日本における学術認証フェデレーションと           その役割と効果○西村健† 中村 素典† 山地 一禎† 大谷 誠† 岡部 寿男‡ 曽根原 登†                   †国立情報学研究所 ‡京都大学       2012年...
各種オンラインサービスを構築するための「場」を提供   仮想的な大規模;認証基盤の提供(連携)       大学の1つの認証基盤で全てのサービスが使える   様々な人が様々なサービスを提供できるようにする   厳密な認証を必要とするサー...
       想定する流れ(国際標準SAMLによる)            ①SP(サービス提供者)による認証要求            ②IdP(認証基盤提供者)からの認証応答(認証データ=アサーション)       属性の送受信    ...
       IdPとSPの連合体をフェデレーションと呼ぶ           SPによる認証要求の前にDS機能による所属IdP選択が追加される       メタデータにより強固な信頼関係を築く           メタデータ: アサー...
       フェデレーションポリシー           参加IdP/SP間で合意される           特に認証基盤のID集合は,フェデレーションにより規定される            必要があり,そこで規定されているものをSPは...
• 各大学の認証基盤は,各大学で必要なサービス  を提供するために存在する• 例えば学内システムに名誉教授等がアクセスできる  必要があるなら,認証基盤はそのアカウントを持つ  必要がある• 生涯IDに対応しているところでは大学OBが認証基  ...
       フェデレーション構築における学術界でのデファクトスタ        ンダードのソフトウェア           SAMLを実装する           IdPでの属性フィルタリング機能を実装済           メタデー...
フェデレーションの信頼性が危うい 「フェデレーションの信頼性」にはいくつかの視点がある       利用者視点でのフェデレーションの信頼性           利用者はサービスを通してフェデレーションを見る               ...
   Shibbolethにはフェデレーションの信頼性を落とす4つの     問題がある.                                    DS          フェデレーション             IdP    ...
   IdPがSPに送信する属性はIdP管理者が決定する       SPはサービスに必要な属性をIdP管理者に要求する   利用者には送信属性を知るすべがない       どういう情報が送られている?       IdP管理者に問い...
   SP管理者から要求する属性,    「必須」「任意」の種別を収集(学    認申請システムによる)   SPメタデータに「必須」「任意」の    情報を追加   IdPに機能を追加し,SPメタデータ    から情報を取得,利用者に送...
    以下のような情報を収集・提供するシステムを構築した     IdP管理者およびSP管理者が操作する        サーバ証明書等,IdP/SPの基本情報        SPが要求する属性,必須/任意の別         etc....
   Shibbolethにはフェデレーションの信頼性を落とす4つの     問題がある.                                    DS          フェデレーション             IdP    ...
    学認に参加しているからといって全て     のIdPから全てのSPが使えるわけでは     ない        電子ジャーナルサービスの機関契約をし         ていないから        大学の判断で接続しないことを決定した...
 学認申請システムで,IdP管理者から設定済みのSP一覧を情報収  集 学認申請システムからの情報を元に,学認DS(Embedded DS)  にて,アクセスしようとするSPに接続可能なIdPのみを取捨選択し  て一覧表示する接続が保証され...
   Shibbolethにはフェデレーションの信頼性を落とす4つの     問題がある.                                    DS          フェデレーション             IdP    ...
    IdPが属性を送信するかどうか      学認が規定する属性一覧(16種)     を決定するのはIdP管理者        個人情報を含む場合があるので         慎重に行う必要がある    17
    Shibboleth IdPでの属性送信設定はXMLファイルの修     正で行う        本質的にはSP名・属性名のペアの羅列        IdP管理者が記述ミスすると情報漏洩につながる         属性フィルタ設定...
   学認申請システムが仲介してIdP向けの属性フィルタ設    定ファイル生成       SP管理者はSPが要求する属性を選択して入力       IdP管理者は接続するSPを選択した上でフィルタ設定ファイル        取得.Sh...
   Shibbolethにはフェデレーションの信頼性を落とす4つの     問題がある.                                    DS          フェデレーション             IdP    ...
    大学の認証基盤に含まれるIDが,すべて学認のポリシー     を満たしているとは限らない        大学が運用している学内システムに依存する        大学OB・名誉教授,共同研究者,委託業者…            具...
   学認利用不可のID集合が認証され認証情報がSPに送信さ    れることを禁止するIdPプラグイン       IDを区別するための情報は認証基盤に存在することが前提       SampleFilterPerSP IdPプラグイン...
フェデレーションの信頼性に関わる4つの問題を解決した.1. 利用者が送信される属性を確認・選択できる仕組みを提供する   ことで,利用者がやりとりされる属性情報を見られず不安・不信   になる問題を解決.2. SPを利用できるIdP一覧を提供す...
   より厳密な信頼性の確保・LoAの定義   個人ベース認証→グループベース認証の検討   SAML外・学認外の連携       よりグローバルなサービス       フェデレーション間接続       プロトコル変換   no...
Upcoming SlideShare
Loading in …5
×

Ia20120118 nishimura

1,107 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,107
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ia20120118 nishimura

  1. 1. 日本における学術認証フェデレーションと その役割と効果○西村健† 中村 素典† 山地 一禎† 大谷 誠† 岡部 寿男‡ 曽根原 登† †国立情報学研究所 ‡京都大学 2012年1月18日 インターネットアーキテクチャ研究会
  2. 2. 各種オンラインサービスを構築するための「場」を提供 仮想的な大規模;認証基盤の提供(連携)  大学の1つの認証基盤で全てのサービスが使える 様々な人が様々なサービスを提供できるようにする 厳密な認証を必要とするサービスもカバーする(HPCI,医療) サービス間でつながりを生む 認証基盤
  3. 3.  想定する流れ(国際標準SAMLによる) ①SP(サービス提供者)による認証要求 ②IdP(認証基盤提供者)からの認証応答(認証データ=アサーション) 属性の送受信  利用者に関する情報(=属性)はIdPが持っておいて必要に応じて SPに提供する  SPは提供された属性を使って認可判断する  認可判断するために必要な属性=必須属性  IdPはSPに対してフィルタ定義してそれに従って属性送信を行う ①認証要求 IdP SP ②認証応答 属性アサーション 認証基盤 認証アサーション 3
  4. 4.  IdPとSPの連合体をフェデレーションと呼ぶ  SPによる認証要求の前にDS機能による所属IdP選択が追加される メタデータにより強固な信頼関係を築く  メタデータ: アサーションの署名検証のためのサーバ証明書など, 連携のためのIdP/SP固有の情報 メタデータ 所属IdP選択 DS IdP IdP SAML IdP SP SP SP 認証基盤 4 利用者 (ブラウザ)
  5. 5.  フェデレーションポリシー  参加IdP/SP間で合意される  特に認証基盤のID集合は,フェデレーションにより規定される 必要があり,そこで規定されているものをSPは期待する  研究教育目的のフェデレーションであれば学術関係者に限定する, 大学の構成員に限定する,など  これがあることにより,SPは安心してIDを 受け入れられる 個々の大学のポリシー  属性送信に関しては個々の大学 のセキュリティポリシーの制約を 受ける 5
  6. 6. • 各大学の認証基盤は,各大学で必要なサービス を提供するために存在する• 例えば学内システムに名誉教授等がアクセスできる 必要があるなら,認証基盤はそのアカウントを持つ 必要がある• 生涯IDに対応しているところでは大学OBが認証基 盤に存在していたり学内システム等の利用形態が要求する対象者 ≠フェデレーションが規定し,参加するSPが期待する対 象者
  7. 7.  フェデレーション構築における学術界でのデファクトスタ ンダードのソフトウェア  SAMLを実装する  IdPでの属性フィルタリング機能を実装済  メタデータを読み込み,フェデレーション参加の IdP/SPを確実に識別する機能を持つ  オープンソースソフトウェア フェデレーション構築においてはShibbolethを用いるの が現実的 7
  8. 8. フェデレーションの信頼性が危うい 「フェデレーションの信頼性」にはいくつかの視点がある  利用者視点でのフェデレーションの信頼性  利用者はサービスを通してフェデレーションを見る  望まない個人情報のやりとりがないことへの信頼 → 可視化とコントロール  所属IdPを選択(+認証)すればSPが利用できる,という信頼感  SP視点でのフェデレーションの信頼性  SPはIDの信頼性のみを見ている ポリシー+運用の確からしさ 例:  退職したIDが使用し続けられていないか?  第三者が含まれていないか?8
  9. 9.  Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
  10. 10.  IdPがSPに送信する属性はIdP管理者が決定する  SPはサービスに必要な属性をIdP管理者に要求する 利用者には送信属性を知るすべがない  どういう情報が送られている?  IdP管理者に問い合わせる?  SP利用の度に個人情報が送信されているかも… 情報が不足するこ とによる 「不信感」 情報を視覚化すれば信頼感アップにつながる
  11. 11.  SP管理者から要求する属性, 「必須」「任意」の種別を収集(学 認申請システムによる) SPメタデータに「必須」「任意」の 情報を追加 IdPに機能を追加し,SPメタデータ から情報を取得,利用者に送信 属性を表示・選択させる  uApprove.jp IdPプラグイン <md:AttributeConsumingService index="1"><md:RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> <md:RequestedAttribute FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> </md:AttributeConsumingService>
  12. 12.  以下のような情報を収集・提供するシステムを構築した IdP管理者およびSP管理者が操作する  サーバ証明書等,IdP/SPの基本情報  SPが要求する属性,必須/任意の別 etc. 収集した情報を元にメタデータ生成・配布を行なう 情報交換・共有のためのハブとなる メタデータ 出力 IdP 学認申請 SP システム IdP管理者 SP管理者 12
  13. 13.  Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
  14. 14.  学認に参加しているからといって全て のIdPから全てのSPが使えるわけでは ない  電子ジャーナルサービスの機関契約をし ていないから  大学の判断で接続しないことを決定した  IdPの属性フィルタ設定が完了していない etc. しかしDSでは全てのIdPが表示される→利用者視点では不信感を生む  「ちゃんとIdPで認証されたのに何で使え ないの?」  「学認は使えない」「フェデレーションは使 えない」 14
  15. 15.  学認申請システムで,IdP管理者から設定済みのSP一覧を情報収 集 学認申請システムからの情報を元に,学認DS(Embedded DS) にて,アクセスしようとするSPに接続可能なIdPのみを取捨選択し て一覧表示する接続が保証されるIdPのみを表示することで利用者に安心感・信頼感 を与える 学認申請 システム SP IdP 接続可能 DS IdP一覧 IdP管理者 利用者
  16. 16.  Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
  17. 17.  IdPが属性を送信するかどうか 学認が規定する属性一覧(16種) を決定するのはIdP管理者  個人情報を含む場合があるので 慎重に行う必要がある 17
  18. 18.  Shibboleth IdPでの属性送信設定はXMLファイルの修 正で行う  本質的にはSP名・属性名のペアの羅列  IdP管理者が記述ミスすると情報漏洩につながる 属性フィルタ設定ファイルの記述例: <!-- Release attributes to Elsevier --> <AttributeFilterPolicy id="PolicyforElsevier"> <basic:Rule xsi:type="basic:AttributeRequesterString“ value="https://sdauth.sciencedirect.com/" /> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy> 18
  19. 19.  学認申請システムが仲介してIdP向けの属性フィルタ設 定ファイル生成  SP管理者はSPが要求する属性を選択して入力  IdP管理者は接続するSPを選択した上でフィルタ設定ファイル 取得.Shibboleth IdPに設定. 学認申請 システム IdP SP SP管理者 IdP管理者 属性フィルタ 設定ファイル
  20. 20.  Shibbolethにはフェデレーションの信頼性を落とす4つの 問題がある. DS フェデレーション IdP SP 問題点4 IdP 問題点2認証基盤内IDのポ DSで接続不可のIdPが 問題点1 利用者リシーとの不整合 表示される問題 問題点3 IdP管理者 オペレーションミス やりとりされる属性 への対策が不十分 情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの 信頼性を向上させる ⇒ 学認:GakuNin
  21. 21.  大学の認証基盤に含まれるIDが,すべて学認のポリシー を満たしているとは限らない  大学が運用している学内システムに依存する  大学OB・名誉教授,共同研究者,委託業者…  具体例: 生涯ID対応 現在の学認のポリシーとして, IdPで認証される者は機関の構成員等学術関係者に限ら れる IdPが学認のポリシーを守っていることの保証ができない 21
  22. 22.  学認利用不可のID集合が認証され認証情報がSPに送信さ れることを禁止するIdPプラグイン  IDを区別するための情報は認証基盤に存在することが前提  SampleFilterPerSP IdPプラグイン これにより認証基盤に規定外のIDが入っていても安心して学 認に参加できる SampleFilterPerSP 学生 SP 大学OB 教員 職員 SP 学認利用可のID集合 学認参加のSP 学内システム利用可のID集合
  23. 23. フェデレーションの信頼性に関わる4つの問題を解決した.1. 利用者が送信される属性を確認・選択できる仕組みを提供する ことで,利用者がやりとりされる属性情報を見られず不安・不信 になる問題を解決.2. SPを利用できるIdP一覧を提供する仕組みを提供することで,DS で利用不可のIdPが選択できてしまい利用者を混乱させる問題 を解決.3. Shibboleth IdPのフィルタ設定を自動生成・取得できるようにす ることにより,IdP管理者のオペレーションミスの問題の解決.4. 認証基盤の一部ID集合について特定のSPへの接続許可/拒否 をコントロールできるプラグインの提供により,学認のIDポリシー に準拠していることの保証が難しい問題を解決.→ これによりフェデレーションの信頼性を向上できた SPに参加してもらえる,利用者に利用してもらえるフェデレーションの実 現
  24. 24.  より厳密な信頼性の確保・LoAの定義 個人ベース認証→グループベース認証の検討 SAML外・学認外の連携  よりグローバルなサービス  フェデレーション間接続  プロトコル変換 non-web services→より幅広いサービス空間をカバーする

×