getgovroam getting started

Nadat uw organisatie de aanvraag voor gebruik van de dienst getgovroam heeft ingediend via het klantportaal en uw organisatie aangesloten is, kunnen de eindgebruikers er mee aan de slag op basis van onderstaande tips:

Jullie eindgebruikers kunnen nu aan de slag met getgovroam. 

In de getgovroam apps is jullie organisatie vindbaar als [volledige naam van de organisatie] (bijvoorbeeld ‘Gemeente Amsterdam'). Jullie organisatie heeft een unieke URL voor login op het getgovroam-portal in de vorm van https://uworganisatiedomeinzonderpuntnl.getgovroam.nl. In geval van een IT-leverancier die meerdere organisaties ontsluit, zoals een shared service center, kan het zijn dat de vindbaarheid en unieke URL niet die van de individuele organisatie is, maar van het shared service center. In de intakeprocedure wordt deze vastgesteld en gecommuniceerd aan de beheerders.

Zorg dat de gebruikers die getgovroam mogen gebruiken, in jullie IAM-omgeving (AAD etc) toestemming krijgen om in te loggen op getgovroam via govconext.

Per operating system volgt hieronder een korte toelichting:

Android, iOS:

Voor de eerste ingebruikname is internettoegang benodigd.

  1. installeer de app vanuit de Play/App store, ook te vinden via  https://organisatie*.getgovroam.nl/app/

  2. start de app

  3. kies de eigen organisatie

  4. log in via het vertrouwde inlogscherm van de eigen organisatie

  5. de app configureert het toestel volautomatisch (in de achtergrond wordt een gebruikerspecifiek en device specifiek certificaat geïnstalleerd)

Android en iOS hebben een mechanisme om een notificatie te ontvangen voordat het profiel verloopt.

LET OP: sommige Android versies ontnemen de app rechten om meldingen te tonen na verloop van tijd. Dit kan worden uitgezet in de instellingen van Android.

Windows:

Voor de eerste ingebruikname is internettoegang benodigd.

  1. download de Windows .exe via https://organisatie*.getgovroam.nl/app/

    • start de app

  2. kies de eigen organisatie

  3. log in via het vertrouwde inlogscherm van de eigen organisatie

  4. de app configureert het toestel volautomatisch (in de achtergrond wordt een gebruikerspecifiek en device specifiek certificaat geïnstalleerd)

Managed install is ook mogelijk d.m.v. getgovroam.exe /install waarmee ook een Windows reminder wordt geagendeerd voor wanneer het profiel gaat verlopen. Wanneer deze optie niet gebruikt wordt, moet de eindgebruiker zelf de geldigheidsduur van het wifi-profiel controleren en voordat het verloopt opnieuw de stappen doorlopen (bijv. agenderen). Daarvoor is internet nodig.

MacOS:

Voor de eerste ingebruikname is internettoegang benodigd.

Volautomatische configuratie van wifi in MacOS is nog niet technisch eenvoudig mogelijk. Wel is het mogelijk om handmatig een configuratiebestand te downloaden en activeren:

  1. browse naar https://organisatie*.getgovroam.nl/app/ en kies ‘MacOS’. Om verder te gaan is inloggen noodzakelijk, dus:

  2. log in via het vertrouwde inlogscherm van de eigen organisatie

  3. download het .mobileconfig bestand

  4. open het .mobileconfig bestand

  5. recente MacOS versies vereisen dat je naar System Preferences > Profiles gaat en daar het nieuwe wifi-profiel goedkeurt

MacOS heeft geen mechanisme om een notificatie te ontvangen voordat het profiel verloopt. Gebruikers moeten zelf de geldigheid controleren en voordat het verloopt opnieuw de stappen doorlopen (bijv. agenderen). De geldigheidsduur is ook te zien op het startscherm van de app.

Linux:

Voor de eerste ingebruikname is internettoegang benodigd.

Volautomatische configuratie van wifi is niet (bij alle distributies) mogelijk. Voor een aantal veel voorkomende is een CLI-applicatie beschikbaar.

  1. Download de cli-applicatie via https://organisatie*.getgovroam.nl/app/

  2. Start de applicatie via een shell met ./getgovroam-cli

  3. log in via het inlogscherm van de eigen organisatie

  4. de app configureert het toestel volautomatisch (in de achtergrond wordt een gebruikerspecifiek en device specifiek certificaat geïnstalleerd)

Voor niet-ondersteunde distributies zijn wat handmatige stappen benodigd via de commandline:

  1. Browse naar  https://organisatie*.getgovroam.nl/app/

  2. Kies onder 'Options for other platforms and professional users' de optie 'Generate a certificate for manual use' en sla het certificaat (in .p12 formaat) op

  3. Gebruik je de volgende commando's om de public en private key te scheiden:

  4. openssl pkcs12 -in <.p12 file> -out govroam_client.crt -nokeys

  5. openssl pkcs12 -in <.p12 file> -out govroam_client.key -nocerts LET OP: hiervoor moet een wachtwoord verzonnen worden en ingevoerd om de private key te beschermen, onthoud dit wachtwoord goed!

  6. Open de wireless settings van het operating system en selecteer het govroam wifi netwerk. Waar dit te vinden is verschilt per distributie.

  7. Kies je bij authentication voor 'TLS'.

  8. Vul bij 'Identity' in: anonymous@organisatie*.getgovroam.nl 

  9. Selecteer bij 'User certificate' en 'User private key' de files 'govroam_client.crt' respectievelijk 'govroam_client.key' uit stappen 4 resp. 5, inclusief het wachtwoord dat gekozen is om de private key te beschermen.

  10. Kies voor de CA eduroam-chain-2020.pem

Linux heeft geen mechanisme om een notificatie te ontvangen voordat het profiel verloopt. Gebruikers moeten zelf de geldigheid controleren en voordat het verloopt opnieuw de stappen doorlopen (bijv. agenderen)

Tips voor de IT-afdeling:

  • Zorg dat de gebruikers die getgovroam mogen gebruiken, in jullie SAML-omgeving (AAD/EntraID etc) toestemming krijgen om in te loggen op getgovroam via govconext.

  • Sta bij managed devices het gebruik van de apps toe, inclusief inloggen via browser.

  • Let er op dat er een goed werkende default browser is geconfigureerd, of in elk geval weblinks niet zo beperkt worden of omgeleid naar niet beschikbare of niet gangbare browsers dat de SSO kan mislukken. Ook moet er vrije webtoegang tot https://*.getgovroam.nl en https://*.govconext.nl mogelijk zijn zonder beperkingen in virusscanner, webproxy etc.

  • De Windows executable kan voorgeïnstalleerd worden (er is geen installatiebestand, want het betreft slechts een enkele .exe file zonder DLL’s etc). Dit kan ook d.m.v. MDM bijvoorbeeld. De gebruiker zal wel zelf moeten inloggen (het is een persoonsgebonden wifi-profiel dat de gebruiker krijgt!)

Overigens kunnen eventuele testaccounts na de intakeprocedure opgeruimd worden.

Indien de technische contactpersoon interesse heeft om toegang tot het getgovroam-admin portal te verkrijgen, waarin de relatie tussen uitgegeven gebruikerscertificaten en hun SAML identiteit te zien is en certificaten teruggetrokken kunnen worden, kan dit verzoek gestuurd worden naar tech@govroam.nl met vermelding van de SAML UID(s) van de daartoe gerechtigde perso(o)n(en).

*) vul de naam van de organisatie in, zo wordt de URL: https://uworganisatiedomeinzonderpuntnl.getgovroam.nl

 

Meer (algemene) informatie is te vinden op https://govroam.nl/getgovroam