身份識別已遷移至雲端
您的主要身份識別現在是 Entra ID、Okta 或 Google Workspace — 而非地端 Active Directory。地端 RADIUS 強制要求 AD 同步或混合橋接,而雲端 RADIUS 則完全消除了這一需求。SCIM provisioning 意味著離職員工在失去電子郵件權限的同一秒,也會失去 WiFi 存取權限。
RADIUS-as-a-Service。即刻運作的雲端 RADIUS。
停止運行 FreeRADIUS、NPS 或 Cisco ISE。Purple 的雲端 RADIUS 針對您現有的身份識別提供者驗證訪客、員工和多租戶 WiFi — 支援 EAP-TLS、PEAP 和 iPSK — 並提供多區域容錯移轉和 99.9% 的運行時間 SLA。不到一小時即可在您的存取點上線。
TL;DR / Key Takeaways
- Cloud RADIUS eliminates the need for expensive, difficult-to-maintain on-premise RADIUS servers.
- Enables secure 802.1X authentication for WiFi, VPN, and wired networks across all corporate locations from a centralized dashboard.
- Integrates directly with your existing identity providers (Entra ID, Google Workspace, Okta) without requiring LDAP sync.
- Supports dynamic policies, VLAN assignment, and certificate-based authentication (EAP-TLS) for maximum security.
什麼是 RADIUS-as-a-Service?
RADIUS-as-a-Service(有時寫作 RADIUSaaS 或 雲端 RADIUS)是以 SaaS 形式提供的全託管 RADIUS 驗證服務。您只需將存取點指向一個主機名稱;Purple 會針對您的身份識別提供者驗證每個加入請求,並告知存取點應將設備分配到哪個 VLAN。
該服務處理 RADIUS 上的 EAP 方式與 FreeRADIUS 叢集、Microsoft NPS 伺服器群或 Cisco ISE 設備完全相同 — 因此您的用戶端(筆記型電腦、手機、IoT、BYOD)無需重新配置。您不再需要運行伺服器:無需作業系統修補、無需在驗證層維護憑證鏈、無需設計高可用性,也無需為辦公室重新開放日進行容量規劃。
為什麼在 2026 年轉向雲端 RADIUS?
三大趨勢共同促使雲端成為新部署的預設 RADIUS 模式。
憑證而非密碼
WPA3-Enterprise 和現代 IT 規範都推向使用機器核發憑證的 EAP-TLS。在地端 RADIUS 之上運行自己的 CA 是大多數團隊不再希望承擔的營運負擔。Purple 將 RADIUS-as-a-Service 與受控憑證核發(視需要)相結合。
高可用性是預設配置,而非專案任務
地端 RADIUS 的高可用性 (HA) 意味著兩台設備、一個複製拓撲以及每季度的容錯移轉測試。雲端 RADIUS 從第一天起就為您提供主動-主動 (active-active) 的多區域支援。存取點配置有兩到三個端點;容錯移轉在幾秒鐘內發生,無需操作員介入。
驗證流程
每個加入請求都遵循相同的路徑。用戶端(筆記型電腦、手機、IoT)嘗試關聯到配置為 802.1X 的 SSID。作為 驗證者 (authenticator) 的存取點將用戶端的 EAP 流量封裝在 RADIUS 封包中並轉發給 Purple。Purple 則作為 驗證伺服器 (authentication server),針對您的 IdP 驗證憑據,並傳回 Access-Accept 以及要套用的 VLAN 和策略。存取點執行該決定。總延遲:數十毫秒。
- 用戶端發起與 SSID 的 802.1X 關聯。
- 存取點(驗證者)將 RADIUS 內的 EAP 轉發至 Purple。
- Purple 針對 IdP 驗證憑證、密碼或 iPSK。
- Purple 傳回帶有 VLAN、ACL 和策略屬性的
Access-Accept。 - 存取點將設備准入正確的網段。
支援的 EAP 方法
| 方法 | 憑據 | 最適用於 |
|---|---|---|
| EAP-TLS | X.509 用戶端憑證 | 受管設備群。黃金標準 — 無密碼,無網路釣魚攻擊面。 |
| PEAP-MSCHAPv2 | 使用者名稱 + 密碼 | 舊型設備和過渡性部署。 |
| EAP-TTLS | TLS 隧道內的使用者名稱 + 密碼 | 非 AD 目錄和混合用戶端場所。 |
| EAP-FAST | Protected Access Credential | 具有現有 EAP-FAST 策略的大型 Cisco 網路。 |
| iPSK | 每台設備專屬的預先共用金鑰 | 憑證不切實際的 BYOD、IoT 和多租戶 WiFi。 |
身份識別提供者整合
Purple RADIUS-as-a-Service 可針對任何已儲存您使用者真實資訊的身份識別提供者進行驗證。SCIM provisioning 可保持成員身份同步,無需每晚進行批次作業。
- Microsoft Entra ID — 與基於群組的策略和 Conditional Access 信號移交直接整合。
- Okta — SAML + SCIM,具備各群組 VLAN 策略。
- Google Workspace — 為以 Google 為主的組織提供全網域驗證。
- OneLogin, JumpCloud — 標準 SAML / SCIM。
- Active Directory — 透過安全 LDAP 綁定,適用於仍以地端 AD 作為單一事實來源的混合環境。
- Any SAML 2.0 IdP — 為未明確列出的 IdP 提供通用 SAML 聯盟。
硬體相容性
RADIUS-as-a-Service 可在任何支援標準 RADIUS 的企業級無線存取點上執行。無需更換硬體,無需升級控制器。
已驗證: Cisco Meraki, Cisco Catalyst, Aruba (HPE), Ruckus (CommScope), Juniper Mist, Ubiquiti UniFi, Cambium Networks, Extreme Networks, Fortinet FortiAP,及更多。如果您的無線存取點可以配置 RADIUS 伺服器 IP 或主機名稱,則 Purple 相容。
安全性、合規性與資料落地
- 傳輸中加密: 支援 RadSec (RADIUS over TLS),針對原生不支援 RadSec 的無線存取點提供 IPsec 備援。
- 稽核軌跡: 每個驗證事件都會記錄使用者、裝置、AP、SSID 及結果。可透過 webhook 或 syslog 匯出至 SIEM。
- 認證: ISO 27001、SOC 2 合規、GDPR 及 B Corp。
- 資料落地: 提供歐盟、英國和美國區域;客戶在部署時選擇區域。
- 靜態零憑證: Purple 從不儲存使用者密碼。驗證會即時代理至您的 IdP。
Cloud RADIUS 與地端 RADIUS 比較
| Cloud RADIUS (Purple) | 地端 (FreeRADIUS / NPS / ISE) | |
|---|---|---|
| 部署時間 | 一小時內 | 數天至數週 |
| 高可用性 | 多區域主動-主動 (Active-Active),預設提供 | 自行建置 — 兩台主機加同步 |
| 作業系統修補 | 供應商管理 | 您的維運團隊 |
| 身分整合 | 原生支援 Entra ID、Okta、Google Workspace | 以 AD 為主,透過橋接器連接雲端 IdP |
| 憑證管理 | 託管 PKI 選項 | 需要自行代管 PKI |
| 擴充性 | 彈性,按 AP 計費 | 容量規劃練習 |
| 總體擁有成本 | 可預測的按 AP 訂閱 | 授權 + 硬體 + 運維 + 停機時間 |
常見問題
什麼是 RADIUS-as-a-Service?
RADIUS-as-a-Service 是一種雲端託管的 RADIUS 驗證服務,可取代地端 FreeRADIUS、Microsoft NPS 或 Cisco ISE 伺服器。您的存取點會將驗證請求轉發至雲端;憑證會針對您的身分識別提供者(Entra ID、Okta、Google Workspace)進行驗證,並將裝置接入正確的 VLAN。您無需運行伺服器、無需修補作業系統,並預設繼承多區域高可用性。
雲端 RADIUS 與地端 RADIUS 有何不同?
地端 RADIUS(FreeRADIUS、NPS、Cisco ISE)需要伺服器、修補、憑證管理和高可用性設計。雲端 RADIUS 消除了這一切 —— 您只需將存取點指向一個主機名稱,供應商就會處理運行時間、擴充和更新。驗證流程完全相同(透過 RADIUS 的 EAP),因此用戶端裝置感覺不到差異。
Purple RADIUS-as-a-Service 支援哪些 EAP 方法?
EAP-TLS(基於憑證,業界標準)、PEAP-MSCHAPv2(適用於舊型裝置的使用者名稱/密碼)、EAP-TTLS 和 EAP-FAST。大多數生產部署對受管理裝置使用 EAP-TLS,並在過渡期退而求其次使用 PEAP。針對憑證配置不切實際的 BYOD 和多租戶情境,我們也提供 iPSK。
我可以與哪些身分識別提供者整合?
Microsoft Entra ID (Azure AD)、Okta、Google Workspace、OneLogin、JumpCloud、Active Directory(透過 LDAP 綁定或安全隧道),以及任何符合 SAML 2.0 或 SCIM 標準的 IdP。SCIM 配置可確保離職員工在失去電子郵件存取權限的同時,也失去 WiFi 存取權限 —— 不會留下孤立的憑證。
運行時間和備援模型是怎樣的?
Purple 在多個區域運行 RADIUS 驗證端點,並具備主動-主動容錯移轉功能。存取點配置有兩到三個驗證目標;如果主要端點運作檢查失敗,流量會在幾秒鐘內移至下一個區域。該服務提供 99.9% 運行時間的 SLA 保證。
我需要更換存取點嗎?
不需要。任何支援 RADIUS 的企業級存取點(Cisco、Aruba、Ruckus、Juniper Mist、Meraki、Ubiquiti UniFi、Cambium、Extreme)都可以將驗證轉發至 Purple。您只需更改每個 SSID 上的 RADIUS 伺服器地址,AP 就會處理其餘工作。
如何計費?
按每月每個存取點計費,並提供大規模數量折扣。沒有按驗證次數或按使用者計費,因此您可以在整個裝置群中啟用 802.1X,而不會收到意外帳單。價格公佈在 Purple 價格計算器上。
我可以從 FreeRADIUS、NPS 或 Cisco ISE 遷移嗎?
可以。中型部署的典型遷移只需一個週末:在現有 RADIUS 旁建立 Purple,將 Purple 新增為存取點上的次要驗證目標,逐一遷移 SSID,並在流量排空後停用地端伺服器。Purple 專業服務為企業客戶執行切換作業。
RADIUS-as-a-Service for your industry
See how radius-as-a-service works in venues like yours, and how Purple compares to alternatives.