Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

--- cs:spravce:migrace-uctu [2020/01/20 13:04]
jan.tomasek@cesnet.cz
+++ cs:spravce:migrace-uctu [2020/07/30 12:47]
jan.tomasek@cesnet.cz
@@ Řádek 1: / Řádek 1: @@
-====== Migrace účtů správců eduroamu z CESNET CAAS ======
+====== Přihlašování k podpůrným systémům eduroam =====
-===== Historický exkurz =====
+Pro přihlašování podpůrným systémům //eduroam//u se od února 2020 použivají identity z externích poskytovatelů identit. V [[:cs:spravce:migrace-uctu:historie|minulosti]] používaný systém kdy CESNET rozdával účty ze systému CAAS byl opuštěn.
+Administrátoři kteří pracují pro instituci zapojenou v eduID.cz, což jsou typicky univerzity a ústavy Akademie Věd České Republiky, používají účty z domácího IdP na které jsou zvyklí u ostatních služeb [[https://www.cesnet.cz/sluzby/|e-Infrastruktury CESNET]]. To se týká i těch kteří pracují pro v eduID.cz zapojenou instituci na základě např. servisní smlouvy, drtivá většina institucí může vydat účet na IdP i na základě takovéhleho vztahu.
-V rámci českého //eduroam//u jsou všechny provozní informace o realmech, RADIUS serverech uloženy v CESNETím LDAPu. Bylo tedy přirozené že správci z jednotlivých institucí dostávají účty v CESNETím LDAPu (CAAS), v době vzniku eduroamu žádná jiná alternativa nebyla.
+Do [[https://www.eduid.cz/cs/join|eduID.cz se může zapojit]] každá intituce která se se může připojit v roli IdP do eduroamu (administrativní pravidla jsou obdobná). Nicméně je nutné zholednit vyšší technickou náročnost připojení, pokud instituce současně není připojena k IP síti CESNETu a nemůže čerpat další služby [[https://www.cesnet.cz/sluzby/|e-Infrastruktury CESNET]], je zprovoznění IdP v eduID.cz kvůli eduroamu zbytečně náročné.
-Později než eduroam vznikly "webové" akademické federace identit jako [[https://www.incommon.org/|InCommon]] v USA a [[https://www.eduid.cz/cs/about|eduID.cz]] v ČR, tyto federace slouží především webovým službám a jsou založeny na standardu [[https://en.wikipedia.org/wiki/SAML_2.0|SAML2]]. Postupně došlo k sladění terminologie a tak dnes v eduroamu i v SAMLu říkáme komponentě která poskytuje identity Identity Provider (IdP) a tomu co uživatelům poskytuje službu říkáme Service Provider (SP). V případě eduroamu je službou samotná WiFi síť. V případě webových služeb je problematika komplexnější a tak SAMLová IdP umožnují předat SP o uživateli mnohem více informací než jen to že úspěšně přihlásil. Dokáží poskytnout jméno, email ale dokonce také to jaký vztah má uživatel k instituci (student, zaměstnanec, učitel, ...) a mnoho dalších.
+V případě institucí typu středních a základních škol doporučujeme administrátorům použití [[https://www.mojeid.cz/|mojeID.cz]] nebo sociální identitu (Facebook, Google, GitHub, LinkedIn, ORCID).
-Pro provoz českého eduroamu CESNET postupně vytvořil řadu podpůrných služeb které potřebují autentizaci a autorizaci. Především s ohledem na to že k //eduroam//u je vždy připojeno víc organizací než k eduID.cz jsme dlouho váhali s opuštěním praktiky s poskytováním účtů v CESNET CAAS.
+====== Přehled podůrných aplikací  ======
+^ podpůrná aplikace ^^ stav migrace ^
+| [[https://admin.eduroam.cz|adminstrativní rozhraní]] | [[https://www.eduroam.cz/cs/spravce/aapk/uvod|dokumentace]] | eduID.cz, mojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID |
+| [[https://certifikat.eduroam.cz/|eduroam CA]] | [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|dokumentace]] | eduID.cz, mojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID |
+| monitoring | | eduID.cz, mojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID |
+| pokrytí | | eduID.cz, mojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID |
+| etlog | | eduID.cz, mojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID |
+| testovací eduroam identity | | @cesnet.cz dočasně funguje pokud si admin v minulosti nastavil heslo \\ @admin.eduroam.cz funguje pouze s novým heslem vygenerovaným v nové aplikaci |
+| eduroam CAT | [[https://www.eduroam.cz/cs/spravce/cat/uvod|dokumentace]] | eduGAIN, mojeID.cz,  |
+**Každý správce eduroamu si musí připojit identitu z CESNET CAAS k některé z federovaných identit - [[https://www.eduroam.cz/cs/spravce/migrace-uctu/spojeni-identit|návod]]**. Spojené identity si [[https://www.eduroam.cz/cs/spravce/migrace-uctu/overeni-spojeni-identit|můžete ověřit]] v profilu uživatele einfrastruktury.
+===== Administrativní rozhraní =====
+Nová [[https://admin.eduroam.cz|administrativní aplikace]] umožnuje přihlášení pomocí identity z federace eduID.cz anebo některou ze sociálních identit. Aplikace přináší několik významných novinek:
+  * správci institucí mají možnost měnit většinu parametrů jejich RADIUS serverů
+  * změny se promítají na národní RADIUS a monitoring automaticky bez spolupráce s operátorem federace
+  * správci institucí mohou delegovat oprávnění na další kolegy
+  * aplikace přizpůsobena pro provoz na mobilních telefonech
-Doba a dostupné technologie dozrály. Zahajujeme migraci účtů správců //eduroam//u na jednotlivých zapojených institucích mimo CESNET CAAS, správci z univerzit a AV ČR budou používat pro přístup k podpůrným službám //eduroam//u účty ze svých IdP registrovaných v eduID.cz. Správci z ostatních institucí budou mít k dispozici MojeID, Google, Facebook a nebo GitHub IdP. Proces migrace jednotlivých podpůrných služeb bude postupný a tato stránka slouží jako přehled postupu.
-^ podpůrná aplikace ^ stav migrace ^
-| adminstrativní rozhraní | vytváříme novou aplikaci |
-| eduroam CA | **hotovo** |
-| monitoring | v přípravě|
-| pokrytí | v přípravě|
-| etlog | v přípravě|
-| testovací eduroam identity | v přípravě|
-===== administrativní rozhraní =====
 ===== eduroam CA =====
-===== monitoring =====
+Aplikace pro vydávání certifikátů pro RADIUS servery od [[https://certifikat.eduroam.cz/|eduroam CA]] umožnuje přihlášení pomocí federace od 2. týdne ledna 2020.
+===== Monitoring & pokrytí & etlog =====
+Všechny tři aplikace podporují přihlášení pomocí federace a sociálních identit od 6. února.
+===== Testovací eduroam identity =====
+V přechodném období mohou správci používat eduroam identitu ve tvaru ''uid@cesnet.cz'' pokud si nastavili a nebo nastaví eduroam heslo v CESNET CAAS.
+Nově a především do budoucna budou používat ''uid@admin.eduroam.cz'' heslo si mohou vygenerovat v nové administrativní aplikaci. UID jim bylo přiděleno ve trvaru šestimístného hexa čísla a také si ho zjistí v nove aplikaci.
+===== eduroam CAT =====
+Pro přihlašování používá eduGAIN + sociální sítě.
+Admini kteří v minulosti používali účet v CESNET CAAS si musí poslat novou emailovou pozvánku a přihlásit se pomocí IdP z eduID.cz anebo pomocí sociálních sítí. Správce pozvaný v druhé linii nemůže poslat další pozvánky, viz [[https://www.eduroam.cz/cs/spravce/cat/uvod#zmena_spravcu|další informace]].
+===== Terminologie =====
+==== Identity Provider - IdP ====
+Poskytovatel identity - služba u které má uživatel vedenu svou elektronickou identitu. Většina univerzit a ústavů akademie věd provozuje v rámci eduID.cz IdP napojené na vlastní systémy správy identit. Naproti tomu střední a základní školy v eduID.cz nejsou, jejich správci použijí účet z mojeID a nebo některé podporované sociální sítě.
+==== eduID.cz ====
+Federace IdP z ČR - tj. většina univerzit a ústavů AV ČR, viz [[https://www.eduid.cz/cs/members|přehled členů]].
+==== eduGAIN ====
-===== pokrytí =====
+Celosvětová federace akademických IdP.
-===== etlog =====
+==== Perun ====
-===== testovací eduroam identity =====
+[[https://perun-aai.org/|Perun]] komplexní SW pro správu heterogeních organizací vyvíjený CESNETem a MU. Informace o správcích eduroamu jsou nově evidovány v instanci Peruna obsluhující [[https://www.cesnet.cz/|eInfrastrukturu CESNET]].
+==== Proxy IdP ====
+Proxy IdP je komponenta která zajištuje podpůrným službám eduroamu jednotné rozhraní bez ohledu na to jaké IdP uživatel použije.

Rozdíly

Rychlé odkazy

Kontakt

Service desk