いまどきのシングルサインオン事情 (第2回 文教編)

この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

いまどきのシングルサインオン事情 (第2回 文教編)

エンドポイントセキュリティ 2013/06/11

 「いまどきのシングルサインオン事情:第1回」では企業向けシングルサインオンの動向について解説した。今回は文教分野(主に大学向け)における動向を解説する。

大学向けシングルサインオンの動向

 こちらも、まずは大学向けシングルサインオンシステムの典型的なシステム構成例を見て頂こう(図1)。

図1.シングルサインオンのシステム構成例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1.シングルサインオンのシステム構成例

 クラウドサービス(主にGoogle Apps)の利用が増えている点や、オンプレミスなWebアプリケーションが存在している点は企業と共通しているが、大学などでは学術認証フェデレーション(学認)への参加が増加している。

学術認証フェデレーション

 学術認証フェデレーションとは、大学や大学向けサービス事業者(電子ジャーナルサービスなど)から構成される連合体のことで、大学向けの認証連携基盤を提供している。かいつまんで言うと“大学向けシングルサインオン基盤”である。

 大学などが契約している電子ジャーナルサービスは、ユーザ個別の認証は行わずにアクセス元IPアドレスによりアクセス制御を行なっているものが多い。サービスにアクセスできるIPアドレスを、その大学に割り当てられたIPアドレスや、大学の図書館内の端末のIPアドレスなどに制限するのである。そのため、ユーザ(学生や研究者)は学内からしかサービスにはアクセスできない。月曜の朝一締め切りのレポートを作成するために、日曜の夜に徹夜で参考文献を探してみたものの、見つけた論文が学内からしかダウンロードできないということに気づいて愕然としたことがある読者もいるのではないだろうか。筆者も何度もそのような経験をした。

 学術認証フェデレーションに参加している大学であり、かつ、その大学が契約している電子ジャーナルサービスも学術認証フェデレーションに参加しているのであれば、大学のシングルサインオンシステムにログインすることで電子ジャーナルサービスを利用することができる。自宅などから論文をダウンロードすることも可能である。

学術認証フェデレーションに参加するために必要なShibboleth IdP

  学術認証フェデレーションに参加するためには、SAMLを実装したシングルサインオンソフトウェアである“Shibboleth IdP”を導入する必要がある。学術認証フェデレーションは、SAMLを学認独自の運用ルールに組み込んだ非常によく考えられたフェデレーションの仕組みであり、Shibboleth IdPはその仕組みに特化した実装となっている。SAMLを実装している他のシングルサインオンソフトウェアであっても、Shibboleth IdPの代替えとなるものは筆者が知る限りでは無いと思われる。それゆえに、学術認証フェデレーションに参加するためにはShibboleth IdPが必須となる。しかし一方で、Shibboleth IdPはリバースプロキシのように改修不可能なWebアプリケーションをシングルサインオン化するような機能は備えていない。

 そのため、大学向けシングルサイオンでは、オンプレミスなWebアプリケーションのシングルサインオン化のためにリバースプロキシかエージェントを導入し、学認対応のためにShibboleth IdPを導入するというハイブリッドな構成が必要になる。この場合、シングルサインオンシステムには、リバースプロキシなどのための認証サーバとShibboleth IdPという2つの認証サーバが存在することになり、認証操作も2回必要になってしまう。これではシングルサインオンにならないので、なんとかして認証操作を1回にしたい。
 このような場合にはShibboleth IdPの外部認証機能を利用する。Shibboleth IdPには、認証処理として任意の処理を作り込めるようなインターフェースが用意されており、他のシングルサインオンソフトウェアと認証情報を連携することもできる。

 例えば、弊社ではオープンソースのシングルサインオンソフトウェアである“OpenAM”を使ったソリューションを提供しているが、OpenAMには外部のアプリケーションからOpenAMの認証状態を確認できるようなAPI(REST API)がある。Shibboleth IdPからこのAPIを利用することで、OpenAMにログインしているユーザであればShibbolth IdPにはログイン操作を行うことなくログイン(シングルサインオン)させることができ、OpenAMとShibboleth IdPの認証をOpenAMに一元化することが可能だ。

 以前の連載記事(シングルサインオンの導入事例)でご紹介した福岡大学の事例は、まさにこのパターンであり、OpenAMとShibboleth IdPを構築して、学内アプリと学認の認証を一元化するハイブリッドなシングルサインオン環境を構築した。

 次回はコンシューマ分野おける動向を解説する。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006205


IT・IT製品TOP > Key Conductors > 野村 健太郎(オープンソース・ソリューション・テクノロジ株式会社 ) > いまどきのシングルサインオン事情 (第2回 文教編)

このページの先頭へ

キーマンズネットとは
Open Standard Cloud Association(OSCA)所属。某SIerでのID管理/アクセス管理製品のプリセールスを経て、2009年にOSSTechに入社。オープンソースソフトウェアであるOpenAMやOpenLDAPを利用したシングルサインオンシステムの構築を担当している。

ページトップへ