...

ダウンロード(PDF) - エクスジェン・ネットワークス

by user

on
Category: Documents
17

views

Report

Comments

Transcript

ダウンロード(PDF) - エクスジェン・ネットワークス
LDAP Manager ユーザー事例 Vol. 4
福岡大学
「人をつくり、時代を拓く。」を旗印に、教育に加えて研究、医療と
幅広い分野で人材と価値の創造に取り組む、学校法人福岡大学。
総勢2万5千人※にもなる情報システムユーザーのための
統合ID管理をLDAP Managerが担っている。
※数字は2012年8月当時のもの
理想を求めて先駆的にID 管理基盤を構築
プロフィール
福岡大学で最初にID 管理基盤が導入されたのは、
まだID 管理に対す
中正」
「質実剛健」
「積極進取」を
る理解が一般的でなかった2005 年に遡る。福岡大学 総合情報処
建学の精神に掲げる、西日本最大
理センター 研究開発室の工学博士の中國 真教准教授は、
「学内に多
くのアプリケーションが導入されるようになった当時、アプリケーション
福岡大学は、
「思想堅実」
「穏健
規模の私立総合大学である。前
身の福岡高等商業学校(1934
年設立)から、1949 年大学へ移
毎のID 管理の運用コストは看過できない水準に達し、個々のユーザー
行、今では59 万㎡を超える広大
の利便性も損なっていました」
と言う。この当時、
この種の課題は棚上
なキャンパスに、大学 9 学部 31
げされることも珍しくなかったが、
“あるべき姿”
を希求する福岡大学は、
学科、大学院 10 研究科 34 専攻が設置され、2 万人を超える学生が学んでいる。また、学校
法人として、教育・研究・医療の3 つの高度機能への傾注を普遍的使命と定め、大学以外にも
まだ先駆的であったこうした要件にも、積極的に取り組んだ。福岡大
基盤研究機関研究所や各種研究チームといった多様な先進的研究組織や、大学病院、大学
学のこうした姿勢は、
「学校法人全体を対象とした基盤上に、教育研
図書館、附属中学、高校といった多くの関連機関を開設しており、その情報システムユーザー
究系システムと事務処理系システムを構築し、その上に多様なサービ
数は総勢 2 万 5 千人にもなる。
スをサブシステムとして整然と実装する」というグランドデザインを、こ
の当時すでに採用していた先見性にも表れている。
大量の ID 情報の登録や更新作業は、順調にいっても“一日がかり”
、
わずかでも訂正が生じれば、すべてやり直さなければならなかった。
独自開発した ID 管理基盤の導入効果と新たな課題
また、ユーザーが変更したパスワードは、翌朝まで反映されなかった。
つまり、新しいパスワードでログインできることを確認もできず、古い
導入された統合 ID 管理基盤によって、ユーザー管理業務は一元化さ
パスワードで他人にアクセスされる恐れもあった。
れ、個別システムの管理者は、担当アプリケーションの運用・管理に
集中できるようになった。ただし、運用コスト、セキュリティ、利便性の
いずれの面でも改善が見られた一方で、独自アプリケーションとして
開発された初代の ID 管理基盤には、いくつか課題もあった。
中でも問題となったのが、他のアプリケーションとの認証連携である。
統合 ID 管理基盤への移行を推進
教育研究系システムの大規模更新を翌年に控えた2009 年、追加さ
れるシステムとの認証連携に高額のコストが生じることやハードウェ
独自に開発した ID 管理シ
アの更新時期を迎える点を考慮して、統合 ID 管理基盤の更新検討
ステムには汎用的なアプリ
が始まった。中國准教授は、このころ東京で開催されるIT 系展示会
ケーションインターフェイス
なども視察し、自ら統合 ID 管理ソリューションの候補を検討したとい
などなかったため、新たな
う。LDAP Managerについては、
「自分たちの要件を満たしうるの
アプリケーションを認証対
ではないかという第一印象でした」と語っている。
象に加える度に、連携部分
総合情報処理センター 事務部情報支援室の大塚耕輔氏によれば、
を独自開発しなければなら
移行プロジェクトは 2010 年 10 月に始まったという。 そこから翌
なかった。
年春にかけて仕様を策定、夏には決まった仕様に基づいて、LDAP
他にも、入学や卒業に伴う
Manager の採用を正式決定したという。すぐに開発が始まり、そ
Identity Management Solutions
LDAP Manager ユーザー事例 Vol. 4
の後パイロット期間も経て、繁忙期を避けた 2012 年のゴールデン
ウィーク明け、晴れて本番稼働となった。「特にトラブルもなく、開発
●
柔軟かつ強力なガバナンス
の実現
統合 ID 管理基盤がここまで高
は概ね順調でした」と大塚氏は笑顔で語っている。
機能になると、管理者に対する
新しい統合 ID 管理基盤が実現した導入効果とは─
統制も慎重かつ厳格に行う必
要がある。LDAP Manager
今回稼働した新たな統合 ID 管理基盤は、福岡大学の開発要件に十
では、権限の委譲や分掌を通
分応え、すでに導入効果の実感にもつながっているという。
じて、個々の管理者の権限範
囲を適切に保つと同時に、その
● リアルタイムでのID 連携
管理者の振る舞いも履歴とし
懸案だったパスワード変更の即時性を実現したことで、セキュリティ
て記録できる機能があり、福岡
大学のガバナンス体制の一役
の強化はもちろん、ユーザーの安心感も高められた。
●
上位システムとのスムーズな連携
を担うことができる。
時間がかかる上に手戻りの手間が大きく、現場を悩ませてきた「マス
ター情報を生成する上位システムとの連携」も高速かつ柔軟になっ
稼働してみての満足度と将来に向けた展望
た。テストベースながら、処理時間はおよそ3 分の 1に短縮され、訂
正が生じてもリカバリーのための時間を充分に持てるようになった。
●
LDAP Managerが選ばれた背景について、中國准教授はこう語っ
ている。「要件を満たしていることはもちろんですが、他の認証対
登録業務の電子化
日常 的に発 生するアドホックなユーザー登 録 手 続きは、LDAP
象のアプリケーションとの連携がとても柔軟だという点を評価しまし
Manager のワークフロー機能を使った電子申請に移行した。これ
た」。 今回、学内外のシステムとの SSO 機能は各々異なる技術を
により申請者によるIDとパスワードの本登録が管理者へリアルタイ
連携させて実現しているが、これはその好例といえるだろう。他にも、
ムで申請することができ、従来よりも本登録までの作業時間が削減
2 万人超の大規模管理に対応するスケール性や、教育機関向けシス
できる。また、個々に申請用紙を提出する機会が減り、紙資源の削
テムに求められる「利用者がマニュアルを確認することなく操作がで
減に加え、提出された用紙の管理コストも削減できると考えている。
きる画面表示」への対応といった見逃しがちな細かい点も、LDAP
●
Managerを選んだ決め手だという。
一時利用 IDの管理工程の簡素化
従来は複雑な運用が必要だった一時利用者向け IDも、必要な人数
実際に導入してみての満足度について尋ねると、運用現場を預かる
と日時を反映した CSVファイルを準
大塚氏から、
「パスワードの失念や失効に対応するヘルプデスク作業
備するだけで、ほとんど手間無く作成
を削減することができ、それ以外のヘルプデスク作業に時間を利用
でき、使用後の管理も簡単になった。
することができるようになった」という声が寄せられた。中國准教授
※1
● シングル
・サインオン
(SSO)
対応
からは、
「個々の担当者によって、多少の違いはあるかもしれません
福岡大学の情報サービスは数多くあ
が、システム管理者側の立場から見て、100 点満点の 90 点は差し
り、従来のシステムでは独自の SSO
上げられると思っています」と極めて高い評価をいただいた。
で対応していたため、新しいシステム
最後に、今後の展望について中國准教授に尋ねると、
「まずは、教育
を連携する度に改修を伴っていたが、
研究系システムと事務処理系システムの SSO 対応を進めます。そ
今回の標準的なSSO の導入により、
の先については、学生証として配布されている非接触 ICカードと統
維持コストの削減が期待できる。さら
合 ID 管理の連携について、検討してみたいですね」と笑顔で語って
に、学外サービスの学認
くれた。
※2
への SSO
も可能となり、学内にない機能を、開
発コストをかけずに利用できるように
なった。
東京本社
〒101―0052 東京都千代田区神田小川町 1―1 山城ビル 3F
TEL 03―3518―8055 FAX 03―3518―8056
大阪事業所
〒532―0003 大阪市淀川区宮原 2―14―4 MF 新大阪ビル 5F
TEL 06―6394―5411 FAX 06―6394―5412
E-mail [email protected] http://www.exgen.co.jp/
※ 1 SSOについては、オープンソース・ソリューション・テクノロジ株式会社が導入を担当している。
※ 2 国立情報学研究所が、全国の大学や関係機関と連携して、電子ジャーナルや証明書発行など多様
な情報サービスを共同利用するために構築・運用している学術認証フェデレーション機構の愛称。
LDAP Managerは、認証に特化した高速な検索性能に加え、柔軟な属性設定に対応可能
な LDAPサーバを一元管理用のメタディレクトリサーバに据え、ユーザ情報統合の基本機能
と豊富なメンテナンス用プログラム群を標準構成でご提供する、セキュリティシステム構築の
ための運用管理ツールです。
* LDAP Manager は、エクスジェン・ネットワークス株式会社の登録商標です。
* 文中に記載されている社名および製品名は、各社の商標または登録商標です。
Fly UP