ブログ|株式会社セシオス

学外からでもシングルサインオンが利用できる「学認」とは?

作成者: 株式会社セシオス|May 18, 2018 12:12:54 PM

 

シングルサインオン(SSO)は、1つのID・パスワードを1度入力するだけで、多くのシステムが利用できる利便性の高い技術です。

 

現在、多くの国公私立大学、高等専門学校、公的研究機関、病院などにおいて、SSO機能が実現されています。

 

 

そのSSOによる認証システムは、大学共同利用機関法人情報・システム研究機構国立情報学研究所(NII)が全国の大学等と連携し、構築・運用している学術認証フェデレーションに導入されています。

 

学術認証フェデレーション「学認(GakuNin)」とは、学術的な情報資源を利用する大学等と、それを提供する機関や出版社等から構成された連合体のことです。

 

各機関は、学認が定めた規程を順守し運用することで、安全な相互認証連携を実現しています。

 

2018年5月時点で、学認の認証基盤を整備しIdP(Identity Provider)として参加している大学等は、209機関です。また、サービスを提供するSP(Service Provider)は、91機関がリストされています。

 

従来の大学では、研究者等がライセンス契約を結ぶ電子ジャーナルや学術・商用データベースにアクセスする場合、認証がその大学のIPアドレスであったため、大学キャンパス内から誰でもアクセス可能でした。

 

しかし、自宅、出張先、他大学などの学外からリモートアクセスする場合、それぞれのサービスごとにIDとパスワードを得て、別々に入力する必要がありました。

 

利用サービスが増加するにつれ、管理しなければならないIDとパスワードが増加し、煩雑さが増すと同時にセキュリティの低下を招くことになります。

 

学認はこれらの問題点を解消するSSOを採用しており、研究者等は、学内外から一度入力するだけで、複数出版社の電子ジャーナル等をシームレスに閲覧できます。

 

学認に参加する大学等は、所属する研究者等のID情報や個人情報を一元管理して、IdPを設置し、SSOを可能にします。そのため、ID管理作業を軽減し、セキュリティレベルを上げることができます。

 

学認は、各大学が管理するIdPやSPの分散型認証連携基盤を提供しています。

 

学認は、IdPとSPにおける認証の通信方法として、世界中の学術認証フェデレーションで標準となっているプロトコルSAMLを採用しています。

 

使用ソフトウエアは、米国のInternet2が開発したShibboleth(シボレス)です。

各大学が学認に参加するには、Shibbolethを用いたIdPを構築する必要があります。

 

IdPは、以下の働きをします。

 

 

ユーザ(研究者)が、サービスを提供するSPにアクセスすると、SPはIdPにユーザー情報を問い合わせます。

 

IdPは、SPが要求するユーザの属性を学内の一元的な認証基盤であるLDAPやDBから取得し、ポリシーに従い送信可能であれば、SPの要求する属性に変換し、SAML2.0に準拠して安全に属性をSPへ送信します。

 

また、IdPは、ユーザのCookieを検査し、認証済みの場合は、2回目以降の認証は行わず、SSO機能を実現します。

 

一方のSPは、以下のように働きます。

 

 

SPは、IdPからのユーザ認証と属性を受信し、属性の名称をアプリケーションに対応した名称に変換します。属性値がポリシーに従っていれば、属性をアプリケーションに渡します。

 

アプリケーションは認可判断を行い、問題がなければ使用可能になります。

 

したがって、IdPにSPが要求するユーザー属性がない場合あるいは渡さない場合は、サービスの利用ができません。

 

SPでは、ShibbolethによるE-LearningシステムやE-Scienceのプラットフォームが世界中で提供されつつあるとのことです。

 

組織を越えて認証連携を行う場合、相互に信頼できるIdPとSPが必要であり、この枠組みを「フェデレーション」と呼びます。

 

フェデレーションでは、運用ポリシーの策定、参加機関の承認、IdPとSPが交換する属性情報を決定し、DS(Discovery Service)の運用や、フェデレーションメタデータの配布を行っています。

 

DSは、参加機関のIdPを検索するシステムで、IdPリストに掲載されることでフェデレーションに参加したことになります。

 

フェデレーションメタデータは、参加機関のIDやサーバ証明書などの情報をまとめたデータのことで、相互信頼の根拠となるものです。

 

フェデレーションは、各参加機関が提出したメタデータをサーバに統合し、フェデレーションメタデータとして参加機関に配布します。

 

なお、IdP、SP、フェデレーション間のデータ通信には、安全なPKI(公開鍵暗号基盤)に基づくサーバ証明書が使用されます。

 

学認に参加することで、大学等に所属する学生・職員・研究者は、一元的に管理されたSSO機能を備えた認証システムに一度ログインするだけで、学内外のサービスをシームレスに利用できます。

 

さらに、パスワード等が外部に流れない所属する大学等の認証システムだけを利用するため、個人情報の漏洩リスクがかなり低減します。