shibboleth idp v3とアカデミックidフェデレーション - openid summit 2015

Shibboleth IdP V3とアカデミックIDフェデレーション

OpenID Summit Tokyo 2015

中村素典 / 国立情報学研究所

©2015 Motonori Nakamura/NII1

Academic Federations: Production – 43, Pilot – 18 (Oct. 2015)

https://refeds.org/federations/federations-map



シングルサインオン(SSO)技術の活用による、これまで一つの大学・研究機関の中に閉じていた認証システムが組織外のサービスとも連携するための枠組み利便性の向上と管理コストの削減による、教育研究のためのICT環境の充実を支援

ID提供側(IdP)とサービス提供側(SP)との相互の信頼を担保するためのルールと評価の仕組みによる信頼の枠組み（トラストフレームワーク）の提供セキュリティとプライバシーを考慮した安全・安心なシステム

図書館システム Webメールグループウェア EラーニングSP

大学 A 大学 B 大学 CIdP

GakuNin運営組織• フェデレーションポリシーの策定• IdP運用評価• 広報・普及

電子ジャーナル

情報提供サイト

学認申請システム

メタデータリポジトリ

ディスカバリーサービス

個人認証で学外からも快適アクセス

シングルサインオンでスムーズなアクセス

ID管理工数の低減セキュリティレベルの底上げ

個人情報保護

クラウドの活用を支援

IdP機関数 IdPユーザ数

0

20

40

60

80

100

120

140

160

180

200

Jul-

09

Jan-10

Jul-

10

Jan-11

Jul-

11

Jan-12

Jul-

12

Jan-13

Jul-

13

Jan-14

Jul-

14

Jan-15

Jul-

15

（万人）

5

国立大学公立大学私立大学短期大学高等専門学校共同利用機関その他合計

学認参加数 59 12 44 0 51 1 7 174

カバー率 69% 12% 7% 0% 89%

総機関数 86 92 603 334 57

0

20

40

60

80

100

120

140

Jul-

09

Jan-10

Jul-

10

Jan-11

Jul-

11

Jan-12

Jul-

12

Jan-13

Jul-

13

Jan-14

Jul-

14

Jan-15

Jul-

15

Total

Students

Staff

174機関総ID数約125万

0

20

40

60

80

100

120

140

160

Jul-

09

Jan-10

Jul-

10

Jan-11

Jul-

11

Jan-12

Jul-

12

Jan-13

Jul-

13

Jan-14

Jul-

14

Jan-15

Jul-

15

139SP

SP数

©2015 Motonori Nakamura/NII

詳細は https://www.gakunin.jp/participants/


0

20000

40000

60000

80000

100000

120000

140000

160000

DS: Discovery Service

Source: presentation by Dennis Cromwell and Ann West at InCommon Roadmap –Priorities and Services (Internet2 Technology exchange 2015, Oct. 6)



eduGAINに参加するIdP: 約1500

eduGAIN経由で利用可能なサービス(SP): 1000以上

SURFconext, FileSender, Foodle, perfSONAR, GRID系サービスなど

https://technical.edugain.org/entities.php

（インターフェデレーション）

https://en.wikipedia.org/wiki/SAML-based_products_and_services


https://spaces.internet2.edu/display/FIWG/Interop+Issues+List

Interoperability?

https://kantarainitiative.org/confluence/display/fiwg/SAML+Interoperability+and+Deployment+Profiles


Web Browser SSO普及における互換性ためのSAML 2.0共通仕様の定義


米国EDUCAUSE／Internet2にて2000年に発足したオープンソースプロジェクト SAMLによる認証連携方法として学術界ではデファクトスタンダード

Shibboleth開発体制をInternet2独自から世界的に支援する形へ学認もシボレス・コンソーシアムのメンバー


14

Shibboleth Daemon(shibd)

SessionInitiator DS

Assertion ConsumerSAML POST

AttributeAuthority

SSOProfile

AuthNEngine Username

PasswordAuthN

Form

Tomcat

IdP SP

Apache/ IIS

AttributeDB

AuthNDB

LDAP/AD

WebResource

Shibboleth Module(mod_shib)

Browser

https

https # .htaccessAuthType shibbolethShibRequireSession

Onrequire valid-user

ポート番号は443または8443back channel

front channel


15

Version 2.0.0 は 2008年3月にリリース（7年以上経過）

すべてのセキュリティバグ，および，深刻だがセキュリティには関係しないバグ解決のためのパッチ・情報提供 2015年12月31日終了（JavaやTomcatに起因する，システムの運用に支障をきたす不具合などが相当）

