賛助会員だより
2016年1月に創立135周年を迎えた明治大学は、「駿河台キャンパス」、「和泉キャンパス」、「生田キャンパス」を有し、さらに近年、第4のキャンパスである「中野キャンパス」も開設しました。
都内に複数キャンパスを持ち、学部や大学院及び多くの研究機関で教育活動を展開している明治大学はまさに“都心型”ともいえる総合大学です。
中高、大学、大学院の学生ならびに教職員、嘱託職員を含めて、約37,000名のアカウントが存在する大規模キャンパス内には、数多くのシステムがあります。本稿では、旧来の認証基盤で抱えていた運用・管理面での問題を解決するために刷新した認証基盤システムの事例をご紹介します。
明治大学 駿河台キャンパス 岸本辰雄記念ホール
キャンパス内には数多くのシステムがあり、それらは人事基本システムと学籍システムの情報を集約した基幹データベース(基幹DB)を源泉として連携されています。
改修前においてこれらをまとめるシステムは、 学内ウェブサービスへのシングル・サイン・オン (SSO)を実現する「共通認証システム」と、学内の各サービス用のアカウントを発行する「アカウント管理システム」の二つが存在していた。学生や教員が利用する“Meiji Mail”のアドレスなどもこの「アカウント管理システム」から登録される仕組みであった。二つのシステムには基幹DBから専用のビューを用いてデータを取りこみ、独自に開発されたプログラムによりアカウントを生成していました。また、各キャンパスには各種LDAPサーバならびにWindows Active Directory(AD)等が、学内システムにはローカルのデータベース(ローカルDB)で管理されるシステムが存在していた。一方、図書館システム等は基幹DBと連携しているが、学外のユーザアカウントは手動で作成され、システム独自の画面からパスワード変更がなされていた。
すなわち、既存システムにおいては独自の作り込みにより連携されており、それぞれのシステムが連携参照する先、保有するIDやパスワード、パスワード変更の為のWeb画面、反映同期の仕組みなどは個々に開発されている状況であった。
現行のシステム課題を解決するためには、利便性向上のためのSSO導入に加え、学内のアカウントを統合的に管理するID管理システム(製品名:LDAPManager)が新たに必要であるという結論に達しました。SSOを除く統合認証基盤全体においてアクシオが選定された。
インタビューにおいて、「私達には長く使っていくシステムの将来性として、開発コスト低減や共通化、標準化推進の狙いがありました。従って、できる限り特別な作り込みをせず製品の機能で共通的なシステムを目指すべきと判断し、検討を進めました。」
独自開発を減らす、まさに“引き算する”という発想。ここで重要なのは製品機能でどこまでを実現でき、理想のシステムに近づけるのかを見極めることだ。設計の検討段階においては、アクシオから要件と製品の持つ機能を照らし合わせ、実現の可否を判断し提案をおこなった。数多くの国内外のID管理製品を扱い、製品の特長を熟知しているからこそ、あえて“足し算をしない”という確かな製品選択の“目利き”が活かされる提案となった。こうして新たな統合認証基盤ではLDAPManagerの機能に集約し、共通化と最適化が図られた。
今回の統合認証基盤ではこれまでのID体系を踏襲しつつ、新たな仕組みづくりも実現した。さらに、将来的なID体系の見直しの可能性を考慮し、全体的なログインIDの洗い替えも可能な仕組みとした。
「最終目標は学内で利用されているアカウントを一つに統合することですが、今回のプロジェクトではその前段階の準備ができたと思っています。」パスワード連携もID管理システムから最新のパスワードが各システムに連携できるようになり、個別システムでパスワード変更機能を準備する必要はなくなった。また導入のSSOシステムでは、クラウド上とアイデンティティ情報をやり取りするSecurity Assertion Markup Language(SAML)連携をサポートする、いわゆる”フェデレーション“も準備されており、クラウドサービス上のシステムとも認証連携が可能となる。「学内だけでなく学外においてもSSO環境を維持して、将来における必要なシステムを一元的な認証基盤のID体系配下で運用できる基盤を整備でき、将来の管理の姿が見えてきました。」
情報基盤部長: 鎌田教授 (中央) システム企画事務室: 藤澤様 (中央右) 石山様 (右) メディア支援事務室: 瀧澤様 (中央左) 図書館総務事務室: 角様 (左)
問い合わせ先 | |
株式会社アクシオ | |
セキュリティソリューション事業部 | |
TEL: | 03-6430-0955 |
E-mail: | ss−info@axio.co.jp |
(アドレスは全角文字で表示しています) | |
URL: | http://www.axio.co.jp/ |