Функционирование сервиса eduroam основано на стандарте сетевой безопасности в публичных местах 802.1X и связанной иерархии RADIUS-серверов, которые обращаются к серверу аутентификации, содержащему данные пользователей (логины и пароли).
Иерархия распределенных RADIUS-серверов безопасно передает учетные данные пользователей RADIUS-серверу «домашней» организации, который идентифицирует и аутентифицирует пользователя, а затем возвращает информацию о возможности авторизации пользователя в сервисе. В целях обеспечения конфиденциальности трафика от устройства пользователя по беспроводной сети применяются современные стандарты шифрования данных.
“Домашняя” организация пользователя отвечает за поддержание в актуальном состоянии и мониторинг пользовательской информации, включая и ситуации, когда пользователь находится в гостевых кампусах. Таким образом, учетные данные не передаются в другие участвующие в проекте организации.
Имя пользователя (логин) в соответствии с правилами eduroam должно иметь вид user@realm, где realm это доменное имя IdP (обычно institution.tld, tld – домен верхнего уровня). На основе realm и выполняется маршрутизация запросов в распределенной структуре RADIUS прокси-серверов.
На вершине национальной иерархии eduroam находится RADIUS-сервер (или серверы) национального уровня, который содержит информацию обо всех подключенных организациях и их ролях. Российский сервер управляется Межведомственным суперкомпьютерным центром РАН – филиалом ФГУ ФНЦ НИИСИ РАН (МСЦ РАН).