Microsoft PowerPoint - 学認キャンプ-2.pptx

Shibboleth, 学 認 を 知 ろう 国 立 情 報 学 研 究 所 佐 賀 大 学 大 谷 誠 学 認 CAMP ~ GakuNin Campus Architecture and Middleware Planning ~

学 術 認 証 フェデレーション( 学 認 )とは 学 認 の 現 状 Shibboleth の 概 要 とその 動 作 2

学 認 の 現 状 Shibboleth の 概 要 とその 動 作 3

Webアプリケーションへのシングル サイン オン(SSO) 技 術 を 組 織 を 越 えて 活 用 する 分 散 型 学 術 認 証 基 盤 従 来 ID1/Pass1 ID2/Pass2 ID3/Pass3 elearning システム Web メール 電 子 Journal ポリシー SSO 学 認 大 学 A ID/Pass 機 関 認 証 システム 機 関 単 位 で 分 散 大 学 B 大 学 C Webアプリ 毎 にIDを 管 理 > ID 管 理 コスト 大 Webアプリ 毎 にログイン 作 業 > ユーザのセキュリティ 意 識 低 下 セキュリティレベルの 不 統 一 > 低 セキュリティサイトアクセス 時 の 漏 えいリスク elearning システム 学 内 Web メール 電 子 Journal 学 外 4

学 術 認 証 フェデレーション Webアプリケーションへのシングル サイン オン(SSO) 技 術 を 組 織 を 越 えて 活 用 する 分 散 型 学 術 認 証 基 盤 定 められた 規 程 (ポリシー)を 信 頼 しあうことで 相 互 に 認 証 連 携 を 実 現 し, 学 術 リ ソースを 利 用 提 供 する 機 関 や 組 織 から 構 成 された 連 合 体 機 関 (IdP)がIDと 個 人 の 情 報 ( 属 性 )を 管 理 し,サービス 提 供 者 (SP)がそれを 利 用 して 認 可 プライバシ 保 護 を 考 慮 したシングルサインオン(SSO) 技 術 一 度 の 認 証 で 複 数 のSPを 利 用 ユーザの 一 意 性 を 保 証 しつつ 必 要 な 個 人 情 報 以 外 は 出 さない 必 要 な 属 性 のみをIdPから 取 得 ユーザは 各 SPに 対 する 属 性 の 公 開 を 制 御 ( 制 限 )することも 可 能 5

セキュリティや 個 人 情 報 保 護 法 に 配 慮 して, 認 証 認 可 の 情 報 交 換 を 行 うためのデータ 形 式 標 準 団 体 OASISにより 策 定 米 国 EDUCAUSE/Internet2にて2000 年 に 発 足 したオープンソースプロジェクト http://shibboleth.internet2.edu/ SAMLによる 認 証 連 携 方 法 として 学 術 界 ではデファクトスタンダード 米 国 欧 州 でShibbolethによる 学 術 認 証 フェデレーションが 拡 大 ユーザ 情 報 LDAP シ ボ レ ス IdP SAML 標 準 シ ボ レ ス SP 6 SAML 通 信 のためのフィルタのようなもの

フェデレーション 自 体 は 学 外 リソース 利 用 のためのもの フェデレーションへの 参 加 により 学 内 の 統 合 認 証 システムの 構 築 を 加 速 化 学 内 システムのSSO 化 を 加 速 化 学 内 の 公 開 Webサービスのセキュリティレベルの 向 上 Webメール グループウエア 図 書 館 システム 7

リモートアクセスによる 利 用 頻 度 の 向 上 SSOによるユーザエクスペリエンスの 向 上 論 文 を 探 して 論 文 を 取 得 して( 読 んで) 論 文 を 管 理 する 認 証 連 携 によるディープなマッシュアップ 8

Microsoft DreamSpark 学 生 を 対 象 にMSのソフトウエア 開 発 環 境 を 無 償 で 提 供 するプログラム 属 性 により 大 学 構 成 員 であり 学 生 であることを 確 認 edupersontargetedid(sp 毎 に 異 なるハッシュ 化 された 一 意 のID) edupersonscopedaffiliation( 例 :student@nii.ac.jp) 9

