure souverains (GCC, GCC High, ...).
## Rôles
### Administrateurs
Les identités ou comptes saisis ici peuvent accéder au portail d’administration RADIUSaaS avec **des autorisations complètes en lecture et écriture** sur le service. Ces autorisations incluent :
* Afficher [les tableaux de bord et les journaux](/fr/portail-dadministration/insights.md)
* Afficher, ajouter, modifier, supprimer [Utilisateurs](/fr/portail-dadministration/users.md)
* Afficher, ajouter, modifier, supprimer [certificats du serveur RADIUS](/fr/portail-dadministration/settings/settings-server.md#server-certificates) et [certificats de confiance](/fr/portail-dadministration/settings/trusted-roots.md) pour l’authentification client et RadSec
* Afficher, ajouter, supprimer [Proxys](/fr/portail-dadministration/settings/settings-proxy.md)
* Afficher et modifier les autres paramètres, y compris les autorisations
* Gérer [Jeton d’accès à l’API REST RADIUSaaS](#access-tokens)
* Accès à tous les [points de terminaison de l’API](/fr/autre/rest-api.md) et aux opérations CRUD
### Visualiseurs
Les identités ou comptes saisis ici peuvent accéder au portail d’administration RADIUSaaS avec **des autorisations complètes en lecture** sur le service. Ces autorisations incluent :
* Afficher [les tableaux de bord et les journaux](/fr/portail-dadministration/insights.md)
* Afficher [Utilisateurs](/fr/portail-dadministration/users.md)
* Afficher, ajouter, modifier, supprimer [certificats du serveur RADIUS](/fr/portail-dadministration/settings/settings-server.md#server-certificates) et [certificats de confiance](/fr/portail-dadministration/settings/trusted-roots.md) pour l’authentification client et RadSec
* Afficher [Proxys](/fr/portail-dadministration/settings/settings-proxy.md)
* Afficher les autres paramètres (l’autorisation ne peut pas être affichée)
* Accès à tous les [points de terminaison de l’API](/fr/autre/rest-api.md) - **limité aux opérations de lecture**
### Utilisateurs
Les identités ou comptes saisis ici **ne peuvent pas** accéder au portail d’administration RADIUSaaS, cependant, ils peuvent accéder au portail [**Mes utilisateurs invités**](/fr/portail-dadministration/mes-utilisateurs-invites.md) où ils peuvent créer [Utilisateurs](/fr/portail-dadministration/users.md) pour le BYOD ou l’accès invité.
### Invalider les jetons utilisateur
Lors de l’authentification au portail d’administration RADIUSaaS, chaque identité autorisée obtient un jeton d’accès (bearer) qui est mis en cache dans le magasin de cookies du navigateur. La durée de vie du jeton est de 30 jours. En outre, RADIUSaaS a l’autorisation d’actualiser ces jetons d’accès.
En cas d’incident de sécurité, les administrateurs RADIUSaaS peuvent **invalider tous les jetons d’accès précédemment émis** en définissant la date minimale d’émission à maintenant.
## Contacts techniques
{% hint style="info" %}
Veuillez noter que cette fonctionnalité est en préparation d’une fonctionnalité de notification dans une future version de RADIUSaaS.
{% endhint %}
Ajoutez jusqu’à 5 contacts techniques pour recevoir des notifications par e-mail liées à votre instance. Vous pouvez sélectionner le niveau d’événement pour chaque contact.
Niveau d’événement
Exemples d’événements
Info
Mises à jour planifiées de votre instance.
Avertissement
Un certificat est sur le point d’expirer, ou un FAI rencontre des problèmes susceptibles d’avoir un impact sur votre instance.
Critique
Interruption de votre instance.
## Jetons d’accès
Les jetons d’accès sont requis pour authentifier les appels à l’ [API REST RADIUSaaS](/fr/autre/rest-api.md).
