九州工業大学:OpenSSO , SAML (simpleSAMLphp)を利用した認証基盤を構築

OpenSSOを採用しSAMLおよびリバース・プロキシ方式による認証、アクセス制御を実現

九州工業大学 e-ラーニング事業推進室は、オープンソースの認証システムであるOpenSSOを採用することにより、各地に点在する学習環境へのシングル・サイン・オンを実現しました。これにより、個別の学習環境へのログインが必要なくなるため学習者の負担が軽減されるのみならず、パスワード管理を中心とした管理業務の軽減も見込まれます。さらに認証連携のプロトコルとして標準的なSAMLを採用することにより、将来における他の認証システムとの接続性も考慮した設計になっています。

本システムの特徴

本システムでは、認証サーバにOpenSSOを使用することにより、Web会議システムおよびMoodle(オープンソースの教育コース管理ソフト)へのシングル・サイン・オンおよびアクセス制御を行っています。Moodleとの認証連携には標準的なプロトコルであるSAMLを使った方式を採用しています。

Web会議システムへのアクセス制御にはリバース・プロキシ方式を採用しています。

認証サーバとしてのOpenSSO、ユーザ・リポジトリとしてのOpenLDAPをはじめ、主要なサーバにオープンソース製品を使いコスト削減を図りました。

SAMLによる連携の詳細

Moodle自体はSAMLによる連携機能を持たないため、SAMLに基づきデータのやり取りを行うsimpleSAMLphpおよびそれ基づきMoodle内の認証とユーザ属性の設定を行うSAML認証プラグインを追加する必要があります。

ユーザ・リポジトリとしてのOpenLDAPに収められたユーザのLDAP属性は、一旦OpenSSOによりSAML属性にマップされた後に、simpleSAMLphp経由でMoodleのSAML認証プラグインに引き渡されます。

SAML認証プラグインは渡された属性をMoodleのユーザ属性にマップし設定・保存します。これらの属性マッピングの設定は管理者GUIから行うことが出来ます。

ユーザ属性とMoodleのロールとのマッピング

Moodleでは「ロール」という仕組みを使って各ユーザがMoodle上で出来ることを管理します。ロールには様々なものがありますが、「管理者」ロールに次いで重要なものに「コース作成者」ロールがあります。本システムでは、SAMLのユーザ属性に基づき動的に「コース作成者」ロールを付与することを行っています。

この機能は、既にあるSAML認証プラグインには含まれていなかったためオープンソース・ソリューション・テクノロジ(株)で追加開発を行いました。開発した結果は、Moodleのソースコードの一部として登録されているため、どなたでも利用可能です。

SAML属性とコース作成者ロールのマッピング機能の追加

このように足りない機能は適宜追加してコミュニティで共有出来ることはオープンソース製品を使うことで得られる大きなメリットのひとつです。

九州工業大学 e-ラーニング事業推進室について

e-ラーニング事業推進室は、情報技術によるコミュニケーション・ネットワークを使った主体的な学習環境の整備と活用のために2003年4月に発足した全学組織です。
住所 福岡県飯塚市川津680-4
室長(兼任) 教育・情報担当・副学長 尾家 祐二
専任教員 e-ラーニング事業推進室・講師 大西 淑雅
Webページ http://www.e-learningcenter.kyutech.jp/

登録商標等

  • 記載されている会社名および商品名は各社の商標または登録商標です。
© 2022 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp
-->