JP2012003338A - Authentication system, authentication proxy server, control program, and authentication method - Google Patents

Authentication system, authentication proxy server, control program, and authentication method Download PDF

Info

Publication number
JP2012003338A
JP2012003338A JP2010135362A JP2010135362A JP2012003338A JP 2012003338 A JP2012003338 A JP 2012003338A JP 2010135362 A JP2010135362 A JP 2010135362A JP 2010135362 A JP2010135362 A JP 2010135362A JP 2012003338 A JP2012003338 A JP 2012003338A
Authority
JP
Japan
Prior art keywords
authentication
application
terminal
server
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010135362A
Other languages
Japanese (ja)
Inventor
Raika Uki
等以香 宇木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010135362A priority Critical patent/JP2012003338A/en
Publication of JP2012003338A publication Critical patent/JP2012003338A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an authentication system, an authentication proxy server, a control program, and an authentication method for executing authentication without notifying the other device of user identification information via a network which is open to a third person.SOLUTION: This authentication system includes: an application (APL) use terminal 10; an authentication proxy server 20 connected to the APL use terminal 10 and the Intranet 50 for executing the authentication of the APL use terminal 10; an APL server 30 connected to a network 60; and an authentication server 40 connected to the network 60 for storing an authentication execution result. The authentication proxy server 20 executes the authentication based on user identification information output from the APL use terminal 10, and transmits an authentication execution result to the APL use terminal 10 and the authentication server 40. The APL server 30 determines APL provision possibility/impossibility with respect to the APL use terminal 10 by using the acquired authentication execution result.

Description

本発明は認証システム、認証代理サーバ、制御プログラム及び認証方法に関し、特にアプリケーションの提供可否を判定するために用いられる認証システム、認証システムに用いられる認証代理サーバ、認証代理サーバに用いられる制御プログラム及び認証システムにおける認証方法に関する。   The present invention relates to an authentication system, an authentication proxy server, a control program, and an authentication method, and in particular, an authentication system used to determine whether an application can be provided, an authentication proxy server used in the authentication system, a control program used in the authentication proxy server, and The present invention relates to an authentication method in an authentication system.

一般的に、ソフトウェアは、全てのユーザにとって必要な機能がすべてまとめられ、全てのユーザに同じ機能を提供することができるように構成されている。このようなソフトウェアは、あるユーザにとっては、あまり必要のない機能が多く搭載された冗長なものとなる。そのため、このようなユーザは、必要のない機能に対しても料金を支払っていることになる。そこで、個々のユーザが本当に必要な機能のみをオンデマンドによって利用でき、その機能に対してのみ支払いをするSaaS(Software as a service)というソフトウェアの配布形態が注目されている。   Generally, the software is configured such that all functions necessary for all users are collected and the same functions can be provided to all users. Such software is redundant with many functions that are not necessary for a certain user. Therefore, such a user pays for a function that is not necessary. Therefore, a software distribution form called SaaS (Software as a service) in which each user can use only a function that is really necessary on demand and pay only for the function has been attracting attention.

具体的に、SaaSとは、ソフトウェアが有する機能のうち、ユーザが必要とする機能のみを配布し、ユーザが必要とする機能のみを利用できるようにしたソフトウェアの配布形態である。このようにすることで、ユーザは、利用する機能に応じた分の料金のみを支払うことができる。また、ユーザがソフトウェアを利用する形態として、次の二つの形態がある。一つ目の利用形態として、ユーザは、必要な機能をダウンロードし、自身の端末にインストールすることにより、ソフトウェアを利用することができる。二つ目の利用形態として、ユーザは、サーバ上で動作するソフトウェアの機能を、ネットワークを介して、オンラインで利用することができる。   Specifically, SaaS is a software distribution form in which only the functions required by the user are distributed among the functions of the software so that only the functions required by the user can be used. By doing in this way, the user can pay only the charge according to the function to utilize. Moreover, there are the following two forms as a form in which the user uses the software. As a first usage mode, the user can use the software by downloading a necessary function and installing it in his / her terminal. As a second usage mode, the user can use the function of the software operating on the server online via the network.

SaaSにおいて、アプリケーションサーバは、認証を受けたユーザにのみアプリケーションを提供することができる。SaaSにおける認証方式として、シングルサインオンがある。シングルサインオンとは、ユーザが一度認証を受けることにより、許可されている全ての機能を利用できるようになる認証方式である。ここで、2つのシングルサインオン方式について、図5及び図6を用いて説明する。   In SaaS, the application server can provide an application only to an authenticated user. There is single sign-on as an authentication method in SaaS. Single sign-on is an authentication method that allows a user to use all permitted functions once authenticated. Here, two single sign-on systems will be described with reference to FIGS.

はじめに、図5を用いてエージェントモジュール方式を用いたシングルサインオンについて説明する。SaaS利用者端末100は、インターネット150を介して、シングルサインオン(SSO)基盤120にログインする。SSO基盤120は、SaaSデータセンタ110内に配置されている。SSO基盤120は、SaaS利用者端末100から送信されたユーザID及びパスワードを用いて、トークンを生成する。トークンは、アプリケーションを識別するAPL−IDと、SaaS利用者端末100を識別するAPLユーザIDと対応付けられている。SSO基盤120は、生成したトークンをSaaS利用者端末100へ送信する。   First, single sign-on using the agent module method will be described with reference to FIG. The SaaS user terminal 100 logs into the single sign-on (SSO) infrastructure 120 via the Internet 150. The SSO infrastructure 120 is arranged in the SaaS data center 110. The SSO infrastructure 120 generates a token using the user ID and password transmitted from the SaaS user terminal 100. The token is associated with an APL-ID that identifies the application and an APL user ID that identifies the SaaS user terminal 100. The SSO infrastructure 120 transmits the generated token to the SaaS user terminal 100.

SaaS利用者端末100は、SSO基盤120から送信されたトークンを用いて、アプリケーションサーバ140へアクセスを行う。アプリケーションサーバ140は、アプリケーションデータセンタ130内に配置されている。SSO利用者端末100からのアクセスに基づいて、アプリケーションサーバ140は、SSO基盤120へ認証要求を行う。認証要求には、Saas利用者端末100から送信されたトークンが含まれている。SSO基盤120は、認証要求に含まれているトークンと対応付けられているAPLユーザIDを抽出する。SSO基盤120は、抽出したAPLユーザIDを、アプリケーションサーバ140へ送信する。アプリケーションサーバ140は、SaaS利用者端末100と、SSO基盤120とから送信されたAPLユーザIDとが一致する場合に、SaaS利用者端末100に対して、ログイン後の画面を表示するための画面データを送信する。これにより、Saas利用者端末100は、アプリケーションサーバ140が提供するアプリケーションを利用することができる。   The SaaS user terminal 100 accesses the application server 140 using the token transmitted from the SSO infrastructure 120. The application server 140 is arranged in the application data center 130. Based on the access from the SSO user terminal 100, the application server 140 makes an authentication request to the SSO infrastructure 120. The authentication request includes a token transmitted from the Saas user terminal 100. The SSO infrastructure 120 extracts the APL user ID associated with the token included in the authentication request. The SSO infrastructure 120 transmits the extracted APL user ID to the application server 140. The application server 140 displays screen data for displaying a screen after login on the SaaS user terminal 100 when the APL user ID transmitted from the SaaS user terminal 100 and the SSO infrastructure 120 match. Send. Thereby, the Saas user terminal 100 can use the application provided by the application server 140.

