Title 大学における学術認証基盤の展開 北大の情報環境推進を例に Author(s) 髙井, 昌彰 Citation (2010) Issue Date 2010-09-16 URL http://hdl.handle.net/2433/126630 Right Type Presentation Textversion author Kyoto University
RIMS 研究集会 大学における学術認証基盤の展開 北大の情報環境推進を例に 髙井昌彰 北海道大学 CIO 補佐官 情報基盤センター教授 副センター長 2010.9.16
大学の機能別分化 中央教育審議会答申 我が国の高等教育の将来像 各大学は固定的な種別化ではなく 機能の重み付けに基づいて 緩やかに機能別分化が進む 1. 世界的研究 教育拠点 2. 高度専門職業人養成 3. 幅広い職業人養成 4. 総合的教養教育 5. 特定の専門的分野 ( 芸術 体育等 ) の教育 研究 6. 地域の生涯学習機会の拠点 7. 社会貢献機能 ( 地域貢献 産学官連携 国際交流等 ) 2
大学の機能別分化 自律的に個性 特色を明確化していくこと 競争的環境の中で適応進化していくこと 1 現在の A 大学 2 機能 3 4 5 6 B 大学 6 年後の A 大学 C 大学 12 年度の A 大学 7 比重の置き方が大学の個性 特色の表れ 3
大学情報インフラに求められること 生き残り戦略を迅速かつ効率よく実行できること 大学の特殊性に対して柔軟に対応できること 競争力のあるアウトプット 12 年後の 現在の A 大学 6 年後の A 大学 A 大学 A 大学の情報基盤システム 中長期計画に基づく戦略的な投資 4
大学の特殊性は 人 学生という財産 卒業後もライフロングのお付き合い 組織の自律性 多様性 学問の自由 教育の自由 学部の自治 競争力の源泉であり 同時に阻害要因にも ゆるい開放性 学外とのインタラクション アウトリーチ 高校 民間企業 地方自治体 NPO 一般市民 5
でも と だけ を両立する認証基盤 どこでも 誰でも いつでも サービス連携 ローミング win-wini i のコストシェア 学生 資金獲得のパイ拡大 ここだけ 貴方だけ 今だけ 排他的な拠点化 囲い込み ブランド化 価値創成の源流 垣根なく繋がるための認証基盤人を見定めるための認証基盤 6
北海道大学の取り組み 大学 IT ガバナンスの体制整備 計画的な情報環境の構築 運用 大学認証基盤 (SSO 学内認証局 ) 国立情報学研究所 CSI 事業の連携推進 UPKI/ 学術認証フェデレーション ( 学認 ) 学術機関無線 LAN ローミング (eduroam) 7
情報環境推進本部 ( 平成 19 年 4 月 ) 総長 役員会 情報環境推進本部 (Office for ICT Environment) 総長 ( 本部長 ) 理事 ( 副本部長 CIO) 理事 (CISO) 理事 ( 事務局長 ) 情報基盤センター長附属図書館副館長医療情報企画部長教務情報システム委員長 CIO 補佐役 ( 役員補佐相当 ) 事務局企画部情報企画課 大学全体の情報環境整備を推進するための施策 情報戦略を企画し これを実施する IT ガバナンス 計画的 統一的な情報資産管理 サービスの高度化 計画的 統一的な情報化推進 大学情報力の強化 情報環境整備による教育研究支援 8
大学認証基盤の整備計画 第 4 段階第 3 段階 北大 IC カード職員証北大 IC カード学生証 H23 年度 ( 予定 ) 北海道大学職員証 北海道大学学生証 第 2 段階 北大 IdP 試行運用 IC カードトライアル 学内認証局システム H21 年度 H20 年度 第 1 段階 職員 SSO システム H19 年度 9
SSO と認証局の特徴 SSO システム 既設の情報システム群のゆるやかな統合 高い利便性の提供 ( 学外システムへの代理認証 ) アクセス権限の部分委譲機能 ( 例 : 教授 秘書 ) 学内認証局 認証局の現実的なオペレーションが可能 SSO 配下のバックエンドシステムに位置づけ リモートアクセスの認証に特化 10
