EDB/CMS - 徳島大学統合認証(2012.3〜)＠情報化推進センターの利用について

現在，EDB/CMSでは，

• http://cms-ldap.db.tokushima-u.ac.jp / 学生閲覧用(学内)
• https://cms-ldap.db.tokushima-u.ac.jp / 学生閲覧用(学外)

において，UNI-LDAP認証を用いてユーザ認証を行っている．UNI-LDAP認証では，学生，教職員の両方を認証可能であり，アクセスコントロールに説明されている@ldapファイルに認可ユーザ名を列挙しておくことにより，アクセス制限（認可）を行うことができる．

徳島大学統合認証システムの運用開始により，教職員はEDBより提供される「S系アカウント」(S○○○○○)と情報化推進センターより提供される「c系アカウント」(c○○○○○○○○○○)の両方を持つこととなったが，EDB/CMS (LDAP認証)においてこの両方を利用するためには，@ldapに両方を記述しておくことが必要であり，教職員のアカウントを調べる手間が2重になり繁雑な作業となる．

また，情報化推進センターの運用計画にはc系アカウント認証を提供するLDAPサーバの運用停止が予定（Shibbolethに移行）されており，それを利用しているUNI-LDAPの運用停止とShibboleth対応（Shibbolethは「S系アカウント」には対応しないと推測される）に対応するため，長期的には「S系アカウント」での利用が不可能となる． したがって，今のうちに「S系アカウント」を「c系アカウント」に変換しておき，切替えに備えておくことが必要である．

EDBのユーザ登録の有無にかかわらず，UNI-LDAP認証可能なユーザ，すなわち

• EDBにユーザ登録があり，EDB/LDAPにおいて認証可能な「S系アカウント」
• 徳島大学統合認証にユーザ登録があり，EDB/LDAPにおいて認証可能な「c系アカウント」

に関しては，

• http://cms-ldap.db.tokushima-u.ac.jp
• https://cms-ldap.db.tokushima-u.ac.jp

において認可対象とする．

「S系アカウント」⇔「c系アカウント」対応表の作成については，

○ (S系アカウント)→EDBの【個人】.[職員番号] → 職員番号 →統合認証ID(c系アカウント)

職員番号を持つユーザのための方法．ただし，【個人】.[職員番号]が登録されていない場合には，対応表は作成されない．

○ (S系アカウント)→EDBの【個人】.[統合認証ID](c系アカウント)

職員番号を持たないユーザのための方法．

給与対象でないユーザは職員番号を付与されないため上記の変換ができない．

の2種類の方法を組み合わせて作成している．なお，対応表の作成にあたっては【個人】.[統合認証ID]による方法が優先する．

上記により作成した対応表を用いて，@ldapファイル解析時に認可ユーザの展開を行っている． 具体的には，S系，c系の両方を対象として対応するアカウントを発見した場合には，

「S系アカウント」⇒「S系アカウント」,「c系アカウント」

「c系アカウント」⇒「S系アカウント」,「c系アカウント」

のように，どちらのアカウントでも同等の認可を受けることができるようになっている．

アクション	アクションが反映されるまでの遅延時間
統合認証におけるユーザ登録	（情報化推進センターでの処理終了後）20分程度
統合認証におけるパスワード変更	（情報化推進センターでの処理終了後）即時
EDBにおける統合認証ID，職員番号の登録・変更	翌日（夜間のバッチ処理により反映）

現在，EDB/CMSでは，

• https://cms.db.tokushima-u.ac.jp / 教職員閲覧・登録(ID&Pass)

において，Baisc認証を用いてユーザ認証を行っている．

徳島大学統合認証システムの運用開始により，教職員はEDBより提供される「S系アカウント」(S○○○○○)と情報化推進センターより提供される「c系アカウント」(c○○○○○○○○○○)の両方を持つこととなったが，EDB/CMS (Basic認証)ではEDBから供給される認証情報「S系アカウント」のみを利用しているため，「c系アカウント」での利用は不可能であるという状態に至った．

EDBに纏わるユーザ認証方式(EDB/CMSのユーザ認証も含む)には数種類あり，各々は用途に合わせて用意されたものであるが，従来から紛らわしいとのユーザからの指摘があり，この状況に徳島大学統合認証システムの運用開始が更に複雑さを加えることとなった． 「徳島大学統合認証での利用に統一せよ」との声も拝聴するが，徳島大学統合認証アカウントのユーザ集合がEDBのユーザ集合のスーパーセットでない以上，完全な徳島大学統合認証への移行は不可能である． また，EDB/CMSのユーザ認証は主にクライアントコンピュータのOS／ウェブブラウザが記憶し，利用者は日常意識することなくEDB/CMSでの認証を経るケースが多いことから，移行時には相当の混乱が予想される．

幸い情報化推進センターのご好意により徳島大学統合認証の認証情報の提供を受けることが可能となったため，EDB/CMSの認証方式はBasic認証のまま変更せず，「c系アカウント」の追加という方法で対応することが可能となった．

なお，EDB/CMSのBasic認証は外部認証サーバの認証とは独立しているため，(統合認証システムのLDAPサーバ運用停止にかかわらず)「S系アカウント」による認証は将来ともに継続して利用可能である．

EDB/CMSはEDBが提供する教職員のための汎用コンテンツサーバであるとともに，EDBに登録された【個人】情報や組織情報を元にアクセス制限設定の自動化を図っている． この自動化されたアクセス制限設定を統合認証アカウントに拡張することは困難であるため，全ての統合認証アカウントについて拡張を行うのではなく，EDBのユーザ登録があるユーザについてのみ統合認証アカウントへの拡張を行うこととする．

言い替えると，

• https://cms.db.tokushima-u.ac.jp

にける認可処理について，「S系アカウント」に関しては従来通り変更はなく，「S系アカウント」をもつユーザにのみ「c系アカウント」での認可が可能となる．

現在，試験運用中．

アクション	アクションが反映されるまでの遅延時間
統合認証におけるユーザ登録	（情報化推進センターでの処理終了後）20分程度
統合認証におけるパスワード変更	（情報化推進センターでの処理終了後）20分程度
EDBにおける統合認証ID，職員番号の登録・変更	翌日（夜間のバッチ処理により反映）