[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2011089712A1 - 認証方法、認証システムおよび認証プログラム - Google Patents

認証方法、認証システムおよび認証プログラム Download PDF

Info

Publication number
WO2011089712A1
WO2011089712A1 PCT/JP2010/050823 JP2010050823W WO2011089712A1 WO 2011089712 A1 WO2011089712 A1 WO 2011089712A1 JP 2010050823 W JP2010050823 W JP 2010050823W WO 2011089712 A1 WO2011089712 A1 WO 2011089712A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
user
server
identification information
terminal
Prior art date
Application number
PCT/JP2010/050823
Other languages
English (en)
French (fr)
Inventor
豊明 古澤
Original Assignee
富士通株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 富士通株式会社 filed Critical 富士通株式会社
Priority to JP2011550759A priority Critical patent/JP5375976B2/ja
Priority to PCT/JP2010/050823 priority patent/WO2011089712A1/ja
Publication of WO2011089712A1 publication Critical patent/WO2011089712A1/ja

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers

Definitions

  • the present invention relates to an authentication method, an authentication system, and an authentication program.
  • SSL Secure Socket Layer
  • VPN Virtual Private Network
  • a client server system built on an in-house LAN can be safely accessed from a client application of a user terminal connected to the Internet. It has been demanded.
  • a client application connected to the Internet accesses the server application by simulating the built-in SSL-VPN apparatus, and executes data communication via the SSL-VPN.
  • the server application included in the client server system accepts an access request from a user terminal on the Internet via an SSL-VPN device installed on the server side.
  • the server application since these accesses go through a proxy, the server application has no way of knowing what kind of client is accepting the access request from the communication protocol. There was a problem that it could not be properly authenticated.
  • the server application of many client server systems is the database itself, and the security function for identifying and authenticating the client is weak, and there is a risk such as data leakage.
  • the present invention has been made in view of the above, and appropriately authenticates communication of a client application that makes an access request via the Internet to a client server system having a weak security function built on an in-house network. It is an object of the present invention to provide an authentication method that can be used.
  • the present invention provides an SSO login Web server installed on the server side in a client server system that executes an application via the Internet, connected via the Internet.
  • User identification information for identifying the user of the terminal is acquired from the Web browser of the user terminal, and the authentication apparatus is notified of the acquired user identification information, thereby requesting the authentication apparatus to authenticate the user.
  • the step of making a connection request to the SSL relay server by notifying the terminal identification information of the user terminal, and the SSL relay server accepting the connection request by acquiring the terminal identification information from the user terminal A step of determining whether or not the acquired terminal identification information is registered in the authentication table; and When registered in the table, the connection between the client application that has made the connection request and the server application in the client server system is permitted, and a service corresponding to
  • the authentication method of the present invention it is possible to appropriately authenticate a client application that makes an access request via the Internet.
  • FIG. 1 is a diagram illustrating the configuration of the authentication system according to the first embodiment.
  • FIG. 2 is a diagram illustrating an example of the authentication system according to the second embodiment.
  • FIG. 3 is a diagram for explaining the processing procedure of the authentication system.
  • FIG. 4 is a diagram illustrating the configuration of the user terminal according to the second embodiment.
  • FIG. 5 is a diagram showing the configuration of the SSO authentication server.
  • FIG. 6 is a diagram illustrating an example of the data structure of the SSO authentication table.
  • FIG. 7 is a diagram illustrating an example of a data structure of the user management table.
  • FIG. 8 is a diagram illustrating an example of the data structure of the authority management table.
  • FIG. 9 is a diagram showing the configuration of the SSO login Web server.
  • FIG. 1 is a diagram illustrating the configuration of the authentication system according to the first embodiment.
  • FIG. 2 is a diagram illustrating an example of the authentication system according to the second embodiment.
  • FIG. 3 is a diagram for explaining the
  • FIG. 10 is a diagram illustrating a configuration of the SSL relay server.
  • FIG. 11 is a diagram illustrating an example of the data structure of the authentication table.
  • FIG. 12 is a diagram illustrating an example of the data structure of the port management table.
  • FIG. 13 is a flowchart (1) illustrating the processing procedure of the authentication system according to the second embodiment.
  • FIG. 14 is a flowchart (2) illustrating the processing procedure of the authentication system according to the second embodiment.
  • FIG. 15 is a diagram illustrating a hardware configuration of a computer constituting the SSL relay server.
  • FIG. 1 is a diagram illustrating the configuration of the authentication system according to the first embodiment.
  • this authentication system includes an SSO login Web server 10 and an SSL relay server 15 installed on the server side in a client server system that executes applications via the Internet.
  • the authentication system also includes a user terminal 20 that requests a service, an SSO authentication server 30 that authenticates the user, and a server application 40 that provides the service.
  • the SSO login Web server 10 is connected to the user terminal 20 via the Internet 50 and is connected to the SSO authentication server 30 and the SSL relay server 15.
  • the SSL relay server 10 connects to the server application 40 via the Internet 50 as a user terminal 20.
  • the SSO login Web server 10 includes an HTTP communication unit 11, an authentication request processing unit 12, an authentication key issuing unit 13, and an authentication information registration unit 14. Among these, the authentication request processing unit 11 acquires user identification information for identifying the user of the terminal 20 from the user terminal 20 connected via the Internet 50. Further, the authentication request processing unit 12 requests the SSO authentication server 30 to authenticate the user by notifying the SSO authentication server 30 of the user identification information.
  • the authentication information registration unit 14 After the user is authenticated by the SSO authentication server 30, the authentication information registration unit 14 generates a unique authentication key or acquires the authentication key from the SSO authentication server 30, and uses the authentication key and the authority information of the user. Correspondingly, the information is registered in the storage unit 18 accessible by the SSL relay server 15.
  • the SSL relay server 15 includes an SSL communication unit 16, a connection authentication unit 17, a storage unit 18 that holds an authentication table and the like, and a connection relay unit 19.
  • the storage unit 18 stores the authentication key, authority information, and terminal identification information in association with each other.
  • the SSL communication unit 16 When the SSL communication unit 16 receives a connection authentication request from the user terminal 20, the SSL communication unit 16 inquires of the connection authentication unit 17 using the authentication key received from the user terminal in order to determine whether the SSO authentication has been completed.
  • the connection authentication unit 17 searches the storage unit 18 and determines that it is the first connection authentication request only when the authentication key has already been registered and the terminal identification information has not been registered, and the terminal identification information is registered for the authentication key. .
  • the SSL communication unit 16 inquires of the connection authentication unit 17 about connection availability using terminal identification information for identifying the user terminal.
  • the connection authentication unit 17 searches the storage unit 18 using the terminal identification information. If there is a corresponding terminal in the search, it is determined that the SSO has been authenticated, and the connection relay unit 19 is used to connect to the server application 40 and relay communication. If there is no corresponding terminal in the search, connection / relay by the connection relay unit 19 is not permitted. Further, the connection authentication unit 17 determines whether to permit access to the virtual line (port) of the server application 40 in accordance with the user authority information corresponding to the terminal identification information.
  • the SSO login Web server 10 uses the authority information of the user and a predetermined virtual circuit.
  • the terminal identification information permitting connection is registered in the authentication table of the storage unit 18 in the SSL relay server 15 using the authentication key. For this reason, the user terminal identified by the terminal identification information stored in the authentication table can be determined to be authenticated. Therefore, when the SSL relay server 15 receives a connection request from the user terminal 20 connected to the Internet 50, the SSL relay server 15 determines whether or not the terminal identification information of the user terminal is registered in the authentication table. Access from user terminals can be properly authenticated.
  • FIG. 2 is a diagram illustrating an example of the authentication system according to the second embodiment.
  • this authentication system includes user terminals 70a to 70c, an SSO (Single Sign On) authentication server 80, an SSO login Web server 90, an SSL relay server 100, and a server application 120.
  • the user terminals 70a to 70c, the SSO login Web server 90, and the SSL relay server 100 are connected via the Internet 60.
  • the SSL relay server 100 is connected to the SSO authentication server 80 and the SSO login Web server 90 via an internal network 65 such as a LAN (Local Area Network).
  • LAN Local Area Network
  • User terminals 70 a to 70 c are devices that establish SSL communication with the SSL relay server 100 and receive service provision from the server application 120.
  • the SSO authentication server 80 is a device that authenticates the user of the user terminal 70.
  • the SSO login Web server 90 is a device that accepts terminal user information from the user terminal 70 and makes an authentication request to the SSO authentication server 80.
  • the SSO login Web server 90 associates the authority information of the user with the IP address of the user terminal using the authentication key, and the SSL relay server 100.
  • the SSL relay server 100 uses the information associated with the authentication key to determine the user terminal and service type that are permitted to connect to the server application 120, and controls the connection.
  • FIG. 3 is a diagram for explaining the processing procedure of the authentication system.
  • the processing procedure of the authentication system will be described using the user terminal 70a among the user terminals 70a to 70c.
  • the user terminal 70a transmits a user ID (Identification) and a password to the SSO login Web server 90.
  • a user ID Identity
  • a password to the SSO login Web server 90.
  • the SSO login Web server 90 requests the SSO authentication server 80 to authenticate the user by notifying the SSO authentication server 80 of the user ID and password acquired from the user terminal 70a. See (2) in FIG.
  • the SSO authentication server 80 authenticates the user based on the user ID and the password. Then, the SSO authentication server 80 transmits the user authentication result, service list, and authority information to the SSO login Web server 90. See (3) in FIG.
  • the service list is a list of services available to the user.
  • the authority information is information including the authority of the user. Services that can be used by the user are determined according to the authority information.
  • the SSO login Web server 90 generates a unique authentication key when the user of the user terminal 70a is authenticated by the SSO authentication server 80.
