JP2022156552A - Authentication system and authentication method - Google Patents

Authentication system and authentication method Download PDF

Info

Publication number
JP2022156552A
JP2022156552A JP2021060301A JP2021060301A JP2022156552A JP 2022156552 A JP2022156552 A JP 2022156552A JP 2021060301 A JP2021060301 A JP 2021060301A JP 2021060301 A JP2021060301 A JP 2021060301A JP 2022156552 A JP2022156552 A JP 2022156552A
Authority
JP
Japan
Prior art keywords
account
authentication
web service
login
sso
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021060301A
Other languages
Japanese (ja)
Other versions
JP7159382B2 (en
Inventor
芳弘 加倉井
Yoshihiro Kakurai
康博 竹内
Yasuhiro Takeuchi
礼佳 三浦
Ayaka Miura
美穂 平井
Miho Hirai
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Axio Corp
Original Assignee
Axio Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axio Corp filed Critical Axio Corp
Priority to JP2021060301A priority Critical patent/JP7159382B2/en
Publication of JP2022156552A publication Critical patent/JP2022156552A/en
Application granted granted Critical
Publication of JP7159382B2 publication Critical patent/JP7159382B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

To provide an authentication system and an authentication method which can perform authentication processing for access to SSO-linked services from an arbitrary account while maintaining a login state from a login account to the authentication system.SOLUTION: The authentication system comprises: a user information registration unit in which authentication information for utilization of a web service to which access is restricted is registered for each of accounts; an SSO authentication unit which performs authentication processing for the web service; and an account setting unit which, if the web service is a specific web service which can be utilized by a non-login account other than a login account used for login, sets an account for login to the specific web service on the basis of an input operation of a client terminal. For the specific web service, the SSO authentication unit performs authentication processing by using authentication information associated with the account set by the account setting unit.SELECTED DRAWING: Figure 3

Description

本発明は、アクセス制限されたwebサービスの認証をシングルサインオンにより行う認証システム及び認証方法に関する。 The present invention relates to an authentication system and an authentication method for performing access-restricted web service authentication by single sign-on.

従来、シングルサインオン(SSO:Single Sign-On)と呼ばれる統合認証技術が普及している(例えば、特許文献1~3参照)。SSO環境では、個別に認証処理が必要な複数のwebサービス(例えば、クラウド上で提供されるwebアプリケーション)を、一度のログイン操作によるユーザー認証だけで利用できるようになる。以下において、SSO環境で用いられる認証システムを「認証システム」、SSOにより連携されるwebサービスを「SSO連携サービス」と称する。 Conventionally, an integrated authentication technology called Single Sign-On (SSO) has been widely used (see Patent Documents 1 to 3, for example). In the SSO environment, a plurality of web services that require individual authentication processing (for example, web applications provided on the cloud) can be used only by performing user authentication through a single login operation. Hereinafter, the authentication system used in the SSO environment will be referred to as "authentication system", and the web service linked by SSO will be referred to as "SSO linked service".

通常、認証システムでは、SSO連携サービスに対してクライアント端末からアクセス要求があった場合に、認証サーバーが、クライアント端末によるログイン操作を代行する。具体的には、SSO連携サービスを利用するための認証情報(例えば、ID及びパスワード)がアカウントごとに登録されており、認証サーバーは、ログインに使用されたログインアカウント(例えば、自分の個人ID)に紐付けられている認証情報を用いて、SSO連携サービスに対する認証処理を実行する。 Normally, in an authentication system, when a client terminal requests access to an SSO cooperation service, an authentication server performs a login operation by the client terminal on behalf of the client terminal. Specifically, authentication information (for example, ID and password) for using the SSO linkage service is registered for each account, and the authentication server registers the login account used for login (for example, own personal ID) Authentication processing for the SSO collaboration service is executed using the authentication information associated with the .

特開2012-014536号公報JP 2012-014536 A 特開2012-234435号公報JP 2012-234435 A 特開2016-085638号公報JP 2016-085638 A

上述したように、ユーザーが認証システムにログインしている場合、ログインアカウントに紐づけられた認証情報を用いて、自動的にSSO連携サービスに対する認証処理が実行される。そのため、ログインアカウント以外の非ログインアカウント(例えば、複数人で利用可能な共有ID)でSSO連携サービスを利用するには、煩雑な操作が必要となる。例えば、ログインアカウントを一旦SSO環境からログアウトし、SSO連携サービスに用いるアカウントで改めてログインする必要がある。この場合、ログインアカウントで利用していた他のSSO連携サービスも終了となるため、作業効率が低下する虞がある。 As described above, when a user logs in to the authentication system, authentication processing for the SSO collaboration service is automatically executed using authentication information linked to the login account. Therefore, complicated operations are required to use the SSO cooperation service with a non-login account (for example, a shared ID that can be used by multiple people) other than a login account. For example, it is necessary to log out of the login account once from the SSO environment, and then log in again with the account used for the SSO cooperation service. In this case, other SSO linkage services used by the login account are also terminated, which may reduce work efficiency.

本発明の目的は、ログインアカウントによる認証システムへのログイン状態を維持したままで、任意のアカウントによるSSO連携サービスに対する認証処理を実行できる認証システム及び認証方法を提供することである。 SUMMARY OF THE INVENTION An object of the present invention is to provide an authentication system and an authentication method that can perform authentication processing for an SSO cooperation service using an arbitrary account while maintaining a login state to the authentication system using a login account.

