Okta and RADIUS: Extending Your Identity Provider to WiFi Authentication

Esta guía proporciona una referencia técnica completa para los administradores de TI en organizaciones centradas en Okta que desean extender su proveedor de identidad en la nube a la autenticación de WiFi utilizando el agente Okta RADIUS. Cubre la arquitectura de autenticación completa, las compensaciones de la aplicación de MFA, la asignación dinámica de VLAN a través del mapeo de atributos RADIUS y la decisión crítica entre EAP-TTLS basado en contraseñas y EAP-TLS basado en certificados. Los operadores de recintos y los equipos de TI empresariales encontrarán una guía de implementación práctica, casos de estudio del mundo real de la industria hotelera y de retail, y un marco claro para integrar Okta RADIUS junto con soluciones dedicadas de WiFi para invitados.

📖 11 min de lectura📝 2,672 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 10 definiciones clave

Escucha esta guía

Ver transcripción del podcast

Bienvenido al Technical Briefing de Purple. Hoy nos sumergiremos en un tema que se encuentra justo en la intersección de la arquitectura de red y la gestión de identidades: Okta y RADIUS para la autenticación de WiFi. Si eres un gerente de TI, un arquitecto de red o un director de operaciones de un establecimiento, ya conoces el dolor de cabeza que representa gestionar credenciales separadas para el acceso a la red. Tienes tu directorio de Okta para aplicaciones en la nube, pero tal vez tu WiFi todavía depende de un servidor Active Directory heredado o, peor aún, de una contraseña WPA2 compartida y pegada en la pared de la sala de descanso. Hoy vamos a ver cómo cerrar esa brecha utilizando el agente Okta RADIUS. Cubriremos la arquitectura, cómo manejar la autenticación multifactor en WiFi, las compensaciones críticas entre la autenticación basada en contraseñas y la basada en certificados, y cómo mapear grupos de Okta a atributos de RADIUS para la asignación dinámica de VLAN. Comencemos.

Empecemos con la arquitectura. ¿Cómo funciona realmente el agente Okta RADIUS? El agente Okta RADIUS es una aplicación ligera que se implementa de forma local (generalmente en un servidor Windows o Linux) o en una máquina virtual en la nube. Actúa como un proxy. Se ubica entre tu infraestructura de red, como tus puntos de acceso inalámbricos o tu controlador de LAN inalámbrica, y la nube de Okta. Cuando un usuario intenta conectarse a tu WiFi empresarial 802.1X, su dispositivo envía las credenciales al punto de acceso. El punto de acceso, que actúa como lo que llamamos el autenticador en el modelo 802.1X, reenvía una solicitud RADIUS Access-Request al agente Okta RADIUS a través del puerto UDP 1812. El agente toma esa solicitud y la canaliza de forma segura a la nube de Okta mediante una llamada de API HTTPS. Okta valida las credenciales, comprueba las políticas de inicio de sesión y devuelve una decisión. Luego, el agente traduce eso de vuelta en un mensaje RADIUS Access-Accept o Access-Reject para el punto de acceso. Es una forma inteligente de extender tu proveedor de identidad en la nube hasta el borde de la red local sin exponer tu directorio directamente a Internet.

Ahora, la gran pregunta que todos se hacen: ¿Se puede exigir el MFA de Okta en las conexiones WiFi? La respuesta corta es sí, pero con advertencias importantes. El agente RADIUS de Okta es compatible principalmente con el Protocolo de Autenticación de Contraseñas, o PAP. Debido a que PAP envía la contraseña en texto claro, esta se encapsula y protege mediante el túnel TLS externo del protocolo EAP, que significa Protocolo de Autenticación Extensible. Esta configuración permite al agente gestionar los desafíos de MFA. Puede configurar Okta para enviar una notificación de Okta Verify al teléfono del usuario, o pedirle que agregue un código TOTP (una contraseña de un solo uso basada en el tiempo) a su contraseña. Sin embargo, aquí es donde la experiencia del usuario choca con la seguridad. Imagine pedirle a un empleado de una tienda minorista que apruebe una notificación push cada vez que su teléfono se reconecte al WiFi del personal mientras camina por la tienda. Esto genera fricción. Además, muchos dispositivos modernos interrumpirán la conexión WiFi si el desafío de MFA tarda demasiado. Por lo tanto, aunque el MFA en WiFi es técnicamente posible y compatible con Okta, generalmente lo recomendamos solo para accesos con privilegios elevados, como los SSID de administración de TI, en lugar del WiFi del personal general.

Esto nos lleva a la compensación crítica: RADIUS basado en contraseñas con Okta frente a la autenticación basada en certificados, específicamente EAP-TLS. Cuando utiliza el agente RADIUS de Okta con EAP-TTLS o PAP, depende de contraseñas. Las contraseñas se pueden robar, pescar (phishing) o compartir. Además, como acabamos de analizar, agregar MFA al WiFi es poco práctico en la vida real. Por otro lado, EAP-TLS utiliza certificados digitales implementados en el dispositivo del usuario. Proporciona autenticación mutua: el dispositivo demuestra su identidad a la red y la red demuestra su identidad al dispositivo. No hay contraseñas que escribir y es altamente resistente al phishing. ¿El inconveniente? El agente RADIUS de Okta no actúa de forma nativa como una Autoridad de Certificación. Si desea EAP-TLS, necesita una Infraestructura de Clave Pública, o PKI (soluciones como SecureW2, Foxpass o Microsoft Active Directory Certificate Services) y una solución de Gestión de Dispositivos Móviles para distribuir los certificados a sus endpoints. Okta aún puede ser el proveedor de identidad que autorice la emisión de certificados, pero el agente RADIUS en sí no hará el trabajo pesado para EAP-TLS. Para entornos BYOD, el RADIUS de Okta basado en contraseñas es rápido y fácil de implementar. Para dispositivos corporativos administrados, EAP-TLS es el estándar de oro.

Pasemos a una de las funciones más potentes: la asignación dinámica de VLAN. En un recinto grande (un hotel, un estadio, un centro de convenciones), usted no quiere que todo su personal esté en el mismo segmento de red. Desea que las terminales de punto de venta estén aisladas de las tabletas de limpieza, y que el personal de TI esté en una VLAN de administración. ¿Cómo se logra esto con Okta? Todo se reduce al mapeo de atributos RADIUS. En la Okta Admin Console, en la configuración de la aplicación RADIUS, puede habilitar una función llamada "Include groups in RADIUS response". Especifique qué grupos de Okta deben devolverse en la respuesta de autenticación. Okta pasa esta membresía de grupo de regreso a su controlador de red utilizando atributos RADIUS estándar, normalmente el Atributo 11 para Filter-ID, o el Atributo 25 para Class. Su controlador inalámbrico o sistema de Network Access Control, como Aruba ClearPass o Cisco ISE, recibe este nombre de grupo. Luego, configure una política local en el controlador que indique, por ejemplo, que si el Atributo RADIUS 25 es igual a Retail-POS, se asigne el cliente a la VLAN 40. El controlador envía los atributos de túnel estándar (Tunnel-Type, Tunnel-Medium-Type y Tunnel-Private-Group-ID) al punto de acceso, colocando dinámicamente al usuario en la VLAN correcta. Es una forma fluida de aplicar la segmentación de red basada puramente en la identidad de Okta, lo cual es enormemente potente para el cumplimiento de estándares como PCI DSS, que exige una segmentación de red estricta en torno a los entornos de datos de titulares de tarjetas.

Ahora veamos algunos escenarios de implementación del mundo real. Considere una cadena hotelera nacional con propiedades en todo el Reino Unido. Cada propiedad tiene una mezcla de personal de recepción, limpieza, alimentos y bebidas, y administración. Anteriormente, cada propiedad ejecutaba su propio servidor NPS con un Active Directory local. El equipo de TI dedicaba un tiempo considerable a administrar cuentas locales y a solucionar fallas de RADIUS. Al implementar el agente RADIUS de Okta en un par de máquinas virtuales redundantes en la nube, centralizar todas las cuentas de usuario en Okta y configurar la asignación de VLAN basada en grupos, la cadena redujo significativamente sus gastos generales de TI por propiedad. El personal de recepción se autentica con sus credenciales de Okta y se coloca automáticamente en la VLAN de servicios para huéspedes. El personal de administración, que se encuentra en un grupo de Okta diferente, aterriza en la VLAN de administración con acceso a los sistemas de gestión de la propiedad. Toda la configuración se administra desde una única Okta Admin Console, y el Okta System Log proporciona una pista de auditoría completa de cada evento de autenticación en todas las propiedades.

Un segundo escenario: una gran cadena de retail con más de 300 tiendas. Cada tienda tiene una red WiFi para el personal que se utiliza para la gestión de inventarios, terminales de punto de venta y operaciones de back-office. El cumplimiento de PCI DSS requiere una segmentación de red estricta entre el entorno de datos de los titulares de tarjetas y el acceso general del personal. Al integrar Okta RADIUS con su infraestructura inalámbrica existente, el retailer mapea los grupos de Okta (POS-Staff, Inventory-Staff y Store-Management) a tres VLAN distintas. Cuando un asociado de la tienda se conecta, su dispositivo se coloca automáticamente en la VLAN correcta según su pertenencia al grupo de Okta. Si un empleado cambia de rol, la actualización de su pertenencia al grupo de Okta cambia de inmediato su acceso a la red en su próxima conexión. Sin reglas de firewall que actualizar, sin configuraciones de VLAN que enviar a las tiendas individuales.

Ahora, cubramos las recomendaciones de implementación y los errores comunes. El primer error y el más común es ignorar la configuración de tiempo de espera (timeout). Las llamadas a la API de Okta toman tiempo, especialmente si se trata de una notificación push de MFA. Si el tiempo de espera de RADIUS de su controlador inalámbrico está configurado en el valor predeterminado de tres o cinco segundos, la solicitud expirará antes de que el usuario pueda tocar Aprobar en su teléfono. Debe aumentar el tiempo de espera de RADIUS en su WLC a al menos treinta o sesenta segundos. Este es un cambio de configuración en el lado de la red, no en Okta, y con frecuencia se pasa por alto. La segunda recomendación es la alta disponibilidad. Nunca implemente un solo agente Okta RADIUS. Implemente al menos dos agentes en servidores separados y configure su controlador inalámbrico para balancear la carga entre ellos. Si un servidor se cae por parches, su autenticación de WiFi se mantiene activa. El tercer error: tenga cuidado con PEAP. El agente Okta RADIUS no es compatible con PEAP-MSCHAPv2, que es el valor predeterminado para muchos entornos Windows más antiguos. Debe configurar sus clientes para usar EAP-TTLS con PAP. Esto generalmente requiere enviar un perfil inalámbrico a través de Directiva de grupo o MDM, porque Windows no se configura de forma predeterminada en EAP-TTLS fácilmente. No hacer esto es la razón número uno de las implementaciones fallidas.

Es hora de una sesión de preguntas y respuestas rápidas basada en las dudas comunes de los clientes. Pregunta uno: ¿Podemos usar Okta RADIUS para WiFi de invitados? Respuesta: No. Okta tiene un precio por usuario y está diseñado para la identidad de la fuerza laboral. Para el WiFi de invitados, debe utilizar una solución de Captive Portal diseñada específicamente para ello, la cual gestiona los términos de servicio, el inicio de sesión social y las analíticas sin consumir licencias de Okta. Pregunta dos: ¿Soporta Okta RADIUS YubiKeys para la autenticación de WiFi? Respuesta: Por lo general, no. Los tokens de hardware y WebAuthn no se traducen bien sobre el protocolo RADIUS. Utilice la notificación push de Okta Verify o TOTP si es obligatorio usar MFA en el WiFi. Pregunta tres: ¿Cómo interactúa esto con una implementación de Purple? Respuesta: Muy bien. Los clientes empresariales de Purple que utilizan Okta como su proveedor de identidad pueden usar Okta RADIUS para autenticar de forma segura el WiFi del personal, mientras utilizan el Captive Portal de Purple para el acceso de invitados en un SSID independiente. Esto posiciona a Purple junto a Okta en una pila de autenticación moderna y unificada: el personal en un SSID con Okta RADIUS y los invitados en otro con el portal de marca de Purple.

Para resumir la sesión de hoy: El agente Okta RADIUS es una herramienta potente para eliminar los directorios locales heredados y unificar su autenticación de WiFi en su proveedor de identidad en la nube. Soporta la asignación dinámica de VLAN para una segmentación de red robusta, lo cual es fundamental para el cumplimiento de PCI DSS y otros marcos de trabajo. Sin embargo, tenga en cuenta la experiencia del usuario si aplica MFA en el WiFi, y recuerde que para los dispositivos corporativos totalmente administrados, la migración a EAP-TLS basado en certificados con una PKI dedicada es la estrategia a largo plazo más segura. El agente Okta RADIUS es una excelente solución puente, particularmente para las organizaciones que se centran en Okta y desean extender rápidamente esa inversión en identidad a la capa de red. Eso es todo por esta sesión. Asegúrese de consultar la guía de referencia técnica completa para conocer los pasos detallados de configuración, los diagramas de arquitectura y los ejemplos prácticos. Hasta la próxima, mantenga sus redes seguras y a sus usuarios conectados.

Puntos clave

✓El agente Okta RADIUS actúa como proxy para las solicitudes de autenticación WiFi 802.1X desde la infraestructura de red hacia la nube de Okta a través de HTTPS, lo que permite que la identidad en la nube controle el acceso a la red sin servidores de directorio locales.
✓El agente es compatible con EAP-TTLS con PAP y EAP-GTC, pero NO es compatible con PEAP-MSCHAPv2 (el valor predeterminado de Windows) ni con EAP-TLS; los suplicantes del cliente deben reconfigurarse a través de MDM o GPO antes de la implementación.
✓MFA en WiFi es técnicamente compatible (Okta Verify push, TOTP, SMS) pero requiere aumentar el tiempo de espera de RADIUS en el WLC a 30-60 segundos; es mejor reservarlo para SSIDs administrativos en lugar de WiFi para el personal general debido a la fricción de roaming.
✓La asignación dinámica de VLAN se logra habilitando 'Include groups in RADIUS response' en Okta y mapeando la Clase devuelta (Atributo 25) o Filter-Id (Atributo 11) a los atributos de túnel VLAN (64, 65, 81) en el WLC o dispositivo NAC.
✓Implemente siempre un mínimo de dos instancias del agente Okta RADIUS para alta disponibilidad; un solo agente es un punto crítico único de falla para toda la autenticación WiFi en toda la infraestructura.
✓Para entornos de dispositivos totalmente administrados sujetos a PCI DSS o requisitos de alta seguridad, EAP-TLS con una PKI en la nube es la arquitectura superior a largo plazo; Okta RADIUS con EAP-TTLS/PAP es la opción pragmática para escenarios de BYOD o de implementación rápida.
✓Okta RADIUS es una herramienta de identidad laboral; implemente una solución de Captive Portal de WiFi para invitados dedicada para el acceso de visitantes para evitar costos de escalamiento de licencias de Okta y mantener una separación clara entre el acceso a la red del personal y de los invitados.

Resumen Ejecutivo

Para los equipos de TI empresariales que gestionan recintos distribuidos —desde cadenas hoteleras hasta estadios—, unificar el control de acceso a la red con un proveedor de identidad en la nube es un paso crítico hacia Zero Trust. El agente Okta RADIUS cierra la brecha entre la identidad en la nube moderna y la infraestructura WiFi 802.1X tradicional, lo que permite a las organizaciones retirar los servidores RADIUS locales heredados y la infraestructura de Active Directory para la autenticación de red.

Esta guía detalla cómo implementar el agente Okta RADIUS para la autenticación WiFi empresarial, abarcando la arquitectura de proxy, los mecanismos de aplicación de MFA y las ventajas y desventajas entre EAP-TTLS basado en contraseñas y EAP-TLS basado en certificados. También proporciona orientación práctica sobre cómo mapear las membresías de grupos de Okta a atributos RADIUS para la asignación dinámica de VLAN, una capacidad que respalda directamente los requisitos de segmentación de red de PCI DSS. Al integrar Okta para la autenticación del personal junto con las soluciones de Guest WiFi , los operadores de recintos pueden lograr una capa de acceso unificada, segura y conforme a las normas sin duplicar la infraestructura de identidad.

Análisis Técnico Detallado

Cómo Funciona el Agente Okta RADIUS

El agente Okta RADIUS es un servicio de sistema ligero que actúa como un proxy entre los Servidores de Acceso a la Red (NAS) —como los puntos de acceso inalámbrico (WAP) o los controladores de LAN inalámbrica (WLC)— y la nube de Okta. Por lo general, se implementa en un servidor Windows o Linux de forma local o dentro de una VPC en la nube, y se gestiona por completo desde la consola de administración de Okta después de la instalación inicial.

El flujo de autenticación sigue un modelo de proxy 802.1X estándar. El dispositivo de un usuario (el suplicante) se conecta a un SSID empresarial y presenta sus credenciales. El WAP o WLC (el autenticador) reenvía una solicitud RADIUS Access-Request al agente Okta RADIUS a través del puerto UDP 1812. El agente canaliza de forma segura esta solicitud a la nube de Okta mediante una llamada a la API HTTPS, donde el motor de políticas de Okta evalúa las credenciales frente a su directorio de usuarios y cualquier política de inicio de sesión configurada. Si la autenticación tiene éxito, el agente devuelve un mensaje RADIUS Access-Accept al autenticador, incluyendo opcionalmente atributos RADIUS para la autorización, como la asignación de VLAN. Si se requiere MFA, el agente envía un mensaje RADIUS Access-Challenge de vuelta al cliente, solicitando un segundo factor antes de que se devuelva la decisión final.

Este modelo de proxy significa que el agente Okta RADIUS no necesita almacenar las credenciales de los usuarios de forma local. Toda la lógica de autenticación, la evaluación de políticas y el registro de auditoría ocurren en la nube de Okta, lo que brinda a los administradores un panel de control único para la gobernanza de la identidad tanto en las aplicaciones en la nube como en el acceso a la red.

Protocolos EAP compatibles y limitaciones críticas

Una restricción arquitectónica fundamental del agente Okta RADIUS es su dependencia del Protocolo de autenticación de contraseña (PAP) para la autenticación primaria. Aunque PAP transmite contraseñas en texto plano en la capa interna, esto se encapsula y protege mediante el túnel TLS externo del Protocolo de autenticación extensible (EAP). Los protocolos externos compatibles son EAP-TTLS (con PAP como método interno) y EAP-GTC. Para una comparación más detallada de los métodos EAP, consulte la guía de referencia Comparativa de métodos EAP: PEAP, EAP-TLS, EAP-TTLS y EAP-FAST .

Es fundamental destacar que PEAP-MSCHAPv2 no es compatible. Este es el protocolo 802.1X predeterminado para clientes Windows y muchos entornos empresariales heredados. Las organizaciones que migren de una configuración tradicional de NPS/Active Directory RADIUS deben reconfigurar sus suplicantes de cliente para usar EAP-TTLS con PAP, un cambio que normalmente requiere un perfil inalámbrico distribuido a través de MDM o directivas de grupo. No tener esto en cuenta es la causa más común de fallas en las implementaciones de Okta RADIUS.

EAP-TLS, que se basa completamente en la autenticación mutua basada en certificados, tampoco es compatible de forma nativa con el agente Okta RADIUS. Las organizaciones que requieran EAP-TLS deben implementar una PKI dedicada o una solución RADIUS en la nube que se integre con Okta como IdP a través de SAML o OIDC, en lugar de usar el agente Okta RADIUS directamente.

Aplicación de MFA en conexiones WiFi

El agente Okta RADIUS admite MFA para el acceso a WiFi, pero introduce desafíos en la experiencia del usuario que deben considerarse cuidadosamente antes de la implementación. Cuando se activa una política de MFA, el agente envía un Access-Challenge de RADIUS al cliente. Okta admite varios factores para las aplicaciones RADIUS:

Factor MFA	PAP	EAP-TTLS	Notas
Okta Verify Push	Compatible	Compatible	Enviado fuera de banda; el usuario toca Aprobar en el móvil
TOTP (Okta Verify / Google Auth)	Compatible	Compatible	El usuario añade el OTP a la contraseña (p. ej., `Pass123,456789`)
SMS / Correo electrónico / Voz	Compatible	Compatible	El usuario envía primero la cadena de activación (SMS, EMAIL, CALL)
Duo Push / SMS / Código de acceso	Compatible	Compatible	Código de acceso Duo solo para EAP-TTLS
YubiKey / U2F / Windows Hello	No compatible	No compatible	Los tokens de hardware son incompatibles con el protocolo RADIUS

La restricción práctica es el roaming. En entornos de Hospitality , la tableta de un empleado de limpieza puede realizar roaming entre puntos de acceso docenas de veces por turno, lo que activa la autenticación cada vez. Requerir la aprobación de una notificación push en cada roaming es operativamente inviable. Para el WiFi del personal general, se suelen preferir políticas de contraseñas sólidas combinadas con la confianza del dispositivo de Okta y las políticas de zona de red, en lugar de solicitudes activas de MFA. El MFA en WiFi debe reservarse para SSIDs administrativos o escenarios de acceso de altos privilegios.

Autenticación basada en contraseñas frente a autenticación basada en certificados

La elección entre RADIUS basado en contraseñas (a través del agente Okta RADIUS) y EAP-TLS basado en certificados es una de las decisiones más trascendentales en un despliegue de WiFi empresarial. Las ventajas y desventajas no se limitan a la seguridad; involucran la complejidad del despliegue, la madurez de la gestión de dispositivos y la carga operativa.

La autenticación basada en contraseñas a través del agente Okta RADIUS ofrece un camino rápido hacia la identidad unificada. Si su organización ya gestiona usuarios en Okta, el despliegue se puede completar en horas en lugar de semanas. No hay PKI que construir, ni certificados que distribuir, ni dependencia de MDM. La desventaja es que las contraseñas siguen siendo la credencial principal, y la ausencia de autenticación mutua significa que el cliente no puede verificar criptográficamente la identidad de la red, lo que representa un vector para ataques de "evil twin" en entornos de alto riesgo.

EAP-TLS basado en certificados elimina por completo las contraseñas de la ecuación de autenticación WiFi. El cliente presenta un certificado de dispositivo y el servidor RADIUS presenta un certificado de servidor, proporcionando autenticación mutua. Este es el enfoque recomendado para IEEE 802.1X en redes WPA3-Enterprise, particularmente en entornos sujetos a PCI DSS o NCSC Cyber Essentials Plus. El prerrequisito es una PKI en funcionamiento (ya sea un despliegue local de Microsoft ADCS o un servicio de PKI en la nube) y una plataforma MDM capaz de distribuir certificados a todos los endpoints gestionados. Para entornos de Retail con cientos de dispositivos de punto de venta gestionados, esta inversión está plenamente justificada. Para entornos con un alto uso de BYOD o despliegues rápidos, Okta RADIUS con EAP-TTLS es la opción pragmática.

Mapeo de Atributos RADIUS para Asignación Dinámica de VLAN

La asignación dinámica de VLAN es donde la integración de Okta RADIUS aporta su valor operativo más tangible. Al mapear la pertenencia a grupos de Okta con los atributos de RADIUS, los administradores de red pueden aplicar una segmentación de red basada en roles sin tener que mantener políticas de VLAN separadas por dispositivo o por ubicación.

Okta transmite los datos de pertenencia a grupos en el mensaje Access-Accept de RADIUS utilizando uno de tres atributos, configurables en la Configuración Avanzada de RADIUS de la aplicación Okta:

Atributo 11 (Filter-Id): Un atributo de cadena que contiene el nombre del grupo. Ampliamente compatible entre diversos proveedores.
Atributo 25 (Class): Un atributo opaco utilizado para la autorización. Compatible con Cisco ISE, Aruba ClearPass y Fortinet.
Atributo 26 (Vendor-Specific): Permite subatributos específicos del proveedor para un control más granular.

El controlador de red (WLC, dispositivo NAC) recibe el nombre del grupo de Okta en el atributo seleccionado y lo mapea con los atributos de túnel RADIUS estándar requeridos para la asignación de VLAN:

Atributo RADIUS	Valor	Propósito
64 (Tunnel-Type)	13 (VLAN)	Especifica el tunelizado de VLAN
65 (Tunnel-Medium-Type)	6 (802)	Especifica el medio IEEE 802
81 (Tunnel-Private-Group-ID)	ej., `40`	El ID de VLAN de destino

Por ejemplo, un usuario en el grupo de Okta Retail-POS-Staff tendría Class: Retail-POS-Staff devuelto en el Access-Accept. La política del WLC mapearía esto a Tunnel-Private-Group-ID: 40, colocando al dispositivo en la VLAN 40 — la red POS aislada. Un usuario en Store-Management se colocaría en la VLAN 50. Esta lógica se aplica en el borde de la red, no en Okta, pero es impulsada completamente por la pertenencia al grupo de Okta.

Guía de Implementación

Paso 1: Implementar el Agente RADIUS de Okta (Alta Disponibilidad)

Implemente el agente RADIUS de Okta en un mínimo de dos servidores — ya sea de forma local o en una VPC en la nube — para garantizar la alta disponibilidad. Las implementaciones de un solo agente representan un riesgo crítico: si el servidor no está disponible para parches o experimenta una falla, toda la autenticación WiFi 802.1X fallará en toda la infraestructura. Configure su WLC o dispositivo NAC para balancear la carga de las solicitudes RADIUS entre ambos agentes.

Durante la instalación, el agente solicitará un inicio de sesión de administrador de Okta para autorizar el agente y vincularlo al tenant de Okta. Una vez autorizado, el agente aparece en la Consola de Administración de Okta en Settings > Downloads > RADIUS Agent Status, donde se puede monitorear el estado de salud y la conectividad.

Paso 2: Configurar la Aplicación RADIUS en Okta

En la Consola de Administración de Okta, navegue a Applications > Applications y busque en el catálogo de aplicaciones RADIUS Application.
Agregue la aplicación, asígnele un nombre descriptivo (ej., Corporate-WiFi-Staff) y haga clic en Next.
En la pestaña Sign On, configure el RADIUS Port (por defecto 1812) y genere un Shared Secret fuerte y aleatorio de al menos 32 caracteres.
En Advanced RADIUS Settings, habilite Accept password and security token in the same login request si tiene la intención de admitir TOTP anexado a las contraseñas.
Opcionalmente, habilite Permit Automatic Push for Okta Verify Enrolled Users para una MFA fluida basada en push.
Asigne la aplicación a los grupos de Okta relevantes que representan a su personal.

Paso 3: Configurar la Asignación de VLAN Basada en Grupos

En la configuración de Sign On de la aplicación RADIUS, haga clic en Edit en la sección Advanced RADIUS Settings.
Marque Include groups in RADIUS response.
Seleccione el atributo RADIUS: se recomienda 25 Class para entornos Aruba y Cisco; 11 Filter-Id para Fortinet y otros.
Agregue los nombres de los grupos de Okta específicos a incluir (ej., Retail-POS-Staff, Store-Management, IT-Admins).
En su WLC o dispositivo NAC, cree políticas de cumplimiento que mapeen cada nombre de grupo a los atributos de túnel VLAN correspondientes.

Paso 4: Configurar los Suplicantes del Cliente

Debido a que PEAP-MSCHAPv2 no es compatible, los dispositivos cliente deben configurarse para usar EAP-TTLS con PAP como método interno. Implemente un perfil de red inalámbrica a través de su plataforma MDM (por ejemplo, Microsoft Intune, Jamf Pro) o mediante Objetos de Directiva de Grupo (GPO) para dispositivos unidos al dominio de Windows. El perfil debe especificar:

SSID: El nombre de su SSID empresarial
Seguridad: WPA2-Enterprise o WPA3-Enterprise
Método EAP: EAP-TTLS
Autenticación interna: PAP
Validación de certificado de servidor: Habilitada (anclada al CN del certificado de servidor de su agente RADIUS)

Paso 5: Configurar tiempos de espera de RADIUS

Aumente el tiempo de espera de RADIUS en su WLC de los 3-5 segundos predeterminados a 30-60 segundos. Esto es fundamental si se utilizan notificaciones push de MFA, ya que el usuario debe tener tiempo suficiente para aprobar la notificación en su dispositivo antes de que el WLC abandone el intento de autenticación.

Mejores prácticas

Implementar Okta RADIUS para la autenticación de WiFi es sencillo, pero varias mejores prácticas operativas diferencian una implementación de producción resistente de una prueba de concepto frágil.

Segmente el tráfico de invitados y del personal a nivel de SSID. Okta RADIUS es una herramienta de identidad para la fuerza laboral. Para el acceso de visitantes e invitados, implemente una solución de Captive Portal dedicada. Esto evita que los costos de licencia de Okta aumenten con el volumen de invitados y garantiza una separación clara de funciones. Los clientes empresariales de Purple pueden implementar Guest WiFi en un SSID independiente mientras usan Okta RADIUS para la autenticación del personal en la misma infraestructura física.

Utilice un dispositivo NAC para entornos de políticas complejos. Si su entorno requiere acceso condicional basado en la postura del dispositivo, filtrado de direcciones MAC o estado del certificado junto con la identidad del usuario, implemente un dispositivo NAC intermedio (Aruba ClearPass, Cisco ISE o Portnox) para enviar las solicitudes mediante proxy al agente Okta RADIUS. El dispositivo NAC puede enriquecer la respuesta RADIUS con atributos de túnel adicionales que el agente de Okta por sí solo no puede generar.

Monitoree a través del registro del sistema de Okta. Cada evento de autenticación (éxito, falla, desafío de MFA y tipo de factor) se registra en el registro del sistema de Okta. Configure la transmisión de registros a su SIEM para recibir alertas en tiempo real sobre anomalías de autenticación. Esto es particularmente valioso para organizaciones de Salud y del sector público sujetas a requisitos de auditoría.

Rotar secretos compartidos de forma programada. El secreto compartido entre la aplicación Okta RADIUS y su NAS es una credencial de seguridad crítica. Implemente un programa de rotación (se recomienda trimestralmente) y actualice tanto la aplicación de Okta como la configuración de WLC/NAC simultáneamente.

Restringir las direcciones del servicio RADIUS. En la configuración del agente Okta RADIUS, restrinja qué direcciones IP tienen permitido enviar solicitudes RADIUS. Esto evita que dispositivos NAS no autorizados intenten autenticarse contra su inquilino de Okta. For guidance on the broader network architecture context, see The Core SD WAN Benefits for Modern Businesses and Wireless Access Points Definition Your Ultimate 2026 Guide .

Troubleshooting & Risk Mitigation

The following table summarises the most common failure modes encountered in Okta RADIUS WiFi deployments and their recommended mitigations.

Failure Mode	Root Cause	Mitigation
Authentication Timeouts	WLC RADIUS timeout too short for Okta API or MFA response	Increase WLC RADIUS timeout to 30-60 seconds
Windows Clients Rejected	Windows defaults to PEAP-MSCHAPv2, which Okta RADIUS rejects	Push EAP-TTLS/PAP wireless profile via MDM or GPO
Users in Wrong VLAN	Okta group name mismatch or missing tunnel attributes on WLC	Verify WLC maps `Class`/`Filter-Id` to `Tunnel-Private-Group-ID`; check Okta System Log
Agent Unreachable	Server offline, API token expired, or firewall blocking HTTPS to Okta	Deploy redundant agents; monitor agent status in Okta Admin Console; verify outbound HTTPS
MFA Push Not Delivered	User not enrolled in Okta Verify, or mobile device offline	Enforce Okta Verify enrolment policy; consider TOTP as fallback
Certificate Validation Errors	Client cannot validate RADIUS server certificate	Pin server certificate CN in client wireless profile; ensure CA chain is trusted
VLAN Attributes Not Sent	Okta group not included in RADIUS response configuration	Verify group is listed in Advanced RADIUS Settings; confirm user is a member of the group in Okta

For Transport and public-sector environments where network uptime is mission-critical, implement synthetic monitoring that periodically tests RADIUS authentication end-to-end and alerts on failure before users are impacted.

ROI & Business Impact

The business case for Okta RADIUS WiFi authentication rests on three pillars: operational efficiency, security posture improvement, and compliance readiness.

Operational Efficiency. Consolidating WiFi authentication into Okta eliminates the need to maintain separate on-premises RADIUS infrastructure (NPS servers, local AD) at each venue or site. For a hotel chain with 50 properties, this can represent a significant reduction in per-site infrastructure costs and IT support overhead. User provisioning and deprovisioning become atomic: adding a user to the correct Okta group grants both application access and the appropriate WiFi VLAN access simultaneously. When an employee leaves, deactivating their Okta account immediately revokes WiFi access across all sites.

Postura de seguridad. Reemplazar las contraseñas compartidas de PSK WiFi con la autenticación 802.1X por usuario elimina el uso compartido de credenciales, un vector común para amenazas internas y accesos no autorizados. Combinado con la asignación dinámica de VLAN, esto aplica el principio de privilegio mínimo en la capa de red. El registro del sistema de Okta proporciona un historial de auditoría completo y a prueba de manipulaciones de cada evento de autenticación de WiFi, lo cual es esencial para la respuesta a incidentes.

Cumplimiento normativo. El requisito 8.3 de PCI DSS 4.0 exige MFA para todo acceso administrativo que no sea de consola. El requisito 1.3 requiere la segmentación de red entre el entorno de datos de titulares de tarjetas y otras redes. Okta RADIUS con asignación de VLAN basada en grupos aborda directamente ambos requisitos. Para el cumplimiento de GDPR, el registro del sistema de Okta proporciona los registros de acceso necesarios para demostrar los controles técnicos adecuados sobre los sistemas de procesamiento de datos personales. Para los establecimientos que implementan Modern Hospitality WiFi Solutions , este enfoque unificado de identidad y acceso a la red es cada vez más un requisito previo para las adquisiciones empresariales.

Las organizaciones que han completado esta integración suelen reportar una reducción en los tickets de soporte de TI relacionados con WiFi (menos solicitudes de restablecimiento de contraseñas, menos incidentes de configuración incorrecta de VLAN) y una mejora medible en las puntuaciones de las auditorías de seguridad. La inversión en implementar y configurar el agente Okta RADIUS —que normalmente se mide en días en lugar de semanas para una implementación en un solo sitio— ofrece ahorros operativos continuos que se acumulan en todo un patrimonio distribuido.

Definiciones clave

Okta RADIUS Agent

Un servicio de proxy ligero local o alojado en la nube que traduce las solicitudes de autenticación RADIUS de la infraestructura de red (puntos de acceso, WLC) en llamadas de la API de Okta, lo que permite que la nube de Okta funcione como el backend de autenticación para WiFi 802.1X.

Los equipos de TI se encuentran con esto al implementar la autenticación de WiFi empresarial respaldada por Okta. Es el componente de puente crítico entre la infraestructura de red heredada basada en RADIUS y la identidad moderna en la nube.

802.1X

Un estándar IEEE para el Control de Acceso a la Red (NAC) basado en puertos que define un marco de autenticación para redes cableadas e inalámbricas. Utiliza el Protocolo de Autenticación Extensible (EAP) para transportar las credenciales de autenticación entre el suplicante (dispositivo), el autenticador (AP/switch) y el servidor de autenticación (RADIUS).

802.1X es la base de la seguridad de WiFi empresarial. Cualquier implementación que utilice WPA2-Enterprise o WPA3-Enterprise utiliza 802.1X. Los equipos de TI deben comprender el modelo de tres partes (suplicante, autenticador, servidor de autenticación) para solucionar problemas de conectividad.

EAP-TTLS (Extensible Authentication Protocol - Tunnelled Transport Layer Security)

Un método EAP que establece un túnel TLS utilizando únicamente un certificado del lado del servidor, y luego transporta un protocolo de autenticación interno más simple (como PAP) dentro del túnel. Esto protege las credenciales internas contra la interceptación, requiriendo únicamente la infraestructura de certificados del lado del servidor.

EAP-TTLS con PAP es el protocolo recomendado para la autenticación de WiFi RADIUS de Okta. Es más seguro que PAP por sí solo, pero no requiere certificados del lado del cliente, lo que lo hace práctico para entornos BYOD y de dispositivos mixtos.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

Un método EAP que utiliza autenticación mutua basada en certificados: tanto el cliente como el servidor presentan certificados digitales. Es el método 802.1X más seguro, ya que proporciona una autenticación sin contraseñas y resistente al phishing.

EAP-TLS es el estándar de oro para entornos de dispositivos corporativos administrados. Requiere una infraestructura PKI y MDM para la distribución de certificados. El agente RADIUS de Okta no es compatible de forma nativa con EAP-TLS; se requiere un servicio dedicado de PKI en la nube o RADIUS.

PAP (Password Authentication Protocol)

Un protocolo de autenticación simple que transmite nombres de usuario y contraseñas en texto plano. En el contexto de 802.1X, PAP se utiliza como el método de autenticación interno dentro de un túnel EAP-TTLS, donde la capa externa TLS proporciona el cifrado.

PAP es el mecanismo de autenticación principal compatible con el agente RADIUS de Okta. Los equipos de TI deben comprender que PAP por sí solo no es seguro, pero PAP dentro de EAP-TTLS es aceptable para WiFi empresarial cuando el certificado del servidor se valida correctamente.

Dynamic VLAN Assignment

Una técnica de control de acceso a la red en la que un servidor RADIUS devuelve atributos de asignación de VLAN en el mensaje Access-Accept, lo que hace que el controlador inalámbrico o el switch ubiquen al cliente autenticado en una VLAN específica según su identidad o pertenencia a un grupo, en lugar de una VLAN estática por SSID.

La asignación dinámica de VLAN es esencial para la segmentación de red en entornos con múltiples roles (por ejemplo, separar las terminales de punto de venta de los dispositivos del personal general). Se configura devolviendo los atributos RADIUS 64, 65 y 81 en el mensaje Access-Accept.

RADIUS Attribute 25 (Class)

Un atributo RADIUS estándar utilizado para pasar datos de autorización arbitrarios desde el servidor de autenticación al NAS. Okta utiliza este atributo para devolver información de pertenencia a grupos de Okta al controlador inalámbrico, el cual puede utilizarla para la asignación de VLAN o para decisiones de políticas de acceso.

Los equipos de TI que configuran la asignación de VLAN basada en grupos de Okta configurarán el WLC para leer el valor del atributo Class y asignarlo a un ID de VLAN. El atributo exacto a utilizar (11, 25 o 26) depende de la documentación del proveedor del WLC.

NAS (Network Access Server)

En la terminología de RADIUS, el NAS es el dispositivo de red que recibe la solicitud de conexión del usuario y la reenvía al servidor RADIUS para su autenticación. En implementaciones de WiFi, el NAS suele ser el punto de acceso inalámbrico o el controlador de LAN inalámbrica.

El NAS es el autenticador en el modelo 802.1X. Los equipos de TI deben configurar el NAS con la dirección IP del servidor RADIUS, el puerto y el secreto compartido. La dirección IP del NAS debe incluirse en la lista de permitidos en la configuración de filtrado de direcciones de servicio del agente RADIUS de Okta.

Shared Secret

Una contraseña precompartida utilizada para autenticar los mensajes RADIUS entre el NAS (WLC/AP) y el servidor RADIUS (agente RADIUS de Okta). Se utiliza para calcular un hash Message-Authenticator que verifica la integridad de los paquetes RADIUS.

El secreto compartido debe ser idéntico tanto en la configuración de la aplicación RADIUS de Okta como en la entrada del servidor RADIUS del WLC/NAC. Debe tener al menos 32 caracteres, generarse de forma aleatoria y rotarse periódicamente. Una discrepancia es una causa común de fallas en la autenticación RADIUS.

MFA Challenge (RADIUS Access-Challenge)

Un tipo de mensaje RADIUS enviado por el servidor de autenticación al NAS cuando se requieren factores de autenticación adicionales. El NAS retransmite el desafío al cliente, el cual debe responder con el factor adecuado (por ejemplo, OTP, aprobación de inserción) antes de que pueda completarse la autenticación.

El mecanismo Access-Challenge es la forma en que Okta aplica MFA sobre RADIUS. Los equipos de TI deben asegurarse de que el WLC admita el intercambio de desafío-respuesta y que el tiempo de espera de RADIUS sea lo suficientemente largo para que el usuario complete el paso de MFA.

