Stappenplan voor snelle aansluiting op govroam
U vertegenwoordigt een overheidsorganisatie en u wilt uw medewerkers en organisatie laten profiteren van de voordelen van govroam? We beschrijven op hoofdlijnen de stappen die u moet zetten. Per stap kan er aanvullende documentatie nodig zijn. In dat geval wordt daar naar verwezen.
In 8 stappen leiden we u door het aansluitproces.
Stap 1. Bepaal of uw organisatie Identity Provider (IdP) of Service Provider (SP) wordt
Wilt u uw medewerkers in uw eigen organisatie, maar ook bij gastorganisaties en publieke locaties die govroam aanbieden, gebruik laten maken van draadloos internet via govroam? U bent in dit geval Identity Provider (IdP) voor govroam .
Wilt u alleen voor bezoekers aan uw organisatie toegang geven tot internet met behulp van govroam? In dat geval bent u alleen Service Provider (SP). Voor SPs geldt een andere route voor het aansluiten op govroam. Neem contact op met de coördinator. Zie contactinformatie.
Let op: als u govroam in uw eigen organisatie beschikbaar wilt stellen aan uw gebruikers, bent u ook Service Provider. De meest voorkomende situatie is dat een organisatie uit het openbaar bestuur zowel Identy Provider (IdP) als Service Provider (SP) is.
Stap 2. Bepaal welke andere govroam-diensten u wilt aanbieden
Behalve de govroam wifi-dienst kunt u uw gebruikers en gasten ook andere diensten aanbieden, zoals bijvoorbeeld govguest. Kijk hier welke diensten Stichting govroam op dit moment beschikbaar heeft.
Stap 3. Wordt lid van de govroam community
Uw organisatie wordt lid van de govroam community om er aan deel te kunnen nemen. Dit doet u door het deelnameformulier in te vullen en in te zenden. U ontvangt dan binnen 10 werkdagen een gebruiksovereenkomst van Stichting government roaming nederland, afgekort Stichting govroam. Deze overeenkomst dient u te ondertekenen en retour te zenden. Met het ondertekenen van de gebruiksovereenkomst verklaart u zich akkoord met de govroam NL Service Policy.
Stap 4. Voldoe de aansluitvergoeding aan de stichting
Uw organisatie is een eenmalige aansluitvergoeding verschuldigd aan de Stichting govroam. Na ontvangst van de ondertekende gebruiksovereenkomst ontvangt u hiervoor binnen 10 werkdagen een factuur. De eenmalige aansluitvergoeding verschilt per organisatie. Zie het overzicht dienstpakketten en gerelateerde kosten voor een overzicht.
Stap 5. Inrichten RADIUS-server
Het is van belang dat u op de juiste wijze authentiseert voor toegang tot het netwerk. U moet daarvoor een RADIUS-server configureren die authenticatieverzoeken van uw gebruikers kan afhandelen, als zij vanuit uw organisatie of een gastorganisatie gebruik maken van govroam.
De belangrijkste voorwaarden zijn:
- U dient te beschikken over een Identity Management System (bijvoorbeeld een Active Directory) *
- Inlog namen moeten de volgende vorm hebben: ‘username@domein.nl’ (zoals mailadres) .
- De RADIUS-server moet gekoppeld worden aan het Identity Management System en aan de controllers van het wifi netwerk.
- U dient te bepalen welke netwerkbeveiliging (EAP type) voor het authentiseren van de gebruikers voor u het beste is.
Ondersteunende documentatie vindt u in het govroam cookbook.
* Indien de inlognamen in het identity management systeem een andere vorm hebben en het is niet mogelijk om deze te wijzingen dan wel toe te voegen dan dient in de keuze van de RADIUS-server er op gelet worden of deze een translatie kan doen. De Radiator is een RADIUS die dit kan, de NPS van Microsoft helaas niet.
Stap 6. Uw wifi-netwerk geschikt maken
Het wifi-netwerk dient geschikt te zijn voor govroam gebruik. Indien u een recent wifi-netwerk heeft, is de kans groot dat het al geschikt is. Indien u nog geen wifi-netwerk heeft, zal u dat eerst moeten installeren.
Belangrijke aandachtspunten met betrekking tot het wifi-netwerk zijn:
- Voor beveiliging gebruikt u WPA2-Enterprise.
- SSID moet “govroam” zijn (alle kleine letters!).
- Voor authenticatie moet u EAP* transparant doorzetten.
Let op! Zorg er doormiddel van VLAN-scheiding voor dat uw medewerkers en gasten niet in hetzelfde netwerk terecht komen. Gasten hoeft u enkel transparante toegang tot internet te geven. Dit kan het beste via een apart VLAN.
Ook bij deze stap helpt het ‘govroam cookbook’ u verder
* Extensible Authentication Protocol ( EAP ) is het mechanisme achter internet -en netwerkbeveiliging, een raamwerk van verificatiemogelijkheden waardoor op een relatief eenvoudige, flexibele maar ook veilige wijze toegang tot netwerken geboden kan worden.
Stap 7. uw RADIUS koppelen aan govroam RADIUS infrastructuur
Na het doorlopen van stap 4 en 5 werkt govroam binnen uw eigen organisatie. Echter, de roaming functionaliteit werkt nog niet: uw medewerkers kunnen nog geen gebruik maken van het govroam toegang op andere locaties en gasten van andere govroam organisaties kunnen bij u nog geen toegang krijgen. Om dit te regelen moet uw RADIUS server gekoppeld worden aan de RADIUS infrastructuur van govroam. Deze stap kan worden gezet als uw organisatie de aansluitvergoeding (zie stap 3) heeft voldaan.
De belangrijkste voorwaarden zijn:
- De contactgegevens van uw technische aanspreekpunt registreren bij govroam.
- Technische gegevens van uw RADIUS-server registreren bij govroam.
- Een testaccount beschikbaar stellen aan govroam.
- Eventuele aanpassingen in de firewall voor de beveiligde verbinding via Internet.
- De wederzijdse werking van de koppeling dient getest te zijn.
Voor het doorgeven van de technische gegevens maakt u gebruik van het technisch intakeformulier dat u elektronisch ontvangt. Nadat alle gegevens bij govroam bekend zijn ontvangt u de technische gegevens van de nationale govroam server. Tevens ontvangt u via een bepaalde procedure de shared secret key zodat de verbinding tussen beide servers beveiligd is. Tot slot ontvangt u een testaccount van govroam om de werking te testen.
Stap 8. Instellen govroam op gebruikers devices
Ook de gebruikers zelf moeten wat instellingen op hun devices doen. Voor de handleiding bent u als IdP verantwoordelijk. Voorbeeld handleidingen zijn beschikbaar en op internet zijn vele eduroam handleidingen te vinden.
Voor de meeste toestellen wijzigt het instellen zichtzelf en komt dit neer op het volgende:
- Selecteren draadloos netwerk govroam
- Invoeren volledige gebruikersnaam, inclusief het deel achter de @*
- Wachtwoord invoeren
- Certificaat na positieve controle accepteren.
Gebruikers dienen zich bewust te zijn van hun verantwoordelijkheden in het gebruik van govroam. Hiertoe is een gebruikersdocument (responsibilities of govroam users NL.pdf) opgesteld:
* De meest voorkomende ‘beginnersfout’ is dat het achterste deel van de inlognaam(eerste.deel@tweededeel.nl) vergeten wordt.
Uw medewerkers ervaren pas echt de voordelen van govroam, als ze zich eenmalig aangemeld hebben. Nadat u alle technische inspanningen heeft afgerond, is het zinvol om iedereen goed voor te lichten over het gemak en de gebruikersvoorwaarden van govroam.
Stap 9. Promoot het gebruik van govroam binnen uw organisatie
Voor een actieve promotie van govroam en veilig netwerk gebruik heeft govroam verschillende promotiemiddelen beschikbaar. Zo kunt u eenvoudig aan medewerkers en bezoekers duidelijk maken dat zij via govroam veilig en vertrouwd kunnen netwerken.