Eduroam:Geteduroam: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
Regel 15: Regel 15:
 
==Inzetten van geteduroam==
 
==Inzetten van geteduroam==
 
Hosted geteduroam via Entree Federatie: Voor de configuratie met een pseudo-account, afgeleid van de authenticatie via Entree Federatie.
 
Hosted geteduroam via Entree Federatie: Voor de configuratie met een pseudo-account, afgeleid van de authenticatie via Entree Federatie.
  +
  +
In dit geval loggen eindgebruikers in via de App en krijgt het apparaat na de Entree Federatie-authenticatie bij de eigen instelling een certificaat van Entree Federatie dat (bijvoorbeeld) een jaar geldig is. Entree Federatie doet hiermee de eduroam (RADIUS) authenticatie.
  +
  +
Op deze manier is het ook mogelijk een eduroam-account aan te maken via Entree Federatie, de school moet alleen gekoppeld zijn met Entree Federatie.
  +
  +
De workflow voor geteduroam is voor gebruikers vergelijkbaar met een instellings-account; de authenticatie van het echte gebruikersaccount verloopt alleen via de mobiele browser en de App.
  +
  +
==Autorisatie==
  +
Gebruikers zijn herkenbaar aan het realm (@[instelling].geteduroam.nl), waardoor alsnog VLAN toekenning kan worden gedaan. We denken graag mee als er wensen zijn voor het onderscheiden van verschillende gebruikersgroepen in bijvoorbeeld VLAN toekenning.
  +
  +
==Security en privacy==
  +
Profielen zorgen er in het algemeen voor dat de instellingen goed zijn waardoor het onderscheppen van een gebruikersnaam en wachtwoord niet kunnen. Daarom is elke inzet van geteduroam voor eindgebruikers veilig. De pseudo-accounts worden gemaakt puur voor wifi-toegang, en werken op basis van certificaten. Dit zijn credentials die bij het opzetten van de verbinding nooit onderschept kunnen worden, en zijn daarmee veiliger dan een gebruikersnaam en wachtwoord. Tegelijk zijn de accounts minder waardevol, omdat ze niet voor andere toepassingen gebruikt kunnen worden. De certificaten zijn (standaard) een jaar geldig, waarna de Apps waar mogelijk een push bericht geven voor verlenging/ herauthenticatie via SURFconext. Dat is bij Android pas in de toekomst mogelijk, deze gebruikers moeten er aan denken dat na een jaar er een nieuw profiel nodig is. Bij misbruik kan op basis van de gebruikersnaam en eventueel andere kenmerken de oorspronkelijke gebruiker aangeschreven worden en worden geblokkeerd. De gebruikersnamen zijn random en via de omgeving van SURF herleidbaar om privacy te waarborgen.
  +
  +
==eduroam IdP as a Service==
  +
De pseudo-accounts van geteduroam worden geauthenticeerd door een RADIUS-omgeving van Kennisnet. Hierdoor kan de RADIUS-koppeling tussen instelling en Kennisnet beperkt blijven tot uitgaande authenticatieverzoeken, er is geen IdP RADIUS-koppeling meer nodig.

Versie van 10 jun 2021 13:58

Werking van geteduroam Voor eindgebruikers is geteduroam dé manier om eduroam op je apparaat te configureren op een gemakkelijke, juiste en veilige manier.

Deze app configureert eduroam-accounts met behulp van per instelling op maat gemaakte profielen. Minder beheerlast dus voor instellingen, gebruikers kunnen zelf eduroam op de juiste manier op hun device zetten.

De geteduroam Apps staan in de Google Play store en Apple App store voor Android en iOS/iPadOS. Voor Windows is er een installer (.exe) en voor macOS kunnen er profielen (.mobileconfig) worden gedownload. Deze worden via een website aangeboden. Linux en ChromeOS opties zijn nog in ontwikkeling.

Gebruikers doorlopen een aantal configuratiestappen en hoeven naast de naam van de organisatie geen verdere kennis te hebben van de specifieke wifi-instellingen.


De Apps zorgen voor de juiste en veilige configuratie. Bij pseudo-accounts is bij afronding direct duidelijk of de ingevulde gegevens correct zijn, anders blijkt dat uit de eerste authenticatie-poging.

Inzetten van geteduroam

Hosted geteduroam via Entree Federatie: Voor de configuratie met een pseudo-account, afgeleid van de authenticatie via Entree Federatie.

In dit geval loggen eindgebruikers in via de App en krijgt het apparaat na de Entree Federatie-authenticatie bij de eigen instelling een certificaat van Entree Federatie dat (bijvoorbeeld) een jaar geldig is. Entree Federatie doet hiermee de eduroam (RADIUS) authenticatie.

Op deze manier is het ook mogelijk een eduroam-account aan te maken via Entree Federatie, de school moet alleen gekoppeld zijn met Entree Federatie.

De workflow voor geteduroam is voor gebruikers vergelijkbaar met een instellings-account; de authenticatie van het echte gebruikersaccount verloopt alleen via de mobiele browser en de App.

Autorisatie

Gebruikers zijn herkenbaar aan het realm (@[instelling].geteduroam.nl), waardoor alsnog VLAN toekenning kan worden gedaan. We denken graag mee als er wensen zijn voor het onderscheiden van verschillende gebruikersgroepen in bijvoorbeeld VLAN toekenning.

Security en privacy

Profielen zorgen er in het algemeen voor dat de instellingen goed zijn waardoor het onderscheppen van een gebruikersnaam en wachtwoord niet kunnen. Daarom is elke inzet van geteduroam voor eindgebruikers veilig. De pseudo-accounts worden gemaakt puur voor wifi-toegang, en werken op basis van certificaten. Dit zijn credentials die bij het opzetten van de verbinding nooit onderschept kunnen worden, en zijn daarmee veiliger dan een gebruikersnaam en wachtwoord. Tegelijk zijn de accounts minder waardevol, omdat ze niet voor andere toepassingen gebruikt kunnen worden. De certificaten zijn (standaard) een jaar geldig, waarna de Apps waar mogelijk een push bericht geven voor verlenging/ herauthenticatie via SURFconext. Dat is bij Android pas in de toekomst mogelijk, deze gebruikers moeten er aan denken dat na een jaar er een nieuw profiel nodig is. Bij misbruik kan op basis van de gebruikersnaam en eventueel andere kenmerken de oorspronkelijke gebruiker aangeschreven worden en worden geblokkeerd. De gebruikersnamen zijn random en via de omgeving van SURF herleidbaar om privacy te waarborgen.

eduroam IdP as a Service

De pseudo-accounts van geteduroam worden geauthenticeerd door een RADIUS-omgeving van Kennisnet. Hierdoor kan de RADIUS-koppeling tussen instelling en Kennisnet beperkt blijven tot uitgaande authenticatieverzoeken, er is geen IdP RADIUS-koppeling meer nodig.