OSSTech OpenAM
Tomcat,OpenLDAP対応で高機能なシングルサインオン機能を提供
一橋大学では、学生・教員向けに学務情報システムや図書システム、職員向けには学内情報システムなどの情報サービスを提供していま す。近年では各ユーザーが利用するサービス数が増加傾向にあるため、同大学ではユーザーの利便性を高めつつセキュリティを確保する ことを目的に、ID統合や統合認証といった取り組みを推進してきました。2015年のシステム更新では、オープンソース・ソリューション・テ クノロジ(以下、OSSTech)の提供するオープンソースの製品群を活用し、ICカードによるWindowsログオン(Sambaを利用)、 Google AppsなどのWebアプリの自動ログイン(OpenAMとSambaを連携させたデスクトップSSO)を実現し、ID/パスワード不要 のシングルサインオン(SSO)を実現しました。
大学における学習/研究活動や事務業務をITの側面から支える
1875年に設立された商法講習所を起源と する一橋大学は、我が国で最も歴史ある社 会科学の総合大学として、リベラルな学風 のもと、国内外に多くの有為な人材を輩出 しています。現在もその長い伝統と実績を 受け継ぎ、人文科学まで含む広い分野で、 新しい問題領域の開拓と解明に取り組んで います。
そして、同大学における学生・教員の学習 /研究活動や職員の事務業務などを、ITの 側面から支えているのが情報化統括本部に 属する情報基盤センターです。その具体的 な役割について、情報化統括本部 情報基 盤センター 准教授の中島康氏は「当セン ターは、教育研究メディア部門・基幹整備 部門・事務情報化推進部門の三つに分かれ ており、私がとりまとめている教育研究メディ ア部門は、情報教育棟と呼ばれる施設の運 営や、図書館などに設置された端末の管理、 さらに学生への情報教育などの業務を担っ ています。一方、基幹整備部門は全学のネッ トワークとシステムの構築・運用を、事務 情報化推進部門はITによる事務業務の効 率化を推進しています」と説明します。
学内向け情報サービスのID統合を進めるとともに全学統合認証にも着手
2007年、情報基盤センターは学内向け情 報サービスを拡充する一環として、ID統合 のプロジェクトをスタートさせました。この 取り組みにより、サービスごとにIDとパス ワードが異なるという使い勝手の悪さを解 消。ある程度の目処が付いたところで、次 のステップである全学統合認証へ着手する ことになりました。いわゆるシングルサイン オンを実現し、ユーザーの手間を減らしな がらもセキュリティを強化。併せて管理負荷 の軽減を目指したのです。
具体的には、Windowsドメインコントロー ラー機能を持つ「Samba」、メール、Web サービスなど各種サービスの統合認証を実 現する「OpenLDAP」、シングルサインオ ンソリューションである「OpenAM」を導入。 これらを連携させることで、Windows / Linux端末および共有ストレージにおける統 合認証およびシングルサインオンの環境を 構築することになりました。
なお、これらの製品はいずれもオープンソー スソフトウェアのため、ソースコードそのも のは公開されています。そのため、自力で 導入することも不可能ではありません。しか しあえてOSSTechの支援を受けた点につい て、情報化統括本部 情報基盤センター 助 手 松村芳樹氏は「いくら自力でできるといっ ても、実際にはいくつものドキュメントを読 み込んでさまざまな問題を解決していかなけ ればならず、多くの手間と時間が必要です。 その点、OSSTechのようなベンダーにお任 せすれば、そういった労力を大幅に減らすこ とができます。また、同社はオープンソース 関連のコミュニティで活躍していることから も、技術的に信頼がおけます。それぞれの 製品の完成度も高く、以前と比べても格段 に使いやすくなっていることから、正式に採 用を決めました」と語ります。
OpenAMによるシングルサインオン導入に より、認証に関するユーザーの利便性は大 きく向上しました。学生や教職員は「一橋 認証ID」の交付を受けることで、「情報処理・ 教育システム」と名付けられた学内システム や、ポートフォリオシステム「manaba」、 図書システム「My Library」などさまざま な学内情報サービスをシングルサインオンで 利用できるようになったのです
最新版の製品を導入することで認証基盤を整理・統合しID/パスワード不要な環境を実現
そして一橋大学は2015年、Sambaと OpenLDAP、OpenAMをそれぞれ最新版 に入れ替えることで、認証基盤のさらなる整 理・統合を図りました。中でもSamba最新版 である「Samba 4」は、Windowsのクライア ントアクセスライセンスなしにActive Directory(AD)のドメインコントローラーと してADドメインを構築できるようになったた め、ファイルサーバーのNetAppやリモート デスクトップの統合認証も実現しました。ま た、それまで試験的に運用してきた OpenAMの適用範囲を広げ、学内の教務系 ユーザー向けのWebポータルや図書館シス テムの認証にも対応しました。
そして今回の導入において最も大きな成果 といえるのが、デスクトップSSOの導入です。 この仕組みにより、情報教育棟および図書館 に設置された180台のWindows端末を利 用するときは、ICカードをかざしてPINコード を打ち込むだけで端末にログオンすることが でき、学内向け情報サービスはもちろん、 Google AppsなどのWebブラウザーベースの アプリケーションについてもIDやパスワード を入力する必要がなくなりました。1
なお、Active DirectoryによるICカード認 証は既に多くの事例がありますが、同大学の ようにSambaとOpenAMで実現した事 導入事例:一橋大学様 例は初めてとなります。
「学認」やGoogle Appsなど学外のクラウドサービスとの連携も検討
情報基盤センターでは今回の成果を踏まえ て、認証の統合をさらに進めていきたいと考 えています。例えば、全国の大学や研究機関 およびNII(国立情報学研究所)が連携して 構築を進めている学術認証フェデレーショ ン「学認(GakuNin)」についても、学内の認 証との連携を検討しているとのことです。ま た、クラウド上で提供されている外部サービ スとの連携をいかに進めていくのかも大きな テーマとなっています。
上記のポイントを含めた学内向け情報サー ビスの将来について、情報化統括本部 情報 基盤センター 助教 林正治氏は「OSSTech さんの技術力はとても頼りになりますので、 今後も協力を仰ぎつつ各種モジュールを試 させてもらうなどしてサービスを充実させて いきたいですね」と期待を述べました。
※注 学内からはパスワード入力なしにGoogle Appsなどが利 用できますが、学外からGoogle Appsを利用する場合はパス ワード入力が必要になるように設計されています。 ↩︎
