JP7301668B2 - システム、制御方法、プログラム - Google Patents
システム、制御方法、プログラム Download PDFInfo
- Publication number
- JP7301668B2 JP7301668B2 JP2019145572A JP2019145572A JP7301668B2 JP 7301668 B2 JP7301668 B2 JP 7301668B2 JP 2019145572 A JP2019145572 A JP 2019145572A JP 2019145572 A JP2019145572 A JP 2019145572A JP 7301668 B2 JP7301668 B2 JP 7301668B2
- Authority
- JP
- Japan
- Prior art keywords
- authorization
- resource
- request
- user
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、ユーザーのリソースの権限委譲を可能とするシステム、制御方法、プログラムに関する。
クラウドのwebサービスでOAuth2.0による権限委譲を実現している。特許文献1ではシステム連携を設定する際にユーザーは、クライアントと認可サーバーの両方をウェブブラウザで操作し、認可操作を行うことで、ユーザーの権限をクライアントに委譲できることについて開示している。クライアントは、委譲されたユーザーの権限を用いて、ユーザーのリソースにアクセスでき、システム連携が実現する。
OAuth2.0でユーザーの権限をクライアントに委譲するためには、ユーザーがクライアントにウェブブラウザでアクセスすることが必要になる。例えば、マルチテナントシステムで、外部システムから各テナントのデータを解析する際に各テナントの管理者の許可が必要なケースを考える。この場合、解析処理のタイミングでテナントの管理者がクライアントである外部システムにアクセスすることを期待できず、クライアントが自律的に権限委譲の要求を行う必要がある。
また、あらかじめユーザー特定できる場合はそのユーザーに権限委譲を求められるが、クライアントがアクセスしたいリソースは分かっているものの、そのリソースの所有者が分からず、ユーザーを指定して権限委譲を求められない場合が考えられる。例えば、データ解析対象のテナントは識別できるものの、その管理者ユーザーが不明なケースでは、前述の課題が発生する。
本発明は前述の課題を鑑みてなされたもので、本発明はクライアントがリソース所有者を指定して権限委譲を求められない場合に、リソースを指定して権限委譲を求められるようにすることを目的とする。
本発明の一実施形態に係る認可サーバーは、ユーザーのリソースを提供するリソースサーバー、前記リソースへアクセスするクライアント、前記クライアントが前記リソースへアクセスすることがユーザーにより許可されたことを示すアクセストークンを発行する認可サーバー、およびユーザー端末とから構成されるシステムにおける前記認可サーバーであって、前記クライアントがアクセスするリソースに対応するリソース識別子を含んだ認可開始リクエストを受信する受信手段と、前記受信手段により受信された認可開始リクエストに含まれる前記リソース識別子とともに、前記リソース識別子に対応するリソースの所有者であるユーザーを解決するための要求を前記リソースサーバーへ送信する送信する送信手段と、前記要求に対する応答として取得したユーザーの情報に関連づく端末情報を特定する特定手段と、特定された端末情報に対応するユーザー端末に対して認可確認リクエストを送信し、応答として認可確認の結果を受信する確認手段と、前記確認手段により受信された認可確認の結果に応じて前記アクセストークンの発行を制御し、前記アクセストークンを発行した場合は前記認可開始リクエストを送信した前記クライアントへ発行した前記アクセストークンを送信する発行手段と、を有することを特徴とする。
本願発明によれば、クライアントがアクセスしたいリソースは分かっているものの、そのリソースの所有者が分からない場合でも、認可開始リクエストを行えるようになる。
以下、本発明を実施するための形態について図面を用いて説明する。
本実施の形態に係る権限委譲システムは、図1に示すような構成のネットワーク上に実現される。100は、Wide Area Network(WAN100)であり、本発明ではWorld Wide Web(WWW)システムが構築されている。110、150、170は各構成要素を接続するLocal Area Network(LAN110、LAN150、LAN170)である。
152はユーザーのリソースを管理するリソースサーバーであり、111はリソースサーバー152上のリソースにアクセスするクライアントである。ここでクライアント111がリソースサーバー152上のリソースにアクセスするためには、リソース所有者であるユーザーがクライアント111に権限を委譲する必要がある。151はクライアントの求めに応じてリソースへのアクセス許可の証拠となるアクセストークンを発行する認可サーバーである。171はクライアント111が権限委譲を求めた際に認可確認画面を表示するユーザー端末である。
認可サーバー151、リソースサーバー152はそれぞれLAN150を介してWAN100と接続されている。また同様にクライアント111はLAN110を介して、ユーザー端末171はLAN170を介して、それぞれWAN100と接続されている。なお認可サーバー151、リソースサーバー152はそれぞれ個別のLAN上に構成されていてもよいし同一のLAN上に構成されていてもよい。同様に、同一のPCまたはサーバーコンピューター上に構成されていてもよい。また、認可サーバー151、リソースサーバー152は図1ではそれぞれが1台として描かれているが複数のサーバーから構成されたサーバーシステムでも良い。例えば、複数台のサーバーをクラスタ化して認可サーバー151を構成しても良い。なお、本願発明においてサーバーシステムと称した場合は、少なくとも1台のサーバーから構成された特定のサービスを提供する装置を指すものとする。
本実施の形態に係るイベント通知システムは、図2に示すような構成のPCから成るシステム上に実現される。図2は本実施の形態に係る、認可サーバー151の構成を示す図である。またクライアント111、リソースサーバー152の構成やユーザー端末171の構成も同様である。尚、図2に示されるハードウェアブロック図は一般的な情報処理装置のハードウェアブロック図に相当するものとし、本実施形態のサーバーコンピューターおよび端末には一般的な情報処理装置のハードウェア構成を適用できる。
図2において、CPU201は、ROM203のプログラム用ROMに記憶された、或いはハードディスク211からRAM202にロードされたOSやアプリケーション等のプログラムを実行する。ここでOSとはコンピュータ上で稼動するオペレーティングシステムの略語であり、以下オペレーティングシステムのことをOSと呼ぶ。後述する各フローチャートの処理はこのプログラムの実行により実現できる。RAM202は、CPU201の主メモリ、ワークエリア等として機能する。キーボードコントローラ(KBC)205は、キーボード(KB)209や不図示のポインティングデバイスからのキー入力を制御する。CRTコントローラ(CRTC)206は、CRTディスプレイ210の表示を制御する。ディスクコントローラ(DKC)207は各種データを記憶するハードディスク(HD)211やフロッピー(登録商標)ディスク(FD)等におけるデータアクセスを制御する。NC212はネットワークに接続されて、ネットワークに接続された他の機器との通信制御処理を実行する。
