cs:spravce:migrace-uctu

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
cs:spravce:migrace-uctu [2019/11/27 16:19]
Jan Tomášek
cs:spravce:migrace-uctu [2020/02/24 19:12] (current)
Jan Tomášek [eduroam CAT]
Line 1: Line 1:
-====== Migrace ​účtů ​správců eduroamu z CESNET CAAS ======+====== Migrace ​identit ​správců eduroamu z CESNET CAAS ======
  
-rámci českého //​eduroam//​u jsou všechny provozní informace o realmechRADIUS serverech uloženy v CESNETím LDAPuBylo tedy irozené že správci ​jednotlivých institucí dostávají účty v CESNETím LDAPu (CAAS)v době vzniku eduroamu žádná jiná alternativa nebyla.+[[:​cs:​spravce:​migrace-uctu:​historie|minulosti]] dostávali správci eduroamu identity z CESNET CAAStjna zaměstaneckém IdP CESNETu. Během 1Q 2020 budou identity z CESNET CAAS nahrazeny identitami z eduID.cz federace (edevším Vysoké školy a AV ČR) a případně identitami ​mojeID a nebo sociálních sítí ​(dodavatelé VŠstřední a základní školy).
  
-Později než eduroam vznikly "​webové"​ akademické federace identit jako [[https://​www.incommon.org/​|InCommon]] v USA a [[https://​www.eduid.cz/​cs/​about|eduID.cz]] v ČR, tyto federace slouží ​edevším webovým službám a jsou založeny na standardu [[https://​en.wikipedia.org/​wiki/​SAML_2.0|SAML2]]. Postupně došlo k sladění terminologie a tak dnes v eduroamu ​i v SAMLu říkáme komponentě která poskytuje identity Identity Provider (IdP) tomu co uživatelům poskytuje službu ​říkáme Service Provider (SP)V případě eduroamu je službou samotná WiFi síť. V ípadě webových služeb je problematika komplexnější a tak SAMLová IdP umožnují předat SP o uživateli mnohem více informací než jen to že úspěšně přihlásilDokáží poskytnout jméno, email ale dokonce také to jaký vztah má uživatel k instituci (student, zaměstnanec,​ učitel, ...) a mnoho dalších.+Během echodného období bude souběžně pro správu konfiguračních informací ​eduroamu ​provozována stará aplikace ​nová aplikace. Do staré aplikace bude možné se přihlásit pouze identitou z CESNET CAASDo nové aplikace bude možný ístup jak identitou z CESNET CAAS tak identitou z eduID.cz nebo sociální identitou
  
-Pro provoz ​českého eduroamu ​CESNET ​postupně vytvořil řadu podpůrných služeb ​které potřebují autentizaci a autorizaciPředevším s ohledem na to že k //eduroam//u je dy ipojeno víc organizací než k eduID.cz ​jsme dlouho váhali s opuštěním praktiky ​poskytováním účtů v CESNET CAAS. +Po skončení přechodného období budou identity v CESNET ​CAAS ukončeny s výjimkou těch osob které budou zaměstnanci CESNETu. 
 + 
 +**Každý správce eduroamu si musí připojit identitu z CESNET CAAS k některé z federovaných identit - [[https://​www.eduroam.cz/​cs/​spravce/​migrace-uctu/​spojeni-identit|návod]]**. Spojené identity si [[https://​www.eduroam.cz/​cs/​spravce/​migrace-uctu/​overeni-spojeni-identit|můžete ověřit]] v profilu uživatele einfrastruktury. 
 + 
 +Proces migrace jednotlivých ​podpůrných služeb ​je postupný. 
 + 
 +^ podpůrná aplikace ^^ stav migrace ^ 
 +| [[https://​admin.eduroam.cz|nové adminstrativní rozhraní]] | [[https://​www.eduroam.cz/​cs/​spravce/​aapk/​uvod|dokumentace]] | **beta verze**, ​ lze používat federaci + sociální identity | 
 +| [[https://caas2.cesnet.cz/​caas/​eduroam2|staré adminstrativní rozhraní]] | [[https://​www.eduroam.cz/cs/spravce/​info|dokumentace]] | pouze CESNET CAAS, přístupné pouze pro spráce eduroam federace ​ | 
 +| [[https://​certifikat.eduroam.cz/​|eduroam CA]] | [[https://​www.eduroam.cz/​cs/​spravce/​pripojovani/​eduroamca|dokumentace]] | **hotovo**, lze používat federaci + sociální identity| 
 +| monitoring | | **hotovo**, lze používat federaci + sociální identity | 
 +| pokrytí | | **hotovo**, lze používat federaci + sociální identity | 
 +| etlog | | **hotovo**, lze používat federaci + sociální identity | 
 +| testovací eduroam identity | | @cesnet.cz dočasně funguje pokud si admin minulosti nastavil heslo \\ @admin.eduroam.cz funguje pouze s novým heslem vygenerovaným v nové aplikaci | 
 +| eduroam CAT | [[https://​www.eduroam.cz/​cs/​spravce/​cat/​uvod|dokumentace]] | **beze změny**; využívá eduGAIN + sociální identity | 
 + 
 + 
 + 
 +===== Administrativní rozhraní ===== 
 + 
 +Nová [[https://​admin.eduroam.cz|administrativní aplikace]] umožnuje ​ihlášení pomocí identity z federace ​eduID.cz ​anebo některou ze sociálních identit. Aplikace přináší několik významných novinek: 
 +  * správci institucí mají možnost měnit většinu parametrů jejich RADIUS serverů 
 +  * změny se promítají na národní RADIUS a monitoring automaticky bez spolupráce ​operátorem federace 
 +  * správci institucí mohou delegovat oprávnění na další kolegy 
 +  * aplikace přizpůsobena pro provoz na mobilních telefonech
  
-Doba a dostupné technologie dozrály. Zahajujeme migraci účtů správců //​eduroam//​u na jednotlivých zapojených institucích mimo CESNET CAAS, správci z univerzit a AV ČR budou používat pro přístup k podpůrným službám //​eduroam//​u účty ze svých IdP registrovaných v eduID.cz. Správci z ostatních institucí budou mít k dispozici MojeID, Google, Facebook a nebo GitHub IdP. Proces migrace jednotlivých podpůrných služeb bude postupný a tato stránka slouží jako přehled postupu. 
-^ podpůrná aplikace ^ stav migrace ^ 
-| adminstrativní rozhraní | vytváříme novou aplikaci | 
-| eduroam CA | migrace započata | 
-| monitoring | v přípravě| 
-| pokrytí | v přípravě| 
-| etlog | v přípravě| 
-| testovací eduroam identity | v přípravě| 
  
-===== administrativní rozhraní ===== 
  
 ===== eduroam CA ===== ===== eduroam CA =====
  
-===== monitoring ​=====+Aplikace pro vydávání certifikátů pro RADIUS servery od [[https://​certifikat.eduroam.cz/​|eduroam CA]] umožnuje přihlášení pomocí federace od 2. týdne ledna 2020.  
 + 
 +===== Monitoring & pokrytí & etlog =====  
 + 
 +Všechny tři aplikace podporují přihlášení pomocí federace a sociálních identit od 6. února. 
 + 
 +===== Testovací eduroam identity ===== 
 + 
 +V přechodném období mohou správci používat eduroam identitu ve tvaru ''​uid@cesnet.cz''​ pokud si nastavili a nebo nastaví eduroam heslo v CESNET CAAS. 
 + 
 +Nově a především do budoucna budou používat ''​uid@admin.eduroam.cz''​ heslo si mohou vygenerovat v nové administrativní aplikaci. UID jim bylo přiděleno ve trvaru šestimístného hexa čísla a také si ho zjistí v nove aplikaci. 
 + 
 +===== eduroam CAT ===== 
 + 
 +Pro přihlašování používá eduGAIN + sociální sítě.  
 + 
 +Admini kteří v minulosti používali účet v CESNET CAAS si musí poslat novou emailovou pozvánku a přihlásit se pomocí IdP z eduID.cz anebo pomocí sociálních sítí. Správce pozvaný v druhé linii nemůže poslat další pozvánky, viz [[https://​www.eduroam.cz/​cs/​spravce/​cat/​uvod#​zmena_spravcu|další informace]]. 
 + 
 +===== Terminologie ===== 
 + 
 +==== Identity Provider - IdP ==== 
 + 
 +Poskytovatel identity - služba u které má uživatel vedenu svou elektronickou identitu. Většina univerzit a ústavů akademie věd provozuje v rámci eduID.cz IdP napojené na vlastní systémy správy identit. Naproti tomu střední a základní školy v eduID.cz nejsou, jejich správci použijí účet z mojeID a nebo některé podporované sociální sítě. 
 + 
 +==== eduID.cz ==== 
 + 
 +Federace IdP z ČR - tj. většina univerzit a ústavů AV ČR, viz [[https://​www.eduid.cz/​cs/​members|přehled členů]]. 
 + 
 +==== eduGAIN ​====
  
-===== pokrytí =====+Celosvětová federace akademických IdP. 
  
-===== etlog ===== +==== Perun ====
  
-===== testovací eduroam identity ===== +[[https://​perun-aai.org/​|Perun]] komplexní SW pro správu heterogeních organizací vyvíjený CESNETem a MU. Informace o správcích eduroamu jsou nově evidovány v instanci Peruna obsluhující [[https://​www.cesnet.cz/​|eInfrastrukturu CESNET]].
  
 +==== Proxy IdP ====
  
 +Proxy IdP je komponenta která zajištuje podpůrným službám eduroamu jednotné rozhraní bez ohledu na to jaké IdP uživatel použije.
Last modified:: 2019/11/27 16:19