JP2002007346A - Communication system - Google Patents
Communication systemInfo
- Publication number
- JP2002007346A JP2002007346A JP2000185602A JP2000185602A JP2002007346A JP 2002007346 A JP2002007346 A JP 2002007346A JP 2000185602 A JP2000185602 A JP 2000185602A JP 2000185602 A JP2000185602 A JP 2000185602A JP 2002007346 A JP2002007346 A JP 2002007346A
- Authority
- JP
- Japan
- Prior art keywords
- server
- user
- integrated server
- access
- browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Transfer Between Computers (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、ネットワーク・
システムにおけるユーザ認証およびアクセス制御に関す
る。BACKGROUND OF THE INVENTION 1. Field of the Invention
It relates to user authentication and access control in a system.
【0002】[0002]
【従来の技術】一般にネットワーク・システムにおい
て、ユーザの認証はサーバ単位で実現している。業務上
複数のサーバを設ける場合、ユーザ登録およびアクセス
権限の設定はサーバごとに行なう。この方式では、ユー
ザの立場から、自己がどのサーバについてどういうアク
セス権限を持っているかが判然とせず、実際にユーザI
Dおよびパスワードを入力してアクセスを試みて、アク
セスを拒否されて自己にアクセス権限がないことを知る
ことがあった。さらに、それぞれのサーバ単位でユーザ
IDおよびパスワードの入力を要求され使い勝手が悪い
という問題があった。2. Description of the Related Art Generally, in a network system, user authentication is realized on a server basis. When a plurality of servers are provided for business, user registration and setting of access authority are performed for each server. In this method, it is not clear from the user's perspective what access authority he has on what server,
In some cases, an attempt was made to access by inputting D and a password, and it was found that the user was denied access and did not have access authority. Further, there is a problem that the user ID and the password are required to be input for each server and the usability is poor.
【0003】特開平10-269184号公報には、証明証を利
用して統合認証サーバがDBサーバおよび業務サーバに
対するユーザのアクセス権限をチェックする方式が記載
されている。[0003] Japanese Patent Application Laid-Open No. 10-269184 describes a system in which an integrated authentication server checks a user's access authority to a DB server and a business server using a certificate.
【0004】また、特開平11-25048号公報には、統合認
証サーバがクライエントから送られてくる統合証明書に
関してアクセス権限をチェックし、正当であれば、通信
当事者に証明書を送付し、通信を確立することが記載さ
れている。[0004] In Japanese Patent Application Laid-Open No. H11-25048, an integrated authentication server checks an access right with respect to an integrated certificate sent from a client, and if valid, sends a certificate to a communication party. Establishing communication is described.
【0005】[0005]
【発明が解決しようとする課題】これらの公開公報に記
載される技術は、複数のサーバに対するユーザの認証を
統合するものではあっても、ユーザのアクセス権限の一
覧をユーザに提示するものではないから、複雑にアクセ
ス権限が設定されている場合、ユーザは自己にどの範囲
のアクセス権限が設定されているかについて記憶してお
くなり、アクセスの度にメモを参照する必要があるとい
う問題を含んでいる。The technology described in these publications integrates user authentication for a plurality of servers, but does not present a list of user access rights to the user. Therefore, when the access authority is set in a complicated manner, the user has to memorize the range of the access authority set to himself, which includes a problem that the user needs to refer to the memo at every access. I have.
【0006】また、これらの公開公報に記載されるもの
では、認証サーバによって認証がなされた後、クライエ
ントと業務サーバとの通信は直接行われるので、業務の
種類に応じて複数の業務サーバを用いる場合、どの業務
サーバにアクセスするかについてユーザに混乱を生じる
という問題が含まれている。Further, in the publications described above, after the authentication is performed by the authentication server, the communication between the client and the business server is directly performed, so that a plurality of business servers are required depending on the type of business. When used, there is a problem that the user is confused about which business server to access.
【0007】[0007]
【課題を解決するための手段】上記の課題を解決するた
め、この発明の通信システムは、複数のウェブサーバと
ブラウザとの間の通信を制御する統合サーバと、前記複
数のウェブサーバが備えるファイルの少なくとも1つに
アクセスする権限を有するユーザの識別情報およびアク
セス権限情報を有する認証サーバと、を備え、統合サー
バは、ユーザからのアクセス要求に応じて、認証サーバ
と通信しユーザのアクセス権限情報を取得し、アクセス
権限に対応するメニュー項目を含んだメニューページを
作成してユーザに返す動的メニュー作成機能を有する。In order to solve the above problems, a communication system according to the present invention includes an integrated server for controlling communication between a plurality of web servers and a browser, and a file provided in the plurality of web servers. An authentication server having identification information of a user who has authority to access at least one of the above, and access authority information, wherein the integrated server communicates with the authentication server in response to an access request from the user, and obtains access authority information of the user. And a dynamic menu creation function that creates a menu page including a menu item corresponding to the access right and returns it to the user.
