SlideShare ist ein Scribd-Unternehmen logo

Ia20120118 nishimura

Keisuke Ishibashi
Keisuke Ishibashi
1 von 24
Downloaden Sie, um offline zu lesen
日本における学術認証フェデレーションと その役割と効果 ○西村健† 中村 素典† 山地 一禎† 大谷 誠† 岡部 寿男‡ 曽根原 登† †国立情報学研究所 ‡京都大学 2012年1月18日 インターネットアーキテクチャ研究会
各種オンラインサービスを構築するための「場」を提供  仮想的な大規模;認証基盤の提供(連携)  大学の1つの認証基盤で全てのサービスが使える  様々な人が様々なサービスを提供できるようにする  厳密な認証を必要とするサービスもカバーする(HPCI,医療)  サービス間でつながりを生む 認証基盤
 想定する流れ(国際標準SAMLによる) ①SP(サービス提供者)による認証要求 ②IdP(認証基盤提供者)からの認証応答(認証データ=アサーション)  属性の送受信  利用者に関する情報(=属性)はIdPが持っておいて必要に応じて SPに提供する  SPは提供された属性を使って認可判断する  認可判断するために必要な属性=必須属性  IdPはSPに対してフィルタ定義してそれに従って属性送信を行う ①認証要求 IdP SP ②認証応答 属性アサーション 認証基盤 認証アサーション 3
 IdPとSPの連合体をフェデレーションと呼ぶ  SPによる認証要求の前にDS機能による所属IdP選択が追加される  メタデータにより強固な信頼関係を築く  メタデータ: アサーションの署名検証のためのサーバ証明書など, 連携のためのIdP/SP固有の情報 メタデータ 所属IdP選択 DS IdP IdP SAML IdP SP SP SP 認証基盤 4 利用者 (ブラウザ)
 フェデレーションポリシー  参加IdP/SP間で合意される  特に認証基盤のID集合は,フェデレーションにより規定される 必要があり,そこで規定されているものをSPは期待する  研究教育目的のフェデレーションであれば学術関係者に限定する, 大学の構成員に限定する,など  これがあることにより,SPは安心してIDを 受け入れられる  個々の大学のポリシー  属性送信に関しては個々の大学 のセキュリティポリシーの制約を 受ける 5
• 各大学の認証基盤は,各大学で必要なサービス を提供するために存在する • 例えば学内システムに名誉教授等がアクセスできる 必要があるなら,認証基盤はそのアカウントを持つ 必要がある • 生涯IDに対応しているところでは大学OBが認証基 盤に存在していたり 学内システム等の利用形態が要求する対象者 ≠ フェデレーションが規定し,参加するSPが期待する対 象者
 フェデレーション構築における学術界でのデファクトスタ ンダードのソフトウェア  SAMLを実装する  IdPでの属性フィルタリング機能を実装済  メタデータを読み込み,フェデレーション参加の IdP/SPを確実に識別する機能を持つ  オープンソースソフトウェア  フェデレーション構築においてはShibbolethを用いるの が現実的 7
フェデレーションの信頼性が危うい  「フェデレーションの信頼性」にはいくつかの視点がある  利用者視点でのフェデレーションの信頼性  利用者はサービスを通してフェデレーションを見る  望まない個人情報のやりとりがないことへの信頼 → 可視化とコントロール  所属IdPを選択(+認証)すればSPが利用できる,という信頼感  SP視点でのフェデレーションの信頼性  SPはIDの信頼性のみを見ている ポリシー+運用の確からしさ 例:  退職したIDが使用し続けられていないか?  第三者が含まれていないか? 8
 Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2 認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者 リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
 IdPがSPに送信する属性はIdP管理者が決定する  SPはサービスに必要な属性をIdP管理者に要求する  利用者には送信属性を知るすべがない  どういう情報が送られている?  IdP管理者に問い合わせる?  SP利用の度に個人情報が送信されているかも… 情報が不足するこ とによる 「不信感」  情報を視覚化すれば信頼感アップにつながる
 SP管理者から要求する属性, 「必須」「任意」の種別を収集(学 認申請システムによる)  SPメタデータに「必須」「任意」の 情報を追加  IdPに機能を追加し,SPメタデータ から情報を取得,利用者に送信 属性を表示・選択させる  uApprove.jp IdPプラグイン <md:AttributeConsumingService index="1"> <md:RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> <md:RequestedAttribute FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> </md:AttributeConsumingService>
 以下のような情報を収集・提供するシステムを構築した IdP管理者およびSP管理者が操作する  サーバ証明書等,IdP/SPの基本情報  SPが要求する属性,必須/任意の別 etc.  収集した情報を元にメタデータ生成・配布を行なう 情報交換・共有のためのハブとなる メタデータ 出力 IdP 学認申請 SP システム IdP管理者 SP管理者 12
 Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2 認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者 リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
 学認に参加しているからといって全て のIdPから全てのSPが使えるわけでは ない  電子ジャーナルサービスの機関契約をし ていないから  大学の判断で接続しないことを決定した  IdPの属性フィルタ設定が完了していない etc.  しかしDSでは全てのIdPが表示される →利用者視点では不信感を生む  「ちゃんとIdPで認証されたのに何で使え ないの?」  「学認は使えない」「フェデレーションは使 えない」 14
 学認申請システムで,IdP管理者から設定済みのSP一覧を情報収 集  学認申請システムからの情報を元に,学認DS(Embedded DS) にて,アクセスしようとするSPに接続可能なIdPのみを取捨選択し て一覧表示する 接続が保証されるIdPのみを表示することで利用者に安心感・信頼感 を与える 学認申請 システム SP IdP 接続可能 DS IdP一覧 IdP管理者 利用者
 Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2 認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者 リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
 IdPが属性を送信するかどうか 学認が規定する属性一覧(16種) を決定するのはIdP管理者  個人情報を含む場合があるので 慎重に行う必要がある 17
 Shibboleth IdPでの属性送信設定はXMLファイルの修 正で行う  本質的にはSP名・属性名のペアの羅列  IdP管理者が記述ミスすると情報漏洩につながる 属性フィルタ設定ファイルの記述例: <!-- Release attributes to Elsevier --> <AttributeFilterPolicy id="PolicyforElsevier"> <basic:Rule xsi:type="basic:AttributeRequesterString“ value="https://sdauth.sciencedirect.com/" /> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy> 18
 学認申請システムが仲介してIdP向けの属性フィルタ設 定ファイル生成  SP管理者はSPが要求する属性を選択して入力  IdP管理者は接続するSPを選択した上でフィルタ設定ファイル 取得.Shibboleth IdPに設定. 学認申請 システム IdP SP SP管理者 IdP管理者 属性フィルタ 設定ファイル
 Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2 認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者 リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
 大学の認証基盤に含まれるIDが,すべて学認のポリシー を満たしているとは限らない  大学が運用している学内システムに依存する  大学OB・名誉教授,共同研究者,委託業者…  具体例: 生涯ID対応  現在の学認のポリシーとして, IdPで認証される者は機関の構成員等学術関係者に限ら れる  IdPが学認のポリシーを守っていることの保証ができない 21
 学認利用不可のID集合が認証され認証情報がSPに送信さ れることを禁止するIdPプラグイン  IDを区別するための情報は認証基盤に存在することが前提  SampleFilterPerSP IdPプラグイン  これにより認証基盤に規定外のIDが入っていても安心して学 認に参加できる SampleFilterPerSP 学生 SP 大学OB 教員 職員 SP 学認利用可のID集合 学認参加のSP 学内システム利用可のID集合
フェデレーションの信頼性に関わる4つの問題を解決した. 1. 利用者が送信される属性を確認・選択できる仕組みを提供する ことで,利用者がやりとりされる属性情報を見られず不安・不信 になる問題を解決. 2. SPを利用できるIdP一覧を提供する仕組みを提供することで,DS で利用不可のIdPが選択できてしまい利用者を混乱させる問題 を解決. 3. Shibboleth IdPのフィルタ設定を自動生成・取得できるようにす ることにより,IdP管理者のオペレーションミスの問題の解決. 4. 認証基盤の一部ID集合について特定のSPへの接続許可/拒否 をコントロールできるプラグインの提供により,学認のIDポリシー に準拠していることの保証が難しい問題を解決. → これによりフェデレーションの信頼性を向上できた SPに参加してもらえる,利用者に利用してもらえるフェデレーションの実 現
 より厳密な信頼性の確保・LoAの定義  個人ベース認証→グループベース認証の検討  SAML外・学認外の連携  よりグローバルなサービス  フェデレーション間接続  プロトコル変換  non-web services →より幅広いサービス空間をカバーする

