Permissões
Permissões e tokens de acesso da API REST do RADIUSaaS podem ser gerenciados em https://YOURNAME.radius-as-a-service.com/settings/permissions
Visão geral
O Permissões o menu permite controlar o acesso ao Portal de Administração RADIUSaaS e à API REST RADIUSaaS.
O RADIUSaaS suporta múltiplos IDPs para a autenticação ao entrar no Portal de Administração RADIUSaaS.
O RADIUSaaS não armazena nem gere as suas próprias identidades de administrador.
Portanto, os administradores têm o conforto de trabalhar com as suas próprias identidades e não precisam criar contas adicionais.
As alterações às atribuições de função e a invalidação de tokens de utilizador só passam a ter efeito após clicar em Guardar.
IDPs suportados
Em Fornecedores de Autenticação Permitidos qualquer (incluindo múltiplos) dos IDPs suportados pelo RADIUSaaS pode ser ativado:
Apple (Apple ID)
DigitalOcean (Endereço de E-mail do Utilizador)
Entra ID (Nome Principal do Utilizador)
Google (Endereço de E-mail Principal)
Além disso, em Fornecedor OICD Personalizado pode configurar os seus próprios provedores OpenID Connect para aproveitar outros IDPs, por ex. Okta ou nuvens Azure soberanas (GCC, GCC High, ...).
Funções
Administradores
Identidades ou contas inseridas aqui podem aceder ao Portal de Administração RADIUSaaS com permissões completas de leitura e escrita no serviço. Estas permissões incluem:
Ver, adicionar, alterar, eliminar Utilizadores
Ver, adicionar, alterar, eliminar Certificados do servidor RADIUS e certificados confiáveis para autenticação de clientes e RadSec
Ver, adicionar, eliminar Proxies
Ver e alterar outras definições incluindo permissões
Acesso a todos os endpoints da API e operações CRUD
Visualizadores
Identidades ou contas inseridas aqui podem aceder ao Portal de Administração RADIUSaaS com permissões completas de leitura no serviço. Estas permissões incluem:
Ver Utilizadores
Ver, adicionar, alterar, eliminar Certificados do servidor RADIUS e certificados confiáveis para autenticação de clientes e RadSec
Ver Proxies
Ver outras definições (a permissão não pode ser vista)
Acesso a todos os endpoints da API - limitado a operações de leitura
Utilizadores
Identidades ou contas inseridas aqui não podem aceder ao Portal de Administração RADIUSaaS, no entanto, podem aceder ao Meus Utilizadores Convidados portal, onde podem criar Utilizadores para BYOD ou acesso de convidados.
Invalidar tokens de utilizador
Durante a autenticação no Portal de Administração RADIUSaaS, cada identidade permitida obtém um token de acesso (bearer) que é armazenado em cache na loja de cookies do navegador. A validade do token é de 30 dias. Além disso, o RADIUSaaS tem permissão para atualizar estes tokens de acesso.
Num evento de segurança, os Administradores RADIUSaaS podem invalidar todos os tokens de acesso emitidos anteriormente definindo a data mínima de emissão para agora.
Contactos Técnicos
Note que esta funcionalidade está em preparação para uma funcionalidade de notificações numa versão futura do RADIUSaaS.
Adicione até 5 contactos técnicos para receber notificações por e-mail relacionadas com a sua instância. Pode selecionar o nível do evento para cada contacto.
Informação
Atualizações agendadas à sua instância.
Aviso
Um certificado está prestes a expirar, ou um ISP está a ter problemas que podem impactar a sua instância.
Crítico
Interrupção da sua instância.
Tokens de Acesso
Tokens de acesso são necessários para autenticar chamadas à API REST RADIUSaaS.
Adicionar
Siga estes passos para criar um novo token de acesso:
Clique em Adicionar
Forneça um Nome significativo para o token de acesso
Defina o nível de permissão selecionando uma Função
Selecione a duração do token de acesso
Clique em Criar
Copie o token de acesso para a área de transferência e guarde-o num local seguro.
Clique em Fechar
Eliminar
Para eliminar um token de acesso, localize-o na tabela e clique no ícone da tarefa de eliminação:
Consentimento de permissões
Escolha entre diferentes fornecedores de identidade para poder iniciar sessão no seu portal.
As contas Microsoft Entra ID (Azure AD) que entram no Portal de Administração RADIUSaaS pela primeira vez devem conceder ao RADIUSaaS um conjunto limitado de permissões no seu inquilino Azure.
Existem duas formas alternativas de fornecer consentimento:
Consentimento do Utilizador Cada utilizador aceita o consentimento no primeiro início de sessão no portal.
Consentimento do Administrador Um administrador pode consentir em nome da organização para todos os utilizadores.
Consentimento do utilizador
Se nenhum consentimento tiver sido dado anteriormente em nome da organização por um administrador, um utilizador verá um diálogo de pedido de permissão:
Os utilizadores podem rever ou revogar este consentimento na Microsoft As Minhas Apps.
Os administradores podem rever e revogar consentimentos de utilizador no Portal do Azure (Microsoft Entra ID > Aplicações Empresariais > RADIUS como Serviço):
Consentimento do administrador
Em vez de exigir consentimento de cada utilizador, os administradores podem conceder consentimento para todos os utilizadores em nome da organização, ao entrarem no portal web RADIUSaaS pela primeira vez:
Alternativamente, os administradores podem conceder o consentimento em nome da organização no portal do Azure (Microsoft Entra ID > Aplicações Empresariais > RADIUS como Serviço). No Portal do Azure, os administradores também podem rever ou revogar o consentimento:
Ao usar um Apple ID para entrar no RADIUSaaS, certifique-se de não ocultar seu endereço de e-mail.
Se escolher ocultar o seu e-mail neste diálogo, não poderá entrar no seu portal. Terá então de remover a aplicação RADIUSaaS em account.apple.com na Iniciar sessão com a Apple seção
A Digital Ocean exigirá que autorize a aplicação numa equipa para poder efetuar login:
O Google exigirá que permita que a aplicação aceda a dados limitados na sua conta.
A informação específica que precisa fornecer para o provedor OIDC personalizado depende do provedor de identidade que escolher. O seguinte exemplo é baseado em Okta.
No console de administração Okta, precisará criar uma nova integração de aplicação com os seguintes detalhes:
Método de início de sessão
OIDC - OpenID Connect
Tipo de Aplicação
Aplicação Web
URI de redirecionamento de início de sessão
Fornecido no diálogo RADIUSaaS acima Exemplo: https://eu1.radius-as-a-service.com/loginserver/authResponse
Certifique-se de atribuir a integração ao grupo de utilizadores pretendido e guardar. Agora pode recuperar a informação necessária desta aplicação para inserir no RADIUSaaS:
O Nome a exibir pode ser escolhido livremente e será mostrado durante o início de sessão.
Com o Okta, o URL de Autenticação está na seguinte forma:
https://{YourOrga}.okta.com/oauth2/v1/authorize
A URL do Token também é construída e parece assim:
https://{YourOrga}.okta.com/oauth2/v1/token
O ID do Cliente e Segredo do Cliente pode ser copiado e criado na própria aplicação:
Para o Escopo do Cliente openid email é obrigatório. Isto indicará ao Okta que estamos a usar uma autenticação OpenID e precisamos de ler o endereço de e-mail do utilizador autenticado.
Após guardar e permitir este fornecedor, deve ser capaz de usá-lo para autenticar a partir da página de início de sessão:
Se necessário em certos cenários (por ex. GCC High inquilinos), também pode usar um registo de aplicação Entra ID criado por si para autenticar no seu portal RADIUSaaS.
Preparação
Antes de criar o registo da aplicação, certifique-se de copiar a URL de redirecionamento a partir da Permissões seção do seu portal RADIUSaaS. Pode encontrar a URL no topo do Fornecedor OIDC Personalizado diálogo de edição:
Criar Registo de Aplicação
No Entra ID, navegue para Registos de Aplicações e crie um novo registo:
Selecione um Nome descritivo para o registo e adicione a URI de redirecionamento que copiou no passo anterior como Web tipo.
Adicionar Permissões de API
No registo criado, navegue para permissões de API e adicione email e openid do Microsoft Graph como Delegadas permissões. Também certifique-se de conceder consentimento de administrador para o seu inquilino:
Adicionar Segredo do Cliente
Para permitir que o RADIUSaaS use este registo, crie um segredo do cliente na secção Certificados & Segredos do registo. Copie o valor do segredo para mais tarde.
Anotar Detalhes do Registo
Mais tarde irá precisar do ID do Cliente do registo e de algumas URLs específicas do seu inquilino. Pode encontrá-los na página de Visão Geral do registo:
Atribuir Utilizadores
Para qualquer pessoa poder usar este registo de aplicação para iniciar sessão, certifique-se de adicioná-los na aplicação empresarial gerida. Pode encontrar isto no Entra ID em Aplicações Empresariais com o mesmo nome que o seu registo de aplicação. Há também um link para isto na visão geral do registo de aplicação.
Configurar o Provedor OIDC no RADIUSaaS
De volta ao portal RADIUSaaS, navegue até à secção Permissões e edite o provedor OIDC personalizado e preencha a informação necessária:
Nome a exibir
Este nome será mostrado na página de início de sessão
URL de Autenticação
Ponto de extremidade de autorização OAuth 2.0 (v2) a partir dos endpoints de registos
URL do Token
Ponto de extremidade de token OAuth 2.0 (v2) a partir dos endpoints de registos
ID do Cliente
O ID do cliente do registo da aplicação. Pode ser encontrado na sua página de visão geral
Segredo do Cliente
O segredo do cliente previamente criado
Escopo do Cliente
Define a informação solicitada durante a autenticação. Insira openid email aqui.
Após guardar a configuração, certifique-se de permitir o provedor personalizado e adicionar alguns utilizadores para este provedor. Agora deverá ser capaz de usar o provedor para entrar no seu portal RADIUSaaS:
Pode ser necessário que um administrador Entra utilize inicialmente este início de sessão para consentir novamente pelo seu inquilino. Isto só precisa de ser feito uma vez.
Last updated
Was this helpful?