JP2006331044A - シングルサインオン実現方法 - Google Patents
シングルサインオン実現方法 Download PDFInfo
- Publication number
- JP2006331044A JP2006331044A JP2005153261A JP2005153261A JP2006331044A JP 2006331044 A JP2006331044 A JP 2006331044A JP 2005153261 A JP2005153261 A JP 2005153261A JP 2005153261 A JP2005153261 A JP 2005153261A JP 2006331044 A JP2006331044 A JP 2006331044A
- Authority
- JP
- Japan
- Prior art keywords
- single sign
- server
- module
- sso
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
【課題】シングルサインオンを実現するためには、対象となるWebアプリケーションのログイン、セッショントラッキング方式を解析する必要がある。システムエンジニアに対してHTTP、HTMLなどの下位レイヤの技術を要求することになり、シングルサイノンの技術的ハードル、実現コストが高くなっている。
【解決手段】ナレッジとして格納したシングルサインオンを実現するシングルサインオンモジュール105、業務システムのログイン通信を解析し適用可能なシングルサインオンモジュールを選択、実行するシングルサインオンサーバ102によりHTTP、HTMLなどの下位レイヤの知識を必要せずにシングルサインオンを実現する。
【効果】システムエンジニアにHTTP、HTMLなどの下位レイアの知識を要求することなくシングルサインオンを実現できるので、短期間、低コストでのシングルサインオンが実現できる。
【選択図】図1
【解決手段】ナレッジとして格納したシングルサインオンを実現するシングルサインオンモジュール105、業務システムのログイン通信を解析し適用可能なシングルサインオンモジュールを選択、実行するシングルサインオンサーバ102によりHTTP、HTMLなどの下位レイヤの知識を必要せずにシングルサインオンを実現する。
【効果】システムエンジニアにHTTP、HTMLなどの下位レイアの知識を要求することなくシングルサインオンを実現できるので、短期間、低コストでのシングルサインオンが実現できる。
【選択図】図1
Description
本発明は、Webアプリケーションに自動的にログインするためのシステム構成および処理方式に関する。
企業内の情報システムは、従来のクライアントサーバ型システムからWeb(World Wide Web)技術を基盤とした3階層システムに移行しつつある。これまでに様々な業務がWebアプリケーション化され、業務効率の向上が図られてきているが、その一方で、企業内に多数の情報システムが業務ごとに存在する結果となり、ユーザは日常業務遂行のためこれらのシステムを巡回し、それぞれのシステムにログインするなど煩雑な操作を強いられている。この問題を解決するためにシングルサインオン技術が注目されている。シングルサインオンとは、認証を必要とする複数のシステムを利用する際に、一度だけログイン操作を行い認証を受けるのみで、全てのシステムを利用できるようにするログイン方式である。
企業情報システムすなわちWebアプリケーションへのシングルサインオンを実現するには、Webアプリケーションのユーザ認証方式やセッション管理方式に対応した処理が必要となる。一方、Webアプリケーションを実現するためのHTTPやHTMLは、元々ドキュメントの公開・閲覧システムを目的として開発されたため、Webアプリケーション実行基盤としては力不足であるといえる。たとえば、通信プロトコルであるHTTPは、ステートレスな通信プロトコルのためセッションの概念を持たず、また、ユーザ認証の仕組みも提供していない。そのため、ユーザ認証機能やセッション管理機能といったWebアプリケーションの基盤機能は、アプリケーション毎に独自に作りこむ必要がある。近年、Sun Microsystems社のJ2EE(Java 2 Platform, Enterprise Edition)(JavaはSun Microsystems社の登録商標)、Microsoft社の.NET FrameworkなどWebアプリケーションを開発、実行するためのフレームワークが整備され、ユーザ認証方式やセッション管理方式がある程度集約されてきているが、一本化されるには至っていない。このため、Webアプリケーションにおいてシングルサインオンを実現するには、独自に作り込まれたWebアプリケーションのユーザ認証機能やセッション管理機能に対応するシングルサインオン方式を作りこむ必要ある。
シングルサインオン実現方式としては、Webアプリケーションのユーザ認証機能やセッション管理機能に対応して、「特許文献1」、「特許文献2」、「特許文献3」、「特許文献4」、「特許文献5」、「特許文献6」など様々な方法が提案されている。
また、シングルサインオンを実現するための製品としてNetegrity社のSiteMinder(登録商標)などがある。
また、シングルサインオンを実現するための製品としてNetegrity社のSiteMinder(登録商標)などがある。
企業内に多数の情報システムが業務ごとに存在し、ユーザは日常業務遂行のためこれらのシステムを巡回し、それぞれのシステムにログインするなど煩雑な操作を強いられている。この問題を解決するためにシングルサインオン技術が注目されている。
シングルサインオンを実現するための製品もいくつか知られている。しかし、これらの製品を適用するには基本的にバックエンドシステムを改変することが必要であり、シングルサインオン実現のための構築期間や構築コストが大きくなる傾向がある。ITシステムの構築には、構築期間の短縮と費用対効果が求められており、これらの製品では、本要求の達成が難しい場合がある。
また、既存の情報システムの認証方式やセッション維持方式を解析してシングルサインオンを実現することも可能である。しかしながら、これを行うシステムエンジニアには、業務ロジックに関する知識、上位レイヤのIT技術以外に、Webアプリケーションの基盤技術であるHTTP、HTMLなどの下位レイヤの深い知識が要求される。このことから、シングルサイオン実装方式はシステムエンジニアのノウハウ(暗黙知)の固まりとなっており、シングルサインオン実現には技術的ハードルやコストが高いものとなっている。また、通信をSSL(Secure Socket Layer)などで暗号化している場合には、解析が事実上困難といえる。
