Deje de ejecutar FreeRADIUS, NPS o Cisco ISE. El cloud RADIUS de Purple autentica el WiFi de invitados, personal y multi-inquilino contra su proveedor de identidad existente — EAP-TLS, PEAP e iPSK — con conmutación por error multirregión y un SLA de tiempo de actividad del 99.9%. En funcionamiento en sus puntos de acceso en menos de una hora.
RADIUS-as-a-Service (a veces escrito RADIUSaaS o cloud RADIUS) es un servicio de autenticación RADIUS totalmente gestionado y entregado como SaaS. Usted apunta sus puntos de acceso a un nombre de host; Purple valida cada solicitud de conexión contra su proveedor de identidad e indica al punto de acceso en qué VLAN debe colocar el dispositivo.
El servicio gestiona EAP sobre RADIUS exactamente de la misma manera que lo hace un clúster de FreeRADIUS, una granja de Microsoft NPS o un dispositivo Cisco ISE; por lo tanto, sus clientes (laptops, teléfonos, IoT, BYOD) no necesitan reconfiguración. Lo que deja de hacer es operar los servidores: sin parches del SO, sin mantenimiento de la cadena de certificados en el plano de autenticación, sin diseño para alta disponibilidad y sin planificación de capacidad para los días de reapertura de oficinas.
Tres fuerzas han convergido para hacer de la nube la postura de RADIUS predeterminada para nuevos despliegues.
Su identidad principal ahora es Entra ID, Okta o Google Workspace, no el Active Directory on-premise. El RADIUS on-premise obliga a una sincronización de AD o a un puente híbrido que el cloud RADIUS elimina por completo. El aprovisionamiento SCIM significa que un empleado dado de baja pierde el acceso al WiFi en el mismo segundo en que pierde el correo electrónico.
WPA3-Enterprise y la higiene de TI moderna impulsan el uso de EAP-TLS con certificados emitidos por la máquina. Operar su propia CA sobre un RADIUS on-premise es una carga operativa que la mayoría de los equipos ya no desean. Purple combina RADIUS-as-a-Service con la emisión de certificados gestionada donde sea necesario.
La HA de RADIUS on-premise implica dos equipos, una topología de replicación y una prueba de conmutación por error trimestral. Cloud RADIUS le ofrece multirregión activo-activo desde el primer día. Los puntos de acceso se configuran con dos o tres endpoints; la conmutación por error ocurre en segundos sin intervención del operador.
Cada solicitud de conexión sigue la misma ruta. El cliente (laptop, teléfono, IoT) intenta asociarse a un SSID configurado para 802.1X. El punto de acceso, actuando como el autenticador, encapsula el tráfico EAP del cliente dentro de un paquete RADIUS y lo reenvía a Purple. Purple, actuando como el servidor de autenticación, valida la credencial contra su IdP y devuelve Access-Accept junto con la VLAN y la política a aplicar. El punto de acceso aplica la decisión. Latencia total: decenas de milisegundos.
Access-Accept con los atributos de VLAN, ACL y política.| Método | Credencial | Ideal para |
|---|---|---|
| EAP-TLS | Certificado de cliente X.509 | Flotas gestionadas. El estándar de oro: sin contraseñas, sin superficie de phishing. |
| PEAP-MSCHAPv2 | Nombre de usuario + contraseña | Dispositivos heredados y despliegues de transición. |
| EAP-TTLS | Nombre de usuario + contraseña dentro de un túnel TLS | Directorios que no son AD y recintos con clientes mixtos. |
| EAP-FAST | Credencial de acceso protegido | Redes con gran presencia de Cisco y políticas EAP-FAST existentes. |
| iPSK | Clave precompartida única por dispositivo | BYOD, IoT y WiFi multi-inquilino donde los certificados no son prácticos. |
Purple RADIUS-as-a-Service autentica contra cualquier proveedor de identidad que ya sea la fuente de verdad sobre sus usuarios. El aprovisionamiento SCIM mantiene la membresía sincronizada sin necesidad de un proceso por lotes nocturno.
RADIUS-as-a-Service se ejecuta en cualquier punto de acceso de nivel empresarial que admita RADIUS estándar. Sin cambio de hardware ni actualización de controlador.
Verificado con: Cisco Meraki, Cisco Catalyst, Aruba (HPE), Ruckus (CommScope), Juniper Mist, Ubiquiti UniFi, Cambium Networks, Extreme Networks, Fortinet FortiAP,y más. Si su punto de acceso puede configurarse con una IP de servidor RADIUS o un nombre de host, Purple es compatible.
| Cloud RADIUS (Purple) | Local (FreeRADIUS / NPS / ISE) | |
|---|---|---|
| Tiempo de implementación | Menos de una hora | Días a semanas |
| Alta disponibilidad | Activo-activo multiregión, por defecto | Hágalo usted mismo: dos servidores más replicación |
| Parches de SO | Gestionado por el proveedor | Su equipo de operaciones |
| Integración de identidad | Entra ID nativo, Okta, Google Workspace | Prioridad AD, IdP en la nube mediante puentes |
| Gestión de certificados | Opción de PKI gestionada | Se requiere PKI de alojamiento propio |
| Escalabilidad | Elástica, facturación por AP | Ejercicio de planificación de capacidad |
| Costo total de propiedad | Suscripción predecible por AP | Licencia + hardware + operaciones + tiempo de inactividad |
RADIUS-as-a-Service es un servicio de autenticación RADIUS alojado en la nube que reemplaza los servidores locales FreeRADIUS, Microsoft NPS o Cisco ISE. Sus puntos de acceso reenvían las solicitudes de autenticación a la nube; las credenciales se validan con su proveedor de identidad (Entra ID, Okta, Google Workspace) y los dispositivos se admiten en la VLAN correcta. No opera servidores, no aplica parches al SO y hereda alta disponibilidad multirregión de forma predeterminada.
El RADIUS local (FreeRADIUS, NPS, Cisco ISE) requiere servidores, parches, gestión de certificados y un diseño de alta disponibilidad. El RADIUS en la nube elimina todo eso: usted apunta sus puntos de acceso a un nombre de host y el proveedor se encarga del tiempo de actividad, el escalado y las actualizaciones. El flujo de autenticación es idéntico (EAP sobre RADIUS), por lo que los dispositivos cliente no notan la diferencia.
EAP-TLS (basado en certificados, el estándar de oro), PEAP-MSCHAPv2 (usuario/contraseña para dispositivos antiguos), EAP-TTLS y EAP-FAST. La mayoría de las implementaciones de producción utilizan EAP-TLS para dispositivos gestionados y recurren a PEAP durante un periodo de transición. Se ofrece iPSK de forma complementaria para casos de uso de BYOD y multi-inquilino donde el aprovisionamiento de certificados no es práctico.
Microsoft Entra ID (Azure AD), Okta, Google Workspace, OneLogin, JumpCloud, Active Directory (vía enlace LDAP o túnel seguro) y cualquier IdP compatible con SAML 2.0 o SCIM. El aprovisionamiento SCIM garantiza que un empleado que deja su empresa pierda el acceso WiFi en el mismo momento en que pierde el acceso al correo electrónico, sin dejar credenciales huérfanas.
Purple opera puntos finales de autenticación RADIUS en múltiples regiones con conmutación por error activo-activo. Los puntos de acceso se configuran con dos o tres destinos de autenticación; si el punto final principal falla en las comprobaciones de estado, el tráfico se mueve a la siguiente región en cuestión de segundos. El servicio está respaldado por un SLA de tiempo de actividad del 99.9%.
No. Cualquier punto de acceso de nivel empresarial que hable RADIUS (Cisco, Aruba, Ruckus, Juniper Mist, Meraki, Ubiquiti UniFi, Cambium, Extreme) puede reenviar la autenticación a Purple. Usted cambia la dirección del servidor RADIUS en cada SSID y el AP hace el resto.
Por punto de acceso al mes, con descuentos por volumen a escala. No hay un medidor por autenticación o por usuario, por lo que puede habilitar 802.1X en toda su flota de dispositivos sin facturas sorpresa. Los precios se publican en la calculadora de precios de Purple.
Sí. Una migración típica toma un fin de semana para una implementación de tamaño mediano: configure Purple junto con el RADIUS existente, agregue Purple como un destino de autenticación secundario en los puntos de acceso, mueva los SSID uno a la vez y retire el servidor antiguo una vez que se haya drenado el tráfico. Los servicios profesionales de Purple ejecutan la transición para clientes empresariales.
See how radius-as-a-service works in venues like yours, and how Purple compares to alternatives.
Vea Purple RADIUS-as-a-Service funcionando junto con su implementación actual de Cisco, Aruba, Ruckus, Juniper Mist, Meraki o Ubiquiti. En funcionamiento en una tarde.