Contenu connexe
Similaire à Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015 (20)
Plus de OpenID Foundation Japan (20)
Shibboleth IdP V3とアカデミックIDフェデレーション - OpenID Summit 2015
- 2. Academic Federations: Production – 43, Pilot – 18 (Oct. 2015)
https://refeds.org/federations/federations-map
©2015 Motonori Nakamura/NII3
- 3. ©2015 Motonori Nakamura/NII4
シングルサインオン(SSO)技術の活用による、これまで一つの大学・研究機関の中
に閉じていた認証システムが組織外のサービスとも連携するための枠組み
利便性の向上と管理コストの削減による、教育研究のためのICT環境の充実を支援
ID提供側(IdP)とサービス提供側(SP)との相互の信頼を担保するためのルールと
評価の仕組みによる信頼の枠組み(トラストフレームワーク)の提供
セキュリティとプライバシーを考慮した安全・安心なシステム
図書館システム Webメール グループウェア EラーニングSP
大学 A 大学 B 大学 CIdP
GakuNin運営組織
• フェデレーション ポリシーの策定
• IdP運用評価
• 広報・普及
電子ジャーナル
情報提供サイト
学認申請システム
メタデータリポジトリ
ディスカバリーサービス
個人認証で学外
からも快適アクセス
シングルサインオンで
スムーズなアクセス
ID管理工数の低減
セキュリティレベルの底上げ
個人情報保護
クラウドの活用を支援
- 6. Source: presentation by Dennis Cromwell and Ann West at InCommon Roadmap –
Priorities and Services (Internet2 Technology exchange 2015, Oct. 6)
©2015 Motonori Nakamura/NII7
- 7. ©2015 Motonori Nakamura/NII8
eduGAINに参加するIdP: 約1500
eduGAIN経由で利用可能なサービス(SP): 1000以上
SURFconext, FileSender, Foodle, perfSONAR, GRID系サービスなど
https://technical.edugain.org/entities.php
(インターフェデレーション)
- 11. Web Browser SSO普及における互換性ためのSAML 2.0共通仕様の定義
©2015 Motonori Nakamura/NII12
- 14. 15
Version 2.0.0 は 2008年3月にリリース(7年以上経過)
すべてのセキュリティバグ,および,深刻だがセキュリティには関係しないバグ
解決のためのパッチ・情報提供 2015年12月31日終了
(JavaやTomcatに起因する,システムの運用に支障をきたす不具合などが相当)
セキュリティバグ解決のためのパッチ・情報提供
Moderateレベル 2016年2月29日終了
たとえば、認証済みの状態でのDoS攻撃に関する問題
Importantレベル 2016年5月31日終了
たとえば、認証なしの状態でのDoS攻撃に関する問題
Criticalレベル 2016年7月31日終了
たとえば、リモート攻撃やデータ漏えいに関する問題
2016年7月31日を以ってサポート完全終了
(2015年5月5日付けアナウンス)
https://shibboleth.net/pipermail/announce/2015-May/000112.html
©2015 Motonori Nakamura/NII
- 15. 16
2014年12月22日 Version 3.0.0 リリース
最新は Version 3.1.2 (2015年10月末現在現在)
2015年11月に Version 3.2.0 リリース予定
プロトコル標準的には変更なし(V2,V3混在運用可)
Version 2からバージョンアップするには:
Java 7, Tomcat 7以降が必要 (Servlet API 3.0)
ファイル構成や設定内容の違い
標準的なV2の設定はそのままでも動作するが(Safe Upgrade)、
V3の新機能を利用するためにはV3形式の内容に変換する必
要がある
services.propertiesで、どちらの形式かを指定
UIまわりの調整や各種プラグインの利用は、調整が必要
©2015 Motonori Nakamura/NII
- 16. 設定ファイルの分離、整理
Metadata-providers.xml, saml-nameid.xml
メッセージの国際化
Stateless Clustering (冗長構成対応)
Client-side cookies, in-memory, JPA/database, memcache
CAS (Central Authentication Service)プロトコルのサポート - 標準搭載
属性情報送信同意、送信属性選択(uApprove-JP) - 標準搭載
MCB (Multi-Context Broker)による複数の認証方式への対応- 標準搭載
OIDCのamr (Authentication Method Reference)みたいなの
参考:http://www.slideshare.net/kura_lab/fidofederation
LoAベース
動的フロー変更
SLO (Single Logout)のサポート(バックチャネルを除く)
Metadata Query Protocol (on-demand metadata lookup)
ECP (Enhanced Client or Proxy) for non web applications (v2.4~)
©2015 Motonori Nakamura/NII17
- 17. ©2015 Motonori Nakamura/NII18
Shibboleth IdPでは、多様や認証方式やプライバシー保護をプラグインに
より柔軟にサポート
Shibboleth-IdP
サービス(SP)ID・認証サービス(IdP)
Web
サービス
属性情報
認証
プラグ
イン
Shibboleth-SP
ID・認証連携
利用者
アカウント
発行・失効
プライバシー保護
LDAP/AD 属性情報
送信同意
認証
プラグ
イン
認証
プラグ
イン
【様々な認証方式への対応】
パスワード認証
多要素認証
リスクベース認証
FIDOやAaaSの活用 認証強度の向上
AaaS: Authentication as a Service
- 18. 19
OMB M-04-04 E-Authentication Guidance for Federal Agencies (2003)
NIST SP800-63 Electronic Authentication Guideline (2006発行, 2011改訂)
ITU-T X.1254 Entity Authentication Assurance Framework (2012-09承認)
ISO/IEC 29115:2013 Entity authentication assurance framework (2013-04)
Level Description
1 – Low Little or no confidence in the asserted identity
身元確認不要、仮名
例:whitehouse.govのWebサイトでのオンラインディスカッションに参加
2 – Medium Some confidence in the asserted identity
身元識別(身分証明書)、単一要素認証可、失効処理
例:社会保障Webサイトを通じて自身の住所記録を変更
3 – High High confidence in the asserted identity
多要素認証
例:特許弁理士が特許商標局に対し、機密の特許情報を電子的に提出
4 – Very high Very high confidence in the asserted identity
対面による発行、ハードウェアトークン
例:法執行官が、犯罪歴が格納されている法執行データベースにアクセス
OpenID 2.0はLoA-2まで、SAML/OpenID ConnectはLoA-4まで対応
世界
標準
へ
©2015 Motonori Nakamura/NII
- 19. ©2015 Motonori Nakamura/NII20
区分 身元確認保証レベル 当人確認保証レベル 信頼レベル
評価軸 登録 トークン
トークン及び
クレデンシャ
ル管理
認証プ
ロセス
アサー
ション
プライバ
シー及び個
人情報保護
レベル
1
(低)
(対面/非対面)
自己申告 / 身元確認は不要
---------------------------
-----------------------
レベル1+ 身分証の提示
単要素認証
(例)パスワード(6桁以上)、秘密の質
問(最低5問から選択)等
レベル
2
(中)
(対面)写真付き公的身分証の提示
(非対面)公的身分証及び金融/携帯
電話の個別番号を提示。申請情報を
いずれかの記録と照合。
単要素認証
(例)パスワード(8桁以上)、秘密の質
問(最低7問から選択)、数値マトリック
スカード、SMSワンタイムパスワード、
ワンタイムパスワード機器、ICカード等
レベル
3
(高)
(対面)L2に加え、申請情報を記録と
照合・録音等による否認防止。
(非対面)L2に加え、申請情報を公的
機関および金融/携帯事業者の記録と
照合・録音等による否認防止。
多要素認証
(例)認証時にパスワード入力を求める
SSLクライアント認証、ICカード+パス
ワード等
レベル
4
(特高)
(対面のみ)写真付き公的身分証明証
2種又は公的身分証及び金融/携帯電
話の個別番号を提示。全ての申請情
報を記録と照合。生体情報の記録。
多要素認証トークン機器
(例)暗証番号認証付きワンタイムパス
ワード機器、指紋認証付きICカード等
ト
ー
ク
ン
の
発
行
、
保
管
方
法
、
ア
イ
デ
ン
テ
ィ
テ
ィ
の
失
効
等
の
運
用
ル
ー
ル
等
の
基
準
認
証
プ
ロ
セ
ス
実
行
時
に
想
定
さ
れ
る
脅
威
に
対
す
る
基
準
ア
サ
ー
シ
ョ
ン
利
用
自
に
想
定
さ
れ
る
脅
威
に
対
す
る
基
準
プ
ラ
イ
バ
シ
ー
及
び
個
人
情
報
保
護
状
況
証
明
の
程
度
の
基
準
- 20. authMethods
1. token : Silver Assurance Level (via hardware token)
2. strongpassword : Silver Assurance Level
3. password : Username/Password Only
4. tokenpluspin : Gold Level - Token/PIN Required
https://wiki.shibboleth.net/confluence/display/SHIB2/Multi-Context+Broker
©2015 Motonori Nakamura/NII21
- 22. ©2015 Motonori Nakamura/NII23
IDaaS: Identity as a Service – ID管理システムの外だし
AaaS: Authentication as a Service – 認証システムの外だし
利用者
各種サービス(SP)
管理者0 当人確認
ID・認証サービス(IdP)
サービスの利用
管理者1
認可認証
管理者2
認可
SP1
SP2
LDAP/AD
【様々な認証方式への対応】
LoA-1: パスワード認証
LoA-2: 多要素認証
AaaS: Authentication as a Service
IDaaS: Identity as a Service
属性情報
属性情報
AuthnContextClassRef: LoA-2
AuthnContextClassRef: LoA-1
- 23. Single Logout (Including Back-channel)
Under Discussion
Centralized Discovery Service (V3)
IdP User Interface
SAML-ECP GSS-API Mechanism (Browser-less Authentication)
OpenID Connect Support
OAuth Authentication Service (Any Use Cases?)
IdP One Time Password SMS Authentication
IdP Configuration Tool
https://wiki.shibboleth.net/confluence/display/DEV/Project+Roadmap
©2015 Motonori Nakamura/NII24
- 25. 26
学認ウェブサイトにて、Shibboleth IdP ver.3の構築手順、および、既存の
IdP ver.2系統からの」アップグレード手順を提供中
新規でShibboleth IdP ver.3を構築する手順
https://meatwiki.nii.ac.jp/confluence/x/eIExAQ
既存のShibboleth IdP ver.2からアップグレードする手順
https://meatwiki.nii.ac.jp/confluence/x/tYwoAQ
大学ICT推進協議会(AXIES)年次大会企画セッション2015/12/2(水)
https://axies.jp/ja/conf
13:00~14:30 ID管理のケーススタディとクラウド時代の認証連携
14:45~16:15 UPKIクライアント証明書の活用事例とShibboleth V3への対応
©2015 Motonori Nakamura/NII
- 27. ©2015 Motonori Nakamura/NII28
フェデレーション外との連携
OpenID Connect
CAS等とのSSO連携
Single Logout
クライアント証明書認証
二要素認証
LoA認証
Mobile対応
Non-webサービスとの認証連携
Global ID, ORCID(研究者ID)
K12、生涯学習への展開
Self-managed Identity
オンプレ、クラウド調達
IDaaS
ID Management方法論
Interoperability
グループ情報管理、認可
属性情報送信制御
属性情報送信同意
プライバシー
など…