スライド 1

Similar documents
Microsoft PowerPoint - shib-training-r13_ pptx[読み取り専用]

Microsoft PowerPoint - shib-training-r10(セミナー第3回用).pptx

Microsoft PowerPoint - shib-training-r7_第3回.pptx

シングルサインオンの基礎知識 ~Shibbolethの概要~

(Microsoft PowerPoint - \224\255\225\\\227p_1_\222\206\220g_\212w\224F.ppt [\214\335\212\267\203\202\201[\203h])

} 学割サービス } StudentBeans } ASKNET (Verification Service for Academic Discount) } アカデミックパス } ウェルネット } SheerID } InAcademia (edugain) } ビッグローブ } edugain

スライド 1

Microsoft PowerPoint - 学認キャンプ-2.pptx

スライド 1

スライド 1

2010 National Institute of Informatics 2010 年度 SINET& 学認説明会 学認の現状と参加方法 国立情報学研究所 作成日 :2010 年 11 月 1 日

Microsoft PowerPoint - Gakunin2011MieNewFeature.pptx

Microsoft PowerPoint - txt3_Formal_210901軽井沢_阿蘓品.ppt [互換モード]

学術認証フェデレーションの概要 学術認証フェデレーション試行運用参加説明会 2009 年 8 月 5 日

スライド 1

CA Federation ご紹介資料

RIMS 研究集会 大学における学術認証基盤の展開 北大の情報環境推進を例に 髙井昌彰 北海道大学 CIO 補佐官 情報基盤センター教授 副センター長

学術認証フェデレーション システム運用基準(Ver 1.0)

PowerPoint プレゼンテーション

Microsoft PowerPoint - kantara-gakunin.pptx

スライド 1

学認の現状と取り組みについて

スライド 1

全国の大学をつなぐ認証基盤「UPKI」

Microsoft PowerPoint - s3appli-PKI(kataoka) ppt

AXIOLE V Release Letter

金沢大学における   Shibboleth構築とSP実装例

学認申請システム利用マニュアル(テストfed)_3

<4D F736F F F696E74202D DB293A190E690B C835B83938E9197BF81698CF68A4A A2E >

untitled

<4D F736F F F696E74202D EC C7988E491F289DB91E892F18F6F F18F6F816A2E B93C782DD8EE682E890EA97705D>

PowerPoint プレゼンテーション

学認は高専をより魅力的にできるか? -メリットと参加のための準備-

北海道大学における Shibboleth 実証実験 IdP の構築 廉価な機器による実装 ID/Password 認証連携の実証試験 PKI 認証連携の実証試験 プライベート認証局の利用 専用のプライベート CA を新設し IdP サーバ証明書を発行 クライアント証明書は既設のプライベート CAから

OpenAM(OpenSSO) のご紹介

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

EAJRS_CATILL

EAJRS_CATILL

Active Directory フェデレーションサービスとの認証連携

学認申請システム利用マニュアル(運用fed)_3

SeciossLink クイックスタートガイド(Office365編)

スライド 1

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

Microsoft PowerPoint AM_GN_eduroam01_Nakamura.pptx

学認とOffice 365 の 認証連携

PowerPoint プレゼンテーション

_2009MAR.ren

PowerPoint プレゼンテーション

目次 1. はじめに 当ドキュメントについて 環境設計 フロー モデルの設計 ログイン タイプの決定 その他情報の決定 IBM Connections Cloud との

SinfonexIDaaS機能概要書

Shibboleth Office365 Education , Office365, 8 26 Office365 Shibboleth., Shibboleth, Office365,. 1.,,,,., LMS.,,, ICT,, Google App

SeciossLink クイックスタートガイド

KS_SSO_guide

PowerPoint プレゼンテーション

Microsoft Word - RefWorksコース( _.doc

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

PowerPoint プレゼンテーション

ログを活用したActive Directoryに対する攻撃の検知と対策

スライド 1

スライド 1

ミーティングへの参加

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

POWER EGG 3.0 Office365連携

学認(Shibboleth)との認証連携

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

<4D F736F F F696E74202D208CB B835E5F88EA95B68DED8F9C8DCF5F456D61696C8DED8F9C5F53538CA E937891E63189F189EF8D F89AA91E58A7782AA94468FD88AEE94D582C98B8182DF82E997768C8F288E518FC6295F

佐賀大学紹介 5 学部 (2016 年度から 6 学部 ) 文化教育学部 (2016 年度から教育学部 ) 経済学部 医学部 理工学部 農学部 ( 芸術地域デザイン学部 ) 人数 学生 : 約 7,000 人 教職員数 : 約 3,000 人 キャンパス 本庄キャンパス 鍋島キャンパス ( 有田キャ

FUJITSU Cloud Service K5 認証サービス サービス仕様書

学認を活用した大学連携IT基盤の構築に向けて

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

Microsoft PowerPoint - SCPJ.ppt [互換モード]

ROBOTID_LINEWORKS_guide

RADIUS GUARD®とAXシリーズによる認証連携 の相互接続情報と設定ポイント

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

Microsoft Word - RefWorksコース doc

Web ( ) [1] Web Shibboleth SSO Web SSO Web Web Shibboleth SAML IdP(Identity Provider) Web Web (SP:ServiceProvider) ( ) IdP Web Web MRA(Mail Retrieval

■POP3の廃止について

Mac OS X 10.7(Lion) 有線接続用

<4D F736F F D2089E696CA8F4390B35F B838B CA816A>

Microsoft PowerPoint - [1]project-summary ppt

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

(Microsoft PowerPoint -

チェックリスト Ver.4.0 回答の 書き方ガイド 国立情報学研究所クラウド支援室

OSSTech OpenSSO社内勉強会資料

I N D E X リダイレクト画面投稿手順 リダイレクト画面投稿手順 2 1 管理画面にログイン 2 右上の + 追加 を押す メールサービスのご利用について 4 メールソフト設定方法 ご利用のバージョンにより 画面や設定項目が異なる場

PowerPoint プレゼンテーション

自己紹介 八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーション ジャパン Enterprise Ident

オージス総研のご紹介 社名 代表者 設立 株式会社オージス総研 取締役社長平山輝 1983 年 6 月 29 日 資本金 4 億円 ( 大阪ガス株式会社 100% 出資 ) 売上実績 512 億円 ( 連結 ) 270 億円 ( 単体 ) ( 2010 年度 ) 従業員数 2,847 名 ( 連結

OSSTechプレゼンテーション

3. 機関選択画面が表示されます 次のどちらかを行ってください ( 以前 ログインしたことがあれば 鳥取大学 Tottori University のリンクが表示され 以下を省略することができます ) A) Search for your institution and click the name

WSMGR for Web External V7.2 L50 ご紹介

Microsoft Word - EndNoteWeb( _.doc

Shibboleth IdPバージョン3に向けたNIIの取り組み

desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1

Thunderbird(Windows) 設定マニュアル 目次 1 POP 系の設定 初めて設定する場合 ( 追加メールアドレスの設定 ) 設定内容の確認 変更 メールアドレス変更後の設定変更 メールパスワード変更後の設定変更

情報戦略フォーラム pptx

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

AXIOLE OmniSwitch/OmniAccess Microsoft Shibboleth VPN n LAN MAC VLAN Microsoft Office365 Shibboleth Microsoft 1 LAN 2000 [1, 2, 3] LAN LAN [4, 5

大阪大学キャンパスメールサービスの利用開始方法

Transcription:

学術認証フェデレーション及び SINET サービス説明会資料 学術認証フェデレーションの概要 国立情報学研究所

学術認証フェデレーションとは 学術認証フェデレーションとは 定められた規程 ( ポリシー ) を信頼しあうことで, 相互に認証連携を実現し, 学術リソースを利用 提供する機関や組織から構成された連合体のこと 機関 (IdP) が ID と属性を管理し, サービス提供者 (SP) がそれを利用して認可 プライバシ保護 ユーザのユニークネスを保証しつつ個人情報は出さない SP は必要な情報のみを IdP に要求 ユーザは各 SP に対する各属性の公開を制御可能 従来 :SP で ID 管理 SP ID 属性 SSO:IdP で ID 管理 アクセス SP リダイレクト IdP ユーザ アクセス パスワード SP ID 属性 ユーザ パスワード SP アサーション ID 属性 2

