Okta et RADIUS : étendre votre fournisseur d'identité à l'authentification WiFi
This guide provides a comprehensive technical reference for IT administrators at Okta-centric organisations who want to extend their cloud identity provider to WiFi authentication using the Okta RADIUS agent. It covers the full authentication architecture, MFA enforcement trade-offs, dynamic VLAN assignment via RADIUS attribute mapping, and the critical decision between password-based EAP-TTLS and certificate-based EAP-TLS. Venue operators and enterprise IT teams will find actionable deployment guidance, real-world case studies from hospitality and retail, and a clear framework for integrating Okta RADIUS alongside dedicated guest WiFi solutions.
🎧 Écouter ce guide
Voir la transcription
Synthèse
Pour les équipes informatiques d'entreprise gérant des sites répartis — des chaînes hôtelières aux stades — l'unification du contrôle d'accès réseau avec un fournisseur d'identité cloud est une étape cruciale vers le Zero Trust. L'agent Okta RADIUS comble le fossé entre l'identité cloud moderne et l'infrastructure WiFi 802.1X traditionnelle, permettant aux organisations d'abandonner les anciens serveurs RADIUS sur site et l'infrastructure Active Directory pour l'authentification réseau.
Ce guide détaille comment déployer l'agent Okta RADIUS pour l'authentification WiFi d'entreprise, en couvrant l'architecture proxy, les mécanismes d'application de la MFA et les compromis entre l'EAP-TTLS basé sur mot de passe et l'EAP-TLS basé sur certificat. Il fournit également des conseils pratiques sur le mappage des appartenances aux groupes Okta vers les attributs RADIUS pour l'attribution dynamique de VLAN — une capacité qui prend directement en charge les exigences de segmentation réseau PCI DSS. En intégrant Okta pour l'authentification du personnel aux côtés des solutions de WiFi invité , les exploitants de sites peuvent obtenir une couche d'accès unifiée, sécurisée et conforme sans dupliquer l'infrastructure d'identité.
Analyse technique approfondie
Comment fonctionne l'agent Okta RADIUS
L'agent Okta RADIUS est un service système léger qui agit comme un proxy entre les serveurs d'accès réseau (NAS) — tels que les points d'accès sans fil (WAP) ou les contrôleurs de réseau local sans fil (WLC) — et le cloud Okta. Il est généralement déployé sur un serveur Windows ou Linux sur site ou dans un VPC cloud, et il est entièrement géré depuis la console d'administration Okta après son installation initiale.
Le flux d'authentification suit un modèle proxy 802.1X standard. L'appareil d'un utilisateur (le demandeur) se connecte à un SSID d'entreprise et présente ses identifiants. Le WAP ou WLC (l'authentificateur) transfère un Access-Request RADIUS à l'agent Okta RADIUS sur le port UDP 1812. L'agent tunnelise cette requête de manière sécurisée vers le cloud Okta via un appel API HTTPS, où le moteur de politiques d'Okta évalue les identifiants par rapport à son annuaire d'utilisateurs et aux politiques de connexion configurées. Si l'authentification réussit, l'agent renvoie un message Access-Accept RADIUS à l'authentificateur, incluant éventuellement des attributs RADIUS pour l'autorisation tels que l'attribution de VLAN. Si la MFA est requise, l'agent renvoie un Access-Challenge RADIUS au client, demandant un deuxième facteur avant que la décision finale ne soit rendue.
Ce modèle proxy signifie que l'agent Okta RADIUS n'a pas besoin de stocker les identifiants des utilisateurs localement. Toute la logique d'authentification, l'évaluation des politiques et la journalisation des audits se produisent dans le cloud Okta, offrant aux administrateurs une interface unique pour la gouvernance des identités à travers les applications cloud et l'accès réseau.
Protocoles EAP pris en charge et limites critiques
Une contrainte architecturale fondamentale de l'agent Okta RADIUS est sa dépendance au protocole d'authentification par mot de passe (PAP) pour l'authentification principale. Bien que le PAP transmette les mots de passe en texte clair au niveau de la couche interne, cela est encapsulé et protégé par le tunnel TLS externe du protocole d'authentification extensible (EAP). Les protocoles externes pris en charge sont EAP-TTLS (avec PAP comme méthode interne) et EAP-GTC. Pour une comparaison plus approfondie des méthodes EAP, consultez le guide de référence Comparaison des méthodes EAP : PEAP, EAP-TLS, EAP-TTLS et EAP-FAST .
Point critique, PEAP-MSCHAPv2 n'est pas pris en charge. Il s'agit du protocole 802.1X par défaut pour les clients Windows et de nombreux environnements d'entreprise existants. Les organisations migrant depuis une configuration RADIUS NPS/Active Directory traditionnelle doivent reconfigurer leurs clients demandeurs pour utiliser EAP-TTLS avec PAP — un changement qui nécessite généralement un profil sans fil poussé via MDM ou une stratégie de groupe. Ne pas en tenir compte est la cause la plus fréquente d'échec des déploiements Okta RADIUS.
EAP-TLS, qui repose entièrement sur une authentification mutuelle basée sur des certificats, n'est pas non plus pris en charge nativement par l'agent Okta RADIUS. Les organisations nécessitant EAP-TLS doivent déployer une PKI dédiée ou une solution RADIUS cloud qui s'intègre à Okta en tant qu'IdP via SAML ou OIDC, plutôt que d'utiliser directement l'agent Okta RADIUS.
Application de la MFA sur les connexions WiFi
L'agent Okta RADIUS prend en charge la MFA pour l'accès WiFi, mais cela introduit des défis en matière d'expérience utilisateur qui doivent être soigneusement examinés avant le déploiement. Lorsqu'une politique MFA est déclenchée, l'agent envoie un Access-Challenge RADIUS au client. Okta prend en charge plusieurs facteurs pour les applications RADIUS :
| Facteur MFA | PAP | EAP-TTLS | Remarques |
|---|---|---|---|
| Okta Verify Push | Pris en charge | Pris en charge | Envoyé hors bande ; l'utilisateur appuie sur Approuver sur son mobile |
| TOTP (Okta Verify / Google Auth) | Pris en charge | Pris en charge | L'utilisateur ajoute l'OTP au mot de passe (ex. Pass123,456789) |
| SMS / E-mail / Voix | Pris en charge | Pris en charge | L'utilisateur envoie d'abord une chaîne de déclenchement (SMS, EMAIL, CALL) |
| Duo Push / SMS / Code d'accès | Pris en charge | Pris en charge | Code d'accès Duo uniquement pour EAP-TTLS |
| YubiKey / U2F / Windows Hello | Non pris en charge | Non pris en charge | Jetons matériels incompatibles avec le protocole RADIUS |
La contrainte pratique est l'itinérance. Dans les environnements d' Hôtellerie , la tablette d'une femme de chambre peut passer d'un point d'accès à l'autre des dizaines de fois par service, déclenchant une réauthentification à chaque fois. Exiger l'approbation d'une notification push à chaque itinérance est opérationnellement intenable. Pour le WiFi du personnel en général, des politiques de mots de passe forts combinées aux politiques de confiance des appareils et de zones réseau d'Okta sont généralement préférées aux invites MFA actives. La MFA sur le WiFi doit être réservée aux SSID administratifs ou aux scénarios d'accès à privilèges élevés.
Authentification basée sur mot de passe vs basée sur certificat
Le choix entre le RADIUS basé sur mot de passe (via l'agent Okta RADIUS) et l'EAP-TLS basé sur certificat est l'une des décisions les plus lourdes de conséquences dans un déploiement WiFi d'entreprise. Les compromis ne concernent pas seulement la sécurité ; ils impliquent la complexité du déploiement, la maturité de la gestion des appareils et les frais généraux opérationnels.
L'authentification basée sur mot de passe via l'agent Okta RADIUS offre une voie rapide vers une identité unifiée. Si votre organisation gère déjà les utilisateurs dans Okta, le déploiement peut être réalisé en quelques heures plutôt qu'en quelques semaines. Il n'y a pas de PKI à construire, pas de certificats à distribuer et aucune dépendance au MDM. Le compromis est que les mots de passe restent l'identifiant principal, et l'absence d'authentification mutuelle signifie que le client ne peut pas vérifier cryptographiquement l'identité du réseau — un vecteur d'attaques par jumeau maléfique (evil twin) dans les environnements à haut risque.
L'EAP-TLS basé sur certificat élimine complètement les mots de passe de l'équation d'authentification WiFi. Le client présente un certificat d'appareil, et le serveur RADIUS présente un certificat de serveur, fournissant une authentification mutuelle. C'est l'approche recommandée pour IEEE 802.1X sur les réseaux WPA3-Enterprise, en particulier dans les environnements soumis à la norme PCI DSS ou au NCSC Cyber Essentials Plus. Le prérequis est une PKI fonctionnelle — soit un déploiement Microsoft ADCS sur site, soit un service PKI cloud — et une plateforme MDM capable de distribuer des certificats à tous les terminaux gérés. Pour les environnements de Vente au détail avec des centaines d'appareils de point de vente gérés, cet investissement est amplement justifié. Pour les environnements fortement axés sur le BYOD ou les déploiements rapides, Okta RADIUS avec EAP-TTLS est le choix pragmatique.
Mappage des attributs RADIUS pour l'attribution dynamique de VLAN
L'attribution dynamique de VLAN est le domaine où l'intégration Okta RADIUS offre sa valeur opérationnelle la plus tangible. En mappant l'appartenance aux groupes Okta sur les attributs RADIUS, les administrateurs réseau peuvent appliquer une segmentation réseau basée sur les rôles sans maintenir des politiques VLAN distinctes par appareil ou par emplacement.
Okta transmet les données d'appartenance au groupe dans le message Access-Accept RADIUS en utilisant l'un des trois attributs, configurables dans les paramètres RADIUS avancés de l'application Okta :
- Attribut 11 (Filter-Id) : Un attribut de chaîne contenant le nom du groupe. Largement pris en charge par les fournisseurs.
- Attribut 25 (Class) : Un attribut opaque utilisé pour l'autorisation. Pris en charge par Cisco ISE, Aruba ClearPass et Fortinet.
- Attribut 26 (Vendor-Specific) : Permet des sous-attributs spécifiques au fournisseur pour un contrôle plus granulaire.
Le contrôleur réseau (WLC, appliance NAC) reçoit le nom du groupe Okta dans l'attribut choisi et le mappe aux attributs de tunnel RADIUS standards requis pour l'attribution de VLAN :
| Attribut RADIUS | Valeur | Objectif |
|---|---|---|
| 64 (Tunnel-Type) | 13 (VLAN) | Spécifie le tunneling VLAN |
| 65 (Tunnel-Medium-Type) | 6 (802) | Spécifie le support IEEE 802 |
| 81 (Tunnel-Private-Group-ID) | ex. 40 |
L'ID du VLAN cible |
Par exemple, un utilisateur du groupe Okta Retail-POS-Staff verrait Class: Retail-POS-Staff renvoyé dans le Access-Accept. La politique du WLC mapperait cela sur Tunnel-Private-Group-ID: 40, plaçant l'appareil sur le VLAN 40 — le réseau de point de vente isolé. Un utilisateur dans Store-Management serait placé sur le VLAN 50. Cette logique est appliquée à la périphérie du réseau, et non dans Okta, mais elle est entièrement pilotée par l'appartenance aux groupes Okta.
Guide d'implémentation
Étape 1 : Déployer l'agent Okta RADIUS (Haute disponibilité)
Déployez l'agent Okta RADIUS sur un minimum de deux serveurs — soit sur site, soit dans un VPC cloud — pour garantir une haute disponibilité. Les déploiements à agent unique constituent un risque critique : si le serveur est indisponible pour l'application de correctifs ou subit une panne, toute l'authentification WiFi 802.1X échouera sur l'ensemble du parc. Configurez votre WLC ou votre appliance NAC pour équilibrer la charge des requêtes RADIUS entre les deux agents.
Lors de l'installation, l'agent demandera une connexion administrateur Okta pour autoriser l'agent et le lier au locataire Okta. Une fois autorisé, l'agent apparaît dans la console d'administration Okta sous Paramètres > Téléchargements > Statut de l'agent RADIUS, où l'état de santé et la connectivité peuvent être surveillés.
Étape 2 : Configurer l'application RADIUS dans Okta
- Dans la console d'administration Okta, accédez à Applications > Applications et recherchez Application RADIUS dans le catalogue d'applications.
- Ajoutez l'application, attribuez-lui un nom descriptif (ex.
Corporate-WiFi-Staff), puis cliquez sur Suivant. - Sous l'onglet Connexion, configurez le Port RADIUS (1812 par défaut) et générez un Secret partagé fort et aléatoire d'au moins 32 caractères.
- Sous Paramètres RADIUS avancés, activez Accepter le mot de passe et le jeton de sécurité dans la même demande de connexion si vous avez l'intention de prendre en charge le TOTP ajouté aux mots de passe.
- Activez facultativement Autoriser le Push automatique pour les utilisateurs inscrits à Okta Verify pour une MFA basée sur le push transparente.
- Attribuez l'application aux groupes Okta pertinents représentant votre personnel.
Étape 3 : Configurer l'attribution de VLAN basée sur les groupes
- Dans les paramètres de Connexion de l'application RADIUS, cliquez sur Modifier dans la section Paramètres RADIUS avancés.
- Cochez Inclure les groupes dans la réponse RADIUS.
- Sélectionnez l'attribut RADIUS : 25 Class est recommandé pour les environnements Aruba et Cisco ; 11 Filter-Id pour Fortinet et autres.
- Ajoutez les noms de groupes Okta spécifiques à inclure (ex.
Retail-POS-Staff,Store-Management,IT-Admins). - Sur votre WLC ou appliance NAC, créez des politiques d'application qui mappent chaque nom de groupe aux attributs de tunnel VLAN correspondants.
Étape 4 : Configurer les clients demandeurs
Étant donné que PEAP-MSCHAPv2 n'est pas pris en charge, les appareils clients doivent être configurés pour utiliser EAP-TTLS avec PAP comme méthode interne. Déployez un profil de réseau sans fil via votre plateforme MDM (ex. Microsoft Intune, Jamf Pro) ou via des objets de stratégie de groupe (GPO) pour les appareils Windows joints au domaine. Le profil doit spécifier :
- SSID : Le nom de votre SSID d'entreprise
- Sécurité : WPA2-Enterprise ou WPA3-Enterprise
- Méthode EAP : EAP-TTLS
- Authentification interne : PAP
- Validation du certificat serveur : Activée (épingler au CN du certificat serveur de votre agent RADIUS)
Étape 5 : Définir les délais d'attente RADIUS
Augmentez le délai d'attente RADIUS sur votre WLC de la valeur par défaut de 3 à 5 secondes à 30 à 60 secondes. C'est essentiel si des notifications push MFA sont utilisées, car l'utilisateur doit avoir suffisamment de temps pour approuver la notification sur son appareil avant que le WLC n'abandonne la tentative d'authentification.
Bonnes pratiques
Le déploiement d'Okta RADIUS pour l'authentification WiFi est simple, mais plusieurs bonnes pratiques opérationnelles séparent un déploiement de production résilient d'une preuve de concept fragile.
Segmentez le trafic des invités et du personnel au niveau du SSID. Okta RADIUS est un outil d'identité pour le personnel. Pour l'accès des visiteurs et des invités, déployez une solution de Captive Portal dédiée. Cela évite que les coûts de licence Okta n'augmentent avec le volume d'invités et garantit une séparation claire des responsabilités. Les clients d'entreprise Purple peuvent déployer le WiFi invité sur un SSID distinct tout en utilisant Okta RADIUS pour l'authentification du personnel sur la même infrastructure physique.
Utilisez une appliance NAC pour les environnements de politiques complexes. Si votre environnement nécessite un accès conditionnel basé sur la posture de l'appareil, le filtrage des adresses MAC ou le statut du certificat en plus de l'identité de l'utilisateur, déployez une appliance NAC intermédiaire (Aruba ClearPass, Cisco ISE ou Portnox) pour servir de proxy aux requêtes vers l'agent Okta RADIUS. L'appliance NAC peut enrichir la réponse RADIUS avec des attributs de tunnel supplémentaires que l'agent Okta seul ne peut pas générer.
Surveillez via le journal système Okta. Chaque événement d'authentification — succès, échec, défi MFA et type de facteur — est enregistré dans le journal système Okta. Configurez la diffusion des journaux vers votre SIEM pour des alertes en temps réel sur les anomalies d'authentification. Cela est particulièrement précieux pour les organisations de la Santé et du secteur public soumises à des exigences d'audit.
Effectuez une rotation planifiée des secrets partagés. Le secret partagé entre l'application Okta RADIUS et votre NAS est un identifiant de sécurité critique. Mettez en œuvre un calendrier de rotation (trimestriel est recommandé) et mettez à jour simultanément l'application Okta et la configuration du WLC/NAC.
Restreignez les adresses du service RADIUS. Dans la configuration de l'agent Okta RADIUS, limitez les adresses IP autorisées à envoyer des requêtes RADIUS. Cela empêche les appareils NAS non autorisés de tenter de s'authentifier auprès de votre locataire Okta.
Pour des conseils sur le contexte plus large de l'architecture réseau, consultez Les principaux avantages du SD-WAN pour les entreprises modernes et Définition des points d'accès sans fil : votre guide ultime 2026 .
Dépannage et atténuation des risques
Le tableau suivant résume les modes de défaillance les plus courants rencontrés dans les déploiements WiFi Okta RADIUS et leurs atténuations recommandées.
| Mode de défaillance | Cause première | Atténuation |
|---|---|---|
| Délais d'attente d'authentification | Délai d'attente RADIUS du WLC trop court pour la réponse de l'API Okta ou de la MFA | Augmenter le délai d'attente RADIUS du WLC à 30-60 secondes |
| Clients Windows rejetés | Windows utilise par défaut PEAP-MSCHAPv2, qu'Okta RADIUS rejette | Pousser le profil sans fil EAP-TTLS/PAP via MDM ou GPO |
| Utilisateurs dans le mauvais VLAN | Incohérence du nom de groupe Okta ou attributs de tunnel manquants sur le WLC | Vérifier que le WLC mappe Class/Filter-Id sur Tunnel-Private-Group-ID ; vérifier le journal système Okta |
| Agent injoignable | Serveur hors ligne, jeton d'API expiré ou pare-feu bloquant le HTTPS vers Okta | Déployer des agents redondants ; surveiller l'état de l'agent dans la console d'administration Okta ; vérifier le HTTPS sortant |
| Push MFA non distribué | Utilisateur non inscrit à Okta Verify, ou appareil mobile hors ligne | Appliquer la politique d'inscription à Okta Verify ; envisager le TOTP comme solution de secours |
| Erreurs de validation de certificat | Le client ne peut pas valider le certificat du serveur RADIUS | Épingler le CN du certificat serveur dans le profil sans fil du client ; s'assurer que la chaîne d'autorité de certification (CA) est approuvée |
| Attributs VLAN non envoyés | Groupe Okta non inclus dans la configuration de la réponse RADIUS | Vérifier que le groupe est répertorié dans les paramètres RADIUS avancés ; confirmer que l'utilisateur est membre du groupe dans Okta |
Pour les environnements du Transport et du secteur public où la disponibilité du réseau est critique, mettez en œuvre une surveillance synthétique qui teste périodiquement l'authentification RADIUS de bout en bout et alerte en cas d'échec avant que les utilisateurs ne soient impactés.
ROI et impact commercial
L'analyse de rentabilisation de l'authentification WiFi Okta RADIUS repose sur trois piliers : l'efficacité opérationnelle, l'amélioration de la posture de sécurité et la préparation à la conformité.
Efficacité opérationnelle. La consolidation de l'authentification WiFi dans Okta élimine le besoin de maintenir une infrastructure RADIUS sur site distincte (serveurs NPS, AD local) sur chaque lieu ou site. Pour une chaîne hôtelière de 50 établissements, cela peut représenter une réduction significative des coûts d'infrastructure par site et des frais d'assistance informatique. Le provisionnement et le déprovisionnement des utilisateurs deviennent atomiques : l'ajout d'un utilisateur au bon groupe Okta accorde simultanément l'accès aux applications et l'accès au VLAN WiFi approprié. Lorsqu'un employé part, la désactivation de son compte Okta révoque immédiatement l'accès WiFi sur tous les sites.
Posture de sécurité. Le remplacement des mots de passe WiFi PSK partagés par une authentification 802.1X par utilisateur élimine le partage d'identifiants, un vecteur courant de menaces internes et d'accès non autorisés. Combiné à l'attribution dynamique de VLAN, cela applique le principe du moindre privilège au niveau de la couche réseau. Le journal système Okta fournit une piste d'audit complète et inviolable de chaque événement d'authentification WiFi, ce qui est essentiel pour la réponse aux incidents.
Préparation à la conformité. L'exigence 8.3 de la norme PCI DSS 4.0 rend la MFA obligatoire pour tous les accès administratifs hors console. L'exigence 1.3 requiert une segmentation réseau entre l'environnement des données des titulaires de carte et les autres réseaux. Okta RADIUS avec attribution de VLAN basée sur les groupes répond directement à ces deux exigences. Pour la conformité au GDPR, le journal système Okta fournit les enregistrements d'accès nécessaires pour démontrer les contrôles techniques appropriés sur les systèmes de traitement des données personnelles. Pour les sites déployant des Solutions modernes de WiFi pour l'hôtellerie , cette approche unifiée de l'identité et de l'accès réseau est de plus en plus un prérequis pour les achats d'entreprise.
Les organisations qui ont réalisé cette intégration signalent généralement une réduction des tickets d'assistance informatique liés au WiFi (moins de demandes de réinitialisation de mot de passe, moins d'incidents de mauvaise configuration de VLAN) et une amélioration mesurable des scores d'audit de sécurité. L'investissement dans le déploiement et la configuration de l'agent Okta RADIUS — généralement mesuré en jours plutôt qu'en semaines pour un déploiement sur un seul site — génère des économies opérationnelles continues qui se multiplient sur un parc réparti.
Termes clés et définitions
Okta RADIUS Agent
A lightweight on-premises or cloud-hosted proxy service that translates RADIUS authentication requests from network infrastructure (access points, WLCs) into Okta API calls, enabling the Okta cloud to serve as the authentication backend for 802.1X WiFi.
IT teams encounter this when deploying enterprise WiFi authentication backed by Okta. It is the critical bridge component between legacy RADIUS-based network infrastructure and modern cloud identity.
802.1X
An IEEE standard for port-based Network Access Control (NAC) that defines an authentication framework for wired and wireless networks. It uses the Extensible Authentication Protocol (EAP) to carry authentication credentials between the supplicant (device), authenticator (AP/switch), and authentication server (RADIUS).
802.1X is the foundation of enterprise WiFi security. Any deployment using WPA2-Enterprise or WPA3-Enterprise is using 802.1X. IT teams must understand the three-party model (supplicant, authenticator, authentication server) to troubleshoot connectivity issues.
EAP-TTLS (Extensible Authentication Protocol - Tunnelled Transport Layer Security)
An EAP method that establishes a TLS tunnel using only a server-side certificate, then carries a simpler inner authentication protocol (such as PAP) inside the tunnel. This protects the inner credentials from eavesdropping while requiring only server-side certificate infrastructure.
EAP-TTLS with PAP is the recommended protocol for Okta RADIUS WiFi authentication. It is more secure than bare PAP but does not require client-side certificates, making it practical for BYOD and mixed-device environments.
EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)
An EAP method that uses mutual certificate-based authentication — both the client and the server present digital certificates. It is the most secure 802.1X method, providing phishing-resistant, password-free authentication.
EAP-TLS is the gold standard for managed corporate device environments. It requires a PKI infrastructure and MDM for certificate distribution. The Okta RADIUS agent does not natively support EAP-TLS; a dedicated cloud PKI or RADIUS service is required.
PAP (Password Authentication Protocol)
A simple authentication protocol that transmits usernames and passwords in plaintext. In the context of 802.1X, PAP is used as the inner authentication method inside an EAP-TTLS tunnel, where the outer TLS layer provides encryption.
PAP is the primary authentication mechanism supported by the Okta RADIUS agent. IT teams must understand that PAP alone is insecure, but PAP inside EAP-TTLS is acceptable for enterprise WiFi when the server certificate is properly validated.
Dynamic VLAN Assignment
A network access control technique where a RADIUS server returns VLAN assignment attributes in the Access-Accept message, causing the wireless controller or switch to place the authenticated client on a specific VLAN based on their identity or group membership, rather than a static per-SSID VLAN.
Dynamic VLAN assignment is essential for network segmentation in multi-role environments (e.g., separating POS terminals from general staff devices). It is configured by returning RADIUS attributes 64, 65, and 81 in the Access-Accept message.
RADIUS Attribute 25 (Class)
A standard RADIUS attribute used to pass arbitrary authorisation data from the authentication server to the NAS. Okta uses this attribute to return Okta group membership information to the wireless controller, which can then use it for VLAN assignment or access policy decisions.
IT teams configuring Okta group-based VLAN assignment will configure the WLC to read the Class attribute value and map it to a VLAN ID. The exact attribute to use (11, 25, or 26) depends on the WLC vendor's documentation.
NAS (Network Access Server)
In RADIUS terminology, the NAS is the network device that receives the user's connection request and forwards it to the RADIUS server for authentication. In WiFi deployments, the NAS is typically the wireless access point or wireless LAN controller.
The NAS is the authenticator in the 802.1X model. IT teams must configure the NAS with the RADIUS server IP address, port, and shared secret. The NAS IP address should be whitelisted in the Okta RADIUS agent's service address filtering configuration.
Shared Secret
A pre-shared password used to authenticate RADIUS messages between the NAS (WLC/AP) and the RADIUS server (Okta RADIUS agent). It is used to compute a Message-Authenticator hash that verifies the integrity of RADIUS packets.
The shared secret must be identical on both the Okta RADIUS application configuration and the WLC/NAC RADIUS server entry. It should be at least 32 characters, randomly generated, and rotated on a regular schedule. A mismatch is a common cause of RADIUS authentication failures.
MFA Challenge (RADIUS Access-Challenge)
A RADIUS message type sent by the authentication server to the NAS when additional authentication factors are required. The NAS relays the challenge to the client, which must respond with the appropriate factor (e.g., OTP, push approval) before authentication can complete.
The Access-Challenge mechanism is how Okta enforces MFA over RADIUS. IT teams must ensure the WLC supports the challenge-response exchange and that the RADIUS timeout is long enough for the user to complete the MFA step.
Études de cas
A 150-property hotel chain currently uses on-premises NPS servers at each property for 802.1X staff WiFi authentication. Each NPS server is joined to a local Active Directory domain. The IT team wants to centralise identity management in Okta and eliminate the per-property NPS infrastructure. How should they approach the migration?
The recommended approach is a phased migration using the Okta RADIUS agent deployed in a centralised cloud VPC rather than at each property. Phase 1: Deploy two Okta RADIUS agent instances in a cloud VPC (e.g., AWS or Azure) in the same region as the majority of properties. Configure the agents to listen on UDP 1812. Phase 2: For each property, add the Okta RADIUS agent IPs as secondary RADIUS servers on the WLC, keeping the existing NPS as primary. This allows parallel operation and testing without disrupting live authentication. Phase 3: Migrate users from local AD to Okta. Use Okta's AD agent to sync existing accounts initially, then progressively move to Okta as the authoritative source. Phase 4: For each property, configure the WLC to use EAP-TTLS/PAP and push the new wireless profile to staff devices via MDM. Phase 5: Once all devices are confirmed on EAP-TTLS, switch the WLC RADIUS priority to the Okta agents as primary and decommission the NPS servers. Configure Okta groups (Front-Desk, Housekeeping, F&B, Management, IT-Admins) and enable group-based VLAN assignment using Attribute 25 (Class). Map each group to the appropriate VLAN on the WLC. Increase WLC RADIUS timeout to 45 seconds to accommodate Okta API latency.
A national retail chain with 320 stores needs to achieve PCI DSS 4.0 compliance for its staff WiFi. Store associates use handheld devices for inventory management, and a separate set of devices handles point-of-sale transactions. The chain uses Okta for all workforce identity. How do they implement VLAN segmentation using Okta RADIUS to satisfy PCI DSS network segmentation requirements?
Create three Okta groups: POS-Staff (for employees who operate POS terminals), Inventory-Staff (for warehouse and shop floor associates), and Store-Management. In the Okta RADIUS application, enable 'Include groups in RADIUS response' and select Attribute 25 (Class). Add all three groups to the response configuration. On the wireless controller at each store (or centrally via a cloud WLC), create three enforcement policies: (1) If Class = POS-Staff, assign Tunnel-Private-Group-ID = 40 (the POS VLAN, which is in scope for PCI DSS and has firewall rules restricting access to only the payment processor). (2) If Class = Inventory-Staff, assign Tunnel-Private-Group-ID = 50 (the inventory VLAN, out of PCI scope). (3) If Class = Store-Management, assign Tunnel-Private-Group-ID = 60 (the management VLAN with access to store management systems). Devices connecting with credentials of a user in the POS-Staff group are automatically placed on VLAN 40. If a store associate's role changes, updating their Okta group membership immediately changes their VLAN assignment on next connection — no WLC reconfiguration required. Document the Okta group-to-VLAN mapping in the network segmentation diagram for the PCI DSS QSA audit.
Analyse de scénario
Q1. A mid-size conference centre uses Okta for all staff identity management. They want to deploy 802.1X WiFi for staff using their existing Cisco Meraki access points. Their Windows laptops are managed via Microsoft Intune. The IT manager wants to enforce Okta Verify push MFA for all WiFi connections. What are the three most critical configuration steps they must complete, and what is the most likely failure mode if they skip any of them?
💡 Astuce :Consider the EAP protocol compatibility between Okta RADIUS and Windows defaults, the RADIUS timeout setting, and the client wireless profile configuration.
Afficher l'approche recommandée
The three critical steps are: (1) Deploy a wireless profile via Intune that configures Windows clients to use EAP-TTLS with PAP as the inner method — Windows defaults to PEAP-MSCHAPv2, which the Okta RADIUS agent does not support, causing all authentication attempts to be rejected. (2) Increase the Cisco Meraki RADIUS timeout from the default 5 seconds to at least 45-60 seconds — without this, the authentication request will time out before the user can approve the Okta Verify push notification. (3) Enable 'Permit Automatic Push for Okta Verify Enrolled Users' in the Okta RADIUS application's Advanced RADIUS Settings — without this, users may be prompted to manually select their MFA factor rather than receiving an automatic push. The most likely failure mode if step 1 is skipped is a complete authentication failure for all Windows devices. If step 2 is skipped, authentication will intermittently fail for users who take more than 5 seconds to approve the push. If step 3 is skipped, users will experience a confusing challenge prompt rather than a seamless push notification.
Q2. A large retail chain's security team has flagged that their current Okta RADIUS WiFi deployment uses a single RADIUS agent server. During a recent patching window, the server was offline for 45 minutes, causing WiFi authentication to fail across all 80 stores. What architectural changes should the IT team implement to prevent this, and what are the two deployment options for the agents?
💡 Astuce :Consider both the agent deployment topology and the WLC configuration required to support redundancy.
Afficher l'approche recommandée
The IT team should deploy a minimum of two Okta RADIUS agent instances and configure the WLC at each store to use both agents. There are two deployment options: Option A (Centralised Cloud VMs) — deploy both agents in a cloud VPC (e.g., AWS or Azure), ideally in different availability zones. The WLC at each store points to both cloud IPs, with one as primary and one as secondary (or with load balancing enabled). This minimises per-site infrastructure but introduces WAN dependency. Option B (On-Premises Redundant Pair) — deploy two agent servers at a central data centre or co-location facility, with the WLC using RADIUS failover. On the WLC, configure the primary RADIUS server as Agent 1 and the secondary as Agent 2, with a failover timeout of 3-5 seconds. Enable 'Dead Server Detection' if supported by the WLC vendor. Additionally, the IT team should configure health monitoring in the Okta Admin Console and set up alerting if an agent goes offline. For stores with local servers, a local agent can serve as a tertiary fallback for resilience against WAN outages.
Q3. An enterprise organisation is evaluating whether to use the Okta RADIUS agent with EAP-TTLS/PAP or to invest in a cloud PKI solution for EAP-TLS for their corporate WiFi. They have 2,000 managed Windows and macOS devices enrolled in Microsoft Intune, and they are subject to PCI DSS 4.0. What is the recommended approach and what is the primary security justification?
💡 Astuce :Consider the PCI DSS requirements, the device management maturity (all devices are MDM-enrolled), and the security properties of each authentication method.
Afficher l'approche recommandée
The recommended approach is to invest in EAP-TLS with a cloud PKI solution. The primary security justification is mutual authentication: EAP-TLS requires both the client and the RADIUS server to present digital certificates, meaning the device cryptographically proves its identity to the network and the network proves its identity to the device. This eliminates the risk of evil twin attacks (where a rogue AP impersonates the corporate SSID) and removes passwords from the WiFi authentication equation entirely, eliminating credential theft and phishing as attack vectors. For PCI DSS 4.0, EAP-TLS satisfies Requirement 8.3 (MFA for non-console admin access) implicitly through certificate-based authentication, and it supports WPA3-Enterprise 192-bit mode (Requirement 4.2.1 for strong cryptography). The prerequisite — all 2,000 devices enrolled in Intune — is already met, making certificate distribution via Intune SCEP profiles straightforward. The Okta RADIUS agent with EAP-TTLS/PAP would be an acceptable interim solution during the PKI build-out, but given the PCI DSS scope and the fully managed device estate, EAP-TLS is the correct long-term architecture. The additional investment in a cloud PKI service (typically $3-8 per device per year) is justified by the security uplift and reduced credential management overhead.
Points clés à retenir
- ✓The Okta RADIUS agent proxies 802.1X WiFi authentication requests from network infrastructure to the Okta cloud via HTTPS, enabling cloud identity to govern network access without on-premises directory servers.
- ✓The agent supports EAP-TTLS with PAP and EAP-GTC, but does NOT support PEAP-MSCHAPv2 (the Windows default) or EAP-TLS — client supplicants must be reconfigured via MDM or GPO before deployment.
- ✓MFA on WiFi is technically supported (Okta Verify push, TOTP, SMS) but requires increasing the WLC RADIUS timeout to 30-60 seconds; it is best reserved for administrative SSIDs rather than general staff WiFi due to roaming friction.
- ✓Dynamic VLAN assignment is achieved by enabling 'Include groups in RADIUS response' in Okta and mapping the returned Class (Attribute 25) or Filter-Id (Attribute 11) to VLAN tunnel attributes (64, 65, 81) on the WLC or NAC appliance.
- ✓Always deploy a minimum of two Okta RADIUS agent instances for high availability — a single agent is a critical single point of failure for all WiFi authentication across the estate.
- ✓For fully managed device environments subject to PCI DSS or high-security requirements, EAP-TLS with a cloud PKI is the superior long-term architecture; Okta RADIUS with EAP-TTLS/PAP is the pragmatic choice for BYOD or rapid deployment scenarios.
- ✓Okta RADIUS is a workforce identity tool — deploy a dedicated guest WiFi captive portal solution for visitor access to avoid Okta licence scaling costs and maintain clean separation between staff and guest network access.
