身份已迁移至云端
您的主要身份现在是 Entra ID、Okta 或 Google Workspace,而不是本地 Active Directory。本地 RADIUS 强制要求 AD 同步或混合桥接,而云 RADIUS 则完全消除了这一点。SCIM 配置意味着离职员工在失去电子邮件访问权限的同时,也会立即失去 WiFi 访问权限。
RADIUS-as-a-Service。简单高效的云 RADIUS。
停止运行 FreeRADIUS、NPS 或 Cisco ISE。Purple 的云 RADIUS 可根据您现有的身份提供商对访客、员工和多租户 WiFi 进行身份验证(支持 EAP-TLS、PEAP 和 iPSK),并提供多区域故障转移和 99.9% 的运行时间 SLA。不到一小时即可在您的接入点上启用。
TL;DR / Key Takeaways
- Cloud RADIUS eliminates the need for expensive, difficult-to-maintain on-premise RADIUS servers.
- Enables secure 802.1X authentication for WiFi, VPN, and wired networks across all corporate locations from a centralized dashboard.
- Integrates directly with your existing identity providers (Entra ID, Google Workspace, Okta) without requiring LDAP sync.
- Supports dynamic policies, VLAN assignment, and certificate-based authentication (EAP-TLS) for maximum security.
什么是 RADIUS-as-a-Service?
RADIUS-as-a-Service(有时写作 RADIUSaaS 或 云 RADIUS)是一种作为 SaaS 交付的全托管 RADIUS 身份验证服务。您只需将接入点指向一个主机名;Purple 会根据您的身份提供商验证每个加入请求,并告知接入点将设备分配到哪个 VLAN。
该服务处理 RADIUS 上的 EAP 方式与 FreeRADIUS 集群、Microsoft NPS 场或 Cisco ISE 设备完全相同,因此您的客户端(笔记本电脑、手机、IoT、BYOD)无需重新配置。您不再需要运行服务器:无需操作系统补丁,无需在验证平面维护证书链,无需设计高可用性,也无需为办公室重新开放日进行容量规划。
为什么在 2026 年转向云 RADIUS?
三大趋势共同促使云端成为新部署的默认 RADIUS 架构。
证书而非密码
WPA3-Enterprise 和现代 IT 规范都倾向于使用机器颁发证书的 EAP-TLS。在本地 RADIUS 之上运行自己的 CA 是大多数团队不再希望承担的运维负担。Purple 将 RADIUS-as-a-Service 与托管证书颁发(根据需要)相结合。
高可用性是默认配置,而非工程项目
本地 RADIUS 高可用性意味着两台设备、一个复制拓扑和每季度的故障转移测试。云 RADIUS 从第一天起就为您提供双活多区域支持。接入点配置有两个或三个端点;故障转移在几秒钟内发生,无需人工干预。
身份验证流程
每个加入请求都遵循相同的路径。客户端(笔记本电脑、手机、IoT)尝试关联到配置了 802.1X 的 SSID。接入点作为 authenticator,将客户端的 EAP 流量封装在 RADIUS 数据包中并转发给 Purple。Purple 作为 authentication server,根据您的 IdP 验证凭据,并返回 Access-Accept 以及要应用的 VLAN 和策略。接入点执行该决策。总延迟:几十毫秒。
- 客户端启动与 SSID 的 802.1X 关联。
- 接入点(验证器)将 RADIUS 内部的 EAP 转发至 Purple。
- Purple 根据 IdP 验证证书、密码或 iPSK。
- Purple 返回带有 VLAN、ACL 和策略属性的
Access-Accept。 - 接入点将设备准入正确的网段。
支持的 EAP 方法
| 方法 | 凭据 | 最适用于 |
|---|---|---|
| EAP-TLS | X.509 客户端证书 | 托管设备群。黄金标准——无密码,无网络钓鱼风险。 |
| PEAP-MSCHAPv2 | 用户名 + 密码 | 旧设备和过渡性部署。 |
| EAP-TTLS | TLS 隧道内的用户名 + 密码 | 非 AD 目录和混合客户端场所。 |
| EAP-FAST | 受保护的访问凭据 (PAC) | 具有现有 EAP-FAST 策略的 Cisco 密集型网络。 |
| iPSK | 每设备唯一的预共享密钥 | BYOD、IoT 和多租户 WiFi,其中证书不切实际。 |
身份提供商集成
Purple RADIUS-as-a-Service 可根据任何已存储用户真实信息的身份提供商进行身份验证。SCIM 配置可保持成员身份同步,无需夜间批处理作业。
- Microsoft Entra ID — 与基于组的策略和条件访问信号移交直接集成。
- Okta — SAML + SCIM,支持按组划分的 VLAN 策略。
- Google Workspace — 为 Google 优先型组织提供全域身份验证。
- OneLogin, JumpCloud — 标准 SAML / SCIM。
