JP5086142B2 - Authentication system, authentication method, and program executed by computer - Google Patents
Authentication system, authentication method, and program executed by computer Download PDFInfo
- Publication number
- JP5086142B2 JP5086142B2 JP2008068987A JP2008068987A JP5086142B2 JP 5086142 B2 JP5086142 B2 JP 5086142B2 JP 2008068987 A JP2008068987 A JP 2008068987A JP 2008068987 A JP2008068987 A JP 2008068987A JP 5086142 B2 JP5086142 B2 JP 5086142B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- application
- external service
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、認証システム、認証方法およびプログラムに関し、詳細には、外部サービスを利用することを前提としたアプリケーションを備えた端末装置の認証システム、認証方法およびプログラムに関する。 The present invention relates to an authentication system, an authentication method, and a program, and more particularly, to an authentication system, an authentication method, and a program for a terminal device that includes an application presumed to use an external service.
従来、外部サービスを利用することが前提となっているアプリケーションにおいて、外部サービスが要求するユーザ認証の機構をそのまま使い、アプリケーション自身のアクセス制御も行えるならば、利用者にとってもアプリケーション自身にとっても都合が良く、一般的にSSO(シングル・サイン・オン)機能という形で利用されている。 Conventionally, in an application that is premised on the use of an external service, if the user authentication mechanism required by the external service can be used as it is and the access control of the application itself can be performed, it is convenient for the user and the application itself It is generally used in the form of an SSO (Single Sign On) function.
ところが、現状では、外部サービスが、一般的なIDとパスワードにより認証を行う汎用的なユーザ認証手段(本明細書中では第1の認証手段という)ではなく、外部サービスの一部に組み込まれた認証手段(本明細書中では第2の認証手段という)を提供していることが多い。しかしながら、この第2の認証手段は、外部サービス以外で利用することを必ずしも想定していない。例えば、外部サービスを利用するアプリケーションには、認証結果として誰であるとして特定されたのかが伝達されず、認証に成功したのか失敗したのかしか伝達されないものもある。その結果、アプリケーション側には、認証に成功したユーザか否かの情報しか得られず、認証結果に基づいてきめ細かいアクセス制御機能を実現することは難しい。 However, at present, the external service is incorporated in a part of the external service, not a general-purpose user authentication unit (referred to as a first authentication unit in the present specification) that performs authentication using a general ID and password. In many cases, authentication means (referred to as second authentication means in this specification) is provided. However, this second authentication means is not necessarily assumed to be used for other than external services. For example, there is an application that uses an external service that does not transmit who is identified as an authentication result and only transmits whether authentication is successful or unsuccessful. As a result, only information indicating whether or not the user has been successfully authenticated is obtained on the application side, and it is difficult to realize a detailed access control function based on the authentication result.
また、アプリケーション側でアクセス制御を行うためには、あらかじめ管理者がユーザに対して権限を割り当てておく必要がある。このような機能を実現するためには、候補となるユーザの一覧を取得し、そこからユーザを選んで権限を付与するという手順が必要となる。しかし、外部サービスにはユーザの一覧を提供する機能を持たない認証手段も存在する。 In addition, in order to perform access control on the application side, it is necessary for the administrator to assign authority to the user in advance. In order to realize such a function, it is necessary to obtain a list of candidate users, select a user from the list, and grant authority. However, there are authentication means that do not have a function of providing a list of users in the external service.
この種の従来例としては、例えば下記に示す特許文献1〜3などがある。
As this type of conventional example, there are, for example,
しかしながら、このようなユーザ認証システムにあっては、ユーザ認証機構を有し、それに基づいてアクセス制御機能を提供する外部サービスがあったとしても、そのセキュリティ機能が、その装置内に閉じた機能しか提供されない場合には、十分なセキュリティと利便性とを確保することが難しいという問題がある。 However, in such a user authentication system, even if there is an external service that has a user authentication mechanism and provides an access control function based on the user authentication mechanism, the security function is only a function that is closed in the device. If not provided, there is a problem that it is difficult to ensure sufficient security and convenience.
また、このような場合、認証手続きとサービス利用手続きとが組み合わさって不可分になっていることが多い。このため、複数の外部サービスを組み合わせて利用する場合には、手続きを「認証」と「サービスの利用」に分離して抽象化して扱えるならば、保守や機能拡張などの面で有利となる。しかし、上記したように個別に最適化された手続きになっている場合は、抽象化が阻害されてしまい、サービス毎に個別の対応が必要になってくるという問題がある。 In such a case, the authentication procedure and the service use procedure are often inseparable. For this reason, when a plurality of external services are used in combination, it is advantageous in terms of maintenance, function expansion, etc. if the procedure can be abstracted and handled as “authentication” and “service use”. However, when the procedure is individually optimized as described above, the abstraction is hindered, and there is a problem that an individual response is required for each service.
本発明は、上記に鑑みてなされたものであって、アプリケーションのユーザが外部サービスで必要とされる認証を考慮することなく、ユーザの最低限のログイン操作の中で自動的に必要な認証手続きが実施されて利用することができる認証システム、認証方法、およびコンピュータが実行するためのプログラムを提供することを目的とする。 The present invention has been made in view of the above, and an authentication procedure that is automatically required in the minimum login operation of the user without considering the authentication required by the external service of the application user. It is an object to provide an authentication system, an authentication method, and a program that is executed by a computer.
上述した課題を解決し、目的を達成するために、請求項1にかかる発明は、アプリケーションを備える端末装置と、前記アプリケーションへのアクセス制御を行うアクセス制御手段と、前記アプリケーションに対するアクセス制御の認証を行う第1の認証手段と、前記アプリケーションが利用する外部サービスを提供する外部サービス機器と、前記外部サービス機器に備えられ、前記外部サービスへの認証を行う第2の認証手段と、を備え、前記アクセス制御手段は、ユーザの入力した認証情報に基づいて前記第1の認証手段と前記第2の認証手段の認証を行い、両方の認証が成功した場合に前記アプリケーションへのアクセスを許可すると共に、前記第1の認証手段による認証の結果得られた第1の認証子を用いて前記アプリケーションへアクセスすることにより、前記アプリケーションが前記外部サービスを利用することを特徴とする。
また、請求項2に係る発明は、請求項1に記載の認証システムであって、前記アプリケーションは、前記端末装置で実行する一連の機能を設定した設定情報に示される各機能に対応する前記外部サービス機器を利用することを特徴とする。
To solve the above problems and achieve the object, the invention according to
The invention according to
また、請求項3にかかる発明は、請求項1または請求項2に記載の認証システムであって、前記アクセス制御手段は、前記アプリケーションの機能および動作をカスタマイズする設定情報を検査し、その設定において必要な認証手段を抽出する抽出手段をさらに備え、前記アプリケーションの利用開始時の認証処理において、前記抽出手段で抽出された認証手段に対して認証を実行することを特徴とする。
Further, according the invention in claim 3 is the authentication system according to
また、請求項4にかかる発明は、請求項1に記載の認証システムであって、前記アクセス制御手段は、前記アプリケーションの機能および動作をカスタマイズする設定情報を作成する際に、設定に従った動作を行うのに必要な認証手段を抽出する抽出手段と、該抽出した認証手段と設定情報と対応付けて記録する記録手段とをさらに備え、前記アプリケーションの利用開始時の認証処理において、前記記録手段に記録されている全ての認証手段に対して認証を実行することを特徴とする。
The invention according to claim 4 is the authentication system according to
また、請求項5にかかる発明は、請求項1〜4のいずれか一つに記載の認証システムであって、前記第2の認証手段のうち、機能を実行するために必須の認証を必須認証手段とし、付加的な機能に関する認証をオプショナル認証手段として分類し、前記必須認証手段に関する認証が失敗した場合、全ての認証に関わる処理を停止させ、前記オプショナル認証手段に関する認証が失敗した場合、当該認証に関わる処理をスキップさせることを特徴とする。 The invention according to claim 5 is the authentication system according to any one of claims 1-4, of the second authentication means, a required authentication required to perform the functions and authentication means, an authentication regarding additional functions classified as an optional authentication unit, if the mandatory authentication about the authentication means has failed, stops the processing related to all authentication, authentication regarding the optional authentication means has failed when, characterized in that cause skip processing related to the authentication.
