学術認証(GakuNin)とOneLogin

学術認証(GakuNin)とOneLogin

まずは学認についておさらい

全国の大学等とNIIが連携して、学術認証フェデレーションの構築・運用が2009年に開始されました。2014年1月14日より、学術認証フェデレーション「学認」はNIIの事業として運営されることとなりました。

学術認証フェデレーション*の登場人物は、学術e-リソースを利用する大学、学術e-リソースを提供する機関・出版社等、そして教員や学生という利用者です。

*フェデレーションとは、一度認証を通れば、その認証情報を使って、許可されているすべてのサービスを使えるようにする仕組みのことです

学認(GakuNin)とは、学術フェデレーションが定めた規定(ポリシー)に沿うことで、各機関が相互に認証をする、相互認証連携基盤のことを指します。

認証連携により以下の2点が可能になるとのことです。

  1. 学内でのシングルサインオン*の実現
  2. 商用のサービスにおいても1つのパスワードを利用し、かつID・パスワードの再入力を行わずに利用できる環境を実現

*シングルサインオンとは、一度のユーザ認証処理によって独立した複数のサービスが利用可能になる仕組みのことです

学認が利用する認証技術はShibboleth(シボレス)となっています。重要なのでWikipediaを引用してみます。

Wikipediaより(一部改変)

シボレスは連合アイデンティティ(複数の機関のこと)による認証・認可基盤のアーキテクチャとそのオープンソースによる実装を可能にします。記述にはセキュリティ・アサーション・マーク付け言語 (SAML、サムル) を用います。

連合アイデンティティによって、あるセキュリティ領域での利用者情報を、連合に属する他の組織(学認では学術認証フェデレーションのこと)へ提供することができます。これによって複数の領域にまたがるシングルサインオン (SSO) を実現でき、コンテンツの提供者ごとに利用者名やパスワードを保守する必要がなくなります。

アイデンティティ・プロバイダ (IdP) が利用者の情報を提供し、サービス・プロバイダ (SP) がその情報を利用して保護されたコンテンツにアクセスできるようにします。

大学等の機関がidPで、利用者が認証をしたら、学認に参加しているSPから提供される様々なサービスを利用できるようになるという流れでしょうか。

学認のために大学は何を用意すればいいの

大学側はidPにならないといけません。そのためにはサーバを立てる必要があります。NIIのSINETに加入している必要はないとのことです。

LinuxサーバでidPを構築し、その後、学認事務局へ参加申請を出します。idPは、仮想サーバがあればそこに間借りする程度でいいようです。そして、DNSに登録も忘れずに。

idPの用意ができたら、テストフェデレーションに参加します。テストで動作確認をするわけです。

ここで、idP構築時のLDAPに該当するデータがない場合が問題となってきます。

また、学認は使わないけど、LDAPには登録されている人というのもいますので、その人達を無効にしてなければ問題となります。

お茶の水女子大学の事例

学認でクラウドサービスをまとめたページは作れるの

NIIはクラウドゲートウェイというサービスも準備しています。このクラウドゲートウェイは、利用者が所属する機関で利用可能なサービスをアイコン状で一覧にして提供しています。

クラウドサービスが増えてから、大学のシャドーIT問題は深刻化しています。このクラウドゲートウェイは、利用者へサービス一覧を提供するだけでなく、「ここに登録するには申請が必要!」とすることで、組織の隠れクラウドサービスをあぶり出す効果もあります。

OneLoginだとどうなるの?

OneLoginは企業で育ってきた認証システムですから、大学で使うという意味では学認の方が良いのかもしれません。参加サービスもかなりあるようですし、参加大学(idP)も多く、安心感があります。

では、大学がOneLoginを利用する意味はないということになるのでしょうか。

必ずしもそういうことではないのだと思います。操作性とか、スマートフォンアプリとかはOneLoginに軍配が上がるでしょう。また、大学職員側でサーバを構築することが許されていない場合、idPサーバの運用保守で一定の金額を徴収されることになり、となれば、OneLoginで一定額を出すのと金額的には差が小さくなってきます

OneLoginはクラウドサービスですので、余計なハードウェア保守の手間を省くことが出来るわけです。この点は、情シスには魅力的です。

利用者側にどうしても学認でないと他大学との連携もあるからダメ!ということが無い限りは、検討候補になると思います。

OneLoginで出来ること

OneLoginでは以下のことが出来るようになります。

編集中