大学向け認証基盤システム概略と最新技術動向 axies2015

[1G1] 大学向け認証基盤システム概略と

最新技術動向

2015年12月2日

エクスジェンネットワークス株式会社

代表取締役江川淳一

Copyright© 2015 EXGEN NETWORKS Co.,LTD. All Rights Reserved.

[email protected]

1 ．認証基盤システム概要

1

源泉情報

1. 認証基盤システム概要

2

1.1 認証基盤システム整備の目的

様々なシステムのユーザ情報を正しく整える必要が．．しかもリアルタイムに．．．

何度もログインが必要、何種もパスワードを覚える必要が．．．

システム毎にパスワードを変更する必要が．．．

「ユーザ利便性の向上」「管理効率の向上」「管理品質の確保」「セキュリティリスクの低減」

認

ID

P

認証基盤システム構成 ①ID情報マスターDB ②ID管理システム (IDライフサイクル管理& ID連携( プロビジョニング）) ③シングル・サインオンシステム

SSO

源泉情報 ID管理システム

IDライフサイクル管理

ID 連携

ID情報マスターDB

3

(認証サーバ)

1.2 認証基盤システム概要図

認

ID

P


× 人事DB

認証

SSO

ID管理システム


ID 連携

(認証結果が正しいための前提条件) ①適切な認証処理の存在 ②ID情報が正しく維持されている

4

1.3 認証結果が正しいための前提条件


ID情報 DB

ID管理システム ID情報

マスターDB

人事情報DB 人事

システム ID管理

システム

ID情報 DB

ID情報 DB

利用者の特定引き渡し手続き

ポリシー

ID情報の鮮度維持 ID管理システム

IDライフサイクル管理ポリシープロビジョニングポリシー

適切なアクセス制御の維持

認証システム

アクセス制御システム

認証ポリシー

アクセス制御ポリシー

ID体系の定義

パスワードポリシー

2．大学におけるID管理の必要性

5

・年に一度、全構成員の約1/4が入れ替わります。 → 新入生の入学に伴う、ユーザIDの登録 → 卒業に伴う、ユーザIDの無効化・削除

・入学手続きの完了からシステムの利用開始までの期間が短期間です。 → 学費の納付を確認後に、ユーザIDの付与・学生証の発行 etc 短いところでは 5日間、1週間など

・職員の「異動」があります。 → 昇進、組織変更、部署変更

2. 大学におけるID管理の必要性

6

2.1 大学の人事イベント

× 手作業

・大学の知の財産である「研究成果」を守る必要があります。 → 学内外からの不正アクセスへの対策 → アクセスログの解析が有効なのは、正しいユーザID管理の存在が前提

・教員専用のシステム、職員専用のシステムがあります。 → 学生/教員/職員の区分に応じたアクセス管理

・出入りの激しい環境です。 → 臨時採用の教員、アルバイト職員、外部聴講者といった「一時利用ユーザ」の管理


7

2.2 セキュリティ事情

× 共有ID

〇 IDに関するワークフローシステム

・多くの学生に集まってもらうために、継続的な学生向けサービスの向上が必須です。 → 学内IT環境の充足、シングル・サイオンオンによる利便性向上

・限られた予算で学内システムを運営するため、システムの利用統計を分析し、改廃・統合を随時検討しています。 → システムやアプリの利用者数のカウントや傾向の分析にも正しいユーザIDの管理が必須

・コスト最適化のためのクラウド利用や、「学認」の有効活用が進んでいます。 → 「学認」に参加し、各種SaaSを活用するためには、認証用のID情報が正しく維持されている必要があり、そのためにはID運用管理が確実に行われていることが必要


8

2.3 大学経営維持のためのIT活用

〇 ID管理システム

大学におけるID管理は、以上のような観点から必要とされています。

大量のユーザIDを、短期間に多数のシステムに対してメンテナンスする必要があります。効率化

セキュリティ

経営

大学内のシステムやリソースを守るために、 IDの運用管理を厳格に行う必要があります。

大学の経営を維持するために、学内外の IT利用に必要なIDを適切に管理・活用するシステムが必要です。


9

2.4 まとめ

3．ID管理システムの導入コストとランニングコスト

10

予算化しづらい「システム変更」の費用を如何に抑えることができるかが、トータルコスト適正化のポイントです。

11

3. ID管理システムの導入コストとランニングコスト

ライセンス

要件定義設計構築

ソフト保守(1年目)


ソフト保守(1年目) ソフト保守(1年目) ソフト保守(1年目) ソフト保守(1年目)









システム保守(1年目)
















システム変更

運用手順変更 (設計・構築)

システム変更運用手順変更 (設計・構築)

システム変更運用手順変更 (設計・構築)

システム変更

連携ｼｽﾃﾑ追加 (ライセンス設計・構築)

初年度 2年目 3年目 4年目 5年目

初期導入コストランニングコスト

バージョンアップ計画的に実施しやすい。

セキュリティ対策突発的な対応が多いが、システム維持保守の契約範囲内で対応することが多い。

運用手順変更設計見直しが発生するため、追加費用が必須。個別開発品の場合は、再開発が発生し費用が高くなる傾向がある。

連携システム追加運用手順変更と同じく再開発が発生し、費用が高くなる傾向がある。

3.1 累積コスト

＝運用手順変更、連携システム追加の費用を抑える

・開発併用を前提としないパッケージソフトを選択する ID管理システムを構築する場合、以下の3通りの方法が考えられます。 ①受託開発(いわゆるスクラッチ開発) ②開発併用を前提としたパッケージソフトの導入 ③開発併用を前提としないパッケージソフトの導入システム導入時に行う設計で運用手順や自動連携の度合いに対する拘り具合に拠りますが、③開発併用を前提としないパッケージソフトによるシステム構築は、運用手順変更や連携システム追加時にも、余計な開発工数の発生を抑えることができます。

・複雑な設定や実装を避ける連携システム毎に個別のスクリプトを記述して制御している場合、連携内容の変更や追加を行う際に複雑なスクリプトを解析する必要があり、工数増大につながります。なるべくスクリプト制御を減らし、設定ベースで連携可能な仕組みを構築することが望ましいです。

12

3. 初期導入コストとランニングコスト

3.2 システム変更費用を抑えるコツ

4 ．クラウドの普及とフェデレーション

13

4.1 クラウドの普及と新たなセキュリティ対策の必要性

4. クラウドの普及とフェデレーション

14

クラウドサービス

学内システム

昔

学内システム


最近

減増

最近はミッションクリティカルな業務のクラウドサービス利用が進む。・機密情報をクラウド事業者に預けざるを得ない

クラウドが普及し始めた頃は、それほど機密性の高くない情報を扱うシステムのみクラウドサービスに移行するケースが多かった。

(クラウド時代のセキュリティ対策のポイント)

・セキュリティポリシーのコントロールを残す認証基盤を整備し

フェデレーション技術を活用

機密情報

機密情報

(無償＆有償)

(無償)

〇 ID情報を大学内に残す

4.2 アカデミックITでのフェデレーション応用

15

IdP SP

1

2

3 4

大学クラウドサービス

5

ID情報

【アクセス試行】クラウドサービスへのアクセス 1

【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲 2

【認証処理】エンドユーザによる認証処理 3

【IDトークン返却】クラウドサービスへの認証結果の連携 4

【クラウドサービス利用】エンドユーザによるクラウドサービス利用 5



大学内


大学内

ID情報

ローカル認証方式

16

フェデレーションによる認証情報連携

ID情報の一部はクラウドサービスに渡し、セキュリティポリシーの及ぶ範囲内にID情報の一部を残す。

4.2 アカデミックITでのフェデレーション応用

ID情報 (全部)

SP IdP フェデレーション


大学内

SP IdP フェデレーション ID情報 (一部)

・有償クラウドの普及でサービス利用契約に応じたIDの事前配布やアクティベーションが必要な場合。・スケジュール共有システムのようにID情報自体がアプリケーションのコンテンツとなっている場合。


ID情報 (一部)

〇 ID情報を大学内に残す

教職員/学生 ID情報

大学

SP

IdP

ID情報個人

ID情報

API

API

ID情報

ID情報

IdP

SP

SP

源泉DBの存在 IDライフサイクル管理への対応・学生：入学/進級/卒業・教職員：定期的な人事異動

運用管理手順書

ID情報マスター

AD

17

教職員/学生管理システム

IT部門管理による運用管理手順書に従ったメンテナンス

学内の既存システムIDとの

ID統合運用管理が必要


4.3 ID情報の事前配布

UI

UI

ID管理システム

必須

4.3 ID情報の事前配布

18

IdP SP

1

2

3 4

大学クラウドサービス

5

ID情報 (全部の情報)

【アクセス試行】クラウドサービスへのアクセス 1

【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲 2

【認証処理】エンドユーザによる認証処理 3

【IDトークン返却】クラウドサービスへの認証結果の連携 4

【クラウドサービス利用】エンドユーザによるクラウドサービス利用 5


【プロビジョニング】アイデンティティ(ユーザ)情報の事前登録 0

ID管理システム API 0

ID情報 (一部の情報)

5 ．LDAP Manager概要

19

豊富な連携プラグイン・オプションを、必要に応じて選択できるので、最適なライセンス価格でご購入いただけます。これらの連携プラグイン・オプションは後から追加することもできるため、システム拡張等にも柔軟に対応することができます。

5. LDAP Manager概要

5.1 概要図

20

CSV→LDAP＆CSV→LDAPグループ CSVファイルを利用して、ID情報マスターDBのユーザエントリに対してユーザ情報の追加、更新、削除を行います。同様にグループの作成・削除、グループメンバの更新も行います。 (CSVプラグイン実行） CSVファイルから1レコードずつ変更情報更新します。

ODBC→LDAP ODBC接続が可能なRDBより、ID情報マスターDBのユーザエントリに対してユーザ情報の追加、更新、削除を行います。

5.2 主な連携プラグイン(input)

21

ADアグリゲータ ADを源泉DBとして、更新が発生したユーザ情報やパスワード情報をアグリゲータレシーバ (標準添付の機能）に転送します。転送された情報はCSVファイルとして保存され、 CSV→LDAPを使用してID情報マスターDB経由で各システムに連携されます。

ELMインタフェース（本体同梱）外部プログラムからLDAP Managerへ接続するためのインタフェースで、Windows、Linux、 Java版があります。外部プログラムから各プラグインを実行できます。

IDワークフロー ID登録時の申請、承認処理や、利用者自身の属性変更（例：メールアドレスの申請など）を行います。


LDAP→AD＆ADグループ Active Directory に対してユーザ情報、グループ情報を連携します。ドメイン参加クライアントからパスワード変更処理(Ctrl+Alｔ＋DEL)を行った場合に、指定した他の連携プラグインを実行することで、各システムへの連携を行うことができます。

Windowsコマンド実行 Windowsサーバ上のユーザコマンドを起動します。起動時にID情報マスターDBの情報を引数として渡すこともできます。

LDAP→CSV ID情報マスターDBからCSVファイルへデータを出力します。ID情報マスターDBのバックアップや棚卸、ODBC等で直接連携できないシステムに対する取り込み用ファイルの生成などに利用されます。CSVファイルの出力前後に、コマンドを実行できます。

LDAP→UNIX&UNIXコマンド実行 UNIX/Linuxのユーザアカウントの追加、更新、削除を行います。対象はNIS（マスタ）、 /etc/password、/etc/shadow です。 (UNIXコマンド実行） UNIX/Linuxサーバ上のユーザコマンドを起動します。 ID情報マスターDBの情報を引数として渡すこともできます。

5.2 主な連携プラグイン(output①)

22


LDAP→LDAP LDAPサーバに対してユーザ情報を連携します。認証用サーバとID情報マスターDBを分ける場合に利用されます。

5.2 主な連携プラグイン(output②)

LDAPグループメンテナンス ID情報マスターDB上のユーザエントリの属性値を利用して、ID情報マスターDBまたは他の LDAPにグループの作成・削除、グループメンバの更新を行います。

23

LDAPセルフメンテナンス ID情報マスターDBから、指定したフィルター条件(例：更新日時)に合致するユーザを抽出し、そのユーザ情報の更新を行います。例えば、テストユーザや期間契約ユーザ等、期限のあるユーザに対して予め有効期限を設定し、期間満了とともに自動的に削除する等の運用を行うことができます。

LDAP→ODBC ODBC接続が可能なRDBに対してユーザ情報、グループ情報を連携します。

LDAP→Desknet’s Desknet’s Enterprise Edition に対して、ユーザ情報、グループ情報を連携します。

LDAP→ガルーンガルーンに対して、ユーザ情報、組織情報(グループ）、所属ユーザ情報（グループメンバ）を連携します。


5.2 主な連携プラグイン(output③～クラウド)

LDAP→SCIM ID情報マスターDB上のエントリを元に、クラウドサービスプロバイダ等のSCIM (System for Cross-Domain Identity Management)インターフェースに対し、ユーザ情報の連携を行います。

LDAP→GApps Google社のGoogle Appsに対してユーザ情報の連携を行います。GMailアカウントの追加、無効、利用停止やパスワード変更、メールボックスの作成などを行うことができます。なお、本プラグインの利用に際して、別途、サイオステクノロジー様によるインテグレーションが必要です。

LDAP→Office365 マイクロソフト社のOffice365に対して、ユーザ情報の連携を行います。 (Directory Sync は不要です)。なお、本プラグインの利用に際して、別途、サイオステクノロジー様によるインテグレーションが必要です。

LDAP→cybozu.com サイボウズ社のcybozu.comに対して、ユーザ情報、組織情報や役職情報の連携を行います。

24


5.3 主なオプション

特権管理パックサーバ管理に使用するような特権ユーザIDの管理を行います。予め用意した特権ユーザIDを一定期間、特定の一般ユーザに貸与します。IDワークフローや操作ログオプションと組み合わせることで、申請ベースで特権ユーザIDを利用、その履歴を管理するなど、トータルな特権管理システムを構築することができます。

25

Password Assistant クライアント Windows XP、Windows VISTA、Windows 7にて動作するシングル・サインオンツールです。各PCに本ツールをインストールする必要があります。 ID情報マスターDB上に予め保存した各システムのIDとパスワードが、クライアントのログイン時にローカルPCに取り込まれ、各システムの利用開始時に、取り込んだIDとパスワードを各システムのログイン画面に流し込みます。


管理者は、日々のメンテナンス業務を「管理者ポータル」で行います。

管理者メンテナンス、操作ログ（後述）の呼び出し

実行ログの表示

一括メンテナンス用CSVファイルのアップロード/ ダウンロード、各プラグインの実行

ログインユーザ毎の操作可否の制御（権限移譲）が可能

5.4 管理GUI

26


5.4 管理GUI

管理者メンテナンス

ユーザの検索、リスト表示、検索結果の CSV出力

ユーザ1人ずつに対する追加・更新・削除処理

ユーザパスワードの強制初期化、通知書PDFの作成

グループの作成・更新・削除・メンバの出し入れ

操作ログ

「いつ、誰が、誰の、どの属性を、どの値から、どの値に変更したか」を全て記録することができ、ID運用管理の監査証跡として利用することができます

27


自身のパスワード変更

自身のステータス確認：メタLDAP上に格納されている各種情報を表示可能（ex 印刷枚数、最終パスワード変更日時等）

自身の属性値変更：内線番号、メールエイリアス、名字など、運用に応じて柔軟に設定可能

エンドユーザが自身のパスワードや属性情報をメンテナンスするためのGUIです。

5.4 管理GUI

28


ID情報のメンテナンスに特化したワークフローです。 ID登録時の申請、承認処理や、利用者自身の属性変更（例：メールアドレスの申請など）を、行うことができます。

5.4 管理GUI

29


■ システム概要ユーザ数 25,000人特長：学内とクラウドを含めた広域認証

基盤のユーザ情報を一元管理

メタLDAPサーバ

全学認証用 LDAPサーバ

ADサーバ1

ADサーバ2

操作ログ

管理者PC

リバースプロキシ

OpenAM

Shibboleth IdP

学内各所 PC群

LDAP→LDAP

LDAP→AD

AD認証

学認 Shibboleth SP Shibboleth DS

アクセス制御ポリシー学内システム

アクセス

LDAP Manager 管理GUI

操作

ログ

opt

・管理者ポータル・管理者メンテナンス・操作ログ・IDワークフロー・利用者プロファイルメンテナンス

LDAP→AD

CSV→LDAP

CSVファイル

操作ログ参照

SAML認証

認証

本IDなど、必要なユーザ、属性のみをプロビジョニング

ID統合管理（LDAP Manager）

SSO（OpenAM, Shibboleth）

IDワークフロー

パスワード変更、ユーザ登録・削除等個別メンテナンス

上位システム

LD

AP→

OD

BC

学内システム群

5.5 実装例

30


6 ．クラウド時代の認証基盤システム

31

32

6. クラウド時代の認証基盤システム

6.1 IDaaSの出現(US)

SaaSへのシングル・サインオン

IDentity as a Service

33

6.2 OktaのIDaaS

エンドユーザ

エンドユーザ

AD

IdP

クラウド用 ID情報マスタ

LDAP

管理者

IDaaS

RP

RP

RP

RP

RP

RP

ID情報

RP

1000以上のSaaSに対するSSOが主機能

25のSaaSに対するプロビジョニング

AD連携 1.オンプレ⇒IDaaS 2.IDaaS⇒オンプレ (SCIM)

(注)Webに公開されている情報をもとに江川が考察を加えました。

専業SaaS $4～$8/月


34

6.3 IDaaSの機能

③インフラ提供

エンドユーザ

SaaS

IaaS PaaS

プライベートクラウド

オンプレミス

源泉ID情報 DB

ワークフロー

①シングル・サインオン・サービス (多要素認証 & フェデレーション)



プロビジョニング

④インフラ&サービス監視

②ID管理サービス


フェデレーション

大学内 IaaS/PaaS/SaaS

ID情報 (一部の情報)


IDaaS

35


IDaaS業者は、大学がID情報マスターDBを安心して預けられるセキュリティレベルを維持していることを説明する必要がある


ID情報マスターDB (全部の情報)

セキュリティ境界

セキュリティ境界 (セキュリティポリシーコントロールの効く範囲)

6.4 IDaaSのポイント

IDaaSには、セキュアなインフラ&サービス監視サービスは必須

7 ．EXGEN社のIDaaS＝Extic

36

③インフラ提供

①シングル・サインオン・サービス (多要素認証 & フェデレーション)




④インフラ&サービス監視

②ID管理サービス

①EXGEN社がサービス提供 ②ターゲットは大学

37

7. EXGEN社のIDaaS＝Extic

7.1 Extic(EXGEN Trusted Identity Center)の概要

OpenAM /SAML(Shibboleth) IdP

Cloud Identity Manager (LDAP Managerのマルチテナント版) PostgreSQL

AWS(2017年以降Azure VMにも展開)

・24/365リモート監視&ヘルプデスク (エクシード社) ・DeepSecurity

③機能構成

ここの機能を充実させたIDaaS

2016年4月Start

7.2 Extic(EXGEN Trusted Identity Center)概要図

LDAP UNIX

コマンド Active

Directory

オンプレミス

利用者管理者

CSV AD PW

Hook

メンテ GUI

AD パスワード

フック

シングルサインオン

シングルサインオン


CSV 認証

OpenLDAP

【SSO】 OpenAM/Shibboleth 【IDM】CIM(Java)

【ポータル】 extic ポータル

ID情報マスタDB (PostgreSQL)


38

39

7.3 Extic(EXGEN Trusted Identity Center)の特長

①IDライフサイクル管理を重視 1)ID運用管理手順書の提供＋ヘルプデスク 2)(input)AD連携＋WF＋HR連携(CSV) ②セキュアなサービス 1)AWS版：Xseed社によるインフラ監視(PCIDSS相当) 2)大学がカンターラのLoA1を取得しやすい資料を整える 3)学認アンケート対応表の公開 ③低コスト・アカデミック価格として提供(予定)


学生数月額利用料金

～3000 ¥500,000

3001 ～5000 ¥600,000

5001 ～10000 ¥800,000

10000 ～15000 ¥1,000,000

40

パスワードポリシー変更画面

ログイン画面


7.4 Extic(EXGEN Trusted Identity Center)の画面

41

Office 365 接続用設定画面

ログ参照画面



42

ユーザー一覧画面

ユーザー追加画面



43

ユーザーホーム画面

パスワード変更画面



44

・大学内(オンプレ)に配置したシステム、 IaaS上に配置されたシステム、クラウドサービス(学認系SaaSからOffice365やGoogle APPS等の有償SaaS) のID管理をサービスとして利用できます。 (認証基盤システム導入の目的については第一章を参照ください。） (大学でのID管理の必要については第二章を参照ください。）・ID情報マスターDBはIDaaSで一元管理されることで、柔軟なセキュリティポリシーのコントロールが可能です。・ID統合管理を行うことでクラウドサービスライセンス管理をはじめとしたエンドユーザのシステム＆サービスの利用状況の把握が可能になります。・IT部門以外の教職員が自由に契約し、利用するシャドウクラウド対策としても有効です。

ID管理サービスの利用

7.5 Extic利用のメリット


勝手にクラウドの特性はAgilityなんで

45

7.5 Extic利用のメリット(シャドウクラウド対策)


教職員

IT 部門

シャドウクラウド

設定

利用

選定・契約

開発・機能評価

設計

要件定義

構築・設定

運用管理

教職員

IT部門

①セキュリティポリシー作成

②利用規定作成

④設定

⑥運用監視

非シャドウクラウド

⑤利用

③選定・契約

IDaaS

メンテログ管理

認証ログ管理

ID情報メンテ

46

・SAML/Shibboleth等のフェデレーション技術に対応したサービスについては、シングルサインオンが行えます。・フェデレーション技術を利用することで、SaaS業者に預ける機密情報を減らせます。

フェデレーションの利用

7.5 Extic利用のメリット


クラウドサービスとして利用

・クラウドサービスを利用する場合のメリットを享受できます。・費用対効果(特に初期コストの削減) ・インフラ管理負荷の低減・システム要件の変更に対する迅速かつ柔軟な対応が可能・基本サービスとして24/365で提供されるインフラ & サービス監視により非常にセキュアなシステム運用サービスを低コストで利用できます。

・カンターラの保証レベルLoA1に対応したサービスにする予定です。さらにID運用管理手順書(サンプル版)を提供し、学認への参加を容易にします。

学認参加の障壁低減

8 ．それぞれのIDaaS

47

48

(クラウド出現前) データセンター建設が可能な大企業だけが仮想化技術の恩恵に預かっていた

(クラウド出現後) ・IaaS、PaaSの活用により中小規企業が仮想化技術の恩恵を受けることができるようになる・中小ソフトベンダーがパッケージソフトを自力でSaaS化することができるようになる

8.1 中小ソフトベンダーにとってのIDaaS

8. それぞれのIDaaS

特定の機能に特化した特徴的なソフトのSaaSが増える

大学(SaaS利用者として)

セキュリティ管理的に危険な臭いのするSaaS利用についてはIDaaSの併用を検討する必要がある

中小ソフトベンダー

ID管理/認証を自社サービスから切り離せるIDaaS (フェデレーションSP 対応)の検討が必要である

ソフトベンダーのサービスベンダー化

49

8.2 クラウド事業者にとってのIDaaS

(最近のクラウド事業者の事情) ・MSもアマゾンも自社クラウドへのISV引き込みが最優先課題・日本のクラウド事業者もIaaS/PaaSビジネスやプライベートクラウドビジネスから SaaSビジネスシフトによる差別化を図る

(ハイブリッドクラウドの変化) (少し前まで) クラウド利用者がIaaS/PaaS、プライベートクラウド、SaaSを組み合わせていた。 (最近) クラウド事業者がIaaS/PaaS、プライベートクラウド、SaaSを組み合わせて提供する。


クラウド事業者

トータルソリューションの「のりしろ」役としてIDaaSの利用を検討する必要がある

クラウドファースト＝SaaSファーストの時代に

クラウド「トータルソリューション」化

3

クラウド事業者内 SaaS

外部SaaS

顧客利用者

顧客管理者

トータルソリューション化

顧客利用者

顧客管理者

プロビジョニングクラウド事業者内 SaaS

外部SaaS

IDaaS

IdP SP SSO

(フェデレーション)

SP

大学(ハイブリッドクラウド利用者として)

クラウド事業者がトータルソリューションの裏方機能として提供するIDaaSに対して、厳格なセキュリティ評価が必要


8.2 クラウド事業者にとってのIDaaS

51

8.3 学認にとってのIDaaS

プロトコルがすべてじゃないのよ覚えておいてね、フェデレーション

大切なのはトラストなのよ間違いないでね、フェデレーション


情報共有システム

(ローカル認証) ID発行

情報共有大学A

ローカル認証 ~システム利用

情報共有大学B

情報オーナー大学C

ID情報


（フェデレーション対応）

情報共有大学A

情報共有大学B

ID情報

ID情報

IdP SP

ID情報


IdP


ID未発行

理想論

現状

52



トラスト

LoA LoP

53




（フェデレーション対応）

情報共有大学A

情報共有大学B

ID情報

ID情報

IdP SP

ID情報


IdP


ID未発行

理想論

トラスト

IT予算、IT工数に差がある

『わかっちゃいるが、IT部門の人数が少なく、IdPの構築、運用が大変なんだよね、、』

IDaaS

ID情報 IdP

情報共有大学C

大学

複数大学間で情報共有するためのShibboleth IdPサービス + 厳格なID運用管理基盤サービスとしてIDaaSが活用できる

学認

中堅大学や地域毎のコンソーシアムが学認に参加する場合の起爆剤！になるはず、、

大学向け認証基盤システム概略と最新技術動向 axies2015

Technology