SP - Kantara Initiative

SAML準拠のShibbolethを活用した
準拠
を活用
学術認証連携基盤の構築
国立情報学研究所 中村素典
htt //
http://www.gakunin.jp/
k i j /
Webアプリケーションへのシングル・サイン・オン(SSO)
をセキ
をセキュアに実現するための学術向け分散型認証基盤
実現するため 学術向け分散型認証基盤

従来
学認
機関単位で分散
大学A
ID1/Pass1
ID2/Pass2
ID3/Pass3
ID/Pass
eLearning
Web
メール
電子
Journal
機関認証
システム
システム
• Webアプリ毎にIDを管理
ID管理コスト大
• Webアプリ毎にログイン作業
ユーザは膨大なIDを管理
• 同一パスワード利用のリスク
低セキュリティサイトからの漏えい
2
大学B
大学C
SSO
eLearning
システム
学内
Web
メ ル
メール
電子
J
Journal
l
学外
統一基準
統
基準
で運用

セキュリティや個人情報保護法に配慮して 認証・認可の情報交換を行うためのデータ形式
セキュリティや個人情報保護法に配慮して,認証・認可の情報交換を行うためのデ
タ形式

標準団体OASISにより策定

米国EDUCAUSE/Internet2にて2000年に発足したオープンソースプロジェクト

http://shibboleth.internet2.edu/
SAMLによる認証連携方法として学術界ではデファクトスタンダード


米国、欧州でShibbolethによる学術認証フェデレーションが拡大
米国、欧州でShibbolethによる学術認証フェデレ
ションが拡大
最新はVersion 2.2 (SAML 2.0準拠)


一部、古いSPはまだVersion 1.3を使用(徐々に、2.xへ移行中)
ユーザ情報
LDAP, AD
シ
ボ
レ
ス
IdP
SAML標準
シ
ボ
レ
ス
SP
SAML通信のためのフィルターのようなもの
3
ID管理側(IdP)メリット





ID管理,ユーザサポート業務、セキュリティ教育の集約によるコスト削減
ID管理
ザサポ ト業務 セキ リテ 教育の集約による スト削減
ID/PW送受信時の(サービスに依存しない)セキュリティ水準の向上
大学など情報セキュリティ準拠,個人情報保護などへの対応
シ ムレス(学内外)なアクセス管理システム統合
シームレス(学内外)なアクセス管理システム統合
サービス側(SP)メリット




ID管理からの解放,ユーザサポート業務の軽減
ID管理から
解放
ザサポ ト業務 軽減
ライセンス条件にそった適正な利用
学術分野へのサービスのビジビリティの向上、素早いスタートアップ
サービス利用者メリット





4
多数のID/パスワード管理からの解放
IPアドレスに依存しないアクセス(自宅や出張先からもアクセスできる)
ド
自宅
も
個人情報の送信制御,匿名アクセス(所属機関として認証)
SSOによる利便性向上,マッシュアップによるサービス連携への期待
それぞれにメリットのある仕組み
インシデント発生時の対応


多くのCSPはIP ド
多くのCSPはIPアドレス全体に対してアクセス制限を行う
全体に対し
クセ 制限を行う


プロキシ等で一つのIPアドレスを共有していると、CSP側で制御不能
ユーザの特定と指導は大学側の責任
ユ
ザの特定と指導は大学側の責任
VPNを用いたリモートユーザサービス


VPN利用者の特定のための仕組みが必要(NATも問題)
利用者 特定
仕組
必要(
問題)


VPNの運用は基盤センター、CSP契約は図書館なので連携も必要
ライセンス契約でVPNアクセスを許可しないことがある
ゲ
ゲストに大学のIPアドレスを利用させられない
学
ド
を
さ
れな


eduroam等では別のIPアドレス空間から割り当て
コンテンツの利用者が少なくても全体での契約が必要
ンテンツの利用者が少なくても全体での契約が必要


5
学部、研究室、研究グループといった単位で安く契約したい
フェデレーション自体は学外リソース利用のためのもの
フェデレーションへの参加により




学内の統合認証システム構築を加速
学内シ テムのSSO化を加速
学内システムのSSO化を加速
シボレス化による学内の公開Webサービスの
セキュリティレベルの向上

Webメール
6
グループウエア
図書館システム
リモートアクセスによる利用頻度の向上
SSOによるユーザエクスペリエンスの向上


論文を探して
論文を取得して(読んで)
論文を管理する
認証連携によるディープなマッシュアップへ
認証連携によるディ
プなマッシュアップへ
7
Microsoft DreamSpark


