跳至主要內容
繁體中文

Okta 與 RADIUS:將您的身分識別提供者延伸至 WiFi 驗證

本指南為以 Okta 為核心的組織中的 IT 管理員提供全面的技術參考,協助其使用 Okta RADIUS 代理程式將雲端身分識別提供者延伸至 WiFi 驗證。內容涵蓋完整的驗證架構、MFA 強制執行的權衡、透過 RADIUS 屬性對應進行的動態 VLAN 指派,以及在基於密碼的 EAP-TTLS 與基於憑證的 EAP-TLS 之間做出的關鍵決策。場域營運商和企業 IT 團隊將獲得實用的部署指南、來自旅宿業和零售業的真實案例研究,以及將 Okta RADIUS 與專用訪客 WiFi 解決方案整合的清晰框架。

📖 11 分鐘閱讀📝 2,672 字數🔧 2 範例3 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
歡迎收聽 Purple 技術簡報。今天我們將深入探討一個恰好位於網路架構與身分識別管理交界處的主題:用於 WiFi 驗證的 Okta 和 RADIUS。如果您是 IT 經經理、網路架構師或場域營運總監,您一定已經知道管理獨立的網路存取認證有多令人頭痛。您有可用於雲端應用程式的 Okta 目錄,但您的 WiFi 可能仍依賴傳統的 Active Directory 伺服器,或者更糟的是,使用貼在休息室牆上的共享 WPA2 密碼。今天,我們將探討如何使用 Okta RADIUS 代理程式來彌合這一差距。我們將介紹其架構、如何處理 WiFi 上的多重要素驗證 (MFA)、基於密碼與基於憑證驗證之間的關鍵權衡,以及如何將 Okta 群組對應到 RADIUS 屬性以進行動態 VLAN 指派。讓我們開始吧。 首先從架構開始。Okta RADIUS 代理程式實際上是如何運作的?Okta RADIUS 代理程式是一個輕量級應用程式,您可以部署在地端(通常在 Windows 或 Linux 伺服器上)或雲端虛擬機器中。它充當 Proxy。它介於您的網路基礎架構(例如您的無線存取點或無線區域網路控制器)與 Okta 雲端之間。當使用者嘗試連線到您的 802.1X 企業 WiFi 時,他們的裝置會將認證傳送到存取點。存取點在 802.1X 模型中充當我們所說的驗證器,透過 UDP 連接埠 1812 將 RADIUS Access-Request 轉發給 Okta RADIUS 代理程式。代理程式接收該請求,並透過 HTTPS API 呼叫將其安全地傳輸到 Okta 雲端。Okta 驗證認證、檢查登入原則並傳回決定。然後,代理程式將其翻譯回適用於存取點的 RADIUS Access-Accept 或 Access-Reject 訊息。這是一種將您的雲端身分識別提供者延伸到本地網路邊緣的聰明方法,而無需將您的目錄直接暴露給網際網路。 現在,大家都會問的大問題是:您能在 WiFi 連線上強制執行 Okta MFA 嗎?簡短的回答是肯定的,但有一些重要的注意事項。Okta RADIUS 代理程式主要支援密碼驗證協定(即 PAP)。因為 PAP 以純文字傳送密碼,所以它被封裝並受到 EAP 協定(代表可延伸驗證協定)外部 TLS 通道的保護。這種安排允許代理程式處理 MFA 挑戰。您可以設定 Okta 向使用者的手機推播 Okta Verify 通知,或要求他們在密碼後附加 TOTP 碼(即基於時間的一次性密碼)。然而,這正是使用者體驗與安全性發生衝突的地方。想像一下,要求零售門市店員在走過賣場、手機每次重新連線到員工 WiFi 時都必須核准推播通知。這會造成摩擦。此外,如果 MFA 挑戰花費太長時間,許多現代裝置會中斷 WiFi 連線。因此,雖然 WiFi 上的 MFA 在技術上是可行且受 Okta 支援的,但我們通常僅建議將其用於高權限存取,例如 IT 管理員 SSID,而不是一般員工 WiFi。 這帶領我們來到關鍵的權衡:搭配 Okta 的基於密碼的 RADIUS 與基於憑證的驗證(特別是 EAP-TLS)。當您將 Okta RADIUS 代理程式與 EAP-TTLS 或 PAP 搭配使用時,您依賴的是密碼。密碼可能會被盜、被釣魚或被共享。此外,正如我們剛才討論的,在實務上將 MFA 新增到 WiFi 是很笨拙的。另一方面,EAP-TLS 使用部署到使用者裝置的數位憑證。它提供雙向驗證——裝置向網路證明其身分,網路也向裝置證明其身分。不需要輸入密碼,且高度防範網路釣魚。缺點呢?Okta RADIUS 代理程式本身並不原生充當憑證授權單位 (CA)。如果您想要 EAP-TLS,您需要公鑰基礎建設 (PKI)——例如 SecureW2、Foxpass 或 Microsoft Active Directory 憑證服務等解決方案——以及行動裝置管理 (MDM) 解決方案來將憑證發送到您的端點。Okta 仍然可以是授權憑證核發的身分識別提供者,但 RADIUS 代理程式本身不會為 EAP-TLS 執行繁重的工作。對於 BYOD 環境,基於密碼的 Okta RADIUS 部署快速且簡單。對於受管理的企業裝置,EAP-TLS 是黃金標準。 讓我們轉向最強大的功能之一:動態 VLAN 指派。在大型場域中——飯店、體育場、會議中心——您不希望所有員工都在同一個網路區段上。您希望將銷售點 (POS) 終端機與房務平板電腦隔離,並希望 IT 員工位於管理 VLAN 上。您如何使用 Okta 實現這一點?這完全取決於 RADIUS 屬性對應。在 Okta 管理主控台的 RADIUS 應用程式設定下,您可以啟用名為「在 RADIUS 回應中包含群組」的功能。您指定應在驗證回應中傳回哪些 Okta 群組。Okta 使用標準 RADIUS 屬性(通常是屬性 11 用於 Filter-ID,或屬性 25 用於 Class)將此群組成員資格傳回給您的網路控制器。您的無線控制器或網路存取控制系統(例如 Aruba ClearPass 或 Cisco ISE)會接收此群組名稱。然後,您在控制器上設定一個本地原則,例如:如果 RADIUS 屬性 25 等於 Retail-POS,則將用戶端指派給 VLAN 40。控制器將標準通道屬性——Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID——傳送到存取點,從而動態地將使用者放入正確的 VLAN。這是一種純粹基於 Okta 身分強制執行網路分段的無縫方式,這對於符合 PCI DSS 等標準非常有用,因為該標準要求在持卡人資料環境周圍進行嚴格的網路分段。 現在讓我們看看一些真實世界的實作情境。考慮一家在英國各地擁有物業的連鎖飯店。每個物業都混合了前台員工、房務、餐飲和管理人員。以前,每個物業都執行自己的 NPS 伺服器和本地 Active Directory。IT 團隊花費了大量時間管理本地帳戶和排除 RADIUS 失敗。藉由在兩個備援雲端虛擬機器中部署 Okta RADIUS 代理程式、將所有使用者帳戶集中在 Okta 中,並設定基於群組的 VLAN 指派,該連鎖店顯著減少了每個物業的 IT 開銷。前台員工使用其 Okta 認證進行驗證,並自動置於 guest-services VLAN 上。屬於不同 Okta 群組的管理人員則進入管理 VLAN,並可存取物業管理系統。整個設定從單一 Okta 管理主控台進行管理,且 Okta 系統記錄提供了所有物業中每次驗證事件的完整稽核軌跡。 第二個情境:一家擁有 300 多家門市的大型連鎖零售商。每家門市都有一個用於庫存管理、銷售點終端機和後勤辦公室運作的員工 WiFi 網路。PCI DSS 合規性要求在持卡人資料環境與一般員工存取之間進行嚴格的網路分段。藉由將 Okta RADIUS 與其現有的無線基礎架構整合,該零售商將 Okta 群組(POS-Staff、Inventory-Staff 和 Store-Management)對應到三個不同的 VLAN。當門市店員連線時,其裝置會根據其 Okta 群組成員資格自動置於正確的 VLAN 中。如果員工變更角色,更新其 Okta 群組成員資格將在下次連線時立即變更其網路存取權限。無需更新防火牆規則,也無需將 VLAN 設定推送到個別門市。 現在,讓我們介紹實作建議和常見陷阱。第一個也是最常見的陷阱是忽略逾時設定。Okta API 呼叫需要時間,尤其是在涉及 MFA 推播時。如果您的無線控制器的 RADIUS 逾時時間設定為預設的三秒或五秒,請求將在使用者能夠在手機上點擊「核准」之前逾時。您必須將 WLC 上的 RADIUS 逾時時間增加到至少三十到六十秒。這是網路端的設定變更,而不是在 Okta 中,且經常被忽視。第二個建議是高可用性。切勿僅部署一個 Okta RADIUS 代理程式。在不同的伺服器上部署至少兩個代理程式,並設定您的無線控制器在它們之間進行負載平衡。如果一台伺服器因修補而下線,您的 WiFi 驗證仍可正常運作。第三個陷阱:小心 PEAP。Okta RADIUS 代理程式不支援 PEAP-MSCHAPv2,這是許多舊版 Windows 環境的預設設定。您必須將用戶端設定為使用搭配 PAP 的 EAP-TTLS。這通常需要透過群組原則或 MDM 推送無線設定檔,因為 Windows 預設不容易使用 EAP-TTLS。未能做到這一點是部署失敗的第一大原因。 現在是基於常見客戶問題的快速問答時間。問題一:我們可以使用 Okta RADIUS 進行訪客 WiFi 嗎?回答:不行。Okta 是按使用者計費的,且專為員工身分識別而設計。對於訪客 WiFi,您應該使用專門建置的 Captive Portal 解決方案,該解決方案可以處理服務條款、社群登入和分析,而不會消耗 Okta 授權。問題二:Okta RADIUS 是否支援 YubiKeys 進行 WiFi 驗證?回答:通常不支援。硬體權杖和 WebAuthn 無法很好地轉換為 RADIUS 協定。如果必須在 WiFi 上使用 MFA,請堅持使用 Okta Verify 推播或 TOTP。問題三:這如何與 Purple 部署互動?回答:非常完美。使用 Okta 作為其身分識別提供者的 Purple 企業客戶可以使用 Okta RADIUS 安全地驗證員工 WiFi,同時在獨立的 SSID 上使用 Purple 的 Captive Portal 進行訪客存取。這將 Purple 與 Okta 一起定位在統一、現代的驗證堆疊中——員工在一個 SSID 上使用 Okta RADIUS,訪客在另一個 SSID 上使用 Purple 的品牌入口網站。 總結今天的簡報:Okta RADIUS 代理程式是消除傳統地端目錄並將您的 WiFi 驗證統一到雲端身分識別提供者中的強大工具。它支援動態 VLAN 指派以進行強大的網路分段,這對於符合 PCI DSS 和其他框架至關重要。然而,如果您在 WiFi 上強制執行 MFA,請注意使用者體驗,並記住,對於完全受管理的企業裝置,移轉到具有專用 PKI 的基於憑證的 EAP-TLS 是更安全的長期策略。Okta RADIUS 代理程式是一個極佳的橋樑解決方案,特別是對於以 Okta 為中心並希望快速將該身分識別投資延伸到網路層的組織。今天的簡報就到這裡。請務必查看完整的技術參考指南,以獲取詳細的設定步驟、架構圖和實作範例。下期再見,保持您的網路安全,並讓您的使用者保持連線。

header_image.png

執行摘要

對於管理分散式場域(從連鎖飯店到體育場)的企業 IT 團隊而言,將網路存取控制與雲端身分識別提供者統一,是邁向零信任(Zero Trust)的關鍵一步。Okta RADIUS 代理程式彌合了現代雲端身分識別與傳統 802.1X WiFi 基礎架構之間的差距,使組織能夠淘汰用於網路驗證的傳統地端 RADIUS 伺服器和 Active Directory 基礎架構。