本発明に係る認証システムは、
アクセス制限されたwebサービスを利用するための認証情報がアカウントごとに登録されているユーザー情報登録部と、
前記webサービスに対してクライアント端末からアクセス要求があった場合に、前記webサービスに対する認証処理を実行するSSO認証部と、
前記webサービスが、ログインに使用したログインアカウント以外の非ログインアカウントでの利用が可能な特定のwebサービスである場合に、前記特定のwebサービスにログインするアカウントを、前記クライアント端末の入力操作に基づいて設定するアカウント設定部と、を備え、
前記SSO認証部は、
前記特定のwebサービスに対しては、前記アカウント設定部により設定された前記アカウントに紐付けられた前記認証情報を用いて前記認証処理を実行し、
前記特定のwebサービス以外のwebサービスに対しては、前記ログインアカウントに紐付けられた前記認証情報を用いて前記認証処理を実行する。 An authentication system according to the present invention includes:
a user information registration unit in which authentication information for using restricted access web services is registered for each account;
an SSO authentication unit that executes authentication processing for the web service when a client terminal requests access to the web service;
When the web service is a specific web service that can be used with a non-login account other than the login account used for login, the account for logging in to the specific web service is set based on the input operation of the client terminal an account setting unit for setting the
The SSO authentication unit
executing the authentication process for the specific web service using the authentication information associated with the account set by the account setting unit;
For web services other than the specific web service, the authentication processing is executed using the authentication information associated with the login account.

本発明に係る認証方法は、
アクセス制限されたwebサービスに対してクライアント端末からアクセス要求があった場合に行われる認証方法であって、
前記webサービスが、ログインに使用したログインアカウント以外の非ログインアカウントでの利用が可能な特定のwebサービスであるか否かを判定する第1工程と、
前記第1工程において、前記webサービスが前記特定のwebサービスであると判定された場合に、当該特定のwebサービスにログインするアカウントを、前記クライアント端末の入力操作に基づいて設定する第2工程と、
前記第2工程において設定された前記アカウントに紐付けられた認証情報を用いて、前記特定のwebサービスに対する認証処理を実行する第3工程と、
前記第1工程において、前記webサービスが前記特定のwebサービスでないと判定された場合に、前記ログインアカウントに紐付けられた認証情報を用いて前記認証処理を実行する第4工程と、
を備える。 An authentication method according to the present invention includes:
An authentication method performed when there is an access request from a client terminal to an access-restricted web service,
a first step of determining whether the web service is a specific web service that can be used by a non-login account other than the login account used for login;
a second step of setting an account for logging into the specific web service based on an input operation of the client terminal when the web service is determined to be the specific web service in the first step; ,
a third step of executing authentication processing for the specific web service using the authentication information associated with the account set in the second step;
a fourth step of executing the authentication process using the authentication information associated with the login account when it is determined in the first step that the web service is not the specific web service;
Prepare.

本発明によれば、ログインアカウントによる認証システムへのログイン状態を維持したままで、任意のアカウントによるSSO連携サービスに対する認証処理を実行することができる。 According to the present invention, it is possible to perform authentication processing for an SSO cooperation service using an arbitrary account while maintaining a login state to an authentication system using a login account.

図1は、実施の形態に係る認証システムの利用形態を示す図である。FIG. 1 is a diagram showing a usage form of an authentication system according to an embodiment. 図2は、リポジトリサーバーに登録されているユーザー情報の一例を示す図である。FIG. 2 is a diagram showing an example of user information registered in the repository server. 図3は、認証システムによる認証処理の一例を示すフローチャートである。FIG. 3 is a flow chart showing an example of authentication processing by the authentication system. 図4は、認証システムによる認証処理の一例を示すフローチャートである。FIG. 4 is a flowchart showing an example of authentication processing by the authentication system. 図5は、認証システムのログイン画面の一例を示す図である。FIG. 5 is a diagram showing an example of a login screen of the authentication system. 図6は、アカウント設定画面の一例を示す図である。FIG. 6 is a diagram showing an example of an account setting screen.

以下、本発明の実施の形態を、図面を参照して詳細に説明する。
本実施の形態では、SSO技術の1つであるSAML認証(SAML:Security Assertion Markup Language)を利用して認証処理を実行する場合について説明する。SAMLとは、異なるインターネットドメイン間でユーザー認証を行うためのXMLをベースにした標準規格(通信プロトコル)である。SAMLでは、認証に必要なユーザー情報だけでなく、ユーザーの属性情報(例えば、ユーザーの所属部署)を付与することもでき、webサービスの利用時に、ユーザー属性も考慮したアクセス許可を実現することができる。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
In this embodiment, a case will be described in which authentication processing is performed using SAML authentication (SAML: Security Assertion Markup Language), which is one of SSO techniques. SAML is an XML-based standard (communication protocol) for user authentication between different Internet domains. With SAML, not only the user information required for authentication, but also user attribute information (for example, the department to which the user belongs) can be given, and when using web services, it is possible to realize access permissions that consider user attributes. can.

図1は、本発明の一実施の形態に係る認証システム1を示す図である。
図1に示すように、認証システム1は、ネットワークNを介して、webサーバー2及びクライアント端末3と通信可能に接続されている。認証システム1は、認証サーバー11及びリポジトリサーバー12を有する。 FIG. 1 is a diagram showing an authentication system 1 according to one embodiment of the invention.
As shown in FIG. 1, the authentication system 1 is connected to a web server 2 and client terminals 3 via a network N so as to be able to communicate with each other. The authentication system 1 has an authentication server 11 and a repository server 12 .

認証サーバー11、リポジトリサーバー12、webサーバー2及びクライアント端末3は、例えば、汎用のコンピューターで構成され、演算/制御装置としてのCPU(Central Processing Unit)、主記憶装置としてのROM(Read Only Memory)及びRAM(Random Access Memory)、補助記憶装置としてのHDD(Hard Disk Drive)やSSD(Solid State Drive)、入力装置としてのマウスやキーボード、出力装置としてのディスプレイ等を備える。 The authentication server 11, the repository server 12, the web server 2, and the client terminal 3 are composed of, for example, a general-purpose computer, and include a CPU (Central Processing Unit) as an arithmetic/control device and a ROM (Read Only Memory) as a main storage device. and RAM (Random Access Memory), HDD (Hard Disk Drive) and SSD (Solid State Drive) as auxiliary storage devices, a mouse and keyboard as input devices, a display as an output device, and the like.

webサーバー2は、クライアント端末3に対して、クラウド上でSSO連携サービスを提供する。webサーバー2は、クライアント端末3からアクセス要求されると、認証システム1にユーザーの認証を依頼する。そして、webサーバー2は、認証を終えたユーザーに対してアクセス対象のwebサービスの使用を許可する。 The web server 2 provides the client terminal 3 with SSO cooperation service on the cloud. When the web server 2 receives an access request from the client terminal 3, it requests the authentication system 1 to authenticate the user. Then, the web server 2 permits the authenticated user to use the web service to be accessed.

認証システム1は、クライアント端末3が、webサーバー2が提供するアクセス制限されたSSO連携サービス(例えば、クラウド上で提供されるwebアプリケーション)を利用する際のシングルサインオン認証を実現する。認証システム1によって初回アクセス時の認証が行われ、認証Cookieが発行されると、SSO連携サービス(webサーバー2が提供するwebサービスを含む)を個別に認証処理することなく利用することができる。 The authentication system 1 implements single sign-on authentication when the client terminal 3 uses an access-restricted SSO cooperation service provided by the web server 2 (for example, a web application provided on the cloud). When the authentication system 1 performs authentication at the time of the first access and issues an authentication cookie, the SSO cooperation service (including the web service provided by the web server 2) can be used without individual authentication processing.

認証システム1において、認証サーバー11及びリポジトリサーバー12が協働することにより、ユーザーの認証処理が行われる。 In the authentication system 1, user authentication processing is performed by the cooperation of the authentication server 11 and the repository server 12. FIG.

認証サーバー11は、例えば、SSO連携サービスに対してクライアント端末3からアクセス要求があった場合に、クライアント端末3に対して、アカウント情報(例えば、ユーザーID及びパスワード)を要求する。そして、認証サーバー11は、ユーザーにより提示されたアカウント情報に基づいて、ユーザー認証を行う。認証が成功すると、当該ユーザーのアカウントに紐付けられた認証情報を用いて、SSO連携サービスに対するSSO認証処理が実行可能となる。 For example, the authentication server 11 requests account information (eg, user ID and password) from the client terminal 3 when the client terminal 3 requests access to the SSO cooperation service. Then, the authentication server 11 performs user authentication based on the account information presented by the user. When the authentication succeeds, the authentication information associated with the user's account can be used to execute the SSO authentication process for the SSO cooperation service.

すなわち、認証サーバー11は、SSO連携サービスに対してクライアント端末3からアクセス要求があった場合に、SSO連携サービスに対する認証処理を実行するSSO認証部として機能する。さらに、認証サーバー11は、SSO連携サービスが、ログインに使用したログインアカウント(例えば、個人ID)以外の非ログインアカウント(例えば、共有ID)での利用が可能な特定のSSO連携サービス(以下、「特定サービス」と称する)である場合に、特定サービスにログインするアカウントを、クライアント端末3の入力操作に基づいて設定するアカウント設定部として機能する。
なお、本実施の形態では、SSO認証部として機能する認証サーバー11に、アカウント設定部としての機能を組み込んでいるが、アカウント設定部として機能するサーバーを、認証サーバー11とは別に設けてもよい。 In other words, the authentication server 11 functions as an SSO authentication unit that executes authentication processing for the SSO collaboration service when there is an access request from the client terminal 3 to the SSO collaboration service. Furthermore, the authentication server 11 provides a specific SSO linkage service (hereinafter referred to as " specific service”), it functions as an account setting unit that sets an account for logging in to the specific service based on the input operation of the client terminal 3.
In the present embodiment, the authentication server 11 functioning as the SSO authentication unit incorporates the function of the account setting unit, but a server functioning as the account setting unit may be provided separately from the authentication server 11. .

リポジトリサーバー12は、認証システム1を利用するユーザーのユーザー情報や、各webサーバー2におけるリソース情報などを一元管理する。リポジトリサーバー12は、アクセス制限されたSSO連携サービスを利用するための認証情報がアカウントごとに登録されているユーザー情報登録部として機能する。リポジトリサーバー12に登録されているユーザー情報の一例を図2に示す。 The repository server 12 centrally manages user information of users who use the authentication system 1, resource information of each web server 2, and the like. The repository server 12 functions as a user information registration unit in which authentication information for using SSO cooperation services with access restrictions is registered for each account. An example of user information registered in the repository server 12 is shown in FIG.

図2に示すように、ユーザー情報は、アカウントごとに登録される。アカウントには、ユーザー個人に割り当てられた個人アカウント(図2では、「m170aaa」)と、複数のユーザーが共用する共有アカウント(図2では、「共有ID1」)と、がある。 As shown in FIG. 2, user information is registered for each account. Accounts include a personal account assigned to an individual user (“m170aaa” in FIG. 2) and a shared account shared by a plurality of users (“shared ID 1” in FIG. 2).

