SAML準拠のShibbolethを活用した準拠を活用学術認証連携基盤の構築国立情報学研究所中村素典 htt // http://www.gakunin.jp/ k i j / Webアプリケーションへのシングル・サイン・オン（SSO）をセキをセキュアに実現するための学術向け分散型認証基盤実現するため学術向け分散型認証基盤  従来学認機関単位で分散大学A ID1/Pass1 ID2/Pass2 ID3/Pass3 ID/Pass eLearning Web メール電子 Journal 機関認証システムシステム • Webアプリ毎にIDを管理 ID管理コスト大 • Webアプリ毎にログイン作業ユーザは膨大なIDを管理 • 同一パスワード利用のリスク低セキュリティサイトからの漏えい 2 大学B 大学C SSO eLearning システム学内 Web メルメール電子 J Journal l 学外統一基準統基準で運用  セキュリティや個人情報保護法に配慮して認証・認可の情報交換を行うためのデータ形式セキュリティや個人情報保護法に配慮して，認証・認可の情報交換を行うためのデタ形式  標準団体OASISにより策定  米国EDUCAUSE／Internet2にて2000年に発足したオープンソースプロジェクト  http://shibboleth.internet2.edu/ SAMLによる認証連携方法として学術界ではデファクトスタンダード   米国、欧州でShibbolethによる学術認証フェデレーションが拡大米国、欧州でShibbolethによる学術認証フェデレションが拡大最新はVersion 2.2 (SAML 2.0準拠)   一部、古いSPはまだVersion 1.3を使用（徐々に、2.xへ移行中）ユーザ情報 LDAP, AD シボレス IdP SAML標準シボレス SP SAML通信のためのフィルターのようなもの 3 ID管理側（IdP）メリット      ID管理，ユーザサポート業務、セキュリティ教育の集約によるコスト削減 ID管理ザサポト業務セキリテ教育の集約によるスト削減 ID/PW送受信時の（サービスに依存しない）セキュリティ水準の向上大学など情報セキュリティ準拠，個人情報保護などへの対応シムレス（学内外）なアクセス管理システム統合シームレス（学内外）なアクセス管理システム統合サービス側（SP）メリット     ID管理からの解放，ユーザサポート業務の軽減 ID管理から解放ザサポト業務軽減ライセンス条件にそった適正な利用学術分野へのサービスのビジビリティの向上、素早いスタートアップサービス利用者メリット      4 多数のID/パスワード管理からの解放 IPアドレスに依存しないアクセス（自宅や出張先からもアクセスできる）ド自宅も個人情報の送信制御，匿名アクセス（所属機関として認証） SSOによる利便性向上，マッシュアップによるサービス連携への期待それぞれにメリットのある仕組みインシデント発生時の対応   多くのCSPはIP ド多くのCSPはIPアドレス全体に対してアクセス制限を行う全体に対しクセ制限を行う   プロキシ等で一つのIPアドレスを共有していると、CSP側で制御不能ユーザの特定と指導は大学側の責任ユザの特定と指導は大学側の責任 VPNを用いたリモートユーザサービス   VPN利用者の特定のための仕組みが必要（NATも問題）利用者特定仕組必要（問題）   VPNの運用は基盤センター、CSP契約は図書館なので連携も必要ライセンス契約でVPNアクセスを許可しないことがあるゲゲストに大学のIPアドレスを利用させられない学ドをされな   eduroam等では別のIPアドレス空間から割り当てコンテンツの利用者が少なくても全体での契約が必要ンテンツの利用者が少なくても全体での契約が必要   5 学部、研究室、研究グループといった単位で安く契約したいフェデレーション自体は学外リソース利用のためのものフェデレーションへの参加により     学内の統合認証システム構築を加速学内シテムのSSO化を加速学内システムのSSO化を加速シボレス化による学内の公開Webサービスのセキュリティレベルの向上  Webメール 6 グループウエア図書館システムリモートアクセスによる利用頻度の向上 SSOによるユーザエクスペリエンスの向上   論文を探して論文を取得して（読んで）論文を管理する認証連携によるディープなマッシュアップへ認証連携によるディプなマッシュアップへ 7 Microsoft DreamSpark   学生を対象にMSのソフトウエア開発環境を無償で提供するプログラム属性により大学構成員であり学生であることを確認    eduPersonTargetedID（SP毎に異なるハッシュ化された一意のID） g （毎異なるッシ化され意） eduPersonScopedAffiliation（例：[email protected]）運用フェデレーション参加24時間後には利用可能  8 IdP（所属機関） SP（リソース提供者） 9 アクセス承認属性情報 6 7 8 9 2 1 7 3 9 4 DS（ディスカバリサービス） 4 5 ユーザ 1 メタデタデータ登録配布（ダウンロード）登録配布（ダウンロード）フェデレーションによる信頼性の提供フデレションによる信頼性の提供 IdP（所属機関） SP（リソース提供者） 9 アクセス承認属性情報 6 7 8 9 2 1 7 Set Cookie 3 10 4 DS（ディスカバリサービス） 4 5 ユーザ 1 http://www.switch.ch/aai/demo/ より 11 SP B SP C SP A フェデレーションフデレションフェデレーションメタデータリポジトリ DS（ディスカバリサービス）エンティティメタデタメタデータ IdP A IdP B IdP C 自動ダウン自動ダウンロードするフェデレーションメタデータの信頼性は、フェデレーションのドするフデレションメタデタの信頼性は、フデレションの証明書で担保（事前に入手・検証し、事前にIdP/SPにインストール） 12 （検証は、別チャンネルで入手したfingerprintとの比較等による）フェデレーションメタデータ署名の情報エンティティメタデータ (IdP) IdPの情報・IdP１の情報・IdP２の情報・・・・・・・・・・・IdP１のID＝entityID ・利用する証明書・利用可能なプロトコル・組織情報・・・・・エンティティメタデータ(SP) SPの情報・SP１の情報・SP２の情報・・・・・・・・・・ 13 ・SP１のID＝entityID ・利用する証明書利用する証明書・利用可能なプロトコル・組織情報・・・・・国立情報学研究所プロジェクト参加機関 ②プロジェクト参加申請／承認機関責任者事務局（NII）加入者サーバ ④加入者の審査 ⑧証明書インストール ⑤TSVファイルのアップロード認証局証明書自動発行支援システム登録担当者加入者オープンドメイン認証局システムから直接加入者宛てに証明書を自動発行します。 14 ⑥ダウンロードURL通知（システム→加入者） ⑦証明書ダウンロード https://upki-portal.nii.ac.jp/docs/server  ユーザに対するSPの信頼性、暗号通信(SSL)   ユーザに対するIdPの信頼性、暗号通信(SSL)   アサーションの電子署名 IdPに対するSPの信頼性（接続の認証）   安全なID パスワドの入力安全なID、パスワードの入力 SPに対するIdPの信頼性（接続の認証）   安全なサビ利用安全なサービス利用アサーションの暗号化フェデレーションメタデータの信頼性（電子署名）  15 フェデレーションが認めたIdP/SP間のみでアクセス可能認 / 間ク能 front channel IdP Attribute Authority Attribute DB Browser SSO Profile https p https AuthN Engine SP Session Initiator DS Assertion Consumer SAML POST AuthN DB Username Password AuthN Shibboleth Module (mod shib) (mod_shib) LDAP/AD Form Shibboleth Daemon (shibd) Tomcat 16 back channel Web Resource # .htaccess AuthType shibboleth ShibR ShibRequireSession i S i On require valid-user Apache p / IIS ポート番号は443、4443、8443など IdP Shibboleth SP Shibboleth SAML LDAP handler.xml login.config attributefilter xml filter.xml attributemap xml map.xml Web App attribute attributeresolver.xml attribute attributepolicy.xml h d httpd relyingparty.xml 信頼 BackingFile shibboleth2. xml BackingFile リポジトリ 17 環境変数 http.conf .htaccess Access Controll SPは必要な属性を要求し、認可を行う。機関、ロールベースで認可が可能。