OSSTech OpenAM
Tomcat,OpenLDAP対応で高機能なシングルサインオン機能を提供
OpenSSOを採用しSAMLおよびリバース・プロキシ方式による認証、アクセス制御を実現
九州工業大学 e-ラーニング事業推進室は、オープンソースの認証システムであるOpenSSOを採用することにより、各地に点在する学習環境へのシングル・サイン・オンを実現しました。これにより、個別の学習環境へのログインが必要なくなるため学習者の負担が軽減されるのみならず、パスワード管理を中心とした管理業務の軽減も見込まれます。さらに認証連携のプロトコルとして標準的なSAMLを採用することにより、将来における他の認証システムとの接続性も考慮した設計になっています。
本システムの特徴
本システムでは、認証サーバーにOpenSSOを使用することにより、Web会議システムおよびMoodle(オープンソースの教育コース管理ソフト)へのシングル・サイン・オンおよびアクセス制御を行っています。Moodleとの認証連携には標準的なプロトコルであるSAMLを使った方式を採用しています。
Web会議システムへのアクセス制御にはリバース・プロキシ方式を採用しています。
認証サーバーとしてのOpenSSO、ユーザー・リポジトリとしてのOpenLDAPをはじめ、主要なサーバーにオープンソース製品を使いコスト削減を図りました。
SAMLによる連携の詳細
Moodle自体はSAMLによる連携機能を持たないため、SAMLに基づきデータのやり取りを行うsimpleSAMLphpおよびそれ基づきMoodle内の認証とユーザー属性の設定を行うSAML認証プラグインを追加する必要があります。
ユーザー・リポジトリとしてのOpenLDAPに収められたユーザーのLDAP属性は、一旦OpenSSOによりSAML属性にマップされた後に、simpleSAMLphp経由でMoodleのSAML認証プラグインに引き渡されます。
SAML認証プラグインは渡された属性をMoodleのユーザー属性にマップし設定・保存します。これらの属性マッピングの設定は管理者GUIから行うことが出来ます。
ユーザー属性とMoodleのロールとのマッピング
Moodleでは「ロール」という仕組みを使って各ユーザーがMoodle上で出来ることを管理します。ロールには様々なものがありますが、「管理者」ロールに次いで重要なものに「コース作成者」ロールがあります。本システムでは、SAMLのユーザー属性に基づき動的に「コース作成者」ロールを付与することを行っています。
この機能は、既にあるSAML認証プラグインには含まれていなかったためオープンソース・ソリューション・テクノロジ(株)で追加開発を行いました。開発した結果は、Moodleのソースコードの一部として登録されているため、どなたでも利用可能です。
このように足りない機能は適宜追加してコミュニティで共有出来ることはオープンソース製品を使うことで得られる大きなメリットのひとつです。
九州工業大学 e-ラーニング事業推進室について
e-ラーニング事業推進室は、情報技術によるコミュニケーション・ネットワークを使った主体的な学習環境の整備と活用のために2003年4月に発足した全学組織です。
| 住所 | 福岡県飯塚市川津680-4 | | 室長(兼任) | 教育・情報担当・副学長 尾家 祐二 | | 専任教員 | e-ラーニング事業推進室・講師 大西 淑雅 |
