JP6710230B2 - Authentication system and authentication method - Google Patents
Authentication system and authentication method Download PDFInfo
- Publication number
- JP6710230B2 JP6710230B2 JP2018025870A JP2018025870A JP6710230B2 JP 6710230 B2 JP6710230 B2 JP 6710230B2 JP 2018025870 A JP2018025870 A JP 2018025870A JP 2018025870 A JP2018025870 A JP 2018025870A JP 6710230 B2 JP6710230 B2 JP 6710230B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- web browser
- web
- client terminal
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 27
- 235000014510 cooky Nutrition 0.000 claims description 21
- 230000008569 process Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 230000007257 malfunction Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 239000012086 standard solution Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Description
本発明は、アクセス制限されたwebサービスの認証をシングルサインオンにより行う認証システム及び認証方法に関する。 The present invention relates to an authentication system and an authentication method for authenticating a web service whose access is restricted by single sign-on.
近年、シングルサインオン(SSO:Single Sign-On)と呼ばれる統合認証技術が普及している(例えば特許文献1)。SSOによれば、個別に認証処理が必要な複数のwebサービス(例えばグループウェアのアプリケーション)を、一度のログイン操作によるユーザー認証だけで利用できるようになる。SSOにより連携しているwebサービスを「SSO連携サービス」と称する。 In recent years, an integrated authentication technique called Single Sign-On (SSO) has become widespread (for example, Patent Document 1). According to SSO, it becomes possible to use a plurality of web services (for example, groupware applications) that require individual authentication processing by user authentication by a single login operation. A web service linked by SSO is referred to as "SSO linked service".
特に、windows(登録商標)の標準ブラウザーであるインターネットエクスプローラー(登録商標、以下「IE」と称する)の場合、個別に認証処理が必要な複数のwebサービスにアクセスする場合には、マイクロソフト社製のアクティブディレクトリに参加することで、統合windows認証を利用することができる(例えば特許文献2)。統合windows認証では、オペレーティングシステム(以下「OS」と称する)にログインする際のアカウント情報(ユーザーID及びパスワード、以下「OSアカウント情報」と称する)によって、初回アクセス時の認証が行われる。 In particular, in the case of Internet Explorer (registered trademark, hereinafter referred to as “IE”), which is a standard browser of Windows (registered trademark), when accessing a plurality of web services that require individual authentication processing, By joining the active directory, integrated windows authentication can be used (for example, Patent Document 2). In the integrated windows authentication, the authentication at the first access is performed by the account information (user ID and password, hereinafter referred to as “OS account information”) when logging in to the operating system (hereinafter referred to as “OS”).
図1は、統合windows認証を利用してシングルサインオンを行う、従来の認証システム60の一例を示す図である。図1に示すように、認証システム60は、例えばLAN(Local Area Network)等の企業内ネットワークN1に接続された、認証処理が必要な複数のwebサーバー20が提供するwebサービスを利用する際の認証を行う。この認証には、企業内ネットワークN1内に存在しているクライアント端末53が、アクティブディレクトリ40に参加することで、統合windows認証を利用することができる。また、インターネットN2からVPNサーバー55(VPN:Virtual Private Network)を介して、外部のクライアント端末51もアクティブディレクトリ40に参加することで、同様に統合windows認証を利用することができる。
FIG. 1 is a diagram showing an example of a
認証システム60は、統合windows認証を実現する統合windows認証環境であり、リバースプロキシサーバー61及びSSOサーバー62を有する。リバースプロキシサーバー61とSSOサーバー62が協働して統合windows認証による認証処理を行う。以下に、webサーバー20への初回アクセス時の認証処理について説明する。
The
なお、クライアント端末50によってwebサーバー20が提供するwebサービスのURLへのアクセス要求があった場合、DNSサーバー54によって、リバースプロキシサーバー61に接続されるようになっている。
When the
クライアント端末53がOSにログインした時、アクティブディレクトリ40からTGT(Ticket Granting Ticket)と呼ばれる認証チケットが発行される。この状態でクライアント端末53のIEが、webサーバー20が提供するwebサービスへのアクセスを要求すると、リバースプロキシサーバー61は、クライアント端末53がSSOサーバー62に認証されているかを判断する。
When the
ユーザーが未認証であることが確認されると、SSOサーバー62は認証エラー(401エラー)で応答する。クライアント端末53のIEは401エラーを受け取るとSSOサーバー62に対し、認証チケットの情報とアクティブディレクトリ40に登録されているOSアカウント情報の照合を要求する。この要求を受けたSSOサーバー62は認証チケットの情報とアクティブディレクトリ40に登録されているOSアカウント情報の照合を行い、照合が成立すると、クライアント端末53のIEに対してSSOサーバー62の認証Cookieを発行する。
