改訂履歴
初出: 2008.12.4 / 改訂: 2011.11.30, 2012.6.11, 2012.8.21, 2013.10.21, 2014.2.23, 2014.6.7, 2014.6.26, 2015.3.2, 2018.3.9, 2020.7.8, 2023.4.13, 2023.4.23
国立情報学研究所 eduroamグループ / 東北大学サイバーサイエンスセンター
お知らせ
eduroam代理認証システムの機関管理者メニューを整理、改良しました。機関向けマニュアルも更新されています。
旧システムから、管理画面のアドレスが変更になっていますので、当ページのリンク(更新済み)からご利用願います。
その他のお知らせは こちら をご覧ください。
1.概要
「eduroam代理認証システム」は、東北大学が開発・運用し、eduroam JPに提供している、集中型のeduroamアカウントサービスです。
標準的なeduroamの構成では、認証サーバとなるRADIUS IdP(IDプロバイダ)と、基地局を収容するRADIUS proxyを各機関に設置します。RADIUS IdPとproxyは、区別せずにRADIUSサーバと呼ばれることもあります。代理認証システムは、このうちIdPの機能を代行することで、各機関のRADIUS IdPを不要とし、eduroam導入・運用のコスト低減に寄与するものです。
また、一部に耐災害・耐障害の仕組みを取り入れており、例えば自機関の情報システムが被災した場合でも、地理的分散によって冗長化された認証システムにより、他機関で無線LANが継続利用できます。
代理認証システムは、現在、eduroamユーザの裾野を広げ、多数機関のネットワークローミングに関する技術的および制度的な検証を行うことを目的として、NII 認証作業部会eduroamグループによる実証実験の位置付けとなっています。また、実証実験終了後にも継続して利用できるように、運用体制を調整中です。
代理認証システムは、各機関におけるメインのIdPとしてご利用いただけます。
運用・実施主体
- 国立情報学研究所 eduroamグループ, 東北大学サイバーサイエンスセンター CSI研究室 共同
(連絡先email: deasadmin(アットマーク)eduroam.jp)
当システムのメリット
- 機関にRADIUS IdP (認証サーバ)を設置する必要がなく、 学内の認証基盤との連携も不要で、機関の管理者登録のみで eduroamの運用が開始できます。
(eduroamの参加申請の申し込みが必要です。 eduroamに参加する場合、機関内または最寄りに、eduroam対応の基地局が必要です。) - 機関に設置のIdPや、その他の認証サービスとも、 併用が可能です。
- 耐災害性・耐障害性を備えた、信頼性の高い認証処理が実現できます。
2. 参加条件・利用資格者
下記のすべての条件を満たす機関が、代理認証システムを利用できます。
- eduroam JPの加入機関、 または、運用者が認める組織であること。
- eduroam の加入機関であること。
代理認証システムの利用機関に所属する教職員・学生・研究者等は、機関の承認を得ることによって、eduroamのアカウントを取得できます。
3. 利用方法
利用を希望する機関は、下記の利用登録に従って利用申請を行ってください。
機関の参加が認めら次第、運用者から機関の管理者(以下、機関管理者)に管理用アカウントが発行されます。
機関管理者は、当サービスが提供するウェブユーザインタフェースを用いて、eduroamアカウントを必要数だけ、随時取得できます。アカウントはIDとパスワードから成り、いずれもランダム値を元に自動生成されます。請求したアカウントは、ブラウザに表示されるほか、CSV形式でダウンロードすることも可能です。
注意: 万一の不正利用に備えて、機関管理者は取得したアカウントとその利用者の対応表を作り、安全に保管してください。
機関管理者は、機関利用者のアカウントごとに、随時、利用停止(ロック)と利用再開(アンロック)を設定可能です。(記録保持のためにアカウント削除機能は提供していません。ロック機能で対応してください。)
有効期限が切れたアカウントは自動的に無効になります。アカウントの延長はできません。
詳しくは操作マニュアルをご覧ください。
- 代理認証システム操作マニュアル(機関向け) [PDF] (東北大学のサイトより)
利用登録・解除
当システムをご利用になるには、eduroamの加入申請が必要です。
加入申請の場合は、 eduroam JP申請システムより、加入申請作成時に、認証システムとして「代理認証システム」にチェックを入れ、申請を行ってください。
加入済み機関が新たに利用を申請する場合も、eduroam JP申請システムより、個別に利用を申請することができます。
利用をやめる場合は、すみやかにeduroam JP担当までご連絡ください。
機関管理者用インタフェース
- 「代理認証システム・機関管理者用インタフェース」
東北大学のサーバ tanelon3.rd.cc.tohoku.ac.jp にて運用されていることに
[同意して移動]
4. 利用規約
利用者
- eduroamのアクセスポイントを利用する際は、 訪問国の法律および訪問先機関の規則を遵守すること。
機関
- 機関管理者は取得したアカウントとその利用者の対応表を作り、 安全に保管すること (6か月程度)。実験実施者から要請があった場合は、 不正利用者の特定と不正利用の再発防止に協力すること。
- アカウントの盗難や不正利用が発覚した際は、 ただちに該当するアカウントをロックすること。 パスワードの変更はできないので、 必要があれば別のアカウントを利用者に再発行する。
- 当サービスで取得したアカウントを、許可無く他機関へ提供しないこと。 ただし、ゲスト利用については、機関の責任の下で配布を許可する。 ゲスト利用が終わり次第、ただちに該当するアカウントをロックすること。
5. 免責
- 当システムは現状有姿(AS IS)で提供されるものであり、 その利用は機関の自己責任において行うこと。
- 当システムを利用することによって機関に 損害・損失が発生した場合でも、 東北大学および国立情報学研究所はその責を負わないものとする。
- 主催者または実験実施者が必要と判断した場合は、 参加機関の管理者用アカウントや利用者用アカウントを 予告なく緊急にロックできるものとする。
- 当サービスは、被災やシステム障害などの不可抗力によって予告なく終了したり、 サービスの一時停止をすることがある。
6.その他
- レルムは「(申請機関のドメイン名).eduroam.jp」となります。
尚、代理認証システムの設計上、レルムの変更はできません。