本指南詳細介紹了如何部署用於企業 WiFi 驗證的 Okta RADIUS 代理程式,內容涵蓋 Proxy 架構、MFA 強制執行機制,以及基於密碼的 EAP-TTLS 與基於憑證的 EAP-TLS 之間的權衡。它還提供了關於將 Okta 群組成員資格對應到 RADIUS 屬性以進行動態 VLAN 指派的實用指南——這項功能直接支援 PCI DSS 網路分段要求。藉由將用於員工驗證的 Okta 與 訪客 WiFi 解決方案整合,場域營運商可以實現統一、安全且合規的存取層,而無需重複建置身分識別基礎架構。

技術深探

Okta RADIUS 代理程式的運作原理

Okta RADIUS 代理程式是一個輕量級系統服務,充當網路存取伺服器 (NAS)——例如無線存取點 (WAP) 或無線區域網路控制器 (WLC)——與 Okta 雲端之間的 Proxy。它通常部署在地端或雲端 VPC 內的 Windows 或 Linux 伺服器上,並在初始安裝後完全從 Okta 管理主控台進行管理。

驗證流程遵循標準的 802.1X Proxy 模型。使用者的裝置(請求端)連線到企業 SSID 並出示認證。WAP 或 WLC(驗證器)透過 UDP 連接埠 1812 將 RADIUS Access-Request 轉發給 Okta RADIUS 代理程式。代理程式透過 HTTPS API 呼叫將此請求安全地傳輸到 Okta 雲端,Okta 的原則引擎在此根據其使用者目錄和任何已設定的登入原則來評估認證。如果驗證成功,代理程式會向驗證器傳回 RADIUS Access-Accept 訊息,並可選擇性地包含用於授權的 RADIUS 屬性(例如 VLAN 指派)。如果需要 MFA,代理程式會向用戶端傳回 RADIUS Access-Challenge,在傳回最終決定之前提示輸入第二個要素。

architecture_overview.png

這種 Proxy 模型意味著 Okta RADIUS 代理程式不需要在本地儲存使用者認證。所有驗證邏輯、原則評估和稽核記錄都發生在 Okta 雲端中,為管理員提供了一個單一窗口,以管理雲端應用程式和網路存取的身分識別。

支援的 EAP 協定與關鍵限制

Okta RADIUS 代理程式的一個基本架構限制是它依賴密碼驗證協定 (PAP) 進行主要驗證。雖然 PAP 在內層以純文字傳輸密碼,但這被可延伸驗證協定 (EAP) 的外層 TLS 通道所封裝和保護。支援的外層協定為 EAP-TTLS(以 PAP 作為內部方法)和 EAP-GTC。如需 EAP 方法的更深入比較,請參閱 EAP 方法比較:PEAP、EAP-TLS、EAP-TTLS 和 EAP-FAST 參考指南。

關鍵在於,不支援 PEAP-MSCHAPv2。這是 Windows 用戶端和許多傳統企業環境的預設 802.1X 協定。從傳統 NPS/Active Directory RADIUS 設定移轉的組織必須將其用戶端請求端重新設定為使用搭配 PAP 的 EAP-TTLS——這項變更通常需要透過 MDM 或群組原則推送無線設定檔。未能考慮到這一點是 Okta RADIUS 部署失敗最常見的原因。

EAP-TLS 完全依賴基於雙向憑證的驗證,Okta RADIUS 代理程式原生也不支援此協定。需要 EAP-TLS 的組織必須部署專用的 PKI 或雲端 RADIUS 解決方案,透過 SAML 或 OIDC 與作為 IdP 的 Okta 整合,而不是直接使用 Okta RADIUS 代理程式。

在 WiFi 連線上強制執行 MFA

Okta RADIUS 代理程式支援 WiFi 存取的 MFA,但它會引入使用者體驗方面的挑戰,在部署前必須仔細考慮。當觸發 MFA 原則時,代理程式會向用戶端傳送 RADIUS Access-Challenge。Okta 支援 RADIUS 應用程式的數種要素:

MFA 要素 PAP EAP-TTLS 備註
Okta Verify 推播 支援 支援 頻外傳送;使用者在手機上點擊「核准」
TOTP (Okta Verify / Google 驗證器) 支援 支援 使用者在密碼後附加 OTP(例如 Pass123,456789
簡訊 / 電子郵件 / 語音 支援 支援 使用者先傳送觸發字串(SMS、EMAIL、CALL)
Duo 推播 / 簡訊 / 密碼 支援 支援 EAP-TTLS 僅支援 Duo 密碼
YubiKey / U2F / Windows Hello 不支援 不支援 硬體權杖與 RADIUS 協定不相容

實際的限制是漫遊。在 旅宿 環境中,房務人員的平板電腦在每班次中可能會在存取點之間漫遊數十次,每次都會觸發重新驗證。每次漫遊都需要推播通知核准在營運上是無法維持的。對於一般員工 WiFi,通常更傾向於採用強式密碼原則,並結合 Okta 的裝置信任和網路區域原則,而不是主動的 MFA 提示。WiFi 上的 MFA 應保留給管理用 SSID 或高權限存取情境。

基於密碼與基於憑證的驗證

在基於密碼的 RADIUS(「透過 Okta RADIUS 代理程式)與基於憑證的 EAP-TLS 是企業 WiFi 部署中最具影響力的決策之一。其中的權衡不僅關乎安全性,還涉及部署複雜度、裝置管理成熟度以及營運開銷。

comparison_chart.png

透過 Okta RADIUS 代理程式進行基於密碼的認證,為實現統一身分驗證提供了一條快速途徑。如果您的組織已在 Okta 中管理使用者,部署工作可在數小時內完成,而非數週。無需建置 PKI、無需分發憑證,也無需依賴 MDM。其權衡在於密碼仍是主要憑證,且缺乏雙向認證意味著用戶端無法透過加密方式驗證網路的身分,這在面臨高風險環境時會成為邪惡雙生(evil twin)攻擊的管道。

基於憑證的 EAP-TLS 完全將密碼從 WiFi 認證中排除。用戶端提供裝置憑證,而 RADIUS 伺服器提供伺服器憑證,從而實現雙向認證。這是 WPA3-Enterprise 網路上 IEEE 802.1X 的推薦做法,特別是對於受 PCI DSS 或 NCSC Cyber Essentials Plus 規範的環境。其前提是必須有運作正常的 PKI(無論是地端的 Microsoft ADCS 部署還是雲端 PKI 服務),以及能夠將憑證分發到所有受管端點的 MDM 平台。對於擁有數百台受管銷售點(POS)裝置的 零售 環境而言,這項投資非常值得。對於高度依賴 BYOD 的環境或快速部署,採用 EAP-TTLS 的 Okta RADIUS 則是務實的選擇。

用於動態 VLAN 分配的 RADIUS 屬性對應

動態 VLAN 分配是 Okta RADIUS 整合發揮最顯著營運價值的領域。藉由將 Okta 群組成員資格對應到 RADIUS 屬性,網路管理員可以實施基於角色的網路分割,而無需為每台裝置或每個位置維護獨立的 VLAN 策略。

Okta 會使用以下三種屬性之一在 RADIUS Access-Accept 訊息中傳遞群組成員資格資料,這些屬性可在 Okta 應用程式的「進階 RADIUS 設定」中進行設定:

  • 屬性 11 (Filter-Id):包含群組名稱的字串屬性。受到各大廠商的廣泛支援。
  • 屬性 25 (Class):用於授權的不透明屬性。受 Cisco ISE、Aruba ClearPass 和 Fortinet 支援。
  • 屬性 26 (Vendor-Specific):允許使用廠商專屬的子屬性以進行更精細的控制。

網路控制器(WLC、NAC 設備)會在選定的屬性中接收 Okta 群組名稱,並將其對應到 VLAN 分配所需的標準 RADIUS 通道屬性:

RADIUS 屬性 用途
64 (Tunnel-Type) 13 (VLAN) 指定 VLAN 通道傳輸
65 (Tunnel-Medium-Type) 6 (802) 指定 IEEE 802 媒介
81 (Tunnel-Private-Group-ID) 例如 40 目標 VLAN ID

例如,Okta 群組 Retail-POS-Staff 中的使用者會在 Access-Accept 中收到傳回的 Class: Retail-POS-Staff。WLC 策略會將其對應到 Tunnel-Private-Group-ID: 40,從而將裝置置於 VLAN 40(隔離的 POS 網路)中。而 Store-Management 中的使用者則會被置於 VLAN 50。此邏輯是在網路邊緣實施的,而非在 Okta 中,但它完全由 Okta 群組成員資格所驅動。

實作指南

步驟 1:部署 Okta RADIUS 代理程式(高可用性)

在至少兩台伺服器(無論是地端還是雲端 VPC)上部署 Okta RADIUS 代理程式,以確保高可用性。單一代理程式部署存在重大風險:如果伺服器因修補程式更新而無法使用或發生故障,整個環境中的所有 802.1X WiFi 認證都將失敗。請設定您的 WLC 或 NAC 設備,在兩個代理程式之間對 RADIUS 請求進行載入平衡。

在安裝過程中,代理程式會提示輸入 Okta 管理員登入資訊,以授權該代理程式並將其連結到 Okta 租戶。授權完成後,代理程式將顯示在 Okta 管理主控台的 Settings > Downloads > RADIUS Agent Status 下,您可以在此處監控其健康狀況和連線狀態。

步驟 2:在 Okta 中設定 RADIUS 應用程式

  1. 在 Okta 管理主控台中,導覽至 Applications > Applications,並在應用程式目錄中搜尋 RADIUS Application
  2. 新增該應用程式,為其指定一個具描述性的名稱(例如 Corporate-WiFi-Staff),然後按一下 Next
  3. Sign On 索引標籤下,設定 RADIUS Port(預設為 1812),並產生一個至少包含 32 個字元的強式隨機 Shared Secret
  4. Advanced RADIUS Settings 下,如果您打算支援在密碼後附加 TOTP,請啟用 Accept password and security token in the same login request
  5. 選擇性啟用 Permit Automatic Push for Okta Verify Enrolled Users,以實現無縫的推播式 MFA。
  6. 將應用程式分配給代表您員工的相關 Okta 群組。

步驟 3:設定基於群組的 VLAN 分配

  1. 在 RADIUS 應用程式的 Sign On 設定中,按一下 Advanced RADIUS Settings 區段中的 Edit
  2. 勾選 Include groups in RADIUS response
  3. 選擇 RADIUS 屬性:Aruba 和 Cisco 環境建議選擇 25 Class;Fortinet 及其他環境則建議選擇 11 Filter-Id
  4. 新增要包含的特定 Okta 群組名稱(例如 Retail-POS-StaffStore-ManagementIT-Admins)。
  5. 在您的 WLC 或 NAC 設備上,建立將每個群組名稱對應到相應 VLAN 通道屬性的強制執行策略。

步驟 4:設定用戶端 Supplicant

由於不支援 PEAP-MSCHAPv2,用戶端裝置必須設定為使用 EAP-TTLS with PAP 作為內部方法。請透過您的 MDM 平台(例如 Microsoft Intune、Jamf Pro)或透過群組原則物件 (GPO) 為加入 Windows 網域的裝置部署無線網路設定檔。該設定檔應 指定:

  • SSID:您的企業 SSID 名稱
  • SecurityWPA2-Enterprise 或 WPA3-Enterprise
  • EAP Method:EAP-TTLS
  • Inner Authentication:PAP
  • Server Certificate Validation:已啟用(固定至您的 RADIUS 代理程式伺服器憑證 CN)

