Comparaison entre eduspot et eduroam pour une authentification réseau nomade inter établissements

eduspot et eduroam sont deux services utilisables par la communauté enseignement supérieur pour gérer l'accès nomade inter établissements.

Cette page compare l'intérêt et les différences de ces deux solutions pour un établissement.

Le service eduroam.fr vise à offrir un accès sans fil sécurisé à l'Internet, aux personnels des établissements d'enseignement supérieur et de recherche lors de leurs déplacements, à une échelle nationale ou internationale.

L'infrastructure d'authentification mise en place s'appuie sur la norme 802.1X et utilise le protocole RADIUS. Le déploiement de ce service est subordonné à l'acceptation de la charte “eduroam.fr” et du respect des spécifications techniques.

eduspot est un ensemble de bonnes pratiques (utilisation d'un SSID commun, ouverture de ports standards, reconnaissance de tous les fournisseurs d'identité).

Les portails captifs eduspot utilisent La fédération Education-Recherche pour l'authentification des utilisateurs.

  • eduroam n'est utilisé que pour authentifier le nomade afin de lui autoriser une connexion réseau, tandis que la fédération d'identité permet l'accès à tout type de ressources web et permet en plus d'obtenir des attributs sur les utilisateurs ;
  • la charte d'eduroam préconise de ne faire aucun filtrage de protocoles en sortie et contraint au minimum les établissements à garantir l'utilisation de certains services tels que la messagerie, SSH, VPN… eduspot préconise l'ouverture des ports pour un certains nombre de protocoles sécurisés (HTTPS, SMTP/TLS, IMAPS, etc) et HTTP ;
  • eduroam a une échelle nationale, européenne voir internationale, tandis qu'eduspot ne couvre qu'une échelle nationale ou régionale ;
  • le niveau de sécurité d'eduroam est plus élevé que celui d'un accès via portail captif dans la fédération, car avec eduroam tous les flux entre le poste client et la borne Wi-Fi sont chiffrés ;
  • sur le poste client (ordinateur, téléphone…), eduroam nécessite la configuration d'un client 802.1X ; cette configuration est facilitée par l'outil CAT. Pour eduspot il n'y a aucune configuration préalable, un simple navigateur suffit.

Il est possible d'utiliser les deux technologies dans un même établissement mais il est recommandé de préférer eduroam dés que c'est possible.

eduroam est par exemple très bien adapté pour une population maîtrisant son poste client, nécessitant un niveau de sécurité et un niveau de services élevé, qui ont vocation à se déplacer à l'étranger, typiquement des chercheurs.

L'utilisation d'eduspot pour l'accès nomade inter-campus peut être suffisant pour une large population dont les postes client sont peu maitrisées (par exemple les étudiants ou les invités).

  • documentation/eduspot/articulation_eduroam.txt
  • Dernière modification : 2019/11/27 09:25
  • de ludovic.auxepaules@renater.fr