【0008】この発明の一面によると、メニュー項目
は、複数のウェブサーバを統合サーバの下位のファイル
として指定するよう構成されており、ユーザがメニュー
項目の1つを選択することに応じて統合サーバがメニュ
ー項目に対応するサーバにアクセスし指定されたファイ
ルをユーザに返す。According to one aspect of the present invention, the menu item is configured to designate a plurality of web servers as lower files of the integrated server, and the integrated server is selected in response to the user selecting one of the menu items. Accesses the server corresponding to the menu item and returns the specified file to the user.
【0009】このようにすることによって、ユーザから
複数のウェブサーバに対するアクセス要求は、統合サー
バを経由して行われ、ユーザの端末装置、典型的にはブ
ラウザ、とウェブサーバとの直接的な接続はなされない
ので、ユーザに対して複数のウェブサーバを隠れた存在
にすることができ、不正アクセスを困難にすることがで
きる。また、ウェブサーバ自体には変更を加えないで、
統合サーバを追加する形態で発明を実施することができ
る。[0009] In this manner, a user's access request to a plurality of web servers is made via the integrated server, and the user's terminal device, typically a browser, is directly connected to the web server. Since a plurality of web servers are hidden from the user, unauthorized access can be made difficult. Also, do not change the web server itself,
The invention can be implemented in a form in which an integrated server is added.
【0010】この発明のさらに他の側面によると、統合
サーバは、ウェブサーバから読み出したファイルをユー
ザに返す際、このファイルのURLを統合サーバの下位
ファイルとしてのURLに変換し、変換されたURLを
ユーザに返す。したがって、ユーザからは統合サーバ単
独と通信しているように見え、複数のウェブサーバはユ
ーザには見えない存在になる。According to still another aspect of the present invention, when returning the file read from the web server to the user, the integrated server converts the URL of this file into a URL as a lower-level file of the integrated server, and converts the converted URL. To the user. Therefore, the user appears to be communicating with the integrated server alone, and the plurality of web servers are invisible to the user.
【0011】[0011]
【発明の実施の形態】次に図面を参照してこの発明の実
施の形態を説明する。図1は、この発明の一実施形態の
コンピュータ・ネットワークの全体的な構成を示すブロ
ック図である。Embodiments of the present invention will now be described with reference to the drawings. FIG. 1 is a block diagram showing an overall configuration of a computer network according to an embodiment of the present invention.
【0012】ブラウザ11、12は、典型的にはパーソナル
・コンピュータに組み込まれた閲覧ソフトウェア、たと
えばネットスケープ(商標)、インターネット・エクス
プロアラ(商標)、によって実現され、インターネット
13またはイントラネットを介してインターネット・プロ
トコルにより統合サーバ14に接続される。ブラウザと統
合サーバ14との通信はSSL暗号機能を使用して行われ
る。The browsers 11 and 12 are realized by browsing software typically incorporated in a personal computer, for example, Netscape (trademark) or Internet Explorer (trademark).
13 or connected to the integration server 14 via the intranet via the Internet protocol. Communication between the browser and the integrated server 14 is performed using the SSL encryption function.
【0013】統合サーバ14は、ブラウザから送信される
認証CookieまたはユーザIDおよびパスワードを認証サ
ーバ15に送り、ユーザのアクセス権限の認証を行う認証
機能14Bを備えている。The integrated server 14 has an authentication function 14B for sending an authentication cookie or a user ID and a password transmitted from a browser to the authentication server 15 and authenticating the access authority of the user.
【0014】ネットワークには複数のウェブサーバとし
て取引データベースサーバ16、情報提供サーバ17、およ
びホスト接続サーバ18が接続されている。たとえば保険
業務での適用を例にとると、取引データベースサーバ16
は代理店関連の取引データのデータベース16Aのための
ウェブサーバである。情報提供サーバ17は、マニュア
ル、新商品などの情報を代理店および社員に提供するた
めのウェブサーバである。ホスト接続サーバ18は、契約
管理システム18Aに接続するためのウェブサーバであ
る。A transaction database server 16, an information providing server 17, and a host connection server 18 are connected to the network as a plurality of web servers. For example, in the insurance business, the transaction database server 16
Is a web server for the agency-related transaction data database 16A. The information providing server 17 is a web server for providing information such as manuals and new products to agents and employees. The host connection server 18 is a web server for connecting to the contract management system 18A.
【0015】これらのウェブサーバは、ブラウザ11、12
から直接アクセスすることができるよう設計されていた
ものをそのままこの発明にしたがって利用している。後
述するようにこの発明の実施形態によると、ブラウザ1
1、12は、これらのサーバに直接アクセスすることがで
きない。ただし、セキュリティ上の問題を心配する必要
のない適用分野においいてこの発明を実施する場合に
は、この発明で提供される機能に加えて、従来どおりブ
ラウザ11、12から直接サーバ16、17、18にアクセスでき
るようにすることができる。These web servers are browsers 11 and 12
What was designed so that it can be directly accessed from is used in accordance with the present invention. As described below, according to the embodiment of the present invention, the browser 1
1 and 12 do not have direct access to these servers. However, when implementing the present invention in an application field in which there is no need to worry about security issues, in addition to the functions provided by the present invention, the servers 16, 17, and 18 can be directly transmitted from the browsers 11 and 12 as before. Can be accessible.
【0016】統合サーバ14は、見かけ上ウェブサーバ1
6、17、18を自己の下位のトリーとして扱う。すなわ
ち、ブラウザからの特定のファイルに対するアクセス要
求、たとえば契約管理システム18Aに含まれる特定のフ
ァイルに対するアクセス要求は、統合サーバ14のファイ
ルに対するアクセス要求の形で送信される。統合サーバ
14は、このアクセス要求を受け取ると、そのアクセス要
求に含まれるURLをホスト接続サーバ18のURLに変
換して、契約管理システム18Aにアクセスし、要求され
たファイルを取り出す。この機能を逆プロキシ機能14C
と呼ぶ。The integrated server 14 is apparently the web server 1
Treats 6, 17, and 18 as trees below their own. That is, an access request for a specific file from the browser, for example, an access request for a specific file included in the contract management system 18A is transmitted in the form of an access request for a file of the integrated server 14. Integrated server
When receiving the access request, the server 14 converts the URL included in the access request into the URL of the host connection server 18, accesses the contract management system 18A, and extracts the requested file. This function is reverse proxy function 14C
Call.
【0017】こうして取り出されたファイルは、統合サ
ーバ14のURLに変換されてブラウザに返される。図1
でURL変換14Eは、この機能を示している。The file thus taken out is converted into the URL of the integrated server 14 and returned to the browser. Figure 1
The URL conversion 14E indicates this function.
【0018】統合サーバ14のフォーワディング機能14A
は、インターネット13を介してブラウザ11、12と通信を
行う機能である。ブラウザ11からのアクセスに対して認
証サーバ15による認証がなされ、正常と判定されると、
メニュー作成機能14Cがブラウザ11からアクセス中のユ
ーザが持つアクセス権限に対応するメニュー項目を読み
出し、メニューステンシルに埋め込んでhtml文書である
メニューページを作成する。このようにメニューページ
は、システムにアクセスするユーザのアクセス権限に応
じて動的に作成される。作成されたメニューページは、
フォーワディング機能14Aによってブラウザ11に送られ
る。The forwarding function 14A of the integrated server 14
Is a function for communicating with the browsers 11 and 12 via the Internet 13. When the access from the browser 11 is authenticated by the authentication server 15 and is determined to be normal,
The menu creation function 14C reads out the menu items corresponding to the access authority of the user accessing from the browser 11, and embeds the menu items in the menu stencil to create a menu page as an html document. Thus, the menu page is dynamically created according to the access authority of the user accessing the system. The created menu page is
Sent to the browser 11 by the forwarding function 14A.
【0019】こうしてユーザは、自己がアクセス権限を
有する項目だけのメニューを提示される。メニューには
統合サーバ14へのハイパーリンクが張られており、ユー
ザがアクセスを希望する項目をクリックすると、アクセ
ス要求が統合サーバ14に送信される。Thus, the user is presented with a menu of only the items to which he has access authority. A hyperlink to the integrated server 14 is provided on the menu, and when the user clicks on an item desired to be accessed, an access request is transmitted to the integrated server 14.
【0020】ユーザ認証 次に図2を参照してユーザ認証のプロセスを説明する。
ブラウザ11がhttpプロトコルにしたがって統合サーバ14
にアクセス要求を送ると(101)、統合サーバ14、より
具体的には図1におけるフォーワディング機能14A、が
これを受信し、認証Cookieの有無をチェックする(10
2)。Cookie(クッキー)は、httpプロトコルで使われ
る小さいファイルであり、サーバ側のスクリプトから任
意の情報を詰めてブラウザに送られる。この実施例にお
ける認証Cookieは、後に説明するように認証が成功した
ときブロック123で設定されてブラウザ11に送られるも
のである。 User Authentication Next, a user authentication process will be described with reference to FIG.
Browser 11 is integrated server 14 according to http protocol.
When the access request is sent to the server (101), the integrated server 14, more specifically, the forwarding function 14A in FIG. 1 receives the request and checks the presence or absence of the authentication cookie (10).
2). Cookies are small files used in the http protocol, and are sent to the browser by filling arbitrary information from a script on the server side. The authentication cookie in this embodiment is set in block 123 and sent to the browser 11 when authentication is successful, as described later.