### Ajouter
Suivez ces étapes pour créer un nouveau jeton d’accès :
1. Cliquez sur **Ajouter**
2. Fournissez un **Nom** significatif pour le jeton d’accès
3. Définissez le niveau d’autorisation en sélectionnant un [**Rôle**](#roles)
4. Sélectionnez la durée de vie du jeton d’accès
5. Cliquez sur **Créer**\
6. Copiez le jeton d’accès dans le presse-papiers et stockez-le dans un emplacement sécurisé.\
7. Cliquez sur **Fermer**
### **Supprimer**
Pour supprimer un jeton d’accès, localisez-le dans le tableau et cliquez sur l’icône de la corbeille :
## Consentement aux autorisations
Choisissez parmi différents fournisseurs d’identité pour pouvoir vous connecter à votre portail.
{% tabs %}
{% tab title="Entra ID" %}
Les comptes Microsoft Entra ID (Azure AD) qui se connectent pour la première fois au portail d’administration RADIUSaaS doivent accorder à RADIUSaaS un ensemble limité de [autorisations dans leur tenant Azure](https://docs.radiusaas.com/fr/portail-dadministration/settings/pages/12ec49b564e9aa1e02b4b597afa11bd644925325#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).
Il existe deux façons alternatives de fournir le consentement :
* **Consentement de l’utilisateur**\
Chaque utilisateur accepte le consentement lors de sa première connexion au portail.
* **Consentement de l’administrateur**\
Un administrateur peut consentir au nom de l’organisation pour tous les utilisateurs.
### Consentement de l’utilisateur
Si aucun consentement n’a été donné auparavant au nom de l’organisation par un administrateur, un utilisateur verra une boîte de dialogue de demande d’autorisation :
Les utilisateurs peuvent consulter ou révoquer ce consentement dans Microsoft [Mes applications](< https://myapps.microsoft.com>).
Les administrateurs peuvent consulter et révoquer les consentements des utilisateurs dans le Portail Azure (**Microsoft Entra ID** > **Applications d’entreprise** > **RADIUS as a Service**):
### Consentement de l’administrateur
Plutôt que d’exiger le consentement de chaque utilisateur, les administrateurs peuvent accorder le consentement pour tous les utilisateurs au nom de l’organisation lors de la première connexion au portail web RADIUSaaS :
Sinon, les administrateurs peuvent accorder le consentement au nom de l’organisation dans le portail Azure (**Microsoft Entra ID** > **Applications d’entreprise** > **RADIUS as a Service**). Dans le Portail Azure, les administrateurs peuvent également consulter ou révoquer le consentement :
{% endtab %}
{% tab title="Apple" %}
Lors de l’utilisation d’un Apple ID pour se connecter à RADIUSaaS, assurez-vous de **ne pas masquer** votre adresse e-mail.
{% hint style="warning" %}
Si vous choisissez de masquer votre e-mail dans cette boîte de dialogue, vous ne pourrez pas vous connecter à votre portail. Vous devrez alors supprimer l’application RADIUSaaS sur **account.apple.com** dans la section **Se connecter avec Apple** section
{% endhint %}
{% endtab %}
{% tab title="Digital Ocean" %}
Digital Ocean vous demandera d’autoriser l’application sur une équipe pour pouvoir vous connecter :
{% endtab %}
{% tab title="Google" %}
Google vous demandera d’autoriser l’application à accéder à des données limitées sur votre compte.
{% endtab %}
{% tab title="Fournisseur OIDC personnalisé (Okta)" %}
Les informations spécifiques que vous devez fournir pour le fournisseur OIDC personnalisé dépendent du fournisseur d’identité que vous choisissez. L’ **exemple** suivant est basé sur **Okta**.
Dans la console d’administration Okta, vous devrez créer une nouvelle intégration d’application avec les détails suivants :
| Méthode de connexion | OIDC - OpenID Connect |
| ------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Type d’application | Application web |
| URI de redirection de connexion |
Fourni dans la boîte de dialogue RADIUSaaS ci-dessus Exemple :
|
Assurez-vous d’affecter l’intégration au groupe d’utilisateurs prévu et d’enregistrer. Vous pouvez maintenant récupérer les informations requises de cette application à saisir dans RADIUSaaS :
Le **Nom d’affichage** peut être choisi librement et sera affiché lors de la connexion.