属性内容 OrganizationName (o) 組織名 jaOrganizationName (jao) 組織名（日本語） OrganizationalUnit (ou) 組織内所属名称 jaOrganizationalUnit (jaou) 組織内所属名称（日本語） eduPersonPrincipalName (eppn) フェデレーション内の共通識別子 eduPersonTargetedID edu e so a geted フェデレーション内の匿名識別子フデレション内の匿名識別子 eduPersonAffiliation 職種(faculty, staff, student, member) eduPersonScopedAffiliation 職種（＠ドメイン名がついた形式） eduPersonEntitlement 資格 SurName (sn) 氏名（姓） jaSurName (jasn) 氏名（姓）（日本語） GivenName 氏名（名） jaGivenName 氏名（名）（日本語） displayName 氏名（表示名） jaDisplayName 氏名（表示名）（日本語） mail メールアドレス 18 SPごとに異なるハッシュ化された識別子（名寄せ防止） uApprove.jpプラグインユーザは送信する属性の選択が可能掲載場所： https://upki-portal.nii.ac.jp/docs/fed/technical/attribute  新規IdPの開拓と新規SPの開拓は、普及のための両輪    SPに対する魅力はIdPの数（機関数、アカウント数） IdPに対する魅力はSPの数（豊富なサービスの種類） NIIは学術認証フェデレーションの着実な運用を行うとともとともに、普及を加速するための支援を行う普及を加速するため支援を行う  事業化に向けてのフェデレーションの運用   普及を加速する仕組みの研究開発  19 学術ネ学術ネットワーク運営連携本部・認証作業部会、運用タスクフォースク運営連携本部認証作業部会運タク学術ネットワク研究開発センタ学術ネットワーク研究開発センター、認証ラボ認証ラボ（12月10日現在）在                  Science Direct / SCOPUS (Elsevier) 接続中 SpringerLink (Springer) Web of Knowledge / EndNote (Thomson Reuters)  PierOnline  Serials Solutions OvidSP (Ovid)  EBSCO RefWorks (ProQuest)  IEEE Pathology Images (Atlases)  HighWire Press DreamSpark (Microsoft)  … CiNii (NII) Fshare（大容量ファイル交換）サービス（NII） FaMCUs (テレビ会議多地点接続)サービス (NII) Eduroam Shib（eduroam用時アカウント発行）サビス（京大&NII） Eduroam-Shib（eduroam用一時アカウント発行）サービス（京大&NII）ゲスト用ネットワークアクセス認証（佐賀大学、広島大学）ファイル送信サービス（金沢大学） IMCデタリポジトリ（金沢大学） IMCデータリポジトリ（金沢大学）科学技術の学術情報共有のための双方向コミュニケーションサービス（山形大学） SecurityLearningシステム（NII） W bELS eLearningシステム（NII） WebELS L i シテム（NII） 20 最新情報：https://upki-portal.nii.ac.jp/docs/fed/participants 市民カウトと連携市民アカウントとの連携小学生の利用 MS Genevaとのコラボ Geneva 21 北欧Fed連盟での利用 O OpenIDとのコラボとボ http://www.internet2.edu/pubs/national_federations.pdf         スイス SWITCHaai：455 イギリス UK-FAM：219 アメリカ InCommon：140 フランス Fédération Éducation-Recherche ：123 フィンランド Haka：97 ノルウェー FEIDE：80 ドイツ DFN-AAI DFN AAI：60 デンマーク WAYF：26 https://refeds.terena.org/index.php/Federationsより(2010.11.30) 22 23 ・サイボウズガルーン２ 23 ＊ “https://wiki.internet2.edu/confluence/display/seas/Home”より引用    「グローバル ICT 基盤基盤のの進展」を踏まえた、新たな国際「産学」連携の仕組みの構築大学の「IdM Identity managementの managementの進展」を前提とした「産学連携による情報サービスコンテンツ・情報連携」体制の構築産学連携の場サービス(ICT) コンテンツ多様な業界を横断した情報サービスサービスフェデレーション情報サービス連携の「学術認証連携」学術認証連携」通信「教育連携」 