If it is confirmed that the user is not authenticated, the
これにより、統合windows認証が成立するため、クライアント端末53は、この認証Cookieを利用してwebサーバー20が提供するwebサービスを含むSSO連携サービスを利用できるようになる。つまり、SSO連携サービスを利用する際に、その都度、ログイン操作を行うことなく、認証Cookieを所有していることをもってアクセスが許可される。
As a result, the integrated windows authentication is established, and the
一方、クライアント端末52がiPhone(登録商標)やiPad(登録商標)などであり、IE以外のwebブラウザー(例えばiOSの標準ブラウザーであるSafari(登録商標))から、webサーバー20が提供するwebサービスへアクセスを要求した場合、認証システム60において統合windows認証は行われない。統合windows認証においては、IEの使用が前提となっており、IE以外のwebブラウザーはサポートされていないためである。
On the other hand, the
この場合、Safariは、認証エラー(401エラー)を無視して、SSOサーバー62に対して、認証を行うためのログインIDおよびログインパスワードを入力するログイン画面を要求する。このログイン画面を利用してSSOサーバー62へ認証を成立させる行為を「Form認証」と称する。ユーザーがForm認証を行うことにより、SSOサーバー62で入力されたログインIDおよびログインパスワードの照合が成立すると、クライアント端末52のSafariに対して認証Cookieが発行される。
In this case, Safari ignores the authentication error (401 error) and requests the
上述したように、IE以外のwebブラウザーでは、統合windows認証による認証は行われず、Form認証による認証が行われる。しかしながら、使用するwebブラウザーによっては、認証エラーを解釈できずに、Form認証すらできなくなる場合がある。例えば、iOS7.0以降のバージョンにおいては、Safariで統合windows認証を利用しようとすると、通信エラーが発生し、Safariがハングアップしてしまう。このような問題の解決策としては、以下の3つの手法が一般的である。 As described above, the web browsers other than IE do not perform the integrated window authentication, but the Form authentication. However, depending on the web browser used, there is a case where the authentication error cannot be interpreted and even the Form authentication cannot be performed. For example, in iOS 7.0 and later versions, if an attempt is made to use integrated windows authentication with Safari, a communication error will occur and Safari will hang up. The following three methods are generally used as a solution to such a problem.
第一に、iOS7.0以降のバージョンは、エンタープライズシングルサインオン機能を有しているので、iOSの構成プロファイルを変更し、統合windows認証による認証を利用可能とすることが考えられる。しかしながら、本来的にアクセス権限のある全てのクライアント端末の管理が必要となる上、iOSは自動的にアップデートされるため、突然の動作不良などが生じる虞がある。 First, since the version of iOS 7.0 or later has the enterprise single sign-on function, it is conceivable to change the configuration profile of iOS and enable the authentication by the integrated windows authentication. However, since it is necessary to manage all the client terminals that originally have the access right, and since the iOS is automatically updated, there is a possibility that a sudden malfunction may occur.
第二に、SSO環境を導入する場合に設置されるロードバランサーの機能を利用して、認証時にアクセス元のwebブラウザーの種類を判別し、判別結果に基づいてアクセス先の認証環境(統合windows認証用の認証環境又はForm認証用の認証環境)を振り分けることが考えられる。しかしながら、webブラウザーの種類を判別する機能はロードバランサーに必須の機能ではなく、当該機能を有していないロードバランサーもあるため、標準的な解決策にはならない。 Second, by using the function of the load balancer installed when introducing the SSO environment, the type of the web browser of the access source is determined at the time of authentication, and the authentication environment of the access destination (for integrated Windows authentication) is determined based on the determination result. It is conceivable to distribute the authentication environment of (1) or the authentication environment for Form authentication). However, the function for discriminating the type of web browser is not an essential function for the load balancer, and some load balancers do not have the function, and therefore it is not a standard solution.
第三に、IEがアクセスするDNSサーバーと、IE以外のwebブラウザーがアクセスするDNSサーバーを設置し、DNSサーバーによってアクセス先の認証環境を振り分けることが考えられる。しかしながら、クライアント端末やwebブラウザーごとにDNSサーバーを変えるというのは一般的な運用ではないため、多くの場合、システム基盤環境の再構築が必要となる。 Thirdly, it is conceivable to install a DNS server accessed by the IE and a DNS server accessed by a web browser other than the IE, and allocate the authentication environment of the access destination by the DNS server. However, changing the DNS server for each client terminal or web browser is not a general operation, and in many cases it is necessary to rebuild the system infrastructure environment.
