シボレス

シボレスとは

シボレス（Shibboleth）は、インターネット2の「ミドルウェア構想」から生まれた、連合アイデンティティによる認証・認可基盤を構築するプロジェクトです。セキュリティ・アサーション・マーク付け言語（SAML）を用いて、異なる組織間でユーザー情報を安全に共有し、シングルサインオン（SSO）を実現します。これにより、コンテンツ提供者ごとにユーザー名やパスワードを管理する手間を省き、利便性を向上させます。

シボレスの仕組み

シボレスは、アイデンティティ・プロバイダ（IdP）とサービス・プロバイダ（SP）という2つの主要なコンポーネントで構成されます。IdPはユーザーの認証情報を管理し、SPはその情報に基づいてコンテンツへのアクセスを許可します。この連携により、ユーザーは一度認証を受けるだけで、複数のサービスにアクセスできるようになります。

シボレスの歴史

2000年、教育向けミドルウェア・アーキテクチャ評議会（MACE）で、異なる認証・認可基盤を持つ組織間のリソース共有問題を解決するために、シボレスプロジェクトが発足しました。1年以上のアーキテクチャ策定を経て、2003年7月1日にシボレス1.0版が公開されました。その後、1.3版、2.0版と進化を続け、SAMLの最新標準に対応しています。

シボレスのアーキテクチャ

シボレスはWeb技術であり、HTTP/POSTリクエスト、データ構造、属性を実装しています。具体的な動作は以下の通りです。

1. ユーザーが保護されたコンテンツにアクセスを試みます。
2. SPが認証要求を生成し、ユーザーをIdPまたはWAYFサービスへリダイレクトします。
3. ユーザーはIdPで認証を受けます。
4. IdPがSAMLアサーションを生成し、SPに送信します。
5. SPがアサーションを検証し、IdPに属性情報を要求します。
6. IdPがユーザーの属性情報をSPに送信します。
7. SPは属性情報に基づいてアクセス制御を行い、コンテンツへのアクセスを許可します。

シボレスのバージョン

シボレス1.3: SAML 1.1をベースに構築。
シボレス2.0: SAML 2.0をベースに構築。より高度な認証機能や暗号化に対応。

属性

シボレスでは、属性（attribute）を使ってアクセス制御を行います。属性はユーザーに関する情報（例えば、「所属組織」、「氏名」など）であり、SPの規則と照らし合わせてアクセス許可を決定します。ユーザー情報は明示的な要求があった場合にのみ共有されるため、プライバシー保護にも配慮されています。

委任

領域間の委任は、公開鍵暗号やメタデータを用いて実装されます。連邦化（federation）により、共通の規約に同意したプロバイダ間で情報の共有が容易になります。

開発と採用状況

シボレスはオープンソースであり、Apache 2ライセンスの下で提供されています。世界中の教育機関を中心に広く採用されており、多くの国で連合が形成され、相互運用性が高まっています。2006年には、イギリスの高等教育助成会議が、シボレス技術への移行を発表しました。

関連情報

シボレスは、単なる認証システムではなく、組織を跨いだ連携を支える基盤技術です。その中心となる概念は、ヘブライ語聖書に由来する「シボレス」という言葉に象徴されるように、特定のグループにのみ共有される認識を通じて、セキュリティを確保するという考え方です。この技術は、今日のデジタル社会において、情報セキュリティと利便性の両立に貢献しています。

外部リンク

シボレス公式サイト
シボレス1.x公式ウィキ
シボレス2.x公式ウィキ
TestShibテストサイト

各国の連合

AAF - オーストラリア
K.U.Leuven - ベルギー
edupass.ca - カナダ
CARSI - 中国
eduID.cz - チェコ共和国
WAYF - デンマーク
Haka - フィンランド
RENATER - フランス
DFN-AAI - ドイツ
Greek Research and Technology Network Federation - ギリシャ
Edugate Federated Access Management - アイルランド
学術認証フェデレーション (愛称: 学認〈GakuNin〉) - 日本
SURFfederatie - オランダ
SWAMID - スウェーデン
SWITCHaai - スイス
InCommon - アメリカ合衆国
* UK Access Management Federation for Education and Research - 英国

もう一度検索