Ia20120118 nishimura

日本における学術認証フェデレーションとその役割と効果○西村健† 中村素典† 山地一禎† 大谷誠† 岡部寿男‡ 曽根原登† †国立情報学研究所 ‡京都大学 2012年1月18日インターネットアーキテクチャ研究会

各種オンラインサービスを構築するための「場」を提供 仮想的な大規模；認証基盤の提供（連携）  大学の1つの認証基盤で全てのサービスが使える 様々な人が様々なサービスを提供できるようにする 厳密な認証を必要とするサービスもカバーする(HPCI,医療) サービス間でつながりを生む認証基盤

 想定する流れ（国際標準SAMLによる） ①SP（サービス提供者）による認証要求 ②IdP（認証基盤提供者）からの認証応答（認証データ＝アサーション） 属性の送受信  利用者に関する情報（＝属性）はIdPが持っておいて必要に応じて SPに提供する  SPは提供された属性を使って認可判断する  認可判断するために必要な属性＝必須属性  IdPはSPに対してフィルタ定義してそれに従って属性送信を行う ①認証要求 IdP SP ②認証応答属性アサーション認証基盤認証アサーション 3

 IdPとSPの連合体をフェデレーションと呼ぶ  SPによる認証要求の前にDS機能による所属IdP選択が追加される メタデータにより強固な信頼関係を築く  メタデータ: アサーションの署名検証のためのサーバ証明書など，連携のためのIdP/SP固有の情報メタデータ所属IdP選択 DS IdP IdP SAML IdP SP SP SP 認証基盤 4 利用者（ブラウザ）

 フェデレーションポリシー  参加IdP/SP間で合意される  特に認証基盤のID集合は，フェデレーションにより規定される必要があり，そこで規定されているものをSPは期待する  研究教育目的のフェデレーションであれば学術関係者に限定する，大学の構成員に限定する，など  これがあることにより，SPは安心してIDを受け入れられる 個々の大学のポリシー  属性送信に関しては個々の大学のセキュリティポリシーの制約を受ける 5

• 各大学の認証基盤は，各大学で必要なサービスを提供するために存在する• 例えば学内システムに名誉教授等がアクセスできる必要があるなら，認証基盤はそのアカウントを持つ必要がある• 生涯IDに対応しているところでは大学OBが認証基盤に存在していたり学内システム等の利用形態が要求する対象者 ≠フェデレーションが規定し，参加するSPが期待する対象者

 フェデレーション構築における学術界でのデファクトスタンダードのソフトウェア  SAMLを実装する  IdPでの属性フィルタリング機能を実装済  メタデータを読み込み，フェデレーション参加の IdP/SPを確実に識別する機能を持つ  オープンソースソフトウェア フェデレーション構築においてはShibbolethを用いるのが現実的 7

フェデレーションの信頼性が危うい 「フェデレーションの信頼性」にはいくつかの視点がある  利用者視点でのフェデレーションの信頼性  利用者はサービスを通してフェデレーションを見る  望まない個人情報のやりとりがないことへの信頼 → 可視化とコントロール  所属IdPを選択（+認証）すればSPが利用できる，という信頼感  SP視点でのフェデレーションの信頼性  SPはIDの信頼性のみを見ているポリシー＋運用の確からしさ例：  退職したIDが使用し続けられていないか？  第三者が含まれていないか？8

 Shibbolethにはフェデレーションの信頼性を落とす4つの問題がある． DS フェデレーション IdP SP 問題点4 IdP 問題点2認証基盤内IDのポ DSで接続不可のIdPが問題点1 利用者リシーとの不整合表示される問題問題点3 IdP管理者オペレーションミスやりとりされる属性への対策が不十分情報が不明  本研究の目的: これらの問題点を解決しフェデレーションの信頼性を向上させる ⇒ 学認:GakuNin

 IdPがSPに送信する属性はIdP管理者が決定する  SPはサービスに必要な属性をIdP管理者に要求する 利用者には送信属性を知るすべがない  どういう情報が送られている？  IdP管理者に問い合わせる？  SP利用の度に個人情報が送信されているかも… 情報が不足することによる「不信感」 情報を視覚化すれば信頼感アップにつながる

 SP管理者から要求する属性，「必須」「任意」の種別を収集（学認申請システムによる） SPメタデータに「必須」「任意」の情報を追加 IdPに機能を追加し，SPメタデータから情報を取得，利用者に送信属性を表示・選択させる  uApprove.jp IdPプラグイン <md:AttributeConsumingService index="1"><md:RequestedAttribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> <md:RequestedAttribute FriendlyName="displayName" Name="urn:oid:2.16.840.1.113730.3.1.241" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"/> </md:AttributeConsumingService>