【0021】認証Cookieがないときは、統合サーバ14は
ログインページのhtmlファイルを読み出してブラウザに
送る(104)。ユーザがブラウザ11に表示されるログイ
ンページにユーザIDおよびパスワードを入力して送信
すると、統合サーバ14は、送られてきた情報を用いてユ
ーザ認証メッセージを作成し、認証サーバ15に送る(10
6)。これに応答して認証サーバ15は、記憶装置15Aに格
納されているユーザIDおよびユーザパスワードと送信
されてきたユーザIDおよびユーザパスワードとの整合
性をチェックし(107)、整合しなければ、NG応答メ
ッセージを統合サーバに返す(108)。これを受けて統
合サーバ14は、ログインエラーページを生成してブラウ
ザ11に送る。NGの原因がパスワードの期限切れの場合
は、統合サーバ14は、パスワード変更ページをブラウザ
11に送る(109)。If there is no authentication cookie, the integrated server 14 reads the html file of the login page and sends it to the browser (104). When the user inputs a user ID and a password on the login page displayed on the browser 11 and transmits the same, the integrated server 14 creates a user authentication message using the transmitted information and sends the message to the authentication server 15 (10
6). In response, the authentication server 15 checks the consistency between the user ID and user password stored in the storage device 15A and the transmitted user ID and user password (107). A response message is returned to the integration server (108). In response, the integration server 14 generates a login error page and sends it to the browser 11. If the cause of the NG is that the password has expired, the integrated server 14 displays the password change page in the browser.
Send to 11 (109).
【0022】ログインエラーページまたはパスワード変
更ページは、ブラウザ11に表示され(110)、ユーザは
再度ログインを試み、またはパスワードの変更手続きを
することができる。The login error page or the password change page is displayed on the browser 11 (110), and the user can try again to log in or change the password.
【0023】ブロック107にもどり、ユーザ認証がOK
の場合、認証サーバ15は、認証がOKであることを示す
データを入れた認証Cookieを作り(121)、OKメッセ
ージとともに統合サーバ14に送る(122)。統合サーバ1
4は、認証Cookieを設定し、図3のアクセス制御プロセ
スに移るとともに、ブラウザ11に認証Cookieを送る(12
3)。ブラウザ11は、認証Cookieをそのユーザ固有の情
報として保存し、次に統合サーバ14にアクセスするとき
に統合サーバ14に送信する。ブロック102にもどると、
統合サーバ14は、ブラウザからのアクセス要求に認証Co
okieがついていると、図3のアクセス制御プロセスに移
る。Returning to block 107, user authentication is OK.
In the case of (1), the authentication server 15 creates an authentication cookie containing data indicating that the authentication is OK (121), and sends it together with the OK message to the integrated server 14 (122). Integrated server 1
4 sets an authentication cookie, moves to the access control process of FIG. 3, and sends the authentication cookie to the browser 11 (12
3). The browser 11 stores the authentication cookie as information unique to the user, and transmits the authentication cookie to the integrated server 14 when accessing the integrated server 14 next time. Returning to block 102,
The integrated server 14 authenticates the access request from the browser
If okie is on, move on to the access control process of FIG.
【0024】認証サーバは、統合サーバ14に接続したユ
ーザのユーザIDを保持し、接続から切断までのサービ
ス選択状況を監視し、その記録(ログ)をとる。また、
認証サーバ15は、無停止を前提として構成されており、
システムの稼働中に新規ユーザの登録や削除を実行する
ことができる。The authentication server holds the user ID of the user connected to the integrated server 14, monitors the service selection status from connection to disconnection, and records the log (log). Also,
The authentication server 15 is configured on the premise of non-stop,
New users can be registered and deleted while the system is running.
【0025】逆プロキシ 図3を参照すると、ユーザがブラウザ11から任意のペー
ジをアクセスする要求をhttpプロトコルで統合サーバに
送ると(201)、統合サーバは、この要求に認証Cookie
が付いているかどうかをチェックし、付いていれば逆プ
ロキシ処理(211)を実行する。認証Cookieが付いてい
ない場合は、図2のブロック104以下の認証シーケンス
に移る。Referring to reverse proxy Figure 3, the user sends a request to access any page from the browser 11 to the integrated server http protocol (201), integration server authentication Cookie to the request
It checks whether or not it is attached, and if it is, performs reverse proxy processing (211). If the authentication cookie is not attached, the processing shifts to the authentication sequence starting from block 104 in FIG.
【0026】前述したように、統合サーバは、ウェブサ
ーバ20のコンテンツ・ファイルを自己の下位ディレクト
リのファイルとしての形態でブラウザと通信する。その
ために統合サーバは、httpプロトコルによるウェブサー
バ20のコンテンツのアドレスと、このコンテンツの統合
サーバ14における見かけ上のアドレスとの変換テーブル
または変換プログラムを備えている。As described above, the integrated server communicates with the browser in the form of the content file of the web server 20 as a file in a lower directory of the integrated server. For this purpose, the integrated server is provided with a conversion table or conversion program for converting the address of the content of the web server 20 based on the http protocol and the apparent address of the content in the integrated server 14.
【0027】たとえば、ウェブサーバ20の1つである情
報提供サーバ17(図1)が提供する営業資料Xのページ
のURLが、次のとおりであるとする。 http://www.joho.abc.com/eigyo/shiryo_x.html (1)For example, it is assumed that the URL of the page of the sales material X provided by the information providing server 17 (FIG. 1) which is one of the web servers 20 is as follows. http://www.joho.abc.com/eigyo/shiryo_x.html (1)
【0028】統合サーバ14は、このページを自己の下位
ディレクトリのファイルとして扱い、ブラウザ11は、次
の形のURLでこのページへのアクセスを要求する。 http://www.togo.abc.com/joho/eigyo/shiryo_x.html (2)The integrated server 14 treats this page as a file in its own lower directory, and the browser 11 requests access to this page with the following URL. http://www.togo.abc.com/joho/eigyo/shiryo_x.html (2)
【0029】統合サーバ14は、(2)のURLへのアクセ
ス要求を受け取ると、このURLを(1)の形に変換して
ウェブサーバ20にアクセスする。この処理を逆プロキシ
処理(211)という。このようにユーザは、統合サーバ
に対して統合サーバの下位ファイルをアクセスする要求
を送り、これを受けて統合サーバがウェブサーバの1つ
から対応するファイルを読み出してブラウザに返す。し
たがって、ウェブサーバのhtml文書のURLはブラウザ
から遮蔽されており、ユーザはウェブサーバに直接アク
セスすることができない。この結果、ウェブサーバに格
納される情報のセキュリティが向上する。When the integrated server 14 receives the access request for the URL (2), the integrated server 14 converts the URL into the form (1) and accesses the web server 20. This processing is called reverse proxy processing (211). In this way, the user sends a request to the integrated server to access a lower file of the integrated server, and in response, the integrated server reads the corresponding file from one of the web servers and returns it to the browser. Therefore, the URL of the html document of the web server is shielded from the browser, and the user cannot directly access the web server. As a result, the security of the information stored in the web server is improved.
【0030】アクセス制御 統合サーバ14は、逆プロキシ処理を行うとともに、アク
セス要求メッセージを認証サーバ15に送る(204)。こ
れを受けて認証サーバ15は、認証Cookieのチェックを行
い、有効であればこのユーザが要求中のファイルへのア
クセス権限をもつかどうかをアクセス権限テーブルを参
照してチェックする(206)。このユーザがアクセス権
限を持っていることが確認されると、認証サーバ15は、
OKメッセージを統合サーバ14に送る(207)。アクセ
ス権限テーブルは、たとえば次のようなconfig情報とし
て記述されている。The access control integration server 14 performs a reverse proxy process and sends an access request message to the authentication server 15 (204). In response to this, the authentication server 15 checks the authentication cookie. If the authentication cookie is valid, the authentication server 15 checks whether or not this user has the access right to the requested file by referring to the access right table (206). When it is confirmed that this user has the access right, the authentication server 15
An OK message is sent to the integration server 14 (207). The access authority table is described as, for example, the following config information.
【0031】[0031]
【表1】Config1 (URL情報) URL01, grp01 URL02, grp02 URL03, grp01, grp02 URL04, grp02, grp03 Cinfig2 (ユーザおよびグループ情報) grp01, UID=A1* grp01, UID=A2001 grp01, UID=A3009 grp02, DESCRIPTION=*0101 grp03, DESCRIPTION=*1010[Table 1] Config1 (URL information) URL01, grp01 URL02, grp02 URL03, grp01, grp02 URL04, grp02, grp03 Cinfig2 (user and group information) grp01, UID = A1 * grp01, UID = A2001 grp01, UID = A3009 grp02, DESCRIPTION = * 0101 grp03, DESCRIPTION = * 1010
【0032】ここで、”*”は、ワイルドカードで任意
の数の任意の文字がこの位置にあってもよいことを意味
する。UIDは、ユーザIDであり、DESCRIPTIONは、ユー
ザID以外のユーザの属性を表すコードであり、企業内
の管理職コード、専門職コード、部門コードなどがその
例である。表1のConfig表現をテーブル表示すると次の
表2のようになる。Here, "*" means that an arbitrary number of arbitrary characters may be present at this position by a wild card. The UID is a user ID, and the DESCRIPTION is a code representing a user attribute other than the user ID, such as a manager code, a professional code, and a department code in a company. When the Config expression of Table 1 is displayed as a table, it becomes as shown in Table 2 below.
【0033】[0033]
【表2】 [Table 2]
【0034】表2では、DESCRIPTION=*0101に該当する
属性コードとして、B0101およびC0101があり、DESCRIPT
ION=*1010に該当する属性コードとしてC1010があるもの
と仮定している。このようにアクセス権限は、URL文
書単位、グループ単位で設定することができる。In Table 2, B0101 and C0101 are attribute codes corresponding to DESCRIPTION = * 0101.
It is assumed that C1010 is an attribute code corresponding to ION = * 1010. As described above, the access authority can be set for each URL document and each group.
【0035】統合サーバ14は、認証サーバ15からOKメ
ッセージを受け取ると、httpリクエストヘッダを作成し
(220)、前述の逆プロキシ処理で変換した(1)のURL
にアクセスする。こうしてウェブサーバ20、いまの例で
は情報提供サーバ17、からコンテンツが統合サーバに送
られる(221)。統合サーバ14は、このコンテンツのU
RLを統合サーバ14の下位ディレクトリのファイルの形
とするURL(上記(1))に変換し(222)、ブラウザ11
に返す(223)。こうして要求されたコンテンツがブラ
ウザ11に表示される(224)。Upon receiving the OK message from the authentication server 15, the integration server 14 creates an http request header (220), and converts the URL in (1) converted by the above-described reverse proxy processing.
To access. Thus, the content is sent from the web server 20, in this example, the information providing server 17, to the integrated server (221). The integration server 14 sends the U
The RL is converted into a URL ((1) above) in the form of a file in a lower directory of the integrated server 14 (222), and the browser 11
(223). The requested content is displayed on the browser 11 (224).
【0036】ブロック205で認証Cookieが不正であった
り、期限切れであると、認証サーバ15は、NGメッセー
ジを統合サーバ14に送り(208)、統合サーバ14は、N
Gの理由に応じて再ログインページまたはエラーページ
をブラウザ11に送る(209)。こうしてブラウザ11に再
ログインページまたはエラーページが表示され(21
0)、ユーザはログインを再試行し、またはエラーを訂
正することができる。If the authentication cookie is invalid or expired in block 205, the authentication server 15 sends an NG message to the integration server 14 (208), and the integration server 14
A re-login page or an error page is sent to the browser 11 according to the reason of G (209). In this way, a re-login page or an error page is displayed on the browser 11 (21
0), the user can retry the login or correct the error.
【0037】統合サーバから認証サーバへのアクセス権
限確認処理は、標準的なLDAPプロトコルを用いる
が、その他のプロトコルを用いることができることはも
ちろんである。The process of confirming the access right from the integrated server to the authentication server uses the standard LDAP protocol, but it goes without saying that other protocols can be used.
【0038】ダイナミックメニュー(動的メニュー) 次に図4を参照してダイナミックメニュー(動的メニュ
ー)の生成を説明する。ユーザがブラウザ11から統合サ
ーバ14にダイナミックメニューを要求すると(301)、
統合サーバ14は、要求に認証Cookieが付いているかどう
かをチェックし(302)、付いていなければログインエ
ラーページをブラウザ11に返(303)、ログインから認
証シーケンス(図2)に移る。ダイナミックメニューの
要求に認証Cookieが付いていると、統合サーバ14は、メ
ニュー要求メッセージを認証サーバ15に送る(304)。
これを受けて認証サーバ15は、アクセス権限をチェック
し(305)、このユーザのアクセス権限を示す応答メッ
セージを統合サーバ14に返す(305)。 Dynamic Menu (Dynamic Menu) Next, generation of a dynamic menu (dynamic menu) will be described with reference to FIG. When a user requests a dynamic menu from the browser 11 to the integrated server 14 (301),
The integrated server 14 checks whether the request has an authentication cookie (302), and if not, returns a login error page to the browser 11 (303), and proceeds from login to the authentication sequence (FIG. 2). If the authentication cookie is attached to the request for the dynamic menu, the integrated server 14 sends a menu request message to the authentication server 15 (304).
In response, the authentication server 15 checks the access right (305) and returns a response message indicating the access right of the user to the integrated server 14 (305).
【0039】これに応答して統合サーバ14は、メニュー
テンプレートを読み込み、認証サーバ15からの応答メッ
セージで特定されたこのユーザのアクセス権限に対応す
るメニュー項目をメニューテンプレートに埋め込む(30
9)。こうして生成されたダイナミックメニューページ
がブラウザ11に送られ、ブラウザ11にダイナミックメニ
ューが表示される。このダイナミックメニューのメニュ
ー項目にはハイパーリンクが生成されており、ユーザが
メニュー項目をクリックすると該当するページへのアク
セス要求がブラウザ11から統合サーバ14に送られ、図3
に関連して説明したアクセス制御のシーケンスに入る。In response, the integration server 14 reads the menu template and embeds the menu item corresponding to the access authority of this user specified in the response message from the authentication server 15 in the menu template (30).
9). The dynamic menu page thus generated is sent to the browser 11, and the dynamic menu is displayed on the browser 11. A hyperlink is generated for the menu item of this dynamic menu, and when the user clicks the menu item, a request for access to the corresponding page is sent from the browser 11 to the integrated server 14, and FIG.
Enters the access control sequence described in connection with.
【0040】以上にこの発明を具体的な実施の形態を例
にとって説明したが、この発明は、このような実施の形
態に限定されるものではない。Although the present invention has been described with reference to specific embodiments, the present invention is not limited to such embodiments.
【図1】この発明の一実施例のネットワークシステムの
全体的な構成を示すブロック図。FIG. 1 is a block diagram showing the overall configuration of a network system according to an embodiment of the present invention.
【図2】ユーザ認証のプロセスを示すフローチャート。FIG. 2 is a flowchart illustrating a user authentication process.
【図3】アクセス制御のプロセスを示すフローチャー
ト。FIG. 3 is a flowchart showing a process of access control.
【図4】ダイナミックメニューの生成プロセルを示すフ
ローチャート。FIG. 4 is a flowchart showing a dynamic menu generation process.
11、12 ブラウザ 14 統合サーバ 15 認証サーバ 16、17、18 ウェブサーバ 11, 12 Browser 14 Integrated server 15 Authentication server 16, 17, 18 Web server
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AE06 BG07 CE01 5E501 AB15 AC25 AC33 AC42 CA02 CB02 CB09 DA02 EA02 EB05 FA05 ──────────────────────────────────────────────────続 き Continued from the front page F term (reference) 5B085 AE06 BG07 CE01 5E501 AB15 AC25 AC33 AC42 CA02 CB02 CB09 DA02 EA02 EB05 FA05
Claims (6)
信を制御する統合サーバと、 前記複数のウェブサーバが備えるファイルの少なくとも
1つにアクセスする権限を有するユーザの識別情報およ
びアクセス権限情報を有する認証サーバと、を備え、 前記統合サーバは、ユーザからのアクセス要求に応じ
て、前記認証サーバと通信し該ユーザの前記アクセス権
限情報を取得し、該アクセス権限に対応するメニュー項
目を含んだメニューページを作成してユーザに返す動的
メニュー作成機能を有する通信システム。An integrated server for controlling communication between a plurality of web servers and a browser, and identification information and access right information of a user who has access to at least one of the files of the plurality of web servers. The integrated server, in response to an access request from a user, communicates with the authentication server to obtain the access right information of the user, and includes a menu item corresponding to the access right. A communication system having a dynamic menu creation function for creating a menu page and returning it to a user.
ーバを前記統合サーバの下位のファイルとして指定する
よう構成されており、ユーザが該メニュー項目の1つを
選択することに応じて前記統合サーバが該メニュー項目
に対応するサーバにアクセスし指定されたファイルをユ
ーザに返すよう構成した請求項1に記載の通信システ
ム。2. The integrated server according to claim 1, wherein the menu items are configured to designate the plurality of web servers as lower files of the integrated server, and the user selects one of the menu items. 2. The communication system according to claim 1, wherein the server accesses the server corresponding to the menu item and returns the specified file to the user.
に返す際、該ファイルのURLを該統合サーバの下位フ
ァイルとしてのURLに変換し、変換されたURLをユ
ーザに返す請求項2に記載の通信システム。3. The integrated server according to claim 2, wherein, when returning the file to the user, the integrated server converts a URL of the file into a URL as a lower file of the integrated server, and returns the converted URL to the user. Communications system.
信を制御する統合サーバと、 前記複数のウェブサーバが備えるファイルの少なくとも
1つにアクセスする権限を有するユーザの識別情報およ
びアクセス権限情報を有する認証サーバと、を備え、 前記統合サーバは、前記複数のウェブサーバが所有する
ファイルを自己の下位ディレクトリのファイルの形でブ
ラウザに提供するよう構成されている通信システム。4. An integrated server for controlling communication between a plurality of web servers and a browser; and identification information and access right information of a user who has access to at least one of the files provided in the plurality of web servers. A communication server configured to provide the browser with files owned by the plurality of web servers in the form of files in its lower directory.
サーバにアクセス要求されたURLに基づいて前記ウェ
ブサーバのファイルを読み出す逆プロキシ機能を有する
請求項4に記載の通信システム。5. The communication system according to claim 4, wherein the integrated server has a reverse proxy function of reading a file of the web server based on a URL requested to access the integrated server from the browser.
読み出した前記ファイルのURLを自己の下位ファイル
としてのURLに変換するURL変換機能を有する請求
項5に記載の通信システム。6. The communication system according to claim 5, wherein the integrated server has a URL conversion function of converting the URL of the file read from the web server into a URL as a lower file of the integrated server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000185602A JP2002007346A (en) | 2000-06-21 | 2000-06-21 | Communication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000185602A JP2002007346A (en) | 2000-06-21 | 2000-06-21 | Communication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002007346A true JP2002007346A (en) | 2002-01-11 |
Family
ID=18685906
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000185602A Pending JP2002007346A (en) | 2000-06-21 | 2000-06-21 | Communication system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002007346A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007018082A (en) * | 2005-07-05 | 2007-01-25 | Ttt Kk | Communication system with computer having authentication function, communication method, communication program, and recording medium storing program |
| JP2009535711A (en) * | 2006-04-25 | 2009-10-01 | ベトリックス,エルエルシー | Application data related to logical and physical security |
| JP2010033558A (en) * | 2008-07-29 | 2010-02-12 | Ebay Gmarket Co Ltd | Customer address information management system in electronic commerce using internet, and method thereof |
| JP2010079794A (en) * | 2008-09-29 | 2010-04-08 | Fujifilm Corp | Communication system, proxy server, control method for proxy server and control program thereof |
| JP2010205166A (en) * | 2009-03-05 | 2010-09-16 | Mitsubishi Electric Corp | Authentication destination selection system, authentication destination selection device, authentication destination selection program, and recording medium |
| US11438732B2 (en) | 2009-03-06 | 2022-09-06 | Vetrix, Llc | Systems and methods for mobile tracking, communications and alerting |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10207710A (en) * | 1997-01-16 | 1998-08-07 | Casio Comput Co Ltd | Software download system and menu preparation system |
| JPH10232811A (en) * | 1997-02-20 | 1998-09-02 | Hitachi Ltd | Security management method for data base |
| JP2000003334A (en) * | 1998-06-12 | 2000-01-07 | Fujitsu Ltd | Gateway system and recording medium |
| JP2001325224A (en) * | 2000-05-16 | 2001-11-22 | Hewlett Packard Japan Ltd | Communication system |
-
2000
- 2000-06-21 JP JP2000185602A patent/JP2002007346A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10207710A (en) * | 1997-01-16 | 1998-08-07 | Casio Comput Co Ltd | Software download system and menu preparation system |
| JPH10232811A (en) * | 1997-02-20 | 1998-09-02 | Hitachi Ltd | Security management method for data base |
| JP2000003334A (en) * | 1998-06-12 | 2000-01-07 | Fujitsu Ltd | Gateway system and recording medium |
| JP2001325224A (en) * | 2000-05-16 | 2001-11-22 | Hewlett Packard Japan Ltd | Communication system |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007018082A (en) * | 2005-07-05 | 2007-01-25 | Ttt Kk | Communication system with computer having authentication function, communication method, communication program, and recording medium storing program |
| JP4696204B2 (en) * | 2005-07-05 | 2011-06-08 | 株式会社Into | Communication method |
| JP2009535711A (en) * | 2006-04-25 | 2009-10-01 | ベトリックス,エルエルシー | Application data related to logical and physical security |
| JP2013242886A (en) * | 2006-04-25 | 2013-12-05 | Vetrix Llc | Application data relating to logical and physical securities |
| US9400881B2 (en) | 2006-04-25 | 2016-07-26 | Vetrix, Llc | Converged logical and physical security |
| JP2010033558A (en) * | 2008-07-29 | 2010-02-12 | Ebay Gmarket Co Ltd | Customer address information management system in electronic commerce using internet, and method thereof |
| US9424582B2 (en) | 2008-07-29 | 2016-08-23 | Ebay Inc. | System and method for managing customer address information in electronic commerce using the internet |
| JP2010079794A (en) * | 2008-09-29 | 2010-04-08 | Fujifilm Corp | Communication system, proxy server, control method for proxy server and control program thereof |
| JP2010205166A (en) * | 2009-03-05 | 2010-09-16 | Mitsubishi Electric Corp | Authentication destination selection system, authentication destination selection device, authentication destination selection program, and recording medium |
| US11438732B2 (en) | 2009-03-06 | 2022-09-06 | Vetrix, Llc | Systems and methods for mobile tracking, communications and alerting |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1141828B1 (en) | An apparatus and method for determining a program neighborhood for a client node in a client-server network | |
| EP1964360B1 (en) | Method and system for extending authentication methods | |
| US7296077B2 (en) | Method and system for web-based switch-user operation | |
| TW498278B (en) | Generic user authentication for network computers | |
| US8291096B2 (en) | Central adminstration of one or more resources | |
| US7373662B2 (en) | Secure resource access | |
| GB2352850A (en) | Simulating web cookies for non-cookie capable browsers | |
| JPH11102318A (en) | System and method for safe and scalable data base transaction by network | |
| US7752438B2 (en) | Secure resource access | |
| JP2002189646A (en) | Repeating installation | |
| JP4944411B2 (en) | Menu generation system, menu generation method, and menu generation program | |
| JP2002007346A (en) | Communication system | |
| JP2001325224A (en) | Communication system | |
| JP3528065B2 (en) | Inherited access control method on computer network | |
| JP4712989B2 (en) | Information distribution server device | |
| JP2000172645A (en) | Server computer and certificate information managing method for the same | |
| JP3437044B2 (en) | User authentication method in client-server system operating under WWW environment | |
| EP1411429A2 (en) | An apparatus and method for determining a program neighbourhood for a client node in a client-server network | |
| JP2002342286A (en) | Electronic information management system and server and client | |
| JP2010128651A (en) | Content providing system and personalizing method in content providing system | |
| WO2001075603A1 (en) | Privacy engine | |
| KR20100073884A (en) | Method of intermediation and synchronization customer information based on id federation | |
| JP2001175597A (en) | Online screen display method | |
| IL143762A (en) | Apparatus and method for determining a program neighborhood for a client node in a client-server network | |
| KR20030075372A (en) | Business method for providing homepage by authorization of user on the internet network and computer readable medium having stored thereon computer executable instruction for performing the method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070423 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100428 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100512 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100607 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100810 |