![Page 1: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/1.jpg)
Alternative Logins für Eduroam -Rollout als föderierter Dienst
Axel Taraschewski
IT Center der RWTH Aachen
68. DFN-Betriebstagung
Berlin-Zehlendorf
Gerätemanager
![Page 2: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/2.jpg)
2
eduroam-Zugangsdaten können relativ einfach mittels „man in the middle“ Angriff
abgefangen werden
• Besonders gefährdet sind mobile Devices, die ständig versuchen bekannte
Netzwerke zu finden und sich zu verbinden
• Die Anzahl der Geräte, die eduroam nutzen steigt
• Die Passwörter werden sowohl im privaten wie auch im Hochschulkontext genutzt
• Die Erfahrung hat gezeigt, daß dieselben Zugangsdaten oft auch für kritische
Dienste genutzt werden, wie• Campus Management (z.B. An- / Abmeldung zu Prüfungen)
• Intranet (Mitarbeiter-Login)
• etc…
Ernsthaftes Problem - sowohl für den Nutzer als auch für die Hochschule!
Hintergründe: Warum ? Gerätemanager
![Page 3: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/3.jpg)
3
Lösungsansatz
Gerätespezifische eduroam-Kennungen
• Verringern die Auswirkungen der Sicherheitslücke …
• … lösen das eigentliche Problem aber nicht vollständig!
• Jeder Nutzer erhält bei Bedarf mehrere eduroam-Kennungen
• Für jedes Gerät kann eine neue Kennung angelegt werden
• Benutzername und Passwort werden NUR für eduroam verwendet
![Page 4: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/4.jpg)
4
AGENDA
• Hintergründe: Warum?
• Vorstellung: Der eduroam Gerätemanager 2.0 (DEMO)
• Zeitachse und Milestones
• eduroam Gerätemanager• Von Version 1.0 zu Version 2.0
• Aktuelle Nutzerzahlen
• Aufbau neuer Supportstrukturen
• Gerätemanagement für andere Einrichtungen und Institutionen
![Page 5: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/5.jpg)
5
GerätemanagerBeispiel: RWTH Aachen University
![Page 6: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/6.jpg)
![Page 7: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/7.jpg)
![Page 8: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/8.jpg)
![Page 9: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/9.jpg)
![Page 10: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/10.jpg)
![Page 11: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/11.jpg)
![Page 12: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/12.jpg)
![Page 13: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/13.jpg)
![Page 14: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/14.jpg)
14
Zeitachse & Milestones
Projektübergabe
Konzeption V2.0
SW-Entwicklung
Anwendertests & Umsetzung Feedback
Freigabe DSB
Supportkonzept für externe Institutionen
Produktabstimmung mit FZJ
Einarbeitung des Feedback FZJ
Pilotbetrieb
10.2016 01.2017 02.201712.2017 02.2017 02.2017 03.2017 03.2017 08.2017
IT-SD Tool
![Page 15: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/15.jpg)
15
Architektur des Gerätemanager
FZJ
![Page 16: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/16.jpg)
16
Probleme: Version 1.0 (2016)
• User Experience• Anwendung nicht intuitiv zu verstehen
• Darstellung auf mobile Endgeräten verbesserungswürdig
• Nutzung der Anwendung “schien aufwendiger als der gewohnte Weg”
• Mehrwerte wurde “häufig” nicht erkannt / fehlten noch
Wenig Akzeptanz der Anwendung
Ziele für Version 2.0
Verbesserte Akzeptanz der Anwendung• Steigerung der User Experience
• Neue Mehrwerte
• Marketing / Support z.B. im Rahmen von „TreMoGe“
eduroam Gerätemanager Von Version 1.0 zu Version 2.0
![Page 17: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/17.jpg)
17
eduroam Gerätemanager Von Version 1.0 zu Version 2.0
Ziele für Version 2.0
• Dienst als Angebot für andere forschungsnahe Institutionen und Hochschulen Erste Partnerschaft mit FZJ-Jülich
• Föderiertes Gerätemanagement
• Neue zielgruppenspezifische Supportstrukturen
Maßnahmen
• Intuitives Web-Interface Anlegen und Löschen von Zugangsdaten mit nur drei Klicks!
• Neues Design• Corporate Design der RWTH Aachen
• Responsive Layout / Angepasste Darstellung auf allen mobilen Endgeräten
• Möglichkeit ein neues Passwort zu generieren
• Intergierte Informationen• Warum gerätebasierte Zugangsdaten
• How to use / Anleitungsvideos
• Marketing (Ankündigung, Blog-Beiträge, TreMoGe etc.)
![Page 18: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/18.jpg)
18
Gerätebasierte Zugangsdaten: Version 2.0 eduroam Gerätemanager
Maßnahmen: Neue Mehrwerte
Nutzer können prüfen wann ihr Gerät verwendet wurde
• Monitoring aktueller und zurückliegender
Verbindungsversuche (Radius Logging)
• Zu welcher Zeit und von welcher IP ist ein Gerät
zuletzt mit eduroam verbunden gewesen
• Nutzer können bei Verdacht selber feststellen, ob
ihre Zugangsdaten “geklaut” wurden und das
Passwort über den Gerätemenanger neu
generieren.
![Page 19: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/19.jpg)
19
eduroam Gerätemanager 2.0Nutzung seit dem 1.10.17 (WiSe 17/18)
• 34.025 Accounts angelegt
• 12.348 Accounts gelöscht
• 9.622 Passworte neu erzeugt
• 790 „Nicknames“ für das Devices geändert
![Page 20: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/20.jpg)
20
Gerätemanagement als Dienst für weitere Institutionen
Föderiertes Gerätemanagement
Etablierte Strukturen nutzen
• Authentifizierung mittels Shibboleth• Bereits Teil des DFN AAI
Nutzer beteiligter Institutionen können authentifiziert werden
• Autorisierung mittels OAuth2• Anpassung der lokalen Infrastruktur um diese als Dienst im DFN AAI anzubieten
• Erweiterungen am Gerätemanager (Backend) • Eine Subdomain für jede Institution
• Mandantenfähigkeit der Webanwendung
• Lifecycle-Management
![Page 21: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/21.jpg)
21
Support für weitere Einrichtungen
Aufbau neuer Supportstrukturen
• Erweiterung der Monitoring Informationen für den
lokalen Support• Login Informationen:
• Zeitpunkt, IP-Adresse (Ort), MAC Adresse,
Fehlermeldung
• Zugriff für Support über Benutzer- und/oder
Gerätekennung
Teilnehmende Einrichtungen sehen für ihre (Sub-)
Domain (nur) die eigenen Informationen
• Abgestimmte Dokumentation, Hilfe und Tutorials etc.
• Einbindung der externen Supporteinrichtungen in die Support- und
Kommunikationsprozesse der lokalen Einrichtung
• Service Level Agreements
Gerätemanager
![Page 22: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/22.jpg)
22
Die Support Pyramide
Fachabteilung
(IT Center)
IT-ServiceDesk(IT Center RWTH)
Externer 1st-Level Support(Forschungszentrum Jülich)
Externer Anwender (Forschungszentrum Jülich)
Am Beispiel eines gemeinsam konzipierten und entwickelten Dienstes zwischen
zwei unabhängigen Forschungseinrichtungen
![Page 23: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/23.jpg)
Gerätemanagerwww.rwth-aachen.de/eduroamSarah Grzemski
Bernd Decker
Axel Taraschewski
![Page 24: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/24.jpg)
Zusatzinformationen
![Page 25: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/25.jpg)
25
Projektstruktur
EGM
PIT
Projektleitung
Konzept
Frontend
Schnittstellen
User Experience
VVZ
IT-SD
Dokumentation
Support
Anwendertests
Konzept
User Experience
Netzte
Radius
Backend
KonzeptKommunikation
DFN
A&O
Marketing
SuB
Monitoring
Datenbanken
IdMHosting
Leitung
Owner
Kooperation
Ressourcen
SecurityKonzept
Sicherheitskonzept
FZJ
![Page 26: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/26.jpg)
26
Gerätemanagement für weitere Einrichtungen
OAuth2 als föderierter Dienst
![Page 27: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/27.jpg)
27
Beispiel: RWTHApp
Autentifizierung
(Shibboleth)
Prozess starten
(RWTHApp)
App Autorisieren
(OAuth)
Personalisierte
Informationen Anzeigen
(RWTHApp)
![Page 28: Alternative Logins für Eduroam - Rollout als föderierter ......Konzeption V2.0 SW-Entwicklung Anwendertests & Umsetzung Feedback Freigabe DSB Supportkonzept für externe Institutionen](https://reader033.vdokument.com/reader033/viewer/2022042310/5ed8c8856714ca7f47688f0e/html5/thumbnails/28.jpg)
28
Umsetzung
OAuth an der RWTH Aachen
• Sichere, gerätebasierte Autorisierung (De)Autorisierung über Webinterface
Keine Weitergabe von Benutzerdaten
• OAuth2 als Dienst Integriert mit Shibboleth zur
Authentifizierung
Möglich auch als Föderationsdienst
• An der RWTH etabliert z.B. die RWTHApp mit ~20.000 Nutzern
Verfahren skaliert auf unterschiedliche
Anwendungen