# Geral ## Autenticação #### Com que frequência um dispositivo normalmente está a autenticar-se contra o RADIUSaaS? Isto é difícil de responder, pois depende do comportamento dos seus utilizadores, clientes e equipamentos de rede (APs, NACs, switches). Além disso, é **importante** notar que o RADIUSaaS não irá nem * disparar uma autenticação nem * enviar uma solicitação de terminação através da sua porta de accounting para o cliente, potencialmente disparando uma reautenticação. Se achar que os seus dispositivos estão a autenticar-se com muita frequência (várias vezes por hora) sem que o utilizador reinicie constantemente o cliente, então isso pode dever-se às seguintes razões: * O controlador de rede não autentica o cliente com rapidez suficiente para que o cliente entre na rede, pelo que o cliente tenta autenticar-se novamente. Verifique o controlador de rede para ver se/quando ele está a receber uma resposta do RaaS. * O controlador de rede está a reiniciar a autenticação. Verifique o controlador de rede para perceber o que poderá estar a causar isto. ## Portal de Administração do RADIUSaaS #### Como posso adicionar o Portal de Administração do RADIUSaaS às Minhas Aplicações? **Criar a aplicação** Primeiro, tem de criar uma aplicação empresarial. Para tal, através do Azure Portal, siga estes passos: 1. Inicie sessão na sua [Azure](https://portal.azure.com/) conta 2. Vá para **Microsoft Entra ID** 3. Selecione **Aplicações empresariais** 4. Clique em **+ Nova Aplicação**

A mostrar a criação de uma nova aplicação

5. Clique em **+ Criar a sua própria aplicação** 6. Dê um nome à aplicação (por exemplo, Portal RADIUSaaS) 7. Escolha **Integrar qualquer outra aplicação que não encontre na galeria** e 8. Clique em **Criar**
Depois de a aplicação estar configurada, agora precisamos de adicionar utilizadores e configurar o logótipo e a ligação **Adicionar utilizadores e um logótipo** 1. Em **Gerir** vá para **Utilizadores e grupos** - Adicione todos os utilizadores/grupos que devem poder ver/utilizar o novo mosaico de URL e guarde

Clique em "Utilizadores e grupos"

2. Clique em **Propriedades** - Carregue uma imagem de logótipo à sua escolha e guarde

Clique em "Propriedades"

3. Clique em **Single Sign-on** - Selecione **Ligado** modo - Depois introduza o URL pretendido e guarde.

Clique em Single Sign-on - Selecione o modo "Ligado"

