[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4390429B2 - Single sign-on system, program thereof and method thereof - Google Patents

Single sign-on system, program thereof and method thereof Download PDF

Info

Publication number
JP4390429B2
JP4390429B2 JP2002131409A JP2002131409A JP4390429B2 JP 4390429 B2 JP4390429 B2 JP 4390429B2 JP 2002131409 A JP2002131409 A JP 2002131409A JP 2002131409 A JP2002131409 A JP 2002131409A JP 4390429 B2 JP4390429 B2 JP 4390429B2
Authority
JP
Japan
Prior art keywords
user computer
server
user
customer code
cookie
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002131409A
Other languages
Japanese (ja)
Other versions
JP2003323409A (en
Inventor
美穂 山▲崎▼
岳夫 荒木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seiko Epson Corp
Ogis Ri Co Ltd
Original Assignee
Seiko Epson Corp
Ogis Ri Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seiko Epson Corp, Ogis Ri Co Ltd filed Critical Seiko Epson Corp
Priority to JP2002131409A priority Critical patent/JP4390429B2/en
Publication of JP2003323409A publication Critical patent/JP2003323409A/en
Application granted granted Critical
Publication of JP4390429B2 publication Critical patent/JP4390429B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、シングルサインオンシステム、そのプログラム及びその方法に関する。
【0002】
【従来の技術】
従来、1つのウェブサイトにユーザがアクセスしたあと別のウェブサイトにアクセスする場合、各ウェブサイトにアクセスするごとに認証用データとしてユーザIDとパスワードなどの認証に必要な情報を送信し認証確認してもらうというログイン作業がユーザに要求された。しかしながら、各ウェブサイトにアクセスするごとにログイン作業を行うことはユーザにとって煩雑であることから、1つのウェブサイトで認証を受けるだけで他のウェブサイトへのアクセスが可能となるシングルサインオンシステムが開発されている。
【0003】
例えば、シングルサインオンシステムとしては、次のようなシステムが考えられる。即ち、複数のウェブサイトが1人のユーザに対して共通の認証用データで認証確認する場合、そのユーザが1つのウェブサイトを運営するサーバに認証用データを送信し、そのサーバが認証確認できたときにそのユーザのコンピュータに採番されたIDを含んだクッキーを送信し、ユーザのコンピュータがそのクッキーを所定のフォルダに保存する。このクッキーに含まれるIDと認証用データとがデータベースとしてサーバ側に記憶される。その後、同じユーザが別のウェブサイトにアクセス要求するとき先のクッキーも併せてウェブサイト側へ送信する。そして、ウェブサイトを運営するサーバが前出のデータベースからそのクッキーに含まれるIDに対応する認証用データを割り出して認証確認を行う。この結果、ユーザは1回のログイン作業で複数のウェブサイトにアクセスすることができる。
【0004】
【発明が解決しようとする課題】
しかしながら、上述したシングルサインオンシステムでは、クッキーに含まれるIDごとに一つの認証用データが対応しているため、複数のウェブサイトが1人のユーザに対して共通の認証用データで認証確認する場合にはシングルサインオンを実現できるが、複数のウェブサイトが1人のユーザに対して異なる認証用データで認証確認する場合にはシングルサインオンシステムを採用することはできなかった。
【0005】
本発明はこのような課題に鑑みなされたものであり、各ウェブサイトが1人のユーザに対して異なる認証用データで認証確認する場合であってもシングルサインオンを実現できるシングルサインオンシステム及びその方法を提供することを目的の一つとする。また、そのようなシングルサインオンを実現させるためのプログラムを提供することを目的の一つとする。
【0006】
【課題を解決するための手段およびその作用・効果】
上述の目的を達成するため、本発明の第1は、ユーザが複数のウェブサイトの1つで認証を受けるだけで前記ユーザの他のウェブサイトへのアクセスを許容するシングルサインオンシステムであって、
第1ウェブサイトを運営し第1認証用データによる認証確認後に前記第1ウェブサイトへのアクセスを許容する第1サーバと、
第2ウェブサイトを運営し第2認証用データによる認証確認後に前記第2ウェブサイトへのアクセスを許容する第2サーバと、
ユーザごとに付与される個人顧客コードと前記第1認証用データ又は前記第2認証用データとを関連づけして記憶するデータ記憶手段と
を備え、
前記第1サーバ及び前記第2サーバは、
前記ユーザのコンピュータから自己のウェブサイトへのアクセス要求があったときに該ユーザのコンピュータに前記個人顧客コードが保存されていなかったときには、前記ユーザのコンピュータに自己の認証用データを要求し、その後前記ユーザのコンピュータから受信した認証用データによる認証確認後、前記ユーザのコンピュータの前記ウェブサイトへのアクセスを許容すると共に前記認証用データに関連付けされた前記個人顧客コードを前記データ記憶手段から読み出して前記ユーザのコンピュータが保存可能な形式で前記ユーザのコンピュータへ送信し、
前記ユーザのコンピュータから自己のウェブサイトへのアクセス要求があったときに該ユーザのコンピュータに前記個人顧客コードが保存されていたときには、自己の認証用データを要求することなく前記ユーザのコンピュータの前記ウェブサイトへのアクセスを許容する
ものである。
【0007】
このシングルサインオンシステムでは、第1サーバ及び第2サーバは、ユーザのコンピュータから自己のウェブサイトへのアクセス要求があったときに個人顧客コードがそのユーザのコンピュータに保存されていたときには、既に第1及び第2サーバのいずれかで認証確認されたことを意味することから、自己の認証用データを要求することなくそのユーザのコンピュータの自己のウェブサイトへのアクセスを許容する。つまり、そのユーザのコンピュータに保存されていた個人顧客コードに対応する認証用データによってアクセスを許容するか否かを判定するのではなく、その個人顧客コードがユーザのコンピュータに保存されているか否かによってアクセスを許容するか否かを判定するため、第1認証用データと第2認証用データとが異なっていてもシングルサインオンが可能となる。したがって、各ウェブサイトが1人のユーザに対して異なる認証用データで認証確認する場合であってもシングルサインオンを実現することができる。なお、第1及び第2ウェブサイトは異なるウェブサイトであるが、第1及び第2サーバは異なるサーバであってもよいし同一のサーバであってもよい(以下同じ)。また、個人顧客コードと第1認証用データとを関連づけして記憶するデータ記憶手段と、個人顧客コードと第2認証用データとを関連づけして記憶するデータ記憶手段とは、同じデータ記憶手段であってもよいし異なるデータ記憶手段であってもよい(以下同じ)。
【0008】
本発明の第1のシングルサインオンシステムにおいて、前記個人顧客コードは、このシングルサインオンシステム以外の第三者にとって無意味なコードとしてもよい。こうすれば、個人顧客コードが漏洩したとしてもユーザに関する情報は保護される。
【0009】
本発明の第1のシングルサインオンシステムにおいて、前記個人顧客コードは、前記ユーザのコンピュータのディスクではなくメモリに保存可能な形式で前記ユーザのコンピュータへ送信されてもよい。こうすれば、個人顧客コードはハードディスク等のディスクではなくRAM等のメモリに保存されるため、いわゆる「なりすまし」(その個人顧客コードを持つユーザ以外の者がそのユーザになりすます行為)の防止に効果的である。
【0010】
本発明の第1のシングルサインオンシステムにおいて、前記個人顧客コードは、セッション中のみ有効としてもよい。こうすれば、個人顧客コードはユーザのコンピュータと第1サーバ又は第2サーバとの接続が維持されている間のみ有効なため、いわゆる「なりすまし」の防止に効果的である。
【0011】
本発明の第1のシングルサインオンシステムにおいて、前記個人顧客コードは、前記ユーザのコンピュータが保存可能で且つ有効期限付きの形式で前記ユーザのコンピュータへ送信されてもよい。こうすれば、第1サーバ及び第2サーバはユーザのコンピュータに有効期限内の個人顧客コードが保存されていたときにはそのままアクセスを許容し、有効期限切れの個人顧客コードが保存されていたときにはアクセスを直ちに許容しないようにできるため、いわゆる「なりすまし」の防止に効果的である。また、前記個人顧客コードは、前記ユーザのコンピュータが保存可能で且つ有効期限設定可能な形式で前記ユーザのコンピュータへ送信されてもよい。こうすれば、有効期限を設定するかしないかは任意となり、有効期限を設定したときには上述した作用効果を奏することになる。
【0012】
本発明の第1のシングルサインオンシステムにおいて、前記第1サーバ及び前記第2サーバは、前記ユーザのコンピュータが保存可能な形式としてクッキーを利用してもよい。こうすれば、このシステムを比較的容易に実現できる。
【0013】
本発明の第1のシングルサインオンシステムにおいて、前記第1サーバ及び前記第2サーバは、前記個人顧客コードを前記ユーザのコンピュータへ送信する際には前記個人顧客コードを暗号化して前記ユーザのコンピュータへ送信し、前記ユーザのコンピュータから前記個人顧客コードを取得する際には前記暗号化された個人顧客コードを取得したあと復号化してもよい。こうすれば、個人顧客コードは暗号化された状態で送受信されるため、万一漏洩したとしても秘匿性が高い。
【0014】
本発明の第2は、1又は複数のコンピュータを、本発明の第1のシングルサインオンシステムにおける前記第1サーバ及び前記第2サーバとして機能させるためのシングルサインオン用プログラムである。このプログラムを1又は複数のコンピュータに実行させれば、本発明の第1と同様、各ウェブサイトが1人のユーザに対して異なる認証用データで認証確認する場合であってもシングルサインオンを実現することができる。このシングルサインオン用プログラムは、コンピュータが読み取り可能な記録媒体(例えばハードディスク、ROM、FD、CD、DVDなど)に記録されていてもよいし、伝送媒体(インターネットやLANなどの通信網)を介して配信されてもよいし、その他どのような形で授受されてもよい。
【0015】
本発明の第3は、ユーザが複数のウェブサイトの1つで認証を受けるだけで前記ユーザの他のウェブサイトへのアクセスを許容するシングルサインオン方法であって、
第1ウェブサイトを運営し第1認証用データによる認証確認後に前記第1ウェブサイトへのアクセスを許容する第1サーバと、
第2ウェブサイトを運営し第2認証用データによる認証確認後に前記第2ウェブサイトへのアクセスを許容する第2サーバと、
ユーザごとに付与される個人顧客コードと前記第1認証用データ又は前記第2認証用データとを関連づけして記憶するデータ記憶手段と
を備えたシステムを用い、
前記第1サーバ及び前記第2サーバは、
前記ユーザのコンピュータから自己のウェブサイトへのアクセス要求があったときに該ユーザのコンピュータに前記個人顧客コードが保存されていなかったときには、前記ユーザのコンピュータに自己の認証用データを要求し、その後前記ユーザのコンピュータから受信した認証用データによる認証確認後、前記ユーザのコンピュータの前記ウェブサイトへのアクセスを許容すると共に前記認証用データに関連付けされた前記個人顧客コードを前記データ記憶手段から読み出して前記ユーザのコンピュータが保存可能な形式で前記ユーザのコンピュータへ送信し、
前記ユーザのコンピュータから自己のウェブサイトへのアクセス要求があったときに該ユーザのコンピュータに前記個人顧客コードが保存されていたときには、自己の認証用データを要求することなく前記ユーザのコンピュータの前記ウェブサイトへのアクセスを許容する
ものである。
【0016】
このシングルサインオン方法によれば、本発明の第1と同様、各ウェブサイトが1人のユーザに対して異なる認証用データで認証確認する場合であってもシングルサインオンを実現することができる。
【0017】
このシングルサインオン方法において、前記個人顧客コードは、このシングルサインオンシステム以外の第三者にとって無意味なコードとしてもよく、こうすれば、個人顧客コードが漏洩したとしてもユーザに関する情報は保護される。また、前記個人顧客コードは、前記ユーザのコンピュータのディスクではなくメモリに保存可能な形式で前記ユーザのコンピュータへ送信されてもよく、こうすれば、個人顧客コードはハードディスク等のディスクではなくRAM等のメモリに保存されるため、いわゆる「なりすまし」の防止に効果的である。更に、前記個人顧客コードは、セッション中のみ有効としてもよく、こうすれば、個人顧客コードはユーザのコンピュータと第1サーバ又は第2サーバとの接続が維持されている間のみ有効なため、いわゆる「なりすまし」の防止に効果的である。更にまた、前記個人顧客コードは、前記ユーザのコンピュータが保存可能で且つ有効期限付きの形式で前記ユーザのコンピュータへ送信されてもよく、こうすれば、第1サーバ及び第2サーバはユーザのコンピュータに有効期限内の個人顧客コードが保存されていたときにはそのままアクセスを許容し、有効期限切れの個人顧客コードが保存されていたときにはアクセスを直ちに許容しないようにできるため、いわゆる「なりすまし」の防止に効果的である。そしてまた、前記第1サーバ及び前記第2サーバは、前記ユーザのコンピュータが保存可能な形式としてクッキーを利用してもよく、こうすれば、このシステムを比較的容易に実現できる。そして更に、前記第1サーバ及び前記第2サーバは、前記個人顧客コードを前記ユーザのコンピュータへ送信する際には前記個人顧客コードを暗号化して前記ユーザのコンピュータへ送信し、前記ユーザのコンピュータから前記個人顧客コードを取得する際には前記暗号化された個人顧客コードを取得したあと復号化してもよく、こうすれば、個人顧客コードは暗号化された状態で送受信されるため、万一漏洩したとしても秘匿性が高い。