Empfohlen

ID Management
ID ManagementID Management
ID ManagementKohei MATSUOKA
 
Panel fujie 20120828
Panel fujie 20120828Panel fujie 20120828
Panel fujie 20120828Naohiro Fujie
 
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phonejunichi anno
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてShinya Yamaguchi
 
情報処理技術者試験で学ぶ SAML
情報処理技術者試験で学ぶ SAML情報処理技術者試験で学ぶ SAML
情報処理技術者試験で学ぶ SAMLhigher_tomorrow
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済junichi anno
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめjunichi anno
 
BoF-09 Silverlight and WIF /TechEd Japan 2010
BoF-09 Silverlight and WIF /TechEd Japan 2010BoF-09 Silverlight and WIF /TechEd Japan 2010
BoF-09 Silverlight and WIF /TechEd Japan 2010Naohiro Fujie
 

Empfohlen

ID Management
ID ManagementID Management
ID ManagementKohei MATSUOKA
 
Panel fujie 20120828
Panel fujie 20120828Panel fujie 20120828
Panel fujie 20120828Naohiro Fujie
 
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phonejunichi anno
 
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてAzure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法について
Azure AD とアプリケーションを SAML 連携する際に陥る事例と対処方法についてShinya Yamaguchi
 
情報処理技術者試験で学ぶ SAML
情報処理技術者試験で学ぶ SAML情報処理技術者試験で学ぶ SAML
情報処理技術者試験で学ぶ SAMLhigher_tomorrow
 
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済
AD FS 2 と ACS v2 による Windows azure_step_bystep_v2.2_update1_noanime.pptx.アニメ削除済junichi anno
 
「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめ「Windows Phone アプリ と 認証」のまとめ
「Windows Phone アプリ と 認証」のまとめjunichi anno
 
BoF-09 Silverlight and WIF /TechEd Japan 2010
BoF-09 Silverlight and WIF /TechEd Japan 2010BoF-09 Silverlight and WIF /TechEd Japan 2010
BoF-09 Silverlight and WIF /TechEd Japan 2010Naohiro Fujie
 
20110929 クラウド連携において企業内ID管理基盤に求められるもの
20110929 クラウド連携において企業内ID管理基盤に求められるもの20110929 クラウド連携において企業内ID管理基盤に求められるもの
20110929 クラウド連携において企業内ID管理基盤に求められるものNaohiro Fujie
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule setjunichi anno
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割junichi anno
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014Egawa Junichi
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015Egawa Junichi
 
Cloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOICloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOITatsuo Kudo
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割junichi anno
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策Developers Summit
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
統合ID管理入門
統合ID管理入門統合ID管理入門
統合ID管理入門山田(YAMADA) 達司(Tatsushi)
 
Id基盤構築101
Id基盤構築101Id基盤構築101
Id基盤構築101Naohiro Fujie
 
Iddance2 fido
Iddance2 fidoIddance2 fido
Iddance2 fidoHiroshiUeno15
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてTakashi Yahata
 
IPM_J_7.4.12
IPM_J_7.4.12IPM_J_7.4.12
IPM_J_7.4.12Hemant_Kumar_Setya
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
IPM_J_20.3.12
IPM_J_20.3.12IPM_J_20.3.12
IPM_J_20.3.12Hemant_Kumar_Setya
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)Tatsuo Kudo
 
OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介Daisuke Fuke
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方Naohiro Fujie
 

Weitere ähnliche Inhalte

Was ist angesagt?

20110929 クラウド連携において企業内ID管理基盤に求められるもの
20110929 クラウド連携において企業内ID管理基盤に求められるもの20110929 クラウド連携において企業内ID管理基盤に求められるもの
20110929 クラウド連携において企業内ID管理基盤に求められるものNaohiro Fujie
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule setjunichi anno
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割junichi anno
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011Tatsuo Kudo
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014Egawa Junichi
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015Egawa Junichi
 
Cloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOICloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOITatsuo Kudo
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割junichi anno
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策Developers Summit
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてTakashi Yahata
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Foundation Japan
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)Tatsuo Kudo
 

Was ist angesagt? (20)

20110929 クラウド連携において企業内ID管理基盤に求められるもの
20110929 クラウド連携において企業内ID管理基盤に求められるもの20110929 クラウド連携において企業内ID管理基盤に求められるもの
20110929 クラウド連携において企業内ID管理基盤に求められるもの
 
