De getgovroam app maakt gebruik van twee technologieen: SAML voor single sign on (SSO) en WPA2-Enterprise in de vorm van EAP-TLS.
Ze verhouden zich als volgt tot elkaar:
Om op govroam wifi te kunnen inloggen is altijd ofwel een username/password van de organisatie nodig, of een certificaat van de organisatie, of het certificaat van de getgovroam-app. De wifi-login verloopt via WPA2-Enterprise, een samenspel van het 802.1x protocol en het Extensible Authentication Protocol (EAP). De login wordt door het wifi-accesspoint via het RADIUS-protocol getransporteerd naar de ‘Identity Provider’ die razendsnel het username/password checkt, of het certificaat. Daarom gebruikt RADIUS het onderliggende UDP-protocol, omdat dat sneller is dan het TCP-protocol.
De getgovroam-app maakt het makkelijk om een certificaat te verkrijgen, waarmee EAP-TLS kan worden gebruikt om in te loggen op wifi. Om zo’n certificaat te krijgen, moet de gebruiker bij ingebruikname eerst bewijzen dat deze tot een aangesloten organisatie behoort. Daarvoor wordt de gebruiker via onze govconext-bouwsteen omgeleid naar de inlogpagina van de eigen organisatie. Dat gebeurt via het SAML2-protocol, bedoeld voor Single Sign On. Als dat gelukt is, verkrijgt de gebruiker een ‘wifi-certificaat’.
Het getgovroam-certificaat is een jaar geldig. De geldigheid kan verschillen per organisatie. Indien de organisatie een andere geldigheid wenst, kan een verzoek tot aanpassing ingediend worden via tech@govroam.nl door de Technisch Contactpersoon.
Binnen de geldigheid van het certificaat is het niet nodig om steeds via SSO in te loggen bij de eigen organisatie. Het inloggen op wifi gebeurt namelijk niet via SAML maar via WPA2-Enterprise op basis van het getgovroam certificaat.
Pas wanneer het certificaat verlopen is, is het nodig dat de gebruiker weer inlogt op de app (via SSO via govconext) en een nieuw certificaat krijgt. Twee weken voordat het certificaat verloopt krijgt de gebruiker hierover alvast meerdere herinneringen. Indien de eindgebruiker bij het inloggen toch een pop-up krijgt met de vraag om inloggegevens in te vullen, dan heeft zich een lokaal netwerkprobleem voorgedaan waardoor het RADIUS-protocol (gedeeltelijk) niet heeft gewerkt, bijvoorbeeld als gevolg van UDP-fragmentatieproblemen.
GovConext is geen ‘app' op zichzelf. Het is een SSO-bouwsteen. Gebruikers van de getgovroam app, of andere applicaties, loggen zo met SAML in op de app(licatie).
Govconext is niet geschikt om als 'netwerk-login’ te dienen, daarom is RADIUS ook in het geval van getgovroam nog altijd relevant.
Samengevat:
govconext = SAML,
wifi login (getgovroam) = RADIUS.
Twee verschillende protocollen voor verschillende doeleinden. GovConext vervangt dus niet govroam en getgovroam.