続いて、図6を用いてリバースプロキシ方式を用いたシングルサインオンについて説明する。なお、図5と同一の装置には同一の符号を付して説明する。SaaS利用者端末100は、インターネット150を介して、シングルサインオン(SSO)基盤120にログインする。SSO基盤120は、SaaS利用者端末100から送信されたユーザID及びパスワードを用いて、アプリケーションサーバ140へログインする。さらに、SSO基盤120は、ログイン時に、SaaS利用者端末100のIPアドレスもアプリケーションサーバ140へ送信する。この場合、SSO基盤120は、インターネット150を介して、アプリケーションサーバ140へログインする。アプリケーションサーバ140は、SSO基盤120から送信されたSaaS利用者端末100のユーザID及びパスワードを用いて、認証を実施する。ユーザID及びパスワードが、あらかじめ登録されているSaaS利用者端末100を識別するユーザID及びパスワードと一致する場合、SaaS利用者端末100に対して、ログイン後の画面を表示するための画面データを送信する。これにより、Saas利用者端末100は、アプリケーションサーバ140が提供するアプリケーションを利用することができる。   Next, single sign-on using the reverse proxy method will be described with reference to FIG. The same apparatus as that of FIG. 5 is described with the same reference numerals. The SaaS user terminal 100 logs into the single sign-on (SSO) infrastructure 120 via the Internet 150. The SSO infrastructure 120 logs into the application server 140 using the user ID and password transmitted from the SaaS user terminal 100. Furthermore, the SSO infrastructure 120 also transmits the IP address of the SaaS user terminal 100 to the application server 140 at the time of login. In this case, the SSO platform 120 logs into the application server 140 via the Internet 150. The application server 140 performs authentication using the user ID and password of the SaaS user terminal 100 transmitted from the SSO infrastructure 120. When the user ID and password match the user ID and password for identifying the SaaS user terminal 100 registered in advance, screen data for displaying the screen after login is transmitted to the SaaS user terminal 100. To do. Thereby, the Saas user terminal 100 can use the application provided by the application server 140.

また、特許文献1には、イントラネットとインターネット上とにある複数のサービスに同時にログインできるシステムにおける、識別情報(ID)の使用形態が開示されている。具体的には、イントラネットに接続されている端末は、はじめにIDを入力する。イントラネット内のサーバにおいて、入力されたIDに対応するイントラネットのアカウントがない場合は、入力されたIDを用いてインターネット上のアプリケーションサーバが提供するサービスにログインする。また、入力されたIDに対応するイントラネットのアカウントがある場合、入力されたIDを変換した別のIDを使用してインターネット上のアプリケーションサーバにログインする。   Patent Document 1 discloses a usage form of identification information (ID) in a system capable of simultaneously logging in to a plurality of services on an intranet and the Internet. Specifically, a terminal connected to the intranet first inputs an ID. If the intranet server does not have an intranet account corresponding to the input ID, the server logs in to the service provided by the application server on the Internet using the input ID. When there is an intranet account corresponding to the input ID, the user logs in to the application server on the Internet using another ID obtained by converting the input ID.

特開2006−92039号公報JP 2006-92039 A

しかし、上述したエージェントモジュール方式、リバースプロ式方式及び特許文献1に開示された技術においては、次のような問題が生じる。サービスの提供を受ける端末は、認証を受けるために、自己を識別するID及びパスワードをSSO基盤又はアプリケーションサーバ等に通知する必要がある。しかし、SSO基盤及びアプリケーションサーバは、第三者にオープンなネットワークであるインターネットに接続されている。そのため、インターネットを介してID及びパスワードがSSO基盤又はアプリケーションサーバ等に通知された場合、第三者が、ID及びパスワードを不正に入手することができるという問題が生じる。これを防止するために、SSL(Secure Socket Layer)や、VPN(Virtual Private Network)といった、インターネット上のデータを暗号化して送信する技術がある。しかし、ID及びパスワードが、インターネットを介して送信されるため、ID及びパスワードが、第三者によって不正に入手されないことを完全に保証することはできない。   However, the above-described agent module method, reverse pro method, and the technique disclosed in Patent Document 1 have the following problems. In order to receive authentication, a terminal receiving service provision needs to notify an SSO base or an application server of an ID and password for identifying itself. However, the SSO platform and the application server are connected to the Internet, which is a network open to third parties. Therefore, when the ID and password are notified to the SSO base or the application server via the Internet, there arises a problem that a third party can obtain the ID and password illegally. In order to prevent this, there are technologies such as SSL (Secure Socket Layer) and VPN (Virtual Private Network) that encrypt data on the Internet and transmit it. However, since the ID and password are transmitted via the Internet, it cannot be completely guaranteed that the ID and password are not obtained illegally by a third party.

本発明はこのような問題を解決するためになされたものであり、ユーザ固有の識別子であるユーザID及びパスワードが、第三者にオープンなネットワークを介して他の装置へ通知されることなく認証を行う認証システム、認証代理サーバ、制御プログラム及び認証方法を提供することを目的とする。   The present invention has been made to solve such a problem, and the user ID and password, which are user-specific identifiers, are authenticated without being notified to other devices via an open network to a third party. It is an object to provide an authentication system, an authentication proxy server, a control program, and an authentication method.

本発明の第1の態様にかかる認証システムは、アプリケーション利用端末と、前記アプリケーション利用端末が接続されているイントラネットに接続され、前記アプリケーション利用端末の認証を実行する認証代理サーバと、前記イントラネットとは異なるネットワークに接続され、前記アプリケーション利用端末にアプリケーションを提供するアプリケーションサーバと、前記イントラネットとは異なるネットワークに接続され、前記認証代理サーバにおける認証実行結果を保持する認証サーバと、を備え、前記認証代理サーバは、前記アプリケーション利用端末から出力された第1のユーザ識別情報に基づいて認証を実行し、当該認証における認証実行結果を前記アプリケーション利用端末と、前記認証サーバとに送信し、前記アプリケーションサーバは、前記アプリケーション利用端末と、前記認証サーバとが有する前記認証実行結果を用いて、前記アプリケーション利用端末に対するアプリケーション提供可否を決定するものである。   The authentication system according to the first aspect of the present invention includes an application using terminal, an authentication proxy server connected to the intranet to which the application using terminal is connected, and executing authentication of the application using terminal, and the intranet. An authentication server connected to a different network and providing an application to the application using terminal; and an authentication server connected to a network different from the intranet and holding an authentication execution result in the authentication proxy server. The server performs authentication based on the first user identification information output from the application using terminal, transmits an authentication execution result in the authentication to the application using terminal and the authentication server, and transmits the application. Deployment server, and the application user terminal, by using the authentication execution result with the authentication server, which determines the application provision adequacy for the application use terminal.

