概要

旧帝大の一つに数えられる大阪大学。同大学では2006年に第一期の全学認証システムを導入した。そして2010年10月、シングルサインオン環境や他のシステムとの連携を重視した、認証システムのリプレイスを実施。過去の認証システムが抱えた問題点や、教育機関ならではの課題の解消に向け、NTTソフトウェアの 「TrustBind/Federation Manager」 を活用。NTTソフトウェアが高い技術力を持つ国内ベンダーであることの強みも最大限に発揮された。

課題

技術面を最重要視した第一期システム

大阪大学で2006年に導入された第一期の全学的な認証システム。このシステムは、大学にとっては一つのチャレンジであったという。


同大学の江原康生氏は第一期システムの運用について、 「構築・運用は教員が中心となってゼロからスタートしたもので、ある意味、研究の対象にもなっていたシステムでした。そのため、実運用での利便性まで配慮する余地がなく、運用を担当した事務スタッフは苦労していました」 と述べる。

博士(情報科学)江原 康生 氏

運用面だけでなく技術面にも課題があった。大学では部署、学科、研究室などで多数のシステムが運用されている。しかし、それぞれが別々の認証システムを持っており、別々のID・パスワードで管理されていた。また、一般企業では珍しいことだが、一人が複数の 肩書きを持ち、それぞれの立場ごとに別の権限を持つ複数のIDを付与していたケースが多数存在しているという。

これはまさに、大学という機関ならではの特有な課題であると考える。ここからシングルサインオン環境を構築していくために、まずは、データベースの再設計からスタートする必要があった。

「データベースについては導入を行う1年ほど前から、事務職員も参加して検討がスタートしていました。事務で求められる特性なども盛り込まれたグランドデザインはできていましたので、これをどのような形で実システムに実装するかが課題になっていました」(江原氏)と、前システムの課題克服に向け、実務的な動きが始まっていた。

解決へのアプローチ

SAMLを用いたシングルサインオン基盤へ

しかし、大学ならではの特色を持つ、全学的な認証システムの構築に向けての課題はまだまだ多い。


新しい認証システムには、シングルサインオンで学内の25~26に及ぶシステムと連携できることのほか、学術認証フェデレーション (*1) のような学外とのシステム連携が求められた。
(江原氏)。

「SAML2.0(*2)へ の統一が大きな鍵でした。学術認証フェデレーションを始め、SAML2.0は標準的な認証プロトコルになっています。以前のシステムにSAML2.0を組 み込むことは不可能ではありませんでしたが、第一期システムの形態で全ての学内連携システムをSAML2.0対応とすることは、非常に手間がかかるうえ に、負荷の増大が予想されました」(江原氏)。

オープンソースのものを含め、SAML2.0を扱えるソリューションは候補が多い。その多数のソリューションのなかから、大阪大学はNTTソフトウェアの「TrustBind」を選んだ。 「SAMLを扱えるというだけでなく、公的な学術機関として求められるサービスの安定性、複数IDの統合や権限委譲などの要求に対するカスタマイズのしやすさを求めた結果の選択だ。」 しかし、TrustBindの製品としての特長以外にも、選ばれた理由があった。

SAML を用いたシングルサインオン基盤へ

【用語解説】

*1: 学術認証フェデレーション
学術e-リソースを利用する大学、学術e-リソースを提供する機関・出版社等から構成された連合体
*2: SAML2.0
Security Assertion Markup Languageの略、XML標準化団体であるOASISによって策定されたユーザー認証に用いる情報を複数の企業・団体等間で安全に交換するための言語仕様。

ソリューションとその成果

オールジャパン体制でのサポート

大阪大学がTrustBindを選んだ大きな理由の一つは、日本企業に よるソリューションだったことだ。大学内では技術に明るく、好奇心あふれる教授も多い。こうした技術面に明るい人たちにも納得してもらえるソリューションであること。これは大学という機関にとって重要なポイントになる。


トラブルが発生した場合に、よく分からないままにパッチを当てて解決できるようなケースは少なくない。しかし開発に携わったエンジニアが日本にいることで、トラブルの原因やどのような対処を行ったかの説明ができる、ソリューションの内部に精通したスタッフとのコミュニケーションが喜ばれたのだ。


もちろんSIerとしてさまざまなシステムを構築してきた経験により、運用面の課題克服にもアドバイスをもらえる。こちらは運用を重視する事務担当のスタッフにとってありがたい存在となった。日本にエンジニアが在籍することで、柔軟に対応してもらうことができるのだ。


例えば、シングルサインオンの認証システムを作るうえで、連携先のシステムがそのままでは対応できないこともある。そこでTrustBindがいったんリクエストを受け取って認証を行い、連携先のシステムへ接続を行う、リバースプロキシとして動作させたのだ。連携先についてもシステムを大きく変えることなく初期認証プロセス・認証画面の書き換えなど、最小限の再設計で連携。稼働中の実サービスを止めることなく、次々と連携を実現していっている。


提案からシステム稼働まで、NTTソフトウェアは大阪大学の希望に添うべく、徹底したサポートを行った。こうした親身かつ柔軟な対応が、大阪大学における認証システムの成功へ大きく弾みをつけたのである。

今後の展開

抜群の安定運用・さらなる拡張へ

実際に稼働を始めた本システムについて江原氏は「シングルサインオン認証の負荷が軽減されました。本学では履修登録時や事務担当の勤務開始時に数千人単位の認証が発生するときがありますが、認証システムはビクともしませんでした」と、その安定稼働ぶりを強調する。また、すでにいくつかのシステムとの連携を果たしているが、今後さらに連携先を増やしていく予定である。


「旧認証システムでは、連携先システムにエージェントを導入し、認証システム側に適合させる必要があった上、そのトラフィックがネックとなり、簡単に連携先を増やすといった対応がとれませんでした。しかし、TrustBindを用いたシステムでは、認証サーバとしてのスケーラビリティの高いSAML というスタンダードなプロトコルを採用したことにより、連携先システムにも導入の選択肢の幅が広がったことから、簡単に連携先を増やしていくことができました。また連携先システムに対しても、手順書を提示したり、リバースプロキシなどの選択肢を示すなど、NTTソフトウェアが適宜サポートを行っています。」


システムの継続性を維持しつつ、大阪大学の要望に応えたNTTソフトウェアとTrustBind。一般企業にはない学術機関ならではの特性にも適応できる柔軟性を、国内ベンダーの強みを活かした高い技術力でサポートしている。

認証システム全体図

お客様プロフィール

 お客様プロフィール
設立 1931年
事業概要 6番目の帝国大学として創立され、11学部・10研究科のほか、独立研究科、研究所・病院など多数の付属機関で組織される、日本有数の教育・研究機関。
従業員数 教職員:5,584名/非常勤職員等:3,291名学部学生(入学定員):3,255人/(在学生)15,865人大学院学生(入学定員):修士 2,053人/博士 939人/(在学生)7,924人 留学生:1,608人(2011年5月現在)
URL http://www.osaka-u.ac.jp/ja

※2011年7月現在