本発明の目的は、OSアカウント情報を利用したSSOにより、アクセス制限されたwebサービスの認証を行う場合に生じる不具合を、既存のシステム基盤環境を大幅に変更することなく解消できる認証システム及び認証方法を提供することである。 An object of the present invention is to provide an authentication system and an authentication method capable of solving a problem that occurs when authenticating a web service whose access is restricted by SSO using OS account information without drastically changing the existing system infrastructure environment. Is to provide.
本発明に係る認証システムは、
webサーバーが提供するアクセス制限されたwebサービスに対してクライアント端末のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証システムであって、
前記クライアント端末のOSアカウント情報により認証を行う第1の認証装置と、
前記webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う第2の認証装置と、
前記クライアント端末から前記webサービスのURLを指定したアクセス要求があった場合に、前記アクセス要求に含まれるユーザーエージェント情報に基づいて前記webブラウザーの種類を判別し、当該webブラウザーが所定のwebブラウザーである場合に前記第1の認証装置のURLにアクセスするように前記webブラウザーに対して回答する一方、当該webブラウザーが前記所定のwebブラウザーでない場合に前記第2の認証装置のURLにアクセスするように前記webブラウザーに対して回答する振分けサーバーと、を備え、
前記第1の認証装置は、前記クライアント端末から前記OSアカウント情報を受け付け、前記OSアカウント情報を認証した場合には、前記クライアント端末の前記webサービスの利用を許可して前記webブラウザーに対して認証Cookieを発行し、
前記第2の認証装置は、前記クライアント端末から前記Form認証情報を受け付け、前記Form認証情報を認証した場合には、前記クライアント端末の前記webサービスの利用を許可して前記webブラウザーに対して認証Cookieを発行し、
前記認証Cookieが発行された前記webブラウザーは、前記第1の認証装置又は前記第2の認証装置を経由して前記webサーバーにアクセス可能となることを特徴とする。
The authentication system according to the present invention is
An authentication system that authenticates by SSO when an access request is made from a web browser of a client terminal for a web service provided by a web server and whose access is restricted,
A first authentication device for performing authentication based on the OS account information of the client terminal;
A second authentication device that authenticates by using the Form authentication information entered in the login form in the web browser;
When there is an access request specifying the URL of the web service from the client terminal, the type of the web browser is determined based on the user agent information included in the access request, and the web browser is a predetermined web browser. While responding to the web browser to access the URL of the first authentication device in a certain case, access the URL of the second authentication device when the web browser is not the predetermined web browser. And a distribution server that responds to the web browser,
The first authentication device, accept the OS account information from the client terminal, in the case of authenticating the OS account information, relative to the previous Symbol the web service the web browser allow the use of the client terminal Issue an authentication cookie ,
The second authentication apparatus receives the Form authentication information from the client terminal, when authenticating the Form authentication information for the previous SL the web service the web browser to allow the use of the client terminal Issue an authentication cookie,
The web browser to which the authentication cookie has been issued can access the web server via the first authentication device or the second authentication device .
本発明に係る認証方法は、
webサーバーが提供するアクセス制限されたwebサービスに対してクライアント端末のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証方法であって、
(A)振り分けサーバーが、前記クライアント端末から前記webサービスのURLを指定したアクセス要求があった場合に、前記アクセス要求に含まれるユーザーエージェント情報に基づいて前記webブラウザーの種類を判別し、当該webブラウザーが所定のwebブラウザーである場合に第1の認証装置のURLにアクセスするように前記webブラウザーに対して回答する一方、当該webブラウザーが前記所定のwebブラウザーでない場合に第2の認証装置のURLにアクセスするように前記webブラウザーに対して回答する工程と、
(B)前記工程Aで判別されたwebブラウザーが所定のwebブラウザーである場合に、前記第1の認証装置が、前記クライアント端末のOSアカウント情報により認証を行う工程と、
(C)前記工程Aで判別されたwebブラウザーが前記所定のwebブラウザーでない場合に、前記第2の認証装置が、前記webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う工程と、を備え、
前記工程Bにおいて、前記第1の認証装置は、前記クライアント端末から前記OSアカウント情報を受け付け、前記OSアカウント情報を認証した場合には、前記クライアント端末の前記webサービスの利用を許可して前記webブラウザーに対して認証Cookieを発行し、
前記工程Cにおいて、前記第2の認証装置は、前記クライアント端末から前記Form認証情報を受け付け、前記Form認証情報を認証した場合には、前記クライアント端末の前記webサービスの利用を許可して前記webブラウザーに対して認証Cookieを発行し、
前記認証Cookieが発行された前記webブラウザーは、前記第1の認証装置又は前記第2の認証装置を経由して前記webサーバーにアクセス可能となることを特徴とする。
The authentication method according to the present invention is
An authentication method for performing authentication by SSO when an access request is made from a web browser of a client terminal for a web service provided by a web server with access restriction,
(A) When the distribution server receives an access request specifying the URL of the web service from the client terminal, the distribution server determines the type of the web browser based on the user agent information included in the access request, and determines the web browser. When the browser is a predetermined web browser, the web browser responds to the URL of the first authentication device so as to access the URL of the first authentication device, and when the web browser is not the predetermined web browser, the second authentication device Responding to the web browser to access the URL,
(B) when the web browser determined in step A is a predetermined web browser, the first authentication device authenticates with the OS account information of the client terminal;
(C) when the web browser determined in step A is not the predetermined web browser, the second authentication device performs authentication by using the Form authentication information entered in the login form in the web browser, Equipped with
In the step B, the first authentication apparatus receives the OS account information from the client terminal, when authenticating the OS account information, the permit to use the web service before SL client terminal Issue an authentication cookie to a web browser ,
In the step C, the second authentication apparatus receives the Form authentication information from the client terminal, when authenticating the Form authentication information, the permit to use the web service before SL client terminal Issue an authentication cookie to a web browser,
The web browser to which the authentication cookie has been issued can access the web server via the first authentication device or the second authentication device .
本発明によれば、予めwebブラウザーに対応付けられた認証装置が当該webブラウザーに適した認証処理を行うので、OSアカウント情報を利用したSSOにより、アクセス制限されたwebサービスの認証を行う場合に生じる不具合を、既存のシステム基盤環境を大幅に変更することなく解消することができる。 According to the present invention, since the authentication device previously associated with the web browser performs the authentication process suitable for the web browser, when performing the authentication of the web service whose access is restricted by the SSO using the OS account information. It is possible to solve the problems that occur without significantly changing the existing system infrastructure environment.
以下、本発明の実施の形態を、図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図2は、本発明の一実施の形態に係る認証システム10を示す図である。図2に示すように、認証システム10、webサーバー20、振分けサーバー30、及びアクティブディレクトリ40は、例えばLAN等の企業内ネットワークN1に接続される。
FIG. 2 is a diagram showing an
認証システム10は、クライアント端末50が、webサーバー20が提供するアクセス制限されたwebサービスを利用する際のシングルサインオンを実現する。認証システム10によって初回アクセス時の認証が行われ、認証Cookieが発行されると、webサーバー20が提供するwebサービスを含むSSO連携サービスを個別に認証処理することなく利用することができる。
The
webサーバー20が提供するwebサービスには、企業内ネットワークN1内に存在し、アクティブディレクトリ40に参加しているクライアント端末53だけでなく、インターネットN2から、VPNサーバー55を介して、外部のクライアント端末51、52もアクセスできる。
The web service provided by the
クライアント端末51、53は、OSがwindowsであり、windowsの標準ブラウザーであるIEでwebサービスを利用する場合、統合windows認証環境によるSSOがサポートされる。クライアント端末52は、OSがiOSであり、iOSの標準ブラウザーであるSafariでwebサービスを利用する場合、iOSの構成ファイルを変更するなどしない限り、初期設定では、統合windows認証環境によるSSOはサポートされない。
When the OS of the
認証システム10は、第1の認証装置11、第2の認証装置12、及びwebブラウザーの種類を判別し、判別結果に基づいて認証装置先を制御する振分けサーバー30を備える。
The
第1の認証装置11は、統合windows認証を実現する認証環境であり、リバースプロキシサーバー111及びSSOサーバー112を有する。webサーバー20が提供するwebサービスへの初回アクセス時に、リバースプロキシサーバー111とSSOサーバー112が協働して、統合windows認証による認証処理を行う。
The
第2の認証装置12は、Form認証を実現する認証環境であり、リバースプロキシサーバー121及びSSOサーバー122を有する。webサーバー20が提供するwebサービスへの初回アクセス時に、リバースプロキシサーバー121とSSOサーバー122が協働して、Form認証による認証処理を行う。
The
アクティブディレクトリ40には、企業内ネットワークN1の正規ユーザーOSアカウント情報が登録される。
In the
振分けサーバー30は、インターネットN2に接続するクライアント端末51、52が、VPNサーバー55を介して、webサーバー20が提供するサービスへのアクセス要求を行った場合に、クライアント端末51、52のwebブラウザーの種類を判別し、アクセス先を決定する。具体的には、振分けサーバー30は、アクセス元のwebブラウザーの種類を判別し、当該webブラウザーがIEである場合に第1の認証装置11で認証が行われるように制御する一方、当該webブラウザーがIEでない場合に第2の認証装置12で認証が行われるように制御する。
When the
振分けサーバー30には、例えば「Apache HTTP Server」(以下「Apache」と称する)を適用する。Apacheの設定により、アクセス要求に含まれるUser-Agent HTTPヘッダーに基づいて、アクセス元のwebブラウザーの種類を判別し、第1の認証装置11又は第2の認証装置12に振り替える。
As the
なお、クライアント端末51、52によってwebサーバー20が提供するwebサービスのURLへのアクセス要求があった場合、DNSサーバー54によって、振分けサーバー30に接続されるようになっている。
When the
以下に、webサーバー20が提供するwebサービスへの初回アクセス時の認証処理について説明する。
The authentication process at the time of the first access to the web service provided by the
図3は、本実施の形態の認証システム10を利用した初回アクセス時の認証処理の一例を示す図である。図3は、webブラウザーがIEであるクライアント端末51からアクセス要求が行われる場合の処理フローを示す。
FIG. 3 is a diagram showing an example of an authentication process at the time of first access using the
ステップS101において、クライアント端末51のIEは、webサーバー20が提供するwebサービスへのアクセス要求を行う。当該webサービスのURLは、例えば「http://test-web.com」である。DNSサーバー54によって、「http://test-web.com」に関連づけられているIPアドレスが判明し、アクセス要求は振分けサーバー30に送信される。
In step S101, the IE of the
ステップS102において、振分けサーバー30は、アクセス要求を行ったwebブラウザーの種類を判別する。ここでは、アクセス要求を行ったwebブラウザーはIEである。
In step S102, the
ステップS103、S104において、振分けサーバー30は、IEに対応するSSO環境である第1の認証装置11にアクセスするようにwebブラウザーに対して回答を行う。回答内容である第1の認証装置11のURLは、振分けサーバー30で管理される設定ファイルに基づき、例えば「http://test-web-win.com」となる。
In steps S103 and S104, the
ステップS105において、第1の認証装置11は、統合windows認証により、認証を行う。具体的には、SSOサーバー112は、クライアント端末51の認証チケットの情報とアクティブディレクトリ40に登録されているOSアカウント情報による照合を行い、照合が成立すると、クライアント端末51のIEに対して認証Cookieを発行する。
In step S105, the
ステップS106において、第1の認証装置11は、webサーバー20に対して、クライアント端末51によるwebサービスの利用を許可する。このとき、アクセス先のURLを本来のアクセス先である「http://test-web.com」に変換する。アクセス先のURLが、第1の認証装置11のURL「http://test-web-win.com」のままだと、webサービスにおいて誤動作が生じる虞があるためである。アクセス先のURLを変換することにより、webサービスを正常に動作させることができる。
In step S106, the
ステップS107において、webサーバー20は、クライアント端末51に対して、アクセス要求されたwebサービスを提供する。なお、クライアント端末51は、第1の認証装置11によって発行された認証Cookieを利用して、webサーバー20が提供するwebサービスを含むSSO連携サービスを個別に認証処理することなく利用することができる。
In step S107, the
図4は、本実施の形態の認証システムを利用した初回アクセス時の認証処理の一例を示すフローチャートである。図4は、webブラウザーがSafariであるクライアント端末52からアクセス要求が行われる場合の処理フローを示す。
FIG. 4 is a flowchart showing an example of the authentication process at the time of the first access using the authentication system of this embodiment. FIG. 4 shows a processing flow when an access request is made from the
ステップS201において、クライアント端末52のSafariは、webサーバー20が提供するwebサービスへのアクセス要求を行う。当該webサービスのURLは、例えば「http://test-web.com」である。DNSサーバー54によって、「http://test-web.com」に関連づけられているIPアドレスが判明し、アクセス要求は振分けサーバー30に送信される。
In step S201, Safari of the
ステップS202において、振分けサーバー30は、アクセス要求を行ったwebブラウザーの種類を判別する。ここでは、アクセス要求を行ったwebブラウザーはSafariである。
In step S202, the
ステップS203、S204において、振分けサーバー30は、Safariに対応するSSO環境である第2の認証装置12にアクセスするようにwebブラウザーに対して回答を行う。回答内容である第2の認証装置12のURLは、振分けサーバー30で管理される設定ファイルに基づき、例えば「http://test-web-form.com」となる。
In steps S203 and S204, the
ステップS205において、第2の認証装置12は、Form認証により認証を行う。具体的には、SSOサーバー122は、クライアント端末52のSafariにForm認証用のログインフォーム画面を表示する。ユーザーがForm認証情報(ログインID及びログインパスワード)を入力して送信することに伴い、第2の認証装置12は、入力されたログインID及びログインパスワード情報とOSアカウント情報による照合を行い、照合が成立すると、クライアント端末52のIEに対して認証Cookieを発行する。
In step S205, the
ステップS206において、第2の認証装置12は、webサーバー20に対して、クライアント端末52によるwebサービスの利用を許可する。このとき、アクセス先のURLを本来のアクセス先である「http://test-web.com」に変換する。アクセス先のURLが、第2の認証装置12のURL「http://test-web-form.com」のままだと、webサービスにおいて誤動作が生じる虞があるためである。アクセス先のURLを変換することにより、webサービスを正常に動作させることができる。
In step S206, the
ステップS207において、webサーバー20は、クライアント端末52に対して、アクセス要求されたwebサービスを提供する。なお、クライアント端末52は、第2の認証装置12によって発行された認証Cookieを利用して、webサーバー20が提供するwebサービスを含むSSO連携サービスを個別に認証処理することなく利用することができる。
In step S207, the
実施の形態に係る認証システム10は、アクセス制限されたwebサービスに対してクライアント端末50のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証システムであって、クライアント端末50のOSアカウント情報により認証を行う第1の認証装置11と、webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う第2の認証装置12と、webブラウザーの種類を判別し、当該webブラウザーがIE(所定のwebブラウザー)である場合に第1の認証装置11で認証が行われるように制御する一方、当該webブラウザーがIEでない場合に第2の認証装置12で認証が行われるように制御する振分けサーバー30と、を備える。
The
また、本実施の形態に係る認証方法は、アクセス制限されたwebサービスに対してクライアント端末50のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証方法であって、(A)webブラウザーの種類を判別する工程と、(B)工程Aで判別されたwebブラウザーがIE(所定のwebブラウザー)である場合に、クライアント端末50のOSアカウント情報により認証を行う工程と、(C)工程Aで判別されたwebブラウザーがIEでない場合に、webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う工程と、を備える。
Further, the authentication method according to the present embodiment is an authentication method for performing authentication by SSO when an access request is made from the web browser of the
実施の形態に係る認証システム10及び認証方法によれば、予めwebブラウザーに対応付けられた第1の認証装置11又は第2の認証装置12が当該webブラウザーに適した認証処理を行う。したがって、OSアカウント情報を利用したSSOにより、アクセス制限されたwebサービスの認証を行う場合に生じる不具合(SSO環境でサポートされていないwebブラウザーのハングアップ等)を、振分けサーバー30を設けるだけで、既存のシステム基盤環境を大幅に変更することなく解消することができる。すなわち、ユーザーがwebブラウザーによる統合windows認証の可否を意識する必要のない、webブラウザーに依存しないSSO環境を構築することができる。
According to the
また、ネットワーク管理者は、本来的にアクセス権限のある全てのクライアント端末の構成ファイルを変更する必要はなく、さらにはiOSが自動的にアップデートされても、それによる動作不良は生じない。 Further, the network administrator does not need to change the configuration files of all client terminals that originally have the access right, and even if the iOS is automatically updated, the malfunction does not occur.
以上、本発明者によってなされた発明を実施の形態に基づいて具体的に説明したが、本発明は上記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で変更可能である。 Although the invention made by the present inventor has been specifically described based on the embodiments, the present invention is not limited to the above embodiments and can be modified without departing from the scope of the invention.
例えば、本発明はwebブラウザーの種別に限定されないため、IE以外のwebブラウザーである、Safariや、FireFox、GoogleChromeなどに、振分けサーバー30で管理される設定ファイルを編集するだけで対応できる。
For example, since the present invention is not limited to the type of web browser, it can be applied to web browsers other than IE, such as Safari, FireFox, and GoogleChrome, only by editing the setting file managed by the
また、同一のwebブラウザーにおいて、バージョンごとに認証方式を振分ける必要がある場合に、振分けサーバー30で管理される設定ファイルを編集するだけで対応できる。
Further, when it is necessary to distribute the authentication method for each version in the same web browser, it can be dealt with only by editing the setting file managed by the
将来的に新しいwebブラウザーが利用される場合においても、振分けサーバー30で管理される設定ファイルを編集するだけで対応できる。
Even if a new web browser is used in the future, it can be dealt with simply by editing the setting file managed by the
さらには、本発明を応用することにより、クライアント端末50のIPアドレスやwebブラウザーの言語情報によって認証方式を振分けることが考えられ、この場合も振分けサーバー30で管理される設定ファイルを編集するだけで対応できる。
Further, by applying the present invention, it is conceivable that the authentication method is distributed according to the IP address of the
また、リバースプロキシサーバー111、121をそれぞれ複数台用意し、それぞれの前段にロードバランサーを備えるようにしてもよい。これにより、クライアント端末50からの処理要求を分散させ、一台当たりの負荷を低減することができる。
Alternatively, a plurality of
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 The embodiments disclosed this time are to be considered as illustrative in all points and not restrictive. The scope of the present invention is shown not by the above description but by the claims, and is intended to include meanings equivalent to the claims and all modifications within the scope.
10 認証システム
11 第1の認証装置
12 第2の認証装置
111、121 リバースプロキシサーバー
112、122 SSOサーバー
20 webサーバー
30 振分けサーバー
40 アクティブディレクトリ
50、51〜53 クライアント端末
54 DNSサーバー
55 VPNサーバー
10
Claims (4)
前記クライアント端末のOSアカウント情報により認証を行う第1の認証装置と、
前記webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う第2の認証装置と、
前記クライアント端末から前記webサービスのURLを指定したアクセス要求があった場合に、前記アクセス要求に含まれるユーザーエージェント情報に基づいて前記webブラウザーの種類を判別し、当該webブラウザーが所定のwebブラウザーである場合に前記第1の認証装置のURLにアクセスするように前記webブラウザーに対して回答する一方、当該webブラウザーが前記所定のwebブラウザーでない場合に前記第2の認証装置のURLにアクセスするように前記webブラウザーに対して回答する振分けサーバーと、を備え、
前記第1の認証装置は、前記クライアント端末から前記OSアカウント情報を受け付け、前記OSアカウント情報を認証した場合には、前記クライアント端末の前記webサービスの利用を許可して前記webブラウザーに対して認証Cookieを発行し、
前記第2の認証装置は、前記クライアント端末から前記Form認証情報を受け付け、前記Form認証情報を認証した場合には、前記クライアント端末の前記webサービスの利用を許可して前記webブラウザーに対して認証Cookieを発行し、
前記認証Cookieが発行された前記webブラウザーは、前記第1の認証装置又は前記第2の認証装置を経由して前記webサーバーにアクセス可能となることを特徴とする認証システム。 An authentication system that authenticates by SSO when an access request is made from a web browser of a client terminal for a web service provided by a web server and whose access is restricted,
A first authentication device for performing authentication based on the OS account information of the client terminal;
A second authentication device that authenticates by using the Form authentication information entered in the login form in the web browser;
When there is an access request specifying the URL of the web service from the client terminal, the type of the web browser is determined based on the user agent information included in the access request, and the web browser is a predetermined web browser. While responding to the web browser to access the URL of the first authentication device in a certain case, access the URL of the second authentication device when the web browser is not the predetermined web browser. And a distribution server that responds to the web browser,
The first authentication device, accept the OS account information from the client terminal, in the case of authenticating the OS account information, relative to the previous Symbol the web service the web browser allow the use of the client terminal Issue an authentication cookie ,
The second authentication apparatus receives the Form authentication information from the client terminal, when authenticating the Form authentication information for the previous SL the web service the web browser to allow the use of the client terminal Issue an authentication cookie,
The authentication system, wherein the web browser to which the authentication cookie is issued can access the web server via the first authentication device or the second authentication device .
前記第1の認証装置は、統合windows認証により認証を行うことを特徴とする請求項1に記載の認証システム。 The predetermined web browser is a standard browser of Windows (registered trademark),
The authentication system according to claim 1, wherein the first authentication device performs authentication by integrated windows authentication.
(A)振り分けサーバーが、前記クライアント端末から前記webサービスのURLを指定したアクセス要求があった場合に、前記アクセス要求に含まれるユーザーエージェント情報に基づいて前記webブラウザーの種類を判別し、当該webブラウザーが所定のwebブラウザーである場合に第1の認証装置のURLにアクセスするように前記webブラウザーに対して回答する一方、当該webブラウザーが前記所定のwebブラウザーでない場合に第2の認証装置のURLにアクセスするように前記webブラウザーに対して回答する工程と、
(B)前記工程Aで判別されたwebブラウザーが所定のwebブラウザーである場合に、前記第1の認証装置が、前記クライアント端末のOSアカウント情報により認証を行う工程と、
(C)前記工程Aで判別されたwebブラウザーが前記所定のwebブラウザーでない場合に、前記第2の認証装置が、前記webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う工程と、を備え、
前記工程Bにおいて、前記第1の認証装置は、前記クライアント端末から前記OSアカウント情報を受け付け、前記OSアカウント情報を認証した場合には、前記クライアント端末の前記webサービスの利用を許可して前記webブラウザーに対して認証Cookieを発行し、
前記工程Cにおいて、前記第2の認証装置は、前記クライアント端末から前記Form認証情報を受け付け、前記Form認証情報を認証した場合には、前記クライアント端末の前記webサービスの利用を許可して前記webブラウザーに対して認証Cookieを発行し、
前記認証Cookieが発行された前記webブラウザーは、前記第1の認証装置又は前記第2の認証装置を経由して前記webサーバーにアクセス可能となることを特徴とする認証方法。 An authentication method for performing authentication by SSO when an access request is made from a web browser of a client terminal for a web service provided by a web server with access restriction,
(A) When the distribution server receives an access request specifying the URL of the web service from the client terminal, the distribution server determines the type of the web browser based on the user agent information included in the access request, and determines the web browser. When the browser is a predetermined web browser, the web browser responds to the URL of the first authentication device so as to access the URL of the first authentication device, and when the web browser is not the predetermined web browser, the second authentication device Responding to the web browser to access the URL,
(B) when the web browser determined in step A is a predetermined web browser, the first authentication device authenticates with the OS account information of the client terminal;
(C) when the web browser determined in step A is not the predetermined web browser, the second authentication device performs authentication by using the Form authentication information entered in the login form in the web browser, Equipped with
In the step B, the first authentication apparatus receives the OS account information from the client terminal, when authenticating the OS account information, the permit to use the web service before SL client terminal Issue an authentication cookie to a web browser ,
In the step C, the second authentication apparatus receives the Form authentication information from the client terminal, when authenticating the Form authentication information, the permit to use the web service before SL client terminal Issue an authentication cookie to a web browser,
The authentication method, wherein the web browser to which the authentication cookie is issued can access the web server via the first authentication device or the second authentication device .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018025870A JP6710230B2 (en) | 2018-02-16 | 2018-02-16 | Authentication system and authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018025870A JP6710230B2 (en) | 2018-02-16 | 2018-02-16 | Authentication system and authentication method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015185414A Division JP2017059149A (en) | 2015-09-18 | 2015-09-18 | Authentication system and authentication method |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018110012A JP2018110012A (en) | 2018-07-12 |
JP2018110012A5 JP2018110012A5 (en) | 2018-08-23 |
JP6710230B2 true JP6710230B2 (en) | 2020-06-17 |
Family
ID=62844616
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018025870A Active JP6710230B2 (en) | 2018-02-16 | 2018-02-16 | Authentication system and authentication method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6710230B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109040030B (en) * | 2018-07-17 | 2021-08-27 | 奇安信科技集团股份有限公司 | Single sign-on method and system |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3983035B2 (en) * | 2001-11-19 | 2007-09-26 | 富士通株式会社 | User terminal authentication program |
JP2003179699A (en) * | 2001-12-12 | 2003-06-27 | Matsushita Electric Ind Co Ltd | Household electric appliance remote control system via network, method for the same and authentication system |
WO2008143284A1 (en) * | 2007-05-22 | 2008-11-27 | Access Co., Ltd. | Content providing apparatus, content providing method, and computer-usable storing medium |
KR101293178B1 (en) * | 2012-09-11 | 2013-08-12 | 오정원 | System and method for security access using cookie formatted certification information |
KR20150049457A (en) * | 2013-10-30 | 2015-05-08 | 에스케이텔레콤 주식회사 | Method and apparatus for managing authentication information |
-
2018
- 2018-02-16 JP JP2018025870A patent/JP6710230B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018110012A (en) | 2018-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110999213B (en) | Hybrid authentication system and method | |
US10320801B2 (en) | Identity proxy to provide access control and single sign on | |
CN108475312B (en) | Single sign-on method for device security shell | |
TWI400922B (en) | Authentication of a principal in a federation | |
US8935757B2 (en) | OAuth framework | |
US8010698B2 (en) | Network application layer routing | |
US7356833B2 (en) | Systems and methods for authenticating a user to a web server | |
US9699169B2 (en) | Computer readable storage media for selective proxification of applications and method and systems utilizing same | |
US11418498B2 (en) | Single sign on proxy for regulating access to a cloud service | |
US10681023B2 (en) | Self-service portal for provisioning passwordless access | |
WO2012103495A1 (en) | System and method for combining an access control system with a traffic managementl system | |
WO2022247751A1 (en) | Method, system and apparatus for remotely accessing application, device, and storage medium | |
US20220345491A1 (en) | Systems and methods for scalable zero trust security processing | |
TWI569167B (en) | Secure unified cloud storage | |
US8346967B2 (en) | Management of redirection | |
CN116830528A (en) | Selective policy-driven interception of encrypted network traffic using domain name service and single sign-on service | |
CN111108736A (en) | Automatic address failover for receivers and browsers using cloud services | |
US20060200473A1 (en) | Techniques for remote resource mounting | |
JP6710230B2 (en) | Authentication system and authentication method | |
JP2001056795A (en) | Access authentication processor, network provided with the processor, storage medium therefor and access authentication processing method | |
JP2007272689A (en) | Online storage authentication system, online storage authentication method, and online storage authentication program | |
JP2017059149A (en) | Authentication system and authentication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180625 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180625 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20190621 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190820 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20191018 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20191105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200512 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200526 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6710230 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |