シングルサインオン

「教育分野における最先端ICT利活用に関する調査研究」の成果および、「先進的な学習・

教育クラウド・プラットフォーム」の先行事例から、シングルサインオンの利用に関する要 件を整理した。先行事例の調査結果をもとに、学習・教育クラウド・プラットフォームのシ ングルサインオンに求められる要件を検討した。

37 具体的な調査結果を以下に示す。

1）昨年度成果物におけるシングルサインオンの要件

昨年度成果物において、シングルサインオンに関する実証課題としてあげられていた内容 は下表のとおりである。

表 2-1 昨年度成果物におけるシングルサインオンの要件 実証課題①：複数クラウド間の認証連携機能

教育委員会が運用し、学校がその内容を管理する IdP⁶ と、教育用コンテンツベンダー が提供する SP ⁷というモデルにおける、複数のクラウド上に構築した IdP、SP 間でシン グルサインオン・シングルログアウト機能が正しく動作することを確認した。特に、児童 生徒の操作において、スムーズにシングルログイン・シングルログアウトがおこなえるこ とを実証した。

実証課題②：コンテンツ利用権限管理機能

IdP、AtrP⁸で管理する各種属性が、SAML2.0 プロトコルにより新規策定したスキーマ

を利用して分散するクラウド上のサービスに送信され、児童生徒用マイページ、共通イン タフェース、および各種教育用コンテンツにおいて、利用権限管理機能や属性表示が正し く動作することを確認した。

実証課題③：シングルサインオンのレスポンスタイム

校内LAN、モバイルルータを通じた教育クラウドへのアクセスにおいて、シングルサイ

ンオン時のレスポンスタイムが問題ないことを確認した。

実証課題④：認証・属性プロトコル

共通インタフェース、各種教育用コンテンツが蓄積する学習記録データに付与する児童 生徒のIDや、各種権限管理等のため教育用コンテンツの中で利用する各種属性に関して、

SAMLスキーマが定義できること、また、この初等中等教育向けSAMLスキーマを用いて それら属性が正しく送受信できることを確認した。

実証課題⑤：情報端末上での認証動作

3種類のタブレットPC上で、シングルサインオン等の認証連携動作や、各種属性送付に よる利用権限管理機能が正しく動作することを確認した。

実証課題⑥：ログイン画面のデザイン

パソコン・タブレット PC・電子黒板において、キーボードまたはソフトキーボードを 利用して、教員・児童生徒が問題なくログイン情報を入力できるデザインとなっているこ とを確認した。

実証課題⑦：教育用コンテンツサービスと認証機能の分離

SPモジュールをインストールしたクラウド上のサーバにより、HTML5の教育用コンテ

6 Identity Providerの略。各組織が構成員のID、パスワード、および属性を管理し、利用ユーザの認証を 行うとともに、認証フェデレーション内の信頼するSPに認証結果とそのSPが必要とする属性をSAML2.0 プロトコルにしたがい送信するためのミドルウェア。

7 Service Providerの略。サービス提供を行うためのサーバを構築するためのミドルウェアであり、認証フ ェデレーション内の信頼するIdPと連携することで、シングルサインオンを実現する。

8 Attribute Providerの略。SAML2.0に準拠してSPが必要となる属性をSPに提供するシステム。

38

ンツを置くだけで、シングルサインオンが機能すること、また、別のクラウドサーバから 提供され、教育用コンテンツとは独立してシングルサインオンする共通インタフェースと 連携して動作することを確認した。さらに、教育用コンテンツ側に共通インタフェースAPI としてログアウト機能を公開し、教育用コンテンツ側で1 行入れるだけでシングルログア ウト機能が正しく動作することを確認した。

（出所）「教育分野における最先端ICT利活用に関する調査研究報告書」

2）先進的な学習・教育クラウド・プラットフォームにおけるシングルサインオンの事例 複数の海外事例・実証地域の現状を含む、先進的な学習・教育クラウド・プラットフォー ムのシングルサインオンに関する事例の調査結果を下表に示す。

表 2-2先進的な学習・教育クラウド・プラットフォームのシングルサインオンに関する事 例

フィンランド Dream School Project

・ フィンランド Dream School Project で使用しているプラットフォーム（Dream Platform）上の認証は、サードパーティ製のサービスを使用している。

・ 認証プロトコルにはSAML 2.0を使用している。

北アイルランド Classroom 2000プロジェクト（C2k)

・ シングルサインオン(SSO)機能を有している。

イギリス London Grido for Learning

・ Unifie Sign-On（USO)と呼ばれるシングルサイオンを導入している。

・ シングルサインオンの実装には、Shibboleth認証を用いている。

・ USOで利用できるサービスは、家庭向けのコンテンツ提供・Podcasting・テレビ会議 システム・ウイルス対策ソフトのアップデート・VPNなどである。

・ SSO機能を利用して、ファイル交換サービス（USO-eXchange）を提供している。

・ 機微情報等にアクセスする場合用にワンタイムパスワード（USO-OTP、One Time Password）も提供している。

日本 学術認証フェデレーション（国立情報学研究所）

・ Shibboleth認証を用いている。

・ IdPやSPは各大学が構築している。

・ 日本国内の大学における導入実績が豊富である。

・ シングルサインオン後は自大学の学内システム・電子ジャーナル・無線 LAN・

e-Learning等へアクセスが可能となる。

・ 他大学の無線LANも自大学のID/PWで利用可能となる。

日本 eラーニング学習管理システム Platon（ロゴスウェア株式会社）

・ シングルサインオンの仕組みとして、SAML、LDAP（Active Directory等）、OpenID Connect (Google アカウント等)が利用可能である。

・ 導入実績の中心は民間企業である。

39 2.1.1.2 結論・得られた知見

昨年度報告書における検討結果や、国内外の動向を確認した結果、シングルサインオンの 今年度実装としては、SAML2.0とすることが適切であると判断した。

検討結果にもとづく機能要件および非機能要件は、別途「要件定義書」にとりまとめた。

2.1.1.3 今後の課題

シ ン グ ル サ イ ン オ ン の 実 装 に つ い て 、AD(Active Directory)お よ び AD FS(Active Directory Federation Service) の他に、国内事例で採用されているOpenIDや、企業内LAN などで採用例が多いリバースプロキシ型についても、採用の要否を確認する必要がある。

特に、リバースプロキシ型については、学習・教育クラウド・プラットフォームでも、ロ ードバランサの機能として採用しているアーキテクチャであるため、そこに対する認証機能 の統合については、改めてその得失を確認する必要がある。