教育機関とID管理コラム
【AXIES 2022セッションレポート】「学認利用大学」の声…IDaaS活用メリットとオンプレミスの課題
2022年12月13日(火)~15日(木)にかけて、大学ICT推進協議会(AXIES) 2022年度 年次大会が、仙台国際センターおよびオンラインでハイブリッド開催されました。弊社も登壇し「学認に対応したIDaaS」と大学導入事例についてセッションで紹介しました。今回は、本セッションのうち、学認とともにIDaaSなど認証基盤の最新動向を解説した内容をレポートします。
「学術認証フェデレーション」が今、普及している背景とは?
今年度の大学ICT推進協議会(AXIES)による「大学ICT推進協議会 2022年度 年次大会」では、そのテーマを「DX up to DATE シン・セカイへ向けて」と銘打ち、大学など高等教育機関や学術研究機関にICTによる変革の時代が到来していることを告げました。
弊社も本大会に参加し、「IDaaS『Extic』へ全面移行!東北学院大学様の取組みとは/散在する学内IDを統合管理する新クラウドサービスのご紹介」と題したセッションで、学認の利用が広がっている背景や、学認利用大学の声、学認におけるIDaaS利用のメリットなどを紹介しました。本レポートでは、注目したい内容をダイジェストで取り上げます。
昨今、「学認」の利用が加速しています。それを裏付けるように、弊社にも学認の問い合わせが増えてきています。本セッションでは、利用が進む背景として、①サービスプロバイダー(SP)の充実、②遠隔・学外からの利用、③オープンサイエンスの動向の3点を挙げました。この3点について、次のように解説しています。
「学術認証フェデレーションの利用が進む背景としてはまず、『SPの充実』が挙げられます。学認IPをすでに構成している方も、構成してない方も、電子ジャーナルや電子書籍、e-learningなど、何らかの形でSPを利用するようになりました。
『遠隔・学外からの利用』も一般的になりました。外部から学認を使いたいという声も増えています。しかし、オンラインを前提としたSP利用には課題があり、シングルサインオンや多要素認証など、認証に関する環境を整備する必要があります。
『オープンサイエンスの動向』としては、内閣府の『第6期科学技術・イノベーション基本計画』の閣議で、⼤学・⼤学共同利⽤機関法⼈・国⽴研究開発法⼈において2025年までにデータポリシー策定率を100%にしましょうと定められたことが背景に挙げられます。学認RDMを利用することで、これを実現しようとしています。」
上記3つの背景から学認利用が進んでいるとしています。そして、学認の特長について次のように簡単にポイントを整理しました。
「学術認証フェデレーションとは、学術e-リソースを利用する大学、提供する機関・出版社などから構成された連合体です。各機関はフェデレーションが定めた規定(ポリシー)を信頼しあうことで、相互に認証連携を実現しています。
管理者側からは、今持っているIDが利用できるということで一元管理ができるということ。利用者側から見ると、シングルサインオン(認証)が使えることがメリットと言えます。」
※関連記事: 「学認」とは?知っておきたい知識とそのメリット
学認利用大学の声…オンプレミスの課題とIDaaSのメリット
学認の検討や利用を考えている大学・研究機関などの課題は多種多様なものがあります。セッションでは、実際にお聞きした声などを中心に、学認の検討・利用にまつわる次のような課題を取り上げました。
「学認に未参加の方からよく聞くものには、『IPアドレス認証でSPを利用しているため、学外や機関外から利用できない』という課題があります。また、『学認に参加したいが、環境の準備、セキュリティ対策、学認の申請方法がよくわかりません』という声もあります。『システム部門、メディアセンター、研究部門の中で主管が決まっていないので、取り組みが進まない』というケースもあります。ほかにも、『利用サービスのアカウント運用管理』や、『ユーザーから見るとパスワード増えてしまった』という課題もよく伺います。
学認に参加済みのケースでは、システム面の課題として『止めることが許されない認証システムを学内で管理し続けるのが困難』、『Shibbolethサーバーの点検、脆弱性対策、バージョンアップが大変で、こういったものを手放したい』という声がありました。
『SPの追加ごとにSIerに依頼している』、『運用部門が専任部門ではないために技術的に運営が難しい』という、運用や人材面での課題も挙げられます。ほかにも、『多要素認証に対応したいが、個別にShibboleth向けに構成を組むことができない』というようなケースもありました。」
すでに学認を利用しているケース、これから参加するケース双方とも課題が多々あります。その背景には、オンプレミス環境であることや、Shibbolethサーバーを利用していることにより、管理負荷が増大していることや、認証が複雑化していることの影響も考えられます。これを改善するためにも、IDaaS活用は効果的だと考えられ、IDaaSを学認IdPとして活用することのメリットを紹介しました。
「IDaaS※を学認IdPとして利用するメリットとして、次のようなことが挙げられます。クラウドならではですが、『構築がいらない』、『運用業務の軽減』、『環境の変化への対応やバージョンアップ対応が不要』という点があります。
それから『認証の強化』ということで、多要素認証やIPアドレス制限なども利用可能です。『どこからでも利用できる』という点もメリットの1つでしょう。」
※ここでは、IDaaSの例として Extic により得られるメリットを挙げています。
▼参考図:学認にIDaaS(Extic)を利用するイメージ
東北学院大学事例…オンプレミスから段階的にIDaaSに全面移行
次に、実際に学認IdPとしてIDaaSを導入した東北学院大学の事例を紹介しました。東北学院大学では、2018年と2021年の2回に分けて段階的にIDaaS環境を構築していることも大きなポイントと言えます。ここでは、IDaaS「Extic」の導入と、その後の実際のID基盤の運用状況、評価について紹介します。
「IDaaS導入の背景として、東北学院大学ではオンプレミスのID管理製品( LDAP Manager )を利用していました。しかし、将来的には多段階で複雑なIDライフサイクルの管理をシンプルにしたいという課題を持っていました。ちょうどShibbolethサーバーのリプレイスの時期を迎えていたことから、その対応も含めて検討していました。」
その後、東北学院大学では、学認IdPとして機能できるIDaaSの導入を進めますが、その導入は全体を一度に進めるのではなく、2段階で行われました。そのフェーズ1について、次のように説明しました。
「フェーズ1では、ユーザーに影響のない範囲で導入を進めました。この時点では、オンプレミスにID管理製品( LDAP Manager )がまだ残っています。このオンプレミスのID管理製品と、IDaaS( Extic )を併用する構成になっています。例えば、ユーザーからのパスワード変更はオンプレミスのID管理製品と、Active Directoryに連携していることがわかります(下図参照)。またこの時点では、Shibbolethサーバーは残っていることがわかります。一方で、オンプレミスのID管理製品とIDaaSがアカウント連携しています。
東北学院大学様からは、3ヵ月という短期間で構成したことを高く評価していただいています。学認の面では、すぐにSP追加などができたということでした。」
オンプレミスのID管理とIDaaSの併用環境だったフェーズ1を経て、フェーズ2ではID管理はクラウド側に統一されていくことになります。フェーズ2では、中央に位置していたオンプレミスのID管理製品が完全になくなる形になります。その経緯を次のように解説しています。
「フェーズ2は、アカウント管理をIDaaSに集約した形になります。クラウドへの認証、オンプレミスへのプロビジョニング、ユーザーのパスワード変更もすべてIDaaSに統合しています。
その評価としては、『非常にシンプルな構成になった』、『運用者を選ばないID管理ができるようになった』といった声をいただきました。」
高評価をいただいた東北学院大学のIDaaS導入ですが、オンプレミスのID管理におけるさまざまな課題の解決につながりました。さらに、今後について次のような声を伺ったと語っています。
「東北学院大学様では、将来における拡張性に対して非常に安心感を持っているとのことです。今後も、大学教育の現場にはさまざまな変化が起きると考えられますが、それに対してIDaaSで対応していくということです。多要素認証は、目下、多くの大学や研究機関などでも取り組んでいると思いますが、新しい認証への対応にIDaaSの機能で対応できると考えているとのことでした。」
※関連記事: 東北学院大学事例
まとめ
今後、日本の大学や研究機関などでは、オープンサイエンスの動向を考えても、急速にデータマネジメント環境整備が求められることが考えられます。その際に、学認RDMが注目を集めていますが、利用には学認への参加が必要になります。
そのためには学認IdPの整備が必要になりますが、それは、大学や研究機関にとって今後のID管理環境をどのようにしていくのかを検討するためのきっかけにもなることでしょう。オンプレミスでShibboleth環境を続けていくのか、IDaaS環境に推移していくのか…。本セッション及びレポートがその検討の一助となれば幸いです。
また、これから学認IdPを構築したい、IDaaS環境へと移行していきたいという方はぜひ、下記のリンクを御覧ください。
