De ICT-beheerders van een instelling die gebruikmaakt van iotroam zijn verantwoordelijk voor de technische inrichting van de dienst binnen de instelling. Bij het aansluiten van de dienst dient de beheerder een aantal acties uit te voeren en moeten er ontwerpkeuzes gemaakt worden over groepen en VLAN’s, in combinatie met IP-adressen. De beheerder heeft binnen iotroam de mogelijkheid om:

  • Groepen aan te maken en te beheren. Aan de groepen kunnen gebruikers worden toegekend. Er kunnen bijvoorbeeld groepen gemaakt worden voor alle beveiligingscamera’s, koffieautomaten, VR-brillen of per vakgroep of les die IoT-apparaten gebruiken.
  • Een groep aan een VLAN toekennen om zo ook verschillende groepen IoT-apparatuur van elkaar en de rest van het netwerk te scheiden.
  • Security policies toe te kennen aan de groepen. Denk hierbij ook aan de maximale retentietijd, de tijd waarin een apparaat toegang krijgt tot het netwerk.
  • Gebruikers autoriseren voor iotroam en toewijzen aan groepen.
  • Groepseigenaar/-eigenaren toekennen aan een groep.
  • Beperking op het aantal persoonlijke devices van gebruikers instellen.
  • IoT-apparatuur aanmaken, beheren en verwijderen.
  • Middels CSV-import grote hoeveelheden IoT-apparatuur in één keer toevoegen.
  • Informatie over apparaten en groepen kunnen worden uitgelezen middels een Rest API en via de API kunnen ook apparaten worden toegevoegd of gewijzigd. Informatie over de API.

Welkomstpagina beheerders

Klik op je naam rechtsboven en daarna op Admin dan kom je op de welkomstpagina van het beheerdersportaal terecht. Hierop staat wat algemene informatie, statistieken en een overzicht van de laatste logins van beheerders. De onderdelen in het menu worden op de rest van deze pagina verder toegelicht.

  

Apparaten

Dit geeft een overzicht staan alle geregistreerde apparaten. Je kunt rechtsboven zoeken naar een specifiek apparaat en je kunt per kolom oplopend of aflopend sorteren.

Rechtsboven is een Exporteer-knop die de mogelijkheid geeft om alle apparaten te exporteren. Deze worden in een CSV-bestand gedownload.

Daarnaast staat de knop Voeg apparaat toe, waarmee je als beheerder direct een apparaat in een groep of een persoonlijk apparaat aan een gebruiker kunt toevoegen. Dit bepaal je bij het veld Eigenaar.

Zie het deel over apparaat toevoegen in de gebruikershandleiding voor een toelichting op de overige invulvelden.

Door in de overzichtstabel op een regel te klikken, worden alle details van het apparaat getoond zoals in het voorbeeld hieronder.

Door op het groene oogje naast Wachtwoord te klikken kan het wifi-wachtwoord voor dat apparaat bekeken worden. Rechtsonder staan de knoppen om het apparaat te verwijderen of te wijzigen.

Het veld Laatst gezien wordt standaard gevuld met het laatste moment waarop het apparaat ge(her)authenticeerd is. Indien RADIUS Accounting naar iotroam wordt verstuurd, zal dit veld uit de Accounting-informatie gehaald worden, evenals het Laatst bekende IP-adres.

LET OP: Onder Apparaatprofiel staat een streepje als het apparaat het profiel overneemt uit de groep of het standaardprofiel uit de RADIUS Client. Het is mogelijk om een uitzondering hierop te maken voor individuele apparaten. Dit kan door gebruik te maken van de API. Er is bewust voor gekozen dit niet in de portal-interface te doen, omdat het voor uitzonderlijke situaties geldt daarom alleen door gevorderde iotroam-beheerders kan worden uitgevoerd.

Groepen

Klik in de beheerdersomgeving op Groepen in het menu. Je krijgt een overzicht van de huidige groepen te zien. Rechtsboven is een zoekfunctie en je kunt per kolom oplopend of aflopend sorteren.

Nieuwe groep aanmaken

Klik rechtsboven op de knop Voeg groep toe. Nu verschijnt onderstaand scherm. De invoervelden worden onder de afbeelding toegelicht.

Naam spreekt voor zich.

Beschrijving (optioneel) geeft de mogelijkheid om een beschrijving van de groep te geven of bijvoorbeeld een ticketnummer van de aanvraag van de groep. Er zijn meerdere regels mogelijk en het invoerveld kan in hoogte aangepast worden door het driehoekje rechtsonder vast te pakken en te verschuiven.

Apparaatprofiel (optioneel) geeft de mogelijkheid om een groep aan een apparaatprofiel te koppelen en daarmee aan een VLAN toe te wijzen. Als er niets wordt ingevuld, worden de apparaten in de groep in het standaard apparaatprofiel geplaatst.

Icoon geeft de keuzemogelijkheid om aan de groep een icoontje toe te voegen. Momenteel zijn de opties: Group, Building, Bulb, Fitness, Camera en Molecule.

Standaard verlooptijd apparaat (dagen) geeft de mogelijkheid om een standaard periode in te geven voor het verlopen van apparaten in de groep. Een gebruiker kan bij het toevoegen van een apparaat kiezen voor een andere periode, maar kan dit nooit langer zijn dan de standaard voor de groep. Vul 0 (nul) in om apparaten in de groep standaard niet te laten verlopen. Dit kan wenselijk zijn voor bijvoorbeeld facilitaire toepassingen als camera's of AED's.

Klik op Toevoegen om de nieuwe groep aan te maken.

Gebruikers aan groepen toewijzen en andere beheermogelijkheden

Klik in het overzicht van groepen op de naam van een groep om de details van de groep te zien en de groep te beheren. Er verschijnt nu een scherm zoals hieronder weergegeven.

 

Rechts bovenaan zijn mogelijkheden om de groep te verwijderen of te wijzigen. Bij wijzigen kun je de instellingen aanpassen, zoals ingegeven bij het aanmaken van de groep.

Onder het kopje Gebruikers worden de gebruikers weergegeven die aan de groep zijn toegevoegd. Je kunt per kolom oplopend of aflopend sorteren. Door op de naam van de gebruiker te klikken kom je in het scherm met gebruikersdetails (zie Beheren van gebruikers). Door een klik op het e-mailadres van de gebruiker wordt een leeg e-mailbericht geopend gericht aan de gebruiker. In de derde kolom staat het aantal groepen waar de betreffende gebruiker lid van is. Door een vakje in de kolom Eigenaar aan te vinken, wordt de betreffende gebruiker groepseigenaar.

Via de knop Beheer uitnodigingen kunnen de groepsuitnodigingen voor de betreffende groep beheerd worden. In dit deel van de gebruikershandleiding staat beschreven hoe dit werkt en staat ook meer informatie over de rol van groepseigenaar.

Als je op de knop Beheer gebruikers klikt, verschijnt een schermp waarin gebruikers aangevinkt worden om ze aan de groep toe te wijzen. Haal het vinkje weg om een gebruiker uit de groep te verwijderen. De apparaten in de groep die door de verwijderde gebruiker zijn geregistreerd, blijven in de groep staan.

Onder het kopje Apparaten staan alle apparaten die in de groep zijn geregistreerd. Je kunt per kolom oplopend of aflopend sorteren. Door op een regel te klikken, worden alle details van het apparaat getoond. Rechtsonder in dat detailvenster is de mogelijkheid om het apparaat te verwijderen of te wijzigen. Klik op het groene oogje naast Wachtwoord om het wifi-wachtwoord voor dat apparaat te bekijken.

De knop Voeg apparaat toe geeft je als beheerder de mogelijkheid om direct een apparaat aan deze groep toe te voegen. De knop Importeer apparaten biedt de optie om via CSV meerdere apparaten aan de groep toe te voegen. Zie het deel over groepen in de gebruikershandleiding voor een toelichting op deze 2 opties.

Gebruikers

Klik in de beheerdersportal op Gebruikers in het menu. Nu zie je een overzicht van gebruikers. Rechtsboven is een zoekfunctie en je kunt per kolom oplopend of aflopend sorteren.

Klik op de naam van een gebruiker om informatie van de betreffende gebruiker te bekijken en eventueel aan te passen. Een voorbeeld van het gebruikersscherm staat hieronder.

Onder Groepen staan alle groepen waarvan de gebruiker lid is met daarachter het aantal apparaten in de groep en of de gebruiker groepseigenaar is. Klik op Beheer groepen om de gebruiker lid te maken van groepen of uit groepen te verwijderen.

Persoonlijke apparaten geeft de actieve persoonlijke apparaten van de gebruiker. Je kunt per kolom oplopend of aflopend sorteren. Door op een regel te klikken, worden alle details van het apparaat getoond. Rechtsonder in dat detailvenster is de mogelijkheid om het apparaat te verwijderen of te wijzigen. Klik op het groene oogje naast Wachtwoord om het wifi-wachtwoord voor dat apparaat te bekijken.

De knop Voeg apparaat toe geeft je als beheerder de mogelijkheid om direct een persoonlijk apparaat voor de gebruiker te registreren. Zie Persoonlijk apparaat toevoegen in de gebruikershandleiding voor een toelichting op deze optie.

Een gebruiker wordt automatisch verwijderd, 6 maanden nadat deze niet meer relevant is. Een gebruiker is niet meer relevant als het geen persoonlijke apparaten heeft én als deze niet gekoppeld is aan een groep. Dit geldt niet voor iotroam-beheerders!

Apparaatprofielen

Dit geeft een overzicht van alle aanwezige apparaatprofielen met naam en VLAN ID. Er kan per kolom oplopend of aflopend gesorteerd worden.

Door op een regel te klikken, komt alle informatie van het profiel tevoorschijn. Rechtsonder in dat detailvenster is de mogelijkheid om het apparaatprofiel te verwijderen of te wijzigen.  

Door te klikken op Voeg profiel toe, komt onderstaand invulscherm in beeld. Onder de afbeelding volgt een toelichting op de velden.

Naam Geef het apparaatprofiel een naam.

Beschrijving (optioneel) Voeg een omschrijving toe ter verduidelijking.

VLAN ID Dit is een numerieke waarde, conform RFC 3580. Deze waarde wordt in het RADIUS-attribuut tunnel-private-group-id opgenomen in het Access Accept-bericht.
Let op: Als in dit veld 1 wordt ingevuld, wat bij vendoren het native VLAN is, dan wordt er geen waarde meegestuurd in het RADIUS-attribuut tunnel-private-group-id.

Tag (optioneel) Er kan een Tag geselecteerd worden uit de lijst van aangemaakte tags. Hoe een tag aangemaakt moet worden, wordt beschreven bij Tags. Indien in de RADIUS client de optie Antwoord met Filter-ID aan staat, wordt de Tag-naam in het RADIUS-attribuut Filter-ID meegestuurd in het Access Accept-bericht voor alle apparaten in groepen die aan dit apparaatprofiel zijn gekoppeld. In de RADIUS-server van de instelling kan aan het Filter-ID vervolgens een aparte actie gekoppeld worden.

Roamingprofielen

Dit geeft een overzicht van alle aanwezige roamingprofielen met naam en VLAN ID. Rechtsboven is een zoekfunctie en er kan per kolom oplopend of aflopend gesorteerd worden. Met roamingprofielen kunnen apparaten van andere instellingen (roaming apparaten) in een gedefinieerd VLAN worden geplaatst. Hiervoor dient de instelling van de roaming apparaten een gedeelde tag gemaakt te hebben.

Door op een regel in de tabel te klikken, komt alle informatie van het roamingprofiel tevoorschijn. Rechtsonder in dat detailvenster is de mogelijkheid om het roamingprofiel te verwijderen of te wijzigen.  

Door te klikken op Voeg profiel toe, komt een invulscherm in beeld waar Naam, VLAN ID, Tag en optioneel een beschrijving van een nieuw roamingprofiel kunnen worden ingevuld.


Tags

Dit geeft een overzicht van alle tags. Rechtsboven is een zoekfunctie en er kan per kolom oplopend of aflopend gesorteerd worden. 

Een instelling kan een tag aanmaken en eventueel delen. Deze tag kan aan een apparaatprofiel worden toegekend. Als 'Antwoord met Filter-ID' is aangevinkt en er komt een Access Request binnen van een apparaat in een groep die aan dit apparaatprofiel is gekoppeld, dan wordt in de Acces Accept de tag meegegeven in het RADIUS-attribuut Filter-ID. Hiermee kan op de RADIUS-server van de instelling een policy worden geactiveerd. 

Als een tag wordt gedeeld dan zien alle andere instellingen deze tag ook. Andere instellingen zien dit weergegeven als realm:tag name. Dus als SURF de tag genaamd 'test' zou delen, zien andere instellingen dit als surf.nl:test. Een andere instelling (instelling B) kan deze tag koppelen aan een roamingprofiel waarin ook een VLAN-ID wordt gedefinieerd. Alle apparaten van de organisatie die de tag heeft aangemaakt en gedeeld, worden als roaming apparaten bij instelling B geplaatst in het gedefinieerde VLAN in het betreffende roaming profiel. Dit kan gebruikt worden als meerdere instellingen in één gebouw zitten en op een netwerk werken dat door één instelling beheerd wordt. In het voorbeeld is dat dan instelling B. We adviseren hiervoor wel afstemming tussen de netwerkafdelingen van de betreffende instellingen, wat meestal wel gebeurt.

Door te klikken op Voeg tag toe komt onderstaand invulscherm in beeld waar Naam en optioneel een beschrijving van een nieuwe tag kunnen worden ingevuld. Daaronder de optie om de tag te delen.

RADIUS clients

Dit geeft een overzicht van alle RADIUS clients. Rechtsboven is een zoekfunctie en er kan per kolom oplopend of aflopend gesorteerd worden. 

Een instelling voegt hier de informatie toe van een RADIUS client aan de kant van de instelling zelf. Zo wordt de koppeling tussen de RADIUS-servers van iotroam en de infrastructuur van de instelling gemaakt. Een RADIUS client kan een RADIUS-server zijn of de wireless controllers, afhankelijk van de ontwerpkeuze van de instelling. Het is mogelijk om meerdere RADIUS clients per instelling te configureren.

Door te klikken op Voeg client toe komt onderstaande invulscherm in beeld. Onder de afbeelding volgt een toelichting op de velden.

 

Beschrijving spreekt voor zich en is optioneel.

IP-netwerk/adres is het IP-adres van de RADIUS client bij de instelling of het IP subnet waar de RADIUS client onderdeel van uitmaakt. De notatie voor een subnet is zoals in dit voorbeeld: 192.168.1.0/24. Dit werkt ook met IPv6-subnets.

Standaard PSK (optioneel) als je hier een standaard psk invult dan komt er ongeacht het Mac adres bij gebruik van deze sleutel een accept terug. Dit is een feature die gebruikt kan worden als je bij een migratie niet alle Mac adressen weet en deze dan toch wil onboarden om dan via de DHCP of wifi omgeving Mac adres te achterhalen.

RADIUS wachtwoord  (of RADIUS secret) kan door de instelling zelf gekozen worden. Hiermee wordt het verkeer tussen de instelling en iotroam geauthenticeerd.

Apparaatprofiel (optioneel) is het standaard apparaatprofiel dat bij deze RADIUS client geldt. Dit profiel geldt voor alle persoonlijke apparaten en voor alle apparaten van groepen die aan dit apparaatprofiel gekoppeld worden.

Roaming extern apparaatprofiel (optioneel) is het apparaatprofiel dat je kunt selecteren waar roaming apparaten, ofwel apparaten van een andere instellingen die te gast zijn, in terecht komen. Als dit niet wordt ingevuld, wordt het standaard apparaatprofiel gebruikt.

Antwoord met gebruikersnaam is een optie voor meer geavanceerde toepassingen. Als deze wordt aangevinkt, zal de eduPersonPrincipalName in het Access-Accept worden meegegeven. Hiermee is het mogelijk om een eduroam-apparaat in hetzelfde VLAN te laten vallen als het betreffende persoonlijk IoT-apparaat, zodat onderling verkeer mogelijk is. Dit vergt ook andere configuratie dan alleen in iotroam.

Antwoord met Filter-ID is de optie die aangevinkt moet worden om een Tag in het RADIUS antwoord mee te sturen in het RADIUS-attribuut Filter-ID.

Ingeschakeld geeft de optie om een RADIUS client aan of uit te schakelen.

Als alle velden zijn ingevuld, klik je op Toevoegen.

API keys

Dit geeft een overzicht van de aanwezige API-keys met naam en aantal apparaatgroepen per API-key. Er kan per kolom oplopend of aflopend gesorteerd worden. Voor de authenticatie en autorisatie van de Rest API is een API-key nodig. Hierin geef je ook aan op welke groepen de API-key rechten geeft. De link onder de titel verwijst naar deze documentatie waarin de mogelijkheden en syntax van de API beschreven zijn.

Door op een regel in de tabel te klikken, komt alle informatie van de API-key tevoorschijn, inclusief de API-key zelf. Rechtsonder in dat detailvenster is de mogelijkheid om de API-key te verwijderen of te wijzigen.  

Door te klikken op Voeg API key toe komt een invulscherm in beeld waar de Naam ingevuld kan worden en kunnen de Apparaatgroepen geselecteerd worden waar de API-key rechten op geeft. Na het aanmaken van de nieuwe API-key kan de key bekeken worden door de details van de key in de overzichtstabel te bekijken.

Autorisaties

Hier zijn de volgende instellingsmogelijkheden:

Persoonlijk apparaat limiet: hoeveelheid persoonlijke apparaten die een gebruiker maximaal mag registreren. Zet deze op 0 (nul) als persoonlijke apparaten niet toegestaan zijn.

Standaard verlooptijd persoonlijke apparaat (dagen): Het aantal dagen dat een persoonlijk apparaat standaard verloopt na registratie. Gebruikers kunnen bij het apparaat een andere verloopdatum selecteren, maar dit is nooit langer dan de hier ingegeven periode.

Login entitlements

Dit geeft mogelijkheden om te bepalen wie op het iotroam-portaal mogen inloggen op 2 verschillende niveaus:

Via affilliaties: hiermee kunnen op niveau van affiliation, zoals staff, student, employee, toegang te regelen.

Via gebruikers-ID. Voer deze gebruikers in d.m.v. het e-mailadres waarmee de gebruiker via SURFconext inlogt.

Audit Log

In dit log-overzicht ziet een beheerder relevante activiteiten, zoals logins van beheerders en toevoegen, aanpassen of verwijderen van een apparaat. Achter de logregel van een apparaat is de mogelijkheid om op Toon details te klikken. Afhankelijk van de uitgevoerde actie zie je de ingevoerde gegevens of direct de mogelijkheid om te herstellen bij een onbedoelde verwijderactie.

Verwijderde Apparaten

Deze optie geeft een overzicht van alle verwijderde apparaten. Het verwijderen van een apparaat kan ongedaan gemaakt worden door op het apparaat te klikken om details weer te geven en vervolgens op de knop Herstellen. Dit werkt alleen als hetzelfde MAC-adres in de tussentijd niet opnieuw is geregistreerd. In dat geval is de Herstellen-knop niet beschikbaar en een melding weergegeven. 

  • No labels