スライド 1

学認と連携したICTサービスの

構築と活用に向けて

中村 素典

/ 国立情報学研究所



SINET接続がなくても参加できます！（加入は必要）



私立大学でも参加できます！



電子ジャーナルのアクセス費は、既存の契約ベースです



でもアクセスコスト圧縮の可能性を秘めています



IPアドレスによらない利用者範囲の絞り込み、複数機関共同契約

2



「学認」で拡大する研究者の利便と大学間の連携



シングル・サイン・オンで、利便性が高まるコンテン

ツサービス



SINETクラウド接続サービスと学認でリソース活用

の新時代が始まる



SINETクラウド接続サービスと学認でリソース活用

の新時代が始まる



「トラストフレームワーク」による

ID連携が拓く可能性

http://www.nii.ac.jp/about/publication/today/

3

英語版もあります

0

10

20

30

40

50

60

70

80

90

100

Ju

l-09

De

c-0

9

M

ay-10

Oc

t-1

0

M

ar-11

Au

g-11

Ja

n-1

2

Jun-12

No

v-12

Ap

r-13

Se

p-1

3

機関数

0

20

40

60

80

100

120

Ju

l-09

De

c-0

9

M

ay-10

Oc

t-1

0

M

ar-11

Au

g-11

Ja

n-1

2

Jun-12

No

v-12

Ap

r-13

Se

p-1

3

Total

Students

Staffs

ユーザ数

総

ID数≒75万

（万人）

4

60 IdP達成



病院も参加しました（

NTT東日本関東病院）



特定非営利活動法人サイバー・キャンパス・コンソーシアム

TIES



初の、複数機関にまたがる

IdP構築事例に



H25年より全国の高等専門学校が順次参加予定

0

20

40

60

80

100

120

140

Ju

l-09

Se

p-0

9

No

v-09

Ja

n-1

0

M

ar-10

M

ay-10

Ju

l-10

Se

p-1

0

No

v-10

Ja

n-1

1

M

ar-11

M

ay-11

Ju

l-11

Se

p-1

1

No

v-11

Ja

n-1

2

M

ar-12

M

ay-12

Ju

l-12

Se

p-1

2

No

v-12

Ja

n-1

3

M

ar-13

M

ay-13

Ju

l-13

HighWire Press

Stanford University

（１サイトで複数サービス提供）

5

100 SP突破

107

メタデータ登録数（公開準備中を含む）



H25年度よりeduGAINにも参加し、別途eduGAINのサービスも利用可能に

6



一ヶ月単位のアクセス数の推移



DSを経由したアクセス数であるため、実際にはもっと多い



参考：30000アクセス／月＝1000アクセス／日

138 3727 9634 10465 11432 10345 8256 15668 18762 21158 19680 9160 11262 26590 31007 19457 21236 14384 0 5000 10000 15000 20000 25000 30000 35000

7

学内

SSOの仕組みをグローバルに

機関認証システム Identity Provider Webメイル 給与明細 履修登録 SSO SSO ユーザディレクトリ （LDAP）

Service

Provider

学内

eLearning

eJournal

学内サービスの

アウトソース化にも最適

大学Ａ

大学Ｂ

集約、共用による

コスト削減メリット

Elsevier Science Direct Elsevier SCOPUS

SpringerLink Thomson Reuters Web of Knowledge Ovid SP ProQuest RefWorks

ProQuest RefWorks ProQuest ebrary

Cambridge Journals Online Atlases Pathology Images 研究社: KOD NII: CiNii

EBSCO: EBSCO host IEEE Xplore Serials Solutions: 360 Search, 360 Link, Electronic Journal Portal

IOP science Royal Society of Chemistry RSC Publishing S.Karger AG BioOne

American Society of Clinical Oncology Americal Society of Nephrology BMJ Journals Biologists.com Journals

Disaster Medicine and Public Health Preparedness Journal Watch: Medical Journals and Research _Articles Journal of Bone and Joint Duke University Press Journals

Lyell Collection: Geological Society Publications

Online Journals of the Royal College of Psychiatrists Oxford Medicine Oxford Journals

OxfordServices Royal Society Publishing

RSM Press Rockefeller University Press journals SAGE Journals Annual Reviews

Cengage Learning Emerald サンメディア PierOnline (UniBio Press) NII-REO

Microsoft: DreamSpark アットウェア：しぼすけ UQコミュニケーションズ モバイルWiMAXキャンパスネット

ワーク接続サービス 科学技術振興機構:ReaD&Researchmap

NII FaMCUs (MCU for Video Conferencing) NII Eduroam-Shib (Temporary eduroam account _issuing) NII: FShare (File Sharing Service) NII 研究クラウド(Gunnii，tinii，colonii)

NII WebELS (Web-based e-Learning System) NII edubase Cloud NII 学認申請システム（GakuNin Registration System） NII GakuNin mAP NII meatwiki NII meatmail

金沢大学 File Transfer Service 金沢大学 Opens non-Bibliographic Contents Service 金沢大学 ARCADE(学術組織間デジタル資料分散共有シス

テム)

山形大学 科学技術の学術情報共有のための双方向コミュニ ケーションサービス

山形大学 大学間連携グループ情報共有サービス 広島大学 HINET wlan guest service 佐賀大学 Opengate UNINETT, Foodle

Copyright (c) 2013, National Institute of Informatics

10



提供される

MCU



Cisco Tandberg Codian MCU 4510 (最大20地点)



Cisco Tandberg Codian MCU 4205 (最大12地点、京大提供)



Polycom RMX 2000、1000 (最大20ポート)



学認への対応



予約と制御に認証を要求（教職員に限定、学生に権限委譲可）



テレビ会議への参加には認証不要（アクセスコード等利用）

予約・制御

認証情報

認証

Shibboleth

接続

接続

代表者

移動先

接続

ConferenceMe

A大学

B大学

IdP

SP

制御

（NAT越え可）

NII

予約情報の通知

Vidyo GW

2013/2/4



情報セキュリティー講習への需要



大学ごとに同様のコンテンツやシステムを整備するのは非効率



共用EラーニングSP「学認連携 Moodle 講習サイト」



「ヒカリ＆つばさ」と「倫倫姫」（群馬大学）を提供予定



https://security-learning.nii.ac.jp/

セキュリティラーニングシステム

教職員・学生が受講

受講状況を機関に

_{フィードバック}

類似サービスを各機関で個別に導入する必要なし

11

大学

NII

利用申請

IdP

SP

利用者

管理者

アクセス（講習）

認証

変換

※大学からの「利用申請」がなくても自習可能

※

StoredID推奨

12

修了状況の大学へのフィードバックをサポート！

UQネットワーク

L2VPN （学内扱いの通信） 大学管理の IPアドレスが 割り当てられる 

SINETのL2VPNサービスを利用して、大学とUQネットワークを接続

 WiMAX端末には、大学が用意したIPアドレスが割り当てられる  あたかもキャンパス内にいるかのように学内専用サービスやインターネットにアクセス可能  http://www.uqwimax.jp/service/corporate/campusconnect.html 

SINETとUQネットワークの間の回線はUQ負担（SINETクラウド接続サービス利用）

 http://www.sinet.ad.jp/service/other/cloud_services/

WiMAX

インターネット

学内ネットワーク

学認

IdP

学内専用

サ－ビス

ファイアーウォール

VLAN

学認SP

クラウド接続 サービス 大学手配の アクセス回線 （既存） 大学のIPアドレスから利用できる 学外コンテンツやサービスにも アクセス可能

大学

13

14



2011年9月から2013年2月までのデータ（縦軸 log、総アクセス数順）



左より、佐賀大ネットワーク認証、CINII、eduroamアカウント発行、WebOfKnowledge、学認

申請システム、大容量ファイル転送、mAP対応Wiki、テレビ会議MCU予約、Researchmap、

動作確認用SP、UQ WiMAX、NII研究クラウド、mAP管理、広島大ネットワーク認証、Karger、

研究社、釧路高専、Reo、情報セキュリティeラーニング、しぼすけ（スケジュール調整）、金沢

大学データ共有、WebELS、と続く

1 10 100 1000 10000 gu es to g.s so .c c.s ag a-u.a c.jp re gis te r-ci .n ii.a c.jp ed ur oa m sh ib .n ii.a c.jp www.we bo fk no wle dg e.c om of fic e.g ak un in .n ii.a c.jp fs ha re .sin et .a d.jp m ea twik i.n ii.a c.j p m cu s.n ii. ac .jp res ea rc hm ap .jp at tr vie we r2 0. ga ku nin .n ii.a c.jp jv r.u qwim ax .jp gu nn ii.e clo ud .n ii.a c. jp m ap .g ak un in .n ii.a c. jp hin et -s p.h ir os hi m a-u.a c.jp se rv ic e.e cl ou d.n ii.a c.jp co nte nt. ka rg er .c om ko d.k en ky us ha .c o.jp ad m in -r ou te r.we bo fk no wle dg e. co m sp .m sls .k us hir o-ct .a c.jp re o. ni i.a c.jp se cu rit y-le ar nin g.n ii. ac .jp shi bo suk e. ne t bo ok lo op er -h 1.g re en of fic e.jp ar ca de .c is.k an az awa -u .a c.jp we be ls.e x.n ii.a c.jp at tr vie we r1 3. ga ku nin .n ii.a c.jp www.e m er ald in sig ht .c om sp .e br ar y. co m sp 1.d b.k an az awa -u .a c.jp ar ca de -s to ra ge 01 .c is. kan az aw a-u. ac .jp co lo nii. ec lo ud .n ii.a c. jp ky od o-lm s.n ar a-ed u.a c.jp ar ca de -s to ra ge 01 .n ii.a c.jp www.c c.s ag a-u.a c.jp id p.r ep o.n ii.a c.jp sp 2.d b.k an az awa -u .a c.jp c.y z.y am ag at a-u.a c.jp tin ii.e cl ou d.n ii.a c.jp op en id .n ii.a c. jp nin sh o-da v. ni i.a c.jp gm em be rs .s in et .a d. jp m ea tm ail.n ii.a c.j p at la se s.m un i.c z www.k ar ge r.c om www.is ik no wle dg e.c om id p.ix sq .n ii. ac .jp we bo fk no wle dg e.c om isik no wle dg e.c om m us e.jh u.e du we bo fk no wle dg e.c om www.we bo fk no wle dg ev 4.c om www2 1.m le .c m c.o sa ka -u .a c.jp

 統合認証システム  AXIOLE, NetSpring  HP IceWall SSO, 日本HP

 ｊｗ-ｓｉｇｎ onTM，エヌ・ティ・ティ・データ・カスタマサービス株式会社  LiveSignOn, NTTデータ九州

 Secioss Access Manager，株式会社セシオス

 Shibboleth-IdPアクセス制御プラグイン，株式会社セシオス  WebSAM SECUREMASTER，日本電気株式会社  WisePoint, ファルコンシステムコンサルティング株式会社  メールサービス  DEEPMail/MailSuite, ディープソフト株式会社  施設予約システム  ガルーン, サイボウズ  i-WARE, NTTデータ九州  給与システム  給与支給明細オンライン照会システム, 株式会社 サジェコ  源泉徴収関係届出オンラインシステム, 株式会社 サジェコ  eLearningシステム  Mediasite System，メディアサイト株式会社  WebClass, 日本データパシフィック株式会社  履修登録システム  LiveCampus, NTTデータ九州  DreamCampus, SCSK株式会社  教務事務システム  LiveCampus, NTTデータ九州  図書館情報システム  E-CatsLibrary，株式会社シー・エム・エス、日本電気株式会社  NALIS, NTTデータ九州 https://meatwiki.nii.ac.jp/confluence/x/zgKF にて情報公開中。追加情報をお待ちしております！

15



学術関係者



事前の許諾は不要です



その他の使用者



事前に許諾をお願いします



学認として審査・認定しているわけではありません。

16



学認申請システム



学認への参加申請，メタデータ（サーバ証明書等）登録・更新等は

Webを通してオンラインで可能（学認申請システム）



テストフェデレーション（技術検証環境）

0. OpenIdPでのアカウント作成

1. 申請情報登録

2. 事務局での参加承認

3. フェデレーションメタデータへの登録



運用フェデレーション（実アカウントを用いた本格利用）



オフラインによる確認（申請書の郵送）が

1ステップ増えるだけ

通常一日で

参加完了

利用開始可能

17

こちらは

早くて一週間程度



現在の活動状況



参加機関数 317、発行枚数 8254枚（2月18日現在）

「

UPKIオープンドメイン証明書自動発行検証プロジェクト」

サーバ証明書発行の無償提供サービスを実施中です。

更なるご参加を

お待ちしております！

18

のべ発行枚数の推移



2048bit未満の証明書の利用停止（2013年12月以降）



参加機関



ポリシーに準拠することにより学認に参加可能



事務局



参加が承認された

IdPとSPの情報はメタデータに登録



IdP,SPサーバ



メタデータに登録された

IdPとSPだけが互いに接続することができる

機関認証システム Identity Provider

学術サービス

メタ データ

登録

登録

配布

（ダウンロード）

配布

（ダウンロード）

ポリシーに準拠し参加機関間の認証連携を実現

• 学術認証フェデレーション実施要領

（平成

24年3月22日 改正)

• 学術認証フェデレーション

システム運用基準 (Ver.1.2)

（平成

23年8月24日 改正）

The

Circle of

Trust

19

相互信頼

20



組織の構成員であることの保証



卒業、退職などによる異動の適切な反映



名誉教授、

OB、図書館の地域内利用者、その他ゲスト等の扱い



識別子再利用についての考慮



同一識別子を利用する場合は、一定期間あける



ユーザの同一性の保証



パスワード配布時の本人確認



適切に管理された役職アカウント



個人情報保護への対応



国公立大学ではオプトインが原則



ログの保存



インシデント対応のための、

eduPersonTargetdIDやtransient-idの記録

⇒定期アンケート（毎年）によるチェックとフィードバックで維持



IdP of The Year 2012 を大阪大学が受賞

機関として責任を持った

IDおよび属性の保証

21



IdPホスティングサービス（試験提供中）



運用中：

2大学、準備中：3大学



あくまでも試験提供であり永続的サービスはしない



InCommonではFISCHERなどが提供開始



http://www.fischerinternational.com/press/press_releases/fisc_news_in

common_ignite.htm



たとえば、セシオスが

SaaS型IdPサービスを提供可能



https://www.secioss.co.jp/2013/04/_seciosslink_education.html

22



OIX (Open Identity eXchange,

http://openidentityexchange.org/)



LoA 1 認定プログラム 2012/7/4 開始



2大学について認定作業中



eduGAIN (

www.edugain.org/

)



欧州

GÉANTが提供するインターフェデレーションに学認として

参加



学認申請システムで

OPT-INする枠組みを提供予定



シボレスコンソーシアム

(http://shibboleth.net/)



学認として参加し、オープンソース

Shibbolethをサポート



Version 2.4



リリース時期：６，７月



シングルログアウトの部分的提供（当該SPとIdPのみ）



Open JDK 1.7に対応



設定ファイルの自動取得機能の改良



Version 3



リリース時期：未定



300近い項目の改善



Spring Webflowによる根本的なアーキテクチャーの変更



uApproveのバンドル



SAMLプロトコルのハンドリング・カスタマイザビリティの強化



シングルログアウトのフル機能の提供（？）

23

24

25



アメリカ

― InCommon

26

InCommon serves almost 6 million end-users

through federated identity management.

27

0%

10%

20%

30%

40%

50%

60%

70%

Metadata Admin

Interfederation

Assurance

Supporting Net+

Metadata Distribution

Federated User Experience

Mobile/non-browser apps

Which of the priorities will you find most helpful

for you/your institution (choose 3-4)

28

Infrastructure-as-a-Service

Software-as-a-Service

Communications-as-a-Service

Other Services

+



If your credentials protect access to any sensitive data,

you must care whether they are good enough for that



What standard do you use?



NIST Levels of Assurance 1 – 4



Bronze & Silver Imply Levels 1 & 2



Specifications written for US Higher Ed



Approved by US government for access to

federal agency services



Approved by International Grid Trust Federation for access

to national & international HPC

From InCommon Community Feedback



Do you intend to pursue Bronze and/or Silver?



27% said “both in 2013”

350IdP*0.27≒95IdP



8% said Bronze only and 8% said Silver only

30

31



LIGO (an InCommon Federation member) seeks

to enable federated access to LIGO operated

service providers including wikis, document

catalogs, event databases, and data investigation

tools for LIGO collaborators from across five

continents, including collaborators from

interferometric gravitational wave experiments and

organizations including the European Gravitational

Observatory (EGO), responsible for the computing

and networking for the Virgo (French and Italian)

interferometer experiment, and KAGRA (Japan).

33

An observatory for ground-based gamma-ray

astronomy



魅力あるサービスの創出



クラウド型サービス



学割サービス？



システム開発・改善



より所属機関を探しやすいディスカバリーサービス



学認申請システムとの連携による、IdP運用コストの削減



個人情報送信同意機能の提供（uApprove.jp）



IdP冗長運用技法の情報提供



属性プロバイダmAP （Vertual Organization情報提供）関連

サービス



多要素認証、クライアント証明書の導入による認証セキュリ

ティ向上

など