Habilitar el SSO de RADIUS para un Firebox Administrado en la Nube

Aplica A: Fireboxes administrados en la nube

Este tema de ayuda describe cómo habilitar el Inicio de Sesión Único (SSO) de RADIUS para Fireboxes administrados en la nube. Para obtener información acerca de cómo habilitar el Inicio de Sesión Único de Active Directory, consulte Habilitar el SSO de Active Directory para un Firebox Administrado en la Nube. Para aprender cómo configurar y habilitar el SSO de RADIUS para Fireboxes administrados localmente, consulte Habilitar el Inicio de Sesión Único (SSO) de RADIUS.

El Inicio de Sesión Único de RADIUS (RSSO) permite a los usuarios autenticarse automáticamente al Firebox cuando utilizan el RADIUS para autenticarse a un cliente RADIUS, como un punto de acceso inalámbrico.

Cuando habilita SSO de RADIUS, el grupo RADIUS-SSO-Users y la política de sistema Allow RADIUS SSO Users se crean automáticamente para permitir conexiones salientes de usuarios autenticados mediante el SSO de RADIUS. Puede usar este grupo o puede crear nuevos grupos que coincidan con los nombres de grupo de usuarios en su servidor RADIUS.

Para permitir el tráfico de contabilidad RADIUS desde el servidor RADIUS al Firebox, la política Allow RADIUS SSO Service también se crea automáticamente.

Si deshabilita el SSO de RADIUS, el grupo RADIUS-SSO-Users y las políticas Allow RADIUS SSO Users y Allow RADIUS SSO Service se eliminan automáticamente.

Antes de habilitar el SSO de RADIUS en su Firebox, debe tener la siguiente información:

Dirección IP — La dirección IP de su servidor RADIUS
Secreto — Secreto compartido que distingue mayúsculas de minúsculas y utilizado para verificar los mensajes de RADIUS entre el servidor RADIUS y el Firebox
Atributos de Grupo — El número de atributo de RADIUS utilizado para obtener los nombres de grupos de los mensajes de contabilidad RADIUS

Tiempo de Espera de la Sesión y Tiempo de Espera Inactivo

Para el SSO de RADIUS, el tiempo de espera de las sesiones de usuarios se basa en los tiempos de espera del SSO de RADIUS, en lugar de los tiempos de espera de autenticación global configurados en el Firebox. Los ajustes del SSO de RADIUS incluyen dos valores de tiempo de espera.

Tiempo de Espera de la Sesión

El período de tiempo máximo que un usuario puede enviar tráfico a una red externa. Si define este campo en cero segundos, minutos, horas o días, la sesión no expira y el usuario puede seguir conectado por el tiempo que desee.

Tiempo de Espera Inactivo

El tiempo máximo durante el que un usuario puede permanecer autenticado cuando esté inactivo (sin transmitir tráfico a la red externa). Si configura este campo en cero segundos, minutos, horas o días, el tiempo de espera de la sesión no vence por inactividad y el usuario puede permanecer inactivo cualquier período de tiempo.

Si un usuario se desconecta antes de que se alcancen estos límites de tiempo de espera, el Firebox elimina la sesión cuando recibe un mensaje DETENER de contabilidad RADIUS que contiene el nombre de usuario y la dirección IP del cliente. Para obtener más información sobre los mensajes de contabilidad RADIUS, consulte Acerca del Inicio de Sesión Único (SSO) de RADIUS.

Configurar el Servidor RADIUS

Para habilitar el SSO de RADIUS, debe configurar el servidor RADIUS para reenviar paquetes de contabilidad RADIUS a una dirección IP del Firebox en el puerto 1813, y debe configurar el secreto compartido usado para la comunicación entre el servidor RADIUS y el Firebox.

Configurar el Firebox

Cuando habilita y configura los ajustes para el SSO de RADIUS en su Firebox, debe especificar la dirección IP del servidor RADIUS.

Para habilitar y configurar el SSO de RADIUS, en WatchGuard Cloud:

Seleccione Configurar > Dispositivos.
Seleccione el Firebox administrado en la nube.
Haga clic en Configuración del Dispositivo.
En el mosaico Autenticación, haga clic en Ajustes.
Seleccione Inicio de Sesión Único.
Habilite el Inicio de Sesión Único con RADIUS.
En el cuadro de texto Dirección IP, ingrese la dirección IP de su servidor RADIUS.
En el cuadro de texto Secreto, ingrese el secreto compartido que configuró en el servidor RADIUS. El secreto compartido distingue mayúsculas de minúsculas y debe ser el mismo en el Firebox y en el servidor RADIUS.
En el cuadro de texto Atributo de Grupo, especifique el número de atributos de RADIUS que incluye información sobre la membresía al grupo. En la mayoría de los casos, el atributo de Filtro-ID (11) se utiliza para este propósito.
En el cuadro de texto Tiempo de Espera de la Sesión, ingrese o seleccione el límite de tiempo máximo durante los que un usuario puede permanecer autenticado antes de que la sesión vence.
En el cuadro de texto Tiempo de Espera Inactivo, ingrese o seleccione el límite de tiempo máximo durante los que un usuario podrá estar inactivo antes de que la sesión vence.
Haga clic en Guardar.

Políticas y Grupos del SSO de RADIUS

Cuando habilita el SSO de RADIUS (RSSO), dos políticas se agregan automáticamente a la configuración de su Firebox:

Allow RADIUS SSO Service (Permitir Servicio SSO de RADIUS) — Permite el tráfico de contabilidad RADIUS entre el Firebox y el servidor RADIUS
Allow RADIUS SSO Users (Permitir Usuarios SSO de RADIUS) — Permite el tráfico saliente TCP y UDP de usuarios autenticados con SSO de RADIUS

Los mensajes de contabilidad RADIUS incluyen información sobre la membresía al grupo para el usuario autenticado. El grupo RADIUS-SSO-Users en el Firebox incluye automáticamente a todos los usuarios que no son miembros de un grupo que existe en el Firebox. El tráfico saliente para estos usuarios es permitido por la política Allow RADIUS SSO Users.

Si los usuarios que se autentican a través del SSO de RADIUS son miembros de un grupo en el servidor RADIUS, puede crear el mismo grupo en el Firebox, y luego utilizar ese nombre de grupo en las políticas. Si un usuario autenticado a través del SSO de RADIUS es un miembro de un grupo que existe en el Firebox, el usuario no es un miembro del grupo RADIUS-SSO-Users, así que debe crear una política para permitir el tráfico para el usuario o grupo.

Temas Relacionados

Habilitar el SSO de Active Directory para un Firebox Administrado en la Nube

Acerca del Inicio de Sesión Único (SSO) de RADIUS

Acerca de la Autenticación de Usuario

© 2025 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.