Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze |
cs:spravce:migrace-uctu [2020/02/14 10:30] – [Administrativní rozhraní] 1141cd825e33f2281fc659232bcf401af2705c39@einfra.cesnet.cz | cs:spravce:migrace-uctu [2024/01/17 09:18] (aktuální) – eduroam ca 2 Jan Čáslavský |
---|
====== Migrace identit správců eduroamu z CESNET CAAS ====== | ====== Přihlašování k podpůrným systémům eduroam federace ===== |
| |
V [[:cs:spravce:migrace-uctu:historie|minulosti]] dostávali správci eduroamu identity z CESNET CAAS, tj. na zaměstaneckém IdP CESNETu. Během 1Q 2020 budou identity z CESNET CAAS nahrazeny identitami z eduID.cz federace (především Vysoké školy a AV ČR) a případně identitami z mojeID a nebo sociálních sítí (dodavatelé VŠ, střední a základní školy). | Pro přihlašování podpůrným systémům //eduroam//u se od února 2020 použivají identity z externích poskytovatelů identit. V [[:cs:spravce:migrace-uctu:historie|minulosti]] používaný systém kdy CESNET rozdával účty ze systému CAAS byl opuštěn. |
| |
Během přechodného období bude souběžně pro správu konfiguračních informací eduroamu provozována stará aplikace a nová aplikace. Do staré aplikace bude možné se přihlásit pouze identitou z CESNET CAAS. Do nové aplikace bude možný přístup jak identitou z CESNET CAAS tak identitou z eduID.cz nebo sociální identitou. | Administrátoři kteří pracují pro instituci zapojenou v eduID.cz, což jsou typicky univerzity a ústavy Akademie Věd České Republiky, používají účty z domácího IdP na které jsou zvyklí u ostatních služeb [[https://www.cesnet.cz/sluzby/|e-Infrastruktury CESNET]]. To se týká i těch kteří pracují pro v eduID.cz zapojenou instituci na základě např. servisní smlouvy, drtivá většina institucí může vydat účet na IdP i na základě takovéhoto vztahu. |
| |
Po skončení přechodného období budou identity v CESNET CAAS ukončeny s výjimkou těch osob které budou zaměstnanci CESNETu. | Do [[https://www.eduid.cz/cs/join|eduID.cz se může zapojit]] každá intituce která se se může připojit v roli IdP do eduroamu (administrativní pravidla jsou obdobná). Nicméně je nutné zohlednit vyšší technickou náročnost připojení, pokud instituce současně není připojena k IP síti CESNETu a nemůže čerpat další služby [[https://www.cesnet.cz/sluzby/|e-Infrastruktury CESNET]], je zprovoznění IdP v eduID.cz kvůli eduroamu zbytečně náročné. |
| |
**Každý správce eduroamu si musí připojit identitu z CESNET CAAS k některé z federovaných identit - [[https://www.eduroam.cz/cs/spravce/migrace-uctu/spojeni-identit|návod]]**. Spojené identity si [[https://www.eduroam.cz/cs/spravce/migrace-uctu/overeni-spojeni-identit|můžete ověřit]] v profilu uživatele einfrastruktury. | V případě institucí typu středních a základních škol doporučujeme administrátorům použití [[https://www.mojeid.cz/|mojeID.cz]] nebo sociální identity (Google ...). |
| |
Proces migrace jednotlivých podpůrných služeb je postupný. | ====== Přehled podpůrných aplikací ====== |
| |
^ podpůrná aplikace ^^ stav migrace ^ | ^ podpůrná aplikace ^^ stav migrace ^ |
| [[https://admin.eduroam.cz|nové adminstrativní rozhraní]] | [[https://www.eduroam.cz/cs/spravce/aapk/uvod|dokumentace]] | **beta verze**, lze používat federaci + sociální identity | | | [[https://admin.eduroam.cz|adminstrativní rozhraní]] | [[https://www.eduroam.cz/cs/spravce/aapk/uvod|dokumentace]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | |
| [[https://caas2.cesnet.cz/caas/eduroam2|staré adminstrativní rozhraní]] | [[https://www.eduroam.cz/cs/spravce/info|dokumentace]] | pouze CESNET CAAS, přístupné pouze pro spráce eduroam federace | | | [[https://certifikat.eduroam.cz/|eduroam CA 2]] | [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca2|dokumentace]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | |
| [[https://certifikat.eduroam.cz/|eduroam CA]] | [[https://www.eduroam.cz/cs/spravce/pripojovani/eduroamca|dokumentace]] | **hotovo**, lze používat federaci + sociální identity| | | [[https://monitor.eduroam.cz/|monitoring]] | [[https://www.eduroam.cz/cs/spravce/monitoring/uvod| dokumentace ]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | |
| monitoring | | **hotovo**, lze používat federaci + sociální identity | | | [[https://pokryti.eduroam.cz|pokrytí]] | [[https://www.eduroam.cz/cs/spravce/edudb2/uvod|dokumentace]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | |
| pokrytí | | **hotovo**, lze používat federaci + sociální identity | | | [[https://etlog.cesnet.cz/|etlog]] | [[https://www.eduroam.cz/cs/spravce/etlog|dokumentace]] | eduID.cz, mojeID.cz, Apple, GitHub, Google, LinkedIn, ORCID | |
| etlog | | **hotovo**, lze používat federaci + sociální identity | | | testovací eduroam identity | [[https://www.eduroam.cz/cs/spravce/aapk/uvod#testovaci_eduroam_ucet|dokumentace]] | realm @admin.eduroam.cz funguje pouze s novým heslem vygenerovaným v administrativním rozhraní aplikaci | |
| testovací eduroam identity | | @cesnet.cz dočasně funguje pokud si admin v minulosti nastavil heslo \\ @admin.eduroam.cz funguje pouze s novým heslem vygenerovaným v nové aplikaci | | | | | |
| eduroam CAT | [[https://www.eduroam.cz/cs/spravce/cat/uvod|dokumentace]] | **beze změny**; využívá eduGAIN + sociální identity | | | [[https://cat.eduroam.org|eduroam CAT]] * | [[https://www.eduroam.cz/cs/spravce/cat/uvod|dokumentace]] | eduGAIN, mojeID.cz, Google, LinkedIn, Twitter | |
| |
| * eduroam CAT není provozován CESNETem a proto nabízí jinou skupinu poskytovatelů identity, ze stejného důvodu nejsou automaticky připraveny přístupy pro evidované správce a je nutno provést extra [[https://www.eduroam.cz/cs/spravce/cat/uvod#registrace|registraci]]. Členství instituce v eduGAIN snadno zjistíte z přehledu [[https://www.eduid.cz/cs/members|členů eduID.cz]]. |
| |
| ====== Spojování identit / změny IdP ====== |
| |
===== Administrativní rozhraní ===== | Systém [[https://www.eduroam.cz/cs/spravce/migrace-uctu/spojeni-identit|spojování identit]] umožnuje správcům připojit k jejich existujícímu účtu vrámci e-Infrastruktury několik různých IdP. Tento systém správcům umožnuje zavedení záložního IdP a nebo přechod od jednoho IdP k jinému. |
| |
Nová [[https://admin.eduroam.cz|administrativní aplikace]] umožnuje přihlášení pomocí identity z federace eduID.cz anebo některou ze sociálních identit. Aplikace přináší několik významných novinek: | Spojené identity si [[https://www.eduroam.cz/cs/spravce/migrace-uctu/overeni-spojeni-identit|můžete ověřit]] v profilu uživatele e-Infrastruktury. |
* správci institucí mají možnost měnit většinu parametrů jejich RADIUS serverů | |
* změny se promítají na národní RADIUS a monitoring automaticky bez spolupráce s operátorem federace | |
* správci institucí mohou delegovat oprávnění na další kolegy | |
* aplikace přizpůsobena pro provoz na mobilních telefonech | |
| |
| ====== Terminologie ====== |
| |
| ===== Identity Provider - IdP ===== |
===== eduroam CA ===== | |
| |
Aplikace pro vydávání certifikátů pro RADIUS servery od [[https://certifikat.eduroam.cz/|eduroam CA]] umožnuje přihlášení pomocí federace od 2. týdne ledna 2020. | |
| |
===== Monitoring & pokrytí & etlog ===== | |
| |
Všechny tři aplikace podporují přihlášení pomocí federace a sociálních identit od 6. února. | |
| |
===== Testovací eduroam identity ===== | |
| |
V přechodném období mohou správci používat eduroam identitu ve tvaru ''uid@cesnet.cz'' pokud si nastavili a nebo nastaví eduroam heslo v CESNET CAAS. | |
| |
Nově a především do budoucna budou používat ''uid@admin.eduroam.cz'' heslo si mohou vygenerovat v nové administrativní aplikaci. UID jim bylo přiděleno ve trvaru šestimístného hexa čísla a také si ho zjistí v nove aplikaci. | |
| |
===== eduroam CAT ===== | |
| |
Pro přihlašování používá eduGAIN + sociální sítě. | |
| |
Admini kteří v minulosti používali účet v CESNET CAAS si musí poslat novou emailovou pozvánku a přihlásit se pomocí IdP z eduID.cz anebo pomocí sociálních sítí. | |
| |
===== Terminologie ===== | |
| |
==== Identity Provider - IdP ==== | |
| |
Poskytovatel identity - služba u které má uživatel vedenu svou elektronickou identitu. Většina univerzit a ústavů akademie věd provozuje v rámci eduID.cz IdP napojené na vlastní systémy správy identit. Naproti tomu střední a základní školy v eduID.cz nejsou, jejich správci použijí účet z mojeID a nebo některé podporované sociální sítě. | Poskytovatel identity - služba u které má uživatel vedenu svou elektronickou identitu. Většina univerzit a ústavů akademie věd provozuje v rámci eduID.cz IdP napojené na vlastní systémy správy identit. Naproti tomu střední a základní školy v eduID.cz nejsou, jejich správci použijí účet z mojeID a nebo některé podporované sociální sítě. |
| |
==== eduID.cz ==== | ===== eduID.cz ===== |
| |
Federace IdP z ČR - tj. většina univerzit a ústavů AV ČR, viz [[https://www.eduid.cz/cs/members|přehled členů]]. | Federace akademických IdP z ČR - tj. většina univerzit a ústavů AV ČR, viz [[https://www.eduid.cz/cs/members|přehled členů]]. |
| |
==== eduGAIN ==== | ===== eduGAIN ===== |
| |
Celosvětová federace akademických IdP. | Celosvětová federace akademických IdP. |
| |
==== Perun ==== | ===== Perun ===== |
| |
[[https://perun-aai.org/|Perun]] komplexní SW pro správu heterogeních organizací vyvíjený CESNETem a MU. Informace o správcích eduroamu jsou nově evidovány v instanci Peruna obsluhující [[https://www.cesnet.cz/|eInfrastrukturu CESNET]]. | [[https://perun-aai.org/|Perun]] komplexní SW pro správu heterogeních organizací vyvíjený CESNETem a MU. Informace o správcích eduroamu jsou nově evidovány v instanci Peruna obsluhující [[https://www.cesnet.cz/|eInfrastrukturu CESNET]]. |
| |
==== Proxy IdP ==== | ===== Proxy IdP ===== |
| |
Proxy IdP je komponenta která zajištuje podpůrným službám eduroamu jednotné rozhraní bez ohledu na to jaké IdP uživatel použije. | Proxy IdP je komponenta která zajištuje podpůrným službám eduroamu jednotné rozhraní bez ohledu na to jaké IdP uživatel použije. |