金沢大学における   Shibboleth構築とSP実装例

Similar documents
CA Federation ご紹介資料

スライド 1

1 ユーザ認証を受けた権限で アプリケーションを利用するために ログインプロキシにアクセスします 2 ログインプロキシにより Shibboleth SP から Shibboleth IdP の認証画面にリダイレクトされます 3 ブラウザに認証画面を表示します 4 認証画面にユーザ / パスワードを入

北海道大学における Shibboleth 実証実験 IdP の構築 廉価な機器による実装 ID/Password 認証連携の実証試験 PKI 認証連携の実証試験 プライベート認証局の利用 専用のプライベート CA を新設し IdP サーバ証明書を発行 クライアント証明書は既設のプライベート CAから

Microsoft PowerPoint - shib-training-r10(セミナー第3回用).pptx

スライド 1

シングルサインオンの基礎知識 ~Shibbolethの概要~

memcached 方式 (No Replication) 認証情報は ログインした tomcat と設定された各 memcached サーバーに認証情報を分割し振り分けて保管する memcached の方系がダウンした場合は ログインしたことのあるサーバーへのアクセスでは tomcat に認証情報

Microsoft PowerPoint - shib-training-r7_第3回.pptx

OpenAMトレーニング

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

AXIOLE V Release Letter

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

<4D F736F F F696E74202D EC C7988E491F289DB91E892F18F6F F18F6F816A2E B93C782DD8EE682E890EA97705D>

学認(Shibboleth)との認証連携

SinfonexIDaaS機能概要書

内容 CAS 対応アプリケーションの紹介 熊本大学の事例 CAS 対応サイト アプリの構築方法

1. はじめに (1) 本書の位置づけ 本書ではベジフルネット Ver4 の導入に関連した次の事項について記載する ベジフルネット Ver4 で改善された機能について 新機能の操作に関する概要説明 ベジフルネット Ver4 プログラムのインストールについて Ver4 のインストール手順についての説明

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

Microsoft Word - Gmail-mailsoft_ docx

PowerPoint プレゼンテーション

VPNマニュアル

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

情報漏洩対策ソリューション ESS REC のご説明

OpenAM(OpenSSO) のご紹介

RIMS 研究集会 大学における学術認証基盤の展開 北大の情報環境推進を例に 髙井昌彰 北海道大学 CIO 補佐官 情報基盤センター教授 副センター長

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

コンテンツアーカイブシステム SGI U-BOX 一般ユーザマニュアル 2013 年 6 月 25 日 メディア基盤センター & 日本 SGI 株式会社

ALC NetAcademy2利用手順書

Microsoft Word - XOOPS インストールマニュアルv12.doc

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

オージス総研のご紹介 社名 代表者 設立 株式会社オージス総研 取締役社長平山輝 1983 年 6 月 29 日 資本金 4 億円 ( 大阪ガス株式会社 100% 出資 ) 売上実績 512 億円 ( 連結 ) 270 億円 ( 単体 ) ( 2010 年度 ) 従業員数 2,847 名 ( 連結

Web ( ) [1] Web Shibboleth SSO Web SSO Web Web Shibboleth SAML IdP(Identity Provider) Web Web (SP:ServiceProvider) ( ) IdP Web Web MRA(Mail Retrieval

平成22年度「技報」原稿の執筆について

OSSTechプレゼンテーション

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

<4D F736F F F696E74202D208A778F708FEE95F197AC92CA82F08EC08CBB82B782E98B5A8F E97708B5A8F70816A5F94D196EC8D758E742E >

<4D F736F F D DEC90E096BE8F C E838B82CC836A C E312E31816A2E646F63>

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

FUJITSU Cloud Service K5 認証サービス サービス仕様書

本仕様はプロダクトバージョン Ver 以降に準じています

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

仕 様 書

Active Directory フェデレーションサービスとの認証連携

インストールマニュアル

Thunderbird(Windows) 設定マニュアル 目次 1 POP 系の設定 初めて設定する場合 ( 追加メールアドレスの設定 ) 設定内容の確認 変更 メールアドレス変更後の設定変更 メールパスワード変更後の設定変更

Microsoft PowerPoint SCOPE-presen

SeciossLink クイックスタートガイド(Office365編)

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

管理者マニュアル

PowerPoint Presentation

desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1

SeciossLink クイックスタートガイド

スライド 1

はじめに 注意事項本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 輸出時の注意 AX シリーズに関し 本製品を輸出される場合には 外国為替及び外国貿易法の規制並びに米国輸出管理規制など外国の輸出関連

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

SLAMD導入手順

1 目次 本書の構成 2 体験版申請用総合ソフトの機能 3 申請用総合ソフトとの相違点 体験版申請用総合ソフト ver.3.0 は, 本番用の申請用総合ソフト (3.0A) の機能に擬似データを加えたものです

PowerPoint プレゼンテーション

1. WebShare 編 1.1. ログイン / ログアウト ログイン 1 WebShare の URL にアクセスします xxxxx 部分は会社様によって異なります xxxxx. 2 ログイン名 パスワードを入力し

障害管理テンプレート仕様書

2. インストール完了画面の 開く をタップするか ホーム画面 AnyConnect のアイコン をタップし アプリケーションを起動してください or 3. OK をタップし 順に従い 接続 をタップしてください AnyConnect は デバイスに関する情報 (IMEI など ) にアクセスする必

iNFUSE インフューズ

WSMGR for Web External V7.2 L50 ご紹介

1 はじめに Android デバイスでの本サービス利用 端末制限について 端末設定方法 イントラネット接続用 SSID 設定 ID/Password 認証 (PEAP) 設定 証明書認証 (

RADIUS GUARD®とAXシリーズによる認証連携 の相互接続情報と設定ポイント

ROBOTID_LINEWORKS_guide

4. 環境要件 WebWrapper および WebWrapper 管理サーバ <Windows 版 > Windows2000Server ( サービスパック 3 また 4 適用済 ), Windows Server 2003 <Solaris 版 > SPARC CPU を搭載する Sun 製ワ

Transcription:

UPKI に基づく金沢大学での Shibboleth を用いた IdP 及び SP 構築について 金沢大学総合メディア基盤センター 松平拓也 井町智彦 笠原禎也 高田良宏

目次 自己紹介 UPKI 実証実験概要 金沢大学におけるIdP SP 実装 金沢大学のSP 構築例 ファイル送信サービス デジタルコンテンツ公開サービス 金沢大学の認証基盤の現状と今後 まとめ 今後の展望

自己紹介 金沢大学総合メディア基盤センター技術職員 担当業務 spam メール対策 金沢大学独自の対策システムを構築 運用 SymantecMailSecurity SpamAssassin InterscanMessageSecuritySuite(TrendMicro) を多段化して95% 以上のspamメール隔離率を達成 今年度より 金沢大学統合認証システムの開発に着手 その一環として UPKI 実証実験に参加

UPKI 実証実験概要 UPKI 認証連携基盤によるシングルサインオン実証実験 目的 : シングルサインオンの技術で電子ジャーナルなどのコンテンツ利用や大学間認証連携の検証を行う 金沢大学 UPKI への貢献 シングルサインオンなどの技術要素の取得 IdP 連携実験 IdP(Identity Provider) の構築 ( 認証サーバ ) ID の発行 (LDAP 構築 )( ディレクトリサーバ ) SP(Service Provider) の構築 ( サービス提供サーバ ) IdP SP 実装には Shibboleth を使用 SAML(XML 仕様 ) を標準実装したオープンソースソフトウェア

UPKI 概念図 IdP リスト ------------ ------------ ------------ ディレクトリサーバ (LDAP)

IdP サーバ構成 IdP 用サーバ (1 台 ) CPU : Core2DuoE8400(3GHz) メモリ : 2GB HDD : 160GB OS :CentOS5.2 アプリケーション :Apache2.2.3 Tomcat6.0.18 Shibboleth-idp-2.0.0 1 台数万円程度のサーバでスタート ( 全学展開など大規模運用を行うにはやや能力不足 )

SP サーバ構成 SP 用サーバ (2 台 ) 1.IdP の VMware 上で動作 (IdP サーバの負荷要因の一つ ) メモリ :256MB OS:CentOS5.2 アプリケーション :Apache2.2.3 Tomcat6.0.18 shibboleth-2.1.1 php5.1.6 UPKI を用いたファイル送信サービス 2.CPU:Core2DuoE8400(3GHz) メモリ :2GB OS:OpenSUSE11.0 HDD:160GB アプリケーション :Dspace1.4.2 DSpace によるデジタルコンテンツ公開サービス Shibboleth について CentOS は rpm OpenSUSE は src.rpm でリコンパイル後にインストール

金沢大学 UPKI 実験構成図 メタデータの自動更新

金沢大学における SP 実装例 UPKI を用いたファイル送信サービス メールでは添付できない大容量のファイルを送信したい場合に利用 ファイルを一時的にサーバにアップロードし その情報を送り先に通知し 送り先はサーバにアクセスして受信 DSpace によるデジタルコンテンツ公開サービス 図書館では取り扱わないような各種デジタルコレクションや実験観測データのリポジトリ化 Akebono 衛星による地球周辺の電波観測データのスペクトル画像 (PNG) 各所属機関の IdP で認証を受けることによりサービスを利用可能

UPKI によるファイル送信サービス

ファイル送信サービス (1) DiscoveryService で自分の所属する大学を選択

ファイル送信サービス (2) 自分の所属する大学の IdentityProvider で認証

ファイル送信サービス (3)

ファイル送信サービス (4)

ファイル送信サービス (5)

ファイル送信サービス (6)

DSpace とは 2000 年から MIT と HP で共同研究 開発してきたオープンソースのリポジトリ構築ソフトウェア リポジトリ : データやプログラムなどを体系化した情報を保管している場所 ( データ貯蔵庫 ) 機関リポジトリ : 大学などの研究機関において 生産された研究成果を電子的な形態で蓄積 保存し インターネット上で公開するシステム 図書館等が中心となって構築 主に, 学術論文, 紀要, 研究報告書などの書誌系の情報をデジタル化して格納 書誌コンテンツ

デジタルコンテンツ公開サービス 書誌コンテンツ以外の画像, 動画などのコレクション デジタルコンテンツ 機関リポジトリの対象外とされている場合が多い 流通性, コスト, 先行する書誌コンテンツでの実績のある機関リポジトリで対応 DSpace によるデジタルコンテンツ公開サービス 図書館では取り扱わないような各種デジタルコレクションや実験観測データのリポジトリ化 Akebono 衛星による地球周辺の電波観測データのスペクトル画像 (PNG)

デジタルコンテンツ公開サービス (1) 見た目は機関リポジトリと同じ

デジタルコンテンツ公開サービス (2) サムネイルの一覧を表示可能

デジタルコンテンツ公開サービス (3) 観測データを汎用的なフォーマットに変更したもの ( 特定のユーザには魅力的 )

Shibboleth 制限方法 Apache による制限 (shibboleth2.xml で <RequestMapper type="native">) httpd.conf or.htaccess or shib.conf(rpm でインストールした場合のみ ) <Location /sendfile> AuthType shibboleth ShibRequireSession On require valid-user </Location> SP にアクセスすると IdP の認証画面にリダイレクトされるため SP 側で認証の実装や属性情報を持つ必要なし 認可のための属性情報は環境変数で IdP から SP への送信が可能 アプリケーションでアクセス制限が容易に可能

SP の現状 アクセスログを参照すると 現段階では利用者があまりいない UPKI 自体の利用者が少ない? or 金沢大学のSPに魅力がない? 各大学のIdP 構築の推進及び利用者の拡大 NIIや各大学からの魅力的なSPの提供

金沢大学全体への UPKI 普及 全学用 LDAP サーバを認証 認可に利用 ネットワーク ID(uid) 金沢大学構成員がセンター提供のサービスを利用する際に使用する識別子 ユーザが登録 変更可能職員番号等のユーザ固有のIDを使用すると 万一情報が漏れた場合変更ができないため ネットワーク ID 利用例 学内ネットワーク利用認証 学内無線 LAN 認証 (Radius) VPN 認証 Information Media Center 24

ネットワーク ID 登録 ネットワーク ID 登録の流れ アカウントサービスシステム ネットワーク ID を登録するためのシステム Web ブラウザからアクセスし 必要な情報を入力してネットワーク ID を取得 アカウント管理システム アカウントサービスシステムで入力した情報をLDAPサーバに反映 ( 認証情報の統合管理を目的 ) Information Media Center 25

ネットワーク ID と UPKI の連動 UPKI の大学間連携では別途スキーマが必要 eduperson edupersonprincipalname(principal Name) 大学間連携の際に学外で使用する ID ネットワーク ID(uid) を学外に送信するのはセキュリティ上好ましくない ネットワーク ID をベースとしたユニークな ID を生成する必要がある edupersonaffiliation(affiliation) 大学間連携の際に学外で使用する職種区分を識別 employeetype を利用予定

ネットワーク ID 利用例 Attribute-resolver.xml に下記のように記述 (ECMAScript) <resolver:attributedefinition id="principalname" xsi:type="script" xmlns="urn:mace:shibboleth:2.0:resolver:ad"sourceattributeid="uid"> <Script> <![CDATA[ importpackage( );.. uniquevalue = uid.getvalues().get(0) + xxxxx"; localpart = DigestUtils.md5Hex(uniqueValue); principalname = new BasicAttribute("principalName"); principalname.getvalues().add(localpart + "@kanazawa-u.ac.jp"); ]]> </Script> </resolver:attributedefinition>

UPKI の感想 他大学の構成員の身元が判別できる なりすましを回避でき 大学間においてセキュアにサービスを提供できる 各大学の足並みをもっと揃える必要 IdP SP がまだあまり普及していないように感じる UPKI 化により得られるメリットが欲しい IdP SP 構築をもう少し簡単に 構築は設定者のある程度のスキルが必要 設定手順書をもう少し充実する必要がある 金沢大学の統合認証に本技術の利用検討 金沢大学の既存のシステムに手をできるだけ加えない

今後の展望 金沢大学で全学規模でのシングルサインオン環境及び認可機構の導入を検討 管理の分散化 シングルサインオンに使用するソフトウェアの選定 shibboleth を使用するか UPKI に対応できる (SAML2.0) システムの設計を行い テストする