eduroam Metadaten Portal (EMP)

Der DFN-Verein ist seit mehr als zwei Jahrzehnten Bestandteil des globalen Roaming-Services eduroam für Wissenschaft, Forschung und Lehre. Um einen fehlerfreien Betrieb von eduroam zu gewährleisten, wurden drei ortsunabhängige Föderations-Server zu einem hierarchisch strukturierten Netzwerk mit zahlreichen RADIUS Security (RadSec) Servern verknüpft. Dieses Netzwerk ist Teil der internationalen eduroam-Infrastruktur und wird von den an eduroam teilnehmenden Einrichtungen in Koordination mit dem DFN-Verein betrieben und verwaltet. Bisher wurden die Föderations-Server mit den für den Betrieb erforderlichen Parametern, wie beispielsweise den RadSec-Client/Server und den für das Routing der Anfragen notwendigen Realms, manuell ausschließlich durch die Mitarbeitenden der DFN-Geschäftsstelle in Berlin konfiguriert.

Im Zeitraum 2024/25 wurde in einem Gemeinschaftsprojekt unter maßgeblicher Beteiligung der DFN-Geschäftsstelle in Berlin und des DFN-CERTs in Hamburg das eduroam Metadaten Portal (EMP) entwickelt und als DFN-AAI Service Provider bereitgestellt. Das EMP ermöglicht unter anderem die gleichzeitige Konfiguration aller drei Föderations-Server. Durch die Integration des EMP in die DFN-AAI können nun alle eduroam IdPs/SPs, die an der DFN-AAI teilnehmen, die für ihren eduroam IdP/SP notwendigen Daten, wie beispielsweise die IP-Adressen der Clients und Server sowie die Realms der Einrichtung, auf dem EMP bearbeiten und verwalten.

Das EMP versteht sich als eine Erweiterung des eduroam-Dienstes. Die Nutzung ist freiwillig.

eduroam Admins im DFN können einen Zugang zum EMP erhalten, sofern ihre Einrichtung an der DFN-AAI teilnimmt und einen DFN-AAI Identity Provider stellen.

Das EMP (https://emp.eduroam.de) wird durch einen Keycloak SAML Proxy, der vom DFN-CERT bereitgestellt wird, in der DFN-AAI realisiert. Der Keycloak SAML Proxy trägt die EntityID:

https://kc-proxy.dfn-cert.de/idp/shibboleth

Folgende Attribute werden angefragt:

displayName:
eduPersonEntitlement: urn:geant:dfn.de:eduroam:emp:admin
givenName
sn
schacHomeOrganization
eduPersonScopedAffiliation
mail
SAML2.0 Subject Identifier: Pairwise-ID

Es existieren mit Einschränkung zwei Möglichkeiten des Login. Der Login für eduroam Identity Provider und eduroam Service Provider ist ausschließlich über einen DFN-AAI Identity Provider möglich. Organisationen in eduroam, die nur einen eduroam Service Provider und keinen eduroam Identity Provider stellen, können in der Regel die E-Mail Adresse zur Anmeldung benutzen. Der Login mit der E-Mail Adresse ist zusätzlich durch ein One-Time-Password (OTP) abgesichert.

Nach dem Login landen die Admins im Hauptmenü „Home“ und können dann nach Bedarf die einzelnen Menüpunkte:

1. Realm Configs
2. Server
3. Clients

zur Bearbeitung oder zur Inspektion auswählen.

Vor der Erstellung der Realms müssen die Server registriert werden. Die Servernamen sind frei wählbar. In der Eingabemaske für die IP-Adresse können IPv4- und IPv6-Adressen eingegeben werden.

Der Server Domain Name (FQDN) wird auf seine Auflösung im DNS überprüft. Optional kann der Common Name oder der Subject Alternative Name in der erweiterten Zertifikat Namensvalidierung als regulärer Ausdruck angegeben werden.

In der Menüoption „Realm Configs“ werden die für das Routing der eduroam-Anfragen notwendigen Realms hinterlegt und mindestens einem Server zugeordnet.

Ein eduroam Identity Provider muss auch einen eduroam Service Provider aktiv bereitstellen. Die Registrierung der Clients erfolgt analog zu den Servern. Optional kann hier der Operator Name eingetragen werden. Üblicherweise steht vor dem Operator Namen, gemäß dem Standard, eine “1”. Die “1” sollte nicht eingetragen werden, da sie vom System automatisch hinzugefügt wird.

Die eduroam Föderations-Server im DFN sind in der Regel rund um die Uhr im Einsatz. Änderungen an der Konfiguration werden durch einen täglichen Reload der Föderations-Server um ca. 16:30 Uhr umgesetzt.