ユーザー情報は、アカウント情報Info1及び認証情報Info2を含む。アカウント情報Info1は、ユーザーIDやパスワードなどのユーザー認証に必要な情報である。認証情報Info2は、SSO連携サービスに対する認証処理を行うための情報である。図2では、アカウント情報Info1として、ユーザーのID“user_ID”及びパスワード“user_password”が登録されている。また、認証情報Info2として、ユーザーの姓“s_name”、名“g_name”、メールアドレス“mail”が登録されている。
なお、図2に示すユーザー情報は一例であり、その他の情報(例えば、ユーザーの所属部署など)が登録されていてもよい。 The user information includes account information Info1 and authentication information Info2. The account information Info1 is information required for user authentication, such as a user ID and password. The authentication information Info2 is information for performing authentication processing for the SSO cooperation service. In FIG. 2, a user ID "user_ID" and a password "user_password" are registered as account information Info1. Also, the user's surname "s_name", first name "g_name", and e-mail address "mail" are registered as authentication information Info2.
Note that the user information shown in FIG. 2 is an example, and other information (for example, the department to which the user belongs) may be registered.

さらに、本実施の形態では、ユーザー情報として、当該アカウントが利用可能な他のアカウント情報Info3が登録されている。図2では、ユーザーIDが“m170aaa”であるアカウントに対して、“共有ID1”、“共有ID2”、“共有ID3”という3つの共有アカウントが登録されている。つまり、ユーザーIDが“m170aaa”であるユーザーには、“共有ID1”、“共有ID2”、“共有ID3”を利用する権限が与えられている。 Furthermore, in this embodiment, other account information Info3 that can be used by the account is registered as user information. In FIG. 2, three shared accounts of "shared ID 1", "shared ID 2", and "shared ID 3" are registered for an account whose user ID is "m170aaa". That is, the user whose user ID is "m170aaa" is authorized to use "shared ID 1", "shared ID 2", and "shared ID 3".

また、リポジトリサーバー12には、webサーバー2が提供するSSO連携サービスのリソース情報として、当該SSO連携サービスがログインに使用したログインアカウント以外の非ログインアカウント(共有ID)での利用が可能な特定のSSO連携サービスであるか否かを示す情報が登録されている。 In addition, in the repository server 12, as the resource information of the SSO linkage service provided by the web server 2, a specific log-in account (shared ID) that can be used by a non-login account (shared ID) other than the login account used for login by the SSO linkage service is stored. Information indicating whether or not the service is an SSO linked service is registered.

リポジトリサーバー12は、認証サーバー11からの要求に応じて、認証に必要なユーザー情報、及びSSO連携サービスのリソース情報を取り出し、認証サーバー11に通知する。 In response to a request from the authentication server 11 , the repository server 12 retrieves user information required for authentication and resource information of the SSO cooperation service, and notifies the authentication server 11 of them.

以下に、認証システム1を利用した認証処理について説明する。図3、図4は、認証システム1による認証処理を示すフローチャートである。 Authentication processing using the authentication system 1 will be described below. 3 and 4 are flowcharts showing authentication processing by the authentication system 1. FIG.

ステップS101において、ユーザー(クライアント端末3)は、webサーバー2が提供するSSO連携サービスへのアクセス要求を行う。 In step S<b>101 , the user (client terminal 3 ) makes an access request to the SSO cooperation service provided by the web server 2 .

ステップS102において、webサーバー2は、クライアント端末3からのアクセス要求に応答して、クライアント端末3にSAML認証要求を行う。SAML認証要求は、クライアント端末3認証サーバー11にリダイレクトされる。ユーザーが認証システム1にログインしていない場合、ステップS103において、認証システム1は、クライアント端末3に対してログイン画面(図5参照)を提示する。ユーザーが認証システム1にログインしている場合、ステップS103~S106の処理は省略される。 In step S<b>102 , the web server 2 makes a SAML authentication request to the client terminal 3 in response to the access request from the client terminal 3 . The SAML authentication request is redirected to the client terminal 3 authentication server 11 . If the user has not logged into the authentication system 1, the authentication system 1 presents a login screen (see FIG. 5) to the client terminal 3 in step S103. If the user has logged in to the authentication system 1, the processes of steps S103 to S106 are omitted.

ステップS104において、ユーザーは、ログイン画面でアカウント情報(図5では、ユーザー名及びパスワード)を入力し、認証システム1にログインする。ユーザーは、例えば、個人アカウントにより、認証システム1へのログインを行う。
ステップS105において、クライアント端末3から認証サーバー11に、入力されたアカウント情報が通知される。 In step S104, the user logs into the authentication system 1 by entering account information (user name and password in FIG. 5) on the login screen. A user logs into the authentication system 1 using, for example, a personal account.
In step S<b>105 , the input account information is notified from the client terminal 3 to the authentication server 11 .

ステップS106において、認証サーバー11は、通知されたアカウント情報に基づいて、認証システム1に対する認証処理を行う。具体的には、認証サーバー11は、クライアント端末3から通知されたアカウント情報と、予めリポジトリサーバー12に登録されているアカウント情報とを比較して、正当な権原を有するユーザーか否かを判定する。正当な権原を有するアカウントである場合、当該アカウントが認証され、認証システム1へのログインが確立される。 In step S106, the authentication server 11 performs authentication processing for the authentication system 1 based on the notified account information. Specifically, the authentication server 11 compares the account information notified from the client terminal 3 with the account information registered in the repository server 12 in advance, and determines whether the user has legitimate authority. . If the account has valid authorization, the account is authenticated and login to the authentication system 1 is established.

