cs:spravce:migrace-uctu

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
cs:spravce:migrace-uctu [2020/02/14 11:30]
Jan Tomášek [Administrativní rozhraní]
cs:spravce:migrace-uctu [2020/07/31 07:29] (current)
Jiří Bořík [eduID.cz]
Line 1: Line 1:
-====== ​Migrace identit správců eduroamu z CESNET CAAS ======+====== ​Přihlašování k podpůrným systémům eduroam federace ​=====
  
-V [[:​cs:​spravce:​migrace-uctu:​historie|minulosti]] ​dostávali správci eduroamu identity z CESNET CAAS, tj. na zaměstaneckém IdP CESNETu. Během 1Q 2020 budou identity z CESNET CAAS nahrazeny identitami z eduID.cz federace (především Vysoké školy a AV ČR) a případně identitami z mojeID a nebo sociálních sítí (dodavatelé VŠ, střední a základní školy).+Pro přihlašování podpůrným systémům //​eduroam//​u se od února 2020 použivají identity z externích poskytovatelů identit. ​V [[:​cs:​spravce:​migrace-uctu:​historie|minulosti]] ​používaný systém kdy CESNET ​rozdával účty ze systému ​CAAS byl opuštěn.
  
-Během přechodného období bude souběžně ​pro správu konfiguračních informací eduroamu provozována stará aplikace a nová aplikaceDo staré aplikace bude možné se přihlásit pouze identitou ​z CESNET ​CAASDo nové aplikace bude možný přístup jak identitou z CESNET CAAS tak identitou z eduID.cz ​nebo sociální identitou+Administrátoři kteří pracují ​pro instituci zapojenou v eduID.cz, což jsou typicky univerzity a ústavy Akademie Věd České Republiky, používají účty ​domácího IdP na které jsou zvyklí u ostatních služeb [[https://​www.cesnet.cz/​sluzby/​|e-Infrastruktury ​CESNET]]To se týká i těch kteří pracují pro v eduID.cz ​zapojenou instituci na základě např. servisní smlouvy, drtivá většina institucí může vydat účet na IdP i na základě takovéhoto vztahu.
  
-Po skončení ​echodného období budou identity ​CESNET CAAS ukončeny s výjimkou těch osob které budou zaměstnanci ​CESNETu.+Do [[https://​www.eduid.cz/​cs/​join|eduID.cz se může zapojit]] každá intituce která se se může ​ipojit ​roli IdP do eduroamu (administrativní pravidla jsou obdobná). Nicméně je nutné zohlednit vyšší technickou náročnost připojení,​ pokud instituce současně není připojena k IP síti CESNETu ​a nemůže čerpat další služby [[https://​www.cesnet.cz/​sluzby/​|e-Infrastruktury CESNET]], je zprovoznění IdP v eduID.cz kvůli eduroamu zbytečně náročné.
  
-**Každý správce eduroamu si musí ipojit identitu z CESNET CAAS k některé z federovaných identit - [[https://​www.eduroam.cz/cs/​spravce/​migrace-uctu/​spojeni-identit|návod]]**. Spojené ​identity ​si [[https://​www.eduroam.cz/​cs/​spravce/​migrace-uctu/​overeni-spojeni-identit|můžete ověřit]] v profilu uživatele einfrastruktury.+ípadě institucí typu středních a základních škol doporučujeme administrátorům použití ​[[https://​www.mojeid.cz/|mojeID.cz]] nebo sociální ​identity ​(Facebook, Google, ​...).
  
-Proces migrace jednotlivých ​podpůrných ​služeb je postupný.+====== Přehled ​podpůrných ​aplikací ​ ======
  
 ^ podpůrná aplikace ^^ stav migrace ^ ^ podpůrná aplikace ^^ stav migrace ^
-| [[https://​admin.eduroam.cz|nové adminstrativní rozhraní]] | [[https://​www.eduroam.cz/​cs/​spravce/​aapk/​uvod|dokumentace]] | **beta verze** lze používat federaci + sociální identity ​+| [[https://​admin.eduroam.cz|adminstrativní rozhraní]] | [[https://​www.eduroam.cz/​cs/​spravce/​aapk/​uvod|dokumentace]] | eduID.czmojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID 
-| [[https://caas2.cesnet.cz/caas/​eduroam2|staré adminstrativní rozhraní]] | [[https://​www.eduroam.cz/​cs/​spravce/​info|dokumentace]] | pouze CESNET CAASpřístupné pouze pro spráce eduroam federace  ​+| [[https://certifikat.eduroam.cz/|eduroam CA]] | [[https://​www.eduroam.cz/​cs/​spravce/​pripojovani/​eduroamca|dokumentace]] | eduID.czmojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID 
-| [[https://certifikat.eduroam.cz/​|eduroam CA]] | [[https://​www.eduroam.cz/​cs/​spravce/​pripojovani/eduroamca|dokumentace]] | **hotovo**lze používat federaci + sociální identity| +| [[https://monitor.eduroam.cz/​|monitoring]] | [[https://​www.eduroam.cz/​cs/​spravce/​monitoring/uvod| dokumentace ]] | eduID.czmojeID.czApple, Facebook, GitHub, Google, LinkedIn, ORCID 
-| monitoring | | **hotovo**lze používat federaci + sociální identity ​+| [[https://​pokryti.eduroam.cz|pokrytí]] [[https://​www.eduroam.cz/​cs/​spravce/​edudb2/​uvod|dokumentace]] | eduID.czmojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID 
-| pokrytí | | **hotovo**lze používat federaci + sociální identity ​+[[https://etlog.cesnet.cz/|etlog]] ​[[https://​www.eduroam.cz/​cs/​spravce/​etlog|dokumentace]] | eduID.czmojeID.cz, Apple, Facebook, GitHub, Google, LinkedIn, ORCID 
-| etlog | | **hotovo**lze používat federaci + sociální identity ​+| testovací eduroam identity | [[https://​www.eduroam.cz/​cs/​spravce/​aapk/​uvod#​testovaci_eduroam_ucet|dokumentace]] | realm @admin.eduroam.cz funguje pouze s novým heslem vygenerovaným v administrativním rozhraní ​aplikaci | 
-| testovací eduroam identity | | @cesnet.cz dočasně funguje pokud si admin v minulosti nastavil heslo \\ @admin.eduroam.cz funguje pouze s novým heslem vygenerovaným v nové aplikaci | +| | |  
-| eduroam CAT | [[https://​www.eduroam.cz/​cs/​spravce/​cat/​uvod|dokumentace]] | **beze změny**; využívá ​eduGAIN ​+ sociální identity ​|+| [[https://​cat.eduroam.org|eduroam CAT]] * | [[https://​www.eduroam.cz/​cs/​spravce/​cat/​uvod|dokumentace]] | eduGAIN, mojeID.cz, Facebook, Google, LinkedIn, Twitter ​|
  
 +* eduroam CAT není provozován CESNETem a proto nabízí jinou skupinu poskytovatelů identity, ze stejného důvodu nejsou automaticky připraveny přístupy pro evidované správce a je nutno provést extra [[https://​www.eduroam.cz/​cs/​spravce/​cat/​uvod#​registrace|registraci]]. Členství instituce v eduGAIN snadno zjistíte z přehledu [[https://​www.eduid.cz/​cs/​members|členů eduID.cz]].
  
 +====== Spojování identit / změny IdP  ======
  
-===== Administrativní rozhraní =====+Systém [[https://​www.eduroam.cz/​cs/​spravce/​migrace-uctu/​spojeni-identit|spojování identit]] umožnuje správcům připojit k jejich existujícímu účtu vrámci e-Infrastruktury několik různých IdP. Tento systém správcům umožnuje zavedení záložního IdP a nebo přechod od jednoho IdP k jinému.
  
-Nová [[https://admin.eduroam.cz|administrativní aplikace]] umožnuje přihlášení pomocí identity z federace eduID.cz anebo některou ze sociálních identit. Aplikace přináší několik významných novinek: +Spojené identity si [[https://www.eduroam.cz/​cs/​spravce/​migrace-uctu/​overeni-spojeni-identit|můžete ověřit]] v profilu uživatele e-Infrastruktury.
-  * správci institucí mají možnost měnit většinu parametrů jejich RADIUS serverů +
-  * změny se promítají na národní RADIUS a monitoring automaticky bez spolupráce s operátorem federace +
-  * správci institucí mohou delegovat oprávnění na další kolegy +
-  * aplikace přizpůsobena pro provoz na mobilních telefonech+
  
 +====== Terminologie ======
  
- +===== Identity Provider - IdP =====
-===== eduroam CA ===== +
- +
-Aplikace pro vydávání certifikátů pro RADIUS servery od [[https://​certifikat.eduroam.cz/​|eduroam CA]] umožnuje přihlášení pomocí federace od 2. týdne ledna 2020.  +
- +
-===== Monitoring & pokrytí & etlog =====  +
- +
-Všechny tři aplikace podporují přihlášení pomocí federace a sociálních identit od 6. února. +
- +
-===== Testovací eduroam identity ===== +
- +
-V přechodném období mohou správci používat eduroam identitu ve tvaru ''​uid@cesnet.cz''​ pokud si nastavili a nebo nastaví eduroam heslo v CESNET CAAS. +
- +
-Nově a především do budoucna budou používat ''​uid@admin.eduroam.cz''​ heslo si mohou vygenerovat v nové administrativní aplikaci. UID jim bylo přiděleno ve trvaru šestimístného hexa čísla a také si ho zjistí v nove aplikaci. +
- +
-===== eduroam CAT ===== +
- +
-Pro přihlašování používá eduGAIN + sociální sítě.  +
- +
-Admini kteří v minulosti používali účet v CESNET CAAS si musí poslat novou emailovou pozvánku a přihlásit se pomocí IdP z eduID.cz anebo pomocí sociálních sítí. +
- +
-===== Terminologie ===== +
- +
-==== Identity Provider - IdP ====+
  
 Poskytovatel identity - služba u které má uživatel vedenu svou elektronickou identitu. Většina univerzit a ústavů akademie věd provozuje v rámci eduID.cz IdP napojené na vlastní systémy správy identit. Naproti tomu střední a základní školy v eduID.cz nejsou, jejich správci použijí účet z mojeID a nebo některé podporované sociální sítě. Poskytovatel identity - služba u které má uživatel vedenu svou elektronickou identitu. Většina univerzit a ústavů akademie věd provozuje v rámci eduID.cz IdP napojené na vlastní systémy správy identit. Naproti tomu střední a základní školy v eduID.cz nejsou, jejich správci použijí účet z mojeID a nebo některé podporované sociální sítě.
  
-==== eduID.cz ====+===== eduID.cz ​=====
  
-Federace IdP z ČR - tj. většina univerzit a ústavů AV ČR, viz [[https://​www.eduid.cz/​cs/​members|přehled členů]].+Federace ​akademických ​IdP z ČR - tj. většina univerzit a ústavů AV ČR, viz [[https://​www.eduid.cz/​cs/​members|přehled členů]].
  
-==== eduGAIN ====+===== eduGAIN ​=====
  
 Celosvětová federace akademických IdP.  Celosvětová federace akademických IdP. 
  
-==== Perun ====+===== Perun =====
  
 [[https://​perun-aai.org/​|Perun]] komplexní SW pro správu heterogeních organizací vyvíjený CESNETem a MU. Informace o správcích eduroamu jsou nově evidovány v instanci Peruna obsluhující [[https://​www.cesnet.cz/​|eInfrastrukturu CESNET]]. [[https://​perun-aai.org/​|Perun]] komplexní SW pro správu heterogeních organizací vyvíjený CESNETem a MU. Informace o správcích eduroamu jsou nově evidovány v instanci Peruna obsluhující [[https://​www.cesnet.cz/​|eInfrastrukturu CESNET]].
  
-==== Proxy IdP ====+===== Proxy IdP =====
  
 Proxy IdP je komponenta která zajištuje podpůrným službám eduroamu jednotné rozhraní bez ohledu na to jaké IdP uživatel použije. Proxy IdP je komponenta která zajištuje podpůrným službám eduroamu jednotné rozhraní bez ohledu na to jaké IdP uživatel použije.
Last modified:: 2020/02/14 11:30