# Permissões
## Visão geral
O **Permissões** menu permite-lhe controlar o acesso ao Portal de Administração RADIUSaaS e à API REST do RADIUSaaS.
{% hint style="success" %}
O RADIUSaaS suporta vários IDPs para a autenticação ao iniciar sessão no Portal de Administração RADIUSaaS.
O RADIUSaaS não armazena nem gere as suas próprias identidades de administrador.
Por isso, os administradores beneficiam da comodidade de trabalhar com as suas próprias identidades e não têm de configurar contas adicionais.
{% endhint %}
{% hint style="info" %}
As alterações às atribuições de funções e a invalidação de tokens de utilizador só entram em vigor depois de clicar em **Guardar**.
{% endhint %}
## IDPs suportados
Em **Provedores de autenticação permitidos** qualquer um (incluindo vários) dos IDPs suportados pelo RADIUSaaS pode ser ativado:
* Apple (Apple ID)
* DigitalOcean (Endereço de e-mail do utilizador)
* Entra ID (Nome principal do utilizador)
* Google (Endereço de e-mail principal)
Além disso, em **Fornecedor OICD personalizado** pode configurar os seus próprios fornecedores OpenID Connect para aproveitar outros IDPs, por exemplo, Okta ou clouds soberanas do Azure (GCC, GCC High, ...).
## Funções
### Administradores
As identidades ou contas inseridas aqui podem aceder ao Portal de Administração RADIUSaaS com **permissões completas de leitura e escrita** no serviço. Estas permissões incluem:
* Ver [painéis e Registos](/pt/portal-de-administracao/insights.md)
* Ver, adicionar, alterar, eliminar [Utilizadores](/pt/portal-de-administracao/users.md)
* Ver, adicionar, alterar, eliminar [certificados de servidor RADIUS](/pt/portal-de-administracao/settings/settings-server.md#server-certificates) e [certificados de confiança](/pt/portal-de-administracao/settings/trusted-roots.md) para autenticação de cliente e RadSec
* Ver, adicionar, eliminar [Proxies](/pt/portal-de-administracao/settings/settings-proxy.md)
* Ver e alterar outras definições, incluindo permissões
* Gerir [Token de acesso da API REST do RADIUSaaS](#access-tokens)
* Acesso a todos os [pontos finais da API](/pt/outro/rest-api.md) e operações CRUD
### Visualizadores
As identidades ou contas inseridas aqui podem aceder ao Portal de Administração RADIUSaaS com **permissões de leitura completas** no serviço. Estas permissões incluem:
* Ver [painéis e Registos](/pt/portal-de-administracao/insights.md)
* Ver [Utilizadores](/pt/portal-de-administracao/users.md)
* Ver, adicionar, alterar, eliminar [certificados de servidor RADIUS](/pt/portal-de-administracao/settings/settings-server.md#server-certificates) e [certificados de confiança](/pt/portal-de-administracao/settings/trusted-roots.md) para autenticação de cliente e RadSec
* Ver [Proxies](/pt/portal-de-administracao/settings/settings-proxy.md)
* Ver outras definições (a permissão não pode ser visualizada)
* Acesso a todos os [pontos finais da API](/pt/outro/rest-api.md) - **limitado a operações de leitura**
### Utilizadores
As identidades ou contas inseridas aqui **não podem** aceder ao Portal de Administração RADIUSaaS; no entanto, podem aceder ao portal [**Os meus utilizadores convidados**](/pt/portal-de-administracao/os-meus-utilizadores-convidados.md) onde podem criar [Utilizadores](/pt/portal-de-administracao/users.md) para BYOD ou acesso de convidados.
### Invalidar tokens de utilizador
Durante a autenticação no Portal de Administração RADIUSaaS, cada identidade permitida obtém um token de acesso (bearer) que é armazenado em cache no armazenamento de cookies do navegador. O tempo de vida do token é de 30 dias. Além disso, o RADIUSaaS tem permissão para atualizar estes tokens de acesso.
Num evento de segurança, os administradores do RADIUSaaS podem **invalidar todos os tokens de acesso emitidos anteriormente** definindo a data mínima de emissão para agora.
## Contactos técnicos
{% hint style="info" %}
Tenha em atenção que esta funcionalidade está a ser preparada para uma funcionalidade de notificações numa futura versão do RADIUSaaS.
