JP2006065712A - Integrated authentication method and apparatus, and program for integrated authentication - Google Patents
Integrated authentication method and apparatus, and program for integrated authentication Download PDFInfo
- Publication number
- JP2006065712A JP2006065712A JP2004249486A JP2004249486A JP2006065712A JP 2006065712 A JP2006065712 A JP 2006065712A JP 2004249486 A JP2004249486 A JP 2004249486A JP 2004249486 A JP2004249486 A JP 2004249486A JP 2006065712 A JP2006065712 A JP 2006065712A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- integrated
- application software
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
本発明は、複数のアプリケーションソフトウェアを利用するユーザの認証を統合して実行する統合認証方法、統合認証装置および統合認証方法を実行するプログラムに関する。 The present invention relates to an integrated authentication method, an integrated authentication apparatus, and a program for executing an integrated authentication method that integrate and execute authentication of users who use a plurality of application software.
既存のアプリケーションソフトウェアにおいて、ユーザ認証やアクセス制御の仕組みを備えるものがある。また、共通の情報処理システムで複数のアプリケーションソフトウェアを使用する場合がある。 Some existing application software has a mechanism for user authentication and access control. In addition, a plurality of application software may be used in a common information processing system.
特許文献1には、ソフトウェアのライセンスを保護するためのソフトウェアライセンス認証システムが記載されている。 Patent Document 1 describes a software license authentication system for protecting software licenses.
しかし、複数のアプリケーションソフトウェアを共通の情報処理システムで取り扱う場合、アプリケーションソフトウェアによってユーザ認証の仕組みの有無や、アクセス制御の有無あるいは方式が異なるため、アプリケーションソフトウェアごとに個別のユーザ認証が必要となるとともに、適切なアクセス制御が困難になるという問題がある。 However, when multiple application softwares are handled by a common information processing system, individual application authentication is required for each application software because the application software has different user authentication mechanisms, different access controls, or different methods. There is a problem that proper access control becomes difficult.
図8は、既存のアプリケーションソフトウェアにおけるユーザ認証およびアクセス制御の仕組みの実装状況を例示している。この例では、ユーザ認証の仕組みが有るものと無いものとが混在している。また、アクセス制御についても、作業領域および役割区分の両者を設定することによりアクセス制御を行うものや、役割区分についてのみアクセス制御の設定が可能なもの、あるいはアクセス制御の仕組みを持たないもの等が混在している。このような複数のソフトウェアを共通の情報処理システムで使用する場合、図9に示すようにアプリケーションソフトウェアごとに個別にユーザ認証が必要となる。また、図10に示すように、アクセス制御もアプリケーションソフトウェアごとに実行されることになる。 FIG. 8 illustrates the implementation status of a mechanism for user authentication and access control in existing application software. In this example, a user authentication mechanism is mixed with a user authentication mechanism. As for access control, there are those that perform access control by setting both the work area and role classification, those that can be set only for role classification, or those that do not have an access control mechanism. It is mixed. When such a plurality of software is used in a common information processing system, user authentication is required for each application software as shown in FIG. Further, as shown in FIG. 10, access control is also executed for each application software.
しかしながら、ユーザ認証をアプリケーションソフトウェアごとに実行する場合、ユーザは利用する全アプリケーションソフトウェアのユーザIDおよびパスワードを記憶しなくてはならず、これらの管理が煩雑となる。また、各アプリケーションソフトウェアに対する認証のたびに、キーボード等による入力作業が必要となる。さらに、複数のアプリケーションソフトウェアがそれぞれ独立したユーザ認証/アクセス制御の仕組みを持っているため、それらを管理するシステム管理者の負担が大きくなる。 However, when executing user authentication for each application software, the user must memorize the user IDs and passwords of all application software to be used, and management of these becomes complicated. In addition, every time the application software is authenticated, an input operation using a keyboard or the like is required. Furthermore, since a plurality of application software has independent user authentication / access control mechanisms, the burden on the system administrator who manages them increases.
また、セキュリティ上の観点から、ユーザ認証/アクセス制御に未対応のソフトウェアをそのまま使用することには問題がある。さらに、例えばIA(Industrial Automation)システムのアプリケーションでは作業領域および役割区分の両者によるきめ細かなアクセス制御が必要となるが、既存のソフトウェアではそのようなアクセス制御に対応したものが少ない。 From the viewpoint of security, there is a problem in using software that does not support user authentication / access control as it is. Further, for example, in an application of an IA (Industrial Automation) system, fine access control by both the work area and the role classification is required, but there are few existing softwares corresponding to such access control.
また、シングルサインオン(Single Sign-On)機能、すなわち認証を必要とする複数のアプリケーションソフトウェアを使用する際、1度の認証を実行することで許可されているすべてのシステムを利用可能とする機能を提供する製品が存在する。しかし、このような製品では、既存のアプリケーションソフトウェアで実現しているユーザ認証/アクセス制御の仕組み、とくに作業領域および役割区分の両者によるアクセス制御の仕組みをそのまま利用できないという問題がある。 In addition, when using multiple application software that requires authentication, the single sign-on function enables the use of all permitted systems by executing a single authentication. There are products that provide. However, such a product has a problem that the user authentication / access control mechanism realized by the existing application software, in particular, the access control mechanism based on both the work area and the role classification cannot be used as it is.
本発明の目的は、既存のアプリケーションソフトウェアの仕組みを利用しつつ、統合的にユーザ認証を実行することができる統合認証方法、統合認証装置、およびこのような統合認証方法を実行するためのプログラムを提供することにある。 An object of the present invention is to provide an integrated authentication method, an integrated authentication apparatus, and a program for executing such an integrated authentication method that can execute user authentication in an integrated manner using an existing application software mechanism. It is to provide.
本発明の統合認証方法は、複数のアプリケーションソフトウェアを利用するユーザの認証を統合して実行する統合認証方法において、ユーザの統合認証を実行するステップと、前記ユーザに対応付けられて記憶された個別認証情報を取得するステップと、取得された前記個別認証情報を用いて、統合認証された前記ユーザの、アプリケーションソフトウェアに対する個別認証を実行するステップと、を備えることを特徴とする。
この統合認証方法によれば、予め記憶された、アプリケーションに対する個別認証に必要な情報を取得し、そのアプリケーションソフトウェアに対する認証を実行するので、各アプリケーションに対する個々のユーザ認証の作業が不要となり、システムにシングルサインオン機能を持たせることができる。また、ユーザを統合認証するステップを設けたので、アプリケーションソフトウェアにユーザ認証の仕組みが無い場合であっても、ユーザ認証の機会を確実に確保することができる。さらに、予め記憶された個別認証情報を用いてアプリケーションソフトウェアに対する個別認証を実行しているので、各アプリケーションソフトウェアに対する個別認証に必要な情報をユーザ等が記憶する必要はなく、システム管理の負担も低減される。さらにまた、各アプリケーションに対する個別認証に必要な情報として、各アプリケーションソフトウェアの仕組みとして用意された認証に必要な情報(例えば、各アプリケーションソフトウェアに対し登録されたユーザIDおよびパスワード)を予め記憶しておくことにより、その仕組みをそのまま利用することが可能となる。なお、元のアプリケーションソフトウェアに認証の仕組みが備わっていないものが含まれている場合には、そのソフトウェアに対する個別認証を省略してもよいし、そのソフトウェアに対する個別認証の処理を追加してもよい。また、この発明において、ユーザを統合認証する方法は限定されない。例えば、ユーザIDおよびパスワードを用いる方法でもよいし、ユーザの身体的特徴を利用する方法でもよい。「個別認証情報」は、各アプリケーションに対して登録されるユーザIDやパスワードであってもよく、また、ユーザを特定する各種の情報、例えば、ユーザの身体的特徴等であってもよい。
The integrated authentication method according to the present invention includes a step of executing integrated authentication of a user in an integrated authentication method that integrates and executes authentication of a user who uses a plurality of application software, and an individual stored in association with the user Obtaining authentication information; and performing individual authentication on application software of the user who has been integrated and authenticated using the acquired individual authentication information.
According to this integrated authentication method, information necessary for individual authentication for an application stored in advance is acquired and authentication for the application software is executed, so that individual user authentication for each application is not necessary, and the system A single sign-on function can be provided. In addition, since the step of performing integrated authentication of the user is provided, an opportunity for user authentication can be surely ensured even when the application software has no user authentication mechanism. Furthermore, since individual authentication for application software is executed using individual authentication information stored in advance, it is not necessary for a user to store information necessary for individual authentication for each application software, and the burden of system management is reduced. Is done. Furthermore, as information necessary for individual authentication for each application, information necessary for authentication prepared as a mechanism of each application software (for example, a user ID and a password registered for each application software) is stored in advance. Therefore, it is possible to use the mechanism as it is. If the original application software includes software that does not have an authentication mechanism, individual authentication for the software may be omitted, or individual authentication processing for the software may be added. . Moreover, in this invention, the method of integrated authentication of a user is not limited. For example, a method using a user ID and a password may be used, or a method using a user's physical characteristics may be used. The “individual authentication information” may be a user ID or password registered for each application, or may be various types of information for identifying the user, such as a physical feature of the user.
前記個別認証を実行するステップでは、前記アプリケーションソフトウェアに予め用意されている認証方法を利用して前記個別認証を実行してもよい。
この場合には、アプリケーションソフトウェアに予め用意されている認証方法を利用するので、個別認証の手順を新たに作成する必要がない。このため統合認証を実現するシステムを容易に構築できる。
In the step of executing the individual authentication, the individual authentication may be executed using an authentication method prepared in advance in the application software.
In this case, since an authentication method prepared in advance in the application software is used, it is not necessary to create a new individual authentication procedure. Therefore, a system that realizes integrated authentication can be easily constructed.
アプリケーションソフトウェアに対する操作の要求を受け付けるステップと、予め記憶されたアクセス制御情報を参照することにより、前記操作が許容されるか否かを判断するステップと、前記操作が許容されると判断された場合に限り、前記操作を実行するステップと、を備えてもよい。
この場合には、操作が許容されるか否かを判断し、判断が肯定された場合に限り操作を実行するので、アプリケーションソフトウェアに対するアクセスを適切に制限することができる。参照の対象となるアクセス制御情報は、例えば、ユーザごとに許容される操作を規定する情報とすることができる。また、アクセス制御の仕組みが設けられていないアプリケーションソフトウェアに対しても、操作を制限することが可能となる。アクセス制御の仕組みが設けられているアプリケーションに関しては、その仕組みを利用することもできる。
A step of accepting an operation request for the application software, a step of determining whether or not the operation is permitted by referring to pre-stored access control information, and a case where the operation is determined to be permitted And the step of executing the operation.
In this case, it is determined whether or not the operation is allowed, and the operation is executed only when the determination is affirmed. Therefore, access to the application software can be appropriately restricted. The access control information to be referred to can be, for example, information defining an operation permitted for each user. In addition, operations can be restricted even for application software that does not have an access control mechanism. For an application with an access control mechanism, that mechanism can also be used.
前記アクセス制御情報は、前記ユーザに対して認められる作業領域を規定してもよい。また、前記アクセス制御情報は、前記ユーザに対して認められる役割を規定してもよい。
これらの場合には、作業領域あるいは役割区分に基づくアプリケーションソフトウェアへのアクセス制御が可能となる。
The access control information may define a work area permitted for the user. The access control information may define a role that is allowed for the user.
In these cases, it is possible to control access to application software based on the work area or role classification.
本発明の統合認証装置は、複数のアプリケーションソフトウェアを利用するユーザの認証を統合して実行する統合認証装置において、ユーザの統合認証を実行する統合認証手段と、前記ユーザに対応付けられた個別認証情報を記憶する個別認証情報記憶手段と、該個別認証情報記憶手段から前記個別認証情報を取得する取得手段と、該取得手段により取得された前記個別認証情報を用いて、統合認証された前記ユーザの、アプリケーションソフトウェアに対する個別認証を実行する個別認証手段と、を備えることを特徴とする。
この統合認証装置によれば、予め記憶された、アプリケーションに対する個別認証に必要な情報を取得し、そのアプリケーションソフトウェアに対する認証を実行するので、各アプリケーションに対する個々のユーザ認証の作業が不要となり、システムにシングルサインオン機能を持たせることができる。また、ユーザを統合認証する統合認証手段を設けたので、アプリケーションソフトウェアにユーザ認証の仕組みが無い場合であっても、ユーザ認証の機会を確実に確保することができる。さらに、予め記憶された個別認証情報を用いてアプリケーションソフトウェアに対する個別認証を実行しているので、各アプリケーションソフトウェアに対する個別認証に必要な情報をユーザ等が記憶する必要はなく、システム管理の負担も低減される。さらにまた、各アプリケーションに対する個別認証に必要な情報として、各アプリケーションソフトウェアの仕組みとして用意された認証に必要な情報(例えば、各アプリケーションソフトウェアに対し登録されたユーザIDおよびパスワード)を予め記憶しておくことにより、その仕組みをそのまま利用することが可能となる。なお、元のアプリケーションソフトウェアに認証の仕組みが備わっていないものが含まれている場合には、そのソフトウェアに対する個別認証を省略してもよいし、そのソフトウェアに対する個別認証の処理を追加してもよい。また、この発明において、ユーザを統合認証する方法は限定されない。例えば、ユーザIDおよびパスワードを用いる方法でもよいし、ユーザの身体的特徴を利用する方法でもよい。「個別認証情報」は、各アプリケーションに対して登録されるユーザIDやパスワードであってもよく、また、ユーザを特定する各種の情報、例えば、ユーザの身体的特徴等であってもよい。
The integrated authentication apparatus according to the present invention is an integrated authentication apparatus that integrates and executes authentication of a user who uses a plurality of application software, and an integrated authentication unit that performs integrated authentication of the user, and individual authentication associated with the user Individual authentication information storage means for storing information, acquisition means for acquiring the individual authentication information from the individual authentication information storage means, and the user who has been integrated and authenticated using the individual authentication information acquired by the acquisition means And individual authentication means for executing individual authentication for the application software.
According to this integrated authentication apparatus, since information necessary for individual authentication for an application stored in advance is acquired and authentication for the application software is executed, individual user authentication for each application becomes unnecessary, and the system A single sign-on function can be provided. In addition, since the integrated authentication means for performing the integrated authentication of the user is provided, the user authentication opportunity can be surely ensured even when the application software has no user authentication mechanism. Furthermore, since individual authentication for application software is executed using individual authentication information stored in advance, it is not necessary for a user to store information necessary for individual authentication for each application software, and the burden of system management is reduced. Is done. Furthermore, as information necessary for individual authentication for each application, information necessary for authentication prepared as a mechanism of each application software (for example, a user ID and a password registered for each application software) is stored in advance. Therefore, it is possible to use the mechanism as it is. If the original application software includes software that does not have an authentication mechanism, individual authentication for the software may be omitted, or individual authentication processing for the software may be added. . Moreover, in this invention, the method of integrated authentication of a user is not limited. For example, a method using a user ID and a password may be used, or a method using a user's physical characteristics may be used. The “individual authentication information” may be a user ID or password registered for each application, or may be various types of information for identifying the user, such as a physical feature of the user.
前記個別認証手段は、前記アプリケーションソフトウェアに予め用意されている認証方法を利用して前記個別認証を実行してもよい。
この場合には、アプリケーションソフトウェアに予め用意されている認証方法を利用するので、個別認証の手順を新たに作成する必要がない。このため統合認証を実現するシステムを容易に構築できる。
The individual authentication means may execute the individual authentication using an authentication method prepared in advance in the application software.
In this case, since an authentication method prepared in advance in the application software is used, it is not necessary to create a new individual authentication procedure. Therefore, a system that realizes integrated authentication can be easily constructed.
アプリケーションソフトウェアに対する操作の要求を受け付ける受付手段と、アクセス制御情報を予め記憶するアクセス制御情報記憶手段と、該アクセス制御情報記憶手段のアクセス制御情報を参照することにより、前記操作が許容されるか否かを判断する判断手段と、前記操作が許容されると判断された場合に限り、前記操作を実行する実行手段と、を備えてもよい。
この場合には、操作が許容されるか否かを判断し、判断が肯定された場合に限り操作を実行するので、アプリケーションソフトウェアに対するアクセスを適切に制限することができる。参照の対象となるアクセス制御情報は、例えば、ユーザごとに許容される操作を規定する情報とすることができる。また、アクセス制御の仕組みが設けられていないアプリケーションソフトウェアに対しても、操作を制限することが可能となる。アクセス制御の仕組みが設けられているアプリケーションに関しては、その仕組みを利用することもできる。
Whether the operation is permitted by referring to the accepting means for accepting an operation request for the application software, the access control information storing means for storing the access control information in advance, and the access control information in the access control information storing means. Determination means for determining whether or not the operation is permitted, and execution means for executing the operation only when it is determined that the operation is permitted.
In this case, it is determined whether or not the operation is allowed, and the operation is executed only when the determination is affirmed. Therefore, access to the application software can be appropriately restricted. The access control information to be referred to can be, for example, information defining an operation permitted for each user. In addition, operations can be restricted even for application software that does not have an access control mechanism. For an application with an access control mechanism, that mechanism can also be used.
前記アクセス制御情報は、前記ユーザに対して認められる作業領域を規定してもよい。また、前記アクセス制御情報は、前記ユーザに対して認められる役割を規定してもよい。
これらの場合には、作業領域あるいは役割区分に基づくアプリケーションソフトウェアへのアクセス制御が可能となる。
The access control information may define a work area permitted for the user. The access control information may define a role that is allowed for the user.
In these cases, it is possible to control access to application software based on the work area or role classification.
本発明のプログラムは、複数のアプリケーションソフトウェアを利用するユーザの認証を統合して行う統合認証方法を実行するためのプログラムであって、コンピュータに、ユーザの統合認証を実行するステップと、前記ユーザに対応付けられて記憶された個別認証情報を取得するステップと、取得された前記個別認証情報を用いて、統合認証された前記ユーザの、アプリケーションソフトウェアに対する個別認証を実行するステップと、を実行させることを特徴とする。
このプログラムによれば、予め記憶された、アプリケーションに対する個別認証に必要な情報を取得し、そのアプリケーションソフトウェアに対する認証を実行するので、各アプリケーションに対する個々のユーザ認証の作業が不要となり、システムにシングルサインオン機能を持たせることができる。また、ユーザを統合認証するステップを設けたので、アプリケーションソフトウェアにユーザ認証の仕組みが無い場合であっても、ユーザ認証の機会を確実に確保することができる。さらに、予め記憶された個別認証情報を用いてアプリケーションソフトウェアに対する個別認証を実行しているので、各アプリケーションソフトウェアに対する個別認証に必要な情報をユーザ等が記憶する必要はなく、システム管理の負担も低減される。さらにまた、各アプリケーションに対する個別認証に必要な情報として、各アプリケーションソフトウェアの仕組みとして用意された認証に必要な情報(例えば、各アプリケーションソフトウェアに対し登録されたユーザIDおよびパスワード)を予め記憶しておくことにより、その仕組みをそのまま利用することが可能となる。なお、元のアプリケーションソフトウェアに認証の仕組みが備わっていないものが含まれている場合には、そのソフトウェアに対する個別認証を省略してもよいし、そのソフトウェアに対する個別認証の処理を追加してもよい。また、この発明において、ユーザを統合認証する方法は限定されない。例えば、ユーザIDおよびパスワードを用いる方法でもよいし、ユーザの身体的特徴を利用する方法でもよい。「個別認証情報」は、各アプリケーションに対して登録されるユーザIDやパスワードであってもよく、また、ユーザを特定する各種の情報、例えば、ユーザの身体的特徴等であってもよい。
A program of the present invention is a program for executing an integrated authentication method that integrates authentication of a user who uses a plurality of application software, and executes the integrated authentication of a user on a computer; Obtaining the individual authentication information stored in association with each other, and executing the individual authentication for the application software of the user who has been integrated and authenticated using the acquired individual authentication information. It is characterized by.
According to this program, information necessary for individual authentication for an application stored in advance is acquired, and authentication for the application software is executed. Therefore, individual user authentication for each application is not required, and single signing is performed in the system. An on function can be provided. In addition, since the step of performing integrated authentication of the user is provided, an opportunity for user authentication can be surely ensured even when the application software has no user authentication mechanism. Furthermore, since individual authentication for application software is executed using individual authentication information stored in advance, it is not necessary for a user to store information necessary for individual authentication for each application software, and the burden of system management is reduced. Is done. Furthermore, as information necessary for individual authentication for each application, information necessary for authentication prepared as a mechanism of each application software (for example, a user ID and a password registered for each application software) is stored in advance. Therefore, it is possible to use the mechanism as it is. If the original application software includes software that does not have an authentication mechanism, individual authentication for the software may be omitted, or individual authentication processing for the software may be added. . Moreover, in this invention, the method of integrated authentication of a user is not limited. For example, a method using a user ID and a password may be used, or a method using a user's physical characteristics may be used. The “individual authentication information” may be a user ID or password registered for each application, or may be various types of information for identifying the user, such as a physical feature of the user.
前記個別認証を実行するステップでは、前記アプリケーションソフトウェアに予め用意されている認証方法を利用して前記個別認証を実行してもよい。
この場合には、アプリケーションソフトウェアに予め用意されている認証方法を利用するので、個別認証の手順を新たに作成する必要がない。このため統合認証を実現するシステムを容易に構築できる。
In the step of executing the individual authentication, the individual authentication may be executed using an authentication method prepared in advance in the application software.
In this case, since an authentication method prepared in advance in the application software is used, it is not necessary to create a new individual authentication procedure. Therefore, a system that realizes integrated authentication can be easily constructed.
コンピュータに、アプリケーションソフトウェアに対する操作の要求を受け付けるステップと、予め記憶されたアクセス制御情報を参照することにより、前記操作が許容されるか否かを判断するステップと、前記操作が許容されると判断された場合に限り、前記操作を実行するステップと、を実行させてもよい。
この場合には、操作が許容されるか否かを判断し、判断が肯定された場合に限り操作を実行するので、アプリケーションソフトウェアに対するアクセスを適切に制限することができる。参照の対象となるアクセス制御情報は、例えば、ユーザごとに許容される操作を規定する情報とすることができる。また、アクセス制御の仕組みが設けられていないアプリケーションソフトウェアに対しても、操作を制限することが可能となる。アクセス制御の仕組みが設けられているアプリケーションに関しては、その仕組みを利用することもできる。
A step of accepting an operation request for the application software in the computer; a step of determining whether or not the operation is permitted by referring to access control information stored in advance; and a determination that the operation is permitted Only when it is done, the step of executing the operation may be executed.
In this case, it is determined whether or not the operation is allowed, and the operation is executed only when the determination is affirmed. Therefore, access to the application software can be appropriately restricted. The access control information to be referred to can be, for example, information defining an operation permitted for each user. In addition, operations can be restricted even for application software that does not have an access control mechanism. For an application with an access control mechanism, that mechanism can also be used.
前記アクセス制御情報は、前記ユーザに対して認められる作業領域を規定してもよい。また、前記アクセス制御情報は、前記ユーザに対して認められる役割を規定してもよい。
これらの場合には、作業領域あるいは役割区分に基づくアプリケーションソフトウェアへのアクセス制御が可能となる。
The access control information may define a work area permitted for the user. The access control information may define a role that is allowed for the user.
In these cases, it is possible to control access to application software based on the work area or role classification.
本発明の統合認証方法、統合認証装置およびプログラムによれば、各アプリケーションに対する認証に必要な情報を参照してアプリケーションソフトウェアに対する認証を実行するので、アプリケーションソフトウェアに設けられたユーザ認証等の仕組みを利用しつつ、システムにシングルサインオン機能を持たせることができる。 According to the integrated authentication method, integrated authentication apparatus, and program of the present invention, authentication for application software is executed by referring to information necessary for authentication for each application, and therefore a mechanism such as user authentication provided in the application software is used. However, the system can have a single sign-on function.
以下、図1〜図7を参照して、本発明による統合認証方法の一実施形態について説明する。 Hereinafter, an embodiment of an integrated authentication method according to the present invention will be described with reference to FIGS.
図1(a)は本実施形態の統合認証方法が適応される情報処理システムの構成を示すブロック図である。図1(a)に示すように、この情報処理システム100は、ユーザ認証およびアクセス制御の処理を含むシステム全体の処理を統括する処理サーバ1と、複数のアプリケーションソフトウェアが格納されたアプリケーションサーバ2と、端末装置3とを備える。処理サーバ1、アプリケーションサーバ2および端末装置3は、互いに通信回線5を介して接続されている。 FIG. 1A is a block diagram showing a configuration of an information processing system to which the integrated authentication method of this embodiment is applied. As shown in FIG. 1A, the information processing system 100 includes a processing server 1 that supervises overall system processing including user authentication and access control processing, and an application server 2 that stores a plurality of application software. The terminal device 3 is provided. The processing server 1, application server 2, and terminal device 3 are connected to each other via a communication line 5.
処理サーバ1には、端末装置3を介してアプリケーションソフトウェアを使用するユーザの認証に必要な認証情報を記憶する認証情報記憶部11と、アプリケーションソフトウェアへのアクセス制限に必要なアクセス制御情報を記憶するアクセス制御情報記憶部12と、処理サーバ1における作業処理に必要な情報を一時的に記憶する作業用メモリ13と、処理サーバ1の各部を制御し、必要な処理を実行する制御部14とが設けられている。 The processing server 1 stores an authentication information storage unit 11 for storing authentication information necessary for authenticating a user who uses the application software via the terminal device 3, and access control information necessary for restricting access to the application software. An access control information storage unit 12, a work memory 13 that temporarily stores information necessary for work processing in the processing server 1, and a control unit 14 that controls each unit of the processing server 1 and executes necessary processing. Is provided.
また、アプリケーションサーバ2には、各アプリケーションソフトウェアを格納するアプリケーションソフトウェア格納部21と、処理サーバ1の制御部14との間で通信を行いつつ、必要な処理を実行する制御部22とが設けられている。 In addition, the application server 2 is provided with an application software storage unit 21 that stores each application software, and a control unit 22 that performs necessary processing while communicating with the control unit 14 of the processing server 1. ing.
情報処理システム100では、ユーザが端末装置3を操作することで処理サーバ1にアクセスし、アプリケーションサーバ2に格納されたアプリケーションソフトウェアを使用することができる。また、情報処理システム100は、ユーザに対し各アプリケーションソフトウェアの統合認証を実行する機能を有する。統合認証を行うことによりユーザは各アプリケーションソフトウェアに対する個別のユーザ認証のための操作をすることなく、各アプリケーションソフトウェアにアクセスすることができる。すなわち、情報処理システムはシングルサインオン(Single Sign-On)機能を有する。さらに、情報処理システム100は、ユーザがアプリケーションソフトウェアを使用するに際しアプリケーションソフトウェアに対するアクセスを制限する機能を有する。 In the information processing system 100, the user can access the processing server 1 by operating the terminal device 3 and use application software stored in the application server 2. Further, the information processing system 100 has a function of executing integrated authentication of each application software for the user. By performing integrated authentication, the user can access each application software without performing an operation for individual user authentication for each application software. That is, the information processing system has a single sign-on function. Furthermore, the information processing system 100 has a function of restricting access to application software when the user uses the application software.
図1(b)は、処理サーバ1の本発明にかかる機能を示すブロック図である。図1(b)に示すように、処理サーバ1は、ユーザの統合認証を実行する統合認証手段101、ユーザに対応付けられた個別認証情報を記憶する個別認証情報記憶手段102、個別認証情報記憶手段102から個別認証情報を取得する取得手段103、および取得手段103により取得された個別認証情報を用いて、統合認証されたユーザの、アプリケーションソフトウェアに対する個別認証を実行する個別認証手段104として、それぞれ機能する。なお、個別認証情報記憶手段102は、認証情報記憶部11の機能に相当する。 FIG. 1B is a block diagram showing functions of the processing server 1 according to the present invention. As shown in FIG. 1B, the processing server 1 includes an integrated authentication unit 101 that performs integrated authentication of a user, an individual authentication information storage unit 102 that stores individual authentication information associated with the user, and an individual authentication information storage. An acquisition unit 103 that acquires individual authentication information from the unit 102, and an individual authentication unit 104 that performs individual authentication for application software of a user who is integrated and authenticated using the individual authentication information acquired by the acquisition unit 103. Function. The individual authentication information storage unit 102 corresponds to the function of the authentication information storage unit 11.
また、処理サーバ1は、アプリケーションソフトウェアに対する操作の要求を受け付ける受付手段105、アクセス制御情報を予め記憶するアクセス制御情報記憶手段106、アクセス制御情報記憶手段106のアクセス制御情報を参照することにより、操作が許容されるか否かを判断する判断手段107、および判断手段107において操作が許容されると判断された場合に限り、操作を実行する実行手段108として、それぞれ機能する。なお、アクセス制御情報記憶手段106は、アクセス制御情報記憶部12の機能に相当する。 In addition, the processing server 1 refers to the access control information in the reception unit 105 that receives an operation request for the application software, the access control information storage unit 106 that stores the access control information in advance, and the access control information storage unit 106. Only when the judgment means 107 for judging whether or not the operation is permitted and when the judgment means 107 judges that the operation is permitted, the functions as the execution means 108 for executing the operation. The access control information storage unit 106 corresponds to the function of the access control information storage unit 12.
図2は認証情報記憶部11に格納された統合ユーザ認証テーブルおよびアプリケーションアカウントマッピングテーブルを示す図である。 FIG. 2 is a diagram showing an integrated user authentication table and an application account mapping table stored in the authentication information storage unit 11.
図2に示すように、統合ユーザ認証テーブルは、「統合ユーザ」と「パスワード」とを対応付けるテーブルである。ここで、「統合ユーザ」とは実際に端末装置3を介して処理サーバ1にアクセスするユーザであり、各アプリケーションに対して登録されている各ユーザを統合したユーザとして登録されている者である。図2に示すように、例えば統合ユーザ「admin」に対応してパスワード「Admin」が、統合ユーザ「user A」に対応してパスワード「Xyzxyzx」が、それぞれ予め設定されている。統合ユーザ認証テーブルに格納された「統合ユーザ」および「パスワード」は、後述する統合認証に必要なアカウント情報である。 As shown in FIG. 2, the integrated user authentication table is a table that associates “integrated user” with “password”. Here, the “integrated user” is a user who actually accesses the processing server 1 via the terminal device 3, and is a person who is registered as a user who has integrated each user registered for each application. . As shown in FIG. 2, for example, a password “Admin” is set in advance corresponding to the integrated user “admin”, and a password “Xyzxyzx” is set in advance corresponding to the integrated user “user A”. “Integrated user” and “password” stored in the integrated user authentication table are account information necessary for integrated authentication, which will be described later.
次に、アプリケーションアカウントマッピングテーブルは、各アプリケーションソフトウェアに対して登録されている「ユーザ」および「パスワード」と、「統合ユーザ」とを対応付けるテーブルである。例えば、統合ユーザ「admin」は、第1のアプリケーションに対してはユーザ「ADMIN」として、第2のアプリケーションに対してはユーザ「app2admin」として、それぞれ異なるユーザとして登録されていることが示されている。また、第1のアプリケーションのユーザ「ADMIN」にはパスワード「adm」が、第2のアプリケーションのユーザ「app2admin」にはパスワード「admin」が、それぞれ登録されていることが示されている。このように、アプリケーションアカウントマッピングテーブルは、各アプリケーションソフトウェアに対する個別認証に必要なアカウント情報を統合ユーザに関連付けて格納している。 Next, the application account mapping table is a table in which “user” and “password” registered for each application software are associated with “integrated user”. For example, it is indicated that the integrated user “admin” is registered as a different user as the user “ADMIN” for the first application and as the user “app2admin” for the second application. Yes. Also, it is shown that the password “adm” is registered for the user “ADMIN” of the first application, and the password “admin” is registered for the user “app2admin” of the second application. Thus, the application account mapping table stores account information necessary for individual authentication for each application software in association with the integrated user.
図3はアクセス制御情報記憶部12に格納された役割定義テーブル、アクセス権限定義テーブルおよびエリア情報を示す図である。これらは、後述するアクセス制御処理に必要なアクセス制御情報を構成する。 FIG. 3 is a diagram showing a role definition table, an access authority definition table, and area information stored in the access control information storage unit 12. These constitute access control information necessary for an access control process to be described later.
図3に示すように、役割定義テーブルには役割名と、ビジネスロジックとの対応付けが定義されている。ビジネスロジックは各アプリケーションソフトウェアに対して実行可能な操作を示しており、例えば、役割名「App1 Engineer」には、第1のアプリケーションに対する操作である「App1/build」および「App1/delete」が許容されていることが示されている。また、役割名「App4 Admin」には、第4のアプリケーションに対する操作である「App4/build」、「App4/delete」、「App4/start」、「App4/stop」、「App4/read」および「App4/write」がそれぞれ許容されていることが示されている。 As shown in FIG. 3, the role definition table defines associations between role names and business logic. The business logic indicates the operations that can be executed for each application software. For example, the role name “App1 Engineer” allows operations “App1 / build” and “App1 / delete” for the first application. It has been shown that. The role name “App4 Admin” includes operations “App4 / build”, “App4 / delete”, “App4 / start”, “App4 / stop”, “App4 / read” and “App4 / build” for the fourth application. "App4 / write" is shown to be allowed.
次に、アクセス権限定義テーブルには、各統合ユーザに与えられる「役割名」およびアクセス可能な作業領域を規定する「エリア」が定義されている。例えば、統合ユーザ「admin」には、役割名「App1 Engineer」、「Appl Operator」および「App4 Admin」で示す役割が与えられている。また、役割名「App1 Engineer」、「Appl Operator」および「App4 Admin」にそれぞれ対応して、エリア「/root」がアクセス可能な作業領域として規定されている。また、例えば、統合ユーザ「user A」には、役割名「App1 Engineer」および「App4 Engineer」で示す役割がそれぞれ与えられ、役割名「App1 Engineer」に対応してエリア「/root/App1」および「/root/App4」がアクセス可能な作業領域として規定されている。 Next, in the access authority definition table, a “role name” given to each integrated user and an “area” that defines an accessible work area are defined. For example, the integrated user “admin” is given the roles indicated by the role names “App1 Engineer”, “Appl Operator”, and “App4 Admin”. In addition, the area “/ root” is defined as an accessible work area corresponding to the role names “App1 Engineer”, “Appl Operator”, and “App4 Admin”, respectively. For example, the integrated user “user A” is given the roles indicated by the role names “App1 Engineer” and “App4 Engineer”, respectively, and the areas “/ root / App1” and “ “/ Root / App4” is defined as an accessible work area.
図3に示すように、エリア情報には各アプリケーションソフトウェアの作業領域が階層化されて示されており、図3において上方に行くほど上位の(広範囲の)作業領域となっている。図3のアクセス権限定義テーブルの「エリア」に規定される範囲は、エリア情報に示される範囲に対応している。例えば、「/root」として示されるエリアはすべてのアプリケーションソフトウェア(第1〜第4のアプリケーション)の全作業領域を示し、「/root/App1」として示されるエリアは第1のアプリケーションの全作業領域を示す。また、「/root/App1/controler1」として示されるエリアは第1のアプリケーションの「controler1」に包含される作業領域を示す。 As shown in FIG. 3, the work area of each application software is shown in the area information in a hierarchical manner, and the work area becomes a higher (wider) work area as it goes upward in FIG. The range defined in “Area” in the access authority definition table in FIG. 3 corresponds to the range indicated in the area information. For example, the area indicated as “/ root” indicates all work areas of all application software (first to fourth applications), and the area indicated as “/ root / App1” indicates all work areas of the first application. Indicates. An area indicated as “/ root / App1 / controler1” indicates a work area included in “controler1” of the first application.
次に、情報処理システム100における統合認証処理、個別認証処理およびアクセス制御処理の動作について説明する。 Next, operations of integrated authentication processing, individual authentication processing, and access control processing in the information processing system 100 will be described.
まず、図4および図5を参照しつつ、統合認証処理の手順について説明する。図4は統合認証における処理手順を示すフローチャート、図5は統合認証における処理手順を機能的に示すブロック図である。 First, the integrated authentication processing procedure will be described with reference to FIGS. 4 and 5. FIG. 4 is a flowchart showing a processing procedure in integrated authentication, and FIG. 5 is a block diagram functionally showing a processing procedure in integrated authentication.
統合認証処理は統合認証手段および取得手段の機能に対応する。統合認証処理では、ユーザが、統合ユーザおよび正しいパスワードを入力したことを確認する、統合認証を実行する処理であり、コンピュータプログラムに従う処理サーバ1の制御部14の制御に基づいて実行される。処理サーバ1(図1)が図5に示すウェブ(Web)サーバ50として、端末装置3(図1)が図5に示すウェブ(Web)クライアントとして、それぞれ機能する。ウェブ(Web)サーバ50には認証/アクセス制御基盤51が構築される。 The integrated authentication process corresponds to the functions of the integrated authentication unit and the acquisition unit. The integrated authentication process is a process of executing integrated authentication for confirming that the user has input the integrated user and the correct password, and is executed based on the control of the control unit 14 of the processing server 1 according to the computer program. The processing server 1 (FIG. 1) functions as the web server 50 shown in FIG. 5, and the terminal device 3 (FIG. 1) functions as the web client shown in FIG. An authentication / access control infrastructure 51 is constructed in the web server 50.
図5に示すように、統合認証処理では、端末装置3のモニタに認証画面41を表示し、ユーザに対してユーザ名(統合ユーザ)およびパスワードの入力を要求する。次いで、認証/アクセス制御基盤51が統合ユーザ認証テーブル(図2)を参照して統合認証を行う。以下、図4のフローチャートに即して統合認証処理の各手順を説明する。 As shown in FIG. 5, in the integrated authentication process, an authentication screen 41 is displayed on the monitor of the terminal device 3, and the user is requested to input a user name (integrated user) and a password. Next, the authentication / access control infrastructure 51 performs integrated authentication with reference to the integrated user authentication table (FIG. 2). Hereinafter, each procedure of the integrated authentication process will be described with reference to the flowchart of FIG.
まず、図4のステップS1では、ユーザの認証操作を受け付ける。図5に示すように、ここでは、端末装置3のモニタに認証画面41を表示させ、ユーザ(統合ユーザ)にユーザ本人を特定する情報であるユーザ名と、パスワードとを入力させる。この処理は図5における「まる1」(丸の中に1を表記したものを便宜上「まる1」とする。「まる2」以降の表記についても同様。)として示す処理であり、ウェブクライアントである端末装置3から認証/アクセス制御基盤51にユーザ名およびパスワードが入力される。ステップS2では認証情報記憶部11に格納されている統合ユーザ認証テーブルを認証/アクセス制御基盤51が参照(図5における「まる2」に対応)し、入力されたユーザ名(図2における「統合ユーザ」)に対応付けられたパスワードと、実際に入力されたパスワードとを比較する。 First, in step S1 of FIG. 4, a user authentication operation is accepted. As shown in FIG. 5, here, the authentication screen 41 is displayed on the monitor of the terminal device 3, and the user (integrated user) is allowed to input a user name, which is information for identifying the user himself, and a password. This process is a process indicated as “maru 1” in FIG. 5 (a case where 1 is indicated in a circle is referred to as “maru 1” for the sake of convenience. The same applies to the notation after “maru 2”). A user name and a password are input to the authentication / access control infrastructure 51 from a certain terminal device 3. In step S2, the authentication / access control infrastructure 51 refers to the integrated user authentication table stored in the authentication information storage unit 11 (corresponding to “maru 2” in FIG. 5), and the input user name (“integrated in FIG. 2”). The password associated with “user”) is compared with the password actually entered.
次に、ステップS3では、ステップS2においてパスワードが一致したか否か判断し、一致した場合、すなわち統合認証ができた場合にはステップS5へ進み、パスワードが一致しなかった場合、すなわち統合認証ができなかった場合にはステップS4へ進む。ステップS4では認証画面41に認証ができなかったことを示すエラー表示を行い、ステップS1へ戻る。 Next, in step S3, it is determined whether or not the passwords match in step S2. If they match, that is, if integrated authentication is possible, the process proceeds to step S5. If the passwords do not match, that is, integrated authentication is performed. If not, the process proceeds to step S4. In step S4, an error display indicating that the authentication has failed is displayed on the authentication screen 41, and the process returns to step S1.
一方、ステップS5では、認証/アクセス基盤51が、当該統合ユーザの統合認証が完了した旨の情報である認証情報を作業メモリ13内に設けられるセッション上に構築し、処理を終了する。この処理は図5における「まる3」に対応する。 On the other hand, in step S5, the authentication / access infrastructure 51 constructs authentication information, which is information indicating that the integrated authentication of the integrated user has been completed, on the session provided in the work memory 13, and ends the processing. This processing corresponds to “maru 3” in FIG.
次に、図6および図7を参照しつつ、個別認証処理およびアクセス制御処理の手順について説明する。図6はアプリケーションソフトウェアへのアクセス時の処理手順を示すフローチャート、図7はアプリケーションソフトウェアへのアクセス時の処理手順を機能的に示すブロック図である。 Next, the procedure of the individual authentication process and the access control process will be described with reference to FIGS. FIG. 6 is a flowchart showing a processing procedure when accessing application software, and FIG. 7 is a block diagram functionally showing the processing procedure when accessing application software.
この処理では、すでに統合認証処理(図4)を済ませたユーザが、認証のための新たな操作を要求されることなく、所定のアプリケーションソフトウェアに対しアクセス可能としている(シングルサインオン処理)。また、統合ユーザに対し予め設定された範囲でのみアプリケーショソフトウェアへのアクセスを可能とする、アクセス制御処理を実行している。図7に示すように、この処理はウェブサーバ50においてウェブアプリケーション52をユーザ認証/アクセス制御基盤51の対象クライアントとして機能させることにより実行される。図7において、ウェブアプリケーション提供DLL(Dynamic Link Library)53は、ウェブアプリケーション52の実行に必要なDLLであり、アクセスDLL54は第1のアプリケーションへのアクセスに必要なDLLである。また、認証用プラグイン55は第1のアプリケーションに対する認証を実行するためのDLLであり、第1のアプリケーションから提供される。 In this process, a user who has already completed the integrated authentication process (FIG. 4) can access predetermined application software without requiring a new operation for authentication (single sign-on process). In addition, an access control process is executed that enables the integrated user to access the application software only within a preset range. As shown in FIG. 7, this processing is executed by causing the web application 52 to function as a target client of the user authentication / access control infrastructure 51 in the web server 50. In FIG. 7, a web application providing DLL (Dynamic Link Library) 53 is a DLL necessary for executing the web application 52, and an access DLL 54 is a DLL necessary for accessing the first application. The authentication plug-in 55 is a DLL for executing authentication for the first application, and is provided from the first application.
図6および図7では、統合認証処理(図4)を済ませたユーザが、第1のアプリケーションにアクセスした場合の手順を例示している。他のアプリケーションソフトウェアへのアクセスがあった場合も、同様の手順が適用される。以下、図6のフローチャートに即して、個別認証処理およびアクセス制御処理の各手順を説明する。なお、個別認証処理は個別認証手段の機能に、アクセス制御処理は判断手段および実行手段の機能に、それぞれ相当する。 6 and 7 exemplify a procedure when a user who has completed the integrated authentication process (FIG. 4) accesses the first application. The same procedure is applied when there is access to other application software. The individual authentication processing and access control processing procedures will be described below with reference to the flowchart of FIG. The individual authentication process corresponds to the function of the individual authentication means, and the access control process corresponds to the functions of the determination means and the execution means.
図6のステップS11では、図7のウェブ(Web)クライアントとして機能する端末装置3のモニタにアプリケーションソフトウェア1のアプリケーション画面42を表示させ、端末装置3を介してのアプリケーションソフトウェア1への操作(操作の要求)を受け付ける。この処理は、図7における「まる1」に対応している。ステップS12では、認証/アクセス制御基盤に対し、統合認証が完了しているか否かの問い合わせを行う(図7における「まる2」に対応)。この処理は、ステップS5(図4)の処理に応答した処理であり、ここでは当該ユーザの統合認証処理の完了を示す認証情報がセッション上に構築されていることを確認している。 In step S11 of FIG. 6, the application screen 42 of the application software 1 is displayed on the monitor of the terminal device 3 functioning as the web client of FIG. 7, and the operation (operation) of the application software 1 via the terminal device 3 is performed. Request). This process corresponds to “maru 1” in FIG. In step S12, an inquiry is made to the authentication / access control infrastructure as to whether or not integrated authentication has been completed (corresponding to “maru 2” in FIG. 7). This process is a process in response to the process of step S5 (FIG. 4). Here, it is confirmed that authentication information indicating completion of the integrated authentication process of the user is built on the session.
次に、ステップS13では、作業メモリ13内に設けられるセッションの認証情報にアクセスし、第1のアプリケーションに対する個別認証が完了しているか確認する(図7における「まる3」に対応)。次に、ステップS14では、ステップS13において個別認証の完了が確認されたか否か判断し、判断が肯定されればステップS21へ進み、判断が否定されればステップS15へ進む。なお、ステップS14の判断は、後述するステップS18の処理が実行済みであるか否かに応答するものである。この判断は、統合認証処理を経た後、ユーザが第1のアプリケーションに最初にアクセスした時には否定され、2度目以降のアクセス時には肯定されることになる。 Next, in step S13, access is made to session authentication information provided in the work memory 13, and it is confirmed whether the individual authentication for the first application has been completed (corresponding to "maru 3" in FIG. 7). Next, in step S14, it is determined whether or not the completion of individual authentication is confirmed in step S13. If the determination is affirmative, the process proceeds to step S21, and if the determination is negative, the process proceeds to step S15. Note that the determination in step S14 is a response to whether or not the processing in step S18 described later has been executed. This determination is denied when the user first accesses the first application after the integrated authentication process, and is affirmed at the second and subsequent accesses.
ステップS14の判断が否定された場合には、ステップS15において、認証情報記憶部11に格納されたアプリケーションアカウントマッピングテーブルから当該ユーザ(統合ユーザ)の第1のアプリケーションに対する「ユーザ」および「パスワード」を取得する。この処理は図7における「まる3−1」に対応しており、認証/アクセス基盤51が認証情報記憶部11のアプリケーションアカウントマッピングテーブルにアクセスし、「ユーザ」および「パスワード」を取得する処理である。 If the determination in step S14 is negative, in step S15, the “user” and “password” for the first application of the user (integrated user) are retrieved from the application account mapping table stored in the authentication information storage unit 11. get. This process corresponds to “maru 3-1” in FIG. 7, and the authentication / access base 51 accesses the application account mapping table of the authentication information storage unit 11 and acquires “user” and “password”. is there.
次に、ステップS16では、アプリケーションサーバ2と通信を行い、ステップS15で取得した「ユーザ」および「パスワード」を用いて第1のアプリケーションのユーザ認証を実行する。この処理は図7における「まる3−2」に対応しており、認証/アクセス制御基盤51が、認証用プラグイン55を用いて第1のアプリケーションに対する個別認証を実行する。この処理は第1のアプリケーションに設けられた認証の仕組みをそのまま利用して実行することができる。 Next, in step S16, communication with the application server 2 is performed, and user authentication of the first application is executed using the “user” and “password” acquired in step S15. This process corresponds to “maru 3-2” in FIG. 7, and the authentication / access control infrastructure 51 uses the authentication plug-in 55 to execute individual authentication for the first application. This process can be executed using the authentication mechanism provided in the first application as it is.
次に、ステップS17において第1のアプリケーションの個別認証(ステップS16)が完了したか否か判断し、判断が肯定されればステップS18へ進み、判断が否定されればステップS11へ戻る。 Next, in step S17, it is determined whether the individual authentication (step S16) of the first application is completed. If the determination is affirmed, the process proceeds to step S18, and if the determination is negative, the process returns to step S11.
ステップS18では、作業メモリ13内に設けられたセッション上の認証情報に第1のアプリケーションに対する当該ユーザの個別認証が完了している旨の情報を設定し、ステップS21へ進む。この処理は、図7における「まる3−3」に対応している。 In step S18, information indicating that the individual authentication of the user for the first application is completed is set in the authentication information on the session provided in the work memory 13, and the process proceeds to step S21. This process corresponds to “maru 3-3” in FIG.
ステップS21では、アクセス制御情報記憶部12のアクセス制御情報を参照して、ステップS11で受け付けた操作が役割定義テーブルおよびアクセス権限テーブルに定義したアクセス制限にかかるか否か確認する(図7における「まる4」に対応)。次に、ステップS22ではステップS21における確認の結果、今回のアクセスが許容されるか否か判断し、判断が肯定されればステップS23へ進み、判断が否定されればステップS24へ進む。 In step S21, with reference to the access control information in the access control information storage unit 12, it is confirmed whether or not the operation accepted in step S11 is subject to the access restriction defined in the role definition table and the access authority table (see “ Corresponding to “Full 4”). Next, in step S22, it is determined whether the current access is permitted as a result of the confirmation in step S21. If the determination is affirmative, the process proceeds to step S23, and if the determination is negative, the process proceeds to step S24.
上記ステップS21では、役割定義テーブルおよびアクセス権限定義テーブルを参照することで、ステップS11で受け付けた操作が、ユーザの役割名およびアクセス可能な作業領域(エリア)に照らして許容されるべきものであるか否かが判断される。その操作が、該当する統合ユーザに割り当てられた役割名およびエリアに包含される場合には操作が許容され、包含されない場合には操作が許容されない。したがって、役割区分および作業領域の両面に基づいて、適切なアクセス制御が実行される。 In step S21, by referring to the role definition table and the access authority definition table, the operation accepted in step S11 should be allowed in light of the user's role name and accessible work area (area). It is determined whether or not. If the operation is included in the role name and area assigned to the corresponding integrated user, the operation is allowed, and if not included, the operation is not allowed. Therefore, appropriate access control is executed based on both the role classification and the work area.
なお、この処理は、第1のアプリケーションにアクセス制限の仕組みが設けられている場合には、その仕組みをそのまま利用して実行してもよい。また、第1のアプリケーションにアクセス制限の仕組みが設けられていない場合であっても、アクセス制御情報にアクセス制限を定義することで、第1のアプリケーションに対する適切なアクセス制御を実行できる。 Note that this processing may be executed using the mechanism as it is when the first application has a mechanism for restricting access. Even if the access restriction mechanism is not provided in the first application, it is possible to execute appropriate access control for the first application by defining the access restriction in the access control information.
ステップS24では、アクセスが許容されない旨(アクセス不可エラー)を示す画面を端末装置3のモニタに表示させ、ステップS11に戻る。 In step S24, a screen indicating that access is not permitted (access impossible error) is displayed on the monitor of the terminal device 3, and the process returns to step S11.
一方、ステップS23ではウェブアプリケーション52に対し、第1のアプリケーションに対する操作(ステップS25)に必要な認証情報を返す(図7の「まる5」に対応)。次に、ステップS25では、アプリケーションサーバ2との間で通信を実行し、ステップS23で返された認証情報を用いて第1のアプリケーションに対する操作を実行する(図7の「まる6」に対応)。 On the other hand, in step S23, authentication information necessary for the operation (step S25) for the first application is returned to the web application 52 (corresponding to “maru 5” in FIG. 7). Next, in step S25, communication with the application server 2 is executed, and an operation for the first application is executed using the authentication information returned in step S23 (corresponding to “maru 6” in FIG. 7). .
次にステップS26では、ステップS25の操作の結果を端末装置3のモニタに表示し、処理を終了する。 Next, in step S26, the result of the operation in step S25 is displayed on the monitor of the terminal device 3, and the process ends.
このように、図6および図7に示す処理では、アプリケーションアカウントマッピングテーブルから当該ユーザ(統合ユーザ)の第1のアプリケーションに対する「ユーザ」および「パスワード」を取得し(ステップS15)、取得した「ユーザ」および「パスワード」を用いて第1のアプリケーションに対する個別認証を実行している(ステップS16)。このため、システムを使用するユーザは統合認証時に単一のアカウントによりシステムにアクセスするだけで、個別認証のための操作を要求されることなく第1のアプリケーションを利用できる。他のアプリケーションソフトウェアを利用する場合も同様である。 As described above, in the processing shown in FIGS. 6 and 7, “user” and “password” for the first application of the user (integrated user) are acquired from the application account mapping table (step S15), and the acquired “user” ”And“ password ”are used to perform individual authentication for the first application (step S16). Therefore, the user who uses the system can use the first application without requiring an operation for individual authentication only by accessing the system with a single account at the time of integrated authentication. The same applies when other application software is used.
また、アクセス制御情報記憶部12のアクセス制御情報を参照することにより、ユーザが要求した操作を必要に応じて禁止しているので(ステップS21〜ステップS22)、アクセスを適切に制限することができる。さらに、アクセス制御情報は役割定義テーブルおよびアクセス権限テーブルを含んで構成されているので、作業領域および役割区分の両者に基づくユーザ(統合ユーザ)単位でのアクセス制御が実現できる。このため、アプリケーションソフトウェアに対する誤操作や機密情報の漏洩を確実に防止できる。 Further, by referring to the access control information in the access control information storage unit 12, the operation requested by the user is prohibited as necessary (steps S21 to S22), so that access can be appropriately restricted. . Furthermore, since the access control information includes a role definition table and an access authority table, access control in units of users (integrated users) based on both the work area and role classification can be realized. For this reason, it is possible to reliably prevent erroneous operation of application software and leakage of confidential information.
本発明の適用範囲は上記実施形態に限定されることはない。また、本発明は、IAシステムのみならず、各種情報を取り扱う情報処理システムに対し、広く適用することができる。 The scope of application of the present invention is not limited to the above embodiment. The present invention can be widely applied not only to IA systems but also to information processing systems that handle various types of information.
1 処理サーバ
2 アプリケーションサーバ
3 端末装置
11 認証情報記憶部
12 アクセス制御情報記憶部
101 統合認証手段
102 個別認証情報記憶手段
103 取得手段
104 個別認証手段
105 受付手段
106 アクセス制御情報記憶手段
DESCRIPTION OF SYMBOLS 1 Processing server 2 Application server 3 Terminal device 11 Authentication information storage part 12 Access control information storage part 101 Integrated authentication means 102 Individual authentication information storage means 103 Acquisition means 104 Individual authentication means 105 Reception means 106 Access control information storage means
Claims (15)
ユーザの統合認証を実行するステップと、
前記ユーザに対応付けられて記憶された個別認証情報を取得するステップと、
取得された前記個別認証情報を用いて、統合認証された前記ユーザの、アプリケーションソフトウェアに対する個別認証を実行するステップと、
を備えることを特徴とする統合認証方法。 In an integrated authentication method that integrates and executes authentication of users who use multiple application software,
Performing integrated authentication of the user;
Obtaining individual authentication information stored in association with the user;
Using the acquired individual authentication information to perform individual authentication for the application software of the user who has been integrated and authenticated;
An integrated authentication method comprising:
予め記憶されたアクセス制御情報を参照することにより、前記操作が許容されるか否かを判断するステップと、
前記操作が許容されると判断された場合に限り、前記操作を実行するステップと、
を備えることを特徴とする請求項1または2に記載の統合認証方法。 Receiving an operation request for the application software;
Determining whether or not the operation is allowed by referring to pre-stored access control information;
Performing the operation only if it is determined that the operation is allowed; and
The integrated authentication method according to claim 1, further comprising:
ユーザの統合認証を実行する統合認証手段と、
前記ユーザに対応付けられた個別認証情報を記憶する個別認証情報記憶手段と、
該個別認証情報記憶手段から前記個別認証情報を取得する取得手段と、
該取得手段により取得された前記個別認証情報を用いて、統合認証された前記ユーザの、アプリケーションソフトウェアに対する個別認証を実行する個別認証手段と、
を備えることを特徴とする統合認証装置。 In an integrated authentication device that integrates and executes authentication of users who use multiple application software,
Integrated authentication means for performing integrated authentication of users;
Individual authentication information storage means for storing individual authentication information associated with the user;
Obtaining means for obtaining the individual authentication information from the individual authentication information storage means;
Using the individual authentication information acquired by the acquisition means, the individual authentication means for performing individual authentication for the application software of the user who has been integrated authentication;
An integrated authentication apparatus comprising:
アクセス制御情報を予め記憶するアクセス制御情報記憶手段と、
該アクセス制御情報記憶手段のアクセス制御情報を参照することにより、前記操作が許容されるか否かを判断する判断手段と、
前記操作が許容されると判断された場合に限り、前記操作を実行する実行手段と、
を備えることを特徴とする請求項6または7に記載の統合認証装置。 An accepting means for accepting an operation request for the application software;
Access control information storage means for storing access control information in advance;
Judging means for judging whether or not the operation is permitted by referring to the access control information in the access control information storage means;
Execution means for performing the operation only when it is determined that the operation is allowed;
The integrated authentication device according to claim 6 or 7, further comprising:
コンピュータに、
ユーザの統合認証を実行するステップと、
前記ユーザに対応付けられて記憶された個別認証情報を取得するステップと、
取得された前記個別認証情報を用いて、統合認証された前記ユーザの、アプリケーションソフトウェアに対する個別認証を実行するステップと、
を実行させることを特徴とするプログラム。 A program for executing an integrated authentication method that integrates authentication of users who use a plurality of application software,
On the computer,
Performing integrated authentication of the user;
Obtaining individual authentication information stored in association with the user;
Using the acquired individual authentication information to perform individual authentication for the application software of the user who has been integrated and authenticated;
A program characterized by having executed.
アプリケーションソフトウェアに対する操作の要求を受け付けるステップと、
予め記憶されたアクセス制御情報を参照することにより、前記操作が許容されるか否かを判断するステップと、
前記操作が許容されると判断された場合に限り、前記操作を実行するステップと、
を実行させることを特徴とする請求項11に記載のプログラム。 On the computer,
Receiving an operation request for the application software;
Determining whether or not the operation is allowed by referring to pre-stored access control information;
Performing the operation only if it is determined that the operation is allowed; and
The program according to claim 11, wherein:
The program according to claim 13, wherein the access control information defines a role permitted to the user.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004249486A JP2006065712A (en) | 2004-08-30 | 2004-08-30 | Integrated authentication method and apparatus, and program for integrated authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004249486A JP2006065712A (en) | 2004-08-30 | 2004-08-30 | Integrated authentication method and apparatus, and program for integrated authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006065712A true JP2006065712A (en) | 2006-03-09 |
Family
ID=36112132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004249486A Pending JP2006065712A (en) | 2004-08-30 | 2004-08-30 | Integrated authentication method and apparatus, and program for integrated authentication |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006065712A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008197824A (en) * | 2007-02-09 | 2008-08-28 | Ricoh Co Ltd | Information processor, external application utilization method, and program |
| JP2009188446A (en) * | 2008-02-01 | 2009-08-20 | Ricoh Co Ltd | Image forming apparatus, method, and program |
| JP2010191610A (en) * | 2009-02-17 | 2010-09-02 | Ricoh Co Ltd | Information processing device, information processing method, and program |
| KR101379551B1 (en) | 2012-05-24 | 2014-03-28 | 주식회사 엘지유플러스 | Method, Terminal, Server, and Recording Medium for Exclusive Authentication in OPMD System |
| WO2014137063A1 (en) * | 2013-03-08 | 2014-09-12 | 에스케이플래닛 주식회사 | Certification method using application, and system and apparatus therefor |
| US8990575B2 (en) | 2012-03-16 | 2015-03-24 | Samsung Electronics Co., Ltd. | Apparatus and method for electronic signature verification |
-
2004
- 2004-08-30 JP JP2004249486A patent/JP2006065712A/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008197824A (en) * | 2007-02-09 | 2008-08-28 | Ricoh Co Ltd | Information processor, external application utilization method, and program |
| JP2009188446A (en) * | 2008-02-01 | 2009-08-20 | Ricoh Co Ltd | Image forming apparatus, method, and program |
| JP2010191610A (en) * | 2009-02-17 | 2010-09-02 | Ricoh Co Ltd | Information processing device, information processing method, and program |
| US8990575B2 (en) | 2012-03-16 | 2015-03-24 | Samsung Electronics Co., Ltd. | Apparatus and method for electronic signature verification |
| KR101379551B1 (en) | 2012-05-24 | 2014-03-28 | 주식회사 엘지유플러스 | Method, Terminal, Server, and Recording Medium for Exclusive Authentication in OPMD System |
| WO2014137063A1 (en) * | 2013-03-08 | 2014-09-12 | 에스케이플래닛 주식회사 | Certification method using application, and system and apparatus therefor |
| US10135809B2 (en) | 2013-03-08 | 2018-11-20 | Sk Planet Co., Ltd. | Method, system and apparatus for authentication using application |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11301575B2 (en) | Secure data synchronization | |
| EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| CN108322461B (en) | Method, system, device, equipment and medium for automatically logging in application program | |
| JP6033990B2 (en) | Multiple resource servers with a single flexible and pluggable OAuth server, OAuth protected REST OAuth permission management service, and OAuth service for mobile application single sign-on | |
| EP1380916B1 (en) | Data protection program, method and apparatus | |
| CA2923740C (en) | Software code signing system and method | |
| JP4733167B2 (en) | Information processing apparatus, information processing method, information processing program, and information processing system | |
| CN114338230A (en) | Password state machine for accessing protected resources | |
| JP5318719B2 (en) | Terminal device and access control policy acquisition method in terminal device | |
| JP6376869B2 (en) | Data synchronization system, control method thereof, authorization server, and program thereof | |
| US20120096544A1 (en) | Information processing apparatus, control method therefor, and program | |
| JP2009175853A (en) | License authentication system and authentication method | |
| JP2011128771A (en) | Information processing apparatus, information processing method and information processing program | |
| JP2006202180A (en) | Access management program | |
| US20080046750A1 (en) | Authentication method | |
| JP2007109230A (en) | Schema entry input support system, method and program for database | |
| JP2006065712A (en) | Integrated authentication method and apparatus, and program for integrated authentication | |
| WO2010073364A1 (en) | Information processing apparatus, authorization setting method, and authorization setting program | |
| CN113196263B (en) | User authentication system, user authentication server, and user authentication method | |
| US11671415B2 (en) | Application module for creating an assured record of a user interaction | |
| JP2001282667A (en) | Authentication server-client system | |
| JP2020035305A (en) | Authentication system and method thereof, and program thereof | |
| JP5854070B2 (en) | Access control device, terminal device, and program | |
| US20220014382A1 (en) | Application module for creating an assured record of a user interaction | |
| JP4794331B2 (en) | Information takeout control method to external storage device by arbitrary application |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061106 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091118 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100114 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100302 |