eduroam as a service

Kuvaus

Verkkovierailupalvelu eduroamin piirissä olevien Funet-jäsenorganisaatioiden käyttäjät voivat kirjautua omilla tutuilla käyttäjätunnuksillaan langattomaan vierailijaverkkoon vieraillessaan minkä tahansa eduroam-verkon kuuluvuusalueella. Kunkin käyttäjän käyttäjätunnustiedot haetaan tämän kotiorganisaatiosta eikä erillisiä vierailijatunnuksia tarvita, mikä vähentää käyttäjähallinnointiin liittyvää työtä. Toteutus perustuu 802.1x-autentikointiin ja WPA2/WPA3-salaukseen, joten palvelun käyttö on turvallista ja suositeltavampaa kuin avointen WLAN-verkkojen käyttäminen. Oikein konfiguroitu päätelaite kytkeytyy eduroam-verkkoon sen kantoalueella automaattisesti, ja slogan kuuluukin "open your device and be online".

eduroam as a service koostuu kahdesta eri palvelukomponentista:

• eduroam proxy -palvelu (Service Provider)
• eduroam managed IdP (Identity Provider)

eduroam proxy -palvelun avulla mainostetaan eduroam-SSID:tä organisaation WLAN-verkossa mahdollistaen sekä omien että muiden eduroam-käyttäjien kirjautumisen internetiin organisaation verkossa. Tarkempi kuvaus eduroam proxy -palvelusta ja sen käyttöönotosta löytyy palvelun omilta sivuilta. Kansainvälisesti ylläpidetty eduroam managed IdP mahdollistaa käyttäjien eduroam-verkon käytön sekä omassa organisaatiossa että vierailtaessa muissa eduroam kohteissa. eduroam-käyttäjien ylläpito ja hallinta tapahtuu erillisen web-portaalin kautta.

eduroam managed IdP soveltuu erityisesti pienille Funet-jäsenorganisaatioille, joilla ei ole resursseja tai infrastruktuuria ylläpitää omaa RADIUS-palvelinta. Palvelun osana olevan web-portaalin avulla organisaatio pystyy luomaan maksimissaan 200 eduroam käyttäjää. Palvelu perustuu EAP-TLS protokollaan, jossa käyttäjien autentikointi tapahtuu käyttäjä-  ja päätelaitekohtaisilla varmenteilla. Käyttäjä ei siis tarvitse erillistä käyttäjätunnusta ja salasanaa palvelun käyttöä varten.

Käyttöönotto

Mukaan pääsevät kaikki Funet-jäsenorganisaatiot ilman erillistä sopimusta. eduroamiin liittyäkseen Funet-jäsenorganisaation on täytettävä eduroam policyn mukaiset tekniset vaatimukset. Palvelun käyttöönottamiseksi ota yhteyttä Funet NOC:iin: Yhteystiedot tai (vaativat sisäänkirjautumista) Yhteydenottolomake tai Yhteydenottopyyntö.

Palvelun käyttöönotto aloitetaan eduroam proxy -palvelun käyttöönotolla, koska käyttäjän on vastavuoroisuuden mukaisesti mainostettava eduroam-SSID:tä omassa verkossa myös muiden organisaatioiden eduroam-käyttäjille.

Seuraavassa vaiheessa otetaan käyttöön eduroam managed IdP -web-portaali. Funet luo organisaation pääkäyttäjälle tunnukset ja tilin kyseiseen portaaliin loppukäyttäjien hallintaa varten.

Hinnoittelu

eduroamissa noudatetaan organisaatioiden välistä vastavuoroisuutta, joten palvelusta ei veloiteta erikseen vaan se kuuluu Funet-jäsenmaksuun.

Tilastot

Organisaation pääkäyttäjän on mahdollista eduroam managed IdP -web-portaalin kautta nähdä palvelun aktiivisten käyttäjien määrä sekä käyttäjät, jotka eivät ole ottaneet palvelua käyttöön.

Ohjeet

Organisaation pääkäyttäjän saatua tunnukset Funetilta eduroam managed IdP -web-portaaliin (hosted.eduroam.org) on mahdollista aloittaa käyttäjien lisääminen:

1. Organisaatoiden pääkäyttäjät luovat web-portaalin kautta käyttäjille tilin eduroamin käyttöä varten
2. Pääkäyttäjän on mahdollista lähettää kutsu (htpps://hosted.eduroam.org/...token=...) käyttäjälle sähköpostilla, tekstiviestillä tai eduroam CAT-palvelulla. Vaihtoehtoisesti pääkäyttäjä voi lähettää kutsun QR-koodina.
3. Käyttäjä saa tästä tilin luomisesta vahvistuksen pääkäyttäjän määrittelemään sähköpostiin tai puhelinnumeroon (CAT-palvelu lähettä käyttäjälle sähköpostin)
4. Saapuneessa sähköpostissa on ohjeet käyttäjälle eduroamin käyttöä ja asennusta varten
5. Käyttäjä lataa päätelaitteelle eduroam-asennuspaketin kutsussa olevien ohjeiden mukaisesti
6. Asennuksen jälkeen käyttäjä pääsee automaattisesti eduroamiin kyseisellä päätelaitteella
7. Tämän jälkeen käyttäjän on mahdollista luoda eduroam profiileita eri päätelaitteille
8. Pääkäyttäjä huolehtii käyttäjien hallinnasta ja poistaa tarvittaessa organisaatiosta poistuneet käyttäjät

eduroam managed IdP -web-portaalissa on tarkemmat käyttöohjeet pääkäyttäjälle käyttäjien hallintaan. Tämän lisäksi käyttäjää koskevat tarkemmat ohjeet asennuksen suorittamiseen löytyvät hänelle toimitetusta kutsusta. Pääkäyttäjän on pidettävä huolta siitä, että hän tietää kuka on luodun käyttäjätilin käyttäjä, jotta esim. mahdolliset väärinkäyttötapaukset voidaan selvittää.