九州工業大学：OpenSSO , SAML （simpleSAMLphp）を利用した認証基盤を構築

九州工業大学 e-ラーニング事業推進室は、オープンソースの認証システムであるOpenSSOを採用することにより、各地に点在する学習環境へのシングル・サイン・オンを実現しました。これにより、個別の学習環境へのログインが必要なくなるため学習者の負担が軽減されるのみならず、パスワード管理を中心とした管理業務の軽減も見込まれます。さらに認証連携のプロトコルとして標準的なSAMLを採用することにより、将来における他の認証システムとの接続性も考慮した設計になっています。

本システムでは、認証サーバにOpenSSOを使用することにより、Web会議システムおよびMoodle（オープンソースの教育コース管理ソフト）へのシングル・サイン・オンおよびアクセス制御を行っています。Moodleとの認証連携には標準的なプロトコルであるSAMLを使った方式を採用しています。

Web会議システムへのアクセス制御にはリバース・プロキシ方式を採用しています。

認証サーバとしてのOpenSSO、ユーザ・リポジトリとしてのOpenLDAPをはじめ、主要なサーバにオープンソース製品を使いコスト削減を図りました。

Moodle自体はSAMLによる連携機能を持たないため、SAMLに基づきデータのやり取りを行うsimpleSAMLphpおよびそれ基づきMoodle内の認証とユーザ属性の設定を行うSAML認証プラグインを追加する必要があります。

ユーザ・リポジトリとしてのOpenLDAPに収められたユーザのLDAP属性は、一旦OpenSSOによりSAML属性にマップされた後に、simpleSAMLphp経由でMoodleのSAML認証プラグインに引き渡されます。

SAML認証プラグインは渡された属性をMoodleのユーザ属性にマップし設定・保存します。これらの属性マッピングの設定は管理者GUIから行うことが出来ます。

Moodleでは「ロール」という仕組みを使って各ユーザがMoodle上で出来ることを管理します。ロールには様々なものがありますが、「管理者」ロールに次いで重要なものに「コース作成者」ロールがあります。本システムでは、SAMLのユーザ属性に基づき動的に「コース作成者」ロールを付与することを行っています。

この機能は、既にあるSAML認証プラグインには含まれていなかったためオープンソース・ソリューション・テクノロジ（株）で追加開発を行いました。開発した結果は、Moodleのソースコードの一部として登録されているため、どなたでも利用可能です。

SAML属性とコース作成者ロールのマッピング機能の追加

このように足りない機能は適宜追加してコミュニティで共有出来ることはオープンソース製品を使うことで得られる大きなメリットのひとつです。

• 記載されている会社名および商品名は各社の商標または登録商標です。