また、請求項6にかかる発明は、請求項5に記載の認証システムであって、前記必須認証手段と前記オプショナル認証手段との区別は、前記設定情報をカスタマイズする際に、管理者によって指定されたことを特徴とする。 The invention according to claim 6 is the authentication system according to claim 5, wherein the distinction between essential authentication unit and the optional authentication unit, when customizing the setting information, specified by the administrator It is characterized by that.
また、請求項7にかかる発明は、請求項5に記載の認証システムであって、前記必須認証手段と前記オプショナル認証手段との区別は、前記外部サービスの属性によって決定されることを特徴とする。
The invention according to
また、請求項8にかかる発明は、請求項5に記載の認証システムであって、前記必須認証手段と前記オプショナル認証手段との区別は、前記アプリケーションが定義する外部サービスに対して与えられる役割によって決定されることを特徴とする。
Moreover, the role invention according to
上述した課題を解決し、目的を達成するために、請求項9にかかる発明は、アプリケーションを備える端末装置と、前記端末装置に関するアクセス制御を行うアクセス制御手段と、前記アプリケーションが利用する外部サービスを提供する外部サービス機器と、前記外部サービス機器に備えられ、前記外部サービスへの認証を行う第2の認証手段と、認証情報とユーザ属性とを対応づけて格納した記憶手段と、ユーザの入力した認証情報に対応するユーザ属性を前記記憶手段から取得する属性情報取得手段と、を備え、前記アクセス制御手段は、ユーザの入力した該認証情報に基づいて前記第2の認証手段の認証を行い、認証が成功した場合に、前記属性情報取得手段によって取得されたユーザ属性に基づいて前記アプリケーションへアクセスすることにより、前記アプリケーションが前記外部サービスを利用することを特徴とする。
また、請求項10に係る発明は、請求項9に記載の認証システムにおいて、前記アプリケーションは、前記端末装置で実行する一連の機能を設定した設定情報に示される各機能に対応する前記外部サービス機器を利用することを特徴とする。
To solve the above problems and achieve the object, the invention according to claim 9, the terminal device comprising an application, an access control means for access control related to the terminal device, the previous Kia application and the external service device that provides the use external service, the provided external service device, a second authentication means for performing authentication to the external service, the authentication information and the user attribute storage means for storing in association with If, comprising an attribute information acquiring means for acquiring user attribute corresponding to the input authentication information of the user from the storage unit, wherein the access control means, the second authentication based on the input the user authentication information authenticates the unit, access if the authentication is successful, based on the user attribute acquired by said attribute information acquiring unit to the application By, wherein the application uses the external service.
The invention according to
また、請求項11にかかる発明は、請求項9または請求項10に記載の認証システムであって、前記第2の認証手段による認証の結果得られた第2の認証子と、前記属性情報取得手段が取得したユーザ属性とを組み合わせて第3の認証子を新たに作成し、前記アプリケーションは前記第2および第3の認証子を用いて前記外部サービスを利用することを特徴とする。
Further, the invention relates to a certification system of claim 9 or
また、請求項12にかかる発明は、請求項9〜11のいずれか一つに記載の認証システムであって、前記アクセス制御手段は、前記第1の認証手段と前記第2の認証手段の認証を行って両方の認証が成功した後、前記第2の認証手段による認証の結果得られた第2の認証子と、認証後のセッション確立手続きで得られた外部サービスへの接続情報と、前記第1の認証手段による認証の結果得られた第1の認証子とを組み合わせて第4の認証子を生成し、前記端末装置のアプリケーションは、該第4の認証子を用いて前記外部サービスを利用することを特徴とする。
The invention according to
また、請求項13にかかる発明は、請求項10に記載の認証システムであって、前記アクセス制御手段は、前記第2の認証手段の認証を行って認証が成功した後、前記第2の認証手段による認証の結果得られた第2の認証子と、認証後のセッション確立手続きで得られた外部サービスへの接続情報と、前記属性情報取得手段により前記記憶手段を検索した結果得られた前記外部サービス機器へのアクセス制御に必要なユーザ属性とを組み合わせて第5の認証子を生成し、前記端末装置のアプリケーションは、該第5の認証子を用いて前記外部サービスを利用することを特徴とする。
The invention according to
上述した課題を解決し、目的を達成するために、請求項14にかかる発明は、ユーザの入力した認証情報に基づいて、前記アプリケーションに対するアクセス制御の認証を行う第1の認証手段と、前記外部サービス機器に備えられ前記外部サービスへの認証を行う第2の認証手段との認証を行うステップと、前記第1の認証と前記第2の認証の両方が成功した場合に前記アプリケーションへのアクセスを許可すると共に、前記第1の認証手段による認証の結果得られた第1の認証子を用いて前記アプリケーションへアクセスすることにより、前記アプリケーションが前記外部サービスを利用するステップと、を含むことを特徴とする認証方法。
To solve the above problems and achieve the object, the invention according to
上述した課題を解決し、目的を達成するために、請求項15にかかる発明は、請求項14に記載の認証方法の各ステップをコンピュータに実行させることを特徴とするコンピュータが実行するためのプログラムである。
To solve the above problems and achieve the object, the invention according to
アプリケーションを備え、アクセス制御手段により前記アプリケーションへのアクセス制御を行い、第1の認証手段がアプリケーションに対するアクセス制御の認証を行い、外部サービス機器は、アプリケーションが利用する外部サービスを提供し、第2の認証手段は前記外部サービス機器に備えられ、前記外部サービスへの認証を行う。アクセス制御手段は、ユーザの入力した認証情報に基づいて前記第1の認証手段と前記第2の認証手段の認証を行い、両方の認証が成功した場合に前記アプリケーションへのアクセスを許可すると共に、第1の認証手段による認証の結果得られた第1の認証子を用いてアプリケーションへアクセスすることにより、アプリケーションが外部サービスを利用する。このように、アプリケーションのユーザは、認証情報を入力すると、これに基づいてアクセス制御手段が第1の認証手段と第2の認証手段の認証を行い、両方の認証が成功するとアプリケーションの利用が可能になる。このため、外部サービスで要求される認証を考慮することなく、最低限のログイン操作を行うだけで自動的に必要な手続きが実施され、利用が可能になるという効果を奏する。特に、複数の外部サービスを利用する場合、あるいは使用される外部サービスが動的に変わる場合であっても、その対応を利用者の負担無しに行えるため、管理の手間や設定ミスなどを削減することができる。 It includes an application performs access control to the application by the access control means, to authenticate the access control to the first authentication means there application, the external service device is an external service application utilizes provided, the second authentication means provided in the external service device, performs authentication to the external service. The access control means performs authentication of the first authentication means and the second authentication means based on authentication information input by the user, and permits access to the application when both authentications are successful, The application uses the external service by accessing the application using the first authenticator obtained as a result of authentication by the first authentication means . In this way, when an application user inputs authentication information, the access control means authenticates the first authentication means and the second authentication means based on the authentication information, and the application can be used when both authentications are successful. become. For this reason, without considering the authentication required by the external service, the necessary procedure is automatically performed and the use is enabled only by performing a minimum login operation. In particular, even when multiple external services are used, or even when the external services to be used change dynamically, the response can be done without the burden on the user, reducing management effort and setting errors. be able to.
また、本発明によれば、アプリケーションを備え、アクセス制御手段により端末装置に関するアクセス制御を行い、外部サービス機器は、端末装置のアプリケーションが利用する外部サービスを提供し、第2の認証手段は前記外部サービス機器に備えられ、前記外部サービスへの認証を行う。アクセス制御手段は、ユーザの入力した該認証情報に基づいて前記第2の認証手段の認証を行い、認証が成功した場合に、前記属性情報取得手段によって取得されたユーザ属性に基づいて前記アプリケーションへアクセスすることにより、前記アプリケーションが前記外部サービスを利用する。これにより、外部サービス機器の第2の認証手段に認証機能を委ねることで、ユーザを一元管理することができ、認証機能に不足があってもユーザ属性を記憶手段から取得することで、補うことができるという効果を奏する。 Further, according to the present invention includes an application, provides access control for the terminal apparatus by the access control means, the external service device provides external service application terminal equipment utilizes, second authentication means provided in the external service device, it performs authentication to the external service. Access control means performs authentication of the second authentication means based on the input the user authentication information, when the authentication is successful, to the based on the user attribute acquired by said attribute information acquiring unit Application By accessing, the application uses the external service . Thus, by delegating authentication function to the second authentication means of the external service device, the user can centrally manage, even if there is insufficient authentication by obtaining user attributes from the storage means, supplementing There is an effect that can be.
以下に添付図面を参照して、この発明にかかるユーザ認証システム、ユーザ認証方法およびコンピュータが実行するためのプログラムの最良な実施の形態を詳細に説明する。 Exemplary embodiments of a user authentication system, a user authentication method, and a program executed by a computer will be described below in detail with reference to the accompanying drawings.
(第1の実施の形態)
図1は、本発明のユーザ認証システムの概略構成を示すブロック図である。図1に示すユーザ認証システムは、プリンタ機能といった外部サービスの利用を前提としたアプリケーション10を備える端末装置と、その端末装置に関するアクセス制御を行うアクセス制御部11と、端末装置のアプリケーション10に対するアクセス制御の認証を行う認証サーバなどの第1の認証部30と、端末装置のアプリケーション10が利用する外部サービス20を提供する外部サービス機器と、外部サービス機器の一部に組み込まれ、外部サービス20の利用時に認証を要求する第2の認証部21と、外部サービス20に関するアクセス制御を行うアクセス制御部22などによって構成されている。
(First embodiment)
FIG. 1 is a block diagram showing a schematic configuration of a user authentication system of the present invention. The user authentication system shown in FIG. 1 includes a terminal device that includes an
アプリケーション10は、事前に設定された設定情報に基づいて端末装置を利用するユーザに対し機能を提供するものである。その際の設定情報としては、外部サービス20を利用して機能を提供するように指定することが可能である。
The
アクセス制御部11は、ユーザがアプリケーション10にアクセスするためのログイン処理の制御を行うものである。このアクセス制御部11の特徴は、ユーザの入力した認証情報に基づいて第1の認証部30と第2の認証部21の認証手続きが自動的に行われ、両方の認証が成功した場合は、アプリケーション10へのアクセスは勿論のこと、アプリケーション10を使って外部サービスの利用も可能となる。また、利用したい外部サービスが複数ある場合であっても、ユーザには最低限のログイン操作で利用できるようになる。
The access control unit 11 controls login processing for a user to access the
外部サービス20は、端末装置のアプリケーション10が利用することを前提としているサービスであり、外部サービス機器により提供される。例えば、プリンタアプリケーションに対するプリンタであり、プリントサービスを提供する場合などが考えられる。
The
第2の認証部21は、外部サービス20の一部として組み込まれた認証手段であって、通常は外部サービス以外で利用することを想定していない。このため、第2の認証部21は、認証機能を提供するものであるが、そのセキュリティ機能がその装置内に閉じた機能しか提供されない場合、十分なセキュリティ機能と利便性の両方を確保することは難しい。しかし、本発明では、ユーザの入力した認証情報に基づいてアクセス制御部11が第1の認証部30と第2の認証部21の認証手続きを自動的に行い、両方の認証が成功した場合にアプリケーション10へのアクセスと、アプリケーション10を使った外部サービス20の利用を可能とするため、セキュリティ機能と利便性の両方を確保することができる。
The
アクセス制御部22は、外部サービス20にアクセスするためのログイン処理を制御するものである。本発明では、アプリケーション10のユーザが入力した認証情報に基づいてアクセス制御部11が第1の認証部30と第2の認証部21に対する認証手続きを行い、両方の認証が成功すると、アクセス制御部22はアプリケーション10から外部サービスへのアクセスを許可し、アプリケーションが外部サービスを利用することができる。
The access control unit 22 controls login processing for accessing the
第1の認証部30は、認証サーバなどで構成され、ユーザがユーザIDやパスワードを入力したユーザ情報に基づいて認証を行う汎用的な認証手段である。本発明では、アプリケーション10のユーザが入力した認証情報に基づいて第1の認証部30と第2の認証部21に対する認証手続きを行い、両方の認証が成功すると、ユーザがアプリケーション10へアクセスできると共に、そのアプリケーション10を使い外部サービス20を利用することができる。ユーザがアプリケーション10へアクセスする場合は、第1の認証部30による認証の結果得られた第1の認証子を利用する。
The
図3は、図1の端末装置のアプリケーションにおける管理画面例を示す図である。第1の実施の形態におけるアプリケーションは、ユーザに一連の機能を提供するため、複数の外部サービスを組み合わせて利用するものである。このため、図3に示す管理画面では、アプリケーション10が実行するデータフローを簡単に表している。ここでは、例えば、文書データを管理画面のメインフロー上を左から投入すると(Svr(1)Input)、右に流れる過程で様々な処理が行われて必要な情報が付加され(Svr(7)OCR、Svr(8)Search)、最後に外部へ出力される(Svr(2)Output)。
FIG. 3 is a diagram showing an example of a management screen in the application of the terminal device of FIG. The application in the first embodiment uses a plurality of external services in combination in order to provide a series of functions to the user. Therefore, the management screen shown in FIG. 3 simply represents the data flow executed by the
図4は、図3のように設定されたデータフローで参照される外部サービスの一覧表を示す図である。図3のようなデータフローを定義する場合は、図4の一覧表に登録されているサービスの中から選択するだけで、データフローを定義することができる。この外部サービスの一覧表には、外部サービスの名前、機能、接続先URL、認証方式、認証サービスのURLなどを関連付けられている。 FIG. 4 is a diagram showing a list of external services referred to in the data flow set as shown in FIG. When defining a data flow as shown in FIG. 3, it is possible to define a data flow simply by selecting from the services registered in the list of FIG. The external service list is associated with the name, function, connection destination URL, authentication method, authentication service URL, and the like of the external service.
図5は、予め生成しておくユーザ認証システム内の認証方式のリスト例を示す図であり、処理フロー名や認証サービスのURLと関連づけられている。この認証方式のリストは予め生成しておき、図1のアクセス制御部11がアプリケーション10の機能および動作をカスタマイズする設定情報を検査し、その設定において必要な認証方式をリストから抽出する抽出手段としての抽出部(図示省略)をさらに備えている。このように、アプリケーション10の利用開始時に認証処理を行う場合、前記抽出部で抽出された全ての認証方式に対して認証を試みることができるので、利用したい外部サービスが複数あってもユーザは最低限度のログイン操作を行うだけで利用できるようになる。
FIG. 5 is a diagram showing an example of a list of authentication methods in the user authentication system generated in advance, and is associated with a processing flow name and an authentication service URL. This authentication method list is generated in advance, and the access control unit 11 in FIG. 1 examines the setting information for customizing the function and operation of the
また、アクセス制御部11は、アプリケーション10の機能および動作をカスタマイズする設定情報を検査し、その設定に必要な認証方式をリストから抽出する前記抽出部に加え、その抽出された認証方式と設定情報とを対応付けて記録する記録手段としての記録部(図示省略)をさらに備えていてもよい。このように、アプリケーションの設定によって使用される外部サービスが動的に変わるアプリケーションの場合、必要な認証方式も変化する。しかし、ここでは設定に従った動作を行うのに必要な認証方式を抽出部で抽出し、抽出した認証方式と設定情報とを対応付けて記録部に記録し、その記録部に記録されている全ての認証方式に対して認証を試みるので、利用者の負担無しに行うことが可能となり、管理の手間や設定ミスなどを削減することができる。
Further, the access control unit 11 examines the setting information for customizing the function and operation of the
図2は、第1の実施の形態にかかる動作を説明するフローチャートである。アプリケーション10のユーザがログイン処理を開始すると、図2に示す手順で処理が自動的に実行され、その結果として、図2のログイン処理が成功してアプリケーションの利用を開始するか、ログイン失敗かが判明する。端末装置のユーザが外部サービス20の利用を前提としたアプリケーション10にアクセスする場合、ログイン処理が行われる。ログイン処理が開始されると、アクセス制御部11は、図3のように設定されたデータフローのフロー定義情報を図4の一覧表から取り出す(ステップS100)。
FIG. 2 is a flowchart for explaining the operation according to the first embodiment. When the user of the
ここで、チェックしていない外部サービスが存在するか否かを判断し(ステップS101)、外部サービスが存在する場合はフロー定義で利用する外部サービス情報を一つ取り出し(ステップS102)、その外部サービスが第2の認証を要求しているか否かを判断する(ステップS103)。第2の認証を要求している場合は、認証先として第2の認証をマークし(ステップS104)、第2の認証を要求していない場合はそのままの状態でステップS101に戻る。 Here, it is determined whether there is an unchecked external service (step S101). If there is an external service, one piece of external service information used in the flow definition is extracted (step S102), and the external service is extracted. Determines whether the second authentication is requested (step S103). If the second authentication is requested, the second authentication is marked as the authentication destination (step S104). If the second authentication is not requested, the process returns to step S101 as it is.
ステップS101において、チェックしていない外部サービスが存在しないか、認証先として全てマークし終わった場合は、不図示の端末装置の操作画面にログイン画面を表示する(ステップS105)。ここで、ユーザはログインに必要なユーザIDとパスワードを入力すると、アクセス制御部11は、この入力情報を使って第1の認証部30に対して第1の認証を実施する(ステップS106)。この第1の認証により得られた第1の認証子は、ユーザがアプリケーションに対してアクセス制御を行う場合に利用する。
If there is no unchecked external service in step S101 or if all the authentication destinations have been marked, a login screen is displayed on the operation screen of the terminal device (not shown) (step S105). Here, when the user inputs the user ID and password necessary for login, the access control unit 11 performs the first authentication for the
第1の認証が成功した場合は(ステップS107)、ステップS108に移行して、他に第2の認証部21などの認証先がマークされているか否かを判断する。他に認証先がある場合は、マークされた認証サービスに対して認証を試みる(ステップS109)。その結果認証が成功すると(ステップS110)、ステップS108に戻り、それ以外に認証先がマークされていないかを判断する。他に認証先が無く、実施すべき認証が全て成功している場合は、アプリケーション10を使って外部サービス20を利用することができる
。
When the first authentication is successful (step S107), the process proceeds to step S108, and it is determined whether or not another authentication destination such as the
しかし、ステップS107において、第1の認証部30における認証がエラーになるか、第1の認証が成功しても第2の認証部21、あるいはそれ以外にマークされた認証部における認証がエラーになった場合は(ステップS110)、ログイン失敗として処理される。
However, in step S107, the authentication in the
このように、第1の実施の形態によれば、アプリケーションに対するアクセス制御の認証を行う第1の認証部と、外部サービス機器の一部に組み込まれ、外部サービス利用時に認証を要求する第2の認証部とがあった場合でも、ユーザは最低限のログイン操作を行うだけで両方の認証処理が自動的に行われ、両方の認証が成功した場合にアプリケーションを使って外部サービスを利用することができる。 As described above, according to the first embodiment, the first authentication unit that performs access control authentication for the application and the second authentication unit that is incorporated in a part of the external service device and requests authentication when using the external service. Even if there is an authentication unit, the user can perform both authentication processes automatically by performing a minimum login operation, and if both authentications are successful, an external service can be used using an application. it can.
また、第1の実施の形態によれば、アプリケーションのアクセス制御部は、機能および動作をカスタマイズする設定情報を検査して認証方式のリストを作成し、設定に応じて必要とする認証方式をリストから抽出し、その抽出された全ての認証方式に対して認証を試みるので、利用したい外部サービスが複数あったとしても、ユーザは最低限度のログイン操作を行うだけで利用できるようになる。 Further, according to the first embodiment, the access control unit of the application inspects the setting information for customizing functions and operations to create a list of authentication methods, and lists the required authentication methods according to the settings. Since the authentication is attempted for all the extracted authentication methods, even if there are a plurality of external services that the user wants to use, the user can use them only by performing a minimum login operation.
さらに、第1の実施の形態によれば、アプリケーションのアクセス制御部は、設定に応じて必要とする認証方式をリストから抽出し、その抽出された認証方式と設定情報とを対応付けて記録するため、設定によって使用される外部サービスが動的に変わるアプリケーションであっても、認証方式と設定情報とが対応付けられ記録された全ての認証方式に対して認証を試みるので、利用者の負担無しに行うことが可能となり、管理の手間や設定ミスなどを削減することができる。 Further, according to the first embodiment, the access control unit of the application extracts a required authentication method from the list according to the setting, and records the extracted authentication method and setting information in association with each other. Therefore, even if the external service used by the setting changes dynamically, authentication is attempted for all authentication methods that are recorded in association with the authentication method, so there is no burden on the user. It is possible to reduce the trouble of management and setting mistakes.
(第2の実施の形態)
第2の実施の形態の特徴は、図1に示した第2の認証部21をアプリケーションの機能を実行するために必須の認証を行う必須認証手段としての必須認証部と、オプショナルな機能に関する認証を行うオプショナル認証手段としてのオプショナル認証部との2つに分類して処理する点にある。この必須認証部とオプショナル認証部とは、図1には図示していないが、第2の認証部21内に設けられ、必須認証部に関する認証が失敗した場合は、認証処理を停止させるが、オプショナル認証部に関する認証が失敗したとしても認証処理をスキップさせるだけで、認証処理全体は停止させないようにする。
(Second Embodiment)
The feature of the second embodiment is that the
図6は、第2の実施の形態にかかる動作を説明するフローチャートである。図6のフローチャートは、図2のフローチャートの第2の認証処理動作に関する部分を変更したものである。すなわち、図6のステップS200〜ステップS203は、図2のステップS105〜ステップS108に対応しているが、その後のステップS204〜ステップS207における処理が異なっている。 FIG. 6 is a flowchart for explaining the operation according to the second embodiment. The flowchart of FIG. 6 is obtained by changing the part related to the second authentication processing operation of the flowchart of FIG. That is, Steps S200 to S203 in FIG. 6 correspond to Steps S105 to S108 in FIG. 2, but the processing in subsequent Steps S204 to S207 is different.
図7は、管理者がデータフローを設計する際に必須の認証かオプショナルな機能に関する認証かを明示的に分類できるようにした管理画面例を示す図である。例えば、管理者は、文書データを入力したり(Svr(1)Input)、最後に外部へ出力したりするサービス(Svr(2)Output)の認証は必須と判断し、入力された文書データを光学読み取りしたり(Svr(7)OCR)、その読み取ったデータに基づいて検索したりする付加的なサービス(Svr(8)Search)については、オプショナルな機能に関する認証と判断したとする。その場合、管理者は、データフローを設計する際に、図7に示すような管理画面上でオプショナルな機能に対しては「Optional」と記入し、それ以外は必須の認証サービスとして明示することができる。 FIG. 7 is a diagram showing an example of a management screen in which an administrator can explicitly classify authentication required for designing a data flow or authentication related to an optional function. For example, the administrator determines that authentication of a service that inputs document data (Svr (1) Input) and finally outputs to the outside (Svr (2) Output) is indispensable. Assume that the additional service (Svr (8) Search) that performs optical reading (Svr (7) OCR) or searches based on the read data is determined to be authentication related to an optional function. In that case, when designing the data flow, the administrator must enter “Optional” for optional functions on the management screen as shown in FIG. Can do.
また、図8は、管理者がデータフローを設計する際に必須の認証かオプショナルな機能に関する認証かを明示的に分類できるようにした別の管理画面例を示す図である。図8に示すように、データフローの左右の端点を構成するサービス(Svr(1)Input、Svr(2)Output)については、これを省略することが不可能なため、(×)マークを入れることで必須の認証であることを表し、それ以外のフローの途中に位置するデータ加工などを受け持つサービス(Svr(7)OCR、Svr(8)Search)についてはオプショナルな機能に関する認証として、(×)マークを記入しないことで明示することができる。 FIG. 8 is a diagram showing another example of a management screen that enables an administrator to explicitly classify authentication that is essential or authentication related to an optional function when designing a data flow. As shown in FIG. 8, for the services (Svr (1) Input, Svr (2) Output) that make up the left and right end points of the data flow, it is impossible to omit this, so the (x) mark is put. This means that it is mandatory authentication, and for services (Svr (7) OCR, Svr (8) Search) that handle data processing, etc., which are located in the middle of other flows, authentication for optional functions (× ) It can be clearly indicated by not entering the mark.
さらに、図9は、管理者がデータフローを設計する際に必須の認証かオプショナルな機能に関する認証かを外部サービスの持つ属性情報を判定基準として分類した外部サービスの一覧表を示す図である。図9の一覧表では、外部サービスの持つ属性情報を判定基準として必須の認証かオプショナルな機能に関する認証なのかを判定している。判定基準の一例としては、サービスの機能やサービスタイプなどで省略が可能なサービスであるか、省略すると機能が成立しなくなる必須のサービスなのかを判定することで分類することができる。ここでは、サービスの機能とサービスタイプに基づき、基幹サービスである(Svr(1)Input、Svr(2)Output、Svr(9)Output)は必須の認証であり、フィルターである(Svr(7)OCR、Svr(8)Search)はオプショナルな機能に関する認証であると判定される。 Furthermore, FIG. 9 is a diagram showing a list of external services in which attribute information of external services is classified as a criterion for determination as to whether authentication is required when an administrator designs a data flow or authentication related to an optional function. In the list of FIG. 9, it is determined whether the authentication is essential authentication or optional function authentication using the attribute information of the external service as a determination criterion. As an example of the determination criteria, classification can be performed by determining whether the service can be omitted based on the function or service type of the service, or whether the service is an indispensable service in which the function is not established if omitted. Here, based on the service function and service type, the basic services (Svr (1) Input, Svr (2) Output, Svr (9) Output) are mandatory authentications and filters (Svr (7) OCR, Svr (8) Search) is determined to be authentication related to an optional function.
そこで、図6のフローチャートを用いて第2の実施の形態にかかる動作を説明する。図6は、図2のステップS101に続いている。不図示の端末装置の操作画面にログイン画面が表示され(ステップS200)、ユーザはログインに必要なユーザIDとパスワードを入力すると、アクセス制御部11は、この入力情報を使って第1の認証部30に対して第1の認証を実施する(ステップS201)。この第1の認証により得られた第1の認証子は、ユーザがアプリケーションに対してアクセス制御を行う場合に利用される。 The operation according to the second embodiment will be described with reference to the flowchart of FIG. FIG. 6 continues to step S101 of FIG. When a login screen is displayed on an operation screen of a terminal device (not shown) (step S200) and the user inputs a user ID and password necessary for login, the access control unit 11 uses the input information to generate a first authentication unit. The first authentication is executed for 30 (step S201). The first authenticator obtained by the first authentication is used when the user performs access control on the application.
第1の認証が成功した場合は(ステップS202)、ステップS203に移行して、他に第2の認証部21などの認証先があるか否かを判断する。他に認証先がある場合は、指定された認証サービスに対して認証を試みる(ステップS204)。その結果、認証が成功すると(ステップS205)、ステップS203に戻り、他に第2の認証先があるか否かが判断される。他に認証先が無く、実施すべき認証が全て成功している場合は、アプリケーション10を使って外部サービス20を利用する。
When the first authentication is successful (step S202), the process proceeds to step S203, and it is determined whether there is another authentication destination such as the
また、ステップS204において、指定された認証サービスに対して認証を試みた結果、認証エラーになると(ステップS205)、ステップS206に移行して第2の認証が必須の認証か否かを判定する。ここで、図7に示すように、管理者によって指定された分類結果、図8に示すように、データフローのどの位置を構成するサービスかといった外部サービスの役割りによる分類結果、あるいは、図9に示すように、サービスの機能やサービスタイプといった外部サービスの持つ属性(カテゴリ情報等)による分類結果などに基づいて判定される。ステップS206において、必須の認証において認証エラーが生じた場合は、ログイン失敗となり、認証処理を中止する。また、ステップS202において、第1の認証処理で認証エラーとなった場合も同様にログイン失敗となり、認証処理を中止する。 In step S204, if an authentication error occurs as a result of attempting to authenticate the designated authentication service (step S205), the process proceeds to step S206 to determine whether the second authentication is an essential authentication. Here, as shown in FIG. 7, the classification result designated by the administrator, as shown in FIG. 8, the classification result based on the role of the external service such as which position of the data flow constitutes the service, or FIG. As shown in FIG. 4, the determination is made based on the classification result based on the attributes (category information, etc.) of the external service such as the service function and service type. In step S206, if an authentication error occurs in the required authentication, login fails and the authentication process is stopped. In step S202, if an authentication error occurs in the first authentication process, the login process is similarly failed, and the authentication process is stopped.
また、ステップS206において、オプショナルな機能に関する認証で認証エラーが生じた場合は、認証処理全体をエラーにするのではなく、当該認証に対応したサービスだけを使用しないようにスキップさせ、該当サービスに利用不可マークを記録して、ステップS203に戻る。 In step S206, if an authentication error occurs in the authentication related to the optional function, the entire authentication process is not made an error, but is skipped not to use only the service corresponding to the authentication and used for the corresponding service. The disabled mark is recorded, and the process returns to step S203.
このように、第2の実施の形態によれば、第2の認証がエラーになった場合に一律に認証処理を中止するのではなく、第2の認証が必須の認証であった場合は、認証処理を停止するが、オプショナルな機能に関する認証の場合は、その認証に関わる処理をスキップして認証処理全体は停止させないようにする。このため、複数の外部サービスを利用してユーザに機能を提供するアプリケーションにおいて、全ての外部サービスに権限を持たないと、アプリケーションを全く使えないという不便を解消することができる。また、一部のサービスに関する権限さえ持っていれば、基本的な機能だけは利用できるといった使い方も可能になる。 As described above, according to the second embodiment, when the second authentication results in an error, instead of canceling the authentication process uniformly, if the second authentication is an essential authentication, The authentication process is stopped, but in the case of authentication related to an optional function, the process related to the authentication is skipped so that the entire authentication process is not stopped. For this reason, in an application that provides a function to a user using a plurality of external services, it is possible to eliminate the inconvenience that the application cannot be used at all unless the authority is given to all the external services. Also, if you have the authority for some services, you can use only basic functions.
(第3の実施の形態)
第3の実施の形態の特徴は、第2の認証を要求する外部サービスを利用するアプリケーションがユーザの入力した認証情報に基づいて第2の認証を行い、ログインに成功した場合に、その認証情報に基づいてディレクトリサービスを検索し、ユーザ属性を取得して、そのユーザ属性に基づいてアプリケーション自身のアクセス制御を行う点にある。
(Third embodiment)
The feature of the third embodiment is that when an application using an external service that requests the second authentication performs the second authentication based on the authentication information input by the user and the login is successful, the authentication information The directory service is searched based on the user attribute, the user attribute is acquired, and the access control of the application itself is performed based on the user attribute.
図10は、第3の実施の形態にかかる動作を説明するフローチャートである。図10のフローチャートは、図2のフローチャートのログイン画面表示後の動作を変更したものである。すなわち、図10のステップS300は、図2のステップS105に対応しており、その後のステップS301〜ステップS305における処理が異なっている。 FIG. 10 is a flowchart for explaining the operation according to the third embodiment. The flowchart of FIG. 10 is obtained by changing the operation after the login screen is displayed in the flowchart of FIG. That is, step S300 in FIG. 10 corresponds to step S105 in FIG. 2, and the processing in subsequent steps S301 to S305 is different.
第3の実施の形態において、ユーザ属性が格納されたディレクトリサービスは、図1のアプリケーション10内に持っている。また、属性情報取得手段としてのアクセス制御部11は、ユーザの入力した認証情報に基づいてディレクトリサービス内を検索し、ユーザの認証情報に対応したユーザ属性が検索できなかった場合は、ログインが失敗となる。外部サービス20へのアクセス制御に必要なユーザ属性を取得すると、このユーザ属性に基づいてアプリケーション自身のアクセス制御が行われる。
In the third embodiment, a directory service storing user attributes is provided in the
また、第2の認証の結果得られた第2の認証子と、ディレクトリサービスを検索した結果得られたユーザ属性とを組み合わせて第3の認証子を新たに作成し、アプリケーションはこの第2および第3の認証子を利用するようにする。 Further, a second authenticator obtained as a result of the second authentication and a user attribute obtained as a result of searching the directory service are combined to newly create a third authenticator. A third authenticator is used.
図11は、第3の認証子の一例を示す図である。図11に示すように、外部サービス20に関連した認証結果は、外部認証情報として、新しく作られる認証子の一部として包含されている。その他には、例えば、組織情報、社員区分、メンバーとして登録されている管理グループ名の一覧などが、認証子に含まれているが、これらは、別途ディレクトリサービスから取得することができる。これらはユーザの権限レベルなどを判定するための情報として、認証子から取り出してアプリケーション内部で利用することができる。
FIG. 11 is a diagram illustrating an example of the third authenticator. As shown in FIG. 11, the authentication result related to the
そこで、図10のフローチャートを用いて第3の実施の形態にかかる動作を説明する。図10は、図2のステップS101に続いている。不図示の端末装置の操作画面にログイン画面が表示され(ステップS300)、ユーザはログインに必要なユーザIDとパスワードを入力すると、アクセス制御部11は、この入力情報を使って第2の認証部21に対して第2の認証を実施する(ステップS301)。 The operation according to the third embodiment will be described with reference to the flowchart of FIG. FIG. 10 continues to step S101 of FIG. When a login screen is displayed on an operation screen of a terminal device (not shown) (step S300) and the user inputs a user ID and password necessary for login, the access control unit 11 uses the input information to generate a second authentication unit. The second authentication is performed on 21 (step S301).
第2の認証が成功した場合は(ステップS302)、ステップS303に移行して、ユーザが入力した認証情報を使いユーザ属性が格納されているディレクトリサービスを検索する(ステップS303)。検索の結果、アクセス制御に必要なユーザ属性情報が取得できた場合は(ステップS304でNO)、第2の認証の結果得られた第2の認証子と、ディレクトリサービスの検索結果とを融合させて新たな第3の認証子を作成する(ステップS305)。アプリケーションは、この第2および第3の認証子を使って利用を開始する。 When the second authentication is successful (step S302), the process proceeds to step S303, and the directory service storing the user attribute is searched using the authentication information input by the user (step S303). If user attribute information necessary for access control can be acquired as a result of the search (NO in step S304), the second authenticator obtained as a result of the second authentication and the search result of the directory service are merged. A new third authenticator is created (step S305). The application starts using the second and third authenticators.
上記第2の認証の結果がエラーとなった場合(ステップS302)、およびディレクトリサービスを検索した結果、検索エラーが出た場合は(ステップS304)、ログイン失敗として認証処理を停止する。 If the second authentication result results in an error (step S302), and if a search error occurs as a result of searching the directory service (step S304), the authentication process is stopped as a login failure.
このように、第3の実施の形態によれば、外部サービス20の第2の認証部21にユーザ認証機能を委ねることによって、ユーザを一元管理し、その認証機能に不足があった場合でも、ディレクトリサービスを使ってユーザ属性を取得することにより、認証機能の不足を補うことができる。
Thus, according to the third embodiment, by entrusting the user authentication function to the
また、第3の実施の形態によれば、第2の認証結果とユーザの身元情報(ユーザ属性)とを新たな第3の認証子としてまとめることによって、認証機構の機能に違いが生じたとしても、その結果を利用する際に、その差を意識することなく活用することができる。 Further, according to the third embodiment, it is assumed that the authentication mechanism functions differently by combining the second authentication result and the user identity information (user attribute) as a new third authenticator. However, when using the result, it can be utilized without being aware of the difference.
(第4の実施の形態)
第4の実施の形態の特徴は、上記第1の実施の形態と同様に第1の認証と第2の認証とを行い、両方の認証が成功した後、第2の認証の結果得られた第2の認証子と、認証後のセッション確立手続きで得られた外部サービスへの接続情報と、第1の認証の結果得られた第1の認証子とを融合させて第4の認証子を生成し、アプリケーションはその第4の認証子を利用するようにした点にある。
(Fourth embodiment)
The feature of the fourth embodiment is obtained as a result of the second authentication after the first authentication and the second authentication are performed in the same manner as in the first embodiment, and both authentications are successful. The fourth authenticator is obtained by fusing the second authenticator, the connection information to the external service obtained in the session establishment procedure after authentication, and the first authenticator obtained as a result of the first authentication. The generated application uses the fourth authenticator.
また、第4の実施の形態の特徴は、上記第3の実施の形態と同様に第2の認証を行って認証が成功した後、第2の認証の結果得られた第2の認証子と、認証後のセッション確立手続きで得られた外部サービスへの接続情報と、属性情報取得手段によってディレクトリサービスを検索した結果得られた外部サービスへのアクセス制御に必要なユーザ情報とを組み合わせて第5の認証子を生成し、アプリケーションはその第5の認証子を利用するようにした点にある。 Further, the feature of the fourth embodiment is that the second authenticator obtained as a result of the second authentication after the second authentication is performed and the authentication is successful, as in the third embodiment. A combination of the connection information to the external service obtained in the session establishment procedure after authentication and the user information necessary for controlling access to the external service obtained as a result of searching the directory service by the attribute information acquisition means Is generated, and the application uses the fifth authenticator.
このように、第4の実施の形態では、認証手続きの結果得られる認証子を用いて、外部サービスを利用したり、ユーザ情報を取得したりするようにする。認証に成功した後、アプリケーションが受け取る認証子(認証証明書)に、認証結果としてアプリケーションが必要とする全ての情報をまとめるようにする。アプリケーションが必要とする情報には、外部サービスへの接続情報やユーザ自身の身元情報などが含まれる。このように、アプリケーションが外部サービスを利用する場合、あるいは、アプリケーション自身でアクセス制御を行う場合には、常に認証子に含まれている情報を利用するよう処理を統一する。 As described above, in the fourth embodiment, an external service is used or user information is acquired using an authenticator obtained as a result of the authentication procedure. After the authentication is successful, all information necessary for the application is collected as an authentication result in an authenticator (authentication certificate) received by the application. Information required by the application includes connection information to an external service, identity information of the user, and the like. As described above, when an application uses an external service or when access control is performed by the application itself, the processing is unified so as to always use information included in the authenticator.
図12は、外部サービスでユーザ認証機能が提供される場合の提供機能形態をパターン毎に分類した図である。基本機能としては、まずユーザ認証を行い、成功すると実際のサービス機能が利用できるようになるものであり、この点は共通しているが、具体的な設計結果としては色々なパターンで実装されている。 FIG. 12 is a diagram in which the provided function forms when the user authentication function is provided by an external service are classified for each pattern. The basic function is to perform user authentication first, and if successful, the actual service function can be used. This point is common, but the actual design results are implemented in various patterns. Yes.
図12の右側には正規化された機能分割が示され、左側には外部サービスの機能分割の例が示されている。ここでは、左側に示すサービスインターフェイスを右側に示すようなサービスインターフェイスに変換可能であることを示している。アプリケーションは常に、この正規化されたサービスインターフェイスを使えるようになる。 The normalized function division is shown on the right side of FIG. 12, and an example of the function division of the external service is shown on the left side. Here, the service interface shown on the left side can be converted into the service interface shown on the right side. Applications will always be able to use this normalized service interface.
まず、個々のサービスインターフェイスの機能について説明する。login(userName, password) ⇒ Credentialについては、「ユーザが入力した認証情報」と「本人である事を確認できる情報」とを照合して、利用者の識別を行う。この結果得られるCredentialとは、識別された利用者情報の証明書であり、後でアプリケーションなどが利用者情報を利用する際に、その内容が正しいことを確認することができる。 First, the function of each service interface will be described. login (userName, password) ⇒ For Credential, the “authentication information entered by the user” is checked against “information that can confirm the identity” to identify the user. The Credential obtained as a result is a certificate of the identified user information, and it can be confirmed that the content is correct when an application or the like uses the user information later.
startSession(Credential) ⇒ sessionIdについては、アプリケーションがサービスを繰り返し利用するような場合に、その都度利用者の身元確認をするのは効率が悪いため、最初に身元確認を行った後、サービスがアプリケーションに対して有効期限付きのSessionIdを発行する。サービスは、アプリケーションから提示されたSessionIdの確認だけ行えばよく、ユーザの身元確認を最初から行う必要は無くなる。また、適切に実装を行えばセキュリティ上の脆弱性も生じない。 For startSession (Credential) ⇒ sessionId, it is not efficient to verify the user's identity each time the application uses the service repeatedly. Issue SessionId with expiration date. The service only needs to confirm the SessionId presented by the application, and there is no need to confirm the identity of the user from the beginning. In addition, security vulnerabilities do not occur if properly implemented.
useService(SessionId, otherParameters)については、サービスが本来提供する機能を代表している。呼び出した結果や、得られる情報はさまざまなので特に個々には記述していない。パラメータとしてSessionIdなどを渡すようになっているが、この部分は、認証を必要とするか、サービスとの間でSessionを使って通信を行っているかで変化する。 UseService (SessionId, otherParameters) represents the function that the service originally provides. The result of the call and the information that can be obtained are various, so they are not described individually. SessionId etc. are passed as parameters, but this part changes depending on whether authentication is required or communication is performed using Session with the service.
続いて、各パターン毎の変換方法について説明する。パターン1では、ユーザ認証を行い、次にその結果(Credential)を持ってアプリケーションとサービスとの間でSessionを確立し、その後、本来のサービス機能が利用できるようになる。これは、最も基本的な機能提供形態であり、認証機能とそれ以外の提供機能が完全に分かれているため、独立した認証サービスを利用する場合(第1の認証)も、このような実装になっていることが多い。正規化されたサービスインターフェイスでは、セッションに関してはインターフェイス上に明確に現れていないが、SessionIdをCredential内に含めてしまうことにより、アプリケーションからSessionを隠蔽して、正規化パターンに合わせることが可能である。
Next, a conversion method for each pattern will be described. In
パターン2は、Sessionをベースにしたサービスインターフェイスであるが、認証とセッション開始要求が一つの機能として融合している。このパターンと、正規化パターンとを比較すると、形の上では、やり取りするデータをCredentialからSessionIdに置き換えただけの違いとなっている。しかし、ここで示したCredentialの本来の機能は、認証結果を示すだけであり(改ざん対策などは施す)、そのデータ自体で完結したものである。しかし、SessionIdの方は、サービス側に一時的に記録されたユーザ接続情報への参照情報を意味しているため、データを破棄する際にはサービス側にもそれを伝えて、サービス側のデータも破棄する必要がある。そのため、正規化パターンではlogoutを呼び出してサービス側に伝達するようにしている。
パターン3は、パターン2と呼び出しメソッド名が異なるのみで内容は同じものであるため重複説明を省略する。
The pattern 3 is the same as the
パターン4は、サービスとアプリケーションとの間にセッションを持たないインターフェイスとなっている。サービスの提供する機能によってはわざわざセッションを生成する必要の無いケースもある。正規化パターンでは、logoutを呼び出すようになっているが、このパターンのサービスに対しては、logoutに対応して情報を伝達する必要はない。 Pattern 4 is an interface that does not have a session between the service and the application. Depending on the functions provided by the service, there are cases where it is not necessary to create a session. In the normalization pattern, logout is called, but it is not necessary to transmit information corresponding to logout for the service of this pattern.
パターン5は、サービスインターフェイスの仕様として、先にセッションを確立して、その後、ユーザの確認を行う順序となっている。匿名セッションでのサービス利用がある(身元を明かさないでサービスの提供を受ける)場合には、このような手順で機能を提供する場合がある。このような場合でも、SessionIDとCredentialを融合して、正規化を行う事が可能である。 Pattern 5 is a service interface specification in which the session is established first and then the user is confirmed. When the service is used in an anonymous session (when the service is provided without revealing its identity), the function may be provided in such a procedure. Even in such a case, it is possible to normalize by merging SessionID and Credential.
パターン6は、サービスインターフェイスの仕様として、独立した認証機能もSessionの概念も無く、サービス利用時に利用者の身元情報を提示するインターフェイスも考えられる。この場合には、Credential=認証情報と見なして、インターフェイスの違いを隠蔽することが可能である。logoutに関しては、上記パターン4と同様にサービスに対しては特に伝達する情報はない。 Pattern 6 has a service interface specification that has neither an independent authentication function nor a concept of Session, and an interface that presents the user's identity information when using the service. In this case, it can be considered that Credential = authentication information, and the difference in interface can be hidden. Regarding logout, as in the case of the above pattern 4, there is no information to be transmitted to the service.
このように、第4の実施の形態によれば、各種外部サービスとその認証機能を利用する際に、認証機能に関する利用方法を統一して扱えるようになったため、アプリケーションは認証に関する共通の手続きを実行することにより、未知の外部アプリケーションであっても同様の手続きにより利用することができる。 As described above, according to the fourth embodiment, when using various external services and their authentication function, the usage method related to the authentication function can be handled in a unified manner. By executing, even an unknown external application can be used by the same procedure.
10 アプリケーション
11 アクセス制御部
20 外部サービス
21 第2の認証部
22 アクセス制御部
30 第1の認証部
DESCRIPTION OF
Claims (15)
前記アプリケーションへのアクセス制御を行うアクセス制御手段と、
前記アプリケーションに対するアクセス制御の認証を行う第1の認証手段と、
前記アプリケーションが利用する外部サービスを提供する外部サービス機器と、
前記外部サービス機器に備えられ、前記外部サービスへの認証を行う第2の認証手段と、
を備え、
前記アクセス制御手段は、ユーザの入力した認証情報に基づいて前記第1の認証手段と前記第2の認証手段の認証を行い、両方の認証が成功した場合に前記アプリケーションへのアクセスを許可すると共に、前記第1の認証手段による認証の結果得られた第1の認証子を用いて前記アプリケーションへアクセスすることにより、前記アプリケーションが前記外部サービスを利用することを特徴とする認証システム。 A terminal device comprising an application,
Access control means for controlling access to the application ;
A first authentication means for authenticating the access control to the previous Kia application,
And external service equipment to provide external services before Kia application to use,
Provided in the external service device, a second authentication means for performing authentication to the external service,
With
The access control unit authenticates the first authentication unit and the second authentication unit based on authentication information input by a user, and permits access to the application when both authentications are successful. the by accessing the application first authentication means by using the first authenticator obtained as a result of the authentication, authentication system that is characterized in that the application is using the external service.
前記アプリケーションの利用開始時の認証処理において、前記抽出手段で抽出された認証手段に対して認証を実行することを特徴とする請求項1または請求項2に記載の認証システム。 The access control means further comprises extraction means for examining setting information for customizing the function and operation of the application and extracting authentication means necessary for the setting,
In the authentication process when the use start of the application, authentication system according to claim 1 or claim 2, characterized that you perform authentication on the extracted authentication means by the extraction means.
前記アプリケーションの利用開始時の認証処理において、前記記録手段に記録されている全ての認証手段に対して認証を実行することを特徴とする請求項1に記載の認証システム。 The access control means includes: an extraction means for extracting an authentication means necessary for performing an operation according to the setting when creating setting information for customizing the function and operation of the application; and the extracted authentication means and the setting Recording means for recording in association with information,
In the authentication process when the use start of the application, authentication system according to claim 1, characterized that you perform authentication for all authentication means is recorded in the recording means.
前記必須認証手段に関する認証が失敗した場合、全ての認証に関わる処理を停止させ、前記オプショナル認証手段に関する認証が失敗した場合、当該認証に関わる処理をスキップさせることを特徴とする請求項1〜4のいずれか一つに記載の認証システム。 Among the second authentication means, authentication essential for executing the function is classified as essential authentication means, and authentication related to the additional function is classified as optional authentication means,
If the authentication regarding the mandatory authentication means has failed, it stops the processing related to all authentication, if the authentication regarding the optional authentication means has failed, according to claim 1, wherein the cause skip processing related to the authentication authentication system according to any one of 1-4.
前記端末装置に関するアクセス制御を行うアクセス制御手段と、
前記アプリケーションが利用する外部サービスを提供する外部サービス機器と、
前記外部サービス機器に備えられ、前記外部サービスへの認証を行う第2の認証手段と、
認証情報とユーザ属性とを対応づけて格納した記憶手段と、
ユーザの入力した認証情報に対応するユーザ属性を前記記憶手段から取得する属性情報取得手段と、
を備え、前記アクセス制御手段は、ユーザの入力した該認証情報に基づいて前記第2の認証手段の認証を行い、認証が成功した場合に、前記属性情報取得手段によって取得されたユーザ属性に基づいて前記アプリケーションへアクセスすることにより、前記アプリケーションが前記外部サービスを利用することを特徴とする認証システム。 The terminal device comprising an application,
Access control means for performing access control on the terminal device;
And external service equipment to provide external services before Kia application to use,
Provided in the external service device, a second authentication means for performing authentication to the external service,
Memory means for storing the authentication information and the user attribute in association with,
Attribute information acquisition means for acquiring user attributes corresponding to the authentication information input by the user from the storage means ;
Wherein the access control unit performs authentication of the second authentication means based on the input the user authentication information, when the authentication is successful, based on the user attribute acquired by said attribute information acquiring means by accessing the application Te, authentication system the application you characterized by using the external service.
前記アプリケーションは前記第2および第3の認証子を用いて前記外部サービスを利用することを特徴とする請求項9または請求項10に記載の認証システム。 A second authenticator obtained as a result of authentication by the second authenticating means and a user attribute acquired by the attribute information acquiring means are combined to newly create a third authenticator, and the application authentication system according to claim 9 or claim 10, characterized in that using the external service using the second and third authenticator.
前記端末装置のアプリケーションは、該第4の認証子を用いて前記外部サービスを利用することを特徴とする請求項9〜11のいずれか一つに記載の認証システム。 The access control means performs authentication of the first authentication means and the second authentication means, and after both authentications are successful, a second authenticator obtained as a result of authentication by the second authentication means. And the connection information to the external service obtained in the session establishment procedure after the authentication and the first authenticator obtained as a result of the authentication by the first authenticating means are combined to generate a fourth authenticator. ,
The application of the terminal device, authentication system according to any one of claims 9 to 11, characterized by using the external service using the authenticator fourth.
前記端末装置のアプリケーションは、該第5の認証子を用いて前記外部サービスを利用することを特徴とする請求項10に記載の認証システム。 The access control means performs authentication of the second authentication means, and after successful authentication, the second authenticator obtained as a result of authentication by the second authentication means, and a session establishment procedure after authentication. A fifth authenticator is obtained by combining the obtained connection information to the external service and the user attribute necessary for controlling the access to the external service device obtained as a result of searching the storage unit by the attribute information acquisition unit. Generate
The application of the terminal device, authentication system according to claim 10, characterized by using the external service using the authenticator fifth.
前記第1の認証と前記第2の認証の両方が成功した場合に前記アプリケーションへのアクセスを許可すると共に、前記第1の認証手段による認証の結果得られた第1の認証子を用いて前記アプリケーションへアクセスすることにより、前記アプリケーションが前記外部サービスを利用するステップと、
を含むことを特徴とする認証方法。 Based on input authentication information of the user, prior to a first authentication means for authenticating the access control to Kia application, a second authentication means provided in the external service device to authenticate to the external service The step of authenticating
The access to the application is permitted when both the first authentication and the second authentication are successful, and the first authenticator obtained as a result of authentication by the first authentication means is used. Accessing the application to allow the application to use the external service ;
Authentication how to characterized in that it comprises a.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008068987A JP5086142B2 (en) | 2008-03-18 | 2008-03-18 | Authentication system, authentication method, and program executed by computer |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008068987A JP5086142B2 (en) | 2008-03-18 | 2008-03-18 | Authentication system, authentication method, and program executed by computer |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009223739A JP2009223739A (en) | 2009-10-01 |
JP5086142B2 true JP5086142B2 (en) | 2012-11-28 |
Family
ID=41240423
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008068987A Expired - Fee Related JP5086142B2 (en) | 2008-03-18 | 2008-03-18 | Authentication system, authentication method, and program executed by computer |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5086142B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5822668B2 (en) | 2011-11-16 | 2015-11-24 | キヤノン株式会社 | System and control method. |
JP5882833B2 (en) | 2012-05-29 | 2016-03-09 | キヤノン株式会社 | Authentication device, authentication system, authentication method, and program |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003150553A (en) * | 2001-11-14 | 2003-05-23 | Nippon Telegr & Teleph Corp <Ntt> | Authentication method using plurality of accounts and device and processing program |
JP2004289302A (en) * | 2003-03-19 | 2004-10-14 | Ricoh Co Ltd | User restraint system |
JP4902981B2 (en) * | 2004-10-05 | 2012-03-21 | 株式会社リコー | Service providing system and service providing method |
JP2006350689A (en) * | 2005-06-16 | 2006-12-28 | Fuji Xerox Co Ltd | Client driver program and computer for controlling image forming apparatus, and method for controlling operation screen for image processing apparatus operation |
JP2007104608A (en) * | 2005-10-07 | 2007-04-19 | Murata Mach Ltd | Use authorization control system, use authorization control apparatus, and image processing apparatus |
JP2008027235A (en) * | 2006-07-21 | 2008-02-07 | Ricoh Co Ltd | Information processor, information processing method, and information processing program |
-
2008
- 2008-03-18 JP JP2008068987A patent/JP5086142B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009223739A (en) | 2009-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8955041B2 (en) | Authentication collaboration system, ID provider device, and program | |
US8448225B2 (en) | Login process apparatus, login process method, and program | |
US10375069B2 (en) | Authorization delegation system, information processing apparatus, authorization server, control method, and storage medium | |
US9021570B2 (en) | System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium | |
Boyd | Getting started with OAuth 2.0 | |
US7647625B2 (en) | System and/or method for class-based authorization | |
US8281374B2 (en) | Attested identities | |
US8561157B2 (en) | Method, system, and computer-readable storage medium for establishing a login session | |
US8869258B2 (en) | Facilitating token request troubleshooting | |
JP4913457B2 (en) | Federated authentication method and system for servers with different authentication strengths | |
EP2639727A1 (en) | Authentication collaboration system and id provider device | |
US8938789B2 (en) | Information processing system, method for controlling information processing system, and storage medium | |
US10701053B2 (en) | Authentication and approval control system for distributed ledger platform | |
JP5318719B2 (en) | Terminal device and access control policy acquisition method in terminal device | |
JP5125187B2 (en) | Authentication processing program, information processing program, authentication processing device, authentication processing system, and information processing system | |
JP5422753B1 (en) | Policy management system, ID provider system, and policy evaluation apparatus | |
CN110768968A (en) | Authorization method, device, equipment and system based on verifiable statement | |
JP4548660B2 (en) | Method and apparatus for managing workflow in single sign-on framework | |
US20180139199A1 (en) | Selective authentication system | |
US20160261582A1 (en) | System for secure login, and method and apparatus for same | |
JP5383838B2 (en) | Authentication linkage system, ID provider device, and program | |
US9251331B2 (en) | Simplified user registration | |
JP2006119719A (en) | Computer system and user authentication method | |
US20060089809A1 (en) | Data processing apparatus | |
US20100225950A1 (en) | Image forming apparatus and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100518 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120502 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120515 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120717 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120807 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120906 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5086142 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150914 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |