Spring naar het einde van metadata
Ga nar het begin van metadata

Je bekijkt een oude versie van deze inhoud. Bekijk de huidige versie.

Vergelijk met huidige Versiegeschiedenis bekijken

« Vorige Versie 3 Volgende »

De getgovroam app maakt gebruik van twee technologieen: SAML voor single sign on (SSO) en WPA2-Enterprise in de vorm van EAP-TLS.

RADIUS versus SAML2

Ze verhouden zich als volgt tot elkaar:

  • Om op govroam wifi te kunnen inloggen is altijd ofwel een username/password van de organisatie nodig, of een certificaat van de organisatie, of het certificaat van de getgovroam-app. De wifi-login verloopt via WPA2-Enterprise, een samenspel van het 802.1x protocol en het Extensible Authentication Protocol (EAP). De login wordt door het wifi-accesspoint via het RADIUS-protocol getransporteerd naar de ‘Identity Provider’ die razendsnel het username/password checkt, of het certificaat. Daarom gebruikt RADIUS het onderliggende UDP-protocol, omdat dat sneller is dan het TCP-protocol.

  • De getgovroam-app maakt het makkelijk om een certificaat te verkrijgen, waarmee EAP-TLS kan worden gebruikt om in te loggen op wifi. Om zo’n certificaat te krijgen, moet de gebruiker bij ingebruikname eerst bewijzen dat deze tot een aangesloten organisatie behoort. Daarvoor wordt de gebruiker via onze govConext-bouwsteen omgeleid naar de inlogpagina van de eigen organisatie. Dat gebeurt via het SAML2-protocol, bedoeld voor Single Sign On. Als dat gelukt is, verkrijgt de gebruiker een ‘wifi-certificaat’.

Ingebruikname getgovroam-app (één keer per jaar)

De eindgebruiker hoeft de app slechts één keer per jaar in gebruik te nemen of te verversen (zie paragraaf 'Geldigheid getgovroam-certificaat). Hierbij speelt Single Sign On met SAML2 een rol:

  1. Gebruiker start de app en zoekt de eigen organisatie in de ‘Where Are You From’ (WAYF) lijst:

image-20250731-114037.png

  1. Gebruiker wordt naar de inlogpagina van de eigen organisatie geleid om in te loggen met de inloggegevens van die organisatie op basis van het SAML2-protocol (in dit voorbeeld logt een medewerker van Stichting govroam in, maar elke medewerker kiest eerst de eigen organisatie in de vorige stap en komt uit bij de inlogpagina van de eigen organisatie). Na succesvolle login moet de eindgebruiker goedkeuring geven om getgovroam te mogen gebruiken):

image-20250731-114100.png
image-20250731-114214.png

  1. Het getgovroam platform genereert een X.509-certificaat en levert dit aan de app

  2. De app verpakt het certificaat in een wifi-profiel voor SSID ‘govroam’ en zet dit in de lijst met bekende wifi-netwerken van het operating system. Ingebruikname is gereed en als een govroam-netwerk in de buurt is zal het apparaat daarmee verbinden:

image-20250731-114414.png

Inloggen op wifi (automatisch)

Wanneer het apparaat is geconfigureerd door middel van de getgovroam-app, gaat inloggen op govroam automatisch. Dat login-proces is het standaardproces waarop govroam is gebaseerd en gebruik de bekende protocollen die onderdeel zijn van de WPA2-Enterprise standaard: 802.1x, EAP en RADIUS:

Geldigheid getgovroam-certificaat

Het getgovroam-certificaat is een jaar geldig. De geldigheid kan verschillen per organisatie. Indien de organisatie een andere geldigheid wenst, kan een verzoek tot aanpassing ingediend worden via tech@govroam.nl door de Technisch Contactpersoon.

Binnen de geldigheid van het certificaat is het niet nodig om steeds via SSO in te loggen bij de eigen organisatie. Het inloggen op wifi gebeurt namelijk niet via SAML maar via WPA2-Enterprise op basis van het getgovroam certificaat.

Pas wanneer het certificaat verlopen is, is het nodig dat de gebruiker weer inlogt op de app (via SSO via govconext) en een nieuw certificaat krijgt. Twee weken voordat het certificaat verloopt krijgt de gebruiker hierover alvast meerdere herinneringen. Indien de eindgebruiker bij het inloggen toch een pop-up krijgt met de vraag om inloggegevens in te vullen, dan heeft zich een lokaal netwerkprobleem voorgedaan waardoor het RADIUS-protocol (gedeeltelijk) niet heeft gewerkt, bijvoorbeeld als gevolg van UDP-fragmentatieproblemen.

GovConext is geen ‘app' op zichzelf. Het is een SSO-bouwsteen. Gebruikers van de getgovroam app, of andere applicaties, loggen zo met SAML in op de app(licatie). 
Govconext is niet geschikt om als 'netwerk-login’ te dienen, daarom is RADIUS ook in het geval van getgovroam nog altijd relevant.

Samengevat:

  • govconext = SAML,

  • wifi login (getgovroam) = RADIUS.

Twee verschillende protocollen voor verschillende doeleinden. GovConext vervangt dus niet govroam en getgovroam.

  • Geen labels