SAML準拠のShibbolethを活用した 学術認証連携基盤の構築 · 3 4 5 9 4...
62
SAML準拠のShibbolethを活用した 学術認証連携基盤の構築 国立情報学研究所 中村素典 htt // k i j/ http://www.gakunin.jp/
Transcript of SAML準拠のShibbolethを活用した 学術認証連携基盤の構築 · 3 4 5 9 4...
SAML準拠のShibbolethを活用した準拠 を活用学術認証連携基盤の構築
国立情報学研究所 中村素典
htt // k i j /http://www.gakunin.jp/
Webアプリケーションへのシングル・サイン・オン(SSO)をセキ 実現するため 学術向け分散型認証基盤をセキュアに実現するための学術向け分散型認証基盤
従来 学認
大学A 大学B大学C
機関単位で分散
Webメール
電子Journal
eLearningシステム
ID1/Pass1 ID2/Pass2 ID3/Pass3
機関認証システム
ID/Pass
• Webアプリ毎にIDを管理ID管理コスト大 Web
メ ル電子
J leLearning システム
SSOSSO
統一基準• Webアプリ毎にログイン作業
ユーザは膨大なIDを管理
• 同一パスワード利用のリスク
メール Journalシステム
学内 学外
統 基準で運用
2
低セキュリティサイトからの漏えい
セキュリティや個人情報保護法に配慮して 認証・認可の情報交換を行うためのデータ形式 セキュリティや個人情報保護法に配慮して,認証・認可の情報交換を行うためのデ タ形式
標準団体OASISにより策定
米国EDUCAUSE/Internet2にて2000年に発足したオープンソースプロジェクト 米国EDUCAUSE/Internet2にて2000年に発足したオープンソースプロジェクト
http://shibboleth.internet2.edu/ SAMLによる認証連携方法として学術界ではデファクトスタンダード
米国、欧州でShibbolethによる学術認証フェデレーションが拡大 米国、欧州でShibbolethによる学術認証フェデレ ションが拡大
最新はVersion 2.2 (SAML 2.0準拠) 一部、古いSPはまだVersion 1.3を使用(徐々に、2.xへ移行中)
シボ
シボ
ユーザ情報LDAP, AD
レスIdP
レスSP
SAML標準
3SAML通信のためのフィルターのようなもの
ID管理側(IdP)メリットID管理 ザサポ ト業務 セキ リテ 教育の集約による スト削減 ID管理,ユーザサポート業務、セキュリティ教育の集約によるコスト削減
ID/PW送受信時の(サービスに依存しない)セキュリティ水準の向上 大学など情報セキュリティ準拠,個人情報保護などへの対応
シ ムレス(学内外)なアクセス管理システム統合 シームレス(学内外)なアクセス管理システム統合
サービス側(SP)メリットID管理から 解放 ザサポ ト業務 軽減 ID管理からの解放,ユーザサポート業務の軽減
ライセンス条件にそった適正な利用 学術分野へのサービスのビジビリティの向上、素早いスタートアップ
サービス利用者メリット 多数のID/パスワード管理からの解放
ド 自宅 も IPアドレスに依存しないアクセス(自宅や出張先からもアクセスできる) 個人情報の送信制御,匿名アクセス(所属機関として認証) SSOによる利便性向上,マッシュアップによるサービス連携への期待
4 それぞれにメリットのある仕組み
インシデント発生時の対応多くのCSPはIP ド 全体に対し クセ 制限を行う 多くのCSPはIPアドレス全体に対してアクセス制限を行う プロキシ等で一つのIPアドレスを共有していると、CSP側で制御不能
ユーザの特定と指導は大学側の責任 ユ ザの特定と指導は大学側の責任
VPNを用いたリモートユーザサービス VPN利用者の特定のための仕組みが必要(NATも問題)利用者 特定 仕組 必要( 問題)
VPNの運用は基盤センター、CSP契約は図書館なので連携も必要
ライセンス契約でVPNアクセスを許可しないことがある
ゲ 学 ド を さ れな ゲストに大学のIPアドレスを利用させられない eduroam等では別のIPアドレス空間から割り当て
ンテンツの利用者が少なくても全体での契約が必要 コンテンツの利用者が少なくても全体での契約が必要 学部、研究室、研究グループといった単位で安く契約したい
5
フェデレーション自体は学外リソース利用のためのもの
フェデレーションへの参加により
学内の統合認証システム構築を加速
学内シ テムのSSO化を加速 学内システムのSSO化を加速
シボレス化による学内の公開Webサービスのセキュリティレベルの向上セキュリティレベルの向上
Webメール グループウエア 図書館システム
6
リモートアクセスによる利用頻度の向上
SSOによるユーザエクスペリエンスの向上
論文を探して 論文を取得して(読んで) 論文を管理する
認証連携によるディープなマッシュアップへ7
認証連携によるディ プなマッシュアップへ
