Autorisations
Les autorisations et les jetons d’accès à l’API REST RADIUSaaS peuvent être gérés à l’adresse https://YOURNAME.radius-as-a-service.com/settings/permissions
Vue d’ensemble
Le Autorisations menu vous permet de contrôler l’accès au portail d’administration RADIUSaaS et à l’API REST RADIUSaaS.
RADIUSaaS prend en charge plusieurs IDP pour l’authentification lors de la connexion au portail d’administration RADIUSaaS.
RADIUSaaS ne stocke ni ne gère ses propres identités d’administrateur.
Ainsi, les administrateurs bénéficient du confort d’utiliser leurs propres identités et n’ont pas besoin de créer des comptes supplémentaires.
Les modifications des affectations de rôles et l’invalidation des jetons utilisateur ne prennent effet qu’après avoir cliqué sur Enregistrer.
IDP pris en charge
Sous Fournisseurs d’authentification autorisés n’importe lequel (y compris plusieurs) des IDP pris en charge par RADIUSaaS peut être activé :
Apple (Apple ID)
DigitalOcean (adresse e-mail de l’utilisateur)
Entra ID (nom d’utilisateur principal)
Google (adresse e-mail principale)
En outre, sous Fournisseur OICD personnalisé vous pouvez configurer vos propres fournisseurs OpenID Connect afin d’exploiter d’autres IDP, par exemple Okta ou des clouds Azure souverains (GCC, GCC High, ...).
Rôles
Administrateurs
Les identités ou comptes saisis ici peuvent accéder au portail d’administration RADIUSaaS avec des autorisations complètes en lecture et écriture sur le service. Ces autorisations incluent :
Afficher les tableaux de bord et les journaux
Afficher, ajouter, modifier, supprimer Utilisateurs
Afficher, ajouter, modifier, supprimer certificats du serveur RADIUS et certificats de confiance pour l’authentification client et RadSec
Afficher, ajouter, supprimer Proxys
Afficher et modifier les autres paramètres, y compris les autorisations
Accès à tous les points de terminaison de l’API et aux opérations CRUD
Visualiseurs
Les identités ou comptes saisis ici peuvent accéder au portail d’administration RADIUSaaS avec des autorisations complètes en lecture sur le service. Ces autorisations incluent :
Afficher les tableaux de bord et les journaux
Afficher Utilisateurs
Afficher, ajouter, modifier, supprimer certificats du serveur RADIUS et certificats de confiance pour l’authentification client et RadSec
Afficher Proxys
Afficher les autres paramètres (l’autorisation ne peut pas être affichée)
Accès à tous les points de terminaison de l’API - limité aux opérations de lecture
Utilisateurs
Les identités ou comptes saisis ici ne peuvent pas accéder au portail d’administration RADIUSaaS, cependant, ils peuvent accéder au portail Mes utilisateurs invités où ils peuvent créer Utilisateurs pour le BYOD ou l’accès invité.
Invalider les jetons utilisateur
Lors de l’authentification au portail d’administration RADIUSaaS, chaque identité autorisée obtient un jeton d’accès (bearer) qui est mis en cache dans le magasin de cookies du navigateur. La durée de vie du jeton est de 30 jours. En outre, RADIUSaaS a l’autorisation d’actualiser ces jetons d’accès.
En cas d’incident de sécurité, les administrateurs RADIUSaaS peuvent invalider tous les jetons d’accès précédemment émis en définissant la date minimale d’émission à maintenant.
Contacts techniques
Veuillez noter que cette fonctionnalité est en préparation d’une fonctionnalité de notification dans une future version de RADIUSaaS.
Ajoutez jusqu’à 5 contacts techniques pour recevoir des notifications par e-mail liées à votre instance. Vous pouvez sélectionner le niveau d’événement pour chaque contact.
Info
Mises à jour planifiées de votre instance.
Avertissement
Un certificat est sur le point d’expirer, ou un FAI rencontre des problèmes susceptibles d’avoir un impact sur votre instance.
Critique
Interruption de votre instance.
Jetons d’accès
Les jetons d’accès sont requis pour authentifier les appels à l’ API REST RADIUSaaS.
Ajouter
Suivez ces étapes pour créer un nouveau jeton d’accès :
Cliquez sur Ajouter
Fournissez un Nom significatif pour le jeton d’accès
Définissez le niveau d’autorisation en sélectionnant un Rôle
Sélectionnez la durée de vie du jeton d’accès
Cliquez sur Créer
Copiez le jeton d’accès dans le presse-papiers et stockez-le dans un emplacement sécurisé.
Cliquez sur Fermer
Supprimer
Pour supprimer un jeton d’accès, localisez-le dans le tableau et cliquez sur l’icône de la corbeille :
Consentement aux autorisations
Choisissez parmi différents fournisseurs d’identité pour pouvoir vous connecter à votre portail.
Les comptes Microsoft Entra ID (Azure AD) qui se connectent pour la première fois au portail d’administration RADIUSaaS doivent accorder à RADIUSaaS un ensemble limité de autorisations dans leur tenant Azure.
Il existe deux façons alternatives de fournir le consentement :
Consentement de l’utilisateur Chaque utilisateur accepte le consentement lors de sa première connexion au portail.
Consentement de l’administrateur Un administrateur peut consentir au nom de l’organisation pour tous les utilisateurs.
Consentement de l’utilisateur
Si aucun consentement n’a été donné auparavant au nom de l’organisation par un administrateur, un utilisateur verra une boîte de dialogue de demande d’autorisation :
Les utilisateurs peuvent consulter ou révoquer ce consentement dans Microsoft Mes applications.
Les administrateurs peuvent consulter et révoquer les consentements des utilisateurs dans le Portail Azure (Microsoft Entra ID > Applications d’entreprise > RADIUS as a Service):
Consentement de l’administrateur
Plutôt que d’exiger le consentement de chaque utilisateur, les administrateurs peuvent accorder le consentement pour tous les utilisateurs au nom de l’organisation lors de la première connexion au portail web RADIUSaaS :
Sinon, les administrateurs peuvent accorder le consentement au nom de l’organisation dans le portail Azure (Microsoft Entra ID > Applications d’entreprise > RADIUS as a Service). Dans le Portail Azure, les administrateurs peuvent également consulter ou révoquer le consentement :
Lors de l’utilisation d’un Apple ID pour se connecter à RADIUSaaS, assurez-vous de ne pas masquer votre adresse e-mail.
Si vous choisissez de masquer votre e-mail dans cette boîte de dialogue, vous ne pourrez pas vous connecter à votre portail. Vous devrez alors supprimer l’application RADIUSaaS sur account.apple.com dans la section Se connecter avec Apple section
Digital Ocean vous demandera d’autoriser l’application sur une équipe pour pouvoir vous connecter :
Google vous demandera d’autoriser l’application à accéder à des données limitées sur votre compte.
Les informations spécifiques que vous devez fournir pour le fournisseur OIDC personnalisé dépendent du fournisseur d’identité que vous choisissez. L’ exemple suivant est basé sur Okta.
Dans la console d’administration Okta, vous devrez créer une nouvelle intégration d’application avec les détails suivants :
Méthode de connexion
OIDC - OpenID Connect
Type d’application
Application web
URI de redirection de connexion
Fourni dans la boîte de dialogue RADIUSaaS ci-dessus Exemple : https://eu1.radius-as-a-service.com/loginserver/authResponse
Assurez-vous d’affecter l’intégration au groupe d’utilisateurs prévu et d’enregistrer. Vous pouvez maintenant récupérer les informations requises de cette application à saisir dans RADIUSaaS :
Le Nom d’affichage peut être choisi librement et sera affiché lors de la connexion.
Avec Okta, l’ URL d’authentification est sous la forme suivante :
https://{VotreOrga}.okta.com/oauth2/v1/authorize
L’URL du jeton est également construite et ressemble à ceci :
https://{VotreOrga}.okta.com/oauth2/v1/token
Le ID client et Secret client peut être copié et créé dans l’application elle-même :
Pour le périmètre client openid email est requis. Cela indiquera à Okta que nous utilisons une authentification OpenID et que nous devons lire l’adresse e-mail de l’utilisateur connecté.
Après avoir enregistré et autorisé ce fournisseur, vous devriez pouvoir l’utiliser pour vous authentifier depuis la page de connexion :
Si nécessaire dans certains scénarios (par ex. GCC High tenants), vous pouvez également utiliser un enregistrement d’application Entra ID créé par vous-même pour vous authentifier sur votre portail RADIUSaaS.
Préparation
Avant de créer l’enregistrement d’application, veillez à copier l’URL de redirection depuis la Autorisations section de votre portail RADIUSaaS. Vous pouvez trouver l’URL en haut de la Fournisseur OIDC personnalisé boîte de dialogue d’édition :
Créer l’enregistrement d’application
Dans Entra ID, accédez à Enregistrements d’applications et créez un nouvel enregistrement :
Sélectionnez un Nom descriptif pour l’enregistrement et ajoutez l’URI de redirection que vous avez copiée à l’étape précédente en tant que type Web .
Ajouter des autorisations API
Dans l’enregistrement créé, accédez à Autorisations API et ajoutez email et openid de Microsoft Graph en tant qu’ Déléguées autorisations. Assurez-vous également d’accorder le consentement de l’administrateur pour votre tenant :
Ajouter un secret client
Pour permettre à RADIUSaaS d’utiliser cet enregistrement, créez un secret client dans la section Certificats et secrets de l’enregistrement. Copiez la valeur du secret pour plus tard.
Noter les détails de l’enregistrement
Vous aurez plus tard besoin des ID client et de certaines URL spécifiques à votre tenant. Vous pouvez les trouver sur la page Vue d’ensemble de l’enregistrement :
Affecter des utilisateurs
Pour que quiconque puisse utiliser cet enregistrement d’application pour se connecter, assurez-vous de les ajouter dans l’application d’entreprise gérée. Vous pouvez la trouver dans Entra ID dans Applications d’entreprise ayant le même nom que votre enregistrement d’application. Il existe également un lien vers celle-ci dans l’aperçu de l’enregistrement d’application.
Configurer le fournisseur OIDC dans RADIUSaaS
De retour dans le portail RADIUSaaS, accédez à la section Autorisations, modifiez le fournisseur OIDC personnalisé et renseignez les informations requises :
Nom d’affichage
Ce nom sera affiché sur la page de connexion
URL d’authentification
Point de terminaison d’autorisation OAuth 2.0 (v2) depuis les points de terminaison de l’enregistrement
URL du jeton
Point de terminaison du jeton OAuth 2.0 (v2) depuis les points de terminaison de l’enregistrement
ID client
L’ID client de l’enregistrement de l’application. Il se trouve sur sa page d’aperçu
Secret client
Le secret client créé précédemment
périmètre client
Définit les informations demandées lors de l’authentification. Entrez openid email ici.
Après avoir enregistré la configuration, assurez-vous d’autoriser le fournisseur personnalisé et d’ajouter quelques utilisateurs pour ce fournisseur. Vous devriez maintenant pouvoir utiliser le fournisseur pour vous connecter à votre portail RADIUSaaS :
Il peut être nécessaire qu’un administrateur Entra utilise initialement cette connexion pour consentir à nouveau pour son tenant. Cela ne doit être fait qu’une seule fois.
Mis à jour
Ce contenu vous a-t-il été utile ?