Saltar al contenido principal
Español

Okta and RADIUS: Extending Your Identity Provider to WiFi Authentication

Esta guía proporciona una referencia técnica detallada para los administradores de TI de organizaciones centradas en Okta que desean extender su proveedor de identidad en la nube a la autenticación de WiFi mediante el agente Okta RADIUS. Cubre la arquitectura de autenticación completa, las ventajas y desventajas de la aplicación de MFA, la asignación dinámica de VLAN a través del mapeo de atributos RADIUS y la decisión crítica entre EAP-TTLS basado en contraseñas y EAP-TLS basado en certificados. Los operadores de recintos y los equipos de TI de las empresas encontrarán pautas de implementación prácticas, casos de estudio reales de los sectores de hostelería y retail, y un marco claro para integrar Okta RADIUS junto con soluciones dedicadas de WiFi para invitados.

📖 11 min de lectura📝 2,672 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 10 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido al Technical Briefing de Purple. Hoy nos sumergiremos en un tema que se encuentra justo en la intersección de la arquitectura de red y la gestión de identidades: Okta y RADIUS para la autenticación WiFi. Si es un responsable de TI, un arquitecto de red o un director de operaciones de recintos, ya conoce el dolor de cabeza que supone gestionar credenciales independientes para el acceso a la red. Dispone de su directorio de Okta para las aplicaciones en la nube, pero quizás su WiFi sigue dependiendo de un servidor Active Directory heredado o, peor aún, de una contraseña WPA2 compartida y colgada en la pared de la sala de descanso. Hoy vamos a analizar cómo salvar esa distancia utilizando el agente RADIUS de Okta. Cubriremos la arquitectura, cómo gestionar la autenticación multifactor en WiFi, las compensaciones críticas entre la autenticación basada en contraseñas y la basada en certificados, y cómo asignar grupos de Okta a atributos RADIUS para la asignación dinámica de VLAN. Comencemos. Empecemos por la arquitectura. ¿Cómo funciona realmente el agente RADIUS de Okta? El agente RADIUS de Okta es una aplicación ligera que se despliega de forma local (normalmente en un servidor Windows o Linux) o en una máquina virtual en la nube. Actúa como un proxy. Se sitúa entre su infraestructura de red, como sus puntos de acceso inalámbricos o su controlador de LAN inalámbrica, y la nube de Okta. Cuando un usuario intenta conectarse a su WiFi empresarial 802.1X, su dispositivo envía las credenciales al punto de acceso. El punto de acceso, que actúa como lo que llamamos el autenticador en el modelo 802.1X, reenvía una solicitud RADIUS Access-Request al agente RADIUS de Okta a través del puerto UDP 1812. El agente toma esa solicitud y la canaliza de forma segura a la nube de Okta mediante una llamada a la API HTTPS. Okta valida las credenciales, comprueba las políticas de inicio de sesión y devuelve una decisión. A continuación, el agente la traduce de nuevo en un mensaje RADIUS Access-Accept o Access-Reject para el punto de acceso. Es una forma inteligente de extender su proveedor de identidad en la nube hasta el extremo de la red local sin exponer su directorio directamente a Internet. Ahora, la gran pregunta que todo el mundo se hace: ¿Se puede aplicar el MFA de Okta en las conexiones WiFi? La respuesta corta es sí, pero con matices importantes. El agente RADIUS de Okta admite principalmente el Protocolo de autenticación de contraseñas, o PAP. Dado que PAP envía la contraseña en claro, esta se encapsula y protege mediante el túnel TLS externo del protocolo EAP, que significa Protocolo de autenticación extensible. Esta disposición permite al agente gestionar los desafíos de MFA. Puede configurar Okta para que envíe una notificación de Okta Verify al teléfono del usuario, o pedirle que añada un código TOTP (una contraseña de un solo uso basada en el tiempo) a su contraseña. Sin embargo, aquí es donde la experiencia del usuario choca con la seguridad. Imagine pedirle a un empleado de una tienda que apruebe una notificación push cada vez que su teléfono se vuelve a conectar al WiFi del personal mientras camina por la tienda. Esto genera fricción. Además, muchos dispositivos modernos interrumpirán la conexión WiFi si el desafío de MFA tarda demasiado. Por lo tanto, aunque el MFA en WiFi es técnicamente posible y compatible con Okta, generalmente lo recomendamos solo para accesos con altos privilegios, como los SSID de administración de TI, en lugar del WiFi del personal general. Esto nos lleva a la compensación crítica: RADIUS basado en contraseñas con Okta frente a la autenticación basada en certificados, específicamente EAP-TLS. Cuando utiliza el agente RADIUS de Okta con EAP-TTLS o PAP, depende de las contraseñas. Las contraseñas se pueden robar, pescar (phishing) o compartir. Además, como acabamos de comentar, añadir MFA al WiFi es engorroso en la práctica. Por otro lado, EAP-TLS utiliza certificados digitales implementados en el dispositivo del usuario. Proporciona autenticación mutua: el dispositivo demuestra su identidad a la red y la red demuestra su identidad al dispositivo. No hay que escribir contraseñas y es altamente resistente al phishing. ¿El inconveniente? El agente RADIUS de Okta no actúa de forma nativa como una entidad de certificación. Si desea EAP-TLS, necesita una infraestructura de clave pública o PKI (soluciones como SecureW2, Foxpass o Microsoft Active Directory Certificate Services) y una solución de gestión de dispositivos móviles para distribuir los certificados a sus terminales. Okta puede seguir siendo el proveedor de identidad que autoriza la emisión de certificados, pero el propio agente RADIUS no se encargará del trabajo pesado para EAP-TLS. Para entornos BYOD, el RADIUS de Okta basado en contraseñas es rápido y fácil de implementar. Para dispositivos corporativos gestionados, EAP-TLS es el estándar de oro. Pasemos a una de las funciones más potentes: la asignación dinámica de VLAN. En un recinto de gran tamaño (un hotel, un estadio, un centro de conferencias), no querrá que todo su personal esté en el mismo segmento de red. Querrá que los terminales de punto de venta estén aislados de las tabletas del servicio de limpieza, y que el personal de TI esté en una VLAN de gestión. ¿Cómo se consigue esto con Okta? Todo se reduce al mapeo de atributos RADIUS. En la consola de administración de Okta, dentro de la configuración de la aplicación RADIUS, puede activar una función llamada "Include groups in RADIUS response". Especifique qué grupos de Okta deben devolverse en la respuesta de autenticación. Okta pasa esta pertenencia a grupos de vuelta a su controlador de red utilizando atributos RADIUS estándar, normalmente el Atributo 11 para Filter-ID, o el Atributo 25 para Class. Su controlador inalámbrico o sistema de control de acceso a la red, como Aruba ClearPass o Cisco ISE, recibe este nombre de grupo. A continuación, configure una política local en el controlador que indique, por ejemplo, que si el Atributo 25 de RADIUS es igual a Retail-POS, se asigne el cliente a la VLAN 40. El controlador envía los atributos de túnel estándar (Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID) al punto de acceso, introduciendo dinámicamente al usuario en la VLAN correcta. Es una forma fluida de aplicar la segmentación de red basándose puramente en la identidad de Okta, lo que resulta enormemente potente para el cumplimiento de normativas como PCI DSS, que exige una segmentación de red estricta en torno a los entornos de datos de titulares de tarjetas. Veamos ahora algunos escenarios de implementación en el mundo real. Pensemos en una cadena hotelera nacional con establecimientos en todo el Reino Unido. Cada establecimiento cuenta con una combinación de personal de recepción, limpieza, restauración y dirección. Anteriormente, cada establecimiento gestionaba su propio servidor NPS con un Active Directory local. El equipo de TI dedicaba un tiempo considerable a gestionar las cuentas locales y a solucionar los fallos de RADIUS. Al desplegar el agente RADIUS de Okta en un par de máquinas virtuales redundantes en la nube, centralizar todas las cuentas de usuario en Okta y configurar la asignación de VLAN basada en grupos, la cadena redujo significativamente sus costes indirectos de TI por establecimiento. El personal de recepción se autentica con sus credenciales de Okta y se le asigna automáticamente a la VLAN de servicios para huéspedes. El personal de dirección, que pertenece a un grupo de Okta diferente, accede a la VLAN de gestión con acceso a los sistemas de gestión del establecimiento. Toda la configuración se gestiona desde una única consola de administración de Okta, y el registro del sistema de Okta proporciona una pista de auditoría completa de cada evento de autenticación en todos los establecimientos. Un segundo escenario: una gran cadena de retail con más de 300 tiendas. Cada tienda tiene una red WiFi para el personal que se utiliza para la gestión de inventario, terminales de punto de venta y operaciones de back-office. El cumplimiento de PCI DSS exige una segmentación de red estricta entre el entorno de datos de los titulares de tarjetas y el acceso general del personal. Al integrar Okta RADIUS con su infraestructura inalámbrica existente, el minorista asigna los grupos de Okta (POS-Staff, Inventory-Staff y Store-Management) a tres VLAN distintas. Cuando un empleado de la tienda se conecta, su dispositivo se ubica automáticamente en la VLAN correcta según su pertenencia al grupo de Okta. Si un empleado cambia de función, la actualización de su pertenencia al grupo de Okta cambia de inmediato su acceso a la red en su próxima conexión. Sin reglas de firewall que actualizar, sin configuraciones de VLAN que enviar a las tiendas individuales. Ahora, abordemos las recomendaciones de implementación y los errores comunes. El primer error y el más común es ignorar los ajustes de tiempo de espera (timeout). Las llamadas a la API de Okta requieren tiempo, especialmente si interviene una notificación push de MFA. Si el tiempo de espera de RADIUS de su controlador inalámbrico está configurado en los tres o cinco segundos predeterminados, la solicitud caducará antes de que el usuario pueda tocar Aprobar en su teléfono. Debe aumentar el tiempo de espera de RADIUS en su WLC a al menos treinta o sesenta segundos. Este es un cambio de configuración en el lado de la red, no en Okta, y se pasa por alto con frecuencia. La segunda recomendación es la alta disponibilidad. Nunca implemente un solo agente Okta RADIUS. Implemente al menos dos agentes en servidores independientes y configure su controlador inalámbrico para equilibrar la carga entre ellos. Si un servidor se cae por mantenimiento, su autenticación WiFi sigue activa. El tercer error: tenga cuidado con PEAP. El agente Okta RADIUS no es compatible con PEAP-MSCHAPv2, que es el valor predeterminado para muchos entornos Windows más antiguos. Debe configurar sus clientes para que utilicen EAP-TTLS con PAP. Por lo general, esto requiere enviar un perfil inalámbrico a través de Directiva de grupo o MDM, ya que Windows no adopta de forma predeterminada EAP-TTLS fácilmente. No hacer esto es la razón número uno de las implementaciones fallidas. Es hora de una sesión de preguntas y respuestas rápidas basada en las dudas más comunes de los clientes. Pregunta uno: ¿Podemos usar Okta RADIUS para el WiFi de invitados? Respuesta: No. Okta tiene un precio por usuario y está diseñado para la identidad de la fuerza laboral. Para el WiFi de invitados, debe utilizar una solución de Captive Portal diseñada específicamente para ello, que gestiona las condiciones de servicio, el inicio de sesión social y las analíticas sin consumir licencias de Okta. Pregunta dos: ¿Admite Okta RADIUS YubiKeys para la autenticación WiFi? Respuesta: Por lo general, no. Los tokens de hardware y WebAuthn no se trasladan bien a través del protocolo RADIUS. Utilice la inserción de Okta Verify o TOTP si debe usar MFA en el WiFi. Pregunta tres: ¿Cómo interactúa esto con una implementación de Purple? Respuesta: Muy bien. Los clientes empresariales de Purple que utilizan Okta como su proveedor de identidad pueden usar Okta RADIUS para autenticar de forma segura el WiFi del personal, mientras utilizan el Captive Portal de Purple para el acceso de invitados en un SSID independiente. Esto posiciona a Purple junto a Okta en una pila de autenticación moderna y unificada: el personal en un SSID con Okta RADIUS y los invitados en otro con el portal de marca de Purple. Para resumir la sesión de hoy: el agente Okta RADIUS es una herramienta potente para eliminar los directorios locales heredados y unificar su autenticación WiFi en su proveedor de identidad en la nube. Admite la asignación dinámica de VLAN para una segmentación de red sólida, lo cual es fundamental para el cumplimiento de PCI DSS y otros marcos de trabajo. Sin embargo, tenga en cuenta la experiencia del usuario si impone MFA en el WiFi, y recuerde que para los dispositivos corporativos totalmente gestionados, la migración a EAP-TLS basado en certificados con una PKI dedicada es la estrategia a largo plazo más segura. El agente Okta RADIUS es una excelente solución puente, especialmente para las organizaciones que se centran en Okta y desean ampliar rápidamente esa inversión en identidad a la capa de red. Eso es todo por esta sesión. Asegúrese de consultar la guía de referencia técnica completa para obtener pasos de configuración detallados, diagramas de arquitectura y ejemplos prácticos. Hasta la próxima, mantenga sus redes seguras y a sus usuarios conectados.

header_image.png

Resumen Ejecutivo

Para los equipos de TI de empresas que gestionan recintos distribuidos —desde cadenas hoteleras hasta estadios—, unificar el control de acceso a la red con un proveedor de identidad en la nube es un paso crítico hacia Zero Trust. El agente Okta RADIUS cierra la brecha entre la identidad moderna en la nube y la infraestructura WiFi 802.1X tradicional, lo que permite a las organizaciones prescindir de los servidores RADIUS locales heredados y de la infraestructura de Active Directory para la autenticación de red.

Esta guía detalla cómo implementar el agente Okta RADIUS para la autenticación WiFi empresarial, abarcando la arquitectura de proxy, los mecanismos de aplicación de MFA y las ventajas y desventajas entre EAP-TTLS basado en contraseñas y EAP-TLS basado en certificados. También proporciona orientación práctica sobre cómo mapear la pertenencia a grupos de Okta con atributos RADIUS para la asignación dinámica de VLAN, una capacidad que respalda directamente los requisitos de segmentación de red de PCI DSS. Al integrar Okta para la autenticación del personal junto con las soluciones de Guest WiFi , los operadores de recintos pueden lograr una capa de acceso unificada, segura y conforme a las normativas sin duplicar la infraestructura de identidad.

Análisis Técnico Detallado

Cómo funciona el agente Okta RADIUS

El agente Okta RADIUS es un servicio de sistema ligero que actúa como proxy entre los Servidores de Acceso a la Red (NAS) —como los puntos de acceso inalámbricos (WAP) o los controladores de LAN inalámbrica (WLC)— y la nube de Okta. Normalmente se implementa en un servidor Windows o Linux de forma local o dentro de una VPC en la nube, y se gestiona por completo desde la consola de administración de Okta tras la instalación inicial.

El flujo de autenticación sigue un modelo de proxy 802.1X estándar. El dispositivo de un usuario (el suplicante) se conecta a un SSID empresarial y presenta las credenciales. El WAP o WLC (el autenticador) reenvía una solicitud RADIUS Access-Request al agente Okta RADIUS a través del puerto UDP 1812. El agente tuneliza de forma segura esta solicitud a la nube de Okta mediante una llamada a la API HTTPS, donde el motor de políticas de Okta evalúa las credenciales con respecto a su directorio de usuarios y a cualquier política de inicio de sesión configurada. Si la autenticación tiene éxito, el agente devuelve un mensaje RADIUS Access-Accept al autenticador, incluyendo opcionalmente atributos RADIUS para la autorización, como la asignación de VLAN. Si se requiere MFA, el agente envía un mensaje RADIUS Access-Challenge de vuelta al cliente, solicitando un segundo factor antes de que se devuelva la decisión final.

architecture_overview.png

Este modelo de proxy significa que el agente Okta RADIUS no necesita almacenar las credenciales de los usuarios localmente. Toda la lógica de autenticación, la evaluación de políticas y el registro de auditoría ocurren en la nube de Okta, lo que proporciona a los administradores un panel de control único para la gobernanza de la identidad tanto en las aplicaciones en la nube como en el acceso a la red.

Protocolos EAP compatibles y limitaciones críticas

Una restricción arquitectónica fundamental del agente RADIUS de Okta es su dependencia del Protocolo de autenticación de contraseñas (PAP) para la autenticación primaria. Aunque PAP transmite las contraseñas en texto plano en la capa interna, estas se encapsulan y protegen mediante el túnel TLS externo del Protocolo de autenticación extensible (EAP). Los protocolos externos compatibles son EAP-TTLS (con PAP como método interno) y EAP-GTC. Para una comparación más detallada de los métodos EAP, consulte la guía de referencia Comparativa de métodos EAP: PEAP, EAP-TLS, EAP-TTLS y EAP-FAST .

Es fundamental tener en cuenta que PEAP-MSCHAPv2 no es compatible. Este es el protocolo 802.1X predeterminado para clientes Windows y muchos entornos empresariales heredados. Las organizaciones que migren desde una configuración RADIUS tradicional de NPS/Active Directory deben reconfigurar sus suplicantes de cliente para usar EAP-TTLS con PAP, un cambio que normalmente requiere un perfil inalámbrico distribuido a través de MDM o directivas de grupo. No tener esto en cuenta es la causa más común de fallos en las implementaciones de RADIUS de Okta.

EAP-TLS, que se basa completamente en la autenticación mutua basada en certificados, tampoco es compatible de forma nativa con el agente RADIUS de Okta. Las organizaciones que requieran EAP-TLS deben implementar una PKI dedicada o una solución RADIUS en la nube que se integre con Okta como IdP a través de SAML o OIDC, en lugar de utilizar el agente RADIUS de Okta directamente.

Aplicación de MFA en conexiones WiFi

El agente RADIUS de Okta admite MFA para el acceso a WiFi, pero introduce desafíos en la experiencia del usuario que deben considerarse cuidadosamente antes de la implementación. Cuando se activa una política de MFA, el agente envía un Access-Challenge de RADIUS al cliente. Okta admite varios factores para las aplicaciones RADIUS:

Factor MFA PAP EAP-TTLS Notas
Okta Verify Push Compatible Compatible Enviado fuera de banda; el usuario pulsa Aprobar en el móvil
TOTP (Okta Verify / Google Auth) Compatible Compatible El usuario añade la OTP a la contraseña (p. ej., Pass123,456789)
SMS / Correo electrónico / Voz Compatible Compatible El usuario envía primero la cadena de activación (SMS, EMAIL, CALL)
Duo Push / SMS / Código de acceso Compatible Compatible Código de acceso Duo solo para EAP-TTLS
YubiKey / U2F / Windows Hello No compatible No compatible Los tokens de hardware son incompatibles con el protocolo RADIUS

La limitación práctica es el roaming. En entornos de Hospitality , la tableta de un empleado de limpieza puede realizar roaming entre puntos de acceso docenas de veces por turno, lo que activa la autenticación cada vez. Requerir la aprobación de una notificación push en cada roaming es operativamente inviable. Para el WiFi del personal general, se suelen preferir políticas de contraseñas seguras combinadas con la confianza del dispositivo de Okta y las políticas de zona de red, en lugar de solicitudes de MFA activas. El MFA en WiFi debe reservarse para SSIDs administrativos o escenarios de acceso con privilegios elevados.

Autenticación basada en contraseñas frente a autenticación basada en certificados

La elección entre RADIUS basado en contraseña (a través del agente Okta RADIUS) y EAP-TLS basado en certificados es una de las decisiones más trascendentales en un despliegue de WiFi empresarial. Las compensaciones no se limitan a la seguridad; implican la complejidad del despliegue, la madurez de la gestión de dispositivos y los costes operativos.

comparison_chart.png

La autenticación basada en contraseña a través del agente Okta RADIUS ofrece una vía rápida hacia la identidad unificada. Si su organización ya gestiona usuarios en Okta, el despliegue se puede completar en horas en lugar de semanas. No hay PKI que construir, ni certificados que distribuir, ni dependencia de MDM. La contrapartida es que las contraseñas siguen siendo la credencial principal, y la ausencia de autenticación mutua significa que el cliente no puede verificar criptográficamente la identidad de la red, lo que supone un vector para ataques de tipo "evil twin" en entornos de alto riesgo.

EAP-TLS basado en certificados elimina por completo las contraseñas de la ecuación de autenticación WiFi. El cliente presenta un certificado de dispositivo y el servidor RADIUS presenta un certificado de servidor, proporcionando autenticación mutua. Este es el enfoque recomendado para IEEE 802.1X en redes WPA3-Enterprise, especialmente en entornos sujetos a PCI DSS o NCSC Cyber Essentials Plus. El requisito previo es una PKI en funcionamiento (ya sea un despliegue local de Microsoft ADCS o un servicio de PKI en la nube) y una plataforma MDM capaz de distribuir certificados a todos los puntos finales gestionados. Para entornos de Retail con cientos de dispositivos de punto de venta gestionados, esta inversión está plenamente justificada. Para entornos con un uso intensivo de BYOD o despliegues rápidos, Okta RADIUS con EAP-TTLS es la opción más pragmática.

Mapeo de atributos RADIUS para asignación dinámica de VLAN

La asignación dinámica de VLAN es donde la integración de Okta RADIUS aporta su valor operativo más tangible. Al mapear la pertenencia a grupos de Okta con los atributos de RADIUS, los administradores de red pueden aplicar la segmentación de red basada en roles sin tener que mantener políticas de VLAN independientes por dispositivo o por ubicación.

Okta transmite los datos de pertenencia a grupos en el mensaje Access-Accept de RADIUS utilizando uno de los tres atributos configurables en la configuración avanzada de RADIUS de la aplicación Okta:

  • Atributo 11 (Filter-Id): Un atributo de cadena que contiene el nombre del grupo. Ampliamente compatible entre distintos proveedores.
  • Atributo 25 (Class): Un atributo opaco utilizado para la autorización. Compatible con Cisco ISE, Aruba ClearPass y Fortinet.
  • Atributo 26 (Vendor-Specific): Permite subatributos específicos del proveedor para un control más granular.

El controlador de red (WLC, dispositivo NAC) recibe el nombre del grupo de Okta en el atributo seleccionado y lo mapea con los atributos de túnel RADIUS estándar necesarios para la asignación de VLAN:

Atributo RADIUS Valor Propósito
64 (Tunnel-Type) 13 (VLAN) Especifica el túnel VLAN
65 (Tunnel-Medium-Type) 6 (802) Especifica el medio IEEE 802
81 (Tunnel-Private-Group-ID) ej., 40 El ID de la VLAN de destino

Por ejemplo, un usuario en el grupo de Okta Retail-POS-Staff recibiría Class: Retail-POS-Staff en el Access-Accept. La política del WLC mapearía esto a Tunnel-Private-Group-ID: 40, colocando el dispositivo en la VLAN 40 (la red POS aislada). Un usuario en Store-Management se colocaría en la VLAN 50. Esta lógica se aplica en el extremo de la red, no en Okta, pero está impulsada completamente por la pertenencia al grupo de Okta.

Guía de implementación

Paso 1: Desplegar el agente RADIUS de Okta (Alta disponibilidad)

Despliegue el agente RADIUS de Okta en un mínimo de dos servidores (ya sea de forma local o en una VPC en la nube) para garantizar la alta disponibilidad. Los despliegues con un solo agente representan un riesgo crítico: si el servidor no está disponible por parches o sufre un fallo, toda la autenticación WiFi 802.1X fallará en toda la infraestructura. Configure su WLC o dispositivo NAC para equilibrar la carga de las solicitudes RADIUS entre ambos agentes.

Durante la instalación, el agente solicitará un inicio de sesión de administrador de Okta para autorizar el agente y vincularlo al tenant de Okta. Una vez autorizado, el agente aparece en la consola de administración de Okta en Settings > Downloads > RADIUS Agent Status, donde se puede monitorizar el estado y la conectividad.

Paso 2: Configurar la aplicación RADIUS en Okta

  1. En la consola de administración de Okta, navegue a Applications > Applications y busque en el catálogo de aplicaciones RADIUS Application.
  2. Añada la aplicación, asígnele un nombre descriptivo (ej., Corporate-WiFi-Staff) y haga clic en Next.
  3. En la pestaña Sign On, configure el RADIUS Port (por defecto 1812) y genere un Shared Secret seguro y aleatorio de al menos 32 caracteres.
  4. En Advanced RADIUS Settings, active Accept password and security token in the same login request si tiene la intención de admitir TOTP añadido a las contraseñas.
  5. Opcionalmente, active Permit Automatic Push for Okta Verify Enrolled Users para una MFA fluida basada en notificaciones push.
  6. Asigne la aplicación a los grupos de Okta correspondientes que representan a su personal.

Paso 3: Configurar la asignación de VLAN basada en grupos

  1. En la configuración de Sign On de la aplicación RADIUS, haga clic en Edit en la sección Advanced RADIUS Settings.
  2. Marque Include groups in RADIUS response.
  3. Seleccione el atributo RADIUS: se recomienda 25 Class para entornos Aruba y Cisco; 11 Filter-Id para Fortinet y otros.
  4. Añada los nombres de los grupos de Okta específicos que desea incluir (ej., Retail-POS-Staff, Store-Management, IT-Admins).
  5. En su WLC o dispositivo NAC, cree políticas de aplicación que mapeen cada nombre de grupo a los atributos de túnel VLAN correspondientes.

Paso 4: Configurar los suplicantes de cliente

Como PEAP-MSCHAPv2 no es compatible, los dispositivos cliente deben configurarse para utilizar EAP-TTLS con PAP como método interno. Implemente un perfil de red inalámbrica a través de su plataforma MDM (por ejemplo, Microsoft Intune, Jamf Pro) o mediante Objetos de Directiva de Grupo (GPO) para dispositivos unidos al dominio de Windows. El perfil debe especificar:

  • SSID: El nombre de su SSID empresarial
  • Seguridad: WPA2-Enterprise o WPA3-Enterprise
  • Método EAP: EAP-TTLS
  • Autenticación interna: PAP
  • Validación de certificado de servidor: Activada (vincular al CN del certificado de servidor de su agente RADIUS)

Paso 5: Configurar los tiempos de espera de RADIUS

Aumente el tiempo de espera de RADIUS en su WLC de los 3-5 segundos predeterminados a 30-60 segundos. Esto es fundamental si se utilizan notificaciones push de MFA, ya que el usuario debe disponer de tiempo suficiente para aprobar la notificación en su dispositivo antes de que el WLC abandone el intento de autenticación.

Buenas prácticas

La implementación de Okta RADIUS para la autenticación de WiFi es sencilla, pero varias buenas prácticas operativas diferencian una implementación de producción resistente de una prueba de concepto frágil.

Segmente el tráfico de invitados y del personal a nivel de SSID. Okta RADIUS es una herramienta de identidad para la fuerza laboral. Para el acceso de visitantes e invitados, implemente una solución de Captive Portal dedicada. Esto evita que los costes de licencia de Okta aumenten con el volumen de invitados y garantiza una separación clara de funciones. Los clientes empresariales de Purple pueden implementar Guest WiFi en un SSID independiente mientras utilizan Okta RADIUS para la autenticación del personal en la misma infraestructura física.

Utilice un dispositivo NAC para entornos de políticas complejos. Si su entorno requiere acceso condicional basado en el estado del dispositivo, el filtrado de direcciones MAC o el estado del certificado junto con la identidad del usuario, implemente un dispositivo NAC intermedio (Aruba ClearPass, Cisco ISE o Portnox) para realizar el proxy de las solicitudes al agente de Okta RADIUS. El dispositivo NAC puede enriquecer la respuesta de RADIUS con atributos de túnel adicionales que el agente de Okta por sí solo no puede generar.

Supervise a través del registro del sistema de Okta. Cada evento de autenticación (éxito, fallo, desafío de MFA y tipo de factor) se registra en el registro del sistema de Okta. Configure la transmisión de registros a su SIEM para recibir alertas en tiempo real sobre anomalías de autenticación. Esto es especialmente valioso para las organizaciones del sector público y de Sanidad sujetas a requisitos de auditoría.

Rotar los secretos compartidos de forma programada. El secreto compartido entre la aplicación Okta RADIUS y su NAS es una credencial de seguridad fundamental. Implemente un programa de rotación (se recomienda trimestralmente) y actualice tanto la aplicación de Okta como la configuración de WLC/NAC simultáneamente.

Restringir las direcciones del servicio RADIUS. En la configuración del agente de Okta RADIUS, restrinja qué direcciones IP tienen permitido enviar solicitudes RADIUS. Esto evita que dispositivos NAS no autorizados intenten autenticarse contra su inquilino de Okta. For guidance on the broader network architecture context, see The Core SD WAN Benefits for Modern Businesses and Wireless Access Points Definition Your Ultimate 2026 Guide .

Troubleshooting & Risk Mitigation

The following table summarises the most common failure modes encountered in Okta RADIUS WiFi deployments and their recommended mitigations.

Failure Mode Root Cause Mitigation
Authentication Timeouts WLC RADIUS timeout too short for Okta API or MFA response Increase WLC RADIUS timeout to 30-60 seconds
Windows Clients Rejected Windows defaults to PEAP-MSCHAPv2, which Okta RADIUS rejects Push EAP-TTLS/PAP wireless profile via MDM or GPO
Users in Wrong VLAN Okta group name mismatch or missing tunnel attributes on WLC Verify WLC maps Class/Filter-Id to Tunnel-Private-Group-ID; check Okta System Log
Agent Unreachable Server offline, API token expired, or firewall blocking HTTPS to Okta Deploy redundant agents; monitor agent status in Okta Admin Console; verify outbound HTTPS
MFA Push Not Delivered User not enrolled in Okta Verify, or mobile device offline Enforce Okta Verify enrolment policy; consider TOTP as fallback
Certificate Validation Errors Client cannot validate RADIUS server certificate Pin server certificate CN in client wireless profile; ensure CA chain is trusted
VLAN Attributes Not Sent Okta group not included in RADIUS response configuration Verify group is listed in Advanced RADIUS Settings; confirm user is a member of the group in Okta

For Transport and public-sector environments where network uptime is mission-critical, implement synthetic monitoring that periodically tests RADIUS authentication end-to-end and alerts on failure before users are impacted.

ROI & Business Impact

The business case for Okta RADIUS WiFi authentication rests on three pillars: operational efficiency, security posture improvement, and compliance readiness.

Operational Efficiency. Consolidating WiFi authentication into Okta eliminates the need to maintain separate on-premises RADIUS infrastructure (NPS servers, local AD) at each venue or site. For a hotel chain with 50 properties, this can represent a significant reduction in per-site infrastructure costs and IT support overhead. User provisioning and deprovisioning become atomic: adding a user to the correct Okta group grants both application access and the appropriate WiFi VLAN access simultaneously. When an employee leaves, deactivating their Okta account immediately revokes WiFi access across all sites.

Security Posture. Replacing shared PSK WiFi passwords with per-user 802.1X authentication eliminates credential sharing, a common vector for insider threat and unauthorised access. Combined with dynamic VLAN assignment, this enforces the principle of least privilege at the network layer. The Okta System Log provides a complete, tamper-evident audit trail of every WiFi authentication event, which is essential for incident response.

Compliance Readiness. PCI DSS 4.0 Requirement 8.3 mandates MFA for all non-console administrative access. Requirement 1.3 requires network segmentation between the cardholder data environment and other networks. Okta RADIUS with group-based VLAN assignment directly addresses both requirements. For GDPR compliance, the Okta System Log provides the access records required to demonstrate appropriate technical controls over personal data processing systems. For venues deploying Modern Hospitality WiFi Solutions , this unified approach to identity and network access is increasingly a prerequisite for enterprise procurement.

Organisations that have completed this integration typically report a reduction in WiFi-related IT support tickets (fewer password reset requests, fewer VLAN misconfiguration incidents) and a measurable improvement in security audit scores. The investment in deploying and configuring the Okta RADIUS agent — typically measured in days rather than weeks for a single-site deployment — delivers ongoing operational savings that compound across a distributed estate.

Definiciones clave

Okta RADIUS Agent

Un servicio proxy ligero, alojado de forma local o en la nube, que traduce las solicitudes de autenticación RADIUS de la infraestructura de red (puntos de acceso, WLC) en llamadas a la API de Okta, lo que permite que la nube de Okta funcione como el backend de autenticación para WiFi 802.1X.

Los equipos de TI se encuentran con esto al desplegar la autenticación de WiFi corporativa respaldada por Okta. Es el componente puente crítico entre la infraestructura de red heredada basada en RADIUS y la identidad en la nube moderna.

802.1X

Un estándar IEEE para el Control de Acceso a la Red (NAC) basado en puertos que define un marco de autenticación para redes cableadas e inalámbricas. Utiliza el Protocolo de Autenticación Extensible (EAP) para transportar las credenciales de autenticación entre el suplicante (dispositivo), el autenticador (AP/switch) y el servidor de autenticación (RADIUS).

802.1X es la base de la seguridad WiFi corporativa. Cualquier despliegue que utilice WPA2-Enterprise o WPA3-Enterprise utiliza 802.1X. Los equipos de TI deben comprender el modelo de tres partes (suplicante, autenticador, servidor de autenticación) para solucionar problemas de conectividad.

EAP-TTLS (Extensible Authentication Protocol - Tunnelled Transport Layer Security)

Un método EAP que establece un túnel TLS utilizando únicamente un certificado en el lado del servidor, y luego transporta un protocolo de autenticación interno más simple (como PAP) dentro del túnel. Esto protege las credenciales internas contra la interceptación, requiriendo únicamente la infraestructura de certificados en el lado del servidor.

EAP-TTLS con PAP es el protocolo recomendado para la autenticación WiFi de Okta RADIUS. Es más seguro que PAP por sí solo, pero no requiere certificados en el lado del cliente, lo que lo hace práctico para entornos BYOD y de dispositivos mixtos.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un método EAP que utiliza autenticación mutua basada en certificados: tanto el cliente como el servidor presentan certificados digitales. Es el método 802.1X más seguro, ya que proporciona una autenticación sin contraseñas y resistente al phishing.

EAP-TLS es el estándar de oro para entornos de dispositivos corporativos gestionados. Requiere una infraestructura PKI y un MDM para la distribución de certificados. El agente Okta RADIUS no es compatible de forma nativa con EAP-TLS; se requiere un servicio dedicado de PKI en la nube o RADIUS.

PAP (Password Authentication Protocol)

Un protocolo de autenticación simple que transmite nombres de usuario y contraseñas en texto plano. En el contexto de 802.1X, PAP se utiliza como el método de autenticación interno dentro de un túnel EAP-TTLS, donde la capa TLS externa proporciona el cifrado.

PAP es el principal mecanismo de autenticación compatible con el agente Okta RADIUS. Los equipos de TI deben comprender que PAP por sí solo no es seguro, pero PAP dentro de EAP-TTLS es aceptable para WiFi corporativa cuando el certificado del servidor se valida correctamente.

Dynamic VLAN Assignment

Una técnica de control de acceso a la red en la que un servidor RADIUS devuelve atributos de asignación de VLAN en el mensaje Access-Accept, lo que hace que el controlador inalámbrico o el switch ubiquen al cliente autenticado en una VLAN específica según su identidad o pertenencia a un grupo, en lugar de una VLAN estática por SSID.

La asignación dinámica de VLAN es esencial para la segmentación de red en entornos con múltiples roles (por ejemplo, separar los terminales de punto de venta de los dispositivos del personal general). Se configura devolviendo los atributos RADIUS 64, 65 y 81 en el mensaje Access-Accept.

RADIUS Attribute 25 (Class)

Un atributo RADIUS estándar utilizado para pasar datos de autorización arbitrarios desde el servidor de autenticación al NAS. Okta utiliza este atributo para devolver información de pertenencia a grupos de Okta al controlador inalámbrico, que luego puede usarla para la asignación de VLAN o para decisiones de políticas de acceso.

Los equipos de TI que configuren la asignación de VLAN basada en grupos de Okta configurarán el WLC para leer el valor del atributo Class y asignarlo a un ID de VLAN. El atributo exacto a utilizar (11, 25 o 26) depende de la documentación del fabricante del WLC.

NAS (Network Access Server)

En la terminología de RADIUS, el NAS es el dispositivo de red que recibe la solicitud de conexión del usuario y la reenvía al servidor RADIUS para su autenticación. En despliegues WiFi, el NAS suele ser el punto de acceso inalámbrico o el controlador de LAN inalámbrica.

El NAS es el autenticador en el modelo 802.1X. Los equipos de TI deben configurar el NAS con la dirección IP del servidor RADIUS, el puerto y el secreto compartido. La dirección IP del NAS debe incluirse en la lista de permitidos en la configuración de filtrado de direcciones de servicio del agente Okta RADIUS.

Shared Secret

Una contraseña precompartida utilizada para autenticar los mensajes RADIUS entre el NAS (WLC/AP) y el servidor RADIUS (agente Okta RADIUS). Se utiliza para calcular un hash Message-Authenticator que verifica la integridad de los paquetes RADIUS.

El secreto compartido debe ser idéntico tanto en la configuración de la aplicación Okta RADIUS como en la entrada del servidor RADIUS del WLC/NAC. Debe tener al menos 32 caracteres, generarse de forma aleatoria y rotarse periódicamente. Una discrepancia es una causa común de fallos de autenticación RADIUS.

MFA Challenge (RADIUS Access-Challenge)

Un tipo de mensaje RADIUS enviado por el servidor de autenticación al NAS cuando se requieren factores de autenticación adicionales. El NAS retransmite el desafío al cliente, que debe responder con el factor adecuado (por ejemplo, OTP, aprobación push) antes de que pueda completarse la autenticación.

El mecanismo Access-Challenge es la forma en que Okta aplica MFA sobre RADIUS. Los equipos de TI deben asegurarse de que el WLC admita el intercambio de desafío-respuesta y de que el tiempo de espera de RADIUS sea lo suficientemente largo para que el usuario complete el paso de MFA.

Ejemplos prácticos

Una cadena hotelera de 150 propiedades utiliza actualmente servidores NPS locales en cada propiedad para la autenticación WiFi del personal mediante 802.1X. Cada servidor NPS está unido a un dominio local de Active Directory. El equipo de TI quiere centralizar la gestión de identidades en Okta y eliminar la infraestructura NPS por propiedad. ¿Cómo deberían abordar la migración?

El enfoque recomendado es una migración por fases utilizando el agente RADIUS de Okta desplegado en una VPC en la nube centralizada en lugar de en cada propiedad. Fase 1: Desplegar dos instancias del agente RADIUS de Okta en una VPC en la nube (por ejemplo, AWS o Azure) en la misma región que la mayoría de las propiedades. Configurar los agentes para escuchar en el puerto UDP 1812. Fase 2: Para cada propiedad, añadir las IP del agente RADIUS de Okta como servidores RADIUS secundarios en el WLC, manteniendo el NPS existente como primario. Esto permite el funcionamiento y las pruebas en paralelo sin interrumpir la autenticación en vivo. Fase 3: Migrar los usuarios de AD local a Okta. Utilizar el agente de AD de Okta para sincronizar las cuentas existentes inicialmente, y luego pasar progresivamente a Okta como fuente autoritativa. Fase 4: Para cada propiedad, configurar el WLC para usar EAP-TTLS/PAP y enviar el nuevo perfil inalámbrico a los dispositivos del personal a través de MDM. Fase 5: Una vez que se confirme que todos los dispositivos están en EAP-TTLS, cambiar la prioridad RADIUS del WLC a los agentes de Okta como primarios y desmantelar los servidores NPS. Configurar los grupos de Okta (Front-Desk, Housekeeping, F&B, Management, IT-Admins) y habilitar la asignación de VLAN basada en grupos utilizando el Atributo 25 (Class). Mapear cada grupo a la VLAN adecuada en el WLC. Aumentar el tiempo de espera (timeout) de RADIUS en el WLC a 45 segundos para absorber la latencia de la API de Okta.

Comentario del examinador: Se prefiere este enfoque por fases porque elimina el riesgo de una transición drástica simultánea en 150 propiedades. Ejecutar NPS y el RADIUS de Okta en paralelo durante el período de transición significa que cualquier configuración incorrecta puede detectarse y corregirse sin afectar a los usuarios activos. El despliegue de los agentes RADIUS en una VPC en la nube es arquitectónicamente superior al despliegue por propiedad porque centraliza la gestión, reduce la huella de infraestructura y garantiza una aplicación de políticas coherente independientemente de la propiedad desde la que se autentique el usuario. El riesgo clave a mitigar es la latencia WAN entre la propiedad y la VPC en la nube: la autenticación RADIUS debe completarse en menos de 2 segundos para ofrecer una buena experiencia de usuario, por lo que la selección de la región de la VPC debe minimizar el tiempo de ida y vuelta (RTT).

Una cadena de tiendas de distribución nacional con 320 establecimientos necesita cumplir con la norma PCI DSS 4.0 para la WiFi de su personal. Los empleados de las tiendas utilizan dispositivos portátiles para la gestión de inventario, y otro conjunto de dispositivos gestiona las transacciones de los puntos de venta. La cadena utiliza Okta para toda la identidad de la plantilla. ¿Cómo implementan la segmentación de VLAN utilizando el RADIUS de Okta para cumplir con los requisitos de segmentación de red de PCI DSS?

Crear tres grupos en Okta: POS-Staff (para los empleados que operan terminales de punto de venta), Inventory-Staff (para los asociados de almacén y tienda) y Store-Management. En la aplicación RADIUS de Okta, habilitar "Include groups in RADIUS response" y seleccionar el Atributo 25 (Class). Añadir los tres grupos a la configuración de respuesta. En el controlador inalámbrico de cada tienda (o de forma centralizada a través de un WLC en la nube), crear tres políticas de aplicación: (1) Si Class = POS-Staff, asignar Tunnel-Private-Group-ID = 40 (la VLAN de POS, que está dentro del alcance de PCI DSS y tiene reglas de firewall que restringen el acceso únicamente al procesador de pagos). (2) Si Class = Inventory-Staff, asignar Tunnel-Private-Group-ID = 50 (la VLAN de inventario, fuera del alcance de PCI). (3) Si Class = Store-Management, asignar Tunnel-Private-Group-ID = 60 (la VLAN de gestión con acceso a los sistemas de administración de la tienda). Los dispositivos que se conecten con las credenciales de un usuario del grupo POS-Staff se ubican automáticamente en la VLAN 40. Si el rol de un empleado cambia, la actualización de su pertenencia al grupo de Okta modifica inmediatamente su asignación de VLAN en la siguiente conexión, sin necesidad de reconfigurar el WLC. Documentar el mapeo de grupo de Okta a VLAN en el diagrama de segmentación de red para la auditoría QSA de PCI DSS.

Comentario del examinador: Esta implementación cumple directamente con el Requisito 1.3 (segmentación de red) y el Requisito 7 (control de acceso basado en la necesidad del negocio) de PCI DSS 4.0. El aspecto fundamental es que la asignación de VLAN se basa en la identidad, no en la dirección MAC del dispositivo ni en una configuración de VLAN estática, lo que significa que escala a través de las 320 tiendas sin necesidad de mantener políticas de VLAN por tienda. El QSA querrá ver pruebas de que la VLAN de POS está realmente aislada de otros segmentos de red, por lo que las configuraciones del WLC y del firewall deben reflejar los límites de la VLAN. El System Log de Okta proporciona la pista de auditoría de autenticación requerida por el Requisito 10 de PCI DSS (registro y monitorización). Una advertencia importante: si los dispositivos POS no están gestionados o son compartidos (es decir, no están asignados a un usuario específico), considere utilizar MAC Authentication Bypass (MAB) para esos dispositivos en lugar de 802.1X, utilizando el RADIUS de Okta únicamente para los dispositivos autenticados por usuario.

Preguntas de práctica

Q1. Un centro de conferencias de tamaño mediano utiliza Okta para la gestión de identidades de todo el personal. Quieren implementar WiFi 802.1X para el personal utilizando sus puntos de acceso Cisco Meraki existentes. Sus portátiles Windows se gestionan a través de Microsoft Intune. El responsable de TI quiere exigir la autenticación push de Okta Verify MFA para todas las conexiones WiFi. ¿Cuáles son los tres pasos de configuración más críticos que deben completar y cuál es el modo de fallo más probable si omiten alguno de ellos?

Sugerencia: Considere la compatibilidad del protocolo EAP entre Okta RADIUS y los valores predeterminados de Windows, la configuración del tiempo de espera (timeout) de RADIUS y la configuración del perfil inalámbrico del cliente.

Ver respuesta modelo

Los tres pasos críticos son: (1) Implementar un perfil inalámbrico a través de Intune que configure los clientes Windows para usar EAP-TTLS con PAP como método interno (Windows utiliza por defecto PEAP-MSCHAPv2, que el agente Okta RADIUS no admite, lo que provocaría el rechazo de todos los intentos de autenticación). (2) Aumentar el tiempo de espera de Cisco Meraki RADIUS desde los 5 segundos predeterminados a al menos 45-60 segundos; sin esto, la solicitud de autenticación expirará antes de que el usuario pueda aprobar la notificación push de Okta Verify. (3) Habilitar "Permit Automatic Push for Okta Verify Enrolled Users" en la configuración avanzada de RADIUS de la aplicación Okta RADIUS; sin esto, se podría solicitar a los usuarios que seleccionen manualmente su factor MFA en lugar de recibir un push automático. El modo de fallo más probable si se omite el paso 1 es un fallo completo de autenticación para todos los dispositivos Windows. Si se omite el paso 2, la autenticación fallará de forma intermitente para los usuarios que tarden más de 5 segundos en aprobar el push. Si se omite el paso 3, los usuarios verán una pantalla de solicitud confusa en lugar de una notificación push fluida.

Q2. El equipo de seguridad de una gran cadena de tiendas ha detectado que su despliegue actual de Okta RADIUS WiFi utiliza un único servidor de agente RADIUS. Durante una ventana de mantenimiento reciente, el servidor estuvo fuera de línea durante 45 minutos, lo que provocó fallos en la autenticación WiFi en las 80 tiendas. ¿Qué cambios de arquitectura debería implementar el equipo de TI para evitar esto y cuáles son las dos opciones de despliegue para los agentes?

Sugerencia: Considere tanto la topología de despliegue de los agentes como la configuración del WLC necesaria para admitir la redundancia.

Ver respuesta modelo

El equipo de TI debería implementar un mínimo de dos instancias del agente Okta RADIUS y configurar el WLC de cada tienda para utilizar ambos agentes. Existen dos opciones de despliegue: Opción A (VM en la nube centralizadas): desplegar ambos agentes en una VPC en la nube (por ejemplo, AWS o Azure), idealmente en diferentes zonas de disponibilidad. El WLC de cada tienda apunta a ambas IP de la nube, una como principal y otra como secundaria (o con el equilibrio de carga activado). Esto minimiza la infraestructura por sitio pero introduce dependencia de la red WAN. Opción B (Par redundante local): desplegar dos servidores de agentes en un centro de datos central o instalación de coubicación, con el WLC utilizando la conmutación por error (failover) de RADIUS. En el WLC, configure el servidor RADIUS primario como Agente 1 y el secundario como Agente 2, con un tiempo de espera de conmutación por error de 3-5 segundos. Habilite "Dead Server Detection" si el proveedor del WLC lo admite. Además, el equipo de TI debería configurar la monitorización de estado en la consola de administración de Okta y establecer alertas si un agente se desconecta. Para las tiendas con servidores locales, un agente local puede servir como tercer respaldo para garantizar la resiliencia frente a cortes de la WAN.

Q3. Una organización empresarial está evaluando si utilizar el agente Okta RADIUS con EAP-TTLS/PAP o invertir en una solución PKI en la nube para EAP-TLS para su WiFi corporativa. Tienen 2.000 dispositivos Windows y macOS gestionados e inscritos en Microsoft Intune, y están sujetos a PCI DSS 4.0. ¿Cuál es el enfoque recomendado y cuál es la principal justificación de seguridad?

Sugerencia: Considere los requisitos de PCI DSS, la madurez de la gestión de dispositivos (todos los dispositivos están registrados en MDM) y las propiedades de seguridad de cada método de autenticación.

Ver respuesta modelo

El enfoque recomendado es invertir en EAP-TLS con una solución PKI en la nube. La principal justificación de seguridad es la autenticación mutua: EAP-TLS requiere que tanto el cliente como el servidor RADIUS presenten certificados digitales, lo que significa que el dispositivo demuestra criptográficamente su identidad ante la red y la red demuestra su identidad ante el dispositivo. Esto elimina el riesgo de ataques de tipo "evil twin" (donde un AP no autorizado suplanta el SSID corporativo) y elimina por completo las contraseñas de la ecuación de autenticación WiFi, suprimiendo el robo de credenciales y el phishing como vectores de ataque. Para PCI DSS 4.0, EAP-TLS cumple implícitamente con el Requisito 8.3 (MFA para acceso administrativo que no sea de consola) mediante la autenticación basada en certificados, y admite el modo WPA3-Enterprise de 192 bits (Requisito 4.2.1 para criptografía fuerte). El prerrequisito (los 2.000 dispositivos inscritos en Intune) ya se cumple, lo que facilita la distribución de certificados a través de perfiles SCEP de Intune. El agente Okta RADIUS con EAP-TTLS/PAP sería una solución provisional aceptable durante la creación de la PKI, pero dado el alcance de PCI DSS y el parque de dispositivos totalmente gestionados, EAP-TLS es la arquitectura correcta a largo plazo. La inversión adicional en un servicio PKI en la nube (normalmente entre 3 y 8 dólares por dispositivo al año) está justificada por la mejora de la seguridad y la reducción de la carga de gestión de credenciales.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para captive portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multiinquilino mediante Ruckus Dynamic PSK.

Leer la guía →

Integración de puntos de acceso Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los puntos de acceso de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección externa de Captive Portal, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves precompartidas privadas (PPSK) para despliegues multiinquilino seguros.

Leer la guía →

Integración de los puntos de acceso Grandstream GWN con Purple WiFi

Esta guía técnica de referencia autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración de walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multiinquilino, proporcionando una guía práctica paso a paso para MSP e instalaciones de TI que desplieguen WiFi para invitados y personal a gran escala.

Leer la guía →