eduroam es miembro de la Wireless Broadband Alliance (WBA) y miembro pionero del servicio de la federación OpenRoaming facilitando un Wi-Fi automático y seguro. eduroam se esfuerza para aprovechar la infraestructura actual para posibilitar el uso de OpenRoaming a los actuales participates de eduroam.

Consideraciones sobre la Arquitectura

La arquitectura de OpenRoaming soporta la interconexiónn entre los Proveedores de Identidad de OpenRoaming (IdPs) y los Proveedores de Acceso a la Red de OpenRoaming (ANPs), el equivalente al Proveedor de Servicio en eduroam, sin necesidad de proxies intermedios. La arquitectura difiere, en cierta manera, de la de eduroam ya que no necesita de agregación en el nivel superior de los dominios u otros constructores.

Sin embargo, los proxies como los proxies NRO no están prohibidos y, su arquitectura es compatible con el enrutado interno de peticiones de eduroam. Las herramientas del equipo de operaciones puden recivir autenticaciones de OpenRoaming y reenviar dichas peticiones mediante el enrutado interno de eduroam hacia el IdP correspondiente.

En esta configuración, el IdP decide si usar el conjunto de herramientas de eduroam o conectase mendiante la infraestructura de OpenRoaming. En un nivel técnico, el IdP realiza la conexión publicando un registro DNS NAPTR, que apunta a un punto de acceso OpenRoaming.

Dado que la decisión política de participar mediante las herramientas proporcionadas por eduroam recae en cada IdP, el rol de los proxies NRO en la infraestructura de eduroan se limita a facilitar o limitar la conexión de cada IdP a OpenRoaming a través del proxy NRO del IdP.

Las peticiones de autenticacion de OpenRoaming pueden ser identificadas en el servidor proxy NRO mediante el atributo “Operator-Name” de RADIUS y su valor comenzando por “4”. El resto de la cadena que forma el atributo identifica al miembro que opera el punto de acceso.

Ejemplo: un operador Wi-Fi imaginario llamado “Vodkafone” con un punto de acceso Wi-Fi en la Antártida, podría usar el “Operator-Name = 4vodkafone:aq”

Opciones de los NRO para participar en OpenRoaming

Un NRO tiene cierta influencia en la participación en OpenRoaming. Inicialmente, puede controlar su proxy enviando solicitudes de autenticaciónque se originan en un ANP en OpenRoaming. En segundo lugar, puede permitir o denegar a sus IdP la capacidad de activar OpenRoaming en el conjunto de herramientas de eduroam CAT para el onboarding de usuarios.

Enrutado de Peticiones

• Con las herramientas actuales para IdP, los NROs pueden tomar la siguiente posición respecto a OpenRoaming:
• Permitiendo el proxy de solicitudes de autenticación OpenRoaming desde las herramientas del equipo de operaciones de eduroam hacia sus IdP. Esta es la opción de "no hacer nada", ya que el enrutamiento de las solicitudes OpenRoaming es idéntico al enrutamiento normal de solicitudes eduroam.

Se prohíbe el proxy de peticiones de autenticación OpenRoaming. Esto requiere de una pequeña reconfiguración de los proxies NRO para que las peticiones de autenticación que indiquen “Operator-Name=4” sean eliminadas. Alternativamente, los NRO pueden contactar con el Equipo de Operaciones de eduroam para solicitar que las solicitudes de sus dominios de nivel superior (TLD) se eliminen inmediatamente en el punto de entrada.

Nota: La opción 2 no previene a una institución académica, que es un IdP en convertirse en un Proveedor de Identidad de OpenRoaming. Solo significa que la institución necesita encontrar a otro socio (comercial) para su conexión a OpenRoaming.

Yendo más allá, el Equipo de Operaciones de eduroam planea extender la disponibilidad de las herramientas para que los proxies NRO sean capaces de convertir sus propios puntos de acceso a OpenRoaming. Esto permitiría a los IdP eduroam de los proxies NRO que los ANP OpenRoaming envíen solicitudes de autenticación directamente a su NRO, acortando la ruta de enrutamiento dentro de la infraestructura eduroam. Esto no solo hace que las autenticaciones sean más eficientes, sino que también evita las solicitudes de autenticación de herramientas eduroam fuera del país. Con ese fin, eduroam necesita convertirse en una Autoridad de Certificación Emisora de OpenRoaming y emitir certificados de punto final a NRO. Una vez que la infraestructura de emisión de certificados esté en su lugar, las NRO tendrán una tercera opción además de las dos anteriores:

Se permite la recepción de peticiones OpenRoaming directamente en los servidores NRO, para hacer proxy a los IdP.

(Alternativamente, los NRO pueden procurarse dicho certificado de otro miembro de la WBA)

Herramientas de Onboarding (CAT)

Una versión futura de eduroam CAT ayudará a los IdP en:

• Verificación ténica de la configuración (registros NAPTR).
• Creación de instaladores OpenRoaming enriquecidos con los Roaming Consortium Organization Identifiers (RCOIs).
• Visualización del consentimiento de los Términos y Condiciones de OpenRoaming previa a la descarga de los instaladores de OpenRoaming.

A discreción del NRO, se puede exponer el conjunto de características relativas a OpenRoaming a los IdPs. Las opciones a nivel de NRO en CAT mantendrán un switch “Enable OpenRoaming”. El valor por defecto a nivel de NRO no está determinado por el momento.