教育機関とID管理コラム
IDaaSで学認IdPを構築することで得られるメリットとは
学認IdPとは、教育機関などが「学術認証フェデレーション(以下、学認)」参加の際に必要になるシステムです。大学をはじめとする教育機関でのリモートアクセス利用が増える中、この学認IdPをIDaaSで構築することにさまざまなメリットがあることをご存知でしょうか。本コラムでは、学認対応のSPのリモート利用を検討している教育機関の図書館、メディアセンター、情報システム部門、研究開発部門などの方に向け、そのメリットについてご紹介します。
学認対応のSPへリモートアクセスが必要になった背景
近年、コロナ禍の影響によりリモート授業が増え、学生や教授がリモートから学内システムやサービスにアクセスする必要性が増えています。これに伴い、教育機関は学生や教授の利便性を向上させるために、電子ジャーナルなどの学術e-リソースの学認アプリケーションを外部からリモートでも使えるようにしたいと考えています。
しかし、学内システムやサービスに外部からアクセスするためには、リモートアクセス環境の構築、アカウント管理やアクセス制御の強化が必要です。そこで学認IdPを利用することで、学認アプリケーションや学認のサービスへの認証の統合やアカウント管理の統合、柔軟な学外利用、情報漏えい対策が可能になります。
学認IdPは、教育機関におけるアクセス制御の強化や、学生や教授の利便性の向上を実現するために必要なサービスであり、このような背景から、学認IdPを学外から利用できる環境を構築する必要がでてきました。
大学内に学認IdPがすでに構築されている場合でも、学内ネットワークのセキュリティ上の理由で外部からのアクセスについては不可となっている場合もあり、リモートアクセスをどのように実現するかが今後の課題となっています。
学認IdPを利用するメリット
学認IdPを利用することで、下記が可能となります。
認証の統合 |
一度の認証で学認に参加している複数のSPを利用できます。 |
アカウント管理の統合 |
LDAPなど、すでに存在するIDマスタと連携することでアカウントを統合管理できます。 |
情報漏えい対策 |
IdPサーバーと各SPはSAML2.0で認証され、パスワード情報をインターネットに流すことなく認証が可能です。また、必要最低限の属性情報のやり取りで利用できます。 |
関連コラム 「学認」とは?知っておきたい知識とそのメリット
学認IdPを構築する際の課題
学認IdPを構築する方法は、2パターンあります。
- オンプレミスでShibbolethサーバーや学認対応の認証ソリューションを構築する
- 学認IdPに対応しているIDaaSを利用する
両方に共通した学認IdPを構築する際の課題は、下記のようなポイントです。
情報システムとして必要な対応は、学術e-リソースの追加、SPの管理、認証アカウントの運用管理など、多岐にわたります。さらに、オンプレミスで学認IdPを構築する際には、ハードウェアやソフトウェアの保守などが必要となります。この業務を、図書館、メディアセンター、情報システム部門、研究開発部門など、どの部門が主導して構築/運用管理を行うのかがなかなか決まりません。
学認IdP経由で利用できる学認SPの追加作業は、ユーザー側で行う必要があります。ユーザー側で簡単に手続きができるのか、構築ベンダーやIDaaSサービス提供者が手順に詳しいかなどが問われます。
年に1度、学認から運用調査のアンケートが実施されます。学認に定められた運用基準に対して適合している必要があり、脆弱性対応やバージョンアップ、パッチの適用などの運用管理が必要となります。
オンプレミスで構築された学認IdPでは、学外からアクセスできるようにネットワークセキュリティを構築する必要があります。また、アクセス経路によっては、多要素認証(TOTPやFIDO2など)、IPアドレス制限などのセキュリティ対策が必要となります。
一般的なIDaaSやLDAPでは、学認IdPとして認証統合できず、SPごとに認証設定、ログインを行う必要があります。その場合は、学内のLDAPやIDaaSのアカウント管理とは別で学認IdPを用意しなければなりません。また、オンプレミスのShibbolethサーバーや学認に対応しているIDaaSの選定が必要となります。
上記のポイントを押さえることで、学認IdPを適切に運用できます。
学認IdPをIDaaSで構築するメリット
学認IdPをIDaaSで利用することで、学認IdP導入に伴う負担を軽減しながら、リモートアクセス時でもアクセス制御を行い、学生や教授の利便性を向上することができます。IDaaSは常に最新のセキュリティ対策が提供されるため、情報セキュリティ面でも安心して利用できます。
学認IdPをIDaaSで構築することで、次のようなメリットがあります。
- 柔軟なアクセス制御や属性情報の管理ができるので、学外から電子ジャーナルなどの学認サービスの利用が可能です。
- リモートアクセスのためのセキュリティ対策やネットワーク機器を、追加する必要がありません。
- ハードウェアやソフトウェアの設計、構築や、定期的なバージョンアップ作業、脆弱性によるセキュリティパッチ(CVE)の対応が不要となります。
- 常に最新のセキュリティ対策(多要素認証やIP制限など)が提供され、情報漏えいの心配がなくなります。
- SP追加の手順がまとまっているため、画面に沿って必要項目を入力するだけで追加が可能です。
(学認の申請手続きやSPの登録などに関して、サポートできるベンダーの選定が必要です。)
まとめ
今回は、学認IdPをIDaaSにて構築するポイントやメリットをご紹介しました。リモート授業やリモートワークが普及していく今後は、学認IdPへ学外からアクセスできることが必須の要件となるでしょう。学生や教授の利便性とセキュリティ対策の両面から、学認IdPをIDaaSで利用することが広まるものと考えられます。
学認IdPについてはこちらのセミナー動画も合わせてご覧いただくとさらに理解が深まりますので、ぜひご覧ください。