J )」「ID ID属性連携属性連携( (i-Japan) サービス「研究連携」基盤構築への貢献コンソーシアム大学等 http://ictsfc org/ http://ictsfc.org/ 24 共同利用研究所大学情報センタ・図書館センタ「情報サービス「情報サビス連携」学術研究と高等教育の現場                  国立情報学研究所名古屋大学山形大学千葉大学京都大学広島大学金沢大学北海道大学筑波大学佐賀大学山口大学成城大学東邦大学三重大学日本大学旭川医科大学東京農大学（参加順）東京農工大学 25 （12月10日現在）総ID数総ID数≒30万ID ID 30万ID 旭川医科大学，東北大学，山形大学，福島大学，高エネルギー加速器研究機構，筑波大学，筑波技術大学，東邦大学東京大学東京業大学東京農大学お茶水女大学産東京大学，東京工業大学，東京農工大学，お茶の水女子大学，産業技術大学院大学，慶應義塾大学，愛知県立大学，鈴鹿工業高等専門学校，京都産業大学，大阪大学，徳島大学，愛媛大学，岡山大学，広島工業大学，九州大学，熊本大学姫路獨協大学，静岡大学，中部大学，福井大学，神戸大学，東京学芸大学，九州工業大学，京都女子大学，岩手大学，浜松医科大学，東京都医学研究機構，宮崎大学，南山大学，岐阜大学，鹿屋体育大学，京都工芸繊維大学，京都府立大学，高知大学，茨城大学，同志社大学，室蘭工業大学，金城学院大学，福井県立大学，北見工業大学，東京都市大学，北九州工業高等専門学校，島根大学，大阪教育大学最新情報：https://www.gakunin.jp/docs/fed/participants 山形大学の学術認証フェデレーションの取り組み国立情報学研究所‐UPKI 強固なセキュリティ研究者間コミュニティサービス（個人情報など） eduroam セキュリティボーダライン会計システム Radiusプロキシ業務情報の安全な管理システムシボレス認証 LDAP プロキシ図書館との連携 CiNii , Springerlink, ScienceDirect,, Web of Knowledge がシボレス認証で利用可 ⇒ 140人(運用後) 研究開発ＳＰの開発研究者情報システム業務系認証システム GakuNin 山形大学学術認証フェデレーション業務系システム成績・履修システムコンテンツ系３キャンパス５学部（運用ドメイン） × 米沢キャンパス工学部（試験運用ドメイン）学術系認証基盤（教育研究系サービス、全学生が利用可）相反 OIDの設計教育・研究等をシームレスに展開可能な環境研究コミュニティ CA 高度な認証連携を目指した研究開発 GakuNinと金沢大学統合認証基盤 GakuNin 金沢大学統合認証基盤（Shibboleth）  2つのSPを提供中 ◆ファイル送信サービス（GakuNin用） SP群（学内用） SP数14(2010/9/1現在在 SP （学内用） IdP （学内用） ※GakuNin用は別に用意 ◆非文献コンテンツ公開サービス（GakuNin用）非文献開（用）認証数 14,460/day(2010/4) ネットワークID 金沢大学ID 在籍者（教職員・学生）のみ学内ネットワーク接続目的自己申請 27 生涯生涯ID 個人情報・業務目的異なる利用範囲により、現在は適したIDを使い分け将来的には両IDの融合化を検討中ランダムに発行徳島大学における事例紹介学認 eK4 SP IdP IdP 運用フェド参加検討（サービス受容）学構成員学内構成員学外公開可能サビス検討サービス検討（サービス提供） Shibboleth PKI / LDAP パスワードネイティブSP群（新規Shibbolize）（Portal LMS etc）（Portal，LMS，etc） SP Shibbolize認証リバプロ(SP) （Shibbolize不可システム用フロントシステム）認証源/属性源実稼働中SP （従来稼働システム群）  Opengateとは、佐賀大学において開発・運用を行っているネットワーク利用者認証システムです。持ち込みPCや公開端末のネット用。みや開末ワーク利用認証を行い、ネットワークのサービスを利用者に提供します。佐賀大学の構成員約一万人の教職員や学生の他に、学外者の一時利用も可能です。 このOpengateを、Shibbolethによるシングルサインオン認証に対応させ、平成22年3月より全学で運用を開始しました。 各種情報システムもシングルサインオン(Shibboleth)に対応させたことで、再認証なしで利用することができるようになりました(図1)。一度のOpengateの認証でいろいろなサービスを利用可能 IdP 図書館ポータル図書館ポタル (SP) 教務システム (SP) 認証画面 Opengate O (SP) ポータルサイト (認証後に表示) DS … 利用者  佐賀大学では、連携する情報システムの中で、現在、以下の情報システムがシングルサインオン認証で利用可能です。  総合情報基盤センターポータル(図2)  図書館ポータル / 図書館蔵書検索  e-Learning システム  教職員グループウェア  利用者情報確認・変更サービス(図3)  研究業績データベース研究業績デタベス / 評価基礎情報データシステム評価基礎情報デタシステム  教務システム / 教務ポータル(図4) 図2: 基盤センターポータル図3: :利用者情報確認変更サービス図4: 教務ポータルラング eラーニングシステム (SP) 図1: Opengateと連携したシングルサインオンによるサービス提供 新たなOpengateは、シングルサインオン認証後にShibbolethよグ後り得られる利用者の属性情報をもとにして、任意のWebページを表示することが可能です。 このWebページを、学内で運用する情報システムのポータルサイトとすることで、各情報システムの利用が可能なります。連絡先: [email protected] 佐賀大学では、学術認証フェデレーション「学認」に参加することで、電子ジャーナルであるSpringerや、CiNiiなどの学外サービスを、シングルサインオンで利用することが可能となっています。 Opengateも「学認」に参加している組織の方であれば、自大学のIdPで認証することで、佐賀大学でのインターネットを利用することが可能です。佐賀大学にお越しの際は、是非ご利用ください。２００８年度年度２００９年度年度試行運用フェデレーション運用フデレシン運用フェデレーション２０１０年度以降年度以降本格運用運用フデレシン運用フェデレーション実アカウント利用実サービス提供実サビス提供テスト環境実証実験（技術検証） 27機関参加 30 IdP 18 SP（商用１） 30 昇格テストフェデレーション仮アカウント利用仮サービス提供昇格テストフェデレーション IdP 構築・VMイメージ利用 VMイメジ利用・貴学で構築申請学術認証フェデレーション 31 サーバ証明書設置入手申込構築サーバ証明書入手メタデタデータ接続テスト運用フェデレーションへの接続運用参加申請設置申込運用フェデレーション運用フェデレション運用参加申請メタデータテストフェデレションレーションへの接続運用メタデタデータテストテストフェデレーションテストフェデレション UPKI オープンドメイン認証局申請 SP テストフェデレーションへの接続メタデータテスト接続トテスト運用フェデレションへレーションへの接続運用  学認事務システム   テストフェデレーション 1. 2. 3.  学認への参加申請，メタデータ登録・更新等を1つのシステムでオ学認への参加申請メタデータ登録・更新等を1つのシステムでオンラインで扱うシステム匿名での申請情報登録（およびアカウント作成）事務局での参加承認フェデレーションメタデータの自動更新デデ運用フェデレーションの場合は？  32 オフラインによる確認が1ステプ増えるだけオフラインによる確認が1ステップ増えるだけ通常一日で参加完参加完了利用開始可能申請開始ログイン申請内容を学認事務システムに入力・提出．同時にアカウントの作成申請内容の事務局によるチェック OK メール通知申請PDFを出力し，運用責任者から自署・押印をもらい事務局宛に郵送郵送認証作業部会による承認 Fed.メタデータの更新承認メール通知利用開始 33 NG メール通知 5 6 7 8 9 10 11 12 1 2 TFメンバー設置＆権限委譲利用規約改定システム運用基準V1.1公開 Gakunin本格運用開始 Gakuninロゴ確定  実証実験・試行運用（UPKI-Fed）  認証作業部会による方針決定   北大，東北大，東大，名大，京大，阪大，九大，東工大，高エネ研，NII 本格運用（GakuNin）  認証作業部会下にフェデレーションTFを設置し，権限を委譲  参加機関の情報基盤センター，図書館などからの，より広い実地メンバーで構成 TFによりフェデレーションの進め方を検討りデ進め方を検討 34 3 日時 35 名称会場 5月20日 ITRC研究会 GakuNin現状と参加説明 NICT 6月3,4日 NIIオープンハウス GakuNinブース出展 NII 6月29日 Sunmedia学術情報ソリューションセミナー GakuNin説明大阪 7月02日 Sunmedia学術情報ソリューションセミナー GakuNin説明六本木 7月7,8日シボレスIdP, SP研修会 NII 7月15日第７回国立大学法人情報系センター協議会海洋大学 7月19日- IEEE SAINT GakuNinブース出展ソウル 7月28日 e-Learningワールド GakuNinブース出展東京ビックサイト 9月09日第5回情報系センター研究交流・連絡会議第5回情報系センタ研究交流連絡会議和歌山 9月16,17日シボレスIdP, SP研修会 NII 9月27,28日 TOPICネットワーク担当職員研修会岩手 10月7,9日シボレスIdP, SP研修会 NII 11月01日 11月01日- I t Internet2 t2 Fall F ll Meeting M ti 出展アトランタ 11月15,16日シボレスIdP, SP研修会 NII（募集中） 11月24日- 図書館総合展パシフィコ横浜 11月10日（SINET）オープンフォーラム NII 11月～12月 SINET4説明会札幌，東京，名古屋，京都，福岡 12月10日情報処理学会CLE研究会京都 1月11, 12日シボレスIdP, SP研修会 NII 1月20, 21日シボレスIdP, SP研修会 NII 3月学認シンポジウム NII   昨年度までは，NII情報処理軽井沢セミナーにて研修本年度からは，NII講習システムを用いて実施  6月14，15日デモ講習会実施    7月8 9日大学向け講習会１ 7月8，9日大学向け講習会      定員20名，一般企業から参加 11月15 16日大学向け講習会２ 11月15，16日大学向け講習会   定員16名大学ITセンター，一般企業から参加 10月7，9日企業向け   16名参加（約40名の応募の中から選定） 9月16，17日大学，企業向け   15名参加（定員のため募集締め切り）大学ITセンター，一般企業から参加定員16名で実施 1月11，12日大学向け講習会３ 1月20 21日大学，企業向け 1月20，21日大学企業向け 1月24，25日大学，企業向け（追加予定）大学向け研修会詳細 http://www.nii.ac.jp/hrd/ja/joho-karuizawa/index.html 大学＋企業向け研修会 https://upki-portal.nii.ac.jp/docs/news/fed/20101022 h // ki l ii j /d / /f d/20101022 36  e-Contents        電子ジャーナル電子ジャナル電子書籍電子メール電子メル  WebMail メーリングリスト転送スパム対策コラボレションコラボレーション     37  Video Conferencing Web Conferencing g Content Sharing Webcasting e-Learning         CMS LMS ソフトウェア提供スケジュール管理・調整無線LANローミング無線ミングストレージクラウド e-Science  など GRID 電子ジャーナル電子書籍 4 33 e‐Learning（他機関から提供されるサービス） 17 91 e‐Learning（民間企業から提供されるサービス） 67 e‐Learning（機関内へ提供するサービス） 75 40 e‐Learning（他機関へ提供するサービスとして）ソフトウェア配布（他機関から提供されるサービス） 36 ソフトウェア配布（民間企業から提供されるサービス） 74 37 ソフトウェア配布（機関内へ提供するサービス）ソフトウェア配布（他機関へ提供するサービス） 41 49 遠隔講義・遠隔会議システム（他機関から提供されるサービス）遠隔講義・遠隔会議システム（民間企業から提供されるサービス） 57 38 24 14 28 40 46 遠隔講義・遠隔会議システム（機関内へ提供するサービス）遠隔講義・遠隔会議システム（他機関へ提供するサービス）参加各機関による研究成果の公開電子メールやオンラインストレージなどのクラウドサービスとの連携学務情報システム人事給与・財務会計システム *数字は、回答機関数、複数回答可 38 その他・就活サイト,SNS,無線LAN  国際標準H.323によるプロトコル共通化   ISDN接続からインターネット接続への移行    数Mbpsでハイビジョン品質資料共有も可能(H.239) 端末の低価格化、性能向上   ネットワークの広帯域化、低コストに実現可能映像品質の向上   特定メーカに依存しないオープンシステム専用端末は映像・音響性能が優れている移動にかかる時間と費用の削減（エコ） 39  多地点接続が容易でない   ３地点以上の接続にはMCU（多地点接続装置）が必要端末内蔵のMCUもあるけれど      接続可能な拠点数が少ない（４～６拠点）が十分な品質が得られない（ソフトウェア処理）低品質な拠点の影響を受ける（出力を共用）きめ細かな制御が困難・不可能多地点接続専用の機器も提供されているが   40 高価にもかかわらず利用頻度が高くない発展途上（陳腐化が早い）   MCUを複数機関で共用し、利用頻度を向上 MCU共用のための課題  予約   必要としている人が予約できる、いたずら防止独占防止利機会均等化利用機会の均等化  優先制御   既存システムとの共存   予約・制御用APIの標準化予約制御用APIの標準化費用の分担  41 所有機関に優先利用権を与えたい制度設計  Tandberg Codian MCU 4505     12地点まで接続可能ハイビジョン対応(720p, 30fps) スケジュール予約機能を持つスケジュル予約機能を持つシボレス化の要件（できるだけ簡単な試験実装）   シボレス認証できる人のみ予約制御が可能シボレス認証できる人のみ予約・制御が可能テレビ会議実施時は認証不要（アクセスコード等利用） IdP 認証情報 SP Shibboleth 認証代表者 A大学 ConferenceMe f M （NAT越え可） C 移動先接続制御 NII 予約・制御接続接続予約情報の通知 B大学  システムの改修  WebサーバをShibbolethに対応させる    WebアプリケーションをShibbolethに対応させる    Apache, IISであればモジュールが用意されているサバの機能で認可判断を行うだけならこれだけでOK サーバの機能で認可判断を行うだけなら、これだけでOK 既存のユーザ管理情報とのマッピング処理のしかけが必要ヒモ付け不要であれば、Shibbolethからの属性情報のみで制御リバースプロキシの導入（SPが改修できない場合）リバスプロキシの導入（SPが改修できない場合）  ユーザを区別した処理が不要なら、認可判断のみなので簡単   ユーザの区別のためには、プロキシにも従来ID/PWを保持させ、マッピング処理を行う  43 Apacheのプロキシ機能で解決 pac eのプキシ機能で解決プロキシの作り込みが必要  一般にSSO対応はリバースプロキシで実現  リバースプロキシの両側のアカウントマッピングがポイントシボレスアカウントによるアクセス認証属性情報ユーザザ MCUローカルアカウントによるアクセス認証 ID / パスワードリバースプロキシリキシ実サーバ実サ (MCU) 専用ハードウェアなので改変は困難アカウントのマッピング同時アクセスの提供同時ク提供 44  「職種」が「教職員」の場合のみ予約可   staff、faculty 等（student 以外）「組織名」が同一の場合に   予約の変更が可能 MCUの制御が可能     拠点ごとのミュート（音声、映像）画面レイアウトの変更端末の呼出切断端末の呼出、切断「組織名」が異なる場合に  45 予約の存在を見せない  シボレスに対応   URLの書き換えができること     リクエストに含まれるURL レスポンスに含まれるURL MCUの認証機構に対応できること MCUに新規ID/PWを追加できること   アクセス時に属性情報が取得可能であること組織毎にIDを用意しマッピングを管理 MCUの利用範囲に制約を与えられること  46 リンク先の変更やパラメータの書き換え  利用するMCU  Tandberg Codian MCU 4505    JavaやActiveX等を用いておらず対応が容易認証にDi 認証にDigest認証を利用認証を利用リバースプロキシ   Apache A h 2.2 2 2 with ith mod_shib d hib PerlによるCGI   URLの書き換え、利用可能な機能の限定 URLの書き換え利用可能な機能の限定 LWP (the Livrary for WWW in Perl)を利用   コード量   47 Digest認証への対応が容易 g メイン部分: 215ステップ組織毎のID登録: 80ステップ GET 401 Denied; WWW-Authenticate Digest GET Authentication Digest 303 See Other; Set-cookie GET; Cookie ログイン状態は Cookieで保持される 200 OK GET 401 Denied; WWW-Authenticate Digest GET Authentication Digest 303 See Other; Set-cookie GET; Cookie ログイン状態は Cookieで保持される 200 OK GET (IdP認証後) 組織名に対応する IDを用いて認証 GET 401 D Denied; i d WWW WWW-Auth A th Digest Di t GET Authentication Digest 303 S See Oth Other; Set-cookie S t ki 303 S See Oth Other; Set-cookie S t ki GET; Cookie GET; Cookie 200 OK 200 OK Cookieをそのまま伝達することで端末がログイン状態を保持 49 SPにアクセスし SPにアクセスし、「予約・制御」をクリック DSにリダイレクト IdP (NII) を選択 50 予約状況が確認できる「ログイン」をクリックし認証を要求 51  複数のMCUを統一的に予約、制御      Tandberg Codian 4505 Polycom RMX 2000 XML APIを介したMCUへのアクセスユーザ単位の予約管理ユーザ単位での権限委譲の仕組みを導入   52 秘書が予約して、教員が制御教職員が予約して、学生が制御 53      収録サーバとの連携配信サーバとの連携 skype GW との連携他の会議システムのサポート他大学のMCUとの連携 54 9 特に問題はない 38 機関外からアクセスを禁止している 67 認証連携のためのサーバの準備が困難 21 プライバシーやパスワード漏洩の可能性その他 43 *数字は、回答機関数、複数回答可 55 ・ウィルス・情報セキュリティとの問題・他大学のポリシーに対して守れるか心配  サービス提供の背景  eduroamの普及（約５０カ国、国内１１機関） d の普及（約５０カ国国内１１機関）    無線LANローミングサービスの需要は高い（非常に便利） Livedoor-wirelessによるサービス提供開始（２０１０年３月）認証への不安  所属組織で用いているアカウント名やパスワードの漏洩の可能性    http://eduroam.jp 本当に今見えているアクセスポイントは信頼できるのか？全ての人にPKI証明書の確認を望めるのか？プライバシーへの不安  所属組織や個人が特定可能な情報が第三者に見えてしまう   eduroamの仕組み上、見えてしまうのは避けられないインシデント発生時は特定可能であること →Shibboleth(SAML)の匿名性を利用した一時アカウント発行の仕組みを実現 56  EduroamのRADIUS server treeとshibbolethの組合せ実ID: [email protected] 仮名ID: KA8zveT3g g 2010/03/01 18:10 @JP Server [email protected] eduroam ワールドワイド認証ネットワーク (radius) eduroam-ID: [email protected] SAML連携所属組織 IdP 仮名アカウント発行 SP 仮名通知通知 3)仮名ID通知 4)ID/PW通知 7)認証要求 upki.eduroam.jp のradiusサバのradiusサーバ 2)認証認証 1)申請 57 仮名ID: KA8zveT3g eduroam-ID: [email protected] 5)移動 6)接続要求 )  IdP    実IDと仮名ID(eduPersonTargetedID)との対応を管理実IDと仮名ID( d P T t dID)との対応を管理仮名IDのみをSPに伝える SP  仮名IDとeduroam-IDとの対応を管理     実ユーザは特定できないが、所属組織がわかってしまう eduroamのアクセス履歴は把握不能 eduroam-IDのみをRADIUSサーバに伝える RADIUSサーバ RADIUSサバ  eduroam-IDによりアクセス可否の判定を行う   実ユーザも、所属組織も特定不能 eduroamのアクセス履歴は把握できる →インシデント発生時は情報を突き合わせることで特定可能 →インシデント発生時は、情報を突き合わせることで特定可能 58 ID体系: [email protected] [Y] [M] [D] [NN] [S] [L] 発行年西暦下一桁 [0-9A-Za-z] 発行月 [1-9A-C] 発効日 [1-9A-V] [1 9A V] 同一発効日内での通し番号 [00～zz] 利用開始日 (発効日からのオフセット) [0-9A-Za-z] 有効期間 [0-9A-Za-z] eduroam-IDの例 eduroam IDの例 • [email protected] • 2010年2月28日の05番目の発行 • 3月1日(発行日から1日後)から3日間有効 59 • 秘密の一方向関数 H(s) ( ) をあらかじめ共有 • パスワードを H(eduroam-id) とする例： – eduroam-ID: [email protected] – パスワード: H(“[email protected]”) ( @ p jp ) → “THC7KK7DRK” 60 61 まとめ  学術認証フェデレーションの発展のためには魅力あるサビスフレムワクビジネスモデルが不可欠サービス、フレームワーク、ビジネスモデルが不可欠    学術サビスアクセスへのインフラとして学術サービスアクセスへのインフラとしてよりよい研究教育環境を効果的に実現するための仕組み（要素技術やフレームワーク）の開発     大学側(IdP)にとっての魅力サービス提供側(SP)にとっての魅力サビス提供側(SP)にとっての魅力参加コスト、運用コストの低減サービス共有、マッシュアップによる効率化と利便性の向上多様な多様なサービスを容易に開発、利用できる枠組みへビを容きる枠組学術をとりまく様々な活動の活性化につなげていきたい 62