步驟 5:設定 RADIUS 逾時

將 WLC 上的 RADIUS 逾時從預設的 3-5 秒增加到 30-60 秒。如果使用 MFA 推送通知,這一點至關重要,因為使用者必須有足夠的時間在裝置上核准通知,然後 WLC 才會放棄驗證嘗試。

最佳做法

部署 Okta RADIUS 進行 WiFi 驗證非常簡單,但幾項營運最佳做法能將彈性的生產部署與脆弱的概念驗證區分開來。

在 SSID 層級區隔訪客與員工流量。 Okta RADIUS 是一款員工身分識別工具。對於訪客與來賓存取,請部署專用的 Captive Portal 解決方案。這可以防止 Okta 授權成本隨訪客數量增加而膨脹,並確保職責的清晰劃分。Purple 企業客戶可以在獨立的 SSID 上部署 Guest WiFi ,同時在相同的實體基礎架構上使用 Okta RADIUS 進行員工驗證。

在複雜的策略環境中使用 NAC 設備。 如果您的環境除了使用者身分之外,還需要根據裝置狀態、MAC 位址篩選或憑證狀態進行條件式存取,請部署中介 NAC 設備(Aruba ClearPass、Cisco ISE 或 Portnox)以將請求代理至 Okta RADIUS 代理程式。NAC 設備可以使用 Okta 代理程式本身無法產生的額外通道屬性來豐富 RADIUS 回應。

透過 Okta 系統記錄進行監控。 每個驗證事件(成功、失敗、MFA 挑戰和因素類型)都會記錄在 Okta 系統記錄中。設定日誌串流至您的 SIEM,以便對驗證異常進行即時告警。這對於受審計要求約束的 醫療保健 和公共部門組織特別有價值。

定期輪替共用金鑰。 Okta RADIUS 應用程式與您的 NAS 之間的共用金鑰是關鍵的安全憑證。實施輪替時程表(建議每季一次),並同時更新 Okta 應用程式和 WLC/NAC 設定。

限制 RADIUS 服務位址。 在 Okta RADIUS 代理程式設定中,限制允許傳送 RADIUS 請求的 IP 位址。這可以防止未授權的 NAS 裝置嘗試對您的 Okta 租戶進行驗證。

如需更廣泛的網路架構背景指引,請參閱 現代企業的核心 SD WAN 優勢無線存取點定義:您的 2026 終極指南

疑難排解與風險緩解

下表總結了 Okta RADIUS WiFi 部署中遇到的最常見故障模式及其建議的緩解措施。

故障模式 根本原因 緩解措施
驗證逾時 WLC RADIUS 逾時對於 Okta API 或 MFA 回應而言太短 將 WLC RADIUS 逾時增加到 30-60 秒
Windows 用戶端遭拒絕 Windows 預設為 PEAP-MSCHAPv2,而 Okta RADIUS 會拒絕此協定 透過 MDM 或 GPO 推送 EAP-TTLS/PAP 無線設定檔
使用者處於錯誤的 VLAN Okta 群組名稱不符或 WLC 上缺少通道屬性 驗證 WLC 是否將 Class/Filter-Id 對應至 Tunnel-Private-Group-ID;檢查 Okta 系統記錄
無法連線代理程式 伺服器離線、API 權杖已過期,或防火牆阻擋了至 Okta 的 HTTPS 連線 部署備援代理程式;在 Okta 管理主控台中監控代理程式狀態;驗證輸出 HTTPS
未傳送 MFA 推送 使用者未註冊 Okta Verify,或行動裝置離線 強制執行 Okta Verify 註冊原則;考慮將 TOTP 作為備用方案
憑證驗證錯誤 用戶端無法驗證 RADIUS 伺服器憑證 在用戶端無線設定檔中固定伺服器憑證 CN;確保 CA 鏈受信任
未傳送 VLAN 屬性 RADIUS 回應設定中未包含 Okta 群組 驗證群組是否列在「進階 RADIUS 設定」中;確認使用者是 Okta 中該群組的成員

對於網路正常運行時間至關重要的 交通運輸 和公共部門環境,請實施主動監控,定期對 RADIUS 驗證進行端到端測試,並在使用者受到影響之前針對失敗發出告警。

投資報酬率與業務影響

Okta RADIUS WiFi 驗證的商業案例基於三大支柱:營運效率、安全態勢提升和合規準備。

營運效率。 將 WiFi 驗證整合至 Okta 中,可免除在每個場所或站點維護獨立地端 RADIUS 基礎架構(NPS 伺服器、本機 AD)的需求。對於擁有 50 家物業的連鎖飯店而言,這意味著每個站點的基礎架構成本和 IT 支援開銷將大幅降低。使用者佈建與取消佈建變得一體化:將使用者新增至正確的 Okta 群組,即可同時授予應用程式存取權限和相應的 WiFi VLAN 存取權限。當員工離職時,停用其 Okta 帳戶會立即撤銷其在所有站點的 WiFi 存取權限。

安全態勢。 將共用的 PSK WiFi 密碼替換為每位使用者的 802.1X 驗證,可消除憑證共用,這是內部威脅和未授權存取的常見管道。結合動態 VLAN 分配,這在網路層強制執行了最小權限原則。Okta 系統記錄提供了每個 WiFi 驗證事件完整且具防竄改功能的稽核軌跡,這對於事件回應至關重要。

合規準備。 PCI DSS 4.0 要求 8.3 規定所有非主控台管理存取都必須使用 MFA。要求 1.3 要求在持卡人資料環境與其他網路之間進行網路區隔。結合基於群組之 VLAN 指派的 Okta RADIUS部署直接解決了這兩項需求。針對 GDPR 合規性,Okta 系統記錄提供了證明對個人資料處理系統實施適當技術控制所需的存取記錄。對於部署 現代餐旅 WiFi 解決方案 的場所而言,這種統一的身分與網路存取方法已日益成為企業採購的先決條件。

