JP5903004B2 - Information processing apparatus and authorization information management method - Google Patents

Information processing apparatus and authorization information management method Download PDF

Info

Publication number
JP5903004B2
JP5903004B2 JP2012144424A JP2012144424A JP5903004B2 JP 5903004 B2 JP5903004 B2 JP 5903004B2 JP 2012144424 A JP2012144424 A JP 2012144424A JP 2012144424 A JP2012144424 A JP 2012144424A JP 5903004 B2 JP5903004 B2 JP 5903004B2
Authority
JP
Japan
Prior art keywords
user
authorization information
information
access token
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012144424A
Other languages
Japanese (ja)
Other versions
JP2014010486A (en
Inventor
徳浩 勝丸
徳浩 勝丸
直治 山田
直治 山田
山田 尚志
尚志 山田
智勇 王
智勇 王
未來 原
未來 原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2012144424A priority Critical patent/JP5903004B2/en
Publication of JP2014010486A publication Critical patent/JP2014010486A/en
Application granted granted Critical
Publication of JP5903004B2 publication Critical patent/JP5903004B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、認可情報を管理する情報処理装置及び認可情報を管理する方法に関する。   The present invention relates to an information processing apparatus for managing authorization information and a method for managing authorization information.

利用者が各種サイトで公開されているサービスを利用しようとする際に、個々のサイトにおいて、ID(アカウント)を取得し、必要な利用者情報を個別に手動にて入力する必要がある。   When a user tries to use a service published on various sites, it is necessary to acquire an ID (account) in each site and manually input necessary user information individually.

同じ内容の利用者の属性情報(利用者情報)の入力は、その利用者にとって煩雑である。その結果、登録せずに、サービス利用が促進されないことになる。そこで、利用者の情報を巧みに管理・活用する方式が必要となっている。   It is complicated for the user to input attribute information (user information) of the user having the same content. As a result, service use is not promoted without registration. Therefore, a method for skillfully managing and utilizing user information is required.

例えば特許文献1には、各サーバへのログイン情報を一括で保持する認証補助装置が、サーバからログイン画面を取得した場合に、保持しているログイン情報を当該ログイン画面中の入力項目へ埋め込んで端末装置へ返却することについて記載されている。これにより、既に登録済みのログイン情報を利用者が再度入力することなくサーバへログイン可能となる。すなわち、上記認証補助装置は、端末装置の認証操作を容易化することができる。   For example, in Patent Document 1, when an authentication assistant device that collectively holds login information for each server acquires a login screen from the server, the stored login information is embedded in an input item in the login screen. It describes about returning to the terminal device. As a result, it is possible to log in to the server without the user again inputting login information that has already been registered. That is, the authentication assistant device can facilitate the authentication operation of the terminal device.

特開2011−8462号公報JP 2011-8462 A

しかしながら、特許文献1の技術は、同一端末装置からの他のサーバに対するアクセス認証を省略する技術であるが、複数の端末装置を利用して、同一のサーバへアクセスがなされた場合のことが考慮されていない。   However, the technique of Patent Document 1 is a technique for omitting access authentication from the same terminal device to another server, but considers a case where a plurality of terminal devices are used to access the same server. It has not been.

よって、過去にログイン情報を入力した端末装置以外の端末装置からサーバへアクセスした場合は、再度ログイン情報を入力する必要がある。特に、過去に複数のサーバへログインしていた場合には、ログインしていた端末装置と異なる端末装置でサーバにアクセスするためには、全てのログイン情報を再度入力する必要がある。よって、利用者にとって、操作が煩雑となるという問題点がある。このことを考慮すると、過去にログインした端末装置と異なる端末装置におけるログイン情報の入力操作を軽減させるためにログイン情報(認可情報)の移行処理ができることが望ましい。   Therefore, when accessing the server from a terminal device other than the terminal device that has previously input the login information, it is necessary to input the login information again. In particular, when logging in to a plurality of servers in the past, it is necessary to input all login information again in order to access the server with a terminal device different from the terminal device that has logged in. Therefore, there is a problem that the operation becomes complicated for the user. In consideration of this, it is desirable to be able to perform login information (authorization information) transfer processing in order to reduce the input operation of login information in a terminal device different from the terminal device that has logged in in the past.

そこで、本発明においては、簡単に端末装置に関連付けられている認可情報を移行することができる情報処理装置を提供することを目的とする。   Therefore, an object of the present invention is to provide an information processing apparatus that can easily transfer authorization information associated with a terminal apparatus.

本発明に係る情報処理装置は、一のユーザに関連付けがなされている第1識別子に対応する一又は複数の認可情報を関連付けて記憶すると共に、前記一のユーザに関連付けがなされている第2識別子に対応する一又は複数の認可情報を関連付けて記憶するユーザ認可情報記憶手段と、第1識別子に関連付けられた認可情報の移行の選択がされると、選択された認可情報および前記第1識別子に関連付いた他の認可情報を、第2識別子に関連付けてユーザ認可情報記憶手段へ記憶させるユーザ認可情報管理手段と、を備える。 The information processing apparatus according to the present invention stores in association with one or more authorization information corresponding to the first identifier is made associated with one user, the second identifier the associated one of the users has been made And a user authorization information storage unit that associates and stores one or a plurality of authorization information corresponding to the first authorization information, and when the transition of authorization information associated with the first identifier is selected, the selected authorization information and the first identifier are User authorization information management means for storing other associated authorization information in the user authorization information storage means in association with the second identifier.

また、本発明に係る認可情報管理方法は、ユーザ認可情報を記憶する記憶手段を備える情報処理装置におけるユーザ認可情報管理方法において、一のユーザに関連付けがなされている第1識別子に対応する一又は複数の認可情報を関連付けて前記記憶手段に記憶すると共に、前記一のユーザに関連付けがなされている第2識別子に対応する一又は複数の認可情報を関連付けて前記記憶手段に記憶するユーザ認可情報記憶ステップと、第1識別子に関連付けられた認可情報の移行の選択がされると、選択された認可情報および前記第1識別子に関連付いた他の認可情報を、前記第2識別子に関連付けて前記記憶手段に記憶させるユーザ認可情報管理ステップと、を含む。 An authorization information management method according to the present invention is a user authorization information management method in an information processing apparatus including a storage unit that stores user authorization information. The authorization information management method corresponds to a first identifier associated with one user or stores in the storage means in association with a plurality of authorization information, the user authorization information storage for storing in the storage means in association with one or more authorization information corresponding to the second identifier the associated one of the users has been made And when the selection of migration of the authorization information associated with the first identifier is selected, the selected authorization information and other authorization information associated with the first identifier are associated with the second identifier and stored. A user authorization information management step stored in the means .

このような情報処理装置及び認可情報管理方法によれば、第1識別子に関連付けられた認可情報について移行の選択がされると、それに伴い、選択された認可情報を含む第1識別子に関連付けられた認可情報を第2識別子に関連付ける。よって、簡単に第1識別子に関連付けられている認可情報の移行をすることができる。   According to the information processing apparatus and the authorization information management method, when the migration information is selected for the authorization information associated with the first identifier, the associated information is associated with the first identifier including the selected authorization information. Associate authorization information with the second identifier. Accordingly, the authorization information associated with the first identifier can be easily transferred.

本発明に係る情報処理装置では、ユーザ認可情報管理手段は、第2識別子によるログインで、第1識別子に関連付いている認可情報を用いたアクセス要求がある場合、当該アクセス要求の対象となる認可情報が、選択された認可情報となるようにしても良い。   In the information processing apparatus according to the present invention, the user authorization information management means, when logging in with the second identifier and there is an access request using the authorization information associated with the first identifier, the authorization subject to the access request. The information may be selected authorization information.

この発明によれば、第1識別子の認可情報が指定されたことを特定しているタイミングで関連付けを行っているので、確実に第1識別子に関連している認可情報を、第2識別子へ関連付けることができる。   According to the present invention, since the association is performed at the timing when the authorization information of the first identifier is specified, the authorization information associated with the first identifier is reliably associated with the second identifier. be able to.

また、本発明に係る情報処理装置では、ユーザ認可情報記憶手段は、各認可情報に対応するサービス種別の情報を記憶しており、第2識別子への関連付け対象の認可情報に対応するサービス種別と同一のサービス種別であり、且つ当該第2識別子への関連付け対象の認可情報とは異なる認可情報が、第2識別子に関連付いている場合、何れかの認可情報を無効化にする認可情報制御手段をさらに備えるようにしても良い。   In the information processing apparatus according to the present invention, the user authorization information storage unit stores information on a service type corresponding to each authorization information, and includes a service type corresponding to the authorization information to be associated with the second identifier, Authorization information control means for invalidating any authorization information when authorization information that is the same service type and is different from the authorization information to be associated with the second identifier is associated with the second identifier May be further provided.

この発明によれば、認可情報の有効/無効を制御することにより、複数のアカウントの同時利用を許容していないWebサービスも適切に利用可能となる。   According to the present invention, by controlling the validity / invalidity of the authorization information, a Web service that does not allow simultaneous use of a plurality of accounts can be appropriately used.

また、第2識別子への関連付け対象となる第1識別子の認可情報の選択確認を受け付ける選択確認手段をさらに備え、ユーザ認可情報管理手段は、選択確認手段を介して選択確認された認可情報を関連付け対象とするようにしても良い。   In addition, a selection confirmation unit that accepts selection confirmation of the authorization information of the first identifier to be associated with the second identifier is provided, and the user authorization information management unit associates the authorization information selected and confirmed through the selection confirmation unit. You may make it object.

この発明によれば、利用者が所望の認可情報のみ関連付けさせることが可能となる。   According to the present invention, the user can associate only desired authorization information.

本発明によれば、第1識別子に関連付けられた認可情報について移行の選択がされると、それに伴い、選択された認可情報を含む第1識別子に関連付けられた認可情報を第2識別子に関連付けることになる。よって、簡単に端末装置に関連付けられている認可情報を移行することができる。   According to the present invention, when migration is selected for the authorization information associated with the first identifier, the authorization information associated with the first identifier including the selected authorization information is associated with the second identifier accordingly. become. Accordingly, the authorization information associated with the terminal device can be easily transferred.

本実施形態の情報処理システム10のシステム構成図である。It is a system configuration figure of information processing system 10 of this embodiment. 本実施形態の認証管理サーバ100の機能を示すブロック図である。It is a block diagram which shows the function of the authentication management server 100 of this embodiment. 認証管理サーバ100のハードウェア構成図である。2 is a hardware configuration diagram of an authentication management server 100. FIG. ユーザ管理情報及びユーザ認可情報のデータ構造を示す図である。It is a figure which shows the data structure of user management information and user authorization information. 初回認証処理を示すフローチャートである。It is a flowchart which shows a first time authentication process. 初回認証処理時の画面遷移図である。It is a screen transition diagram at the time of the first authentication process. 初回認証処理時の記憶情報の変化を示す図である。It is a figure which shows the change of the memory | storage information at the time of a first time authentication process. アクセストークン追加処理を示すフローチャートである。It is a flowchart which shows an access token addition process. アクセストークン追加処理時の画面遷移図である。It is a screen transition diagram at the time of access token addition processing. アクセストークン追加処理時の記憶情報の変化を示す図である。It is a figure which shows the change of the memory | storage information at the time of an access token addition process. アクセストークン削除時の画面遷移図である。It is a screen transition diagram when deleting an access token. アクセストークン削除時の記憶情報の変化を示す図である。It is a figure which shows the change of the memory information at the time of access token deletion. 再ログイン時の画面遷移図である。It is a screen transition diagram at the time of re-login. 再ログイン時の記憶情報の変化を示す図である。It is a figure which shows the change of the memory information at the time of re-login. 別ユーザID生成処理時の画面遷移図である。It is a screen transition figure at the time of another user ID production | generation process. 別ユーザID生成処理時の記憶情報の変化を示す図である。It is a figure which shows the change of the memory information at the time of another user ID production | generation process. アクセストークンの移行状態を示す図である。It is a figure which shows the transfer state of an access token. 別ユーザIDへのアクセストークン移行処理を示すフローチャートである。It is a flowchart which shows the access token transfer process to another user ID. 別ユーザIDへのアクセストークン移行処理の画面遷移図である。It is a screen transition diagram of the access token transfer process to another user ID. 別ユーザIDへのアクセストークン移行処理時の記憶情報の変化を示す図である。It is a figure which shows the change of the memory | storage information at the time of the access token transfer process to another user ID. 閲覧/検索処理を示すフローチャートである。It is a flowchart which shows a browsing / search process. ユーザ認可情報の制御を説明する図である。It is a figure explaining control of user authorization information. 別形態のユーザ認可情報のデータ構造を示す図である。It is a figure which shows the data structure of the user authorization information of another form.

以下、図面を参照しながら、本発明に係る実施形態を説明する。可能な場合には、同一の部分には同一の符号を付して、重複する説明を省略する。   Embodiments according to the present invention will be described below with reference to the drawings. Where possible, the same parts are denoted by the same reference numerals, and redundant description is omitted.

(情報処理システム10の構成)
図1は、本実施形態の情報処理システム10のシステム構成図である。図1に示すように、この情報処理システム10は、認証管理サーバ100、Webサービスサーバ200A、Webサービスサーバ200B、・・・(以降、総称してWebサービスサーバ200とも呼ぶ)と、端末装置300A、端末装置300B、・・・(以降、総称して端末装置300とも呼ぶ)とを含んで構成されている。また、図1に示すように、認証管理サーバ100、端末装置300及びWebサービスサーバ200は、それぞれ互いにネットワーク等により接続されている。 (Configuration of information processing system 10)
FIG. 1 is a system configuration diagram of an information processing system 10 according to the present embodiment. As shown in FIG. 1, the information processing system 10 includes an authentication management server 100, a web service server 200A, a web service server 200B,... (Hereinafter also collectively referred to as a web service server 200), and a terminal device 300A. , Terminal device 300B,... (Hereinafter collectively referred to as terminal device 300). As shown in FIG. 1, the authentication management server 100, the terminal device 300, and the Web service server 200 are connected to each other via a network or the like.

認証管理サーバ100は、端末装置300からのアクセスを認証管理サーバ100で記憶しているIDで識別する(以降、このIDをユーザIDと呼ぶ)。端末装置300から初回のアクセス要求がなされた場合、認証管理サーバ100が、ユーザIDを生成すると共に、ログイン用の情報として、当該ユーザIDに対応するテンポラリIDを端末装置300へ発行する。そして、認証管理サーバ100は、テンポラリIDを用いた端末装置300からの要求に応じて、ユーザIDの管理を行うことができる。   The authentication management server 100 identifies the access from the terminal device 300 by the ID stored in the authentication management server 100 (hereinafter, this ID is referred to as a user ID). When an initial access request is made from the terminal device 300, the authentication management server 100 generates a user ID and issues a temporary ID corresponding to the user ID to the terminal device 300 as login information. Then, the authentication management server 100 can manage the user ID in response to a request from the terminal device 300 using the temporary ID.

また、認証管理サーバ100は、各端末装置300からWebサービスサーバ200への認可情報(各WebサービスにアクセスするためのID/パスワードやアクセストークン)をユーザIDと関連付けて記憶する。ここで、認可情報とは、Webサービスサーバ200が提供するWebサービスを譲受するために必要な認証情報である。また、WebサービスにアクセスするためのIDを以降WebサービスIDと呼ぶ。本実施形態では、認可情報としてアクセストークンを適用した場合について説明する。   Further, the authentication management server 100 stores authorization information (ID / password and access token for accessing each Web service) from each terminal device 300 to the Web service server 200 in association with the user ID. Here, the authorization information is authentication information necessary for transferring a Web service provided by the Web service server 200. The ID for accessing the Web service is hereinafter referred to as a Web service ID. In the present embodiment, a case where an access token is applied as authorization information will be described.

さらに、認証管理サーバ100は、各端末装置300からWebサービスサーバ200への閲覧要求を受け付けた際には、認証管理サーバ100で記憶しているアクセストークンをWebサービスサーバ200へ送信し、Webサービスサーバ200から閲覧用の情報を取得し、端末装置300へ送信する。   Furthermore, when the authentication management server 100 receives a browsing request from each terminal device 300 to the Web service server 200, the authentication management server 100 transmits the access token stored in the authentication management server 100 to the Web service server 200, and the Web service Information for browsing is acquired from the server 200 and transmitted to the terminal device 300.

端末装置300は、次回以降のWebサーバ200へのアクセス要求を認証管理サーバ100へ行う際には、テンポラリIDを認証管理サーバ100へ送信する。   The terminal device 300 transmits a temporary ID to the authentication management server 100 when making an access request to the Web server 200 from the next time on to the authentication management server 100.

端末装置300は、PCや携帯端末等の情報機器から構成されており、認証管理サーバ100や、Webサービスサーバ200へ認証要求したり、認証管理サーバ100やWebサービスサーバ200から情報を取得したりする。   The terminal device 300 is configured by an information device such as a PC or a mobile terminal, and requests authentication from the authentication management server 100 or the Web service server 200, or acquires information from the authentication management server 100 or the Web service server 200. To do.

Webサービスサーバ200は、アクセス認証の情報としてログイン情報を要求したり、各種閲覧情報を提供したりするサーバ装置である。また、各Webサービスサーバ200は、各種Webサービスを提供する。ここでいうWebサービスとは、例えば、SNS(Social Networking Service)等、閲覧等に認証が必要なWebにより提供されるサービスをいう。以降、Webサービスを単にサービスとも呼ぶ。なお、Webサービスサーバ200Aは、サービスAを提供し、Webサービスサーバ200Bは、サービスBを提供し、Webサービスサーバ200Cは、サービスCを提供するものとする。   The Web service server 200 is a server device that requests login information as access authentication information and provides various browsing information. Each Web service server 200 provides various Web services. The term “Web service” as used herein refers to a service provided by the Web that requires authentication for browsing, such as SNS (Social Networking Service). Hereinafter, the Web service is also simply referred to as a service. Web service server 200A provides service A, Web service server 200B provides service B, and Web service server 200C provides service C.

(認証管理サーバ100の構成)
次に、認証管理サーバ100について詳細に説明する。図2は、認証管理サーバ100の機能を示すブロック図である。この認証管理サーバ100は、端末アクセス認証部101、サービス送受信部102、ユーザ認可情報管理部103(ユーザ認可情報管理手段)、関連付け対象選択確認部104(選択確認手段)、認可情報制御部105(認可情報制御手段)、ユーザ管理情報記憶部106及びユーザ認可情報記憶部107(ユーザ認可情報記憶手段)を含んで構成されている。 (Configuration of authentication management server 100)
Next, the authentication management server 100 will be described in detail. FIG. 2 is a block diagram illustrating functions of the authentication management server 100. The authentication management server 100 includes a terminal access authentication unit 101, a service transmission / reception unit 102, a user authorization information management unit 103 (user authorization information management unit), an association target selection confirmation unit 104 (selection confirmation unit), and an authorization information control unit 105 ( (Authorization information control means), user management information storage section 106, and user authorization information storage section 107 (user authorization information storage means).

このように構成された認証管理サーバ100は、図3に示されるハードウェアにより構成されている。図2に示される認証管理サーバ100は、物理的には、図3に示すように、CPU11、主記憶装置であるRAM12及びROM13、入力デバイスであるキーボード及びマウス等の入力装置14、ディスプレイ等の出力装置15、ネットワークカード等のデータ送受信デバイスである通信モジュール16、ハードディスクまたは半導体メモリ等の補助記憶装置17などを含むコンピュータシステムとして構成されている。図2における各機能は、図3に示すCPU11、RAM12等のハードウェア上に所定のコンピュータソフトウェアを読み込ませることにより、CPU11の制御のもとで入力装置14、出力装置15、通信モジュール16を動作させるとともに、RAM12や補助記憶装置17におけるデータの読み出し及び書き込みを行うことで実現される。以下、図2に示す機能ブロックに基づいて各機能ブロックを説明する。   The authentication management server 100 configured in this way is configured by the hardware shown in FIG. As shown in FIG. 3, the authentication management server 100 shown in FIG. 2 physically includes a CPU 11, a RAM 12 and a ROM 13 as main storage devices, an input device 14 such as a keyboard and a mouse as input devices, a display, and the like. The computer system includes an output device 15, a communication module 16 that is a data transmission / reception device such as a network card, an auxiliary storage device 17 such as a hard disk or a semiconductor memory, and the like. Each function in FIG. 2 operates the input device 14, the output device 15, and the communication module 16 under the control of the CPU 11 by reading predetermined computer software on the hardware such as the CPU 11 and the RAM 12 shown in FIG. 3. In addition, it is realized by reading and writing data in the RAM 12 and the auxiliary storage device 17. Hereinafter, each functional block will be described based on the functional blocks shown in FIG.

端末アクセス認証部101は、端末装置300からのWebサービスサーバ200へのアクセス要求を受信した後に、端末装置300から取得したテンポラリIDを用いて、正常な権限を有しているかチェックする。   After receiving the access request to the Web service server 200 from the terminal device 300, the terminal access authentication unit 101 uses the temporary ID acquired from the terminal device 300 to check whether it has normal authority.

サービス送受信部102は、端末装置300からのWebサービスサーバ200へのサービス要求を受け付けたり、Webサービスサーバ200へサービス要求したり、Webサービスサーバ200から情報(アクセストークンや閲覧用情報等)を取得したり、当該Webサービスサーバ200から取得した情報を端末装置300へ送信したりする。   The service transmitting / receiving unit 102 receives a service request from the terminal device 300 to the Web service server 200, requests a service request from the Web service server 200, and acquires information (such as an access token and browsing information) from the Web service server 200. Or the information acquired from the Web service server 200 is transmitted to the terminal device 300.

ユーザ認可情報管理部103は、テンポラリIDを有しない端末からWebサービスサーバ200へのアクセス要求がなされた場合に、ユーザIDを生成し、当該ユーザIDと、アクセス要求対象のWebサービスサーバ200から取得したアクセストークンと、ユーザ情報とを関連付けた情報であるユーザ認可情報を生成し、当該ユーザ認可情報をユーザ認可情報記憶部107へ記憶する。ここで、ユーザ情報とは、Webサービスサーバ200がアクセス元のユーザを特定するための情報である。   When an access request to the Web service server 200 is made from a terminal that does not have a temporary ID, the user authorization information management unit 103 generates a user ID and acquires the user ID and the access request target Web service server 200. The user authorization information, which is information relating the access token and the user information, is generated, and the user authorization information is stored in the user authorization information storage unit 107. Here, the user information is information for the Web service server 200 to specify the access source user.

また、ユーザ認可情報管理部103は、ユーザIDを生成した場合、当該ユーザIDに対応するテンポラリIDを生成し、当該ユーザIDと、テンポラリIDと、端末装置300から取得したユーザ名とを関連付けた情報であるユーザ管理情報をユーザ管理情報記憶部106へ記憶する。   Further, when the user authorization information management unit 103 generates a user ID, the user authorization information management unit 103 generates a temporary ID corresponding to the user ID, and associates the user ID, the temporary ID, and the user name acquired from the terminal device 300. The user management information as information is stored in the user management information storage unit 106.

さらに、ユーザ認可情報管理部103は、ユーザ認可情報の編集(例えば、ユーザ認可情報の追加や、ユーザ認可情報の移行、ユーザ認可情報やユーザ管理情報の削除)の必要性を判断し、編集対象と判断したユーザ認可情報を編集する。   Further, the user authorization information management unit 103 determines the necessity of editing the user authorization information (for example, addition of user authorization information, migration of user authorization information, deletion of user authorization information and user management information), and editing target Edit the user authorization information determined to be.

関連付け対象選択確認部104は、関連付け対象とするユーザ認可情報の一覧画面を出力し、端末装置300の利用者から関連付け対象の認可情報の選択を受け付け、選択された認可情報を確認する。   The association target selection confirmation unit 104 outputs a list screen of user authorization information to be associated, accepts selection of authorization information to be associated from the user of the terminal device 300, and confirms the selected authorization information.

認可情報制御部105は、アクセストークンの有効状態を制御し、具体的には、各アクセストークンを有効とするか否かを決定する。例えば、同一IDに同一サービスのアクセストークンが複数ある場合に、当該複数のアクセストークンの内、一部を有効状態にし、それ以外を無効状態にする。詳細は、後述する。   The authorization information control unit 105 controls the validity state of the access token, and specifically determines whether or not each access token is valid. For example, when there are a plurality of access tokens of the same service for the same ID, a part of the plurality of access tokens is made valid and the others are made invalid. Details will be described later.

ユーザ管理情報記憶部106は、ユーザ管理情報を記憶する。ユーザ管理情報のデータ構造を図4(A)に示す。ユーザ管理情報は、ユーザ管理情報は、ユーザIDと、ユーザ名と、テンポラリIDとを有する情報である。ユーザ認可情報記憶部107は、ユーザ認可情報を記憶する。なお、ユーザ認可情報とは、ユーザIDと、認可情報と、ユーザ情報とが対応付けられた情報である。図4(B)にユーザ認可情報のデータ構造を示す。ここで、ユーザ情報とは、Webサービスサーバ200がアクセス元のユーザを特定するための情報である。   The user management information storage unit 106 stores user management information. The data structure of the user management information is shown in FIG. The user management information is information having a user ID, a user name, and a temporary ID. The user authorization information storage unit 107 stores user authorization information. The user authorization information is information in which a user ID, authorization information, and user information are associated with each other. FIG. 4B shows the data structure of user authorization information. Here, the user information is information for the Web service server 200 to specify the access source user.

図4(B)に示すように、ユーザ認可情報は、ユーザIDと、当該ユーザIDに対応するアクセストークンと、ユーザ情報とを関連付けた情報である。また、各認可情報には、Webサービスの種別情報を含む。なお、Webサービス種別の情報を認証管理サーバ100が別に保持するようにしても良い。   As shown in FIG. 4B, the user authorization information is information in which a user ID, an access token corresponding to the user ID, and user information are associated with each other. Each authorization information includes Web service type information. Note that the authentication management server 100 may hold information on the Web service type separately.

次に、情報処理システム10の処理について説明する。ここで説明する情報処理システム10の処理には、ユーザ認可情報の管理に関する処理であるアカウント管理処理(初回認証処理、アクセストークン追加処理、アクセストークン削除処理、再ログイン処理、別ユーザID生成処理、別ユーザIDへのアクセストークン移行処理)と、ユーザ認可情報を利用して、Webサービス(Web情報の閲覧等)を譲受する処理(Web閲覧処理)とがある。以下に、それぞれの処理を順に説明する。   Next, processing of the information processing system 10 will be described. The processing of the information processing system 10 described here includes account management processing (initial authentication processing, access token addition processing, access token deletion processing, re-login processing, separate user ID generation processing, processing related to user authorization information management, There are an access token transfer process to another user ID) and a process (Web browsing process) of using the user authorization information to transfer a Web service (Web information browsing or the like). Below, each processing is explained in order.

(初回認証処理)
最初に、初回認証処理について説明する。図5は、本実施形態の情報処理システム10の初回認証処理を示すシーケンス図である。ここでいう初回認証処理とは、最初に認証管理サーバ100を介して、Webサービスサーバ200への認証要求をする処理をいう。以下、各ステップについて説明する。 (Initial authentication process)
First, the initial authentication process will be described. FIG. 5 is a sequence diagram illustrating the initial authentication process of the information processing system 10 according to the present embodiment. Here, the initial authentication process refers to a process of making an authentication request to the Web service server 200 through the authentication management server 100 first. Hereinafter, each step will be described.

まず、前提として、端末装置300が認証管理サーバ100から図6(A)に示すようなWebサービスの一覧と、アクセストークンの登録状況を示したアカウント管理画面を取得し、端末装置300で表示しているものとする。また、端末装置300がユーザ名を認証管理サーバ100へ送信しているものとする。なお、端末装置300の画面は、タッチパネルで構成されるものとするが、これに限るものではない。   First, as a premise, the terminal device 300 acquires a list of Web services as shown in FIG. 6A from the authentication management server 100 and an account management screen showing the access token registration status, and displays them on the terminal device 300. It shall be. Further, it is assumed that the terminal device 300 is transmitting the user name to the authentication management server 100. In addition, although the screen of the terminal device 300 shall be comprised with a touch panel, it is not restricted to this.

そして、端末装置300の利用者の入力操作によって、所定のWebサービス(例えば、サービスA)が選択されると、端末装置300が認証管理サーバ100に対して、Webサービスサーバ200への認証要求を行う(S101)。次に、認証管理サーバ100のサービス送受信部102は、Webサービスサーバ200に対して、リダイレクトする(S102)。そして、Webサービスサーバ200は、端末装置300に対して、図6(B)に示すようなサービスAの認証画面を返却する(S103)。   When a predetermined Web service (for example, service A) is selected by an input operation of the user of the terminal device 300, the terminal device 300 sends an authentication request to the Web service server 200 to the authentication management server 100. Perform (S101). Next, the service transmission / reception unit 102 of the authentication management server 100 redirects to the Web service server 200 (S102). Then, the Web service server 200 returns an authentication screen for the service A as shown in FIG. 6B to the terminal device 300 (S103).

図6(B)に示すサービスAの認証画面において、Webサービスサーバ200Aにログインするための、WebサービスID及びパスワードが入力されると、端末装置300は、Webサービスサーバ200に対して、当該Webサービスサーバ200が提供しているWebサービスのWebサービスID及びパスワードを通知する(S104)。   When the Web service ID and password for logging in to the Web service server 200A are input on the authentication screen of the service A shown in FIG. 6B, the terminal device 300 sends the Web service server 200 the Web The Web service ID and password of the Web service provided by the service server 200 are notified (S104).

Webサービスサーバ200は、端末装置300から受信したWebサービスID及びパスワードが正しければ、アクセストークンを生成し(S105)、当該アクセストークンを認証管理サーバ100へ送信し、サービス送受信部102は、アクセストークンを取得し、ユーザ情報をさらに取得する(S106)。ここで、Webサービスサーバ200は、アクセストークンとユーザ情報とをまとめて送信しても良いし、一度アクセストークンを送信した後に、認証管理サーバ100からの要求に応じてユーザ情報を送信するようにしても良い(以下、Webサービスサーバ200から認証管理サーバ100へのアクセストークン及びユーザ情報の送信処理についても同様とする)。   If the Web service ID and password received from the terminal device 300 are correct, the Web service server 200 generates an access token (S105), transmits the access token to the authentication management server 100, and the service transmission / reception unit 102 And user information is further acquired (S106). Here, the Web service server 200 may transmit the access token and the user information together, or may transmit the user information in response to a request from the authentication management server 100 after transmitting the access token once. (Hereinafter, the same applies to the transmission processing of the access token and user information from the Web service server 200 to the authentication management server 100).

ユーザ認可情報管理部103は、端末装置300からテンポラリIDを取得しておらず、さらに上記ユーザ情報を有するユーザ認可情報もないことを確認し、認証管理サーバ100のユーザ認可情報管理部103は、新たにユーザIDを発行し、当該ユーザIDと、サービス送受信部102が取得したアクセストークンと、サービス送受信部102が取得したユーザ情報とを対応付けた情報をユーザ認可情報として、ユーザ認可情報記憶部107へ記憶する(S108)。   The user authorization information management unit 103 confirms that the temporary ID has not been acquired from the terminal device 300 and there is no user authorization information having the user information, and the user authorization information management unit 103 of the authentication management server 100 A user authorization information storage unit that newly issues a user ID, and associates the user ID, the access token acquired by the service transmission / reception unit 102, and the user information acquired by the service transmission / reception unit 102 as user authorization information It memorizes to 107 (S108).

なお、アクセストークンは、同一のWebサービスID及びパスワードに基づいて生成しても、生成する度に異なる場合もある。そこで、認証管理サーバ100は、WebサービスID及びパスワードに対応するユーザ情報をアクセストークンと関連付けてユーザ認可情報として記憶している。これにより、Webサービスサーバ200から取得したユーザ情報を検索キーにして、ユーザ認可情報を検索すれば、ユーザ情報に対応するWebサービスサーバ200を利用者が過去にアクセス要求したか否かを判断することができる。   Even if the access token is generated based on the same Web service ID and password, it may be different each time it is generated. Therefore, the authentication management server 100 stores user information corresponding to the Web service ID and password as user authorization information in association with the access token. Thereby, if user authorization information is searched using the user information acquired from the Web service server 200 as a search key, it is determined whether or not the user has previously requested access to the Web service server 200 corresponding to the user information. be able to.

そして、ユーザ認可情報管理部103は、テンポラリIDを生成し(S109)、ユーザIDと、当該テンポラリIDと、ユーザ名とを関連付けたユーザ管理情報をユーザ管理情報記憶部106へ記憶する(ステップS110)。そして、サービス送受信部102は、当該テンポラリIDを端末装置300へ送信すると共に、アカウント管理画面の更新結果を送信する(S111)。アカウント管理画面の更新結果を図6(C)に示す。図6(C)に示すように、アカウント管理画面のサービスAの箇所に、「F1」のマークが付されており、サービスAについてアクセストークンF1が利用可能であることを示している。   Then, the user authorization information management unit 103 generates a temporary ID (S109) and stores the user management information in which the user ID, the temporary ID, and the user name are associated with each other in the user management information storage unit 106 (step S110). ). Then, the service transmission / reception unit 102 transmits the temporary ID to the terminal device 300 and transmits the update result of the account management screen (S111). The update result of the account management screen is shown in FIG. As shown in FIG. 6C, the mark “F1” is attached to the location of service A on the account management screen, indicating that the access token F1 can be used for service A.

次に、初回認証処理前と初回認証処理後における、ユーザ管理情報とユーザ認可情報とを図7に示す。図7(A)に示すように、初回認証処理を行う前は、ユーザXは、認証管理サーバ100に一度もログインしていない状態であるので、いずれのWebサーバ200のアクセストークンと関連付けられていない状態である。   Next, FIG. 7 shows user management information and user authorization information before the initial authentication process and after the initial authentication process. As shown in FIG. 7A, before the initial authentication process is performed, the user X has never logged in to the authentication management server 100, and therefore is associated with an access token of any Web server 200. There is no state.

よって、ユーザ管理情報記憶部106及びユーザ認可情報記憶部107には、何ら情報が記憶されていないが、初回認証処理後には、ユーザ認可情報管理部103によって、ユーザ管理情報及びユーザ認可情報が記憶される。初回認証処理において、ユーザ認可情報管理部103が、初回認証処理のステップS108でユーザ認可情報をユーザ認可情報記憶部107に記憶し、ステップS110でユーザ管理情報をユーザ管理情報記憶部106に記憶する。   Therefore, although no information is stored in the user management information storage unit 106 and the user authorization information storage unit 107, the user authorization information management unit 103 stores the user management information and the user authorization information after the initial authentication process. Is done. In the initial authentication process, the user authorization information management unit 103 stores the user authorization information in the user authorization information storage unit 107 in step S108 of the initial authentication process, and stores the user management information in the user management information storage unit 106 in step S110. .

この結果、図7(B)に示すように、ステップS107で生成されたユーザID「ID1」と、予め端末装置300から取得したユーザ名「ユーザX」と、ステップS109で生成されたテンポラリID「tmpID1」とが関連付けられたユーザ管理情報がユーザ管理情報記憶部106に記憶される。   As a result, as shown in FIG. 7B, the user ID “ID1” generated in step S107, the user name “user X” acquired in advance from the terminal device 300, and the temporary ID “generated in step S109”. User management information associated with “tmpID1” is stored in the user management information storage unit 106.

そして、ユーザID「ID1」と、アクセストークン「F1」と、ユーザ情報「F_01」とが関連付けられたユーザ認可情報がユーザ認可情報記憶部107に記憶される。   Then, user authorization information in which the user ID “ID1”, the access token “F1”, and the user information “F_01” are associated is stored in the user authorization information storage unit 107.

このように、ユーザID「ID1」とアクセストークンF1とが関連付けられて、ユーザ名「ユーザX」とユーザID「ID1」とが関連付けられていることにより、ユーザXが、アクセストークンF1に関連付けられることになる。   Thus, the user ID “ID1” and the access token F1 are associated with each other, and the user name “user X” and the user ID “ID1” are associated with each other, so that the user X is associated with the access token F1. It will be.

(アクセストークン追加処理)
続いて、図8に示すアクセストークン追加処理のシーケンス図を用いて、本実施形態の情報処理システム10のアクセストークンの追加処理を説明する。 (Access token addition process)
Next, an access token addition process of the information processing system 10 according to the present embodiment will be described with reference to a sequence diagram of the access token addition process illustrated in FIG.

まず、前提として、端末装置300は、認証管理サーバ100から図9(A)に示すようなWebサービスの一覧と、アクセストークンの登録状況とを示したアカウント管理画面を取得し、端末装置300がアカウント管理画面を表示しているものとする。図9(A)に示すように、サービスAについてのみ、「F1」のマークが付されていることから、サービスAについてのみアクセストークンが登録されていることを示している。   First, as a premise, the terminal apparatus 300 acquires an account management screen showing a list of Web services and an access token registration status as shown in FIG. 9A from the authentication management server 100, and the terminal apparatus 300 Assume that the account management screen is displayed. As shown in FIG. 9A, only the service A is marked with “F1”, which indicates that an access token is registered only for the service A.

そして、端末装置300の利用者による、アカウント管理画面に対する入力操作によって、所定の未登録状態のWebサービス(例えば、サービスB)が選択されると、端末装置300は、認証管理サーバ100に対して、テンポラリIDを送信すると共に、サービスBのアクセストークンの追加要求を行う(S301)。   Then, when a predetermined unregistered Web service (for example, service B) is selected by an input operation on the account management screen by the user of the terminal device 300, the terminal device 300 instructs the authentication management server 100. The temporary ID is transmitted and a request for adding an access token for service B is made (S301).

認証管理サーバ100のサービス送受信部102は、テンポラリIDを取得すると共に、当該アクセストークンの追加要求を受け付ける。認証管理サーバ100の端末アクセス認証部101は、端末装置300から取得したテンポラリIDを検索キーにユーザ管理情報を参照して端末装置300のアクセスが適切であるか否かを判断する。なお、端末アクセス認証部101は、当該テンポラリIDに対応するユーザIDにサービスBのアクセストークンが関連づいているか否かを判断し、サービスBのアクセストークンが関連づいていないことを確認しても良い(S302)。   The service transmission / reception unit 102 of the authentication management server 100 acquires a temporary ID and accepts an access token addition request. The terminal access authentication unit 101 of the authentication management server 100 refers to the user management information using the temporary ID acquired from the terminal device 300 as a search key, and determines whether or not the access of the terminal device 300 is appropriate. The terminal access authentication unit 101 determines whether the service B access token is associated with the user ID corresponding to the temporary ID, and confirms that the service B access token is not associated. Good (S302).

次に、認証管理サーバ100のサービス送受信部102は、Webサービスサーバ200に対して、リダイレクトする(S303)。そして、Webサービスサーバ200は、端末装置300に対して、図9(B)に示すようなサービスBの認証画面を返却する(S304)。   Next, the service transmission / reception unit 102 of the authentication management server 100 redirects to the Web service server 200 (S303). Then, the Web service server 200 returns an authentication screen for the service B as shown in FIG. 9B to the terminal device 300 (S304).

図9(B)に示すサービスAの認証画面において、Webサービスサーバ200Bにログインするための、WebサービスID及びパスワードが入力されると、端末装置300は、Webサービスサーバ200に対して、当該Webサービスサーバ200が提供しているWebサービスのWebサービスID及びパスワードを通知する(S305)。   When the Web service ID and password for logging in to the Web service server 200B are input on the authentication screen of the service A shown in FIG. 9B, the terminal device 300 makes the Web service server 200 The Web service ID and password of the Web service provided by the service server 200 are notified (S305).

Webサービスサーバ200は、端末装置300から受信したWebサービスID及びパスワードが正しければ、サービスBに対応するアクセストークンT1を生成し(S306)、当該アクセストークンを認証管理サーバ100へ送信し、サービス送受信部102は、アクセストークンを取得し、ユーザ情報をさらに取得する(S307)。   If the Web service ID and password received from the terminal device 300 are correct, the Web service server 200 generates an access token T1 corresponding to the service B (S306), transmits the access token to the authentication management server 100, and transmits and receives services. The unit 102 acquires an access token and further acquires user information (S307).

端末装置300からの要求がアクセストークンの追加要求であり、同一ユーザ情報を含むユーザ認可情報がユーザ認可情報記憶部107に記憶されていないことを確認すると、認証管理サーバ100のユーザ認可情報管理部103は、端末装置300から取得したテンポラリユーザIDに対応するユーザIDと、サービス送受信部102が取得したアクセストークンと、サービス送受信部102が取得したユーザ情報とを関連付けたユーザ認可情報を登録する(S308)。そして、サービス送受信部102は、アカウント管理画面の更新結果を返却する(S309)。アカウント管理画面の更新結果の例を図9(C)に示す。図9(C)に示すように、アカウント管理画面のサービスBの箇所に、「T1」のマークが付されており、サービスBについてアクセストークンT1が追加登録されたことを示している。   When it is confirmed that the request from the terminal device 300 is an access token addition request and the user authorization information including the same user information is not stored in the user authorization information storage unit 107, the user authorization information management unit of the authentication management server 100 103 registers user authorization information in which the user ID corresponding to the temporary user ID acquired from the terminal device 300, the access token acquired by the service transmission / reception unit 102, and the user information acquired by the service transmission / reception unit 102 are associated ( S308). Then, the service transmitting / receiving unit 102 returns the update result of the account management screen (S309). An example of the update result of the account management screen is shown in FIG. As shown in FIG. 9C, the mark “T1” is marked at the location of service B on the account management screen, indicating that an access token T1 has been additionally registered for service B.

次に、アクセストークン追加処理前とアクセストークン追加処理後における、ユーザ管理情報とユーザ認可情報とを図10に示す。図10(A)に示すように、アクセストークン追加処理を行う前は、ユーザXには、サービスAのアクセストークンのみが関連づいているので、ユーザ管理情報記憶部106には、ユーザID「ID1」の情報のみが記憶され、ユーザ認可情報記憶部107には、ユーザID「ID1」、アクセストークン「F1」、ユーザ情報「F_01」のユーザ認可情報のみが記憶されている。   Next, FIG. 10 shows user management information and user authorization information before the access token addition process and after the access token addition process. As shown in FIG. 10A, before the access token addition process is performed, only the access token of the service A is associated with the user X, so that the user ID “ID1” is stored in the user management information storage unit 106. ”Is stored, and the user authorization information storage unit 107 stores only the user authorization information of the user ID“ ID1 ”, the access token“ F1 ”, and the user information“ F_01 ”.

アクセストークン追加処理のステップS308において、ユーザ認可情報管理部103がユーザ認可情報を登録することにより、アクセストークン追加処理後は、図10(B)に示すように、ユーザ認可情報管理部103によって、ユーザID「ID1」と、アクセストークン「T1」と、ユーザ情報「T_01」が関連付けられたユーザ認可情報がユーザ認可情報記憶部107に追加記憶されることになる。なお、ユーザ管理情報については、更新箇所が無いため、アクセストークン追加処理の前後で、ユーザ管理情報記憶部106に記憶されている情報に変化は無い。   In step S308 of the access token addition process, the user authorization information management unit 103 registers the user authorization information. After the access token addition process, as shown in FIG. User authorization information associated with the user ID “ID1”, the access token “T1”, and the user information “T_01” is additionally stored in the user authorization information storage unit 107. In addition, since there is no update location regarding the user management information, the information stored in the user management information storage unit 106 does not change before and after the access token addition process.

これにより、ユーザID「ID1」には、アクセストークン「F1」だけでなく、アクセストークン「T1」も関連付けられる。   As a result, not only the access token “F1” but also the access token “T1” is associated with the user ID “ID1”.

このように、認証管理サーバ100は、Webサービスサーバ200から取得したアクセストークンと、既存のユーザIDとを対応付けたユーザ認可情報をユーザ認可情報記憶部107へ追加記憶することにより、1つのユーザIDに、複数のアクセストークンを関連付けることができる。   As described above, the authentication management server 100 additionally stores in the user authorization information storage unit 107 user authorization information in which the access token acquired from the Web service server 200 and the existing user ID are associated with each other. A plurality of access tokens can be associated with the ID.

(アクセストークン削除処理)
続いて、図11及び図12を用いてアクセストークンの削除処理について簡単に説明する。 (Access token deletion process)
Next, the access token deletion process will be briefly described with reference to FIGS. 11 and 12.

まず、図11(A)に示すようなアカウント管理画面が端末装置300の表示画面に出力されているものとする。図11(A)の例では、サービスAに「F1」のマークが付され、サービスBに「T1」のマークが付されていることから、サービスA及びサービスBについて、アクセストークンが登録されていることを示している。   First, it is assumed that an account management screen as illustrated in FIG. 11A is output on the display screen of the terminal device 300. In the example of FIG. 11A, since the mark “F1” is attached to the service A and the mark “T1” is attached to the service B, access tokens are registered for the service A and the service B. It shows that.

ここで、端末装置300の利用者による、アカウント管理画面に対する入力操作を介して、サービスBが選択されると、端末装置300は、図11(B)に示すようなサービスBのアクセストークン編集画面を出力する。アクセストークン編集画面は、アクセストークンの編集指定のための画面であり、削除ボタン50を押下することにより、登録済みのアクセストークンの削除指定をしたり、新規追加ボタン51を押下することにより、同一サービスのアクセストークンの追加指定をしたりすることが可能である。   Here, when the service B is selected through the input operation on the account management screen by the user of the terminal device 300, the terminal device 300 displays the access token editing screen of the service B as shown in FIG. Is output. The access token edit screen is a screen for specifying access token editing. By pressing the delete button 50, the access token edit screen can be specified by deleting the registered access token or by pressing the new add button 51. It is possible to specify additional service access tokens.

そして、端末装置300の利用者の入力操作により、削除ボタンが指定されると、端末装置300は、サービスBのアクセストークンの削除要求を認証管理サーバ100に行う。認証管理サーバ100のユーザ認可情報管理部103は、削除要求対象のサービスに関するアクセストークンに対応する、要求元のユーザIDのユーザ認可情報を削除する。そして、認証管理サーバ100は、図11(C)に示すようなアカウント管理画面の更新結果を送信する。図11(C)に示すように、サービスBの箇所からアクセストークンが有る旨のマークが削除され、サービスBのアクセストークンが削除されたことを示している。   When the delete button is designated by the user's input operation of the terminal device 300, the terminal device 300 makes a request to delete the access token for service B to the authentication management server 100. The user authorization information management unit 103 of the authentication management server 100 deletes the user authorization information of the user ID of the request source corresponding to the access token related to the deletion request target service. Then, the authentication management server 100 transmits an update result of the account management screen as shown in FIG. As shown in FIG. 11C, the mark indicating that there is an access token is deleted from the location of service B, indicating that the access token of service B has been deleted.

次に、アクセストークン削除処理前とアクセストークン削除処理後における、ユーザ管理情報とユーザ認可情報とを図12に示す。図12(A)に示すように、アクセストークン削除処理を行う前は、ユーザID「ID1」には、サービスAのアクセストークンF1及びサービスBのアクセストークンT1が関連付けられており、ユーザID「ID1」を有するユーザ認可情報が2つ登録されている。   Next, FIG. 12 shows user management information and user authorization information before the access token deletion process and after the access token deletion process. As shown in FIG. 12A, before the access token deletion process is performed, the user ID “ID1” is associated with the access token F1 of the service A and the access token T1 of the service B, and the user ID “ID1”. Two pieces of user authorization information having “” are registered.

アクセストークン「T1」の削除要求があり、当該削除要求に応じてアクセストークン削除処理を行った後は、図12(B)に示すように、ユーザ認可情報管理部103によって、ユーザID「ID1」と、アクセストークン「T1」と、ユーザ情報「T_001」とが関連付けられたユーザ認可情報が削除されることになる。なお、ユーザ管理情報については、更新箇所が無いため、アクセストークン削除処理の前後で、ユーザ管理情報記憶部106に記憶されている情報に変化は無い。   After there is a request to delete the access token “T1” and the access token deletion process is performed in response to the deletion request, the user authorization information management unit 103 performs the user ID “ID1” as shown in FIG. Then, the user authorization information associated with the access token “T1” and the user information “T_001” is deleted. In addition, since there is no update location regarding the user management information, there is no change in the information stored in the user management information storage unit 106 before and after the access token deletion process.

これにより、ユーザID「ID1」には、サービスAのアクセストークンF1のみが関連づいている状態になる。   As a result, only the access token F1 of the service A is associated with the user ID “ID1”.

(再ログイン処理)
続いて、図13及び図14を用いて再ログイン処理について簡単に説明する。ここでいう再ログイン処理とは、初回認証処理やアクセストークン追加処理などにより、ユーザ認可情報が登録された後に、ユーザ認証サーバ100に対するログアウト処理後に、再度ログインする処理をいう。 (Re-login process)
Next, the re-login process will be briefly described with reference to FIGS. 13 and 14. The re-login process here refers to a process of logging in again after a logout process to the user authentication server 100 after user authorization information is registered by an initial authentication process or an access token addition process.

まず、図13(A)に示すような、アカウント管理画面が端末装置300の表示画面に出力されているものとする。図13(A)の例では、ログアウトされた状態であるため、いずれのサービスもアクセストークンが無い状態を示している。   First, it is assumed that an account management screen as shown in FIG. 13A is output on the display screen of the terminal device 300. In the example shown in FIG. 13A, since the user is logged out, any service has no access token.

ここで、端末装置300の入力操作を介して、サービスAが選択されると、端末装置300は、Webサービスサーバ200から図13(B)に示すような、サービスAの認証画面を取得し、当該サービスAの認証画面を表示する。   Here, when the service A is selected through the input operation of the terminal device 300, the terminal device 300 acquires an authentication screen for the service A as shown in FIG. 13B from the Web service server 200, The authentication screen for the service A is displayed.

端末装置300の入力操作を介して、図13(B)に示すサービスAの認証画面にWebサービスのID及びパスワードが入力されると、端末装置300は、Webサービスサーバ200Aに対して、WebサービスのWebサービスID及びパスワードを通知する。そして、Webサービスサーバ200Aは、アクセストークン及びユーザ情報を認証管理サーバ100へ送信する。認証管理サーバ100は、当該ユーザ情報を有するユーザ認可情報を検索する。そして、認証管理サーバ100は、検索した結果得られたユーザ認可情報のユーザIDを有するユーザ認可情報を検索し、検索したユーザ認可情報に対応するアクセストークンを反映したアカウント管理画面を端末装置300へ送信する。当該アカウント管理画面の例を図13(C)に示す。   When the Web service ID and password are input to the authentication screen of service A shown in FIG. 13B through the input operation of the terminal device 300, the terminal device 300 transmits the Web service to the Web service server 200A. Web service ID and password are notified. Then, the Web service server 200A transmits the access token and user information to the authentication management server 100. The authentication management server 100 searches for user authorization information having the user information. Then, the authentication management server 100 retrieves user authorization information having the user ID of the user authorization information obtained as a result of retrieval, and displays an account management screen reflecting an access token corresponding to the retrieved user authorization information to the terminal device 300. Send. An example of the account management screen is shown in FIG.

図13(C)では、認証管理サーバ100がWebサービスサーバ200Aから、サービスAのアクセストークンと共に取得したユーザ情報に対応するユーザIDに対して、サービスA及びサービスBのアクセストークンが関連づいていたため、サービスAとサービスBのアクセストークンがある旨のマークが付されている。これにより、アカウント管理画面では、サービスAのアクセストークンF1、及びサービスBのアクセストークンT1が利用可能であることを示している。   In FIG. 13C, since the authentication management server 100 associates the access tokens of the service A and the service B with the user ID corresponding to the user information acquired together with the access token of the service A from the Web service server 200A. , There is a mark indicating that there are access tokens for service A and service B. Thus, the account management screen indicates that the access token F1 of the service A and the access token T1 of the service B can be used.

次に、再ログイン処理前と再ログイン処理後における、ユーザ管理情報とユーザ認可情報とを図14に示す。再ログイン処理前では、図14(A)に示すように、ユーザ管理情報により、ユーザXとユーザID「ID1」とが関連づいていることを示し、ユーザ認可情報により、ユーザID「ID1」には、アクセストークンF1とアクセストークンT1とが関連づいていることを示しているが、ログアウトしているため、利用者との関連付けがなされていない。これは、図14(A)では、認証管理サーバ100で保持しているユーザXのユーザID「ID1」と、利用者との紐づけがなされていないことを示し、端末装置300及び認証管理サーバ100において、テンポラリIDが破棄されている状態であることを示す。なお、端末装置300及び認証管理サーバ100は、ログアウト時又はログアウト完了後にテンポラリIDを削除するようにしても良いし、ログアウト後もテンポラリIDを保持するようにしても良い。   Next, FIG. 14 shows user management information and user authorization information before and after the re-login process. Before the re-login process, as shown in FIG. 14A, the user management information indicates that the user X is associated with the user ID “ID1”, and the user authorization information indicates the user ID “ID1”. Indicates that the access token F1 and the access token T1 are associated with each other, but is not associated with the user because the user is logged out. In FIG. 14A, this indicates that the user ID “ID1” of the user X held in the authentication management server 100 is not associated with the user, and the terminal device 300 and the authentication management server 100 indicates that the temporary ID has been discarded. Note that the terminal device 300 and the authentication management server 100 may delete the temporary ID at the time of logout or after the logout is completed, or may hold the temporary ID even after logout.

再ログイン処理を行うことにより、認証管理サーバ100は、利用者がユーザXであることを特定する。この結果、図14(B)に示すように、ユーザID「ID1」としてログイン状態になり、認証管理サーバ100によって、テンポラリIDが利用者の端末装置300へ送信される。そして、再ログイン処理では、ユーザ認証情報管理部103がユーザ認可情報の検索処理を行うが、登録・削除等の編集処理を行わないため、図14(A)及び図14(B)に示すように、再ログイン処理前と再ログイン処理後で、情報の変化は無い。   By performing the re-login process, the authentication management server 100 specifies that the user is the user X. As a result, as shown in FIG. 14B, the user ID “ID 1” is logged in, and the authentication management server 100 transmits the temporary ID to the user terminal device 300. In the re-login process, the user authentication information management unit 103 performs a search process for user authorization information, but does not perform an edit process such as registration / deletion. Therefore, as shown in FIGS. 14A and 14B. There is no change in information before and after the re-login process.

なお、Webサービスサーバ200から取得したユーザ情報と同一のユーザ認証情報のアクセストークンが、取得したアクセストークンと異なる場合には、ユーザ認証情報管理部103が、上記ユーザ認証情報の登録済みのアクセストークンから取得したアクセストークンへ上書き処理を行うようにしても良い。   When the access token of the same user authentication information as the user information acquired from the Web service server 200 is different from the acquired access token, the user authentication information management unit 103 has registered the access token with the user authentication information. The access token acquired from the above may be overwritten.

(別ユーザID生成処理)
続いて、図15及び図16を用いて別ユーザID生成処理について簡単に説明する。ここでいう別ユーザID生成処理とは、既に登録済みのユーザ管理情報のユーザ名と同一のユーザ名のユーザからの認証要求があり、認証管理サーバ100に登録されていないアクセストークンがWebサービスサーバ200から取得した場合に、新規のユーザIDを生成する処理をいう。 (Another user ID generation process)
Next, another user ID generation process will be briefly described with reference to FIGS. 15 and 16. The different user ID generation processing here refers to an authentication request from a user having the same user name as the user name of already registered user management information, and an access token not registered in the authentication management server 100 is a Web service server. This is a process for generating a new user ID when acquired from 200.

まず、図15(A)に示すような、アカウント管理画面が端末装置300の表示画面に出力されているものとする。図15(A)の例では、ログアウトされた状態であるため、いずれのサービスもアクセストークンが無い状態を示している。   First, it is assumed that an account management screen as shown in FIG. 15A is output on the display screen of the terminal device 300. In the example of FIG. 15A, since the user is logged out, any service has no access token.

ここで、端末装置300の入力操作を介して、サービスAが選択されると、端末装置300は、Webサービスサーバ200から図15(B)に示すような、サービスAの認証画面を取得し、当該サービスAの認証画面を表示する。   Here, when the service A is selected through the input operation of the terminal device 300, the terminal device 300 acquires an authentication screen for the service A as shown in FIG. 15B from the Web service server 200, The authentication screen for the service A is displayed.

端末装置300の入力操作を介して、図15(B)に示すサービスAの認証画面にWebサービスのID及びパスワードが入力されると、Webサービスサーバ200Aからアクセストークン及びユーザ情報が認証管理サーバ100へ送信される。認証管理サーバ100は、当該ユーザ情報を有するユーザ認可情報を検索した結果、該当するユーザ認可情報が無い場合、新規にユーザIDを生成し、当該ユーザIDを有するユーザ管理情報を生成・登録し、当該ユーザIDを有するユーザ認可情報を生成・登録する。そして、認証管理サーバ100は、取得したアクセストークンを反映したアカウント管理画面を端末装置300へ送信する。当該アカウント管理画面の例を図15(C)に示す。   When the ID and password of the Web service are input to the authentication screen of service A shown in FIG. 15B through the input operation of the terminal device 300, the access token and user information are obtained from the Web service server 200A. Sent to. When there is no corresponding user authorization information as a result of searching for user authorization information having the user information, the authentication management server 100 newly generates a user ID, generates / registers user management information having the user ID, User authorization information having the user ID is generated and registered. Then, the authentication management server 100 transmits an account management screen reflecting the acquired access token to the terminal device 300. An example of the account management screen is shown in FIG.

図15(C)では、アカウント管理画面のサービスAの箇所に、「F2」のマークが付されており、サービスAのアクセストークンF2が新規登録されたことを示している。   In FIG. 15C, the mark “F2” is added to the location of service A on the account management screen, indicating that the access token F2 for service A has been newly registered.

次に、別ユーザID生成処理前と別ユーザID生成処理後における、ユーザ管理情報とユーザ認可情報とを図16に示す。図16(A)に示すように、別ユーザID生成処理を行う前は、再ログイン処理前では、図16(A)に示すように、ユーザ管理情報により、ユーザXとユーザID「ID1」が関連づいていることを示し、ユーザ認可情報により、ユーザID「ID1」には、アクセストークンF1とアクセストークンT1が関連づいていることを示しているが、ログアウトしているため、利用者との関連付けがなされていない。   Next, FIG. 16 shows user management information and user authorization information before another user ID generation process and after another user ID generation process. As shown in FIG. 16A, before performing another user ID generation process, before the re-login process, as shown in FIG. 16A, the user X and the user ID “ID1” are set according to the user management information. The user authorization information indicates that the access token F1 and the access token T1 are associated with the user authorization information, but since the user is logged out, There is no association.

別ユーザID生成処理時に、認証管理サーバ100は、ユーザ認可情報管理部107で記憶したユーザ認可情報には含まれていない新規のユーザ情報を取得したため、別ユーザID生成処理後は、図16(B)に示すように、ユーザ管理情報記憶部106では、ユーザ名「ユーザX」、新たなユーザID「ID2」及びテンポラリID「tmpID2」を有するユーザ管理情報がさらに記憶され、ユーザ認可情報記憶部107では、ユーザID「ID2」、アクセストークン「F2」、及びユーザ情報「F_02」を有するユーザ認可情報がさらに記憶されることになる。そして、ユーザXは、ユーザID「ID2」としてログインされた状態になる。   Since the authentication management server 100 has acquired new user information that is not included in the user authorization information stored in the user authorization information management unit 107 during the separate user ID generation process, FIG. 16 ( B), the user management information storage unit 106 further stores user management information having a user name “user X”, a new user ID “ID2”, and a temporary ID “tmpID2”, and a user authorization information storage unit In 107, user authorization information having a user ID “ID2”, an access token “F2”, and user information “F — 02” is further stored. Then, the user X is logged in as the user ID “ID2”.

(別ユーザIDへのアクセストークン移行処理の概要説明)
ここで、図17を用いて、ユーザ認可情報管理部103が行う、別ユーザIDへのアクセストークン移行処理の概要説明を行う。 (Overview of the access token transfer process to another user ID)
Here, with reference to FIG. 17, an overview of the access token transfer process to another user ID performed by the user authorization information management unit 103 will be described.

前提として、ユーザXは、ユーザID「ID1」(第1識別子)、ユーザID「ID2」(第2識別子)を利用することが可能である。ユーザID「ID1」では、サービスAのアクセストークンであるアクセストークンF1、サービスBのアクセストークンであるアクセストークンT1、サービスCのアクセストークンであるアクセストークンD1が関連付けられている。   As a premise, the user X can use the user ID “ID1” (first identifier) and the user ID “ID2” (second identifier). The user ID “ID1” is associated with an access token F1 that is an access token of service A, an access token T1 that is an access token of service B, and an access token D1 that is an access token of service C.

よって、ユーザ認可情報記憶部107には、ユーザID「ID1」及びアクセストークンF1が関連付けられたユーザ認可情報と、ユーザID「ID1」及びアクセストークンT1が関連付けられたユーザ認可情報と、ユーザID「ID1」及びアクセストークンD1が関連付けられたユーザ認可情報とが記憶されている。   Therefore, the user authorization information storage unit 107 stores user authorization information associated with the user ID “ID1” and the access token F1, user authorization information associated with the user ID “ID1” and the access token T1, and the user ID “ ID1 ”and user authorization information associated with the access token D1 are stored.

次に、ユーザID「ID2」では、サービスAのアクセストークンであるアクセストークンF2と、サービスBのアクセストークンであるアクセストークンT2とが関連付けられている。   Next, in the user ID “ID2”, an access token F2 that is an access token of the service A and an access token T2 that is an access token of the service B are associated with each other.

よって、ユーザ認可情報記憶部107には、ユーザID「ID2」及びアクセストークンF2が関連付けられたユーザ認可情報と、ユーザID「ID2」及びアクセストークンT2が関連付けられたユーザ認可情報とが記憶されている。   Therefore, the user authorization information storage unit 107 stores user authorization information associated with the user ID “ID2” and the access token F2, and user authorization information associated with the user ID “ID2” and the access token T2. Yes.

上記の状況において、端末装置300がユーザID「ID2」で認証管理サーバ100にログインしている際に(すなわち、ユーザID「ID2」に対応するテンポラリIDを用いてログインしている際)、ユーザID「ID1」に関連づいているアクセストークン(例えば、アクセストークンD1)を利用したアクセス要求がなされた場合の移行処理を以下に説明する。   In the above situation, when the terminal device 300 is logged in to the authentication management server 100 with the user ID “ID2” (that is, when logged in using the temporary ID corresponding to the user ID “ID2”), the user A migration process when an access request using an access token (for example, access token D1) associated with the ID “ID1” is made will be described below.

この場合、アクセストークンD1だけでなく、ユーザID「ID1」に関連づいている全てのアクセストークン(すなわち、アクセストークンF1、アクセストークンT1、及びアクセストークンD1)をユーザID「ID2」に関連付けて、ユーザID「ID1」と、各アクセストークンとの関連付けを削除する。   In this case, not only the access token D1, but also all access tokens associated with the user ID “ID1” (that is, the access token F1, the access token T1, and the access token D1) are associated with the user ID “ID2”. The association between the user ID “ID1” and each access token is deleted.

すなわち、ユーザ認可情報管理部103は、ユーザID「ID1」を含むユーザ認可情報を削除し、ユーザIDが「ID2」であり、アクセストークンがF1、T1、D1であるそれぞれのユーザ認可情報を記憶する。なお、ユーザ認可情報管理部103は、ユーザID「ID1」を含むユーザ認可情報を、ユーザID「ID2」へ変更するようにしても良い。さらに、ユーザ認可情報管理部103は、ユーザID「ID1」を有するユーザ認可情報が無くなったため、ユーザID「ID1」を有するユーザ管理情報も削除する。   That is, the user authorization information management unit 103 deletes the user authorization information including the user ID “ID1”, and stores the respective user authorization information whose user ID is “ID2” and whose access tokens are F1, T1, and D1. To do. Note that the user authorization information management unit 103 may change the user authorization information including the user ID “ID1” to the user ID “ID2”. Furthermore, since the user authorization information having the user ID “ID1” is lost, the user authorization information management unit 103 also deletes the user management information having the user ID “ID1”.

上述のように、ユーザ認可情報管理部103が、ユーザ認可情報の関連付け状態を変更することより、移行処理がなされる。   As described above, the migration process is performed by the user authorization information management unit 103 changing the association state of the user authorization information.

このように、認証管理サーバ100のユーザ認可情報管理部103は、端末装置300がユーザID「ID2」にログインしている状態で、ユーザID「ID1」に対応するアクセストークンを用いたアクセス要求が端末装置300からなされたことを検知した場合に、当該アクセス要求の対象となるアクセストークンをユーザID「ID2」に関連付けている。   As described above, the user authorization information management unit 103 of the authentication management server 100 makes an access request using the access token corresponding to the user ID “ID1” while the terminal device 300 is logged in to the user ID “ID2”. When it is detected from the terminal device 300, the access token that is the target of the access request is associated with the user ID “ID2”.

この場合、認証管理サーバ100は、ユーザID「ID1」のアクセストークンが指定されたことを特定しているタイミングで、関連付けを行っているので、確実にユーザID「ID1」に関連しているアクセストークンを、ユーザID「ID2」へ関連付けることができる。   In this case, since the authentication management server 100 performs the association at the timing of specifying that the access token of the user ID “ID1” is specified, the access that is definitely associated with the user ID “ID1” The token can be associated with the user ID “ID2”.

(別ユーザIDへのアクセストークン移行処理)
続いて、図18に示す別ユーザIDへのアクセストークン移行処理のシーケンス図を用いて、本実施形態の情報処理システム10のWebサービスのアクセストークンの移行処理を説明する。ここでは、移行対象のアクセストークンを、画面を介して選択する場合の処理を説明する。 (Access token transfer processing to another user ID)
Next, the access token transfer process of the Web service of the information processing system 10 according to the present embodiment will be described with reference to the sequence diagram of the access token transfer process to another user ID shown in FIG. Here, a process for selecting an access token to be transferred via a screen will be described.

まず、前提として、認証管理サーバ100から図19(A)に示すようなWebサービスの一覧と、アクセストークンの登録状況を示したアカウント管理画面を取得し、端末装置300が表示しているものとする。図19(A)では、サービスAのアクセストークンF2とサービスBのアクセストークンT2が利用可能であることを示している。   First, as a premise, a list of Web services as shown in FIG. 19A and an account management screen showing the access token registration status are acquired from the authentication management server 100 and displayed on the terminal device 300. To do. FIG. 19A shows that the access token F2 for service A and the access token T2 for service B can be used.

ここで、端末装置300の入力操作を介して、サービスCが選択されると、端末装置300は、認証管理サーバ100に対して、テンポラリIDを送信すると共に、サービスCのアクセストークンの追加要求を行う。そして、認証管理サーバ100のサービス送受信部102は、テンポラリIDを取得すると共に、当該アクセストークンの追加要求を受け付ける(S401)。認証管理サーバ100の端末アクセス認証部101は、端末装置300から取得したテンポラリIDを参照し、端末装置300のアクセスが適切であるか否かを判断する(S402)。   Here, when the service C is selected through the input operation of the terminal device 300, the terminal device 300 transmits a temporary ID to the authentication management server 100 and requests to add an access token for the service C. Do. Then, the service transmission / reception unit 102 of the authentication management server 100 acquires the temporary ID and accepts an access token addition request (S401). The terminal access authentication unit 101 of the authentication management server 100 refers to the temporary ID acquired from the terminal device 300 and determines whether the access of the terminal device 300 is appropriate (S402).

次に、認証管理サーバ100のサービス送受信部102は、Webサービスサーバ200に対して、リダイレクトする(S403)。そして、Webサービスサーバ200は、端末装置300に対して、図19(B)に示すようなサービスCの認証画面を返却する(S404)。   Next, the service transmission / reception unit 102 of the authentication management server 100 redirects to the Web service server 200 (S403). Then, the Web service server 200 returns an authentication screen for the service C as shown in FIG. 19B to the terminal device 300 (S404).

端末装置300は、Webサービスサーバ200に対して、当該Webサービスサーバ200が提供しているWebサービスID及びパスワードを通知する(S405)。   The terminal device 300 notifies the Web service server 200 of the Web service ID and password provided by the Web service server 200 (S405).

Webサービスサーバ200は、端末装置300から受信したWebサービスID及びパスワードが正しければ、アクセストークンを生成し(S406)、当該アクセストークン及びユーザ情報を認証管理サーバ100へ送信し、サービス送受信部102は、アクセストークン及びユーザ情報を取得する(S407)。   If the Web service ID and password received from the terminal device 300 are correct, the Web service server 200 generates an access token (S406), transmits the access token and user information to the authentication management server 100, and the service transmission / reception unit 102 The access token and user information are acquired (S407).

取得したユーザ情報を含む他のユーザIDのユーザ認可情報が無い場合(S408;No)、アクセストークンの追加処理になるが、ここでは、処理を省略する。   When there is no user authorization information of another user ID including the acquired user information (S408; No), the access token addition process is performed, but the process is omitted here.

取得したユーザ情報を含む他のユーザIDのユーザ認可情報がある場合、当該ユーザ認可情報のユーザIDに関するアクセストークンの関連付けの必要があるため(S408;Yes)、関連付け対象選択確認部104は、図19(C)に示すような、関連付け対象とするアクセストークンを選択するための選択画面を出力する。ここでは、ユーザID「ID1」に関するアクセストークンの内、サービスC以外のアクセストークンを表示する。   When there is user authorization information of another user ID including the acquired user information, it is necessary to associate an access token related to the user ID of the user authorization information (S408; Yes). A selection screen for selecting an access token to be associated is output, as shown in 19 (C). Here, access tokens other than the service C among the access tokens related to the user ID “ID1” are displayed.

このように、選択画面で端末装置300の利用者に関連付け対象を問い合わせることにより、認証管理サーバ100は、端末装置300の利用者が所望の認可情報のみ関連付けさせることが可能となる。   As described above, by inquiring the user of the terminal device 300 about the association target on the selection screen, the authentication management server 100 can allow the user of the terminal device 300 to associate only desired authorization information.

選択画面において、全てのアクセストークンが選択されると、認証管理サーバ100のユーザ認可情報管理部103は、当該ユーザID「ID1」に対応するユーザ認可情報の全てをユーザID「ID1」からユーザID「ID2」に変更する(S409)。サービス送受信部102は、アカウント管理画面の更新結果を端末装置300へ通知する(S410)。アカウント管理画面の更新結果の例を図19(D)に示す。図19(D)に示すように、サービスCの箇所に「D1」のマークが付されるだけでなく、サービスAの箇所に「F2」のマークと、サービスBの箇所に「T2」のマークとが付され、ユーザID「ID1」に関連づいていたアクセストークンが移行されたことを示している。   When all access tokens are selected on the selection screen, the user authorization information management unit 103 of the authentication management server 100 converts all of the user authorization information corresponding to the user ID “ID1” from the user ID “ID1” to the user ID. It is changed to “ID2” (S409). The service transmission / reception unit 102 notifies the update result of the account management screen to the terminal device 300 (S410). An example of the update result of the account management screen is shown in FIG. As shown in FIG. 19D, not only “D1” is marked at the location of service C, but “F2” is marked at location of service A, and “T2” is marked at location of service B. And indicates that the access token associated with the user ID “ID1” has been transferred.

次に、別ユーザIDへのアクセストークン移行処理前と別ユーザIDへのアクセストークン移行処理後における、ユーザ管理情報とユーザ認可情報とを図20に示す。図20(A)に示すように、ユーザXは、アクセストークンF1、T1、及びD1に関連付けられたID「ID1」と、アクセストークンF2及びT2に関連付けられたID「ID2」を有している。別ユーザIDへのアクセストークン移行処理を行う前は、ユーザXは、ユーザID「ID2」でログインしている状態である。ユーザID「ID2」でユーザID「ID1」に関連づいているアクセストークンD1に関するログイン操作要求を行い、別ユーザIDへのアクセストークン移行処理が実行された後は、図20(B)に示すように、ステップS409においてユーザ認可情報管理部103によって、ユーザIDが「ID1」のユーザ認可情報は、ユーザID「ID2」に変更されている。そして、ユーザID「ID1」のユーザ認可情報が無くなったので、ステップS409においてユーザ認可情報管理部103によって、ユーザID「ID1」のユーザ管理情報が削除されている。この結果、ユーザID「ID1」に関連づいていたアクセストークンがユーザID「ID2」へ関連付けられることになる。   Next, FIG. 20 shows user management information and user authorization information before an access token transfer process to another user ID and after an access token transfer process to another user ID. As shown in FIG. 20A, the user X has an ID “ID1” associated with the access tokens F1, T1, and D1, and an ID “ID2” associated with the access tokens F2 and T2. . Before the access token transfer process to another user ID is performed, the user X is in a state of logging in with the user ID “ID2”. As shown in FIG. 20B, after a login operation request for the access token D1 associated with the user ID “ID1” is made with the user ID “ID2” and the access token transfer processing to another user ID is executed. In step S409, the user authorization information management unit 103 changes the user authorization information with the user ID “ID1” to the user ID “ID2”. Since the user authorization information with the user ID “ID1” has disappeared, the user management information with the user ID “ID1” has been deleted by the user authorization information management unit 103 in step S409. As a result, the access token associated with the user ID “ID1” is associated with the user ID “ID2”.

(閲覧/検索処理)
続いて、ユーザ認可情報を利用して、Webサービス(Web情報の閲覧等)を譲受する処理であるWebサービス情報の閲覧/検索処理を説明する。図21に示すWebサービス情報の閲覧/検索処理のシーケンス図を用いて説明する。 (Browse / Search process)
Next, a Web service information browsing / searching process, which is a process of transferring a Web service (such as browsing of Web information) using user authorization information, will be described. This will be described with reference to the sequence diagram of the Web service information browsing / retrieval process shown in FIG.

まず、前提として、端末装置300から、認証管理サーバ100への認証処理が終了し、認証管理サーバ100へのログイン処理が正常終了しているものとする。   First, as a premise, it is assumed that the authentication process from the terminal device 300 to the authentication management server 100 has been completed and the login process to the authentication management server 100 has been normally completed.

端末装置300は、認証管理サーバ100に対して、テンポラリIDを送信すると共に、端末装置300の利用者の入力操作を介して選択されたWebサービスについて閲覧要求を行うと、認証管理サーバ100のサービス送受信部102は、テンポラリIDを取得すると共に、当該閲覧要求を受け付ける(S501)。認証管理サーバ100の端末アクセス認証部101は、端末装置300から取得したテンポラリIDを用いて、ユーザ管理情報を検索し、端末装置300のアクセスが適切であるか否かを判断する(S502)。そして、ユーザ認可情報管理部103は、上記テンポラリIDを用いて、ユーザ管理情報及びユーザ認可情報を検索し、閲覧要求対象のWebサービスサーバ200のアクセストークンを取得する。そして、サービス送受信部102は、アクセストークンを送信すると共にWebサービスサーバ200に対して、閲覧要求を行う(S503)。   When the terminal device 300 transmits a temporary ID to the authentication management server 100 and makes a browsing request for the Web service selected through the input operation of the user of the terminal device 300, the service of the authentication management server 100 The transmission / reception unit 102 acquires the temporary ID and accepts the browsing request (S501). The terminal access authentication unit 101 of the authentication management server 100 searches the user management information using the temporary ID acquired from the terminal device 300, and determines whether the access of the terminal device 300 is appropriate (S502). Then, the user authorization information management unit 103 searches the user management information and the user authorization information using the temporary ID, and acquires the access token of the Web service server 200 that is the browsing request target. The service transmission / reception unit 102 transmits an access token and makes a browsing request to the Web service server 200 (S503).

Webサービスサーバ200は、当該閲覧要求を受け付けると、閲覧/検索結果を認証管理サーバ100へ送信し、認証管理サーバ100のサービス送受信部102は、閲覧/検索結果を取得する(S504)。そして、当該サービス送受信部102は、閲覧/検索結果を端末装置300へ送信する(S505)。   When the Web service server 200 receives the browsing request, the Web service server 200 transmits the browsing / search result to the authentication management server 100, and the service transmitting / receiving unit 102 of the authentication management server 100 acquires the browsing / search result (S504). Then, the service transmission / reception unit 102 transmits the browsing / search result to the terminal device 300 (S505).

このように、認証管理サーバ100で、アクセストークンを管理しているため、端末装置300が認証管理サーバ100へログインしていれば、端末装置300からWebサービスサーバ200へアクセスするための情報を端末装置300の利用者が入力することなく、Webサービスサーバ200が提供するサービスを譲受することができる。   Thus, since the authentication management server 100 manages the access token, if the terminal device 300 is logged in to the authentication management server 100, information for accessing the Web service server 200 from the terminal device 300 is stored in the terminal. The service provided by the Web service server 200 can be transferred without input by the user of the device 300.

(認可情報の有効/無効の切り替え)
続いて、移行後のアクセストークンの有効状態の制御について説明する。他のユーザIDのアクセストークンを関連付けた結果、同一のWebサービスのアクセストークンが複数存在することになる場合、認可情報制御部105は、必要に応じて、同一のWebサービスの複数のアクセストークンの内、いずれか1つを有効状態にして、他方を無効状態に設定する。設定方法としては、ユーザ認可情報に有効か否かを示すフラグ情報を追加する等がある。 (Authorization information valid / invalid switching)
Next, control of the valid state of the access token after migration will be described. As a result of associating the access tokens of other user IDs, when there are a plurality of access tokens of the same Web service, the authorization information control unit 105 sets the access tokens of the same Web service as necessary. One of them is set to the valid state and the other is set to the invalid state. As a setting method, flag information indicating whether or not the user authorization information is valid is added.

なお、認可情報制御部105は、同一Webサービスの認可情報について、全て一つのみ有効状態に設定にするようにしても良いし、1利用者に対して1つのWebサービスIDのみ許可しているWebサービスのみ、1つの認可情報を有効状態に設定するようにしても良い。   The authorization information control unit 105 may set only one authorization information for the same Web service to a valid state, or permits only one Web service ID for one user. Only the Web service may set one authorization information to the valid state.

図17に示した移行方法のように、ユーザ認可情報管理部103がユーザID「ID1」に関連付けられていたアクセストークンを全てユーザID「ID2」に関連付けると、Webサービスの種別が重複するアクセストークンがある(サービスA及びサービスBに対応するアクセストークン)。   When the user authorization information management unit 103 associates all access tokens associated with the user ID “ID1” with the user ID “ID2” as in the migration method illustrated in FIG. (Access tokens corresponding to service A and service B).

このうち、サービスAについては1利用者に対して1つのWebサービスIDのみ許可しているため、図22に示すように認可情報制御部105は、サービスAのアクセストークンの内、ユーザID「ID1」に関連づいていたアクセストークンF1を無効にする。サービスBについては、1利用者に対して複数のWebサービスIDを許可しているため、アクセストークンT1,T2ともに有効にする。   Among these, since only one Web service ID is permitted for one user for the service A, the authorization information control unit 105 includes the user ID “ID1” in the access token of the service A as shown in FIG. ”Is invalidated. For service B, since a plurality of Web service IDs are permitted for one user, both access tokens T1 and T2 are validated.

図23に、アクセストークンの有効可否のフラグ情報を有するユーザ認可情報の例を示す。図23(A)に示すように、ユーザID、アクセストークン、ユーザ情報に加えて、アクティブ情報を加えている。このアクティブ情報がアクセストークンの有効可否のフラグ情報を意味しており、「TRUE」であれば、有効であり、「FALSE」であれば、無効であることを意味する。   FIG. 23 shows an example of user authorization information having flag information indicating whether or not an access token is valid. As shown in FIG. 23A, in addition to the user ID, access token, and user information, active information is added. This active information means flag information indicating whether or not the access token is valid. If it is “TRUE”, it is valid, and if it is “FALSE”, it is invalid.

図23(A)は、「別ユーザIDへのアクセストークン移行処理」前のユーザ認可情報の例を示し、ユーザID「ID1」にアクセストークンF1,T1、D1が関連付けられており、ユーザID「ID2」にアクセストークンF2、T2が関連付けられている。また、1つのユーザIDで、重複するサービスのアクセストークンを有していないので、アクティブは、全て「TRUE」である。   FIG. 23A shows an example of user authorization information before "access token transfer processing to another user ID", where access tokens F1, T1, and D1 are associated with the user ID "ID1", and the user ID " Access tokens F2 and T2 are associated with “ID2”. In addition, since one user ID does not have an access token for a duplicate service, all of the actives are “TRUE”.

図23(B)は、図22で示した「別ユーザIDへのアクセストークン移行処理」後のユーザ認可情報の状態である。上述のように、認可情報制御部105は、サービスAのアクセストークンの内、ユーザID「ID1」に関連づいていたアクセストークンを無効にする。この結果、ユーザID「ID2」、且つアクセストークンF1のユーザ認可情報のアクティブは、「FALSE」になる。   FIG. 23B shows the state of the user authorization information after the “access token transfer process to another user ID” shown in FIG. As described above, the authorization information control unit 105 invalidates the access token associated with the user ID “ID1” among the access tokens of the service A. As a result, the activation of the user authorization information of the user ID “ID2” and the access token F1 is “FALSE”.

アカウント管理画面に利用可能なアクセストークンを提示する際、認証管理サーバ100は、ユーザ認可情報のアクティブが「TRUE」であるアクセストークンについてのみ端末装置300へ通知することにより、利用者に対して、利用可能なアクセストークンのみ提示することができる。   When presenting an available access token on the account management screen, the authentication management server 100 notifies the terminal device 300 only about an access token whose active user authorization information is “TRUE”. Only available access tokens can be presented.

Webサービスによっては、複数のアカウントの同時利用を許容していないものもある。移行処理により、同一のWebサービスでアクセストークンが複数になることもあり得るが、上述のように、認可情報制御部105が1つのアクセストークンのみ有効とすることにより、複数のアカウントの同時利用を許容していないWebサービスも適切に利用可能となる。   Some Web services do not allow simultaneous use of multiple accounts. There may be a plurality of access tokens in the same Web service due to the migration process. However, as described above, when the authorization information control unit 105 validates only one access token, a plurality of accounts can be used simultaneously. Web services that are not permitted can also be used appropriately.

次に、本実施形態に係る認証管理サーバ100の作用効果について説明する。認証管理サーバ100によれば、ユーザ認可情報記憶107は、ユーザID「ID1」に対応する一又は複数のユーザ認可情報を関連付けて記憶すると共に、ユーザID「ID2」に対応する一又は複数のユーザ認可情報を関連付けて記憶し、ユーザ認可情報管理103は、ユーザID「ID1」に関連付けられたユーザ認可情報の移行の選択がされると、選択されたユーザ認可情報を含むユーザID「ID1」に関連付いたユーザ認可情報を、ユーザID「ID2」に関連付けてユーザ認可情報記憶部107へ記憶させる。   Next, operational effects of the authentication management server 100 according to the present embodiment will be described. According to the authentication management server 100, the user authorization information storage 107 stores one or a plurality of user authorization information corresponding to the user ID “ID1” in association with one or a plurality of users corresponding to the user ID “ID2”. The authorization information is stored in association with each other, and when the user authorization information management 103 selects to migrate the user authorization information associated with the user ID “ID1”, the user authorization information management 103 stores the authorization information in the user ID “ID1” including the selected user authorization information. The associated user authorization information is stored in the user authorization information storage unit 107 in association with the user ID “ID2”.

このように、認証管理サーバ100は、ユーザID「ID1」に関連付けられたユーザ認可情報について移行の選択がされると、それに伴い、選択されたアクセストークンを含むユーザID「ID1」に関連付けられたユーザ認可情報をユーザID「ID2」に関連付ける。よって、簡単にユーザID「ID1」に関連付けられているアクセストークンの移行をすることができる。   As described above, when the migration management is selected for the user authorization information associated with the user ID “ID1”, the authentication management server 100 is associated with the user ID “ID1” including the selected access token. The user authorization information is associated with the user ID “ID2”. Therefore, the access token associated with the user ID “ID1” can be easily transferred.

また、ユーザ認可情報管理部103は、ユーザID「ID2」によるログインで、ユーザID「ID1」に関連付いているアクセストークンを用いたアクセス要求がある場合、当該アクセス要求の対象となるアクセストークンを含むユーザID「ID1」に関連付けられたユーザ認可情報をユーザID「ID2」に関連付ける。   In addition, when the user authorization information management unit 103 logs in with the user ID “ID2” and has an access request using an access token associated with the user ID “ID1”, the user authorization information management unit 103 selects an access token that is a target of the access request. The user authorization information associated with the included user ID “ID1” is associated with the user ID “ID2”.

この場合、認証管理サーバ100は、ユーザID「ID1」のアクセストークンが指定されたことを特定しているタイミングで関連付けを行っているので、確実にユーザID「ID1」に関連しているアクセストークンを、ユーザID「ID2」へ関連付けることができる。   In this case, since the authentication management server 100 performs the association at the timing of specifying that the access token of the user ID “ID1” is specified, the access token reliably associated with the user ID “ID1” Can be associated with the user ID “ID2”.

そして、ユーザ認可情報記憶部107は、各ユーザトークンに対応するサービス種別の情報を記憶しており、ユーザID「ID2」への関連付け対象のアクセストークンに対応するサービス種別と同一のサービス種別であり、且つ当該ユーザID「ID2」への関連付け対象のサービストークンとは異なるサービストークンが、ユーザID「ID2」に関連付いている場合、何れかのサービストークンを無効化にする認可情報制御部105をさらに備えている。   The user authorization information storage unit 107 stores service type information corresponding to each user token, and is the same service type as the service type corresponding to the access token to be associated with the user ID “ID2”. When a service token different from the service token to be associated with the user ID “ID2” is associated with the user ID “ID2”, the authorization information control unit 105 that invalidates any service token is provided. It has more.

このように、認証管理サーバ100は、アクセストークンの有効/無効を制御することにより、複数のアカウントの同時利用を許容していないWebサービスも適切に利用可能となる。   As described above, the authentication management server 100 controls the validity / invalidity of the access token, thereby appropriately using a Web service that does not allow the simultaneous use of a plurality of accounts.

そして、ユーザID「ID2」への関連付け対象となるユーザID「ID1」のアクセストークンの選択確認を受け付ける関連付け対象選択確認部104をさらに備え、ユーザ認可情報管理部103は、関連付け対象選択確認部104を介して選択確認されたアクセストークンを関連付け対象とする。この場合、認証管理サーバ100は、利用者が所望の認可情報のみ関連付けさせることが可能となる。   The user authorization information management unit 103 further includes an association target selection confirmation unit 104 that accepts selection confirmation of an access token of the user ID “ID1” to be associated with the user ID “ID2”. The access token selected and confirmed via is used as the association target. In this case, the authentication management server 100 can associate only the desired authorization information with the user.

(他の実施形態)
上述の実施形態では、認証管理サーバ100が、情報処理装置として機能する場合について述べたが、携帯端末装置等、種々のコンピュータ装置に適用するようにしても良い。 (Other embodiments)
In the above-described embodiment, the case where the authentication management server 100 functions as an information processing device has been described. However, the authentication management server 100 may be applied to various computer devices such as a mobile terminal device.

上述の実施形態では、アクセストークンを認可情報として用いる場合について述べたが、他の認可情報(例えば、ログイン情報など)を用いるようにしても良い。   In the above-described embodiment, the case where the access token is used as the authorization information has been described. However, other authorization information (for example, login information) may be used.

100…認証管理サーバ、101…端末アクセス認証部、102…サービス送受信部、103…ユーザ認可情報管理部、104…関連付け対象選択確認部、105…認可情報起動可否制御部、106…ユーザ管理情報記憶部、107…ユーザ認可情報記憶部。   DESCRIPTION OF SYMBOLS 100 ... Authentication management server, 101 ... Terminal access authentication part, 102 ... Service transmission / reception part, 103 ... User authorization information management part, 104 ... Association object selection confirmation part, 105 ... Authorization information starting availability control part, 106 ... User management information storage 107, a user authorization information storage unit.

Claims (5)

一のユーザに関連付けがなされている第1識別子に対応する一又は複数の認可情報を関連付けて記憶すると共に、前記一のユーザに関連付けがなされている第2識別子に対応する一又は複数の認可情報を関連付けて記憶するユーザ認可情報記憶手段と、
第1識別子に関連付けられた認可情報の移行の選択がされると、選択された認可情報および前記第1識別子に関連付いた他の認可情報を、前記第2識別子に関連付けて前記ユーザ認可情報記憶手段へ記憶させるユーザ認可情報管理手段と、を備えることを特徴とする情報処理装置。 One or more authorization information corresponding to the first identifier associated with one user is stored in association with one or more authorization information corresponding to the second identifier associated with the one user. User authorization information storage means for storing
When the migration of the authorization information associated with the first identifier is selected, the selected authorization information and other authorization information associated with the first identifier are associated with the second identifier and stored in the user authorization information storage An information processing apparatus comprising: user authorization information management means stored in the means. 前記ユーザ認可情報管理手段は、第2識別子によるログインで、第1識別子に関連付いている認可情報を用いたアクセス要求がある場合、当該アクセス要求の対象となる認可情報が、前記選択された認可情報となることを特徴とする請求項1に記載の情報処理装置。   When the user authorization information management means logs in with the second identifier and there is an access request using the authorization information associated with the first identifier, the authorization information that is the target of the access request is the selected authorization The information processing apparatus according to claim 1, wherein the information processing apparatus is information. 前記ユーザ認可情報記憶手段は、各認可情報に対応するサービス種別の情報を記憶しており、
前記ユーザ認可情報管理手段は、第2識別子への関連付け対象の認可情報に対応するサービス種別と同一のサービス種別であり、且つ当該第2識別子への関連付け対象の認可情報とは異なる認可情報が、第2識別子に関連付いている場合、何れかの認可情報を無効化にする認可情報制御手段をさらに備えることを特徴とする請求項1又は2に記載の情報処理装置。 The user authorization information storage means stores service type information corresponding to each authorization information,
The user authorization information management means has the same service type as the service type corresponding to the authorization information to be associated with the second identifier, and authorization information different from the authorization information to be associated with the second identifier, The information processing apparatus according to claim 1, further comprising: an authorization information control unit that invalidates any authorization information when associated with the second identifier. 前記第2識別子への関連付け対象となる第1識別子の認可情報の選択確認を受け付ける選択確認手段をさらに備え、
前記ユーザ認可情報管理手段は、前記選択確認手段を介して選択確認された認可情報を関連付け対象とすることを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。 A selection confirmation means for accepting selection confirmation of authorization information of the first identifier to be associated with the second identifier;
4. The information processing apparatus according to claim 1, wherein the user authorization information management unit sets the authorization information selected and confirmed through the selection confirmation unit as an association target. 5. ユーザ認可情報を記憶する記憶手段を備える情報処理装置におけるユーザ認可情報管理方法において、
一のユーザに関連付けがなされている第1識別子に対応する一又は複数の認可情報を関連付けて前記記憶手段に記憶すると共に、前記一のユーザに関連付けがなされている第2識別子に対応する一又は複数の認可情報を関連付けて前記記憶手段に記憶するユーザ認可情報記憶ステップと、
第1識別子に関連付けられた認可情報の移行の選択がされると、選択された認可情報および前記第1識別子に関連付いた他の認可情報を、前記第2識別子に関連付けて前記記憶手段に記憶させるユーザ認可情報管理ステップと、を含むことを特徴とするユーザ認可情報管理方法。 In a user authorization information management method in an information processing apparatus provided with storage means for storing user authorization information,
One or more authorization information corresponding to a first identifier associated with one user is associated and stored in the storage means, and one or more corresponding to a second identifier associated with the one user A user authorization information storage step for storing a plurality of authorization information in association with each other in the storage means ;
When the migration of the authorization information associated with the first identifier is selected, the selected authorization information and other authorization information associated with the first identifier are stored in the storage means in association with the second identifier. A user authorization information management method comprising: a user authorization information management step.
JP2012144424A 2012-06-27 2012-06-27 Information processing apparatus and authorization information management method Active JP5903004B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012144424A JP5903004B2 (en) 2012-06-27 2012-06-27 Information processing apparatus and authorization information management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012144424A JP5903004B2 (en) 2012-06-27 2012-06-27 Information processing apparatus and authorization information management method

Publications (2)

Publication Number Publication Date
JP2014010486A JP2014010486A (en) 2014-01-20
JP5903004B2 true JP5903004B2 (en) 2016-04-13

Family

ID=50107192

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012144424A Active JP5903004B2 (en) 2012-06-27 2012-06-27 Information processing apparatus and authorization information management method

Country Status (1)

Country Link
JP (1) JP5903004B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6331684B2 (en) * 2014-05-20 2018-05-30 富士ゼロックス株式会社 Information processing apparatus, communication system, and program
JP5956623B1 (en) 2015-01-30 2016-07-27 株式会社Pfu system
WO2020004495A1 (en) * 2018-06-26 2020-01-02 日本通信株式会社 Online service provision system and application program
WO2020004486A1 (en) * 2018-06-26 2020-01-02 日本通信株式会社 Online service provision system and application program
WO2020004494A1 (en) * 2018-06-26 2020-01-02 日本通信株式会社 Online service provision system, ic chip, and application program
CN113378221B (en) * 2021-06-11 2022-09-23 上海妙一生物科技有限公司 Account information processing method and device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003233690A (en) * 2002-02-08 2003-08-22 Dainippon Printing Co Ltd System and method for managing license
JP4525609B2 (en) * 2006-02-22 2010-08-18 日本電気株式会社 Authority management server, authority management method, authority management program
US8544066B2 (en) * 2007-12-27 2013-09-24 Nec Corporation Access right management system, access right management method, and access right management program
JP4506837B2 (en) * 2008-01-15 2010-07-21 日本電気株式会社 Authority transfer device, authority transfer system, authority transfer method, and authority transfer program

Also Published As

Publication number Publication date
JP2014010486A (en) 2014-01-20

Similar Documents

Publication Publication Date Title
US10282522B2 (en) Cross-application authentication on a content management system
EP3235213B1 (en) No password user account access
JP5903004B2 (en) Information processing apparatus and authorization information management method
US10484383B2 (en) Pre-authorizing a client application to access a user account on a content management system
US11394715B2 (en) Proxy authorization of a network device
CN109691057B (en) Interchangeably retrieving sensitive content via a private content distribution network
US9781089B2 (en) Authenticating a user account with a content management system
JP4729651B2 (en) Authentication apparatus, authentication method, and authentication program implementing the method
JP6323994B2 (en) Content management apparatus, content management method and program
JP6120650B2 (en) Content management apparatus, content management method and program
EP2310977B1 (en) An apparatus for managing user authentication
KR20230003228A (en) Document sharing processing methods, devices, devices, media and systems
US20210409509A1 (en) Binding a public cloud user account and a personal cloud user account for a hybrid cloud environment
KR20200002680A (en) Single-sign-on method and system for multi-domain services
JP2016051329A (en) Content management apparatus and control method thereof
JP2019101668A (en) System and control method thereof
JP2005346570A (en) Authentication system, authentication method and computer program
JP5552720B2 (en) Storage system, storage server, user data sharing method, and program
JP2014241113A (en) Content management device, content management system, content management method, and program
US10554789B2 (en) Key based authorization for programmatic clients
JP7021550B2 (en) Access control devices, access control systems and programs
JP2005293088A (en) Authentication system and method
JP2000020469A (en) Method and devise for managing password
JP2021117807A (en) Data access control program, data access control method and authorization server

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151224

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160301

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160311

R150 Certificate of patent or registration of utility model

Ref document number: 5903004

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250