campusua lite ご提案書 - si.mitani-corp.co.jpƒ€ウンロード資料... · adfs....

CampusUA Lite ご提案書

COPYRIGHT © 2017 Mitani Corporation 1

各種システムのＩＤ・パスワードを統一したい！

管理者不在でも、簡単にパスワード再発行・アカウント登録がしたい！

学内のサーバーが止まっても、クラウドメールはサービス継続したい！

2COPYRIGHT © 2017 Mitani Corporation

CampusUA Liteとは

ＩＴを活用した授業の拡大で、学生１人１人のＩＤ・パスワードの重要性が増しています。クラウドを含めて多様化するシステムにおいて、パスワードの統一、パスワード忘れユーザへの迅速な対応が、スムーズな授業運営の１つのポイントです。CampusUA Liteは管理コスト削減や、セキュリティー強化面も含めて、安価に以下の点を実現いたします。

学内もクラウドも、シンプルにID管理！

学内もクラウドもパスワードはひとつです！

CampusUA Liteのデータベースから、各システムのID、パスワード連携ができます！ユーザによるパスワード変更も可能で、連携先システムにパスワードが連携できます！学生がパスワードを変更する際に、パスワードポリシーを適用でき、推測されやすいパスワードを除外できます！

管理者不在時のシステム運用が便利に！

ユーザによるパスワード再発行が可能です！（スマホ等に認証コード送付）権限を制限した、サブ管理者の設定が可能です！（特定グループのID登録権限を持たせたり、パスワード再発行権限のみを持たせる）

BYOD端末（私用端末）管理も！

BYOD端末のMACアドレスの管理が可能です！卒業生、退学者のアカウントの休止、削除時に連携します！※学内の無線LAN環境との連携についてご相談承ります！

IDライフサイクル管理が簡単に！

IDの自動登録・スケジュール登録が可能です！退職者、休学者などのID棚卸しが簡単になります！AD、Office365、Gsuiteのユーザおよびパスワード連携が一括で可能です！これからは、各システムでの休止、削除処理が必要なく処理漏れによるセキュリティリスクを軽減します！


利便性

最適化

セキュリティ

（情報漏洩対策）

スピード

多様性

監査

（利用統計）

・クラウド環境とオンプレミス環境を有効活用し耐障害性を強化する。（災害時や停電時でも利用可能）

・ユーザプロビジョニングツールで利便性を向上する。・大学間連携システム（学認など）やクラウドシステムの活用におけるユーザ管理業務の最適化を行う。

・管理業務の一部をシステム化し利用者に委任することによる業務負担を軽減する。

・IDのライフサイクルを監視する。・認証ログを蓄積し、人・者・場所をデータ化する。

・ユーザ登録作業の作業量を軽減する。・各種リソース(システム)が利用できるまでの時間を短縮する。

・本人確認・IoT関連の多様化・スピーディーな処理や分析

・IdPの認証・認可機能でセキュリティを向上させる。・セキュリティーポリシーを統一しルール化する。・退職者、卒業生、有効期限切れなどIDの漏洩や悪用による情報漏洩を防止する。

・認証強化（ID/Password以外）・本人確認（窓口で免許証やパスポート提示を求められるかわりになるIT的な手法）

ADFS

生体認証声紋認証虹彩認証

顔認証指紋認証合言葉認証

多要素認証(2要素認証) クライアント証明書

学生証SSO

Shibboleth

BYOD

MDM

生涯ID

利用統計データ

ユーザプロビジョニング

ワークフロー（利用申請）

利用ログビックデータ

暗号化ID管理

ユーザ認証

権限制御

システム管理監査

効率IoT

学認

ＩＤ管理の主な目的とキーワード


・アカウント申請時のID登録申請・持込端末のネットワーク利用申請・異動時のスケジュール申請処理

パスワード変更パスワードリマインダ

個人情報確認

CampusUA Lite

ID棚卸(整合性チェック)(未使用アカウント抽出)

システム管理者

同期結果の通知

運用担当者

上位システム

ユーザ情報更新（自動登録）

自動登録登録結果の通知

ユーザ情報登録（有効期限設定）

有効期限自動設定

停止準備停止

削除

設定された有効期限終了日から停止準備,停止,削除処理を自動実行します。(システムで固定)

権限委譲パスワード一定期間未変更者情報の取得

プロビジョニング

ワークフローによる利用申請(次期バージョン予定)

教職員

学生・教職員

システム管理者

運用担当者

パスワード再発行ユーザ情報更新

登録準

備

停止

猶予

通常運

用

申

請

時

ログ情報蓄積と取得

システム利用サイクル


新規追加配属決定所属変更出向所属変更・・・退職

グループウェア追加追加or更新

(所属変更による権限更新)

追加or更新(所属変更による権限更新)

停止再開&更新


削除

教員ポータルなし

（利用不可）なし

（利用不可）追加

(通信教育学部の教員管理の為)

停止削除

(削除処理に対する処理)

削除

職員ポータル追加追加or更新


追加or更新(所属変更による権限更新)

更新(所属変更による権限更新)

再開&更新(所属変更による権限更新)

削除

SSOシステムなし

（利用不可）追加or更新追加or更新(変更なし) 停止


削除

ActiveDirectory なし（利用不可）追加or更新

追加or更新(OUやグループ変

更)停止


停止

教員ストレージなし（利用不可）

なし（利用不可）

なし（利用不可）なし追加削除待機

フォルダへ移動

メールシステム追加追加or更新(MLメンバ更新)

追加or更新(MLメンバ更新)

追加or更新(MLメンバ更新)

更新(MLメンバ更新) 停止

所属コード：1001所属：人事部扱い

所属コード：5001所属：広報部

所属コード：5001所属：通信教育部

姉妹校異動のため停止

所属コード：6001所属：学生部

・異動猶予期間あり・異動猶予期間あり・異動猶予期間あり・異動猶予期間あり

ＩＤライフサイクルの例


統合認証システム全体構成

学術認証フェデレーションパブリッククラウド

メールe-Learning 図書館教務学術論文

プライベートクラウド(学内システム)

例）学生証モバイル端末顔認証

Windows MacOS Android

多要素認証

パスワード発行機

ﾏﾄﾘｯｸｽ

利用者環境

BYOD環境

chromeBook

利用者

無線LAN

ネットワークポリシーサーバ

認証スイッチ上位システム自動r連携I/F

教務システム

Active Directory

マトリックス認証

デバイス認証

ID管理

ディレクトリサーバ

利用統計

収集・蓄積

IdPADFS

ユーザ情報送信認証

SSOシステム

認証基盤

利用申請システム

ワークフロ―自動連携I/F


認証クラウド基盤とは

ActiveDirectory

LDAP

ADFS

ADFSProxy

ユーザ管理システム

利用申請システム

Office365ディレクトリ

同期

利用統計・ログシステム

ID棚卸機能

多要素認証A

多要素認証B

多要素認証C

セキュリティ高い

Office365 Google Apps eラーニング各種システム

↓認証基盤

Active/StandbyActive/Active

Active/Active

Active/Standby

Active/Active


Active/Standby

Active/Standby


耐障害性高い


IdP


対象ユーザ、多要素認証内容等で、耐障害性の重要度に応じて決定する。

１．認証基盤ですので、基本どのサーバも常時安定稼働が必要となりますが、運用フォローなど、何らかの代替方法の有無で耐障害性で記載しています。２．アプリケーションシステムや利用者に近い・遠いで、認証システムのセキュリティ強度を記載しています。

一部システムに限定

MDMシステム

Active/Standby

認証スイッチ認証機器

無線LANアクセスポイント


ネットワーク利用申請書（例）

開始個人情報入力

希望ログインID入力申請者

ログインIDの精査パスワードの精査

承認処理

情報センタ(責任者)

情報センタ(担当者)

登録処理

否認

アカウント通知書取得

完了

作業完了通知（監査業務）

申請者と業務担当者のワークフローは下記のようになります。

ワークフローを利用した利用申請処理の業務改善


教務部門人事部門

情報センター

総務系

財務系

教務系

学生支援系

登録

図書館

学生情報教職員情報

教務システム人事システム

各システムからの学生情報・教職員情報のメタデータをベースに、各システムごとに登録作業を実施

登録登録

各システムからの学生情報・教職員情報のメタデータをCampusUA Liteに登録すると、統合されたアカウント情報を各システムが利用

情報センター

総務系

財務系

教務系

学生支援系

図書館

CampusUA

教務部門人事部門

学生情報教職員情報

教務システム人事システム

登録

反映反映

導入前… 導入後…

CampusUA Lite導入効果


CampusUA Lite導入メリット

ポイント１

Aキャンパス

認証基盤

Office365G Suite

教務

年度末・開始時の登録業務の効率化

学生からの問合せ

ブラウザで即確認⇒即対策

ID管理システム

Bキャンパス

CampusUAlite

ポイント2安定した認証、シンプルな構成

ポイント3学生に対する利便性の向上（キャンパス間で共通）ID・パスワードが1つ

ポイント４

個人情報の一元管理によるセキュリティの向上

教務

ポイント5教務データを中心としたアカウント情報

？

●入学・卒業・人事異動時の煩雑な作業を簡便にする●自動でのアカウントの有効化と失効により、作業ボリューム削減や、作業日時指定対応への負担の軽減

●ゲスト的なユーザへの期間限定での一時的な発行が可能

●一元化により各個人のID/パスワード管理を簡便にする

●アカウント登録・パスワード再発行などの待ち時間の短縮

●アカウントの削除漏れや権限付与ミスなどの管理ミス防止●ユーザ登録のための、システム管理者特権乱発の抑制●アカウント作成・変更についての履歴の確認

●情報管理部門でのアカウント管理作業を不要にする●組織改変・異動などの重要情報の事前漏えいの抑止


CampusUA Liteシステム概念図

パスワード変更パスワードリマインダ情報参照

学内

教務システム

管理者

利用者

取り込み処理

学内またはクラウド環境

端末のネットワーク利用登録 ID棚卸

ＩＤ情報配布

ライフサイクル

クラウドサービス

Google Apps for Education

Office 365

Active Directory

ファイルサーバ

無線LAN管理(ネットワークポリシーサーバ)

G Suite コネクタ

Office365コネクタ

ADコネクタ

ファイルシステムコネクタ

Radiusコネクタ

状態管理


CampusUA Lite機能一覧

アカウント登録処理

アカウントの追加・更新・削除・停止・再開を行います。画面操作による単体登録とCSVファイルによる一括登録が可能です。

事前確認(プレビューチェック)

登録前に入力内容の事前チェックを行います。入力規則に反していた場合はエラーメッセージを出力します。

スケジュール機能(人事異動対応)アカウントの新規登録。更新処理の実行日時を指定できます。部署異動に伴う併用期間中に下位システムに対して複数部署に一時的に権限を設定することができます。

パスワードポリシー設定パスワード自動生成

パスワードポリシーを設定することができます。アカウント登録時、パスワード再発行時にパスワード文字列を自動生成します。

アカウント帳票出力

帳票テンプレートを用いてアカウント新規登録時とパスワード再発行時にアカウント帳票をPDFファイル形式で出力します。

卒業生処理

卒業時に下位システム毎に処理内容を個別に設定することができます。

ActiveDirectoryプロビジョニングアカウント源泉情報に基づいて、一定のルールに基づいたOUにアカウント属性とセキュリティグループにプロビジョニングを行います。

Office365プロビジョニング

Office365に対してアカウントのプロビジョニングを行います。

GSuiteプロビジョニング

GSuiteに対してアカウントのプロビジョニングを行います。

プロビジョニング

あらかじめ決められたルールに応じて下位システムに対してアカウントのプロビジョニングを行います。

権限設定

運用管理者の権限を特定のアカウントに権限委譲することができます。（パスワード再発行権を教務担当者に付与する）

MACアドレス登録処理

MACアドレスを管理し、ActiveDirectoryの所定のOUやグループに登録することができます。

スクリプト実行下位システムにSSHまたはPowerShellでリモート接続し、各イベント毎に任意のコマンドを実行することができます。（ホームディレクトリの作成・削除など）

ログ

管理者が行った操作や処理内容、利用者の操作ログを蓄積します。

ID棚卸

CampusUA Lite内のアカウントデータベースを基準に、下位システム間でアカウントの整合性を確認します。

Active Directory

WindowsOS（例：ファイルサーバ）

CampusUA Liteソフトウェア基盤仕様

CampusUA Lite

G Suite用コネクタ

AD用コネクタ

【利用用途】ホームディレクトリプロファイル領域

Windows2012or2016

IIS

.Net Framework 4.xx

tomcat

JAVA MySQL

※CampusUALiteコネクタは、REST（Webシステムを外部から利用するためのプログラムの共通インターフェース）APIを用いて実装しています

Office365用コネクタ

CampusUA Lite

powershell用コネクタ

SSH用コネクタ

どのコネクタも複数定義可能

接続名サーバ名接続ID

パスワード追加用スクリプト更新用スクリプト削除用スクリプトなど


パスワード

追加用スクリプト更新用スクリプト削除用スクリプトなど

PowerShellリモート接続(HTTPS)を利用してWindowsサーバ上の任意のコマンドやスクリプトを実行します。

Linux|MacOSSSH接続を利用してLinuxサーバ上の任意のコマンドやスクリプトを実行します。

Linux① Linux② Linux③

Win① Win②

RESTコネクタ毎に定義

接続名OAtuh接続設定

接続名PowerShell接続設定初期値設定

PowerShellRM

SSHHTTPSHTTPS

G Suite Office365


パスワード

LDAPS


パスワードイベント取得

ADポーリングエージェント

【利用用途】OpenLDAPユーザ登録OpenDirectoryユーザ登録

SCP

【利用用途】メールストレージClassRoom

【利用用途】メールストレージOffice

【利用用途】認証MACアドレス管理

配布先制御

ユーザ源泉情報

ログ蓄積

PowerShellRM

SSH用コネクタ


Active Directory

ファイルシステム

RESTサーバコンポーネント

NPS(ネットワークポリシーサーバ)

GoogleAdminSDKによるユーザ操作

ユーザ毎のイベント--------------------追加/更新削除停止再開卒業停止処理卒業削除処理パスワード変更認証(ログイン可否の確認)情報取得

【コネクタ種類】

CampusUA Liteコネクタ仕様

CampusUA Lite配布先制御ユーザ源泉情報管理ライフサイクル管理権限管理ログ管理

G Suite用REST

Office365用REST

AD用REST

ファイル用REST

コネクタ名説明

G Suite G Suiteに対してユーザ操作を行います。

Office365 Office365に対してユーザ操作を行います。

ActiveDirectory ActiveDirectoryに対してユーザ操作を行います。

AＤポーリングエージェント

ユーザイベントをポーリング方式で取得しイベント発生時に、ActiveDirectoryに対してユーザ操作を行います。(ADにエージェントプログラムをインストールします)

ファイル「PowerShellExecコネクタ」を利用したファイルサーバ専用のコネクタです。

NPS 「PowerShellExecコネクタ」を利用したNPSに対するMACアドレス登録用のコネクタです。

PowerShellコネクタ PowerShell経由で連携先システムに対して任意のスクリプトを実行します。スクリプト本体は自由に編集できます。

SSH SSH経由で連携先システムに対して任意のスクリプトを実行します。スクリプト本体は自由に編集できます。

※各コネクタは下位システムに対して複数定義が可能です。

Office365APIによるユーザ操作ライセンス付与

ADに対するユーザ・グループ操作

NPS用REST

MACアドレス登録・削除

ホームディレクトリ登録・削除

接続定義

属性マッピング

イベント毎の処理

詳細ログ出力

CampusUA Liteでは連携する各システムに対するイベント処理をコンポーネントという単位で管理します。

利用者


CampusUA Lite画面集


利用者画面ログイン画面

図１．ログイン画面図２．パスワード変更

図３．個人情報表示画面図４．リマインダー設定画面

（開発中画面）


利用者画面パスワードリマインダー画面（開発中画面）

図１．ログインＩＤとメールアドレス入力画面図２．認証コード入力画面

図３．新しいパスワード入力画面図４．パスワード登録完了画面


管理者画面ユーザ一覧（パスワード再発行、編集画面）

図２．パスワード再発行画面

図１．ユーザ一覧画面

図３．ユーザ情報編集画面



管理者画面ユーザ一括登録、タスク確認画面（開発中画面）

図１．ＣＳＶ登録画面

図２．タスク一覧画面


管理者画面 MACアドレス一覧

図１．MACアドレス一覧画面


図2．MACアドレス登録画面


認証ソリューション関連事例紹介


認証システム事例紹介① 広島経済大学様

【ポイント】１．現状どおりUNIPAをポータルの入り口とし、各システムはSSO環境です。２．Windows環境を主として利用していることから、ADFS環境をメインとします。

ｅラーニングシステム

図書検索システム簡易SSOid/password

簡易SSOid/password

簡易SSOid/password

学内

ADFS ADFSProxy

・ディレクトリ同期パスワード同期

・管理ツール

ポータル画面

代理認証プロキシ

②簡易SSO--------------ユーザ名パスワード--------------

①ADFS認証

①ADFS認証※災害時はパスワード認証

新着メール取得サーバ


LMSはMoodleを利用しています。認証は、シボレス認証を利用しています。ユーザ管理などは三谷商事が開発しています。

【ポイント】１．SSOとしてシボレスを利用して各システムをシームレスに結合しています。

認証システム事例紹介② コンソーシアム京都様


利用者

・パスワード変更

産業理工学部ADサーバ

産業理工学部LDAP

CampusUA近大（福岡キャンパス設置）管理者・ユーザ登録

（追加・更新・削除）（停止・再開）

radiusサーバ

端末

教職員用

各学科システムのLDAP/AD

学生用メールエイリアス設定含む

LDAPS(636)

FTP

HTTPS(443)

CampusUAは、GoogleAPIを利用してアカウントの初期設定を柔軟に行うことができます。

各LDAP毎にユーザ属性設定各AD毎にユーザ属性設定

近畿大学ユーザ管理システム（SinetAWS環境化設置）

・ユーザ登録情報

FTP・パスワード変更情報

・10分に1回ユーザ情報の更新ファイルを確認し、あれば、ユーザプロビジョニング処理を実行

・パスワード変更したら、近大本学システムにパスワード情報をPUT（データはもちろん暗号化しています。）

認証システム事例紹介③ K大学産業理工学部様

【ポイント】１．近畿大学のユーザ管理システムのイベントを取得し産業理工学部及び学科内の各種サーバにユーザプロビジョニングを行っています（全て自動）


利用者

・パスワード変更

教育システムADサーバ

OpenDirectory

CampusUA

管理者

・ユーザ登録（追加・更新・削除）（停止・再開）

無線セグメント802.1x

radiusサーバ

MAC端末

CampusUA操作参照

法人用kuwasawa.ac.jp

各学科システムの連携

ユーザ配布、パスワード同期

大学用zokei.ac.jp

研究所用kds.ac.jp

・パスワード再発行

Windows端末

３ドメインのうちどれか１つ/１ユーザ

LDAPS(636)

LDAP(389)SSH(22)

HTTPS(443)HTTP(80)

HTTPS(443)

Gmailは既存で利用されていました。

認証システム事例紹介④ 東京造形大学様

【ポイント】１．端末はMacOS２．OpenDirectoryに対してユーザプロビジョニングを行っています。３．Googleドメインは３ドメインあり、ユーザ毎に１つまたは複数のドメインに対してユーザ登録をしています。４．パスワード変更は、ユーザプロビジョニング先に対して一括変更を行っています。


学認の参加と学内SSO環境構築（ShibbolethIdP）

シンマイクロサーバ

スペースは1/5、薄さは5cm以下電源のオン/オフも可能なリモート管理機能高性能、低消費電力なシステム・オン・チップ

Shibboleth IdP v3 インストール済

学認仕様に準拠した構成で設定済み

テストフェデレーション、運用フェデレーション参加の支援

学内SSO用構成の拡張可能（学内システム用メタデータの用意）


多要素認証

campusua lite ご提案書 - si.mitani-corp.co.jpƒ€ウンロード資料... · adfs....

Documents