次いで、ステップS107において、認証サーバー11は、アクセス対象のSSO連携サービスが、ログインに使用したログインアカウント(例えば、個人ID)以外の非ログインアカウント(例えば、共有ID1~共有ID3)での利用が可能な特定のSSO連携サービス(以下、「特定サービス」と称する)であるか否かを判定する。具体的には、認証サーバー11は、リポジトリサーバー12に登録されているSSO連携サービスのリソース情報に基づいて、特定サービスであるか否かを判定する。 Next, in step S107, the authentication server 11 allows the SSO linkage service to be accessed to be used by a non-login account (for example, shared ID1 to shared ID3) other than the login account (for example, personal ID) used for login. specific SSO linked service (hereinafter referred to as "specific service"). Specifically, the authentication server 11 determines whether or not the service is a specific service based on the resource information of the SSO collaboration service registered in the repository server 12 .

従来の認証システムでは、SSO連携サービスに対してクライアント端末からアクセス要求があった場合、認証サーバーが、クライアント端末によるログイン操作を自動的に代行するようになっており、ユーザーは、認証システムへのログイン状態を維持したまま、ログインアカウント以外の任意のアカウントでSSO連携サービスを利用することはできない。
これに対して、本実施の形態では、特定のSSO連携サービスについては、ログインアカウント以外の任意のアカウントでも利用できるようになっている。 In the conventional authentication system, when a client terminal requests access to the SSO linkage service, the authentication server automatically performs the login operation from the client terminal. It is not possible to use the SSO linkage service with any account other than the login account while maintaining the login state.
In contrast, in the present embodiment, a specific SSO collaboration service can be used with any account other than the login account.

具体的には、アクセス対象のSSO連携サービスが特定サービスである場合(ステップS107で“YES”)、ステップS111以降の処理が行われる。ステップS111において、認証サーバー11は、アカウント選択画面に表示するアカウント情報を問い合わせる。そして、ステップS112において、認証サーバー11は、リポジトリサーバー12への問合せ結果に基づいて、クライアント端末3にアカウント選択画面を提示する(図6参照)。 Specifically, when the SSO-linked service to be accessed is a specific service ("YES" in step S107), the processing from step S111 is performed. In step S111, the authentication server 11 inquires about account information to be displayed on the account selection screen. Then, in step S112, the authentication server 11 presents an account selection screen to the client terminal 3 based on the inquiry result to the repository server 12 (see FIG. 6).

図6には、図2に示すユーザーIDが“m170aaa”のアカウントで認証システム1へのログインが行われた場合に提示されるアカウント選択画面を示している。図2に示すように、ユーザーIDが“m170aaa”のアカウントには、“共有ID1”、“共有ID2”、“共有ID3”という3つの共有アカウントが登録されているので、当該アカウントでログインした場合、“共有ID1”、“共有ID2”、“共有ID3”でもSSO連携サービスを利用することができる。したがって、これらのアカウントが、ログイン中のアカウント(個人ID)とともに、選択可能な態様で提示される。図6では、利用可能なアカウントが、プルダウンリストで提示されている。 FIG. 6 shows an account selection screen presented when the login to the authentication system 1 is performed using the account with the user ID "m170aaa" shown in FIG. As shown in FIG. 2, three shared accounts of "shared ID 1", "shared ID 2", and "shared ID 3" are registered for the account with the user ID "m170aaa". , “shared ID 1”, “shared ID 2”, and “shared ID 3” can also use the SSO cooperation service. Therefore, these accounts are presented in a selectable manner along with the logged-in account (Personal ID). In FIG. 6, available accounts are presented in a pull-down list.

次いで、ステップS113において、ユーザー(クライアント端末3)は、アカウント選択画面のプルダウンリストから、利用するアカウントを選択する。ステップS114において、クライアント端末3は、選択されたアカウントを認証サーバー11に通知する。 Next, in step S113, the user (client terminal 3) selects an account to be used from the pull-down list on the account selection screen. In step S114, the client terminal 3 notifies the authentication server 11 of the selected account.

ステップS115において、認証サーバー11は、アカウント選択画面で選択され通知されたアカウントに紐付けられている認証情報をリポジトリサーバー12から取得し、アクセス対象のSSO連携サービスに対する認証処理を実行する。 In step S115, the authentication server 11 acquires from the repository server 12 the authentication information linked to the account selected and notified on the account selection screen, and performs authentication processing for the SSO collaboration service to be accessed.

ステップS116において、認証サーバー11は、認証結果をクライアント端末3に通知する。認証結果は、webサーバー2にリダイレクトされる。ステップS117において、webサーバー2は、クライアント端末3に対して、要求されたSSO連携サービスを提供する。サービス提供画面には、アカウント選択画面で選択されたアカウントのユーザーID(例えば、“共有ID1”)等が表示される。 In step S116, the authentication server 11 notifies the client terminal 3 of the authentication result. The authentication result is redirected to the web server 2. In step S<b>117 , the web server 2 provides the requested SSO cooperation service to the client terminal 3 . The service provision screen displays the user ID (for example, "shared ID 1") of the account selected on the account selection screen.

このとき、ユーザーID“m170aaa”のアカウントによる認証システム1へのログイン状態は維持されたままである。したがって、特定サービスへのアクセス前に他のSSO連携サービスを利用していた場合も、当該SSO連携サービスを起動させたまま、他のアカウントで特定サービスを利用することができる。 At this time, the login state to the authentication system 1 by the account of the user ID "m170aaa" is maintained. Therefore, even if another SSO cooperation service is used before accessing the specific service, the specific service can be used with another account while the SSO cooperation service is activated.

一方、アクセス対象のSSO連携サービスが特定サービスでない場合(ステップS107で“NO”)、ステップS121以降の処理により、通常のSSO認証処理が行われる。具体的には、ステップS121において、認証サーバー11は、ログインアカウントに紐付けられている認証情報をリポジトリサーバー12から取得し、アクセス対象のSSO連携サービスに対する認証処理を実行する。
ステップS122において、認証サーバー11は、認証結果をクライアント端末3に通知する。認証結果は、webサーバー2にリダイレクトされる。ステップS123において、webサーバー2は、クライアント端末3に対して、要求されたSSO連携サービスを提供する。 On the other hand, if the SSO-linked service to be accessed is not the specific service ("NO" in step S107), normal SSO authentication processing is performed in steps S121 and subsequent steps. Specifically, in step S121, the authentication server 11 acquires the authentication information linked to the login account from the repository server 12, and performs authentication processing for the SSO collaboration service to be accessed.
In step S122, the authentication server 11 notifies the client terminal 3 of the authentication result. The authentication result is redirected to the web server 2. In step S<b>123 , the web server 2 provides the requested SSO cooperation service to the client terminal 3 .

このように、実施の形態に係る認証システム1は、リポジトリサーバー12と認証サーバー11を備える。リポジトリサーバー12は、アクセス制限されたSSO連携サービス(webサービス)を利用するための認証情報がアカウントごとに登録されているユーザー情報登録部として機能する。認証サーバー11は、SSO連携サービスに対してクライアント端末3からアクセス要求があった場合に、SSO連携サービスに対する認証処理を実行するSSO認証部として機能するとともに、SSO連携サービスが、ログインに使用したログインアカウント以外の非ログインアカウントでの利用が可能な特定のSSO連携サービスである場合に、特定のSSO連携サービスにログインするアカウントを、クライアント端末3の入力操作に基づいて設定するアカウント設定部として機能する。
SSO認証部は、特定のSSO連携サービスに対しては、アカウント設定部により設定されたアカウントに紐付けられた認証情報を用いて認証処理を実行し、特定のSSO連携サービス以外のSSO連携サービスに対しては、ログインアカウントに紐付けられた認証情報を用いて認証処理(通常のSSO認証処理)を実行する。 As described above, the authentication system 1 according to the embodiment includes the repository server 12 and the authentication server 11. FIG. The repository server 12 functions as a user information registration unit in which authentication information for using an access-restricted SSO cooperation service (web service) is registered for each account. The authentication server 11 functions as an SSO authentication unit that executes authentication processing for the SSO cooperation service when there is an access request from the client terminal 3 to the SSO cooperation service, and the login used for the login by the SSO cooperation service. Functions as an account setting unit that sets an account for logging in to a specific SSO linked service based on an input operation of the client terminal 3 when the specific SSO linked service can be used with a non-login account other than an account. .
The SSO authentication unit performs authentication processing using the authentication information linked to the account set by the account setting unit for the specific SSO cooperation service, and for the SSO cooperation service other than the specific SSO cooperation service. In response, authentication processing (normal SSO authentication processing) is executed using the authentication information associated with the login account.

また、本実施の形態に係る認証方法は、アクセス制限されたSSO連携サービス(webサービス)に対してクライアント端末3からアクセス要求があった場合に行われる認証方法であって、SSO連携サービスが、ログインに使用したログインアカウント以外の非ログインアカウントでの利用が可能な特定のSSO連携サービスであるか否かを判定する第1工程(図3のステップS107)と、第1工程において、SSO連携サービスが特定のSSO連携サービスであると判定された場合に、当該特定のSSO連携サービスにログインするアカウントを、クライアント端末3の入力操作に基づいて設定する第2工程(ステップS111~S113)と、第2工程において設定されたアカウントに紐付けられた認証情報を用いて、特定のSSO連携サービスに対する認証処理を実行する第3工程(ステップS114、S115)と、第1工程において、SSO連携サービスが特定のSSO連携サービスでないと判定された場合に、ログインアカウントに紐付けられた認証情報を用いて認証処理を実行する第4工程(ステップS121)と、を備える。 Further, the authentication method according to the present embodiment is an authentication method that is performed when there is an access request from the client terminal 3 to an access-restricted SSO collaboration service (web service). A first step (step S107 in FIG. 3) of determining whether or not the specific SSO linked service can be used with a non-login account other than the login account used for login, and in the first step, the SSO linked service is determined to be a specific SSO linked service, a second step (steps S111 to S113) of setting an account for logging in to the specific SSO linked service based on the input operation of the client terminal 3; In the third step (steps S114 and S115) of performing authentication processing for a specific SSO linked service using the authentication information linked to the account set in the second step, and in the first step, the SSO linked service is specified. and a fourth step (step S121) of executing authentication processing using the authentication information associated with the login account when it is determined that the service is not the SSO cooperation service.

実施の形態に係る認証システム1及び認証方法によれば、ログインアカウントによる認証システム1へのログイン状態を維持したままで、任意のアカウントによるSSO連携サービスに対する認証処理を実行することができるので、非ログインアカウントでSSO連携サービスを利用する場合に、当該アカウントで認証システム1にログインし直す必要はなく、ログインアカウントで利用中のSSO連携サービスを終了させる必要もない。したがって、SSO環境の利便性が損なわれることなく、作業効率が格段に向上する。 According to the authentication system 1 and the authentication method according to the embodiment, it is possible to execute the authentication process for the SSO cooperation service using any account while maintaining the login state of the authentication system 1 using the login account. When using the SSO cooperation service with a login account, there is no need to re-login to the authentication system 1 with the account, and there is no need to end the SSO cooperation service being used with the login account. Therefore, work efficiency is remarkably improved without impairing the convenience of the SSO environment.

また、認証システム1において、認証サーバー11は、アカウント設定部として、特定のSSO連携サービス(webサービス)にログインするアカウントを設定するためのアカウント選択画面(アカウント設定画面、図6参照)をクライアント端末3に対して提示し、SSO認証部として、アカウント設定画面において設定されたアカウントに紐付けられた認証情報を用いて認証処理を実行する。
これにより、ユーザーは、特定のSSO連携サービスを利用するアカウントを、任意に設定することができる。 In the authentication system 1, the authentication server 11, as an account setting unit, displays an account selection screen (account setting screen, see FIG. 6) for setting an account for logging in to a specific SSO linked service (web service) to the client terminal. 3, and performs authentication processing as the SSO authenticator using the authentication information associated with the account set on the account setting screen.
This allows the user to arbitrarily set an account for using a specific SSO linkage service.

また、認証システム1において、リポジトリサーバー12(ユーザー情報登録部)は、利用可能な非ログインアカウントをアカウントごとに登録しており、認証サーバー11は、アカウント設定部として、アカウント選択画面(アカウント設定画面)に、利用可能な非ログインアカウントのリストを提示し、SSO認証部として、アカウント設定画面において選択されたアカウントに紐付けられた認証情報を用いて認証処理を実行する。
これにより、ユーザーは、特定のSSO連携サービスで利用可能なアカウントを容易に把握することができ、所望のアカウントを簡単な選択操作で設定することができる。また、正当な権原のないアカウントが設定されるのを防止できるので、セキュリティの面でも有用である。 Also, in the authentication system 1, the repository server 12 (user information registration unit) registers available non-login accounts for each account, and the authentication server 11 functions as an account setting unit to function as an account selection screen (account setting screen ), a list of available non-login accounts is presented, and as the SSO authentication unit, authentication processing is performed using the authentication information linked to the account selected on the account setting screen.
Thereby, the user can easily grasp the accounts that can be used in the specific SSO cooperation service, and can set the desired account by a simple selection operation. It is also useful in terms of security because it prevents the setting of an account without legitimate authority.

以上、本発明者によってなされた発明を実施の形態に基づいて具体的に説明したが、本発明は上記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で変更可能である。 Although the invention made by the inventor of the present invention has been specifically described above based on the embodiments, the present invention is not limited to the above embodiments, and can be changed without departing from the scope of the invention.

例えば、実施の形態では、アカウント選択画面において、ログインユーザーが利用可能なアカウントを提示し、その中から利用するアカウントを選択するようになっているが、ユーザーがアカウント設定画面でアカウント情報を入力できるようにしてもよい。 For example, in the embodiment, on the account selection screen, the logged-in user is presented with available accounts and selects the account to be used from among them, but the user can enter the account information on the account setting screen. You may do so.

また、実施の形態で説明した認証方式及び認証処理の流れは一例であり、SAML認証以外の認証方式を適用してもよい。また、ユーザーID及びパスワードだけでなく、生体認証、ワンタイムパスワードをアカウント情報として用いた多要素認証法遺棄を適用してもよい。 Further, the authentication method and the flow of authentication processing described in the embodiment are examples, and an authentication method other than SAML authentication may be applied. Also, a multi-factor authentication method abandonment using not only user IDs and passwords but also biometric authentication and one-time passwords as account information may be applied.

今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 It should be considered that the embodiments disclosed this time are illustrative in all respects and not restrictive. The scope of the present invention is indicated by the scope of the claims rather than the above description, and is intended to include all modifications within the meaning and range of equivalents of the scope of the claims.

1 認証システム
2 webサーバー
3 クライアント端末
11 認証サーバー(SSO認証部、アカウント設定部)
12 リポジトリサーバー(ユーザー情報登録部) 1 authentication system 2 web server 3 client terminal 11 authentication server (SSO authentication part, account setting part)
12 Repository server (user information registration part)

Claims (4)

アクセス制限されたwebサービスを利用するための認証情報がアカウントごとに登録されているユーザー情報登録部と、
前記webサービスに対してクライアント端末からアクセス要求があった場合に、前記webサービスに対する認証処理を実行するSSO認証部と、
前記webサービスが、ログインに使用したログインアカウント以外の非ログインアカウントでの利用が可能な特定のwebサービスである場合に、前記特定のwebサービスにログインするアカウントを、前記クライアント端末の入力操作に基づいて設定するアカウント設定部と、を備え、
前記SSO認証部は、
前記特定のwebサービスに対しては、前記アカウント設定部により設定された前記アカウントに紐付けられた前記認証情報を用いて前記認証処理を実行し、
前記特定のwebサービス以外のwebサービスに対しては、前記ログインアカウントに紐付けられた前記認証情報を用いて前記認証処理を実行する、
認証システム。 a user information registration unit in which authentication information for using restricted access web services is registered for each account;
an SSO authentication unit that executes authentication processing for the web service when a client terminal requests access to the web service;
When the web service is a specific web service that can be used with a non-login account other than the login account used for login, the account for logging in to the specific web service is set based on the input operation of the client terminal an account setting unit for setting the
The SSO authentication unit
executing the authentication process for the specific web service using the authentication information associated with the account set by the account setting unit;
executing the authentication process using the authentication information associated with the login account for a web service other than the specific web service;
Authentication system. 前記アカウント設定部は、前記特定のwebサービスにログインするアカウントを設定するためのアカウント設定画面を前記クライアント端末に対して提示し、
前記SSO認証部は、前記アカウント設定画面において設定された前記アカウントに紐付けられた前記認証情報を用いて前記認証処理を実行する、
請求項1に記載の認証システム。 The account setting unit presents to the client terminal an account setting screen for setting an account for logging in to the specific web service,
The SSO authentication unit executes the authentication process using the authentication information associated with the account set on the account setting screen,
The authentication system according to claim 1. 前記ユーザー情報登録部は、利用可能な前記非ログインアカウントをアカウントごとに登録しており、
前記アカウント設定部は、前記アカウント設定画面に、利用可能な前記非ログインアカウントのリストを提示し、
前記SSO認証部は、前記アカウント設定画面において選択された前記アカウントに紐付けられた前記認証情報を用いて前記認証処理を実行する、
請求項2に記載の認証システム。 The user information registration unit registers the available non-login accounts for each account,
The account setting unit presents a list of the available non-login accounts on the account setting screen,
The SSO authentication unit executes the authentication process using the authentication information associated with the account selected on the account setting screen,
The authentication system according to claim 2. アクセス制限されたwebサービスに対してクライアント端末からアクセス要求があった場合に行われる認証方法であって、
前記webサービスが、ログインに使用したログインアカウント以外の非ログインアカウントでの利用が可能な特定のwebサービスであるか否かを判定する第1工程と、
前記第1工程において、前記webサービスが前記特定のwebサービスであると判定された場合に、当該特定のwebサービスにログインするアカウントを、前記クライアント端末の入力操作に基づいて設定する第2工程と、
前記第2工程において設定された前記アカウントに紐付けられた認証情報を用いて、前記特定のwebサービスに対する認証処理を実行する第3工程と、
前記第1工程において、前記webサービスが前記特定のwebサービスでないと判定された場合に、前記ログインアカウントに紐付けられた認証情報を用いて前記認証処理を実行する第4工程と、
を備える、認証方法。 An authentication method performed when there is an access request from a client terminal to an access-restricted web service,
a first step of determining whether the web service is a specific web service that can be used by a non-login account other than the login account used for login;
a second step of setting an account for logging into the specific web service based on an input operation of the client terminal when the web service is determined to be the specific web service in the first step; ,
a third step of executing authentication processing for the specific web service using the authentication information associated with the account set in the second step;
a fourth step of executing the authentication process using the authentication information associated with the login account when it is determined in the first step that the web service is not the specific web service;
An authentication method comprising:
JP2021060301A 2021-03-31 2021-03-31 Authentication system and authentication method Active JP7159382B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021060301A JP7159382B2 (en) 2021-03-31 2021-03-31 Authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021060301A JP7159382B2 (en) 2021-03-31 2021-03-31 Authentication system and authentication method

Publications (2)

Publication Number Publication Date
JP2022156552A true JP2022156552A (en) 2022-10-14
JP7159382B2 JP7159382B2 (en) 2022-10-24

Family

ID=83559084

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021060301A Active JP7159382B2 (en) 2021-03-31 2021-03-31 Authentication system and authentication method

Country Status (1)

Country Link
JP (1) JP7159382B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013250612A (en) * 2012-05-30 2013-12-12 Canon Inc Cooperation system and cooperation method of the same, and information processing system and program of the same
JP2014010532A (en) * 2012-06-28 2014-01-20 Konica Minolta Inc Authentication control device, authentication system and program
JP2018142122A (en) * 2017-02-27 2018-09-13 富士ゼロックス株式会社 Information processing unit and information processing program

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013250612A (en) * 2012-05-30 2013-12-12 Canon Inc Cooperation system and cooperation method of the same, and information processing system and program of the same
JP2014010532A (en) * 2012-06-28 2014-01-20 Konica Minolta Inc Authentication control device, authentication system and program
JP2018142122A (en) * 2017-02-27 2018-09-13 富士ゼロックス株式会社 Information processing unit and information processing program

Also Published As

Publication number Publication date
JP7159382B2 (en) 2022-10-24

Similar Documents

Publication Publication Date Title
US10623501B2 (en) Techniques for configuring sessions across clients
US7921456B2 (en) E-mail based user authentication
US9628469B2 (en) Single sign on for a remote user session
US7845003B2 (en) Techniques for variable security access information
CN110113360B (en) Single set of credentials for accessing multiple computing resource services
US11128625B2 (en) Identity management connecting principal identities to alias identities having authorization scopes
US9519777B2 (en) Techniques for controlling authentication
US8468576B2 (en) System and method for application-integrated information card selection
US20080168539A1 (en) Methods and systems for federated identity management
US8632003B2 (en) Multiple persona information cards
US9461989B2 (en) Integrating operating systems with content offered by web based entities
US20130212653A1 (en) Systems and methods for password-free authentication
US9886590B2 (en) Techniques for enforcing application environment based security policies using role based access control
KR20140044784A (en) Sharing user id between operating system and application
US10454921B1 (en) Protection of authentication credentials of cloud services
US10205717B1 (en) Virtual machine logon federation
US11552947B2 (en) Home realm discovery with flat-name usernames
US10592978B1 (en) Methods and apparatus for risk-based authentication between two servers on behalf of a user
US11956233B2 (en) Pervasive resource identification
JP7159382B2 (en) Authentication system and authentication method
JP2018084979A (en) Authorization server and resource provision system
JP7230414B2 (en) Information processing system and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210924

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220920

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221012

R150 Certificate of patent or registration of utility model

Ref document number: 7159382

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150