Shibboleth( シボレス ) 米国 EDUCAUSE/Internet2 にて 2000 年に発足したプロジェクト http://shibboleth.internet2.edu/ SAML eduperson 等の標準仕様を利用した, 認可のための属性交換を行う標準仕様とミドルウェア ( オープンソースソフトウェア ) 最新は Shibboleth V2.1 米国 欧州で Shibboleth による Federation が運用 拡大 cf. 欧州 ( 特に北欧 ) では,simpleSAMLphp も利用 ノルウェ UNINETT http://rnd.feide.no/simplesamlphp 日本語化プロジェクト http://sourceforge.jp/projects/ssp-japan/ 3

世界のフェデレーションと動向 市民アカウントとの連携 小学生の利用 北欧 Fed 連盟での利用 MS Geneva とのコラボ OpenID とのコラボ http://www.internet2.edu/pubs/national_federations.pdf 4

ID 空間とサービス空間の創造 5 Web 空間 学術関係者の ID 空間 従来の分断サービス空間

フェデレーション構築に必要なサーバ 6 IdP(ID Provider) 大学 ( サービス利用者側 ) が用意 フェデレーション内に構成員の情報を提供するサーバ フェデレーションに参加する大学等が構築 SP(Service Provider) 大学他 ( サービス提供側 ) が用意 認証を受けた人に対してサービスを行うサーバ 電子ジャーナル, データベース,E- ラーニング等 Web ベースのシステムであれば何でも可 DS(Discovery Service) フェデレーションが用意 SP へのアクセスの際に IdP を検索するシステム フェデレーションが運用 ここに名前がのることにより フェデレーションに参加

IdP (ID Provider) とは 7 フェデレーション内に情報を提供するサーバであり, 大学等が構築 IdP 自身は情報を持たない 情報は LDAP や Active Directory 等, 既存の認証基盤を参照 IdP は単なるフィルタであり, 学内認証基盤から特定のデータのみを抽出して提供する 公開できるデータの制御が可能である このため,Shibboleth はしばしば個人情報保護に優れていると言われるが, サーバ自体がハッキングに強固という意味ではない 慎重な操作が必要なのは,LDAP や Active Directory と同じ 必要なデータのみを外部へ 機関名, 所属 IdP 提供データのフィルタ 非公開データを落とすフィルタ 学内認証基盤 LDAP Active Directory など機関名, 所属, 氏名, 肩書き

SP (Service Provider) とは サービスを提供する Web サーバのこと シボレスログイン 等のボタンがあれば Shibboleth で利用可能な SP である 電子ジャーナルに限らず, いろいろなサービスを Shibboleth 化することが可能 ( 例 : 無線 LAN 認証, サイボウズ ) 学内のみの利用ならば,IdP, SP が立ち上がれば完成 他大学と連携するには何が必要? 8

現時点で利用可能な SP Science Direct / SCOPUS (Elsevier) SpringerLink (Springer) Web of Knowledge / EndNote (Thomson Reuters) OvidSP (Ovid) RefWorks (ProQuest) Pathology Images (Atlases) DreamSpark (Microsoft) CiNii (NII) (12 月 1 日現在 ) 学生を対象に 開発環境 ( ソフトウェア ) を提供 FReCS MCU ( テレビ会議多地点接続 ) サービス (NII) 最新情報 :https://upki-portal.nii.ac.jp/docs/fed/participants 9

10 海外フェデレーションの SP 数 スイスSWITCHaai:382 イギリスUK-FAM:190 アメリカInCommon:150 以上 ドイツDFN-AAI:60 フィンランドHaka:65 フランスFédération Éducation-Recherche :54 ノルウェー FEIDE:50 以上

具体的な利用例 ( 学内 SSO の整備 ) フェデレーション自体は学外リソース利用のためのもの フェデレーションへの参加により 学内の統合認証システム構築を加速化 学内システムの SSO 化を加速化 シボレス化による学内の公開 Web サービスのセキュリティレベルの向上 Web メイルグループウエア図書館システム 11

12 具体的な利用例 ( 電子ジャーナル ) リモートアクセスによる利用頻度の向上 SSO によるユーザエクスペリエンスの向上 マッシュアップの促進 論文を探して論文を取得して ( 読んで ) 論文を管理する

具体的な利用例 ( アカデミック配付 ) Microsoft DreamSpark 学生を対象に MS のソフトウエア開発環境を無償で提供するプログラム 属性により大学構成員であり学生であることを確認 edupersontargetedid(sp 毎に異なるハッシュ化された一意のID) edupersonscopedaffiliation( 例 :student@nii.ac.jp) 運用フェデレーション参加 24 時間後に利用可能 13

フェデレーション参加のメリット 14 大学など情報セキュリティ準拠, 個人情報保護などへの対応 ID 管理など運用管理業務, ユーザサポート業務の軽減 シームレス ( 学内外 ) なアクセス管理システム統合 学術分野へのサービスのビジビリティの向上 ID 管理からの解放, ユーザサポート業務の軽減 ライセンス条件にそった適正な利用 SSO によるユーザエクスペリエンスの向上 ID/ パスワード管理からの解放 各リソースでマイページ等のパーソナライズ機能の充実化 ユーザへの利便性向上を提供 経費削減への展開

構築スケジュール 2008 年度 2009 年度 2010 年度以降 ( 事業化に向けて検討 ) テスト環境 実証実験 申請 試行運用フェデレーション運用フェデレーション実アカウント利用実サービス提供昇格テストフェデレーション 本格運用運用フェデレーション昇格テストフェデレーション ( 技術検証 ) 27 機関参加 30 IdP 18 SP( 商用 1) 仮アカウント利用申込仮サービス提供参加についての詳細は :https://upki-portal.nii.ac.jp/docs/fed/join

実証実験参加機関数推移 16 27 機関 30 IdP サイト 18 SP サイト 20 Sites IdP 30 Sites Elseviert との接続成功 18 Sites 10 Sites 10 Sites SP Aug. Sep. Oct. Nov. Dec. Jan. Feb.

17 学術認証フェデレーション試行運用 (2009~) 学術認証フェデレーション 1. テストフェデレーションで事前接続テストを実施 2. 事前接続テスト成功後 運用フェデレーションへ移行 テストフェデレーション 運用フェデレーション 接続テスト 接続テスト テスト IdP ( 大学 ) テスト SP ( 大学 商用 ) 運用 IdP ( 大学 ) SP ( 大学 商用 ) テストアカウント 関係者のみ 実アカウント 利用

フェデレーション ポリシー 18 学術認証フェデレーションでは 下記の規程 ( ポリシー ) を定めています 試行運用への参加にあたっては 規程の遵守をお願い致します Web 掲載場所 : UPKI イニシアティブ 学術認証フェデレーション - 参加 https://upki-portal.nii.ac.jp/docs/fed/join UPKI 認証フェデレーション試行運用実施要領 システム運用基準ドラフト 属性情報一覧 個人情報保護ポリシーおよび指針 システム運用基準は 現在ドラフトであり 試行運用を実践しながらブラッシュアップを行い 現在のシステム運用基準は V1.0 です ( 完成版ではありません ) 同様に 実施要領も今後の試行運用を行いながら運用しやすいよう改訂していきます テストフェデレーションは できる限り本ポリシーの遵守をお願いしますが 各システム及びアカウント等がテスト用であることから 必ずしも全てを遵守する必要はありません

認証で使用する 属性 フェデレーションで認証に使用する属性は フェデレーションポリシーで 16 種類を定めています これらのデータを用いて認証を行います 属性内容 OrganizationName (o) 組織名 jaorganizationname (jao) 組織名 ( 日本語 ) OrganizationalUnit (ou) 組織内所属名称 jaorganizationalunit (jaou) 組織内所属名称 ( 日本語 ) edupersonprincipalname (eppn) フェデレーション内の共通識別子 edupersontargetedid フェデレーション内の匿名識別子 edupersonaffiliation 職種 edupersonscopedaffiliation 職種 ( スコープ付き ) edupersonentitlement 資格 SurName (sn) 氏名 ( 姓 ) jasurname (jasn) 氏名 ( 姓 )( 日本語 ) GivenName 氏名 ( 名 ) jagivenname 氏名 ( 名 )( 日本語 ) displayname 氏名 ( 表示名 ) jadisplayname 氏名 ( 表示名 )( 日本語 ) mail メールアドレス テスト SP での表示例 掲載場所 : https://upki-portal.nii.ac.jp/docs/fed/technical/attribute 19

テストフェデレーション テストフェデレーション (UPKI-Test-Fed) のシステム構成 リポジトリ (upki-repo.nii.ac.jp) テストフェデレーションメタデータ TEST-DS (upki-test-ds.nii.ac.jp) TEST-SP00 (upki-test-sp00.nii.ac.jp) TEST-SP01 (upki-test-sp01.nii.ac.jp) UPKI オープンドメイン認証局 接続テスト TEST-SP02 (upki-test-sp02.nii.ac.jp) 受信属性の表示 テスト IdP ( 大学 ) テスト SP ( 大学 商用 ) SP,IdP は 1 対 1 で存在確認しているわけではない 同じフェデレーションのメンバーであることがわかるものがいる メタデータ 3 つのテスト用 SP を NII に準備, 大学の IdP の動作確認が可能 20

メタデータ (XML 形式 ) の構成 21 フェデレーションメタデータ 署名の情報 IdP の情報 IdP1 の情報 IdP2 の情報 エンティティメタデータ (IdP) IdP1 の ID=entityID 利用する証明書 利用可能なプロトコル 組織情報 エンティティメタデータ (SP) SP の情報 SP1 の情報 SP2 の情報 SP1 の ID=entityID 利用する証明書 利用可能なプロトコル 組織情報

テストフェデレーション IdP 設置申込書 22

運用フェデレーション 運用フェデレーション (UPKI-Fed) のシステム構成 UPKI オープンドメイン認証局 リポジトリ (upki-repo.nii.ac.jp) 運用フェデレーションメタデータ DS( ディスカバリ サービス ) (upki-ds.nii.ac.jp) 表示 運用 IdP ( 大学 ) 認証 運用 SP ( 大学 商用 ) アクセス 選択 SP は, 接続した人がどこの大学か判断できない DNS のようなもの必要 DS 23

IdP SP 運用フェデレーション IdP/SP の構築と参加フローテストフェデレーション学術認証フェデレーション構築 VM イメージ利用 貴学で構築テストフェデレーションへの接続接続テスト運用フェデレーションへの接続運用構築テストフェデレーションへの接続接続テスト運用フェデレーションへの接続運用 UPKI オープンドメイン認証局申請申請サーバ証明書入手サーバ証明書入手設置申込設置申込メタデータメタデータ運用テスト参加申請参加申請運用メタデータメタデータテスト 24

各種情報 1. 学術認証フェデレーションに関する Web サイト UPKI イニシアティブ 学術認証フェデレーション https ://upki-portal.nii.ac.jp/docs/fed 2. ポリシー 申請書 UPKI イニシアティブ 学術認証フェデレーション - 参加 https ://upki-portal.nii.ac.jp/docs/fed/join 3.IdP SP 構築ガイド UPKI イニシアティブ 学術認証フェデレーション - 技術ガイド https ://upki-portal.nii.ac.jp/docs/fed/technical 4.IdP 構築用 VMWareServer イメージ UPKI イニシアティブ 学術認証フェデレーション - 技術ガイド - IdP 構築関連ファイル https ://upki-portal.nii.ac.jp/docs/fed/technical/idp/files 5. テンプレート ( メタデータ IdP 属性管理 ) 学術認証フェデレーションのリポジトリ http ://upki-repo.nii.ac.jp/template/index.html 6. 情報交換メーリングリスト ( アーカイブ ) UPKI イニシアティブ 学術認証フェデレーション - 情報交換 ML https ://upki-portal.nii.ac.jp/docs/fed/ml 25

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック