JP2003085141A - シングルサインオン対応認証装置、ネットワークシステム、及びプログラム - Google Patents

シングルサインオン対応認証装置、ネットワークシステム、及びプログラム

Info

Publication number
JP2003085141A
JP2003085141A JP2001272658A JP2001272658A JP2003085141A JP 2003085141 A JP2003085141 A JP 2003085141A JP 2001272658 A JP2001272658 A JP 2001272658A JP 2001272658 A JP2001272658 A JP 2001272658A JP 2003085141 A JP2003085141 A JP 2003085141A
Authority
JP
Japan
Prior art keywords
ticket
terminal device
authentication
user
service providing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2001272658A
Other languages
English (en)
Inventor
Hideaki Yanagihara
秀明 柳原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuji Electric Co Ltd
Original Assignee
Fuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Electric Co Ltd filed Critical Fuji Electric Co Ltd
Priority to JP2001272658A priority Critical patent/JP2003085141A/ja
Publication of JP2003085141A publication Critical patent/JP2003085141A/ja
Withdrawn legal-status Critical Current

Links

Landscapes

  • Small-Scale Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

(57)【要約】 【課題】 シングルサインオンをより容易に導入できる
ようにするための技術を提供する。 【解決手段】 職員認証システム104は、端末装置1
05のユーザの認証を行い、個人情報や業務システム単
位のアクセス権を示す権限情報、及び端末情報を付した
処理権限チケットを端末装置105に返す。その端末装
置105は、その処理権限チケットを付してアプリケー
ション・サーバ106にアクセス要求を送信する。サー
バ106の認証フィルタモジュール503は、処理権限
チケットを構成する権限情報を参照して、端末装置10
5のユーザがアクセス権を持つか否か判定し、そのアク
セス権を持っていると判定すれば、認証システム104
からそのユーザのアカウント情報を取得する。そのよう
にして取得したアカウント情報を用いてアプリケーショ
ン・モジュール502に認証を行わせる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークと接
続された端末装置を使用するユーザの認証を行いアクセ
スを許可してサービスを提供するサービス提供用システ
ムをシングルサインオンに対応させるための技術に関す
る。
【0002】
【従来の技術および発明が解決しようとする課題】近
年、コンピュータのネットワーク化が急速に進み、コン
ピュータは端末装置として使用されることが多くなって
いる。例えば企業では、現在では殆どのコンピュータは
ネットワークと接続されている。それにより、情報や周
辺機器の共有化、情報のやりとりの迅速化などを図るこ
とで、業務を効率化させている。
【0003】そのネットワーク化の進展に合わせて、ネ
ットワークに接続される、端末装置(クライアント)の
ユーザにサービスを提供するのを目的としたシステム
(サービス提供用システム)の数も多くなっている。そ
れにより、認証を行って登録されたユーザにのみサービ
スを提供するサービス提供用システムも非常に多くなっ
ている。
【0004】利用するサービス提供用システムが増える
に伴い、管理すべきパスワードは増え、個々のパスワー
ド管理は煩雑化していく。そのパスワードは、セキュリ
ティ管理上、ユニークなものからユニークなものに随
時、更新していくことが望ましいことになっている。各
システムでパスワードを共通にすることは非常に望まし
くない。このため、多くのパスワードを対象にしたパス
ワード管理は現実的でないのが実情である。このような
ことから、1回のログインを行えば、それ以降の認証を
自動的に行うシングルサインオンと呼ばれる機能を実現
させる必要性が非常に高まっている。
【0005】そのシングルサインオンの実現方法として
は、最初に認証システムによる認証をユーザに行わせ、
その認証システムにサービス提供用システムにアクセス
(ログイン)するためのチケットを発行させるものがあ
る。その方法では、認証されたユーザが使用する端末装
置は、認証システムが発行したチケットをサービス提供
用システムに送信してその利用を要求し、その要求を受
けたサービス提供用システムは、チケットの真正性をチ
ェックした上で、そのユーザに利用を許可するようにな
っている。
【0006】従来、そのようなシングルサインオンは、
サービス提供用システムのアプリケーション・プログラ
ム(以降、単にアプリケーションと記す)に、端末装置
から送信されるチケットを受け付けてそれを処理する仕
組みを組み込むことで実現させていた。しかし、その組
み込みは、既存のアプリケーションはもとより、新規の
アプリケーションに対しても非常に困難なのが実情とな
っている。このため、シングルサインオンを導入するこ
とが容易でないという問題点があった。このことから、
それをより容易に導入できるようにすることが強く望ま
れていた。
【0007】本発明は、シングルサインオンをより容易
に導入できるようにするための技術を提供することを目
的とする。
【0008】
【課題を解決するための手段】本発明のシングルサイン
オン対応認証装置は、ネットワークに接続された端末装
置のユーザの認証を行いアクセスを許可してサービスを
提供するサービス提供用システムに、認証システムが認
証を行って該サービス提供用システムにアクセスするた
めのチケットを発行した端末装置のユーザの認証を自動
的に行わせてシングルサインオンに対応させるために用
いられることを前提とし、端末装置から前記サービス提
供用システムに送信されたチケットを受信するチケット
受信手段と、チケット受信手段が受信したチケットを用
いて、該チケットを送信した端末装置のユーザの認証を
サービス提供用システムに自動的に行わせる認証手段
と、を具備する。
【0009】なお、上記の構成において、認証を行った
ユーザがアクセス可能なサービス提供用システムを示す
アクセス権情報を含むチケットを認証システムが発行す
る場合に、認証手段は、端末装置から受信したチケット
中のアクセス権情報から、該端末装置のユーザがサービ
ス提供用システムにアクセスする権限を有するか否か判
定し、該判定結果に応じて、該チケットを送信した端末
装置のユーザの認証を該サービス提供用システムに行わ
せる、ことが望ましい。その認証手段は、端末装置から
受信したチケットを基に、認証システムから認証用のア
カウント情報を受け取り、該受け取ったアカウント情報
を用いてサービス提供用システムに認証を行わせる、こ
とが望まし。
【0010】本発明のネットワークシステムは、ネット
ワークと接続された端末装置を使用するユーザの認証を
行いアクセスを許可してサービスを提供する1つ以上の
サービス提供用システムと、そのユーザの認証を行って
サービス提供用システムにアクセスするためのチケット
を発行する認証システムと、を備えた構成であることを
前提とし、端末装置から1つ以上のサービス提供用シス
テムのうちの1つに送信されたチケットを受信するチケ
ット受信手段と、チケット受信手段が受信したチケット
を用いて、該チケットを送信した端末装置のユーザの認
証を、該チケットが送信されたサービス提供用システム
に自動的に行わせる認証手段と、を具備する。
【0011】本発明のプログラムは、認証システムが認
証を行って他のシステムにアクセスするためのチケット
を発行した端末装置のユーザの認証を、ユーザの認証を
行いアクセスを許可してサービスを提供するサービス提
供用システムに自動的に行わせてシングルサインオンに
対応させるための装置に実行させることを前提とし、ネ
ットワークに接続された端末装置からサービス提供用シ
ステムに送信されたチケットを受信する機能と、受信す
る機能により受信したチケットを用いて、該チケットを
送信した端末装置のユーザの認証をサービス提供用シス
テムに自動的に行わせる機能と、を実現させる。
【0012】本発明では、ネットワークに接続された端
末装置のユーザ(アクセス要求者)の認証を行いアクセ
スを許可してサービスを提供するサービス提供用システ
ムの前段に、認証システムが認証を行って発行したサー
ビス提供用システムにアクセスするためのチケットを端
末装置から受け取って、サービス提供用システムにアク
セス要求者の認証を自動的に行わせてシングルサインオ
ンに対応させる装置(シングルサインオン対応認証装
置)を配置し、その装置によりサービス提供用システム
での認証を自動的に行わせる。
【0013】そのようにしてサービス提供用システムに
認証を行わせる場合、シングルサインオンに対応してい
ないサービス提供用システムを修正することなく、シン
グルサインオンに対応させることが可能となる。その結
果、より容易、且つ迅速にシングルサインオンを導入す
ることが可能となる。
【0014】
【発明の実施の形態】以下、本発明の実施の形態につい
て、図面を参照しながら詳細に説明する。図1は、本実
施の形態によるネットワークシステムの構成を示す図で
ある。
【0015】そのシステムは、自治体の職員が業務を行
うために構築されたクライアント/サーバ型のシステム
である。図1に示すように、LANまたはWANなどの
ネットワーク(以降、便宜的にWANであるとする)1
01を介して2つのLAN102、103を結び、LA
N102には、それぞれ、自治体の職員が主に使用する
クライアントである多数の端末装置(例えばパーソナル
コンピュータ(以降、パソコンと略記する))105
と、職員の認証を行う職員認証システム104と、が接
続され、他方のLAN103には、例えばそれぞれが職
員に専用のサービスを提供するサービス提供用システム
(そのサービスは職員が業務を遂行するためのものであ
ることから、以降、業務システムと呼ぶことにする)と
して実現されたアプリケーションサーバ(Webサー
バ)106が複数、接続されて構築されている。職員認
証システム104は、職員認証用の情報を保存させるデ
ータベースなど各種データベースを管理するデータベー
スサーバ111と、そのデータベースなどに保存された
情報を用いて職員の認証を行う認証(Web)サーバ1
12と、をLAN102で接続することで構築されてい
る。
【0016】なお、上記の構成において、職員認証シス
テム104は1台、或いは3台以上のサーバで構築して
も良い。アプリケーションサーバ106については、そ
れが実現するシステムはそれぞれ1つとなっているが、