Ejemplos resueltos

Una cadena hotelera de 150 propiedades utiliza actualmente servidores NPS locales en cada propiedad para la autenticación WiFi del personal mediante 802.1X. Cada servidor NPS está unido a un dominio local de Active Directory. El equipo de TI desea centralizar la gestión de identidades en Okta y eliminar la infraestructura NPS por propiedad. ¿Cómo deberían abordar la migración?

El enfoque recomendado es una migración gradual utilizando el agente RADIUS de Okta desplegado en una VPC en la nube centralizada, en lugar de en cada propiedad. Fase 1: Desplegar dos instancias del agente RADIUS de Okta en una VPC en la nube (por ejemplo, AWS o Azure) en la misma región que la mayoría de las propiedades. Configurar los agentes para escuchar en el puerto UDP 1812. Fase 2: Para cada propiedad, agregar las direcciones IP del agente RADIUS de Okta como servidores RADIUS secundarios en el WLC, manteniendo el NPS existente como primario. Esto permite el funcionamiento y las pruebas en paralelo sin interrumpir la autenticación en vivo. Fase 3: Migrar los usuarios del AD local a Okta. Utilizar el agente AD de Okta para sincronizar las cuentas existentes inicialmente, y luego pasar progresivamente a Okta como la fuente autoritativa. Fase 4: Para cada propiedad, configurar el WLC para usar EAP-TTLS/PAP y distribuir el nuevo perfil inalámbrico a los dispositivos del personal a través de MDM. Fase 5: Una vez que se confirme que todos los dispositivos están en EAP-TTLS, cambiar la prioridad RADIUS del WLC a los agentes de Okta como primarios y desmantelar los servidores NPS. Configurar los grupos de Okta (Front-Desk, Housekeeping, F&B, Management, IT-Admins) y habilitar la asignación de VLAN basada en grupos utilizando el Atributo 25 (Class). Mapear cada grupo a la VLAN correspondiente en el WLC. Aumentar el tiempo de espera (timeout) de RADIUS en el WLC a 45 segundos para adaptarse a la latencia de la API de Okta.

Comentario del examinador: Se prefiere este enfoque gradual porque elimina el riesgo de una transición abrupta en 150 propiedades simultáneamente. Ejecutar NPS y el RADIUS de Okta en paralelo durante el período de transición significa que cualquier configuración incorrecta puede detectarse y corregirse sin afectar a los usuarios activos. El despliegue de los agentes RADIUS en una VPC en la nube es arquitectónicamente superior al despliegue por propiedad porque centraliza la gestión, reduce la huella de infraestructura y garantiza una aplicación de políticas coherente, independientemente de la propiedad desde la que se autentique un usuario. El riesgo clave a mitigar es la latencia WAN entre la propiedad y la VPC en la nube; la autenticación RADIUS debe completarse en menos de 2 segundos para ofrecer una buena experiencia de usuario, por lo que la selección de la región de la VPC debe minimizar el tiempo de ida y vuelta (RTT).

Una cadena minorista nacional con 320 tiendas necesita lograr la conformidad con PCI DSS 4.0 para la WiFi de su personal. Los asociados de las tiendas utilizan dispositivos portátiles para la gestión de inventario, y un conjunto independiente de dispositivos gestiona las transacciones de punto de venta. La cadena utiliza Okta para toda la identidad de la fuerza laboral. ¿Cómo implementan la segmentación de VLAN utilizando el RADIUS de Okta para cumplir con los requisitos de segmentación de red de PCI DSS?

Crear tres grupos en Okta: POS-Staff (para los empleados que operan terminales de punto de venta), Inventory-Staff (para los asociados de almacén y piso de venta) y Store-Management. In la aplicación RADIUS de Okta, habilitar 'Include groups in RADIUS response' y seleccionar el Atributo 25 (Class). Agregar los tres grupos a la configuración de respuesta. En el controlador inalámbrico de cada tienda (o de forma centralizada a través de un WLC en la nube), crear tres políticas de cumplimiento: (1) Si Class = POS-Staff, asignar Tunnel-Private-Group-ID = 40 (la VLAN de POS, que está dentro del alcance de PCI DSS y tiene reglas de firewall que restringen el acceso únicamente al procesador de pagos). (2) Si Class = Inventory-Staff, asignar Tunnel-Private-Group-ID = 50 (la VLAN de inventario, fuera del alcance de PCI). (3) Si Class = Store-Management, asignar Tunnel-Private-Group-ID = 60 (la VLAN de administración con acceso a los sistemas de gestión de la tienda). Los dispositivos que se conectan con las credenciales de un usuario del grupo POS-Staff se colocan automáticamente en la VLAN 40. Si el rol de un asociado de tienda cambia, la actualización de su membresía de grupo en Okta cambia inmediatamente su asignación de VLAN en la siguiente conexión, sin necesidad de reconfigurar el WLC. Documentar el mapeo de grupo de Okta a VLAN en el diagrama de segmentación de red para la auditoría QSA de PCI DSS.

Comentario del examinador: Esta implementación cumple directamente con el Requisito 1.3 (segmentación de red) y el Requisito 7 (control de acceso basado en las necesidades del negocio) de PCI DSS 4.0. La perspectiva crítica es que la asignación de VLAN se rige por la identidad, no por la dirección MAC del dispositivo ni por una configuración de VLAN estática, lo que significa que escala a través de 320 tiendas sin necesidad de mantener políticas de VLAN por tienda. El QSA querrá ver pruebas de que la VLAN de POS está realmente aislada de otros segmentos de red, por lo que las configuraciones del WLC y del firewall deben reflejar los límites de la VLAN. El System Log de Okta proporciona el registro de auditoría de autenticación requerido por el Requisito 10 de PCI DSS (registro y monitoreo). Una advertencia importante: si los dispositivos POS no son gestionados o son compartidos (es decir, no están asignados a un usuario específico), considere utilizar la omisión de autenticación MAC (MAB) para esos dispositivos en lugar de 802.1X, utilizando el RADIUS de Okta únicamente para los dispositivos autenticados por usuario.

Preguntas de práctica

Q1. Un centro de conferencias de tamaño mediano utiliza Okta para la gestión de identidad de todo el personal. Quieren implementar WiFi 802.1X para el personal utilizando sus puntos de acceso Cisco Meraki existentes. Sus laptops Windows se gestionan a través de Microsoft Intune. El gerente de TI quiere aplicar MFA push de Okta Verify para todas las conexiones WiFi. ¿Cuáles son los tres pasos de configuración más críticos que deben completar y cuál es el modo de falla más probable si omiten alguno de ellos?

Sugerencia: Considere la compatibilidad del protocolo EAP entre Okta RADIUS y los valores predeterminados de Windows, la configuración del tiempo de espera (timeout) de RADIUS y la configuración del perfil inalámbrico del cliente.

Ver respuesta modelo

Los tres pasos críticos son: (1) Implementar un perfil inalámbrico a través de Intune que configure los clientes Windows para usar EAP-TTLS con PAP como método interno — Windows utiliza PEAP-MSCHAPv2 de forma predeterminada, el cual no es compatible con el agente Okta RADIUS, lo que provocaría que se rechacen todos los intentos de autenticación. (2) Aumentar el tiempo de espera de Cisco Meraki RADIUS de los 5 segundos predeterminados a al menos 45-60 segundos — sin esto, la solicitud de autenticación expirará antes de que el usuario pueda aprobar la notificación push de Okta Verify. (3) Habilitar 'Permit Automatic Push for Okta Verify Enrolled Users' en la configuración avanzada de RADIUS de la aplicación Okta RADIUS — sin esto, se les podría pedir a los usuarios que seleccionen manualmente su factor MFA en lugar de recibir una notificación push automática. El modo de falla más probable si se omite el paso 1 es una falla completa de autenticación para todos los dispositivos Windows. Si se omite el paso 2, la autenticación fallará intermitentemente para los usuarios que tarden más de 5 segundos en aprobar la notificación push. Si se omite el paso 3, los usuarios experimentarán una pantalla de solicitud confusa en lugar de una notificación push fluida.

Q2. El equipo de seguridad de una gran cadena de tiendas de retail ha señalado que su implementación actual de Okta RADIUS WiFi utiliza un único servidor de agente RADIUS. Durante una ventana de mantenimiento reciente, el servidor estuvo fuera de línea durante 45 minutos, lo que provocó que la autenticación WiFi fallara en las 80 tiendas. ¿Qué cambios de arquitectura debería implementar el equipo de TI para evitar esto y cuáles son las dos opciones de implementación para los agentes?

Sugerencia: Considere tanto la topología de implementación del agente como la configuración del WLC requerida para admitir la redundancia.

Ver respuesta modelo

El equipo de TI debe implementar un mínimo de dos instancias del agente Okta RADIUS y configurar el WLC en cada tienda para usar ambos agentes. Existen dos opciones de implementación: Opción A (VMs en la nube centralizadas) — implementar ambos agentes en una VPC en la nube (por ejemplo, AWS o Azure), idealmente en diferentes zonas de disponibilidad. El WLC de cada tienda apunta a ambas IPs de la nube, con una como primaria y otra como secundaria (o con el balanceo de carga habilitado). Esto minimiza la infraestructura por sitio pero introduce una dependencia de la WAN. Opción B (Par redundante local/on-premises) — implementar dos servidores de agentes en un centro de datos central o instalación de co-ubicación, con el WLC utilizando la conmutación por error (failover) de RADIUS. En el WLC, configure el servidor RADIUS primario como Agente 1 y el secundario como Agente 2, con un tiempo de espera de conmutación por error de 3-5 segundos. Habilite 'Dead Server Detection' si el proveedor del WLC lo admite. Adicionalmente, el equipo de TI debe configurar el monitoreo de estado en la Okta Admin Console y configurar alertas si un agente se desconecta. Para las tiendas con servidores locales, un agente local puede servir como un tercer respaldo para la resiliencia contra interrupciones de la WAN.

Q3. Una organización empresarial está evaluando si utilizar el agente Okta RADIUS con EAP-TTLS/PAP o invertir en una solución PKI en la nube para EAP-TLS para su WiFi corporativo. Tienen 2,000 dispositivos Windows y macOS gestionados e inscritos en Microsoft Intune, y están sujetos a PCI DSS 4.0. ¿Cuál es el enfoque recomendado y cuál es la principal justificación de seguridad?

Sugerencia: Considere los requisitos de PCI DSS, la madurez de la gestión de dispositivos (todos los dispositivos están inscritos en MDM) y las propiedades de seguridad de cada método de autenticación.

Ver respuesta modelo

El enfoque recomendado es invertir en EAP-TLS con una solución PKI en la nube. La principal justificación de seguridad es la autenticación mutua: EAP-TLS requiere que tanto el cliente como el servidor RADIUS presenten certificados digitales, lo que significa que el dispositivo demuestra criptográficamente su identidad ante la red y la red demuestra su identidad ante el dispositivo. Esto elimina el riesgo de ataques de gemelo malvado (donde un AP no autorizado suplanta el SSID corporativo) y elimina por completo las contraseñas de la ecuación de autenticación WiFi, eliminando el robo de credenciales y el phishing como vectores de ataque. Para PCI DSS 4.0, EAP-TLS cumple implícitamente con el Requisito 8.3 (MFA para acceso administrativo que no sea de consola) a través de la autenticación basada en certificados, y es compatible con el modo WPA3-Enterprise de 192 bits (Requisito 4.2.1 para criptografía fuerte). El prerrequisito —los 2,000 dispositivos inscritos en Intune— ya se cumple, lo que facilita la distribución de certificados a través de perfiles SCEP de Intune. El agente Okta RADIUS con EAP-TTLS/PAP sería una solución provisional aceptable durante la construcción de la PKI, pero dado el alcance de PCI DSS y el parque de dispositivos totalmente gestionados, EAP-TLS es la arquitectura correcta a largo plazo. La inversión adicional en un servicio PKI en la nube (normalmente de $3 a $8 USD por dispositivo al año) se justifica por la mejora en la seguridad y la reducción de la carga de gestión de credenciales.

Continúe leyendo esta serie

Integración de CommScope Ruckus con Purple WiFi: Guía de instalación y configuración

Esta guía de referencia técnica proporciona un manual de configuración definitivo para integrar arquitecturas de CommScope Ruckus con Purple WiFi. Detalla implementaciones paso a paso para Captive Portals de Guest WiFi, WiFi seguro para el personal a través de 802.1X y aislamiento de red multi-inquilino mediante Dynamic PSK de Ruckus.

Integración de Access Points Allied Telesis con Purple WiFi

Esta guía proporciona un manual de configuración completo para integrar los access points de la serie TQ de Allied Telesis con Purple WiFi. Cubre la redirección de Captive Portal externo, la autenticación RADIUS 802.1X y el direccionamiento dinámico de VLAN mediante claves privadas precompartidas (PPSK) para despliegues multi-inquilino seguros.

Grandstream GWN Access Points Integration with Purple WiFi

Esta guía de referencia técnica autorizada detalla cómo integrar los puntos de acceso Grandstream GWN con la plataforma de análisis y Guest WiFi de Purple. Cubre la configuración del Captive Portal de Grandstream, los ajustes de RADIUS AAA, la configuración del walled garden, la autenticación segura para el personal mediante 802.1X con direccionamiento dinámico de VLAN y la segmentación PPSK multi-tenant, proporcionando una guía paso a paso y práctica para MSPs y equipos de TI que despliegan WiFi para invitados y personal a gran escala.