完成此整合的組織通常會報告 WiFi 相關 IT 支援工單的減少(更少的密碼重設請求、更少的 VLAN 設定錯誤事件),以及安全性稽核分數的顯著提升。部署和設定 Okta RADIUS 代理程式的投資(對於單一站點部署,通常只需數天而非數週的時間)可帶來持續的營運成本節省,並在分散式據點中產生加乘效應。

關鍵定義

Okta RADIUS 代理程式

一種輕量級的地端或雲端託管 Proxy 服務,可將來自網路基礎架構(存取點、WLC)的 RADIUS 驗證請求轉換為 Okta API 呼叫,使 Okta 雲端能夠作為 802.1X WiFi 的驗證後端。

IT 團隊在部署由 Okta 支援的企業 WiFi 驗證時會遇到此元件。它是傳統基於 RADIUS 的網路基礎架構與現代雲端身分識別之間的關鍵橋樑元件。

802.1X

一項基於連接埠的網路存取控制 (NAC) 的 IEEE 標準,定義了有線和無線網路的驗證框架。它使用可延伸驗證協定 (EAP) 在請求端(裝置)、驗證器(AP/交換器)和驗證伺服器 (RADIUS) 之間傳遞驗證認證。

802.1X 是企業 WiFi 安全的基礎。任何使用 WPA2-Enterprise 或 WPA3-Enterprise 的部署都在使用 802.1X。IT 團隊必須了解三方模型(請求端、驗證器、驗證伺服器)以排除連線問題。

EAP-TTLS (可延伸驗證協定 - 通道傳輸層安全)

一種 EAP 方法,僅使用伺服器端憑證建立 TLS 通道,然後在通道內傳遞較簡單的內部驗證協定(例如 PAP)。這可以保護內部認證免受竊聽,同時僅需要伺服器端憑證基礎架構。

搭配 PAP 的 EAP-TTLS 是 Okta RADIUS WiFi 驗證的推薦協定。它比單純的 PAP 更安全,但不需要用戶端憑證,因此適用於 BYOD 和混合裝置環境。

EAP-TLS (可延伸驗證協定 - 傳輸層安全)

一種使用基於雙向憑證驗證的 EAP 方法——用戶端和伺服器都出示數位憑證。它是最安全的 802.1X 方法,提供防網路釣魚、無密碼的驗證。

EAP-TLS 是受管理企業裝置環境的黃金標準。它需要 PKI 基礎架構和 MDM 進行憑證發送。Okta RADIUS 代理程式原生不支援 EAP-TLS;需要專用的雲端 PKI 或 RADIUS 服務。

PAP (密碼驗證協定)

一種以純文字傳輸使用者名稱和密碼的簡單驗證協定。在 802.1X 的上下文中,PAP 被用作 EAP-TTLS 通道內的內部驗證方法,其中外部 TLS 層提供加密。

PAP 是 Okta RADIUS 代理程式支援的主要驗證機制。IT 團隊必須了解,單獨使用 PAP 是不安全的,但當伺服器憑證經過正確驗證時,在 EAP-TTLS 內使用 PAP 對於企業 WiFi 來說是可以接受的。

動態 VLAN 指派

一種網路存取控制技術,其中 RADIUS 伺服器在 Access-Accept 訊息中傳回 VLAN 指派屬性,使無線控制器或交換器根據驗證用戶端的身分或群組成員資格將其置於特定的 VLAN 上,而不是靜態的每 SSID VLAN。

動態 VLAN 指派對於多角色環境中的網路分段至關重要(例如,將 POS 終端機與一般員工裝置隔離)。它是透過在 Access-Accept 訊息中傳回 RADIUS 屬性 64、65 和 81 來設定的。

RADIUS 屬性 25 (Class)

一個標準 RADIUS 屬性,用於將任意授權資料從驗證伺服器傳遞到 NAS。Okta 使用此屬性將 Okta 群組成員資格資訊傳回到無線控制器,然後無線控制器可以使用該資訊進行 VLAN 指派或存取原則決策。

設定基於 Okta 群組之 VLAN 指派的 IT 團隊將設定 WLC 讀取 Class 屬性值並將其對應到 VLAN ID。要使用的確切屬性(11、25 或 26)取決於 WLC 廠商的說明文件。

NAS (網路存取伺服器)

在 RADIUS 術語中,NAS 是接收使用者連線請求並將其轉發到 RADIUS 伺服器進行驗證的網路裝置。在 WiFi 部署中,NAS 通常是無線存取點或無線區域網路控制器。

NAS 是 802.1X 模型中的驗證器。IT 團隊必須為 NAS 設定 RADIUS 伺服器 IP 位址、連接埠和共用金鑰。NAS IP 位址應加入 Okta RADIUS 代理程式的服務位址篩選設定白名單中。

共用金鑰

一種預先共用的密碼,用於驗證 NAS (WLC/AP) 與 RADIUS 伺服器 (Okta RADIUS 代理程式) 之間的 RADIUS 訊息。它用於計算驗證 RADIUS 封包完整性的 Message-Authenticator 雜湊值。

Okta RADIUS 應用程式設定和 WLC/NAC RADIUS 伺服器項目上的共用金鑰必須完全相同。它應至少包含 32 個字元、隨機產生,並定期輪替。不相符是 RADIUS 驗證失敗的常見原因。

MFA 挑戰 (RADIUS Access-Challenge)

當需要額外的驗證要素時,由驗證伺服器傳送到 NAS 的 RADIUS 訊息類型。NAS 將挑戰轉發給用戶端,用戶端必須以適當的要素(例如 OTP、推播核准)進行回應,然後才能完成驗證。

Access-Challenge 機制是 Okta 透過 RADIUS 強制執行 MFA 的方式。IT 團隊必須確保 WLC 支援挑戰-回應交換,且 RADIUS 逾時時間足夠長,以便使用者完成 MFA 步驟。

範例

一家擁有 150 家分店的連鎖飯店目前在各分店使用地端 NPS 伺服器進行 802.1X 員工 WiFi 驗證。每台 NPS 伺服器都已加入本地 Active Directory 網域。IT 團隊希望將身分識別管理集中在 Okta 中,並消除各分店的 NPS 基礎架構。他們應該如何進行移轉?

