認証アプライアンスサーバ「AXIOLE」 にIdP機能を搭載、学術認証フェデレーションの「Shibboleth」システムに対応
2011/06/20
(株)ネットスプリング
株式会社ネットスプリング(本社:東京都港区、代表取締役社長:西武
進)は、全国の大学等と国立情報学研究所(NII)が連携して運用を開始して
いる「学術認証フェデレーション」(学認:GakuNin)の相互認証連携システ
ム「Shibboleth」への対応を開始し、学術教育研究機関向けに、異なる組織間
でのシングルサインオンを実現する機能を提供していきます。第一弾として、
当社のLDAPベースの認証アプライアンスサーバ「AXIOLE(アクシオレ)」の
ファームウエアにShibbolethのIdP(Identity Provider)機能を「AXIOLE IdP
オプション機能」として提供します。
AXIOLEにIdPオプション機能を追加することにより、大学や高専等の学術教
育機関の各Webアプリケーション間で認証連携によるシングルサインオンを可
能にする統合ID管理システムが、オールインワンのアプライアンス形態で実現
します。本機能は2011年Q4にリリース予定の次期AXIOLEバージョン1.10と同時
に提供を開始する予定です。
▼Shibbolethによるシングルサインオン機能
Shibbolethは、米国の産官学協同による次世代インターネット研究開発プロ
ジェクト「Internet2」から生まれた仕様で、SAML(Security Assertio
nMarkup Language)をベースとするWebシングルサインオン関連システムです。
国内ではNIIが取りまとめた大学等により構成される連合体GakuNinにより、運
用・展開されています。
組織間に連盟“フェデレーション”を構築、あるいは既存の連盟“フェデ
レーション”に参加し、ユーザ情報の参照方法などをフェデレーション内で信
頼し合うことで認証の連携を実現するシステムです。フェデレーション内の
Webサービス(Service Provider化された)で一度Web認証を行えば、関連する
Webサービス(同)へのシングルサインオンが可能となり、学内外の様々な
サービス(コンピュータネットワーク、図書館、グループウエア、シラバス、
e-learning等々)を利用する場合にも一度の認証で利用が可能となります。
▼AXIOLEとIdPの一体化によるメリット
フェデレーションへの参加にはIdentity Provider(IdP)の構築が必要で
す。また、IdP自身はユーザ情報を持たないため、LDAP等のユーザリポジトリ
と連携する必要があります。 AXIOLEでは、本来提供しているLDAPベースの機
能をユーザリポジトリとし、さらに装置内にIdP機能も動作させることができ
るため、サーバ機器を増やすことなくIdP環境の構築とユーザリポジトリとの
連携までを容易に実現できます(AXIOLE以外の製品では、別途、LDAPやAD
(Active Directory)等の認証サーバの構築および連携構築が必要)。また、
AXIOLEのWebUIでユーザ管理を行いつつ、IdPの運用までも一体化が可能となり
ます。
単位互換制度や学術連携など大学間での連携や、産学間での共同研究、人事
交流など、大学を取り巻く連携・フェデレーション化の動きが拡大しており、
そのネットワークの相互利用を迅速にする認証連携ニーズの増大化、複雑化も
加速しています。ネットスプリングは、AXIOLEほか当社製品にShibboleth関連
機能を追加していくことによりこうしたニーズに応えるとともに、今後も大学
等の教育学術機関の活動を支える情報ネットワーク認証の高度化、高効率化、
利便化、安全化に寄与していきます。
■AXIOLE「IdPオプション」の主な機能
●連盟“フェデレーション ”内でのWeb認証機能とWebアプリケーション間の
シングルサインオン機能
フェデレーションに参加することで、フェデレーション内の複数のWebアプ
リケーション(SP)をシングルサインオンで安全に利用できるようになり
ます。
●Shibboleth向け(GakuNin推奨)属性等の定義を標準提供
学術機関向けに、Shibboleth(GakuNin)環境で利用されることの多い属性
等を予め定義してあり、職種、利用資格等の属性をAXIOLEのWebUIから編集
することが可能になります。必要なメタデータ等のテンプレートが標準提供
されます。
●利用可能なWebアプリケーションの自動更新機能
フェデレーション内のWebアプリケーションが追加された場合、その情報は
定期的にAXIOLE内に取り込まれるため、自動的に新しいWebアプリケーショ
ンの利用が可能になります。
●Stored ID(persistent-id)の利用および管理
どこのWebアプリケーションからどのユーザがIdPの認証を受けたかという識
別情報を AXIOLE内部で持続的に保持。IdP認証時にこのStored IDを送信
することで、Webアプリケーション側においてユーザ単位で前回の情報を参
照・自動復元等が可能です。またStored IDの検索・ダウンロード・削除等
の管理機能が提供されます。
●IdPログ管理
AXIOLEの管理WebUIでIdPログの管理が可能。IdPによる認証を受けたユーザ
、Webアプリケーション、要求・応答の内容の参照や保存・転送等の管理が
容易に行えます。
●IdP機能の冗長化が可能
AXIOLEの冗長構成(AXIOLEリダンダンシ構成)によりIdPの冗長構成も可能
に。
<その他の機能>
●外部のリポジトリ(LDAPやAD等)参照によるIdP専用アプライアンス化が可
能
●専用のIdP認証画面
IdP認証時にはAXIOLE専用の認証画面が表示され、新たな認証ページの構築
は不要
●一括バックアップ・リストア機能
AXIOLEおよびIdP等の設定情報の一括バックアップ・リストア機能の提供
●IdP認証に2つのネットワークインタフェース利用が可能
■AXIOLE 「IdPオプション機能」の提供
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
●標準販売ライセンス料金:1,000,000円(税別)
・ワンタイムライセンス料金(一括払い)
・AXIOLEのアカウント数に依存しない一律料金
・AXIOLE導入後にライセンス取得しIdP機能を活性化することが可能
●リリース予定:2011年Q4リリース予定のAXIOLEバージョン1.10と同時に
提供予定
※AXIOLEバージョン1.10では、AXIOLE間連携機能等が実装の予定です。
進)は、全国の大学等と国立情報学研究所(NII)が連携して運用を開始して
いる「学術認証フェデレーション」(学認:GakuNin)の相互認証連携システ
ム「Shibboleth」への対応を開始し、学術教育研究機関向けに、異なる組織間
でのシングルサインオンを実現する機能を提供していきます。第一弾として、
当社のLDAPベースの認証アプライアンスサーバ「AXIOLE(アクシオレ)」の
ファームウエアにShibbolethのIdP(Identity Provider)機能を「AXIOLE IdP
オプション機能」として提供します。
AXIOLEにIdPオプション機能を追加することにより、大学や高専等の学術教
育機関の各Webアプリケーション間で認証連携によるシングルサインオンを可
能にする統合ID管理システムが、オールインワンのアプライアンス形態で実現
します。本機能は2011年Q4にリリース予定の次期AXIOLEバージョン1.10と同時
に提供を開始する予定です。
▼Shibbolethによるシングルサインオン機能
Shibbolethは、米国の産官学協同による次世代インターネット研究開発プロ
ジェクト「Internet2」から生まれた仕様で、SAML(Security Assertio
nMarkup Language)をベースとするWebシングルサインオン関連システムです。
国内ではNIIが取りまとめた大学等により構成される連合体GakuNinにより、運
用・展開されています。
組織間に連盟“フェデレーション”を構築、あるいは既存の連盟“フェデ
レーション”に参加し、ユーザ情報の参照方法などをフェデレーション内で信
頼し合うことで認証の連携を実現するシステムです。フェデレーション内の
Webサービス(Service Provider化された)で一度Web認証を行えば、関連する
Webサービス(同)へのシングルサインオンが可能となり、学内外の様々な
サービス(コンピュータネットワーク、図書館、グループウエア、シラバス、
e-learning等々)を利用する場合にも一度の認証で利用が可能となります。
▼AXIOLEとIdPの一体化によるメリット
フェデレーションへの参加にはIdentity Provider(IdP)の構築が必要で
す。また、IdP自身はユーザ情報を持たないため、LDAP等のユーザリポジトリ
と連携する必要があります。 AXIOLEでは、本来提供しているLDAPベースの機
能をユーザリポジトリとし、さらに装置内にIdP機能も動作させることができ
るため、サーバ機器を増やすことなくIdP環境の構築とユーザリポジトリとの
連携までを容易に実現できます(AXIOLE以外の製品では、別途、LDAPやAD
(Active Directory)等の認証サーバの構築および連携構築が必要)。また、
AXIOLEのWebUIでユーザ管理を行いつつ、IdPの運用までも一体化が可能となり
ます。
単位互換制度や学術連携など大学間での連携や、産学間での共同研究、人事
交流など、大学を取り巻く連携・フェデレーション化の動きが拡大しており、
そのネットワークの相互利用を迅速にする認証連携ニーズの増大化、複雑化も
加速しています。ネットスプリングは、AXIOLEほか当社製品にShibboleth関連
機能を追加していくことによりこうしたニーズに応えるとともに、今後も大学
等の教育学術機関の活動を支える情報ネットワーク認証の高度化、高効率化、
利便化、安全化に寄与していきます。
■AXIOLE「IdPオプション」の主な機能
●連盟“フェデレーション ”内でのWeb認証機能とWebアプリケーション間の
シングルサインオン機能
フェデレーションに参加することで、フェデレーション内の複数のWebアプ
リケーション(SP)をシングルサインオンで安全に利用できるようになり
ます。
●Shibboleth向け(GakuNin推奨)属性等の定義を標準提供
学術機関向けに、Shibboleth(GakuNin)環境で利用されることの多い属性
等を予め定義してあり、職種、利用資格等の属性をAXIOLEのWebUIから編集
することが可能になります。必要なメタデータ等のテンプレートが標準提供
されます。
●利用可能なWebアプリケーションの自動更新機能
フェデレーション内のWebアプリケーションが追加された場合、その情報は
定期的にAXIOLE内に取り込まれるため、自動的に新しいWebアプリケーショ
ンの利用が可能になります。
●Stored ID(persistent-id)の利用および管理
どこのWebアプリケーションからどのユーザがIdPの認証を受けたかという識
別情報を AXIOLE内部で持続的に保持。IdP認証時にこのStored IDを送信
することで、Webアプリケーション側においてユーザ単位で前回の情報を参
照・自動復元等が可能です。またStored IDの検索・ダウンロード・削除等
の管理機能が提供されます。
●IdPログ管理
AXIOLEの管理WebUIでIdPログの管理が可能。IdPによる認証を受けたユーザ
、Webアプリケーション、要求・応答の内容の参照や保存・転送等の管理が
容易に行えます。
●IdP機能の冗長化が可能
AXIOLEの冗長構成(AXIOLEリダンダンシ構成)によりIdPの冗長構成も可能
に。
<その他の機能>
●外部のリポジトリ(LDAPやAD等)参照によるIdP専用アプライアンス化が可
能
●専用のIdP認証画面
IdP認証時にはAXIOLE専用の認証画面が表示され、新たな認証ページの構築
は不要
●一括バックアップ・リストア機能
AXIOLEおよびIdP等の設定情報の一括バックアップ・リストア機能の提供
●IdP認証に2つのネットワークインタフェース利用が可能
■AXIOLE 「IdPオプション機能」の提供
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
●標準販売ライセンス料金:1,000,000円(税別)
・ワンタイムライセンス料金(一括払い)
・AXIOLEのアカウント数に依存しない一律料金
・AXIOLE導入後にライセンス取得しIdP機能を活性化することが可能
●リリース予定:2011年Q4リリース予定のAXIOLEバージョン1.10と同時に
提供予定
※AXIOLEバージョン1.10では、AXIOLE間連携機能等が実装の予定です。
