Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verze
Předchozí verze
cs:spravce:migrace-uctu [2019/11/27 15:19] 1141cd825e33f2281fc659232bcf401af2705c39@einfra.cesnet.czcs:spravce:migrace-uctu [2024/01/17 09:18] (aktuální) – eduroam ca 2 Jan Čáslavský
Řádek 1: Řádek 1:
-====== Migrace účtů správců eduroamu z CESNET CAAS ======+====== Přihlašování k podpůrným systémům eduroam federace =====
  
-V rámci českého //eduroam//jsou všechny provozní informace o realmech, RADIUS serverech uloženy v CESNETím LDAPuBylo tedy přirozené že správci z jednotlivých institucí dostávají účty v CESNETím LDAPu (CAAS), v době vzniku eduroamu žádná jiná alternativa nebyla.+Pro přihlašování podpůrným systémům //eduroam//se od února 2020 použivají identity z externích poskytovatelů identitV [[:cs:spravce:migrace-uctu:historie|minulosti]] používaný systém kdy CESNET rozdával účty ze systému CAAS byl opuštěn.
  
-Později než eduroam vznikly "webové" akademické federace identit jako [[https://www.incommon.org/|InCommon]] USA a [[https://www.eduid.cz/cs/about|eduID.cz]] v ČRtyto federace slouží především webovým službám a jsou založeny na standardu [[https://en.wikipedia.org/wiki/SAML_2.0|SAML2]]. Postupně došlo k sladění terminologie a tak dnes v eduroamu v SAMLu říkáme komponentě která poskytuje identity Identity Provider (IdP) a tomu co uživatelům poskytuje službu říkáme Service Provider (SP)V případě eduroamu je službou samotná WiFi síťV případě webových služeb je problematika komplexnější a tak SAMLová IdP umožnují předat SP o uživateli mnohem více informací než jen to že úspěšně přihlásil. Dokáží poskytnout jméno, email ale dokonce také to jaký vztah má uživatel k instituci (student, zaměstnanec, učitel, ...) a mnoho dalších.+Administrátoři kteří pracují pro instituci zapojenou v eduID.cz, což jsou typicky univerzity a ústavy Akademie Věd České Republikypoužívají účty z domácího IdP na které jsou zvyklí u ostatních služeb [[https://www.cesnet.cz/sluzby/|e-Infrastruktury CESNET]]. To se týká těch kteří pracují pro v eduID.cz zapojenou instituci na základě např. servisní smlouvy, drtivá většina institucí může vydat účet na IdP i na základě takovéhoto vztahu.
  
-Pro provoz českého eduroamu CESNET postupně vytvořil řadu podpůrných služeb které potřebují autentizaci a autorizaci. Především s ohledem na to že k //eduroam//je vždy připojeno víc organizací než k eduID.cz jsme dlouho váhali s opuštěním praktiky s poskytováním účtů v CESNET CAAS+Do [[https://www.eduid.cz/cs/join|eduID.cz se může zapojit]] každá intituce která se se může připojit v roli IdP do eduroamu (administrativní pravidla jsou obdobná). Nicméně je nutné zohlednit vyšší technickou náročnost připojení, pokud instituce současně není připojena k IP síti CESNETu a nemůže čerpat další služby [[https://www.cesnet.cz/sluzby/|e-Infrastruktury CESNET]], je zprovoznění IdP v eduID.cz kvůli eduroamu zbytečně nároč.
  
-Doba dostupné technologie dozrály. Zahajujeme migraci účtů správců //eduroam//u na jednotlivých zapojených institucích mimo CESNET CAAS, správci z univerzit a AV ČR budou používat pro přístup k podpůrným službám //eduroam//u účty ze svých IdP registrovaných v eduID.cz. Správci z ostatních institucí budou mít k dispozici MojeID, Google, Facebook a nebo GitHub IdPProces migrace jednotlivých podpůrných služeb bude postupný a tato stránka slouží jako přehled postupu. +V případě institucí typu středních základních škol doporučujeme administrátorůpoužití [[https://www.mojeid.cz/|mojeID.cz]] nebo sociální identity (Google ...).
-^ podpůrná aplikace ^ stav migrace ^ +
-| adminstrativní rozhraní | vytváříme novou aplikaci | +
-| eduroam CA | migrace započata | +
-| monitoring | v přípravě| +
-| pokrytí | v přípravě| +
-| etlog | v přípravě| +
-| testovací eduroam identity | v přípravě|+
  
-===== administrativní rozhraní =====+====== Přehled podpůrných aplikací  ======
  
-===== eduroam CA =====+^ podpůrná aplikace ^^ stav migrace ^ 
 +| [[https://admin.eduroam.cz|adminstrativní rozhraní]] | [[https://www.eduroam.cz/cs/spravce/aapk/uvod|dokumentace]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | 
 +| [[https://certifikat.eduroam.cz/|eduroam CA 2]] | [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|dokumentace]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | 
 +| [[https://monitor.eduroam.cz/|monitoring]] | [[https://www.eduroam.cz/cs/spravce/monitoring/uvod| dokumentace ]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | 
 +| [[https://pokryti.eduroam.cz|pokrytí]] | [[https://www.eduroam.cz/cs/spravce/edudb2/uvod|dokumentace]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | 
 +| [[https://etlog.cesnet.cz/|etlog]] | [[https://www.eduroam.cz/cs/spravce/etlog|dokumentace]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | 
 +| testovací eduroam identity | [[https://www.eduroam.cz/cs/spravce/aapk/uvod#testovaci_eduroam_ucet|dokumentace]] | realm @admin.eduroam.cz funguje pouze s novým heslem vygenerovaným v administrativním rozhraní aplikaci | 
 +| | |  
 +| [[https://cat.eduroam.org|eduroam CAT]] * | [[https://www.eduroam.cz/cs/spravce/cat/uvod|dokumentace]] | eduGAIN, mojeID.cz, Google, LinkedIn, Twitter |
  
-===== monitoring =====+* eduroam CAT není provozován CESNETem a proto nabízí jinou skupinu poskytovatelů identity, ze stejného důvodu nejsou automaticky připraveny přístupy pro evidované správce a je nutno provést extra [[https://www.eduroam.cz/cs/spravce/cat/uvod#registrace|registraci]]. Členství instituce v eduGAIN snadno zjistíte z přehledu [[https://www.eduid.cz/cs/members|členů eduID.cz]].
  
-===== pokrytí =====+====== Spojování identit / změny IdP  ======
  
-===== etlog ===== +Systém [[https://www.eduroam.cz/cs/spravce/migrace-uctu/spojeni-identit|spojování identit]] umožnuje správcům připojit k jejich existujícímu účtu vrámci e-Infrastruktury několik různých IdP. Tento systém správcům umožnuje zavedení záložního IdP a nebo přechod od jednoho IdP k jinému.
  
-===== testovací eduroam identity ===== +Spojené identity si [[https://www.eduroam.cz/cs/spravce/migrace-uctu/overeni-spojeni-identit|můžete ověřit]] v profilu uživatele e-Infrastruktury.
  
 +====== Terminologie ======
  
 +===== Identity Provider - IdP =====
 +
 +Poskytovatel identity - služba u které má uživatel vedenu svou elektronickou identitu. Většina univerzit a ústavů akademie věd provozuje v rámci eduID.cz IdP napojené na vlastní systémy správy identit. Naproti tomu střední a základní školy v eduID.cz nejsou, jejich správci použijí účet z mojeID a nebo některé podporované sociální sítě.
 +
 +===== eduID.cz =====
 +
 +Federace akademických IdP z ČR - tj. většina univerzit a ústavů AV ČR, viz [[https://www.eduid.cz/cs/members|přehled členů]].
 +
 +===== eduGAIN =====
 +
 +Celosvětová federace akademických IdP. 
 +
 +===== Perun =====
 +
 +[[https://perun-aai.org/|Perun]] komplexní SW pro správu heterogeních organizací vyvíjený CESNETem a MU. Informace o správcích eduroamu jsou nově evidovány v instanci Peruna obsluhující [[https://www.cesnet.cz/|eInfrastrukturu CESNET]].
 +
 +===== Proxy IdP =====
 +
 +Proxy IdP je komponenta která zajištuje podpůrným službám eduroamu jednotné rozhraní bez ohledu na to jaké IdP uživatel použije.