尚、後述の全ての説明においては、特に断りのない限り実行のハード上の主体はCPU201であり、ソフトウェア上の主体はハードディスク(HD)211にインストールされたアプリケーションプログラムである。ソフトウェア上の主体は、CPU201がそれらプログラムを実行することで実現する。
図3は本実施の形態に係る、クライアント111、認可サーバー151、リソースサーバー152のモジュール構成を示す図である。図3(A)はクライアント111、図3(B)は認可サーバー151、図3(C)はリソースサーバー152のモジュール構成を、それぞれ示す。また図3(D)はユーザー端末171のモジュール構成を示す。クライアント111は認可開始リクエスト発行モジュール301、アクセストークン要求モジュール302、アクセストークン管理モジュール303、リソースアクセスモジュール304を持つ。認可サーバー151は認可リクエスト管理モジュール351、リソース所有者解決モジュール352、認可確認モジュール353、アクセストークン発行モジュール354を持つ。リソースサーバー152はリソース管理モジュール371を持つ。ユーザー端末171は認可操作受付モジュール391を持つ。
認可サーバー151の認可リクエスト管理モジュール351は、クライアント111の認可開始リクエスト発行モジュール301の要求に従い、認可開始リクエストを処理する。ここで認可開始リクエストにはクライアント111がアクセスしようとするリソース情報が含まれる。リソース所有者解決モジュール352は認可開始リクエストに含まれるリソース情報を用いて、リソースサーバー152に対し、当該リソースのリソース所有者情報を問い合わせる。ここで得られたリソース所有者情報を元に、認可確認モジュール353は、特定のユーザー端末171に対し認可確認リクエストを行う。認可確認リクエストに対しユーザーが認可操作を行うと、クライアント111は、認可サーバー151からアクセストークンを取得できるようになり、またリソースサーバーに対してアクセスできるようになる。
図4(A)は本実施の形態に係る、クライアント111が認可サーバー151に対し認可開始リクエストを行うフローである。本フローはクライアント111がリソースサーバー152上のリソースへのアクセスに先立ち、アクセストークンが必要になった際に開始される。
ステップS401で認可開始リクエスト発行モジュール301は、操作対象のリソース識別子およびスコープを含む認可開始リクエストを、認可サーバー151に対して送信する。ここでスコープは、リソースへのアクセス範囲を示す。
ステップS402で認可開始リクエスト発行モジュール301は、認可サーバー151からレスポンスを受信する。このレスポンスには、認可サーバー151が発行した認可リクエスト識別子が含まれる。
ステップS403で認可開始リクエスト発行モジュール301は、ステップS402で受信したレスポンスに含まれる認可リクエスト識別子を、ステップS401の操作対象リソースおよびスコープとともに記憶し、フローを終了する。表1はクライアント111が記憶する認可リクエスト管理テーブルの例である。
表1ではリソース識別子“/datalake/iot0010/data”で示されるリソースに対し、スコープ“get-data”で行った認可開始リクエストが、認可リクエスト識別子“auth_req_id_12345”に関連付けて記憶されている。また認可リクエスト識別子“auth_req_id_98765”に対しては、“actk111222333”で示されるアクセストークンを取得済みであることを示す。ここでリソース識別子が示すリソースは、ファイルシステム上の1つのファイルを示してもよく、データベース上の特定のレコードを示してもよい。またそれらの集合を示してもよい。
図4(B)は本実施の形態に係る、認可サーバー151における認可開始リクエストの受信フローである。本フローは認可サーバー151がクライアント111から認可開始リクエストを受信することで開始される。
ステップS411で認可リクエスト管理モジュール351は、クライアント111から認可開始リクエストを受け付ける。ここで認可開始リクエストには、クライアント111のクライアント識別子と、クライアント111が操作対象としているリソース識別子が含まれる。
ステップS412でリソース所有者解決モジュール352は、ステップS411で指定されたリソースの所有者を、リソースサーバー152に問い合わせる。ステップS413でリソース所有者解決モジュール352は、ステップS412の問い合わせの応答として、ステップS411で指定されたリソースの所有者のユーザー識別子を受信する。ステップS414で認可リクエスト管理モジュール351は、ステップS411で受信した認可開始リクエストに対応する認可リクエスト識別子を生成する。
ステップS415で認可リクエスト管理モジュール351は、ステップS414で生成した認可リクエスト識別子に、認可リクエストの情報を関連付けて記憶する。ここで認可リクエストの情報とは、ステップS411で受信したクライアント識別子、操作対象のリソース識別子、スコープと、ステップS413で受信したユーザー識別子を含む。表2は認可リクエスト管理モジュール351が記憶する認可確認状況管理テーブルの例である。
表2では、クライアント識別子“client_xyz”で示されるクライアントが、リソース識別子“/datalake/iot0010/data”で示されるリソースに対し、スコープ“get-data”で行った認可開始リクエストが、認可リクエスト識別子“auth_req_id_12345”に関連付けて記憶されている。また認可リクエスト識別子“auth_req_id_12345”にはユーザー識別子“user_abcde”が関連付けられているが、これはリソース“/datalake/iot0010/data”のリソース所有者を解決した結果、ユーザー識別子が”user_abcde”だったことを示している。なお認可リクエスト識別子“auth_req_id_12345”の認可結果が“(空欄)”となっているのは、ユーザーがまだ認可操作を行っていないことを示している。それに対し認可リクエスト識別子“auth_req_id_98765”の認可結果は“approved”で、認可リクエスト識別子“auth_req_id_44444”の認可結果は“disapproved”である。これらはそれぞれ、ユーザーが認可を行ったことと、認可を拒否したことをそれぞれ示している。
ステップS416で認可リクエスト管理モジュール351は、ステップS411の応答として、ステップS414で生成した認可リクエスト識別子をクライアント111に返し、フローを終了する。
図4(C)は本実施の形態に係る、認可サーバー151における認可確認リクエストを行うフローである。本フローはステップS415で認可リクエストの情報を記憶したことを受けて開始される。
ステップS421で認可確認モジュール353は、ステップS415で記憶した認可リクエスト識別子に紐付くユーザー識別子を取得する。ここで、ステップS415で記憶した認可リクエスト識別子が“auth_req_id_12345”であれば、紐付くユーザー識別子は“user_abcde”である。
ステップS422で認可確認モジュール353は、ステップS421で取得したユーザー識別子から、ユーザー端末171を特定する。表3はユーザー識別子とユーザー端末171の対応を記憶するユーザー管理テーブルの例である。
ここでユーザー識別子“user_abcde”に対応するユーザー端末情報は、”192.168.0.1”であることが分かる。このように、端末情報からユーザーが保有するユーザー端末が特定される。ステップS423で認可確認モジュール353は、ステップS415で記憶した認可リクエスト識別子に紐付くクライアント識別子およびスコープを取得する。ここで、ステップS415で記憶した認可リクエスト識別子が“auth_req_id_12345”であれば、紐付くクライアント識別子およびスコープはそれぞれ“client_xyz”および“get-data”である。
ステップS424で認可確認モジュール353は、ステップS422で特定したユーザー端末171に対し、ステップS423で取得したクライアント識別子、リソース識別子およびスコープを含めて認可確認リクエストを送信する。なお認可確認リクエストの送信方法は、ユーザー端末171のエンドポイントを指定した通信方法でもよく、またMQTT(Message Queueing Telemetry Transport)をはじめとするPUSH通知を用いた方法でもよい。またその他の方法でもよい。いずれにせよ、ユーザー端末171からのアクセスから通信がスタートするのではなく、認可確認モジュール353からユーザー端末171に対して通信を開始することになるので、サーバー側からユーザー端末へ通信できる通信方式が必須となる。
ユーザー端末171の認可操作受付モジュール391は、取得した認可確認リクエストを基に、図7に示すような認可確認画面1001を表示し、ユーザーに認可を求める。表示内容は認可確認リクエストに含まれるクライアント識別子やリソース識別子を参照し決定されるものとする。
ステップS425で認可確認モジュール353は、ステップS424で送信した認可確認リクエストの応答として、ユーザー端末171から認可結果を受信する。ステップS426で認可確認モジュール353は、ステップS425で受信した認可結果を、ステップS415で記憶した認可リクエスト識別子に関連付けて記憶し、フローを終了する。表2では、認可リクエスト識別子“auth_req_id_98765”に対し、認可されたことを示す“approved”が記憶されている。
図4(D)は本実施の形態に係る、リソースサーバー152におけるリソース所有者を返すフローである。本フローはリソースサーバー152が認可サーバー151から、リソース所有者の問い合わせを受けて開始される。
ステップS451でリソース管理モジュール371は、認可サーバー151からリソース所有者の問い合わせを受信する。この問い合わせにはリソース識別子を含む。ステップS452でリソース管理モジュール371は、ステップS415で指定されたリソースの所有者のユーザー識別子を取得し、認可サーバー151に返し、フローを終了する。表4はリソース管理モジュール371におけるリソース管理テーブルの例である。表4では、リソース識別子“/datalake/iot0010/data”で示されるリソースの所有者が、ユーザー識別子“user_abcde”であることが示されている。
図5(A)は本実施の形態に係る、認可サーバー151がクライアント111に認可完了通知を行うフローである。本フローはステップS426で認可結果を記憶したことを受けて開始される。
ステップS501で認可確認モジュール353は、ステップS426で記憶した認可リクエスト識別子を取得する。ステップS502で認可確認モジュール353は、ステップS501で取得した認可リクエスト識別子に紐付くクライアントの接続先情報であるクライアントエンドポイントを取得する。表5はクライアント識別子とクライアントエンドポイントの対応を管理する、クライアント管理テーブルの例である。表5では、クライアント識別子“client_xyz”のクライアントエンドポイントが、”10.0.0.1”であることを示している。
ステップS503で認可確認モジュール353は、ステップS502で取得したクライアントエンドポイントに対し、ユーザーが認可したことを通知し、フローを終了する。なおここでクライアントエンドポイントに通知する内容は、ステップS501で取得した認可リクエスト識別子でもよく、またユーザーの認可に対応して発行したアクセストークンでもよい。アクセストークンを発行する際は後述の図5(C)に示されるようなフローを実行する。
図5(B)は本実施の形態に係る、クライアント111が認可サーバー151にアクセストークンリクエストを行うフローである。本フローはクライアント111が認可サーバー151からステップS503の認可完了通知を受けて開始される。または本フローは、クライアント111が、定期的に実行してもよい。
ステップS511でアクセストークン要求モジュール302は、アクセストークンリクエストを行う認可リクエスト識別子を決定する。ここで本フローが定期的に実行される場合には、認可リクエスト識別子は、表1に示される認可リクエスト管理テーブルでアクセストークン未取得のものから選ばれる。また本フローが認可サーバー151からの通知を受けて開始される場合は、認可サーバー151からの通知に含まれる認可リクエスト識別子が用いられる。
ステップS512でアクセストークン要求モジュール302は、ステップS511で決定した認可リクエスト識別子を指定して、認可サーバー151に対してアクセストークンリクエストを行う。ステップS513でアクセストークン管理モジュール303は、ステップS512の応答として受信したアクセストークンを記憶し、フローを終了する。表1では、認可リクエスト識別子“auth_req_id_98765”に対して取得できた、アクセストークン“actk111222333”を記憶している様子を示す。
図5(C)は本実施の形態に係る、認可サーバー151がアクセストークンを発行するフローである。本フローは認可サーバー151がクライアント111からアクセストークンリクエストを受信したことで開始される。
ステップS521でアクセストークン発行モジュール354は、クライアント111から受信したアクセストークンリクエストから、認可リクエスト識別子を取得する。ステップS522でアクセストークン発行モジュール354は、アクセストークン発行可否を判断する。
ステップS523でアクセストークン発行モジュール354は、ステップS522の結果、アクセストークンを発行可能であると判断されたか確認する。アクセストークンを発行可能と判断された場合はステップS524に遷移する。またアクセストークンを発行不可能と判断された場合はステップS525に遷移する。
ステップS524でアクセストークン発行モジュール354は、ステップS521で取得した認可リクエスト識別子に関連付けられたユーザー識別子およびスコープに対応するアクセストークンを発行する。また発行したアクセストークンをクライアント111に返し、フローを終了する。表6はアクセストークン発行モジュール354で発行されたアクセストークンを管理する、アクセストークン管理テーブルの例である。
表6では、ユーザー“user_abcde”がスコープ“get-data”の権限委譲を行ったことを示すアクセストークンが、アクセストークン識別子“actk111222333”として発行されていることを示す。なおステップS524でクライアント111に返すアクセストークンは、アクセストークン識別子だけでもよく、またアクセストークン識別子に加えユーザー識別子およびスコープを含む構造化されたデータでもよい。ステップS525でアクセストークン発行モジュール354は、アクセストークンを発行できないことをクライアント111に通知し、フローを終了する。
