Deixe de executar FreeRADIUS, NPS ou Cisco ISE. O cloud RADIUS da Purple autentica WiFi de convidados, funcionários e multi-tenant face ao seu fornecedor de identidade existente — EAP-TLS, PEAP e iPSK — com failover multi-região e um SLA de disponibilidade de 99,9%. Ativo nos seus pontos de acesso em menos de uma hora.
O RADIUS-as-a-Service (por vezes escrito RADIUSaaS ou cloud RADIUS) é um serviço de autenticação RADIUS totalmente gerido, fornecido como um SaaS. Direciona os seus pontos de acesso para um hostname; a Purple valida cada pedido de adesão face ao seu fornecedor de identidade e indica ao ponto de acesso em que VLAN deve colocar o dispositivo.
O serviço gere EAP sobre RADIUS exatamente da mesma forma que um cluster FreeRADIUS, uma farm Microsoft NPS ou um appliance Cisco ISE — para que os seus clientes (portáteis, telemóveis, IoT, BYOD) não precisem de reconfiguração. O que deixa de fazer é gerir os servidores: sem patches de SO, sem manutenção da cadeia de certificados no plano de autenticação, sem conceção para alta disponibilidade, sem planeamento de capacidade para dias de reabertura de escritórios.
Três forças convergiram para tornar a cloud a postura RADIUS predefinida para novas implementações.
A sua identidade principal é agora o Entra ID, Okta ou Google Workspace — e não o Active Directory on-prem. O RADIUS on-prem obriga a uma sincronização de AD ou a uma ponte híbrida que o cloud RADIUS remove inteiramente. O aprovisionamento SCIM significa que um funcionário que saia da empresa perde o acesso ao WiFi no mesmo segundo em que perde o e-mail.
O WPA3-Enterprise e a higiene informática moderna impulsionam o EAP-TLS com certificados emitidos por máquinas. Gerir a sua própria CA sobre o RADIUS on-prem é um fardo operacional que a maioria das equipas já não deseja. A Purple associa o RADIUS-as-a-Service à emissão gerida de certificados onde for necessário.
O RADIUS HA on-prem significa duas caixas, uma topologia de replicação e um teste de failover trimestral. O cloud RADIUS oferece-lhe multi-região ativo-ativo desde o primeiro dia. Os pontos de acesso são configurados com dois ou três endpoints; o failover ocorre em segundos sem intervenção do operador.
Cada pedido de adesão segue o mesmo caminho. O cliente (portátil, telemóvel, IoT) tenta associar-se a um SSID configurado para 802.1X. O ponto de acesso, atuando como o autenticador, encapsula o tráfego EAP do cliente dentro de um pacote RADIUS e encaminha-o para a Purple. A Purple, atuando como o servidor de autenticação, valida a credencial face ao seu IdP e devolve Access-Accept juntamente com a VLAN e a política a aplicar. O ponto de acesso aplica a decisão. Latência total: dezenas de milissegundos.
Access-Accept com atributos de VLAN, ACL e política.| Método | Credencial | Ideal para |
|---|---|---|
| EAP-TLS | Certificado de cliente X.509 | Frotas geridas. Padrão de excelência — sem palavra-passe, sem superfície de phishing. |
| PEAP-MSCHAPv2 | Nome de utilizador + palavra-passe | Dispositivos legados e implementações de transição. |
| EAP-TTLS | Nome de utilizador + palavra-passe dentro de um túnel TLS | Diretórios não-AD e locais com clientes mistos. |
| EAP-FAST | Protected Access Credential | Redes com forte presença Cisco com política EAP-FAST existente. |
| iPSK | Chave pré-partilhada única por dispositivo | BYOD, IoT e WiFi multi-tenant onde os certificados são impraticáveis. |
O RADIUS-as-a-Service da Purple autentica face a qualquer fornecedor de identidade que já detenha a verdade sobre os seus utilizadores. O aprovisionamento SCIM mantém a adesão sincronizada sem um trabalho em lote noturno.
O RADIUS-as-a-Service corre em qualquer ponto de acesso de classe empresarial que suporte RADIUS padrão. Sem troca de hardware, sem atualização de controlador.
Verificado com: Cisco Meraki, Cisco Catalyst, Aruba (HPE), Ruckus (CommScope), Juniper Mist, Ubiquiti UniFi, Cambium Networks, Extreme Networks, Fortinet FortiAP,e mais. Se o seu ponto de acesso puder ser configurado com um IP ou hostname de servidor RADIUS, a Purple é compatível.
| Cloud RADIUS (Purple) | On-premise (FreeRADIUS / NPS / ISE) | |
|---|---|---|
| Tempo de implementação | Menos de uma hora | Dias a semanas |
| Alta disponibilidade | Ativo-ativo multi-região, por predefinição | DIY — dois servidores mais replicação |
| Atualização do SO | Gerido pelo fornecedor | A sua equipa de operações |
| Integração de identidade | Nativo Entra ID, Okta, Google Workspace | AD-first, IdP na cloud via bridges |
| Gestão de certificados | Opção de PKI gerida | Necessário PKI alojada localmente |
| Escalabilidade | Elástica, faturação por AP | Exercício de planeamento de capacidade |
| Custo total de propriedade | Subscrição previsível por AP | Licença + hardware + operações + tempo de inatividade |
O RADIUS-as-a-Service é um serviço de autenticação RADIUS alojado na cloud que substitui os servidores locais FreeRADIUS, Microsoft NPS ou Cisco ISE. Os seus pontos de acesso encaminham os pedidos de autenticação para a cloud; as credenciais são validadas face ao seu fornecedor de identidade (Entra ID, Okta, Google Workspace) e os dispositivos são admitidos na VLAN correta. Não gere servidores, não aplica patches no SO e herda alta disponibilidade multi-região por predefinição.
O RADIUS local (FreeRADIUS, NPS, Cisco ISE) requer servidores, aplicação de patches, gestão de certificados e um design de alta disponibilidade. O RADIUS na cloud elimina tudo isso — basta apontar os seus pontos de acesso para um hostname e o fornecedor trata do tempo de atividade, escalabilidade e atualizações. O fluxo de autenticação é idêntico (EAP sobre RADIUS), pelo que os dispositivos clientes não notam a diferença.
EAP-TLS (baseado em certificados, o padrão de excelência), PEAP-MSCHAPv2 (utilizador/palavra-passe para dispositivos legados), EAP-TTLS e EAP-FAST. A maioria das implementações em produção utiliza EAP-TLS para dispositivos geridos e recorre ao PEAP durante um período de transição. O iPSK é oferecido em paralelo para casos de utilização BYOD e multi-inquilino onde o fornecimento de certificados é impraticável.
Microsoft Entra ID (Azure AD), Okta, Google Workspace, OneLogin, JumpCloud, Active Directory (via LDAP bind ou túnel seguro) e qualquer IdP compatível com SAML 2.0 ou SCIM. O aprovisionamento SCIM garante que um funcionário que saia da sua empresa perca o acesso WiFi no exato momento em que perde o acesso ao e-mail — sem credenciais órfãs.
A Purple opera endpoints de autenticação RADIUS em múltiplas regiões com failover ativo-ativo. Os pontos de acesso são configurados com dois ou três alvos de autenticação; se o endpoint primário falhar as verificações de estado, o tráfego move-se para a região seguinte em segundos. O serviço é apoiado por um SLA de tempo de atividade de 99,9%.
Não. Qualquer ponto de acesso de nível empresarial que suporte RADIUS (Cisco, Aruba, Ruckus, Juniper Mist, Meraki, Ubiquiti UniFi, Cambium, Extreme) pode encaminhar a autenticação para a Purple. Altera o endereço do servidor RADIUS em cada SSID e o AP faz o resto.
Por ponto de acesso por mês, com descontos de volume à escala. Não existe um contador por autenticação ou por utilizador, pelo que pode ativar o 802.1X em toda a sua frota de dispositivos sem faturas surpresa. Os preços estão publicados na calculadora de preços da Purple.
Sim. Uma migração típica demora um fim de semana para uma implementação de média dimensão: configure a Purple a par do RADIUS existente, adicione a Purple como um alvo de autenticação secundário nos pontos de acesso, mova os SSID um de cada vez e desative o servidor legado assim que o tráfego for drenado. Os serviços profissionais da Purple executam a transição para clientes empresariais.
See how radius-as-a-service works in venues like yours, and how Purple compares to alternatives.
Veja o Purple RADIUS-as-a-Service a funcionar em conjunto com a sua implementação existente da Cisco, Aruba, Ruckus, Juniper Mist, Meraki ou Ubiquiti. Implementado numa tarde.