È possibile configurare il servizio Autenticazione utente in Workspace ONE Access Connector per utilizzare il metodo di autenticazione RADIUS basato su connettore (distribuzione cloud) quando gli utenti accedono a Workspace ONE. È possibile abilitare il metodo di autenticazione RADIUS e configurare le impostazioni RADIUS nella console di Workspace ONE Access.

Prerequisiti

  • Installare e configurare il software RADIUS in un server di gestione dell'autenticazione. Poiché le soluzioni di autenticazione a due fattori RADIUS funzionano con i manager di autenticazione installati in server separati, il server RADIUS deve essere configurato e accessibile per il servizio Workspace ONE Access. Per l'autenticazione RADIUS, seguire la documentazione di configurazione del fornitore.

    Per configurare RADIUS nel servizio Workspace ONE Access, sono necessarie le seguenti informazioni sul server RADIUS.

    • Indirizzo IP o nome DNS del server RADIUS.
    • Numeri della porta di autenticazione. La porta di autenticazione è in genere la 1812.
    • Tipo di autenticazione. I tipi di autenticazione includono PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1 e MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versioni 1 e 2).
    • Segreto condiviso RADIUS utilizzato per la crittografia e la decrittografia nei messaggi del protocollo RADIUS.
    • Timeout e valori retry specifici necessari per l'autenticazione RADIUS.
  • Servizio Autenticazione utente installato come componente di Workspace ONE Access Connector.

Procedura

  1. Nella pagina Integrazioni > Metodi di autenticazione del connettore della console di Workspace ONE Access, fare clic su Nuovo e selezionare RADIUS (distribuzione cloud).
  2. Per eseguire la configurazione con questo metodo di autenticazione, selezionare Directory e Host del servizio, quindi fare clic su Avanti.
  3. Configurare le impostazioni del metodo di autenticazione RADIUS.
    Opzione Azione
    Numero di tentativi di autenticazione consentiti Immettere il numero massimo di tentativi di accesso non riusciti consentiti quando si utilizza RADIUS per accedere. Il valore predefinito è cinque tentativi.
    Suggerimento passphrase per pagina di login Immettere la stringa di testo da visualizzare come messaggio della pagina di accesso dell'utente per indicargli di immettere il passcode RADIUS corretto. La stringa di testo predefinita è Passcode RADIUS. Il messaggio predefinito è Immettere il passcode RADIUS.
    Suggerimento passphrase personalizzato per la pagina di accesso Se si immette un suggerimento passphrase personalizzato in questa casella di testo, il suggerimento viene visualizzato come messaggio nella pagina di accesso dell'utente al posto del suggerimento passphrase della pagina di accesso. Ad esempio, se questa casella di testo è configurata con Immettere prima la password di AD e quindi il passcode SMS, il messaggio della pagina di accesso è Immettere prima la password di AD e quindi il passcode SMS.
    Abilita autenticazione diretta nel server RADIUS Passare da NO a per abilitare l'autenticazione diretta degli utenti. Gli utenti non devono immettere nuovamente le credenziali. In questo caso, per la password viene utilizzato lo stesso nome utente.

    Abilitare questa opzione solo se nel server RADIUS è configurata la verifica di accesso.

    Per utilizzare l'autenticazione diretta nel server RADIUS, è necessario che il nome utente sia configurato nello stesso modo sia nel server RADIUS sia in Active Directory. Si tenga presente che un nome utente JSmith in Active Directory non coincide con jsmith nel server RADIUS.
    Numero di tentativi per il server RADIUS Immettere il numero totale di tentativi. Se il server primario non risponde, il servizio attende il tempo configurato prima di riprovare.
    Timeout server in secondi

    Immettere il timeout del server RADIUS in secondi, al termine del quale viene eseguito un nuovo tentativo se il server RADIUS non risponde.

    Nome host/indirizzo server RADIUS (Facoltativo) Immettere il nome host o l'indirizzo IP del server RADIUS.
    Porta di autenticazione Immettere il numero di porta dell'autenticazione RADIUS. La porta è in genere la 1812.
    Porta di accounting Immettere 0 come numero di porta. La porta di accounting non viene attualmente utilizzata.
    Tipo di autenticazione Immettere il protocollo di autenticazione supportato dal server RADIUS, scegliendo tra PAP, CHAP, MSCHAP1 o MSCHAP2.
    Segreto condiviso Immettere il segreto condiviso utilizzato tra il server RADIUS e il servizio Workspace ONE Access.
    Prefisso area di autenticazione (Facoltativo) La posizione dell'account utente è chiamata area di autenticazione. Immettere il prefisso dell'area di autenticazione da utilizzare.

    Se si immette una stringa per il prefisso dell'area di autenticazione, tale stringa viene posizionata all'inizio del nome utente quando il nome viene inviato al server RADIUS. Se, ad esempio, si immette jdoe come nome utente e si specifica il prefisso dell'area di autenticazione DOMAIN-A\, al server RADIUS viene inviato il nome utente DOMAIN-A\jdoe. Se non si configurano le caselle di testo di Area di autenticazione, viene inviato solo il nome utente immesso.

    Suffisso area di autenticazione (Facoltativo) Se si specifica un suffisso dell'area di autenticazione, la stringa viene posizionata alla fine del nome utente. Se, ad esempio, il suffisso è @myco.com, al server RADIUS viene inviato il nome utente [email protected].
    Abilita convalida MSCHAPv2 di base Passare da NO a per abilitare la convalida MSCHAPv2 di base. Se questa opzione è impostata su SÌ, la convalida aggiuntiva della risposta dal server RADIUS viene ignorata. Per impostazione predefinita, viene eseguita la convalida completa.
  4. È possibile abilitare un server RADIUS secondario per la disponibilità elevata.
    Configurare il server secondario come descritto nel passaggio 4.
  5. Fare clic su AVANTI per controllare la configurazione e quindi fare clic su SALVA.
    Screenshot della pagina di configurazione del server

Operazioni successive

Aggiungere RADIUS come metodo di autenticazione nella pagina di configurazione del provider di identità integrato.

Aggiungere il metodo di autenticazione RADIUS al criterio di accesso predefinito. Nella console, accedere alla pagina Risorse > Criteri e modificare le regole del criterio predefinito per aggiungere il metodo di autenticazione RADIUS alla regola. Vedere Gestione dei criteri di accesso nel servizio Workspace ONE Access.

Per la disponibilità elevata, associare questo metodo di autenticazione RADIUS alle altre istanze di Workspace ONE Access Connector registrate in cui è installato il componente di servizio Enterprise di autenticazione degli utenti.