クラウドはOpenAMでシングルサインオン、イントラネットはSambaやOpenLDAPで統合認証ID管理も認証基盤もすべてオープンソースで構築
東京外国語大学は2014年3月、新たな情報基盤システムの運用を開始しました。
このシステムでは、学外のデータセンター(DC)とオンプレミスを併用するハイブリッド・クラウド環境を構築。
メールにはGmailを採用するなど、意欲的な構成となっています。
そしてこのシステムの統合認証基盤として、同大学が採用したのがオープンソース・ソリューション・テクノロジ(以下、OSSTech)が提供するシングルサインオン(SSO)製品「OpenAM」などの製品群です。
この導入により同大学は、使い勝手はそのままでありながら、管理・運用の負担を軽減し、利便性も高い認証システムを実現しました。
東京外国語大学の総合情報コラボレーションセンター(ICC)は、教育研究、学術情報サービス、コンピューターネットワーク、情報処理教育、附属図書館および学務事務処理に関する効率的な情報処理事業の推進を担っています。
同大学では、ICCの主導により全学情報基盤システムの更新プロジェクトを進めていました。
このプロジェクトにおいて、主なテーマとなったのが以下の点です。
- BCP(事業継続計画)の強化
- クラウドサービスの活用
- 無線LANのさらなる整備
- エンドポイントのセキュリティ強化
大学の公式Webなど主な情報基盤を強固な環境・設備を持つDCへ移行。
学生向けメールやファイル共有についても、止まらないサービスを実現するため、クラウドサービスの活用を進めることにしました。
このことについて総合情報コラボレーションセンター主事で、大学院総合国際学研究院准教授の望月源氏は次のように背景を説明します。
「教育機関向けクラウドサービスは安価に利用できるというメリットもありましたが、もう一つ大きな理由として、これまで大学のメールアドレスが学生にあまり活用されておらず、大学からのメール連絡が行き渡らないという問題も出ていました。
そこで、多くの学生が使い慣れているであろうGmailをサービスに取り入れることで、利用を確実に促進できると考えたのです」
最終的に同大学では、財務会計や図書館など一部の学内システムはオンプレミスのまま残し、クラウドとオンプレミスを併用するハイブリッド・クラウド環境を構築することに決めました。
東京外国語大学では、メールにGmailを、個人用ストレージにGoogleドライブを採用する一方、その認証についてはICCで管理しています。
「認証の部分を本学で持つ理由は、ID/パスワードの管理をスムーズに行えるようにするためです。
本学は、一般の学生と教職員のほか、短期滞在の留学生や聴講生、非常勤の教員まで含めると、ユーザーの数は全体で6000ほどになりますが、それぞれにID/パスワードの変更等が発生することを考えると、この部分をクラウドサービス側に任せていたのでは迅速な対応ができないと考えました」と情報企画主幹の今井健二氏は語ります。
新システムでは、認証はIISSを経由し、各主要サービスと接続する仕組みです。
そしてこの統合された認証基盤に採用されたのが、OSSTechが提供するSSO製品「OpenAM」でした。
「新しい基盤システムでは、従来からある各種学内システムでの認証の使用感を大きく変えずに、新しいクラウドサービスでの認証が共存可能なことをポイントとして挙げました。
検討の結果、『OpenAM』の採用を決定したわけですが、シングルサインオン方式の導入は本学にとって新しい挑戦となりました。
採用が決まったのは2013年10月のこと。
そこから準備を進め、2014年2月に導入作業を開始。
3月20日にカットオーバーすることができました。
東京外国語大学の認証基盤には「、OpenAM」のほか、ディレクトリサービスを提供する「OpenLDAP」、高性能NAS(ファイルサーバー)機能およびWindowsクライアントの認証サーバー(ドメインコントローラー)機能を備えた「Samba」、メーリングリストサーバーの「Maiman」など、OSSTechの一連の製品群が採用されています。
また、無線LAN環境での認証機能を持つ「FreeRADIUS」の導入作業もOSSTechが担当しました。
これに加え、IDの統合管理を提供する「Unicorn ID Manager」を導入することで、アカウントDB、LDAP、クラウドサービス、無線LAN(RADIUS)との間で、ユーザー情報の同期を実現。
さらにOpenAM、Samba、FreeRADIUSの認証情報はOpenLDAPへ格納されるため、IDとパスワードを統合することができました。
お客様の声
認証の統合的な運導入事例:東京外国語大学様用・管理が可能になるとともに、ユーザーはIISSへログインするだけで各主要サービスが利用できる、利便性の高い環境が実現しました。
本学のシステムを運用の実情まで含めて、本当に良く理解してくれており、こちらの質問や要望に対するレスポンスがとても速く、ほとんどはその場で回答してくれました。
カットオーバーからここまでノントラブルで運用できており、使用感も以前のシステムより速く感じますね」と高く評価していただきました。
今後については、次のステップとして導入を計画しているOffice365への対応としてActiveDirectoryと連携を図っていく予定とのことで、その点でもOSSTechには、これからも適切なアドバイスをいただきたいとのことでした。
- OpenAM
Tomcat,OpenLDAP対応で高機能なシングルサインオン機能を提供 - Mailman 3
Postfix、Google Workspace、Microsoft 365など のメール機能を補完するメーリングリスト サーバー - OpenLDAP
統合認証、ディレクトリサービス、シングルサインオンのための必須製品 - Samba
Linuxを Windows Active Directory の代替とし、高性能NAS (ファイルサーバー) として活用 - Unicorn ID Manager
Google Workspace,Active Directory,LDAPに対応した統合ID管理製品