Vous activez la méthode d'authentification RADIUS et configurez les paramètres RADIUS dans la console Workspace ONE Access.

Conditions préalables

Installez et configurez le logiciel RADIUS sur un serveur de gestion de l'authentification. Pour l'authentification RADIUS, suivez la documentation de configuration du fournisseur.

Les informations suivantes sur le serveur RADIUS sont nécessaires à la configuration de RADIUS sur le service Workspace ONE Access.

  • Adresse IP ou nom DNS du serveur RADIUS.
  • Numéros de port d'authentification. En général, le port d'authentification est le port 1812.
  • Type d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).
  • Code secret partagé RADIUS utilisé pour le chiffrement et le déchiffrement dans les messages de protocole RADIUS.
  • Valeurs du délai d'expiration et de nouvelle tentative nécessaires pour l'authentification RADIUS

Procédure

  1. Dans l'onglet Gestion des identités et des accès de la console Workspace ONE Access, sélectionnez Gérer > Méthodes d'authentification d'entreprise.
  2. Cliquez sur NOUVEAU, puis sélectionnez RADIUS (déploiement de Cloud).
  3. Sélectionnez l'annuaire et l'hôte de service à configurer avec cette méthode d'authentification.
  4. Configurez la méthode d'authentification RADIUS.
    Option Action
    Nombre de tentatives d'authentification autorisées Entrez le nombre maximum de tentatives de connexion échouées lorsque vous utilisez RADIUS pour vous connecter. La valeur par défaut est de cinq tentatives.
    Conseil pour la phrase secrète de la page de connexion Entrez la chaîne de texte à afficher dans le message sur la page de connexion utilisateur pour demander aux utilisateurs d'entrer le code secret RADIUS approprié. Par exemple, si la zone de texte est configurée avec Mot de passe AD en premier, puis code secret SMS, le message sur la page de connexion serait Entrez votre mot de passe AD en premier, puis le code secret SMS.. La chaîne de texte par défaut est Code secret RADIUS.
    Activer l'authentification directe sur le serveur RADIUS Cochez cette case pour activer l'authentification directe des utilisateurs. Lorsque cette option est activée, les utilisateurs ne sont pas obligés d'entrer de nouveau leurs informations d'identification.

    Pour utiliser l'authentification directe sur le serveur RADIUS, vous devez configurer le nom d'utilisateur de la même manière sur le serveur RADIUS et dans Active Directory. Notez qu'un nom d'utilisateur JSmith dans Active Directory ne correspond pas à jsmith sur le serveur RADIUS.

    Nombre de tentatives d'accès au serveur RADIUS Spécifiez le nombre total de nouvelles tentatives. Si le serveur principal ne répond pas, le service attend l'heure configurée avant de réessayer.
    Délai d'attente du serveur en secondes

    Entrez le délai d'attente du serveur RADIUS en secondes, après lequel une nouvelle tentative est envoyée si le serveur RADIUS ne répond pas.

    Adresse/Nom d'hôte du serveur RADIUS (Facultatif) Entrez le nom de l'hôte ou l'adresse IP du serveur RADIUS.
    Port d'authentification Entrez le numéro du port d'authentification RADIUS. En général, il s'agit du port 1812.
    Port de gestion Entrez 0 pour le numéro de port. Le port de gestion n'est actuellement pas utilisé.
    Type d'authentification Entrez le protocole d'authentification pris en charge par le serveur RADIUS. PAP, CHAP, MSCHAP1 ou MSCHAP2.
    Code secret partagé Entrez le code secret partagé utilisé entre le serveur RADIUS et le service Workspace ONE Access.
    Préfixe du domaine (Facultatif) L'emplacement du compte d'utilisateur est appelé le domaine. Entrez le préfixe du domaine à utiliser.

    Si vous entrez une chaîne de préfixe du domaine, la chaîne est placée au début du nom d'utilisateur lorsque le nom est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré est jdoe et que le préfixe de domaine DOMAIN-A\ est spécifié, le nom d'utilisateur DOMAIN-A\jdoe est envoyé au serveur RADIUS. Si vous ne configurez pas les zones de texte du domaine, seul le nom d'utilisateur entré est envoyé.

    Suffixe du domaine (Facultatif) Si vous spécifiez un suffixe du domaine, la chaîne est placée à la fin du nom d'utilisateur. Par exemple, si le suffixe est @myco.com, le nom d'utilisateur jdoe@myco.com est envoyé au serveur RADIUS.
  5. Vous pouvez activer un serveur RADIUS secondaire pour une haute disponibilité.
    Configurez le serveur secondaire comme décrit à l'étape 4.
  6. Cliquez sur SUIVANT pour vérifier la configuration, puis cliquez sur ENREGISTRER.

Que faire ensuite

Ajoutez RADIUS en tant que méthode d'authentification à la page de configuration du fournisseur d'identité intégré.

Ajoutez la méthode d'authentification RADIUS à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification RADIUS à la règle. Voir #GUID-25549B4D-F2D7-4658-85CB-53EED8149438.

Pour la haute disponibilité, associez cette méthode d'authentification RADIUS à d'autres instances de Workspace ONE Access Connector enregistrées sur lesquelles l'authentification de l'utilisateur du service d'entreprise est installée.