一、概述
本文档用于规范蓝海卓越AAA认证计费系统与企业OA系统对接，实现统一账号PORTAL网页认证的整体部署、配置流程、功能说明及运维标准。旨在解决企业多系统账号独立管理、上网认证与办公账号不统一、运维成本高的问题，实现OA账号一键上网认证、账号状态同步、无本地账号冗余存储，为企业无线网络准入提供标准化、一体化的身份认证方案。
本文档适用于部署蓝海卓越V7系列AAA认证系统、无线AC/BRAS接入设备，且需对接自研/外购OA系统，实现员工账号统一PORTAL上网认证的企业网络场景，面向网络运维人员、系统实施人员及技术管理人员。
二、系统简介与对接原理
2.1 核心系统介绍
l 蓝海卓越AAA系统：核心提供RADIUS认证、计费、用户准入管控、PORTAL网页推送能力，支持第三方系统API对接、外部数据源实时校验，可实现无线、有线网络用户的上网权限管控，默认支持标准RADIUS端口、PORTAL服务端口，是企业网络准入的核心认证载体。
l 企业OA系统：企业内部统一办公账号管理系统，存储员工工号、账号、密码、在职状态、部门信息等核心数据，提供标准化API接口，作为本次认证的唯一账号数据源，实现账号统一管理、统一启停。
l PORTAL认证：网页式上网认证方式，终端连接企业无线网络后，自动跳转认证页面，通过OA账号密码完成校验，无需安装客户端，适配手机、电脑等全终端设备，是企业主流的无线准入认证方式。
2.2 对接核心原理
本次对接采用AAA系统实时调用OA API接口校验账号模式，无需在蓝海卓越AAA系统本地创建、存储员工账号，彻底避免账号数据冗余、不同步问题。
整体逻辑为：终端触发上网认证请求→跳转AAA系统PORTAL认证页面→用户输入OA账号密码→AAA系统实时调用OA接口校验账号合法性、在职状态、权限→校验通过后联动AC/BRAS放行网络权限→记录认证日志；校验失败则返回OA系统对应错误提示。
同时实现账号状态实时同步，OA系统中员工离职、账号禁用、权限调整后，AAA系统实时感知，自动禁止对应账号上网，保障网络准入安全。
2.3 组网架构
终端（手机/电脑）→企业无线SSID→AC/BRAS接入设备→蓝海卓越AAA&PORTAL服务器→企业OA系统服务器，全程基于内网链路通信，保障接口调用与认证数据安全。
三、对接前置条件
3.1 设备与版本要求
l 蓝海卓越AAA系统：V7及以上版本，支持第三方API数据源对接、自定义PORTAL认证策略、RADIUS协议适配
l 接入设备：企业无线AC、BRAS设备，支持PORTAL联动、RADIUS认证对接
l OA系统：提供开放的HTTP/HTTPS账号校验API接口，支持账号密码校验、账号状态查询，接口响应稳定，具备调用权限与密钥认证机制
3.2 网络与端口要求
内网互通：AAA服务器、OA服务器、AC/BRAS设备内网三层互通，无ACL拦截限制。
端口开放（默认标准端口，可自定义修改）：
l RADIUS认证端口：UDP 1812
l RADIUS计费端口：UDP 1813
l PORTAL服务端口：UDP 2000、WEB推送端口9090
l OA API接口端口：根据OA系统实际接口端口开放（80/443/自定义端口）
3.3 接口参数准备
提前向OA系统厂商/运维人员获取以下核心对接参数，用于AAA系统配置：
l OA账号校验API接口地址
l 接口请求方式（GET/POST）、请求参数（账号、密码、校验密钥等）
l 接口返回字段（认证成功/失败状态码、提示信息、用户部门、权限等）
l OA接口调用密钥、白名单IP（需将AAA服务器IP加入OA接口白名单）
四、详细对接配置步骤
4.1 OA系统接口配置
1. 登录OA系统后台，开启第三方账号校验API接口服务，启用接口访问权限校验机制。
2. 添加蓝海卓越AAA服务器内网IP至OA接口白名单，禁止非法IP调用接口。
3. 配置接口返回规则：统一成功、失败状态码，明确账号不存在、密码错误、账号禁用、离职锁定等场景的返回提示。
4. 保存配置，测试接口连通性，确保内网可正常调用、响应延迟≤1s，无超时、报错问题。
4.2 蓝海卓越AAA系统基础配置
4.2.1 第三方数据源配置（核心OA对接） ：略......
4.2.2 PORTAL认证页面配置
1. 进入【PORTAL管理】-【用户模板】，设定默认 PORTAL模板
2. （略）。
4.2.3 RADIUS服务与权限配置
1. 进入【RADIUS对接配置】，开启RADIUS认证、计费服务，确认默认端口1812、1813正常监听。
2. 进入服务设置--PORTAL对接配置，填入设备IP、共享密钥，完成设备绑定。
4.3 AC/BRAS设备联动配置
1. 登录无线AC/BRAS设备后台，开启PORTAL认证功能，配置认证模式为外部PORTAL服务器认证。
2. 填入蓝海卓越AAA服务器IP、PORTAL端口、RADIUS共享密钥，绑定认证服务器。
3. 配置无线SSID认证策略，关联PORTAL认证模板，终端连接SSID后强制跳转认证页面。
4. 开启认证放行规则，未认证终端仅允许访问PORTAL认证页面，禁止外网及内网业务访问。
5. 保存配置，重启设备认证服务，确保策略生效。
五、整体认证业务流程
1. 终端接入：用户终端连接企业认证SSID，设备获取内网IP，未认证状态下仅放行PORTAL页面访问权限。
2. 页面跳转：终端自动触发HTTP劫持，跳转至蓝海卓越OA账号PORTAL认证页面。
3. 账号提交：用户输入个人OA工号、登录密码，提交认证请求至AAA系统。
4. 接口校验：AAA系统实时调用OA API接口，校验账号、密码、在职状态、账号启用状态。
5. 权限放行：校验通过后，AAA系统向AC/BRAS发送认证成功指令，终端网络权限全开，正常访问内外网。
6. 认证失败反馈：账号错误、密码错误、账号禁用、离职锁定等场景，PORTAL页面同步OA系统提示信息，拒绝放行网络。
7. 时效管控：认证有效期内终端免重复认证，到期自动下线，需重新通过OA账号认证。
六、核心功能说明
6.1 统一账号管理
全程复用企业OA现有账号体系，无需运维人员在AAA系统手动新增、删除、修改上网账号，实现“一套OA账号，办公、上网通用”，大幅降低账号运维工作量，杜绝多系统账号数据不一致问题。
6.2 账号状态实时同步
采用实时接口校验机制，OA系统中员工离职、账号禁用、密码修改、权限调整后，AAA系统无需同步刷新，下次终端上网认证或重连时自动生效，及时回收离职员工网络权限，保障内网安全。
6.3 全终端适配认证
PORTAL网页认证无客户端依赖，完美适配电脑、手机、平板等所有智能终端，支持任意浏览器访问，认证操作简单，员工上手无门槛。
6.4 安全审计与溯源
AAA系统全程记录认证日志，包含OA账号、终端MAC/IP、认证时间、认证结果、上线时长等信息，可导出报表，满足企业网络安全审计、行为溯源需求。
七、MAC无感知认证拓展配置
7.1 功能概述与实现原理
为优化员工上网体验，在原有OA账号PORTAL网页认证基础上，拓展开启MAC无感知认证功能。终端首次接入企业WiFi需完成OA账号密码PORTAL认证，认证成功后蓝海卓越AAA系统自动将终端MAC地址与当前登录OA账号绑定；后续该终端再次接入企业内网WiFi时，系统自动识别绑定MAC地址，无需重复弹出PORTAL页面、无需手动输入OA账号密码，自动完成认证放行，实现全程无感知上网。
本功能完全兼容OA账号统一校验机制，MAC绑定权限跟随OA账号状态联动，OA账号禁用、员工离职后，对应绑定的MAC地址自动失效，杜绝脱管终端非法上网，兼顾使用体验与网络安全。
7.2 前置条件
l 已完成前文所有OA与AAA对接、PORTAL认证、RADIUS联动、AC/BRAS基础配置，网页PORTAL认证可正常使用。
l 蓝海卓越AAA V7系统支持MAC地址自动绑定、无感知放行、账号-MAC关联管控功能。
l AC/BRAS设备支持MAC预认证、旁路无感知放行，兼容AAA侧MAC缓存校验机制。
7.3 AC/BRAS设备无感知联动配置
1. 登录AC/BRAS设备后台，进入对应认证SSID的PORTAL模板，开启MAC快速认证（MAB）功能。
2. 配置优先校验逻辑：终端接入网络后，优先上传MAC地址至AAA系统校验，已绑定合法MAC直接放行，未绑定MAC则跳转OA PORTAL认证页面。
3. 关闭无感知终端的HTTP劫持弹窗权限，仅对未绑定新终端触发PORTAL跳转。
4. 同步设备侧认证有效期与AAA系统一致，避免两端时效冲突。
5. 保存配置并重启认证服务，确保无感知策略正常加载。
7.4 白名单特殊配置（可选）
针对打印机、监控等无浏览器、无法完成PORTAL认证的哑终端，可在AAA系统手动添加静态MAC白名单，配置免认证放行权限，不占用员工账号绑定名额，适配企业哑终端上网场景。
7.5 核心拓展功能
l 账号-MAC双向绑定：一个OA账号绑定多台终端MAC，一台终端MAC仅归属一个OA账号，避免账号混用。
l 批量解绑管理：支持在AAA系统按部门、OA账号、终端MAC批量解绑无感知绑定记录，适配员工换设备、岗位变动场景。
l 绑定日志审计：全程记录MAC绑定、解绑、无感知上线记录，可溯源终端归属、上网记录，满足安全审计要求。
l 兼容原有认证体系：不替代原有OA账号PORTAL认证，仅作为体验优化拓展，新终端、未绑定终端仍走标准OA账号认证流程。
八、应急运维规范
l 批量失效应急：出现全员无感知认证失效、绑定记录不生效问题时，优先重启AAA PORTAL服务与AC认证服务，核对OA接口连通性与账号联动解绑开关状态。
l 非法终端处置：发现陌生非法终端无感接入，立即在AAA系统解绑对应MAC、拉黑终端地址，同步核查对应OA账号是否存在盗用情况，必要时冻结账号。
l 故障回退机制：无感知功能异常影响办公时，可临时关闭MAC无感认证，恢复纯OA账号PORTAL认证模式，保障网络正常使用，故障修复后重新开启无感功能。

故障现象	排查原因	解决方案
连接WiFi后无法跳转PORTAL页面	1.AC/BRAS认证策略未生效；2.终端DNS异常；3.PORTAL端口被拦截	1.重启设备认证服务，核对SSID绑定模板；2.手动设置内网DNS；3.放行AAA服务器9090、2000端口
输入OA账号密码提示认证失败	1.OA接口参数配置错误；2.AAA服务器未加入OA白名单；3.OA账号状态异常	1.核对接口请求参数、状态码映射；2.添加AAA服务器IP至OA接口白名单；3.在OA系统核查账号是否启用、未离职
认证成功后无法上网	1.RADIUS共享密钥不匹配；2.设备权限放行策略缺失；3.内网路由异常	1.统一AAA与AC/BRAS共享密钥；2.检查上网权限策略配置；3.排查内网三层互通
认证卡顿、响应超时	1.OA接口响应延迟高；2.接口超时参数设置过短；3.内网链路拥堵	1.优化OA接口性能；2.调整AAA接口超时时间至3s；3.排查内网网络拥堵问题
OA禁用账号后仍可上网	终端认证未过期，缓存权限未失效、未开启账号联动解绑	1.在AAA系统开启OA账号状态联动解绑功能；2.手动下线对应终端、清空过期MAC绑定缓存；3.缩短高危岗位认证有效期，提升权限回收及时性
已绑定终端仍弹出PORTAL认证	1.MAC绑定记录异常丢失；2.AC未开启MAB无感知校验；3.绑定终端数量超限	1.查看AAA绑定列表，重新认证绑定MAC；2.设备侧开启MAC快速认证功能；3.清理多余绑定终端，扩容单账号绑定限额
哑终端无法联网、持续拦截	哑终端无MAC白名单，无法完成PORTAL认证	在AAA系统手动添加哑终端静态MAC白名单，配置免认证放行策略

 

故障现象	排查原因	解决方案
连接WiFi后无法跳转PORTAL页面	1.AC/BRAS认证策略未生效；2.终端DNS异常；3.PORTAL端口被拦截	1.重启设备认证服务，核对SSID绑定模板；2.手动设置内网DNS；3.放行AAA服务器9090、2000端口
输入OA账号密码提示认证失败	1.OA接口参数配置错误；2.AAA服务器未加入OA白名单；3.OA账号状态异常	1.核对接口请求参数、状态码映射；2.添加AAA服务器IP至OA接口白名单；3.在OA系统核查账号是否启用、未离职
认证成功后无法上网	1.RADIUS共享密钥不匹配；2.设备权限放行策略缺失；3.内网路由异常	1.统一AAA与AC/BRAS共享密钥；2.检查上网权限策略配置；3.排查内网三层互通
认证卡顿、响应超时	1.OA接口响应延迟高；2.接口超时参数设置过短；3.内网链路拥堵	1.优化OA接口性能；2.调整AAA接口超时时间至3s；3.排查内网网络拥堵问题
OA禁用账号后仍可上网	终端认证未过期，缓存权限未失效