学生を対象にMSのソフトウエア開発環境を無償で提供するプログラム
属性により大学構成員であり学生であることを確認



eduPersonTargetedID(SP毎に異なるハッシュ化された一意のID)
g
( 毎 異なる ッシ 化され
意
)
eduPersonScopedAffiliation(例:[email protected][email protected]

8
IdP(所属機関)
SP(リソース提供者)
9
アクセス承認
属性
情報
6
7
8
9
2
1
7
3
9
4
DS(ディスカバリサービス)
4
5
ユーザ
1
メタ
デ タ
データ
登録
配布
(ダウンロード)
登録
配布
(ダウンロード)
フェデレーションによる信頼性の提供
フ
デレ ションによる信頼性の提供
IdP(所属機関)
SP(リソース提供者)
9
アクセス承認
属性
情報
6
7
8
9
2
1
7
Set Cookie
3
10
4
DS(ディスカバリサービス)
4
5
ユーザ
1
http://www.switch.ch/aai/demo/ より
11
SP B
SP C
SP A
フェデレーション
フ デレ ション
フェデレーション
メタデータ
リポジトリ
DS(ディスカバリサービス)
エンティティ
メタデ タ
メタデータ
IdP A
IdP B
IdP C
自動ダウン
自動ダウンロードするフェデレーションメタデータの信頼性は、フェデレーションの
ドするフ デレ ションメタデ タの信頼性は、フ デレ ションの
証明書
で担保(事前に入手・検証し、事前にIdP/SPにインストール)
12
(検証は、別チャンネルで入手したfingerprintとの比較等による)
フェデレーションメタデータ
署名の情報
エンティティメタデータ (IdP)
IdPの情報
・IdP1の情報
・IdP2の情報
・・・・・
・・・・・
・IdP1のID=entityID
・利用する証明書
・利用可能なプロトコル
・組織情報
・・・・・
エンティティメタデータ(SP)
SPの情報
・SP1の情報
・SP2の情報
・・・・・
・・・・・
13
・SP1のID=entityID
・利用する証明書
利用する証明書
・利用可能なプロトコル
・組織情報
・・・・・
国立情報学研究所
プロジェクト参加機関
②プロジェクト参加申請/承認
機関責任者
事務局(NII)
加入者サーバ
④加入者の審査
⑧証明書
インストール
⑤TSVファイルの
アップロード
認証局
証明書自動発行
支援システム
登録担当者
加入者
オープンドメイン
認証局
システムから直接加入
者宛てに証明書を自
動発行します。
14
⑥ダウンロードURL通知 (システム→加入者)
⑦証明書ダウンロード
https://upki-portal.nii.ac.jp/docs/server

ユーザに対するSPの信頼性、暗号通信(SSL)


ユーザに対するIdPの信頼性、暗号通信(SSL)


アサーションの電子署名
IdPに対するSPの信頼性(接続の認証)


安全なID パスワ ドの入力
安全なID、パスワードの入力
SPに対するIdPの信頼性(接続の認証)


安全なサ ビ 利用
安全なサービス利用
アサーションの暗号化
フェデレーションメタデータの信頼性(電子署名)

15
フェデレーションが認めたIdP/SP間のみでアクセス可能
認
/ 間
ク
能
front channel
IdP
Attribute
Authority
Attribute
DB
Browser
SSO
Profile
https
p
https
AuthN
Engine
SP
Session
Initiator DS
Assertion
Consumer
SAML POST
AuthN
DB
Username
Password
AuthN
Shibboleth Module
(mod shib)
(mod_shib)
LDAP/AD
Form
Shibboleth
Daemon
(shibd)
Tomcat
16
back channel
Web
Resource
# .htaccess
AuthType shibboleth
ShibR
ShibRequireSession
i S
i
On
require valid-user
Apache
p
/ IIS
ポート番号は443、4443、8443など
IdP Shibboleth
SP Shibboleth
SAML
LDAP
handler.xml
login.config
attributefilter xml
filter.xml
attributemap xml
map.xml
Web
App
attribute
attributeresolver.xml
attribute
attributepolicy.xml
h d
httpd
relyingparty.xml
信頼
BackingFile
shibboleth2.
xml
BackingFile
リポジトリ
17
環境変数
http.conf
.htaccess
Access
Controll
SPは必要な属性を要求し、認可を行う。機関、ロールベースで認可が可能。
属性
内容
OrganizationName (o)
組織名
jaOrganizationName (jao)
組織名(日本語)
OrganizationalUnit (ou)
組織内所属名称
jaOrganizationalUnit (jaou)
組織内所属名称(日本語)
eduPersonPrincipalName (eppn)
フェデレーション内の共通識別子
eduPersonTargetedID
edu
e so a geted
フェデレーション内の匿名識別子
フ
デレ ション内の匿名識別子
eduPersonAffiliation
職種(faculty, staff, student, member)
eduPersonScopedAffiliation
職種(@ドメイン名がついた形式)
eduPersonEntitlement
資格
SurName (sn)
氏名(姓)
jaSurName (jasn)
氏名(姓)(日本語)
GivenName
氏名(名)
jaGivenName
氏名(名)(日本語)
displayName
氏名(表示名)
jaDisplayName
氏名(表示名)(日本語)
mail
メールアドレス
18
SPごとに異なる
ハッシュ化された識別子
(名寄せ防止)
uApprove.jpプラグイン
ユーザは送信する属性の選択が可能
掲載場所: https://upki-portal.nii.ac.jp/docs/fed/technical/attribute