本発明の特定の認証方式やセッション維持方式に対応したシングルサインオンモジュールを予め作成し、本シングルサインオンモジュールが適用可能な通信パターンと共にシングルサインオンサーバに登録する。情報システムログインの通信ログを取得し、上記通信パターンと照らし合わせ、適用可能なシングルサインオンモジュールを選択する。選択されたシングルサインオンモジュールを用いてシングルサインオンを行う。これにより、システムエンジニアが情報システムの認証方式やセッション維持方式を解析することなくシングルサインオンを実現可能とする。
本発明によればWebアプリケーションの基盤技術であるHTTP、HTMLなどの下位レイヤの深い知識を必要とすることなくシングルサインオンを実現できる。これにより低コストでのシングルサインオン環境が実現できる。
シングルサインオン実現のための一実施例について説明する。
図1はシングルサインオンを実現するためのシステム構成の一例である。SSOサーバ102はクライアント100に対してシングルサインオンサービスを提供する。クライアント100とSSOサーバ102は任意のネットワークシステム101を介して接続される。SSOサーバ102はSSOサーバのシングルサインオンサービスの提供を受けるユーザを管理するSSOサーバユーザ管理テーブル103、SSOサーバのユーザとシングルサインオン対象となるバックエンドシステムのユーザ情報を対応付けるための業務システムユーザ情報マッピングテーブル104、シングルサインオンを実現するシングルサインオンモジュール郡を格納するSSOモジュール管理テーブル105を管理下に保有する。また、業務システム1(106)および業務システム2(107)は本実施例におけるシングルサインオン対象の情報システムである。本実施例ではバックエンドシステムは2つであるが、1つ以上の任意の数のバックエンドシステムへのシングルサインオンサービスを提供可能である。
図1はシングルサインオンを実現するためのシステム構成の一例である。SSOサーバ102はクライアント100に対してシングルサインオンサービスを提供する。クライアント100とSSOサーバ102は任意のネットワークシステム101を介して接続される。SSOサーバ102はSSOサーバのシングルサインオンサービスの提供を受けるユーザを管理するSSOサーバユーザ管理テーブル103、SSOサーバのユーザとシングルサインオン対象となるバックエンドシステムのユーザ情報を対応付けるための業務システムユーザ情報マッピングテーブル104、シングルサインオンを実現するシングルサインオンモジュール郡を格納するSSOモジュール管理テーブル105を管理下に保有する。また、業務システム1(106)および業務システム2(107)は本実施例におけるシングルサインオン対象の情報システムである。本実施例ではバックエンドシステムは2つであるが、1つ以上の任意の数のバックエンドシステムへのシングルサインオンサービスを提供可能である。
シングルサインオンサービスを受ける場合、ユーザは、まずはじめにクライアント100からSSOサーバ102にログインする。SSOサーバ102はユーザの認証を行い、認証が成功すると図2に示すようなシングルサインオンサービス画面をクライアント100に返却する。基本的な画面構成としては、シングルサインオン対象のリンク(200,201)が列挙されたものとなる。リンクは202のようにシングルサインオン対象が分かるようクエリなどが埋め込まれている。
SSOサーバユーザ管理テーブル103、業務システムユーザ情報マッピングテーブル104、SSOモジュール管理テーブル105のテーブル構成はそれぞれ図3、図4、図5を示す通りである。SSOサーバユーザ管理テーブル103にはSSOサーバ102が提供するシングルサインオンサービスの提供を受けるユーザの認証を行うための情報としてユーザID300とパスワード301とが格納されている。本実施例では、シングルサインオンサービスのユーザの認証方法として一般的に用いられる、ユーザID、パスワードを用いた方法をとっているが、他の認証方法を採用してもよい。例えば、ICカードによるクライアント認証なども採用可能であり、SSOサーバユーザ管理テーブル103に予め保存する情報の種類は採用する認証方法による。業務システムユーザ情報マッピングテーブル104は、SOOサーバ102のユーザと、個々のバックエンドシステムのユーザを紐付けするためのテーブルである。たとえば、SSOサーバ102のユーザIDが"u0000001"のユーザ(302)は、業務システム1のユーザ"bk1u0001"(303)、および業務システム2のユーザ"bk2u0001"(305)に対応している。また、本テーブルはバックエンドシステムへのログインに必要な情報も合わせて格納している。本実施例では業務システム1、業務システム2共にユーザID、パスワードで認証しており、パスワードがそれぞれ格納されている(304、306)。本実施例ではユーザID、パスワードで認証する例をあげているが、企業コードやX.509証明書など任意の情報を格納可能である。本マッピング情報は、システム管理者が一括で設定したり、図6に示すようなインターフェイスをSSOサーバ100にもたせ、ユーザごとに設定させたりすることが可能である。
次いで、SSOモジュール管理テーブル105について説明する。SSOモジュール管理テーブル105には実際にSSOを実現するためのプログラムモジュールが格納されている。なお、SSOモジュールの実装方法は「特許文献1」に詳しく記述されている。
ここでは、シングルサインオンモジュールの一例を図8、図9を用いて説明する。本シングルサインオンモジュールは、バックエンドシステムのセッショントラッキング方式がクッキー方式、URL書き換え方式の何れにでも適用できるシングルサインオンモジュールである。図8はクライアント100、SSOサーバ102、バックエンドシステム106間の処理の流れを、図9は自動ログインで流れる情報を示す。クライアント100のシングルサインオン要求を受け取ったSSOサーバ102は、WebアプリSSO対応テーブル504から、バックエンドシステムに対応するSSOモジュールを検索し、検索されたSSOモジュール600を呼びだす(602)。なお、登録、呼び出し方法については後述する。呼び出されたSSOモジュールは、ステップ603で業務システム1(106)のユーザID、パスワードを業務システムユーザ情報マッピングテーブル104から取得した後、図9の700に示す応答HTMLをクライアント100に返却する(604)。図9のHTML(700)は業務システム1(106)のログイン用フォームにユーザIDとパスワードを予め埋め込んだHTMLに、更に「inputをhidden属性とする」、「HTML読み込み時にフォームをサブミットする」の二つの変更を行ったものである。ログイン用フォームを受け取ったクライアント100は、onloadイベントのイベントハンドラスクリプトによりHTML読み込み完了と同時にフォームのサブミットを行う(605)。図9の701にサブミットされるリクエストを示す。本リクエストは、ユーザがログイン画面にユーザID、パスワードを入力後にサブミットしたリクエストと同様となる。従って、業務システム1(106)へログインを行うことができる。これにより自動ログインを実現できる。上記が実際にSSOモジュールでシングルサインを行う一例である。