{% endhint %}
Adicione até 5 contactos técnicos para receber notificações por e-mail relacionadas com a sua instância. Pode selecionar o nível de evento para cada contacto.
Nível do evento
Exemplos de eventos
Informação
Atualizações agendadas para a sua instância.
Aviso
Um certificado está prestes a expirar, ou um ISP está a ter problemas que podem afetar a sua instância.
Crítico
Interrupção da sua instância.
## Tokens de acesso
Os tokens de acesso são necessários para autenticar chamadas à [API REST do RADIUSaaS](/pt/outro/rest-api.md).
### Adicionar
Siga estes passos para criar um novo token de acesso:
1. Clique em **Adicionar**
2. Forneça um **Nome** significativo para o token de acesso
3. Defina o nível de permissão selecionando uma [**Função**](#roles)
4. Selecione o tempo de vida do token de acesso
5. Clique em **Criar**\
6. Copie o token de acesso para a área de transferência e guarde-o num local seguro.\
7. Clique em **Fechar**
### **Eliminar**
Para eliminar um token de acesso, localize-o na tabela e clique no ícone do caixote do lixo:
## Consentimento de permissões
Escolha entre diferentes fornecedores de identidade para poder iniciar sessão no seu portal.
{% tabs %}
{% tab title="Entra ID" %}
As contas Microsoft Entra ID (Azure AD) que iniciam sessão no Portal de Administração RADIUSaaS pela primeira vez têm de conceder ao RADIUSaaS um conjunto limitado de [permissões no seu inquilino Azure](https://docs.radiusaas.com/pt/portal-de-administracao/settings/pages/675f8cf2173edf80e246d26c7bf7144e24bd36aa#id-5.-which-tenant-permissions-do-users-accessing-the-radiusaas-web-portal-have-to-consent-to).
Existem duas formas alternativas de fornecer consentimento:
* **Consentimento do utilizador**\
Cada utilizador aceita o consentimento no primeiro início de sessão no portal.
* **Consentimento do administrador**\
Um administrador pode consentir em nome da organização para todos os utilizadores.
### Consentimento do utilizador
Se nenhum consentimento tiver sido dado em nome da organização anteriormente por um administrador, o utilizador verá uma caixa de diálogo de pedido de permissão:
Os utilizadores podem rever ou revogar este consentimento em Microsoft [As minhas aplicações](< https://myapps.microsoft.com>).
Os administradores podem rever e revogar os consentimentos dos utilizadores no Portal do Azure (**Microsoft Entra ID** > **Aplicações empresariais** > **RADIUS as a Service**):
### Consentimento do administrador
Em vez de exigir consentimento de cada utilizador, os administradores podem conceder consentimento para todos os utilizadores em nome da organização, ao iniciar sessão no portal Web RADIUSaaS pela primeira vez:
Em alternativa, os administradores podem conceder o consentimento em nome da organização no portal do Azure (**Microsoft Entra ID** > **Aplicações empresariais** > **RADIUS as a Service**). No Portal do Azure, os administradores também podem rever ou revogar o consentimento:
{% endtab %}
{% tab title="Apple" %}
Ao utilizar um Apple ID para iniciar sessão no RADIUSaaS, certifique-se de **não ocultar** o seu endereço de e-mail.
{% hint style="warning" %}
Se optar por ocultar o seu e-mail nesta caixa de diálogo, não conseguirá iniciar sessão no seu portal. Terá então de remover a aplicação RADIUSaaS em **account.apple.com** na secção **Iniciar sessão com Apple** secção
{% endhint %}
{% endtab %}
{% tab title="Digital Ocean" %}
O Digital Ocean exigirá que autorize a aplicação numa equipa para poder iniciar sessão:
{% endtab %}
{% tab title="Google" %}
O Google exigirá que permita que a aplicação aceda a dados limitados na sua conta.
{% endtab %}
{% tab title="Fornecedor OIDC personalizado (Okta)" %}
As informações específicas que precisa de fornecer para o fornecedor OIDC personalizado dependem do fornecedor de identidade que escolher. O seguinte **exemplo** baseia-se em **Okta**.
Na consola de administração do Okta, terá de criar uma nova integração de aplicação com os seguintes detalhes:
| Método de início de sessão | OIDC - OpenID Connect |
| ------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Tipo de aplicação | Aplicação Web |
| URI de redirecionamento de início de sessão |
Fornecido na caixa de diálogo do RADIUSaaS acima Exemplo:
|
Certifique-se de atribuir a integração ao grupo de utilizadores pretendido e guardar. Agora pode obter as informações necessárias desta aplicação para introduzir no RADIUSaaS:
O **Nome a apresentar** pode ser escolhido livremente e será mostrado durante o início de sessão.
Com o Okta, o **URL de autenticação** tem o seguinte formato:
`https://`**`{SuaOrganização}`**`.okta.com/oauth2/v1/authorize`
O URL do token também é construído e tem o seguinte aspeto:
`https://`**`{SuaOrganização}`**`.okta.com/oauth2/v1/token`
O **ID do cliente** e **Segredo do cliente** pode ser copiado e criado na própria aplicação:
Para o **Âmbito do cliente** `openid email` é necessário. Isto indicará ao Okta que estamos a utilizar uma autenticação OpenID e precisamos de ler o endereço de e-mail dos utilizadores autenticados.
Depois de guardar e permitir este fornecedor, deverá poder utilizá-lo para autenticar a partir da página de início de sessão:
{% endtab %}
{% tab title="Fornecedor OIDC personalizado (Entra ID)" %}
Se necessário em determinados cenários (por exemplo, **GCC High** inquilinos), também pode utilizar um registo de aplicação Entra ID criado por si para autenticar no seu portal RADIUSaaS.
#### Preparação
Antes de criar o registo da aplicação, certifique-se de copiar o URL de redirecionamento da **Permissões** secção do seu portal RADIUSaaS. Pode encontrar o URL na parte superior da **Fornecedor OIDC personalizado** caixa de diálogo de edição:
### Criar registo de aplicação
No Entra ID, navegue para **Registos de aplicações** e crie um novo registo:
Selecione um **Nome** descritivo para o registo e adicione o URI de redirecionamento que copiou no passo anterior como **Web** tipo.
#### Adicionar permissões de API
No registo criado, navegue para **permissões de API** e adicione `email` e `openid` do Microsoft Graph como **Delegadas** permissões. Certifique-se também de conceder consentimento de administrador para o seu inquilino:
#### Adicionar segredo do cliente
Para permitir que o RADIUSaaS utilize este registo, crie um segredo do cliente na **secção Certificados e segredos** do registo. Copie o valor do segredo para mais tarde.
#### Anotar detalhes do registo
Mais tarde, irá precisar dos registos **ID do cliente** e de alguns URLs específicos do seu inquilino. Pode encontrá-los na página Visão geral do registo:
#### Atribuir utilizadores
Para que qualquer pessoa possa utilizar este registo de aplicação para iniciar sessão, certifique-se de que os adiciona na aplicação empresarial gerida. Pode encontrar isto em Entra ID em **Aplicações empresariais** com o mesmo nome que o registo da sua aplicação. Existe também uma ligação para isto na visão geral do registo da aplicação.
### Configurar o fornecedor OIDC no RADIUSaaS
De volta ao portal RADIUSaaS, navegue até à secção Permissões e edite o fornecedor OIDC personalizado e preencha as informações necessárias:
| Campo | Explicação |
| ------------------- | ----------------------------------------------------------------------------------------- |
| Nome a apresentar | Este nome será apresentado na página de início de sessão |
| URL de autenticação | `Ponto final de autorização OAuth 2.0 (v2)` dos pontos finais do registo |
| URL do token | `Ponto final do token OAuth 2.0 (v2)` dos pontos finais do registo |
| ID do cliente | O ID do cliente do registo da aplicação. Pode ser encontrado na sua página de visão geral |
| Segredo do cliente | O segredo do cliente criado anteriormente |
| Âmbito do cliente | Define as informações solicitadas durante a autenticação. Introduza `openid email` aqui. |
Depois de guardar a configuração, certifique-se de permitir o fornecedor personalizado e adicionar alguns utilizadores para este fornecedor. Agora deverá poder utilizar o fornecedor para iniciar sessão no seu portal RADIUSaaS:
{% hint style="warning" %}
Pode ser necessário que um administrador Entra utilize inicialmente este início de sessão para consentir novamente para o seu inquilino. Isto só precisa de ser feito uma vez.
{% endhint %}
{% endtab %}
{% endtabs %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/pt/portal-de-administracao/settings/permissions.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.