新規IdPの開拓と新規SPの開拓は、普及のための両輪



SPに対する魅力はIdPの数(機関数、アカウント数)
IdPに対する魅力はSPの数(豊富なサービスの種類)
NIIは学術認証フェデレーションの着実な運用を行う
ととも
とともに、普及を加速するための支援を行う
普及を加速するため 支援を行う

事業化に向けてのフェデレーションの運用


普及を加速する仕組みの研究開発

19
学術ネ
学術ネットワーク運営連携本部・認証作業部会、運用タスクフォース
ク運営連携本部 認証作業部会 運 タ ク
学術ネットワ ク研究開発センタ
学術ネットワーク研究開発センター、認証ラボ
認証ラボ
(12月10日現在)
在

















Science Direct / SCOPUS (Elsevier)
接続中
SpringerLink (Springer)
Web of Knowledge / EndNote (Thomson Reuters)  PierOnline
 Serials Solutions
OvidSP (Ovid)
 EBSCO
RefWorks (ProQuest)
 IEEE
Pathology Images (Atlases)
 HighWire Press
DreamSpark (Microsoft)
 …
CiNii (NII)
Fshare(大容量ファイル交換)サービス(NII)
FaMCUs (テレビ会議多地点接続)サービス (NII)
Eduroam Shib(eduroam用 時アカウント発行)サ ビス(京大&NII)
Eduroam-Shib(eduroam用一時アカウント発行)サービス(京大&NII)
ゲスト用ネットワークアクセス認証(佐賀大学、広島大学)
ファイル送信サービス(金沢大学)
IMCデ タリポジトリ(金沢大学)
IMCデータリポジトリ(金沢大学)
科学技術の学術情報共有のための双方向コミュニケーションサービス(山形大学)
SecurityLearningシステム(NII)
W bELS eLearningシステム(NII)
WebELS
L
i シ テム(NII)
20
最新情報:https://upki-portal.nii.ac.jp/docs/fed/participants
市民 カウ トと 連携
市民アカウントとの連携
小学生の利用
MS Genevaとのコラボ
Geneva
21
北欧Fed連盟での利用
O
OpenIDとのコラボ
と
ボ
http://www.internet2.edu/pubs/national_federations.pdf








スイス SWITCHaai:455
イギリス UK-FAM:219
アメリカ InCommon:140
フランス Fédération Éducation-Recherche :123
フィンランド Haka:97
ノルウェー FEIDE:80
ドイツ DFN-AAI
DFN AAI:60
デンマーク WAYF:26
https://refeds.terena.org/index.php/Federationsより(2010.11.30)
22
23
・サイボウズ ガルーン2
23
* “https://wiki.internet2.edu/confluence/display/seas/Home”より引用



「グローバル ICT 基盤
基盤の
の進展」を踏まえた、新たな国際
「産学」連携の仕組みの構築
大学の「IdM Identity managementの
managementの進展」を前提とした
「産学連携による情報サービス
コンテンツ・情報
連携」体制の構築
産学連携の場 サービス(ICT)
コンテンツ
多様な業界を横断した
情報
サービス
サービス
フェデレーション
情報サービス連携の
「学術認証連携」
学術認証連携」
通信
「教育連携」
J
)」
「ID
ID属性連携
属性連携(
(i-Japan)
サービス
「研究連携」
基盤構築への貢献
コンソーシアム
大学等
http://ictsfc org/
http://ictsfc.org/
24
共同利用
研究所
大学情報
センタ・図
書館センタ
「情報サービス
「情報サ ビス
連携」
学術研究と高等教育の現場

















国立情報学研究所
名古屋大学
山形大学
千葉大学
京都大学
広島大学
金沢大学
北海道大学
筑波大学
佐賀大学
山口大学
成城大学
東邦大学
三重大学
日本大学
旭川医科大学
東京農 大学 (参加順)
東京農工大学
25
(12月10日現在)
総ID数
総ID数≒30万ID
ID
30万ID
旭川医科大学,東北大学,山形大学,福島大学,高
エネルギー加速器研究機構,筑波大学,筑波技術大学,東邦大学
東京大学 東京 業大学 東京農 大学 お茶 水女 大学 産
東京大学,東京工業大学,東京農工大学,お茶の水女子大学,産
業技術大学院大学,慶應義塾大学,愛知県立大学,鈴鹿工業高等
専門学校,京都産業大学,大阪大学,徳島大学,愛媛大学,岡山
大学,広島工業大学,九州大学,熊本大学
姫路獨協大学,静岡大学,中部大学,福井大学,神戸大学,東
京学芸大学,九州工業大学,京都女子大学,岩手大学,浜松医
科大学,東京都医学研究機構,宮崎大学,南山大学,岐阜大学,
鹿屋体育大学,京都工芸繊維大学,京都府立大学,高知大学,
茨城大学,同志社大学,室蘭工業大学,金城学院大学,福井県
立大学,北見工業大学,東京都市大学,北九州工業高等専門学
校,島根大学,大阪教育大学
最新情報:https://www.gakunin.jp/docs/fed/participants
山形大学の学術認証フェデレーションの取り組み
国立情報学研究所‐UPKI
強固なセキュリティ
研究者間コミュニティサービス
(個人情報など)
eduroam
セキュリティボーダライン
会計システム
Radiusプロキシ
業務情報の安全
な管理システム
シボレス認証
LDAP
プロキシ
図書館との連携
CiNii , Springerlink,
ScienceDirect,,
Web of Knowledge が
シボレス認証で利用可
⇒ 140人(運用後)
研究開発
SPの開発
研究者情報
システム
業務系認証システム
GakuNin
山形大学学術認証フェデレーション
業務系システム
成績・履修
システム
コンテンツ系
3キャンパス
5学部
(運用ドメイン)
×
米沢キャンパス
工学部
(試験運用ドメイン)
学術系認証基盤
(教育研究系サービス、全学生が利用可)
相反
OIDの設計
教育・研究等をシームレ
スに展開可能な環境
研究コミュニティ
CA
高度な認証連携を
目指した研究開発
GakuNinと金沢大学統合認証基盤
GakuNin
金沢大学統合認証基盤(Shibboleth)
 2つのSPを提供中
◆ファイル送信サービス(GakuNin用)
SP群
(学内用)
SP数14(2010/9/1現在
在
SP
(学内用)
IdP
(学内用)
※GakuNin用は別に用意
◆非文献コンテンツ公開サービス(GakuNin用)
非文献
開
(
用)
認証数
14,460/day(2010/4)
ネットワークID
金沢大学ID
在籍者(教職員・学生)のみ
学内ネットワーク接続目的
自己申請
27
生涯
生涯ID
個人情報・業務目的
異なる利用範囲により、現在は適したIDを使い分け
将来的には両IDの融合化を検討中
ランダムに発行
徳島大学における事例紹介
学認
eK4
SP
IdP
IdP
運用フェド
参加検討
(サービス受容)
学 構成員
学内構成員
学外公開可能
サ ビス検討
サービス検討
(サービス提供)
Shibboleth
PKI / LDAP
パスワード
ネイティブSP群
(新規Shibbolize)
(Portal LMS etc)
(Portal,LMS,etc)
SP
Shibbolize認証リバプロ(SP)
(Shibbolize不可システム
用フロントシステム)
認証源/属性源
実稼働中SP
(従来稼働システム群)
 Opengateとは、佐賀大学において開発・運用を行っているネット
ワーク利用者認証システムです。持ち込みPCや公開端末のネット
用
。
み や 開 末
ワーク利用認証を行い、ネットワークのサービスを利用者に提供しま
す。佐賀大学の構成員約一万人の教職員や学生の他に、学外者の一時
利用も可能です。
このOpengateを、Shibbolethによるシングルサインオン認証に
対応させ、平成22年3月より全学で運用を開始しました。
各種情報システムもシングルサインオン(Shibboleth)に対応させた
ことで、再認証なしで利用することができるようになりました(図1)。
一度のOpengateの認証で
いろいろなサービスを利用可能
IdP
図書館ポータル
図書館ポ
タル
(SP)
教務システム
(SP)
認証画面
Opengate
O
(SP)
ポータルサイト
(認証後に表示)
DS
…
利用者
 佐賀大学では、連携する情報システムの中で、現在、以下の情報
システムがシングルサインオン認証で利用可能です。
 総合情報基盤センターポータル(図2)
 図書館ポータル / 図書館蔵書検索
 e-Learning システム
 教職員グループウェア
 利用者情報確認・変更サービス(図3)
 研究業績データベース
研究業績デ タベ ス / 評価基礎情報データシステム
評価基礎情報デ タシステム
 教務システム / 教務ポータル(図4)
図2: 基盤センター
ポータル
図3: :利用者情報確認
変更サービス
図4: 教務ポータル
ラ
ング
eラーニング
システム
(SP)
図1: Opengateと連携したシングルサインオンによるサービス提供
新たなOpengateは、シングルサインオン認証後にShibbolethよ
グ
後
り得られる利用者の属性情報をもとにして、任意のWebページを表
示することが可能です。
このWebページを、学内で運用する情報システムのポータルサイト
とすることで、各情報システムの利用が可能なります。
連絡先: [email protected][email protected]」に参加するこ
とで、電子ジャーナルであるSpringerや、CiNiiなどの学外サービス
を、シングルサインオンで利用することが可能となっています。
Opengateも「学認」に参加している組織の方であれば、自大学
のIdPで認証することで、佐賀大学でのインターネットを利用する
ことが可能です。佐賀大学にお越しの際は、是非ご利用ください。
2008年度
年度
2009年度
年度
試行運用フェデレーション
運用フ デレ シ ン
運用フェデレーション
2010年度以降
年度以降
本格運用
運用フ デレ シ ン
運用フェデレーション
実アカウント利用
実サービス提供
実サ
ビス提供
テスト環境
実証実験
(技術検証)
27機関参加
30 IdP
18 SP(商用1)
30
昇格
テストフェデレーション
仮アカウント利用
仮サービス提供
昇格
テストフェデレーション
IdP
構築
・VMイメージ利用
VMイメ ジ利用
・貴学で構築
申請
学術認証
フェデレーション
31
サーバ
証明書
設置
入手
申込
構築
サーバ
証明書
入手
メタ
デ タ
データ
接続
テスト
運用フェデ
レーションへ
の接続
運用
参加申請
設置
申込
運用フェデレーション
運用フェデレ
ション
運用
参加申請
メタ
データ
テストフェデ
レ ション
レーション
への接続
運用
メタ
デ タ
データ
テスト
テストフェデレーション
テストフェデレ
ション
UPKI オープン
ドメイン認証局
申請
SP
テストフェデ
レーション
への接続
メタ
データ
テスト
接続
ト
テスト
運用フェデ
レ ションへ
レーションへ
の接続
運用

学認事務システム


テストフェデレーション
1.
2.
3.

学認への参加申請,メタデータ登録・更新等を1つのシステムでオ
学認への参加申請
メタデータ登録・更新等を1つのシステムでオ
ンラインで扱うシステム
匿名での申請情報登録(およびアカウント作成)
事務局での参加承認
フェデレーションメタデータの自動更新
デ
デ
運用フェデレーションの場合は?

32
オフラインによる確認が1ステ プ増えるだけ
オフラインによる確認が1ステップ増えるだけ
通常一日で
参加完
参加完了
利用開始可能
申請開始
ログイン
申請内容を学認事務システムに
入力・提出.同時にアカウントの作成
申請内容の事務局
によるチェック
OK メール通知
申請PDFを出力し,運用責任者から自
署・押印をもらい事務局宛に郵送
郵送
認証作業部会による承認
Fed.メタデータの更新
承認メール通知
利用開始
33
NG
メール通知
5
6
7
8
9
10
11
12
1
2
TFメンバー設置&権限委譲
利用規約改定
システム運用基準V1.1公開
Gakunin本格運用開始
Gakuninロゴ確定

実証実験・試行運用(UPKI-Fed)

認証作業部会による方針決定


北大,東北大,東大,名大,京大,阪大,九大,東工大,高エネ研,NII
本格運用(GakuNin)

認証作業部会下にフェデレーションTFを設置し,権限を委譲

参加機関の情報基盤センター,図書館などからの,より広い実地メンバーで構成
TFによりフェデレーションの進め方を検討
り
デ
進め方を検討
34
3
日時
35
名称
会場
5月20日
ITRC研究会 GakuNin現状と参加説明
NICT
6月3,4日
NIIオープンハウス GakuNinブース出展
NII
6月29日
Sunmedia学術情報ソリューションセミナー GakuNin説明
大阪
7月02日
Sunmedia学術情報ソリューションセミナー GakuNin説明
六本木
7月7,8日
シボレスIdP, SP研修会
NII
7月15日
第7回国立大学法人情報系センター協議会
海洋大学
7月19日-
IEEE SAINT GakuNinブース出展
ソウル
7月28日
e-Learningワールド GakuNinブース出展
東京ビックサイト
9月09日
第5回情報系センター研究交流・連絡会議
第5回情報系センタ
研究交流 連絡会議
和歌山
9月16,17日
シボレスIdP, SP研修会
NII
9月27,28日
TOPICネットワーク担当職員研修会
岩手
10月7,9日
シボレスIdP, SP研修会
NII
11月01日
11月01日-
I t
Internet2
t2 Fall
F ll Meeting
M ti 出展
アトランタ
11月15,16日
シボレスIdP, SP研修会
NII(募集中)
11月24日-
図書館総合展
パシフィコ横浜
11月10日
(SINET)オープンフォーラム
NII
11月~12月
SINET4説明会
札幌,東京,名古屋,京都,福岡
12月10日
情報処理学会CLE研究会
京都
1月11, 12日
シボレスIdP, SP研修会
NII
1月20, 21日
シボレスIdP, SP研修会
NII
3月
学認シンポジウム
NII


昨年度までは,NII情報処理軽井沢セミナーにて研修
本年度からは,NII講習システムを用いて実施

6月14,15日 デモ講習会実施



7月8 9日 大学向け講習会1
7月8,9日
大学向け講習会





定員20名,一般企業から参加
11月15 16日 大学向け講習会2
11月15,16日
大学向け講習会


定員16名
大学ITセンター,一般企業から参加
10月7,9日 企業向け


16名参加(約40名の応募の中から選定)
9月16,17日 大学,企業向け


15名参加(定員のため募集締め切り)
大学ITセンター,一般企業から参加
定員16名で実施
1月11,12日 大学向け講習会3
1月20 21日 大学,企業向け
1月20,21日
大学 企業向け
1月24,25日 大学,企業向け(追加予定)
大学向け研修会詳細
http://www.nii.ac.jp/hrd/ja/joho-karuizawa/index.html
大学+企業向け研修会 https://upki-portal.nii.ac.jp/docs/news/fed/20101022
h
// ki
l ii
j /d
/
/f d/20101022
36

e-Contents







電子ジャーナル
電子ジャ
ナル
電子書籍
電子メール
電子メ
ル

WebMail
メーリングリスト
転送
スパム対策
コラボレ ション
コラボレーション




37

Video Conferencing
Web Conferencing
g
Content Sharing
Webcasting
e-Learning








CMS
LMS
ソフトウェア提供
スケジュール管理・調整
無線LANローミング
無線
ミング
ストレージ
クラウド
e-Science

など
GRID
電子ジャーナル
電子書籍
4
33
e‐Learning(他機関から提供されるサービス)
17
91
e‐Learning(民間企業から提供されるサービス)
67
e‐Learning(機関内へ提供するサービス)
75
40
e‐Learning(他機関へ提供するサービスとして)
ソフトウェア配布(他機関から提供されるサービス)
36
ソフトウェア配布(民間企業から提供されるサービス)
74
37
ソフトウェア配布(機関内へ提供するサービス)
ソフトウェア配布(他機関へ提供するサービス)
41
49
遠隔講義・遠隔会議システム(他機関から提供されるサービス)
遠隔講義・遠隔会議システム(民間企業から提供されるサービス)
57
38
24
14
28
40
46
遠隔講義・遠隔会議システム(機関内へ提供するサービス)
遠隔講義・遠隔会議システム(他機関へ提供するサービス)
参加各機関による研究成果の公開
電子メールやオンラインストレージなどのクラウドサービスとの連携
学務情報システム
人事給与・財務会計システム
*数字は、回答機関数、複数回答可
38
その他
・就活サイト,SNS,無線LAN

国際標準H.323によるプロトコル共通化


ISDN接続からインターネット接続への移行



数Mbpsでハイビジョン品質
資料共有も可能(H.239)
端末の低価格化、性能向上


ネットワークの広帯域化、低コストに実現可能
映像品質の向上


特定メーカに依存しないオープンシステム
専用端末は映像・音響性能が優れている
移動にかかる時間と費用の削減(エコ)
39

多地点接続が容易でない


3地点以上の接続にはMCU(多地点接続装置)が必要
端末内蔵のMCUもあるけれど





接続可能な拠点数が少ない(4~6拠点)
が
十分な品質が得られない(ソフトウェア処理)
低品質な拠点の影響を受ける(出力を共用)
きめ細かな制御が困難・不可能
多地点接続専用の機器も提供されているが


40
高価にもかかわらず利用頻度が高くない
発展途上(陳腐化が早い)


MCUを複数機関で共用し、利用頻度を向上
MCU共用のための課題

予約


必要としている人が予約できる、いたずら防止
独占防止
利 機会 均等化
利用機会の均等化

優先制御


既存システムとの共存


予約・制御用APIの標準化
予約
制御用APIの標準化
費用の分担

41
所有機関に優先利用権を与えたい
制度設計

Tandberg Codian MCU 4505




12地点まで接続可能
ハイビジョン対応(720p, 30fps)
スケジュール予約機能を持つ
スケジュ
ル予約機能を持つ
シボレス化の要件(できるだけ簡単な試験実装)


シボレス認証できる人のみ予約 制御が可能
シボレス認証できる人のみ予約・制御が可能
テレビ会議実施時は認証不要(アクセスコード等利用)
IdP
認証情報
SP
Shibboleth
認証
代表者
A大学
ConferenceMe
f
M
(NAT越え可) C
移動先
接続
制御
NII
予約・制御
接続
接続
予約情報の通知
B大学

システムの改修

WebサーバをShibbolethに対応させる



WebアプリケーションをShibbolethに対応させる



Apache, IISであればモジュールが用意されている
サ バの機能で認可判断を行うだけなら これだけでOK
サーバの機能で認可判断を行うだけなら、これだけでOK
既存のユーザ管理情報とのマッピング処理のしかけが必要
ヒモ付け不要であれば、Shibbolethからの属性情報のみで制御
リバースプロキシの導入(SPが改修できない場合)
リバ
スプロキシの導入(SPが改修できない場合)

ユーザを区別した処理が不要なら、認可判断のみなので簡単


ユーザの区別のためには、プロキシにも従来ID/PWを保持さ
せ、マッピング処理を行う

43
Apacheのプロキシ機能で解決
pac eのプ キシ機能で解決
プロキシの作り込みが必要

一般にSSO対応はリバースプロキシで実現

リバースプロキシの両側のアカウントマッピングがポイン
ト
シボレスアカウント
によるアクセス認証
属性情報
ユーザ
ザ
MCUローカルアカウント
によるアクセス認証
ID / パスワード
リバースプロキシ
リ
キシ
実サーバ
実サ
(MCU)
専用ハードウェア
なので改変は困難
アカウントのマッピング
同時アクセスの提供
同時
ク
提供
44

「職種」が「教職員」の場合のみ予約可


staff、faculty 等(student 以外)
「組織名」が同一の場合に


予約の変更が可能
MCUの制御が可能




拠点ごとのミュート(音声、映像)
画面レイアウトの変更
端末の呼出 切断
端末の呼出、切断
「組織名」が異なる場合に

45
予約の存在を見せない

シボレスに対応


URLの書き換えができること




リクエストに含まれるURL
レスポンスに含まれるURL
MCUの認証機構に対応できること
MCUに新規ID/PWを追加できること


アクセス時に属性情報が取得可能であること
組織毎にIDを用意しマッピングを管理
MCUの利用範囲に制約を与えられること

46
リンク先の変更やパラメータの書き換え

利用するMCU

Tandberg Codian MCU 4505



JavaやActiveX等を用いておらず対応が容易
認証にDi
認証にDigest認証を利用
認証を利用
リバースプロキシ


Apache
A
h 2.2
2 2 with
ith mod_shib
d hib
PerlによるCGI


URLの書き換え、利用可能な機能の限定
URLの書き換え
利用可能な機能の限定
LWP (the Livrary for WWW in Perl)を利用


コード量


47
Digest認証への対応が容易
g
メイン部分: 215ステップ
組織毎のID登録: 80ステップ
GET
401 Denied; WWW-Authenticate Digest
GET Authentication Digest
303 See Other; Set-cookie
GET; Cookie
ログイン状態は
Cookieで保持される
200 OK
GET
401 Denied; WWW-Authenticate Digest
GET Authentication Digest
303 See Other; Set-cookie
GET; Cookie
ログイン状態は
Cookieで保持される
200 OK
GET (IdP認証後)
組織名に対応する
IDを用いて認証
GET
401 D
Denied;
i d WWW
WWW-Auth
A th Digest
Di
t
GET Authentication Digest
303 S
See Oth
Other; Set-cookie
S t
ki
303 S
See Oth
Other; Set-cookie
S t
ki
GET; Cookie
GET; Cookie
200 OK
200 OK
Cookieをそのまま伝達することで端末がログイン状態を保持
49
SPにアクセスし
SPにアクセスし、
「予約・制御」をクリック
DSにリダイレクト
IdP (NII) を選択
50
予約状況が確認できる
「ログイン」をクリックし
認証を要求
51

複数のMCUを統一的に予約、制御





Tandberg Codian 4505
Polycom RMX 2000
XML APIを介したMCUへのアクセス
ユーザ単位の予約管理
ユーザ単位での権限委譲の仕組みを導入


52
秘書が予約して、教員が制御
教職員が予約して、学生が制御
53





収録サーバとの連携
配信サーバとの連携
skype GW との連携
他の会議システムのサポート
他大学のMCUとの連携
54
9
特に問題はない
38
機関外からアクセスを禁止している
67
認証連携のためのサーバの準備が困難
21
プライバシーやパスワード漏洩の可能性
その他
43
*数字は、回答機関数、複数回答可
55
・ウィルス・情報セキュリティとの問題
・他大学のポリシーに対して守れるか心配

サービス提供の背景

eduroamの普及(約50カ国、国内11機関)
d
の普及(約50カ国 国内11機関)



無線LANローミングサービスの需要は高い(非常に便利)
Livedoor-wirelessによるサービス提供開始(2010年3月)
認証への不安

所属組織で用いているアカウント名やパスワードの漏洩の可能性



http://eduroam.jp
本当に今見えているアクセスポイントは信頼できるのか?
全ての人にPKI証明書の確認を望めるのか?
プライバシーへの不安

所属組織や個人が特定可能な情報が第三者に見えてしまう


eduroamの仕組み上、見えてしまうのは避けられない
インシデント発生時は特定可能であること
→Shibboleth(SAML)の匿名性を利用した一時アカウント発行
の仕組みを実現
56

EduroamのRADIUS server treeとshibbolethの組合せ
実ID: [email protected]
仮名ID: KA8zveT3g
g
2010/03/01 18:10 @JP Server
[email protected]
eduroam
ワールドワイド
認証ネットワーク
(radius)
eduroam-ID: [email protected]
SAML連携
所属組織
IdP
仮名アカウント発行
SP
仮名 通知
通知
3)仮名ID通知
4)ID/PW通知
7)認証要求
upki.eduroam.jp
のradiusサ バ
のradiusサーバ
2)認証
認証
1)申請
57
仮名ID: KA8zveT3g
eduroam-ID: [email protected]
5)移動
6)接続要求
)

IdP



実IDと仮名ID(eduPersonTargetedID)との対応を管理
実IDと仮名ID(
d P
T
t dID)との対応を管理
仮名IDのみをSPに伝える
SP

仮名IDとeduroam-IDとの対応を管理




実ユーザは特定できないが、所属組織がわかってしまう
eduroamのアクセス履歴は把握不能
eduroam-IDのみをRADIUSサーバに伝える
RADIUSサーバ
RADIUSサ
バ

eduroam-IDによりアクセス可否の判定を行う


実ユーザも、所属組織も特定不能
eduroamのアクセス履歴は把握できる
→インシデント発生時は 情報を突き合わせることで特定可能
→インシデント発生時は、情報を突き合わせることで特定可能
58
ID体系: [email protected]
[Y]
[M]
[D]
[NN]
[S]
[L]
発行年西暦下一桁 [0-9A-Za-z]
発行月 [1-9A-C]
発効日 [1-9A-V]
[1 9A V]
同一発効日内での通し番号 [00~zz]
利用開始日 (発効日からのオフセット) [0-9A-Za-z]
有効期間 [0-9A-Za-z]
eduroam-IDの例
eduroam
IDの例
• [email protected]
• 2010年2月28日の05番目の発行
• 3月1日(発行日から1日後)から3日間有効
59
• 秘密の一方向関数 H(s)
( ) をあらかじめ共有
• パスワードを H(eduroam-id) とする
例:
– eduroam-ID: [email protected]
– パスワード: H([email protected])
(
@ p
jp )
→ “THC7KK7DRK”
60
61
まとめ

学術認証フェデレーションの発展のためには魅力ある
サ ビス フレ ムワ ク ビジネスモデルが不可欠
サービス、フレームワーク、ビジネスモデルが不可欠



学術サ ビスアクセスへのインフラとして
学術サービスアクセスへのインフラとして
よりよい研究教育環境を効果的に実現するための
仕組み(要素技術やフレームワーク)の開発




大学側(IdP)にとっての魅力
サービス提供側(SP)にとっての魅力
サ
ビス提供側(SP)にとっての魅力
参加コスト、運用コストの低減
サービス共有、マッシュアップによる効率化と利便性の向上
多様な
多様なサービスを容易に開発、利用できる枠組みへ
ビ を容
きる枠組
学術をとりまく様々な活動の活性化につなげていきたい
62