事例紹介

国際基督教大学(International Christian University 以下、ICU)では、効果的な教育を実践するため、学内ポータルや授業支援シ ステムなど、さまざまなシステムを運用しています。しかし、学内ポータルから利用可能なサービスが増えるにつれて、サービスごとに異なる IDやパスワードが必要になり、ユーザーの利便性を損なうばかりか、管理・運用する側の負担も増大する一方でした。そのため、オープン ソース・ソリューション・テクノロジ(以下、OSSTech)の統合ID管理製品「Unicorn ID Manager」とシングルサインオン製品 「OpenAM」を併せて導入。利便性の向上と安全性の確保を同時に実現しました。

緑豊かなキャンパスで少人数制のリベラルアーツ教育を実践

広いキャンパスのあちこちに武蔵野の自然が 残るICUは、キリスト教の精神に基づき1953 年に献学(「世界平和に献じられた」という意 味合いで、いわゆる「開学」のこと)した、国 内初の教養学部1学部の大学(College of Liberal Arts)です。特色であるリベラルアー ツ教育は、文系・理系の区別なく幅広い知 識を得た後に専門性を深めることで、豊富な 知識に裏打ちされた創造的な発想を可能に することを狙いとしています。また、同大学で は徹底した少人数教育が実施されており、 教員一人当たりの学生数はわずか18人。授 業は常に教員・学生の双方向で行われ、ディ スカッションも盛んです。こうした同大学独自 の教育を、ITの側面から支えているのがIT センター 総合学習センター(Integrated Learning Center 以下、ILC)です。

学内ポータルや授業支援システムなどの利便性をさらに高めるために

ILCでは、ICUの学内ポータルやメールシス テム、授業支援システムなど、各種システムの 管理・運用を行っています。こうしたシステム へアクセスする際の利便性と安全性の両方を 確保するため、ILCは2001年にKerberos 認証を用いた統合認証システムを導入し、 認証手続きを一元化しました。しかしそれか ら10年以上がたち、認証サーバーそのもの が旧式化してきた上、独自に認証を行う Webシステムも増えてきたため、一人のユー ザーが複数のIDとパスワードを使い分ける 必要があり、利便性の低下を招いていました。 また、アカウントの管理面でも、作成漏れな どミスがないようチェックリストを用意・確認 するといった作業が発生し、管理・運用する 側の負担も増大していたことから、統合認証 システムのリプレースを検討することになりま した。 「加えて、ユーザーからシングルサインオンを 導入してほしいという要望が高まっていまし た。というのも、学内ポータルからはいろいろ なコンテンツが利用できるのですが、結局そ の先のシステムは別々なので、ユーザーはそ のたびにIDとパスワードを入力しなければな りません。こうした不満を解消するべく、認 証システムのリプレースという機会に合わせ、 シングルサインオンを導入しようと考えたので す」と、ITセンター 総合学習センターグループ 長の小林 智子 氏は導入の背景を語ります。

とはいえ、ユーザーが複数のアカウントを利 用していては、シングルサインオンの導入は 困難です。そこでまず導入前のステップとして、 ID統合に取り組む必要がありました。

「OpenAM」をはじめとしたOSSTech製品の連携により抱えていた課題を一気に解決

ID統合やシングルサインオンの実現に向けて 情報を収集していたILCは、OSSTechの製 品群に注目しました。同社の製品はオープン ソースのソリューションとして実績が豊富なだ けでなく、低コストなことから、予算的にも統 合ID管理製品「Unicorn ID Manager」と シングルサインオン製品「OpenAM」を同時 に導入できる点が魅力でした。またILCでは当 初、ディレクトリサービスにActive Directory の採用を予定していましたが、将来的に LDAPを採用したシステムとの連携もあり得 ることから、OSSTechのディレクトレリサービ ス製品である「OpenLDAP」も併せて導入し、 「Unicorn ID Manager」で統 合 的にIDを 管理するという基本構想が固まりました。 「実際の話、シングルサインオン製品につい ては『OpenAM』に選択肢を絞り込んでいた のですが、統合ID管理製品については念の ため複数のベンダーに提案をいただきました。 ただ、価格面でいえば『Unicorn ID Manager』 が圧倒的に優れていましたし、構築に際して 『OpenAM』や『OpenLDAP』までまとめて OSSTechに支援してもらえるという安心感が ありました」と語るのは実際に選定作業を 行ったITセンター 総合学習センターグルー プの加藤 隆典 氏です。

ID管理製品の導入により、運用負担が低減人為的なミスが減少、作業効率も向上

こうして2013年12月に構築を終え、2014 年の1 ～ 2月に検証作業を実施。3月の終 わりに無事カットオーバーしました。この段 階で学内ポータルが「OpenAM」によるシ ングルサインオンに対応したため、それ以降 の新しいWebシステムについてはシングルサ インオンで利用できるようになりました。 「検証中は、ずいぶん細かいこともOSSTech に質問したんですが、回答はスピーディかつ 詳細で、その点ではずいぶん助かりました。 今後はまた、既存のWebシステムについても 順次シングルサインオンに切り替えていき、 将来的には一部の例外を除き、すべてのサー ビスを同一のアカウントで利用できるかたち に持っていく方針です」(加藤氏)

そして今回のID統合により、管理・運用に かかる負担は大きく軽減しました。例えば、 これまで新規アカウントの登録に1日かかっ ていたものが、1 ～ 2時間程度で完了するよ うになり、さらに手作業がなくなったことで人 為的なミスも減少。結果として作業の質の向 上につながっています。

シングルサインオンの本格運用はこれからユーザーの利便性向上に期待

当初はユーザーの混乱を防ぐため、シングル サインオンと従来の認証システムを並行して 運用していましたが、2014年の夏休み明け から本格運用をスタートさせる予定です。ユー ザーの利便性が大幅に向上することが期待 されるとともに、従来の認証システムの廃止 も視野に入れています。 「今後とも、学内ポータルの利便性向上やセ キュリティ強化に取り組んでいくつもりです が、学内からは学術認証フェデレーション(全 国の大学等の認証連携)への参加の声など も上がっていますので、そのあたりのノウハウ をお持ちのOSSTechには、さらなる協力を 期待しています」(小林氏)。

今回の導入製品