学 術 認 証 フェデレーション( 学 認 )とは Shibboleth の 概 要 とその 動 作 10

2008 年 度 2009 年 度 2010 年 度 試 行 運 用 本 格 運 用 2011 年 度 以 降 運 用 フェデレーション 運 用 フェデレーション テスト 環 境 実 証 実 験 ( 技 術 検 証 ) 27 機 関 参 加 30 IdP 18 SP( 商 用 1) 実 アカウント 利 用 実 サービス 提 供 昇 格 テストフェデレーション 仮 アカウント 利 用 仮 サービス 提 供 昇 格 テストフェデレーション 11

27 Institutions 30 IdP sites 18 SP sites 30 Sites 20 Sites IdP Completed connection to Elsevier! 18 Sites 10 Sites 10 Sites SP 12 Aug. Sep. Oct. Nov. Dec. Jan. Feb.

現 在 2008 年 度 2009 年 度 2010 年 度 試 行 運 用 本 格 運 用 2011 年 度 以 降 運 用 フェデレーション 運 用 フェデレーション テスト 環 境 実 証 実 験 ( 技 術 検 証 ) 27 機 関 参 加 30 IdP 18 SP( 商 用 1) 実 アカウント 利 用 実 サービス 提 供 昇 格 テストフェデレーション 仮 アカウント 利 用 仮 サービス 提 供 昇 格 テストフェデレーション 13

国 立 情 報 学 研 究 所 名 古 屋 大 学 旭 川 医 科 大 学 山 形 大 学 東 京 農 工 大 学 千 葉 大 学 岡 山 大 学 京 都 大 学 九 州 工 業 大 学 広 島 大 学 京 都 産 業 大 学 金 沢 大 学 立 教 大 学 北 海 道 大 学 九 州 大 学 筑 波 大 学 東 京 大 学 佐 賀 大 学 明 治 大 学 山 口 大 学 神 戸 大 学 成 城 大 学 信 州 大 学 東 邦 大 学 自 治 医 科 大 学 三 重 大 学 名 古 屋 工 業 大 学 日 本 大 学 ( 参 加 順 ) 14 総 ID 数 45 万 ID (9 月 14 日 現 在 ) 旭 川 医 科 大 学 北 見 工 業 大 学 東 北 大 学 福 島 大 学 高 エ ネルギー 加 速 器 研 究 機 構 筑 波 技 術 大 学 東 京 工 業 大 学 お 茶 の 水 女 子 大 学 産 業 技 術 大 学 院 大 学 慶 應 義 塾 大 学 東 京 電 機 大 学 愛 知 県 立 大 学 鈴 鹿 工 業 高 等 専 門 学 校 奈 良 教 育 大 学 大 阪 大 学, 大 阪 教 育 大 学 徳 島 大 学 愛 媛 大 学 広 島 工 業 大 学 九 州 工 業 大 学 熊 本 大 学 etc 姫 路 獨 協 大 学 静 岡 大 学 中 部 大 学 福 井 大 学 東 京 学 芸 大 学 京 都 女 子 大 学 岩 手 大 学 浜 松 医 科 大 学 東 京 都 医 学 研 究 機 構 宮 崎 大 学 南 山 大 学 岐 阜 大 学 鹿 屋 体 育 大 学 京 都 工 芸 繊 維 大 学 京 都 府 立 大 学 高 知 大 学 茨 城 大 学 同 志 社 大 学 室 蘭 工 業 大 学 金 城 学 院 大 学 福 井 県 立 大 学 北 見 工 業 大 学 東 京 都 市 大 学 北 九 州 工 業 高 等 専 門 学 校 島 根 大 学 大 阪 教 育 大 学 最 新 情 報 :https://www.gakunin.jp/docs/fed/participants

学 術 コンテンツ (13) Science Direct / SCOPUS (Elsevier) SpringerLink (Springer) Web of Knowledge / EndNote (Thomson Reuters) OvidSP (Ovid) RefWorks (ProQuest) Cambridge Journals Online (CUP) Pathology Images (Atlases) EBSCOhost (EBSCO) KOD ( 研 究 社 ) CiNii (NII) IEEE Xplore (IEEE) 360 Search, 360 Link, Electronic Journal Portal (Serials Solutions) IMCデータリポジトリ( 金 沢 大 学 ) (9 月 14 日 現 在 ) 接 続 作 業 中 Sunmedia IOP PubMed ebrary Karger Emerald 朝 日 新 聞 医 中 誌 有 斐 閣 三 省 堂 15 最 新 情 報 :https://www.gakunin.jp/docs/fed/participants