本発明の第2の態様にかかる認証代理サーバは、イントラネットを介してアプリケーション利用端末から出力された第1のユーザ識別情報に基づいて認証を実行する認証機能部と、前記認証機能部における認証実行結果を、前記イントラネットを介して前記アプリケーション利用端末へ出力するとともに、前記イントラネットとは異なるネットワークを介して、前記認証実行結果を管理する認証サーバへ出力する、認証サーバ連携部と、を備えるものである。   An authentication proxy server according to a second aspect of the present invention includes: an authentication function unit that performs authentication based on first user identification information output from an application using terminal via an intranet; and authentication execution in the authentication function unit An authentication server cooperation unit that outputs a result to the application using terminal via the intranet and outputs to the authentication server that manages the authentication execution result via a network different from the intranet. is there.

本発明の第3の態様にかかる制御プログラムは、イントラネットを介してアプリケーション利用端末から出力された第1のユーザ識別情報に基づいて認証を実行するステップと、前記認証を実行するステップにおける認証実行結果を、前記イントラネットとは異なるネットワークを介して、前記認証実行結果を管理する認証サーバへ出力するステップと、前記認証実行結果を、前記イントラネットを介して前記アプリケーション利用端末へ出力するステップと、を認証代理サーバのコンピュータに実行させるものである。   The control program according to the third aspect of the present invention includes a step of executing authentication based on first user identification information output from an application using terminal via an intranet, and an authentication execution result in the step of executing the authentication Are output to an authentication server that manages the authentication execution result via a network different from the intranet, and the authentication execution result is output to the application using terminal via the intranet. This is executed by the computer of the proxy server.

本発明の第4の態様にかかる認証方法は、イントラネットを介してアプリケーション利用端末から送信される第1のユーザ識別情報を用いて、前記アプリケーション利用端末の認証を実行するステップと、前記認証を実行ステップにおける認証実行結果を、前記アプリケーション利用端末と、前記イントラネットとは異なるネットワークに接続されている認証サーバと、へ送信するステップと、前記アプリケーション利用端末と、前記認証サーバとから、前記イントラネットとは異なるネットワークを介して送信される前記認証実行結果を用いて、前記アプリケーション利用端末に対するアプリケーション提供可否を決定するステップと、を備えるものである。   An authentication method according to a fourth aspect of the present invention includes a step of executing authentication of the application using terminal using first user identification information transmitted from the application using terminal via an intranet, and executing the authentication Transmitting the authentication execution result in step to the application using terminal and an authentication server connected to a network different from the intranet, and from the application using terminal and the authentication server, the intranet Determining whether or not an application can be provided to the application using terminal using the authentication execution result transmitted via a different network.

本発明により、ユーザ固有の識別子であるユーザID及びパスワードが、第三者にオープンなネットワークを介して他の装置へ通知されることなく認証を行う認証システム、認証代理サーバ、制御プログラム及び認証方法を提供することができる。   According to the present invention, an authentication system, an authentication proxy server, a control program, and an authentication method for performing authentication without a user ID and password, which are user-specific identifiers, being notified to other devices via an open network to a third party Can be provided.

実施の形態1にかかる認証システムの構成図である。1 is a configuration diagram of an authentication system according to a first exemplary embodiment; 実施の形態1にかかる認証システムの構成図である。1 is a configuration diagram of an authentication system according to a first exemplary embodiment; 実施の形態1にかかるシングルサインオン基盤の構成図である。1 is a configuration diagram of a single sign-on base according to a first embodiment; 実施の形態1にかかる認証システムにおいて認証を実施するためのシーケンスである。3 is a sequence for performing authentication in the authentication system according to the first exemplary embodiment; エージェントモジュール方式を用いた認証システムの構成図である。It is a block diagram of the authentication system using an agent module system. リバースプロキシ方式を用いた認証システムの構成図である。It is a block diagram of the authentication system using a reverse proxy system.

(実施の形態1)
以下、図面を参照して本発明の実施の形態について説明する。本発明の実施の形態1にかかる認証システムは、アプリケーション利用端末10と、認証代理サーバ20と、アプリケーションサーバ30と、認証サーバ40と、を備えている。 (Embodiment 1)
Embodiments of the present invention will be described below with reference to the drawings. The authentication system according to the first exemplary embodiment of the present invention includes an application use terminal 10, an authentication proxy server 20, an application server 30, and an authentication server 40.

アプリケーション利用端末10は、アプリケーションサーバ30から提供されるアプリケーションを利用する端末である。アプリケーション利用端末10は、アプリケーションサーバ30から提供されるアプリケーションを、ダウンロードして利用してもよく、アプリケーションサーバ30において動作するアプリケーションを、オンラインで利用してもよい。また、アプリケーション利用端末10は、イントラネット50に接続されている。さらに、アプリケーション利用端末10は、ネットワーク60を介して、アプリケーションサーバ30と通信を行うことができる。この場合、アプリケーション利用端末10は、ネットワーク60に直接接続されず、プロキシサーバ等を介してネットワーク60に接続されてもよい。   The application using terminal 10 is a terminal that uses an application provided from the application server 30. The application using terminal 10 may download and use an application provided from the application server 30, or may use an application operating on the application server 30 online. The application using terminal 10 is connected to the intranet 50. Furthermore, the application using terminal 10 can communicate with the application server 30 via the network 60. In this case, the application using terminal 10 may not be directly connected to the network 60 but may be connected to the network 60 via a proxy server or the like.

認証代理サーバ20は、アプリケーション利用端末10が接続されているイントラネットと同一のイントラネット50に接続されている。認証代理サーバ20は、アプリケーション利用端末10の認証を実行する。つまり、認証代理サーバ20は、アプリケーション利用端末10がアプリケーションサーバ30において提供されるアプリケーションを利用することができる端末であるか否かを判定する。認証代理サーバ20は、アプリケーションサーバ30において提供されるアプリケーションの利用を許可されている端末に関する情報(以下、識別情報と称する)を、予め保持している。識別情報は、認証代理サーバ20に直接入力されてもよく、イントラネット50に接続されている他のサーバ装置(図示せず)から定期的に取得してもよい。   The authentication proxy server 20 is connected to the same intranet 50 as the intranet to which the application using terminal 10 is connected. The authentication proxy server 20 performs authentication of the application using terminal 10. That is, the authentication proxy server 20 determines whether or not the application use terminal 10 is a terminal that can use an application provided in the application server 30. The authentication proxy server 20 holds in advance information related to a terminal that is permitted to use an application provided in the application server 30 (hereinafter referred to as identification information). The identification information may be directly input to the authentication proxy server 20, or may be periodically acquired from another server device (not shown) connected to the intranet 50.

アプリケーションサーバ30は、イントラネット50とは異なる、ネットワーク60に接続されている。アプリケーションサーバ30は、アプリケーション利用端末10にアプリケーションを提供する。提供されるアプリケーションは、アプリケーション利用端末10からの利用要求に応じて、アプリケーション利用端末10へダウンロードされてもよく、アプリケーションサーバ30において動作し、アプリケーション利用端末10によってオンラインで利用されてもよい。   The application server 30 is connected to a network 60 that is different from the intranet 50. The application server 30 provides an application to the application using terminal 10. The provided application may be downloaded to the application use terminal 10 in response to a use request from the application use terminal 10, operates on the application server 30, and may be used online by the application use terminal 10.

認証サーバ40は、イントラネット50とは異なるネットワーク60に接続されている。認証サーバ40は、認証代理サーバ20における認証実行結果を保持する。認証サーバ40は、認証実行結果を、ネットワーク60を介して取得する。   The authentication server 40 is connected to a network 60 different from the intranet 50. The authentication server 40 holds the authentication execution result in the authentication proxy server 20. The authentication server 40 acquires the authentication execution result via the network 60.

続いて、認証システムにおける信号の流れについて説明する。アプリケーション利用端末10は、アプリケーション利用端末10を識別する識別情報を、イントラネット50を介して、認証代理サーバ20へ出力する。例えば、識別情報は、ユーザIDや、パスワードである。   Next, a signal flow in the authentication system will be described. The application using terminal 10 outputs identification information for identifying the application using terminal 10 to the authentication proxy server 20 via the intranet 50. For example, the identification information is a user ID or a password.

認証代理サーバ20は、アプリケーション利用端末10から出力された識別情報に基づいて認証を実行する。例えば、認証代理サーバ20は、予め保持しているアプリケーション利用端末10の識別情報と、アプリケーション利用端末10から出力された識別情報とが一致するか否かを判定する。認証代理サーバ20は、認証実行結果を、アプリケーション利用端末10と、認証サーバ40とに送信する。認証実行結果とは、例えば、認証OKもしくは認証NGという情報でもよく、アプリケーション利用端末10がアプリケーションサーバ30へ接続する際に用いられる新たな識別情報でもよい。   The authentication proxy server 20 performs authentication based on the identification information output from the application using terminal 10. For example, the authentication proxy server 20 determines whether or not the identification information of the application using terminal 10 held in advance matches the identification information output from the application using terminal 10. The authentication proxy server 20 transmits the authentication execution result to the application using terminal 10 and the authentication server 40. The authentication execution result may be information such as authentication OK or authentication NG, or may be new identification information used when the application using terminal 10 connects to the application server 30.

アプリケーションサーバ30は、アプリケーション利用端末10と、認証サーバ40とが有する認証実行結果を用いて、アプリケーション利用端末10に対するアプリケーション提供可否を決定する。アプリケーションサーバ30は、ネットワーク60を介して、アプリケーション利用端末10からアプリケーションの利用要求がなされる。アプリケーションの利用要求には、認証実行結果が含まれる。   The application server 30 uses the authentication execution result of the application using terminal 10 and the authentication server 40 to determine whether or not an application can be provided to the application using terminal 10. The application server 30 makes an application use request from the application using terminal 10 via the network 60. The application use request includes an authentication execution result.

アプリケーションサーバ30は、アプリケーション利用端末10からのアプリケーション利用要求に応じて、認証サーバ40に対してアプリケーション利用端末10の認証実行結果の送信を要求する。アプリケーションサーバ30は、ネットワーク60を介して、認証サーバ40に対して認証実行結果の送信を要求する。もしくは、認証サーバ40は、アプリケーションサーバ30から認証実行結果要求がなされる前に、認証実行結果をアプリケーションサーバ30へ送信してもよい。   The application server 30 requests the authentication server 40 to transmit the authentication execution result of the application using terminal 10 in response to the application use request from the application using terminal 10. The application server 30 requests the authentication server 40 to transmit an authentication execution result via the network 60. Alternatively, the authentication server 40 may transmit the authentication execution result to the application server 30 before the authentication execution result request is made from the application server 30.

アプリケーションサーバ30は、アプリケーション利用端末10及び認証サーバ40から取得した認証実行結果の内容が一致する場合、アプリケーション利用端末10に対してアプリケーションの提供を行う。アプリケーションサーバ30は、アプリケーション利用端末10及び認証サーバ40から取得した認証実行結果の内容が一致しない場合、アプリケーション利用端末10に対するアプリケーションの提供を行わない。   When the contents of the authentication execution results acquired from the application using terminal 10 and the authentication server 40 match, the application server 30 provides an application to the application using terminal 10. If the contents of the authentication execution results acquired from the application using terminal 10 and the authentication server 40 do not match, the application server 30 does not provide an application to the application using terminal 10.

以上説明したように、図1にかかる認証システムを用いることにより、アプリケーション利用端末10において入力される識別情報が、アプリケーションサーバ30及び認証サーバ40へ出力されることなく、アプリケーションサーバ30は、アプリケーションの提供可否を判定することができる。つまり、アプリケーション利用端末10において入力される識別情報は、外部からのアクセスを遮断するイントラネット50内においてのみ送受信される。そのため、アプリケーション利用端末10によって入力される識別情報が、ネットワーク60に出力されることはない。アプリケーションサーバ30は、認証代理サーバ20において生成される認証結果情報を用いて、アプリケーション提供可否を判定する。そのため、ネットワーク60を使用する第三者が、アプリケーション利用端末10の識別情報を取得することはできない。   As described above, by using the authentication system according to FIG. 1, the identification information input in the application using terminal 10 is not output to the application server 30 and the authentication server 40, and the application server 30 Whether or not provision is possible can be determined. That is, the identification information input at the application using terminal 10 is transmitted / received only within the intranet 50 that blocks external access. Therefore, the identification information input by the application using terminal 10 is not output to the network 60. The application server 30 uses the authentication result information generated in the authentication proxy server 20 to determine whether the application can be provided. Therefore, a third party who uses the network 60 cannot acquire the identification information of the application using terminal 10.

続いて、図2を用いて本発明の実施の形態1にかかる認証システムの詳細な構成例について説明する。図2の認証システムは、SaaS利用者端末11と、シングルサインオン(SSO)代理基盤21と、ISV(Independent Software Vendor)データセンタ31と、SaaSデータセンタ41と、を備えている。   Then, the detailed structural example of the authentication system concerning Embodiment 1 of this invention is demonstrated using FIG. The authentication system of FIG. 2 includes a SaaS user terminal 11, a single sign-on (SSO) proxy base 21, an ISV (Independent Software Vendor) data center 31, and a SaaS data center 41.

SaaS利用者端末11と、SSO代理基盤21とは、企業ネットワーク70内に配置されている。つまり、SaaS利用者端末11と、SSO代理基盤21とは、企業ネットワーク70内のイントラネット50に接続されている。SaaS利用者端末11と、SSO代理基盤21とに対する企業ネットワーク70の外部からのアクセスは制限されている。ISVデータセンタ31及びSaaSデータセンタ41は、イントラネット50とは異なる第三者にオープンなネットワーク60に接続されている。例えば、第三者にオープンなネットワーク60は、インターネットである。   The SaaS user terminal 11 and the SSO proxy base 21 are arranged in the corporate network 70. That is, the SaaS user terminal 11 and the SSO proxy base 21 are connected to the intranet 50 in the corporate network 70. Access from the outside of the corporate network 70 to the SaaS user terminal 11 and the SSO proxy base 21 is restricted. The ISV data center 31 and the SaaS data center 41 are connected to a network 60 open to a third party different from the intranet 50. For example, the network 60 open to a third party is the Internet.

SSO代理基盤21は、認証機能部22と、トークン生成機能部23と、SSO連携機能部24とを有している。ISVデータセンタ31は、アプリケーションサーバ32を有している。SaaSデータセンタ41は、SSO基盤42を有している。なお、本図においては、SaaS利用者端末11が一度認証を受けることにより、ISVデータセンタ31において利用が許可されている全てのアプリケーションを利用することができるSSOによる認証を行うことを基に説明する。   The SSO proxy infrastructure 21 includes an authentication function unit 22, a token generation function unit 23, and an SSO cooperation function unit 24. The ISV data center 31 has an application server 32. The SaaS data center 41 has an SSO infrastructure 42. In this figure, the description is based on the fact that the SaaS user terminal 11 is authenticated once to perform authentication by SSO that can use all applications permitted to be used in the ISV data center 31. To do.

SaaS利用者端末11は、アプリケーションを利用する際に、SSO代理基盤21へログインする。SaaS利用者端末11は、ログイン時に、SSO代理基盤21へユーザID及びパスワードを送信する。つまり、ユーザID及びパスワードは、企業ネットワーク70内のみで送受信され、インターネットには送信されない。ここで、SSO代理基盤21における処理について、図3を用いて説明する。   The SaaS user terminal 11 logs in to the SSO proxy infrastructure 21 when using the application. The SaaS user terminal 11 transmits a user ID and a password to the SSO proxy base 21 at the time of login. That is, the user ID and password are transmitted / received only within the corporate network 70 and are not transmitted to the Internet. Here, processing in the SSO proxy base 21 will be described with reference to FIG.

認証機能部22は、ユーザ管理テーブル25を有している。ユーザ管理テーブル25は、ユーザID及びパスワードを管理している。ユーザ管理テーブル25には、ユーザ又は端末に対応付けられているユーザID及びパスワードが登録されている。登録されているユーザID及びパスワードを入力したユーザ又は端末は、ISVデータセンタ31におけるアプリケーションを利用することができる。   The authentication function unit 22 has a user management table 25. The user management table 25 manages user IDs and passwords. In the user management table 25, user IDs and passwords associated with users or terminals are registered. A user or terminal that has entered a registered user ID and password can use an application in the ISV data center 31.

認証機能部22は、SaaS利用者端末11から取得したユーザID及びパスワードが、ユーザ管理テーブル25に登録されているか否かを判定する。認証機能部22は、SaaS利用者端末11から取得したユーザID及びパスワードがユーザ管理テーブル25に登録されていると判定し、認証を完了すると、認証機能部22は、トークン生成機能部23へトークン生成要求を出力する。トークン生成要求には、ユーザIDが含まれる。認証機能部22は、SaaS利用者端末11から取得したユーザID及びパスワードがユーザ管理テーブル25に登録されていないと判定した場合、認証されなかった旨をSaaS利用者端末11へ通知してもよい。   The authentication function unit 22 determines whether or not the user ID and password acquired from the SaaS user terminal 11 are registered in the user management table 25. The authentication function unit 22 determines that the user ID and password acquired from the SaaS user terminal 11 are registered in the user management table 25, and when the authentication is completed, the authentication function unit 22 sends a token to the token generation function unit 23. Output generation request. The token generation request includes a user ID. If the authentication function unit 22 determines that the user ID and password acquired from the SaaS user terminal 11 are not registered in the user management table 25, the authentication function unit 22 may notify the SaaS user terminal 11 that authentication has not been performed. .

トークン生成機能部23は、アプリケーション管理テーブル26を有している。アプリケーション管理テーブル26は、ユーザIDと、APL−IDと、APLユーザIDと、を管理している。APL−IDは、SaaS利用者端末11に利用が許可されたアプリケーションの識別子である。APLユーザIDは、SaaS利用者端末11がアプリケーションサーバ32へアクセスする際に用いる識別子である。アプリケーション管理テーブル26は、ユーザIDと、APL−IDと、APLユーザIDとを対応付けて管理している。   The token generation function unit 23 has an application management table 26. The application management table 26 manages user IDs, APL-IDs, and APL user IDs. The APL-ID is an identifier of an application permitted to be used by the SaaS user terminal 11. The APL user ID is an identifier used when the SaaS user terminal 11 accesses the application server 32. The application management table 26 manages a user ID, an APL-ID, and an APL user ID in association with each other.

トークン生成機能部23は、認証機能部22から出力されたユーザIDに対応付けられたAPL−IDと、APLユーザIDとを抽出する。トークン生成機能部23は、抽出したAPL−ID及びAPLユーザID、さらに、SaaS利用者端末11がSSO代理基盤21へログインした時間を対応付けたトークンを生成する。SSO代理基盤21へログインした時間とは、認証機能部22が認証を完了した時間でもよく、SaaS利用者端末11がユーザIDとパスワードを認証機能部22へ出力した時間でもよい。トークン生成機能部23は、生成したトークンを含むトークン情報送付要求をSSO連携機能部24へ出力する。   The token generation function unit 23 extracts the APL-ID associated with the user ID output from the authentication function unit 22 and the APL user ID. The token generation function unit 23 generates a token that associates the extracted APL-ID and APL user ID with the time when the SaaS user terminal 11 logs into the SSO proxy infrastructure 21. The time when the user logs in the SSO proxy base 21 may be the time when the authentication function unit 22 completes the authentication, or the time when the SaaS user terminal 11 outputs the user ID and password to the authentication function unit 22. The token generation function unit 23 outputs a token information transmission request including the generated token to the SSO cooperation function unit 24.

SSO連携機能部24は、トークン管理テーブル27を有している。トークン管理テーブル27は、トークン生成機能部23から出力されたトークンを管理する。具体的には、トークン管理テーブル27は、トークンと、ログイン時刻と、APL−IDと、APLユーザIDと、を対応付けて管理する。   The SSO cooperation function unit 24 has a token management table 27. The token management table 27 manages tokens output from the token generation function unit 23. Specifically, the token management table 27 manages a token, a login time, an APL-ID, and an APL user ID in association with each other.

SSO連携機能部24は、トークン生成機能部23からトークン情報送付要求を受け取ると、SSO基盤42へ、トークン情報を送信する。SSO基盤42へ送信されるトークン情報には、トークンと、APL−IDと、APLユーザIDと、が含まれている。SSO連携機能部24は、SSO基盤42に対するトークン情報の送信が完了すると、トークン生成機能部23へトークン情報送信の完了通知を行う。また、トークン生成機能部23は、トークン情報送信の完了が通知されると、認証機能部22へトークン生成完了通知を行う。トークン生成完了通知には、SSO連携機能部24によって送信されたトークン情報が含まれている。認証機能部22は、トークン生成完了通知を取得すると、SaaS利用者端末11のブラウザへトークン情報を出力する。   When receiving the token information transmission request from the token generation function unit 23, the SSO cooperation function unit 24 transmits the token information to the SSO base 42. The token information transmitted to the SSO infrastructure 42 includes a token, an APL-ID, and an APL user ID. When the transmission of the token information to the SSO infrastructure 42 is completed, the SSO cooperation function unit 24 notifies the token generation function unit 23 of the completion of the transmission of token information. Further, when the token generation function unit 23 is notified of the completion of the token information transmission, the token generation function unit 23 notifies the authentication function unit 22 of the token generation completion. The token generation completion notification includes the token information transmitted by the SSO cooperation function unit 24. Upon obtaining the token generation completion notification, the authentication function unit 22 outputs token information to the browser of the SaaS user terminal 11.

ここで、SSO連携機能部24は、トークンに関連付けられているログイン時刻から所定の時間経過した場合、生成したトークンを無効としてもよい。この場合、SSO連携機能部24は、認証機能部22を介してSaaS利用者端末11に対して、再度ユーザID及びパスワードの入力を要求する。また、SSO連携機能部24は、再度入力されたユーザID及びパスワードに基づいて生成されたトークン(例えば、token2)を、SSO基盤42へ送信する。SSO基盤42は、保持しているトークン(例えば、token1)を破棄して、新たに送信されたトークン(token2)を登録するようにしてもよい。   Here, the SSO cooperation function unit 24 may invalidate the generated token when a predetermined time has elapsed from the login time associated with the token. In this case, the SSO cooperation function unit 24 requests the SaaS user terminal 11 to input the user ID and password again via the authentication function unit 22. Further, the SSO cooperation function unit 24 transmits a token (for example, token2) generated based on the re-input user ID and password to the SSO infrastructure 42. The SSO infrastructure 42 may discard the held token (for example, token1) and register the newly transmitted token (token2).

図2に戻り、SaaSデータセンタ41は、SSO基盤42を有している。SSO基盤42は、SSO連携機能部24からネットワーク60を介して送信されたトークン情報を管理する。   Returning to FIG. 2, the SaaS data center 41 has an SSO infrastructure 42. The SSO infrastructure 42 manages token information transmitted from the SSO cooperation function unit 24 via the network 60.

SaaS利用者端末11は、アプリケーションサーバ32へアクセスするために、Webブラウザ等のブラウザを用いる。SaaS利用者端末11のブラウザは、認証機能部22から出力されたトークン情報を用いて、アプリケーションサーバ32へアクセスを行う。すなわち、SaaS利用者端末11は、インターネットを介してトークン情報を送信する。   The SaaS user terminal 11 uses a browser such as a Web browser in order to access the application server 32. The browser of the SaaS user terminal 11 accesses the application server 32 using the token information output from the authentication function unit 22. That is, the SaaS user terminal 11 transmits token information via the Internet.

ISVデータセンタ31は、アプリケーションサーバ32を有している。アプリケーションサーバ32は、SaaS利用者端末11のブラウザからアクセスされると、SaaS利用者端末11から送信されたトークンとAPL−IDとに対応するAPLユーザIDを、SSO基盤42から取得する。アプリケーションサーバ32は、SaaS利用者端末11及びSSO基盤42から送信されたAPLユーザIDが一致する場合、SaaS利用者端末11に対して、アプリケーションの利用を許可する。アプリケーションサーバ32は、SaaS利用者端末11及びSSO基盤42から送信されたAPLユーザIDが一致しない場合、SaaS利用者端末11に対してアプリケーションの利用を許可しない。   The ISV data center 31 has an application server 32. When accessed from the browser of the SaaS user terminal 11, the application server 32 acquires an APL user ID corresponding to the token and APL-ID transmitted from the SaaS user terminal 11 from the SSO infrastructure 42. The application server 32 permits the SaaS user terminal 11 to use the application when the APL user IDs transmitted from the SaaS user terminal 11 and the SSO infrastructure 42 match. When the APL user ID transmitted from the SaaS user terminal 11 and the SSO infrastructure 42 does not match, the application server 32 does not permit the SaaS user terminal 11 to use the application.

続いて、図4を用いて、認証システムにおける処理シーケンスについて説明する。はじめに、SaaS利用者端末11は、ブラウザを用いて、イントラネット50に接続されているSSO代理基盤21にログインする(S11)。SSO代理基盤21は、SaaS利用者端末11がログインする際に、SaaS利用者端末11からユーザIDとパスワードを取得する。次に、SSO代理基盤21は、SSO基盤42に対して、トークン情報を送信する(S12)。また、SSO代理基盤21は、SSO基盤42に対してトークン情報を送信した後、SaaS利用者端末11へトークン情報を送信する(S13)。   Subsequently, a processing sequence in the authentication system will be described with reference to FIG. First, the SaaS user terminal 11 logs in to the SSO proxy base 21 connected to the intranet 50 using a browser (S11). The SSO proxy infrastructure 21 acquires a user ID and a password from the SaaS user terminal 11 when the SaaS user terminal 11 logs in. Next, the SSO proxy infrastructure 21 transmits token information to the SSO infrastructure 42 (S12). Further, the SSO proxy infrastructure 21 transmits the token information to the SSO infrastructure 42, and then transmits the token information to the SaaS user terminal 11 (S13).

次に、SaaS利用者端末11は、取得したトークン情報を用いて、アプリケーションサーバ32へアクセスする(S14)。次に、アプリケーションサーバ32は、SSO基盤42に対してSaaS利用者端末11についての認証要求を行う(S15)。認証要求は、SaaS利用者端末11から送信されたトークンと、APL−IDとを含む。次に、SSO基盤42は、アプリケーションサーバ32から送信されたトークンと、APL−IDとに対応するAPLユーザIDを抽出し、アプリケーションサーバ32へ送信する(S16)。次に、アプリケーションサーバ32は、SaaS利用者端末11と、SSO基盤42とから送信されたAPLユーザIDとが一致するか否かを判定する。SaaS利用者端末11と、SSO基盤42とから送信されたAPLユーザIDとが一致する場合、SaaS利用者端末11のブラウザに対して、ログイン後の画面を表示させるよう、画面データを送信する(S17)。また、SaaS利用者端末11と、SSO基盤42とから送信されたAPLユーザIDとが一致しない場合、ログインを許可しないことを示す画面データを送信してもよい。   Next, the SaaS user terminal 11 accesses the application server 32 using the acquired token information (S14). Next, the application server 32 makes an authentication request for the SaaS user terminal 11 to the SSO infrastructure 42 (S15). The authentication request includes the token transmitted from the SaaS user terminal 11 and the APL-ID. Next, the SSO infrastructure 42 extracts the APL user ID corresponding to the token transmitted from the application server 32 and the APL-ID, and transmits it to the application server 32 (S16). Next, the application server 32 determines whether or not the APL user ID transmitted from the SaaS user terminal 11 and the SSO infrastructure 42 matches. When the APL user ID transmitted from the SaaS user terminal 11 and the SSO infrastructure 42 matches, the screen data is transmitted to the browser of the SaaS user terminal 11 so that the screen after login is displayed ( S17). Further, when the APL user ID transmitted from the SaaS user terminal 11 and the SSO platform 42 does not match, screen data indicating that login is not permitted may be transmitted.

以上説明したように、本発明の実施の形態1にかかる認証システムを用いることにより、第三者にオープンなネットワークを介して、アプリケーションサーバ及び認証サーバに、ユーザ固有の識別子であるユーザID及びパスワードを通知することなく、アプリケーションサーバは、アプリケーションの提供可否を判定することができる。   As described above, by using the authentication system according to the first embodiment of the present invention, a user ID and a password, which are user-specific identifiers, are transmitted to the application server and the authentication server via a network open to a third party. Without notifying the application server, the application server can determine whether the application can be provided.

また、認証を実行するSSO代理基盤は、企業内のイントラネットに接続されている。そのため、ユーザIDとパスワードが、何らかの手段によりユーザと異なる企業の第三者に取得された場合においても、第三者は、イントラネットにアクセスすることはできない。そのため、第三者は、ユーザIDとパスワードを保持している場合においても、SSO代理基盤において、認証を受けることができない。これにより、第三者は、APLユーザIDを取得することができないため、アプリケーションサーバにおけるアプリケーションを利用できない。   In addition, the SSO proxy base for executing authentication is connected to an intranet in the company. Therefore, even when the user ID and password are acquired by a third party of a company different from the user by some means, the third party cannot access the intranet. Therefore, even when a third party holds a user ID and a password, the third party cannot be authenticated on the SSO proxy base. Thereby, since the third party cannot acquire the APL user ID, the application in the application server cannot be used.

また、第三者がネットワーク60おいてトークン情報を取得した場合においても、トークンに有効期限を設けることにより、トークン情報を取得した第三者による、アプリケーションの利用を強制的に停止させることができる。例えば、SSO基盤42は、SaaS利用者端末11がSSO代理基盤21へログイン中のみトークンを有効とし、ログアウトするとトークンを無効化してもよい。これにより、SSO代理基盤21からSSO基盤42に送られるトークン情報を悪意の第三者が入手したとしても、第三者によるアプリケーションサーバ32に対する不正アクセスのリスクを低減することができる。   In addition, even when a third party acquires token information on the network 60, the use of the application by the third party who acquired the token information can be forcibly stopped by setting an expiration date on the token. . For example, the SSO infrastructure 42 may validate the token only when the SaaS user terminal 11 is logged in to the SSO proxy infrastructure 21 and invalidate the token when logging out. Thereby, even if a malicious third party obtains the token information sent from the SSO proxy base 21 to the SSO base 42, the risk of unauthorized access to the application server 32 by the third party can be reduced.

上述の実施の形態では、本発明をハードウェアの構成として説明したが、本発明は、これに限定されるものではない。本発明は、図3において説明したSSO代理基盤の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。   In the above-described embodiments, the present invention has been described as a hardware configuration, but the present invention is not limited to this. The present invention can also realize the SSO proxy-based processing described in FIG. 3 by causing a CPU (Central Processing Unit) to execute a computer program.

上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。   In the above example, the program can be stored and supplied to a computer using various types of non-transitory computer readable media. Non-transitory computer readable media include various types of tangible storage media. Examples of non-transitory computer-readable media include magnetic recording media (for example, flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (for example, magneto-optical disks), CD-ROMs (Read Only Memory), CD-Rs, CD-R / W, semiconductor memory (for example, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM (Random Access Memory)) are included. The program may also be supplied to the computer by various types of transitory computer readable media. Examples of transitory computer readable media include electrical signals, optical signals, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.

なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。   Note that the present invention is not limited to the above-described embodiment, and can be changed as appropriate without departing from the spirit of the present invention.

10 アプリケーション利用端末
11 SaaS利用者端末
20 認証代理サーバ
21 SSO代理基盤
22 認証機能部
23 トークン生成機能部
24 SSO連携機能部
25 ユーザ管理テーブル
26 アプリケーション管理テーブル
27 トークン管理テーブル
30 アプリケーションサーバ
31 ISVデータセンタ
32 アプリケーションサーバ
40 認証サーバ
41 SaaSデータセンタ
42 SSO基盤
50 イントラネット
60 ネットワーク DESCRIPTION OF SYMBOLS 10 Application use terminal 11 SaaS user terminal 20 Authentication proxy server 21 SSO proxy base 22 Authentication function part 23 Token generation function part 24 SSO cooperation function part 25 User management table 26 Application management table 27 Token management table 30 Application server 31 ISV data center 32 Application Server 40 Authentication Server 41 SaaS Data Center 42 SSO Platform 50 Intranet 60 Network

Claims (8)

アプリケーション利用端末と、
前記アプリケーション利用端末が接続されているイントラネットに接続され、前記アプリケーション利用端末の認証を実行する認証代理サーバと、
前記イントラネットとは異なるネットワークに接続され、前記アプリケーション利用端末にアプリケーションを提供するアプリケーションサーバと、
前記イントラネットとは異なるネットワークに接続され、前記認証代理サーバにおける認証実行結果を保持する認証サーバと、を備え、
前記認証代理サーバは、
前記アプリケーション利用端末から出力された第1のユーザ識別情報に基づいて認証を実行し、当該認証における認証実行結果を前記アプリケーション利用端末と、前記認証サーバとに送信し、
前記アプリケーションサーバは、
前記アプリケーション利用端末と、前記認証サーバとが有する前記認証実行結果を用いて、前記アプリケーション利用端末に対するアプリケーション提供可否を決定する、認証システム。 Application using terminal,
An authentication proxy server that is connected to an intranet to which the application using terminal is connected and executes authentication of the application using terminal;
An application server connected to a network different from the intranet and providing an application to the application using terminal;
An authentication server connected to a network different from the intranet and holding an authentication execution result in the authentication proxy server,
The authentication proxy server is:
Performing authentication based on the first user identification information output from the application using terminal, and transmitting an authentication execution result in the authentication to the application using terminal and the authentication server;
The application server is
An authentication system that determines whether or not an application can be provided to the application using terminal using the authentication execution result of the application using terminal and the authentication server. 前記認証代理サーバは、
前記イントラネットを介して取得した前記第1のユーザ識別情報と、予め登録された登録識別情報とが一致する場合、第2のユーザ識別情報を生成し、前記イントラネットを介して前記アプリケーション利用端末へ前記第2のユーザ識別情報を出力し、前記イントラネットとは異なるネットワークを介して前記認証サーバへ前記第2のユーザ識別情報を出力する、請求項1記載の認証システム。 The authentication proxy server is:
When the first user identification information acquired via the intranet matches the registered identification information registered in advance, second user identification information is generated, and the application using terminal is transmitted via the intranet. The authentication system according to claim 1, wherein the second user identification information is output, and the second user identification information is output to the authentication server via a network different from the intranet. 前記アプリケーションサーバは、
前記アプリケーション利用端末及び前記認証サーバから、前記イントラネットとは異なるネットワークを介して、前記第2のユーザ識別を取得する、請求項2記載の認証システム。 The application server is
The authentication system according to claim 2, wherein the second user identification is acquired from the application using terminal and the authentication server via a network different from the intranet. イントラネットを介してアプリケーション利用端末から出力された第1のユーザ識別情報に基づいて認証を実行する認証機能部と、
前記認証機能部における認証実行結果を、前記イントラネットを介して前記アプリケーション利用端末へ出力するとともに、前記イントラネットとは異なるネットワークを介して、前記認証実行結果を管理する認証サーバへ出力する、認証サーバ連携部と、を備える認証代理サーバ。 An authentication function unit that performs authentication based on the first user identification information output from the application using terminal via the intranet;
Authentication server cooperation that outputs an authentication execution result in the authentication function unit to the application using terminal via the intranet and outputs the authentication execution result to an authentication server that manages the authentication execution result via a network different from the intranet And an authentication proxy server. 前記認証機能部は、
前記イントラネットを介して取得した前記第1のユーザ識別情報と、予め登録された登録識別情報とが一致する場合、第2のユーザ識別情報を生成し、
前記認証サーバ連携部は、
前記イントラネットを介して前記アプリケーション利用端末へ前記第2のユーザ識別情報を出力し、前記イントラネットとは異なるネットワークを介して前記認証サーバへ前記第2のユーザ識別情報を出力する、請求項4記載の認証代理サーバ。 The authentication function unit
When the first user identification information acquired via the intranet matches the registered identification information registered in advance, the second user identification information is generated,
The authentication server cooperation unit
5. The second user identification information is output to the application using terminal via the intranet, and the second user identification information is output to the authentication server via a network different from the intranet. Authentication proxy server. イントラネットを介してアプリケーション利用端末から出力された第1のユーザ識別情報に基づいて認証を実行するステップと、
前記認証を実行するステップにおける認証実行結果を、前記イントラネットとは異なるネットワークを介して、前記認証実行結果を管理する認証サーバへ出力するステップと、
前記認証実行結果を、前記イントラネットを介して前記アプリケーション利用端末へ出力するステップと、を認証代理サーバのコンピュータに実行させる制御プログラム。 Performing authentication based on the first user identification information output from the application using terminal via the intranet;
Outputting the authentication execution result in the step of executing the authentication to an authentication server managing the authentication execution result via a network different from the intranet;
A control program for causing a computer of an authentication proxy server to execute the step of outputting the authentication execution result to the application using terminal via the intranet. 前記認証を実行するステップは、
前記イントラネットを介して取得した前記第1のユーザ識別情報と、予め登録された登録識別情報とが一致する場合、第2のユーザ識別情報を生成し、
前記認証サーバへ出力するステップは、
前記イントラネットとは異なるネットワークを介して前記認証サーバへ前記第2のユーザ識別情報を出力し、
前記アプリケーション利用端末へ出力するステップは、
前記イントラネットを介して前記アプリケーション利用端末へ前記第2のユーザ識別情報を出力する、請求項6記載の制御プログラム。 Performing the authentication comprises:
When the first user identification information acquired via the intranet matches the registered identification information registered in advance, the second user identification information is generated,
Outputting to the authentication server comprises:
Outputting the second user identification information to the authentication server via a network different from the intranet;
The step of outputting to the application using terminal includes:
The control program according to claim 6, wherein the second user identification information is output to the application using terminal via the intranet. イントラネットを介してアプリケーション利用端末から送信される第1のユーザ識別情報を用いて、前記アプリケーション利用端末の認証を実行するステップと、
前記認証を実行ステップにおける認証実行結果を、前記イントラネットを介して前記アプリケーション利用端末へ送信するとともに、前記イントラネットとは異なるネットワークに接続されている認証サーバへ送信するステップと、
前記アプリケーション利用端末と、前記認証サーバとから、前記イントラネットとは異なるネットワークを介して送信される前記認証実行結果を用いて、前記アプリケーション利用端末に対するアプリケーション提供可否を決定するステップと、を備える認証方法。 Performing authentication of the application using terminal using first user identification information transmitted from the application using terminal via the intranet;
Transmitting the authentication execution result in the authentication executing step to the application using terminal via the intranet, and transmitting to the authentication server connected to a network different from the intranet;
An authentication method comprising: determining whether or not an application can be provided to the application using terminal using the authentication execution result transmitted from the application using terminal and the authentication server via a network different from the intranet. .
JP2010135362A 2010-06-14 2010-06-14 Authentication system, authentication proxy server, control program, and authentication method Pending JP2012003338A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010135362A JP2012003338A (en) 2010-06-14 2010-06-14 Authentication system, authentication proxy server, control program, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010135362A JP2012003338A (en) 2010-06-14 2010-06-14 Authentication system, authentication proxy server, control program, and authentication method

Publications (1)

Publication Number Publication Date
JP2012003338A true JP2012003338A (en) 2012-01-05

Family

ID=45535276

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010135362A Pending JP2012003338A (en) 2010-06-14 2010-06-14 Authentication system, authentication proxy server, control program, and authentication method

Country Status (1)

Country Link
JP (1) JP2012003338A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014026597A (en) * 2012-07-30 2014-02-06 Nec Biglobe Ltd Software providing system, portal server, providing server, providing method, and program
JP2015528169A (en) * 2012-07-09 2015-09-24 ピング アイデンティティ コーポレーション Authentication token proxy search method and apparatus
JP6998497B1 (en) 2018-11-12 2022-01-24 サイトリックス システムズ,インコーポレイテッド Systems and methods for live SAAS objects

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015528169A (en) * 2012-07-09 2015-09-24 ピング アイデンティティ コーポレーション Authentication token proxy search method and apparatus
JP2014026597A (en) * 2012-07-30 2014-02-06 Nec Biglobe Ltd Software providing system, portal server, providing server, providing method, and program
JP6998497B1 (en) 2018-11-12 2022-01-24 サイトリックス システムズ,インコーポレイテッド Systems and methods for live SAAS objects
JP2022513596A (en) * 2018-11-12 2022-02-09 サイトリックス システムズ,インコーポレイテッド Systems and methods for live SAAS objects

Similar Documents

Publication Publication Date Title
US10057251B2 (en) Provisioning account credentials via a trusted channel
US10805085B1 (en) PKI-based user authentication for web services using blockchain
US9053306B2 (en) Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium
EP2705642B1 (en) System and method for providing access credentials
EP3846522A1 (en) Mec platform deployment method and device
JP5375976B2 (en) Authentication method, authentication system, and authentication program
CN104054321A (en) Security management for cloud services
CN104995626A (en) Identification delegation for devices
CN108632291A (en) A kind of third party authorizes login method and system
US9798895B2 (en) Platform identity architecture with a temporary pseudonymous identity
KR20140014295A (en) Dynamic platform reconfiguration by multi-tenant service providers
US11277404B2 (en) System and data processing method
JP2007310512A (en) Communication system, service providing server, and user authentication server
JPWO2019239591A1 (en) Authentication system, authentication method, application provider, authentication device, and authentication program
JP2018517367A (en) Service provider certificate management
CN103220261A (en) Proxy method, device and system of open authentication application program interface
CN111740966A (en) Data processing method based on block chain network and related equipment
TW201516729A (en) Terminal authentication and registration system, method for authenticating and registering terminal, and storage medium
CN106464739A (en) Securing communications with enhanced media platforms
JP2015194879A (en) Authentication system, method, and provision device
JP2006031064A (en) Session management system and management method
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
JP2012003338A (en) Authentication system, authentication proxy server, control program, and authentication method
TW201430608A (en) Single-sign-on system and method
JP2018180682A (en) Information processing apparatus, information processing system and information processing method