学認を活用した
大学連携IT基盤の構築に向けて
中村 素典
/ 国立情報学研究所
2
学内
SSOの仕組みをグローバルに
機関認証システム Identity Provider Webメイル 履修登録 給与明細 SSO SSO ユーザディレクトリ (LDAP)Service
Provider
学内
eLearning
eJournal
学内サービスの
アウトソース化にも最適
大学A
大学B
集約、共用による
コスト削減メリット
SSO SSO0
10
20
30
40
50
60
70
80
90
100
Ju
l-09
D
ec
-0
9
M
ay-10
O
ct
-1
0
M
ar-11
A
ug-11
Ja
n-1
2
Jun-12
N
ov-12
A
pr-13
Se
p-1
3
機関数
0
20
40
60
80
100
120
Ju
l-09
D
ec
-0
9
M
ay-10
O
ct
-1
0
M
ar-11
A
ug-11
Ja
n-1
2
Jun-12
N
ov-12
A
pr-13
Se
p-1
3
Total
Students
Staffs
ユーザ数
総
ID数≒75万
(万人)
3
60 IdP達成
病院も参加しました(
NTT東日本関東病院)
H25年より全国の高等専門学校が順次参加予定
学生の割合は、
80%強
高等教育人口は
350万人
参加機関一覧:https://www.gakunin.jp/docs/fed/participants試行
本格運用
0
20
40
60
80
100
120
140
Ju
l-09
Se
p-0
9
N
ov-09
Ja
n-1
0
M
ar-10
M
ay-10
Ju
l-10
Se
p-1
0
N
ov-10
Ja
n-1
1
M
ar-11
M
ay-11
Ju
l-11
Se
p-1
1
N
ov-11
Ja
n-1
2
M
ar-12
M
ay-12
Ju
l-12
Se
p-1
2
N
ov-12
Ja
n-1
3
M
ar-13
M
ay-13
Ju
l-13
HighWire Press
Stanford University
(1サイトで複数サービス提供)
4
100 SP突破
107
メタデータ登録数(公開準備中を含む)
H25年度よりeduGAINにも参加し、別途eduGAINのサービスも利用可能に
SITF (Student Identity Trust Framework)による学割サービス実現を検討中
Elsevier Science Direct Elsevier SCOPUS
SpringerLink Thomson Reuters Web of Knowledge Ovid SP ProQuest RefWorks
ProQuest RefWorks ProQuest ebrary
Cambridge Journals Online Atlases Pathology Images 研究社: KOD NII: CiNii
EBSCO: EBSCO host IEEE Xplore Serials Solutions: 360 Search, 360 Link, Electronic Journal Portal
IOP science Royal Society of Chemistry RSC Publishing S.Karger AG BioOne
American Society of Clinical Oncology Americal Society of Nephrology BMJ Journals Biologists.com Journals
Disaster Medicine and Public Health Preparedness Journal Watch: Medical Journals and Research Articles Journal of Bone and Joint Duke University Press Journals
Lyell Collection: Geological Society Publications
Online Journals of the Royal College of Psychiatrists Oxford Medicine Oxford Journals
OxfordServices Royal Society Publishing
RSM Press Rockefeller University Press journals SAGE Journals Annual Reviews
Cengage Learning Emerald サンメディア PierOnline (UniBio Press) NII-REO
Microsoft: DreamSpark アットウェア:しぼすけ UQコミュニケーションズ モバイルWiMAXキャンパスネット
ワーク接続サービス 科学技術振興機構:ReaD&Researchmap
NII FaMCUs (MCU for Video Conferencing) NII Eduroam-Shib (Temporary eduroam account issuing) NII: FShare (File Sharing Service) NII 研究クラウド(Gunnii,tinii,colonii)
NII WebELS (Web-based e-Learning System) NII edubase Cloud NII 学認申請システム(GakuNin Registration System) NII GakuNin mAP NII meatwiki NII meatmail
金沢大学File Transfer Service 金沢大学Opens non-Bibliographic Contents Service 金沢大学ARCADE(学術組織間デジタル資料分散共有シス
テム)
山形大学 科学技術の学術情報共有のための双方向コミュニ ケーションサービス
山形大学 大学間連携グループ情報共有サービス 広島大学HINET wlan guest service 佐賀大学Opengate UNINETT, Foodle
7
2011年9月から2013年2月までのデータ(縦軸 log、総アクセス数順)
左より、佐賀大ネットワーク認証、CINII、eduroamアカウント発行、WebOfKnowledge、学認
申請システム、大容量ファイル転送、mAP対応Wiki、テレビ会議MCU予約、Researchmap、
動作確認用SP、UQ WiMAX、NII研究クラウド、mAP管理、広島大ネットワーク認証、Karger、
研究社、釧路高専、Reo、情報セキュリティeラーニング、しぼすけ(スケジュール調整)、金沢
大学データ共有、WebELS、と続く
1 10 100 1000 10000 gu es tog .s so. cc. sa ga -u .a c. jp re gi st er -c i.n ii.a c. jp edu roa m sh ib .n ii. ac. jp w ww .w eb of kn owl edg e. com of fic e. ga ku ni n. ni i.a c. jp fs ha re .s in et.a d. jp m ea tw ik i.n ii. ac .jp m cu s. nii .a c. jp re se arch m ap .jp attr vi ew er 20 .g ak un in .n ii. ac .jp jv r. uq w im ax .jp gu nn ii.e cl ou d. ni i.a c. jp m ap .g ak un in .n ii.a c. jp hi ne t-sp .h iros hi m a-u. ac .jp se rvi ce .e cl ou d. ni i.a c. jp con te nt .k arg er. com kod. ke nk yu sh a. co. jp ad m in -rou te r. w eb of kn ow le dg e. com sp .m sl s. ku sh iro -c t.a c. jp re o.n ii. ac .jp se cu ri ty -le ar nin g.n ii. ac .jp sh ib os uk e. ne t book loop er -h 1. gr ee no ffi ce .jp arca de .ci s. ka na za wa -u .a c. jp w eb el s. ex .n ii. ac .jp attr vi ew er 13 .g ak un in .n ii. ac .jp w ww .e m era ldi ns ig ht .com sp .e bra ry. com sp1.d b.k ana za w a-u. ac .jp arca de -s tora ge 01 .ci s. ka na za w a-u. ac .jp co lo nii .e cl ou d.n ii. ac .jp kyodo -lm s. na ra -e du .a c. jp arca de -s to ra ge 01 .n ii. ac .jp w ww .cc. sa ga -u .a c. jp id p. re po .n ii. ac .jp sp2.d b.k ana za w a-u. ac .jp c. yz.y am ag ata -u .a c. jp tin ii. ec lo ud .n ii.a c. jp op en id .n ii. ac .jp ni ns ho -d av .n ii. ac .jp gm em be rs .s in et .a d. jp m ea tm ai l.n ii. ac .jp atla se s. m un i.c z w ww .k arg er. com w ww .is ik now le dg e. com id p. ix sq .n ii. ac .jp w eb of kn owl edg e. com is ik now le dg e. com m us e. jh u. ed u w eb of kn owl edg e. com w ww .w eb of kn owl edg ev4 .com w ww 21 .m le .cm c. os ak a-u. ac .jp8
(参考) https://www.gakunin.jp/docs/
fed/technical/attribute
属性
内容
OrganizationName (o) 組織名 jaOrganizationName (jao) 組織名(日本語) OrganizationalUnit (ou) 組織内所属名称 jaOrganizationalUnit (jaou) 組織内所属名称(日本語) eduPersonPrincipalName (eppn) フェデレーション内の共通識別子 eduPersonTargetedID フェデレーション内の匿名識別子 eduPersonAffiliation 職種 eduPersonScopedAffiliation 職種(@scopeつき) eduPersonEntitlement 資格 SurName (sn) 氏名(姓) jaSurName (jasn) 氏名(姓)(日本語) GivenName 氏名(名) jaGivenName 氏名(名)(日本語) displayName 氏名(表示名) jaDisplayName 氏名(表示名)(日本語) mail メールアドレス gakuninScopedPersonalUniqueCode 学生・職員番号 (@scopeつき)実際に使われる属性情報の例
サービスA
(1項目必須)
eduPersonPrincipalName(必須)
サービスB
(1項目必須)
eduPersonAffiliation (必須)
eduPersonTargetedID
サービスC
(必須項目なし)
eduPersonEntitlement
eduPersonAffiliation
Copyright (c) 2013, National Institute of Informatics
2013/2/4
Copyright (c) 2013, National Institute of Informatics
9
提供される
MCU
Cisco Tandberg Codian MCU 4510 (最大20地点)
Cisco Tandberg Codian MCU 4205 (最大12地点、京大提供)
Polycom RMX 2000、1000 (最大20ポート)
学認への対応
予約と制御に認証を要求(教職員に限定、学生に権限委譲可)
テレビ会議への参加には認証不要(アクセスコード等利用)
予約・制御
認証情報
認証
Shibboleth
接続
接続
代表者
移動先
接続
ConferenceMe
A大学
B大学
IdP
SP
制御
(NAT越え可)
NII
予約情報の通知
Vidyo GW
情報セキュリティー講習への需要
大学ごとに同様のコンテンツやシステムを整備するのは非効率
共用EラーニングSP「学認連携 Moodle 講習サイト」
「ヒカリ&つばさ」と「倫倫姫」(群馬大学)を提供予定
https://security-learning.nii.ac.jp/
セキュリティラーニングシステム
教職員・学生が受講
受講状況を機関に
フィードバック
類似サービスを各機関で個別に導入する必要なし
10
大学
NII
利用申請
IdP
SP
利用者
管理者
アクセス(講習)
認証
変換
※大学からの「利用申請」がなくても自習可能
※
StoredID推奨
11
修了状況の大学へのフィードバックをサポート!
UQネットワーク
L2VPN (学内扱いの通信) 大学管理の IPアドレスが 割り当てられる SINETのL2VPNサービスを利用して、大学とUQネットワークを接続
WiMAX端末には、大学が用意したIPアドレスが割り当てられる あたかもキャンパス内にいるかのように学内専用サービスやインターネットにアクセス可能 http://www.uqwimax.jp/service/corporate/campusconnect.html SINETとUQネットワークの間の回線はUQ負担(SINETクラウド接続サービス利用)
http://www.sinet.ad.jp/service/other/cloud_services/WiMAX
インターネット
学内ネットワーク
学認
IdP
学内専用
サ-ビス
ファイアーウォール
VLAN
学認SP
クラウド接続 サービス 大学手配の アクセス回線 (既存) 大学のIPアドレスから利用できる 学外コンテンツやサービスにも アクセス可能大学
12
Copyright (c) 2013, National Institute of Informatics
13
第
11回 MCPC award
モバイルコンピューティング推進コンソーシアム
最優秀事例には、グランプリ・総務大臣賞が贈られる
「モバイル
WiMAXキャンパスネットワーク接続」
WiMAXキャンパスネットワーク開発チームとして応募
慶應義塾大学、京都大学、九州大学、
NII
2013年4月19日 最終審査・表彰式
統合認証システム
AXIOLE, NetSpring HP IceWall SSO, 日本HP
jw-sign onTM,エヌ・ティ・ティ・データ・カスタマサービス株式会社
LiveSignOn, NTTデータ九州
Secioss Access Manager,株式会社セシオス
Shibboleth-IdPアクセス制御プラグイン,株式会社セシオス WebSAM SECUREMASTER,日本電気株式会社 WisePoint, ファルコンシステムコンサルティング株式会社 メールサービス DEEPMail/MailSuite, ディープソフト株式会社 施設予約システム ガルーン, サイボウズ i-WARE, NTTデータ九州 給与システム 給与支給明細オンライン照会システム, 株式会社 サジェコ 源泉徴収関係届出オンラインシステム, 株式会社 サジェコ eLearningシステム Mediasite System,メディアサイト株式会社 WebClass, 日本データパシフィック株式会社 履修登録システム LiveCampus, NTTデータ九州 DreamCampus, SCSK株式会社 教務事務システム LiveCampus, NTTデータ九州 図書館情報システム E-CatsLibrary,株式会社シー・エム・エス、日本電気株式会社 NALIS, NTTデータ九州 https://meatwiki.nii.ac.jp/confluence/x/zgKF にて情報公開中。追加情報をお待ちしております!
14
学術関係者
事前の許諾は不要です
その他の使用者
事前に許諾をお願いします
学認として審査・認定しているわけではありません。
15
学認申請システム
学認への参加申請,メタデータ(サーバ証明書等)登録・更新等は
Webを通してオンラインで可能(学認申請システム)
テストフェデレーション(技術検証環境)
0. OpenIdPでのアカウント作成
1. 申請情報登録
2. 事務局での参加承認
3. フェデレーションメタデータへの登録
運用フェデレーション(実アカウントを用いた本格利用)
オフラインによる確認(申請書の郵送)が
1ステップ増えるだけ
通常一日で
参加完了
利用開始可能
16
こちらは
早くて一週間程度
現在の活動状況
参加機関数 317、発行枚数 8254枚(2月18日現在)
「
UPKIオープンドメイン証明書自動発行検証プロジェクト」
サーバ証明書発行の無償提供サービスを実施中です。
更なるご参加を
お待ちしております!
17
のべ発行枚数の推移
2048bit未満の証明書の利用停止(2013年12月以降)
参加機関
ポリシーに準拠することにより学認に参加可能
事務局
参加が承認された
IdPとSPの情報はメタデータに登録
IdP,SPサーバ
メタデータに登録された
IdPとSPだけが互いに接続することができる
機関認証システム Identity Provider学術サービス
メタ データ登録
登録
配布
(ダウンロード)
配布
(ダウンロード)
ポリシーに準拠し参加機関間の認証連携を実現
• 学術認証フェデレーション実施要領
(平成
24年3月22日 改正)
• 学術認証フェデレーション システム運用基準
(Ver.1.2)
(平成
23年8月24日 改正)
The
Circle of
Trust
18
相互信頼
19
IdPホスティングサービス(試験提供中)
運用中:
2大学、準備中:3大学
あくまでも試験提供であり永続的サービスはしない
InCommonではFISCHERなどが提供開始
http://www.fischerinternational.com/press/press_releases/fisc_news_in
common_ignite.htm
たとえば、セシオスが
SaaS型IdPサービスを提供可能
https://www.secioss.co.jp/2013/04/_seciosslink_education.html
20
地域連携(大学コンソーシアム)
大学コンソーシアム京都
コンソーシアム石川
高等教育コンソーシアム信州
e-Knowledgeコンソーシアム四国
など
専門教育連携
大学院連合農学研究科
大学院連合獣医学研究科
がんプロフェッショナル養成基盤推進プラン
など
21
Read&Researchmap
将来的には
e-Radも視野に
HPCI
(High Performance Computing Infrastructure)
理研+7大学+東工大+筑波の計算環境を利用するユーザ
独立行政法人 国立女性教育会館
女性教育関係者に対する支援
UMIN (東大・大学病院医療情報ネットワーク研究センター)
大学病院業務及び医学・生物学研究者の研究教育活動の支援
など
22
組織の構成員であることの保証
卒業、退職などによる異動の適切な反映
名誉教授、
OB、図書館の地域内利用者、その他ゲスト等の扱い
識別子再利用についての考慮
同一識別子を利用する場合は、一定期間あける
ユーザの同一性の保証
パスワード配布時の本人確認
適切に管理された役職アカウント
個人情報保護への対応
国公立大学ではオプトインが原則
ログの保存
インシデント対応のための、
eduPersonTargetdIDやtransient-idの記録
⇒定期アンケート(毎年)によるチェックとフィードバックで維持
IdP of The Year 2012 を大阪大学が受賞
機関として責任を持った
IDおよび属性の保証
23
NIHのサービスを学認SPとして利用
米国連邦政府内のサービス(
SP)を、外部の認証システム(IdP)に接続する場
合には、
SP側がIdPの保証レベル(Level of Assurance, LoA)を要求。
4つのレベルを規定
レベル
1:whitehouse.govのWebサイトでのオンラインディスカッションに参加
レベル
2:社会保障Webサイトを通じて自身の住所記録を変更
レベル
3:特許弁理士が特許商標局に対し、機密の特許情報を電子的に提出
レベル
4:法執行官が、犯罪歴が格納されている法執行データベースにアクセス
PubMedの要求はLevel 1(最低)であり、利用するためには学認のIdPが米国
の基準に則った
Level 1を取得する必要あり。
学認は、学認の
IdPにLevel 1を発行できる
Trust Framework Providerに
米
OIX (Open Identity eXchange)の
(スペシャル)メンバーに
24
オンライン手続きにおけるリスク評価及び電子署名・認証ガイドラ
イン
我が国の電子政府における認証方式の設計にあたり活用可能な「もの
さし」を確立することを目的として策定。
ガイドラインは、対象となる電子手続に関するリスク評価手法とこの手
法により導出される「リスクの影響度」、影響度に応じた認証方式の「保
証レベル」の導出、各保証レベルに求められる対策基準を規定。
OMB M-04-04やNIST 800-30など米国政府を参考
Copyright (c) 2011, National Institute of Informatics
http://www.kantei.go.jp/jp/singi/it2/guide/guide_line/guideline100831.pdf
リスクの影響度の定義
(ガイドラインより引用)
Copyright (c) 2011, National Institute of Informatics
25
レベル
1
ユーザの同一性を保証(身元識別は不要)、認証の有効期限なし
チャレンジ
-レスポンス可(辞書攻撃に弱い)
レベル
2
単一要素認証、身元識別あり、失効処理の保証
オンライン推測攻撃を防止すること(パスワード
/TLS可)
認証サーバでの平文パスワード保持の禁止
レベル
3
複数要素認証、ソフト暗号化トークン使用可
なりすまし攻撃、中間者攻撃を防止すること
レベル
4
実用上最大限の保証、ハード暗号化トークンを使用
認証後の暗号化処理も認証プロセスに結びつく鍵を使用
翻訳版:http://www.ipa.go.jp/security/publications/nist/documents/SP800-63-J.pdf26
Copyright (c) 2011, National Institute of Informatics