  • the authentication key generated by the SSO authentication server 80 may be used.
  • the authentication key is used for associating the authority information of the user who has succeeded in authentication with the IP address of the user terminal of the user by the procedure described later.
  • the SSO login Web server 90 After generating the authentication key, the SSO login Web server 90 associates the authentication key with the user authority information and notifies the SSL relay server 100 of the association. See (4) of FIG. Then, the SSO login Web server 90 transmits information in which the authentication key is associated with the service list to the user terminal 70a. Refer to (5) in FIG.
  • the user terminal 70a displays the service list received from the SSO login Web server 90 on a display or the like. Then, when the service list is selected by the user, the user terminal 70a makes an authentication request to the SSL relay server 100 using information in which the authentication key is associated with its own IP address.
  • the SSL relay server 100 registers the IP address received from the user terminal 70a in the authentication table only when the authentication key has already been registered by the SSO login Web server 90. Refer to (6) in FIG. At this stage, the authentication key associates the authority information of the user who has been successfully authenticated with the IP address of the user terminal 70a.
  • the user terminal 70 a makes a connection request to the SSL relay server 100.
  • the SSL relay server 100 determines whether or not the IP address of the user terminal 70a is registered in the authentication table. If the IP address of the user terminal 70a is registered in the authentication table, it is determined that the user of the user terminal 70a has been authenticated.
  • the SSL relay server 100 requests the server application 120 to provide a service according to the authority information of the user when the IP address of the user terminal 70a is registered in the authentication table. Refer to (7) of FIG. The user authority information is registered in the authentication table of the SSL relay server 100 in association with the IP address of the user terminal 70a.
  • the server application 120 When the server application 120 receives a service provision request from the SSL relay server 100, the server application 120 provides the service to the SSL relay server 100. Refer to (8) in FIG. The SSL relay server 100 relays service provision to the user terminal 70a. Refer to (9) of FIG.
  • FIG. 4 is a diagram illustrating the configuration of the user terminal according to the second embodiment.
  • the configuration of the user terminals 70b and 70c is the same as the configuration of the user terminal 70a shown in FIG.
  • the user terminal 70 a includes a Web browser 71 and a client package 74.
  • the web browser 71 includes an SSO login processing unit 72 and an application cooperation unit 73.
  • the client package 74 includes an application activation unit 75, an SSL relay client 76, and a client application 79.
  • the SSO login processing unit 72 communicates with the SSO login Web server, requests SSO authentication processing, acquires an authentication key and an available service list as a result, and stores them in the memory.
  • the application cooperation unit 73 performs activation processing for the services in the service list.
  • the application cooperation unit 73 activates the application activation unit 75 of the client package 74 corresponding to the service.
  • the application cooperation unit 73 acquires the authentication key from the memory held by the Web browser and notifies the application activation unit 75 of the authentication key.
  • the application activation unit 75 activates the SSL relay client 76 and connects to the authentication request unit 77 of the SSL relay client 76 using the authentication key notified from the application cooperation unit 73 and the IP address of the user terminal. Require authentication. If the connection authentication request is successful, the application activation unit 75 activates the client application 79.
  • the SSL relay client 76 includes an authentication request unit 77 and an SSL communication unit 78.
  • the authentication request unit 77 requests connection to the SSL relay server 100 via the SSL communication unit 78 using the authentication key and the IP address notified from the application activation unit 75.
  • the client application 79 can establish a connection with the SSL relay server 100 via the SSL relay client 76.
  • the SSL communication unit 78 encrypts information notified from the authentication request unit 77 and the client application 79 and transmits the encrypted information to the SSL relay server 100.
  • the information received from the SSL relay server 100 is decrypted and transmitted to the authentication request unit 77 and the client application 79.
  • the client application 79 is activated by the application activation unit 75, the client application 79 is connected to the server application 120 via the SSL relay client 76 and the SSL relay server 100 to perform communication. At this time, the SSL relay client 76 behaves as the server application 120 when viewed from the client application 79.
  • FIG. 5 is a diagram showing the configuration of the SSO authentication server.
  • the SSO authentication server 80 includes a communication unit 81, an input unit 82, an output unit 83, an input / output control unit 84, a storage unit 85, and a control unit 86.
  • the communication unit 81 is a processing unit that controls data communication with the SSO login Web server 90.
  • the input unit 82 is an input device that inputs various types of information.
  • the input unit 82 corresponds to a keyboard, a mouse, or the like.
  • the output unit 83 is an output unit that outputs various types of information.
  • the output unit 83 corresponds to a display, a monitor, a touch panel, or the like.
  • the input / output control unit 84 is a processing unit that controls input / output of data by the input unit 82, the output unit 83, and the control unit 86.
  • the storage unit 85 is a storage unit that stores various types of information. As shown in FIG. 5, the storage unit 85 stores an SSO authentication table 85a, a user management table 85b, and an authority management table 85c.
  • the SSO authentication table 85a is a table that stores the user ID and password of the user in association with each other.
  • FIG. 6 is a diagram illustrating an example of the data structure of the SSO authentication table. As shown in FIG. 6, the SSO authentication table 85a has a user ID and a password. For example, in the first row of the SSO authentication table 85a, the user ID “U0001” and the password “P1234” are associated with each other. In the second row of the SSO authentication table 85a, the user ID “U0002” and the password “P5678” are associated with each other.
  • the user management table 85b is a table that stores user IDs, user names, and roles in association with each other.
  • the role is information corresponding to the job title of the user.
  • FIG. 7 is a diagram illustrating an example of the data structure of the user management table 85b.
  • the user management table 85b stores a user ID, a user name, and a role in association with each other.
  • the user ID “U0001”, the user name “Fujitaro”, and the role “general” are associated with each other.
  • a user ID “U0002”, a user name “Fuji Hanako”, and a role “section manager” are associated with each other.
  • the authority management table 85c is a table that stores authority information for each role.
  • FIG. 8 is a diagram illustrating an example of a data structure of the authority management table 85c.
  • the authority management table 85c stores roles, authority information, and available services in association with each other.
  • the authority information of the role “general” is “level 1 authority information”, and the service that can be used with the authority information is “service A”.
  • the authority information of the role “section manager” is “level 2 authority information”, and the service that can be used with such authority information is “service B”.
  • the control unit 86 is a processing unit that executes user authentication requested by the SSO login Web server 90. As shown in FIG. 5, the control unit 86 includes an authentication processing unit 86a and a user information search unit 86b.
  • the authentication processing unit 86a receives the user ID and password from the SSO login Web server 90, and determines whether or not the pair of the received user ID and password exists in the SSO authentication table 85a. Authenticate users. That is, if the combination of the user ID and password received from the SSO login Web server 90 exists in the SSO authentication table 85a, the authentication processing unit 86a determines that the user has been successfully authenticated. On the other hand, if the combination of the user ID and the password does not exist in the SSO authentication table 85a, the authentication processing unit 86a determines that the user authentication has failed. The authentication processing unit 86a transmits the authentication result to the SSO login Web server 90.
  • the user information search unit 86b searches the user name, service list, and authority information using the user ID received from the SSO login Web server 90 as a key when the authentication of the user by the authentication processing unit 86a is successful. Is a processing unit.
  • the user information search unit 86b transmits the search result to the SSO login Web server 90.
  • the user information search unit 86b compares the user ID with the user management table 85b and searches for the user name and role associated with the user ID. For example, when the user ID is “U0001”, the user name is “Taro Fuji” and the role is “general”. Subsequently, the user information search unit 86b compares the role searched using the user ID as a key with the authority management table 85c, and searches for authority information associated with the role and available services. For example, when the role is “general”, the authority information is “level 1 authority”, and the available service is “service A”. This available service corresponds to the service list. The user information search unit 86b searches the user name, authority information, and service list by the above procedure.
  • FIG. 9 is a diagram illustrating a configuration of the SSO login Web server 90.
  • the SSO login Web server 90 includes an HTTP communication unit 91, an authentication request processing unit 92, an authentication key issuing unit 93, and an authentication information registration unit 94.
  • the HTTP communication unit 91 is a processing unit that controls data communication with the user terminal 70a.
  • the authentication request processing unit 92 receives the user ID and password from the user terminal 70a and requests the SSO authentication server 80 for authentication. Since the authentication, the processing unit 92 notifies the authentication key issuing unit 93 of the result of the authentication request including the user authority information. When the authentication is successful, the authentication key issuing unit 93 issues an authentication key, notifies the authentication registration information unit of the authentication key, and notifies the authentication result to the user terminal 70a via the HTTP communication unit 91. To do.
  • the authentication key may be issued by the SSO authentication server and returned to the authentication request processing unit 92 as an authentication result.
  • the authentication information registration unit 94 is a processing unit that registers the authentication key, the IP address of the user terminal, and authority information in association with each other in the authentication table 104 of the SSL relay server 100.
  • FIG. 10 is a diagram illustrating a configuration of the SSL relay server 100.
  • the SSL relay server 100 includes an SSL communication unit 101, a connection authentication unit 102, a storage unit 103, and a connection relay unit 106.
  • the SSL communication unit 101 is a processing unit that controls data communication with the user terminals 70a to 70c.
  • the SSL communication unit 101 receives the authentication request from the user terminal, the SSL communication unit 101 notifies the connection authentication unit 102 of the terminal identification information and the authentication key included in the authentication request transmitted from the user terminal.
  • the SSL communication unit 101 uses the terminal identification information for identifying the user terminal to determine whether the SSO authentication has been performed.
