Okta e RADIUS: Estendere il tuo Identity Provider all'autenticazione WiFi

Sintesi operativa

Per i team IT aziendali che gestiscono sedi distribuite — dalle catene alberghiere agli stadi — l'unificazione del controllo degli accessi alla rete con un identity provider cloud è un passo fondamentale verso lo Zero Trust. L'agente Okta RADIUS colma il divario tra la moderna identità cloud e l'infrastruttura WiFi 802.1X tradizionale, consentendo alle organizzazioni di abbandonare i server RADIUS on-premises legacy e l'infrastruttura Active Directory per l'autenticazione di rete.

Questa guida descrive in dettaglio come distribuire l'agente Okta RADIUS per l'autenticazione WiFi aziendale, coprendo l'architettura proxy, i meccanismi di applicazione della MFA e i compromessi tra EAP-TTLS basato su password ed EAP-TLS basato su certificati. Fornisce inoltre indicazioni pratiche sulla mappatura delle appartenenze ai gruppi Okta agli attributi RADIUS per l'assegnazione dinamica delle VLAN — una funzionalità che supporta direttamente i requisiti di segmentazione della rete PCI DSS. Integrando Okta per l'autenticazione del personale insieme alle soluzioni Guest WiFi , i gestori delle sedi possono ottenere un livello di accesso unificato, sicuro e conforme senza duplicare l'infrastruttura di identità.

Approfondimento tecnico

Come funziona l'agente Okta RADIUS

L'agente Okta RADIUS è un servizio di sistema leggero che funge da proxy tra i Network Access Servers (NAS) — come i wireless access points (WAP) o i wireless LAN controllers (WLC) — e il cloud Okta. Viene tipicamente distribuito su un server Windows o Linux on-premises o all'interno di un VPC cloud, e viene gestito interamente dalla console di amministrazione di Okta dopo l'installazione iniziale.

Il flusso di autenticazione segue un modello proxy 802.1X standard. Il dispositivo di un utente (il supplicant) si connette a un SSID aziendale e presenta le credenziali. Il WAP o il WLC (l'authenticator) inoltra una Access-Request RADIUS all'agente Okta RADIUS sulla porta UDP 1812. L'agente incanala in modo sicuro questa richiesta al cloud Okta tramite una chiamata API HTTPS, dove il motore delle policy di Okta valuta le credenziali rispetto alla sua directory utenti e a qualsiasi policy di accesso configurata. Se l'autenticazione ha esito positivo, l'agente restituisce un messaggio Access-Accept RADIUS all'authenticator, includendo opzionalmente attributi RADIUS per l'autorizzazione come l'assegnazione della VLAN. Se è richiesta la MFA, l'agente invia una Access-Challenge RADIUS al client, richiedendo un secondo fattore prima che venga restituita la decisione finale.

Questo modello proxy significa che l'agente Okta RADIUS non ha bisogno di memorizzare localmente le credenziali dell'utente. Tutta la logica di autenticazione, la valutazione delle policy e la registrazione dei log di audit avvengono nel cloud Okta, offrendo agli amministratori un'unica interfaccia per la governance dell'identità sia per le applicazioni cloud che per l'accesso alla rete.

Protocolli EAP supportati e limitazioni critiche

Un vincolo architettonico fondamentale dell'agente Okta RADIUS è la sua dipendenza dal Password Authentication Protocol (PAP) per l'autenticazione primaria. Sebbene il PAP trasmetta le password in chiaro nel livello interno, queste sono incapsulate e protette dal tunnel TLS esterno dell'Extensible Authentication Protocol (EAP). I protocolli esterni supportati sono EAP-TTLS (con PAP come metodo interno) ed EAP-GTC. Per un confronto più approfondito dei metodi EAP, consultare la guida di riferimento Comparativa de métodos EAP: PEAP, EAP-TLS, EAP-TTLS y EAP-FAST .

Fondamentalmente, PEAP-MSCHAPv2 non è supportato. Questo è il protocollo 802.1X predefinito per i client Windows e molti ambienti aziendali legacy. Le organizzazioni che migrano da una configurazione RADIUS NPS/Active Directory tradizionale devono riconfigurare i propri client supplicant per utilizzare EAP-TTLS con PAP — una modifica che in genere richiede un profilo wireless distribuito tramite MDM o Group Policy. Il mancato rispetto di questo requisito è la causa più comune di fallimento nelle implementazioni di Okta RADIUS.

EAP-TLS, che si basa interamente sull'autenticazione reciproca basata su certificati, non è supportato nativamente dall'agente Okta RADIUS. Le organizzazioni che richiedono EAP-TLS devono distribuire una PKI dedicata o una soluzione RADIUS cloud che si integri con Okta come IdP tramite SAML o OIDC, anziché utilizzare direttamente l'agente Okta RADIUS.

Applicazione della MFA sulle connessioni WiFi

L'agente Okta RADIUS supporta la MFA per l'accesso WiFi, ma introduce sfide per l'esperienza utente che devono essere attentamente considerate prima della distribuzione. Quando viene attivata una policy MFA, l'agente invia una Access-Challenge RADIUS al client. Okta supporta diversi fattori per le applicazioni RADIUS:

Il vincolo pratico è il roaming. Negli ambienti Hospitality , il tablet di un addetto alle pulizie può passare da un access point all'altro decine di volte per turno, attivando ogni volta la ri-autenticazione. Richiedere l'approvazione di una notifica push a ogni roaming è operativamente insostenibile. Per il WiFi del personale generico, le policy sulle password forti combinate con il trust del dispositivo di Okta e le policy sulle zone di rete sono in genere preferite rispetto ai prompt MFA attivi. La MFA sul WiFi dovrebbe essere riservata agli SSID amministrativi o a scenari di accesso ad alto privilegio.

Autenticazione basata su password vs basata su certificati

La scelta tra RADIUS basato su password (tramite l'agente Okta RADIUS) ed EAP-TLS basato su certificati è una delle decisioni più importanti in un'implementazione WiFi aziendale. I compromessi non riguardano solo la sicurezza; coinvolgono la complessità della distribuzione, la maturità della gestione dei dispositivi e il sovraccarico operativo.

L'autenticazione basata su password tramite l'agente Okta RADIUS offre un percorso rapido verso l'identità unificata. Se la tua organizzazione gestisce già gli utenti in Okta, la distribuzione può essere completata in ore anziché in settimane. Non c'è una PKI da costruire, nessun certificato da distribuire e nessuna dipendenza da MDM. Il compromesso è che le password rimangono la credenziale primaria e l'assenza di autenticazione reciproca significa che il client non può verificare crittograficamente l'identità della rete — un vettore per attacchi evil twin in ambienti ad alto rischio.

L'EAP-TLS basato su certificati elimina completamente le password dall'equazione dell'autenticazione WiFi. Il client presenta un certificato del dispositivo e il server RADIUS presenta un certificato del server, fornendo un'autenticazione reciproca. Questo è l'approccio consigliato per IEEE 802.1X su reti WPA3-Enterprise, in particolare in ambienti soggetti a PCI DSS o NCSC Cyber Essentials Plus. Il prerequisito è una PKI funzionante — una distribuzione Microsoft ADCS on-premises o un servizio PKI cloud — e una piattaforma MDM in grado di distribuire certificati a tutti gli endpoint gestiti. Per gli ambienti Retail con centinaia di dispositivi point-of-sale gestiti, questo investimento è ben giustificato. Per ambienti con molti dispositivi BYOD o distribuzioni rapide, Okta RADIUS con EAP-TTLS è la scelta pragmatica.

Mappatura degli attributi RADIUS per l'assegnazione dinamica delle VLAN

L'assegnazione dinamica delle VLAN è l'ambito in cui l'integrazione di Okta RADIUS offre il valore operativo più tangibile. Mappando l'appartenenza ai gruppi Okta agli attributi RADIUS, gli amministratori di rete possono applicare la segmentazione della rete basata sui ruoli senza mantenere policy VLAN separate per dispositivo o per posizione.

Okta passa i dati di appartenenza al gruppo nel messaggio Access-Accept RADIUS utilizzando uno dei tre attributi, configurabili nelle impostazioni RADIUS avanzate dell'applicazione Okta:

• Attributo 11 (Filter-Id): Un attributo stringa contenente il nome del gruppo. Ampiamente supportato da vari fornitori.
• Attributo 25 (Class): Un attributo opaco utilizzato per l'autorizzazione. Supportato da Cisco ISE, Aruba ClearPass e Fortinet.
• Attributo 26 (Vendor-Specific): Consente sotto-attributi specifici del fornitore per un controllo più granulare.

Il controller di rete (WLC, appliance NAC) riceve il nome del gruppo Okta nell'attributo scelto e lo mappa agli attributi tunnel RADIUS standard richiesti per l'assegnazione della VLAN:

Ad esempio, un utente nel gruppo Okta Retail-POS-Staff riceverebbe Class: Retail-POS-Staff nel messaggio Access-Accept. La policy del WLC mapperebbe questo valore a Tunnel-Private-Group-ID: 40, posizionando il dispositivo sulla VLAN 40 — la rete POS isolata. Un utente in Store-Management verrebbe inserito nella VLAN 50. Questa logica viene applicata all'edge della rete, non in Okta, ma è guidata interamente dall'appartenenza al gruppo Okta.

Guida all'implementazione

Passaggio 1: Distribuire l'agente Okta RADIUS (Alta disponibilità)

Distribuisci l'agente Okta RADIUS su un minimo di due server — on-premises o in un VPC cloud — per garantire l'alta disponibilità. Le distribuzioni con un singolo agente rappresentano un rischio critico: se il server non è disponibile per l'applicazione di patch o subisce un guasto, tutta l'autenticazione WiFi 802.1X fallirà nell'intera struttura. Configura il tuo WLC o l'appliance NAC per bilanciare il carico delle richieste RADIUS tra entrambi gli agenti.

Durante l'installazione, l'agente richiederà un login come amministratore Okta per autorizzare l'agente e collegarlo al tenant Okta. Una volta autorizzato, l'agente appare nella console di amministrazione di Okta in Settings > Downloads > RADIUS Agent Status, dove è possibile monitorare lo stato di salute e la connettività.

Passaggio 2: Configurare l'applicazione RADIUS in Okta

1. Nella console di amministrazione di Okta, vai su Applications > Applications e cerca nel catalogo delle app RADIUS Application.
2. Aggiungi l'applicazione, assegnale un nome descrittivo (es. Corporate-WiFi-Staff) e fai clic su Next.
3. Nella scheda Sign On, configura la RADIUS Port (predefinita 1812) e genera un Shared Secret forte, generato casualmente, di almeno 32 caratteri.
4. In Advanced RADIUS Settings, abilita Accept password and security token in the same login request se intendi supportare il TOTP aggiunto alle password.
5. Opzionalmente, abilita Permit Automatic Push for Okta Verify Enrolled Users per una MFA basata su push senza interruzioni.
6. Assegna l'applicazione ai gruppi Okta pertinenti che rappresentano il tuo personale.

Passaggio 3: Configurare l'assegnazione della VLAN basata sui gruppi

1. Nelle impostazioni Sign On dell'applicazione RADIUS, fai clic su Edit nella sezione Advanced RADIUS Settings.
2. Seleziona Include groups in RADIUS response.
3. Seleziona l'attributo RADIUS: 25 Class è consigliato per ambienti Aruba e Cisco; 11 Filter-Id per Fortinet e altri.
4. Aggiungi i nomi specifici dei gruppi Okta da includere (es. Retail-POS-Staff, Store-Management, IT-Admins).
5. Sul tuo WLC o appliance NAC, crea policy di applicazione che mappino ogni nome di gruppo ai corrispondenti attributi del tunnel VLAN.

Passaggio 4: Configurare i client supplicant

Poiché PEAP-MSCHAPv2 non è supportato, i dispositivi client devono essere configurati per utilizzare EAP-TTLS con PAP come metodo interno. Distribuisci un profilo di rete wireless tramite la tua piattaforma MDM (es. Microsoft Intune, Jamf Pro) o tramite Group Policy Objects (GPO) per i dispositivi Windows aggiunti al dominio. Il profilo dovrebbe specificare:

• SSID: Il nome del tuo SSID aziendale
• Security: WPA2-Enterprise o WPA3-Enterprise
• EAP Method: EAP-TTLS
• Inner Authentication: PAP
• Server Certificate Validation: Abilitato (collegalo al CN del certificato server del tuo agente RADIUS)

Passaggio 5: Impostare i timeout RADIUS

Aumenta il timeout RADIUS sul tuo WLC dai predefiniti 3-5 secondi a 30-60 secondi. Questo è fondamentale se si utilizzano le notifiche push MFA, poiché l'utente deve avere tempo sufficiente per approvare la notifica sul proprio dispositivo prima che il WLC abbandoni il tentativo di autenticazione.

Best Practice

L'implementazione di Okta RADIUS per l'autenticazione WiFi è semplice, ma diverse best practice operative distinguono una distribuzione di produzione resiliente da un proof-of-concept fragile.

Segmenta il traffico ospiti e personale a livello di SSID. Okta RADIUS è uno strumento per l'identità della forza lavoro. Per l'accesso di visitatori e ospiti, distribuisci una soluzione Captive Portal dedicata. Ciò evita che i costi delle licenze Okta aumentino con il volume degli ospiti e garantisce una netta separazione delle responsabilità. I clienti aziendali Purple possono distribuire Guest WiFi su un SSID separato utilizzando Okta RADIUS per l'autenticazione del personale sulla stessa infrastruttura fisica.

Utilizza un'appliance NAC per ambienti con policy complesse. Se il tuo ambiente richiede l'accesso condizionale basato sullo stato del dispositivo, il filtraggio degli indirizzi MAC o lo stato del certificato insieme all'identità dell'utente, distribuisci un'appliance NAC intermedia (Aruba ClearPass, Cisco ISE o Portnox) per inoltrare le richieste all'agente Okta RADIUS. L'appliance NAC può arricchire la risposta RADIUS con attributi tunnel aggiuntivi che l'agente Okta da solo non può generare.

Monitora tramite l'Okta System Log. Ogni evento di autenticazione — successo, fallimento, richiesta MFA e tipo di fattore — viene registrato nell'Okta System Log. Configura lo streaming dei log verso il tuo SIEM per avvisi in tempo reale su anomalie di autenticazione. Ciò è particolarmente prezioso per le organizzazioni del settore Healthcare e del settore pubblico soggette a requisiti di audit.

Ruota i segreti condivisi secondo una pianificazione. Il segreto condiviso tra l'applicazione Okta RADIUS e il tuo NAS è una credenziale di sicurezza critica. Implementa un programma di rotazione (si consiglia trimestrale) e aggiorna contemporaneamente sia l'applicazione Okta che la configurazione WLC/NAC.

Limita gli indirizzi del servizio RADIUS. Nella configurazione dell'agente Okta RADIUS, limita gli indirizzi IP autorizzati a inviare richieste RADIUS. Ciò impedisce a dispositivi NAS non autorizzati di tentare l'autenticazione contro il tuo tenant Okta.

Per indicazioni sul contesto più ampio dell'architettura di rete, consulta The Core SD WAN Benefits for Modern Businesses e Wireless Access Points Definition Your Ultimate 2026 Guide .

Risoluzione dei problemi e mitigazione dei rischi

La tabella seguente riassume le modalità di guasto più comuni riscontrate nelle distribuzioni WiFi Okta RADIUS e le relative mitigazioni consigliate.

Per gli ambienti del settore Transport e del settore pubblico in cui l'uptime della rete è fondamentale, implementa un monitoraggio sintetico che testi periodicamente l'autenticazione RADIUS end-to-end e segnali i guasti prima che gli utenti ne risentano.

ROI e impatto aziendale

Il business case per l'autenticazione WiFi Okta RADIUS si basa su tre pilastri: efficienza operativa, miglioramento della postura di sicurezza e prontezza alla conformità.

Efficienza operativa. Il consolidamento dell'autenticazione WiFi in Okta elimina la necessità di mantenere un'infrastruttura RADIUS on-premises separata (server NPS, AD locale) in ogni sede o sito. Per una catena alberghiera con 50 proprietà, ciò può rappresentare una riduzione significativa dei costi infrastrutturali per sito e del sovraccarico del supporto IT. Il provisioning e il deprovisioning degli utenti diventano atomici: l'aggiunta di un utente al gruppo Okta corretto garantisce contemporaneamente l'accesso all'applicazione e l'appropriato accesso alla VLAN WiFi. Quando un dipendente se ne va, la disattivazione del suo account Okta revoca immediatamente l'accesso WiFi in tutti i siti.

Postura di sicurezza. La sostituzione delle password WiFi PSK condivise con l'autenticazione 802.1X per utente elimina la condivisione delle credenziali, un vettore comune per le minacce interne e l'accesso non autorizzato. Combinato con l'assegnazione dinamica delle VLAN, questo applica il principio del privilegio minimo a livello di rete. L'Okta System Log fornisce un audit trail completo e a prova di manomissione di ogni evento di autenticazione WiFi, essenziale per la risposta agli incidenti.

Prontezza alla conformità. Il requisito 8.3 di PCI DSS 4.0 impone la MFA per tutti gli accessi amministrativi non da console. Il requisito 1.3 richiede la segmentazione della rete tra l'ambiente dei dati dei titolari di carta e le altre reti. Okta RADIUS con assegnazione della VLAN basata sui gruppi risponde direttamente a entrambi i requisiti. Per la conformità al GDPR, l'Okta System Log fornisce i record di accesso necessari per dimostrare controlli tecnici appropriati sui sistemi di trattamento dei dati personali. Per le sedi che implementano Modern Hospitality WiFi Solutions , questo approccio unificato all'identità e all'accesso alla rete è sempre più un prerequisito per gli appalti aziendali.

Le organizzazioni che hanno completato questa integrazione riportano in genere una riduzione dei ticket di supporto IT relativi al WiFi (meno richieste di reset della password, meno incidenti di configurazione errata della VLAN) e un miglioramento misurabile nei punteggi degli audit di sicurezza. L'investimento nella distribuzione e configurazione dell'agente Okta RADIUS — tipicamente misurato in giorni anziché in settimane per una distribuzione in un singolo sito — offre risparmi operativi continui che si accumulano in una struttura distribuita.