学認を活用した大学連携IT基盤の構築に向けて

Size: px

Start display at page:

Download "学認を活用した大学連携IT基盤の構築に向けて"

るるみいさやま
9 years ago
Views:

1 学認を活用した大学連携 IT 基盤の構築に向けて中村素典 / 国立情報学研究所 TIES ワークショップ (2013/6/15)

2 学内 SSO の仕組みをグローバルに学内 elearning ユーザディレクトリ (LDAP) 機関認証システム Identity Provider SSO Service Provider Web メイル SSO 履修登録 SSO 給与明細 SSO ejournal 大学 A 大学 B 学内サービスのアウトソース化にも最適集約共用によるコスト削減メリット 2

3 Jul-09 Dec-09 May-10 Oct-10 Mar-11 機関数 60 IdP 達成 Aug-11 Jan-12 Jun-12 Nov-12 Apr-13 Sep-13 ( 万人 ) Jul-09 Dec-09 ユーザ数 Total Students Staffs May-10 総 ID 数 75 万 Oct-10 Mar-11 Aug-11 Jan-12 Jun-12 Nov-12 Apr-13 Sep-13 試行本格運用病院も参加しました (NTT 東日本関東病院 ) H25 年より全国の高等専門学校が順次参加予定学生の割合は 80% 強高等教育人口は 350 万人 3 参加機関一覧 :

4 メタデータ登録数 ( 公開準備中を含む ) 100 SP 突破 HighWire Press Stanford University (1 サイトで複数サービス提供 ) Jul-09 Sep-09 Nov-09 Jan-10 Mar-10 May-10 Jul-10 Sep-10 Nov-10 Jan-11 Mar-11 May-11 Jul-11 Sep-11 Nov-11 Jan-12 Mar-12 May-12 Jul-12 Sep-12 Nov-12 Jan-13 Mar-13 May-13 Jul-13 H25 年度よりeduGAINにも参加し別途 edugainのサービスも利用可能に SITF (Student Identity Trust Framework) による学割サービス実現を検討中 4

5 Elsevier Science Direct Elsevier SCOPUS SpringerLink Thomson Reuters Web of Knowledge Ovid SP ProQuest RefWorks ProQuest RefWorks ProQuest ebrary Cambridge Journals Online Atlases Pathology Images 研究社 : KOD NII: CiNii EBSCO: EBSCO host IEEE Xplore Serials Solutions: 360 Search, 360 Link, Electronic Journal Portal IOP science Royal Society of Chemistry RSC Publishing S.Karger AG BioOne American Society of Clinical Oncology Americal Society of Nephrology BMJ Journals Biologists.com Journals Disaster Medicine and Public Health Preparedness Journal Watch: Medical Journals and Research Articles Journal of Bone and Joint Duke University Press Journals Lyell Collection: Geological Society Publications Online Journals of the Royal College of Psychiatrists Oxford Medicine Oxford Journals OxfordServices Royal Society Publishing RSM Press Rockefeller University Press journals SAGE Journals Annual Reviews Cengage Learning Emerald サンメディア PierOnline (UniBio Press) NII-REO 5

6 Microsoft: DreamSpark UQ コミュニケーションズモバイル WiMAX キャンパスネットワーク接続サービス NII FaMCUs (MCU for Video Conferencing) NII: FShare (File Sharing Service) NII WebELS (Web-based e-learning System) NII 学認申請システム (GakuNin Registration System) NII meatwiki 金沢大学 File Transfer Service 金沢大学 ARCADE( 学術組織間デジタル資料分散共有システム ) 山形大学大学間連携グループ情報共有サービス佐賀大学 Opengate アットウェア : しぼすけ科学技術振興機構 :ReaD&Researchmap NII Eduroam-Shib (Temporary eduroam account issuing) NII 研究クラウド (Gunnii,tinii,colonii) NII edubase Cloud NII GakuNin map NII meatmail 金沢大学 Opens non-bibliographic Contents Service 山形大学科学技術の学術情報共有のための双方向コミュニケーションサービス広島大学 HINET wlan guest service UNINETT, Foodle 6

7 年 9 月から 2013 年 2 月までのデータ ( 縦軸 log 総アクセス数順 ) 左より佐賀大ネットワーク認証 CINII eduroam アカウント発行 WebOfKnowledge 学認申請システム大容量ファイル転送 map 対応 Wiki テレビ会議 MCU 予約 Researchmap 動作確認用 SP UQ WiMAX NII 研究クラウド map 管理広島大ネットワーク認証 Karger 研究社釧路高専 Reo 情報セキュリティ e ラーニングしぼすけ ( スケジュール調整 ) 金沢大学データ共有 WebELS と続く guestog.sso.cc.saga-u.ac.jp register-ci.nii.ac.jp eduroamshib.nii.ac.jp office.gakunin.nii.ac.jp fshare.sinet.ad.jp meatwiki.nii.ac.jp mcus.nii.ac.jp researchmap.jp attrviewer20.gakunin.nii.ac.jp jvr.uqwimax.jp gunnii.ecloud.nii.ac.jp map.gakunin.nii.ac.jp hinet-sp.hiroshima-u.ac.jp service.ecloud.nii.ac.jp content.karger.com kod.kenkyusha.co.jp admin-router.webofknowledge.com sp.msls.kushiro-ct.ac.jp reo.nii.ac.jp security-learning.nii.ac.jp shibosuke.net booklooper-h1.greenoffice.jp arcade.cis.kanazawa-u.ac.jp webels.ex.nii.ac.jp attrviewer13.gakunin.nii.ac.jp sp.ebrary.com sp1.db.kanazawa-u.ac.jp arcade-storage01.cis.kanazawa-u.ac.jp colonii.ecloud.nii.ac.jp kyodo-lms.nara-edu.ac.jp arcade-storage01.nii.ac.jp idp.repo.nii.ac.jp sp2.db.kanazawa-u.ac.jp c.yz.yamagata-u.ac.jp tinii.ecloud.nii.ac.jp openid.nii.ac.jp ninsho-dav.nii.ac.jp gmembers.sinet.ad.jp meatmail.nii.ac.jp atlases.muni.cz idp.ixsq.nii.ac.jp webofknowledge.com isiknowledge.com muse.jhu.edu webofknowledge.com www21.mle.cmc.osaka-u.ac.jp 7

8 属性内容 OrganizationName (o) 組織名 jaorganizationname (jao) 組織名 ( 日本語 ) OrganizationalUnit (ou) 組織内所属名称 jaorganizationalunit (jaou) 組織内所属名称 ( 日本語 ) edupersonprincipalname (eppn) フェデレーション内の共通識別子 edupersontargetedid フェデレーション内の匿名識別子 edupersonaffiliation 職種 edupersonscopedaffiliation 職種 (@scopeつき) edupersonentitlement 資格 SurName (sn) 氏名 ( 姓 ) jasurname (jasn) 氏名 ( 姓 )( 日本語 ) GivenName 氏名 ( 名 ) jagivenname 氏名 ( 名 )( 日本語 ) displayname 氏名 ( 表示名 ) jadisplayname 氏名 ( 表示名 )( 日本語 ) mail メールアドレス gakuninscopedpersonaluniquecode 学生職員番号 (@scopeつき) 実際に使われる属性情報の例サービス A (1 項目必須 ) edupersonprincipalname( 必須 ) サービス B (1 項目必須 ) edupersonaffiliation ( 必須 ) edupersontargetedid サービス C ( 必須項目なし ) edupersonentitlement edupersonaffiliation 必要最低限のみを送出 ( 参考 ) fed/technical/attribute 8 Copyright (c) 2013, National Institute of Informatics 2013/2/4

9 提供される MCU Cisco Tandberg Codian MCU 4510 ( 最大 20 地点 ) Cisco Tandberg Codian MCU 4205 ( 最大 12 地点京大提供 ) Polycom RMX ( 最大 20 ポート ) 学認への対応予約と制御に認証を要求 ( 教職員に限定学生に権限委譲可 ) テレビ会議への参加には認証不要 ( アクセスコード等利用 ) 認証 IdP 認証情報 Shibboleth 予約制御 SP 制御 NII 接続接続 Vidyo GW (NAT 越え可 ) ConferenceMe 移動先 A 大学 9 代表者接続予約情報の通知 Copyright (c) 2013, National Institute of Informatics B 大学

10 情報セキュリティー講習への需要大学ごとに同様のコンテンツやシステムを整備するのは非効率共用 E ラーニング SP 学認連携 Moodle 講習サイトヒカリ& つばさと倫倫姫 ( 群馬大学 ) を提供予定教職員学生が受講セキュリティラーニングシステム受講状況を機関にフィードバック類似サービスを各機関で個別に導入する必要なし 10

11 大学 IdP 変換利用申請 StoredID 推奨認証 NII 利用者アクセス ( 講習 ) SP 11 管理者修了状況の大学へのフィードバックをサポート! 大学からの利用申請がなくても自習可能

12 SINETのL2VPNサービスを利用して大学とUQネットワークを接続 WiMAX 端末には大学が用意したIPアドレスが割り当てられるあたかもキャンパス内にいるかのように学内専用サービスやインターネットにアクセス可能 SINETとUQネットワークの間の回線はUQ 負担 (SINETクラウド接続サービス利用) 大学学内ネットワーク大学管理の IP アドレスが割り当てられる WiMAX UQ ネットワーク学認 IdP VLAN L2VPN ( 学内扱いの通信 ) 学内専用サ - ビスファイアーウォール大学手配のアクセス回線 ( 既存 ) インターネット 12 学認 SP クラウド接続サービス大学の IP アドレスから利用できる学外コンテンツやサービスにもアクセス可能

13 第 11 回 MCPC award モバイルコンピューティング推進コンソーシアム最優秀事例にはグランプリ総務大臣賞が贈られるモバイル WiMAX キャンパスネットワーク接続 WiMAX キャンパスネットワーク開発チームとして応募慶應義塾大学京都大学九州大学 NII 2013 年 4 月 19 日最終審査表彰式 13 Copyright (c) 2013, National Institute of Informatics

14 統合認証システム AXIOLE, NetSpring HP IceWall SSO, 日本 HP jw-sign ontm, エヌティティデータカスタマサービス株式会社 LiveSignOn, NTTデータ九州 Secioss Access Manager, 株式会社セシオス Shibboleth-IdPアクセス制御プラグイン, 株式会社セシオス WebSAM SECUREMASTER, 日本電気株式会社 WisePoint, ファルコンシステムコンサルティング株式会社メールサービス DEEPMail/MailSuite, ディープソフト株式会社施設予約システムガルーン, サイボウズ i-ware, NTTデータ九州給与システム給与支給明細オンライン照会システム, 株式会社サジェコ源泉徴収関係届出オンラインシステム, 株式会社サジェコ elearning システム Mediasite System, メディアサイト株式会社 WebClass, 日本データパシフィック株式会社履修登録システム LiveCampus, NTTデータ九州 DreamCampus, SCSK 株式会社教務事務システム LiveCampus, NTT データ九州図書館情報システム E-CatsLibrary, 株式会社シーエムエス日本電気株式会社 NALIS, NTTデータ九州にて情報公開中追加情報をお待ちしております! 14

15 学術関係者事前の許諾は不要ですその他の使用者事前に許諾をお願いします学認として審査認定しているわけではありません 15

16 学認申請システム学認への参加申請, メタデータ ( サーバ証明書等 ) 登録更新等は Web を通してオンラインで可能 ( 学認申請システム ) テストフェデレーション ( 技術検証環境 ) 0. OpenIdP でのアカウント作成 1. 申請情報登録 2. 事務局での参加承認 3. フェデレーションメタデータへの登録通常一日で参加完了利用開始可能運用フェデレーション ( 実アカウントを用いた本格利用 ) オフラインによる確認 ( 申請書の郵送 ) が 1 ステップ増えるだけこちらは早くて一週間程度 16

17 UPKI オープンドメイン証明書自動発行検証プロジェクトサーバ証明書発行の無償提供サービスを実施中です現在の活動状況参加機関数 317 発行枚数 8254 枚 (2 月 18 日現在 ) のべ発行枚数の推移更なるご参加をお待ちしております! bit 未満の証明書の利用停止 (2013 年 12 月以降 )

18 ポリシーに準拠し参加機関間の認証連携を実現学術認証フェデレーション実施要領 ( 平成 24 年 3 月 22 日改正 ) 学術認証フェデレーションシステム運用基準 (Ver.1.2) ( 平成 23 年 8 月 24 日改正 ) 機関認証システム Identity Provider 登録配布 ( ダウンロード ) メタデータ登録配布 ( ダウンロード ) 学術サービス相互信頼参加機関ポリシーに準拠することにより学認に参加可能事務局参加が承認されたIdPとSPの情報はメタデータに登録 IdP,SPサーバメタデータに登録されたIdPとSPだけが互いに接続することができる The Circle of Trust 18

19 IdP ホスティングサービス ( 試験提供中 ) 運用中 :2 大学準備中 :3 大学あくまでも試験提供であり永続的サービスはしない InCommon では FISCHER などが提供開始 common_ignite.htm たとえばセシオスが SaaS 型 IdP サービスを提供可能 19

20 地域連携 ( 大学コンソーシアム ) 大学コンソーシアム京都コンソーシアム石川高等教育コンソーシアム信州 e-knowledge コンソーシアム四国など専門教育連携大学院連合農学研究科大学院連合獣医学研究科がんプロフェッショナル養成基盤推進プランなど 20

21 Read&Researchmap 将来的には e-rad も視野に HPCI (High Performance Computing Infrastructure) 21 理研 +7 大学 + 東工大 + 筑波の計算環境を利用するユーザ独立行政法人国立女性教育会館女性教育関係者に対する支援 UMIN ( 東大大学病院医療情報ネットワーク研究センター ) など大学病院業務及び医学生物学研究者の研究教育活動の支援

22 組織の構成員であることの保証卒業退職などによる異動の適切な反映名誉教授 OB 図書館の地域内利用者その他ゲスト等の扱い識別子再利用についての考慮同一識別子を利用する場合は一定期間あけるユーザの同一性の保証パスワード配布時の本人確認適切に管理された役職アカウント個人情報保護への対応国公立大学ではオプトインが原則ログの保存インシデント対応のための edupersontargetdidやtransient-idの記録機関として責任を持った ID および属性の保証定期アンケート ( 毎年 ) によるチェックとフィードバックで維持 IdP of The Year 2012 を大阪大学が受賞 22

23 NIHのサービスを学認 SPとして利用米国連邦政府内のサービス (SP) を外部の認証システム (IdP) に接続する場合には SP 側がIdPの保証レベル (Level of Assurance, LoA) を要求 4つのレベルを規定レベル1:whitehouse.govのWebサイトでのオンラインディスカッションに参加レベル2: 社会保障 Webサイトを通じて自身の住所記録を変更レベル3: 特許弁理士が特許商標局に対し機密の特許情報を電子的に提出レベル4: 法執行官が犯罪歴が格納されている法執行データベースにアクセス PubMedの要求はLevel 1( 最低 ) であり利用するためには学認のIdPが米国の基準に則ったLevel 1を取得する必要あり学認は学認のIdPにLevel 1を発行できる Trust Framework Providerに米 OIX (Open Identity exchange) の ( スペシャル ) メンバーに 23 Copyright (c) 2011, National Institute of Informatics

24 オンライン手続きにおけるリスク評価及び電子署名認証ガイドライン我が国の電子政府における認証方式の設計にあたり活用可能なものさしを確立することを目的として策定ガイドラインは対象となる電子手続に関するリスク評価手法とこの手法により導出されるリスクの影響度影響度に応じた認証方式の保証レベルの導出各保証レベルに求められる対策基準を規定 OMB M や NIST など米国政府を参考リスクの影響度の定義 ( ガイドラインより引用 ) 24 Copyright (c) 2011, National Institute of Informatics

25 レベル 1 ユーザの同一性を保証 ( 身元識別は不要 ) 認証の有効期限なしチャレンジ-レスポンス可 ( 辞書攻撃に弱い ) レベル 2 単一要素認証身元識別あり失効処理の保証オンライン推測攻撃を防止すること ( パスワード /TLS 可 ) 認証サーバでの平文パスワード保持の禁止レベル 3 複数要素認証ソフト暗号化トークン使用可なりすまし攻撃中間者攻撃を防止することレベル 4 翻訳版 : 実用上最大限の保証ハード暗号化トークンを使用認証後の暗号化処理も認証プロセスに結びつく鍵を使用 25 Copyright (c) 2011, National Institute of Informatics

27 If your credentials protect access to any sensitive data, you must care whether they are good enough for that What standard do you use? NIST Levels of Assurance 1 4 Bronze & Silver Imply Levels 1 & 2 Specifications written for US Higher Ed Approved by US government for access to federal agency services Approved by International Grid Trust Federation for access to national & international HPC From InCommon Community Feedback Do you intend to pursue Bronze and/or Silver? 27% said both in IdP* IdP 8% said Bronze only and 8% said Silver only 27

28 ユーザの所属情報の扱い電子ジャーナル等のサイトライセンスに基づくアクセスの識別方法 IdP 名 O 属性 (OU 属性 ) edupersonentitlement IdP の区別 SP としては区別したいはず? LoA 大学向けサービス医学関係者向けサービス課金サービス等に対する本人確認の厳密性 LoA (Level of Assurance) LoAの認定基準実現する認証技術レベルを指定した認証要求 28

29 LoA2 要求の場合 IC カード認証のみ LoA 2 認証要求 LoA1 要求の場合パスワード認証も可 (IC カード認証しても OK) パスワード認証 LoA 2 IdP 複数レベル認証対応 LoA 1 IdP LoA 2 SP LoA 2 認証要求 LoA 1 SP LoA 1 認証要求 LoA 1 認証要求 29

30 例えば IC カード認証とパスワード認証の両方をサポートすることでユーザの利用スタイルに柔軟に対応可能 LoA 1 サービスを利用する場合どちらの認証方式を選択しても OK どんな端末からでも使いやすくパスワード認証後に LoA 2 サービスにアクセスすると IC カード認証が要求される ( 昇格 ) IC カード以外にもいろんな条件と組合せ可能学内アクセスのみに限定など IC カードを抜くと LoA 2 サービスからログアウト ( 降格 ) LoA 1 サービスは引き続き利用可能 SSO の利便性を保つ 30

31 NET+ SITF 31

32 Current Services Portfolio 29 Services Infrastructure-as-a-Service Software-as-a-Service Communications-as-a-Service Other Services + 32

33 学生証を提示して割引等を受けるという行為をネットの世界でも可能に信頼性の高い属性情報を大学から提供属性情報の利用に関するルールを定めプライバシーを保護学術 (SAML) と民間 (OpenID) との連携によるサービスの拡充さらに民間企業と学術機関大学とのコラボレーションによって多様なサービスやイノベーションが生まれることを期待 33

34 産学の ID をつなぐ世界初のトラストフレームワークの研究に着手 ~ 利用者情報の安全な流通を目指し学生向けサービスの提供を支援 ~ 大学共同利用機関法人情報システム研究機構国立情報学研究所一般社団法人 OpenID ファウンデーションジャパン国立情報学研究所 ( 所長 : 坂内正夫以下 NII) は一般社団法人 OpenID ファウンデーションジャパン ( 代表理事 : 八木晃二以下 OIDF-J) と共同して学術認証フェデレーション 1 ( 以下学認 ) と民間企業が提供するサービスをつなぐトラストフレームワーク 2 に関する研究を開始します本研究はオンライン ID に信頼を付与しさまざまなサービスで活用可能なエコシステムの実現を目指しています産学分野の ID を相互に結ぶオープンなトラストフレームワークの策定は世界初の試みとなりますこのトラストフレームワークの実現によってこれまでそれぞれ異なるルールや技術を用いて構築してきたサービスがシームレスにつながり組織や業界国境を超えた柔軟な認証が可能になるとともにさまざまな利用者情報を安全にやり取りすることが可能になります ID 提供側とサービス提供側との信頼関係の構築が容易になることで従来は不可能だったより利便性の高いオンラインサービスの創出が期待されます ( 34 Copyright (c) 2013, National Institute of Informatics 2013/2/4

35 魅力あるサービスの創出クラウド型サービス学割サービス? システム開発改善より所属機関を探しやすいディスカバリーサービス学認申請システムとの連携による IdP 運用コストの削減個人情報送信同意機能の提供 (uapprove.jp) IdP 冗長運用技法の情報提供属性プロバイダmAP (Vertual Organization 情報提供 ) 関連サービス多要素認証クライアント証明書の導入による認証セキュリティ向上など 35

学認の現状と取り組みについて

学認の現状と取り組みについて国立情報学研究所学術認証推進室管理者 ID 管理工数の軽減利用者 ID/Password を使い分ける必要なし設備予約給与明細履修登録 elearning Web メイルユーザディレクトリ (LDAP) 人事課学務課総務課 2 統合認証されてもアプリケーションアクセスするたびに同じ ID とパスワードの入力を要求される一度の認証手続きだけで複数のサービスを受けることができる技術