京都大学

掲載日 2007年6月19日

教職員向けや学生向けなど、さまざまなユーザー向けのシステムを数多く利用している京都大学では、学内にある複数のシステムを相互に利用するため、認証をキーワードにさまざまな取り組みが行われています。ユーザーがより使いやすいシステムとするための方策の一つが、一度のログインで複数のシステムに入れるシングル・サインオン。今回、認証の新たな取り組みとして、IBM Tivoli® Federated Identity Managerを導入しました。
京都大学では、すでにTivoli Access Manager for e-businessを導入済みであり、教員向け、職員向けのシステムのシングル・サインオンが実現しています。今回さらにTivoli Federated Identity Managerを導入することで、異なるベンダー間、ドメイン間の接続が容易になり、独立していた各システムを等価的につなぐ、認証基盤の整備の下地が出来上がりつつあります。学内のシステム連携を踏まえ、今後は大学間、そして海外の研究機関などとの連携も視野に入れた取り組みが続けられています。

京都大学
学術情報メディア
センター センター長
美濃 導彦教授 開かれた大学ならではの
人の動きに合わせたシステム作り

京都大学では、情報環境部と学術情報メディアセンターの二つの組織が中心となって、全学的なシステムの統合や情報基盤の検討を進めています。学術情報メディアセンター センター長 美濃導彦教授は、システムの現状について次のように語ります。「53の部局がそれぞれの仕事に必要なシステムを個別に構築してきた結果、さまざまなシステムが別々に稼働している状況が生まれていました。そこで昨年から、認証を中心として情報環境基盤のあり方を議論しています」
その一歩として、京都大学では、IBM Lotus Notes®/Domino® を中心としたグループ・ウェアのシステムと大学職員の人事システムに対し、昨年Tivoli Access Manager for e-businessを導入、一度の認証で双方のシステムをシームレスに利用できるシングル・サインオンの環境を整えてきました。システムを考える上で、大学という環境について、次のような特長があると美濃教授は語ります。
「構成員が固定的な企業という枠組みに対し、大学は非常にオープンで流動的です。常に人の出入りがあります。例えば研究者は個人の活動が非常に大切で、国内外から短期的に滞在する研究者が数多くいます。そのため大学のシステムは、人を中心にすることが必須と考えています。重要なのは、やはり認証です。システムを利用する人をきちんと認証できること、そこを第一に考えて、大学全体のアーキテクチャーが見直せないか考えています」 　　　　　　 　　　　　　　　　　　　

上に戻る

異なるベンダーの製品を、オープンなプロトコルで接続。
構築済みのシステムを生かして、システム間の壁を超えたシングル・サインオンを実現

今回導入されたTivoli Federated Identity Managerの特長として挙げられるのが、Security Assertion Markup Language（以下、SAML）2.0をはじめとした認証連携に関する標準に準拠しているということです。これらの標準に準拠していれば、異なるベンダーの製品でもフェデレーションが可能です。この点を生かし、教員向けのアプリケーションと職員向けのアプリケーションをTivoli Federated Identity Managerで接続。昨年すでにTivoli Access Manager for e-businessを導入し、一部のシステムはシングル・サインオンを実現していますが、今後のシステム拡張に向けて、Tivoli Federated Identity Managerの有効性を検証するための調査も目的として、活用されています。

上に戻る

京都大学
学術情報メディア
センター
永井 靖浩教授 より柔軟に対応できる
シングル・サインオン環境のベースを構築

Tivoli Federated Identity Managerについて、 学術情報メディアセンター 永井靖浩教授はその柔軟性を高く評価しています。
「Tivoli Federated Identity Managerでは、異なるサイト間（マルチ・ドメイン）でのシングル・サインオンが実現できただけでなく、標準なプロトコルに則ったシームレスなアプリケーション連携の仕組みが、大学において非常に有効と感じています。認証の仕組みについて、各部局で管理・運営していくのは大変ですが、そこをつなぐソリューションとしてTivoli Federated Identity Managerは、一つの答えになるのではと考えています」(永井教授)
昨年Tivoli Access Manager for e-business を導入したときのノウハウも今回非常に役立ったと、学術情報メディアセンター 古村隆明准教授は語ります。
「Tivoli Federated Identity Managerもベースは同じということで、今回の導入に際して、特に苦労はありませんでした。大学のようにそれぞれの専門分野を持つ組織の集合体では、同じ学内でも独立性が強い場合があり、フェデレーションによって各組織の複合体を連携させる価値があると考えています」
3月末に実稼働に入ったシステムは、関係者の検証レベルから本格運用を目指す段階へと移行しています。

上に戻る

京都大学
学術情報メディア
センター
古村 隆明准教授 接続したい要望を受け入れ、いつでも連携可能なシステムへ

昨年度よりスタートした京都大学の取り組みは、5年計画で進められています。
「例えば建物や教室の入退室をICカードで認証し、出欠の確認やセキュリティーに役立てることも考えています。最終的には学内だけでなく、複数の大学間の認証も視野に入れ、より大学の実情に合った使いやすいシステムを作っていければと考えています」(美濃教授)
現在Tivoli Federated Identity Managerに含まれていないシステムについても、今後さらに利用の範囲を広げていきたいと、抱負を語ります。
「例えば、期間を区切ってシングル・サインオンを許可するような運用を行うことで、学内外の研究プロジェクトなど、期間の決まっているものにも有効に活用できると思っています」(永井教授)
「学内の部局で運用している多くのシステムを、われわれの側ですべて統合するのは難しいですが、SAML準拠の認証システムを中央に用意すれば、各部局が必要に応じて汎用的なSAMLプロトコルを利用して認証を連携することができます。部局の独立性も尊重できるシステム作りを考えていきたいです」(古村准教授)

上に戻る

• お客様名：京都大学
• 所在地： 〒606-8501京都府京都市左京区吉田本町
• URL：http://www.kyoto-u.ac.jp/

明治30年創立。人文系から医学系、理工系まで、幅広い分野で学ぶ学生数は2万人を超える総合大学です。学生のみならず、中学生向けのジュニアキャンパスや一般向けの公開講座なども開講。総合博物館などでの展示等を通し、地域や社会に開かれた大学を実践しています。

上に戻る

• SAML
  Security Assertion Markup Languageの略。標準化団体OASISによって策定された、IDやパスワードなどの認証情報を安全に交換するためのXML仕様。認証情報の交換方法はSAMLプロトコルとしてまとめられている。SAMLを用いることで、一度の認証で複数のWebサイトやサービスが利用できるシングル・サインオンを実現できる。

上に戻る

ソフトウェア

• Tivoli Federated Identity Manager
• Tivoli Access Manager for e-business

上に戻る

本事例中に記載の肩書や数値、固有名詞等は初掲載当時のものであり、閲覧される時点では、変更されている可能性があることをご了承ください。
事例は特定のお客様での事例であり、すべてのお客様について同様の効果を実現することが可能なわけではありません。

IBM、IBMロゴ、Lotus Domino、Lotus Notes、Lotus、TivoliはInternational Business Machines Corporationの米国およびその他の国における商標です。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標。

上に戻る