 以下のような情報を収集・提供するシステムを構築した IdP管理者およびSP管理者が操作する  サーバ証明書等，IdP/SPの基本情報  SPが要求する属性，必須/任意の別 etc. 収集した情報を元にメタデータ生成・配布を行なう情報交換・共有のためのハブとなるメタデータ出力 IdP 学認申請 SP システム IdP管理者 SP管理者 12

 学認に参加しているからといって全てのIdPから全てのSPが使えるわけではない  電子ジャーナルサービスの機関契約をしていないから  大学の判断で接続しないことを決定した  IdPの属性フィルタ設定が完了していない etc. しかしDSでは全てのIdPが表示される→利用者視点では不信感を生む  「ちゃんとIdPで認証されたのに何で使えないの？」  「学認は使えない」「フェデレーションは使えない」 14

 学認申請システムで，IdP管理者から設定済みのSP一覧を情報収集 学認申請システムからの情報を元に，学認DS（Embedded DS）にて，アクセスしようとするSPに接続可能なIdPのみを取捨選択して一覧表示する接続が保証されるIdPのみを表示することで利用者に安心感・信頼感を与える学認申請システム SP IdP 接続可能 DS IdP一覧 IdP管理者利用者

 IdPが属性を送信するかどうか学認が規定する属性一覧（16種）を決定するのはIdP管理者  個人情報を含む場合があるので慎重に行う必要がある 17

 Shibboleth IdPでの属性送信設定はXMLファイルの修正で行う  本質的にはSP名・属性名のペアの羅列  IdP管理者が記述ミスすると情報漏洩につながる属性フィルタ設定ファイルの記述例：  <AttributeFilterPolicy id="PolicyforElsevier"> <basic:Rule xsi:type="basic:AttributeRequesterString“ value="https://sdauth.sciencedirect.com/" /> <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy> 18

 学認申請システムが仲介してIdP向けの属性フィルタ設定ファイル生成  SP管理者はSPが要求する属性を選択して入力  IdP管理者は接続するSPを選択した上でフィルタ設定ファイル取得．Shibboleth IdPに設定．学認申請システム IdP SP SP管理者 IdP管理者属性フィルタ設定ファイル

 大学の認証基盤に含まれるIDが，すべて学認のポリシーを満たしているとは限らない  大学が運用している学内システムに依存する  大学OB・名誉教授，共同研究者，委託業者…  具体例: 生涯ID対応 現在の学認のポリシーとして， IdPで認証される者は機関の構成員等学術関係者に限られる IdPが学認のポリシーを守っていることの保証ができない 21

 学認利用不可のID集合が認証され認証情報がSPに送信されることを禁止するIdPプラグイン  IDを区別するための情報は認証基盤に存在することが前提  SampleFilterPerSP IdPプラグイン これにより認証基盤に規定外のIDが入っていても安心して学認に参加できる SampleFilterPerSP 学生 SP 大学OB 教員職員 SP 学認利用可のID集合学認参加のSP 学内システム利用可のID集合

フェデレーションの信頼性に関わる4つの問題を解決した．1. 利用者が送信される属性を確認・選択できる仕組みを提供することで，利用者がやりとりされる属性情報を見られず不安・不信になる問題を解決．2. SPを利用できるIdP一覧を提供する仕組みを提供することで，DS で利用不可のIdPが選択できてしまい利用者を混乱させる問題を解決．3. Shibboleth IdPのフィルタ設定を自動生成・取得できるようにすることにより，IdP管理者のオペレーションミスの問題の解決．4. 認証基盤の一部ID集合について特定のSPへの接続許可/拒否をコントロールできるプラグインの提供により，学認のIDポリシーに準拠していることの保証が難しい問題を解決．→ これによりフェデレーションの信頼性を向上できた SPに参加してもらえる，利用者に利用してもらえるフェデレーションの実現

 より厳密な信頼性の確保・LoAの定義 個人ベース認証→グループベース認証の検討 SAML外・学認外の連携  よりグローバルなサービス  フェデレーション間接続  プロトコル変換 non-web services→より幅広いサービス空間をカバーする

Ia20120118 nishimura

by Keisuke Ishibashi

Accessibility

Upload Details

Usage Rights

Statistics