1台のサーバ106で複数のシステムを実現させても良
い。採用するネットワークとしては、WANとLANの
組み合わせに限定されるものではなく、インターネット
などのネットワークを採用しても良い。各サーバ10
6、112をWebサーバとしているのは、Webブラ
ウザを搭載したパソコンなどの情報処理装置を端末装置
105として幅広く利用できるようにするためである。
【0017】図1に示すネットワークシステムでは、図
2に示すように、端末装置(クライアント)105を使
用するユーザである職員は、職員認証システム104の
Webサーバ111にアクセスし、個人識別情報を入力
して認証を行わせる。その認証の結果、アクセス権利を
有する登録された利用者であることが確認されると、ア
プリケーションサーバ106によって実現されている業
務システムにアクセスしてそれを利用できるようになっ
ている。入力する個人識別情報とは、指紋、ID・パス
ワード、ICカードのデータ、などである。業務システ
ムとしては、Aシステム201、Bシステム202、C
システム203、Dシステム204、及びEシステム2
05が用意されている。それらの業務システム201〜
205には、例えば文書管理システム、財務会計システ
ム、電子決裁システム、人事システム、経理システム、
勤怠システム、及び購買システムのうちの1つが対応す
る。なお、用意する業務システムの数や種類などは、そ
れらのシステム201〜205に限定されるものではな
い。個人識別情報も、上述したものに限定されるわけで
はなく、公開鍵などを採用しても良い。
【0018】図3は、業務システムへのアクセス制御を
説明する図である。各業務システム201〜205のな
かには、職員の所属や地位、或いは役割などによってア
クセスさせるのが望ましくないものがある。このことか
ら、全職員に対し、各業務システム201〜205の全
てにアクセスできる権利(アクセス権)を与えてはおら
ず、職員(ここでは、特定の課、或いはグループなどの
集団を含む)別にアクセス可能な業務システムを設定し
ている。即ち各職員に対し、個別的に業務システム単位
でアクセス権を設定している。
【0019】その設定情報は、職員認証システム104
のデータベースサーバ112が管理するデータベース
(或いはファイル、など)301の一つとして用意した
アクセス権テーブル302に格納している。テーブル3
02中の「○」はアクセス権が設定されていることを表
し、「×」はそれが設定されていないことを表してい
る。それにより、認証システム104で認証した職員に
は、アクセス権テーブル302にアクセス権が設定され
た業務システムにのみアクセスできるようにさせてい
る。図3では、アクセス権テーブル302に設定された
アクセス権から、職員である「東京一郎」は、Aシステ
ム201、及びCシステム203にアクセスできても、
Bシステム202にはアクセスできないことを示してい
る。
【0020】なお、上記アクセス権は、システム単位で
設定するようにしているが、システムが提供するサービ
スの内容単位でアクセス権を設定できるようにしても良
い。そのようにした場合には、より細かいアクセス制御
を行えるようになる。
【0021】次に、図3に示すようなアクセス制御を実
現させる端末装置105、認証システム104、及びア
プリケーションサーバ106の動作について、図4、及
び図5の説明図を参照して詳細に説明する。
【0022】図4は、アカウント情報登録時における手
順を示すシーケンス図である。始めに図4を参照して、
業務システムを管理する側の職員、或いは業者(管理
者)、或いは業務システムを利用する側の職員が、業務
システムにアクセスするためのアカウント情報を職員認
証システム104に登録させる場合の端末装置105、
及び認証システム104の動作について詳細に説明す
る。
【0023】認証システム104の認証サーバ112
は、例えばアクセスしてきた端末装置105のユーザに
対する認証を行った後に、所定の画面(ポータル画面)
を端末装置105に送信する。その画面上には、アカウ
ント情報の登録を要求するためのボタン(或いはアイコ
ン、メニューなど)が配置されている。それにより、そ
の登録の要求は、そのボタンをクリックすることで行う
ようになっている。
【0024】端末装置105のユーザがそのポータル画
面上でアカウント情報の登録を要求すると、認証システ
ム104の認証サーバ112はその要求を受け付けて、
例えば常駐のプログラム・モジュールであるアカウント
登録モジュール401の制御下に移行する。それによ
り、アカウント情報登録時には、認証サーバ112はア
カウント登録モジュール401の制御下で動作する。
【0025】そのモジュール401に制御を移行させた
認証サーバ112は、アカウント情報の登録を要求して
きた端末装置(図中では「クライアント(Webブラウ
ザ)と表記)105にアカウント情報登録用のアカウン
ト登録画面を送信する(シーケンスS1)。その登録画
面には、図中、A〜Cシステムと表記した各業務システ
ム別に、ID、パスワードなどのアカウント情報を入力
するためのボックスが設けられている。管理者は、登録
画面上で認証方式(認証を行ううえでの仕組みなど)な
ども入力するようになっている。
【0026】一方の端末装置105は、認証サーバ11
2から送信されたアカウント登録画面を受信すると、そ
れを表示装置上に表示させ、その画面上に、キーボード
やポインティングデバイスなどへのユーザの操作に応じ
てデータを表示させる。そのようにしてデータ入力を行
った後、登録画面上に配置された所定のボタン(例えば
「登録」ボタン)をユーザがクリックすると、その登録
画面上に入力されたデータをアカウント情報として認証
サーバ112に送信する(シーケンスS2)。
【0027】アカウント情報を受信した認証サーバ11
2は、それをデータベースサーバ111に送り、例えば
その保存用に用意したデータベース、或いはファイルな
どの保存用エリア(ここではデータベースであるとす
る)402に保存させる(シーケンスS3)。その保存
は、認証を行うことで特定された個人を指定して行わせ
る。それにより、アカウント情報の登録を要求した人の
アカウント情報がデータベース402上に既に存在して
いれば、新たに送信されてきたアカウント情報をデータ
ベース402に上書きさせ、そうでなければ(アカウン
ト情報が存在していなければ)、データベース402に
新たにレコードを追加して、送信されてきたアカウント
情報をそこに書き込む。そのようにしてデータベース4
02にアカウント情報を格納させることにより、その登
録が完了する。
【0028】図5は、業務システム利用時における手順
を示すシーケンス図である。次に図5を参照して、端末
装置105のユーザが業務システムを利用する場合の端
末装置105、認証システム104、及びその業務シス
テムが実現されたアプリケーションサーバ106の動作
について詳細に説明する。このとき、認証システム10
4の認証サーバ112は、例えば常駐のプログラム・モ
ジュールである認証モジュール501に制御を移行させ
る。
【0029】認証サーバ112は、例えばアクセスして
きた端末装置105に、個人の認証方式に応じたログイ
ン画面を送信する。ここでの認証方式とは、ID・パス
ワードや指紋などといった個人識別情報の種類のことで
ある。端末装置105は、認証サーバ112からログイ
ン画面を受信すると、それを表示装置上に表示させる。
その後、ユーザが個人識別情報を入力すると、それを認
証サーバ112に送信する(シーケンスS11)。
【0030】認証サーバ112は、個人識別情報を受信
すると、例えばその一部の情報(個人識別情報としてI
D・パスワードを受信した場合には例えばID)をデー
タベースサーバ111に送り、データベース402に保
存されている、その一部の情報に対応する個人識別情報
の送信を依頼することでそれを取得する。それを取得す
ると、その個人識別情報を端末装置105から受信した
個人識別情報と照合することにより、その端末装置10
5から個人識別情報を送信させた人の認証を行う(シー
ケンスS12)。
【0031】その認証により、端末装置105から受信
した個人識別情報がデータベース402に保存されてい
ることを確認すると、認証サーバ112は、業務システ
ムにアクセスするための情報である処理権限チケットを
端末装置105に送信する(シーケンスS13)。本実
施の形態では、処理権限チケットと合わせて、上記ポー
タル画面を送信するようにしている。端末装置105
は、受信した処理権限チケットをメモリ、或いはハード
ディスクなどに書き込んで保存し、受信したポータル画
面は表示装置に表示させる。
【0032】本実施の形態では、上記処理権限チケット
の発行にCookieを用いている。そのパラメータd
omainとして、各業務システム(アプリケーション
サーバ106)のURLで共通のドメイン名を設定して
いる。それにより、端末装置105を業務システムにア
クセスさせる場合には、端末装置105から業務システ
ムに処理権限チケットが送信されるようにしている。パ
ラメータpathには、サーバ106内の仮想ページ全
てで参照できるようにルートパスを設定している。
【0033】その処理権限チケットには、個人情報や権
限情報、及び端末情報などを付加させている。個人情報
とは、例えば職員コードや氏名、所属部署コード、所属
全部署コード、所属名、役職コード、補職コード、役割
コード、などである。権限情報とは、例えば認証した人
に対してアクセス権テーブル302で各業務システム別
に設定されたアクセス権を示すものである。端末情報と
は、例えば端末装置105のIPアドレスやブラウザの
種別を示すデータ、などである。個人情報は、例えばデ
ータベース402、或いは301から取得し、端末情報
は、端末装置105とのやりとりを通じて取得する。
【0034】上記ポータル画面には、例えば各業務シス
テムにアクセスを要求するためのボタンが複数、配置さ
れている。それにより、ユーザがポータル画面上の所望
のボタンをクリックすると、端末装置105はそのボタ
ンに対応するアプリケーションサーバ106に、処理権
限チケットと合わせてアクセス要求を送信する(シーケ
ンスS14)。
【0035】各アプリケーションサーバ106には、業
務システムを実現させるためのプログラム・モジュール
であるアプリケーション・モジュール502の他に、プ
ログラム・モジュールである認証フィルタモジュール5
03がインストールされている。その認証フィルタモジ
ュール503は、アクセス要求時に、端末装置105と
アプリケーション・モジュール502の間のやりとりを
仲立ちする形で、アプリケーション・モジュール502
にアクセス要求者の認証を自動的に行わせるためのもの
である。本実施の形態によるシングルサインオン対応認
証装置は、アプリケーションサーバ106に搭載された
CPUが、その認証フィルタモジュール503を実行す
ることで実現される。
【0036】認証フィルタモジュール503は、端末装
置105からアクセス要求を受信すると、例えば処理権
限チケットに付加された個人情報中の職員コードを抽出
し、その職員コードに対応するアカウント情報の送信を
職員認証システム104に依頼する。その依頼により、
データベースサーバ111がデータベース402から読
み出したアカウント情報がアプリケーションサーバ10
6に送信される(シーケンスS15)。
【0037】認証フィルタモジュール503は、処理権
限チケットに付加された権限情報を参照して、アクセス
要求者がアクセスを要求している業務システムに対する