職員 学生のポータル 全学約 3 万アカウント 研究予算管理 物品発注 職員出張申請 予約手配 給与明細照会 年末調整, コーポレートカード決済 大学情報 DBデータ更新 職員ポータル ネットワーク利用申請 教育情報システム利用 講義シラバスシステム 履修者管理 成績登録 学生ポータル 履修科目登録 成績確認 休講電子掲示登録 附属図書館検索 ELMS 部局内の情報システム 学外の情報システム ( 正規 + 非正規職員 10,000 人 ) ( 北大 SSO) 職員 ID ( 学部生 11,000 人 + 院生 6,300 人 ) 教育情報システム 学生 ID 11
北大 SSO システム SSO サーバ ポータルに リバース ログイン プロキシ (ID / PW) 認証サーバ ( ポータル ) LDAP 代理認証 システム A B 群 個別ログインも可 ( 従来型 ) 既存システム A 群 ( 中核 ) Web アプリ A サーバ証明書 レポジトリ A 既存システム B 群 ( 連携 ) Web アプリ B サーバ証明書 レポジトリ B 既存システム C 群 ( 学外 ) Web アプリ C レポジトリ C サーバ証明書 システム一覧は SSO 利用者に依存して異なる システム C 群 12
SSO の利用者認証 SSO 利用者 ( 北大職員 ) 学内限定 インターネットからもアクセス可能 IDとパスワードを入力 ICカードを装着し 暗証番号 (PIN コード ) を入力 学内認証局が発行した職員個人の電子証明書 ID 利用者の公開鍵証明書 利用者の秘密鍵 13
CSI : サイバー サイエンス インフラストラクチャ ( 最先端学術情報基盤 ) 最先端の学術情報基盤が 今後の学術今後の学術 産業分野での国際協調 競争の死命を制す バーチャル研究組織 (VO) 産業 社会貢献 世界的ソフトウェア及び DB の形成 人材育成及びノウハウの蓄積 NIIと大学附属図書館等との連携による学術コンテンツの構築 提供, 機関リポジトリの形成 次世代スパコンを含む大学 研究機関の計算リソースの整備 ミドルウェアUPKI NII と 7 大学情報基盤センター等との連携によるェ連携ソフトウェアとしてのグリッド (Naregi) の実用展開携ミ大学 研究機関としての認証システムの開発と実用化 次世代学術情報ネットワーク (SINET3) の構築 運用 国際貢献 連 14
UPKI が想定する 3 階層アーキテクチャ オープンドメイン PKI ( 学外も含む認証 ) Web サーハ Web サーハ Web Srv. 実印 : 公的認証局として大学間共通で利用 NII Pub CA S/MIME S/MIME S/MIME Web Web サーハ サーハ Web Srv. Other Pub CA S/MIME S/MIME S/MIME 署名 暗号 サーバ証明書 キャンパス PKI ( 学内の認証 ) Shibboleth 学内 PKI SP A Univ. CA 学内用学内用 EE 銀行印 : 各大学の責任で発行 学内認証局 認証 署名 暗号 IdP 連携 SP 学内 PKI IdP B Univ. 認証 署名 暗号 CA 学内用学内用 EE 学術認証フェデレーション SSO グリッド PKI ( グリッドのための認証 ) Proxy Proxy Proxy A Univ. NAREGI CA EE EE EE Proxy Proxy Proxy B Univ. NAREGI CA EE EE EE グリッドコンピューティング スパコングリッド 15
Shibboleth( シボレス ) 米国 EDUCAUSE/Internet2 のプロジェクト http://shibboleth.internet2.edu/ (2000~) SAML eduperson 等の標準仕様に準拠した 認証 認可のための属性情報交換を行う標準仕様とミドルウェア ( オープンソース ) 最新版 Shibboleth v.2.1.5 米国 欧州ではシボレスによるフェデレーションがすでに運用されている 米国 :InCommon 英国 :The UK Access Management Federation 16
Shibboleth の構成要素 IdP(ID Provider) SP の求めに応じて 利用者を認証するサーバ 利用者のユニークネスを保証しつつ 個人情報の生データ (ID など ) は SP に提供しないことも可能 ( ハッシュ ) 各 SP に必要な属性情報だけを提供 SP(Service Provider) 特定の利用者に e- リソースを提供するサーバ DS(Discovery Service) フェデレーションに参加している IdP の一覧を提供するサーバ IdP 及び SP の Metadata のレポジトリ 通常フェデレーションの運営母体が運用管理する 17