さて、図3のSSOモジュール管理テーブル105は、上記で一例として説明したSSOモジュールに加えてSSOモジュールが適用可能な通信パターンを記述したファイルのパス308およびSSOモジュールを識別するためのインデックス307からなる。図10に通信パターン例を示す。本例では通信パターンを定義するためにXML形式ファイルを用いるが、下記通信パターンが記述できれば任意の記述方法を用いてよい。ここでは、ベーシック認証(800)およびCookieでセッショントラッキングを行うForm認証例(803)を示す。通信パターン記述はログイン画面表示のリクエスト、レスポンス(801、804)および認証情報送付時のリクエスト、レスポンス(802、805)からなり、それぞれmessage要素にて記述している。message要素は、リクエストのパターンを示すrequest要素およびレスポンスのパターンを示すresponse要素からなる。request要素は、HTTPのリクエスト形式に対応して、scheme要素、method要素、header要素からなる。scheme要素は、通信タイプとして「http」もしくは「https」を指定する。method要素では主に認証情報送付方式として「GET」もしくは「POST」を指定する。header要素ではリクエストヘッダのヘッダ名、値に対応して、name属性、value属性をそれぞれ指定する。一方、response要素は、HTTPのレスポンス形式に対応している。基本的にheader要素で必要なヘッダー情報を定義する。なお、expression要素は特別な要素で、子要素の論理和を指定するために使用する。805の例では、「Set-Cookie」もしくは「Set-Cookie2」ヘッダの両方もしくは何れかが存在することを示している。なお、パターンに記述された情報は必須の情報をあらわしている。
図10の2例について説明すると、ベーシック認証800は、ログイン画面表示の際のレスポンスヘッダ(801)に「WWW-Authenticate」、ログイン情報送付の際のリクエストヘッダに「WWW-Authorization」がそれぞれ現れることを示している。また、ログイン情報送付は「http」によって行っている。後述する通信ログと本通信パターンのマッチングが取れた場合、本通信パターンに対応するシングルサインオンモジュールにしてシングルサインオンを実現することが出来る。
Cookieでセッショントラッキングを行うForm認証803は、ログイン画面表示の際のリクエスト、レスポンスは特に規定せず、ログイン情報送付の際のリクエストが、schemaが「http」、methodが「POST」、リクエストヘッダに「Content-Type : application/x-www-form-urlencoded」および「Content-Length」の指定が現れることを示している。ベーシック認証800と同様に、後述する通信ログと本通信パターンのマッチングが取れた場合、本通信パターンに対応するシングルサインオンモジュールにしてシングルサインオンを実現することが出来る。
Cookieでセッショントラッキングを行うForm認証803は、ログイン画面表示の際のリクエスト、レスポンスは特に規定せず、ログイン情報送付の際のリクエストが、schemaが「http」、methodが「POST」、リクエストヘッダに「Content-Type : application/x-www-form-urlencoded」および「Content-Length」の指定が現れることを示している。ベーシック認証800と同様に、後述する通信ログと本通信パターンのマッチングが取れた場合、本通信パターンに対応するシングルサインオンモジュールにしてシングルサインオンを実現することが出来る。
次いで、図7を用いてSSOサーバ102の構成について説明する。SSOサーバ102は、HTTP/HTTPSプロキシ部500、通信ログ取得部501、SSOモジュール選択部502およびSSO実行部503、そしてWebアプリSSO対応テーブル504からなる。
HTTP/HTTPSプロキシ部500および通信ログ取得部501は、HTTP/HTTPSが一般的なプロキシサーバのような動作を行いバックエンドシステムへのログイン操作の通信ログを取得する。なお、HTTPSの場合、クライアント100とSSOサーバ102間をHTTP通信、SSOサーバ102とバックエンドシステム間をHTTPS通信とすることで、HTTPレベルの通信ログを取得する。WebアプリSSO対応テーブル504は、Webアプリを識別するためのIDとSSOモジュールIDの組み合わせからなる。
HTTP/HTTPSプロキシ部500および通信ログ取得部501は、HTTP/HTTPSが一般的なプロキシサーバのような動作を行いバックエンドシステムへのログイン操作の通信ログを取得する。なお、HTTPSの場合、クライアント100とSSOサーバ102間をHTTP通信、SSOサーバ102とバックエンドシステム間をHTTPS通信とすることで、HTTPレベルの通信ログを取得する。WebアプリSSO対応テーブル504は、Webアプリを識別するためのIDとSSOモジュールIDの組み合わせからなる。
図11にSSOサーバ102の動作例を示す。
シングルサインオンサービスは2つのステップからなる。第1のステップは初期設定でありバックエンドシステムのログイン方式の解析およびSSOモジュールの選択、第2のステップはシングルサインオンサービスの提供をうけるステップであり、第1のステップで選択されたSSOモジュールを用いてシングルサインオンサービスの提供を受ける。
シングルサインオンサービスは2つのステップからなる。第1のステップは初期設定でありバックエンドシステムのログイン方式の解析およびSSOモジュールの選択、第2のステップはシングルサインオンサービスの提供をうけるステップであり、第1のステップで選択されたSSOモジュールを用いてシングルサインオンサービスの提供を受ける。
初めに第1のステップである初期設定について説明する。バックエンドシステムのログイン方式を解析するために、SSOサーバ102は、バックエンドシステムのログインページのURLをクライアント100から指定してもらう(900)。SSOサーバ102は、ログインページのURLの入力を受け付けると、ログインページ取得処理901として、指定されたURLへHTTP GETリクエストを出す(902)。ログインページ要求902を受け取った業務システム1(106)は、ログインページを生成(903)し、SSOサーバ102にログインページを応答する(904)。
SSOサーバ102は、ログインページを受け取り、通信ログとしてログインページ要求902およびログインページ応答904を記録する(905)。ログインページリクエスト902に対応する通信ログは図12の1000となる。リクエストの通信ログは、リクエストURL、リクエストメソッド、リクエストヘッダおよびリクエストボディとなる。業務システム1(106)からのレスポンス904に対応する通信ログは図12の1001となる。レスポンスの通信ログは、レスポンスコード、レスポンスヘッダ、レスポンスボディからなる。
通信ログ記録後、SSOサーバ102は、業務システム1(106)の応答したログインページ(904)のログインFormのactionで指定されているURLをSSOサーバ102を経由するよう書き換える。ついで、書き換え結果のログイン画面をクライアント100に返却する(907)。なお、Basic認証の場合は、本書き換え処理は行わない。ログイン画面を受け取ったクライアント100は、ユーザからの認証情報の入力を受け付ける(908)。認証情報としては、たとえばユーザID、パスワードなどがある。認証情報入力し、ログイン要求を行うと、URLが変更されているので要求はSSOサーバ102に送信される(909)。ログイン要求を受け取ったSSOサーバ102は、ログインページ要求と同様に、ログイン要求の通信を記録する(910)。通信ログ例を図12の1002に示す。ログインリクエストの通信ログと同様に、リクエストURL、リクエストメソッド、リクエストヘッダ、リクエストボディをそれぞれ記録する。通信ログ記録後、そのままバックエンドシステムにログイン要求を転送する(911)。ログイン要求を受け取ったバックエンドシステムは、認証を行い(912)、認証後ページを返却する(913)。認証後ページを受け取ったSSOサーバ102は、これまでのステップと同様に通信を記録(914)し、クライアント100に認証後ページを転送する(915)。
ついで、図13を用いてバックエンドシステムに適用可能なSSOモジュール候補を選択する処理について説明する。まず初めに、SSOモジュール管理テーブル105の適用可能通信パターン308を取り出し、それぞれについてマッチング処理を行う。具体的には、図10で示した適用可能通信パターンに現れるヘッダなどが、図12で示した通信ログ中に現れているか否かを確認する(1101)。通信ログが通信パターンにマッチした場合、適用可能SSOモジュール候補としてSSOモジュールIDを記録しておく(1102)。本処理を全てのSSOモジュールについて実施する(1103)。本処理を実施すると適用可能性のあるSSOモジュールを選択できる。
ついで、実際にSSOモジュールが適用可能か検査を行う。具体的な処理の流れを図14に示す。図13で適用可能と記録(1102)されたSSOモジュールについて、以下の処理を行う(1200)。実際にSSOモジュールを用いてシングルサインオンを実行し、シングルサインオン後画面をクライアントに提示し、ログイン成否の回答を受け付ける(1201)。ログインが失敗した場合(1207)、次の候補について同様の処理を行う。ログインが成功した場合(1205)、Webアプリ対応テーブル504に、SSOモジュールIDを記録する。また、全てのSSOモジュールについてログインが失敗した場合や、そもそも適用候補がない場合には、たとえば、「適用可能SSOモジュールはありません」とワーニングメッセージをクライアント100に出力する。この場合、本ログイン方式に対応したSSOモジュールを開発する必要がある。なお、本検査に先立って、SSOモジュールの設定として、SSOモジュールが業務システムに認証情報として送付するユーザID、パスワードのフィールド名を設定しておく。
上記により、バックエンドに対応したSSOモジュールが選択できた。実際にシングルサインオンを実施する場合は、図8、図9の説明の通り行う。
上記により、バックエンドに対応したSSOモジュールが選択できた。実際にシングルサインオンを実施する場合は、図8、図9の説明の通り行う。
次いで、第2の実施例について説明する。「特許文献1」で記載されているように、バックエンドシステムのログイン方式に着目した場合、適用可能なシングルサインオン方式は必ずしも一つではない。また、シングルサインオンは、実装方式により、セキュリティレベルの差異や必要とする計算機リソース量に差が出る。実施例1では、図14の処理の流れのように、そのことを考慮せず、もっとも早く適用可能と判定されたSSOモジュールを選択したいた。そこで、SSOモジュール判定にSSOモジュールの属性を加味させるべく、SSOモジュール管理テーブル105にSSOモジュールの属性を加える。ここでは、SSOモジュールのセキュリティ強度を追加した例を示す。上記テーブル項目の追加に加え、図14の処理フロー中のSSOモジュールID記録処理1204後の遷移を処理終了にするのではなく、1203の前段にすることで、適用可能なSSOモジュールが複数となる場合が発生する。複数のSSOモジュールが適用可能となった場合、図15に示すSSOモジュールの属性に基づいて選択を行うものとする。
更に、第3の実施例について説明する。
上記2実施例では、適用可能なSSOモジュールについて、実際に適用可能かはクライアントの判断、すなわちユーザの判断に委ねられていた。そこで、成否判定を更に自動化するために、図14のステップ1201の判定を、図11のログ取得フェーズの認証後ページのログ(914)とSSOモジュールの実行結果を用いて行うものとする。これにより、ユーザに頼らずに全自動でSSOモジュールの選択が可能となる。
上記2実施例では、適用可能なSSOモジュールについて、実際に適用可能かはクライアントの判断、すなわちユーザの判断に委ねられていた。そこで、成否判定を更に自動化するために、図14のステップ1201の判定を、図11のログ取得フェーズの認証後ページのログ(914)とSSOモジュールの実行結果を用いて行うものとする。これにより、ユーザに頼らずに全自動でSSOモジュールの選択が可能となる。
更に、第4の実施例について説明する。本実施例も、成否判定の自動化を行うためものである。
図11における通信ログ取得フェーズのログインページURL入力の際(900)に、ログインに成功した場合に現れるキーワードも合わせて入力する。次いで、SSOモジュールのログイン成否判定を行う図14のステップ1201の判定を、SSOモジュールの実行結果の画面に対して本キーワードが含まれているか否かに代用する。これにより、ユーザに頼らずに全自動でSSOモジュールの選択が可能となる。上記では、ログインに成功した場合に現れるキーワードでログイン成功を判定しているが、その逆に、ログインに失敗した場合に現れるキーワードを入力してもらい、失敗判定を行うことも可能である。
以上が実施例の説明である。
図11における通信ログ取得フェーズのログインページURL入力の際(900)に、ログインに成功した場合に現れるキーワードも合わせて入力する。次いで、SSOモジュールのログイン成否判定を行う図14のステップ1201の判定を、SSOモジュールの実行結果の画面に対して本キーワードが含まれているか否かに代用する。これにより、ユーザに頼らずに全自動でSSOモジュールの選択が可能となる。上記では、ログインに成功した場合に現れるキーワードでログイン成功を判定しているが、その逆に、ログインに失敗した場合に現れるキーワードを入力してもらい、失敗判定を行うことも可能である。
以上が実施例の説明である。
100:クライアント、101:ネットワーク、102:シングルサインオンサーバ、103:SSOサーバユーザ管理テーブル、104:業務システムユーザ情報マッピングテーブル、105:SSOモジュール管理テーブル、106、107:バックエンドサーバ。
Claims (5)
- それぞれがWebアプリケーションを提供する複数のWebアプリケーションサーバと前記Webアプリケーションを操作するWebクライアントと、前記WebアプリケーションとWebクライアントの間に介在し、シングルサインオン機能を提供するシングルサインオンサーバからなる分散システムにおけるシングルサインオン実現方法であって、
前記シングルサインオンサーバは、認証、セッション維持方式種別ごとのシングルサインオンモジュール、および該シングルサインオンモジュールのそれぞれについて該シングルサインオンモジュールが適用可能な通信プロトコルを定義した通信パターン定義、シングルサインオン対象となるWebアプリケーションに対応可能なシングルサインオンモジュールを関連付けるWebアプリSSO対応テーブル、シングルサインオンサーバのユーザIDに対応するWebアプリケーションごとのユーザID、パスワードを格納するユーザ情報マッピングテーブルを具備し、
(1) 前記シングルサインオンサーバがWebアプリケーションサーバに対するログイン操作の通信ログを取得するステップと、
(2) 前記シングルサインオンサーバが、ステップ(1)で取得した通信ログとシングルサインオンサブプログラムが適用可能な通信プロトコルを定義した通信パターン定義のマッチングを取り、適用可能と考えられるシングルサインオンサブプログラムを選択するステップと、
(3) 前記シングルサインオンサーバが、ステップ(2)で選択したシングルサインオンサブプログラムにより実際にシングルサインオンをを試みるステップと、
(4) 前記シングルサインオンサーバが、ステップ(3)の実行結果をクライアントに提示し、シングルサインオンの成否判定を受け取るステップと、
(5) 前記シングルサインオンサーバが、ステップ(4)で取得したシングルサインオン成功と判定されたシングルサインオンサブプログラムをWebアプリSSO対応テーブルに設定するステップと、
(6) 前記シングルサインオンサーバが、クライアントからのシングルサインオンの要求を受け付けるステップと、
(7) 前記シングルサインオンサーバが、WebアプリSSO対応テーブルから適用可能なシングルサインオン方式を取得し、シングルサインオンサブプログラムにシングルサインオンの実行を依頼するステップと、
(8) 前記シングルサインオンモジュールが、ユーザ情報マッピングテーブルから必要なユーザID、パスワードを取得し、シングルサインオンを実行するステップとを含むことを特徴とするシングルサインオン実現方法。 - 請求項1記載のシングルサインオン実現方法において、前記シングルサインオンモジュールにセキュリティ強度や使用する計算機リソース量の属性情報を予め登録するステップを更に有し、前記ステップ(4)のシングルサインオン成否判定では、複数のシングルサインオンモジュールが選択された場合、管理者が予め定義しておいたセキュリティ強度と使用可能な計算機リソース量を定義したポリシー情報に基づいてシングルサインオンモジュールを選択することを特徴とするシングルサインオン実現方法。
- 前記ステップ(4)のシングルサインオン成否判定を、前記ステップ(1)の通信ログ取得フェーズで取得したログイン後画面とのマッチングにより代用することを特徴とする請求項1記載のシングルサインオン実現方法。
- 前記ステップ(4)のシングルサインオン成功判定を、HTML中の特定のキーワードにより行うことを特徴とする請求項1記載のシングルサインオン実現方法。
- 前記ステップ(4)のシングルサインオン失敗判定を、HTML中の特定のキーワードにより行うことを特徴とする請求項1記載のシングルサインオン実現方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005153261A JP4779444B2 (ja) | 2005-05-26 | 2005-05-26 | シングルサインオン実現方法 |
| US11/440,081 US8006294B2 (en) | 2005-05-26 | 2006-05-25 | System and method for single sign-on |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005153261A JP4779444B2 (ja) | 2005-05-26 | 2005-05-26 | シングルサインオン実現方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006331044A true JP2006331044A (ja) | 2006-12-07 |
| JP4779444B2 JP4779444B2 (ja) | 2011-09-28 |
Family
ID=37464789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005153261A Expired - Fee Related JP4779444B2 (ja) | 2005-05-26 | 2005-05-26 | シングルサインオン実現方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8006294B2 (ja) |
| JP (1) | JP4779444B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011197874A (ja) * | 2010-03-18 | 2011-10-06 | Fujitsu Ltd | サーバ装置およびプログラム |
| JP2012252600A (ja) * | 2011-06-03 | 2012-12-20 | Nippon Telegr & Teleph Corp <Ntt> | 利用者識別子の変換システム及び変換方法 |
| JP2013114530A (ja) * | 2011-11-30 | 2013-06-10 | Konica Minolta Business Technologies Inc | ネットワークシステム、情報処理装置およびその制御方法、ならびにコンピュータープログラム |
| JP2013242917A (ja) * | 2010-08-31 | 2013-12-05 | Canon Marketing Japan Inc | 情報処理システム、情報処理装置、及びその制御方法及びプログラム |
| JP2017142619A (ja) * | 2016-02-09 | 2017-08-17 | 日本電信電話株式会社 | Api連携装置、api連携方法及びapi連携プログラム |
| JP2019168956A (ja) * | 2018-03-23 | 2019-10-03 | 日本電気株式会社 | ログイン代行システムおよびログイン代行方法 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7793343B2 (en) * | 2006-03-03 | 2010-09-07 | Oracle America, Inc. | Method and system for identity management integration |
| US7912762B2 (en) | 2006-03-31 | 2011-03-22 | Amazon Technologies, Inc. | Customizable sign-on service |
| US8925052B2 (en) * | 2006-07-26 | 2014-12-30 | At&T Intellectual Property I, L.P. | Application integration |
| US8700788B2 (en) | 2006-08-18 | 2014-04-15 | Smarticon Technologies, Llc | Method and system for automatic login initiated upon a single action with encryption |
| CN101599951A (zh) * | 2008-06-06 | 2009-12-09 | 阿里巴巴集团控股有限公司 | 一种发布网站信息的方法、装置及系统 |
| TW201009767A (en) * | 2008-08-22 | 2010-03-01 | Univ Nat Chiao Tung | An array display interface of the presentation system includes multiple data units |
| US8234502B2 (en) * | 2008-08-29 | 2012-07-31 | International Business Machines Corporation | Automated password authentication |
| US8131666B2 (en) * | 2008-10-21 | 2012-03-06 | Fmr Llc | Context-based user authentication, workflow processing, and data management in a centralized application in communication with a plurality of third-party applications |
| US8392969B1 (en) * | 2009-06-17 | 2013-03-05 | Intuit Inc. | Method and apparatus for hosting multiple tenants in the same database securely and with a variety of access modes |
| US9325500B2 (en) * | 2010-03-03 | 2016-04-26 | Red Hat, Inc. | Providing support for multiple authentication chains |
| FR2964813B1 (fr) * | 2010-09-14 | 2013-04-26 | Evidian | Dispositif de gestion de comptes utilisateurs apte a cooperer avec un dispositif de signature unique |
| US9792425B2 (en) | 2010-11-02 | 2017-10-17 | Ca, Inc. | System and method for controlling state tokens |
| JP5734087B2 (ja) * | 2011-05-18 | 2015-06-10 | キヤノン株式会社 | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 |
| CN102571762A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 单点登录的方法和设备 |
| US8914516B2 (en) | 2012-05-08 | 2014-12-16 | Fmr Llc | Providing an integrated suite of cloud-based, hosted and internal applications |
| US8813206B2 (en) | 2012-11-27 | 2014-08-19 | Hong Kong Applied Science and Technology Research Institute Company Limited | Anonymous personal content access with content bridge |
| CN103888430A (zh) * | 2012-12-21 | 2014-06-25 | 鸿富锦精密工业(深圳)有限公司 | 单点登入系统及方法 |
| US20140245411A1 (en) * | 2013-02-22 | 2014-08-28 | Nokia Corporation | Method and apparatus for providing account-less access via an account connector platform |
| CN109617933B (zh) | 2013-09-20 | 2021-09-17 | 甲骨文国际公司 | 利用表单填充代理应用的基于网络的单点登录 |
| US9166791B2 (en) | 2013-11-20 | 2015-10-20 | At&T Intellectual Property I, L.P. | Method and apparatus for user identity verification |
| US9875290B2 (en) * | 2014-08-15 | 2018-01-23 | Deloitte It Inc. | Method, system and computer program product for using an intermediation function |
| CN104333557A (zh) * | 2014-11-19 | 2015-02-04 | 成都卫士通信息安全技术有限公司 | 一种基于vpn网关的单点登录系统及方法 |
| CN105959311A (zh) * | 2016-07-04 | 2016-09-21 | 天闻数媒科技(湖南)有限公司 | 一种单点登录应用系统的方法和装置 |
| US10484358B2 (en) * | 2017-05-05 | 2019-11-19 | Servicenow, Inc. | Single sign-on user interface improvements |
| CN110071903A (zh) * | 2018-01-24 | 2019-07-30 | 北大方正集团有限公司 | 单点登录多次认证的处理方法及装置 |
| CN111949955B (zh) * | 2020-07-30 | 2022-06-17 | 山东英信计算机技术有限公司 | web系统单点登录方法、装置、设备及可读存储介质 |
| CN117786651A (zh) * | 2024-02-27 | 2024-03-29 | 杭州玳数科技有限公司 | 一种基于java ClassLoader实现单点登录的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002202955A (ja) * | 2000-10-31 | 2002-07-19 | Microsoft Corp | セキュアサーバからの認証要求に対して応答を自動的にフォーミュレートするシステムおよび方法 |
| JP2002334056A (ja) * | 2001-05-08 | 2002-11-22 | Infocom Corp | ログイン代行システム及びログイン代行方法 |
| JP2005011098A (ja) * | 2003-06-19 | 2005-01-13 | Fujitsu Ltd | 代理認証プログラム、代理認証方法、および代理認証装置 |
| JP2005321970A (ja) * | 2004-05-07 | 2005-11-17 | Hitachi Ltd | コンピュータシステム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002032340A (ja) | 2000-07-14 | 2002-01-31 | Nec Corp | Webサイトに対するシングルサインオンシステム及び方法並びに記録媒体 |
| JP2002041380A (ja) | 2000-07-28 | 2002-02-08 | Five Any Inc | データ処理システム及び方法 |
| US20050240763A9 (en) * | 2001-08-06 | 2005-10-27 | Shivaram Bhat | Web based applications single sign on system and method |
| JP4758575B2 (ja) | 2001-08-09 | 2011-08-31 | ヤフー株式会社 | ユーザ認証方法、及び、ユーザ認証システム |
| US7412720B1 (en) * | 2001-11-02 | 2008-08-12 | Bea Systems, Inc. | Delegated authentication using a generic application-layer network protocol |
| JP2003141081A (ja) | 2001-11-06 | 2003-05-16 | Toshiba Corp | ネットワークシステム、サーバコンピュータ、プログラム、ログイン方法 |
| US7496953B2 (en) * | 2003-04-29 | 2009-02-24 | International Business Machines Corporation | Single sign-on method for web-based applications |
-
2005
- 2005-05-26 JP JP2005153261A patent/JP4779444B2/ja not_active Expired - Fee Related
-
2006
- 2006-05-25 US US11/440,081 patent/US8006294B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002202955A (ja) * | 2000-10-31 | 2002-07-19 | Microsoft Corp | セキュアサーバからの認証要求に対して応答を自動的にフォーミュレートするシステムおよび方法 |
| JP2002334056A (ja) * | 2001-05-08 | 2002-11-22 | Infocom Corp | ログイン代行システム及びログイン代行方法 |
| JP2005011098A (ja) * | 2003-06-19 | 2005-01-13 | Fujitsu Ltd | 代理認証プログラム、代理認証方法、および代理認証装置 |
| JP2005321970A (ja) * | 2004-05-07 | 2005-11-17 | Hitachi Ltd | コンピュータシステム |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011197874A (ja) * | 2010-03-18 | 2011-10-06 | Fujitsu Ltd | サーバ装置およびプログラム |
| US8863263B2 (en) | 2010-03-18 | 2014-10-14 | Fujitsu Limited | Server apparatus and program for single sign-on |
| JP2013242917A (ja) * | 2010-08-31 | 2013-12-05 | Canon Marketing Japan Inc | 情報処理システム、情報処理装置、及びその制御方法及びプログラム |
| JP2012252600A (ja) * | 2011-06-03 | 2012-12-20 | Nippon Telegr & Teleph Corp <Ntt> | 利用者識別子の変換システム及び変換方法 |
| JP2013114530A (ja) * | 2011-11-30 | 2013-06-10 | Konica Minolta Business Technologies Inc | ネットワークシステム、情報処理装置およびその制御方法、ならびにコンピュータープログラム |
| JP2017142619A (ja) * | 2016-02-09 | 2017-08-17 | 日本電信電話株式会社 | Api連携装置、api連携方法及びapi連携プログラム |
| JP2019168956A (ja) * | 2018-03-23 | 2019-10-03 | 日本電気株式会社 | ログイン代行システムおよびログイン代行方法 |
| JP7031415B2 (ja) | 2018-03-23 | 2022-03-08 | 日本電気株式会社 | ログイン代行システムおよびログイン代行方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060271689A1 (en) | 2006-11-30 |
| JP4779444B2 (ja) | 2011-09-28 |
| US8006294B2 (en) | 2011-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4779444B2 (ja) | シングルサインオン実現方法 | |
| US11706218B2 (en) | Systems and methods for controlling sign-on to web applications | |
| US10262142B2 (en) | Systems and methods for advanced dynamic analysis scanning | |
| US7603469B2 (en) | Provisioning aggregated services in a distributed computing environment | |
| US7415607B2 (en) | Obtaining and maintaining real time certificate status | |
| US7937655B2 (en) | Workflows with associated processes | |
| US8701173B2 (en) | System and method for providing silent sign on across distributed applications | |
| US7363339B2 (en) | Determining group membership | |
| US10911426B2 (en) | Custom authenticator for enterprise web application | |
| US20070245013A1 (en) | Cross domain provisioning methodology and apparatus | |
| US20020143943A1 (en) | Support for multiple data stores | |
| US20050015491A1 (en) | Systems, methods, and articles of manufacture for dynamically providing web services | |
| US20150188922A1 (en) | Parallel on-premises and cloud-based authentication | |
| CN102064953A (zh) | ldap服务器的用户权限信息配置系统、装置和方法 | |
| CN103490896A (zh) | 多用户网站自动登录器及其实现方法 | |
| CN105681291B (zh) | 一种实现多客户端统一认证方法及系统 | |
| JP2003162449A (ja) | アクセス統合管理システム、アクセス統合管理装置及び方法並びにプログラム | |
| US20100174826A1 (en) | Information gathering system and method | |
| US7412495B2 (en) | Method, system, and article of manufacture for a server side application | |
| Kinnunen | Designing a Node. js full stack web application | |
| Szabo | Web-based device reservation system for JyvSecTec | |
| Green et al. | Automatic Certificate Based Account Generation and Secure AJAX Calls in a Grid Portal | |
| Han et al. | A web-based graduate application database system | |
| Bain et al. | Connectivity | |
| Lauret et al. | Grid Service for User-Centric Job |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080327 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110329 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110516 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110607 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110620 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |