全国の大学をつなぐ認証基盤「UPKI」

Similar documents
RIMS 研究集会 大学における学術認証基盤の展開 北大の情報環境推進を例に 髙井昌彰 北海道大学 CIO 補佐官 情報基盤センター教授 副センター長

シングルサインオンの基礎知識 ~Shibbolethの概要~

CA Federation ご紹介資料

スライド 1

スライド 1

金沢大学における   Shibboleth構築とSP実装例

スライド 1

Microsoft PowerPoint - shib-training-r10(セミナー第3回用).pptx

Microsoft PowerPoint AM_GN_eduroam01_Nakamura.pptx

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

PowerPoint プレゼンテーション

Microsoft PowerPoint - shib-training-r7_第3回.pptx

<4D F736F F F696E74202D EC C7988E491F289DB91E892F18F6F F18F6F816A2E B93C782DD8EE682E890EA97705D>

GDP TFP CRD

AXIOLE V Release Letter

北海道大学における Shibboleth 実証実験 IdP の構築 廉価な機器による実装 ID/Password 認証連携の実証試験 PKI 認証連携の実証試験 プライベート認証局の利用 専用のプライベート CA を新設し IdP サーバ証明書を発行 クライアント証明書は既設のプライベート CAから

PowerPoint Presentation

Descartes Systems Group

SinfonexIDaaS機能概要書

LGWAN-5月.indd

PowerPoint プレゼンテーション

Microsoft PowerPoint - サイバートラストデバイスID F5 BIG-IP Edge Client連携のご紹介.ppt [互換モード]

取組みの背景 これまでの流れ 平成 27 年 6 月 日本再興戦略 改訂 2015 の閣議決定 ( 訪日外国人からの 日本の Wi-Fi サービスは使い難い との声を受け ) 戦略市場創造プラン における新たに講ずべき具体的施策として 事業者の垣根を越えた認証手続きの簡素化 が盛り込まれる 平成 2

総合行政ネットワーク NO.71 地方公共団体組織認証基盤(LGPKI)が発行する証明書について

OpenAM(OpenSSO) のご紹介

PowerPoint プレゼンテーション

GDP 10 GDP Bureau of Economic Analysis 2

Active Directory フェデレーションサービスとの認証連携

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

<4D F736F F D FC8E448FEE95F1837C815B835E838B C8F92E88B608F912E646F63>

FUJITSU Cloud Service K5 認証サービス サービス仕様書

2: VPN Australia, Austria, Canada, China, Denmark, Finland, Germany, Hong Kong, India, Indonesia, Italy, Kenya, Korea, Republic of, Malaysia, N

6.indd

desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

SeciossLink クイックスタートガイド(Office365編)

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

OpenAMトレーニング


目次 1. はじめに 当ドキュメントについて 環境設計 フロー モデルの設計 ログイン タイプの決定 その他情報の決定 IBM Connections Cloud との

15690B_表紙1-4.pdf

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

Trend Micro Security for Mac 持込 PC 用インストールマニュアル [Mac OS 用 ] 作成 :2018 年 12 月 改訂 :2019 年 2 月 情報環境機構

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

オージス総研のご紹介 社名 代表者 設立 株式会社オージス総研 取締役社長平山輝 1983 年 6 月 29 日 資本金 4 億円 ( 大阪ガス株式会社 100% 出資 ) 売上実績 512 億円 ( 連結 ) 270 億円 ( 単体 ) ( 2010 年度 ) 従業員数 2,847 名 ( 連結

クライアント証明書インストールマニュアル

Pad-web 電子証明書有効期限切れへのご対応について 弊社年金制度管理システムをご利用の方は 同システムのマニュアルをご参照ください 第 1.3 版 初版作成 : 2015/8/28 最終更新 : 2018/5/9

文書管理番号

Oracle Access ManagerとOracle Identity Managerの同時配置

Microsoft Word - XOOPS インストールマニュアルv12.doc

RADIUS GUARD®とAXシリーズによる認証連携 の相互接続情報と設定ポイント

1. サービスの概要 1.1. 目的独立行政法人医薬品医療機器総合機構 ( 以下 機構 といいます ) の審査等業務において 電子証明書による署名を付し 暗号化した電子メール ( 以下 セキュアメール といいます ) の適切な利用を通じて 機構と申請企業等との間における情報伝達の安全性及び効率性を確

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

学認(Shibboleth)との認証連携

クライアント証明書インストールマニュアル

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

1 はじめに Android デバイスでの本サービス利用 端末制限について 端末設定方法 イントラネット接続用 SSID 設定 ID/Password 認証 (PEAP) 設定 証明書認証 (

PowerPoint プレゼンテーション

自己紹介 八幡孝 ( やはたたかし ) 株式会社オージス総研 ThemiStruct ソリューション開発リードアーキテクト ThemiStruct 関連サービスの東日本エリア責任者 OpenAM コンソーシアム活動メンバー OpenID ファウンデーション ジャパン Enterprise Ident

証明書インポート用Webページ

1 目次 本書の構成 2 体験版申請用総合ソフトの機能 3 申請用総合ソフトとの相違点 体験版申請用総合ソフト ver.3.0 は, 本番用の申請用総合ソフト (3.0A) の機能に擬似データを加えたものです

SeciossLink クイックスタートガイド

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

(株) 殿

VPNマニュアル

学認とOffice 365 の 認証連携

アクセスゲートウェイ (UAG) J-PRO システムアクセス手順 (IE6-7) v4.0 三菱重工業 IT 推進部目次お問い合わせ先 目的 システムログオンまでの一連の流れ 利用前提 手順 1 アクセスゲートウェイログオン... 6

2. インストール完了画面の 開く をタップするか ホーム画面 AnyConnect のアイコン をタップし アプリケーションを起動してください or 3. OK をタップし 順に従い 接続 をタップしてください AnyConnect は デバイスに関する情報 (IMEI など ) にアクセスする必

Transcription:

全国の大学をつなぐ認証基盤 UPKI 国立情報学研究所学術ネットワーク研究開発センター島岡政基 Nov 25, 2009 Internet Week 2009 1

UPKI の背景 各大学の認証基盤導入 共通仕様 運用標準など 各大学との相互接続 単位互換など 大学間アプリケーションサービス連携 IT 人材育成など 社会 産学連携の本格的運用 サービスや情報連携 国際連携 学術情報格差の克服 Nov 25, 2009 Internet Week 2009 2

UPKI 初期のトピック パブリック証明書 サーバ証明書 S/MIME 証明書 学内認証基盤 大学間相互接続 CP/CPS グリッド認証局 PKI 的には異端児 ( プロキシ証明書 ) 学内認証基盤との連携 WebTrust 認定 統合型 ID 管理 シングルサインオン 運用コストの削減 固定化 ルート vs. ブリッジ Nov 25, 2009 Internet Week 2009 3

UPKI の 3 層構造 Future plan オープンドメイン PKI NII Pub CA Other Pub CA Sign, Encrpt. Web Web サーハ Web サーハ Srv. S/MIME S/MIME S/MIME Web Web サーハ サーハ Web Srv. S/MIME S/MIME S/MIME キャンパス PKI A Univ. CA Auth, Sign, Encrpt. B Univ. CA Auth, Sign, Encrpt. 学内用学内用 EE 学内用学内用 EE グリッド PKI A Univ. NAREGI CA B Univ. NAREGI CA Grid Computing Proxy Proxy Proxy EE EE EE Proxy Proxy Proxy EE EE EE サーバ スパコンなど 教職員 学生など サーバ スパコンなど 教職員 学生など Nov 25, 2009 Internet Week 2009 4

UPKI が描く連携サービス 企業, 海外 現状 大学のセキュリティレベルが低いため 企業が信用せず 接続を行わない UPKI 国内外の産学連携の橋渡し研究 実用化のサイクル活性化 (3) 産学連携, (4) 国際連携 大学 ベンチャー企業育成 UPKI 認証局 認証基盤 (UPKI) (1) 大学間連携, (2) 官学連携 UPKI 学内に設置された基盤ネットワークの相互利用 民間 (5) 民学連携 UPKI 生涯学習 : 地域活性化誰もがどこからでも学習できる環境の提供 大学 官庁 現状 大学へセキュアに接続 現状 学間で論理ネットワーク する仕組みが整備されていない ネットワークポリシが異なるため Nov 25, 2009 Internet Week 2009 ローミングが難しい 5

UPKI の歩み 2006 年 2007 年 2008 年 2009 年以降 UPKI イニシアティブ 発足 仕様 ( 案 ) の提示 導入事例の公開 仕様 ( 案 ) への意見 要望 情報の共有 意見交換 オープン認証 UPKI 共通仕様 アプリケーション開発 相互運用 大学のサーバ証明書 S/MIME 学内認証局調達仕様ガイドライン学内認証局の CP/CPS カ イト ライン アプリケーションの調査 構築 実装 無線 LAN ローミング シングルサインオン 各大学の認証基盤導入 各大学との相互接続 アプリケーションサービス連携 社会産学連携の本格的運用 認証局ソフトウェア 認証局ソフトウェアパッケージの開発 認証局ソフトウェアパッケージの配布 導入支援 Nov 25, 2009 Internet Week 2009 6

サーバ証明書プロジェクト 大学向けサーバ証明書の普及推進と証明書発行プロセスの研究 09/11/06 現在 期間 機関数 発行枚数 旧フ ロシ ェクト 07/05~ 09/06 末 97 2,413 枚 ( 失効 92) 新フ ロシ ェクト 09/04~ 12/03 末 112 1,982 枚 ( 失効 48) いわゆるパブリック証明書を発行 WebTrust for CA に準ずる審査 機関単位での参加 機関認証を担保 各大学への LRA 権限委譲 機関毎に異なるネットワーク管理を緩衝 証明書発行 審査作業の効率化 機関単位の失効というハリセンボンマシン Nov 25, 2009 Internet Week 2009 7

( 新 ) 証明書自動発行検証プロジェクト 国立情報学研究所 プロジェクト参加機関 2 プロジェクト参加申請 / 承認 機関責任者 事務局 ( NII) 4 加入者の審査 1 実務メンバの任命 加入者サーバ 認証局 証明書自動発行支援システム 5TSV ファイルのアップロード 登録担当者 3 発行申請ファイル ( TSV 形式 ) 提出 8 証明書インストール 加入者 オープンドメイン認証局 システムから直接加入者宛てに証明書を自動発行 6 ダウンロード URL 通知 ( システム 加入者 ) 7 証明書ダウンロード Nov 25, 2009 Internet Week 2009 8

確認実施手順調査表の記入例 凡例 適切な判断規準 不適切な判断規準 1 1-1 参加申請書について機関責任者が参加申請書を記述するにあたって 以下の項目をどのように確認したのかを教えてください ドメインが組織の保有であることの確認申請するドメインが組織の所有であることを どのような情報 をもとに どのような方法で 確認を行い どのように承諾を得た かを教えてください Whoisデータベースでxxx.ac.jpのドメイン名管理者 を確認し 管理者へ直接対面で問い合わせて 許本学の広報委員会が 公式のWebページで利用しているドメインであることを確認 し LAN 管理委員会 会議で当該ドメインに対して証明書を発行することの承諾 を得ました 機関責任者自身がドメイン管理者であり 自組織の所有であることに間違いない xxx.ac.jpのxxxが 組織名と一致していることを確認した 名称の確認だけでは 機関の所有するドメインであることを確認したことにはなりません Nov 25, 2009 Internet Week 2009 9

ゴール : 学内認証基盤との連携 参加機関 NI I 外部ホスティング 加入者 登録担当者 事務局 認証局システム 旧 PJ オフライン 署名メール 手入力 新 PJ オフライン 証明書自動発行支援システムオンライン Web I/F 一括発行対応 NII 内部の業務自動化 登録担当者の利便性向上 将来 オンライン 証明書登録連携システム SOAP 一括発行対応 オンライン 機関側の業務自動化 加入者の利便性向上 Nov 25, 2009 Internet Week 2009 10

サーバ証明書プロジェクト成功への鍵 LRA に対するガバナンス 機関単位の失効 LRAの義務と責任 審査規程の明文化 ( 確認実施手順調査票の提出 ) 機関認証の担保 目下実証中 法人登記のない学術機関 公印という呪縛 運用業務の省力化 PDCA サイクル 既成手続きの見直し ルーチン化 参加機関の業務省力化支援 Nov 25, 2009 Internet Week 2009 11

学術認証フェデレーション Shibboleth を利用した大学間認証連携の実現 電子ジャーナル等の利便性向上 海外との連携促進 学術リソースを利用する大学 (IdP) と 学術リソースを提供する大学 企業等 (SP) で連合体を構成 27 27 機関機関 IdP: IdP: 30 30 SP: SP: 18 18 うち商用 SP1 件 27 27 機関機関 IdP: IdP: 4+31 4+31 SP: SP: 11+25 11+25 うち商用 SP9 件 Nov 25, 2009 Internet Week 2009 12

Shibboleth( シボレス ) 米国 EDUCAUSE/Internet2にて2000 年に発足したプロジェクト http://shibboleth.internet2.edu/ SAML eduperson 等の標準仕様を利用した 認可のための属性交換を行う標準仕様とミドルウェア ( オープンソースソフトウェア ) 最新はShibboleth V2.1 米国 欧州でShibbolethによるFederationが運用 拡大 Nov 25, 2009 Internet Week 2009 13 13

Shibboleth によるフェデレーション構築 プライバシ保護 ユーザのユニークネスを保証しつつ個人情報は出さない SPは必要な情報のみをIdPに要求 ユーザは各 SPに対する各属性の公開を制御可能 シングルサインオン技術の組織外への展開 属性の分散管理 =Federation IdP( 大学 ) がIDと属性を管理して SPがこれを利用 Webサービス 従来 :SP で ID 管理 ユーザ アクセス パスワード SP SP ID 属性 ID 属性 SSO:IdP で ID 管理 アクセス ユーザ パスワード アクセス パスワードアサーション Nov 25, 2009 Internet Week 2009 14 SP SP リダイレクト IdP ID 属性

08/07 TARO SUZUKI 08/07 フェデレーションにおける認証フロー 利用者の所属大学 ID 管理サーバ (IdP) 5 認証 認証連携サーバ (DS) 4 認証情報要求 NII 各大学が保有する電子コンテンツ SP 1 SP 2 SP 3 1アクセスする 電子ジャーナルデータベースネットワーク計算リソース etc. 3 証明書参照 TARO SUZUKI 2 認証確認要求 大学の利用者 ポイント 自分の所属する大学の認証情報 (ID) を利用して, 他大学等の Web サイトや電子コンテンツに, シングルサインオンできる シナリオ (1) 大学の利用者が, 他大学等が保有する電子コンテンツを提供する SP (Service Provider) にアクセスを行う. (2) 認証連携サービス (DS; Discovery Service) は, クライアント証明書の中に格納された所属大学の情報を利用して, 認証を求めるべき IdP (Identity Provider) を自動で判別する. (3) 認証情報を確認できた場合は利用者は電子コンテンツにアクセスすることができるようになる. Nov 25, 2009 Internet Week 2009 15

学術認証フェデレーション普及に向けて 大学全体の IdP 構築には学内調整等の時間が必要 フェデレーションの早期拡大のため, 調整がついた学部単位や一部のユーザグループでの参加も可能とする IdP の構築 運用の負担が大きい可能性 NII で IdP 用のホスティングサーバを用意 ( 準備中 ) 参加希望の機関は, データのメンテナンスのみでも参加可能 データベース 研究所 IdP フェデレーションを介したサービスの利用 各種サービス (SP) 電子ジャーナル ネットワーク 計算資源 大学 IdP IdP を構築した機関は自前の認証基盤で参加 フェデレーション運営 運用規程作成 参加調整技術サポート海外フェデレーションとの連携 学術認証フェデレーション IdP のホスティング IdP( 認証サーバ ) の構築ができない機関向けに NII がサーバを提供 運用機関 (NII) 学会などのコミュニティの参加も支援 Nov 25, 2009 Internet Week 2009 16 IdP 学会 IdP を持たない機関は NII のホスティングサーバで参加 大学 研究所 ホスティングサーバにデータを登録することで容易に参加

海外の学術認証フェデレーション Internet2 informatin kits http://www.internet2.edu/pubs/national_federations.pdf から引用 Australia (AAF) Belgium (LUDIT-AAI) Canada (NRC-CNRC) Denmark (DK-AAI) Finland (HAKA) France (CRU) Germany (DFN-AAI) Greece (HEAL-Link) Italy (IDEM) Luxembourg (Restena) New Zealand (AAF) Norway (FEIDE) Spain (RedIRIS) Sweden (SWAMID) Switzerland (SWITCHaai) The Netherlands (SURFnet) United Kingdom (UK Access Fed.) United States (InCommon) Nov 25, 2009 Internet Week 2009 17

学術認証フェデレーション成功への鍵 IdP への動機付け 電子ジャーナル以外の付加価値 学内認証基盤整備の動機付け 統合管理による業務分析のための IT 武装 SP への動機付け プライバシ情報管理からの解放 組織単位の認可など 新たなサービス 新たな枠組みへの発展可能性 学術コミュニティ (VO) の推進 大学間 国際間でのサービス展開 効率的なワークフロー設計 フェデレーションへの参加手続き IdP/SP 間の契約支援 運用サイクルの確立 日々勉強中です! Nov 25, 2009 Internet Week 2009 18

全国の大学をつなげるために (1) 継続的な啓発 広報活動 全国キャラバン3 回 ( 05, 07, 09) 単体イベント10 件 関連イベント3 件 外部講演多数 海外学術機関等との連携調整 民間 SPとの折衝 各機関との合意形成 ポリシ 運用ガイドライン etc. サーバ証明書の普及推進 Webサイトの信頼性向上 サーバとの安全な通信経路の提供 認証連携に欠かせない要素 Nov 25, 2009 Internet Week 2009 19

全国の大学をつなげるために (2) 学内認証基盤の整備支援 LDAP ベースの統合 ID 管理 スモールスタートのサポート 投資メリットのあるセンターサービス拡充 キーパーソンの見極めと動機付け 認証基盤 : 情報基盤センター 学術コンテンツ : 図書館 安定運用 事業継続性 基盤として求められる重要な要件 # これは NII が頑張るしかない!? Nov 25, 2009 Internet Week 2009 20

最後に 全国の様々な機関をつなげるには年月が必要 各機関への啓発 気運の醸成 各機関の内部調整 機関同士での合意形成 一番の推進力 触媒は目的の共有 共通のビジネスメリット サーバ証明書の入手 電子ジャーナルなど これさえ明確なら話は早い Nov 25, 2009 Internet Week 2009 21

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック