Upload
openid-foundation-japan
View
1.239
Download
2
Embed Size (px)
Citation preview
Shibboleth IdP V3とアカデミックIDフェデレーション
OpenID Summit Tokyo 2015
中村 素典 / 国立情報学研究所
©2015 Motonori Nakamura/NII1
Academic Federations: Production – 43, Pilot – 18 (Oct. 2015)
https://refeds.org/federations/federations-map
©2015 Motonori Nakamura/NII3
©2015 Motonori Nakamura/NII4
シングルサインオン(SSO)技術の活用による、これまで一つの大学・研究機関の中に閉じていた認証システムが組織外のサービスとも連携するための枠組み 利便性の向上と管理コストの削減による、教育研究のためのICT環境の充実を支援
ID提供側(IdP)とサービス提供側(SP)との相互の信頼を担保するためのルールと評価の仕組みによる信頼の枠組み(トラストフレームワーク)の提供 セキュリティとプライバシーを考慮した安全・安心なシステム
図書館システム Webメール グループウェア EラーニングSP
大学 A 大学 B 大学 CIdP
GakuNin運営組織• フェデレーション ポリシーの策定• IdP運用評価• 広報・普及
電子ジャーナル
情報提供サイト
学認申請システム
メタデータリポジトリ
ディスカバリーサービス
個人認証で学外からも快適アクセス
シングルサインオンでスムーズなアクセス
ID管理工数の低減セキュリティレベルの底上げ
個人情報保護
クラウドの活用を支援
IdP機関数 IdPユーザ数
0
20
40
60
80
100
120
140
160
180
200
Jul-
09
Jan-10
Jul-
10
Jan-11
Jul-
11
Jan-12
Jul-
12
Jan-13
Jul-
13
Jan-14
Jul-
14
Jan-15
Jul-
15
(万人)
5
国立大学 公立大学 私立大学 短期大学 高等専門学校 共同利用機関 その他 合計
学認参加数 59 12 44 0 51 1 7 174
カバー率 69% 12% 7% 0% 89%
総機関数 86 92 603 334 57
0
20
40
60
80
100
120
140
Jul-
09
Jan-10
Jul-
10
Jan-11
Jul-
11
Jan-12
Jul-
12
Jan-13
Jul-
13
Jan-14
Jul-
14
Jan-15
Jul-
15
Total
Students
Staff
174機関 総ID数約125万
0
20
40
60
80
100
120
140
160
Jul-
09
Jan-10
Jul-
10
Jan-11
Jul-
11
Jan-12
Jul-
12
Jan-13
Jul-
13
Jan-14
Jul-
14
Jan-15
Jul-
15
139SP
SP数
©2015 Motonori Nakamura/NII
詳細は https://www.gakunin.jp/participants/
©2015 Motonori Nakamura/NII6
0
20000
40000
60000
80000
100000
120000
140000
160000
DS: Discovery Service
Source: presentation by Dennis Cromwell and Ann West at InCommon Roadmap –Priorities and Services (Internet2 Technology exchange 2015, Oct. 6)
©2015 Motonori Nakamura/NII7
©2015 Motonori Nakamura/NII8
eduGAINに参加するIdP: 約1500
eduGAIN経由で利用可能なサービス(SP): 1000以上
SURFconext, FileSender, Foodle, perfSONAR, GRID系サービスなど
https://technical.edugain.org/entities.php
(インターフェデレーション)
©2015 Motonori Nakamura/NII9
https://en.wikipedia.org/wiki/SAML-based_products_and_services
©2015 Motonori Nakamura/NII10
https://spaces.internet2.edu/display/FIWG/Interop+Issues+List
Interoperability?
https://kantarainitiative.org/confluence/display/fiwg/SAML+Interoperability+and+Deployment+Profiles
©2015 Motonori Nakamura/NII11
Web Browser SSO普及における互換性ためのSAML 2.0共通仕様の定義
©2015 Motonori Nakamura/NII12
米国EDUCAUSE/Internet2にて2000年に発足したオープンソースプロジェクト SAMLによる認証連携方法として学術界ではデファクトスタンダード
Shibboleth開発体制をInternet2独自から世界的に支援する形へ 学認もシボレス・コンソーシアムのメンバー
©2015 Motonori Nakamura/NII13
14
Shibboleth Daemon(shibd)
SessionInitiator DS
Assertion ConsumerSAML POST
AttributeAuthority
SSOProfile
AuthNEngine Username
PasswordAuthN
Form
Tomcat
IdP SP
Apache/ IIS
AttributeDB
AuthNDB
LDAP/AD
WebResource
Shibboleth Module(mod_shib)
Browser
https
https # .htaccessAuthType shibbolethShibRequireSession
Onrequire valid-user
ポート番号は443または8443back channel
front channel
©2015 Motonori Nakamura/NII
15
Version 2.0.0 は 2008年3月にリリース(7年以上経過)
すべてのセキュリティバグ,および,深刻だがセキュリティには関係しないバグ解決のためのパッチ・情報提供 2015年12月31日終了(JavaやTomcatに起因する,システムの運用に支障をきたす不具合などが相当)
セキュリティバグ解決のためのパッチ・情報提供 Moderateレベル 2016年2月29日終了
たとえば、認証済みの状態でのDoS攻撃に関する問題
Importantレベル 2016年5月31日終了 たとえば、認証なしの状態でのDoS攻撃に関する問題
Criticalレベル 2016年7月31日終了 たとえば、リモート攻撃やデータ漏えいに関する問題
2016年7月31日を以ってサポート完全終了(2015年5月5日付けアナウンス)
https://shibboleth.net/pipermail/announce/2015-May/000112.html
©2015 Motonori Nakamura/NII
16
2014年12月22日 Version 3.0.0 リリース最新は Version 3.1.2 (2015年10月末現在現在) 2015年11月に Version 3.2.0 リリース予定
プロトコル標準的には変更なし(V2,V3混在運用可)
Version 2からバージョンアップするには: Java 7, Tomcat 7以降が必要 (Servlet API 3.0) ファイル構成や設定内容の違い
標準的なV2の設定はそのままでも動作するが(Safe Upgrade)、V3の新機能を利用するためにはV3形式の内容に変換する必要があるservices.propertiesで、どちらの形式かを指定UIまわりの調整や各種プラグインの利用は、調整が必要
©2015 Motonori Nakamura/NII
設定ファイルの分離、整理 Metadata-providers.xml, saml-nameid.xml
メッセージの国際化
Stateless Clustering (冗長構成対応) Client-side cookies, in-memory, JPA/database, memcache
CAS (Central Authentication Service)プロトコルのサポート - 標準搭載
属性情報送信同意、送信属性選択(uApprove-JP) - 標準搭載
MCB (Multi-Context Broker)による複数の認証方式への対応- 標準搭載 OIDCのamr (Authentication Method Reference)みたいなの
参考:http://www.slideshare.net/kura_lab/fidofederation
LoAベース
動的フロー変更
SLO (Single Logout)のサポート(バックチャネルを除く)
Metadata Query Protocol (on-demand metadata lookup)
ECP (Enhanced Client or Proxy) for non web applications (v2.4~)
©2015 Motonori Nakamura/NII17
©2015 Motonori Nakamura/NII18
Shibboleth IdPでは、多様や認証方式やプライバシー保護をプラグインにより柔軟にサポート
Shibboleth-IdP
サービス(SP)ID・認証サービス(IdP)
Web
サービス
属性情報
認証プラグイン
Shibboleth-SP
ID・認証連携
利用者
アカウント発行・失効
プライバシー保護
LDAP/AD 属性情報送信同意
認証プラグイン
認証プラグイン
【様々な認証方式への対応】パスワード認証多要素認証
リスクベース認証FIDOやAaaSの活用 認証強度の向上
AaaS: Authentication as a Service
19
OMB M-04-04 E-Authentication Guidance for Federal Agencies (2003)
NIST SP800-63 Electronic Authentication Guideline (2006発行, 2011改訂)
ITU-T X.1254 Entity Authentication Assurance Framework (2012-09承認)
ISO/IEC 29115:2013 Entity authentication assurance framework (2013-04)
Level Description
1 – Low Little or no confidence in the asserted identity身元確認不要、仮名例:whitehouse.govのWebサイトでのオンラインディスカッションに参加
2 – Medium Some confidence in the asserted identity身元識別(身分証明書)、単一要素認証可、失効処理例:社会保障Webサイトを通じて自身の住所記録を変更
3 – High High confidence in the asserted identity多要素認証例:特許弁理士が特許商標局に対し、機密の特許情報を電子的に提出
4 – Very high Very high confidence in the asserted identity対面による発行、ハードウェアトークン例:法執行官が、犯罪歴が格納されている法執行データベースにアクセス
OpenID 2.0はLoA-2まで、SAML/OpenID ConnectはLoA-4まで対応
世界標準へ
©2015 Motonori Nakamura/NII
©2015 Motonori Nakamura/NII20
区分 身元確認保証レベル 当人確認保証レベル 信頼レベル
評価軸 登録 トークントークン及びクレデンシャル管理
認証プロセス
アサーション
プライバシー及び個人情報保護
レベル1
(低)
(対面/非対面)自己申告 / 身元確認は不要--------------------------------------------------
レベル1+ 身分証の提示
単要素認証(例)パスワード(6桁以上)、秘密の質問(最低5問から選択)等
レベル2
(中)
(対面)写真付き公的身分証の提示(非対面)公的身分証及び金融/携帯
電話の個別番号を提示。申請情報をいずれかの記録と照合。
単要素認証(例)パスワード(8桁以上)、秘密の質問(最低7問から選択)、数値マトリックスカード、SMSワンタイムパスワード、ワンタイムパスワード機器、ICカード等
レベル3
(高)
(対面)L2に加え、申請情報を記録と照合・録音等による否認防止。(非対面)L2に加え、申請情報を公的機関および金融/携帯事業者の記録と照合・録音等による否認防止。
多要素認証
(例)認証時にパスワード入力を求めるSSLクライアント認証、ICカード+パスワード等
レベル4
(特高)
(対面のみ)写真付き公的身分証明証2種又は公的身分証及び金融/携帯電
話の個別番号を提示。全ての申請情報を記録と照合。生体情報の記録。
多要素認証トークン機器
(例)暗証番号認証付きワンタイムパスワード機器、指紋認証付きICカード等
トークンの発行、保管方法、
アイデンティティの失効等の
運用ルール等の基準
認証プロセス実行時に想定さ
れる脅威に対する基準
アサーション利用自に想定さ
れる脅威に対する基準
プライバシー及び個人情報保
護状況証明の程度の基準
authMethods
1. token : Silver Assurance Level (via hardware token)
2. strongpassword : Silver Assurance Level
3. password : Username/Password Only
4. tokenpluspin : Gold Level - Token/PIN Required
https://wiki.shibboleth.net/confluence/display/SHIB2/Multi-Context+Broker©2015 Motonori Nakamura/NII21
<authnContexts><context name="bronze" method="password">
<allowedContexts><context>silver</context><context>silver-token</context>
</allowedContexts></context>
<context name="silver" method="strongpassword"><allowedContexts>
<context>silver-token</context></allowedContexts>
</context>
<context name="silver-token" method="token"><allowedContexts>
<context>tokenpluspin</context></allowedContexts>
</context></authnContexts>
LoA1
LoA2
LoA3?
©2015 Motonori Nakamura/NII22
©2015 Motonori Nakamura/NII23
IDaaS: Identity as a Service – ID管理システムの外だし
AaaS: Authentication as a Service – 認証システムの外だし
利用者
各種サービス(SP)
管理者0 当人確認
ID・認証サービス(IdP)
サービスの利用
管理者1
認可認証
管理者2
認可
SP1
SP2
LDAP/AD
【様々な認証方式への対応】LoA-1: パスワード認証LoA-2: 多要素認証
AaaS: Authentication as a Service
IDaaS: Identity as a Service
属性情報
属性情報
AuthnContextClassRef: LoA-2
AuthnContextClassRef: LoA-1
Single Logout (Including Back-channel)
Under Discussion
Centralized Discovery Service (V3)
IdP User Interface
SAML-ECP GSS-API Mechanism (Browser-less Authentication)
OpenID Connect Support
OAuth Authentication Service (Any Use Cases?)
IdP One Time Password SMS Authentication
IdP Configuration Tool
https://wiki.shibboleth.net/confluence/display/DEV/Project+Roadmap
©2015 Motonori Nakamura/NII24
民間デファクトであるOpenIDC対応のサービスが、学認IdPで認証して利用できるようになれば、学認(大学)向けのサービスがさらに広がる
学認にてプロトコルゲートウェイによるOpenID Connect対応
GakuNinIdP
OpenIDCRP
プロトコルゲートウェイ
GakuNin SP
OpenIDC OP
SAML OpenIDC
GakuNinSP
OpenIDCOP
プロトコルゲートウェイ
OpenIDC RP
GakuNin IdP
OpenIDC SAML
民間(OpenIDC OP)から 学認対応SP へのアクセスが可能になれば、産学協同研究の情報基盤としての活用や保護者向けサービスへも展開できる Google/Yahooなどのアカデミックサービスを利用している大学の、学認参加も容易に
学認
学認
民間
民間
©2015 Motonori Nakamura/NII25
26
学認ウェブサイトにて、Shibboleth IdP ver.3の構築手順、および、既存のIdP ver.2系統からの」アップグレード手順を提供中
新規でShibboleth IdP ver.3を構築する手順
https://meatwiki.nii.ac.jp/confluence/x/eIExAQ
既存のShibboleth IdP ver.2からアップグレードする手順
https://meatwiki.nii.ac.jp/confluence/x/tYwoAQ
大学ICT推進協議会(AXIES)年次大会企画セッション2015/12/2(水)https://axies.jp/ja/conf
13:00~14:30 ID管理のケーススタディとクラウド時代の認証連携
14:45~16:15 UPKIクライアント証明書の活用事例とShibboleth V3への対応
©2015 Motonori Nakamura/NII
©2015 Motonori Nakamura/NII27
©2015 Motonori Nakamura/NII28
フェデレーション外との連携
OpenID Connect
CAS等とのSSO連携
Single Logout
クライアント証明書認証
二要素認証
LoA認証
Mobile対応
Non-webサービスとの認証連携
Global ID, ORCID(研究者ID)
K12、生涯学習への展開
Self-managed Identity
オンプレ、クラウド調達
IDaaS
ID Management方法論
Interoperability
グループ情報管理、認可
属性情報送信制御
属性情報送信同意
プライバシー
など…