セキュリティバグ解決のためのパッチ・情報提供 Moderateレベル 2016年2月29日終了

たとえば、認証済みの状態でのDoS攻撃に関する問題

Importantレベル 2016年5月31日終了たとえば、認証なしの状態でのDoS攻撃に関する問題

Criticalレベル 2016年7月31日終了たとえば、リモート攻撃やデータ漏えいに関する問題

2016年7月31日を以ってサポート完全終了（2015年5月5日付けアナウンス）

https://shibboleth.net/pipermail/announce/2015-May/000112.html


16

2014年12月22日 Version 3.0.0 リリース最新は Version 3.1.2 (2015年10月末現在現在） 2015年11月に Version 3.2.0 リリース予定

プロトコル標準的には変更なし（V2,V3混在運用可）

Version 2からバージョンアップするには： Java 7, Tomcat 7以降が必要 (Servlet API 3.0) ファイル構成や設定内容の違い

標準的なV2の設定はそのままでも動作するが(Safe Upgrade)、V3の新機能を利用するためにはV3形式の内容に変換する必要があるservices.propertiesで、どちらの形式かを指定UIまわりの調整や各種プラグインの利用は、調整が必要


設定ファイルの分離、整理 Metadata-providers.xml, saml-nameid.xml

メッセージの国際化

Stateless Clustering （冗長構成対応） Client-side cookies, in-memory, JPA/database, memcache

CAS (Central Authentication Service)プロトコルのサポート - 標準搭載

属性情報送信同意、送信属性選択(uApprove-JP) - 標準搭載

MCB (Multi-Context Broker)による複数の認証方式への対応- 標準搭載 OIDCのamr (Authentication Method Reference)みたいなの

参考：http://www.slideshare.net/kura_lab/fidofederation

LoAベース

動的フロー変更

SLO (Single Logout)のサポート（バックチャネルを除く）

Metadata Query Protocol (on-demand metadata lookup)

ECP (Enhanced Client or Proxy) for non web applications (v2.4～)



Shibboleth IdPでは、多様や認証方式やプライバシー保護をプラグインにより柔軟にサポート

Shibboleth-IdP

サービス(SP)ID・認証サービス(IdP)

Web

サービス

属性情報

認証プラグイン

Shibboleth-SP

ID・認証連携

利用者

アカウント発行・失効

プライバシー保護

LDAP/AD 属性情報送信同意



【様々な認証方式への対応】パスワード認証多要素認証

リスクベース認証FIDOやAaaSの活用認証強度の向上

AaaS: Authentication as a Service

19

OMB M-04-04 E-Authentication Guidance for Federal Agencies (2003)

NIST SP800-63 Electronic Authentication Guideline (2006発行, 2011改訂)

ITU-T X.1254 Entity Authentication Assurance Framework (2012-09承認)

ISO/IEC 29115:2013 Entity authentication assurance framework (2013-04)

Level Description

1 – Low Little or no confidence in the asserted identity身元確認不要、仮名例：whitehouse.govのWebサイトでのオンラインディスカッションに参加

2 – Medium Some confidence in the asserted identity身元識別（身分証明書）、単一要素認証可、失効処理例：社会保障Webサイトを通じて自身の住所記録を変更

3 – High High confidence in the asserted identity多要素認証例：特許弁理士が特許商標局に対し、機密の特許情報を電子的に提出

4 – Very high Very high confidence in the asserted identity対面による発行、ハードウェアトークン例：法執行官が、犯罪歴が格納されている法執行データベースにアクセス

OpenID 2.0はLoA-2まで、SAML/OpenID ConnectはLoA-4まで対応

世界標準へ



区分身元確認保証レベル当人確認保証レベル信頼レベル

評価軸登録トークントークン及びクレデンシャル管理

認証プロセス

アサーション

プライバシー及び個人情報保護

レベル1

（低）

（対面/非対面）自己申告 / 身元確認は不要--------------------------------------------------

レベル1+ 身分証の提示

単要素認証（例）パスワード（6桁以上）、秘密の質問（最低5問から選択）等

レベル2

（中）

（対面）写真付き公的身分証の提示（非対面）公的身分証及び金融/携帯

電話の個別番号を提示。申請情報をいずれかの記録と照合。

単要素認証（例）パスワード（8桁以上）、秘密の質問（最低7問から選択）、数値マトリックスカード、SMSワンタイムパスワード、ワンタイムパスワード機器、ICカード等

レベル3

（高）

（対面）L2に加え、申請情報を記録と照合・録音等による否認防止。（非対面）L2に加え、申請情報を公的機関および金融/携帯事業者の記録と照合・録音等による否認防止。

多要素認証

（例）認証時にパスワード入力を求めるSSLクライアント認証、ICカード＋パスワード等

レベル4

（特高）

（対面のみ）写真付き公的身分証明証2種又は公的身分証及び金融/携帯電

話の個別番号を提示。全ての申請情報を記録と照合。生体情報の記録。

多要素認証トークン機器

（例）暗証番号認証付きワンタイムパスワード機器、指紋認証付きICカード等

トークンの発行、保管方法、

アイデンティティの失効等の

運用ルール等の基準

認証プロセス実行時に想定さ

れる脅威に対する基準

アサーション利用自に想定さ

れる脅威に対する基準

プライバシー及び個人情報保

護状況証明の程度の基準

authMethods

1. token : Silver Assurance Level (via hardware token)

2. strongpassword : Silver Assurance Level

3. password : Username/Password Only

4. tokenpluspin : Gold Level - Token/PIN Required

https://wiki.shibboleth.net/confluence/display/SHIB2/Multi-Context+Broker©2015 Motonori Nakamura/NII21

<authnContexts><context name="bronze" method="password">

<allowedContexts><context>silver</context><context>silver-token</context>

</allowedContexts></context>

<context name="silver" method="strongpassword"><allowedContexts>

<context>silver-token</context></allowedContexts>

</context>

<context name="silver-token" method="token"><allowedContexts>

<context>tokenpluspin</context></allowedContexts>

</context></authnContexts>

LoA1

LoA2

LoA3?



IDaaS: Identity as a Service – ID管理システムの外だし

AaaS: Authentication as a Service – 認証システムの外だし

利用者

各種サービス(SP)

管理者0 当人確認

ID・認証サービス(IdP)

サービスの利用

管理者1

認可認証

管理者2

認可

SP1

SP2

LDAP/AD

【様々な認証方式への対応】LoA-1: パスワード認証LoA-2: 多要素認証

AaaS: Authentication as a Service

IDaaS: Identity as a Service

属性情報

属性情報

AuthnContextClassRef: LoA-2

AuthnContextClassRef: LoA-1

Single Logout (Including Back-channel)

Under Discussion

Centralized Discovery Service (V3)

IdP User Interface

SAML-ECP GSS-API Mechanism (Browser-less Authentication)

OpenID Connect Support

OAuth Authentication Service (Any Use Cases?)

IdP One Time Password SMS Authentication

IdP Configuration Tool

https://wiki.shibboleth.net/confluence/display/DEV/Project+Roadmap


民間デファクトであるOpenIDC対応のサービスが、学認IdPで認証して利用できるようになれば、学認（大学）向けのサービスがさらに広がる

学認にてプロトコルゲートウェイによるOpenID Connect対応

GakuNinIdP

OpenIDCRP

プロトコルゲートウェイ

GakuNin SP

OpenIDC OP

SAML OpenIDC

GakuNinSP

OpenIDCOP

プロトコルゲートウェイ

OpenIDC RP

GakuNin IdP

OpenIDC SAML

民間（OpenIDC OP）から学認対応SP へのアクセスが可能になれば、産学協同研究の情報基盤としての活用や保護者向けサービスへも展開できる Google/Yahooなどのアカデミックサービスを利用している大学の、学認参加も容易に

学認

学認

民間

民間


26

学認ウェブサイトにて、Shibboleth IdP ver.3の構築手順、および、既存のIdP ver.2系統からの」アップグレード手順を提供中

新規でShibboleth IdP ver.3を構築する手順

https://meatwiki.nii.ac.jp/confluence/x/eIExAQ

既存のShibboleth IdP ver.2からアップグレードする手順

https://meatwiki.nii.ac.jp/confluence/x/tYwoAQ

大学ICT推進協議会（AXIES）年次大会企画セッション2015/12/2（水）https://axies.jp/ja/conf

13:00～14:30 ID管理のケーススタディとクラウド時代の認証連携

14:45～16:15 UPKIクライアント証明書の活用事例とShibboleth V3への対応



フェデレーション外との連携

OpenID Connect

CAS等とのSSO連携

Single Logout

クライアント証明書認証

二要素認証

LoA認証

Mobile対応

Non-webサービスとの認証連携

Global ID, ORCID（研究者ID）

K12、生涯学習への展開

Self-managed Identity

オンプレ、クラウド調達

IDaaS

ID Management方法論

Interoperability

グループ情報管理、認可

属性情報送信制御

属性情報送信同意

プライバシー

など…