Voor de invulling van de IdP-rol bestaan de volgende opties:

1. AD-accounts. Werkt met username en password (EAP-PEAP). RADIUS server wordt gekoppeld met de Active Directory.

   • Voordelen: account is bekend bij gebruiker

   • Nadelen: account is (te) waardevol; verouderd wachtwoord op een apparaat kan AD-lockout veroorzaken

2. Wifi-specifieke accounts. Werkt met username en password (EAP-PEAP). RADIUS server wordt gekoppeld met of heeft interne database waar gebruikers een wifi-account kunnen aanmaken

   • Voordelen: staat los van AD

   • Nadelen: gebruiker weet intranetpagina niet te vinden. Als account verloopt moet dat via intranetpagina vernieuwd worden

3. Gebruikerscertificaten van de eigen organisatie. Werkt met certificaat (EAP-TLS). Organisatie-specifieke RADIUS server kent de uitgifte-CA en vraagt ook de Certificate Revocation List (CRL) op om verlopen certificaten te beantwoorden met ‘Reject’. Subopties:

   • Certificaten van een interne CA

     • Voordelen: certificaten worden veiliger geacht dan username/password (al staat dat ter discussie).

     • Nadelen: verstrekken aan eindgebruiker omslachtig en potentieel onveilig. Vereist expertise eindgebruiker om aan wifi-profiel te koppelen. Eerder onzichtbare UDP-fragmentatieproblemen in het netwerk kunnen aan het licht komen door grotere RADIUS payloads (al treden die ook op bij gastgebruik).

   • Certificaten van een interne CA via MDM provisionen (‘zero touch provisioning’)

     • Voordelen: certificaten worden veiliger geacht dan username/password (al staat dat ter discussie). Verstrekken gebeurt via MDM en wifi-profiel wordt geprovisioned, dus veilig en bij ingebruikname van het apparaat zonder tussenkomst van de gebruiker.

     • Nadelen: Niet geschikt voor BYOD. CA en MDM dienen gekoppeld te zijn. Eerder onzichtbare UDP-fragmentatieproblemen in het netwerk kunnen aan het licht komen door grotere RADIUS payloads (al treden die ook op bij gastgebruik).

   • Certificaten van cloud CA (Azure) via cloud MDM (Intune) provisionen (‘zero touch provisioning’)

     • Voordelen: certificaten worden veiliger geacht dan username/password (al staat dat ter discussie). Verstrekken gebeurt via MDM en wifi-profiel wordt geprovisioned, dus veilig en bij ingebruikname van het apparaat zonder tussenkomst van de gebruiker.

     • Nadelen: niet geschikt voor BYOD. Eerder onzichtbare UDP-fragmentatieproblemen in het netwerk kunnen aan het licht komen door grotere RADIUS payloads (al treden die ook op bij gastgebruik).

4. Getgovroam. Werkt met certificaat (EAP-TLS). Certificaat is afkomstig van de getgovroam-CA en wordt via gebruiksvriendelijke app opgevraagd en in wifi-profiel gestopt. Daarvoor moet de gebruiker 1x per jaar (instelbaar) inloggen via SSO (SAML) in de app, waarna het verkregen certificaat een jaar (instelbaar) gebruikt wordt om in te loggen op wifi.

   • Voordelen: certificaten worden veiliger geacht dan username/password (al staat dat ter discussie). Harde koppeling met identiteit van eindgebruiker (al is die in RADIUS geanonimiseerd). Gebruikersvriendelijke app, wifi-profiel eenvoudig in te stellen. Geschikt voor BYOD. Geen noodzaak voor een interne IdP (zoals de hierboven beschreven 1, 2 of 3) en voor middelgrote en kleine organisaties zelfs geen noodzaak voor een eigen RADIUS server.

   • Nadelen: 1x/jaar (instelbaar) gebruikersinteractie nodig. Volledig ‘cloud’ dus ook lokale inlog op govroam verloopt via RADIUS-verbinding met govroam. Eerder onzichtbare UDP-fragmentatieproblemen in het netwerk kunnen aan het licht komen door grotere RADIUS payloads (al treden die ook op bij gastgebruik), al beperkt getgovroam de lengte van de RADIUS payload.