Comments
Description
Transcript
SAML準拠のShibbolethを活用した 準拠 を活用
SAML準拠のShibbolethを活用した 準拠 を活用 学術認証連携基盤の構築 国立情報学研究所 中村素典 htt // http://www.gakunin.jp/ k i j / Webアプリケーションへのシングル・サイン・オン(SSO) をセキ をセキュアに実現するための学術向け分散型認証基盤 実現するため 学術向け分散型認証基盤 従来 学認 機関単位で分散 大学A ID1/Pass1 ID2/Pass2 ID3/Pass3 ID/Pass eLearning Web メール 電子 Journal 機関認証 システム システム • Webアプリ毎にIDを管理 ID管理コスト大 • Webアプリ毎にログイン作業 ユーザは膨大なIDを管理 • 同一パスワード利用のリスク 低セキュリティサイトからの漏えい 2 大学B 大学C SSO eLearning システム 学内 Web メ ル メール 電子 J Journal l 学外 統一基準 統 基準 で運用 セキュリティや個人情報保護法に配慮して 認証・認可の情報交換を行うためのデータ形式 セキュリティや個人情報保護法に配慮して,認証・認可の情報交換を行うためのデ タ形式 標準団体OASISにより策定 米国EDUCAUSE/Internet2にて2000年に発足したオープンソースプロジェクト http://shibboleth.internet2.edu/ SAMLによる認証連携方法として学術界ではデファクトスタンダード 米国、欧州でShibbolethによる学術認証フェデレーションが拡大 米国、欧州でShibbolethによる学術認証フェデレ ションが拡大 最新はVersion 2.2 (SAML 2.0準拠) 一部、古いSPはまだVersion 1.3を使用(徐々に、2.xへ移行中) ユーザ情報 LDAP, AD シ ボ レ ス IdP SAML標準 シ ボ レ ス SP SAML通信のためのフィルターのようなもの 3 ID管理側(IdP)メリット ID管理,ユーザサポート業務、セキュリティ教育の集約によるコスト削減 ID管理 ザサポ ト業務 セキ リテ 教育の集約による スト削減 ID/PW送受信時の(サービスに依存しない)セキュリティ水準の向上 大学など情報セキュリティ準拠,個人情報保護などへの対応 シ ムレス(学内外)なアクセス管理システム統合 シームレス(学内外)なアクセス管理システム統合 サービス側(SP)メリット ID管理からの解放,ユーザサポート業務の軽減 ID管理から 解放 ザサポ ト業務 軽減 ライセンス条件にそった適正な利用 学術分野へのサービスのビジビリティの向上、素早いスタートアップ サービス利用者メリット 4 多数のID/パスワード管理からの解放 IPアドレスに依存しないアクセス(自宅や出張先からもアクセスできる) ド 自宅 も 個人情報の送信制御,匿名アクセス(所属機関として認証) SSOによる利便性向上,マッシュアップによるサービス連携への期待 それぞれにメリットのある仕組み インシデント発生時の対応 多くのCSPはIP ド 多くのCSPはIPアドレス全体に対してアクセス制限を行う 全体に対し クセ 制限を行う プロキシ等で一つのIPアドレスを共有していると、CSP側で制御不能 ユーザの特定と指導は大学側の責任 ユ ザの特定と指導は大学側の責任 VPNを用いたリモートユーザサービス VPN利用者の特定のための仕組みが必要(NATも問題) 利用者 特定 仕組 必要( 問題) VPNの運用は基盤センター、CSP契約は図書館なので連携も必要 ライセンス契約でVPNアクセスを許可しないことがある ゲ ゲストに大学のIPアドレスを利用させられない 学 ド を さ れな eduroam等では別のIPアドレス空間から割り当て コンテンツの利用者が少なくても全体での契約が必要 ンテンツの利用者が少なくても全体での契約が必要 5 学部、研究室、研究グループといった単位で安く契約したい フェデレーション自体は学外リソース利用のためのもの フェデレーションへの参加により 学内の統合認証システム構築を加速 学内シ テムのSSO化を加速 学内システムのSSO化を加速 シボレス化による学内の公開Webサービスの セキュリティレベルの向上 Webメール 6 グループウエア 図書館システム リモートアクセスによる利用頻度の向上 SSOによるユーザエクスペリエンスの向上 論文を探して 論文を取得して(読んで) 論文を管理する 認証連携によるディープなマッシュアップへ 認証連携によるディ プなマッシュアップへ 7 Microsoft DreamSpark 学生を対象にMSのソフトウエア開発環境を無償で提供するプログラム 属性により大学構成員であり学生であることを確認 eduPersonTargetedID(SP毎に異なるハッシュ化された一意のID) g ( 毎 異なる ッシ 化され 意 ) eduPersonScopedAffiliation(例:[email protected]) 運用フェデレーション参加24時間後には利用可能 8 IdP(所属機関) SP(リソース提供者) 9 アクセス承認 属性 情報 6 7 8 9 2 1 7 3 9 4 DS(ディスカバリサービス) 4 5 ユーザ 1 メタ デ タ データ 登録 配布 (ダウンロード) 登録 配布 (ダウンロード) フェデレーションによる信頼性の提供 フ デレ ションによる信頼性の提供 IdP(所属機関) SP(リソース提供者) 9 アクセス承認 属性 情報 6 7 8 9 2 1 7 Set Cookie 3 10 4 DS(ディスカバリサービス) 4 5 ユーザ 1 http://www.switch.ch/aai/demo/ より 11 SP B SP C SP A フェデレーション フ デレ ション フェデレーション メタデータ リポジトリ DS(ディスカバリサービス) エンティティ メタデ タ メタデータ IdP A IdP B IdP C 自動ダウン 自動ダウンロードするフェデレーションメタデータの信頼性は、フェデレーションの ドするフ デレ ションメタデ タの信頼性は、フ デレ ションの 証明書 で担保(事前に入手・検証し、事前にIdP/SPにインストール) 12 (検証は、別チャンネルで入手したfingerprintとの比較等による) フェデレーションメタデータ 署名の情報 エンティティメタデータ (IdP) IdPの情報 ・IdP1の情報 ・IdP2の情報 ・・・・・ ・・・・・ ・IdP1のID=entityID ・利用する証明書 ・利用可能なプロトコル ・組織情報 ・・・・・ エンティティメタデータ(SP) SPの情報 ・SP1の情報 ・SP2の情報 ・・・・・ ・・・・・ 13 ・SP1のID=entityID ・利用する証明書 利用する証明書 ・利用可能なプロトコル ・組織情報 ・・・・・ 国立情報学研究所 プロジェクト参加機関 ②プロジェクト参加申請/承認 機関責任者 事務局(NII) 加入者サーバ ④加入者の審査 ⑧証明書 インストール ⑤TSVファイルの アップロード 認証局 証明書自動発行 支援システム 登録担当者 加入者 オープンドメイン 認証局 システムから直接加入 者宛てに証明書を自 動発行します。 14 ⑥ダウンロードURL通知 (システム→加入者) ⑦証明書ダウンロード https://upki-portal.nii.ac.jp/docs/server ユーザに対するSPの信頼性、暗号通信(SSL) ユーザに対するIdPの信頼性、暗号通信(SSL) アサーションの電子署名 IdPに対するSPの信頼性(接続の認証) 安全なID パスワ ドの入力 安全なID、パスワードの入力 SPに対するIdPの信頼性(接続の認証) 安全なサ ビ 利用 安全なサービス利用 アサーションの暗号化 フェデレーションメタデータの信頼性(電子署名) 15 フェデレーションが認めたIdP/SP間のみでアクセス可能 認 / 間 ク 能 front channel IdP Attribute Authority Attribute DB Browser SSO Profile https p https AuthN Engine SP Session Initiator DS Assertion Consumer SAML POST AuthN DB Username Password AuthN Shibboleth Module (mod shib) (mod_shib) LDAP/AD Form Shibboleth Daemon (shibd) Tomcat 16 back channel Web Resource # .htaccess AuthType shibboleth ShibR ShibRequireSession i S i On require valid-user Apache p / IIS ポート番号は443、4443、8443など IdP Shibboleth SP Shibboleth SAML LDAP handler.xml login.config attributefilter xml filter.xml attributemap xml map.xml Web App attribute attributeresolver.xml attribute attributepolicy.xml h d httpd relyingparty.xml 信頼 BackingFile shibboleth2. xml BackingFile リポジトリ 17 環境変数 http.conf .htaccess Access Controll SPは必要な属性を要求し、認可を行う。機関、ロールベースで認可が可能。 