(9 月 14 日 現 在 ) 開 発 環 境 (1) DreamSpark (Microsoft) ネットワークサービス(10) Fshare( 大 容 量 ファイル 交 換 )サービス(NII) FaMCUs (テレビ 会 議 多 地 点 接 続 )サービス (NII) 収 容 拠 点 数 拡 大 予 定 Eduroam-Shib(eduroam 用 一 時 アカウント 発 行 )サービス( 京 大 &NII) SecurityLearningシステム(e-Learning)(NII) WebELS elearningシステム(e-learning)(nii) edubase Cloud(クラウドサービス)(NII) Foodle( 予 定 調 整 サービス) (UNINETT) ゲスト 用 ネットワークアクセス 認 証 ( 佐 賀 大 学 広 島 大 学 ) ファイル 送 信 サービス( 金 沢 大 学 ) 科 学 技 術 の 学 術 情 報 共 有 のための 双 方 向 コミュニケーションサービス( 山 形 大 学 ) 16 最 新 情 報 :https://www.gakunin.jp/docs/fed/participants

17 https://wiki.shibboleth.net/confluence/display/shib2/shibenabled

18 18 20 20 30 32 7 14 12 9 3 18 23 46 16 38 24 16 35 オープンフォーラム 向 けアンケート 回 答 結 果 より 電 子 ジャーナル 電 子 書 籍 e Learning( 他 機 関 から 提 供 されるサービス) e Learning( 民 間 企 業 から 提 供 されるサービス) e Learning( 機 関 内 へ 提 供 するサービス) e Learning( 他 機 関 へ 提 供 するサービスとして) ソフトウェア 配 布 ( 他 機 関 から 提 供 されるサービス) ソフトウェア 配 布 ( 民 間 企 業 から 提 供 されるサービス) ソフトウェア 配 布 ( 機 関 内 へ 提 供 するサービス) ソフトウェア 配 布 ( 他 機 関 へ 提 供 するサービス) 遠 隔 講 義 遠 隔 会 議 システム( 他 機 関 から 提 供 されるサービス) 遠 隔 講 義 遠 隔 会 議 システム( 民 間 企 業 から 提 供 されるサービス) 遠 隔 講 義 遠 隔 会 議 システム( 機 関 内 へ 提 供 するサービス) 遠 隔 講 義 遠 隔 会 議 システム( 他 機 関 へ 提 供 するサービス) 参 加 各 機 関 による 研 究 成 果 の 公 開 電 子 メールやオンラインストレージなどのクラウドサービスとの 連 携 学 務 情 報 システム 人 事 給 与 財 務 会 計 システム その 他 18

スイス SWITCHaai:515 イギリス UK-FAM:219 アメリカ InCommon:140 フランス Fédération Éducation-Recherche :123 フィンランド Haka:115 ノルウェー FEIDE:80 ドイツ DFN-AAI:60 デンマーク WAYF:26 日 本 国 内 のサービスの 展 開 がポイント 19 https://refeds.terena.org/index.php/federations

市 民 アカウントとの 融 合 担 当 政 府 とフェデレーションの 連 携 小 学 生 の 利 用 高 等 教 育 担 当 局 と 初 等 教 育 担 当 との 連 携 北 欧 Fed 連 盟 での 利 用 隣 国 のe-Learningシステムを 積 極 的 に 利 用 FastLane,NSF,NIHサービス のフェデレーション 利 用 MS Genevaとのコラボ OpenIDとのコラボ 20 http://www.internet2.edu/pubs/national_federations.pdf

学 認 CAMP 09/14 三 重 大 学 第 8 回 全 国 大 学 コンソーシアム 研 究 交 流 フォーラム 分 科 会 09/11 熊 本 学 園 大 学 New Education Expo 学 術 認 証 フェデレーションによる 新 たな 大 学 ICT 利 活 用 の 展 開 06/15-16 大 阪 マーチャンダイ ズ マート 学 術 情 報 基 盤 オープンフォーラム 学 認 を 活 用 した 地 域 連 携 に 向 けて 情 報 処 理 技 術 セミナー Shibboleth 環 境 の 構 築 ( 第 3 回 ) 06/03 国 立 情 報 学 研 究 所 11/01-02 国 立 情 報 学 研 究 所 情 報 処 理 技 術 セミナー Shibboleth 環 境 の 構 築 ( 第 2 回 ) 08/04-05 国 立 情 報 学 研 究 所 情 報 処 理 技 術 セミナー Shibboleth 環 境 の 構 築 ( 第 1 回 ) 06/20-21 国 立 情 報 学 研 究 所 21

2009 年 度 までは,NII 情 報 処 理 軽 井 沢 セミナーにて 実 施 2010 年 度 からは,NII 講 習 システムを 用 いて 実 施 2 日 間 コース IdP 構 築 実 習 (1 日 目 ) SP 構 築 実 習 (2 日 目 ) 計 8 回 実 施 大 学 向 け3 回 大 学 + 企 業 向 け5 回 計 120 名 以 上 が 受 講 2011 年 度 も 引 き 続 き 実 施 大 学 向 け(3 回 を 予 定 ) 6/20-21,8/4-5,11/1-2 大 学 + 企 業 向 け( 調 整 中 ) 22 大 学 向 け 研 修 会 詳 細 http://www.nii.ac.jp/hrd/ja/joho-karuizawa/index.html に 掲 載

学 認 申 請 システム 学 認 への 参 加 申 請,メタデータ 登 録 更 新 等 がWebを 通 してオンラ インで 可 能 テストフェデレーション 1. 申 請 情 報 登 録 (およびアカウント 作 成 ) 2. 事 務 局 での 参 加 承 認 3. フェデレーションメタデータの 自 動 更 新 通 常 一 日 で 参 加 完 了 利 用 開 始 可 能 運 用 フェデレーションの 場 合 は? オフラインによる 確 認 が1ステップ 増 えるだけ 23

現 在 2008 年 度 2009 年 度 2010 年 度 試 行 運 用 本 格 運 用 2011 年 度 以 降 運 用 フェデレーション 運 用 フェデレーション テスト 環 境 実 証 実 験 ( 技 術 検 証 ) 27 機 関 参 加 30 IdP 18 SP( 商 用 1) 実 アカウント 利 用 実 サービス 提 供 昇 格 テストフェデレーション 仮 アカウント 利 用 仮 サービス 提 供 昇 格 テストフェデレーション 24

1. 学 外 サービスとの 認 証 連 携 に 備 えて/ 北 海 道 大 学 2. 認 証 基 盤 も 冗 長 構 成 化 して 可 用 性 を 向 上 / 山 形 大 学 3. 電 子 図 書 館 サービスにShibbolethを 導 入 / 筑 波 大 学 4. 図 書 館 主 導 で 実 現 したShibboleth 認 証 / 千 葉 大 学 5. 情 報 リソースの 共 有 で 運 用 コストを 低 減 / 東 京 農 工 大 学 6. 学 認 が 実 現 する 日 本 の 学 力 水 準 の 向 上 / 成 城 大 学 7. キャンパス 間 をつなぐ 遠 隔 授 業 / 日 本 大 学 8. 学 認 のサービスが 応 える 医 療 系 大 学 のニーズ/ 東 邦 大 学 9. 学 内 / 学 外 サービスの 双 方 に 認 証 基 盤 を 用 意 / 金 沢 大 学 10. 京 都 大 学 独 立 した 組 織 間 での 認 証 連 携 を 実 現 / 京 都 大 学 11. 大 学 間 共 用 e-ラーニングシステムへの 活 用 / 京 都 産 業 大 学 12. ゲスト 利 用 者 のネットワーク 認 証 に 活 用 / 広 島 大 学 13. 大 学 間 認 証 連 携 のキラーコンテンツLMS/ 徳 島 大 学 14. 統 合 認 証 基 盤 とSingle Sign-On 連 携 / 佐 賀 大 学 http://www.gakunin.jp/docs/fed/info から 参 照 可 能 25

話 の 流 れ 学 術 認 証 フェデレーション( 学 認 )とは 学 認 の 現 状 26

学 術 学 術 認 証 フェデレーション Shibboleth による 運 用 機 関 (IdP)がIDと 属 性 を 管 理 し,サービス 提 供 者 (SP)がそれを 利 用 して 認 可 プライバシ 保 護 を 考 慮 したシングルサインオン(SSO) 技 術 ユーザのユニークネスを 保 証 しつつ 個 人 情 報 は 出 さない SPは 必 要 な 情 報 のみをIdPに 要 求 ユーザは 各 SPに 対 する 各 属 性 の 公 開 を 制 御 可 能 アサーション 従 来 :SPでID 管 理 SP ID 属 性 SSO:IdPでID 管 理 アクセス SP リダイレクト IdP ユーザ アクセス パスワード SP ID 属 性 ユーザ 認 証 要 求 SP ID 属 性 ID/パスワード 27

Shibboleth(シボレス) バージョン1.3 系 と2.0 系 が 広 く 利 用 されている(プロトコルが 少 し 異 なる) 最 新 は IdP 2.3.2, SP 2.4.3 ( 学 認 ではまだ IdP 2.1.5が 主 流?) Linux, FreeBSD, Solaris, Windows (IIS) など 主 要 なOSに 対 応 cf. 欧 州 ( 特 に 北 欧 )では,simpleSAMLphpも 利 用 されている ノルウェ UNINETT http://rnd.feide.no/simplesamlphp 日 本 語 化 プロジェクト http://sourceforge.jp/projects/ssp-japan/ Microsoft ADFS 2.0 とも 連 携 可 能 AD FS 2.0 デザイン ガイド http://technet.microsoft.com/ja-jp/library/gg308546.aspx 28

29 フェデレーション 構 築 に 必 要 なサーバ IdP(Identity Provider) フェデレーション 内 に 構 成 員 の 情 報 を 提 供 するサーバ フェデレーションに 参 加 する 大 学 等 が 構 築 SP(Service Provider) 認 証 を 受 けた 人 に 対 してサービスを 行 うサーバ 電 子 ジャーナル,データベース,E-ラーニング 等 Webベースのシステムであれば 何 でも 可 DS(Discovery Service) SPへのアクセスの 際 にIdPを 検 索 するシステム フェデレーションが 運 用 ここに 名 前 がのることにより フェデレーションに 参 加

IdP (Identity Provider) フェデレーション 内 に 情 報 を 提 供 するサーバであり, 大 学 等 が 構 築 IdP 自 身 は 情 報 を 持 たない 情 報 はLDAPやActive Directory 等, 既 存 の 認 証 基 盤 を 参 照 IdPは 単 なるフィルタであり, 学 内 認 証 基 盤 から 特 定 のデータのみ を 抽 出 して 提 供 する 公 開 できるデータの 制 御 が 可 能 である このため,Shibbolethはしばしば 個 人 情 報 保 護 に 優 れていると 言 われ るが,サーバ 自 体 がハッキングに 強 固 という 意 味 ではない 慎 重 な 操 作 が 必 要 なのは,LDAPやActive Directoryと 同 じ 学 内 認 証 基 盤 LDAP Active Directory など 機 関 名, 所 属, 氏 名, 肩 書 き 30 IdP 提 供 データ のフィルタ 非 公 開 データを 落 とすフィルタ 必 要 なデータ のみを 外 部 へ 機 関 名, 所 属

SP (Service Provider) サービスを 提 供 するWebサーバのこと シボレスログイン 等 のボタンがあればShibbolethで 利 用 可 能 なSPである 電 子 ジャーナルに 限 らず,いろいろなサービスをShibboleth 化 することが 可 能 ( 例 : 無 線 LAN 認 証,サイボウズ) 学 内 のみの 利 用 ならば,IdP, SPが 立 ち 上 がれば 完 成 他 大 学 と 連 携 するには 何 が 必 要? 31

DS (Discovery Service) SPへのアクセスの 際 に 認 証 するIdPを 選 択 するシステム フェデレーションが 運 用 SPへの 埋 め 込 み(embedded) 方 式 もある 32

Shibbolethの 基 本 動 作 ( 最 初 の 動 作 ) IdP( 所 属 機 関 ) 9 SP(リソース 提 供 者 ) 6 7 属 性 情 報 8 アクセス 承 認 9 2 1 HTTPS 7 3 4 5 33 4 DS(ディスカバリサービス) ユーザ 1

Cookieによる 処 理 の 記 憶 認 証 の 処 理 ( 状 態 )を 記 憶 するためにCookie を 使 用 どのIdPを 選 択 したか (DS:Cookie) 一 定 期 間 保 持 ( 例 : 一 週 間 永 久 ) IdPによる 認 証 が 成 功 しているか(IdP:Cookie) SPへのアクセスが 承 認 されているか(SP:Cookie) 基 本 的 にブラウザを 閉 じるまで 別 途 タイムアウトもあり 個 別 にログアウトも 34

Cookieによる 処 理 の 記 憶 IdP( 所 属 機 関 ) 9 SP(リソース 提 供 者 ) 6 7 属 性 情 報 8 アクセス 承 認 9 2 1 HTTPS 7 Set Cookie 3 4 5 35 4 DS(ディスカバリサービス) ユーザ 1

Shibbolethの 基 本 動 作 (IdPの 記 憶 ) IdP( 所 属 機 関 ) 9 SP(リソース 提 供 者 ) 6 属 性 情 報 8 アクセス 承 認 9 2 1 HTTPS 7 5 Cookie 36 DS(ディスカバリサービス) ユーザ 1

Shibbolethの 基 本 動 作 (シングルサインオン) 引 き 続 き 他 のSPを 利 用 IdP( 所 属 機 関 ) 9 SP(リソース 提 供 者 ) Cookie 6 属 性 情 報 8 アクセス 承 認 9 2 1 HTTPS 5 1 Cookie 37 DS(ディスカバリサービス) ユーザ

メタデータを 用 いた 信 頼 の 構 築 メタ 登 録 データ 配 布 (ダウンロード) 登 録 配 布 (ダウンロード) IdP( 所 属 機 関 ) SP(リソース 提 供 者 ) 38 DS(ディスカバリサービス) ユーザ

メタデータを 用 いた 信 頼 の 構 築 SP B SP C SP A フェデレーション リポジトリ フェデレーション メタデータ DS(ディスカバリサービス) エンティティ メタデータ 39 IdP A IdP B IdP C 自 動 ダウンロードするフェデレーションメタデータの 信 頼 性 は フェデレーションの 証 明 書 で 担 保 ( 事 前 に 入 手 検 証 し 事 前 にIdP/SPにインストール) ( 検 証 は 別 チャンネルで 入 手 したfingerprintとの 比 較 等 による)

メタデータ(XML 形 式 )の 構 成 フェデレーションメタデータ 署 名 の 情 報 IdPの 情 報 IdP1の 情 報 IdP2の 情 報 SPの 情 報 SP1の 情 報 SP2の 情 報 エンティティメタデータ (IdP) IdP1のID=entityID 利 用 する 証 明 書 利 用 可 能 なプロトコル 組 織 情 報 エンティティメタデータ(SP) SP1のID=entityID 利 用 する 証 明 書 利 用 可 能 なプロトコル 組 織 情 報 40

Shibbolethの 実 装 front channel IdP Browser SP Attribute DB AuthN DB Attribute Authority AuthN Engine SSO Profile Username Password AuthN https https Session Initiator DS Assertion Consumer SAML POST Shibboleth Module (mod_shib) Web Resource #.htaccess AuthType shibboleth ShibRequireSession On require valid-user Apache / IIS LDAP/AD Tomcat Form Shibboleth Daemon (shibd) 41 back channel ポート 番 号 は443または4443 8443

属 性 情 報 のフィルタリングと 認 可 制 御 IdP Shibboleth SAML SP Shibboleth attributefilter.xml attributemap.xml 環 境 変 数 HTTPヘッダ Web App LDAP attributeresolver.xml attributepolicy.xml httpd handler.xml login.config relyingparty.xml Metadata 信 頼 shibboleth2. xml Metadata http.conf.htaccess Access Control リポジトリ 42

属 性 情 報 の 受 け 渡 し IdPは 必 要 な 属 性 のみ 提 供 し IdPのattribute-filter.xmlに 定 義 された 属 性 が 送 出 され (SP 毎 に 設 定 可 ) SPがその 中 から 必 要 なもの のみを 選 択 SPのattribute-map.xmlに 定 義 された 属 性 を 受 け 取 る (SPが 必 要 な 属 性 を 要 求 するわけではない) 43

