[upki-fed:223] Re: UPKIフェデレーションの属性追加について

["OZAKI Koji" <xxxxx@xxxxxxxxxxxxxxxxxxx>]

京都産業大学の尾崎です。

> 岡部です。
> 
> セキュリティのこと考えていると後ろ向きなことばかりいわなくちゃいけなく
> なって自己嫌悪気味なのですが、一応お返事しておきます。

いえいえ。大事なことです。ありがとうございます。
＃私もよく後ろ向きになります。

> 言葉足らずだったかもしれませんが、ＮＩＩに集中させるようなのはあり得ない
> という判断の下で、情報は各大学が持ち、認証は各大学のIdPで閉じて行った上
> で、それを学外機関に開示するかどうかのところのコントロールもその大学側が
> 持つShibbolethのアーキテクチャを採用した、ということです。

なるほど。そういう意味でしたか。では，Shibbolethに新属性を定義することは
やぶさかではないのですね。

> ・Shibbolethそのもの、あるいは学認で推奨した設定に重大な脆弱性が見つかっ
> 　たときには日本全体が影響を受ける
> 
> というようなことかと思います。Shibbolethそのものについては世界レベルの話
> でそうそう起きるとは思えませんが、Shibbolethは設定の甘さでいろんなことが
> 起こりうるので、油断はできません。

確かに。設定が難解であり，確認手段も結構大変なので神経を使います。
SAMLについてかなり適当な知識しかないまま構築していていいんだろうかと，
今も思っています。

> おっしゃるようなNIIのDSが侵入されるようなことが起きても各大学のIdPには直
> 接は影響は及びませんが、偽IdPに誘導されて、サーバ証明書等を確認しないま
> まID/パスワードを入れさせられてしまうと、今度はそのID/パスワードを使って
> アクセスすれば正規のアクセスとして処理されます。

ああ，なるほど。偽IdPへの誘導も考えられますね。PKIクライアント認証は敷居が
高いのでちょっと選択できそうにありません…。

本学では利用者に説明しやすいので次のような運用を考えています。
まだフェデレーションに参加していない状態での構築しかテストしていないので
本当に実現できるのかわかりませんが，できますよね？
＃やってみろと言われそう…
これだとDSにアクセスしないので偽IdP対策にもなるかもしれません。

・学内にフェデレーションに参加したIdPを用意
・学内にフェデレーションに参加したポータルSPを用意
・ポータルSPにアクセスするとDSではなく，学内IdPにリダイレクトする
・学内IdPで認証されるとポータルSPの画面が表示される
・そこに利用できる各SPのリンク集を置いておき，再認証なしに飛べる

＃なんだか本題から外れてしまいました。

---------------
京都産業大学　情報センター　尾崎　孝治