Library / shibboleth

Library

Shibboleth †

†

Single sige-onを実現するシステムの1つ。

Shibbolethはプロジェクトの名称であり、次世代インターネット研究開発コンソーシアム「Internet2」において研究が進められている。
内容は（どちらかと言えば）教育関係の組織間で、特にウェブリソースの共有を行なうために必要なアクセス制御や複数の組織間での認証情報の交換などに関するものだ。

Shibbolethは組織同士でフェデレート（連盟）をつくり、
そこに含まれるサイトにログインしたあとは、関連する組織のサイトにアクセスができる。
リバティアライアンスに似ているが、ポイントは、シングルサインオンのシステムではあるのはもちろんだが、
その利用方法の１つであるアクセスできるリソースを変化させるという機能に重点を置いて開発されている点だ。
例えば自分の大学には自分の情報が保管されているのは当たり前だ。
そこを基点として別のサイトにアクセスする場合、自分が公開していい個人情報と、
別サイトが要求する許可用情報（属性：アトリビュートという）を比較する。
例えばあるサイトは多くの情報には大学情報だけでアクセスできるが、
重要な情報の場合は研究分野までを要求するといったようなものだ。
そうすることで、自分が希望しない情報の公開を要求するサイトにアクセスをしなくてすむ。
http://www.blwisdom.com/rtech/13/

†

Shibbolethは、Internet2のMACE ( Middleware Architecture Committee for Education ) プロジェクトによって開発されている、連携型アイディンティティおよびSAMLベースの認証基盤を統合したアーキテクチャおよびオープンソースのインプリメンテーションです。
連携型アイディンティティでは、ユーザ情報を1つのセキュリティドメインで集中管理することも、他のドメインと連携させることもできます。
このことにより、クロスドメインのシングルサインオンが実現され、
コンテンツプロバイダごとのユーザ名およびパスワード管理を避けることができます。
アイデンティティプロバイダ ( IdP ) はユーザ情報を提供し、
サービスプロバイダ ( SP ) は、その情報を利用してセキュアコンテンツへのゲートアクセスを提供します。

英国BectaおよびJISCでは、Shibbolethを使用したシングルサインオンをFE ( Further Education Institutions ) およびHE ( Higher Education Institutions )連盟の教育機関に導入する計画があります。
これは、英国アクセス管理連盟に参加し、ユーザアイデンティティがアイデンティティプロバイダLA/RBCに保持されていれば、Moodleを使用する英国の教育機関が、Shibbolethを使用したユーザ認証を行うことができることを意味します。
恐らく、英国の地方の教育機関 ( Local Authority - LA ) では、地域ブロードバンドコンソーシアム ( RBC ) に、アクセスすることになります。
http://docs.moodle.org/ja/Shibboleth