教育研究システムのクラウド利用や、単位互換等で必要となる大学間での情報共有を効率良くセキュアに実現、運用するためには、認証基盤システムが必要です。本資料は認証基盤システムの概略と最新技術動向を説明するとともに、学認で利用するShibbolethをクラウドサービスとして提供するIDaaSについても説明します。

1. [1G1]
大学向け認証基盤システム概略と
最新技術動向
2015年12月2日
エクスジェンネットワークス株式会社
代表取締役 江川 淳一
Copyright© 2015 EXGEN NETWORKS Co.,LTD. All Rights Reserved.
egawa@exgen.co.jp

2. 1 ．認証基盤システム概要
1

3. 源泉情報
1. 認証基盤システム概要
2
1.1 認証基盤システム整備の目的
様々なシステムのユーザ情報を
正しく整える必要が．．
しかもリアルタイムに．．．
何度もログインが必要、
何種もパスワードを覚える
必要が．．．
システム毎にパスワードを変更
する必要が．．．
「ユーザ利便性の向上」「管理効率の向上」
「管理品質の確保」「セキュリティリスクの低減」
認
ID
P

4. 認証基盤システム構成
①ID情報マスターDB
②ID管理システム
(IDライフサイクル管理&
ID連携( プロビジョニング）)
③シングル・サインオンシステム
SSO
源泉情報
ID管理システム
IDライフ
サイクル管理
ID
連携
ID情報
マスターDB
3
(認証サーバ)
1.2 認証基盤システム概要図
認
ID
P
1. 認証基盤システム概要
× 人事DB
認証
SSO
ID管理システム
IDライフ
サイクル管理
ID
連携
(認証結果が正しいための前提条件)
①適切な認証処理の存在
②ID情報が正しく維持されている

5. 4
1.3 認証結果が正しいための前提条件
1. 認証基盤システム概要
ID情報
DB
ID管理
システムID情報
マスター
DB
人事情報DB
人事
システム
ID管理
システム
ID情報
DB
ID情報
DB
利用者の特定
引き渡し手続き
ポリシー
ID情報の鮮度維持ID管理システム
IDライフサイクル管理ポリシー プロビジョニングポリシー
適切なアクセス
制御の維持
認証システム
アクセス制御システム
認証ポリシー
アクセス制御ポリシー
ID体系の定義
パスワードポリシー

6. 2．大学におけるID管理の必要性
5

7. ・年に一度、全構成員の約1/4が入れ替わります。
→ 新入生の入学に伴う、ユーザIDの登録
→ 卒業に伴う、ユーザIDの無効化・削除
・入学手続きの完了からシステムの利用開始までの
期間が短期間です。
→ 学費の納付を確認後に、ユーザIDの付与・学生証の発行 etc
短いところでは 5日間、1週間など
・職員の「異動」があります。
→ 昇進、組織変更、部署変更
2. 大学におけるID管理の必要性
6
2.1 大学の人事イベント
× 手作業

8. ・大学の知の財産である「研究成果」を守る必要があります。
→ 学内外からの不正アクセスへの対策
→ アクセスログの解析が有効なのは、正しいユーザID管理の存在
が前提
・教員専用のシステム、職員専用のシステムがあります。
→ 学生/教員/職員の区分に応じたアクセス管理
・出入りの激しい環境です。
→ 臨時採用の教員、アルバイト職員、外部聴講者といった
「一時利用ユーザ」の管理
2. 大学におけるID管理の必要性
7
2.2 セキュリティ事情
× 共有ID
〇 IDに関するワークフローシステム

9. ・多くの学生に集まってもらうために、継続的な学生向けサービスの
向上が必須です。
→ 学内IT環境の充足、シングル・サイオンオンによる利便性向上
・限られた予算で学内システムを運営するため、システムの利用統計を
分析し、改廃・統合を随時検討しています。
→ システムやアプリの利用者数のカウントや傾向の分析にも
正しいユーザIDの管理が必須
・コスト最適化のためのクラウド利用や、「学認」の有効活用が
進んでいます。
→ 「学認」に参加し、各種SaaSを活用するためには、
認証用のID情報が正しく維持されている必要があり、
そのためにはID運用管理が確実に行われていることが必要
2. 大学におけるID管理の必要性
8
2.3 大学経営維持のためのIT活用
〇 ID管理システム

10. 大学におけるID管理は、以上のような観点から必要とされて
います。
大量のユーザIDを、短期間に多数のシステムに対
してメンテナンスする必要があります。効率化
セキュリティ
経営
大学内のシステムやリソースを守るために、
IDの運用管理を厳格に行う必要があります。
大学の経営を維持するために、学内外の
IT利用に必要なIDを適切に管理・活用する
システムが必要です。
2. 大学におけるID管理の必要性
9
2.4 まとめ

11. 3．ID管理システムの
導入コストとランニングコスト
10

12. 予算化しづらい「システム変更」
の費用を如何に抑えることが
できるかが、トータルコスト
適正化のポイントです。
11
3. ID管理システムの導入コストとランニングコスト
ライセンス
要件定義
設計
構築
ソフト保守(1年目)
ソフト保守(2年目)
ソフト保守(1年目) ソフト保守(1年目) ソフト保守(1年目)ソフト保守(1年目)
ソフト保守(2年目)
ソフト保守(3年目)
ソフト保守(2年目)
ソフト保守(3年目)
ソフト保守(2年目)
ソフト保守(3年目)
ソフト保守(4年目)
ソフト保守(4年目)
システム保守(1年目)
システム保守(2年目)
システム保守(1年目)
システム保守(3年目)
システム保守(1年目)
システム保守(2年目)
システム保守(4年目)
システム保守(1年目)
システム保守(2年目)
システム保守(3年目)
システム保守(1年目)
システム保守(2年目)
システム保守(3年目)
システム保守(4年目)
ソフト保守(5年目)
システム保守(5年目)
システム変更
運用手順変更
(設計・構築)
システム変更
運用手順変更
(設計・構築)
システム変更
運用手順変更
(設計・構築)
システム変更
連携ｼｽﾃﾑ追加
(ライセンス
設計・構築)
初年度 2年目 3年目 4年目 5年目
初期導入コスト ランニングコスト
バージョンアップ 計画的に実施しやすい。
セキュリティ対策 突発的な対応が多いが、システム維持保守の
契約範囲内で対応することが多い。
運用手順変更 設計見直しが発生するため、追加費用が必須。
個別開発品の場合は、再開発が発生し費用が
高くなる傾向がある。
連携システム追加 運用手順変更と同じく再開発が発生し、費用が
高くなる傾向がある。
3.1 累積コスト

13. ＝運用手順変更、連携システム追加の費用を抑える
・開発併用を前提としないパッケージソフトを選択する
ID管理システムを構築する場合、以下の3通りの方法が考えられます。
①受託開発(いわゆるスクラッチ開発)
②開発併用を前提としたパッケージソフトの導入
③開発併用を前提としないパッケージソフトの導入
システム導入時に行う設計で運用手順や自動連携の度合いに対する拘り具合に
拠りますが、③開発併用を前提としないパッケージソフトによるシステム構築
は、運用手順変更や連携システム追加時にも、余計な開発工数の発生を抑える
ことができます。
・複雑な設定や実装を避ける
連携システム毎に個別のスクリプトを記述して制御している場合、連携内容の
変更や追加を行う際に複雑なスクリプトを解析する必要があり、工数増大に
つながります。なるべくスクリプト制御を減らし、
設定ベースで連携可能な仕組みを構築することが望ましいです。
12
3. 初期導入コストとランニングコスト
3.2 システム変更費用を抑えるコツ

14. 4 ．クラウドの普及とフェデレーション
13

15. 4.1 クラウドの普及と新たなセキュリティ対策の必要性
4. クラウドの普及とフェデレーション
14
クラウド
サービス学内システム
昔
学内システム
クラウド
サービス
最近
減
増
最近はミッションクリティカルな業務のクラウドサービス利用が進む。
・機密情報をクラウド事業者に預けざるを得ない
クラウドが普及し始めた頃は、それほど機密性
の高くない情報を扱うシステムのみクラウド
サービスに移行するケースが多かった。
(クラウド時代のセキュリティ対策のポイント)
・セキュリティポリシーの
コントロールを残す 認証基盤を整備し
フェデレーション技術を活用
機密
情報
機密
情報
(無償＆有償)
(無償)
〇 ID情報を大学内に残す

16. 4.2 アカデミックITでのフェデレーション応用
15
IdP SP
1
2
3 4
大学 クラウドサービス
5
ID情報
【アクセス試行】クラウドサービスへのアクセス1
【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲2
【認証処理】エンドユーザによる認証処理3
【IDトークン返却】クラウドサービスへの認証結果の連携4
【クラウドサービス利用】エンドユーザによるクラウドサービス利用5
4. クラウドの普及とフェデレーション

17. クラウドサービス
大学内
クラウドサービス大学内
ID情報
ローカル認証方式
16
フェデレーションによる認証情報連携
ID情報の一部はクラウドサービスに渡し、
セキュリティポリシーの及ぶ範囲内にID情報の一部を残す。
4.2 アカデミックITでのフェデレーション応用
ID情報
(全部)
SPIdP フェデレーション
クラウドサービス
大学内
SPIdP フェデレーション ID情報
(一部)
・有償クラウドの普及でサービス利用契約に応じたIDの事前配布や
アクティベーションが必要な場合。
・スケジュール共有システムのようにID情報自体がアプリケーションの
コンテンツとなっている場合。
4. クラウドの普及とフェデレーション
ID情報
(一部)
〇 ID情報を大学内に残す

18. 教職員/学生
ID情報
大学
SP
IdP
ID情報
個人
ID情報
API
API
ID情報
ID情報
IdP
SP
SP
源泉DBの存在
IDライフサイクル管理への対応
・学生：入学/進級/卒業
・教職員：定期的な人事異動
運用管理
手順書
ID情報
マスター
AD
17
教職員/学生
管理システム
IT部門管理による運用管理手順書
に従ったメンテナンス
学内の既存システムIDとの
ID統合運用管理が必要
4. クラウドの普及とフェデレーション
4.3 ID情報の事前配布
UI
UI
ID管理
システム
必須

19. 4.3 ID情報の事前配布
18
IdP SP
1
2
3 4
大学 クラウドサービス
5
ID情報
(全部の情報)
【アクセス試行】クラウドサービスへのアクセス1
【認証要求】クラウドサービス事業者から利用企業への認証処理の委譲2
【認証処理】エンドユーザによる認証処理3
【IDトークン返却】クラウドサービスへの認証結果の連携4
【クラウドサービス利用】エンドユーザによるクラウドサービス利用5
4. クラウドの普及とフェデレーション
【プロビジョニング】アイデンティティ(ユーザ)情報の事前登録0
ID管理
システム API0 ID情報
(一部の情報)

20. 5 ．LDAP Manager概要
19

21. 豊富な連携プラグイン・オプションを、必要に応じて選択できるので、最適なライセンス価格で
ご購入いただけます。これらの連携プラグイン・オプションは後から追加することもできるため、
システム拡張等にも柔軟に対応することができます。
5. LDAP Manager概要
5.1 概要図
20

22. CSV→LDAP＆CSV→LDAPグループ
CSVファイルを利用して、ID情報マスターDBのユーザエントリに対してユーザ情報の追加、
更新、削除を行います。同様にグループの作成・削除、グループメンバの更新も行います。
(CSVプラグイン実行）
CSVファイルから1レコードずつ変更情報更新します。
ODBC→LDAP
ODBC接続が可能なRDBより、ID情報マスターDBのユーザエントリに対してユーザ情報の
追加、更新、削除を行います。
5.2 主な連携プラグイン(input)
21
ADアグリゲータ
ADを源泉DBとして、更新が発生したユーザ情報やパスワード情報をアグリゲータレシーバ
(標準添付の機能）に転送します。転送された情報はCSVファイルとして保存され、
CSV→LDAPを使用してID情報マスターDB経由で各システムに連携されます。
ELMインタフェース（本体同梱）
外部プログラムからLDAP Managerへ接続するためのインタフェースで、Windows、Linux、
Java版があります。外部プログラムから各プラグインを実行できます。
IDワークフロー
ID登録時の申請、承認処理や、利用者自身の属性変更（例：メールアドレスの申請など）を
行います。
5. LDAP Manager概要

23. LDAP→AD＆ADグループ
Active Directory に対してユーザ情報、グループ情報を連携します。ドメイン参加
クライアントからパスワード変更処理(Ctrl+Alｔ＋DEL)を行った場合に、指定した他の連携
プラグインを実行することで、各システムへの連携を行うことができます。
Windowsコマンド実行
Windowsサーバ上のユーザコマンドを起動します。起動時にID情報マスターDBの情報を引数
として渡すこともできます。
LDAP→CSV
ID情報マスターDBからCSVファイルへデータを出力します。ID情報マスターDBのバック
アップや棚卸、ODBC等で直接連携できないシステムに対する取り込み用ファイルの生成など
に利用されます。CSVファイルの出力前後に、コマンドを実行できます。
LDAP→UNIX&UNIXコマンド実行
UNIX/Linuxのユーザアカウントの追加、更新、削除を行います。対象はNIS（マスタ）、
/etc/password、/etc/shadow です。
(UNIXコマンド実行）
UNIX/Linuxサーバ上のユーザコマンドを起動します。
ID情報マスターDBの情報を引数として渡すこともできます。
5.2 主な連携プラグイン(output①)
22
5. LDAP Manager概要

24. LDAP→LDAP
LDAPサーバに対してユーザ情報を連携します。認証用サーバとID情報マスターDBを分ける
場合に利用されます。
5.2 主な連携プラグイン(output②)
LDAPグループメンテナンス
ID情報マスターDB上のユーザエントリの属性値を利用して、ID情報マスターDBまたは他の
LDAPにグループの作成・削除、グループメンバの更新を行います。
23
LDAPセルフメンテナンス
ID情報マスターDBから、指定したフィルター条件(例：更新日時)に合致するユーザを抽出し、
そのユーザ情報の更新を行います。例えば、テストユーザや期間契約ユーザ等、期限のある
ユーザに対して予め有効期限を設定し、期間満了とともに自動的に削除する等の運用を行う
ことができます。
LDAP→ODBC
ODBC接続が可能なRDBに対してユーザ情報、グループ情報を連携します。
LDAP→Desknet’s
Desknet’s Enterprise Edition に対して、ユーザ情報、グループ情報を連携します。
LDAP→ガルーン
ガルーンに対して、ユーザ情報、組織情報(グループ）、所属ユーザ情報（グループメンバ）
を連携します。
5. LDAP Manager概要

25. 5.2 主な連携プラグイン(output③～クラウド)
LDAP→SCIM
ID情報マスターDB上のエントリを元に、クラウドサービスプロバイダ等のSCIM
(System for Cross-Domain Identity Management)インターフェースに対し、ユーザ情報
の連携を行います。
LDAP→GApps
Google社のGoogle Appsに対してユーザ情報の連携を行います。GMailアカウントの追加、
無効、利用停止やパスワード変更、メールボックスの作成などを行うことができます。
なお、本プラグインの利用に際して、別途、サイオステクノロジー様による
インテグレーションが必要です。
LDAP→Office365
マイクロソフト社のOffice365に対して、ユーザ情報の連携を行います。
(Directory Sync は不要です)。
なお、本プラグインの利用に際して、別途、サイオステクノロジー様による
インテグレーションが必要です。
LDAP→cybozu.com
サイボウズ社のcybozu.comに対して、ユーザ情報、組織情報や役職情報の連携を行います。
24
5. LDAP Manager概要

26. 5.3 主なオプション
特権管理パック
サーバ管理に使用するような特権ユーザIDの管理を行います。予め用意した特権ユーザIDを
一定期間、特定の一般ユーザに貸与します。IDワークフローや操作ログオプションと
組み合わせることで、申請ベースで特権ユーザIDを利用、その履歴を管理するなど、
トータルな特権管理システムを構築することができます。
25
Password Assistant クライアント
Windows XP、Windows VISTA、Windows 7にて動作するシングル・サインオンツール
です。各PCに本ツールをインストールする必要があります。
ID情報マスターDB上に予め保存した各システムのIDとパスワードが、クライアントの
ログイン時にローカルPCに取り込まれ、各システムの利用開始時に、取り込んだIDと
パスワードを各システムのログイン画面に流し込みます。
5. LDAP Manager概要

27. 管理者は、日々のメンテナンス業務を「管理者ポータル」で行います。
管理者メンテナンス、操作ログ（後述）の呼び出し
実行ログの表示
一括メンテナンス用CSVファイルのアップロード/
ダウンロード、各プラグインの実行
ログインユーザ毎の操作可否の制御（権限移譲）が可能
5.4 管理GUI
26
5. LDAP Manager概要

28. 5.4 管理GUI
管理者メンテナンス
ユーザの検索、リスト表示、検索結果の
CSV出力
ユーザ1人ずつに対する追加・更新・
削除処理
ユーザパスワードの強制初期化、
通知書PDFの作成
グループの作成・更新・削除・
メンバの出し入れ
操作ログ
「いつ、誰が、誰の、どの属性を、どの値から、
どの値に変更したか」を全て記録することが
でき、ID運用管理の監査証跡として利用する
ことができます
27
5. LDAP Manager概要

29. 自身のパスワード変更
自身のステータス確認：メタLDAP上に格納されている各種
情報を表示可能（ex 印刷枚数、最終パスワード変更日時等）
自身の属性値 変更：内線番号、メールエイリアス、名字
など、運用に応じて柔軟に設定可能
エンドユーザが自身のパスワードや属性情報をメンテナンスするためのGUIです。
5.4 管理GUI
28
5. LDAP Manager概要

30. ID情報のメンテナンスに特化したワークフローです。
ID登録時の申請、承認処理や、利用者自身の属性
変更（例：メールアドレスの申請など）を、
行うことができます。
5.4 管理GUI
29
5. LDAP Manager概要

31. ■ システム概要
 ユーザ数 25,000人
 特長：学内とクラウドを含めた広域認証
基盤のユーザ情報を一元管理
メタLDAPサーバ
全学認証用
LDAPサーバ
ADサーバ1
ADサーバ2
操作ログ
管理者PC
リバース
プロキシ
OpenAM
Shibboleth
IdP
学内各所 PC群
LDAP→LDAP
LDAP→AD
AD認証
学認
Shibboleth SP
Shibboleth DS
アクセス制御
ポリシー 学内システム
アクセス
LDAP Manager 管理GUI
操作ログopt
・管理者ポータル
・管理者メンテナンス
・操作ログ
・IDワークフロー
・利用者プロファイル
メンテナンス
LDAP→AD
CSV→LDAP
CSVファイル
操作ログ参照
SAML認証
認証
本IDなど、必要なユーザ、
属性のみをプロビジョニング
ID統合管理（LDAP Manager）
SSO（OpenAM, Shibboleth）
IDワークフロー
パスワード変更、ユーザ登録・
削除 等個別メンテナンス
上位システム
LDAP→ODBC
学内システム群
5.5 実装例
30
5. LDAP Manager概要

32. 6 ．クラウド時代の認証基盤システム
31

33. 32
6. クラウド時代の認証基盤システム
6.1 IDaaSの出現(US)
SaaSへのシングル・サインオン
IDentity as a Service

34. 33
6.2 OktaのIDaaS
エンドユーザ
エンドユーザ
AD
IdP
クラウド用
ID情報マスタ
LDAP
管理者
IDaaS
RP
RP
RP
RP
RP
RP
ID情報
RP
1000以上のSaaSに
対するSSOが主機能
25のSaaSに対する
プロビジョニング
AD連携
1.オンプレ⇒IDaaS
2.IDaaS⇒オンプレ
(SCIM)
(注)Webに公開されている情報をもとに江川が考察を加えました。
専業SaaS $4～$8/月
6. クラウド時代の認証基盤システム

35. 34
6.3 IDaaSの機能
③インフラ提供
エンドユーザ
SaaS
IaaS
PaaS
プライベート
クラウド
オン
プレミス
源泉ID情報
DB
ワーク
フロー
①シングル・サインオン・サービス
(多要素認証 & フェデレーション)
IDライフ
サイクル管理
ID情報
マスターDB
プロビジョニング
④インフラ&サービス監視
②ID管理サービス
6. クラウド時代の認証基盤システム

36. フェデレーション
大学内
IaaS/PaaS/SaaS
ID情報
(一部の情報)
ID情報
マスターDB
IDaaS
35
フェデレーション
IDaaS業者は、大学がID情報マスターDBを安心して預けられる
セキュリティレベルを維持していることを説明する必要がある
6. クラウド時代の認証基盤システム
ID情報
マスターDB
(全部の情報)
セキュリティ境界
セキュリティ境界
(セキュリティポリシーコントロールの効く範囲)
6.4 IDaaSのポイント
IDaaSには、セキュアなインフラ&サービス監視サービスは必須

37. 7 ．EXGEN社のIDaaS＝Extic
36

38. ③インフラ提供
①シングル・サインオン・サービス
(多要素認証 & フェデレーション)
IDライフ
サイクル管理
ID情報
マスターDB
プロビジョニング
④インフラ&サービス監視
②ID管理サービス
①EXGEN社がサービス提供
②ターゲットは大学
37
7. EXGEN社のIDaaS＝Extic
7.1 Extic(EXGEN Trusted Identity Center)の概要
OpenAM /SAML(Shibboleth) IdP
Cloud Identity Manager
(LDAP Managerのマルチテナント版)
PostgreSQL
AWS(2017年以降Azure VMにも展開)
・24/365リモート監視&ヘルプデスク
(エクシード社)
・DeepSecurity
③機能構成
ここの機能を充実させたIDaaS
2016年4月Start

39. 7.2 Extic(EXGEN Trusted Identity Center)概要図
LDAP
UNIX
コマンド
Active
Directory
オンプレミス
利用者 管理者
CSV AD PW
Hook
メンテ
GUI
AD
パスワード
フック
シングル
サインオン
シングルサインオン
プロビジョニング
CSV認証
OpenLDAP
【SSO】 OpenAM/Shibboleth 【IDM】CIM(Java)
【ポータル】 extic ポータル
ID情報マスタDB
(PostgreSQL)
7. EXGEN社のIDaaS＝Extic
38

40. 39
7.3 Extic(EXGEN Trusted Identity Center)の特長
①IDライフサイクル管理を重視
1)ID運用管理手順書の提供＋ヘルプデスク
2)(input)AD連携＋WF＋HR連携(CSV)
②セキュアなサービス
1)AWS版：Xseed社によるインフラ監視(PCIDSS相当)
2)大学がカンターラのLoA1を取得しやすい資料を整える
3)学認アンケート対応表の公開
③低コスト
・アカデミック価格として
提供(予定)
7. EXGEN社のIDaaS＝Extic
学生数 月額利用料金
～3000 ¥500,000
3001～5000 ¥600,000
5001～10000 ¥800,000
10000～15000 ¥1,000,000

41. 40
パスワードポリシー変更画面
ログイン画面
7. EXGEN社のIDaaS＝Extic
7.4 Extic(EXGEN Trusted Identity Center)の画面

42. 41
Office 365 接続用設定画面
ログ参照画面
7. EXGEN社のIDaaS＝Extic
7.4 Extic(EXGEN Trusted Identity Center)の画面

43. 42
ユーザー一覧画面
ユーザー追加画面
7. EXGEN社のIDaaS＝Extic
7.4 Extic(EXGEN Trusted Identity Center)の画面

44. 43
ユーザーホーム画面
パスワード変更画面
7. EXGEN社のIDaaS＝Extic
7.4 Extic(EXGEN Trusted Identity Center)の画面

45. 44
・大学内(オンプレ)に配置したシステム、 IaaS上に配置されたシステム、
クラウドサービス(学認系SaaSからOffice365やGoogle APPS等の有償SaaS)
のID管理をサービスとして利用できます。
(認証基盤システム導入の目的については第一章を参照ください。）
(大学でのID管理の必要については第二章を参照ください。）
・ID情報マスターDBはIDaaSで一元管理されることで、柔軟なセキュリティ
ポリシーのコントロールが可能です。
・ID統合管理を行うことでクラウドサービスライセンス管理をはじめとした
エンドユーザのシステム＆サービスの利用状況の把握が可能になります。
・IT部門以外の教職員が自由に契約し、利用するシャドウクラウド対策としても
有効です。
ID管理サービスの利用
7.5 Extic利用のメリット
7. EXGEN社のIDaaS＝Extic
勝手に クラウドの特性は
Agilityなんで

46. 45
7.5 Extic利用のメリット(シャドウクラウド対策)
7. EXGEN社のIDaaS＝Extic
教職員
IT
部門
シャドウ
クラウド
設定
利用
選定・契約
開発・機能評価
設計
要件定義
構築・設定
運用管理
教職員
IT部門
①セキュリティ
ポリシー作成
②利用規定作成
④設定
⑥運用監視
非シャドウ
クラウド
⑤利用
③選定・契約
IDaaS
メンテログ管理
認証ログ管理
ID情報メンテ

47. 46
・SAML/Shibboleth等のフェデレーション技術に対応したサービスについては、
シングルサインオンが行えます。
・フェデレーション技術を利用することで、SaaS業者に預ける機密情報を
減らせます。
フェデレーションの利用
7.5 Extic利用のメリット
7. EXGEN社のIDaaS＝Extic
クラウドサービスとして利用
・クラウドサービスを利用する場合のメリットを享受できます。
・費用対効果(特に初期コストの削減)
・インフラ管理負荷の低減
・システム要件の変更に対する迅速かつ柔軟な対応が可能
・基本サービスとして24/365で提供されるインフラ & サービス監視により
非常にセキュアなシステム運用サービスを低コストで利用できます。
・カンターラの保証レベルLoA1に対応したサービスにする予定です。
さらにID運用管理手順書(サンプル版)を提供し、学認への参加を容易にします。
学認参加の障壁低減

48. 8 ．それぞれのIDaaS
47

49. 48
(クラウド出現前)
データセンター建設が可能な大企業だけが仮想化技術の恩恵に預かっていた
(クラウド出現後)
・IaaS、PaaSの活用により中小規企業が仮想化技術の恩恵を受けることができるようになる
・中小ソフトベンダーがパッケージソフトを自力でSaaS化することができるようになる
8.1 中小ソフトベンダーにとってのIDaaS
8. それぞれのIDaaS
特定の機能に特化した特徴的なソフトのSaaSが増える
大学(SaaS利用者として)
セキュリティ管理的に危険な臭いの
するSaaS利用についてはIDaaSの
併用を検討する必要がある
中小ソフトベンダー
ID管理/認証を自社サービスから切り
離せるIDaaS (フェデレーションSP
対応)の検討が必要である
ソフトベンダーのサービスベンダー化

50. 49
8.2 クラウド事業者にとってのIDaaS
(最近のクラウド事業者の事情)
・MSもアマゾンも自社クラウドへのISV引き込みが最優先課題
・日本のクラウド事業者もIaaS/PaaSビジネスやプライベートクラウドビジネスから
SaaSビジネスシフトによる差別化を図る
(ハイブリッドクラウドの変化)
(少し前まで)
クラウド利用者がIaaS/PaaS、プライベートクラウド、SaaSを組み合わせていた。
(最近)
クラウド事業者がIaaS/PaaS、プライベートクラウド、SaaSを組み合わせて提供する。
8. それぞれのIDaaS
クラウド事業者
トータルソリューションの「のりしろ」役として
IDaaSの利用を検討する必要がある
クラウドファースト＝SaaSファーストの時代に
クラウド「トータルソリューション」化

51. 3
クラウド事業者内
SaaS
外部SaaS
顧客利用者
顧客管理者
トータル
ソリューション化
顧客利用者
顧客管理者
プロビジョニング クラウド事業者内
SaaS
外部SaaS
IDaaS
IdP SP
SSO
(フェデレーション)
SP
大学(ハイブリッドクラウド利用者として)
クラウド事業者がトータルソリューションの裏方機能として
提供するIDaaSに対して、厳格なセキュリティ評価が必要
8. それぞれのIDaaS
8.2 クラウド事業者にとってのIDaaS

52. 51
8.3 学認にとってのIDaaS
プロトコルがすべてじゃないのよ
覚えておいてね、フェデレーション
大切なのはトラストなのよ
間違いないでね、フェデレーション
8. それぞれのIDaaS

53. 情報共有
システム
(ローカル認証)
ID発行
情報共有大学A
ローカル認証
~システム利用
情報共有大学B
情報オーナー大学C
ID情報
情報共有
システム
（フェデレー
ション対応）
情報共有大学A
情報共有大学B
ID情報
ID情報
IdP
SP
ID情報
情報オーナー大学C
IdP
フェデレーション
ID未発行
理
想
論
現
状
52
8. それぞれのIDaaS
8.3 学認にとってのIDaaS
トラスト
LoA LoP

54. 53
8. それぞれのIDaaS
8.3 学認にとってのIDaaS
情報共有
システム
（フェデレー
ション対応）
情報共有大学A
情報共有大学B
ID情報
ID情報
IdP
SP
ID情報
情報オーナー大学C
IdP
フェデレーション
ID未発行
理
想
論
トラスト
IT予算、IT工数に差がある
『わかっちゃいるが、IT部門の
人数が少なく、IdPの構築、
運用が大変なんだよね、、』
IDaaS
ID情報 IdP
情報共有大学C
大学
複数大学間で情報共有するための
Shibboleth IdPサービス
+ 厳格なID運用管理基盤サービス
としてIDaaSが活用できる
学認
中堅大学や地域毎のコンソーシアム
が学認に参加する場合の起爆剤！に
なるはず、、