Avec Okta, l’ **URL d’authentification** est sous la forme suivante :
`https://`**`{VotreOrga}`**`.okta.com/oauth2/v1/authorize`
L’URL du jeton est également construite et ressemble à ceci :
`https://`**`{VotreOrga}`**`.okta.com/oauth2/v1/token`
Le **ID client** et **Secret client** peut être copié et créé dans l’application elle-même :
Pour le **périmètre client** `openid email` est requis. Cela indiquera à Okta que nous utilisons une authentification OpenID et que nous devons lire l’adresse e-mail de l’utilisateur connecté.
Après avoir enregistré et autorisé ce fournisseur, vous devriez pouvoir l’utiliser pour vous authentifier depuis la page de connexion :
{% endtab %}
{% tab title="Fournisseur OIDC personnalisé (Entra ID)" %}
Si nécessaire dans certains scénarios (par ex. **GCC High** tenants), vous pouvez également utiliser un enregistrement d’application Entra ID créé par vous-même pour vous authentifier sur votre portail RADIUSaaS.
#### Préparation
Avant de créer l’enregistrement d’application, veillez à copier l’URL de redirection depuis la **Autorisations** section de votre portail RADIUSaaS. Vous pouvez trouver l’URL en haut de la **Fournisseur OIDC personnalisé** boîte de dialogue d’édition :
### Créer l’enregistrement d’application
Dans Entra ID, accédez à **Enregistrements d’applications** et créez un nouvel enregistrement :
Sélectionnez un **Nom** descriptif pour l’enregistrement et ajoutez l’URI de redirection que vous avez copiée à l’étape précédente en tant que type **Web** .
#### Ajouter des autorisations API
Dans l’enregistrement créé, accédez à **Autorisations API** et ajoutez `email` et `openid` de Microsoft Graph en tant qu’ **Déléguées** autorisations. Assurez-vous également d’accorder le consentement de l’administrateur pour votre tenant :
#### Ajouter un secret client
Pour permettre à RADIUSaaS d’utiliser cet enregistrement, créez un secret client dans la section **Certificats et secrets** de l’enregistrement. Copiez la valeur du secret pour plus tard.
#### Noter les détails de l’enregistrement
Vous aurez plus tard besoin des **ID client** et de certaines URL spécifiques à votre tenant. Vous pouvez les trouver sur la page Vue d’ensemble de l’enregistrement :
#### Affecter des utilisateurs
Pour que quiconque puisse utiliser cet enregistrement d’application pour se connecter, assurez-vous de les ajouter dans l’application d’entreprise gérée. Vous pouvez la trouver dans Entra ID dans **Applications d’entreprise** ayant le même nom que votre enregistrement d’application. Il existe également un lien vers celle-ci dans l’aperçu de l’enregistrement d’application.
### Configurer le fournisseur OIDC dans RADIUSaaS
De retour dans le portail RADIUSaaS, accédez à la section Autorisations, modifiez le fournisseur OIDC personnalisé et renseignez les informations requises :
| Champ | Explication |
| ---------------------- | --------------------------------------------------------------------------------------------------------- |
| Nom d’affichage | Ce nom sera affiché sur la page de connexion |
| URL d’authentification | `Point de terminaison d’autorisation OAuth 2.0 (v2)` depuis les points de terminaison de l’enregistrement |
| URL du jeton | `Point de terminaison du jeton OAuth 2.0 (v2)` depuis les points de terminaison de l’enregistrement |
| ID client | L’ID client de l’enregistrement de l’application. Il se trouve sur sa page d’aperçu |
| Secret client | Le secret client créé précédemment |
| périmètre client | Définit les informations demandées lors de l’authentification. Entrez `openid email` ici. |
Après avoir enregistré la configuration, assurez-vous d’autoriser le fournisseur personnalisé et d’ajouter quelques utilisateurs pour ce fournisseur. Vous devriez maintenant pouvoir utiliser le fournisseur pour vous connecter à votre portail RADIUSaaS :
{% hint style="warning" %}
Il peut être nécessaire qu’un administrateur Entra utilise initialement cette connexion pour consentir à nouveau pour son tenant. Cela ne doit être fait qu’une seule fois.
{% endhint %}
{% endtab %}
{% endtabs %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/fr/portail-dadministration/settings/permissions.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.