建議的方法是採用分階段移轉,將 Okta RADIUS 代理程式部署在集中的雲端 VPC 中,而不是部署在每個分店。第一階段:在與大多數分店相同區域的雲端 VPC(例如 AWS 或 Azure)中部署兩個 Okta RADIUS 代理程式執行個體。設定代理程式接聽 UDP 1812。第二階段:針對每個分店,將 Okta RADIUS 代理程式 IP 新增為 WLC 上的次要 RADIUS 伺服器,並保留現有的 NPS 作為主要伺服器。這允許在不中斷即時驗證的情況下進行平行運作和測試。第三階段:將使用者從本地 AD 移轉到 Okta。最初使用 Okta 的 AD 代理程式同步現有帳戶,然後逐步轉移到以 Okta 作為授權來源。第四階段:針對每個分店,設定 WLC 使用 EAP-TTLS/PAP,並透過 MDM 將新的無線設定檔推送到員工裝置。第五階段:確認所有裝置都使用 EAP-TTLS 後,將 WLC RADIUS 優先順序切換為以 Okta 代理程式作為主要伺服器,並將 NPS 伺服器除役。設定 Okta 群組(Front-Desk、Housekeeping、F&B、Management、IT-Admins),並使用屬性 25 (Class) 啟用基於群組的 VLAN 指派。將每個群組對應到 WLC 上相應的 VLAN。將 WLC RADIUS 逾時時間增加到 45 秒,以因應 Okta API 延遲。

考官評語: 這種分階段方法較為理想,因為它消除了同時在 150 家分店進行強制切換的風險。在過渡期間平行執行 NPS 和 Okta RADIUS,意味著可以在不影響線上使用者的情況下發現並修正任何錯誤設定。在雲端 VPC 中部署 RADIUS 代理程式在架構上優於在各分店部署,因為它能集中管理、減少基礎架構佔用空間,並確保無論使用者從哪個分店進行驗證,都能執行一致的原則。需要減輕的關鍵風險是分店與雲端 VPC 之間的 WAN 延遲——為了提供良好的使用者體驗,RADIUS 驗證應在 2 秒內完成,因此 VPC 區域的選擇應盡可能減少往返時間。

一家擁有 320 家門市的連鎖零售商需要為其員工 WiFi 實現 PCI DSS 4.0 合規性。門市店員使用手持裝置進行庫存管理,而另一組獨立的裝置則處理銷售點 (POS) 交易。該連鎖店使用 Okta 管理所有員工身分。他們如何使用 Okta RADIUS 實作 VLAN 分段,以滿足 PCI DSS 網路分段要求?

建立三個 Okta 群組:POS-Staff(適用於操作 POS 終端機的員工)、Inventory-Staff(適用於倉庫和賣場店員)以及 Store-Management。在 Okta RADIUS 應用程式中,啟用「在 RADIUS 回應中包含群組」並選擇屬性 25 (Class)。將這三個群組全部新增至回應設定中。在每家門市的無線控制器上(或透過雲端 WLC 集中管理),建立三個執行原則:(1) 如果 Class = POS-Staff,則指派 Tunnel-Private-Group-ID = 40(POS VLAN,這在 PCI DSS 的範圍內,且設有防火牆規則限制僅能存取付款處理商)。(2) 如果 Class = Inventory-Staff,則指派 Tunnel-Private-Group-ID = 50(庫存 VLAN,超出 PCI 範圍)。(3) 如果 Class = Store-Management,則指派 Tunnel-Private-Group-ID = 60(管理 VLAN,可存取門市管理系統)。使用 POS-Staff 群組中之使用者的認證進行連線的裝置會自動分配到 VLAN 40。如果門市店員的角色發生變化,更新其 Okta 群組成員資格將在下次連線時立即變更其 VLAN 指派,無需重新設定 WLC。在 PCI DSS QSA 稽核的網路分段圖中記錄 Okta 群組到 VLAN 的對應關係。

考官評語: 此實作直接滿足了 PCI DSS 4.0 要求 1.3(網路分段)和要求 7(基於業務需求進行存取控制)。關鍵的洞察在於,VLAN 指派是由身分驅動的,而不是由裝置 MAC 位址或靜態 VLAN 設定驅動的——這意味著它可以在 320 家門市中擴充,而無需維護每家門市的 VLAN 原則。QSA 會希望看到 POS VLAN 確實與其他網路區段隔離的證據,因此 WLC 和防火牆設定必須反映 VLAN 邊界。Okta 的系統記錄 (System Log) 提供了 PCI DSS 要求 10(記錄與監控)所需的驗證稽核軌跡。一個重要的注意事項:如果 POS 裝置是未受管理的或共享的(即未指派給特定使用者),請考慮對這些裝置使用 MAC 驗證規避 (MAB),而不是 802.1X,並僅將 Okta RADIUS 用於使用者驗證的裝置。

練習題

Q1. 一家中型會議中心使用 Okta 進行所有員工身分識別管理。他們希望使用現有的 Cisco Meraki 存取點為員工部署 802.1X WiFi。他們的 Windows 筆記型電腦透過 Microsoft Intune 進行管理。IT 經理希望對所有 WiFi 連線強制執行 Okta Verify 推播 MFA。他們必須完成哪三個最關鍵的設定步驟?如果遺漏其中任何一個步驟,最可能出現的失敗模式是什麼?

提示:考慮 Okta RADIUS 與 Windows 預設值之間的 EAP 協定相容性、RADIUS 逾時設定以及用戶端無線設定檔設定。

查看標準答案

三個關鍵步驟為:(1) 透過 Intune 部署無線設定檔,將 Windows 用戶端設定為使用 EAP-TTLS 並以 PAP 作為內部方法——Windows 預設為 PEAP-MSCHAPv2,而 Okta RADIUS 代理程式不支援此協定,這會導致所有驗證嘗試被拒絕。(2) 將 Cisco Meraki RADIUS 逾時時間從預設的 5 秒增加到至少 45-60 秒——若不進行此設定,驗證請求將在使用者核准 Okta Verify 推播通知之前逾時。(3) 在 Okta RADIUS 應用程式的「進階 RADIUS 設定」中啟用「允許為已註冊 Okta Verify 的使用者自動推播」——若不啟用此功能,系統可能會提示使用者手動選擇其 MFA 要素,而不是接收自動推播。如果跳過步驟 1,最可能的失敗模式是所有 Windows 裝置完全驗證失敗。如果跳過步驟 2,對於需要超過 5 秒才能核准推播的使用者,驗證將間歇性失敗。如果跳過步驟 3,使用者將遇到令人困惑的挑戰提示,而不是無縫的推播通知。

Q2. 一家大型連鎖零售商的安全團隊指出,他們目前的 Okta RADIUS WiFi 部署僅使用單一 RADIUS 代理伺服器。在最近的一次修補期間,該伺服器離線了 45 分鐘,導致所有 80 家門市的 WiFi 驗證失敗。IT 團隊應該實施哪些架構變更來防止這種情況?代理程式的兩種部署選項是什麼?

提示:考慮代理程式部署拓撲以及支援備援所需的 WLC 設定。

查看標準答案

IT 團隊應部署至少兩個 Okta RADIUS 代理程式執行個體,並設定每家門市的 WLC 以使用這兩個代理程式。有兩種部署選項:選項 A(集中式雲端虛擬機器)——在雲端 VPC(例如 AWS 或 Azure)中部署兩個代理程式,最好是在不同的可用區域。每家門市的 WLC 都指向這兩個雲端 IP,其中一個作為主要,另一個作為次要(或啟用負載平衡)。這可以減少每個站點的基礎架構,但會引入對 WAN 的依賴。選項 B(地端備援配對)——在中央資料中心或主機代管設施部署兩台代理伺服器,並讓 WLC 使用 RADIUS 容錯移轉。在 WLC 上,將主要 RADIUS 伺服器設定為代理程式 1,次要設定為代理程式 2,容錯移轉逾時時間為 3-5 秒。如果 WLC 廠商支援,請啟用「無回應伺服器偵測」(Dead Server Detection)。此外,IT 團隊應在 Okta 管理主控台中設定健康狀況監控,並在代理程式離線時設定警示。對於擁有本地伺服器的門市,本地代理程式可以作為第三級後備,以因應 WAN 中斷。

Q3. 一家企業組織正在評估是應該使用搭配 EAP-TTLS/PAP 的 Okta RADIUS 代理程式,還是為其企業 WiFi 投資用於 EAP-TLS 的雲端 PKI 解決方案。他們擁有 2,000 台已在 Microsoft Intune 中註冊的受管理 Windows 和 macOS 裝置,且必須符合 PCI DSS 4.0 規範。推薦的方法是什麼?主要的安全性理由是什麼?

提示:考慮 PCI DSS 要求、裝置管理成熟度(所有裝置均已註冊 MDM)以及每種驗證方法的安全屬性。

查看標準答案

建議的方法是投資採用雲端 PKI 解決方案的 EAP-TLS。主要的安全性理由是雙向驗證:EAP-TLS 要求用戶端和 RADIUS 伺服器都出示數位憑證,這意味著裝置透過密碼學向網路證明其身分,而網路也向裝置證明其身分。這消除了邪惡雙生攻擊(Rogue AP 冒充企業 SSID)的風險,並將密碼完全從 WiFi 驗證公式中移除,從而消除了憑證遭竊和網路釣魚等攻擊媒介。對於 PCI DSS 4.0,EAP-TLS 透過基於憑證的驗證隱式滿足了要求 8.3(針對非主控台管理員存取的 MFA),並支援 WPA3-Enterprise 192 位元模式(要求 4.2.1 的強式密碼學)。前提條件——所有 2,000 台裝置均已在 Intune 中註冊——已經滿足,這使得透過 Intune SCEP 設定檔進行憑證發送變得非常簡單。在建置 PKI 期間,搭配 EAP-TTLS/PAP 的 Okta RADIUS 代理程式是一個可以接受的過渡解決方案,但考慮到 PCI DSS 範圍和完全受管理的裝置資產,EAP-TLS 是正確的長期架構。對雲端 PKI 服務的額外投資(通常為每台裝置每年 3-8 美元)因安全性提升和憑證管理開銷減少而顯得物有所值。

繼續閱讀本系列

CommScope Ruckus 與 Purple WiFi 整合:安裝與設定指南

本技術參考指南為 CommScope Ruckus 架構與 Purple WiFi 的整合提供了權威的設定指南。其中詳細介紹了使用 Guest WiFi Captive Portal、透過 802.1X 的安全員工 WiFi,以及使用 Ruckus Dynamic PSK 的多租戶網路隔離的逐步部署步驟。

閱讀指南 →

Allied Telesis 基地台與 Purple WiFi 整合

本指南提供將 Allied Telesis TQ 系列基地台與 Purple WiFi 整合的完整設定指南。內容涵蓋外部 Captive Portal 重新導向、802.1X RADIUS 驗證,以及使用私有預共用金鑰 (PPSK) 進行動態 VLAN 導向,以實現安全的多租戶部署。

閱讀指南 →

Grandstream GWN Access Points 與 Purple WiFi 整合

本權威技術參考指南詳細說明如何將 Grandstream GWN Access Points 與 Purple 的 Guest WiFi 和分析平台進行整合。內容涵蓋 Grandstream Captive Portal 設定、RADIUS AAA 設定、Walled Garden 設定、具備動態 VLAN 導向的安全員工 802.1X 驗證,以及多租戶 PPSK 分段,為部署大規模訪客與員工 WiFi 的 MSP 和 IT 團隊提供具體且逐步的指引。

閱讀指南 →