[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[drf:967] Re: [drf:966] Re: [drf:963] Re: [drf:960] Re: [dconwg:13322] [csi:1617] [drf:957] Re: シボレス認証って何? Re: Fwd: Shibboleth access now available for Cambridge Journals Online
- Date: Thu, 12 Mar 2009 04:43:01 +0900 (JST)
前田さん、
> あまりdrf@でこの話題を長くするのも気がひけるのですが・・・・
同感ではありますが、機関リポジトリとは、やはり「機関」のリポジトリであ
るので、どうしても触れざるを得ません。
> 1)たとえば「大学個人認証IDによるVPN利用」があれば、その上で「個人認証が
> 必要なウェブサービス」が電子ジャーナルのサイトで多くあるでしょうか?
> 各EJサイトの個人環境(My Libraryみたいな)の利用等には役立ちますが。
まあ、それがあります。しかし、サイトライセンスとIP認証とは同義ではない
ので、もし(はい、あくまで「もし」ですが)個人認証が一般的になれば、そっ
ちのほうが細かいコントロール、たとえば、属性(教員、学生)によってライセ
ンスを変える、あるいは、認証のレベルを変えるというようなことが、一元的
に可能になります。ここでは「一元的」というのが重要で、サービス提供側は、
ライセンシー側の属性付与を信用するかぎり、属性を判断するだけでサービス
対象を管理することが可能になります。たとえば、X学部の教員だけがアクセスでき
るコンテンツというようなものがあったとしても、契約主体は大学(大学図書
館)でしょうから(支払い元は別としても)、この場合には個人ユーザIDを発行
しているのが現状だと思います。しかし、そういうコンテンツについて自分の
IDを学生に使わせることはかまわないように思う教員でも、そのIDでどこでも
いけるとなれば使わせるわけにいかないでしょう。このあたりを丁寧にやろう
とすると、VPNでもかなり細かい管理が必要となるわけですから、属性情報を
必要なライセンス運用はShibbolethによって容易かつ安全に実施できるように
なります。
> 2)Elsevier 等商業出版社はシボレス等の技術にも対応するでしょうが、ACSや
> AMSなんかの学会系に Shibboleth 対応を期待できるでしょうか?
> (大手学会系では対応予定を打ち出しているのはAPSだけだったような・・・)
はい。ACSがAtyponに移りますので、AtyponがたしかShibbolethに対応してい
るはずですので、そういうところを利用する中小の学会出版者、商業出版者は
一気に対応可能になっていくだろうと思います。
また、国単位でフェデレーションができているのが趨勢(もちろん、アメリカ
は除く)なので、国単位のコンソーシアムがあるようなところ(たとえば、イギ
リス)では、一元的な認証システムとして機能することになり、そういうとこ
ろを相手にする出版者は当然Shibbolethを実装することになるので、まあ普及
は一気にいくと思います。今般でも、Internet2だけでやっているときは普及
していたとはいえなかったのですが、イギリスが2、3年前に移行し、昨年、
Athens2を止めたときに一気に変貌してしまったという例があります。
また、この(コンテンツ提供を含む)サービス・プロバイダとサービスを亨受す
るアイデンティティ・プロバイダ(機関)との双方が構成するフェデレーション
でやるところが味噌で、両者の信頼関係がある意味で固定化されることを意味
します。VPNはサービス・プロバイダ側がauditできないサービスなので、サー
ビスプロバイダ側の一方的な信頼によってのみ成立するものなので、その関係
の崩壊はけっこう楽に起きるわけです(たとえば、systematic dowoload)。
> ・・・・・多分オフキャンパスアクセスという点ではVPNは最も安全で安定している環境
> だと思います。Shibboleth のSSO機能もVPNに代表されるリモートアクセスのための
> 工夫も、補いあって働くべきでしょう。
とはいうものの、VPNの技術は基本的にはトンネリングだと思うのですが、SSL
が典型的なように、多くの場合、ネットワーク(とくにルータ)の設定に影響を
与えます。これは結構面倒な話で、
と、ここまで書いたところで、
> 大阪大学の土出です。お世話になっております。
> ただいま出張中(でdrf-MLに投稿できない)前田より,代理投稿の依頼がきましたので
> お送りします。。
という出出しが気になりました。今ちゃんと阪大でVPNが動いているならば、
「代理投稿」などは不要ではないでしょうか。実際ぼくも今は自宅にいますが、
VPN(といっても、ただのSSHトンネルを使ったポートフォーワードですが)で受
信者には大学からとかしか考えられないメールを送っているわけです。読めて
いるということは、大学のアドレスに来たメールを外部の私的なアカウントに
転送しているということでしょうか。
さて、もちろん、Shibbolethによる認証は安全性にかんしてすべての点で完璧
ではありません。しかし、ちゃんと使えばかなり便利になり、便利さの獲得の
ために安全性を犠牲する程度はそれほどないという判断で使用されているのだ
と思います。
とりあえず。
土屋