Case Studies アーカイブ Search Case Studies

学校法人同志社 同志社女子大学

複数のネットワーク機器をBIG-IPに集約/BIG-IP APMの活用でSSO基盤も実現
今後も幅広い機能を「使い倒す」

学内の主要システムをプライベートクラウドへと移行し、2016年9月にはOffice 365も導入している同志社女子大学。ここではロードバランサ等の複数のネットワーク機器がBIG-IPへと集約され、プライベートクラウドに設置されている。また多様なシステムをカバーできるSSO基盤もBIG-IP APMによって実現。BIG-IP DNSやASMの活用も計画されており、「BIG-IPの機能を徹底的に使い倒す」ことが目指されている。

 

PDFをダウンロードする (ダウンロードはChromeかFirefoxを推奨します。)

BIG-IPなら機器集約が可能な上、多様なシステムをカバーしたSSOも実現でき、WAF等のセキュリティ機能も実装可能。これらを徹底的に使い倒すことが、このプロジェクトの要だと考えています 同志社女子大学 経理部 ネットワークインフラ課 課長 長南 敏彦 氏

ビジネス上の課題

大学などの教育機関でも進みつつあるクラウド活用。少子化によって学校経営の厳しさが増す中、コスト削減やITの効率的活用の手段として、クラウドが果たす役割は大きいと言えるだろう。ここで大きな課題になるのが、複雑化するシステムのユーザ認証をどうするかである。セキュリティと利便性の両立を図るのであれば、シングル・サインオン(SSO)の実現が望ましい。その布石を打つためBIG-IPを導入したのが、同志社女子大学である。

「BIG-IPの導入検討のきっかけになったのは、サーバをハウジングしプライベートクラウドとして運用していた教務システム等の学内システムを、仮想化してサーバ集約しようという話が持ち上がったことでした。これに伴い、サーバルームに置いていたネットワーク機器も合わせて、プライベートクラウドへと移行することが検討されたのです」。

このように語るのは、ネットワークインフラ課長の長南 敏彦氏。しかし利用可能なラックスペースは限られており、それまで使用していたファイアウォールやロードバランサ、スイッチ等をそのまま移すことは不可能だったと振り返る。「ネットワーク機器をプライベートクラウドに収容するには、機器集約が不可欠でした。このニーズにうまく合致したのがBIG-IPだったのです」。

これと並行して、学内メールをOffice 365へと移行するプロジェクトも進んでいた。当然ながらそのユーザ認証も、学内システムと連携することが必須となる。さらに学内のユーザ認証システムや、SSL VPNを提供する機器のリプレースも迫っていた。認証システム全体を見直すには、絶好のタイミングだったのである。

「BIG-IPなら機器集約が可能な上、多様なシステムをカバーしたSSOも実現でき、SSL VPNの機能も実装可能。またWAFのようなセキュリティ機能も同一筐体に追加できるので、将来性を考えても最適な選択肢だと考えました」(長南氏)。

Office 365の認証はADFSを使用していますが、将来はAPMとSAML連携させることも検討しています 同志社女子大学 経理部 ネットワークインフラ課 係長 明石 健治 氏

ソリューション

BIG-IPを導入し、システム構築を始めたのが2016年7月。それまで使用していたファイアウォールやロードバランサ、SSL VPNの機能が、全てBIG-IPへと集約された。これに加え、BIG-IP APMを活用した新たな学内ポータルも構築。ユーザ認証をこのポータルで行い、学内の各システムへのログインをBIG-IP APMから自動的に行うSSOを実現している。この仕組みのユニークな点は、各システムへのログインを行うために、BIG-IPが代理で認証情報を各システムに送信していることだ。

ユーザがこのポータルにアクセスすると、まずユーザIDの入力画面が表示され、ユーザIDを入力するとパスワード入力画面が表示される。ここでパスワードを入力すると、学内LDAPの登録情報と照合され、認証が行われる。認証が完了すると、利用可能なシステムの一覧が表示される。これらのうちいずれかをクリックすると、APMからそのシステムに認証情報がPOSTメソッドで送信され、この情報に基づいて各システムはユーザ認証を行う。

POSTメソッドによる認証情報のやり取りは、APMの標準機能を利用する方法の他、JavaScriptによる作り込みも行われている。システムがどのようなログイン処理を行うのかによって、これらを使い分けているのだ。さらにAPMのカスタマイズによって、大学公式ホームページからポータル画面へのRSSフィード表示や、大学キャラクター「VIVI」の画像表示も行われている。

Office 365の認証は、AD(Active Directory)とADFS(AD Federation Services)によって連携。またADとRadiusを連携させることで、学内Wi-FiのIEEE 802.1x認証も実現している。

これらの仕組み全てをわずか2か月で構築。2016年9月に各種ネットワークサービスをリリースしているのだ。

機器集約によってネットワーク管理時のログイン回数が減りました。ベンダーへの問い合わせもシンプルになっています 同志社女子大学 経理部 ネットワークインフラ課 奥田 充昭 氏

メリット

機器集約でスペースを節約、運用も容易に
まずBIG-IPへと機器集約したことで、設置スペースが大幅に削減された。これに加え、ネットワークインフラ課の奥田 充昭氏は「ネットワーク管理を行う際のログイン回数も減りました」と指摘。さらに、ベンダーが統一されたことで、疑問が生じた時の問い合わせもシンプルになったと言う。

幅広いシステムのSSOの基盤を確立
SSOの基盤も整備できた。すでに教務システムや図書館システム、WebDAV環境、WebメールへのSSOが実現されており、他のシステムのSSO化も段階的に進めていく計画だ。またOffice 365の導入・展開を担当するネットワークインフラ係長の明石 健治氏は「Office 365の認証はADFSを使用していますが、将来はAPMとSAML連携させることも検討しています」と言う。

今後の目標はBIG-IPの多様な機能を使い倒すこと
AFMによってDoS/DDoS攻撃への対策も可能になった。今後は他の機能も積極的に活用する予定だ。まず2017年3月までにBIG-IP DNSを動かし、BindをBIG-IPに移行することを計画。これでBindの脆弱性から解放されると期待されている。またIPインテリジェンスやWAF等の活用も視野に入っていると言う。「BIG-IPには大きな可能性があります」と長南氏。「その機能を徹底的に使い倒すことが、このプロジェクトの要だと考えています」。

 


学内ポータルにアクセスしたところ。画面右側に大学キャラクター「VIVI」、画面下側に大学公式ホームページからのRSSフィードが表示されている。


ユーザIDの入力画面。


ログインが完了すると、普段利用するシステムがリストアップされる。各リンクをクリックすることで、各システムへのログインを別途行うことなく利用できる。


ログインへのリンクをクリックした直後の画面。アンチウィルスソフトウェアのチェック等によって、安全性を確保している。


パスワードの入力画面。


ヘルプ画面。学内システムへのVPNアクセスを行いたい場合には、そのためのクライアントソフトウェアをここからダウンロードできる。

 

Customer Profile

学校法人同志社 同志社女子大学

同志社の創設者・新島襄、妻・八重、アメリカ人宣教師A.J.スタークウェザーらによって1876年に設立された女子総合大学。「キリスト教主義」「国際主義」「リベラル・アーツ」の伝統と柔軟な変革の歴史を持ち、現在は京田辺、今出川の両キャンパスの6学部11学科1専攻科4研究科で、約6,500名の学生が学んでいる。

 

導入事例集ダウンロード

F5製品・ソリューションの導入事例をPDFでダウンロードすることができます。

導入事例集ダウンロード

関連製品

Advanced Firewall Manager

アプリケーション セントリックなセキュリティを実現するハイパフォーマンス ファイアウォール

AFMは高パフォーマンスなフルプロキシ ネットワーク ファイアウォールで、悪意のあるトラフィックへの対策を行いアプリケーション環境を防御します。

BIG-IP AFMの詳細はこちら

Access Policy Manager

アプリケーションからWeb、リモートまですべてのアクセスをカバーする統合アクセス ソリューション

APMは、利用者がアプリケーションにアクセスする際のアクセス管理、セキュリティ、ポリシー管理などの機能を包括的に提供します。認証基盤の強化やフェデレーションなどの課題解決を実現します。

BIG-IP APMの詳細はこちら

Local Traffic Manager

ビジネス要件に合わせてITインフラ全体を最適化するアプリケーション デリバリー コントローラ

LTMは、アプリケーション応答時間の短縮、最適化、ロードバランシング、SSL終端のオフロードなどの用途で数多くのお客様にご利用いただいています。アプリケーションレイヤのロジックに基づきインテリジェントなトラフィック管理を提供します。

BIG-IP LTMの詳細はこちら

お問い合わせ