Enter your RADIUSaaS instance URL

Introduza o URL da sua instância RADIUSaaS

**Aceder às Minhas Aplicações** Os seus utilizadores devem agora conseguir aceder ao mosaico de ligação recentemente criado através de [Minhas Aplicações](https://myapps.microsoft.com/). ## Atributos de Retorno RADIUS #### Que atributos relacionados com VLAN o RADIUSaaS devolve por defeito? {% hint style="info" %} Caso precise de outros atributos VLAN além dos devolvidos por defeito, por favor [contacte o nosso suporte](https://www.radius-as-a-service.com/help/). {% endhint %} Se a etiquetagem VLAN estiver ativada através da configuração e ativação de uma [Regra](/pt/portal-de-administracao/settings/rules.md#vlan-assignment), o RADIUSaaS devolve os seguintes atributos genéricos de VLAN `"Tunnel-Type": "VLAN"` `"Tunnel-Medium-Type": "802"` `"Tunnel-Private-Group-ID"` juntamente com os outros atributos VLAN específicos de fornecedor habitualmente usados: `"WiMAX-VLAN-ID"` `"Nexans-Port-Default-VLAN-ID"` `"Dlink-VLAN-ID"` `"UTStarcom-VLAN-ID"` `"DHCP-IEEE-802.1Q-VLAN-ID"` `"Motorola-WiMAX-VLAN-ID"` `"Telrad-C-VLAN-ID"` `"Telrad-S-VLAN-ID"` `"SN-Assigned-VLAN-ID"` `"Extreme-VM-VLAN-ID"` `"Ruckus-VLAN-ID"` `"Mikrotik-Wireless-VLANID"` `"Egress-VLANID"` `"HP-Egress-VLANID"` ## Instância Secundária e Failover #### Como se comporta uma instância secundária em termos de failover? Uma instância secundária significa que tem pelo menos um servidor RadSec secundário que funciona de forma independente da sua instância principal, mas com a mesma configuração. Se tiver um, pode ver vários endereços IP em [Endereços IP RadSec](/pt/portal-de-administracao/settings/settings-server.md#properties). **Ligação RadSec** Como os servidores RadSec são independentes entre si, não irão tratar de qualquer tipo de failover. Deve adicionar ambos os endereços IP/entradas DNS ao seu controlador de rede, que decide para que servidor os pedidos de autenticação são encaminhados. **Ligação RADIUS** Com os seus proxies RADIUS, é um pouco diferente: os seus proxies têm conhecimento de cada uma das suas instâncias RadSec e dos respetivos estados de saúde e, por isso, irão tratar do failover se o servidor principal falhar. ## Temporizadores e Timeouts #### Que parâmetros EAP e timeouts devem ser configurados? Nem todos os pontos de acesso ou switches (autenticador) lhe fornecem a mesma quantidade de opções de configuração para EAP e para parâmetros gerais de timeout (tempo limite) do servidor RADIUS. O resumo abaixo apresenta o conjunto máximo de parâmetros que conhecemos e como devem ser configurados para permitir a máxima fiabilidade da ligação entre o autenticador e o RADIUSaaS. **Timeout do Servidor RADIUS** 5 segundos **Parâmetros EAP**
Timeout EAP15 s
Tentativas máximas de EAP5
Timeout de identidade EAP10 s
Tentativas de identidade EAP5
Timeout de chave EAPOL2000 ms
Tentativas de chave EAPOL4
## Registos #### Como posso identificar o endereço IP público do local a partir do qual uma autenticação se origina? Para identificar o IP público do local autenticante para uma autenticação específica, a abordagem depende de estar a utilizar uma ligação RADIUS (através dos proxies RADIUS) ou uma ligação RadSec direta: **Ligação RadSec** * Navegue até **Insights > Registos**. * Configure o intervalo de tempo / janela de pesquisa relevante. * Defina o filtro **Tipo de Registo** para **detalhes**. * Identifique a autenticação relevante (correlacionando o carimbo de data/hora e o nome de utilizador). * Identifique uma `Access-Request` mensagem (**mensagem > Packet-Type** = **Acess-Request**) que pertença à autenticação em análise. * Expanda a respetiva entrada de registo. * O IP público pode ser extraído da **mensagem > Packet-Src-IP-Address** propriedade da entrada de registo.
**Ligação RADIUS** * Navegue até **Insights > Registos**. * Configure o intervalo de tempo / janela de pesquisa relevante. * Defina o filtro **Tipo de Registo** filtro para a **proxy**. * Identifique a autenticação relevante (correlacionando o carimbo de data/hora e o nome de utilizador). * O IP público pode ser extraído da **mensagem** propriedade da entrada de registo:
## O RADIUSaaS suporta WPA3 Enterprise? Sim, o RADIUSaaS suporta WPA3 Enterprise. Também suporta o modo WPA3 Enterprise 192-bit com a seguinte limitação: **Windows 11 24H2** introduziu requisitos de certificado mais rigorosos para a encriptação WPA3-Enterprise 192-bit, levando a falhas de autenticação se toda a cadeia de certificados não cumprir padrões específicos de robustez criptográfica. Esta atualização exige comprimentos de chave RSA de pelo menos 3072 bits ou ECDSA com a curva P-384 para todos os certificados envolvidos no processo de autenticação. Organizações que utilizem certificados com parâmetros mais fracos, como RSA de 2048 bits, podem deparar-se com problemas. Embora o SCEPman suporte chaves RSA de 4096 bits para Windows, isto está limitado ao Software Key Storage Provider (KSP), uma vez que o TPM de hardware não suporta este tamanho de chave. Se, após a atualização para o Windows 11 24H2, tiver problemas de autenticação, procure erros "SEC\_E\_ALGORITHM\_MISMATCH" no Event Viewer (Registos do Sistema e CAPI2) como indicação de incompatibilidade nos algoritmos criptográficos entre o cliente e o servidor. ### O que posso fazer se quiser utilizar autenticação WPA3-Enterprise no Windows? A sua opção atual daqui em diante é satisfazer os requisitos de certificado para WPA3-Enterprise 192-bit nos seus clientes Windows 11 24H2. Isto inclui atualizar o Leaf Certificate para cumprir os novos requisitos mínimos. Tenha em atenção que o Intune não inclui atualmente uma opção no seu perfil SCEP para especificar um tamanho de chave de 3072 bits que possa ser armazenado no Trusted Platform Module (TPM) do computador recetor. Devido a esta limitação, atualmente a única solução viável para clientes Windows é utilizar uma chave RSA de 4096 bits inscrita no Software Key Storage Provider (KSP). {% hint style="success" %} Como o perfil WiFi do Intune apenas fornece WPA2-Enterprise, terá de usar uma ferramenta externa para criar um perfil WiFi WPA3-Enterprise. Para conveniência, o RADIUSaaS inclui esta ferramenta [aqui](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml). {% endhint %} ## Fornecedores de Identidade ### **O RADIUSaaS suporta Okta como fornecedor de identidade?** * **Sim** para login de administradores e utilizadores na consola web * **Não** para autenticação através do protocolo RADIUS #### **Login de Utilizador e Portal de administrador (consola web)** O Okta é totalmente suportado como fornecedor de identidade para iniciar sessão no Portal Web do RADIUSaaS. O RADIUSaaS não mantém identidades de administrador próprias e, em vez disso, delega a autenticação ao seu fornecedor de identidade existente, pelo que administradores, visualizadores e utilizadores convidados podem iniciar sessão com as suas contas Okta. O Okta é integrado através da **Fornecedor OIDC Personalizado** opção na secção [Permissões](/pt/portal-de-administracao/settings/permissions.md#custom-oidc-provider-okta) As instruções de configuração passo a passo, incluindo o URI de redirecionamento, URLs de autenticação e de token, ID do cliente, segredo do cliente e o âmbito `openid email` são documentadas no [Permissões](/pt/portal-de-administracao/settings/permissions.md#overview) artigo. #### **Autenticação pelo protocolo RADIUS (Wi-Fi, 802.1X com fios, VPN)** Okta **não** é suportado como fornecedor de identidade para autenticação que ocorre através do protocolo RADIUS. Como descrito na secção [Utilizadores](/pt/portal-de-administracao/users.md) , o RADIUSaaS não se integra com qualquer IDP externo para autenticação de rede baseada em nome de utilizador/palavra-passe. Todas as contas de nome de utilizador/palavra-passe usadas para autenticação RADIUS têm de ser criadas e geridas diretamente no Portal de Administração do RADIUSaaS. {% hint style="info" %} Para autenticação de rede baseada em RADIUS, recomendamos geralmente **contra** abordagens de nome de utilizador/palavra-passe que dependem de um fornecedor de identidade externo. Essas configurações exigem que as credenciais sejam transmitidas ou retransmitidas durante a autenticação de rede e alargam a superfície de ataque de formas que consideramos um risco de segurança relevante. Sempre que possível, use **autenticação baseada em certificados** (EAP-TLS) em vez disso. Para contexto e uma explicação detalhada dos riscos da autenticação de rede baseada em palavra-passe, consulte [Autenticação de Rede Baseada em Certificados](https://www.scepman.com/certificate-network-authentication/). {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/pt/outro/faqs/general.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.