Microsoft DreamSpark 学生を対象にMSのソフトウエア開発環境を無償で提供するプログラム 学生を対象にMSのソフトウエア開発環境を無償で提供するプログラム
属性により大学構成員であり学生であることを確認
eduPersonTargetedID(SP毎に異なるハッシュ化された一意のID)g ( 毎 異なる ッシ 化され 意 )
eduPersonScopedAffiliation(例:[email protected])
運用フェデレーション参加24時間後には利用可能
8
SP(リソース提供者)IdP(所属機関)9アクセス承認
126 79
8
属性情報
アクセス承認
29
7
34
5
9 DS(ディスカバリサービス) ユーザ
3
14
メタデ タ
登録 登録データ
登録 登録
配布(ダウンロード)
配布(ダウンロード)
フェデレーションによる信頼性の提供
SP(リソース提供者)IdP(所属機関)9アクセス承認
フ デレ ションによる信頼性の提供
126 79
8
属性情報
アクセス承認
29
7
34
5Set Cookie
10 DS(ディスカバリサービス) ユーザ
3
14
11
http://www.switch.ch/aai/demo/ より
SP B SP C
フェデレーション
SP A
フェデレーション
DS(ディスカバリサービス)
リポジトリ
フ デレ ションメタデータ
エンティティメタデ タ
IdP A
メタデータ
IdP A
IdP BIdP C
自動ダウンロードするフェデレーションメタデータの信頼性は、フェデレーションの
12
自動ダウン ドするフ デレ ションメタデ タの信頼性は、フ デレ ションの証明書 で担保(事前に入手・検証し、事前にIdP/SPにインストール)
(検証は、別チャンネルで入手したfingerprintとの比較等による)
フェデレーションメタデータ
署名の情報エンティティメタデータ (IdP)
IdPの情報
・IdP1の情報
・IdP1のID=entityID・利用する証明書・利用可能なプロトコル
・IdP2の情報・・・・・・・・・・
・利用可能なプロトコル・組織情報
・・・・・
SPの情報 ・SP1のID=entityID利用する証明書
エンティティメタデータ(SP)
・SP1の情報・SP2の情報
・・・・・
・利用する証明書・利用可能なプロトコル・組織情報
13
・・・・・ ・・・・・
プロジェクト参加機関国立情報学研究所
機関責任者②プロジェクト参加申請/承認
事務局(NII)加入者サーバ
④加入者の審査
⑧証明書インストール
認証局 ⑤TSVファイルのアップロード
加入者
登録担当者証明書自動発行
支援システム
オープンドメイン認証局
⑥ダウンロードURL通知 (システム→加入者)
⑦証明書ダウンロードシステムから直接加入者宛てに証明書を自
14
者宛てに証明書を自動発行します。
https://upki-portal.nii.ac.jp/docs/server
ユーザに対するSPの信頼性、暗号通信(SSL)安全なサ ビ 利用 安全なサービス利用
ユーザに対するIdPの信頼性、暗号通信(SSL)安全なID パスワ ドの入力 安全なID、パスワードの入力
SPに対するIdPの信頼性(接続の認証) SPに対するIdPの信頼性(接続の認証) アサーションの電子署名
IdPに対するSPの信頼性(接続の認証) IdPに対するSPの信頼性(接続の認証) アサーションの暗号化
フェデレーションメタデータの信頼性(電子署名) フェデレーションが認めたIdP/SP間のみでアクセス可能
15
認 / 間 ク 能
front channel
IdP SPBrowser
front channel
SessionInitiator DS
AttributeAuthority SSO
WebResource
https
Assertion ConsumerSAML POST
Authority ProfileAttribute
DB
p
https # .htaccessAuthType shibbolethShibR i S iSAML POST
AuthNEngine Username
Password ApacheShibboleth Module
(mod shib)
ShibRequireSessionOn
require valid-user
Shibboleth
PasswordAuthN
Form
p/ IISAuthN
DB
LDAP/AD
(mod_shib)
Daemon(shibd)
Form
Tomcat
LDAP/AD
16 ポート番号は443、4443、8443などback channel
IdP Shibboleth SP Shibboleth 環境変数
attribute-filter xml
attribute-map xml
SAMLWebApp
環境変数
attribute- attribute-
filter.xml map.xml
h d
App
LDAPattribute
resolver.xmlattributepolicy.xml httpd
http.confrelying-
party.xmlshibboleth2.
xml信頼
http.conf.htaccess
Accessl
handler.xmllogin.config
BackingFileBackingFile BackingFileBackingFileControl
17
リポジトリ
属性 内容
SPは必要な属性を要求し、認可を行う。機関、ロールベースで認可が可能。
属性 内容
OrganizationName (o) 組織名
jaOrganizationName (jao) 組織名(日本語)
OrganizationalUnit (ou) 組織内所属名称uApprove.jpプラグイン
SPごとに異なるハッシュ化された識別子
(名寄せ防止)OrganizationalUnit (ou) 組織内所属名称
jaOrganizationalUnit (jaou) 組織内所属名称(日本語)
eduPersonPrincipalName (eppn) フェデレーション内の共通識別子
eduPersonTargetedID フェデレーション内の匿名識別子edu e so a geted フ デレ ション内の匿名識別子
eduPersonAffiliation 職種(faculty, staff, student, member)
eduPersonScopedAffiliation 職種(@ドメイン名がついた形式)
eduPersonEntitlement 資格
SurName (sn) 氏名(姓)
jaSurName (jasn) 氏名(姓)(日本語)
GivenName 氏名(名)
jaGivenName 氏名(名)(日本語)
displayName 氏名(表示名)
jaDisplayName 氏名(表示名)(日本語)
18 掲載場所: https://upki-portal.nii.ac.jp/docs/fed/technical/attribute
mail メールアドレス ユーザは送信する属性の選択が可能
新規IdPの開拓と新規SPの開拓は、普及のための両輪
SPに対する魅力はIdPの数(機関数、アカウント数)
IdPに対する魅力はSPの数(豊富なサービスの種類)
NIIは学術認証フェデレーションの着実な運用を行うととも 普及を加速するため 支援を行うとともに、普及を加速するための支援を行う
事業化に向けてのフェデレーションの運用
学術ネ ク運営連携本部 認証作業部会 運 タ ク 学術ネットワーク運営連携本部・認証作業部会、運用タスクフォース
普及を加速する仕組みの研究開発
学術ネットワ ク研究開発センタ 認証ラボ 学術ネットワーク研究開発センター、認証ラボ
19
在
Science Direct / SCOPUS (Elsevier) SpringerLink (Springer)
(12月10日現在)
接続中 SpringerLink (Springer) Web of Knowledge / EndNote (Thomson Reuters) OvidSP (Ovid) RefWorks (ProQuest)
PierOnline Serials Solutions EBSCO RefWorks (ProQuest)
Pathology Images (Atlases) DreamSpark (Microsoft) CiNii (NII)
EBSCO IEEE HighWire Press CiNii (NII)
Fshare(大容量ファイル交換)サービス(NII) FaMCUs (テレビ会議多地点接続)サービス (NII) Eduroam Shib(eduroam用 時アカウント発行)サ ビス(京大&NII)
…
Eduroam-Shib(eduroam用一時アカウント発行)サービス(京大&NII) ゲスト用ネットワークアクセス認証(佐賀大学、広島大学)
ファイル送信サービス(金沢大学)
IMCデ タリポジトリ(金沢大学) IMCデータリポジトリ(金沢大学)
科学技術の学術情報共有のための双方向コミュニケーションサービス(山形大学)
SecurityLearningシステム(NII)W bELS L i シ テム(NII)
20
WebELS eLearningシステム(NII)最新情報:https://upki-portal.nii.ac.jp/docs/fed/participants
市民 カウ トと 連携
北欧Fed連盟での利用
市民アカウントとの連携
小学生の利用
MS GenevaMS Genevaとのコラボ OO と ボMS Genevaとのコラボ OpenIDとのコラボ
http://www.internet2.edu/pubs/national_federations.pdf 21
スイス SWITCHaai:455 イギリス UK-FAM:219 アメリカ InCommon:140 フランス Fédération Éducation-Recherche :123 フィンランド Haka:97 フィンランド Haka:97 ノルウェー FEIDE:80 ドイツ DFN AAI:60 ドイツ DFN-AAI:60 デンマーク WAYF:26
https://refeds.terena.org/index.php/Federationsより(2010.11.30)
22
23
* “https://wiki.internet2.edu/confluence/display/seas/Home”より引用
23・サイボウズ ガルーン2
23
「グローバルグローバル ICT ICT 基盤基盤のの進展進展」を踏まえた、新たな国際「産学」連携の仕組みの構築
大学の「IdMIdM Identity managementIdentity managementのの進展進展」を前提とした「産学連携による情報サービス連携」体制の構築
コンテンツ・情報サービス(ICT)産学連携の場
多様な業界を横断した情報サービス連携の「IDID属性連携属性連携((ii J )J )
フェデレーション「学術認証連携」
コンテンツサービス
通信
情報サービス
「IDID属性連携属性連携((ii--Japan)Japan)」」基盤構築への貢献
学術認証連携」「教育連携」「研究連携」
通信サービス
コンソーシアム「情報サ ビス大学等
大学情報センタ・図書館センタ
「情報サービス連携」
共同利用研究所
大学等
http://ictsfc org/24 学術研究と高等教育の現場
書館センタ書館センタhttp://ictsfc.org/
国立情報学研究所
名古屋大学 ID総ID数 30万ID(12月10日現在)
名古屋大学
山形大学
千葉大学
京都大学
総ID数≒30万ID
京都大学
広島大学
金沢大学
北海道大学
旭川医科大学,東北大学,山形大学,福島大学,高エネルギー加速器研究機構,筑波大学,筑波技術大学,東邦大学
東京大学 東京 業大学 東京農 大学 お茶 水女 大学 産 北海道大学
筑波大学
佐賀大学
山口大学
東京大学,東京工業大学,東京農工大学,お茶の水女子大学,産業技術大学院大学,慶應義塾大学,愛知県立大学,鈴鹿工業高等専門学校,京都産業大学,大阪大学,徳島大学,愛媛大学,岡山大学,広島工業大学,九州大学,熊本大学
山口大学
成城大学
東邦大学
三重大学
姫路獨協大学,静岡大学,中部大学,福井大学,神戸大学,東京学芸大学,九州工業大学,京都女子大学,岩手大学,浜松医
三重大学
日本大学
旭川医科大学
東京農 大学
科大学,東京都医学研究機構,宮崎大学,南山大学,岐阜大学,鹿屋体育大学,京都工芸繊維大学,京都府立大学,高知大学,茨城大学,同志社大学,室蘭工業大学,金城学院大学,福井県立大学,北見工業大学,東京都市大学,北九州工業高等専門学
25
東京農工大学
最新情報:https://www.gakunin.jp/docs/fed/participants
校,島根大学,大阪教育大学(参加順)
山形大学の学術認証フェデレーションの取り組み
国立情報学研究所‐UPKI研究者間コミュニティサービス
eduroam GakuNin
コンテンツ系
図書館との連携
強固なセキュリティ(個人情報など)
業務系システム
図書館との連携
CiNii , Springerlink,ScienceDirect,
山形大学学術認証フェデレーション
セキュリテ
シボレス認証Radiusプロキシ
成績・履修システム
,Web of Knowledge がシボレス認証で利用可
⇒ 140人(運用後)ティボーダ
Radiusプロキシ
会計システム 研究開発
SPの開発 OIDの設計
LDAPプロキシ
ライン3キャンパス
5学部(運用ドメイン)
米沢キャンパス工学部
(試験運用ドメイン)
研究者情報システム
SPの開発 OIDの設計
(運用ドメイン) (試験運用ドメイン)
学術系認証基盤(教育研究系サービス、全学生が利用可)
業務系認証システム × CA研究コミュニティ
業務情報の安全な管理システム
教育・研究等をシームレスに展開可能な環境
相反高度な認証連携を目指した研究開発
GakuNinと金沢大学統合認証基盤
金沢大学統合認証基盤(Shibboleth)GakuNinGakuNin
2つのSPを提供中
SP群(学内用)
◆ファイル送信サービス(GakuNin用)
2つのSPを提供中
在SP数14(2010/9/1現在(学内用)
SP(学内用)
IdP(学内用)
◆非文献コンテンツ公開サービス(GakuNin用) ※GakuNin用は別に用意
ネットワークID在籍者(教職員・学生)のみ
金沢大学ID生涯
非文献 開 ( 用)
14,460/day(2010/4)認証数14,460/day(2010/4)
学内ネットワーク接続目的
自己申請
生涯ID個人情報・業務目的
ランダムに発行
27異なる利用範囲により、現在は適したIDを使い分け
将来的には両IDの融合化を検討中
徳島大学における事例紹介徳島大学における事例紹介
学 構成員学認
学内構成員学認
eK4学外公開可能サ ビス検討
IdP
SP サービス検討(サービス提供)運用フェド
参加検討(サービス受容)
IdP Shibboleth
IdP
SP
ネイティブSP群
(新規Shibbolize)(Portal LMS etc)
Shibbolize認証リバプロ(SP)(Shibbolize不可システム用フロントシステム)
PKI / LDAPパスワード
(Portal,LMS,etc) 用フロントシステム)
認証源/属性源
(従来稼働システム群)実稼働中SP
Opengateとは、佐賀大学において開発・運用を行っているネットワーク利用者認証システムです。持ち込みPCや公開端末のネット
佐賀大学では、連携する情報システムの中で、現在、以下の情報システムがシングルサインオン認証で利用可能です。用 。 み や 開 末
ワーク利用認証を行い、ネットワークのサービスを利用者に提供します。佐賀大学の構成員約一万人の教職員や学生の他に、学外者の一時利用も可能です。
このOpengateを、Shibbolethによるシングルサインオン認証に対応させ、平成22年3月より全学で運用を開始しました。
総合情報基盤センターポータル(図2) 図書館ポータル / 図書館蔵書検索 e-Learning システム 教職員グループウェア 利用者情報確認・変更サービス(図3) 研究業績デ タベ ス / 評価基礎情報デ タシステム
対応させ、平成22年3月より全学で運用を開始しました。
各種情報システムもシングルサインオン(Shibboleth)に対応させたことで、再認証なしで利用することができるようになりました(図1)。
図書館ポ タルIdP一度のOpengateの認証で
研究業績データベース / 評価基礎情報データシステム 教務システム / 教務ポータル(図4)
図書館ポータル(SP)
eラーニング
教務システム(SP)
IdP
O
いろいろなサービスを利用可能
認証画面
図2: 基盤センターポータル
図4: 教務ポータル図3: :利用者情報確認変更サービス
グ 後
図1: Opengateと連携したシングルサインオンによるサービス提供
利用者
ラ ングシステム
(SP)…
Opengate(SP)
ポータルサイト(認証後に表示)
DS
佐賀大学では、学術認証フェデレーション「学認」に参加することで、電子ジャーナルであるSpringerや、CiNiiなどの学外サービスを、シングルサインオンで利用することが可能となっています。
新たなOpengateは、シングルサインオン認証後にShibbolethより得られる利用者の属性情報をもとにして、任意のWebページを表示することが可能です。
このWebページを、学内で運用する情報システムのポータルサイトとすることで、各情報システムの利用が可能なります。
を、シングルサインオンで利用することが可能となっています。
Opengateも「学認」に参加している組織の方であれば、自大学のIdPで認証することで、佐賀大学でのインターネットを利用することが可能です。佐賀大学にお越しの際は、是非ご利用ください。
連絡先: [email protected]
2008年度 2009年度 2010年度以降年度 年度 年度以降
本格運用
運用フ デレ シ ン
試行運用フェデレーション
運用フ デレ シ ン運用フェデレーション
実アカウント利用
実サービス提供
運用フェデレーション
テスト環境昇格
実サ ビス提供
昇格
実証実験 テストフェデレーション
仮アカウント利用(技術検証)
テストフェデレーション
仮サービス提供27機関参加30 IdP18 SP(商用1)
30
18 SP(商用1)
IdP 構築VMイメ ジ利用
テストフェデ 接続 運用フェデ・VMイメージ利用・貴学で構築
レーションへの接続
接続テスト レーションへ
の接続
運用
サーバ証明書
メタデ タ
メタデ タテスト
申請 証明書入手 設置
申込
データ運用参加申請
データテスト
運用フェデレーションテストフェデレーション学術認証 運用フェデレ ションテストフェデレ ション学術認証フェデレーション
UPKI オープンドメイン認証局
サーバ証明書
設置申込
参加申請 運用
SP構築
テストフェデレ ション
接続ト
運用フェデレ ションへ 運用
申請証明書入手 メタ
データテスト
参加申請 運用
メタデータ
構築 レーションへの接続
テスト レーションへの接続
運用
31
学認事務システム 学認への参加申請 メタデータ登録・更新等を1つのシステムでオ 学認への参加申請,メタデータ登録・更新等を1つのシステムでオ
ンラインで扱うシステム
テストフェデレーション テストフェデレーション1. 匿名での申請情報登録(およびアカウント作成)2. 事務局での参加承認
デ デ通常一日で参加完3. フェデレーションメタデータの自動更新 参加完了
利用開始可能
運用フェデレーションの場合は?オフラインによる確認が1ステ プ増えるだけ オフラインによる確認が1ステップ増えるだけ
32
ログイン申請開始
申請内容を学認事務システムに入力・提出.同時にアカウントの作成
申請内容の事務局によるチェック
申請内容の事務局によるチェック
NGメール通知
申請PDFを出力し,運用責任者から自署・押印をもらい事務局宛に郵送
OK メール通知
郵送
認証作業部会による承認認証作業部会による承認Fed.メタデータの更新
承認メール通知
利用開始
33
利用開始
5 6 7 8 9 10 11 12 1 2 35 6 7 8 9 10 11 12 1 2 3
TFメンバー設置&権限委譲
利用規約改定
システム運用基準V1.1公開
Gakunin本格運用開始
Gakuninロゴ確定
実証実験・試行運用(UPKI-Fed) 認証作業部会による方針決定
北大,東北大,東大,名大,京大,阪大,九大,東工大,高エネ研,NII
本格運用(GakuNin) 本格運用(GakuNin) 認証作業部会下にフェデレーションTFを設置し,権限を委譲
参加機関の情報基盤センター,図書館などからの,より広い実地メンバーで構成
り デ 進め方を検討
34
TFによりフェデレーションの進め方を検討
日時 名称 会場
5月20日 ITRC研究会 GakuNin現状と参加説明 NICT
6月3,4日 NIIオープンハウス GakuNinブース出展 NII
6月29日 Sunmedia学術情報ソリューションセミナー GakuNin説明 大阪
7月02日 Sunmedia学術情報ソリューションセミナー GakuNin説明 六本木
7月7,8日 シボレスIdP, SP研修会 NII
7月15日 第7回国立大学法人情報系センター協議会 海洋大学
7月19日- IEEE SAINT GakuNinブース出展 ソウル
7月28日 e-Learningワールド GakuNinブース出展 東京ビックサイト
9月09日 第5回情報系センター研究交流・連絡会議 和歌山9月09日 第5回情報系センタ 研究交流 連絡会議 和歌山
9月16,17日 シボレスIdP, SP研修会 NII
9月27,28日 TOPICネットワーク担当職員研修会 岩手
10月7,9日 シボレスIdP, SP研修会 NII
11月01日 I t t2 F ll M ti 出展 アトランタ11月01日- Internet2 Fall Meeting 出展 アトランタ
11月15,16日 シボレスIdP, SP研修会 NII(募集中)
11月24日- 図書館総合展 パシフィコ横浜
11月10日 (SINET)オープンフォーラム NII
11月~12月 SINET4説明会 札幌,東京,名古屋,京都,福岡
12月10日 情報処理学会CLE研究会 京都
1月11, 12日 シボレスIdP, SP研修会 NII
1月20, 21日 シボレスIdP, SP研修会 NII
35
3月 学認シンポジウム NII
昨年度までは,NII情報処理軽井沢セミナーにて研修
本年度からは,NII講習システムを用いて実施 本年度からは,NII講習システムを用いて実施 6月14,15日 デモ講習会実施
15名参加(定員のため募集締め切り)
大学ITセンター,一般企業から参加
7月8 9日 大学向け講習会 7月8,9日 大学向け講習会1 16名参加(約40名の応募の中から選定)
9月16,17日 大学,企業向け 定員16名 定員16名
大学ITセンター,一般企業から参加
10月7,9日 企業向け 定員20名,一般企業から参加
11月15 16日 大学向け講習会 11月15,16日 大学向け講習会2 定員16名で実施
1月11,12日 大学向け講習会3
1月20 21日 大学 企業向け 1月20,21日 大学,企業向け
1月24,25日 大学,企業向け(追加予定)
大学向け研修会詳細 http://www.nii.ac.jp/hrd/ja/joho-karuizawa/index.html大学+企業向け研修会 h // ki l ii j /d / /f d/20101022
36
大学+企業向け研修会 https://upki-portal.nii.ac.jp/docs/news/fed/20101022
e-Contents電子ジャ ナル
e-Learning CMS 電子ジャーナル
電子書籍
電子メール
CMS LMS
ソフトウェア提供 電子メ ル WebMail メーリングリスト
ソフトウェア提供
スケジュール管理・調整
無線LANローミング 転送
スパム対策
コラボレ ション
無線 ミング
ストレージ
クラウド コラボレーション Video Conferencing Web Conferencing
e-Science GRIDg
Content Sharing Webcasting
など
37
電子ジャーナル
電子書籍
91
67
33 17
4電子書籍
e‐Learning(他機関から提供されるサービス)
e‐Learning(民間企業から提供されるサービス)
e‐Learning(機関内へ提供するサービス)
75
36
40e‐Learning(他機関へ提供するサービスとして)
ソフトウェア配布(他機関から提供されるサービス)
ソフトウェア配布(民間企業から提供されるサービス)
74
4941
37ソフトウェア配布(機関内へ提供するサービス)
ソフトウェア配布(他機関へ提供するサービス)
遠隔講義・遠隔会議システム(他機関から提供されるサービス)49
38
284640
2414
57遠隔講義・遠隔会議システム(民間企業から提供されるサービス)
遠隔講義・遠隔会議システム(機関内へ提供するサービス)
遠隔講義・遠隔会議システム(他機関へ提供するサービス)
14参加各機関による研究成果の公開
電子メールやオンラインストレージなどのクラウドサービスとの連携
学務情報システム
38
人事給与・財務会計システム
その他*数字は、回答機関数、複数回答可
・就活サイト,SNS,無線LAN
国際標準H.323によるプロトコル共通化
特定メーカに依存しないオープンシステム
ISDN接続からインターネット接続への移行
ネットワークの広帯域化、低コストに実現可能
映像品質の向上
数Mbpsでハイビジョン品質
資料共有も可能(H.239) 端末の低価格化、性能向上
専用端末は映像・音響性能が優れている
移動にかかる時間と費用の削減(エコ)
39
多地点接続が容易でない
3地点以上の接続にはMCU(多地点接続装置)が必要
端末内蔵のMCUもあるけれど
が 接続可能な拠点数が少ない(4~6拠点)
十分な品質が得られない(ソフトウェア処理)
低品質な拠点の影響を受ける(出力を共用) 低品質な拠点の影響を受ける(出力を共用)
きめ細かな制御が困難・不可能
多地点接続専用の機器も提供されているが 多地点接続専用の機器も提供されているが
高価にもかかわらず利用頻度が高くない
発展途上(陳腐化が早い) 発展途上(陳腐化が早い)
40
MCUを複数機関で共用し、利用頻度を向上
MCU共用のための課題
予約
必要としている人が予約できる、いたずら防止
独占防止
利 機会 均等化利用機会の均等化
優先制御
所有機関に優先利用権を与えたい 所有機関に優先利用権を与えたい
既存システムとの共存
予約・制御用APIの標準化 予約 制御用APIの標準化
費用の分担
制度設計
41
Tandberg Codian MCU 450512地点まで接続可能 12地点まで接続可能
ハイビジョン対応(720p, 30fps) スケジュール予約機能を持つ スケジュ ル予約機能を持つ
シボレス化の要件(できるだけ簡単な試験実装) シボレス認証できる人のみ予約・制御が可能 シボレス認証できる人のみ予約 制御が可能
テレビ会議実施時は認証不要(アクセスコード等利用)
認証情報 C f MIdP SP認証情報
Shibboleth 移動先接続
ConferenceMeIdP SP制御 (NAT越え可)
NII予約・制御認証
接続
接続
代表者 予約情報の通知接続代表者
A大学B大学
予約情報の通知
システムの改修
WebサーバをShibbolethに対応させる
Apache, IISであればモジュールが用意されている
サ バの機能で認可判断を行うだけなら これだけでOK サーバの機能で認可判断を行うだけなら、これだけでOK WebアプリケーションをShibbolethに対応させる
既存のユーザ管理情報とのマッピング処理のしかけが必要 既存のユーザ管理情報とのマッピング処理のしかけが必要
ヒモ付け不要であれば、Shibbolethからの属性情報のみで制御
リバースプロキシの導入(SPが改修できない場合) リバ スプロキシの導入(SPが改修できない場合)
ユーザを区別した処理が不要なら、認可判断のみなので簡単
Apacheのプロキシ機能で解決pac eのプ キシ機能で解決
ユーザの区別のためには、プロキシにも従来ID/PWを保持させ、マッピング処理を行う
43
プロキシの作り込みが必要
一般にSSO対応はリバースプロキシで実現
リバースプロキシの両側のアカウントマッピングがポイント
シボレスアカウントによるアクセス認証
MCUローカルアカウントによるアクセス認証
ユーザ リバースプロキシ 実サーバ
属性情報 ID / パスワード
ザ リ キシ 実サ(MCU)
専用ハードウェア
アカウントのマッピング
同時アクセスの提供
なので改変は困難
44
同時 ク 提供
「職種」が「教職員」の場合のみ予約可
staff、faculty 等(student 以外)
「組織名」が同一の場合に
予約の変更が可能
MCUの制御が可能
拠点ごとのミュート(音声、映像)
画面レイアウトの変更
端末の呼出 切断 端末の呼出、切断
「組織名」が異なる場合に
予約の存在を見せない 予約の存在を見せない
45
シボレスに対応
アクセス時に属性情報が取得可能であること
URLの書き換えができること
リクエストに含まれるURL レスポンスに含まれるURL
MCUの認証機構に対応できること
MCUに新規ID/PWを追加できること
組織毎にIDを用意しマッピングを管理
MCUの利用範囲に制約を与えられること
リンク先の変更やパラメータの書き換え
46
利用するMCU Tandberg Codian MCU 4505
JavaやActiveX等を用いておらず対応が容易
認証にDi 認証を利用 認証にDigest認証を利用
リバースプロキシ
A h 2 2 ith d hib Apache 2.2 with mod_shib PerlによるCGI
URLの書き換え 利用可能な機能の限定 URLの書き換え、利用可能な機能の限定
LWP (the Livrary for WWW in Perl)を利用
Digest認証への対応が容易g コード量
メイン部分: 215ステップ
47
組織毎のID登録: 80ステップ
GET
401 Denied; WWW-Authenticate Digest
GET Authentication Digest
303 See Other; Set-cookie
GET; Cookie
200 OKログイン状態はCookieで保持される
GET
401 Denied; WWW-Authenticate Digest
GET Authentication Digest
303 See Other; Set-cookie
GET; Cookie
200 OKログイン状態はCookieで保持される
GET (IdP認証後) GET
401 D i d WWW A th Di t401 Denied; WWW-Auth Digest
GET Authentication Digest
303 S Oth S t ki303 S Oth S t ki
組織名に対応するIDを用いて認証
303 See Other; Set-cookie303 See Other; Set-cookie
GET; Cookie
200 OK
GET; Cookie
200 OK
49
200 OK 200 OK
Cookieをそのまま伝達することで端末がログイン状態を保持
SPにアクセスしSPにアクセスし、「予約・制御」をクリック
DSにリダイレクトIdP (NII) を選択
50
予約状況が確認できる
「ログイン」をクリックし認証を要求
51
複数のMCUを統一的に予約、制御
Tandberg Codian 4505 Polycom RMX 2000
XML APIを介したMCUへのアクセス
ユーザ単位の予約管理
ユーザ単位での権限委譲の仕組みを導入
秘書が予約して、教員が制御
教職員が予約して、学生が制御
52
53
収録サーバとの連携
配信サーバとの連携
skype GW との連携
他の会議システムのサポート
他大学のMCUとの連携 他大学のMCUとの連携
54
938
9特に問題はない
67
機関外からアクセスを禁止している
認証連携のためのサーバの準備が困難
21プライバシーやパスワード漏洩の可能性
43
その他
・ウィルス・情報セキュリティとの問題・他大学のポリシーに対して守れるか心配
*数字は、回答機関数、複数回答可
55
サービス提供の背景d の普及(約50カ国 国内11機関) eduroamの普及(約50カ国、国内11機関) 無線LANローミングサービスの需要は高い(非常に便利)
Livedoor-wirelessによるサービス提供開始(2010年3月)
http://eduroam.jp
認証への不安 所属組織で用いているアカウント名やパスワードの漏洩の可能性
本当に今見えているアクセスポイントは信頼できるのか? 本当に今見えているアクセスポイントは信頼できるのか?
全ての人にPKI証明書の確認を望めるのか?
プライバシーへの不安所属組織や個人が特定可能な情報が第三者に見えてしまう 所属組織や個人が特定可能な情報が第三者に見えてしまう eduroamの仕組み上、見えてしまうのは避けられない
インシデント発生時は特定可能であること
→Shibboleth(SAML)の匿名性を利用した一時アカウント発行の仕組みを実現
56
の仕組みを実現
EduroamのRADIUS server treeとshibbolethの組合せ
実ID: [email protected]仮名ID: KA8zveT3g
2010/03/01 18:10 @JP [email protected]
eduroamワールドワイド
認証ネットワークg(radius)
eduroam-ID: [email protected]
所属組織IdP
仮名アカウント発行SP
仮名 通知 通知
SAML連携
IdP SP3)仮名ID通知
認証
4)ID/PW通知
upki.eduroam.jpのradiusサ バ
7)認証要求
仮名ID: KA8zveT3geduroam-ID: [email protected])申請
2)認証
6)接続要求
のradiusサーバ
57 5)移動
)
IdP実IDと仮名ID( d P T t dID)との対応を管理 実IDと仮名ID(eduPersonTargetedID)との対応を管理
仮名IDのみをSPに伝える
SP SP 仮名IDとeduroam-IDとの対応を管理
実ユーザは特定できないが、所属組織がわかってしまう
eduroamのアクセス履歴は把握不能
eduroam-IDのみをRADIUSサーバに伝える
RADIUSサーバ RADIUSサ バ eduroam-IDによりアクセス可否の判定を行う
実ユーザも、所属組織も特定不能
eduroamのアクセス履歴は把握できる
→インシデント発生時は 情報を突き合わせることで特定可能
58
→インシデント発生時は、情報を突き合わせることで特定可能
ID体系: [email protected][Y] 発行年西暦下一桁 [0-9A-Za-z][M] 発行月 [1-9A-C][D] 発効日 [1 9A V][D] 発効日 [1-9A-V][NN] 同一発効日内での通し番号 [00~zz][S] 利用開始日 (発効日からのオフセット) [0-9A-Za-z][L] 有効期間 [0-9A-Za-z]
eduroam IDの例eduroam-IDの例
• [email protected]• 2010年2月28日の05番目の発行• 2010年2月28日の05番目の発行
• 3月1日(発行日から1日後)から3日間有効
59
• 秘密の一方向関数 H(s) をあらかじめ共有( )• パスワードを H(eduroam-id) とする
例:
– eduroam-ID: [email protected]– パスワード: H(“[email protected]”)( @ p jp )
→ “THC7KK7DRK”
60
61
まとめまとめまとめまとめ
学術認証フェデレーションの発展のためには魅力あるサ ビス フレ ムワ ク ビジネスモデルが不可欠サービス、フレームワーク、ビジネスモデルが不可欠 大学側(IdP)にとっての魅力
サービス提供側(SP)にとっての魅力 サ ビス提供側(SP)にとっての魅力
学術サービスアクセスへのインフラとして 学術サ ビスアクセスへのインフラとしてよりよい研究教育環境を効果的に実現するための仕組み(要素技術やフレームワーク)の開発 参加コスト、運用コストの低減
サービス共有、マッシュアップによる効率化と利便性の向上
多様な ビ を容 きる枠組 多様なサービスを容易に開発、利用できる枠組みへ
学術をとりまく様々な活動の活性化につなげていきたい62
学術をとりまく様々な活動の活性化につなげていきたい
![5面図登録 - daitec.jp · 5面図登録 その1 絵柄を登録する図面の作成 1 CADWe'll Tfas メニューバー 空調/衛生-[機器登録]-[5面図登録]-[登録用図面作成]](https://static.fdocument.pub/doc/165x107/601eed619104733f9419dbbb/5eceoe-5eceoe-1-cceoeeoe-1-cadwell.jpg)