学術認証フェデレーション H21 年度試験運用 H22 年度から本格運用 NII( 認証作業部会 ) が運用管理 ( 注 ) 全国の国公私立大学職員 学生の総数約 320 万人 (2005) 18
Shibboleth 認証の動き フェデレーション Cookie を確認して IdP 参加機関 2 度目の認証は無し 3 認証 4IDと属性参加機関の利用者 Shibboleth の取得 IdP ID/ パスワード又はPKI 証明書を使って認証 Redirect 2IdP を選択 LDAP 内の情報を認可に必要な形式に変換する 学内認証 DB LDAP ID ID 属性属性 SP をアクセスするために必要な属性情報を送信し 認可させる Shibboleth DS 1SP にアクセス 5 認証結果通知 ( 属性アサーション ) 他の参加機関 SP Shibboleth SP ソフトライセンス認証 SP Shibboleth SP 文献検索 SP Shibboleth SP 電子ジャーナル Elsevier, Springer, Ovid, 19
IdP と SSO の連携 学術認証 Federation 研究経費管理 物品発注職員出張申請 予約手配職員給与明細照会年末調整等申請届出コーポレートカード仕訳大学情報データベースネットワーク利用申請附属図書館システム教育情報システム利用講義シラバスシステム履修者管理 成績登録履修科目登録 成績確認 北大 SSO ( 職員 ) IdP LDAP 教育情報システム ELMS ( 学生 ) LDAP https://shib-idp01. iic.hokudai.ac.jp/idp/shibboleth i / hibb (H22 年 2 月から運用 ) RADIUS 認証スイッチ WLAN AP PEAP 情報基盤センター ポータル (iic-id) LDAP 共用 PC 端末 モバイル 20
IdP が提供する属性情報の例 学術認証フェデレーション フェデレーション内で一意で, かつ, 永続的な利用者識別子 フェデレーション内で一意で, かつ,SPサイト毎に異なる永続的な利用者識別子 SP 間での利用者の特定を防ぐことが目的 ハッシュにより,SPによるユーザの特定は不可能 利用者が所属する組織内での職種 特定の SP を利用する際の資格情報 21
学認 2010 年 9 月現在の学認参加機関一覧 IdP/SP の設置は 設置申請書に基づき NII 認証作業部会で審査を行う 許可されたものだけ そのメタデータをタを DS に登録 フェデレーション参加費用は無償 22
SP の利用例 ( 国情研 CiNii) ) http://ci.nii.ac.jp/ Shibboleth 認証の入り口 23
SP の利用例 北大 SSOのアカウントで認証 24
学術機関無線 LAN ローミング eduroam 教育 研究機関用の無線 LAN ローミング基盤 欧州約 40カ国他 オーストラリア 中国 台湾 香港 日本 NZ カナダ 米国が加盟する国際的デファクト 機関参加登録は無償
無線 LAN ローミングの認証連携 JP-TOP Asia-TOP Radius Radius IEEE802.1X 認証 PEAP 北大 LAN 北大の認証サーバ 3 2 レルムを見て 北大に問合せ 京大 LAN 京大の認証サーバ アカウント /PWを認証 確認 SSID: 北大の管理者 1 eduroam hsakei レルム付きアカウントと PW で認証 4 hsaeki@hokudai.ac.jp 認証できたので 京大無線 LANの利用を許可 北大のアカウント ( 北大 SSOのID) 北大の 所属機関を示す識別コード アカウント ( レルム情報 ) 26
まとめ 戦略的な学術認証基盤の構築 連携 ~ でも と ~ だけ を両立する認証基盤がポイント 学認と eduroam の利用普及推進 エクセレントティーチャー どこでも知識ここだけの知恵 スーパーサイエンティスト 学術認証基盤がもたらす世界 27