【0018】
【発明の実施の形態】
次に、本発明の実施の形態を図面に基づいて説明する。図1は、本実施形態のシングルサインオンシステム10の概略構成を示す説明図である。
【0019】
シングルサインオンシステム10は、第1ウェブサーバ12と、第2ウェブサーバ14と、認証用DB(DBはデータベースの略、以下同じ)を記憶する記憶装置16とから構成されている。第1ウェブサーバ12と第2ウェブサーバ14と記憶装置16とはイントラネット17を介して通信可能な状態で接続され、第1ウェブサーバ12と第2ウェブサーバ14とはインターネット18を介してユーザコンピュータ40と通信可能な状態で接続されている。なお、ユーザコンピュータ40はインターネットに接続可能なコンピュータであり多数存在するが、本実施形態では便宜上、特定の一つのユーザコンピュータ40をとり上げて説明する。
【0020】
第1ウェブサーバ12は、第1ウェブサイトを運営し、ユーザコンピュータ40から受信した第1認証用データによる認証確認後にユーザコンピュータ40の第1ウェブサイトへのアクセスを許容するサーバである。ここでは、図2に示すように、第1ウェブサイトへログインする際の第1認証用データであるユーザID及びパスワードをそれぞれ「○○○」及び「□□□」とする。
【0021】
第2ウェブサーバ14は、第2ウェブサイトを運営し、ユーザコンピュータ40から受信した第2認証用データによる認証確認後にユーザコンピュータ40の第2ウェブサイトへのアクセスを許容するサーバである。ここでは、図2に示すように、第2ウェブサイトへログインする際の第2認証用データであるユーザID及びパスワードをそれぞれ「△△△」及び「▽▽▽」とする。
【0022】
記憶装置16は、認証用DBが記憶されている。この認証用DBは、図2に示すように、ユーザコンピュータ40を利用するユーザごとに付与される個人顧客コードと、第1ウェブサイトへログインする際に必要となる第1認証用データと、第2ウェブサイトへログインする際に必要となる第2認証用データとを関連づけしたものである。この認証用DBには、個人顧客コードに対応付ける形式で、そのユーザの氏名、住所、電話番号、電子メールアドレスなどの個人情報も記憶されている。また、個人顧客コードは、ユーザがユーザコンピュータ40を介して第1ウェブサイト又は第2ウェブサイトでユーザIDとパスワードを設定する際に第1ウェブサーバ12又は第2ウェブサーバ14により自動発番されるコードであり、この認証用DBを参照しない限り第三者にとって無意味なコードである。
【0023】
ユーザコンピュータ40は、周知の汎用パソコンであり、インストールされたウェブブラウザによりインターネットを介して第1ウェブサーバ12及び第2ウェブサーバ14と要求送信・応答受信を行い、第1ウェブサイト又は第2ウェブサイトのウェブページを閲覧する。
【0024】
次に、シングルサインオンシステム10の動作について、図3に基づいて説明する。図3は、第1ウェブサーバ12及び第2ウェブサーバ14で実行される要求応答処理のフローチャートである。要求応答プログラムは、第1ウェブサーバ12及び第2ウェブサーバ14のHDDにインストールされているか又は図示しないアプリケーションサーバに格納されていて各サーバ12,14に必要に応じて提供される。なお、以下には第1ウェブサーバ12の動作として説明するが、第2ウェブサーバ14の動作についても同様である。
【0025】
第1ウェブサーバ12は、所定タイミングごとに要求応答プログラムを読み出して要求応答処理を実行する。この要求応答処理が開始されると、第1ウェブサーバ12は、まず、ユーザコンピュータ40からインターネット18を介してアクセス要求を受信したか否かを判定する(ステップS100)。そして、アクセス要求を受信していないときには、そのままこの要求応答処理を終了し、アクセス要求を受信したときには、このセッション中に既に認証用データによるユーザコンピュータ40の認証確認が済んでいるか否かを判定する(ステップS110)。そして、認証確認済みのときには、ステップS100で受信したアクセス要求に応じたウェブページをユーザコンピュータ40に送信し(ステップS230)、認証確認が済んでいないときには、ユーザコンピュータ40にこの第1ウェブサイトに関連するクッキーを要求し(ステップS120)、その要求に応じた応答をユーザコンピュータ40から受信したあとその応答にクッキーが含まれているか否かを判定する(ステップS130)。
【0026】
そして、クッキーが含まれていなかったときには、第1認証用データをユーザコンピュータ40に要求する(ステップS140)。即ち、ユーザIDの入力欄とパスワードの入力欄が設けられたログイン画面をユーザコンピュータ40に送信する。その後、第1認証用データをユーザコンピュータ40から受信する(ステップS150)。即ち、各入力欄にユーザID及びパスワードが入力されたログイン画面をユーザコンピュータ40から受信する。続いて、受信した第1認証用データが記憶装置16に記憶されている認証用DBに登録されているか否かを判定し(ステップS160)、登録されていないときにはエラーメッセージ(例えば「入力されたユーザIDとパスワードが正しくありません。」など)をユーザコンピュータ40へ送信し(ステップS170)、この要求応答処理を終了する。一方、受信した第1認証用データが認証用DBに登録されていたときには、その第1認証用データに対応する個人顧客コードを認証用DBから読み出し(ステップS180)、読み出した個人顧客コードを有効期限とセッションIDを付けて暗号化する(ステップS190)。ここで、セッションIDは、セッションごとに付与される連番である。次いで、暗号化した個人顧客コード、有効期限及びセッションIDを含むクッキーを作成し(ステップS195)、ステップS100で受信したアクセス要求に応じたウェブページと共にこのクッキーをユーザコンピュータ40へ送信し(ステップS200)、この要求応答処理を終了する。すると、ユーザコンピュータ40はこのクッキーを受信して所定の保存場所に保存する。なお、セッションIDはユーザコンピュータ40との接続が切断されるごとに第1ウェブサーバ12において無効化されるIDである。
【0027】
さて、ステップS130において、ユーザコンピュータ40から受信したデータにクッキーが含まれていたときにはこのクッキーに含まれる暗号化データを復号化して個人顧客コード、有効期限及びセッションIDとし(ステップS210)、復号化した個人顧客コードが有効か否かを判定する(ステップS220)。この判定は、復号化したデータに含まれる有効期限やセッションIDに基づいて行う。具体的には、有効期限内で且つセッションIDが無効化されていないときには個人顧客コードが有効、それ以外の時には個人顧客コードが無効と判定する。そして、個人顧客コードが有効でなかったときには、前述したステップS140以下の処理を行い、一方、個人顧客コードが有効だったときには、第1認証用データをユーザコンピュータ40に要求することなく、ステップS100で受信したアクセス要求に応じたウェブページをユーザコンピュータ40へ送信し(ステップS230)、この要求応答処理を終了する。
【0028】
次に、ユーザコンピュータ40が最初に第1ウェブサイトにアクセスし、第1ウェブサーバ12とのセッション中に第2ウェブサイトにアクセスする場合について図3及び図4に基づいて説明する。図4は、要求応答の信号のやり取りを示す説明図である。ユーザコンピュータ40が最初に第1ウェブサイトにアクセスすると、第1ウェブサーバ12は、図3の要求応答処理においてステップS100でアクセス要求ありと判定し、ステップS110で認証確認未完と判定し、ステップS130でユーザコンピュータ40からクッキーを取得不可と判定し、ステップS140〜S160で第1認証用データの要求送信・応答受信と受信した第1認証用データに基づく認証確認とを行い、ステップS180〜S200で第1認証用データに関連づけされた個人顧客コードに有効期限とセッションIDを付けて暗号化しクッキーを作成し、そのクッキーをウェブページと共にユーザコンピュータ40へ送信する。その後、セッション中にユーザコンピュータ40が第1ウェブサイトへ各種のウェブページのアクセス要求をするたびに、第1ウェブサーバ12はステップS100でアクセス要求ありと判定し、ステップS110で認証確認済みと判定し、ステップS230でウェブページをユーザコンピュータ40へ送信する。
【0029】
その後、ユーザコンピュータ40が第1ウェブサーバ12とのセッション中に第2ウェブサイトにアクセスすると、第2ウェブサーバ14は、図3の要求応答処理においてステップS100でアクセス要求ありと判定し、ステップS110で認証確認未完(第2ウェブサーバ14ではステップS160の認証確認が行われていないから)と判定し、ステップS130でユーザコンピュータ40からクッキー(第1ウェブサーバ12がユーザコンピュータ40に送ったクッキー)を取得し、ステップS220でクッキーに含まれていた個人顧客コードは有効と判定し、ステップS230でウェブページをユーザコンピュータ40へ送信する。つまり、第2ウェブサーバ14では認証確認を行うことなくユーザコンピュータ40のアクセスが許容され、シングルサインオンが実現される。
【0030】
以上詳述した本実施形態によれば、第1ウェブサーバ12及び第2ウェブサーバ14は有効な個人顧客コードがユーザコンピュータ40に保存されているか否かによってアクセスを許容するか否かを判定するため、第1認証用データと第2認証用データとが異なっていてもシングルサインオンが可能となる。したがって、各ウェブサイトが1人のユーザに対して異なる認証用データで認証確認する場合であってもシングルサインオンを実現することができる。
【0031】
また、個人顧客コードは、暗号化された状態で送受信されるため万一漏洩したとしても秘匿性が高いし、シングルサインオンシステム10やそのユーザ以外の第三者にとっては無意味なコードであるため万一暗号が解読されたとしてもユーザに関する情報(個人情報等)まで漏れることはない。
【0032】
更に、個人顧客コードは、▲1▼セッション中のみ有効であること、▲2▼個人顧客コードは有効期限付きの形式でユーザコンピュータ40へ送信され、有効期限切れの個人顧客コードが保存されていたときには第1ウェブサーバ12及び第2ウェブサーバ14がアクセスを直ちに許容しないことから、いわゆる「なりすまし」の防止に効果的である。
【0033】
なお、本発明は上述した実施形態に何ら限定されるものではなく、本発明の技術的範囲に属する限り種々の態様で実施できることはいうまでもない。
【0034】
例えば、上述した実施形態において、個人顧客コードは、ユーザコンピュータ40のディスクではなくRAMに保存可能な形式でユーザコンピュータ40へ送信されてもよい。こうすれば、いわゆる「なりすまし」の防止により効果的となる。
【0035】
また、上述した実施形態の図4において、ユーザコンピュータ40は第2認証用データが未設定であっても第2ウェブサイトへシングルサインオンによりアクセスすることができる。このような場合、第2ウェブサーバ14がユーザコンピュータ40の第2認証用データつまりユーザIDとパスワードを自動設定してユーザコンピュータ40に送ってもよい。なお、第1又は第2ウェブサイトの認証方法はユーザID、パスワードの入力に限る必要はない。
【0036】
更に、上述した実施形態において、個人顧客コードをクッキーとして送受信する代わりに、個人顧客コードにセッション中のみ有効な臨時IDを付与し、その臨時IDをクッキーとして送受信してもよい。個人顧客コードはユーザごとに付与されるコードであり継続して使用されるコードであるため、第三者にとって無意味なコードであるとはいえ可能な限り秘匿しておきたい。これに対して臨時IDはセッション中のみ有効なIDのため、万一漏洩したとしてもその臨時IDを使用して「なりすまし」等の不正を行うことはほとんど不可能である。
【0037】
更にまた、上述した実施形態において、第1及び第2ウェブサイトは互いに異なるウェブサイトであり、第1及び第2ウェブサーバ12,14は互いに異なるウェブサーバとしたが、1つのウェブサーバが第1及び第2ウェブサイトを運営していてもよい。
【0038】
そしてまた、上述した実施形態において、クッキーに有効期限を付けるか否かはユーザ側で決定するようにしてもよいし、セッションIDは必須ではなく必要に応じて付けるようにしてもよい。また、記憶装置16を1つではなく複数設けてもよい。
【図面の簡単な説明】
【図1】本実施形態のシングルサインオンシステムの概略構成を示す説明図である。
【図2】認証用DBの説明図である。
【図3】第1ウェブサーバ及び第2ウェブサーバによって実行される要求応答処理のフローチャートである。
【図4】要求応答の信号のやり取りを示す説明図である。
【符号の説明】
10…シングルサインオンシステム、12…第1ウェブサーバ、14…第2ウェブサーバ、16…記憶装置、17…イントラネット、18…インターネット、40…ユーザコンピュータ。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a single sign-on system, a program thereof, and a method thereof.
[0002]
[Prior art]
Conventionally, when a user accesses one website after accessing another website, information necessary for authentication such as a user ID and a password is transmitted as authentication data each time each website is accessed, and authentication is confirmed. The user is requested to log in. However, since it is cumbersome for the user to perform login work every time each website is accessed, a single sign-on system that allows access to other websites simply by receiving authentication on one website. Has been developed.
[0003]
For example, the following system can be considered as a single sign-on system. That is, when multiple websites authenticate and confirm with a common authentication data for one user, the user can send authentication data to a server that operates one website, and the server can confirm the authentication. At that time, a cookie including the ID number assigned to the user's computer is transmitted, and the user's computer stores the cookie in a predetermined folder. The ID and authentication data included in this cookie are stored on the server side as a database. Thereafter, when the same user requests access to another website, the previous cookie is also transmitted to the website. Then, the server operating the website determines the authentication data corresponding to the ID included in the cookie from the above-mentioned database and performs authentication confirmation. As a result, the user can access a plurality of websites by one login operation.
[0004]
[Problems to be solved by the invention]
However, in the single sign-on system described above, since one authentication data corresponds to each ID included in the cookie, a plurality of websites authenticate and confirm with a common authentication data for one user. In some cases, single sign-on can be realized, but a single sign-on system cannot be adopted when a plurality of websites authenticate and confirm one user with different authentication data.
[0005]
The present invention has been made in view of such problems, and a single sign-on system capable of realizing single sign-on even when each website authenticates and confirms with different authentication data for one user, and One of the purposes is to provide such a method. Another object is to provide a program for realizing such single sign-on.
[0006]
[Means for solving the problems and their functions and effects]
In order to achieve the above object, a first aspect of the present invention is a single sign-on system that allows a user to access another website only by authenticating at one of a plurality of websites. ,
A first server that operates the first website and allows access to the first website after authentication confirmation by the first authentication data;
A second server that operates the second website and permits access to the second website after authentication confirmation by the second authentication data;
Data storage means for associating and storing the individual customer code assigned to each user and the first authentication data or the second authentication data;
With
The first server and the second server are:
If the personal customer code is not stored in the user's computer when the user's computer requests access to the user's website, the user's computer is requested for data for authentication, and thereafter After confirming the authentication with the authentication data received from the user's computer, the user's computer is allowed to access the website, and the personal customer code associated with the authentication data is read from the data storage means. Sending to the user's computer in a form that the user's computer can save;
When the personal customer code is stored in the user's computer when the user's computer requests access to the user's website, the user's computer does not request the authentication data. Allow access to website
Is.
[0007]
In this single sign-on system, the first server and the second server are already connected to the first server when the personal customer code is stored on the user's computer when the user's computer requests access to his / her website. This means that the authentication has been confirmed by either the first server or the second server, and access to the user's computer's own website is permitted without requesting the user's own authentication data. That is, whether or not the personal customer code is stored in the user's computer, rather than determining whether or not to permit access based on the authentication data corresponding to the personal customer code stored in the user's computer. Therefore, it is possible to perform single sign-on even if the first authentication data and the second authentication data are different. Therefore, single sign-on can be realized even when each website verifies authentication with different authentication data for one user. Although the first and second websites are different websites, the first and second servers may be different servers or the same server (the same applies hereinafter). The data storage means for storing the personal customer code and the first authentication data in association with each other and the data storage means for storing the personal customer code and the second authentication data in association with each other are the same data storage means. There may be different data storage means (the same applies hereinafter).
[0008]
In the first single sign-on system of the present invention, the individual customer code may be a code meaningless to a third party other than the single sign-on system. In this way, information about the user is protected even if the personal customer code is leaked.
[0009]
In the first single sign-on system of the present invention, the individual customer code may be transmitted to the user's computer in a format that can be stored in a memory instead of a disk of the user's computer. In this way, the personal customer code is stored in a memory such as a RAM instead of a disk such as a hard disk, which is effective in preventing so-called “spoofing” (an act in which a person other than the user having the personal customer code impersonates the user). Is.
[0010]
In the first single sign-on system of the present invention, the individual customer code may be valid only during a session. By doing so, the personal customer code is effective only while the connection between the user's computer and the first server or the second server is maintained, and is effective in preventing so-called “spoofing”.
[0011]
In the first single sign-on system of the present invention, the personal customer code may be transmitted to the user's computer in a format that can be stored by the user's computer and has an expiration date. In this way, the first server and the second server allow access when the personal customer code within the expiration date is stored in the user's computer, and immediately access when the expired personal customer code is stored. Since it cannot be allowed, it is effective in preventing so-called “spoofing”. The personal customer code may be transmitted to the user's computer in a format that can be saved by the user's computer and set an expiration date. In this way, whether or not to set an expiration date is optional, and when the expiration date is set, the above-described effects are achieved.
[0012]
In the first single sign-on system of the present invention, the first server and the second server may use cookies as a format that can be stored by the user's computer. In this way, this system can be realized relatively easily.
[0013]
In the first single sign-on system of the present invention, the first server and the second server encrypt the personal customer code when transmitting the personal customer code to the user's computer, and the user's computer. When the personal customer code is acquired from the computer of the user, the encrypted personal customer code may be acquired and then decrypted. In this way, since the personal customer code is transmitted and received in an encrypted state, even if it leaks, the confidentiality is high.
[0014]
The second of the present invention is a single sign-on program for causing one or more computers to function as the first server and the second server in the first single sign-on system of the present invention. If this program is executed by one or a plurality of computers, single sign-on can be performed even if each website authenticates with different authentication data for one user, as in the first aspect of the present invention. Can be realized. The single sign-on program may be recorded on a computer-readable recording medium (for example, hard disk, ROM, FD, CD, DVD, etc.) or via a transmission medium (communication network such as the Internet or LAN). It may be distributed in any other way, or may be exchanged in any other form.
[0015]
A third aspect of the present invention is a single sign-on method that allows a user to access another website only by authenticating at one of a plurality of websites,
A first server that operates the first website and allows access to the first website after authentication confirmation by the first authentication data;
A second server that operates the second website and permits access to the second website after authentication confirmation by the second authentication data;
Data storage means for associating and storing the individual customer code assigned to each user and the first authentication data or the second authentication data;
Using a system with
The first server and the second server are:
If the personal customer code is not stored in the user's computer when the user's computer requests access to the user's website, the user's computer is requested for data for authentication, and thereafter After confirming the authentication with the authentication data received from the user's computer, the user's computer is allowed to access the website, and the personal customer code associated with the authentication data is read from the data storage means. Sending to the user's computer in a form that the user's computer can save;
When the personal customer code is stored in the user's computer when the user's computer requests access to the user's website, the user's computer does not request the authentication data. Allow access to website
Is.
[0016]
According to this single sign-on method, similar to the first aspect of the present invention, single sign-on can be realized even when each website authenticates and confirms with different authentication data for one user. .
[0017]
In this single sign-on method, the personal customer code may be a meaningless code for a third party other than the single sign-on system. In this way, even if the personal customer code is leaked, information about the user is protected. The The personal customer code may be transmitted to the user's computer in a format that can be stored in a memory instead of the user's computer disk. In this way, the personal customer code is not a disk such as a hard disk but a RAM or the like. This is effective for preventing so-called “spoofing”. Furthermore, the personal customer code may be valid only during a session, and the personal customer code is valid only while the connection between the user's computer and the first server or the second server is maintained, so-called It is effective in preventing “spoofing”. Furthermore, the personal customer code may be transmitted to the user's computer in a form that can be stored by the user's computer and with an expiration date, so that the first server and the second server are the user's computer. If an individual customer code within the expiration date is stored, access is allowed as it is, and when an expired personal customer code is stored, access is not allowed immediately, which is effective in preventing so-called “spoofing” Is. In addition, the first server and the second server may use cookies as a format that can be stored by the user's computer, and this system can be realized relatively easily. Further, when the first server and the second server transmit the personal customer code to the user's computer, the first server and the second server encrypt and transmit the personal customer code to the user's computer. When the personal customer code is acquired, the encrypted personal customer code may be acquired and then decrypted. In this case, the personal customer code is transmitted and received in an encrypted state. Even if it does, confidentiality is high.
[0018]
DETAILED DESCRIPTION OF THE INVENTION
Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is an explanatory diagram showing a schematic configuration of a single sign-on system 10 of the present embodiment.
[0019]
The single sign-on system 10 includes a first web server 12, a second web server 14, and a storage device 16 that stores an authentication DB (DB is an abbreviation for database, the same applies hereinafter). The first web server 12, the second web server 14, and the storage device 16 are connected in a communicable state via an intranet 17, and the first web server 12 and the second web server 14 are connected to a user computer via the Internet 18. 40 is connected in a state where communication is possible. Although there are many user computers 40 that can be connected to the Internet, in the present embodiment, for the sake of convenience, a specific one user computer 40 will be described.
[0020]
The first web server 12 is a server that operates the first website and allows the user computer 40 to access the first website after authentication confirmation using the first authentication data received from the user computer 40. Here, as shown in FIG. 2, it is assumed that the user ID and the password, which are the first authentication data when logging in to the first website, are “XXX” and “□□□”, respectively.
[0021]
The second web server 14 is a server that operates the second website and allows the user computer 40 to access the second website after the authentication confirmation by the second authentication data received from the user computer 40. Here, as shown in FIG. 2, it is assumed that the user ID and the password, which are the second authentication data when logging in to the second website, are “ΔΔΔ” and “▽▽▽”, respectively.
[0022]
The storage device 16 stores an authentication DB. As shown in FIG. 2, the authentication DB includes a personal customer code assigned to each user who uses the user computer 40, first authentication data necessary for logging in to the first website, 2 is associated with the second authentication data required when logging in to the website. This authentication DB also stores personal information such as the user's name, address, telephone number, and e-mail address in a format associated with the personal customer code. The personal customer code is automatically issued by the first web server 12 or the second web server 14 when the user sets the user ID and password on the first website or the second website via the user computer 40. This code is meaningless to a third party unless the authentication DB is referred to.
[0023]
The user computer 40 is a well-known general-purpose personal computer. The user computer 40 transmits and receives requests to and from the first web server 12 and the second web server 14 via the Internet using an installed web browser, and receives the first web site or the second web Browse the web page of the site.
[0024]
Next, the operation of the single sign-on system 10 will be described with reference to FIG. FIG. 3 is a flowchart of a request response process executed by the first web server 12 and the second web server 14. The request response program is installed in the HDDs of the first web server 12 and the second web server 14 or stored in an application server (not shown), and is provided to each of the servers 12 and 14 as necessary. The operation of the first web server 12 will be described below, but the operation of the second web server 14 is the same.
[0025]
The first web server 12 reads out a request response program at every predetermined timing and executes a request response process. When the request response process is started, the first web server 12 first determines whether or not an access request has been received from the user computer 40 via the Internet 18 (step S100). Then, when the access request is not received, the request response processing is finished as it is, and when the access request is received, it is determined whether or not the authentication of the user computer 40 by the authentication data is already completed during this session. (Step S110). When the authentication is confirmed, a web page corresponding to the access request received at step S100 is transmitted to the user computer 40 (step S230). When the authentication is not confirmed, the user computer 40 is sent to the first website. A related cookie is requested (step S120), and after receiving a response according to the request from the user computer 40, it is determined whether or not the cookie is included in the response (step S130).
[0026]
If the cookie is not included, the first authentication data is requested to the user computer 40 (step S140). That is, a login screen having a user ID input field and a password input field is transmitted to the user computer 40. Thereafter, the first authentication data is received from the user computer 40 (step S150). That is, a login screen in which a user ID and a password are input in each input field is received from the user computer 40. Subsequently, it is determined whether or not the received first authentication data is registered in the authentication DB stored in the storage device 16 (step S160), and if it is not registered, an error message (for example, “input The user ID and password are not correct "is transmitted to the user computer 40 (step S170), and the request response process is terminated. On the other hand, when the received first authentication data is registered in the authentication DB, the personal customer code corresponding to the first authentication data is read from the authentication DB (step S180), and the read personal customer code is valid. Encryption is performed with a time limit and a session ID (step S190). Here, the session ID is a serial number assigned to each session. Next, a cookie including the encrypted personal customer code, expiration date, and session ID is created (step S195), and the cookie is transmitted to the user computer 40 together with the web page corresponding to the access request received in step S100 (step S200). ), The request response process is terminated. Then, the user computer 40 receives this cookie and stores it in a predetermined storage location. The session ID is an ID that is invalidated in the first web server 12 every time the connection with the user computer 40 is disconnected.
[0027]
In step S130, when the data received from the user computer 40 includes a cookie, the encrypted data included in the cookie is decrypted to obtain a personal customer code, an expiration date, and a session ID (step S210). It is determined whether or not the personal customer code is valid (step S220). This determination is made based on the expiration date and session ID included in the decrypted data. Specifically, it is determined that the personal customer code is valid when the session ID is not invalidated within the expiration date, and the personal customer code is invalid otherwise. When the personal customer code is not valid, the processing from step S140 described above is performed. On the other hand, when the personal customer code is valid, the first authentication data is not requested to the user computer 40, and step S100 is performed. Then, the web page corresponding to the access request received in is transmitted to the user computer 40 (step S230), and the request response process is terminated.
[0028]
Next, a case where the user computer 40 first accesses the first website and accesses the second website during the session with the first web server 12 will be described with reference to FIGS. 3 and 4. FIG. 4 is an explanatory diagram showing exchange of request response signals. When the user computer 40 first accesses the first website, the first web server 12 determines that there is an access request in step S100 in the request response process of FIG. 3, determines that the authentication confirmation is incomplete in step S110, and step S130. In Steps S140 to S160, it is determined that the cookie cannot be acquired from the user computer 40. In Steps S140 to S160, request transmission / response reception of the first authentication data and authentication confirmation based on the received first authentication data are performed. The personal customer code associated with the first authentication data is encrypted with an expiration date and a session ID, and a cookie is created. The cookie is transmitted to the user computer 40 together with the web page. Thereafter, each time the user computer 40 makes an access request for various web pages to the first website during the session, the first web server 12 determines that there is an access request in step S100, and determines that the authentication has been confirmed in step S110. In step S230, the web page is transmitted to the user computer 40.
[0029]
Thereafter, when the user computer 40 accesses the second website during the session with the first web server 12, the second web server 14 determines that there is an access request in step S100 in the request response process of FIG. 3, and step S110. In step S130, a cookie (a cookie sent by the first web server 12 to the user computer 40) is determined from the user computer 40 in step S130. In step S220, the personal customer code included in the cookie is determined to be valid, and the web page is transmitted to the user computer 40 in step S230. That is, the second web server 14 allows access to the user computer 40 without performing authentication confirmation, and single sign-on is realized.
[0030]
According to the embodiment described in detail above, the first web server 12 and the second web server 14 determine whether or not to permit access depending on whether or not a valid personal customer code is stored in the user computer 40. Therefore, single sign-on is possible even if the first authentication data and the second authentication data are different. Therefore, single sign-on can be realized even when each website verifies authentication with different authentication data for one user.
[0031]
Moreover, since the personal customer code is transmitted and received in an encrypted state, it is highly confidential even if it is leaked, and is meaningless for a third party other than the single sign-on system 10 or its user. Therefore, even if the code is decrypted, information about the user (such as personal information) will not be leaked.
[0032]
Furthermore, (1) the personal customer code is valid only during the session, (2) the personal customer code is transmitted to the user computer 40 in a format with an expiration date, and the expired personal customer code is stored. Since the first web server 12 and the second web server 14 do not permit access immediately, this is effective in preventing so-called “spoofing”.
[0033]
The present invention is not limited to the above-described embodiment, and it goes without saying that the present invention can be implemented in various modes as long as it belongs to the technical scope of the present invention.
[0034]
For example, in the above-described embodiment, the personal customer code may be transmitted to the user computer 40 in a format that can be stored in the RAM instead of the disk of the user computer 40. By doing so, it becomes effective by preventing so-called “spoofing”.
[0035]
In FIG. 4 of the above-described embodiment, the user computer 40 can access the second website by single sign-on even if the second authentication data is not set. In such a case, the second web server 14 may automatically set the second authentication data of the user computer 40, that is, the user ID and password, and send it to the user computer 40. Note that the authentication method of the first or second website need not be limited to the input of the user ID and password.
[0036]
Further, in the above-described embodiment, instead of transmitting / receiving the personal customer code as a cookie, a temporary ID valid only during the session may be assigned to the personal customer code, and the temporary ID may be transmitted / received as a cookie. The personal customer code is a code that is given to each user and is a code that is continuously used. Therefore, although it is a meaningless code for a third party, it should be kept as secret as possible. On the other hand, since the temporary ID is valid only during the session, even if it is leaked, it is almost impossible to perform impersonation such as “spoofing” using the temporary ID.
[0037]
Furthermore, in the above-described embodiment, the first and second websites are different websites, and the first and second web servers 12 and 14 are different web servers, but one web server is the first. And the second website may be operated.
[0038]
In the above-described embodiment, the user may determine whether or not to give an expiration date to the cookie, and the session ID may be attached as necessary instead of being essential. Further, a plurality of storage devices 16 may be provided instead of one.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram showing a schematic configuration of a single sign-on system according to an embodiment.
FIG. 2 is an explanatory diagram of an authentication DB.
FIG. 3 is a flowchart of a request response process executed by a first web server and a second web server.
FIG. 4 is an explanatory diagram showing exchange of request response signals.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 10 ... Single sign-on system, 12 ... 1st web server, 14 ... 2nd web server, 16 ... Memory | storage device, 17 ... Intranet, 18 ... Internet, 40 ... User computer.

Claims (1)

ユーザが複数のウェブサイトの1つで認証を受けるだけで前記ユーザの他のウェブサイトへのアクセスを許容するシングルサインオンシステムであって、
データ記憶手段と、第1サーバと、第2サーバとが互いにイントラネットを介して接続され、前記ユーザが使用するユーザコンピュータが前記第1サーバ及び前記第2サーバとインターネットを介して接続され、
前記データ記憶手段は、ユーザごとに付与される個人顧客コードと第1認証用データ又は第2認証用データとを関連づけして記憶する手段であり、
前記第1サーバは、
前記ユーザコンピュータから前記インターネットを介して前記第1ウェブサイトへのアクセス要求を受信したときには、今回の前記ユーザコンピュータとのセッション中に既に前記第1サーバによる前記第1認証用データを用いた前記ユーザコンピュータの認証確認が済んでいるか否かを判定し、
前記ユーザコンピュータの認証確認が済んでいたならば、前記アクセス要求に応じたウェブページを前記ユーザコンピュータに前記インターネットを介して送信する一方、
前記ユーザコンピュータの認証確認が済んでいないならば、前記ユーザコンピュータに前記インターネットを介して前記第1ウェブサイトに関連するクッキーであって個人顧客コード、有効期限及び前記第2サーバによって付されたセッションID(前記第2サーバによってセッションごとに付され、前記第2サーバと前記ユーザコンピュータとの接続が切断されると前記第2サーバによって無効化されるID)を含むクッキーを要求し、その要求に応じた応答を前記ユーザコンピュータから前記インターネットを介して受信したあと、その応答に前記クッキーが含まれているか否かを判定し、
前記応答に前記クッキーが含まれていなかったならば、前記第1認証用データの入力を要求する画面を前記ユーザコンピュータに前記インターネットを介して送信し、前記ユーザコンピュータから前記インターネットを介して前記第1認証用データが入力された画面を受信し、該受信した第1認証用データが前記データ記憶手段に記憶されているか否かを判定し、記憶されていなかったならばエラーメッセージを前記ユーザコンピュータに前記インターネットを介して送信し、記憶されていたならば前記第1認証用データに対応する個人顧客コードを前記記憶手段から読み出し、読み出した個人顧客コードに新たな有効期限と新たなセッションID(前記第1サーバによってセッションごとに付され、前記第1サーバと前記ユーザコンピュータとの接続が切断されると前記第1サーバによって無効化されるID)を付けて暗号化し、暗号化した個人顧客コード、有効期限及びセッションIDを含むクッキーを作成し、該作成したクッキーを前記アクセス要求に応じたウェブページと共に前記ユーザコンピュータに前記インターネットを介して送信し、
前記応答にクッキーが含まれていたならば、該クッキーに含まれる暗号化データを復号化して個人顧客コード、有効期限及び前記第2サーバによって付されたセッションIDとし、復号化した個人顧客コードが有効か否かをその有効期限内で且つ前記第2サーバによって付されたセッションIDが無効化されていないという条件を満たすか否かによって判定し、前記個人顧客コードが有効だったときには前記アクセス要求に応じたウェブページをユーザコンピュータへ送信し、個人顧客コードが有効でなかったときには第1認証用データの入力を要求する画面を前記ユーザコンピュータに前記インターネットを介して送信し、前記ユーザコンピュータから第1認証用データが入力された画面を受信したならば、その第1認証用データが前記データ記憶手段に記憶されているか否かを判定し、記憶されていなかったならばエラーメッセージを前記インターネットを介して前記ユーザコンピュータへ送信し、記憶されていたならば前記第1認証用データに対応する個人顧客コードを前記データ記憶手段から読み出し、読み出した個人顧客コードに新たな有効期限と新たなセッションIDを付けて暗号化し、暗号化した個人顧客コード、有効期限及びセッションIDを含むクッキーを作成し、該作成したクッキーと前記アクセス要求に応じてウェブページとを前記ユーザコンピュータへ前記インターネットを介して送信するものであり、
前記第2サーバは、
前記ユーザコンピュータから前記インターネットを介して前記第2ウェブサイトへのアクセス要求を受信したときには、今回の前記ユーザコンピュータとのセッション中に既に前記第2サーバによる前記第2認証用データを用いた前記ユーザコンピュータの認証確認が済んでいるか否かを判定し、
前記ユーザコンピュータの認証確認が済んでいたならば、前記アクセス要求に応じたウェブページを前記ユーザコンピュータに前記インターネットを介して送信する一方、
前記ユーザコンピュータの認証確認が済んでいないならば、前記ユーザコンピュータに前記インターネットを介して前記第2ウェブサイトに関連するクッキーであって個人顧客コード、有効期限及び前記第1サーバによって付されたセッションID(前記第2サーバによってセッションごとに付され、前記第2サーバと前記ユーザコンピュータとの接続が切断されると前記第2サーバによって無効化されるID)を含むクッキーを要求し、その要求に応じた応答を前記ユーザコンピュータから前記インターネットを介して受信したあと、その応答に前記クッキーが含まれているか否かを判定し、
前記応答に前記クッキーが含まれていなかったならば、前記第2認証用データの入力を要求する画面を前記ユーザコンピュータに前記インターネットを介して送信し、前記ユーザコンピュータから前記インターネットを介して前記第2認証用データが入力された画面を受信し、該受信した第2認証用データが前記データ記憶手段に記憶されているか否かを判定し、記憶されていなかったならばエラーメッセージを前記ユーザコンピュータに前記インターネットを介して送信し、記憶されていたならば前記第2認証用データに対応する個人顧客コードを前記記憶手段から読み出し、読み出した個人顧客コードに新たな有効期限と新たなセッションID(前記第2サーバによってセッションごとに付され、前記第2サーバと前記ユーザコンピュータとの接続が切断されると前記第2サーバによって無効化されるID)を付けて暗号化し、暗号化した個人顧客コード、有効期限及びセッションIDを含むクッキーを作成し、該作成したクッキーを前記アクセス要求に応じたウェブページと共に前記ユーザコンピュータに前記インターネットを介して送信し、
前記応答にクッキーが含まれていたならば、該クッキーに含まれる暗号化データを復号化して個人顧客コード、有効期限及び前記第1サーバによって付されたセッションIDとし、復号化した個人顧客コードが有効か否かをその有効期限内で且つ前記第1サーバによって付されたセッションIDが無効化されていないという条件を満たすか否かによって判定し、前記個人顧客コードが有効だったときには前記アクセス要求に応じたウェブページをユーザコンピュータへ送信し、個人顧客コードが有効でなかったときには第2認証用データの入力を要求する画面を前記ユーザコンピュータに前記インターネットを介して送信し、前記ユーザコンピュータから第2認証用データが入力された画面を受信したならば、その第2認証用データが前記データ記憶手段に記憶されているか否かを判定し、記憶されていなかったならばエラーメッセージを前記インターネットを介して前記ユーザコンピュータへ送信し、記憶されていたならば前記第2認証用データに対応する個人顧客コードを前記データ記憶手段から読み出し、読み出した個人顧客コードに新たな有効期限と新たなセッションIDを付けて暗号化し、暗号化した個人顧客コード、有効期限及びセッションIDを含むクッキーを作成し、該作成したクッキーと前記アクセス要求に応じてウェブページとを前記ユーザコンピュータへ前記インターネットを介して送信する、
シングルサインオンシステム。A single sign-on system that allows a user to access other websites of the user simply by authenticating at one of a plurality of websites,
The data storage means, the first server, and the second server are connected to each other via an intranet, and a user computer used by the user is connected to the first server and the second server via the Internet,
The data storage means is a means for storing the personal customer code assigned to each user in association with the first authentication data or the second authentication data ,
The first server is
When the access request to the first website is received from the user computer via the Internet, the user who has already used the first authentication data by the first server during the current session with the user computer Determine whether the computer has been verified,
If authentication of the user computer has been completed, a web page corresponding to the access request is transmitted to the user computer via the Internet,
If authentication of the user computer has not been completed, a session associated with the user computer via the Internet, which is a cookie associated with the first website, which is a personal customer code, an expiration date, and the second server Requesting a cookie containing an ID (an ID assigned to each session by the second server and invalidated by the second server when the connection between the second server and the user computer is disconnected); After receiving a response from the user computer via the Internet, determining whether the cookie is included in the response;
If the cookie is not included in the response, a screen requesting input of the first authentication data is transmitted to the user computer via the Internet, and the user computer transmits the screen via the Internet. A screen on which one authentication data is input is received, it is determined whether or not the received first authentication data is stored in the data storage means, and if it is not stored, an error message is sent to the user computer. If the data is stored and stored, the personal customer code corresponding to the first authentication data is read from the storage means, and a new expiration date and a new session ID ( The first server and the user computer are attached to each session by the first server. ID is invalidated by the first server when the connection with the server is disconnected, and a cookie including the encrypted personal customer code, expiration date and session ID is created, and the created cookie is Send to the user computer along with the web page in response to the access request via the Internet;
If the response includes a cookie, the encrypted data included in the cookie is decrypted to obtain a personal customer code, an expiration date, and a session ID given by the second server. It is determined whether it is valid or not by satisfying the condition that the session ID given by the second server is not invalidated within the validity period, and when the personal customer code is valid, the access request A web page corresponding to the user ID is transmitted to the user computer, and when the personal customer code is not valid, a screen requesting input of the first authentication data is transmitted to the user computer via the Internet, and the user computer If a screen on which one authentication data is input is received, the first authentication data is If not stored, an error message is transmitted to the user computer, and if stored, corresponds to the first authentication data. The personal customer code to be read is read from the data storage means, and the read individual customer code is encrypted with a new expiration date and a new session ID, and a cookie including the encrypted individual customer code, the expiration date and the session ID is created. And transmitting the created cookie and the web page in response to the access request to the user computer via the Internet,
The second server is
When the access request to the second website is received from the user computer via the Internet, the user who has already used the second authentication data by the second server during the current session with the user computer Determine whether the computer has been verified,
If authentication of the user computer has been completed, a web page corresponding to the access request is transmitted to the user computer via the Internet,
If authentication of the user computer has not been completed, it is a cookie associated with the second website via the Internet to the user computer, and includes a personal customer code, an expiration date, and a session attached by the first server Requesting a cookie containing an ID (an ID assigned to each session by the second server and invalidated by the second server when the connection between the second server and the user computer is disconnected); After receiving a response from the user computer via the Internet, determining whether the cookie is included in the response;
If the cookie is not included in the response, a screen requesting input of the second authentication data is transmitted to the user computer via the Internet, and the user computer transmits the screen via the Internet. 2) A screen on which authentication data is input is received, it is determined whether or not the received second authentication data is stored in the data storage means, and if it is not stored, an error message is sent to the user computer. If the data is stored and stored, the personal customer code corresponding to the second authentication data is read from the storage means, and a new expiration date and a new session ID ( Added to each session by the second server, and the second server and the user computer. ID is invalidated by the second server when the connection with the server is disconnected), and a cookie including the encrypted personal customer code, expiration date and session ID is created, and the created cookie is Send to the user computer along with the web page in response to the access request via the Internet;
If a cookie is included in the response, the encrypted data included in the cookie is decrypted to obtain a personal customer code, an expiration date, and a session ID given by the first server. It is determined whether it is valid or not by satisfying the condition that the session ID given by the first server is not invalidated within the validity period, and when the personal customer code is valid, the access request A web page corresponding to the request is transmitted to the user computer, and if the personal customer code is not valid, a screen requesting input of second authentication data is transmitted to the user computer via the Internet, and the user computer 2 If the screen on which the authentication data is input is received, the second authentication data is If it is not stored, an error message is transmitted to the user computer via the Internet, and if it is stored, it corresponds to the second authentication data. The personal customer code to be read is read from the data storage means, and the read individual customer code is encrypted with a new expiration date and a new session ID, and a cookie including the encrypted individual customer code, the expiration date and the session ID is created. And transmitting the created cookie and the web page in response to the access request to the user computer via the Internet.
Single sign-on system.
JP2002131409A 2002-05-07 2002-05-07 Single sign-on system, program thereof and method thereof Expired - Fee Related JP4390429B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002131409A JP4390429B2 (en) 2002-05-07 2002-05-07 Single sign-on system, program thereof and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002131409A JP4390429B2 (en) 2002-05-07 2002-05-07 Single sign-on system, program thereof and method thereof