  • the user terminal 20 establishes a connection with the server application 120 only when the SSO authentication is completed.
  • the connection authentication unit 102 includes an authentication terminal registration unit 102a and a determination unit 102b.
  • the connection authentication unit 102 calls the authentication terminal registration unit 102a.
  • the authentication terminal registration unit 102a searches the authentication table 104 of the storage unit 103 using the authentication key received from the user terminal in order to determine whether the user terminal has been SSO authenticated. Only when the authentication key has already been registered and the terminal identification information has not been registered, it is determined as the first connection authentication request, and the terminal identification information is registered for the authentication key. Further, the connection authentication unit 102 registers the expiration date in the authentication table 104 when registering the IP address in the authentication table 104.
  • the expiration date is, for example, a date and time obtained by adding a predetermined date and time to the current date and time. If the authentication key and terminal identification information have already been registered, the authentication request has been processed and nothing is done. When the authentication key and the terminal identification information are not registered, the SSO is not authenticated and the terminal information is not registered.
  • the connection authentication unit 102 calls the determination unit 102b.
  • the determination unit 102b acquires an IP address from the connection request information, and searches the authentication table 104 in the storage unit 103 using the IP address as a key. If the IP address is present in the authentication table 104, it is determined that SSO has been authenticated, and the connection relay unit 106 is permitted to connect to the server application 40. If there is no IP address, connection is not permitted.
  • the determination unit 102b also determines whether to permit access to the virtual line (port) of the server application 120 according to the user authority information corresponding to the IP address. That is, even in the same server application, usable communication lines are changed according to authority.
  • the storage unit 103 is a storage unit that stores information for authenticating the user terminal, a port corresponding to the user authority, and the like. As shown in the figure, the storage unit 103 has an authentication table 104 and a port management table 105.
  • the authentication table 104 is a table that stores the IP address of the user terminal, user authority information, and the like in association with the authentication key.
  • FIG. 11 is a diagram illustrating an example of the data structure of the authentication table 104. As shown in FIG. 11, this authentication table 104 has an authentication key, an IP address, an expiration date, authority information, and a user name. For example, in the first row of the authentication table 104, the authentication key “aabbcc” is used to obtain an IP address “xxx.xxx.xxx”, an expiration date “December 28”, authority information “level 1 authority”, and a user name “ “Fujitaro” is associated.
  • the authentication key “ccddee” is used to obtain an IP address “xxx.xxx.xxx”, an expiration date “December 29”, authority information “level 2 authority”, and a user name “ “Hanako Fuji” is associated.
  • the port management table 105 is a table that stores user authority and ports in association with each other. This port is associated with the type of service provided by the server application 120. That is, if the port is determined, the type of service provided by the server application 120 is also determined.
  • FIG. 12 is a diagram illustrating an example of the data structure of the port management table 105.
  • the determination unit 102b searches the authentication table 104 for authority information associated with the IP address. Then, the determination unit 102b compares the retrieved authority information with the port management table 105, and acquires a list of ports accessible by the user. Thereafter, the determination unit 102b compares the list of ports that can be accessed with the user's authority with the port of the server application 120 included in the connection request information, and determines whether to permit access. In the case of access permission, the connection relay unit 106 establishes communication between the user terminal 70a and the port of the server application 120.
  • FIG. 13 and 14 are flowcharts illustrating the processing procedure of the authentication system according to the second embodiment.
  • the user terminal 70a makes a login request and a connection request.
  • the user terminal 70a receives the user ID and password (step S101), and transmits the user ID and password to the SSO login Web server 90 (step S102).
  • the SSO login Web server 90 receives the user ID and password (step S103), and transmits the received user ID and password to the SSO authentication server 80, so that an SSO authentication request is sent to the SSO authentication server 80. This is performed (step S104).
  • the SSO authentication server 80 receives the SSO authentication request (step S105), and executes an authentication process based on the user ID and password (step S106). When the authentication is successful, the SSO authentication server 80 searches for a user name, a usable service list, and authority information (step S107). The SSO authentication server 80 transmits the user name, available service list, and authority information to the SSO login Web server 90 (step S108).
  • the SSO login Web server 90 receives the user name, available service list, and authority information (step S109), and generates an authentication key (step S110).
  • the SSO login Web server 90 transmits the authentication key, authority information, and user name to the SSL relay server 100 (step S111).
  • the SSL relay server 100 receives the authentication key, authority information, and user name, and receives an authentication table. It registers in 104 (step S112).
  • the SSO login Web server 90 transmits the authentication key and service list data to the user terminal 70a (step S113).
  • the user terminal 70a receives the authentication key and service list data (step S114).
  • the user terminal 70a displays a service list and accepts service selection (step S115).
  • the user terminal 70a transmits the authentication key and the address information to the SSL relay server 100 (step S116).
  • the SSL relay server 100 receives the authentication key and address information (step S117), and registers the IP address and the expiration date corresponding to the authentication key in the authentication table 104 (step S118). Here, it is assumed that the IP address is included in the address information.
  • the user terminal 70a makes a connection request to the SSL relay server 100 (step S119), and the SSL relay server 100 accepts the connection request (step S120).
  • the SSL relay server 100 determines whether or not the user terminal 70a that has made the connection request has been authenticated (step S121).
  • step S120 the SSL relay server 100 determines that the user terminal 70a has been authenticated when the IP address of the user terminal 70a that has made the connection request is registered in the authentication table 104.
  • the SSL relay server 100 notifies the user terminal 70a of the connection failure when the user terminal 70a that has made the connection request has not been authenticated (No at Step S122) (Step S123).
  • the SSL relay server 100 includes a port corresponding to the authority information of the user of the server application 120 and the user terminal 70a.
  • a thread for relaying connection and communication is generated (step S124).
  • the server application 120 establishes a connection with the SSL relay server 100 through a port corresponding to the user authority information (step S125).
  • the user terminal 70a establishes a connection with the SSL relay server 100 (step S126).
  • the SSL relay server 100 relays communication between the port corresponding to the authority information of the user of the server application 120 and the user terminal 70a (step S127). At this time, the communication data with the user terminal 70a is encrypted or decrypted.
  • the server application 120 provides a service using a port corresponding to the user authority information (step S128).
  • the user terminal 70a receives a service through the relay of the SSL relay server 100 (step S129).
  • the SSO login Web server 90 uses the user authority information and the IP address of the user terminal using the authentication key. Then, it registers in the authentication table 104 of the SSL relay server 100. For this reason, the user terminal of the IP address registered in the authentication table 104 can be said to be an authenticated user terminal. Therefore, in this authentication system, when a connection request is received from the user terminals 70a to 70c on the Internet 60, it is determined whether or not the IP address of the user terminal is registered in the authentication table 104. The user terminal can be properly authenticated.
  • the SSL relay server 100 compares the authority information of the user with the port management table 105 when the connection request is received from the user terminal, and the server application requested by the user terminal for connection. Determine whether 120 ports are available. For this reason, the port of the server application 120 is connected to the user terminal via the SSL relay server 100 according to the authority information of the user, and the server application 120 provides a service corresponding to the authority information to the user terminals 70a to 70b. Can be provided appropriately.
  • Each component of the SSL relay server 100 is functionally conceptual.
  • each component shown in FIG.4, FIG.5, FIG.9, FIG.10 does not necessarily need to be comprised like illustration.
  • the specific form of distribution / integration of each component is not limited to the one shown in the figure, and all or a part thereof is functionally or physically distributed in arbitrary units according to various loads and usage conditions. -Can be integrated and configured.
  • other servers may have the function of the storage unit 103 included in the SSL relay server 100 of FIG.
  • FIGS. 4, 5, 9, and 10 can be implemented by either hardware or software.
  • a hardware configuration of a computer configuring the SSL relay server 100 illustrated in FIG. 10 is illustrated in FIG. 15.
  • the computer 200 includes a CPU (Central Processing Unit) 210 that executes various arithmetic processes, an input device 220 that receives input of data from a user, and a monitor 230.
  • the computer 200 includes a medium reading device 240 that reads a program and the like from a storage medium, and a network interface device 250 that exchanges data with other computers via a network.
  • the computer 200 also includes a RAM (Random Access Memory) 260 that temporarily stores various information and a hard disk device 270. Each device 210 to 270 is connected to a bus 280.
  • the hard disk device 270 stores an authentication processing program 270a having the same function as that of the connection authentication unit 102 shown in FIG. Also, the hard disk device 270 stores authentication data 270b corresponding to the authentication table 104 and the port management table 105 shown in FIG.
  • the CPU 210 reads the authentication processing program 270a from the hard disk device 270 and expands it in the RAM 260, whereby the authentication processing program 270a functions as the authentication processing process 260a. Then, the authentication process 260a reads the authentication data 270b into the RAM 260 and executes various authentication processes.
  • the authentication processing program 270a is not necessarily stored in the hard disk device 270.
  • the computer 200 may read and execute the authentication processing program 270a stored in a storage medium such as a CD-ROM.
  • the authentication processing program 270a is stored in a public line, the Internet, a LAN (Local Area Network), a WAN (Wide Area Network), etc., and the computer 200 reads out and executes the authentication processing program 270a therefrom. Also good.
  • SYMBOLS 10 Web server for SSO login 11 HTTP communication part 12 Authentication request process part 13 Authentication key issuing part 14 Authentication information registration part 15 SSL relay server 16 SSL communication part 17 Connection authentication part 18 Storage part 19 Connection relay part 20 User terminal 30 SSO Authentication server 40 Server application 50 Internet

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

 本発明の認証システムは、SSO認証サーバ(30)が利用者端末(20)の利用者の認証に成功した場合に、SSOログイン用Webサーバ(10)が利用者の権限情報と、所定の仮想回線を利用した接続を許可する端末識別情報とを認証キーを利用して、SSL中継サーバの記憶部(18)に登録する。このため、記憶部(18)に記憶された端末識別情報に対応する利用者端末は認証済みの利用者端末といえる。したがって、インターネット(50)に接続された利用者端末(20)から接続要求を受け付けた場合に、接続要求を行った利用者端末の端末識別情報が記憶部(18)に登録されているか否かを判定することで、利用者端末を適切に認証することができる。

Description

認証方法、認証システムおよび認証プログラム
 本発明は、認証方法、認証システムおよび認証プログラムに関する。
 近年、SSL(Secure Socket Layer)-VPN(Virtual Private Network)と呼ばれる技術が普及している。このSSL-VPNは、WWW(World Wide Web)の暗号化などで標準的に用いられているSSLで仮想回線を構築する技術である。SSL-VPNを利用して、サーバアプリケーションとクライアントアプリケーションとの間でデータ通信を実行する場合には、サーバ側およびクライアント側にSSL-VPN装置が必要となる。
 なお、パソコンやモバイル端末の普及に伴って、例えば、社内LAN(Local Area Network)上で構築されたクライアントサーバシステムに、インターネット上に接続された利用者端末のクライアントアプリケーションから安全にアクセスすることが求められている。この場合には、インターネット上に接続されたクライアントアプリケーションは、内蔵したSSL-VPN装置をサーバアプリケーションに擬してアクセスし、SSL-VPN経由でデータ通信を実行する。
特開2007-293760号公報
 しかしながら、クライアントサーバシステムに含まれるサーバアプリケーションは、サーバ側に設置したSSL-VPN装置を介して、インターネット上の利用者端末からアクセス要求を受付ける。多くの場合、それらのアクセスはプロキシを経由するため、サーバアプリケーションは、どのようなクライアントからアクセス要求を受付けているのかを通信プロトコルからは知るすべがなく、アクセス要求を行ったインターネット上のクライアントを適切に認証することができないという問題があった。例えば、多くのクライアントサーバシステムのサーバアプリケーションはデータベース本体そのものであり、クライアントを識別認証するためのセキュリティ機能が弱く、データ漏洩などのリスクが存在する。
 本発明は、上記に鑑みてなされたものであって、社内ネットワーク上に構築されたセキュリティ機能の弱いクライアントサーバシステムに対して、インターネットを介してアクセス要求を行うクライアントアプリケーションの通信を適切に認証することができる認証方法等を提供することを目的とする。
 上述した課題を解決し、目的を達成するために、本発明は、インターネットを介してアプリケーションを実行するクライアントサーバシステムにおいてサーバ側に設置されたSSOログイン用Webサーバが、インターネットを介して接続された利用者端末のWebブラウザから当該端末の利用者を識別する利用者識別情報を取得し、取得した利用者識別情報を認証装置に通知することで、前記利用者の認証を前記認証装置に依頼するステップと、前記認証装置により前記利用者が認証された後に、固有の認証キーを生成し、生成した認証キーと前記利用者の権限情報とを対応付けて認証テーブルに登録するステップと、前記認証キーを前記Webブラウザに通知するステップと、前記Webブラウザが、前記SSOログイン用Webサーバから前記認証キーを取得した後に、前記利用者端末を識別する端末識別情報と前記認証キーとを対応付けた情報をSSL中継サーバに送信するステップと、前記SSL中継サーバが、前記認証キーと前記端末識別情報とを対応付けた情報を前記利用者端末から取得し、前記認証キーに対応付けて前記端末識別情報を前記認証テーブルに登録するステップと、前記利用者端末が前記SSL中継サーバに前記利用者端末の端末識別情報を通知することで、前記SSL中継サーバに接続要求を行うステップと、前記SSL中継サーバが、前記利用者端末から前記端末識別情報を取得することで接続要求を受け付けた場合に、取得した前記端末識別情報が前記認証テーブルに登録されているか否かを判定するステップと、前記端末識別情報が前記認証テーブルに登録されている場合に、接続要求を行ったクライアントアプリケーションと前記クライアントサーバシステム内のサーバアプリケーションとの接続を許可し、前記端末識別情報に対応する利用者の権限情報に応じたサービスを所定の仮想回線により前記サーバアプリケーションに実行させるステップとを実行することを要件とする。
 本発明にかかる認証方法によれば、インターネットを介してアクセス要求を行うクライアントアプリケーションを適切に認証することができるという効果を奏する。
図1は、本実施例1にかかる認証システムの構成を示す図である。 図2は、本実施例2にかかる認証システムの一例を示す図である。 図3は、認証システムの処理手順を説明するための図である。 図4は、本実施例2にかかる利用者端末の構成を示す図である。 図5は、SSO認証サーバの構成を示す図である。 図6は、SSO認証テーブルのデータ構造の一例を示す図である。 図7は、利用者管理テーブルのデータ構造の一例を示す図である。 図8は、権限管理テーブルのデータ構造の一例を示す図である。 図9は、SSOログイン用Webサーバの構成を示す図である。 図10は、SSL中継サーバの構成を示す図である。 図11は、認証テーブルのデータ構造の一例を示す図である。 図12は、ポート管理テーブルのデータ構造の一例を示す図である。 図13は、本実施例2にかかる認証システムの処理手順を示すフローチャート(1)である。 図14は、本実施例2にかかる認証システムの処理手順を示すフローチャート(2)である。 図15は、SSL中継サーバを構成するコンピュータのハードウェア構成を示す図である。
 以下に、本発明にかかる認証方法、認証システムおよび認証プログラムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
 本実施例1にかかる認証システムの構成について説明する。図1は、本実施例1にかかる認証システムの構成を示す図である。図1に示すようにこの認証システムは、インターネットを介してアプリケーションを実行するクライアントサーバシステムにおいてサーバ側に設置されたSSOログイン用Webサーバ10およびSSL中継サーバ15を有する。また、認証システムは、サービスを要求する利用者端末20、利用者を認証するSSO認証サーバ30、サービスを提供するサーバアプリケーション40を有する。SSOログイン用Webサーバ10は、インターネット50を介して利用者端末20と接続し、SSO認証サーバ30およびSSL中継サーバ15と接続する。また、SSL中継サーバ10は、インターネット50を介して利用者端末20し、サーバアプリケーション40と接続する。
 SSOログイン用Webサーバ10は、HTTP通信部11、認証依頼処理部12、認証キー発行部13、認証情報登録部14を有する。このうち認証依頼処理部11は、インターネット50を介して接続された利用者端末20から、該端末20の利用者を識別する利用者識別情報を取得する。また、認証依頼処理部12は、利用者識別情報をSSO認証サーバ30に通知することで、利用者の認証をSSO認証サーバ30に依頼する。
 認証情報登録部14は、SSO認証サーバ30により利用者が認証された後に、固有の認証キーを生成するもしくはSSO認証サーバ30より認証キーを取得し、該認証キーと利用者の権限情報とを対応付けてSSL中継サーバ15がアクセス可能な記憶部18に登録する。
 SSL中継サーバ15は、SSL通信部16、接続認証部17、認証テーブルなどを保持する記憶部18、接続中継部19を有する。記憶部18は、認証キーと権限情報と端末識別情報とを対応付けて記憶する。
 SSL通信部16は、利用者端末20から接続認証依頼を受信した際に、SSO認証済みかどうか判定するために、利用者端末から受信した認証キーを利用して、接続認証部17に問い合わせる。接続認証部17は記憶部18を検索し、既に認証キーが登録済みかつ端末識別情報が未登録の場合のみ、初回の接続認証依頼と判定し、該認証キーに対して端末識別情報を登録する。
 また、SSL通信部16は、利用者端末20からサーバアプリケーション40への接続要求を受信した際に、利用者端末を識別する端末識別情報と利用して、接続可否を接続認証部17に問い合わせる。接続認証部17は、端末識別情報を利用して記憶部18を検索する。検索に該当端末がある場合、SSO認証済みと判定し、接続中継部19を利用し、サーバアプリケーション40との接続および通信の中継を行なう。検索に該当端末がない場合、接続中継部19での接続・中継を許可しない。また、接続認証部17は、端末識別情報に対応する利用者の権限情報に応じてサーバアプリケーション40の仮想回線(ポート)へのアクセス許可の判定を行なう。
 上述したようにこの認証システムは、SSO認証サーバ30が利用者端末20の利用者の認証に成功した場合に、SSOログイン用Webサーバ10が利用者の権限情報と、所定の仮想回線を利用した接続を許可する端末識別情報とを認証キーを利用してSSL中継サーバ15内の記憶部18の認証テーブルに登録する。このため、該認証テーブルに記憶された端末識別情報により識別される利用者端末は認証済みと判定できる。したがって、SSL中継サーバ15は、インターネット50に接続された利用者端末20から接続要求を受け付ける際に、利用者端末の端末識別情報が該認証テーブルに登録されているか否かを判定することで、利用者端末からのアクセスを適切に認証することができる。
 次に、本実施例2にかかる認証システムの一例について説明する。図2は、本実施例2にかかる認証システムの一例を示す図である。図2に示すように、この認証システムは、利用者端末70a~70c、SSO(Single Sign On)認証サーバ80、SSOログイン用Webサーバ90、SSL中継サーバ100、サーバアプリケーション120を有する。また、利用者端末70a~70cとSSOログイン用Webサーバ90およびSSL中継サーバ100とは、インターネット60を介して接続されている。また、SSL中継サーバ100は、例えば、LAN(Local Area Network)等の内部ネットワーク65を介して、SSO認証サーバ80およびSSOログイン用Webサーバ90に接続される。
 利用者端末70a~70cは、SSL中継サーバ100との間でSSL通信を確立し、サーバアプリケーション120からのサービス提供を受ける装置である。SSO認証サーバ80は、利用者端末70の利用者を認証する装置である。
 SSOログイン用Webサーバ90は、利用者端末70から端末利用者情報を受け付け、SSO認証サーバ80に認証依頼を行う装置である。SSOログイン用Webサーバ90は、SSO認証サーバ80による利用者の認証が成功した場合に、この利用者の権限情報と利用者端末のIPアドレスとを認証キーを用いて対応付け、SSL中継サーバ100に通知する。そして、SSL中継サーバ100は、認証キーを用いて対応付けた情報を利用して、サーバアプリケーション120との接続を許可する利用者端末やサービス種別を判定し、接続を制御する。
 次に、認証システムの処理手順について説明する。図3は、認証システムの処理手順を説明するための図である。なお、ここでは説明の便宜上、利用者端末70a~70cのうち、利用者端末70aを用いて、認証システムの処理手順を説明する。まず、利用者端末70aは、利用者ID(Identification)とパスワードとを、SSOログイン用Webサーバ90に送信する。図3の(1)参照。
 SSOログイン用Webサーバ90は、利用者端末70aから取得した利用者IDとパスワードとをSSO認証サーバ80に通知することで、SSO認証サーバ80に利用者の認証を依頼する。図3の(2)参照。
 SSO認証サーバ80は、利用者IDとパスワードとを基にして利用者を認証する。そして、SSO認証サーバ80は、利用者の認証結果、サービスリスト、権限情報をSSOログイン用Webサーバ90に送信する。図3の(3)参照。ここで、サービスリストは、利用者が利用可能なサービスの一覧である。権限情報は、利用者の権限を含む情報である。かかる権限情報に応じて、利用者が利用できるサービスが決まる。
 SSOログイン用Webサーバ90は、SSO認証サーバ80により利用者端末70aの利用者が認証された場合に、固有の認証キーを生成する。該認証キーはSSO認証サーバ80が生成したものを利用してもよい。該認証キーは、後述の手順により、認証に成功した利用者の権限情報と、この利用者の利用者端末のIPアドレスとを対応付けるために用いられる。
 上記認証キーを生成した後に、SSOログイン用Webサーバ90は、認証キーと利用者の権限情報とを対応付けて、SSL中継サーバ100に通知する。図3の(4)参照。そして、SSOログイン用Webサーバ90は、認証キーとサービスリストとを対応付けた情報を、利用者端末70aに送信する。図3の(5)参照。
 利用者端末70aは、SSOログイン用Webサーバ90から受信したサービスリストをディスプレイ等に表示させる。そして、利用者端末70aは、サービスリストが利用者により選択された際に、認証キーと自身のIPアドレスとを対応付けた情報を利用してSSL中継サーバ100に認証依頼を行なう。SSL中継サーバ100は、利用者端末70aから受信したIPアドレスを、該認証キーが既にSSOログイン用Webサーバ90により登録されていた場合にのみ認証テーブルに登録する。図3の(6)参照。この段階で、認証キーにより、認証に成功した利用者の権限情報と利用者端末70aのIPアドレスとが対応付けられる。
 続いて、利用者端末70aは、SSL中継サーバ100に接続依頼を行う。図3の(6)参照。SSL中継サーバ100は、利用者端末70aから接続依頼を受け付けた場合に、利用者端末70aのIPアドレスが認証テーブルに登録されているか否かを判定する。利用者端末70aのIPアドレスが認証テーブルに登録されていれば、利用者端末70aの利用者が認証済みであると判定する。
 SSL中継サーバ100は、利用端末70aのIPアドレスが認証テーブルに登録されている場合に、利用者の権限情報に応じたサービス提供をサーバアプリケーション120に依頼する。図3の(7)参照。この利用者の権限情報は、利用者端末70aのIPアドレスに対応付けられてSSL中継サーバ100の認証テーブルに登録されている。
 サーバアプリケーション120は、SSL中継サーバ100からサービス提供の依頼を受け付けた場合に、SSL中継サーバ100に対してサービス提供を行なう。図3の(8)参照。SSL中継サーバ100は、利用者端末70aに対してサービス提供を中継する。図3の(9)参照。
 次に、図2に示した利用者端末70a、SSO認証サーバ80、SSOログイン用Webサーバ90、SSL中継サーバ100の構成について順に説明する。まず、利用者端末70aの構成の一例について説明する。図4は、本実施例2にかかる利用者端末の構成を示す図である。なお、利用者端末70bおよび70cの構成は、図4に示す利用者端末70aの構成と同じである。図4に示すように、この利用者端末70aは、Webブラウザ71、クライアントパッケージ74を有する。Webブラウザ71は、SSOログイン処理部72、アプリケーション連携部73を有する。クライアントパッケージ74は、アプリケーション起動部75、SSL中継クライアント76、クライアントアプリケーション79を有する。
 このうち、SSOログイン処理部72は、SSOログイン用Webサーバと通信を行い、SSO認証処理を依頼し、結果として認証キーと利用可能なサービスリストを取得し、メモリ上に保持する。
 アプリケーション連携部73は、該サービスリスト内のサービスを起動処理を行なう。利用者がサービスリストからサービスを選択操作すると、アプリケーション連携部73は、サービスに対応するクライアントパッケージ74のアプリケーション起動部75を起動する。その際に、アプリケーション連携部73はWebブラウザが保持しているメモリ上から該認証キーを取得し、アプリケーション起動部75に通知する。
 アプリケーション起動部75は、起動後、SSL中継クライアント76を起動し、アプリケーション連携部73より通知された認証キーおよび利用者端末のIPアドレスを利用して、SSL中継クライアント76の認証依頼部77に接続認証を要求する。該接続認証要求が成功した場合、アプリケーション起動部75は、クライアントアプリケーション79を起動する。
 SSL中継クライアント76は、認証依頼部77およびSSL通信部78を有する。認証依頼部77は、アプリケーション起動部75より通知された認証キーとIPアドレスを利用して、SSL通信部78を経由して、SSL中継サーバ100に接続を要求する。この要求がSSL中継サーバ100により認証されることにより、クライアントアプリケーション79はSSL中継クライント76を経由してSSL中継サーバ100との接続を確立することができる。
 SSL通信部78は、認証依頼部77やクライアントアプリケーション79から通知された情報を暗号化し、SSL中継サーバ100に送信する。また、SSL中継サーバ100から受信した情報を復号化し、認証依頼部77やクライアントアプリケーション79に送信する。
 クライアントアプリケーション79は、アプリケーション起動部75により起動された後、SSL中継クライアント76およびSSL中継サーバ100を経由して、サーバアプリケーション120と接続し、通信を行なう。この際、SSL中継クライアント76は、クライアントアプリケーション79から見れば、サーバアプリケーション120として振舞うことになる。
 次に、図2に示したSSO認証サーバ80の構成の一例について説明する。図5は、SSO認証サーバの構成を示す図である。図5に示すように、このSSO認証サーバ80は、通信部81、入力部82、出力部83、入出力制御部84、記憶部85、制御部86を有する。
 通信部81は、SSOログイン用Webサーバ90との間におけるデータ通信を制御する処理部である。入力部82は、各種の情報を入力する入力装置である。例えば、入力部82は、キーボードやマウス等に対応する。出力部83は、各種の情報を出力する出力部である。例えば、出力部83は、ディスプレイやモニタ、タッチパネル等に対応する。入出力制御部84は、入力部82、出力部83、制御部86によるデータの入出力を制御する処理部である。
 記憶部85は、各種の情報を記憶する記憶部である。図5に示すように、記憶部85は、SSO認証テーブル85a、利用者管理テーブル85b、権限管理テーブル85cを記憶する。
 このうち、SSO認証テーブル85aは、利用者の利用者IDとパスワードとを対応付けて記憶するテーブルである。図6は、SSO認証テーブルのデータ構造の一例を示す図である。図6に示すように、このSSO認証テーブル85aは、利用者IDとパスワードとを有する。例えば、SSO認証テーブル85aの1段目では、利用者ID「U0001」とパスワード「P1234」とが対応付けられている。SSO認証テーブル85aの2段目では、利用者ID「U0002」とパスワード「P5678」とが対応付けられている。
 利用者管理テーブル85bは、利用者ID、利用者名、ロールを対応付けて記憶するテーブルである。本実施例2では一例として、ロールは利用者の役職に対応する情報とする。図7は、利用者管理テーブル85bのデータ構造の一例を示す図である。図7に示すように、この利用者管理テーブル85bは、利用者ID、利用者名、ロールを対応付けて記憶する。例えば、利用者管理テーブル85bの1段目では、利用者ID「U0001」と利用者名「富士太郎」とロール「一般」とが対応付けられている。利用者管理テーブル85bの2段目では、利用者ID「U0002」と利用者名「富士花子」とロール「課長」とが対応付けられている。
 権限管理テーブル85cは、ロール毎の権限情報を記憶するテーブルである。図8は、権限管理テーブル85cのデータ構造の一例を示す図である。図8に示すように、この権限管理テーブル85cは、ロール、権限情報、利用可能サービスを対応付けて記憶する。例えば、権限管理テーブル85cの1段目に示すように、ロール「一般」の権限情報は「レベル1権限情報」であり、かかる権限情報で利用できるサービスは「サービスA」となる。権限管理テーブル85cの2段目に示すように、ロール「課長」の権限情報は「レベル2権限情報」であり、かかる権限情報で利用できるサービスは「サービスB」となる。
 制御部86は、SSOログイン用Webサーバ90により依頼される利用者の認証を実行する処理部である。図5に示すように、この制御部86は、認証処理部86a、利用者情報検索部86bを有する。
 認証処理部86aは、SSOログイン用Webサーバ90から利用者IDとパスワードとを受信し、受信した利用者IDとパスワードとの組がSSO認証テーブル85aに存在するか否かを判定することで、利用者の認証を行う。すなわち、認証処理部86aは、SSOログイン用Webサーバ90から受信した利用者IDとパスワードとの組がSSO認証テーブル85aに存在する場合には、利用者の認証に成功したと判定する。一方、認証処理部86aは、利用者IDとパスワードとの組がSSO認証テーブル85aに存在しない場合には、利用者の認証に失敗したと判定する。認証処理部86aは、認証結果をSSOログイン用Webサーバ90に送信する。
 利用者情報検索部86bは、認証処理部86aによる利用者の認証が成功した場合に、SSOログイン用Webサーバ90から受信した利用者IDをキーとして、利用者名、サービスリスト、権限情報を検索する処理部である。利用者情報検索部86bは、検索結果をSSOログイン用Webサーバ90に送信する。
 具体的に、利用者情報検索部86bは、利用者IDと利用者管理テーブル85bとを比較して、利用者IDに対応付けられた利用者名とロールとを検索する。例えば、利用者IDが「U0001」の場合には、利用者名は「富士太郎」となり、ロールは「一般」となる。続いて、利用者情報検索部86bは、利用者IDをキーにして検索したロールと、権限管理テーブル85cとを比較して、ロールに対応付けられた権限情報と利用可能サービスを検索する。例えば、ロールが「一般」の場合には、権限情報は「レベル1権限」、利用可能サービスが「サービスA」となる。この利用可能サービスは、サービスリストに対応するものとする。利用者情報検索部86bは、上記の手順により利用者名、権限情報、サービスリストを検索する。
 次に、図2に示したSSOログイン用Webサーバ90の構成の一例について説明する。図9は、SSOログイン用Webサーバ90の構成を示す図である。図9に示すように、このSSOログイン用Webサーバ90は、HTTP通信部91、認証依頼処理部92、認証キー発行部93、認証情報登録部94を有する。
 HTTP通信部91は、利用者端末70aとの間におけるデータ通信を制御する処理部である。認証依頼処理部92は、利用者端末70aから利用者のIDとパスワードを受信し、SSO認証サーバ80に対して認証を依頼する。認証以来処理部92は、利用者の権限情報を含む認証依頼の結果を認証キー発行部93に通知する。認証キー発行部93では、認証が成功した場合には認証キーを発行し、認証登録情報部に該認証キーを通知し、認証結果をHTTP通信部91を経由して、利用者端末70aに通知する。なお、認証キーはSSO認証サーバが発行し、認証結果として認証依頼処理部92に返してもよい。認証情報登録部94は、認証キーと利用者端末のIPアドレスと権限情報とを対応付けて、SSL中継サーバ100の認証テーブル104に登録する処理部である。
 次に、図2に示したSSL中継サーバ100の構成の一例について説明する。図10は、SSL中継サーバ100の構成を示す図である。図10に示すように、このSSL中継サーバ100は、SSL通信部101、接続認証部102、記憶部103、接続中継部106を有する。
 SSL通信部101は、利用者端末70a~70cとの間におけるデータ通信を制御する処理部である。SSL通信部101は、利用者端末から認証依頼を受信した際に、利用者端末から送信されてくる認証依頼に含まれる端末識別情報および認証キーを、接続認証部102に通知する。また、SSL通信部101は、利用者端末20からサーバアプリケーション120への接続要求を受信した際に、利用者端末を識別する端末識別情報と利用して、SSO認証済みか否かを接続認証部102に問い合わせ、SSO認証済みの場合のみ利用者端末20からサーバアプリケーション120との接続を確立する。
 接続認証部102は、認証端末登録部102aおよび判定部102bを有する。SSL通信部101から認証依頼情報を通知されると、接続認証部102は認証端末登録部102aを呼び出す。認証端末登録部102aは、利用者端末がSSO認証済みかどうか判定するために、利用者端末から受信した認証キーを利用して、記憶部103の認証テーブル104を検索する。既に認証キーが登録済みかつ端末識別情報が未登録の場合のみ、初回の接続認証依頼と判定し、該認証キーに対して端末識別情報を登録する。また、接続認証部102は、IPアドレスを認証テーブル104に登録する場合に、有効期限を認証テーブル104に登録する。この有効期限は、例えば、現日時に所定の日時を加算した日時とする。認証キーおよび端末識別情報が登録済みの場合、認証依頼処理済であり、何もしない。認証キーおよび端末識別情報が未登録の場合、SSO未認証であり、端末情報を登録しない。
 SSL通信部101から接続要求情報を通知されると、接続認証部102は判定部102bを呼び出す。判定部102bは、接続要求情報からIPアドレスを取得し、該IPアドレスをキーに利用して記憶部103の認証テーブル104を検索する。認証テーブル104に該IPアドレスがある場合、SSO認証済みと判定し、サーバアプリケーション40との接続を、接続中継部106に許可する。該IPアドレスがない場合、接続を許可しない。また、判定部102bは、IPアドレスに対応する利用者の権限情報に応じてサーバアプリケーション120の仮想回線(ポート)へのアクセス許可の判定も行なう。つまり、同一のサーバアプリケーションでも、権限に応じて、利用可能な通信回線が変更される。
 記憶部103は、利用者端末を認証する情報や、利用者権限に応じたポート等を記憶する記憶部である。同図に示すように、この記憶部103は、認証テーブル104、ポート管理テーブル105を有する。
 認証テーブル104は、認証キーに対応付けて、利用者端末のIPアドレスと、利用者権限情報等を記憶するテーブルである。図11は、認証テーブル104のデータ構造の一例を示す図である。図11に示すように、この認証テーブル104は、認証キー、IPアドレス、有効期限、権限情報、利用者名を有する。例えば、認証テーブル104はの1段目では、認証キー「aabbcc」により、IPアドレス「xxx.xxx.xxx」、有効期限「12月28日」、権限情報「レベル1権限」、利用者名「富士太郎」が対応付けられている。また、認証テーブル104はの2段目では、認証キー「ccddee」により、IPアドレス「xxx.xxx.xxx」、有効期限「12月29日」、権限情報「レベル2権限」、利用者名「富士花子」が対応付けられている。
 ポート管理テーブル105は、利用者権限とポートとを対応付けて記憶するテーブルである。このポートは、サーバアプリケーション120が提供するサービスの種別と対応付いているものとする。すなわち、ポートが決まれば、サーバアプリケーション120が提供するサービスの種別も決まる。図12は、ポート管理テーブル105はのデータ構造の一例を示す図である。
 一方、判定部102bは、利用者端末70aのIPアドレスが認証テーブル104に登録されている場合には、かかるIPアドレスに対応付けられた権限情報を認証テーブル104から検索する。そして、判定部102bは、検索した権限情報と、ポート管理テーブル105とを比較して、利用者がアクセス可能なポートのリストを取得する。その後、判定部102bは、利用者の権限でアクセス可能なポートのリストと、接続要求情報に含まれるサーバアプリケーション120のポートを比較し、アクセスを許可するかどうかを判定する。アクセス許可の場合に、接続中継部106は利用者端末70aとサーバアプリケーション120の該ポートとの間の通信を確立する。
 次に、本実施例2にかかる認証システムの処理手順について説明する。図13、図14は、本実施例2にかかる認証システムの処理手順を示すフローチャートである。図13、図14では一例として、利用者端末70aがログイン要求、接続要求を行うものとする。図13に示すように、利用者端末70aは、利用者IDとパスワードとを受け付け(ステップS101)、利用者IDおよびパスワードをSSOログイン用Webサーバ90に送信する(ステップS102)。
 SSOログイン用Webサーバ90は、利用者IDおよびパスワードを受信し(ステップS103)、受信した利用者IDおよびパスワードをSSO認証サーバ80に送信することで、SSO認証依頼をSSO認証サーバ80に対して行う(ステップS104)。
 SSO認証サーバ80は、SSO認証依頼を受け付け(ステップS105)、利用者IDとパスワードとを基にして認証処理を実行する(ステップS106)。そして、SSO認証サーバ80は認証に成功した場合に、利用者名、利用可能なサービスリスト、権限情報を検索する(ステップS107)。SSO認証サーバ80は、利用者名、利用可能なサービスリストおよび権限情報をSSOログイン用Webサーバ90に送信する(ステップS108)。
 SSOログイン用Webサーバ90は、利用者名、利用可能なサービスリストおよび権限情報を受信し(ステップS109)、認証キーを生成する(ステップS110)。SSOログイン用Webサーバ90は、認証キー、権限情報、利用者名をSSL中継サーバ100に送信し(ステップS111)、SSL中継サーバ100は認証キー、権限情報、利用者名を受信し、認証テーブル104に登録する(ステップS112)。SSOログイン用Webサーバ90は、認証キーおよびサービスリストのデータを利用者端末70aに送信する(ステップS113)。
 利用者端末70aは、認証キーおよびサービスリストのデータを受信する(ステップS114)。利用者端末70aは、サービスリストを表示し、サービスの選択を受け付ける(ステップS115)。利用者端末70aは、サービスの選択を受け付けた場合に、認証キーおよびアドレス情報をSSL中継サーバ100に送信する(ステップS116)。
 SSL中継サーバ100は、認証キーおよびアドレス情報を受信し(ステップS117)、認証キーに対応するIPアドレスと有効期限を認証テーブル104に登録する(ステップS118)。ここで、IPアドレスはアドレス情報に含まれているものとする。
 続いて、利用者端末70aは、SSL中継サーバ100に接続要求を行い(ステップS119)、SSL中継サーバ100は接続要求を受け付ける(ステップS120)。SSL中継サーバ100は、接続要求を行った利用者端末70aが認証済みであるか否かを判定する(ステップS121)。ステップS120において、SSL中継サーバ100は、接続要求を行った利用者端末70aのIPアドレスが、認証テーブル104に登録されている場合に、利用者端末70aが認証済みであると判定する。
 SSL中継サーバ100は、接続要求を行った利用者端末70aが認証済みでない場合には(ステップS122,No)、接続失敗を利用者端末70aに通知する(ステップS123)。一方、SSL中継サーバ100は、接続要求を行った利用者端末70aが認証済みの場合には(ステップS122,Yes)、サーバアプリケーション120の利用者の権限情報に応じたポートおよび利用者端末70aとの間の接続および通信の中継を行なうスレッドを生成する(ステップS124)。サーバアプリケーション120は、利用者の権限情報に応じたポートによるSSL中継サーバ100との接続を確立する(ステップS125)。利用者端末70aは、SSL中継サーバ100との接続を確立する(ステップS126)。
 SSL中継サーバ100は、サーバアプリケーション120の利用者の権限情報に応じたポートおよび利用者端末70aとの間の通信を中継する(ステップS127)。この際に、利用者端末70aとの間の通信データを暗号化もしくは復号化を行なう。サーバアプリケーション120は、利用者の権限情報に応じたポートを利用してサービスを提供する(ステップS128)。利用者端末70aは、SSL中継サーバ100の中継によりサービスを受け付ける(ステップS129)。
 本実施例2の認証システムは、SSO認証サーバ80が利用者の認証に成功した場合に、SSOログイン用Webサーバ90が利用者の権限情報と、利用者端末のIPアドレスとを認証キーを利用して、SSL中継サーバ100の認証テーブル104に登録する。このため、認証テーブル104に登録されたIPアドレスの利用者端末は認証済みの利用者端末といえる。したがって、この認証システムでは、インターネット60上の利用者端末70a~70cから接続要求を受け付けた場合に、利用者端末のIPアドレスが認証テーブル104に登録されているか否かを判定することで、利用者端末を適切に認証することができる。
 また、本実施例2のSSL中継サーバ100は、利用者端末から接続依頼を受信した際に、利用者の権限情報とポート管理テーブル105とを比較して、利用者端末が接続依頼したサーバアプリケーション120のポートを利用可能かどうか判定する。このため、サーバアプリケーション120のポートは利用者の権限情報に応じてSSL中継サーバ100を経由して利用者端末と接続され、サーバアプリケーション120は、権限情報に応じたサービスを利用者端末70a~70bに適切に提供することができる。
 ところで、図4に示した利用者端末70aの各構成要素、図5に示したSSO認証サーバ80の各構成要素、図9に示したSSOログイン用Webサーバ90の各構成要素、図10に示したSSL中継サーバ100の各構成要素は機能概念的なものである。このため、図4、図5、図9、図10に示した各構成要素は、必ずしも図示の如く構成されていることを要しない。すなわち、各構成要素の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、図10のSSL中継サーバ100に含まれる記憶部103の機能をその他のサーバに持たせても良い。
 なお、図4、図5、図9、図10に示した各装置の機能をハードウェアもしくはソフトウェアのどちらでも実装することもできる。ここでは一例として、図10に示したSSL中継サーバ100を構成するコンピュータのハードウェア構成を、図15にて示す。
 図15に示すように、このコンピュータ200は、各種演算処理を実行するCPU(Central Processing Unit)210と、ユーザからのデータの入力を受け付ける入力装置220と、モニタ230を有する。また、コンピュータ200は、記憶媒体からプログラム等を読取る媒体読み取り装置240と、ネットワークを介して他のコンピュータとの間でデータの授受を行うネットワークインターフェース装置250を有する。また、コンピュータ200は、各種情報を一時記憶するRAM(Random Access Memory)260と、ハードディスク装置270を有する。各装置210~270は、バス280に接続される。
 そして、ハードディスク装置270には、図10に示した接続認証部102と同様の機能を有する認証処理プログラム270aを記憶する。また、ハードディスク装置270は、図10に示した認証テーブル104、ポート管理テーブル105に対応する認証データ270bを記憶する。
 CPU210が認証処理プログラム270aをハードディスク装置270から読み出してRAM260に展開することで、認証処理プログラム270aは、認証処理プロセス260aとして機能する。そして、認証処理プロセス260aは、認証データ270bをRAM260に読み出し、各種の認証処理を実行する。
 なお、上記認証処理プログラム270aは、必ずしもハードディスク装置270に格納されている必要はない。例えば、CD-ROM等の記憶媒体に記憶された認証処理プログラム270aを、コンピュータ200が読み出して実行するようにしてもよい。また、公衆回線、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)等にこの認証処理プログラム270aを記憶させておき、コンピュータ200がこれらから認証処理プログラム270aを読み出して実行するようにしてもよい。
 10  SSOログイン用Webサーバ
 11  HTTP通信部
 12  認証依頼処理部
 13  認証キー発行部
 14  認証情報登録部
 15  SSL中継サーバ
 16  SSL通信部
 17  接続認証部
 18  記憶部
 19  接続中継部
 20  利用者端末
 30  SSO認証サーバ
 40  サーバアプリケーション
 50  インターネット

Claims (6)

  1.  インターネットを介してアプリケーションを実行するクライアントサーバシステムにおいて、
     サーバ側に設置されたログイン用Webサーバが、インターネットを介して接続された利用者端末のWebブラウザから当該端末の利用者を識別する利用者識別情報を取得し、取得した利用者識別情報を認証装置に通知することで、前記利用者の認証を前記認証装置に依頼するステップと、
     前記認証装置により前記利用者が認証された後に、固有の認証キーを生成し、生成した認証キーと前記利用者の権限情報とを対応付けてSSL中継サーバの認証テーブルに登録するステップと、
     前記認証キーを前記Webブラウザに通知するステップと、
     前記Webブラウザが、前記ログイン用Webサーバから前記認証キーを取得した後に、前記利用者端末を識別する端末識別情報と前記認証キーとを対応付けた情報をSSL中継サーバに送信するステップと、
     前記SSL中継サーバが、前記認証キーと前記端末識別情報とを対応付けた情報を前記利用者端末から取得し、前記認証キーに対応付けて前記端末識別情報を前記認証テーブルに登録するステップと、
     前記利用者端末が前記SSL中継サーバに前記利用者端末の端末識別情報を通知することで、前記SSL中継サーバに接続要求を行うステップと、
     前記SSL中継サーバが、前記利用者端末から前記端末識別情報を取得することで仮想回線の接続要求を受け付けた場合に、取得した前記端末識別情報が前記認証テーブルに登録されているか否かを判定するステップと、
     前記端末識別情報が前記認証テーブルに登録されている場合に、接続要求を行ったクライアントアプリケーションと前記クライアントサーバシステム内のサーバアプリケーションとの接続を許可し、前記端末識別情報に対応する利用者の権限情報に応じたサービスを所定の仮想回線により前記サーバアプリケーションに実行させるステップと
    を実行することを特徴とする認証方法。
  2.  前記SSL中継サーバは、前記権限情報と前記クライアントサーバシステム内のサーバアプリケーションのポートとを対応付けた管理テーブルを保持し、前記端末識別情報に対応する利用者の権限情報と前記管理テーブルとを比較して、前記端末利用者の権限が接続する前記サーバアプリケーションのポートを利用可能かどうか判定するステップを更に実行することを特徴とする請求項1に記載の認証方法。
  3.  インターネットを介してアプリケーションを実行するクライアントサーバシステムにおいて、サーバ側に設置されたログイン用Webサーバと、SSL中継サーバを介してサーバアプリケーションにアクセスする利用者端末とを含む認証システムであって、
     前記ログイン用Webサーバは、
     前記端末から利用者を識別する利用者識別情報を取得し、取得した利用者識別情報を認証サーバに通知することで、前記利用者の認証を前記認証サーバに依頼する認証依頼処理部と、
     前記認証サーバにより前記利用者が認証された後に、固有の認証キーを発行するもしくは認証サーバから通知される認証キーを取得する認証キー発行部と、
     該認証キーと前記利用者の権限情報とをSSL中継サーバの認証テーブルに登録する認証情報登録部を有し、
     SSL中継サーバは、
    前記利用者端末からの前記認証キーと前記利用者端末を識別する端末識別情報と受信した場合に、前記認証キーが認証テーブルに登録済みならば前記認証キーに対応付けて前記端末識別情報を前記認証テーブルに登録する認証端末登録部を有し、
     前記利用者端末からの接続要求を受信した場合には、該接続要求を実現するかどうかを判定するために、接続要求に含まれる当該利用者端末識別情報を取得し、取得した端末識別情報が前記認証テーブルに登録されているか否かを確認し、登録済みであれば前記端末識別情報に対応する利用者の権限情報に応じたサービスを所定の仮想回線により前記サーバアプリケーションとの接続を行なう判定部と、
     を有することを特徴とする認証システム。
  4.  前記SSL中継サーバは、前記権限情報と前記サーバアプリケーションのポートとを対応付けた管理テーブルを保持し、前記判定部は、前記端末識別情報に対応する利用者の権限情報と前記管理テーブルとを比較して、前記利用者端末と接続する前記サーバアプリケーションのポートを更に利用可能かどうか判定することを特徴とする請求項3に記載の認証システム。
  5.  インターネットに対応したクライアントサーバアプリケーションを実行するクライアントサーバシステムのサーバ側に設置されたコンピュータに、
     クライアントから利用者を識別する利用者識別情報を取得し、取得した利用者識別情報を認証装置に通知することで、前記利用者の認証を前記認証装置に依頼する認証依頼手順と、
     前記認証装置により前記利用者が認証された後に、固有の認証キーを発行するもしくは認証サーバから通知される認証キーを取得し、該認証キーと前記利用者の権限情報とを対応付けて認証テーブルに登録する権限情報登録手順と、
     前記認証キーを前記利用者端末に通知した後に、前記認証キーと前記クライアントを識別する端末識別情報とを対応付けた情報を前記利用者端末から取得し、前記認証キーに対応付けて前記端末識別情報を前記認証テーブルに登録する識別情報登録手順と、
     前記利用者端末から接続要求を取得した場合に、当該クライアントから端末識別情報を取得し、取得した端末識別情報が前記認証テーブルに登録されているか否かを判定する判定手順と、
     前記端末識別情報が前記認証テーブルに登録されている場合に、接続要求を行った利用者端末と前記クライアントサーバシステム内のサーバアプリケーションとの接続を許可し、前記端末識別情報に対応する利用者の権限情報に応じたサービスを所定の仮想回線により前記サーバアプリケーションに実行させるサービス制御手順と
     を実行させることを特徴とする認証プログラム。
  6.  前記コンピュータは、前記権限情報と前記サーバアプリケーションのポートとを対応付けた管理テーブルを保持し、
     前記コンピュータに、前記端末識別情報に対応する利用者の権限情報と前記管理テーブルとを比較して、前記利用者端末と接続する前記サーバアプリケーションのポートを更に判定するポート判定手順を更に実行させることを特徴とする請求項5に記載の認証プログラム。
PCT/JP2010/050823 2010-01-22 2010-01-22 認証方法、認証システムおよび認証プログラム WO2011089712A1 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011550759A JP5375976B2 (ja) 2010-01-22 2010-01-22 認証方法、認証システムおよび認証プログラム
PCT/JP2010/050823 WO2011089712A1 (ja) 2010-01-22 2010-01-22 認証方法、認証システムおよび認証プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2010/050823 WO2011089712A1 (ja) 2010-01-22 2010-01-22 認証方法、認証システムおよび認証プログラム

Publications (1)

Publication Number Publication Date
WO2011089712A1 true WO2011089712A1 (ja) 2011-07-28

Family

ID=44306534

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2010/050823 WO2011089712A1 (ja) 2010-01-22 2010-01-22 認証方法、認証システムおよび認証プログラム

Country Status (2)

Country Link
JP (1) JP5375976B2 (ja)
WO (1) WO2011089712A1 (ja)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014010769A (ja) * 2012-07-02 2014-01-20 Fuji Xerox Co Ltd 中継装置
US20140229739A1 (en) 2013-02-12 2014-08-14 Amazon Technologies, Inc. Delayed data access
JP2016515235A (ja) * 2013-02-12 2016-05-26 アマゾン テクノロジーズ インコーポレイテッド 関連データを有するポリシー施行
JP2016533604A (ja) * 2013-12-19 2016-10-27 ドロップボックス, インコーポレイテッド クライアントアプリケーションがコンテンツ管理システム上のユーザアカウントにアクセスすることの予備認証
JP2016536656A (ja) * 2013-09-20 2016-11-24 オラクル・インターナショナル・コーポレイション シングルサインオンのためのウェブベースインターフェース統合
CN106462865A (zh) * 2014-03-13 2017-02-22 株式会社实虚螺旋 标签管理方法及系统、信息提供方法及系统以及所使用的装置和标签
JP2018049416A (ja) * 2016-09-21 2018-03-29 京セラドキュメントソリューションズ株式会社 認証システムおよび認証方法
US10055594B2 (en) 2012-06-07 2018-08-21 Amazon Technologies, Inc. Virtual service provider zones
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US10313312B2 (en) 2013-06-13 2019-06-04 Amazon Technologies, Inc. Key rotation techniques
US10382200B2 (en) 2013-02-12 2019-08-13 Amazon Technologies, Inc. Probabilistic key rotation
US10404670B2 (en) 2013-02-12 2019-09-03 Amazon Technologies, Inc. Data security service
JP2019160097A (ja) * 2018-03-15 2019-09-19 株式会社リコー 情報処理システム、情報処理装置、情報処理方法及びプログラム
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10587405B2 (en) 2014-06-27 2020-03-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US10666436B2 (en) 2013-02-12 2020-05-26 Amazon Technologies, Inc. Federated key management
US10721075B2 (en) 2014-05-21 2020-07-21 Amazon Technologies, Inc. Web of trust management in a distributed system
US10834139B2 (en) 2012-06-07 2020-11-10 Amazon Technologies, Inc. Flexibly configurable data modification services
CN112565175A (zh) * 2019-09-26 2021-03-26 富士通株式会社 通信中继程序、中继设备、通信中继方法和通信系统
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module
US11323479B2 (en) 2013-07-01 2022-05-03 Amazon Technologies, Inc. Data loss prevention techniques
US11626996B2 (en) 2014-09-15 2023-04-11 Amazon Technologies, Inc. Distributed system web of trust provisioning

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6965653B2 (ja) * 2017-09-14 2021-11-10 株式会社リコー 情報処理装置、情報処理システム、情報処理方法及びプログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004240819A (ja) * 2003-02-07 2004-08-26 Nippon Telegr & Teleph Corp <Ntt> 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および分散型認証アクセス制御システム
JP2005518595A (ja) * 2002-02-26 2005-06-23 サイトリックス システムズ, インコーポレイテッド ネットワークコンポーネントのセキュアトラバーサル
JP2007048282A (ja) * 2005-07-29 2007-02-22 Sharp Corp 認証情報データの入力回数の削減方法、シングルクレデンシャルアクセスの提供方法、シングルクレデンシャルアクセスを提供するための装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007293760A (ja) * 2006-04-27 2007-11-08 Hitachi Ltd 個別認証を用いたシングルサインオン連携方法およびシステム
JP4867486B2 (ja) * 2006-06-12 2012-02-01 富士ゼロックス株式会社 制御プログラムおよび通信システム
JP5170648B2 (ja) * 2008-02-27 2013-03-27 日本電信電話株式会社 権限委譲システム、権限委譲方法および権限委譲プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005518595A (ja) * 2002-02-26 2005-06-23 サイトリックス システムズ, インコーポレイテッド ネットワークコンポーネントのセキュアトラバーサル
JP2004240819A (ja) * 2003-02-07 2004-08-26 Nippon Telegr & Teleph Corp <Ntt> 認証機能付きパケット通信装置、ネットワーク認証アクセス制御サーバ、アプリケーション認証アクセス制御サーバ、および分散型認証アクセス制御システム
JP2007048282A (ja) * 2005-07-29 2007-02-22 Sharp Corp 認証情報データの入力回数の削減方法、シングルクレデンシャルアクセスの提供方法、シングルクレデンシャルアクセスを提供するための装置

Cited By (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10834139B2 (en) 2012-06-07 2020-11-10 Amazon Technologies, Inc. Flexibly configurable data modification services
US10055594B2 (en) 2012-06-07 2018-08-21 Amazon Technologies, Inc. Virtual service provider zones
US10474829B2 (en) 2012-06-07 2019-11-12 Amazon Technologies, Inc. Virtual service provider zones
JP2014010769A (ja) * 2012-07-02 2014-01-20 Fuji Xerox Co Ltd 中継装置
US10404670B2 (en) 2013-02-12 2019-09-03 Amazon Technologies, Inc. Data security service
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module
US10666436B2 (en) 2013-02-12 2020-05-26 Amazon Technologies, Inc. Federated key management
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US11695555B2 (en) 2013-02-12 2023-07-04 Amazon Technologies, Inc. Federated key management
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US20140229739A1 (en) 2013-02-12 2014-08-14 Amazon Technologies, Inc. Delayed data access
JP2016515235A (ja) * 2013-02-12 2016-05-26 アマゾン テクノロジーズ インコーポレイテッド 関連データを有するポリシー施行
US11372993B2 (en) 2013-02-12 2022-06-28 Amazon Technologies, Inc. Automatic key rotation
US10382200B2 (en) 2013-02-12 2019-08-13 Amazon Technologies, Inc. Probabilistic key rotation
US10313312B2 (en) 2013-06-13 2019-06-04 Amazon Technologies, Inc. Key rotation techniques
US10601789B2 (en) 2013-06-13 2020-03-24 Amazon Technologies, Inc. Session negotiations
US11470054B2 (en) 2013-06-13 2022-10-11 Amazon Technologies, Inc. Key rotation techniques
US11323479B2 (en) 2013-07-01 2022-05-03 Amazon Technologies, Inc. Data loss prevention techniques
US10324972B2 (en) 2013-09-13 2019-06-18 Aquabit Spirals Inc. Tag management system, tag management method, information provision system, and information provision method, as well as devices and tag used therefor
US10225244B2 (en) 2013-09-20 2019-03-05 Oracle International Corporation Web-based interface integration for single sign-on
US10693865B2 (en) 2013-09-20 2020-06-23 Oracle International Corporation Web-based interface integration for single sign-on
JP2016536656A (ja) * 2013-09-20 2016-11-24 オラクル・インターナショナル・コーポレイション シングルサインオンのためのウェブベースインターフェース統合
JP2016533604A (ja) * 2013-12-19 2016-10-27 ドロップボックス, インコーポレイテッド クライアントアプリケーションがコンテンツ管理システム上のユーザアカウントにアクセスすることの予備認証
CN106462865A (zh) * 2014-03-13 2017-02-22 株式会社实虚螺旋 标签管理方法及系统、信息提供方法及系统以及所使用的装置和标签
EP3118800A4 (en) * 2014-03-13 2017-08-02 Aquabit Spirals Inc. Tag management system, tag management method, information provision system, and information provision method, as well as devices and tag used therefor
US10721075B2 (en) 2014-05-21 2020-07-21 Amazon Technologies, Inc. Web of trust management in a distributed system
US10587405B2 (en) 2014-06-27 2020-03-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US11368300B2 (en) 2014-06-27 2022-06-21 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US11626996B2 (en) 2014-09-15 2023-04-11 Amazon Technologies, Inc. Distributed system web of trust provisioning
JP2018049416A (ja) * 2016-09-21 2018-03-29 京セラドキュメントソリューションズ株式会社 認証システムおよび認証方法
JP7077688B2 (ja) 2018-03-15 2022-05-31 株式会社リコー 情報処理システム、情報処理装置、情報処理方法及びプログラム
JP2019160097A (ja) * 2018-03-15 2019-09-19 株式会社リコー 情報処理システム、情報処理装置、情報処理方法及びプログラム
CN112565175A (zh) * 2019-09-26 2021-03-26 富士通株式会社 通信中继程序、中继设备、通信中继方法和通信系统

Also Published As

Publication number Publication date
JP5375976B2 (ja) 2013-12-25
JPWO2011089712A1 (ja) 2013-05-20

Similar Documents

Publication Publication Date Title
JP5375976B2 (ja) 認証方法、認証システムおよび認証プログラム
JP6754809B2 (ja) 共通エンドポイントにアクセスするために異なるディレクトリに記憶される認証情報を使用すること
CN109417557B (zh) 认证访问托管应用的客户端的方法、系统和计算机可读介质
JP5570610B2 (ja) 遠隔ユーザ・セッションのためのシングル・サインオン
CN110138718B (zh) 信息处理系统及其控制方法
US9398001B1 (en) System for and method of providing single sign-on (SSO) capability in an application publishing environment
KR102060212B1 (ko) 클라우드에서 투명하게 호스팅되는 조직들에 대한 아이덴티티 서비스를 제공하는 기법
JP6033990B2 (ja) 単一のフレキシブルかつプラガブルOAuthサーバを備える複数のリソースサーバ、OAuth保護したREST式OAuth許諾管理サービス、およびモバイルアプリケーションシングルサインオンするOAuthサービス
US8627409B2 (en) Framework for automated dissemination of security metadata for distributed trust establishment
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
JP6066647B2 (ja) デバイス装置、その制御方法、およびそのプログラム
JP6061633B2 (ja) デバイス装置、制御方法、およびそのプログラム。
US20100077208A1 (en) Certificate based authentication for online services
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
US20040064687A1 (en) Providing identity-related information and preventing man-in-the-middle attacks
JP4820928B1 (ja) 認証システムおよび認証方法
JP2007219935A (ja) 分散認証システム及び分散認証方法
EP4264880B1 (en) Integration of legacy authentication with cloud-based authentication
CN113614691A (zh) 供传统虚拟交付器件使用的连接租用系统和相关方法
WO2008053143A1 (en) Secure access
JP2018092446A (ja) 認証認可システム及び情報処理装置と認証認可方法とプログラム
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
JP2015505626A (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
JP6128958B2 (ja) 情報処理サーバーシステム、制御方法、およびプログラム
JP2020053100A (ja) 情報処理システムと、その制御方法とプログラム

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10843877

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2011550759

Country of ref document: JP

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 10843877

Country of ref document: EP

Kind code of ref document: A1