事例紹介九州大学における UPKI の取り組み 伊東栄典 九州大学情報統括本部 ito.eisuke.523@m.kyushu-u.ac.jp 1
2 目次 1. はじめに 2. 九州大学全学共通認証基盤 3. SSO 環境の構築 4. Shibboleth SSO 5. UPKI Federation 6. おわりに
3 1. はじめに 認証を要する情報サービスの増大 認証用 ID/PW の増加 認証作業が面倒になった 利用者 :ID/PWが複数あって, どれかわからない管理者 : アカウント管理が, 面倒 CIO: 安全性 ( セキュリティ ) の低下 統一的な基盤が必要
4 Blackboard Learning System (WebCT) Microsoft Office SharePoint Server 教員業績 DB 全学基本メール Mirapoint Web Mail Campusmate/Portal Netacademy2 英語学習 九州大学機関リポジトリ QIR ( 附属図書館 ) Campusmate-J 成績登録 確認 シラバスシステム
5 本発表の内容 九州大学の事例を紹介 学内の認証統合 全学共通認証基盤の方針 内容 学外の認証連携へ Shibboleth SSOの取り組み UPKI Federationへの参加
6 経緯 2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 九州大学 UPKI 参画 LDAP 導入 学内認証基盤の整備 パスワード管理装置導入 全学共通認証事業室設置全学共通 ID 発行 学内無線 LAN kitenet ( 認証付き ) Shibboleth IdP 多数の学内向け試行運用サービスで認証統合 Reverse Proxy SSO 導入? ( マトリックスパスワード認証 ) 全学基本メール開始 UPKI 開始 UPKI Initiative サーバ証明書 NII eduroam.jp GRID SSO 実証実験 UPKI-Fed 試行運用 UPKI-Fed 学術認証フェデレーション
7 2. 九州大学全学共通認証基盤 認証における煩雑さを解消 かつ, 情報サービスの利便性 信頼性 安全性を向上 学内向け情報サービスにおける, 認証を統合 九州大学情報統括本部全学共通認証事業室 3つのサービス全学共通 IDの発行 管理認証機能の提供サーバ証明書の申請受付
8 九州大学全学共通認証基盤 全学共通 ID 発行 管理 全学共通認証基盤 認証機能提供 サーバ証明書受付 構成員の身元情報 DB 認証用ディレクトリ LDAP/AD サーバ 全学共通 ID 発行ユーザ対応 学内構成員 教員 職員 認証機能提供ユーザ情報提供 学内の情報システム 管理者 申請 その他 学生 院生 利用者認証
9 対応サービス 教育情報システム, 学生用メール, 学生ポータル kitenet( 無線 LAN アクセス ) 九州大学シラバス 全学ライセンスソフト ( マイクロソフト, セキュリティ対策ソフト ) WebCT (Web 学習システム ) NetAcademy 2 ( 英語学習システム 言語文化研究院提供 ) どこでもきゅうと ( 附属図書館電子ジャーナル利用 ) スペース管理システム ( 施設部 ) 全学基本メール 学務情報システム ( 学務部 ) 大学評価 教員業績評価支援システム ( 大学評価情報室 ) 事務用計算機システム ( 事務 LAN 接続端末の認証 ) IC カード職員証 Web 申請
10 ID 管理のデータフロー 学務部 学生 DB 年数回 学生データ 教育情報システム 人事給与室 人事給与システム 毎日 人事給与データ 毎日 部局所属者の SSO-KID リスト 月 2 回 SSO-KID カード 情報統括本部 新 利用者管理システム電子受領確認の機能追加 学内便 総括担当者 学内便でのカード送付 各種申請 学内構成員 認証サーバ 認証用 LDAP サーバ 照会 情報サービス 本人による受領確認 (Web サイトからの確認 ) 確認後, アカウントを解放 H22 年度から
11 九州大学全学共通認証基盤システム構成とデータフロー (H21 年度 ) その他の活動従事者 人事給与 DB ( 教員 職員 ) 学生 DB ( 学生 ) 全学共通 ID (SSO-KID) 発行 IC カードシステム ID 管理システム Active Directory 事務用計算機システム ログオン Active Directory 学生向け教育情報システム ログオン パスワード変更装置 パスワード変更 マトリックスパスワード セキュリティ重視 重要サービス 重要サービス マトリックスパスワード認証 SSO-KID/PW, マトリックス認証 LDAP サーバ 参照 無線 LAN (kitenet) 参照 Shibboleth IdP (SSO) 全学メール 参照 WebCT どこでもきゅうと SSO-KID, 学生 ID パスワード認証 Shibboleth SSO
12 3. SSO 環境の構築 ID 統合による安全性 ( セキュリティ ) の問題 一つの ID/PW で, 全サービスが利用できて便利になった ID/PW が破られると, 全サービスを利用されてしまう 学内の情報サービスに,LDAP で認証機能を提供 情報サービス側にID/PWを入力する情報サービスが破られると,ID/PWを盗まれるかも 安全性 ( セキュリティ ) の考慮が必要 まだ SSO になっていない Single ID/PW にはなったけれども 安全かつ便利なシステムが必要 セキュリティレベルに応じたシステムが必要
13 Web 情報サービスの対応方法 安全性重視 ( 高セキュリティ ) 学内サーバ 財務会計システム 学務情報システム ( 成績管理 ) ID/PW 認証とマトリックス認証 Proxy 型 SSO 学外サービス (SaaS, ASP)? 利便性重視 ( 低セキュリティ ) 全学基本メール (Webmail) WebCT (e-learning) 全学ライセンスソフト提供 全学ポータル 分散認証型 SSO Shibboleth (SAML) 電子ジャーナル RefWorks Google Apps
14 九州大学全学共通認証基盤システム構成とデータフロー (H21 年度 ) その他の活動従事者 人事給与 DB ( 教員 職員 ) 学生 DB ( 学生 ) マトリックスパスワード認証の対象サービス ( 重要情報サービスのみ ) 全学共通 ID (SSO-KID) 発行 IC カードシステム ID 管理システム Shibboleth SSO 対応 ( 利便性重視サービス ) Active Directory 事務用計算機システム ログオン Active Directory 学生向け教育情報システム ログオン パスワード変更装置 パスワード変更 マトリックスパスワード セキュリティ重視 重要サービス 重要サービス マトリックスパスワード認証 SSO-KID/PW, マトリックス認証 LDAP サーバ 参照 無線 LAN (kitenet) 参照 Shibboleth IdP (SSO) 全学メール 参照 WebCT どこでもきゅうと SSO-KID, 学生 ID パスワード認証 Shibboleth SSO
15 マトリックスパスワード認証 Reverse Proxy SSO 利用者は職員のみ重要サービスのみ 学務情報システム ( 成績登録 ) マトリックスパスワード IC 職員証の券面に印刷
16 4. Shibboleth SSO 利便性重視のシステムは,Shibboleth で SSO 環境を構築 セキュリティ的に良い全国標準になりつつある学外との連携, フェデレーションにもつながる
17 Shibboleth システム構成 全学共通認証基盤 (LDAP) SJSDS Solaris LDAP Proxy (OpenLDAP) CentOS 属性変換のために用意 ( 使うか未定 ) Shibboleth IdP CentOS VMware Windows XP 学内情報サービス MyLibrary どこでもきゅうと (Ezproxy) WebCT Shibboleth Web SSO
18 九大図書館 http://www.lib.kyushu-u.ac.jp/ IdP SP
19 Shibboleth SSO の状況 始まったばかり (2009 年 12 月 1 日にサービスイン ) 今の所, 順調 利用者が増えると, 処理できるかは不安 高性能サーバに変更予定
20 4. UPKI Federation 学外組織提供のサービスが利用したい 電子ジャーナル, MS DreamSpark (Google Apps) その他,SaaS 系のサービス 参加状況 テストフェデレーションに参加 試行運用フェデレーションにも参加 ( 予定 ) 学内の合意形成が必要 外部 SP へ提供する属性情報の扱いについて, きちと検討する必要がある
21 九州大学全学共通認証基盤システム構成とデータフロー (H22 年度 ) その他の活動従事者 人事給与 DB ( 教員 職員 ) 学生 DB ( 学生 ) 学外のサービス提供サイトとの認証連携 全学共通 ID (SSO-KID) 発行 IC カードシステム ID 管理システム 電子ジャーナル Refworks Active Directory 事務用計算機システム ログオン Active Directory 学生向け教育情報システム ログオン パスワード変更装置 パスワード変更 マトリックスパスワード セキュリティ重視 重要サービス 重要サービス マトリックスパスワード認証 SSO-KID/PW, マトリックス認証 LDAP サーバ 参照 無線 LAN (kitenet) 参照 Shibboleth IdP (SSO) 全学メール 参照 WebCT どこでもきゅうと SSO-KID, 学生 ID パスワード認証 MS DS Shibboleth SSO Shibboleth SSO
22 JANET Training JANET 英国の組織 ( 学術ネットワーク運用から発展 ) 各種の研修コースを提供 そのなかの Shibboleth IdP/SP 構築研修に参加 トレーニングの内容 テキストと,VM 環境を与えられる (VMは持ち帰りOK) 2 日間 ( 一日目 :IdP,2 日目 :SP) 一通り設定ができる 予備知識が無いと, わからない
23 6. おわりに 九州大学の事例を紹介 全学共通認証基盤 全学共通 ID マトリックスパスワード認証装置 Shibboleth 環境 フェデレーションへの参加状況