属性 内容 OrganizationName (o) 組織名 jaOrganizationName (jao) 組織名(日本語) OrganizationalUnit (ou) 組織内所属名称 jaOrganizationalUnit (jaou) 組織内所属名称(日本語) eduPersonPrincipalName (eppn) フェデレーション内の共通識別子 eduPersonTargetedID edu e so a geted フェデレーション内の匿名識別子 フ デレ ション内の匿名識別子 eduPersonAffiliation 職種(faculty, staff, student, member) eduPersonScopedAffiliation 職種(@ドメイン名がついた形式) eduPersonEntitlement 資格 SurName (sn) 氏名(姓) jaSurName (jasn) 氏名(姓)(日本語) GivenName 氏名(名) jaGivenName 氏名(名)(日本語) displayName 氏名(表示名) jaDisplayName 氏名(表示名)(日本語) mail メールアドレス 18 SPごとに異なる ハッシュ化された識別子 (名寄せ防止) uApprove.jpプラグイン ユーザは送信する属性の選択が可能 掲載場所: https://upki-portal.nii.ac.jp/docs/fed/technical/attribute 新規IdPの開拓と新規SPの開拓は、普及のための両輪 SPに対する魅力はIdPの数(機関数、アカウント数) IdPに対する魅力はSPの数(豊富なサービスの種類) NIIは学術認証フェデレーションの着実な運用を行う ととも とともに、普及を加速するための支援を行う 普及を加速するため 支援を行う 事業化に向けてのフェデレーションの運用 普及を加速する仕組みの研究開発 19 学術ネ 学術ネットワーク運営連携本部・認証作業部会、運用タスクフォース ク運営連携本部 認証作業部会 運 タ ク 学術ネットワ ク研究開発センタ 学術ネットワーク研究開発センター、認証ラボ 認証ラボ (12月10日現在) 在 Science Direct / SCOPUS (Elsevier) 接続中 SpringerLink (Springer) Web of Knowledge / EndNote (Thomson Reuters) PierOnline Serials Solutions OvidSP (Ovid) EBSCO RefWorks (ProQuest) IEEE Pathology Images (Atlases) HighWire Press DreamSpark (Microsoft) … CiNii (NII) Fshare(大容量ファイル交換)サービス(NII) FaMCUs (テレビ会議多地点接続)サービス (NII) Eduroam Shib(eduroam用 時アカウント発行)サ ビス(京大&NII) Eduroam-Shib(eduroam用一時アカウント発行)サービス(京大&NII) ゲスト用ネットワークアクセス認証(佐賀大学、広島大学) ファイル送信サービス(金沢大学) IMCデ タリポジトリ(金沢大学) IMCデータリポジトリ(金沢大学) 科学技術の学術情報共有のための双方向コミュニケーションサービス(山形大学) SecurityLearningシステム(NII) W bELS eLearningシステム(NII) WebELS L i シ テム(NII) 20 最新情報:https://upki-portal.nii.ac.jp/docs/fed/participants 市民 カウ トと 連携 市民アカウントとの連携 小学生の利用 MS Genevaとのコラボ Geneva 21 北欧Fed連盟での利用 O OpenIDとのコラボ と ボ http://www.internet2.edu/pubs/national_federations.pdf スイス SWITCHaai:455 イギリス UK-FAM:219 アメリカ InCommon:140 フランス Fédération Éducation-Recherche :123 フィンランド Haka:97 ノルウェー FEIDE:80 ドイツ DFN-AAI DFN AAI:60 デンマーク WAYF:26 https://refeds.terena.org/index.php/Federationsより(2010.11.30) 22 23 ・サイボウズ ガルーン2 23 * “https://wiki.internet2.edu/confluence/display/seas/Home”より引用 「グローバル ICT 基盤 基盤の の進展」を踏まえた、新たな国際 「産学」連携の仕組みの構築 大学の「IdM Identity managementの managementの進展」を前提とした 「産学連携による情報サービス コンテンツ・情報 連携」体制の構築 産学連携の場 サービス(ICT) コンテンツ 多様な業界を横断した 情報 サービス サービス フェデレーション 情報サービス連携の 「学術認証連携」 学術認証連携」 通信 「教育連携」 J )」 「ID ID属性連携 属性連携( (i-Japan) サービス 「研究連携」 基盤構築への貢献 コンソーシアム 大学等 http://ictsfc org/ http://ictsfc.org/ 24 共同利用 研究所 大学情報 センタ・図 書館センタ 「情報サービス 「情報サ ビス 連携」 学術研究と高等教育の現場 国立情報学研究所 名古屋大学 山形大学 千葉大学 京都大学 広島大学 金沢大学 北海道大学 筑波大学 佐賀大学 山口大学 成城大学 東邦大学 三重大学 日本大学 旭川医科大学 東京農 大学 (参加順) 東京農工大学 25 (12月10日現在) 総ID数 総ID数≒30万ID ID 30万ID 旭川医科大学,東北大学,山形大学,福島大学,高 エネルギー加速器研究機構,筑波大学,筑波技術大学,東邦大学 東京大学 東京 業大学 東京農 大学 お茶 水女 大学 産 東京大学,東京工業大学,東京農工大学,お茶の水女子大学,産 業技術大学院大学,慶應義塾大学,愛知県立大学,鈴鹿工業高等 専門学校,京都産業大学,大阪大学,徳島大学,愛媛大学,岡山 大学,広島工業大学,九州大学,熊本大学 姫路獨協大学,静岡大学,中部大学,福井大学,神戸大学,東 京学芸大学,九州工業大学,京都女子大学,岩手大学,浜松医 科大学,東京都医学研究機構,宮崎大学,南山大学,岐阜大学, 鹿屋体育大学,京都工芸繊維大学,京都府立大学,高知大学, 茨城大学,同志社大学,室蘭工業大学,金城学院大学,福井県 立大学,北見工業大学,東京都市大学,北九州工業高等専門学 校,島根大学,大阪教育大学 最新情報:https://www.gakunin.jp/docs/fed/participants 山形大学の学術認証フェデレーションの取り組み 国立情報学研究所‐UPKI 強固なセキュリティ 研究者間コミュニティサービス (個人情報など) eduroam セキュリティボーダライン 会計システム Radiusプロキシ 業務情報の安全 な管理システム シボレス認証 LDAP プロキシ 図書館との連携 CiNii , Springerlink, ScienceDirect,, Web of Knowledge が シボレス認証で利用可 ⇒ 140人(運用後) 研究開発 SPの開発 研究者情報 システム 業務系認証システム GakuNin 山形大学学術認証フェデレーション 業務系システム 成績・履修 システム コンテンツ系 3キャンパス 5学部 (運用ドメイン) × 米沢キャンパス 工学部 (試験運用ドメイン) 学術系認証基盤 (教育研究系サービス、全学生が利用可) 相反 OIDの設計 教育・研究等をシームレ スに展開可能な環境 研究コミュニティ CA 高度な認証連携を 目指した研究開発 GakuNinと金沢大学統合認証基盤 GakuNin 金沢大学統合認証基盤(Shibboleth) 2つのSPを提供中 ◆ファイル送信サービス(GakuNin用) SP群 (学内用) SP数14(2010/9/1現在 在 SP (学内用) IdP (学内用) ※GakuNin用は別に用意 ◆非文献コンテンツ公開サービス(GakuNin用) 非文献 開 ( 用) 認証数 14,460/day(2010/4) ネットワークID 金沢大学ID 在籍者(教職員・学生)のみ 学内ネットワーク接続目的 自己申請 27 生涯 生涯ID 個人情報・業務目的 異なる利用範囲により、現在は適したIDを使い分け 将来的には両IDの融合化を検討中 ランダムに発行 徳島大学における事例紹介 学認 eK4 SP IdP IdP 運用フェド 参加検討 (サービス受容) 学 構成員 学内構成員 学外公開可能 サ ビス検討 サービス検討 (サービス提供) Shibboleth PKI / LDAP パスワード ネイティブSP群 (新規Shibbolize) (Portal LMS etc) (Portal,LMS,etc) SP Shibbolize認証リバプロ(SP) (Shibbolize不可システム 用フロントシステム) 認証源/属性源 実稼働中SP (従来稼働システム群) Opengateとは、佐賀大学において開発・運用を行っているネット ワーク利用者認証システムです。持ち込みPCや公開端末のネット 用 。 み や 開 末 ワーク利用認証を行い、ネットワークのサービスを利用者に提供しま す。佐賀大学の構成員約一万人の教職員や学生の他に、学外者の一時 利用も可能です。 このOpengateを、Shibbolethによるシングルサインオン認証に 対応させ、平成22年3月より全学で運用を開始しました。 各種情報システムもシングルサインオン(Shibboleth)に対応させた ことで、再認証なしで利用することができるようになりました(図1)。 一度のOpengateの認証で いろいろなサービスを利用可能 IdP 図書館ポータル 図書館ポ タル (SP) 教務システム (SP) 認証画面 Opengate O (SP) ポータルサイト (認証後に表示) DS … 利用者 佐賀大学では、連携する情報システムの中で、現在、以下の情報 システムがシングルサインオン認証で利用可能です。 総合情報基盤センターポータル(図2) 図書館ポータル / 図書館蔵書検索 e-Learning システム 教職員グループウェア 利用者情報確認・変更サービス(図3) 研究業績データベース 研究業績デ タベ ス / 評価基礎情報データシステム 評価基礎情報デ タシステム 教務システム / 教務ポータル(図4) 図2: 基盤センター ポータル 図3: :利用者情報確認 変更サービス 図4: 教務ポータル ラ ング eラーニング システム (SP) 図1: Opengateと連携したシングルサインオンによるサービス提供 新たなOpengateは、シングルサインオン認証後にShibbolethよ グ 後 り得られる利用者の属性情報をもとにして、任意のWebページを表 示することが可能です。 このWebページを、学内で運用する情報システムのポータルサイト とすることで、各情報システムの利用が可能なります。 連絡先: [email protected] 佐賀大学では、学術認証フェデレーション「学認」に参加するこ とで、電子ジャーナルであるSpringerや、CiNiiなどの学外サービス を、シングルサインオンで利用することが可能となっています。 Opengateも「学認」に参加している組織の方であれば、自大学 のIdPで認証することで、佐賀大学でのインターネットを利用する ことが可能です。佐賀大学にお越しの際は、是非ご利用ください。 2008年度 年度 2009年度 年度 試行運用フェデレーション 運用フ デレ シ ン 運用フェデレーション 2010年度以降 年度以降 本格運用 運用フ デレ シ ン 運用フェデレーション 実アカウント利用 実サービス提供 実サ ビス提供 テスト環境 実証実験 (技術検証) 27機関参加 30 IdP 18 SP(商用1) 30 昇格 テストフェデレーション 仮アカウント利用 仮サービス提供 昇格 テストフェデレーション IdP 構築 ・VMイメージ利用 VMイメ ジ利用 ・貴学で構築 申請 学術認証 フェデレーション 31 サーバ 証明書 設置 入手 申込 構築 サーバ 証明書 入手 メタ デ タ データ 接続 テスト 運用フェデ レーションへ の接続 運用 参加申請 設置 申込 運用フェデレーション 運用フェデレ ション 運用 参加申請 メタ データ テストフェデ レ ション レーション への接続 運用 メタ デ タ データ テスト テストフェデレーション テストフェデレ ション UPKI オープン ドメイン認証局 申請 SP テストフェデ レーション への接続 メタ データ テスト 接続 ト テスト 運用フェデ レ ションへ レーションへ の接続 運用 学認事務システム テストフェデレーション 1. 2. 3. 学認への参加申請,メタデータ登録・更新等を1つのシステムでオ 学認への参加申請 メタデータ登録・更新等を1つのシステムでオ ンラインで扱うシステム 匿名での申請情報登録(およびアカウント作成) 事務局での参加承認 フェデレーションメタデータの自動更新 デ デ 運用フェデレーションの場合は? 32 オフラインによる確認が1ステ プ増えるだけ オフラインによる確認が1ステップ増えるだけ 通常一日で 参加完 参加完了 利用開始可能 申請開始 ログイン 申請内容を学認事務システムに 入力・提出.同時にアカウントの作成 申請内容の事務局 によるチェック OK メール通知 申請PDFを出力し,運用責任者から自 署・押印をもらい事務局宛に郵送 郵送 認証作業部会による承認 Fed.メタデータの更新 承認メール通知 利用開始 33 NG メール通知 5 6 7 8 9 10 11 12 1 2 TFメンバー設置&権限委譲 利用規約改定 システム運用基準V1.1公開 Gakunin本格運用開始 Gakuninロゴ確定 実証実験・試行運用(UPKI-Fed) 認証作業部会による方針決定 北大,東北大,東大,名大,京大,阪大,九大,東工大,高エネ研,NII 本格運用(GakuNin) 認証作業部会下にフェデレーションTFを設置し,権限を委譲 参加機関の情報基盤センター,図書館などからの,より広い実地メンバーで構成 TFによりフェデレーションの進め方を検討 り デ 進め方を検討 34 3 日時 35 名称 会場 5月20日 ITRC研究会 GakuNin現状と参加説明 NICT 6月3,4日 NIIオープンハウス GakuNinブース出展 NII 6月29日 Sunmedia学術情報ソリューションセミナー GakuNin説明 大阪 7月02日 Sunmedia学術情報ソリューションセミナー GakuNin説明 六本木 7月7,8日 シボレスIdP, SP研修会 NII 7月15日 第7回国立大学法人情報系センター協議会 海洋大学 7月19日- IEEE SAINT GakuNinブース出展 ソウル 7月28日 e-Learningワールド GakuNinブース出展 東京ビックサイト 9月09日 第5回情報系センター研究交流・連絡会議 第5回情報系センタ 研究交流 連絡会議 和歌山 9月16,17日 シボレスIdP, SP研修会 NII 9月27,28日 TOPICネットワーク担当職員研修会 岩手 10月7,9日 シボレスIdP, SP研修会 NII 11月01日 11月01日- I t Internet2 t2 Fall F ll Meeting M ti 出展 アトランタ 11月15,16日 シボレスIdP, SP研修会 NII(募集中) 11月24日- 図書館総合展 パシフィコ横浜 11月10日 (SINET)オープンフォーラム NII 11月~12月 SINET4説明会 札幌,東京,名古屋,京都,福岡 12月10日 情報処理学会CLE研究会 京都 1月11, 12日 シボレスIdP, SP研修会 NII 1月20, 21日 シボレスIdP, SP研修会 NII 3月 学認シンポジウム NII 昨年度までは,NII情報処理軽井沢セミナーにて研修 本年度からは,NII講習システムを用いて実施 6月14,15日 デモ講習会実施 7月8 9日 大学向け講習会1 7月8,9日 大学向け講習会 定員20名,一般企業から参加 11月15 16日 大学向け講習会2 11月15,16日 大学向け講習会 定員16名 大学ITセンター,一般企業から参加 10月7,9日 企業向け 16名参加(約40名の応募の中から選定) 9月16,17日 大学,企業向け 15名参加(定員のため募集締め切り) 大学ITセンター,一般企業から参加 定員16名で実施 1月11,12日 大学向け講習会3 1月20 21日 大学,企業向け 1月20,21日 大学 企業向け 1月24,25日 大学,企業向け(追加予定) 大学向け研修会詳細 http://www.nii.ac.jp/hrd/ja/joho-karuizawa/index.html 大学+企業向け研修会 https://upki-portal.nii.ac.jp/docs/news/fed/20101022 h // ki l ii j /d / /f d/20101022 36 e-Contents 電子ジャーナル 電子ジャ ナル 電子書籍 電子メール 電子メ ル WebMail メーリングリスト 転送 スパム対策 コラボレ ション コラボレーション 37 Video Conferencing Web Conferencing g Content Sharing Webcasting e-Learning CMS LMS ソフトウェア提供 スケジュール管理・調整 無線LANローミング 無線 ミング ストレージ クラウド e-Science など GRID 電子ジャーナル 電子書籍 4 33 e‐Learning(他機関から提供されるサービス) 17 91 e‐Learning(民間企業から提供されるサービス) 67 e‐Learning(機関内へ提供するサービス) 75 40 e‐Learning(他機関へ提供するサービスとして) ソフトウェア配布(他機関から提供されるサービス) 36 ソフトウェア配布(民間企業から提供されるサービス) 74 37 ソフトウェア配布(機関内へ提供するサービス) ソフトウェア配布(他機関へ提供するサービス) 41 49 遠隔講義・遠隔会議システム(他機関から提供されるサービス) 遠隔講義・遠隔会議システム(民間企業から提供されるサービス) 57 38 24 14 28 40 46 遠隔講義・遠隔会議システム(機関内へ提供するサービス) 遠隔講義・遠隔会議システム(他機関へ提供するサービス) 参加各機関による研究成果の公開 電子メールやオンラインストレージなどのクラウドサービスとの連携 学務情報システム 人事給与・財務会計システム *数字は、回答機関数、複数回答可 38 その他 ・就活サイト,SNS,無線LAN 国際標準H.323によるプロトコル共通化 ISDN接続からインターネット接続への移行 数Mbpsでハイビジョン品質 資料共有も可能(H.239) 端末の低価格化、性能向上 ネットワークの広帯域化、低コストに実現可能 映像品質の向上 特定メーカに依存しないオープンシステム 専用端末は映像・音響性能が優れている 移動にかかる時間と費用の削減(エコ) 39 多地点接続が容易でない 3地点以上の接続にはMCU(多地点接続装置)が必要 端末内蔵のMCUもあるけれど 接続可能な拠点数が少ない(4~6拠点) が 十分な品質が得られない(ソフトウェア処理) 低品質な拠点の影響を受ける(出力を共用) きめ細かな制御が困難・不可能 多地点接続専用の機器も提供されているが 40 高価にもかかわらず利用頻度が高くない 発展途上(陳腐化が早い) MCUを複数機関で共用し、利用頻度を向上 MCU共用のための課題 予約 必要としている人が予約できる、いたずら防止 独占防止 利 機会 均等化 利用機会の均等化 優先制御 既存システムとの共存 予約・制御用APIの標準化 予約 制御用APIの標準化 費用の分担 41 所有機関に優先利用権を与えたい 制度設計 Tandberg Codian MCU 4505 12地点まで接続可能 ハイビジョン対応(720p, 30fps) スケジュール予約機能を持つ スケジュ ル予約機能を持つ シボレス化の要件(できるだけ簡単な試験実装) シボレス認証できる人のみ予約 制御が可能 シボレス認証できる人のみ予約・制御が可能 テレビ会議実施時は認証不要(アクセスコード等利用) IdP 認証情報 SP Shibboleth 認証 代表者 A大学 ConferenceMe f M (NAT越え可) C 移動先 接続 制御 NII 予約・制御 接続 接続 予約情報の通知 B大学 システムの改修 WebサーバをShibbolethに対応させる WebアプリケーションをShibbolethに対応させる Apache, IISであればモジュールが用意されている サ バの機能で認可判断を行うだけなら これだけでOK サーバの機能で認可判断を行うだけなら、これだけでOK 既存のユーザ管理情報とのマッピング処理のしかけが必要 ヒモ付け不要であれば、Shibbolethからの属性情報のみで制御 リバースプロキシの導入(SPが改修できない場合) リバ スプロキシの導入(SPが改修できない場合) ユーザを区別した処理が不要なら、認可判断のみなので簡単 ユーザの区別のためには、プロキシにも従来ID/PWを保持さ せ、マッピング処理を行う 43 Apacheのプロキシ機能で解決 pac eのプ キシ機能で解決 プロキシの作り込みが必要 一般にSSO対応はリバースプロキシで実現 リバースプロキシの両側のアカウントマッピングがポイン ト シボレスアカウント によるアクセス認証 属性情報 ユーザ ザ MCUローカルアカウント によるアクセス認証 ID / パスワード リバースプロキシ リ キシ 実サーバ 実サ (MCU) 専用ハードウェア なので改変は困難 アカウントのマッピング 同時アクセスの提供 同時 ク 提供 44 「職種」が「教職員」の場合のみ予約可 staff、faculty 等(student 以外) 「組織名」が同一の場合に 予約の変更が可能 MCUの制御が可能 拠点ごとのミュート(音声、映像) 画面レイアウトの変更 端末の呼出 切断 端末の呼出、切断 「組織名」が異なる場合に 45 予約の存在を見せない シボレスに対応 URLの書き換えができること リクエストに含まれるURL レスポンスに含まれるURL MCUの認証機構に対応できること MCUに新規ID/PWを追加できること アクセス時に属性情報が取得可能であること 組織毎にIDを用意しマッピングを管理 MCUの利用範囲に制約を与えられること 46 リンク先の変更やパラメータの書き換え 利用するMCU Tandberg Codian MCU 4505 JavaやActiveX等を用いておらず対応が容易 認証にDi 認証にDigest認証を利用 認証を利用 リバースプロキシ Apache A h 2.2 2 2 with ith mod_shib d hib PerlによるCGI URLの書き換え、利用可能な機能の限定 URLの書き換え 利用可能な機能の限定 LWP (the Livrary for WWW in Perl)を利用 コード量 47 Digest認証への対応が容易 g メイン部分: 215ステップ 組織毎のID登録: 80ステップ GET 401 Denied; WWW-Authenticate Digest GET Authentication Digest 303 See Other; Set-cookie GET; Cookie ログイン状態は Cookieで保持される 200 OK GET 401 Denied; WWW-Authenticate Digest GET Authentication Digest 303 See Other; Set-cookie GET; Cookie ログイン状態は Cookieで保持される 200 OK GET (IdP認証後) 組織名に対応する IDを用いて認証 GET 401 D Denied; i d WWW WWW-Auth A th Digest Di t GET Authentication Digest 303 S See Oth Other; Set-cookie S t ki 303 S See Oth Other; Set-cookie S t ki GET; Cookie GET; Cookie 200 OK 200 OK Cookieをそのまま伝達することで端末がログイン状態を保持 49 SPにアクセスし SPにアクセスし、 「予約・制御」をクリック DSにリダイレクト IdP (NII) を選択 50 予約状況が確認できる 「ログイン」をクリックし 認証を要求 51 複数のMCUを統一的に予約、制御 Tandberg Codian 4505 Polycom RMX 2000 XML APIを介したMCUへのアクセス ユーザ単位の予約管理 ユーザ単位での権限委譲の仕組みを導入 52 秘書が予約して、教員が制御 教職員が予約して、学生が制御 53 収録サーバとの連携 配信サーバとの連携 skype GW との連携 他の会議システムのサポート 他大学のMCUとの連携 54 9 特に問題はない 38 機関外からアクセスを禁止している 67 認証連携のためのサーバの準備が困難 21 プライバシーやパスワード漏洩の可能性 その他 43 *数字は、回答機関数、複数回答可 55 ・ウィルス・情報セキュリティとの問題 ・他大学のポリシーに対して守れるか心配 サービス提供の背景 eduroamの普及(約50カ国、国内11機関) d の普及(約50カ国 国内11機関) 無線LANローミングサービスの需要は高い(非常に便利) Livedoor-wirelessによるサービス提供開始(2010年3月) 認証への不安 所属組織で用いているアカウント名やパスワードの漏洩の可能性 http://eduroam.jp 本当に今見えているアクセスポイントは信頼できるのか? 全ての人にPKI証明書の確認を望めるのか? プライバシーへの不安 所属組織や個人が特定可能な情報が第三者に見えてしまう eduroamの仕組み上、見えてしまうのは避けられない インシデント発生時は特定可能であること →Shibboleth(SAML)の匿名性を利用した一時アカウント発行 の仕組みを実現 56 EduroamのRADIUS server treeとshibbolethの組合せ 実ID: [email protected] 仮名ID: KA8zveT3g g 2010/03/01 18:10 @JP Server [email protected] eduroam ワールドワイド 認証ネットワーク (radius) eduroam-ID: [email protected] SAML連携 所属組織 IdP 仮名アカウント発行 SP 仮名 通知 通知 3)仮名ID通知 4)ID/PW通知 7)認証要求 upki.eduroam.jp のradiusサ バ のradiusサーバ 2)認証 認証 1)申請 57 仮名ID: KA8zveT3g eduroam-ID: [email protected] 5)移動 6)接続要求 ) IdP 実IDと仮名ID(eduPersonTargetedID)との対応を管理 実IDと仮名ID( d P T t dID)との対応を管理 仮名IDのみをSPに伝える SP 仮名IDとeduroam-IDとの対応を管理 実ユーザは特定できないが、所属組織がわかってしまう eduroamのアクセス履歴は把握不能 eduroam-IDのみをRADIUSサーバに伝える RADIUSサーバ RADIUSサ バ eduroam-IDによりアクセス可否の判定を行う 実ユーザも、所属組織も特定不能 eduroamのアクセス履歴は把握できる →インシデント発生時は 情報を突き合わせることで特定可能 →インシデント発生時は、情報を突き合わせることで特定可能 58 ID体系: [email protected] [Y] [M] [D] [NN] [S] [L] 発行年西暦下一桁 [0-9A-Za-z] 発行月 [1-9A-C] 発効日 [1-9A-V] [1 9A V] 同一発効日内での通し番号 [00~zz] 利用開始日 (発効日からのオフセット) [0-9A-Za-z] 有効期間 [0-9A-Za-z] eduroam-IDの例 eduroam IDの例 • [email protected] • 2010年2月28日の05番目の発行 • 3月1日(発行日から1日後)から3日間有効 59 • 秘密の一方向関数 H(s) ( ) をあらかじめ共有 • パスワードを H(eduroam-id) とする 例: – eduroam-ID: [email protected] – パスワード: H(“[email protected]”) ( @ p jp ) → “THC7KK7DRK” 60 61 まとめ 学術認証フェデレーションの発展のためには魅力ある サ ビス フレ ムワ ク ビジネスモデルが不可欠 サービス、フレームワーク、ビジネスモデルが不可欠 学術サ ビスアクセスへのインフラとして 学術サービスアクセスへのインフラとして よりよい研究教育環境を効果的に実現するための 仕組み(要素技術やフレームワーク)の開発 大学側(IdP)にとっての魅力 サービス提供側(SP)にとっての魅力 サ ビス提供側(SP)にとっての魅力 参加コスト、運用コストの低減 サービス共有、マッシュアップによる効率化と利便性の向上 多様な 多様なサービスを容易に開発、利用できる枠組みへ ビ を容 きる枠組 学術をとりまく様々な活動の活性化につなげていきたい 62