AD FS deep dive - claim rule set
AD FS deep dive - claim rule setAD FS deep dive - claim rule set
AD FS deep dive - claim rule set
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
 
クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割クラウドにおける Windows Azure Active Directory の役割
クラウドにおける Windows Azure Active Directory の役割
 
OpenID Connect, December 2011
OpenID Connect, December 2011OpenID Connect, December 2011
OpenID Connect, December 2011
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015
 
Cloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOICloud Identity Summit 2011 TOI
Cloud Identity Summit 2011 TOI
 
SaaS としての IDM の役割
SaaS としての IDM の役割SaaS としての IDM の役割
SaaS としての IDM の役割
 
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
デブサミ2013【15-A-6】増加するセキュリティ脆弱性の解決策
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
統合ID管理入門
統合ID管理入門統合ID管理入門
統合ID管理入門
 
Id基盤構築101
Id基盤構築101Id基盤構築101
Id基盤構築101
 
Iddance2 fido
Iddance2 fidoIddance2 fido
Iddance2 fido
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
 
IPM_J_7.4.12
IPM_J_7.4.12IPM_J_7.4.12
IPM_J_7.4.12
 
OpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンスOpenID Connect のビジネスチャンス
OpenID Connect のビジネスチャンス
 
IPM_J_20.3.12
IPM_J_20.3.12IPM_J_20.3.12
IPM_J_20.3.12
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
 

Ähnlich wie Ia20120118 nishimura

OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介Daisuke Fuke
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方Naohiro Fujie
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020OpenID Foundation Japan
 
Sec019 30分で理解 !_初心者向
Sec019 30分で理解 !_初心者向Sec019 30分で理解 !_初心者向
Sec019 30分で理解 !_初心者向Tech Summit 2016
 
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピックTechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピックDaisuke Fuke
 
アカデミックIDaaS最前線
アカデミックIDaaS最前線アカデミックIDaaS最前線
アカデミックIDaaS最前線Egawa Junichi
 
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Egawa Junichi
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
Active Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオActive Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオjunichi anno
 
Get ( 持続 ID ) 関数の罠
Get ( 持続 ID ) 関数の罠Get ( 持続 ID ) 関数の罠
Get ( 持続 ID ) 関数の罠Atsushi Matsuo
 
Microsoft Identity Technology / Kantara Initiative Seminar 2011
Microsoft Identity Technology / Kantara Initiative Seminar 2011Microsoft Identity Technology / Kantara Initiative Seminar 2011
Microsoft Identity Technology / Kantara Initiative Seminar 2011Naohiro Fujie
 
Sequent Asia IT Refined Japanese Presentation
Sequent Asia IT Refined Japanese PresentationSequent Asia IT Refined Japanese Presentation
Sequent Asia IT Refined Japanese Presentationsaiitweb
 
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo YamanakaStudent Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo YamanakaOpenID Foundation Japan
 
Security days 2015
Security days 2015Security days 2015
Security days 2015Manabu Kondo
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
PCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことPCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことYuki Kawashima
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現junichi anno
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャNaohiro Fujie
 

Ähnlich wie Ia20120118 nishimura (20)

OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介OpenID TechNight - Ping Identity 製品紹介
OpenID TechNight - Ping Identity 製品紹介
 
組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方組織におけるアイデンティティ管理の基本的な考え方
組織におけるアイデンティティ管理の基本的な考え方
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
Sec019 30分で理解 !_初心者向
Sec019 30分で理解 !_初心者向Sec019 30分で理解 !_初心者向
Sec019 30分で理解 !_初心者向
 
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピックTechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
TechNight #12: Cloud Identity Summit 2014 @ Monteray 概要と主要トピック
 
アカデミックIDaaS最前線
アカデミックIDaaS最前線アカデミックIDaaS最前線
アカデミックIDaaS最前線
 
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
 
Active Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオActive Directory をInternetから使用するための4つのシナリオ
Active Directory をInternetから使用するための4つのシナリオ
 
Get ( 持続 ID ) 関数の罠
Get ( 持続 ID ) 関数の罠Get ( 持続 ID ) 関数の罠
Get ( 持続 ID ) 関数の罠
 
Microsoft Identity Technology / Kantara Initiative Seminar 2011
Microsoft Identity Technology / Kantara Initiative Seminar 2011Microsoft Identity Technology / Kantara Initiative Seminar 2011
Microsoft Identity Technology / Kantara Initiative Seminar 2011
 
Sequent Asia IT Refined Japanese Presentation
Sequent Asia IT Refined Japanese PresentationSequent Asia IT Refined Japanese Presentation
Sequent Asia IT Refined Japanese Presentation
 
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo YamanakaStudent Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
Student Identity Trust Framework - Motonori Nakamura, Shingo Yamanaka
 
Security days 2015
Security days 2015Security days 2015
Security days 2015
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
PCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことPCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のこと
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へ
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
 

Mehr von Keisuke Ishibashi

板橋Cityマラソン2015タイム統計
板橋Cityマラソン2015タイム統計板橋Cityマラソン2015タイム統計
板橋Cityマラソン2015タイム統計Keisuke Ishibashi
 
Janogia20120921 matsuokasatoshi
Janogia20120921 matsuokasatoshiJanogia20120921 matsuokasatoshi
Janogia20120921 matsuokasatoshiKeisuke Ishibashi
 
Janogia20120921 tsuchiyashishio
Janogia20120921 tsuchiyashishioJanogia20120921 tsuchiyashishio
Janogia20120921 tsuchiyashishioKeisuke Ishibashi
 
Janogia20120921 yoshinotakeshi
Janogia20120921 yoshinotakeshiJanogia20120921 yoshinotakeshi
Janogia20120921 yoshinotakeshiKeisuke Ishibashi
 
Janogia20120921 kikuchishunsuke
Janogia20120921 kikuchishunsukeJanogia20120921 kikuchishunsuke
Janogia20120921 kikuchishunsukeKeisuke Ishibashi
 
Janogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazuJanogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazuKeisuke Ishibashi
 
信学会IA研(広島市立大,2011年12月)招待講演発表資料,小川晃通,「2011年インターネット関連ニュース総括」
信学会IA研(広島市立大,2011年12月)招待講演発表資料,小川晃通,「2011年インターネット関連ニュース総括」信学会IA研(広島市立大,2011年12月)招待講演発表資料,小川晃通,「2011年インターネット関連ニュース総括」
信学会IA研(広島市立大,2011年12月)招待講演発表資料,小川晃通,「2011年インターネット関連ニュース総括」Keisuke Ishibashi
 

Mehr von Keisuke Ishibashi (12)

板橋Cityマラソン2015タイム統計
板橋Cityマラソン2015タイム統計板橋Cityマラソン2015タイム統計
板橋Cityマラソン2015タイム統計
 
Janogia20120921 matsuokasatoshi
Janogia20120921 matsuokasatoshiJanogia20120921 matsuokasatoshi
Janogia20120921 matsuokasatoshi
 
Janogia20120921 tsuchiyashishio
Janogia20120921 tsuchiyashishioJanogia20120921 tsuchiyashishio
Janogia20120921 tsuchiyashishio
 
Janogia20120921 yoshinotakeshi
Janogia20120921 yoshinotakeshiJanogia20120921 yoshinotakeshi
Janogia20120921 yoshinotakeshi
 
Janogia20120921 kikuchishunsuke
Janogia20120921 kikuchishunsukeJanogia20120921 kikuchishunsuke
Janogia20120921 kikuchishunsuke
 
Janogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazuJanogia20120921 hasegawahirokazu
Janogia20120921 hasegawahirokazu
 
Ia20120118 kaneda
Ia20120118 kanedaIa20120118 kaneda
Ia20120118 kaneda
 
Ia20120118 teramoto
Ia20120118 teramotoIa20120118 teramoto
Ia20120118 teramoto
 
Ia20120118 sekiya
Ia20120118 sekiyaIa20120118 sekiya
Ia20120118 sekiya
 
Ia20120118 sayama
Ia20120118 sayamaIa20120118 sayama
Ia20120118 sayama
 
Ia20120118 ohta
Ia20120118 ohtaIa20120118 ohta
Ia20120118 ohta
 
信学会IA研(広島市立大,2011年12月)招待講演発表資料,小川晃通,「2011年インターネット関連ニュース総括」
信学会IA研(広島市立大,2011年12月)招待講演発表資料,小川晃通,「2011年インターネット関連ニュース総括」信学会IA研(広島市立大,2011年12月)招待講演発表資料,小川晃通,「2011年インターネット関連ニュース総括」
信学会IA研(広島市立大,2011年12月)招待講演発表資料,小川晃通,「2011年インターネット関連ニュース総括」
 

Ia20120118 nishimura

  • 1. 日本における学術認証フェデレーションと その役割と効果 ○西村健† 中村 素典† 山地 一禎† 大谷 誠† 岡部 寿男‡ 曽根原 登† †国立情報学研究所 ‡京都大学 2012年1月18日 インターネットアーキテクチャ研究会
  • 2. 各種オンラインサービスを構築するための「場」を提供  仮想的な大規模;認証基盤の提供(連携)  大学の1つの認証基盤で全てのサービスが使える  様々な人が様々なサービスを提供できるようにする  厳密な認証を必要とするサービスもカバーする(HPCI,医療)  サービス間でつながりを生む 認証基盤
  • 3. 想定する流れ(国際標準SAMLによる) ①SP(サービス提供者)による認証要求 ②IdP(認証基盤提供者)からの認証応答(認証データ=アサーション)  属性の送受信  利用者に関する情報(=属性)はIdPが持っておいて必要に応じて SPに提供する  SPは提供された属性を使って認可判断する  認可判断するために必要な属性=必須属性  IdPはSPに対してフィルタ定義してそれに従って属性送信を行う ①認証要求 IdP SP ②認証応答 属性アサーション 認証基盤 認証アサーション 3
  • 4. IdPとSPの連合体をフェデレーションと呼ぶ  SPによる認証要求の前にDS機能による所属IdP選択が追加される  メタデータにより強固な信頼関係を築く  メタデータ: アサーションの署名検証のためのサーバ証明書など, 連携のためのIdP/SP固有の情報 メタデータ 所属IdP選択 DS IdP IdP SAML IdP SP SP SP 認証基盤 4 利用者 (ブラウザ)
  • 5. フェデレーションポリシー  参加IdP/SP間で合意される  特に認証基盤のID集合は,フェデレーションにより規定される 必要があり,そこで規定されているものをSPは期待する  研究教育目的のフェデレーションであれば学術関係者に限定する, 大学の構成員に限定する,など  これがあることにより,SPは安心してIDを 受け入れられる  個々の大学のポリシー  属性送信に関しては個々の大学 のセキュリティポリシーの制約を 受ける 5
  • 6. • 各大学の認証基盤は,各大学で必要なサービス を提供するために存在する • 例えば学内システムに名誉教授等がアクセスできる 必要があるなら,認証基盤はそのアカウントを持つ 必要がある • 生涯IDに対応しているところでは大学OBが認証基 盤に存在していたり 学内システム等の利用形態が要求する対象者 ≠ フェデレーションが規定し,参加するSPが期待する対 象者
  • 7. フェデレーション構築における学術界でのデファクトスタ ンダードのソフトウェア  SAMLを実装する  IdPでの属性フィルタリング機能を実装済  メタデータを読み込み,フェデレーション参加の IdP/SPを確実に識別する機能を持つ  オープンソースソフトウェア  フェデレーション構築においてはShibbolethを用いるの が現実的 7
  • 8. フェデレーションの信頼性が危うい  「フェデレーションの信頼性」にはいくつかの視点がある  利用者視点でのフェデレーションの信頼性  利用者はサービスを通してフェデレーションを見る  望まない個人情報のやりとりがないことへの信頼 → 可視化とコントロール  所属IdPを選択(+認証)すればSPが利用できる,という信頼感  SP視点でのフェデレーションの信頼性  SPはIDの信頼性のみを見ている ポリシー+運用の確からしさ 例:  退職したIDが使用し続けられていないか?  第三者が含まれていないか? 8
  • 9. Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2 認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者 リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
  • 10. IdPがSPに送信する属性はIdP管理者が決定する  SPはサービスに必要な属性をIdP管理者に要求する  利用者には送信属性を知るすべがない  どういう情報が送られている?  IdP管理者に問い合わせる?  SP利用の度に個人情報が送信されているかも… 情報が不足するこ とによる 「不信感」  情報を視覚化すれば信頼感アップにつながる
  • 11. SP管理者から要求する属性, 「必須」「任意」の種別を収集(学 認申請システムによる)  SPメタデータに「必須」「任意」の 情報を追加  IdPに機能を追加し,SPメタデータ から情報を取得,利用者に送信 属性を表示・選択させる  uApprove.jp IdPプラグイン <md:AttributeConsumingService index="1"> <md:RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> <md:RequestedAttribute FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> </md:AttributeConsumingService>
  • 12. 以下のような情報を収集・提供するシステムを構築した IdP管理者およびSP管理者が操作する  サーバ証明書等,IdP/SPの基本情報  SPが要求する属性,必須/任意の別 etc.  収集した情報を元にメタデータ生成・配布を行なう 情報交換・共有のためのハブとなる メタデータ 出力 IdP 学認申請 SP システム IdP管理者 SP管理者 12
  • 13. Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2 認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者 リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
  • 14. 学認に参加しているからといって全て のIdPから全てのSPが使えるわけでは ない  電子ジャーナルサービスの機関契約をし ていないから  大学の判断で接続しないことを決定した  IdPの属性フィルタ設定が完了していない etc.  しかしDSでは全てのIdPが表示される →利用者視点では不信感を生む  「ちゃんとIdPで認証されたのに何で使え ないの?」  「学認は使えない」「フェデレーションは使 えない」 14
  • 15.  学認申請システムで,IdP管理者から設定済みのSP一覧を情報収 集  学認申請システムからの情報を元に,学認DS(Embedded DS) にて,アクセスしようとするSPに接続可能なIdPのみを取捨選択し て一覧表示する 接続が保証されるIdPのみを表示することで利用者に安心感・信頼感 を与える 学認申請 システム SP IdP 接続可能 DS IdP一覧 IdP管理者 利用者
  • 16. Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2 認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者 リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
  • 17. IdPが属性を送信するかどうか 学認が規定する属性一覧(16種) を決定するのはIdP管理者  個人情報を含む場合があるので 慎重に行う必要がある 17
  • 18. Shibboleth IdPでの属性送信設定はXMLファイルの修 正で行う  本質的にはSP名・属性名のペアの羅列  IdP管理者が記述ミスすると情報漏洩につながる 属性フィルタ設定ファイルの記述例: <!-- Release attributes to Elsevier --> <AttributeFilterPolicy id="PolicyforElsevier"> <basic:Rule xsi:type="basic:AttributeRequesterString“ value="https://sdauth.sciencedirect.com/" /> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy> 18
  • 19. 学認申請システムが仲介してIdP向けの属性フィルタ設 定ファイル生成  SP管理者はSPが要求する属性を選択して入力  IdP管理者は接続するSPを選択した上でフィルタ設定ファイル 取得.Shibboleth IdPに設定. 学認申請 システム IdP SP SP管理者 IdP管理者 属性フィルタ 設定ファイル
  • 20. Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2 認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者 リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
  • 21. 大学の認証基盤に含まれるIDが,すべて学認のポリシー を満たしているとは限らない  大学が運用している学内システムに依存する  大学OB・名誉教授,共同研究者,委託業者…  具体例: 生涯ID対応  現在の学認のポリシーとして, IdPで認証される者は機関の構成員等学術関係者に限ら れる  IdPが学認のポリシーを守っていることの保証ができない 21
  • 22. 学認利用不可のID集合が認証され認証情報がSPに送信さ れることを禁止するIdPプラグイン  IDを区別するための情報は認証基盤に存在することが前提  SampleFilterPerSP IdPプラグイン  これにより認証基盤に規定外のIDが入っていても安心して学 認に参加できる SampleFilterPerSP 学生 SP 大学OB 教員 職員 SP 学認利用可のID集合 学認参加のSP 学内システム利用可のID集合
  • 23. フェデレーションの信頼性に関わる4つの問題を解決した. 1. 利用者が送信される属性を確認・選択できる仕組みを提供する ことで,利用者がやりとりされる属性情報を見られず不安・不信 になる問題を解決. 2. SPを利用できるIdP一覧を提供する仕組みを提供することで,DS で利用不可のIdPが選択できてしまい利用者を混乱させる問題 を解決. 3. Shibboleth IdPのフィルタ設定を自動生成・取得できるようにす ることにより,IdP管理者のオペレーションミスの問題の解決. 4. 認証基盤の一部ID集合について特定のSPへの接続許可/拒否 をコントロールできるプラグインの提供により,学認のIDポリシー に準拠していることの保証が難しい問題を解決. → これによりフェデレーションの信頼性を向上できた SPに参加してもらえる,利用者に利用してもらえるフェデレーションの実 現
  • 24. より厳密な信頼性の確保・LoAの定義  個人ベース認証→グループベース認証の検討  SAML外・学認外の連携  よりグローバルなサービス  フェデレーション間接続  プロトコル変換  non-web services →より幅広いサービス空間をカバーする