- Active Directory — 通过安全 LDAP 绑定,适用于仍将本地 AD 作为单一事实来源的混合环境。
- Any SAML 2.0 IdP — 为未明确列出的 IdP 提供通用 SAML 联合身份验证。
硬件兼容性
RADIUS-as-a-Service 可在任何支持标准 RADIUS 的企业级接入点上运行。无需更换硬件,无需升级控制器。
已验证设备: Cisco Meraki, Cisco Catalyst, Aruba (HPE), Ruckus (CommScope), Juniper Mist, Ubiquiti UniFi, Cambium Networks, Extreme Networks, Fortinet FortiAP,等。如果您的接入点可以配置 RADIUS 服务器 IP 或主机名,则 Purple 兼容。
安全性、合规性和数据驻留
- 传输加密: 支持 RadSec (RADIUS over TLS),对于原生不支持 RadSec 的接入点,可回退至 IPsec。
- 审计追踪: 记录每个身份验证事件,包括用户、设备、AP、SSID 和结果。可通过 webhook 或 syslog 导出到 SIEM。
- 认证: ISO 27001、SOC 2 合规、GDPR 和 B Corp。
- 数据驻留: 提供欧盟、英国和美国区域;客户在配置时选择区域。
- 零静态凭据: Purple 从不存储用户密码。身份验证实时代理到您的 IdP。
云 RADIUS 与本地 RADIUS 对比
| 云 RADIUS (Purple) | 本地 (FreeRADIUS / NPS / ISE) | |
|---|---|---|
| 上线时间 | 不到一小时 | 数天至数周 |
| 高可用性 | 默认多区域双活 | 自行构建 — 两台设备加复制 |
| 操作系统补丁 | 供应商管理 | 您的运维团队 |
| 身份集成 | 原生支持 Entra ID、Okta、Google Workspace | AD 优先,通过桥接连接云 IdP |
| 证书管理 | 托管 PKI 选项 | 需要自托管 PKI |
| 可扩展性 | 弹性,按 AP 计费 | 容量规划工作 |
| 总体拥有成本 | 可预测的按 AP 订阅 | 许可证 + 硬件 + 运维 + 停机时间 |
常见问题
什么是 RADIUS-as-a-Service?
RADIUS-as-a-Service 是一种云托管的 RADIUS 身份验证服务,可替代本地 FreeRADIUS、Microsoft NPS 或 Cisco ISE 服务器。您的接入点将身份验证请求转发到云端;凭据将针对您的身份提供商(Entra ID、Okta、Google Workspace)进行验证,并将设备准入正确的 VLAN。您无需运行服务器,无需修补操作系统,并默认继承多区域高可用性。
云 RADIUS 与本地 RADIUS 有何不同?
本地 RADIUS(FreeRADIUS、NPS、Cisco ISE)需要服务器、补丁、证书管理和高可用性设计。云 RADIUS 消除了所有这些——您只需将接入点指向一个主机名,供应商即可处理运行时间、扩展和更新。身份验证流程完全相同(基于 RADIUS 的 EAP),因此客户端设备感觉不到差异。
Purple RADIUS-as-a-Service 支持哪些 EAP 方法?
EAP-TLS(基于证书,行业标准)、PEAP-MSCHAPv2(适用于旧设备的用户名/密码)、EAP-TTLS 和 EAP-FAST。大多数生产部署对托管设备使用 EAP-TLS,并在过渡期回退到 PEAP。同时还为证书配置不切实际的 BYOD 和多租户场景提供 iPSK。
我可以与哪些身份提供商集成?
Microsoft Entra ID (Azure AD)、Okta、Google Workspace、OneLogin、JumpCloud、Active Directory(通过 LDAP 绑定或安全隧道)以及任何 SAML 2.0 或 SCIM 兼容的 IdP。SCIM 配置可确保离职员工在失去电子邮件访问权限的同时失去 WiFi 访问权限——不会留下孤立凭据。
运行时间和冗余模型是怎样的?
Purple 在多个区域运行 RADIUS 身份验证端点,并具有双活故障转移功能。接入点配置有两个或三个身份验证目标;如果主要端点运行状况检查失败,流量将在几秒钟内转移到下一个区域。该服务由 99.9% 的运行时间 SLA 提供保障。
我需要更换接入点吗?
不需要。任何支持 RADIUS 的企业级接入点(Cisco, Aruba, Ruckus, Juniper Mist, Meraki, Ubiquiti UniFi, Cambium, Extreme)都可以将身份验证转发给 Purple。您只需更改每个 SSID 上的 RADIUS 服务器地址,AP 就会完成剩下的工作。
计费方式是怎样的?
按每月每个接入点计费,并提供规模化批量折扣。没有按身份验证或按用户计费的计量,因此您可以在整个设备群中启用 802.1X,而不会收到意外账单。价格公布在 Purple 价格计算器上。
我可以从 FreeRADIUS, NPS 或 Cisco ISE 迁移吗?
可以。中型部署的典型迁移周期为一个周末:在现有 RADIUS 的基础上建立 Purple,将 Purple 添加为接入点上的辅助身份验证目标,逐个迁移 SSID,并在流量排空后停用旧服务器。Purple 专业服务为企业客户执行切换。
RADIUS-as-a-Service for your industry
See how radius-as-a-service works in venues like yours, and how Purple compares to alternatives.