JP2003296277A - ネットワーク装置、認証サーバ、ネットワークシステム、認証方法 - Google Patents

ネットワーク装置、認証サーバ、ネットワークシステム、認証方法

Info

Publication number
JP2003296277A
JP2003296277A JP2002095755A JP2002095755A JP2003296277A JP 2003296277 A JP2003296277 A JP 2003296277A JP 2002095755 A JP2002095755 A JP 2002095755A JP 2002095755 A JP2002095755 A JP 2002095755A JP 2003296277 A JP2003296277 A JP 2003296277A
Authority
JP
Japan
Prior art keywords
authentication
client
www
service
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002095755A
Other languages
English (en)
Other versions
JP2003296277A5 (ja
Inventor
Takahiro Fujimaki
貴宏 藤巻
Ichiro Yamashita
一郎 山下
Yoichi Hirose
陽一 廣瀬
Katsuyuki Kondo
勝行 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2002095755A priority Critical patent/JP2003296277A/ja
Publication of JP2003296277A publication Critical patent/JP2003296277A/ja
Publication of JP2003296277A5 publication Critical patent/JP2003296277A5/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 WWW上で複数のサービスに対してシングル
サインオン機能を提供する際に、より安全に通信が可能
なネットワークシステムを提供する。 【解決手段】 WWWブラウザ2からSSOサーバ6へ
アクセスし、利用者の認証を行った後にWWWアプリケ
ーション4へアクセスを行う。WWWアプリケーション
4はSSOサーバ6へ利用者の認証状況を問い合わせ、
認証済の利用者であればWWWアプリケーション4専用
の認証チケットを発行し、以後、その認証チケットを利
用してWWWアプリケーション4のサービスを受ける。
次にWWWアプリケーション5へアクセスすると、WW
Wアプリケーション5はSSOサーバ6へ問い合わせ、
利用者が認証済である旨を受けてWWWアプリケーショ
ン5専用の認証チケットを発行する。このようにWWW
アプリケーション毎の認証チケットを発行するので、認
証チケット広範囲に漏れることはない。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、クライアントがネ
ットワークを通じてサービスを利用する際の認証技術に
関するものであり、特に、シングルサインオン(Sin
gle SignOn:SSO)技術に関するものであ
る。
【0002】
【従来の技術】クライアントがネットワークを通じてサ
ービスを利用する場合、そのサービスを利用する権限を
有していることを確認するため、ユーザ名やパスワード
の入力によるサインを行う。シングルサインオンは、ク
ライアントがただ一度のサイン(ユーザ名,パスワード
入力)を行うことで複数アプリケーションの利用を可能
にするものである。
【0003】シングルサインオンを実現する従来の方法
の一つとして、例えばクライアント側で用いているブラ
ウザにおいて、アプリケーション毎のサイン(ユーザ
名,パスワード)を保持する方法がある。しかし、この
ような機能を有していないブラウザもあり、汎用的に利
用できる技術ではない。
【0004】別の方法として、例えばクライアントから
のアクセスを受け付けるログイン代理サーバを設け、こ
のログイン代理サーバを通じて各種のサービスを提供す
る方法がある。この場合、ログイン代理サーバに対して
1回のサイン(ユーザ名,パスワード入力)のみで、各
種のサービスを利用することが可能である。例えば特開
2000−106552号公報などにおいても、窓口と
なるWebサーバを設け、そのWebサーバを通じて各
種の業務サーバを利用する構成が採用されている。
【0005】このようなログイン代理サーバを利用する
方法では、すべてのアクセスがログイン代理サーバに対
して行われる。そのため、ログイン代理サーバにおける
トラフィック量が非常に多くなるとともに、ログイン代
理サーバがダウンしたときにはいずれのサービスも全く
利用することができなくなってしまうという問題があ
る。
【0006】さらに別の方法として、認証チケットを利
用する方法がある。この方法では、チケットセンターが
クライアントの認証を行った際に、利用可能なサービス
に対する認証チケットを発行する。そして、クライアン
トがサービスを利用する際には、当該サービスに対して
認証チケットを提示し、サービスの提供を受ける。この
方法の場合にも、チケットセンターから認証チケットを
受け取る際に1回のサイン(ユーザ名,パスワード入
力)のみで複数のサービスを利用することができる。
【0007】このような認証チケットを利用する方式と
しては、Kerberos認証が代表的である。しか
し、Kerberos認証はWWW(World Wi
deWeb)における方式ではないため、そのままでは
利用することができない。このKerberos認証方
式をWWWに適用する場合、認証チケットとしてクッキ
ー(Cookie)を利用することになる。クッキー
は、WWWにおいてHTTPのような接続状態を管理し
ない通信プロトコルを用いる場合に、クライアント(あ
るいはクライアントで用いられているWWWブラウザ)
と、サービス(あるいはサーバ等のネットワーク装置で
動作しているWWWアプリケーション)間でセッション
を管理するために用いられる。すなわち、クライアント
からWWW上のサービスをHTTPにより利用する場合
には、HTTPで規定されるクッキーを用いてセッショ
ン管理を行うとともに、当該クッキーを認証チケットと
して用いることになる。
【0008】1つの認証チケットによって複数のサービ
スの提供を受けるには、認証チケットに利用可能なサー
ビスの一覧を記述しておくことになる。クッキーを用い
た場合には、ドメインを指定することによって複数のサ
ービスを利用可能とすることができる。しかし、指定さ
れたドメイン内には利用するサービス以外にも様々なW
WWアプリケーションが存在しており、悪意のWWWア
プリケーションに認証チケットとして利用するクッキー
が提示されることも考えられる。この場合、悪意のWW
Wアプリケーションは提示されたクッキー(認証チケッ
ト)を利用して、無制限に他のサービスを利用可能とな
ってしまう。このように、従来の認証チケットによる認
証方法は、認証チケットの盗用が起こりやすく、セキュ
リティレベルが低いという問題があった。
【0009】
【発明が解決しようとする課題】本発明は、上述した事
情に鑑みてなされたもので、WWW上で複数のサービス
に対してシングルサインオン機能を提供する際に、より
安全に通信が可能なネットワークシステムと、当該ネッ
トワークシステムで利用可能なネットワーク装置及び認
証サーバ、及び通信時に利用する認証方法を提供するこ
とを目的とするものである。
【0010】
【課題を解決するための手段】本発明では、クライアン
トがサービス(ネットワーク装置)に最初にアクセスし
たときには、認証サーバによる認証を受けることにな
る。その後、クライアントからアクセスされたサービス
が認証サーバにクライアントの認証結果を問い合わせ、
認証済であれば、サービスからクライアントに当該サー
ビスを利用する際の認証チケットを発行する。以後、そ
の認証チケットを利用して当該サービスを利用すること
になる。別のサービスを利用する場合には、認証サーバ
によるクライアントの認証を行わず、当該別のサービス
からのクライアントの認証結果の問い合わせに対して認
証サーバが認証済を返し、当該別のサービスが当該別の
サービスを利用する際の別の認証チケットを発行する。
【0011】このようにして、クライアントは認証サー
バにおいて1回の認証を行うのみにより複数のサービス
を利用することができる。また、複数のサービスを利用
する際には、それぞれのサービスがそれぞれ認証チケッ
トを発行する。例えばHTTP等では、認証チケットは
発行したサービスにのみ提示されるため、従来のように
ドメインの指定のような包括的な認証チケットと異な
り、他のサービスに認証チケットが提示されることがな
い。従って、悪意のWWWアプリケーションに認証チケ
ットが提示されて、なりすましによるサービスの利用を
防止することができる。
【0012】また、クライアントと各サービスの間、及
びクライアントと認証サーバの間の通信は、例えばCH
AP(Challenge Handshake Au
thentication Protocol)を用い
ることができる。これによって、例えば認証チケットが
盗まれたとしても、安全に通信を行うことができる。さ
らにSSL認証(例えばSSLサーバ認証)などを用い
て行うことによって、例えば盗聴などによる認証チケッ
トの漏洩も防ぐことができる。
【0013】なお、クライアントの認証を行う際には、
クライアントが直接認証サーバにアクセスするほか、ク
ライアントが利用したいサービスに未ログインのままア
クセスした場合に、例えばリダイレクションなどによっ
てサービスから認証サーバに対してクライアントの認証
を依頼するように構成することができる。これによっ
て、クライアントは認証サーバを意識することなく各サ
ービスを利用することができる。
【0014】また、クライアントに対して提供可能な前
記サービス中の機能(ケイパビリティ)についても認証
サーバで管理し、サービスに対してクライアントのケイ
パビリティの判断結果(ケイパビリティの情報)を返す
ように構成することもできる。さらに、サービスにおい
てクライアントのライセンス認証が必要な場合に、当該
クライアントのライセンス認証を行うように構成するこ
ともできる。
【0015】
【発明の実施の形態】図1は、本発明の第1の実施の形
態を示すシステム構成図である。図中、1はネットワー
ク、2,3はWWWブラウザ、4,5はWWWアプリケ
ーション、6はSSOサーバ、11は通信制御部、12
は処理部、21は認証部、22は個人情報管理データベ
ースである。図1に示す例では、WWWブラウザ2,
3、WWWアプリケーション4,5、SSOサーバ6な
どがネットワーク1を利用して通信可能に構成されてい
る。もちろん、多くのWWWブラウザ、多くのWWWア
プリケーション、その他多くのサーバ等と通信可能であ
る。ネットワーク1は、LANやインターネットなど、
各種のネットワークで構成することができ、またそれら
が複合的に組み合わされた構成であってよい。
【0016】WWWブラウザ2,3は、ネットワーク1
を通じて、例えばHTTPなどによりWWWアプリケー
ション4,5やSSOサーバ6などと通信を行い、利用
者の指示に従って様々なサービス、情報の提供を受ける
クライアントとして機能する。WWWブラウザ2,3
は、例えばコンピュータなどの上で動作するソフトウェ
アであり、一般的に利用されているものである。もちろ
ん携帯端末などのようにブラウザとして独立したソフト
ウェアでない場合もあるが、そのような場合も含め、以
下の説明ではクライアントの具体例としてWWWブラウ
ザ2,3を例示している。
【0017】WWWアプリケーション4,5は、クライ
アントに対して各種のサービスを提供する。またWWW
アプリケーション4,5も、例えばコンピュータなどの
ネット枠装置(サーバ)上でクライアントにサービスを
提供するソフトウェアである。ここでは、クライアント
に対して提供されるサービスに対応するものとして、W
WWアプリケーション4,5を示している。なお、ここ
ではWWWアプリケーション4,5は、接続状態を管理
しない通信プロトコルHTTPを用いてWWWブラウザ
との間の通信を行うものとする。また、WWWアプリケ
ーション4,5は、サービスの提供にはユーザの認証を
必要とするものとしている。
【0018】WWWアプリケーション4は、通信制御部
11及び処理部12を含んで構成されている。WWWア
プリケーション5については図示していないが、同様の
構成を含んで構成することができる。処理部12は、実
際にサービスを提供する部分である。通信制御部11
は、ネットワーク1を通じてWWWブラウザ2,3から
のアクセスを受け付けて、対応する処理を行う。例えば
未ログインのWWWブラウザ2,3からのアクセスを受
けた際には、SSOサーバ6に問い合わせを行い、WW
Wブラウザの利用者が認証済であれば、当該WWWアプ
リケーション4へのアクセスのための認証チケット(ク
ッキー)を発行する。また、ログイン済のWWWブラウ
ザ2,3からのアクセス時には、先に発行した認証チケ
ットを受け取って、処理部12にサービスを行わせる。
なお、未ログインのWWWブラウザ2,3からのアクセ
スを受けた際に、SSOサーバ6へのリダイレクション
によりSSOサーバ6による認証を受けさせた後に、S
SOサーバ6への問い合わせを行うように構成すること
ができる。
【0019】SSOサーバ6は、WWWブラウザ2,3
からのアクセスに対応して利用者の認証を行うととも
に、WWWアプリケーション4,5などからの要求に応
じてクライアントの認証結果を返す認証サーバとして機
能する。SSOサーバ6は、認証部21及び個人情報管
理データベース22を含んで構成されている。個人情報
管理データベース22には、それぞれの利用者毎の認証
情報、例えばユーザID及びパスワードなどの情報が登
録されている。
【0020】認証部21は、WWWブラウザ2,3から
のアクセスに対して認証処理を行うとともに、WWWア
プリケーション4,5からの問い合わせに応じて認証結
果の返送などを行う。WWWブラウザ2,3からのアク
セスを受けたとき、WWWブラウザ2,3の利用者が未
認証である場合には、WWWブラウザに対して認証フォ
ームを送信して利用者によるユーザIDやパスワードな
どの入力情報を受け取る。そして、その入力情報に基づ
いて個人情報管理データベース22への問い合わせを行
って、利用者の認証を行う。このとき、SSOサーバ6
に対してのみ有効なクッキーを発行しておく。また、認
証済の利用者によるWWWブラウザ2,3からのアクセ
スに対しては、WWWブラウザに対して認証フォームを
送信することはせず、従って利用者によるユーザIDや
パスワードなどの入力情報の入力や、認証の処理などを
行わない。この認証済の状態は、所定の時間、あるいは
WWWブラウザ2,3のセッションの終了まで保持され
る。WWWブラウザ2,3からのアクセス時に認証済で
あるか否かは、アクセス時に発行済みのクッキーが渡さ
れること、及び、内部における認証済の情報などによっ
て判断することができる。
【0021】なお、この例では個人情報管理データベー
ス22をSSOサーバ6内に設けるように図示している
が、これに限らず、SSOサーバ6とは別のサーバによ
り構成することも可能である。また、それぞれの構成要
素は実際の装置構成と一致しない場合もある。例えばそ
れぞれのWWWアプリケーションがそれぞれ1台のコン
ピュータに対応している必要はないし、SSOサーバも
独立したコンピュータとして構成されている必要はな
い。
【0022】次に、本発明の第1の実施の形態における
動作について、WWWブラウザに表示される画面の具体
例などを用いながら説明する。なお、以下の動作の説明
では、利用者がWWWブラウザ2を利用しているものと
し、最初にWWWアプリケーション4を利用し、その
後、WWWアプリケーション5を利用するものとしてい
る。また、利用するプロトコルはHTTPである。
【0023】図2は、本発明の第1の実施の形態におけ
る動作の一例を示すシーケンス図、図3は、同じくWW
Wアプリケーションへの最初のアクセスを行った際の動
作の一例の説明図である。WWWブラウザ2を利用して
いる利用者は、WWWアプリケーション4を利用する場
合には、WWWアプリケーション4のURL(url
1)を(1)において入力し、アクセスを指示する。す
るとWWWブラウザ2は、(2)においてWWWアプリ
ケーション4へのアクセスを行う。このときのHTTP
の要求メッセージでは“GET”メソッドを用い、例え
ば“GET url1 HTTP/1.x”といった要
求メッセージをWWWアプリケーション4へ送る。
【0024】WWWアプリケーション4は、WWWブラ
ウザ2からのアクセスを受けると、WWWブラウザ2と
の間にセッションが存在するか否かを判断する。セッシ
ョンの有無は、WWWアプリケーション4内に保持して
いるセッションオブジェクトとして登録されているか否
かを判断するなど、任意の方法によって行えばよい。こ
こではそれまでにWWWブラウザ2との間にセッション
が存在しない。この場合には、新たに例えば一時的なI
Dを割り当て、セッションオブジェクトとして登録して
おく。
【0025】WWWアプリケーション4は、WWWブラ
ウザ2とのセッションが存在していなかったので、WW
Wブラウザ2に対してSSOサーバ6による認証を行う
ように促す。ここでは(3)において、SSOサーバ6
へのリダイレクションをWWWブラウザ2に対して指示
する。具体的には、SSOサーバ6のURLをssoと
するとき、応答時のコード“302”を用い、応答メッ
セージとして例えば“HTTP/1.x 302 Mo
ved Temporarily Location:
sso+id”などとして、リダイレクションによりア
クセスするように応答すればよい。なお、“sso+i
d”は、SSOサーバ6のURL“sso”に、WWW
アプリケーション4が一時的に発行したIDを付加した
ものである。さらに、WWWアプリケーション4のUR
Lも付加しておくとよい。また、応答時にWWWアプリ
ケーション4用の仮のクッキーをWWWブラウザ2に送
っておいてもよい。
【0026】WWWブラウザ2は、上述のようなWWW
アプリケーション4からの応答メッセージを受けると、
自動的に(4)においてSSOサーバ6に対してアクセ
スを行う。図4は、SSOサーバ6へのリダイレクショ
ン時の表示画面の一例の説明図である。WWWブラウザ
2がWWWアプリケーション4から(3)における応答
メッセージを受け取ると、WWWブラウザ2によって図
4に示すような表示が行われる。このような表示が行わ
れても、利用者は特段の操作を要せず、自動的にSSO
サーバ6に対してのアクセスが行われる。自動的にSS
Oサーバ6にアクセスされない場合には、下線が付され
た“here”の部分を利用者が指示することによっ
て、SSOサーバ6へのアクセスを行うことができる。
このようなリダイレクションを利用することによって、
ユーザはSSOサーバ6のURL等を知らなくても、利
用したいWWWアプリケーションにアクセスすれば、初
回はSSOサーバ6へ自動的にアクセスされるので、利
便性を向上させることができる。
【0027】(4)において自動的に行われるWWWブ
ラウザ2からWWWアプリケーション4へのアクセス時
の要求メッセージは、具体的には“GET”メソッドを
用い、アドレス部分は(3)で渡された“Locati
on:”以降の部分、すなわち“sso+id”であ
る。例えば“GET sso+id HTTP/1.
x”といった要求メッセージがWWWブラウザ2からW
WWアプリケーション4へ渡される。なお、アドレス部
分にWWWアプリケーション4のURLが含まれる場合
もある。
【0028】SSOサーバ6では、WWWブラウザ2か
らのアクセスを受けた場合、この時点ではいままでにW
WWブラウザ2とのセッションはなく、認証を行ってい
ない。従って新規にセッションを生成し、内部にセッシ
ョンオブジェクトとして登録しておく。このとき、アド
レス部分で渡された、WWWアプリケーション2で生成
したIDを用いることができる。また、アドレス部分に
WWWアプリケーション4のURLが含まれる場合、そ
のURLも保持しておく。
【0029】新たにWWWブラウザ2からアクセスされ
た場合、SSOサーバ6は、(5)において、認証を行
うための認証フォームをWWWブラウザ2へ送る。具体
的には応答コード“200”を用い、例えば応答ヘッダ
“HTTP/1.x 200OK”と、認証フォームの
データを応答メッセージとしてWWWブラウザ2に送信
すればよい。このとき、SSOサーバ6用の仮のクッキ
ーを送信しておいてもよい。
【0030】図5は、認証フォーム画面の一例の説明図
である。WWWブラウザ2では、SSOサーバ6から送
られてきた認証フォームのデータを表示することによっ
て、例えば図5に示すような画面が利用者に提示され
る。この画面では、ユーザID(uid)の入力欄とパ
スワード(pwd)の入力欄が設けられている。利用者
は、これらの欄にユーザID及びパスワードを入力(図
2,図3の(6))したのち、「クエリ送信」ボタンを
操作すればよい。これによって、図2,図3の(7)に
おいて、利用者が入力したユーザID及びパスワードが
WWWブラウザ2からWWWアプリケーション4へ送ら
れる。
【0031】WWWブラウザ2からWWWアプリケーシ
ョン4へユーザID及びパスワードを送信する場合の具
体的な要求メッセージは、“POST”メソッドを用
い、例えばリクエストラインとして“POST sso
HTTP/1.x”、ボディ部に利用者が入力したユ
ーザID及びパスワードを含めればよい。
【0032】WWWアプリケーション4は、WWWブラ
ウザ2からユーザIDおよびパスワードを受け取ると、
(8)において、個人情報管理データベース22への問
い合わせを行い、(9)においてその結果を受け取る。
ユーザIDとパスワードが正しくなければ、認証できな
かった旨をWWWブラウザ2に通知し、再入力を受ける
かあるは処理を終了する。
【0033】受け取ったユーザIDとパスワードが正し
ければ、WWWブラウザ2の利用者を正規の利用者とし
て認証する。このとき、SSOサーバ6へのログインが
行われ、ログイン済である状態が利用者のユーザIDと
ともにセッションオブジェクトとして登録される。な
お、(4)におけるセッション開始時のセッションオブ
ジェクトが修正されることになる。
【0034】SSOサーバ6へのログインが行われた
ら、(10)において、SSOサーバ6はWWWブラウ
ザ2に対して応答メッセージを返す。この応答メッセー
ジとともに、SSOサーバ6への認証チケット(クッキ
ー)をWWWブラウザ2に対して発行する。図6は、S
SOサーバ6への認証チケットの一例の説明図である。
図6に示す例において、“Cookie情報”中の“ド
メイン”欄及び“パス”欄において、SSOサーバ6の
ドメイン及びパスが記述されており、SSOサーバ6に
対してのみ提示されることを示している。従って、この
認証チケットでは、WWWアプリケーション4を利用す
ることはできない。なお、この認証チケット(クッキ
ー)には、利用者のユーザIDを含めておくとよい。こ
の時点では、SSOサーバ6はWWWアプリケーション
4への認証チケットは発行しない。
【0035】(10)における応答メッセージは、この
例ではリダイレクションによりWWWアプリケーション
4にアクセスが行われるようにしている。これは、もと
もと利用者はWWWアプリケーション4へのアクセスを
行っており、利用者が知らずにSSOサーバ6へのアク
セスが行われている。従って、SSOサーバ6における
処理が終了した時点で自動的にWWWアプリケーション
4へ戻ることが望ましい。これを実現するため、SSO
サーバ6における認証の処理が終了した(10)の応答
メッセージにおいて、WWWアプリケーション4へのリ
ダイレクションによりWWWアプリケーション4に戻し
ている。具体的には、応答コード“302”を使用し、
例えば“HTTP/1.x 302 Moved Te
mporarily Location:url1”と
し、WWWアプリケーション4のURL(“url
1”)を指定したリダイレクションをWWWブラウザ2
に指示すればよい。
【0036】図7は、WWWアプリケーション4へのリ
ダイレクション時の表示画面の一例の説明図である。W
WWブラウザ2は、図2,図3の(10)におけるSS
Oサーバ6からの応答メッセージを受けると、図7に示
すような表示がなされる。この画面は図4に示した画面
とほぼ同様であるが、アドレス欄がSSOサーバ6のア
ドレスとなっており、SSOサーバ6からのものである
ことが分かる。
【0037】上述のリダイレクションによって、図2,
図3の(11)において、今度はWWWアプリケーショ
ン4へのアクセスが自動的に行われる。このとき、例え
ば上述の(3)においてWWWアプリケーション4から
仮のクッキーが渡されている場合には、そのクッキーも
送信される。WWWアプリケーション4はWWWブラウ
ザ2からのアクセスを受けると、既にセッションが存在
するか否かを判定する。クッキーが送られてくる場合に
はそのクッキーでも判断できるし、セッションオブジェ
クトを調べることによっても判断することができる。こ
の例の場合には、(2)におけるWWWブラウザ2から
のアクセス時のセッションが存在している。従って(1
1)のアクセス時にはセッションの存在が判定される。
【0038】既にセッションが存在するアクセスを受け
た場合、認証チケットが提示されているか否かをさらに
判定する。この時点ではWWWブラウザ2はWWWアプ
リケーション4に対する認証チケットを入手していない
ので、WWWブラウザ2からは認証チケットは提示され
ない。認証チケットが提示されない場合、(12)にお
いて、WWWアプリケーション4はSSOサーバ6に対
してWWWブラウザ2の利用者の認証状況を問い合わせ
る。このとき、(4)におけるリダイレクションによる
WWWブラウザ2からSSOサーバ6へのアクセス時
に、WWWアプリケーション4が(3)でWWWブラウ
ザ2に渡した一時的なID(id)をSSOサーバ6に
対して渡しており、SSOサーバ6においてもセッショ
ンオブジェクトとして登録している。これを利用するた
め、(12)では先にWWWブラウザ2に発行した一時
的なID(id)をSSOサーバ6に渡して、認証状況
の問い合わせを行う。
【0039】SSOサーバ6では、WWWアプリケーシ
ョン4からの問い合わせに応じ、セッションオブジェク
トを検索することによって受け取った一時的なIDから
利用者を割り出し、当該利用者が認証済であるか否かを
判断する。認証済であればその旨を(13)においてW
WWアプリケーション4に返す。ここでは、利用者のユ
ーザIDをWWWアプリケーション4に通知する。
【0040】WWWアプリケーション4は、SSOサー
バ6から利用者が認証済である旨の通知を受け取ると、
当該利用者をログイン済としてセッションオブジェクト
を登録する。そして(14)において、WWWブラウザ
2に対して応答メッセージを返す。具体的には応答コー
ド“200”を用い、例えば応答ヘッダ“HTTP/
1.x 200 OK”と、例えばWWWアプリケーシ
ョン4のホームページのデータをボディ部として送信す
ればよい。図8は、WWWアプリケーション4へのログ
イン時の表示画面の一例の説明図である。この例では、
WWWアプリケーション4のホームページとして、“H
ere is Application.”が表示され
ている。
【0041】この(14)の応答メッセージをWWWブ
ラウザ2に対して送信する際に、WWWアプリケーショ
ン4のみに有効な認証チケット(クッキー)をWWWブ
ラウザ2に対して発行する。図9は、WWWアプリケー
ション4への認証チケットの一例の説明図である。図9
に示す例において、“Cookie情報”中の“ドメイ
ン”欄及び“パス”欄においてWWWアプリケーション
4のドメイン及びパスが記述されており、WWWアプリ
ケーション4のみに適用される認証チケットであること
が明示されている。従って、この認証チケットでは、W
WWアプリケーション4のみ利用可能である。
【0042】以後、WWWブラウザ2からWWWアプリ
ケーション4へのアクセスが行われる際には(14)で
受け取った認証チケットがWWWアプリケーション4に
提示される。図10は、本発明の第1の実施の形態にお
けるWWWアプリケーションへの2回目以降のアクセス
を行った際の動作の一例の説明図である。図2とともに
図10を参照しながら説明してゆく。例えば上述のよう
にしてWWWアプリケーション4に対する最初のアクセ
スを行った後、(15)において利用者がWWWブラウ
ザ2に対してWWWアプリケーション4へのアクセスを
再び指示すると、(16)においてWWWブラウザ2か
らWWWアプリケーション4へ要求メッセージが渡され
る。このとき、上述の(14)で受け取った認証チケッ
トがWWWアプリケーション4に提示される。WWWア
プリケーション4では、WWWブラウザ2からのアクセ
スを受け、認証チケットを受け取ると、SSOサーバ6
への問い合わせなどを行わずに、処理部12によって要
求された処理を行い、処理結果を(17)においてWW
Wブラウザ2に返す。このようにして、以後はWWWア
プリケーション4によるサービスを受けることができ
る。
【0043】次に、今度は利用者は別のサービスとして
WWWアプリケーション5を利用したいとする。以下、
上述のようにしてWWWアプリケーション4を利用した
後に、WWWアプリケーション5を利用する場合の動作
の一例について説明してゆく。図11は、本発明の第1
の実施の形態における別のWWWアプリケーションへの
アクセスを行った際の動作の一例の説明図である。以
下、図2とともに図11を用いて説明してゆく。WWW
ブラウザ2の利用者は、WWWアプリケーション5を利
用する場合には、WWWアプリケーション5のURL
(url2)を(21)において入力し、アクセスを指
示する。するとWWWブラウザ2は、(22)において
WWWアプリケーション5へのアクセスを行う。具体的
には、例えば“GET url2 HTTP/1.x”
といった要求メッセージをWWWアプリケーション5へ
送る。
【0044】WWWアプリケーション5は、WWWブラ
ウザ2からのアクセスを受けると、WWWブラウザ2と
の間にセッションが存在するか否かを判断する。この時
点では、WWWアプリケーション5はWWWブラウザ2
との間にセッションは存在していない。この場合には、
新たに例えば一時的なIDを割り当て、セッションオブ
ジェクトとして登録しておく。
【0045】WWWアプリケーション5は、WWWブラ
ウザ2とのセッションが存在していないので、上述のよ
うに(23)において、SSOサーバ6へのリダイレク
ションをWWWブラウザ2に対して指示する。WWWブ
ラウザ2は、WWWアプリケーション5からの応答メッ
セージを受けると、自動的に(24)においてSSOサ
ーバ6に対してアクセスを行う。図12は、SSOサー
バ6へのリダイレクション時の表示画面の一例の説明図
である。WWWブラウザ2がWWWアプリケーション5
から(23)における応答メッセージを受け取ると、W
WWブラウザ2によって図12に示すような表示が行わ
れる。この表示は図4や図7と同様であるが、アドレス
欄のURLがWWWアプリケーション5のものとなって
いる。このような表示が行われても、利用者は特段の操
作を要せず、自動的にSSOサーバ6に対してのアクセ
スが行われる。
【0046】(24)において自動的に行われるWWW
ブラウザ2からWWWアプリケーション5へのアクセス
時の要求メッセージは、具体的には例えば“GET s
so+id HTTP/1.x”などのように、SSO
サーバ6のURLとともに、WWWアプリケーション5
がWWWブラウザ2に対して割り当てた一時的なID
(id)が含まれるようにしておく。
【0047】この(24)におけるWWWブラウザ2か
らWWWアプリケーション5へのアクセスの際に、WW
Wアプリケーション4を利用したときにSSOサーバ6
から(10)で受け取った認証チケット(クッキー)が
SSOサーバ6に対して提示される。SSOサーバ6で
は、WWWブラウザ2からのアクセス時に認証チケット
が提示されたことによって、当該ユーザは認証済である
とし、改めて利用者の認証を行うことはしない。従っ
て、WWWブラウザ2に対して認証フォームを送った
り、個人情報管理データベース22への問い合わせなど
は行わない。
【0048】SSOサーバ6は、提示された認証チケッ
トからユーザIDを取り出し、WWWアプリケーション
5で付与された一時的なIDとともにセッションオブジ
ェクトを登録する。そして、(25)においてWWWブ
ラウザ2に対して応答メッセージを返す。この場合も応
答メッセージはWWWアプリケーション5へのリダイレ
クションを指示する。具体的な応答メッセージは上述の
(10)と同様であり、指定するURLがWWWアプリ
ケーション5のURL(url2)となる。図13は、
WWWアプリケーション5へのリダイレクション時の表
示画面の一例の説明図である。WWWブラウザ2は、図
2,図11の(25)におけるSSOサーバ6からの応
答メッセージを受けると、図13に示すような表示がな
される。この画面は図7に示した画面とほぼ同様であ
る。
【0049】上述のリダイレクションによって、図2,
図11の(26)において、今度はWWWアプリケーシ
ョン5へのアクセスが自動的に行われる。このとき、例
えば上述の(23)においてWWWアプリケーション5
から仮のクッキーが渡されている場合には、そのクッキ
ーも送信される。WWWアプリケーション5はWWWブ
ラウザ2からのアクセスを受けると、既にセッションが
存在するか否かを判定する。クッキーが送られてくる場
合にはそのクッキーでも判断できるし、セッションオブ
ジェクトを調べることによっても判断することができ
る。この例の場合には、(22)におけるWWWブラウ
ザ2からのアクセス時のセッションが存在している。従
って(26)のアクセス時にはセッションの存在が判定
される。しかし、WWWブラウザ2は、まだWWWアプ
リケーション5の認証チケットを入試していないため、
WWWアプリケーション5には認証チケットが提示され
ない。そのため、WWWアプリケーション5は(27)
においてSSOサーバ6に対してWWWブラウザ2の利
用者の認証状況を問い合わせる。このとき、(23)で
WWWブラウザ2に発行した一時的なID(id)をS
SOサーバ6に渡して、認証状況の問い合わせを行う。
【0050】SSOサーバ6では、WWWアプリケーシ
ョン5からの問い合わせに応じ、セッションオブジェク
トを検索することによって受け取った一時的なIDから
利用者を割り出し、当該利用者が認証済であるか否かを
判断する。認証済であればその旨を(28)においてW
WWアプリケーション5に返す。ここでは、利用者のユ
ーザIDをWWWアプリケーション5に通知する。
【0051】WWWアプリケーション5は、SSOサー
バ6から利用者が認証済である旨の通知を受け取ると、
当該利用者をログイン済としてセッションオブジェクト
を登録する。そして(29)において、WWWブラウザ
2に対して応答メッセージを返す。このとき、例えばW
WWアプリケーション5のホームページのデータをボデ
ィ部として送信する。図14は、WWWアプリケーショ
ン5へのログイン時の表示画面の一例の説明図である。
この例では、WWWアプリケーション5のホームページ
として、“Here is Applicatio
n.”が表示されている。図8と比べ、アドレス欄が
“Application2”となっており、WWWア
プリケーション4ではなくWWWアプリケーション5か
らのものである。
【0052】この(29)の応答メッセージをWWWブ
ラウザ2に対して送信する際に、WWWアプリケーショ
ン5のみに有効な認証チケット(クッキー)をWWWブ
ラウザ2に対して発行する。図15は、WWWアプリケ
ーション5への認証チケットの一例の説明図である。図
15に示す例において、“Cookie情報”中の“ド
メイン”欄及び“パス”欄においてWWWアプリケーシ
ョン5のドメイン及びパスが記述されており、WWWア
プリケーション5のみに適用される認証チケットである
ことが明示されている。図9に示したWWWアプリケシ
ョン4への認証チケットと比べて、これらの欄の記述が
異なっていることによって、各認証チケットはそれぞれ
のWWWアプリケーション毎に適用されることになる。
従って図15に示す認証チケットは、WWWアプリケー
ション5のみ利用可能である。
【0053】以後、WWWブラウザ2からWWWアプリ
ケーション5へのアクセスが行われる際には(29)で
受け取った認証チケットがWWWアプリケーション5に
提示される。例えば上述のようにしてWWWアプリケー
ション5に対する最初のアクセスを行った後、(30)
において利用者がWWWブラウザ2に対してWWWアプ
リケーション5へのアクセスを再び指示すると、(3
1)においてWWWブラウザ2からWWWアプリケーシ
ョン5へ要求メッセージが渡される。このとき、上述の
(29)で受け取った認証チケットがWWWアプリケー
ション5に提示される。WWWアプリケーション5で
は、WWWブラウザ2からのアクセスを受け、認証チケ
ットを受け取ると、SSOサーバ6への問い合わせなど
を行わずに、処理部12によって要求された処理を行
い、処理結果を(32)においてWWWブラウザ2に返
す。このようにして、以後はWWWアプリケーション5
によるサービスを受けることができる。
【0054】このように、最初にWWWアプリケーショ
ンのサービスを受ける際には、ユーザIDやパスワード
などの入力を行い、SSOサーバ6による認証を行う。
しかし、その後の当該WWWアプリケーションの利用、
及び、他のWWWアプリケーションの利用に際しては、
ユーザIDやパスワードの入力を必要としない。従っ
て、シングルサインオンを実現することができた。
【0055】また、上述のように、本発明では各WWW
アプリケーションがそれぞれ認証チケットを発行する。
例えばWWWアプリケーション4は、WWWアプリケー
ション4に対してのみ適用される認証チケットを発行
し、またWWWアプリケーション5は、WWWアプリケ
ーション5のみに適用される認証チケットを発行する。
そのため、従来のように認証チケットが広範囲に漏れる
といった問題を防止することができ、安全に通信を行う
ことができる。
【0056】上述の動作例では、WWWブラウザ2から
WWWアプリケーション4,5を利用する場合について
示したが、WWWブラウザ3からWWWアプリケーショ
ン4,5を利用する場合も同様である。
【0057】また、上述の動作例では、WWWブラウザ
2からWWWアプリケーション4やWWWアプリケーシ
ョン5へ最初にアクセスしたときに、SSOサーバ6に
対してリダイレクションによりWWWブラウザ2からア
クセスするようにした。本発明はこれに限られるもので
はなく、例えば利用者が自発的にWWWブラウザ2から
SSOサーバ6に対してアクセスして認証を行い、その
後、利用したいWWWアプリケーションへアクセスする
ようにしてもよい。その場合には、WWWアプリケーシ
ョンへの最初のアクセス時にWWWアプリケーションか
らSSOサーバへ利用者の認証状況を問い合わせ、認証
済であれば各WWWアプリケーションが認証チケットを
発行すればよい。
【0058】なお、図6,図9,図15にも示したよう
に、認証チケットには有効期限を指定することができ、
これらの例ではセッションの終了とともに認証チケット
は削除されて利用できなくなる。この有効期限として例
えば時間を指定すれば、指定した時間内だけ有効な認証
チケットを発行することもできる。
【0059】しかし、時間を指定したとしても、WWW
ブラウザとWWWアプリケーションは、数十分〜数時間
の間、同一の認証チケットを使い続けることになり、何
回もWWWブラウザからWWWアプリケーションに対し
て認証チケットが送信される。そのため、通信経路の途
中で認証チケットを盗み(コピーし)、なりすましによ
って悪用されることが考えられる。
【0060】このような問題を解決するため、例えばW
WWブラウザ−SSOサーバ間や、WWWブラウザ−W
WWアプリケーション間の通信にCHAP(Chall
enge Handshake Authentica
tion Protocol)を導入することができ
る。すなわち、SSOサーバ6やWWWアプリケーショ
ン4,5からWWWブラウザ2,3に対して毎回異なる
情報Cを送り、WWWブラウザ2,3から要求メッセー
ジをSSOサーバ6やWWWアプリケーション4,5に
送る際には所定の関数fによりCを変換した値f(C)
を含めて送る。SSOサーバ6やWWWアプリケーショ
ン4,5では、変換値f(C)が正しいか否かを判断す
ればよい。例えば情報Cを盗んでも、関数fが分からな
い限り、正しい変換値を送信することができない。ま
た、変換値f(C)を盗んでも、情報Cを変更してゆく
ことによって、なりすましを防止することができる。
【0061】すなわち,ネットワーク盗聴により,認証
チケットを盗むことは可能であるが、CHAPが提供す
るセキュリティレベルで、WWWブラウザ−WWWサー
バ間、WWWブラウザ−WWWアプリケーション間の通
信をセキュアに行うことができる。
【0062】さらに、WWWブラウザ−SSOサーバ間
や、WWWブラウザ−WWWアプリケーション間の通信
にSSL認証を導入することもできる。すなわち、SS
L認証が提供するセキュリティレベルで、WWWブラウ
ザ−SSOサーバ間及びWWWブラウザ−WWWアプリ
ケーション間の通信をセキュアに行うことができるた
め、認証チケットの盗用そのものを防ぐことができる。
SSL認証にはサーバ認証とクライアント認証がある
が、HTTPレベルでの暗号通信により認証チケット
(クッキー)の盗聴を防げればよいので、コスト的に安
価なサーバ認証であっても十分対応することが可能であ
る。
【0063】図16は、本発明の第2の実施の形態を示
すシステム構成図である。図中、図1と同様の部分には
同じ符号を付して説明を省略する。23はケイパビリテ
ィ管理データベースである。なお、この第2の実施の形
態は、ケイパビリティ管理データベース23を利用する
以外は上述の第1の実施の形態と同様であり、動作例に
ついても同様の説明を省略する。
【0064】ケイパビリティ管理データベース23は、
利用者毎に、各WWWアプリケーションが提供している
サービスのうちいずれを利用可能であるかを示す情報で
ある。図17は、ケイパビリティ管理データベースの内
容の一例の説明図である。図17に示すケイパビリティ
管理データベース23の例では、M人の利用者毎に、N
個のそれぞれのWWWアプリケーションについて、それ
ぞれのWWWアプリケーションが提供しているサービス
について、利用の可否を最右欄の‘1’または‘0’に
よって示している。すなわち、ユーザID“usr_
1”のユーザは、WWWアプリケーション“apl_
1”が提供するP個のサービス“func_1”〜“f
unc_P”について、“func_1”は利用できる
が“func_2”は利用できず、…、“func_
P”は利用することができる。他のWWWアプリケーシ
ョン、他の利用者についても同様である。なお、このケ
イパビリティ管理データベース23をSSOサーバ6と
は別のサーバにより構成することも可能である。
【0065】認証部21は、WWWアプリケーション
4,5から利用者の認証状況について問い合わせを受け
た際に、利用者のユーザID及び問い合わせを受けたW
WWアプリケーションに基づいてケイパビリティ管理デ
ータベース23に問い合わせを行う。これによって例え
ば図17に示すケイパビリティ管理データベース23の
例における最右欄の‘1’、‘0’のケイパビリティ情
報を受け取り、これをWWWアプリケーションに対して
返す。WWWアプリケーションでは、受け取ったケイパ
ビリティ情報をもとに、利用者に対してサービスを提供
してよいか否かを判断すればよい。
【0066】例えば図2に示した動作例におけるシーケ
ンス図において、(12)や(27)におけるWWWア
プリケーションからSSOサーバへの問い合わせ時に、
上述のケイパビリティ管理データベース23を利用して
提供可能なサービスを判断すればよい。判断の結果は、
(13)や(28)においてSSOサーバからWWWア
プリケーションへ返せばよい。
【0067】あるいは、WWWアプリケーション4,5
が利用者に新たなサービスを提供する毎に、当該サービ
スを指定してSSOサーバ6に対して認証状況の問い合
わせを行ってもよい。この場合、認証部21は利用者が
認証済であっても指定されたサービスの提供を許されて
いない場合には、問い合わせ元のWWWアプリケーショ
ンに対して否定応答を行えばよい。
【0068】図18は、本発明の第3の実施の形態を示
すシステム構成図である。図中、図16と同様の部分に
は同じ符号を付して説明を省略する。24はライセンス
情報管理データベースである。なお、この第3の実施の
形態は、ライセンス情報管理データベース24を利用す
る以外は上述の第1及び第2の実施の形態と同様であ
り、動作例についても同様の説明を省略する。
【0069】ライセンス情報管理データベース24は、
WWWアプリケーション毎のライセンス情報を保持して
おり、認証部21からの問い合わせに応じてライセンス
の有無を通知する。なお、このライセンス情報管理デー
タベース24をSSOサーバ6とは別のサーバにより構
成することも可能である。
【0070】認証部21は、WWWアプリケーション
4,5から利用者の認証状況について問い合わせを受け
た際に、利用者のユーザID及び問い合わせを受けたW
WWアプリケーションに基づいてライセンス情報管理デ
ータベース24に問い合わせを行う。これによって、当
該利用者が問い合わせ元のWWWアプリケーションに対
してライセンスを有しているか否かを判断する。例えば
利用者が個人情報管理データベース22による認証が終
了している場合でも、利用しようとしたWWWアプリケ
ーションについてのライセンスを有していなければ、問
い合わせ元のWWWアプリケーションに対して否定応答
を行う。さらに、ライセンスに違反する利用が発生した
際に、当該WWWアプリケーションのベンダにその旨を
通知するように構成することもできる。
【0071】例えば図2に示した動作例におけるシーケ
ンス図において、(12)や(27)におけるWWWア
プリケーションからSSOサーバへの問い合わせ時に、
上述のライセンス情報管理データベース24を利用して
ライセンス認証を行うように構成することができる。ラ
イセンス認証の結果は、(13)や(28)においてS
SOサーバからWWWアプリケーションへ返せばよい。
また、ライセンス認証のために利用者に対して入力を要
求する場合には、SSOサーバ6からWWWブラウザに
対して入力フォームを送信して入力情報を受け取ればよ
い。
【0072】なお、上述の第2の実施の形態で述べたよ
うに、ケイパビリティ管理データベース23を利用した
ケイパビリティのチェックについても行うことができ
る。すなわち、WWWアプリケーションからの問い合わ
せ時に、個人認証とともに、利用するWWWアプリケー
ションに対するライセンス認証、さらにWWWアプリケ
ーション内で利用可能なサービスに対するケイパビリテ
ィチェックを合わせて行うことができる。
【0073】図19は、本発明の第4の実施の形態を示
すシステム構成図である。図中、31はネットワーク、
32,33はWWWブラウザ、34,35は処理システ
ム、41,42,51,52,53はWWWアプリケー
ション、43,54はSSOサーバである。この実施の
形態では、複数のSSOサーバを利用する場合の一構成
例を示している。なお、ネットワーク31,WWWブラ
ウザ32,33、WWWアプリケーション41,42,
51,52,53、SSOサーバ43,54は、それぞ
れ、図1に示した第1の実施の形態におけるネットワー
ク1、WWWブラウザ2,3、WWWアプリケーション
4,5、SSOサーバ6と同等のものであり、これらの
詳細な説明は省略する。また、SSOサーバ6の構成
は、上述の第1ないし第3の実施の形態におけるいずれ
の構成であってもよい。なお、各部の動作についても上
述の第1の実施の形態等と同様である。
【0074】上述の各実施の形態においては、1つのS
SOサーバのみしか設けていないが、システム内に複数
のSSOサーバを設置することも可能である。このと
き、上述の動作例でも分かるように、WWWアプリケー
ションとSSOサーバとの間で利用者の認証状況の問い
合わせとその応答を行うため、なるべく安全に通信でき
ることが望ましい。そのため、サービスを提供するWW
WアプリケーションとSSOサーバとを同じドメイン内
など、同じ処理システム内に配置することが考えられ
る。
【0075】図19に示した例では、2つの処理システ
ム34,35を示しており、処理システム34にはWW
Wアプリケーション41,42及びSSOサーバ43を
設け、処理システム35にはWWWアプリケーション5
1,52,53とSSOサーバ54を設けている。それ
ぞれの処理システム34,35とも、ネットワーク31
を通じてWWWブラウザ32,33などからのアクセス
を受けることができる。
【0076】処理システム34では、WWWアプリケー
ション41,42にWWWブラウザ32,33等から最
初のアクセスがあると、SSOサーバ43に対してリダ
イレクションによる認証を依頼し、またその後の利用者
の認証状況の問い合わせもSSOサーバ43に対して行
う。これによって、WWWアプリケーション41,42
とSSOサーバ43との間の通信は、SSOサーバ43
が外部に存在する場合に比べて安全に行うことができ
る。
【0077】一方、処理システム35でも、WWWアプ
リケーション51,52,53にWWWブラウザ32,
33等から最初のアクセスがあると、SSOサーバ54
に対してリダイレクションによる認証を依頼し、またそ
の後の利用者の認証状況の問い合わせもSSOサーバ5
4に対して行う。これによって、WWWアプリケーショ
ン51,52,53とSSOサーバ54との間の通信
は、SSOサーバ54が外部に存在する場合に比べて安
全に行うことができる。
【0078】しかしこのままでは、例えばSSOサーバ
43において認証を受けた利用者は、WWWアプリケー
ション41,42については1回の認証(ユーザID及
びパスワードの入力)を行うだけでいずれを利用するこ
とも可能である。しかし、アプリケーション51,5
2,53を利用する場合には、アプリケーション51,
52,53からリダイレクションによりSSOサーバ5
4がアクセスされたときに未ログインの利用者として扱
われ、再度の認証(ユーザID及びパスワードの入力)
を行う必要が生じる。しかし、利用者にとっては利用す
るサービスによって認証(ユーザID及びパスワードの
入力)が必要になるため、シングルサインオンの利便性
が低下してしまう。
【0079】このような問題を解決するため、SSOサ
ーバ43とSSOサーバ54との間でログイン済の利用
者の情報を共有するように構成するとよい。具体的に
は、図19において矢線で示すように、SSOサーバ4
3とSSOサーバ54との間でログインした利用者の情
報を転送し合い、一方のSSOサーバで認証を行った場
合でも、いずれのSSOサーバも当該利用者を認証済と
して扱えるように構成することができる。あるいは、認
証済の利用者の情報を保持する認証済サーバを設け、い
ずれかのSSOサーバで認証を行ったら認証済サーバへ
の登録を行い、認証状況の問い合わせを受けた場合には
認証済サーバへの問い合わせを行うように構成すること
もできる。いずれの場合にも、SSOサーバ間あるいは
SSOサーバと認証済サーバ間の通信は、安全に行われ
る必要がある。
【0080】図19に示した例では、処理システムが2
つの例を示しているが、もちろん処理システムは2つに
限られるものではない。なお、処理システムはネットワ
ーク上の概念的なものであって、実際の装置構成とは異
なっている場合もある。例えば処理システム34と処理
システム35が同じコンピュータシステム内で実現され
ることもあるし、それぞれ異なるコンピュータで構成さ
れ、異なる場所に設置されることもあり、実現形態は任
意である。
【0081】
【発明の効果】以上の説明から明らかなように、本発明
によれば、シングルサインオンを実現するとともに、認
証チケットが広範囲に漏れることによるなりすましのア
クセスを防止することができ、安全に通信を行うことが
できるという効果がある。また、CHAPやSSLなど
を利用することによって、認証チケットそのものの盗用
を防止し、さらに安全に通信を行うことができるという
効果がある。
【図面の簡単な説明】
【図1】 本発明の第1の実施の形態を示すシステム構
成図である。
【図2】 本発明の第1の実施の形態における動作の一
例を示すシーケンス図である。
【図3】 本発明の第1の実施の形態においてWWWア
プリケーションへの最初のアクセスを行った際の動作の
一例の説明図である。
【図4】 SSOサーバ6へのリダイレクション時の表
示画面の一例の説明図である。
【図5】 認証フォーム画面の一例の説明図である。
【図6】 SSOサーバ6への認証チケットの一例の説
明図である。
【図7】 WWWアプリケーション4へのリダイレクシ
ョン時の表示画面の一例の説明図である。
【図8】 WWWアプリケーション4へのログイン時の
表示画面の一例の説明図である。
【図9】 WWWアプリケーション4への認証チケット
の一例の説明図である。
【図10】 本発明の第1の実施の形態におけるWWW
アプリケーションへの2回目以降のアクセスを行った際
の動作の一例の説明図である。
【図11】 本発明の第1の実施の形態における別のW
WWアプリケーションへのアクセスを行った際の動作の
一例の説明図である。
【図12】 SSOサーバ6へのリダイレクション時の
表示画面の一例の説明図である。
【図13】 WWWアプリケーション5へのリダイレク
ション時の表示画面の一例の説明図である。
【図14】 WWWアプリケーション5へのログイン時
の表示画面の一例の説明図である。
【図15】 WWWアプリケーション5への認証チケッ
トの一例の説明図である。
【図16】 本発明の第2の実施の形態を示すシステム
構成図である。
【図17】 ケイパビリティ管理データベースの内容の
一例の説明図である。
【図18】 本発明の第3の実施の形態を示すシステム
構成図である。
【図19】 本発明の第4の実施の形態を示すシステム
構成図である。
【符号の説明】
1…ネットワーク、2,3…WWWブラウザ、4,5…
WWWアプリケーション、6…SSOサーバ、11…通
信制御部、12…処理部、21…認証部、22…個人情
報管理データベース、23…ケイパビリティ管理データ
ベース、24…ライセンス情報管理データベース、31
…ネットワーク、32,33…WWWブラウザ、34,
35…処理システム、41,42,51,52,53…
WWWアプリケーション、43,54…SSOサーバ。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 廣瀬 陽一 神奈川県川崎市高津区坂戸3丁目2番1号 KSP R&D ビジネスパークビル 富士ゼロックス株式会社内 (72)発明者 近藤 勝行 神奈川県川崎市高津区坂戸3丁目2番1号 KSP R&D ビジネスパークビル 富士ゼロックス株式会社内 Fターム(参考) 5B085 AE01 BA06 BC01 BG02 BG07 5J104 AA07 KA01 PA07

Claims (23)

    【特許請求の範囲】
  1. 【請求項1】 ネットワークを通じて行われるクライア
    ントからの要求に応じてサービスを提供するネットワー
    ク装置において、要求されたサービスを提供する処理手
    段と、未ログインのクライアントからのアクセスを受け
    た際に認証サーバに問い合わせて認証済であれば当該ネ
    ットワーク装置へのアクセスのための認証チケットを発
    行しログイン済のクライアントからのアクセスを受けた
    際には前記認証チケットを受け取って前記処理手段にサ
    ービスを行わせる通信制御手段を有することを特徴とす
    るネットワーク装置。
  2. 【請求項2】 前記通信制御手段は、クライアントとの
    セッションが存在しない時点でのクライアントからのア
    クセスを受けた場合に前記認証サーバに対してクライア
    ントの認証を依頼することを特徴とする請求項1に記載
    のネットワーク装置。
  3. 【請求項3】 前記通信制御手段は、前記認証サーバに
    対するクライアントの認証の依頼として、前記クライア
    ントに対して前記認証サーバへのリダイレクションを指
    示し、前記クライアントから前記認証サーバへアクセス
    させることを特徴とする請求項2に記載のネットワーク
    装置。
  4. 【請求項4】 前記通信制御手段は、セッションは存在
    するが未ログインのクライアントからのアクセスを受け
    た場合に前記認証サーバに対して認証済か否かの問い合
    わせを行うことを特徴とする請求項1ないし請求項3の
    いずれか1項に記載のネットワーク装置。
  5. 【請求項5】 前記通信制御手段は、前記クライアント
    との間の通信をCHAPにより行うことを特徴とする請
    求項1ないし請求項4のいずれか1項に記載のネットワ
    ーク装置。
  6. 【請求項6】 前記通信制御手段は、前記クライアント
    との間の通信をSSL認証により行うことを特徴とする
    請求項1ないし請求項5のいずれか1項に記載のネット
    ワーク装置。
  7. 【請求項7】 クライアントに対して提供されるサービ
    スに代わって前記クライアントの認証を行う認証サーバ
    において、クライアントの認証情報を保持する認証情報
    データベースと、クライアントの認証要求を受けて前記
    クライアントの認証を行うとともに前記サービスからの
    要求に対して前記クライアントの認証の有無を返す認証
    手段を有し、前記認証手段は、前記クライアントが未認
    証の場合には前記クライアントに対して認証フォームを
    送信して入力情報を受け取り、前記入力情報に基づいて
    前記認証情報データベースへの問い合わせを行って前記
    クライアントの認証を行い、前記クライアントが既に認
    証済である場合には前記クライアントに対する問い合わ
    せを行わないことを特徴とする認証サーバ。
  8. 【請求項8】 前記認証手段は、前記ネットワーク装置
    からのリダイレクトにより前記クライアントの認証要求
    を受けるとともに、前記サービスから直接前記クライア
    ントの認証の有無の要求を受けることを特徴とする請求
    項7に記載の認証サーバ。
  9. 【請求項9】 さらに、クライアントに対して提供可能
    な前記サービス中の機能を管理するケイパビリティ情報
    データベースを有し、前記認証手段は、前記サービスか
    らの要求に対して前記クライアントの認証の有無ととも
    に前記ケイパビリティ情報データベースを用いて前記サ
    ービス中の機能の利用の可否を判断することを特徴とす
    る請求項7または請求項8に記載の認証サーバ。
  10. 【請求項10】 さらに、クライアントのライセンス情
    報を管理するライセンス情報管理データベースを有し、
    前記認証手段は、前記サービスにおいてライセンス認証
    が必要な場合に前記ライセンス情報管理データベースを
    用いてクライアントのライセンス認証を行うことを特徴
    とする請求項7ないし請求項9のいずれか1項に記載の
    認証サーバ。
  11. 【請求項11】 前記認証手段は、前記クライアントと
    の間の通信をCHAPにより行うことを特徴とする請求
    項7ないし請求項10のいずれか1項に記載の認証サー
    バ。
  12. 【請求項12】 前記認証手段は、前記クライアントと
    の間の通信をSSL認証により行うことを特徴とする請
    求項7ないし請求項11のいずれか1項に記載の認証サ
    ーバ。
  13. 【請求項13】 ネットワークを通じて行われるクライ
    アントからの要求に応じてサービスを提供するネットワ
    ーク装置と、ネットワークを通じて前記クライアントの
    認証を行う認証サーバを含み、前記ネットワーク装置
    は、未ログインのクライアントからのアクセスを受けた
    際に前記認証サーバに問い合わせて認証済であれば当該
    ネットワーク装置へのアクセスのための認証チケットを
    発行し、またログイン済のクライアントからのアクセス
    時には前記認証チケットを受け取ってサービスを提供す
    るものであり、前記認証サーバは、前記クライアントの
    認証要求に対して、前記クライアントが未認証の場合に
    は前記クライアントに対して認証フォームを送信して入
    力情報を受け取り、前記入力情報に基づいて前記クライ
    アントの認証を行い、前記クライアントが既に認証済で
    ある場合には前記クライアントに対する問い合わせを行
    わず、以後の前記ネットワーク装置からの前記クライア
    ントの問い合わせに応じて認証状況を返すことを特徴と
    するネットワークシステム。
  14. 【請求項14】 前記認証サーバは、前記ネットワーク
    装置からの問い合わせに応じて前記クライアントに対し
    て提供可能な前記サービス中の機能についての判断につ
    いても行うことを特徴とする請求項13に記載のネット
    ワークシステム。
  15. 【請求項15】 前記認証サーバは、前記ネットワーク
    装置においてライセンス認証が必要な場合にクライアン
    トのライセンス認証を行うことを特徴とする請求項13
    または請求項14に記載のネットワークシステム。
  16. 【請求項16】 前記ネットワーク装置及び前記認証サ
    ーバは、前記クライアントとの間の通信をCHAPによ
    り行うことを特徴とする請求項13ないし請求項15の
    いずれか1項に記載のネットワークシステム。
  17. 【請求項17】 前記ネットワーク装置及び前記認証サ
    ーバは、前記クライアントとの間の通信をSSL認証に
    より行うことを特徴とする請求項13ないし請求項16
    のいずれか1項に記載のネットワークシステム。
  18. 【請求項18】 ネットワークを通じて行われるクライ
    アントからの要求に応じて複数のサービスを提供するネ
    ットワークシステムにおける認証方法において、前記サ
    ービスに未ログインのクライアントが前記サービスにア
    クセスすると、前記サービスは前記クライアントに認証
    サーバによる認証を受けさせ、前記認証サーバによる前
    記クライアントの認証後に前記サービスは前記認証サー
    バに対して前記クライアントの認証結果を問い合わせて
    認証済であれば前記クライアントに当該サービスを利用
    する際の認証チケットを発行し、以後、前記クライアン
    トから前記認証チケットの提示を受けてサービスの提供
    を行うことを特徴とする認証方法。
  19. 【請求項19】 同じクライアントが別のサービスにア
    クセスした場合には、前記認証サーバによる前記クライ
    アントの認証を行わずに、前記別のサービスから前記ク
    ライアントの認証結果の問い合わせに対して前記認証サ
    ーバが認証済を返し、前記別のサービスが当該別のサー
    ビスを利用する際の認証チケットを発行することを特徴
    とする請求項18に記載の認証方法。
  20. 【請求項20】 前記サービスからのクライアントの認
    証結果の問い合わせに対して、認証サーバにおいて前記
    クライアントに対して提供可能な前記サービス中の機能
    についての判断も行うことを特徴とする請求項18また
    は請求項19に記載の認証方法。
  21. 【請求項21】 前記サービスにおいてライセンス認証
    が必要な場合にクライアントのライセンス認証を行うこ
    とを特徴とする請求項18ないし請求項20のいずれか
    1項に記載の認証方法。
  22. 【請求項22】 前記クライアントと前記サービス及び
    前記クライアントと前記認証サーバとの間の通信をCH
    APにより行うことを特徴とする請求項18ないし請求
    項21のいずれか1項に記載の認証方法。
  23. 【請求項23】 前記クライアントと前記サービス及び
    前記クライアントと前記認証サーバとの間の通信をSS
    L認証により行うことを特徴とする請求項18ないし請
    求項22のいずれか1項に記載の認証方法。
JP2002095755A 2002-03-29 2002-03-29 ネットワーク装置、認証サーバ、ネットワークシステム、認証方法 Pending JP2003296277A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002095755A JP2003296277A (ja) 2002-03-29 2002-03-29 ネットワーク装置、認証サーバ、ネットワークシステム、認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002095755A JP2003296277A (ja) 2002-03-29 2002-03-29 ネットワーク装置、認証サーバ、ネットワークシステム、認証方法

Publications (2)

Publication Number Publication Date
JP2003296277A true JP2003296277A (ja) 2003-10-17
JP2003296277A5 JP2003296277A5 (ja) 2005-08-18

Family

ID=29387297

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002095755A Pending JP2003296277A (ja) 2002-03-29 2002-03-29 ネットワーク装置、認証サーバ、ネットワークシステム、認証方法

Country Status (1)

Country Link
JP (1) JP2003296277A (ja)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005015422A1 (ja) * 2003-08-11 2005-02-17 Sony Corporation 認証方法、認証システム及び認証サーバ
JP2007019755A (ja) * 2005-07-06 2007-01-25 Ntt Docomo Inc 分散認証アクセス制御システム
JP2007060539A (ja) * 2005-08-26 2007-03-08 Mitsubishi Electric Corp 証明書検証システム
KR100754199B1 (ko) 2005-02-11 2007-09-03 삼성전자주식회사 네트워크 내 단일 사용승인 방법 및 시스템
JP2007334411A (ja) * 2006-06-12 2007-12-27 Fuji Xerox Co Ltd 制御プログラムおよび通信システム
JP2008506139A (ja) * 2004-07-09 2008-02-28 松下電器産業株式会社 ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法
JP2008524755A (ja) * 2004-12-21 2008-07-10 サンディスク コーポレーション パーティション化による多目的コンテンツ制御
JP2009217430A (ja) * 2008-03-10 2009-09-24 Kddi Corp 認証システム
JP2009271817A (ja) * 2008-05-09 2009-11-19 Canon Software Inc 情報処理システム、情報処理方法、プログラム、及び、記録媒体
JP2010086508A (ja) * 2008-10-01 2010-04-15 Avermedia Technologies Inc ネットワーク認証方法およびその応用
JP2010225078A (ja) * 2009-03-25 2010-10-07 Nec Corp 認証方法及びその認証システム並びにその認証処理プログラム
US7975293B2 (en) 2007-05-16 2011-07-05 Konica Minolta Holdings, Inc. Authentication system, authentication method and terminal device
US8082323B2 (en) 2006-12-21 2011-12-20 Canon Kabushiki Kaisha Monitoring host apparatus, image forming apparatus, and access control method for access to their web pages
JP2013037708A (ja) * 2012-09-19 2013-02-21 Casio Comput Co Ltd 電子機器及びプログラム
JP2013097744A (ja) * 2011-11-05 2013-05-20 Kyocera Document Solutions Inc 疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システム
WO2014008858A1 (zh) * 2012-07-12 2014-01-16 腾讯科技(深圳)有限公司 实现跨域跳转的方法以及浏览器、域名服务器
JP2014044670A (ja) * 2012-08-28 2014-03-13 Kddi Corp オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム
US8874903B2 (en) 2008-10-31 2014-10-28 Brother Kogyo Kabushiki Kaisha Network device and computer readable medium therefor
JP2015535984A (ja) * 2012-09-19 2015-12-17 セキュアオース コーポレイションSecureauth Corporation モバイルマルチシングルサインオン認証
US9294484B2 (en) 2012-10-31 2016-03-22 Ricoh Company, Ltd. System, service providing device, and service providing method
JP2018129852A (ja) * 2012-09-22 2018-08-16 グーグル エルエルシー スマートホームデバイスおよびクラウドベースのサーバーの間の通信を円滑にするための多層認証方法
JP2018538592A (ja) * 2015-10-02 2018-12-27 ベリタス テクノロジーズ エルエルシー アプライアンスセキュアシェルのためのシングルサインオン方法

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7802295B2 (en) 2003-08-11 2010-09-21 Sony Corporation Authentication method, authentication system, and authentication server
WO2005015422A1 (ja) * 2003-08-11 2005-02-17 Sony Corporation 認証方法、認証システム及び認証サーバ
JP2008506139A (ja) * 2004-07-09 2008-02-28 松下電器産業株式会社 ユーザ認証及びサービス承認を管理し、シングル・サイン・オンを実現して、複数のネットワーク・インタフェースにアクセスするためのシステム及び方法
JP2008524755A (ja) * 2004-12-21 2008-07-10 サンディスク コーポレーション パーティション化による多目的コンテンツ制御
JP4857283B2 (ja) * 2004-12-21 2012-01-18 サンディスク コーポレーション パーティション化による多目的コンテンツ制御
KR100754199B1 (ko) 2005-02-11 2007-09-03 삼성전자주식회사 네트워크 내 단일 사용승인 방법 및 시스템
JP2007019755A (ja) * 2005-07-06 2007-01-25 Ntt Docomo Inc 分散認証アクセス制御システム
JP2007060539A (ja) * 2005-08-26 2007-03-08 Mitsubishi Electric Corp 証明書検証システム
JP2007334411A (ja) * 2006-06-12 2007-12-27 Fuji Xerox Co Ltd 制御プログラムおよび通信システム
US8082323B2 (en) 2006-12-21 2011-12-20 Canon Kabushiki Kaisha Monitoring host apparatus, image forming apparatus, and access control method for access to their web pages
US7975293B2 (en) 2007-05-16 2011-07-05 Konica Minolta Holdings, Inc. Authentication system, authentication method and terminal device
JP2009217430A (ja) * 2008-03-10 2009-09-24 Kddi Corp 認証システム
JP4760842B2 (ja) * 2008-03-10 2011-08-31 Kddi株式会社 認証システム
JP2009271817A (ja) * 2008-05-09 2009-11-19 Canon Software Inc 情報処理システム、情報処理方法、プログラム、及び、記録媒体
JP2010086508A (ja) * 2008-10-01 2010-04-15 Avermedia Technologies Inc ネットワーク認証方法およびその応用
US8874903B2 (en) 2008-10-31 2014-10-28 Brother Kogyo Kabushiki Kaisha Network device and computer readable medium therefor
JP2010225078A (ja) * 2009-03-25 2010-10-07 Nec Corp 認証方法及びその認証システム並びにその認証処理プログラム
JP2013097744A (ja) * 2011-11-05 2013-05-20 Kyocera Document Solutions Inc 疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システム
WO2014008858A1 (zh) * 2012-07-12 2014-01-16 腾讯科技(深圳)有限公司 实现跨域跳转的方法以及浏览器、域名服务器
US9686344B2 (en) 2012-07-12 2017-06-20 Tencent Technology (Shenzhen) Company Limited Method for implementing cross-domain jump, browser, and domain name server
JP2014044670A (ja) * 2012-08-28 2014-03-13 Kddi Corp オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム
JP2013037708A (ja) * 2012-09-19 2013-02-21 Casio Comput Co Ltd 電子機器及びプログラム
JP2015535984A (ja) * 2012-09-19 2015-12-17 セキュアオース コーポレイションSecureauth Corporation モバイルマルチシングルサインオン認証
JP2018129852A (ja) * 2012-09-22 2018-08-16 グーグル エルエルシー スマートホームデバイスおよびクラウドベースのサーバーの間の通信を円滑にするための多層認証方法
US9294484B2 (en) 2012-10-31 2016-03-22 Ricoh Company, Ltd. System, service providing device, and service providing method
JP2018538592A (ja) * 2015-10-02 2018-12-27 ベリタス テクノロジーズ エルエルシー アプライアンスセキュアシェルのためのシングルサインオン方法

Similar Documents

Publication Publication Date Title
JP2003296277A (ja) ネットワーク装置、認証サーバ、ネットワークシステム、認証方法
KR100800339B1 (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
US7296077B2 (en) Method and system for web-based switch-user operation
US8006289B2 (en) Method and system for extending authentication methods
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
US8719899B2 (en) Seamless cross-site user authentication status detection and automatic login
US7080077B2 (en) Localized access
US9143502B2 (en) Method and system for secure binding register name identifier profile
JP5357246B2 (ja) 統合認証のためのシステム、方法およびプログラム製品
US8418234B2 (en) Authentication of a principal in a federation
US6871213B1 (en) System and method for web co-navigation with dynamic content including incorporation of business rule into web document
US7356833B2 (en) Systems and methods for authenticating a user to a web server
US7673045B1 (en) Multiple site automated logout
JP2003022253A (ja) サーバ、情報処理装置及びそのアクセス制御システム並びにその方法
EP0940960A1 (en) Authentication between servers
US20060059546A1 (en) Single sign-on identity and access management and user authentication method and apparatus
US20020120599A1 (en) Post data processing
US20070056025A1 (en) Method for secure delegation of trust from a security device to a host computer application for enabling secure access to a resource on the web
JP2002334056A (ja) ログイン代行システム及びログイン代行方法
Zhao WebEntree: A Web service aggregator
JP2002007345A (ja) ユーザ認証方法
CN113411324B (zh) 基于cas与第三方服务器实现登录认证的方法和系统
JP3528065B2 (ja) コンピュータネットワーク上の対話継承型アクセス制御方法
JP2004078622A (ja) ユーザ認証の統合管理
JP2004334395A (ja) シングルサインオン認証方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050131

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050131

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081001

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081211

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090114