Publications (2)

Publication Number Publication Date
JP2003323409A JP2003323409A (en) 2003-11-14
JP4390429B2 true JP4390429B2 (en) 2009-12-24

Family

ID=29544052

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002131409A Expired - Fee Related JP4390429B2 (en) 2002-05-07 2002-05-07 Single sign-on system, program thereof and method thereof

Country Status (1)

Country Link
JP (1) JP4390429B2 (en)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4652710B2 (en) * 2004-03-29 2011-03-16 チエル株式会社 Single sign-on system for learning
JP5075410B2 (en) * 2004-07-07 2012-11-21 株式会社 アスリート Television receiver and client terminal
WO2006072994A1 (en) * 2005-01-07 2006-07-13 Systemk Corporation Login-to-network-camera authentication system
JP2006309355A (en) * 2005-04-26 2006-11-09 Matsushita Electric Ind Co Ltd Service system, and operating method for server device of the system
CN101310286B (en) * 2005-11-24 2011-12-14 国际商业机器公司 Improved single sign on
JP4946564B2 (en) * 2007-03-27 2012-06-06 富士通株式会社 Authentication processing method and system
CN101599951A (en) 2008-06-06 2009-12-09 阿里巴巴集团控股有限公司 A kind of method of releasing website information, Apparatus and system
JP4988003B2 (en) * 2010-03-29 2012-08-01 シャープ株式会社 MFP, MFP control system, program and recording medium
JP6016936B2 (en) * 2012-10-29 2016-10-26 三菱電機株式会社 Equipment management system and equipment management method
JP5975910B2 (en) * 2013-03-15 2016-08-23 三菱電機株式会社 Data processing apparatus, data processing method, data processing program, and cooperative business system
JP6546100B2 (en) 2014-02-17 2019-07-17 富士通株式会社 Service providing method, service request method, information processing apparatus, and client apparatus

Also Published As

Publication number Publication date
JP2003323409A (en) 2003-11-14

Similar Documents

Publication Publication Date Title
EP3525415B1 (en) Information processing system and control method therefor
CN100534092C (en) Method and system for stepping up to certificate-based authentication without breaking an existing ssl session
JP4782986B2 (en) Single sign-on on the Internet using public key cryptography
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
CN100580610C (en) Security link management method in dynamic networks
KR101534890B1 (en) Trusted device-specific authentication
JP5790653B2 (en) Service provision system
US20060031592A1 (en) System and method for user enrollment in an e-community
JP2005538434A (en) Method and system for user-based authentication in a federated environment
JPH11338799A (en) Method and system for controlling network connection
JP2013138474A (en) Authentication delegation based on re-verification of cryptographic evidence
CN101331731A (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
DK2414983T3 (en) Secure computer system
US20080270571A1 (en) Method and system of verifying permission for a remote computer system to access a web page
JP4390429B2 (en) Single sign-on system, program thereof and method thereof
WO2011037226A1 (en) Access control system, authentication server system, and access control program
JP4013175B2 (en) Simple user authentication method, authentication server, and recording medium storing program therefor
JP4608929B2 (en) Authentication system, server authentication program, and client authentication program
JP4805035B2 (en) Communication system and communication method
JP2007219665A (en) Access control system, access control method, and access control program
JP4097951B2 (en) User authentication system and method for mobile phone terminal, and user authentication program
JP3914152B2 (en) Authentication server, authentication system, and authentication program
JP2007115023A (en) Information-sharing system, information-sharing method and information-sharing program
JP2005018421A (en) Management device, service providing device, and communication system
JP3741963B2 (en) Data delivery method and apparatus, program, and recording medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080527

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090330

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090915

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091006

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121016

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131016

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees