JICS2013レポート(1) 3/4午前 学認シンポジウム
3月4日〜5日、Japan Identity & Cloud Summit(JICS)に参加してきました。今回はNIIとOpenID Foundation Japanの共催で、産官学が集結する日本初のidentity summitとなったそうです。
4日はGeneral Track、5日はOpenID Hackathonを中心に参加しました。
当日取ったメモを公開します。間違いや発言意図と違うなどありましたらご指摘お願いします。
学認トラストフレームワーク
- 学認の定義
- SSOの運用主体
- 参加・運用ポリシーを定める
- 参加申請
- 正しく運用されているかチェック(アンケート)
- 学認はself-containedなTF
- 学認の与える漠とした信頼
- 学認に入ってIdPを運用している機関は信頼できる
- 学認に入ってSP(RP)を運用しているところは信頼できる
- OIX (OpenIdentityExchange)
- 学認の与える漠とした信頼
- TFの御利益
- SPはIdPのLoAについて一定の保証を得られる
- RPのサービスポシシー・セキュリティーポリシー・プライバシーポリシーの評価について一定の保証が得られる
- なんとなくの信頼ではなく監査による信頼性の保証
- OIXが学認のトラストチームを認定
- OIXと学認
- OIX: OpenIdentityExchange
- 学認とOIX
- 学認はOIXにspecial providerとして参加
- OIXは「学認のIdPに対してFICAM LoA1認定を行うアセッサ」を学認内で指定する
- LoA1
- 世界標準
- レベル1〜4
- 認定基準
- Governance(成熟度), Privacy, Technical
- OIXの審査基準を適用
- 学認の場合
- 学認アンケートにポジティブな答える出ればLoA1はOK
- 学認アンケート
- 組織の成熟度(Governance)を調査する手段
- きちんとIdPを運用しているか。文書化されているか
- Identity管理
- パスワード管理
- プライバシー
- テクニカル
- 組織の成熟度(Governance)を調査する手段
- 学認アンケート
- おおむねpositive
- 運用スコアつけてみた
学認R&D 2013春モデル
- 学認申請システム
- OpenIdP対応
- これまでは申請のためのアカウントをローカルに発行(メアド、パスワード)
- → OpenIdPで認証可能に
- OpenIdP: IdPを構築していない組織の人たちが試験的に利用できる
- 学認サービスの一部を利用可能
- 運用責任者
- 副運用担当者が指定可能: eppnがあれば主担当者が確認済みにできる
- 学認アンケート機能
- メタデータテスト作成
- mdui対応
- SAML V2.0 Metadadata Extensions for Login and Discovery User Interface Version 1.0
- IdPを見つけやすくなる
- mdui:DisplayName, Description, Keywords, Logo, PrivacyStatementURL
- IPHint, DomainHint, GeolocationHint
- ログイン時のIPアドレスやgeoロケーションでDSを選択
- SAML V2.0 Metadadata Extensions for Login and Discovery User Interface Version 1.0
- attribute-filter
- 利用可能なIdP/SPの設定を固別に可能
- IdPに対応していないSPを非表示
ケーススタディー中小大学の例
- 北見工業大学 升井さん
- 北見工業大学とは
- 北見: 札幌まで300km 特急で4時間半
- 1学部(工学部)/6学科の単科大学
- 教職員300人、学生・大学院性2300人
- 必要なライセンス数2600〜3500
- かかえていた問題
- 業務サーバーがばらばら → ID/PWもばらばら
- LMS,教務管理、語学演習、図書館、物品請求、出張申請、サイボウズなどなど
- 採用したソリューション
- SSO・ID統合管理: OSSTech OpenAM、代理認証、Shibboleth連携
- ID統合管理: LDAPマネージャー
- サーバー統合、仮想化
- データの流れ
- 「ID連携する」と言うとアブナクなるんじゃないかという心配が出るので学内に説明が必要だった
- SSO実装の方針: SSO 代理認証方式、チケットで
- 導入までのタイムライン
- 苦労話
- 重要なサーバほど、古くて融通が効かない → Win2000だったり
- 事務職員の配置転換(3年) → システムに精通している人がいなくなる
- 学内への接し方: まあまあ、あの先生がそうおっしゃるならという気の使い方が重要
- Shibboleth連携
- 学内SSOにログイン後、Shibboleth連携ボタンをクリック
- 本学SPを立て、そこから本学IdPでいったん認証、そのセッション情報をクライアントへ送信
高専のID連携
- 校内LANシステム更新計画(平成21年度)
- 認証サーバ
- OpenLDAP, FreeRADIUS, Shibboleth, UnifIDone
- 富士通ユニファイドワン(UnifIDone)
- IDサーバー機能
- 教職員のデータのみ、30分に1回、各高専サーバーと機構サーバーで同期
- パスワードポリシーの統一
- 学認連携をどうしたいか(アイディア段階)
- 今後のとりくみ
- LANケーブルが古い(お金がなくて買えない)ところさえある!
- まとめ
- 各校内システムとの認証連携を随時開始
- Web給与明細システムの連携ができた
eduroam
- eduroamとは
- セキュリティー
- 安全で使いやすくて安定、WPA2/AES
- 個人認証 → インシデント時の追跡
- 強固すぎるとかえって使いにくい
- 教職員・学生で数万人規模になる大学も! → スケーラビリティー
- 教員ですべてをカバーしようと考えないことが重要
- eduroam
- eduroamの認証連携
- eduroamの参加方法
- 無線LANの運用管理
- セキュリティー
- 通信内容の暗号化: 共通鍵(WEP) or 利用者認証(主体認証、機器識別)
- 学内ネットワークの利用資格の例外措置
- 通常は「本学構成員 + 許可を受けて情報システムを利用する者」
- eduroamでは個人認証できる → 大学側でeduroamなら個別の許可不要という例外措置
- 互恵的な無償での提供(非事業)
- セキュリティー
- 代理認証システム
- 仮名アカウント発行システム: 学認が前提
- 個別ユーザが個人用アカウントを随時取得可能
- 学認システムのみで使える
- 無線LANネットワークの構成・アクセス制御
- 学内ページを見られるのがイヤだ、電子ジャーナルなどの不正利用されたらイヤだ
- ゲストネットワークの構築
- 認証VLAN利用