フェデレーションで 扱 う 属 性 フェデレーションで 認 証 に 使 用 する 属 性 は16 種 類 これらを 用 いて 認 可 を 行 う 属 性 内 容 テストSPでの 表 示 例 OrganizationName (o) 組 織 名 jaorganizationname (jao) 組 織 名 ( 日 本 語 ) OrganizationalUnit (ou) 組 織 内 所 属 名 称 jaorganizationalunit (jaou) 組 織 内 所 属 名 称 ( 日 本 語 ) edupersonprincipalname (eppn) フェデレーション 内 の 共 通 識 別 子 edupersontargetedid フェデレーション 内 の 匿 名 識 別 子 edupersonaffiliation 職 種 edupersonscopedaffiliation 職 種 (スコープ 付 き) edupersonentitlement 資 格 SurName (sn) 氏 名 ( 姓 ) jasurname (jasn) 氏 名 ( 姓 )( 日 本 語 ) GivenName 氏 名 ( 名 ) jagivenname 氏 名 ( 名 )( 日 本 語 ) displayname 氏 名 ( 表 示 名 ) jadisplayname 氏 名 ( 表 示 名 )( 日 本 語 ) mail メールアドレス 44 掲 載 場 所 : https://www.gakunin.jp/docs/fed/technical/attribute

SPでの 属 性 情 報 の 利 用 方 法 Apache の httpd.conf,.htaccess 等 での 設 定 例 Basic 認 証 等 の 代 替 (ユーザの 区 別 なし) <Location /App> AuthType shibboleth ShibRequireSession On require valid-user </Location> ユーザを 区 別 して 認 可 <Location /App> AuthType shibboleth ShibRequireSession On # ShibUseHeaders On ( 属 性 をHTTPのヘッダに 含 めて 受 け 渡 す 場 合 ) require affiliation student@nii.ac.jp </Location> 45

SPでの 属 性 情 報 の 利 用 方 法 アプリケーション 側 で 属 性 情 報 を 参 照 して 細 かな 認 可 環 境 変 数 を 参 照 する HTTPヘッダを 参 照 する ShibUseHeaders On 46 https://www.gakunin.jp/docs/fed/technical/sp/webapp

47 環 境 変 数 affiliation: member@nii.ac.jp displayname: test001_displayname entitlement: urn:mace:dir:entitlement:common-lib-terms eppn: test001@nii.ac.jp givenname: test001_givenname jadisplayname: テスト001_displayname jagivenname: テスト001_givenname Jao: 国 立 情 報 学 研 究 所 Jaou: テスト001_ 学 部 1 Jasn: テスト001_sn mail: test001_email@nii.ac.jp o:test Organization ou:test Unit1 persistent-id:https://shib-sample.ac.jp/idp/shibboleth!https://shibsample.ac.jp/shibboleth-sp!exbyrziell0flv3kwifi7jttapo= sn: test001_sn unscoped-affiliation: member...

SPでの 属 性 情 報 の 利 用 方 法 アプリケーション 側 で 属 性 情 報 を 参 照 して 細 かな 認 可 環 境 変 数 を 参 照 する HTTPヘッダを 参 照 する ShibUseHeaders On 環 境 変 数 (またはHTTPヘッダ) から 属 性 を 簡 単 に もちろん IdPから 渡 されるのだけ Shibboleth 対 応 サービスの 作 成 はとても 簡 単! 皆 さま 魅 力 あるサービスSPの 提 供 をお 願 いいたします! 48 https://www.gakunin.jp/docs/fed/technical/sp/webapp

テストフェデレーションでお 試 し テストフェデレーション 1. 申 請 情 報 登 録 (およびアカウント 作 成 ) 2. 事 務 局 での 参 加 承 認 3. フェデレーションメタデータの 自 動 更 新 通 常 一 日 で 参 加 完 了 利 用 開 始 可 能 技 術 的 検 証 のみを 行 うフェデレーションなので お 気 軽 に 参 加 ください(うまくいけば 運 用 フェデレーションへ) https://www.gakunin.jp/docs/fed/join 49

まとめ Shibboleth, 学 認 を 知 ろう 学 認 学 認 とは 学 認 の 現 状 ケーススタディ Shibboleth の 概 要 IdP, SP, DS 基 本 動 作 属 性 情 報 の 利 用 50

各 種 情 報 1. 学 術 認 証 フェデレーション( 学 認 )に 関 するWebサイト https://www.gakunin.jp/ 2.ポリシー 申 請 書 学 術 認 証 フェデレーション - 参 加 https://www.gakunin.jp/docs/fed/join 3. 情 報 交 換 メーリングリスト(アーカイブ) 学 術 認 証 フェデレーション - 情 報 交 換 ML https ://www.gakunin.jp/docs/fed/ml 51