Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:eduroam:easyroam-regelbetrieb [2022/07/11 12:41] Ralf Paffrathde:eduroam:easyroam-regelbetrieb [2023/11/28 21:54] (aktuell) Ralf Paffrath
Zeile 1: Zeile 1:
 ==== Die weiche Migration zu easyroam im Regelbetrieb ==== ==== Die weiche Migration zu easyroam im Regelbetrieb ====
-Wer bisher einen eigenen eduroam Identity Provider betrieben hat und nun zu easyroam wechseln möchte,  +<alert>Bitte beachten: Einen dauerhaften Parallelbetrieb von eduroam legacy (passwortgestützte Anmeldung) und easyroam (zertifikatsbasierte Anmeldung in eduroam) wird u.a. aus Gründen der Sicherheit nicht unterstützt.</alert>  
-geht wie folgt vor: + 
-  - Wer bereits am Pilotprojekt teilnimmterklärt bitte bis zum 31.08.2022 die Teilanhme an easyroam im Regelbetriebdigital signierte email reicht.  +Einrichtungen, die bisher einen eigenen eduroam Identity Provider betrieben haben und nun zu easyroam wechseln möchten,  
-  - Auf cat.eduroam.org löscht man alle eduroam Profile und legt ein neues Profil an. In den allgemeinen Angaben zum Profil setzt man das Häkchen für "Bereit zum Veröffentlichen" auf aktiv und unter "Herunterladen der Installationsprogramme"  setzt man ein Häkchen für "Endbenutzer auf eigene Seite weiterleiten:". Rechts daneben gibt man den folgenden Link an: https://www.easyroam.de/#letswifi . Anschließend speichert man die Einstellung. Von diesem Zeitpunkt an, werden die easyroam Nutzenden auf das Portal www.easyroam.de weitergeleitet und können dort die neuen Profile für easyroam s. https://doku.tid.dfn.de/de:eduroam:anleitungen:easyroamapp und https://doku.tid.dfn.de/de:eduroam:easyroam herunterladen und konfigurieren. +gehen wie folgt vor: 
-  - Die easyroam Nutzenden müsssen in der eigenen Einrichtung benachrichtigt werden, dass es bei eduroam eine Umstellung gibt und auf die entprechenden Links für die Anleitungen der verschiedenen Endgeräte hingewiesen werden: \\ * [[https://doku.tid.dfn.de/de:eduroam:easyroam#die_webseite_wwweasyroamde_fuer_die_eduroam_nutzenden|Das easyroam Portal]]\\  * [[https://doku.tid.dfn.de/de:eduroam:easyroam#installation_der_eduroam_profile_auf_w10_mit_geteduroam|Anleitung für Geräte mit Windows 10]]\\ * [[https://doku.tid.dfn.de/de:eduroam:easyroam#installation_der_eduroam_profile_auf_macos|Anleitung für Geräte mit macOS]]\\ * [[https://doku.tid.dfn.de/de:eduroam:easyroam#installation_der_eduroam_profile_auf_ios_10|Anleitung für Geräte mit iOS <= 10]]\\ * [[https://doku.tid.dfn.de/de:eduroam:easyroam#installation_der_eduroam_profile_auf_ios_11|Anleitung für Geräte mit iOS >= 11]]\\ * [[https://doku.tid.dfn.de/de:eduroam:easyroam#installation_der_eduroam_profile_auf_android_10|Anleitung für Geräte auf ANDROID >=10]]\\ * [[https://doku.tid.dfn.de/de:eduroam:easyroam#installation_der_eduroam_profile_auf_android_9|Anleitung für Geräte mit ANDROID <= 9]]\\ * [[https://doku.tid.dfn.de/de:eduroam:easyroam#erfahrungsberichte_zur_easyroam_app_auf_android_geraeten|Erfahrungsberichte zu Geräten mit ANDROID]] +  - Einrichtungendie neu mit easyroam beginnen, beachten bitte die Hinweise auf: [[https://doku.tid.dfn.de/de:eduroam:easyroam#easyroam_in_der_dfn-aai-basic_im_optin|easyroam in der DFN-AAI Basic im Opt-In Verfahren]]! Bitte vorher anhand eines Probe-Accounts prüfenob der Login auf www.easyroam.de möglich ist. Es geht dabei zunächst um den Test, ob der DFN-AAI IdP korrekt für easyroam konfiguriert ist. Anschließend nehmen die Vertreter der Einrichtungen [[easyroam@dfn.de|Kontakt]] zum easyroam/eduroam - Team auf und sprechen die weiteren Schritte ab.  
-  - Wir, die DFN-Geschäftssstelle in Berlin, vereinbart eine Deadline mit der easyroam Einrichtung, ab wann der eduroam IdP auf den Föderations-Client/Servern abgeschaltet werden soll. Wir geben hier ein Zeitfenster von 1 Monat bis 6 Monaten vor.  +  - Auf cat.eduroam.org werden vom eduroam IdP Admin der Einrichtung alle eduroam Profile deaktiviert und ein neues Profil angelegt. In den allgemeinen Angaben zum Profil wird vom eduroam IdP der Einrichtung das Häkchen für "Bereit zum Veröffentlichen" auf aktiv und unter "Herunterladen der Installationsprogramme"  setzt der eduroam IdP Admin ein Häkchen für "Endbenutzer auf eigene Seite weiterleiten:". Rechts daneben gibt der eduroam IdP Admin den folgenden Link ein: https://www.easyroam.de/Auth/Login?entityID=entity_Id_des_DFN-AAI_IdPs_der_Einrichtung - s. Abbildung: CAT. Anschließend speichert der eduroam IdP Admin der Einrichtung die Einstellung. Von diesem Zeitpunkt an, werden die easyroam Nutzenden auf das Portal www.easyroam.de weitergeleitet und können dort die neuen Profile für easyroam s. https://doku.tid.dfn.de/de:eduroam:anleitungen:easyroamapp und https://doku.tid.dfn.de/de:eduroam:easyroam herunterladen und konfigurieren. <alert>Wenn die Einrichtung keinen Eintrag auf cat.eduroam.org verwaltet, so kann der Eintrag durch das easyroam - Team erfolgen.</alert> 
-  - Der eduroam SP (Service Provider) wird selbstverständlich weiterhin von der easyroam Einrichtung betrieben, klar, sonst läuft ja auch easyroam für die eigenen Nutzenden  nicht. Es ist zu beachten, wie die eduroam Requests von den Controllern bzw. Access Point's auf den lokalen RadSec Client's, die an die Föderations-Client/Server angeschlosssen sind, gelangen. Hat man bisher die eduroam Requests zunächst auf den lokalen RADIUS Server geschickt, so muss hier das Routing auf den lokalen RadSec Client umgestellt werden, bevor der lokale RADIUS Server nach Ablauf der Deadline für eduroam abgeschalten werden kann. Die Umstellung ist denkbar einfach, da der RadSec Client wie ein RADIUS Proxyserver behandelt werden kann.+  - Die easyroam Nutzenden müssen in der eigenen Einrichtung benachrichtigt werden, dass es bei eduroam eine Umstellung gibt und auf die entprechenden Links für die Anleitungen der verschiedenen Endgeräte hingewiesen werden: [[de:eduroam:easyroam-anleitungen|https://doku.tid.dfn.de/de:eduroam:easyroam-anleitungen]] 
 +  - Wir, die DFN-Geschäftssstelle in Berlin, vereinbaren eine Deadline mit der easyroam Einrichtung, ab wann der eduroam IdP auf den Föderations-Client/Servern abgeschaltet werden soll. Die DFN-Geschäftsststelle gibt hier ein Zeitfenster von 1 Monat bis 6 Monaten vor. In der verbleibenden Zeit von 1 bis 6 Monaten befinden sich die Einrichtung im Parallelbetrieb. Das bedeutet, die bisherigen Verfahren in eduroam und das Verfahren in easyroam zur Authentifizierung der Nutzenden sind beide gleichzeitig möglich. Nutzende sind jedoch aufgefordert innerhalb des Zeitfensters auf das Verfahren in easyroam zu wechseln, ein erneuter Wechsel auf die bisherigen Verfahren zurück ist dann nicht mehr möglich.   
 +  - Der eduroam SP (Service Provider) wird weiterhin von der easyroam Einrichtung betrieben, andernfalls funktioniert easyroam für die eigenen Nutzenden in der Einrichtung nicht.  
 +  - Hat der eduroam IdP Admin bisher die eduroam Requests vom WLAN-Controller oder WLAN-Access-Point zunächst auf den lokalen RADIUS Server geschickt, so kann hier das Routing auf den lokalen RadSec Client umgestellt werden, bevor der lokale RADIUS Server nach Ablauf der Deadline für eduroam abgeschalten werden kann. Der RADIUS Server der Einrichtung kann weiterhin für lokale Zwecke verwendet werden. 
 + 
 +{{:de:eduroam:link.jpg?600|}}\\ 
 +Abbildung: CAT 
 + 
 +<alert>Support Address: ([[easyroam@dfn.de|easyroam@dfn.de]])</alert>
  • Zuletzt geändert: vor 21 Monaten