権限
権限と RADIUSaaS REST API アクセストークンは https://YOURNAME.radius-as-a-service.com/settings/permissions で管理できます
概要
この 権限 メニューでは、RADIUSaaS 管理ポータルおよび RADIUSaaS REST API へのアクセスを制御できます。
RADIUSaaS は、RADIUSaaS 管理ポータルへのログオン時の認証に複数の IDP をサポートします。
RADIUSaaS は独自の管理者アカウントを保存または管理しません。
したがって、管理者は自分の既存の ID を使って作業でき、追加のアカウントを設定する必要はありません。
ロール割り当ての変更やユーザートークンの無効化は、 保存.
サポートされている IDP
の下で 許可された認証プロバイダー RADIUSaaS がサポートする任意の(複数含む)IDP を有効にできます:
Apple(Apple ID)
DigitalOcean(ユーザーのメールアドレス)
Entra ID(ユーザー主体名)
Google(主要メールアドレス)
さらに、 カスタム OIDC プロバイダー の下で、Okta や主権的な Azure クラウド(GCC、GCC High、...)などの他の IDP を利用するために独自の OpenID Connect プロバイダーを構成できます。
ロール
管理者
ここに入力された ID またはアカウントは、RADIUSaaS 管理ポータルに 完全な読み取りおよび書き込み権限 でアクセスできます。これらの権限には以下が含まれます:
表示 ダッシュボードとログ
表示、追加、変更、削除 ユーザー
表示、追加、変更、削除 RADIUS サーバー証明書 および 信頼された証明書 クライアント認証および RadSec 用
表示、追加、削除 プロキシ
他の設定(権限を含む)の表示と変更
すべての API エンドポイント および CRUD 操作へのアクセス
閲覧者
ここに入力された ID またはアカウントは、RADIUSaaS 管理ポータルに 完全な読み取り権限 でアクセスできます。これらの権限には以下が含まれます:
表示 ダッシュボードとログ
表示 ユーザー
表示、追加、変更、削除 RADIUS サーバー証明書 および 信頼された証明書 クライアント認証および RadSec 用
表示 プロキシ
他者の設定を表示(権限は表示できません)
すべての API エンドポイント - 読み取り操作に制限
ユーザー
ここに入力された ID またはアカウントは アクセスできません RADIUSaaS 管理ポータルにはアクセスできませんが、 招待済みユーザー (My Invited Users) ポータルにはアクセスでき、そこで ユーザー BYOD やゲストアクセス用のアカウントを作成できます。
ユーザートークンの無効化
RADIUSaaS 管理ポータルへの認証時に、許可された各 ID はブラウザのクッキーストアにキャッシュされるアクセス(ベアラー)トークンを取得します。トークンの有効期間は 30 日です。さらに、RADIUSaaS はこれらのアクセス トークンを更新する権限を持っています。
セキュリティイベント発生時、RADIUSaaS の管理者は 以前に発行されたすべてのアクセス トークンを無効化できます 最小発行日時を現在に設定することによって。
技術担当連絡先
この機能は RADIUSaaS の将来のリリースでの通知機能に向けて準備中であることにご注意ください。
インスタンスに関するメール通知を受け取る技術担当者を最大 5 名まで追加できます。各連絡先ごとにイベントレベルを選択できます。
情報
インスタンスの予定された更新。
警告
証明書の有効期限が近い、または ISP が問題を抱えておりインスタンスに影響を与える可能性がある場合。
重大
インスタンスの中断。
アクセストークン
アクセストークンは、 RADIUSaaS REST API.
への呼び出しを認証するために必要です。
追加
新しいアクセストークンを作成するには、次の手順に従ってください: への呼び出しを認証するために必要です。
クリックして 意味のある 名前
をアクセストークンに付けてください ロールを選択して権限レベルを設定します
アクセストークンの有効期間を選択します
新しいアクセストークンを作成するには、次の手順に従ってください: 作成
アクセストークンをクリップボードにコピーし、安全な場所に保管してください。
新しいアクセストークンを作成するには、次の手順に従ってください: 閉じる
削除
アクセストークンを削除するには、テーブルで該当項目を見つけてゴミ箱アイコンをクリックします:
権限の同意
ポータルにログインできるように、さまざまな ID プロバイダーから選択してください。
RADIUSaaS 管理ポータルに初めてログオンする Microsoft Entra ID(Azure AD)アカウントは、RADIUSaaS に対して限定的な一連の 権限を Azure テナントで付与する必要があります.
同意を与えるには 2 つの方法があります:
ユーザー同意 各ユーザーはポータルへの初回ログイン時に同意を受け入れます。
管理者同意 管理者は組織を代表してすべてのユーザーのために同意を与えることができます。
ユーザー同意
管理者が組織を代表して事前に同意を与えていない場合、ユーザーは権限要求ダイアログを表示します:
ユーザーは Microsoft の My Apps.
でこの同意をレビューまたは取り消すことができます。管理者は Azure ポータルでユーザーの同意をレビューおよび取り消すことができます( > Microsoft Entra ID > エンタープライズ アプリケーション):
RADIUS as a Service
管理者同意
各ユーザーからの同意を要求する代わりに、管理者は RADIUSaaS Web ポータルに初めてログインするときに組織を代表してすべてのユーザーの同意を与えることができます:管理者は Azure ポータルでユーザーの同意をレビューおよび取り消すことができます( > Microsoft Entra ID > エンタープライズ アプリケーションあるいは、管理者は Azure ポータルで組織を代表して同意を与えることもできます(
Apple Apple ID を使用して RADIUSaaS にログインする場合は、 メールアドレスを非表示にしない
ようにしてください。 このダイアログでメールを非表示にすることを選択すると、ポータルにログインできなくなります。その場合は account.apple.com の Sign in with Apple
Digital Ocean
カスタム OIDC プロバイダー(Okta) カスタム OIDC プロバイダーに提供する具体的な情報は、選択した ID プロバイダーによって異なります。次の 例 は.
Okta
に基づいています。
Okta 管理コンソールでは、次の詳細で新しいアプリ統合を作成する必要があります:
サインイン方式
OIDC - OpenID Connect
アプリケーション種別
Web アプリケーション サインイン リダイレクト URI
RADIUSaaS のダイアログで提供されます 例:
この https://eu1.radius-as-a-service.com/loginserver/authResponse 統合を対象のユーザーグループに割り当てて保存してください。これで、このアプリケーションから RADIUSaaS に入力するために必要な情報を取得できます:
表示名 は自由に選択でき、ログイン時に表示されます。 Okta では、
認証 URLは次の形式になります:https://
{YourOrga}
認証 URLは次の形式になります:.okta.com/oauth2/v1/authorize
この トークン URL も同様に構築され、次のようになります: および .okta.com/oauth2/v1/token クライアント ID
クライアント シークレット はアプリケーション自体で作成・コピーできます: のために クライアント スコープ
openid email
設定を保存してこのプロバイダーを許可すると、ログインページからこのプロバイダーを使用して認証できるようになるはずです: カスタム OIDC プロバイダー(Entra ID) 特定のシナリオ(例:
GCC High
テナント)では、自己作成した Entra ID アプリ登録を使用して RADIUSaaS ポータルに認証できることがあります。 権限 準備 アプリ登録を作成する前に、RADIUSaaS ポータルの セクションからリダイレクト URL をコピーしてください。URL は
カスタム OIDC プロバイダー
編集ダイアログの上部にあります: アプリ登録の作成 Entra ID で、
アプリ登録 意味のある に移動し、新しい登録を作成します: 登録の説明的な を選択し、先ほどコピーしたリダイレクト URI を
Web
タイプとして追加してください。 API のアクセス許可を追加 作成した登録で、 API 許可 および に移動し、Microsoft Graph から email openid を
委任された
権限として追加してください。また、テナントに対して管理者同意を付与することを忘れないでください: クライアント シークレットの追加 RADIUSaaS がこの登録を使用できるようにするため、登録の
証明書とシークレット
セクションでクライアント シークレットを作成してください。後で使用するためにシークレットの値をコピーしておきます。 トークン URL も同様に構築され、次のようになります: 登録の詳細を記録
後で登録の
およびテナント固有のいくつかの URL が必要になります。これらは登録の概要ページで確認できます: Microsoft Entra ID ユーザーの割り当て
誰もがこのアプリ登録をサインインに使用できるようにするには、管理されたエンタープライズ アプリケーションにユーザーを追加してください。Entra ID の該当箇所で見つかります(
登録と同じ名前を持つ)。アプリ登録の概要にもそのリンクがあります。
https://eu1.radius-as-a-service.com/loginserver/authResponse
フィールド
は自由に選択でき、ログイン時に表示されます。
説明 この名前はログインページに表示されます
OAuth 2.0 認可エンドポイント(v2)
登録のエンドポイントから取得 この名前はログインページに表示されます
トークン URL も同様に構築され、次のようになります:
トークン URL
.okta.com/oauth2/v1/token
OAuth 2.0 トークンエンドポイント(v2)
はアプリケーション自体で作成・コピーできます:
アプリ登録のクライアント ID。概要ページで確認できます のために 先に作成したクライアント シークレット
認証中に要求する情報を定義します。ここに
を入力してください。保存後、設定を許可してこのプロバイダー用のユーザーを追加してください。これでログインにこのプロバイダーを使用できるはずです:
最終更新
役に立ちましたか?