アクセス権を持っているか否か判定する。その結果、ア
クセス権を持っていないと判定すると、その旨を端末装
置105に通知する。このことから、認証システム10
4には、アクセス要求者がアクセス権を持っていると判
定した場合にのみ、アカウント情報の送信を依頼する。
【0038】アプリケーションサーバ106がアカウン
ト情報を認証システム104から受信すると、認証フィ
ルタ・モジュール503は、端末装置105に代わっ
て、認証システム104から送信されたアカウント情報
を用いてアクセス要求を行う(シーケンスS16)。そ
のアクセス要求は、アプリケーション・モジュール50
2に設定されている認証の手続き、その内容に沿って行
う。それにより、アプリケーション・モジュール(業務
システム)502に端末装置105のユーザの認証を自
動的に行わせる。そのようにしてユーザ(アクセスの要
求者)の認証を行ってアクセスを許可したアプリケーシ
ョン・モジュール502は、そのユーザが使用する端末
装置105にアプリケーション画面を送信する(シーケ
ンスS17)。それ以降、アプリケーション・モジュー
ル502は、認証フィルタ・モジュール503を介する
ことなく、端末装置105とのやりとりを行う状況に移
行する。
【0039】このようにして、本実施の形態では、認証
フィルタ・モジュール503が端末装置105に代わっ
てアクセス要求を行い、業務システムにアクセス者の認
証を自動的に行わせる。このため、アプリケーション・
モジュール502がシングルサインオンに対応していな
い既存のものであっても、それを変更することなく、シ
ングルサインオンに対応させることができる。その認証
フィルタモジュール503は、それをアプリケーション
・モジュールに組み込むよりも容易に開発することがで
きる。従って、シングルサインオンをより容易、且つ低
コストに導入できることとなる。アプリケーション・モ
ジュールを新たに開発する場合であっても、シングルサ
インオンに必ずしも対応させなくて済むようになること
から、アプリケーション・モジュールの開発コストの向
上を抑えられることになる。
【0040】アプリケーション・モジュール502に認
証を行わせるためのアカウント情報は、本実施の形態で
は随時、認証システム104から取得するようにしてい
る。これは、アカウント情報が端末装置105などから
漏洩してしまうのを回避するためである。それにより、
アクセス権を持たない人がたとえアプリケーション・モ
ジュール502に直接、アクセスできたとしても、各ア
プリケーション・モジュール単位でアカウント情報を設
定する場合と同等のレベルのセキュリティレベルを維持
できるようにさせている。
【0041】なお、本実施の形態では、シングルサイン
オン対応認証装置をアプリケーションサーバ106に搭
載された装置として実現させているが、サーバ106と
は別個の装置として実現させても良い。そのようにした
場合には、1個の認証装置に複数のアプリケーション・
サーバ106(業務システム)を担当させるようにして
も良い。
【0042】シングルサインオン対応認証装置を実現さ
せる認証フィルタモジュール503のようなプログラム
は、CD−ROM、DVD、フレキシブル・ディスク、
或いは光磁気ディスク等の記録媒体に記録させて配布し
ても良い。或いは、公衆網等で用いられる伝送媒体を介
して、そのプログラムの一部、若しくは全部を配信する
ようにしても良い。そのようにした場合には、ユーザは
プログラムを取得してコンピュータなどの情報処理装置
にロードすることにより、その情報処理装置に本発明に
よるシングルサインオン対応認証装置を搭載させること
ができる。このことから、記録媒体は、プログラムを配
信する装置がアクセスできるものであっても良い。
【0043】
【発明の効果】以上、説明したように本発明は、ネット
ワークに接続された端末装置のユーザ(アクセス要求
者)の認証を行いアクセスを許可してサービスを提供す
るサービス提供用システムの前段に、認証システムが認
証を行って発行したサービス提供用システムにアクセス
するためのチケットを端末装置から受け取って、サービ
ス提供用システムにアクセス要求者の認証を自動的に行
わせてシングルサインオンに対応させる装置(シングル
サインオン対応認証装置)を配置し、その装置によりサ
ービス提供用システムでの認証を自動的に行わせる。こ
のため、シングルサインオンに対応していないサービス
提供用システムであっても、それを修正することなく、
シングルサインオンに対応させることができる。その結
果、より容易、且つ迅速にシングルサインオンを導入す
ることができる。
【図面の簡単な説明】
【図1】本実施の形態によるネットワークシステムの構
成を示す図である。
【図2】職員が業務システムを利用するうえでの流れを
説明する図である。
【図3】業務システムへのアクセス制御を説明する図で
ある。
【図4】アカウント情報登録時における手順を示すシー
ケンス図である。
【図5】業務システム利用時における手順を示すシーケ
ンス図である。
【符号の説明】
101 WAN 102、103 LAN 104 職員認証システム 105 端末装置(クライアント) 106 アプリケーションサーバ 111 データベースサーバ 112 認証サーバ 201 Aシステム 202 Bシステム 203 Cシステム 204 Dシステム 205 Eシステム 301、402 データベース 302 アクセス権テーブル 401 アカウント登録モジュール 501 認証モジュール 502 アプリケーション・モジュール 503 認証フィルタ・モジュール
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) G06F 17/60 ZEC G06F 17/60 ZEC H04L 12/28 100 H04L 12/28 100S

Claims (5)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークに接続された端末装置のユ
    ーザの認証を行いアクセスを許可してサービスを提供す
    るサービス提供用システムに、認証システムが認証を行
    って該サービス提供用システムにアクセスするためのチ
    ケットを発行した端末装置のユーザの認証を自動的に行
    わせてシングルサインオンに対応させるための装置であ
    って、 前記端末装置から前記サービス提供用システムに送信さ
    れたチケットを受信するチケット受信手段と、 前記チケット受信手段が受信したチケットを用いて、該
    チケットを送信した端末装置のユーザの認証を前記サー
    ビス提供用システムに自動的に行わせる認証手段と、 を具備することを特徴とするシングルサインオン対応認
    証装置。
  2. 【請求項2】 前記認証を行ったユーザがアクセス可能
    なサービス提供用システムを示すアクセス権情報を含む
    前記チケットを前記認証システムが発行する場合に、 前記認証手段は、前記端末装置から受信したチケット中
    のアクセス権情報から、該端末装置のユーザが前記サー
    ビス提供用システムにアクセスする権限を有するか否か
    判定し、該判定結果に応じて、該チケットを送信した端
    末装置のユーザの認証を該サービス提供用システムに行
    わせる、 ことを特徴とする請求項1記載のシングルサインオン対
    応認証装置。
  3. 【請求項3】 前記認証手段は、前記端末装置から受信
    したチケットを基に、前記認証システムから認証用のア
    カウント情報を受け取り、該受け取ったアカウント情報
    を用いて前記サービス提供用システムに認証を行わせ
    る、 ことを特徴とする請求項1、または2記載のシングルサ
    インオン対応認証装置。
  4. 【請求項4】 ネットワークと接続された端末装置を使
    用するユーザの認証を行いアクセスを許可してサービス
    を提供する1つ以上のサービス提供用システムと、その
    ユーザの認証を行ってサービス提供用システムにアクセ
    スするためのチケットを発行する認証システムと、を備
    えたネットワークシステムにおいて、 前記端末装置から前記1つ以上のサービス提供用システ
    ムのうちの1つに送信されたチケットを受信するチケッ
    ト受信手段と、 前記チケット受信手段が受信したチケットを用いて、該
    チケットを送信した端末装置のユーザの認証を、該チケ
    ットが送信された前記サービス提供用システムに自動的
    に行わせる認証手段と、 を具備することを特徴とするネットワークシステム。
  5. 【請求項5】 認証システムが認証を行って他のシステ
    ムにアクセスするためのチケットを発行した端末装置の
    ユーザの認証を、ユーザの認証を行いアクセスを許可し
    てサービスを提供するサービス提供用システムに自動的
    に行わせてシングルサインオンに対応させるための装置
    に実行させるプログラムであって、 ネットワークに接続された前記端末装置から前記サービ
    ス提供用システムに送信されたチケットを受信する機能
    と、 前記受信する機能により受信したチケットを用いて、該
    チケットを送信した端末装置のユーザの認証を前記サー
    ビス提供用システムに自動的に行わせる機能と、 を実現させるためのプログラム。
JP2001272658A 2001-09-07 2001-09-07 シングルサインオン対応認証装置、ネットワークシステム、及びプログラム Withdrawn JP2003085141A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001272658A JP2003085141A (ja) 2001-09-07 2001-09-07 シングルサインオン対応認証装置、ネットワークシステム、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001272658A JP2003085141A (ja) 2001-09-07 2001-09-07 シングルサインオン対応認証装置、ネットワークシステム、及びプログラム

Publications (1)

Publication Number Publication Date
JP2003085141A true JP2003085141A (ja) 2003-03-20

Family

ID=19097997

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001272658A Withdrawn JP2003085141A (ja) 2001-09-07 2001-09-07 シングルサインオン対応認証装置、ネットワークシステム、及びプログラム

Country Status (1)

Country Link
JP (1) JP2003085141A (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005322193A (ja) * 2004-04-07 2005-11-17 Matsushita Electric Ind Co Ltd 使用量表示システム、情報端末およびそのプログラム
JP2007156644A (ja) * 2005-12-01 2007-06-21 Hitachi Software Eng Co Ltd 認証システム
JP2007299295A (ja) * 2006-05-01 2007-11-15 Softbank Mobile Corp 顧客情報登録システム、アプリケーションサーバ及び端末装置
JPWO2006073008A1 (ja) * 2005-01-07 2008-10-23 株式会社システム・ケイ ネットワークカメラへのログイン認証システム
JP2010072760A (ja) * 2008-09-16 2010-04-02 Ricoh Co Ltd 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム
JP2010237889A (ja) * 2009-03-31 2010-10-21 Nec Access Technica Ltd 情報端末及び情報端末におけるソフトウェア情報閲覧方法
US7975293B2 (en) 2007-05-16 2011-07-05 Konica Minolta Holdings, Inc. Authentication system, authentication method and terminal device
JP2014038608A (ja) * 2012-08-20 2014-02-27 Naver Corp 認証共有によるアプリケーションログインシステム、方法およびコンピュータ読み取り可能な記録媒体
JP2015143938A (ja) * 2014-01-31 2015-08-06 株式会社寺岡精工 商品販売管理システム
WO2017038019A1 (en) * 2015-09-01 2017-03-09 Canon Kabushiki Kaisha Authentication server, authentication method, and program
CN115134112A (zh) * 2022-05-12 2022-09-30 山东鲁软数字科技有限公司 一种内网环境下统一浏览器账户管理系统及方法
JP7388285B2 (ja) 2020-04-22 2023-11-29 株式会社リコー サービス提供システム、ログイン設定方法、情報処理システム

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005322193A (ja) * 2004-04-07 2005-11-17 Matsushita Electric Ind Co Ltd 使用量表示システム、情報端末およびそのプログラム
JPWO2006073008A1 (ja) * 2005-01-07 2008-10-23 株式会社システム・ケイ ネットワークカメラへのログイン認証システム
JP2007156644A (ja) * 2005-12-01 2007-06-21 Hitachi Software Eng Co Ltd 認証システム
JP2007299295A (ja) * 2006-05-01 2007-11-15 Softbank Mobile Corp 顧客情報登録システム、アプリケーションサーバ及び端末装置
US7975293B2 (en) 2007-05-16 2011-07-05 Konica Minolta Holdings, Inc. Authentication system, authentication method and terminal device
JP2010072760A (ja) * 2008-09-16 2010-04-02 Ricoh Co Ltd 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム
JP2010237889A (ja) * 2009-03-31 2010-10-21 Nec Access Technica Ltd 情報端末及び情報端末におけるソフトウェア情報閲覧方法
JP2014038608A (ja) * 2012-08-20 2014-02-27 Naver Corp 認証共有によるアプリケーションログインシステム、方法およびコンピュータ読み取り可能な記録媒体
JP2015143938A (ja) * 2014-01-31 2015-08-06 株式会社寺岡精工 商品販売管理システム
WO2017038019A1 (en) * 2015-09-01 2017-03-09 Canon Kabushiki Kaisha Authentication server, authentication method, and program
JP7388285B2 (ja) 2020-04-22 2023-11-29 株式会社リコー サービス提供システム、ログイン設定方法、情報処理システム
CN115134112A (zh) * 2022-05-12 2022-09-30 山东鲁软数字科技有限公司 一种内网环境下统一浏览器账户管理系统及方法
CN115134112B (zh) * 2022-05-12 2024-02-02 山东鲁软数字科技有限公司 一种内网环境下统一浏览器账户管理系统及方法

Similar Documents

Publication Publication Date Title
US7356704B2 (en) Aggregated authenticated identity apparatus for and method therefor
US8769133B2 (en) Network-based verification and fraud-prevention system
US9398013B2 (en) System, method and computer program product for an authentication management infrastructure
US7487130B2 (en) Consumer-controlled limited and constrained access to a centrally stored information account
US6006332A (en) Rights management system for digital media
US7024689B2 (en) Granting access rights to unattended software
US8468576B2 (en) System and method for application-integrated information card selection
US7788711B1 (en) Method and system for transferring identity assertion information between trusted partner sites in a network using artifacts
US8632003B2 (en) Multiple persona information cards
US20020059369A1 (en) Method and apparatus for creating and distributing non-sensitized information summaries to users
US7039804B2 (en) Method and system to integrate existing user and group definitions in a database server with heterogeneous application servers
CN115053218A (zh) 跨微服务的认证和授权
JP2003085141A (ja) シングルサインオン対応認証装置、ネットワークシステム、及びプログラム
US7356711B1 (en) Secure registration
JP2003067336A (ja) コンピュータ・システム及びユーザ管理方法
US20060129828A1 (en) Method which is able to centralize the administration of the user registered information across networks
KR100559984B1 (ko) 인증 시스템 및 인증 방법
WO2023132049A1 (ja) 個人情報制御方法、情報処理装置、及び個人情報制御プログラム
US20030167412A1 (en) Network identity mark issuance/management system, apparatus, method and recording medium containing program therefor
US20090272797A1 (en) Dynamic information card rendering
JP4993083B2 (ja) セッション管理装置、プログラム、及び記憶媒体
JP4814131B2 (ja) 仲介システム、プログラム、及び記憶媒体
JP2008225941A (ja) セッション管理装置、プログラム、及び記憶媒体
US7093281B2 (en) Casual access application with context sensitive pin authentication
JP2002108819A (ja) 企業内通信システムおよび認証サーバ

Legal Events

Date Code Title Description
RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20040218

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060914

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20070709