meatwiki メンテナンスのお知らせ

システムメンテナンスのため、12/1(水) 12:00-13:00 のうち10分程度、本Wikiをご利用いただけません。ご不便をおかけいたしますが、ご理解の程、よろしくお願いいたします。
Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

English / 日本語

このページは、オンライン分析システムを利用する機関(大学等)において「学認」および学外ネットワークを担当する部署の方にお読みいただきたい情報をまとめています。

実証実験の概要

国立情報学研究所 (NII) は、日本学術振興会 (JSPS) 人文学・社会科学データインフラストラクチャー構築推進事業の一環として「オンライン分析システム」を開発しています。本格的なサービスの提供に先駆け、システムの実用性を評価し、不足する機能を洗い出すことを目的として、少数の機関(大学等)を対象とする実証実験を実施します。

貴機関のユーザーが実証実験に参加するには、Shibboleth IdP の設定変更が必要となります。ご担当部署におかれましては、お手数ですが、本ガイドをお読みの上ご対応くださいますようお願いいたします。

提供者国立情報学研究所 オープンサイエンス基盤研究センター
対象者

貴機関の学認互換アカウント保有者
(研究者、教員、学生など)

提供するサービス
提供場所日本国内にある NII 所有の計算機
実験期間

2020年10月~2022年3月

(2022年4月から本運用に移行する予定です)
料金

無料
(実験終了後も有料化の予定はありません)

インシデント対応方針

本サービスの利用規約は実証実験終了までに策定する予定です。実証実験の期間中はユーザーの善意を信頼してご利用いただく形となりますが、ユーザーの故意または過失による問題の発生に備え、以下の対応方針を示します。

  • NIIは、本サービス上でのユーザーの行動を記録する。具体的には、次の情報をログに記録する。

    • IdPから取得したユーザー情報 (eduPersonPrincipalName, mail)

    • ログイン時刻、ログアウト時刻

    • コンテナの固有ID、IPアドレス、ポート番号

    • その他、追跡調査に必要な情報

  • NIIは、ユーザーが本サービスを不正利用していることを検知した場合、次のとおり対応する。

    • 当該ユーザーによる本システムの利用を一時的に禁止する。

    • 当該ユーザーの行動に関するログを保全する。

    • 当該ユーザーの所属機関の学認担当部署に通知するとともに、ログを提供する。

ご担当部署におかれましては、もし貴機関のユーザーが本サービスを不正利用している旨の通知を受けた場合には、以下の対応にご協力くださいますようお願いいたします。

  • 当該ユーザーに対し、自機関のシステム上で同じ行為を行った場合と同等の処置をとること。

  • NIIに対し、処置の状況を報告すること。

NIIは、ご報告いただいた処置の状況を踏まえ、当該ユーザーによる本システムの利用再開の可否を判断いたします。

不正利用の定義

実証実験の期間中は、ユーザーの行動を見ながら不正利用の線引きを検討していきます。現在のところ、以下の行為を不正利用と見なすこととしています。

  • 本サービスの機能を用いてクローラーを構成し、第三者のウェブサーバーに対して高頻度/大量の通信を発生させる行為
  • 本サービスの機能を用いてウェブサーバーを構成し、不特定の第三者に対してデータを送信可能化する行為

  • 本サービスの機能を用いてメールサーバーを構成し、不特定の第三者に対して電子メールを送信する行為

  • その他、第三者に迷惑をかけると NII が認める行為
  • 本サービスの機能を用いて仮想通貨をマイニングする行為
  • 本サービスの機能を用いてP2Pファイル共有ソフトウェアを稼働させる行為
  • その他、本サービスを利用する他のユーザーに迷惑をかけると NII が認める行為

この定義は状況に応じて追加・修正いたします。改善案がありましたらぜひお聞かせください。この定義は状況に応じて追加・修正いたします。

学認IdP設定ガイド

ユーザーが本システムを利用するには、貴機関が運用する Shibboleth IdP において、ユーザーの属性値を本サービスの SP へ送出するための設定が必要となります。

entityIDhttps://jupyter.cs.rcos.nii.ac.jp/shibboleth-sp
送出する属性
  • eduPersonPrincipalName (必須)
  • mail (必須)

前提条件

  • IdP が学認(運用フェデレーション)に登録済みであることが必要です。運用フェデレーションへの参加登録が完了していない場合は別途ご相談ください。
  • この説明は IdP が学認技術ガイドに記載された手順で構築されていることを想定しています。IdP が貴機関固有の方法でインストールされている場合はファイルパス等を適宜読み替えてください。

メタデータの更新

メタデータの自動更新が有効になっていない場合、以下の手順でメタデータのキャッシュファイルを更新します

  1. キャッシュファイルを見つけます。通常、 /opt/shibboleth-idp/metadata/gakunin-metadata.xml にあります。
  2. キャッシュファイルを開き、「https://jupyter.cs.rcos.nii.ac.jp/shibboleth-sp」という文字列を検索します。
  3. 見つからない場合、 https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml から最新のメタデータを取得し、キャッシュファイルを置き換えます。

属性送出の設定

以下の手順で Shibboleth IdP の設定ファイルを編集します。詳細は学認技術ガイドを参照してください。

  1. /opt/shibboleth-idp/conf/attribute-resolver.xml を開き、「id="eduPersonPrincipalName"」という文字列を検索します。
  2. 次の XML 要素が有効である(コメントアウトされていない)ならばOKです。 → 参考

    <resolver:AttributeDefinition xsi:type="ad:Scoped" id="eduPersonPrincipalName" scope="%{idp.scope}" sourceAttributeID="uid">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1ScopedString" name="urn:mace:dir:attribute-def:eduPersonPrincipalName" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" friendlyName="eduPersonPrincipalName" encodeType="false" />
    </resolver:AttributeDefinition>

  3. 同様に、「id="mail"」も有効であることを確認します。 → 参考

    <resolver:AttributeDefinition xsi:type="ad:Simple" id="mail" sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" />
    </resolver:AttributeDefinition>

  4. /opt/shibboleth-idp/conf/attribute-filter.xml を開き、「</AttributeFilterPolicyGroup>」という文字列を検索します。

  5. 見つかったタグの直前に次の XML 要素を追加します。 → 参考

    <AttributeFilterPolicy id="PolicyforNiiRdcDataAnalysisPlatform">
        <PolicyRequirementRule xsi:type="Requester" value="https://jupyter.cs.rcos.nii.ac.jp/shibboleth-sp" />
        <AttributeRule attributeID="eduPersonPrincipalName">
            <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="mail">
            <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
    </AttributeFilterPolicy>
  6. Shibboleth IdP サービスを再起動します。

動作確認

  1. https://jupyter.cs.rcos.nii.ac.jp/ にブラウザでアクセスします。
  2. 認証画面を経て https://jupyter.cs.rcos.nii.ac.jp/hub/home にリダイレクトされればOKです。 

問い合わせ先

国立情報学研究所 オープンサイエンス基盤研究センター
オンライン分析システム担当 藤原一毅 <cs-support@nii.ac.jp>