権限
権限と RADIUSaaS REST API アクセストークンは https://YOURNAME.radius-as-a-service.com/settings/permissions で管理できます
概要
この Permissions メニューでは、RADIUSaaS Admin Portal と RADIUSaaS REST API へのアクセスを制御できます。
RADIUSaaS は、RADIUSaaS Admin Portal へのログイン時の認証に複数の IDP をサポートしています。
RADIUSaaS は、独自の管理者 ID を保存または管理しません。
そのため、管理者は自身の ID を使って作業できる利便性を享受でき、追加のアカウントを設定する必要がありません。
ロールの割り当ての変更およびユーザートークンの無効化は、次をクリックした後にのみ有効になります 保存.
サポートされている IDP
「 Allowed Authentication Providers 」では、RADIUSaaS がサポートする IDP のいずれでも(複数を含む)有効化できます:
Apple(Apple ID)
DigitalOcean(ユーザーのメールアドレス)
Entra ID(ユーザー プリンシパル名)
Google(プライマリ メールアドレス)
さらに、「 Custom OICD Provider 」では、独自の OpenID Connect プロバイダーを構成して、他の IDP(例:Okta や主権 Azure クラウド(GCC、GCC High、...))を利用できます。
ロール
管理者
ここに入力された ID またはアカウントは、RADIUSaaS Admin Portal に 完全な読み取りおよび書き込み権限 でサービスへアクセスできます。これらの権限には以下が含まれます:
表示 ダッシュボードおよびログ
表示、追加、変更、削除 ユーザー
表示、追加、変更、削除 RADIUS サーバー証明書 および 信頼された証明書 クライアント認証および RadSec 用
表示、追加、削除 プロキシ
権限を含むその他の設定の表示および変更
すべての API エンドポイント および CRUD 操作へのアクセス
閲覧者
ここに入力された ID またはアカウントは、RADIUSaaS Admin Portal に 完全な読み取り権限 でサービスへアクセスできます。これらの権限には以下が含まれます:
表示 ダッシュボードおよびログ
表示 ユーザー
表示、追加、変更、削除 RADIUS サーバー証明書 および 信頼された証明書 クライアント認証および RadSec 用
表示 プロキシ
その他の設定を表示(権限は表示できません)
すべての API エンドポイント - 読み取り操作のみに制限
ユーザー
ここに入力された ID またはアカウントは できません RADIUSaaS Admin Portal にアクセスすることはできませんが、 My Invited Users ポータルにはアクセスでき、そこで ユーザー を作成して BYOD またはゲストアクセスに利用できます。
ユーザートークンを無効化
RADIUSaaS Admin Portal への認証時に、許可された各 ID はアクセス(ベアラー)トークンを取得し、ブラウザーの Cookie ストアにキャッシュされます。トークンの有効期間は 30 日です。さらに、RADIUSaaS にはこれらのアクセストークンを更新する権限があります。
セキュリティインシデント発生時には、RADIUSaaS 管理者は 以前に発行されたすべてのアクセストークンを無効化 できます。これは最小発行日時を現在時刻に設定することで行います。
技術連絡先
この機能は、RADIUSaaS の将来のリリースにおける通知機能の準備段階である点にご注意ください。
インスタンスに関連するメール通知を受け取る技術連絡先を最大 5 件追加できます。各連絡先についてイベントレベルを選択できます。
情報
インスタンスへの予定された更新。
警告
証明書の有効期限が近づいている、または ISP で問題が発生しており、インスタンスに影響する可能性があります。
重大
インスタンスの中断。
アクセストークン
アクセストークンは、 RADIUSaaS REST API.
追加
新しいアクセストークンを作成するには、次の手順に従ってください:
次をクリックします 追加
意味のある 名前 をアクセストークンに指定します
次の ロール
を選択してアクセストークンの有効期間を設定します
次をクリックします 作成
アクセストークンをクリップボードにコピーし、安全な場所に保存してください。
次をクリックします 閉じる
削除
アクセストークンを削除するには、表内で対象を見つけてごみ箱アイコンをクリックします:
権限への同意
ポータルにログインできるように、さまざまな ID プロバイダーから選択してください。
初めて RADIUSaaS Admin Portal にログインする Microsoft Entra ID(Azure AD)アカウントは、RADIUSaaS に対して限定された一連の Azure tenant 内の権限.
同意を提供する方法は 2 つあります:
ユーザー同意 各ユーザーは、初回のポータルログイン時に同意を承認します。
管理者同意 管理者は、組織を代表してすべてのユーザーに対する同意を承認できます。
ユーザー同意
以前に管理者によって組織を代表する同意が与えられていない場合、ユーザーには権限要求ダイアログが表示されます:
ユーザーは Microsoft の My Apps.
管理者は Azure Portal(Microsoft Entra ID > Enterprise Applications > RADIUS as a Service):
管理者同意
各ユーザーに同意を求める代わりに、管理者は初めて RADIUSaaS Web ポータルにログインする際に、組織を代表してすべてのユーザーへの同意を付与できます:
または、管理者は Azure portal(Microsoft Entra ID > Enterprise Applications > RADIUS as a Service)で組織を代表して同意を付与できます。Azure Portal では、管理者は同意を確認または取り消すこともできます:
Apple ID を使用して RADIUSaaS にログインする場合は、 非表示にしない ようにしてください。メールアドレスを
このダイアログでメールを非表示にすることを選択した場合、ポータルにログインできなくなります。その場合は、 account.apple.com の Sign in with Apple セクションで RADIUSaaS アプリを削除する必要があります
Digital Ocean では、ログインできるようにするために、チーム上でアプリケーションを承認する必要があります:
Google では、アカウント上の限定的なデータにアプリケーションがアクセスすることを許可する必要があります。
カスタム OIDC プロバイダーに対して提供する必要がある具体的な情報は、選択する ID プロバイダーによって異なります。以下の 例 は Okta.
Okta 管理コンソールでは、次の詳細で新しいアプリ統合を作成する必要があります:
サインイン方法
OIDC - OpenID Connect
アプリケーションの種類
Web アプリケーション
サインイン リダイレクト URI
上記の RADIUSaaS ダイアログで提供されます 例: https://eu1.radius-as-a-service.com/loginserver/authResponse
統合を対象のユーザーグループに割り当てて保存してください。これで、このアプリケーションから RADIUSaaS に入力するために必要な情報を取得できます:
この 表示名 は自由に選択でき、ログイン時に表示されます。
Okta では、 認証 URL は次の形式になります:
https://{YourOrga}.okta.com/oauth2/v1/authorize
Token URL も同様に構成され、次のようになります:
https://{YourOrga}.okta.com/oauth2/v1/token
この クライアント ID および クライアント シークレット はアプリケーション自体でコピーおよび作成できます:
「 クライアント スコープ openid email 」には が必要です。これは、OpenID 認証を使用しており、ログインしたユーザーのメールアドレスを読み取る必要があることを Okta に伝えます。
保存してこのプロバイダーを許可した後、ログインページから認証に使用できるようになります:
特定のシナリオで必要な場合(例: GCC High tenant)、自分で作成した Entra ID アプリ登録を使用して RADIUSaaS ポータルに認証することもできます。
準備
アプリ登録を作成する前に、RADIUSaaS ポータルの Permissions セクションからリダイレクト URL をコピーしてください。URL は Custom OIDC Provider 編集ダイアログの上部にあります:
アプリ登録の作成
Entra ID で、 App Registrations に移動し、新しい登録を作成します:
わかりやすい 名前 を登録用に選択し、前の手順でコピーしたリダイレクト URI を Web タイプとして追加します。
API 権限の追加
作成した登録で、 API permissions に移動し、 email および openid を Microsoft Graph から Delegated 権限として追加します。また、tenant に対して管理者同意を付与していることも確認してください:
クライアント シークレットの追加
RADIUSaaS がこの登録を使用できるようにするには、登録の Certificates & Secrets セクションでクライアント シークレットを作成します。後で使うためにシークレットの値をコピーしてください。
登録の詳細を記録
後で登録の クライアント ID および tenant 固有のいくつかの URL が必要になります。これらは登録の概要ページで確認できます:
ユーザーの割り当て
このアプリ登録をサインインに使用できるようにするには、管理対象のエンタープライズ アプリケーションにそれらのユーザーを追加してください。これは Entra ID の Enterprise Applications にあり、アプリ登録と同じ名前になっています。アプリ登録の概要にもこれへのリンクがあります。
RADIUSaaS で OIDC プロバイダーを構成する
RADIUSaaS ポータルに戻り、Permissions セクションに移動してカスタム OIDC プロバイダーを編集し、必要な情報を入力します:
表示名
この名前はログインページに表示されます
認証 URL
OAuth 2.0 認可エンドポイント(v2) 登録のエンドポイントから
Token URL
OAuth 2.0 トークン エンドポイント(v2) 登録のエンドポイントから
クライアント ID
アプリ登録のクライアント ID です。概要ページで確認できます
クライアント シークレット
以前に作成したクライアント シークレット
クライアント スコープ
認証時に要求される情報を定義します。 openid email ここに入力します。
構成を保存した後、カスタム プロバイダーを許可し、このプロバイダーにいくつかのユーザーを追加してください。これで、プロバイダーを使用して RADIUSaaS ポータルにログインできるはずです:
Entra 管理者が最初にこのログインを使用して、自分のテナントに対して再度同意する必要がある場合があります。これは一度だけ行えば十分です。
最終更新
役に立ちましたか?