図5(D)は本実施の形態に係る、アクセストークン発行可否判断を行うステップS522の詳細フローである。ステップS531でアクセストークン発行モジュール354は、表2の認可確認状況管理テーブルを参照し、指定された認可リクエスト識別子に対応する認可結果を確認する。
ステップS532でアクセストークン発行モジュール354は、ステップS531の確認した認可結果が、認可されていることを表しているか判断する。認可されていることを表していた場合はステップS533に遷移し、その他の場合はステップS534に遷移する。ステップS533でアクセストークン発行モジュール354は、アクセストークンを発行可能と判断し、フローを終了する。ステップS534でアクセストークン発行モジュール354は、アクセストークンを発行不可能と判断し、フローを終了する。
図6は本実施の形態に係る、クライアントが認可開始リクエストを行ってからアクセストークンを入手し、リソースアクセスする際の全体のフローである。クライアント111は(1)で認可サーバーに対し認可開始リクエストを行い、応答として(2)で認可リクエスト識別子を取得する。(1)はステップS401およびステップS411に、(2)はステップS402およびステップS416にそれぞれ対応する。
認可サーバー151は認可開始リクエストを受けると、認可開始リクエストに含まれるリソース識別子のリソース所有者を解決するため、(3)でリソースサーバー152にリソース所有者の問い合わせを行う。また応答として(4)でリソース所有者のユーザー識別子を受信する。(3)はステップS412およびステップS451に、(4)はステップS413およびステップS452に、それぞれ対応する。
認可サーバー151はリソース所有者の解決が済むと、(5)でリソース所有者に関連付けられたユーザー端末171に対し認可確認リクエストを行う。ユーザー端末171では図7で示される認可確認画面1001が表示され、ユーザーが認可操作を行う。ユーザーが認可操作を行った結果は、(6)として認可サーバーに返される。(5)はステップS424に、(6)はステップS425に、それぞれ対応する。認可サーバー151は(6)で認可結果を受信すると、(7)でクライアント111に認可完了通知を行う。(7)はS503に対応する。
クライアント111は(7)で認可完了通知を受信するか、もしくは定期的に、(8)で認可サーバー151に対してアクセストークンリクエストを行う。また応答として(9)でアクセストークンを受信する。(8)はステップS512およびステップS521に、(9)はステップS513およびステップS524に、それぞれ対応する。(5)もしくは(9)でアクセストークンを受信したクライアント111は、(10)でリソースサーバー152に対しリソースアクセスを行い、応答として(11)でリソースを取得する。
本実施の形態によれば、クライアントがアクセスしたいリソースは分かっているものの、そのリソースの所有者が分からない場合でも、認可開始リクエストを行えるようになる。すなわち、ユーザーを指定して権限委譲を求める代わりに、リソース識別子を指定して認可開始リクエストを行ってアクセストークンを取得できるようになる。
次に、本発明を実施するための第2の形態について図面を用いて説明する。なお第1の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。リソースサーバー上でリソースの所有者が変更された場合を考えると、変更前のリソース所有者が認可して発行されたアクセストークンでは、当該リソースに対してアクセスを許可すべきではない。
本実施の第2の形態は、前述の課題を鑑みて為されたものである。図8は本実施の第2の形態に係る、リソースサーバー152のモジュール構成を示す図である。リソースサーバー152はリソース管理モジュール371に加え、リソースアクセス制御モジュール372を持つ。図9(A)は本実施の第2の形態に係る、クライアント111によるリソースサーバー152へのリソースアクセスのフローである。本フローはクライアント111がアクセストークンを取得したことを受けて開始される。
ステップS901でリソースアクセスモジュール304は、ステップS513で取得したアクセストークンを用いてリソースサーバー152にリソースアクセスを行う。ここでリソースアクセスにはアクセストークンと、操作対象となるリソースの識別子が含まれる。またアクセストークンはアクセストークン識別子だけ含んでいてもよく、またアクセストークン識別子に加えユーザー識別子およびスコープを含む構造化されたデータでもよい。ここではアクセストークンは、アクセストークン識別子に加えユーザー識別子およびスコープを含む構造化されたデータであるとする。構造化されたアクセストークンの例は以下の通りである。
{“accessTokenId”:”actk111222333”,“userId”:”user_abcde”,”scope”:”get-data”}
{“accessTokenId”:”actk111222333”,“userId”:”user_abcde”,”scope”:”get-data”}
ステップS902でリソースアクセスモジュール304は、ステップS901でリソースを取得できたか判断する。リソースを取得できていた場合はステップS903に遷移し、取得できていなかった場合はステップS904に遷移する。ステップS903でリソースアクセスモジュール304は、ステップS901で取得したリソースに対し、所望の処理を行い、フローを終了する。
ステップS904でリソースアクセスモジュール304は、リソースを取得できなかった原因が、リソース所有者の変更であるか判断する。原因がリソース所有者の変更だった場合はステップS905に遷移し、その他の原因だった場合はフローを終了する。
ステップS905でリソースアクセスモジュール304は、新しいリソース所有者の権限委譲を受けるために、ステップS901でアクセスしようとしたリソースを指定して認可開始リクエストを行う。認可開始リクエストのフローは図4(A)に示す通りである。
図9(B)は本実施の第2の形態に係る、リソースサーバー152におけるリソースアクセス処理のフローである。本フローはリソースサーバー152がクライアント111からリソースアクセスを受け付けることで開始される。
ステップS911でリソース管理モジュール371は、クライアント111からリソースアクセスを受け付ける。以下では、クライアント111によるリソースアクセスの対象となるリソースは、”/datalake/iot0011/data”で示されるリソースであるとする。ステップS912でリソースアクセス制御モジュール372は、ステップS911で受け付けたリソースアクセスに含まれるアクセストークンを取り出す。
ステップS913でリソースアクセス制御モジュール372は、ステップS912で取り出したアクセストークンに関連付けられたユーザー識別子を確認する。ここではアクセストークンが構造化されたデータであるとし、アクセストークンに直接記載されたユーザー識別子を取り出すこととする。アクセストークンが{“accessTokenId”:”actk111222333”,“userId”:”user_abcde”,”scope”:”get-data”}であれば、ユーザー識別子として”user_abcde”が取り出される。
ステップS914でリソースアクセス制御モジュール372は、ステップS911で受け付けたリソースアクセスの対象となるリソースのリソース所有者を取得する。表7は、リソース所有者が変更された後のリソース管理テーブルの例を示す。
表7では、リソース所有者変更前の表4と比べ、”/datalake/iot0011/data”で示されるリソースの所有者が変更されている。新たなリソース所有者のユーザー識別子は“user_fghij”である。ここで、ステップS911で対象となったリソースが”/datalake/iot0011/data”であるとしているため、取得されるユーザー識別子は“user_fghij”である。
ステップS915でリソースアクセス制御モジュール372は、ステップS913で取り出したユーザー識別子と、ステップS914で取り出したユーザー識別子を比較する。両者が一致していた場合はステップS916に遷移し、不一致だった場合はステップS917に遷移する。ここではそれぞれのユーザー識別子が”user_abcde”および“user_fghij”であるため、不一致と判断される。
ステップS916でリソース管理モジュール371は、クライアント111にリソースを返しフローを終了する。ステップS917でリソース管理モジュール371は、リソースの所有者が変更されたためリソースアクセスできないことをクライアント111に通知しフローを終了する。なおここで、リソースアクセスできないことを通知されたクライアント111は、図9(A)のフローのステップS905に従い、ステップS901でアクセスしようとしたリソースのリソース識別子を指定して認可開始リクエストを行う。認可開始リクエストのフローは図4(A)に示す通りである。
本実施の第2の形態によれば、リソースサーバー上でリソースの所有者が変更された場合に、変更前のリソース所有者が認可して発行されたアクセストークンを用いて当該リソースにアクセスできなくなるため、セキュリティが向上する。
次に、本発明を実施するための第3の形態について図面を用いて説明する。なお第1または2の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。
リソース所有者変更後、新たなリソース所有者に認可を求めるタイミングが、クライアント111がリソースサーバー152にアクセスした時点とした場合、次の問題がある。すなわち、新たなリソース所有者が認可操作するまで、クライアント111は、当該リソースにアクセスできなくなる。
本実施の第3の形態は、前述の課題を鑑みて為されたものである。図10は本実施の第2の形態に係る、認可サーバー151およびリソースサーバー152のモジュール構成を示す図である。図10(A)は認可サーバー151のモジュール構成を示す図であり、認可サーバー151は認可リクエスト更新モジュール355を持つ。図10(B)はリソースサーバー152のモジュール構成を示す図であり、リソースサーバー152はリソース所有者変更モジュール373を持つ。
図11(A)は本実施の第3の形態に係る、リソースサーバー152におけるリソース所有者変更のフローである。本フローはリソースサーバー152が、リソース所有者の変更を受け付けることで開始される。
ステップS1101でリソース所有者変更モジュール373は、リソース所有者の変更を受け付ける。ここではリソース“/datalake/iot0011/data”の所有者を“user_klmno”に変更することとする。ステップS1102でリソース所有者変更モジュール373は、指定されたリソースの所有者を変更する。表8は、リソース所有者が変更された後のリソース管理テーブルの例を示す。
表8では、表7と比べ、”/datalake/iot0011/data”で示されるリソースの所有者が変更されている。新たなリソース所有者のユーザー識別子は“user_klmno”である。ステップS1103でリソース所有者変更モジュール373は、リソース所有者が変更されたことを認可サーバー151に通知する。
図11(B)は本実施の第3の形態に係る、認可サーバー151における認可リクエスト更新のフローである。本フローは認可サーバー151が、リソースサーバー152から、リソース所有者の変更通知を受け付けることで開始される。実施例1および2では、クライアント111から認可開始リクエストを受信したことを条件に、ユーザー端末171の特定処理、および認可確認リクエストの送信処理を行った。しかし、実施例3では変更通知を受け付けることで特定処理および送信処理が開始されるのが特徴であり、これにより、認可開始リクエストを受信したタイミングでクライアント111へアクセストークンの送信が可能になる。
ステップS1111で認可リクエスト更新モジュール355は、リソースサーバー152からリソース所有者の変更通知を受け付ける。ここでリソース所有者の変更通知は、”/datalake/iot0011/data”のリソース所有者が“user_klmno”になったことを示しているとする。ステップS1112で認可リクエスト更新モジュール355は、表1の認可確認状況管理テーブルから、所有者が変更されたリソースに対応する認可リクエストを抽出する。ここでは認可リクエスト識別子が“auth_req_id_98765”および“auth_req_id_44444”が抽出される。
ステップS1113で認可リクエスト更新モジュール355は、ステップS1112で抽出した認可リクエストのユーザー識別子および認可結果を更新する。表9は更新後の認可確認状況管理テーブルの例である。
表9では、認可リクエスト識別子が“auth_req_id_98765”および“auth_req_id_44444”の認可リクエストで、ユーザー識別子が“user_klmno”となっている。また認可結果は“(空欄)”になっている。これは新しいリソース所有者である“user_klmno”に対してまだ認可確認を行っていないためである。
ステップS1114で認可リクエスト更新モジュール355はステップS1113で更新された認可リクエストに対し、図4(C)で示す認可確認リクエストフローを実施する。
なお図4(C)で示す認可確認リクエストフローでは、新しいリソース所有者に対して認可確認リクエストが送信される。ここで新しいリソース所有者が認可操作を行うと、認可サーバー151は、図5(A)に示されるように、クライアント111に対し、新しいリソース所有者が認可を行ったことを通知する。
ここで通知する内容は、ステップS501で取得した認可リクエスト識別子でもよく、またユーザーの認可に対応して発行したアクセストークンでもよい。通知に先立ち予めアクセストークンを発行する際は、図5(C)に示されるようなフローを実行する。あるいはクライアント111は、認可サーバー151に対して、任意のタイミングで図5(B)に示すようなアクセストークンリクエストを送信してもよい。ここで認可サーバー151は、図11(B)で認可リクエストに関連付けられたリソース所有者が更新された後であれば、新しいリソース所有者のアクセストークンを発行する。
本実施の第3の形態によれば、リソースサーバー上でリソースの所有者が変更された場合に迅速に対応できるようになる。すなわち、変更後の新たなリソース所有者に対して認可確認リクエストを行うことができるため、クライアント111によるアクセストークンリクエスト前にリソース所有者による認可操作を済ますことができるようになる。そのため利便性が向上する。
111 クライアント
151 認可サーバー
152 リソースサーバー
171 ユーザー端末
151 認可サーバー
152 リソースサーバー
171 ユーザー端末
Claims (13)
- ユーザーのリソースを提供するリソースサーバー、前記リソースへアクセスするクライアント、前記クライアントが前記リソースへアクセスすることがユーザーにより許可されたことを示すアクセストークンを発行する認可サーバー、およびユーザー端末とから構成されるシステムにおける前記認可サーバーであって、
前記クライアントがアクセスするリソースに対応するリソース識別子を含んだ認可開始リクエストを受信する受信手段と、
前記受信手段により受信された認可開始リクエストに含まれる前記リソース識別子とともに、前記リソース識別子に対応するリソースの所有者であるユーザーを解決するための要求を前記リソースサーバーへ送信する送信手段と、
前記要求に対する応答として取得したユーザーの情報に関連づく端末情報を特定する特定手段と、
特定された端末情報に対応するユーザー端末に対して認可確認リクエストを送信し、応答として認可確認の結果を受信する確認手段と、
前記確認手段により受信された認可確認の結果に応じて前記アクセストークンの発行を制御し、前記アクセストークンを発行した場合は前記認可開始リクエストを送信した前記クライアントへ発行した前記アクセストークンを送信する発行手段と、を有することを特徴とする認可サーバー。 - ユーザー識別子と端末情報を関連付けたユーザー管理テーブルを記憶する記憶手段を有し、
前記特定手段は、前記要求に対する応答としてユーザー識別子を取得し、取得したユーザー識別子に関連付けられた端末情報を前記ユーザー管理テーブルから特定することを特徴とする請求項1に記載の認可サーバー。 - 特定された端末情報に対応するユーザー端末に対して認可確認リクエストを送信する場合、ユーザー端末からのアクセスなく、認可確認リクエストを送信することを特徴とする請求項1または2に記載の認可サーバー。
- 発行されたアクセストークンを用いて前記リソースを取得できなかった前記クライアントから認可開始リクエストを受信した場合、前記送信手段は、リソースの所有者であるユーザーを解決するための要求を前記リソースサーバーへ再び送信することを特徴とする請求項1乃至3の何れか1項に記載の認可サーバー。
- 前記リソースサーバーから前記リソースの所有者の変更通知を受信した場合、前記クライアントから認可開始リクエストを受信するよりも前に、前記ユーザー端末に対して認可確認リクエストを送信することを特徴とする請求項1乃至3の何れか1項に記載の認可サーバー。
- 前記クライアントから認可開始リクエストを受信したタイミングで前記認可確認リクエストに対する応答として認可確認の結果を受信しており、かつその認可確認の結果が許可であると確認された場合は、あらかじめ発行したアクセストークンを送信することを特徴とする請求項5に記載の認可サーバー。
- ユーザーのリソースを提供するリソースサーバー、前記リソースへアクセスするクライアント、前記クライアントが前記リソースへアクセスすることがユーザーにより許可されたことを示すアクセストークンを発行する認可サーバー、およびユーザー端末とから構成されるシステムにおける前記認可サーバーで実行される制御方法であって、
前記クライアントがアクセスするリソースに対応するリソース識別子を含んだ認可開始リクエストを受信する受信ステップと、
前記受信ステップにおいて受信された認可開始リクエストに含まれる前記リソース識別子とともに、前記リソース識別子に対応するリソースの所有者であるユーザーを解決するための要求を前記リソースサーバーへ送信する送信ステップと、
前記要求に対する応答として取得したユーザーの情報に関連づく端末情報を特定する特定ステップと、
特定された端末情報に対応するユーザー端末に対して認可確認リクエストを送信させ、応答として認可確認の結果を受信する確認ステップと、
前記確認ステップにおいて受信された認可確認の結果に応じて前記アクセストークンの発行を制御し、前記アクセストークンを発行した場合は前記認可開始リクエストを送信した前記クライアントへ発行した前記アクセストークンを送信する発行ステップと、を含むことを特徴とする制御方法。 - ユーザー識別子と端末情報を関連付けたユーザー管理テーブルを記憶する記憶ステップを含み、
前記特定ステップでは、前記要求に対する応答としてユーザー識別子を取得し、取得したユーザー識別子に関連付けられた端末情報を前記ユーザー管理テーブルから特定することを特徴とする請求項7に記載の制御方法。 - 特定された端末情報に対応するユーザー端末に対して認可確認リクエストを送信する場合、ユーザー端末からのアクセスなく、認可確認リクエストを送信することを特徴とする請求項7または8に記載の制御方法。
- 発行されたアクセストークンを用いて前記リソースを取得できなかった前記クライアントから認可開始リクエストを受信した場合、前記送信ステップでは、リソースの所有者であるユーザーを解決するための要求を前記リソースサーバーへ再び送信することを特徴とする請求項7乃至9の何れか1項に記載の制御方法。
- 前記リソースサーバーから前記リソースの所有者の変更通知を受信した場合、前記クライアントから認可開始リクエストを受信するよりも前に、前記ユーザー端末に対して認可確認リクエストを送信することを特徴とする請求項7乃至10の何れか1項に記載の制御方法。
- 前記クライアントから認可開始リクエストを受信したタイミングで前記認可確認リクエストに対する応答として認可確認の結果を受信しており、かつその認可確認の結果が許可であると確認された場合は、あらかじめ発行させたアクセストークンを送信することを特徴とする請求項11に記載の制御方法。
- 請求項7乃至12の何れか1項に記載の制御方法をコンピューターに実行させるためのプログラム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019145572A JP7301668B2 (ja) | 2019-08-07 | 2019-08-07 | システム、制御方法、プログラム |
| KR1020200094200A KR102650408B1 (ko) | 2019-08-07 | 2020-07-29 | 시스템, 제어 방법 및 프로그램 |
| US16/985,084 US11558391B2 (en) | 2019-08-07 | 2020-08-04 | System, control method, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019145572A JP7301668B2 (ja) | 2019-08-07 | 2019-08-07 | システム、制御方法、プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021026611A JP2021026611A (ja) | 2021-02-22 |
| JP7301668B2 true JP7301668B2 (ja) | 2023-07-03 |
Family
ID=74498313
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019145572A Active JP7301668B2 (ja) | 2019-08-07 | 2019-08-07 | システム、制御方法、プログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11558391B2 (ja) |
| JP (1) | JP7301668B2 (ja) |
| KR (1) | KR102650408B1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115185927A (zh) * | 2022-07-21 | 2022-10-14 | 贵州电网有限责任公司 | 大数据平台管理系统、方法、计算机设备及存储介质 |
| US20240223402A1 (en) * | 2022-12-29 | 2024-07-04 | Garantir LLC | Sharing secrets over one or more computer networks using proxies |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007188184A (ja) | 2006-01-11 | 2007-07-26 | Fujitsu Ltd | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 |
| JP2012212356A (ja) | 2011-03-31 | 2012-11-01 | Hitachi Solutions Ltd | 承認制文書保護システム |
| JP2017004301A (ja) | 2015-06-11 | 2017-01-05 | キヤノン株式会社 | 認証サーバーシステム、方法、プログラムおよび記憶媒体 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1800209A4 (en) * | 2004-09-16 | 2010-03-24 | Fortress Gb Ltd | SYSTEM AND METHODS FOR ACCELERATED PERSONAL PRIVILEGE RECOGNITION AND TREATMENT FOR CONTROLLING IMPORTANT ENVIRONMENTS OF CLOSED GROUPS |
| JP2008181427A (ja) | 2007-01-25 | 2008-08-07 | Fuji Xerox Co Ltd | シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム |
| US7852195B2 (en) * | 2007-03-27 | 2010-12-14 | Valmarc Corporation | Authentication of source, plus, for goods and services system, method, and components |
| US9043896B2 (en) * | 2007-08-31 | 2015-05-26 | International Business Machines Corporation | Device certificate based appliance configuration |
| US10743251B2 (en) * | 2008-10-31 | 2020-08-11 | Qualcomm Incorporated | Support for multiple access modes for home base stations |
| US8424075B1 (en) * | 2008-12-31 | 2013-04-16 | Qurio Holdings, Inc. | Collaborative firewall for a distributed virtual environment |
| JP5623234B2 (ja) | 2010-10-22 | 2014-11-12 | キヤノン株式会社 | 権限委譲システム、権限委譲方法、情報処理装置およびその制御方法、並びにプログラム |
| JP5858796B2 (ja) | 2012-01-16 | 2016-02-10 | キヤノン株式会社 | 権限委譲システム、およびその権限委譲システムにおけるサーバーシステム、および権限委譲システムを制御する制御方法 |
| KR101857020B1 (ko) * | 2012-01-17 | 2018-05-14 | 삼성전자주식회사 | 서버에서 제공되는 서비스를 관리하기 위한 단말기의 장치 및 방법 |
| JP6006533B2 (ja) * | 2012-05-25 | 2016-10-12 | キヤノン株式会社 | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 |
| US9391998B2 (en) * | 2012-11-21 | 2016-07-12 | Verizon Patent And Licensing Inc. | Extended OAuth architecture supporting multiple types of consent based on multiple scopes and contextual information |
| US9330370B2 (en) * | 2013-03-20 | 2016-05-03 | International Business Machines Corporation | Updating progression of performing computer system maintenance |
| US9264436B2 (en) * | 2013-05-08 | 2016-02-16 | International Business Machines Corporation | Policy-based automated consent |
| JP6157411B2 (ja) * | 2014-05-30 | 2017-07-05 | キヤノン株式会社 | 権限移譲システム、方法、認証サーバーシステム、およびそのプログラム |
| US9419962B2 (en) * | 2014-06-16 | 2016-08-16 | Adobe Systems Incorporated | Method and apparatus for sharing server resources using a local group |
| US9531749B2 (en) * | 2014-08-07 | 2016-12-27 | International Business Machines Corporation | Prevention of query overloading in a server application |
| CN105763514B (zh) * | 2014-12-17 | 2019-11-29 | 华为技术有限公司 | 一种处理授权的方法、设备和系统 |
| EP3405862B1 (en) * | 2016-01-19 | 2020-11-18 | Priv8Pay, Inc. | Network node authentication |
| US10616211B2 (en) * | 2017-04-12 | 2020-04-07 | Cisco Technology, Inc. | System and method for authenticating clients |
| US11036401B2 (en) * | 2017-07-14 | 2021-06-15 | Hitachi Vantara Llc | Method, apparatus, and system for controlling user access to a data storage system |
| JP6904857B2 (ja) * | 2017-08-31 | 2021-07-21 | キヤノン株式会社 | 権限委譲システム、制御方法、およびプログラム |
| US10351100B1 (en) * | 2018-02-27 | 2019-07-16 | Ford Global Technologies, Llc | Securing a vehicle on authorized user change |
| US11122035B2 (en) * | 2018-05-24 | 2021-09-14 | International Business Machines Corporation | Secure delegation of a refresh token for long-running operations |
-
2019
- 2019-08-07 JP JP2019145572A patent/JP7301668B2/ja active Active
-
2020
- 2020-07-29 KR KR1020200094200A patent/KR102650408B1/ko active IP Right Grant
- 2020-08-04 US US16/985,084 patent/US11558391B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007188184A (ja) | 2006-01-11 | 2007-07-26 | Fujitsu Ltd | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 |
| US20070174282A1 (en) | 2006-01-11 | 2007-07-26 | Fujitsu Limited | Access control method, access control apparatus, and computer product |
| JP2012212356A (ja) | 2011-03-31 | 2012-11-01 | Hitachi Solutions Ltd | 承認制文書保護システム |
| JP2017004301A (ja) | 2015-06-11 | 2017-01-05 | キヤノン株式会社 | 認証サーバーシステム、方法、プログラムおよび記憶媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102650408B1 (ko) | 2024-03-25 |
| KR20210018076A (ko) | 2021-02-17 |
| US11558391B2 (en) | 2023-01-17 |
| US20210044594A1 (en) | 2021-02-11 |
| JP2021026611A (ja) | 2021-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6166596B2 (ja) | 認可サーバーシステムおよびその制御方法、並びにプログラム | |
| JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
| JP6177020B2 (ja) | 認証システム、その制御方法、サービス提供装置およびコンピュータプログラム | |
| JP6376869B2 (ja) | データ同期システム、その制御方法、認可サーバー、およびそのプログラム | |
| US20140230020A1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
| JP6736305B2 (ja) | 情報処理システム、情報処理装置、サーバ装置、情報処理システムの制御方法、及びプログラム | |
| JPWO2005006204A1 (ja) | データベースアクセス制御方法、データベースアクセス制御装置、代理処理サーバ装置、データベースアクセス制御のためのプログラム、および該プログラムを記録した記録媒体 | |
| JP2012093801A (ja) | 権限委譲システム、権限委譲方法、認証装置、情報処理装置、制御方法、およびプログラム | |
| JP2008181427A (ja) | シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム | |
| JP2014099030A (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
| JP2011100270A (ja) | 画面共有システム及び画面共有サーバ | |
| JP2018085049A (ja) | 権限検証システムおよびリソースサーバー、認証サーバー、権限検証方法 | |
| JP2005284985A (ja) | ネットワーク対応機器、ネットワーク対応機器を保守する保守方法、プログラム、プログラムが記録された媒体及び保守システム | |
| JP7301668B2 (ja) | システム、制御方法、プログラム | |
| JP2021077040A (ja) | 権限委譲システム、サーバ及びその制御方法、並びにプログラム | |
| JP2012243027A (ja) | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 | |
| CN106330836B (zh) | 一种服务端对客户端的访问控制方法 | |
| JP2008226148A (ja) | 認証システム、中継サーバ、認証方法、およびプログラム | |
| JP7208807B2 (ja) | システム、テナントの移動方法、情報処理装置およびその制御方法、並びにプログラム | |
| JP6477073B2 (ja) | ライセンス管理システム、プログラム及びライセンス管理方法 | |
| JP7163602B2 (ja) | 中継装置及びプログラム | |
| JP7301669B2 (ja) | システム、認可サーバー、制御方法、プログラム | |
| US10554789B2 (en) | Key based authorization for programmatic clients | |
| JP2015118459A (ja) | 画像形成装置、情報端末、サーバ装置、データ処理システム、画像形成装置の通信方法、情報端末の通信方法、サーバ装置の通信方法、及びプログラム | |
| JP2000172645A (ja) | サーバコンピュータ及びサーバコンピュータにおける認証情報管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220726 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230313 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230322 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230512 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230523 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230621 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7301668 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |