JP7031415B2 - Login agency system and login agency method - Google Patents

Login agency system and login agency method Download PDF

Info

Publication number
JP7031415B2
JP7031415B2 JP2018056672A JP2018056672A JP7031415B2 JP 7031415 B2 JP7031415 B2 JP 7031415B2 JP 2018056672 A JP2018056672 A JP 2018056672A JP 2018056672 A JP2018056672 A JP 2018056672A JP 7031415 B2 JP7031415 B2 JP 7031415B2
Authority
JP
Japan
Prior art keywords
login
information
agency
proxy
business
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018056672A
Other languages
Japanese (ja)
Other versions
JP2019168956A (en
Inventor
毅 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2018056672A priority Critical patent/JP7031415B2/en
Publication of JP2019168956A publication Critical patent/JP2019168956A/en
Application granted granted Critical
Publication of JP7031415B2 publication Critical patent/JP7031415B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、ログイン代行システムおよびログイン代行方法に関する。 The present invention relates to a login agency system and a login agency method.

1度の認証で複数の業務アプリケーションに対するログインおよびアクセスが可能になるシングルサインオン(Single Sign-ON:SSO)技術が知られている。シングルサインオン技術の方式には、以下の3つがある。 There is known a single sign-on (SSO) technology that enables login and access to multiple business applications with a single authentication. There are the following three methods of single sign-on technology.

1つ目の方式は、各業務アプリケーションに認証機能が用意されず、全ての認証がシングルサインオンシステムで実行される方式である。 The first method is a method in which the authentication function is not prepared for each business application and all authentication is executed by the single sign-on system.

2つ目の方式は、各業務アプリケーションが有する認証機能に対してシングルサインオンシステムがログインを代行する方式であるログイン代行方式である。 The second method is a login agency method, in which the single sign-on system acts as a login agent for the authentication function of each business application.

2つ目の方式を実現する方法として、例えば、業務アプリケーションが表示するログイン画面に対してIDの文字列、およびパスワードの文字列を入力する方法がある。また、業務アプリケーションサーバに対して、BASIC認証や統合Windows(登録商標)認証等の認証ヘッダを送信する方法、またはFORM認証等のPOSTデータを送信する方法がある。 As a method of realizing the second method, for example, there is a method of inputting an ID character string and a password character string on the login screen displayed by the business application. Further, there is a method of transmitting an authentication header such as BASIC authentication or integrated Windows (registered trademark) authentication to a business application server, or a method of transmitting POST data such as FORM authentication.

3つ目の方式は、シングルサインオンシステムが認証したことを示す情報を各業務アプリケーションへ送信し、各業務アプリケーションが送信された情報を信頼する方式である。3つ目の方式を実現する方法として、例えば、SAML(Security Assertion Markup Language)やOpenID等のプロトコルを使用する方法がある。 The third method is a method in which information indicating that the single sign-on system has authenticated is transmitted to each business application, and each business application trusts the transmitted information. As a method of realizing the third method, for example, there is a method of using a protocol such as SAML (Security Assertion Markup Language) or OpenID.

運用中の多くの業務アプリケーションは、既に認証機能を個別に有している。よって、シングルサインオンシステムが導入される場合、シングルサインオンシステムに1つ目の方式のシングルサインオン技術が採用されることは無意味である。 Many business applications in operation already have individual authentication functions. Therefore, when a single sign-on system is introduced, it is meaningless to adopt the first method of single sign-on technology for the single sign-on system.

また、運用中の多くの業務アプリケーションは、SAMLやOpenID等のプロトコルに対応していない。よって、導入されるシングルサインオンシステムに、3つ目の方式のシングルサインオン技術は、採用されにくい。 In addition, many business applications in operation do not support protocols such as SAML and OpenID. Therefore, it is difficult to adopt the third method of single sign-on technology in the single sign-on system to be introduced.

しかし、上記の業務アプリケーションに対して、2つ目の方式であるログイン代行方式によるログインは実行可能である。よって、導入されるシングルサインオンシステムにログイン代行方式が採用されることが多い。 However, it is possible to log in to the above-mentioned business application by the login agency method, which is the second method. Therefore, the login agency method is often adopted for the single sign-on system to be introduced.

上記のように、シングルサインオン技術の方式の1つに、業務アプリケーションに対してIDとパスワードを利用者に代わって入力するログイン代行方式がある。ログイン代行方式が用いられると、利用者が何も対応することなく、ログインが自動で実行される。 As described above, one of the methods of the single sign-on technology is a login agency method in which an ID and a password are input to a business application on behalf of a user. When the login agency method is used, login is automatically executed without any action by the user.

ログイン代行方式が採用されたシングルサインオンシステムであるログイン代行システムには、業務アプリケーションへのログインに要する業務アカウントIDとパスワードとを管理することが求められる。また、ログイン代行システムと業務アプリケーションとの間で、同じ内容の業務アカウントIDとパスワードとが同期されていることが求められる。 The login agency system, which is a single sign-on system that employs the login agency method, is required to manage the business account ID and password required to log in to the business application. In addition, it is required that the business account ID and password having the same contents are synchronized between the login agency system and the business application.

また、ログイン代行システムは、業務アプリケーションのパスワードを示す情報を利用者に通知する形態で運用されていてもよいし、利用者に通知しない形態で運用されていてもよい。 Further, the login agency system may be operated in a form of notifying the user of information indicating the password of the business application, or may be operated in a form of not notifying the user.

パスワードを示す情報を利用者に通知する形態でログイン代行システムが運用されている場合、利用者は、パスワードを把握できる。よって、利用者は、ログイン代行システムを介さずに直接業務アプリケーションにログインできる。上記の形態は、例えば、利用者が容易に業務アプリケーションを利用できることが求められる場合に取られる。 When the login agency system is operated in the form of notifying the user of the information indicating the password, the user can grasp the password. Therefore, the user can directly log in to the business application without going through the login agency system. The above form is taken, for example, when it is required that the user can easily use the business application.

パスワードを示す情報を利用者に通知しない形態でログイン代行システムが運用されている場合、利用者は、パスワードを把握できない。よって、利用者は、ログイン代行システムを介してのみ業務アプリケーションにログインできる。上記の形態は、例えば、業務アプリケーションへのログインが可能な限りIT(Information Technology)技術で統制されることが求められる場合に取られる。 If the login agency system is operated without notifying the user of the information indicating the password, the user cannot grasp the password. Therefore, the user can log in to the business application only through the login agency system. The above form is taken, for example, when login to a business application is required to be controlled by IT (Information Technology) technology as much as possible.

パスワード等を同期させる方法の1つに、ログイン代行システムと業務アプリケーションシステムの両システムにおいて、一方のシステムがパスワードを示す情報を出力し、他方のシステムが出力された情報を取り込む方法がある。 One of the methods for synchronizing passwords and the like is a method in which one system outputs information indicating a password and the other system captures the output information in both the login agency system and the business application system.

また、特許文献1には、パスワード変更画面を有するアプリケーションプログラムのパスワード変更方法が記載されている。特許文献1に記載されているパスワード変更方法は、クライアント側でパスワード変更が検知された後に両システムで管理されているパスワードを更新する方法である。 Further, Patent Document 1 describes a method for changing a password of an application program having a password changing screen. The password change method described in Patent Document 1 is a method of updating the password managed by both systems after the password change is detected on the client side.

特開2002-14926号公報Japanese Unexamined Patent Publication No. 2002-14926

上記の2つ目の方式では、2つのシステムのいずれかで障害が発生した際、例えばバックアップされたデータが用いられて復旧が行われる。しかし、復旧が行われると、両システム間でパスワードの不一致が生じる。 In the second method described above, when a failure occurs in either of the two systems, recovery is performed using, for example, backed up data. However, when recovery occurs, there will be a password mismatch between the two systems.

業務アプリケーションシステムにおいて障害が発生した際のパスワードの不一致を解消する方法は、既に提示されている。しかし、上記の2つ目の方式では、ログイン代行システムにおいて障害が発生した場合が考慮されていない。 A method for resolving password inconsistencies when a failure occurs in a business application system has already been presented. However, in the above-mentioned second method, the case where a failure occurs in the login agency system is not taken into consideration.

ログイン代行システムで何らかの障害が発生した際にバックアップされたデータが用いられて復旧が行われると、ログイン代行システムで管理されているパスワードが、過去に使用されたパスワードに戻る。 When recovery is performed using the data backed up when some kind of failure occurs in the login agency system, the password managed by the login agency system returns to the password used in the past.

ログイン代行システムで管理されているパスワードが過去に使用されたパスワードに戻ると、ログイン代行システムと業務アプリケーションシステムとの間で、パスワードの不一致が生じる。シングルサインオンが実行されるためには再度のパスワードの同期が求められるが、再度のパスワードの同期の実行には以下の課題がある。 When the password managed by the login agency system returns to the password used in the past, a password mismatch occurs between the login agency system and the business application system. In order for single sign-on to be executed, password synchronization is required again, but there are the following problems in executing password synchronization again.

業務アプリケーションシステムにパスワードを示す情報を抽出するためのインタフェースが用意されていない場合、業務アプリケーションシステムがログイン代行システムからパスワードを示す情報を取り込む方法は、使用されない。 If the business application system does not have an interface for extracting password information, the method by which the business application system fetches password information from the login agency system is not used.

上記の抽出用のインタフェースが用意されているログイン代行システムは、業務アプリケーションシステムからパスワードを示す情報を取り込むことができる。しかし、業務アプリケーションシステムが暗号化された状態のパスワード、またはハッシュ化された状態のパスワードを保持していれば、抽出用のインタフェースが用意されていても、ログイン代行システムは、パスワードを示す情報を取り込むことができない場合がある。 The login agency system provided with the above extraction interface can take in the information indicating the password from the business application system. However, if the business application system holds the encrypted password or the hashed password, the login agency system will display the information indicating the password even if the extraction interface is prepared. It may not be possible to capture.

また、クライアント側からログイン代行システムで管理されているパスワードと業務アプリケーションシステムで管理されているパスワードを更新する場合、そもそもパスワードが不一致の状態であるため、クライアントは、業務アプリケーションにログインできない。すなわち、クライアントはパスワード変更画面にアクセスできないため、特許文献1に記載されている方法は、使用されない。 Also, when updating the password managed by the login agency system and the password managed by the business application system from the client side, the client cannot log in to the business application because the passwords do not match in the first place. That is, since the client cannot access the password change screen, the method described in Patent Document 1 is not used.

パスワードの不一致を解消するために、利用者自身が過去に使用されたパスワードを業務アプリケーションシステムに登録し直す方法も考えられる。しかし、利用者が過去に使用されたパスワードを覚えていない可能性は高い。 In order to resolve the password mismatch, it is possible for the user to re-register the password used in the past in the business application system. However, it is highly likely that the user does not remember the password used in the past.

また、パスワードの不一致を解消するために、利用者自身がログイン代行システム側のパスワードを最新のパスワードに変更する方法も考えられる。しかし、パスワードを利用者に通知しない形態でログイン代行システムが運用されている場合、利用者は、最新のパスワードを把握していない。 In addition, in order to eliminate the password mismatch, it is conceivable that the user himself changes the password on the login agency system side to the latest password. However, when the login agency system is operated without notifying the user of the password, the user does not know the latest password.

[発明の目的]
そこで、本発明は、上述した課題を解決する、アプリケーションへのログインの代行で使用される情報をアプリケーションシステムと同期できるログイン代行システムおよびログイン代行方法を提供することを目的とする。 [Purpose of the invention]
Therefore, an object of the present invention is to provide a login agency system and a login agency method that can synchronize the information used in the proxy for logging in to the application with the application system, which solves the above-mentioned problems.

本発明によるログイン代行システムは、管理サーバと、複数のログイン代行サーバとを含むログイン代行システムであって、ログイン代行サーバは、ログインで求められる情報であるログイン情報を用いてログインを代行する代行部と、代行部によるログインの代行結果を示す情報である代行結果情報を記憶する第1記憶部とを有し、管理サーバは、ログイン情報を記憶する第2記憶部と、ログインの代行が失敗した代行部を有するログイン代行サーバ以外のログイン代行サーバが有する第1記憶部から代行結果情報を取得する取得部と、取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を第2記憶部に記憶されている失敗したログインの代行で用いられたログイン情報に反映する反映部とを有することを特徴とする。 The login agency system according to the present invention is a login agency system including a management server and a plurality of login agency servers, and the login agency server is an agency unit that substitutes for login using login information which is information required for login. And a first storage unit that stores the proxy result information, which is information indicating the proxy result of login by the proxy unit, and the management server has a second storage unit that stores the login information and the login proxy fails. The acquisition unit that acquires the proxy result information from the first storage unit of the login proxy server other than the login proxy server that has the proxy unit, and the content of the proxy result information that satisfies the predetermined conditions among the acquired proxy result information is second. It is characterized by having a reflection unit that is stored in the storage unit and is reflected in the login information used on behalf of the failed login.

本発明によるログイン代行方法は、第2記憶部を有する管理サーバと、複数のログイン代行サーバとを含むログイン代行システムで実行されるログイン代行方法であって、ログイン代行サーバは、ログインで求められる情報であるログイン情報を用いてログインを代行し、ログインの代行結果を示す情報である代行結果情報を第1記憶部に記憶させ、管理サーバは、ログイン情報を第2記憶部に記憶させ、ログインの代行が失敗したログイン代行サーバ以外のログイン代行サーバが有する第1記憶部から代行結果情報を取得し、取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を第2記憶部に記憶されている失敗したログインの代行で用いられたログイン情報に反映することを特徴とする。 The login agency method according to the present invention is a login agency method executed by a login agency system including a management server having a second storage unit and a plurality of login agency servers, and the login agency server is information required for login. The login is performed on behalf of the user using the login information, and the proxy result information, which is information indicating the result of the login proxy, is stored in the first storage unit. The proxy result information is acquired from the first storage unit of the login proxy server other than the login proxy server for which the proxy failed, and the content of the proxy result information satisfying a predetermined condition among the acquired proxy result information is stored in the second storage section. It is characterized in that it is reflected in the login information that is stored and used on behalf of the failed login.

本発明によれば、アプリケーションへのログインの代行で使用される情報をアプリケーションシステムと同期できる。 According to the present invention, the information used on behalf of logging in to the application can be synchronized with the application system.

本発明によるログイン代行システムの第1の実施形態の構成例を示すブロック図である。It is a block diagram which shows the structural example of the 1st Embodiment of the login agency system by this invention. ログイン代行情報データベース210に格納されている利用者アカウント情報の例を示す説明図である。It is explanatory drawing which shows the example of the user account information stored in the login agency information database 210. ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報の例を示す説明図である。It is explanatory drawing which shows the example of the business application screen definition information stored in the login agency information database 210. ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報の例を示す説明図である。It is explanatory drawing which shows the example of the business application account information stored in the login agency information database 210. 業務システムパスワード履歴情報データベース160に格納されている業務システムパスワード履歴情報の例を示す説明図である。It is explanatory drawing which shows the example of the business system password history information stored in the business system password history information database 160. 第1の実施形態のログイン代行システム10によるログイン代行処理の動作を示すフローチャートである。It is a flowchart which shows the operation of the login agency processing by the login agency system 10 of 1st Embodiment. 第1の実施形態のログイン代行システム10によるパスワード同期処理の動作を示すフローチャートである。It is a flowchart which shows the operation of the password synchronization processing by the login agency system 10 of 1st Embodiment. 本発明によるログイン代行システムの概要を示すブロック図である。It is a block diagram which shows the outline of the login agency system by this invention.

実施形態1.
[構成の説明]
以下、本発明の実施形態を、図面を参照して説明する。図1は、本発明によるログイン代行システムの第1の実施形態の構成例を示すブロック図である。 Embodiment 1.
[Description of configuration]
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a configuration example of a first embodiment of the login agency system according to the present invention.

図1に示すように、本実施形態のログイン代行システム10は、ログイン代行サーバ100~ログイン代行サーバ100と、管理サーバ200と、クライアント端末300~クライアント端末300と、業務アプリケーションサーバ400とを含む(Nは2以上の自然数、Mは自然数)。 As shown in FIG. 1, the login agency system 10 of the present embodiment includes a login agency server 100 1 to a login agency server 100 N , a management server 200, a client terminal 300 1 to a client terminal 300 M , and a business application server 400. (N is a natural number of 2 or more, M is a natural number).

ログイン代行サーバ100~ログイン代行サーバ100は、それぞれ異なるクライアント端末に対応している。以下、ログイン代行サーバ100~ログイン代行サーバ100をまとめてログイン代行サーバ100とも記載する。また、クライアント端末300~クライアント端末300をまとめてクライアント端末300とも記載する。 The login agency server 100 1 to the login agency server 100 N correspond to different client terminals. Hereinafter, the login agency server 100 1 to the login agency server 100 N are collectively referred to as the login agency server 100. Further, the client terminal 300 1 to the client terminal 300 M are collectively referred to as a client terminal 300.

図1に示すログイン代行サーバ100は、業務アプリケーションのログイン画面へのIDとパスワードの入力を代行することによって、シングルサインオン技術を実現するサーバである。 The login agency server 100 shown in FIG. 1 is a server that realizes a single sign-on technology by inputting an ID and a password on the login screen of a business application on behalf of the user.

本実施形態のログイン代行サーバ100は、例えば、クライアント端末300において稼働するエージェントソフトウェアに業務アプリケーションへのログインを代行させるサーバである。すなわち、ログイン代行サーバ100の一部がクライアント端末300に配置される。 The login agency server 100 of the present embodiment is, for example, a server that causes the agent software running in the client terminal 300 to log in to the business application on behalf of the agent software. That is, a part of the login agency server 100 is arranged in the client terminal 300.

ログイン代行サーバ100は、各業務アプリケーションとパスワードを示す情報を同期する。また、各業務アプリケーションとの間でパスワードの不一致が生じた場合、ログイン代行サーバ100は、自身が管理するパスワードを補正する。 The login agency server 100 synchronizes the information indicating the password with each business application. Further, when a password mismatch occurs with each business application, the login agency server 100 corrects the password managed by itself.

図1に示すように、ログイン代行サーバ100は、ログイン処理部110と、ログイン画面検知部120と、入力代行部130と、ログイン後画面検知部140と、業務システムパスワード履歴処理部150と、業務システムパスワード履歴情報データベース160とを有する。 As shown in FIG. 1, the login agency server 100 includes a login processing unit 110, a login screen detection unit 120, an input agency unit 130, a post-login screen detection unit 140, a business system password history processing unit 150, and a business. It has a system password history information database 160.

ログイン処理部110は、利用者のログイン代行サーバ100へのログインを許可するか否かを判定する機能を有する。また、ログイン画面検知部120は、業務アプリケーションログイン画面が表示されたことを検知する機能を有する。 The login processing unit 110 has a function of determining whether or not to allow the user to log in to the login agency server 100. Further, the login screen detection unit 120 has a function of detecting that the business application login screen is displayed.

また、入力代行部130は、利用者による業務アプリケーションログイン画面へのログインを代行する機能を有する。ログインを代行するために、入力代行部130は、ログインに求められる情報の業務アプリケーションログイン画面への入力を代行する。 Further, the input agency unit 130 has a function of acting for the user to log in to the business application login screen. In order to perform login on behalf of the user, the input agency unit 130 inputs the information required for login to the business application login screen on behalf of the user.

また、ログイン後画面検知部140は、業務アプリケーションログイン画面が遷移した画面を検知する機能を有する。また、業務システムパスワード履歴処理部150は、ログイン代行の結果を示す情報である業務システムパスワード履歴情報を生成する機能を有する。 Further, the post-login screen detection unit 140 has a function of detecting the screen to which the business application login screen has changed. Further, the business system password history processing unit 150 has a function of generating business system password history information, which is information indicating the result of login agency.

業務システムパスワード履歴処理部150は、生成された業務システムパスワード履歴情報を業務システムパスワード履歴情報データベース160に格納する。業務システムパスワード履歴情報データベース160は、格納された業務システムパスワード履歴情報を暗号化して所定期間保持する機能を有する。 The business system password history processing unit 150 stores the generated business system password history information in the business system password history information database 160. The business system password history information database 160 has a function of encrypting the stored business system password history information and holding it for a predetermined period of time.

業務システムパスワード履歴情報には、ログイン代行対象の業務アプリケーションに対するパスワード変更時またはログイン代行成功時の時刻と、業務アカウントパスワードとが含まれる。 The business system password history information includes the time when the password is changed or the login agent succeeds for the business application to be logged in, and the business account password.

また、図1に示すように、管理サーバ200は、ログイン代行情報データベース210と、認証情報復旧処理部220とを有する。 Further, as shown in FIG. 1, the management server 200 has a login agency information database 210 and an authentication information recovery processing unit 220.

ログイン代行情報データベース210は、利用者のアカウント情報、業務アプリケーションの画面の定義情報、および業務アプリケーションのアカウント情報を保持する機能を有する。保持される各情報は、認証情報復旧処理部220によりログイン代行情報データベース210に格納される。 The login agency information database 210 has a function of holding user account information, business application screen definition information, and business application account information. Each of the retained information is stored in the login agency information database 210 by the authentication information recovery processing unit 220.

認証情報復旧処理部220は、バックアップデータが用いられた復旧が行われた際にパスワードが過去に使用されたパスワードに戻った場合、業務アプリケーションの各アカウント情報に復旧直後の状態であることを記録する。 The authentication information recovery processing unit 220 records in each account information of the business application that it is in the state immediately after recovery when the password is returned to the password used in the past when the recovery using the backup data is performed. do.

また、図1に示すように、クライアント端末300は、ログイン代行サーバログイン画面、業務アプリケーションログイン画面、業務アプリケーションログイン成功画面、および業務アプリケーションログイン失敗画面を表示する。以下、業務アプリケーションログイン画面、業務アプリケーションログイン成功画面、および業務アプリケーションログイン失敗画面を、まとめて業務アプリケーション画面と呼ぶ。 Further, as shown in FIG. 1, the client terminal 300 displays a login agency server login screen, a business application login screen, a business application login success screen, and a business application login failure screen. Hereinafter, the business application login screen, the business application login success screen, and the business application login failure screen are collectively referred to as a business application screen.

Web型アプリケーションの業務アプリケーション画面は、Webブラウザで表示される。また、クライアント/サーバ型アプリケーションの業務アプリケーション画面は、独自のユーザインタフェースで表示される。 The business application screen of the Web-type application is displayed on the Web browser. In addition, the business application screen of the client / server type application is displayed with a unique user interface.

業務アプリケーションサーバ400は、クライアント端末300~クライアント端末300に業務アプリケーション画面の表示に使用される情報を送信する機能を有する。業務アプリケーションサーバ400は、各端末に同じ情報を送信する。 The business application server 400 has a function of transmitting information used for displaying the business application screen to the client terminals 300 1 to 300 M. The business application server 400 transmits the same information to each terminal.

以下、本実施形態のログイン代行システム10の使用例を説明する。利用者は、クライアント端末300においてログイン代行サーバログイン画面を表示する。次いで、利用者は、表示された画面に利用者のIDおよびパスワードを入力して、ログイン代行サーバ100へのログインを要求する。 Hereinafter, an example of using the login agency system 10 of the present embodiment will be described. The user displays the login proxy server login screen on the client terminal 300. Next, the user inputs the user's ID and password on the displayed screen to request login to the login agency server 100.

ログイン代行サーバ100のログイン処理部110は、クライアント端末300から入力された利用者からのログイン要求を受け付ける。次いで、ログイン処理部110は、管理サーバ200のログイン代行情報データベース210に格納されている利用者アカウント情報を参照する。 The login processing unit 110 of the login agency server 100 receives a login request from a user input from the client terminal 300. Next, the login processing unit 110 refers to the user account information stored in the login agency information database 210 of the management server 200.

図2は、ログイン代行情報データベース210に格納されている利用者アカウント情報の例を示す説明図である。図2に示すように、利用者アカウント情報は、利用者IDと、利用者パスワードとで構成されている。 FIG. 2 is an explanatory diagram showing an example of user account information stored in the login agency information database 210. As shown in FIG. 2, the user account information is composed of a user ID and a user password.

ログイン要求に含まれている利用者のIDおよびパスワードがいずれかの利用者アカウント情報の利用者IDおよび利用者パスワードと一致する場合、ログイン処理部110は、利用者のログイン代行サーバ100へのログインを許可する。 When the user ID and password included in the login request match the user ID and user password of any of the user account information, the login processing unit 110 logs in to the user's login agency server 100. Allow.

ログイン要求に含まれている利用者のIDおよびパスワードがいずれの利用者アカウント情報の利用者IDおよび利用者パスワードとも一致しない場合、ログイン処理部110は、利用者のログイン代行サーバ100へのログインを拒否する。 If the user ID and password included in the login request do not match the user ID and user password of any of the user account information, the login processing unit 110 logs in to the user's login agency server 100. Reject.

ログイン代行サーバ100へのログインが許可された利用者は、クライアント端末300において業務アプリケーションログイン画面を表示する。業務アプリケーションログイン画面が表示されると、ログイン代行サーバ100のログイン画面検知部120は、画面が表示されたことを検知する。 A user who is permitted to log in to the login agency server 100 displays a business application login screen on the client terminal 300. When the business application login screen is displayed, the login screen detection unit 120 of the login agency server 100 detects that the screen is displayed.

次いで、ログイン画面検知部120は、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を利用して、どの業務アプリケーション画面が表示されているかを特定する。 Next, the login screen detection unit 120 uses the business application screen definition information stored in the login agency information database 210 to specify which business application screen is displayed.

図3は、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報の例を示す説明図である。図3に示すように、業務アプリケーション画面定義情報は、業務アプリケーションIDと、種別と、業務アプリケーション画面定義とで構成されている。 FIG. 3 is an explanatory diagram showing an example of business application screen definition information stored in the login agency information database 210. As shown in FIG. 3, the business application screen definition information is composed of a business application ID, a type, and a business application screen definition.

業務アプリケーションIDは、業務アプリケーションの識別情報である。また、種別は、表示される画面の種別であり、ログイン画面、ログイン成功画面、またはログイン失敗画面のいずれかを示す。 The business application ID is the identification information of the business application. The type is a type of screen to be displayed, and indicates either a login screen, a login success screen, or a login failure screen.

また、業務アプリケーション画面定義は、業務アプリケーションIDと種別とで特定される業務アプリケーション画面の定義情報である。図3に示すように、業務アプリケーション画面定義には、画面タイトルや、プロセス名が含まれる。 The business application screen definition is definition information of the business application screen specified by the business application ID and the type. As shown in FIG. 3, the business application screen definition includes a screen title and a process name.

ログイン画面検知部120は、ログイン代行サーバ100にログインしている利用者の利用者IDと、特定された業務アプリケーションログイン画面に関する業務アプリケーションIDを入力代行部130に入力する。次いで、入力代行部130は、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報の業務アカウントIDおよび業務アカウントパスワードを取得する。 The login screen detection unit 120 inputs the user ID of the user who is logged in to the login agency server 100 and the business application ID related to the specified business application login screen to the input agent unit 130. Next, the input agency unit 130 acquires the business account ID and the business account password of the business application account information stored in the login agency information database 210.

図4は、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報の例を示す説明図である。図4に示すように、業務アプリケーションアカウント情報は、利用者IDと、業務アプリケーションIDと、業務アカウントIDと、業務アカウントパスワードと、更新日時と、復旧状態とで構成されている。 FIG. 4 is an explanatory diagram showing an example of business application account information stored in the login agency information database 210. As shown in FIG. 4, the business application account information is composed of a user ID, a business application ID, a business account ID, a business account password, an update date and time, and a recovery state.

利用者IDは、利用者アカウント情報の利用者IDである。また、業務アプリケーションIDは、業務アプリケーション画面定義情報の業務アプリケーションIDである。また、業務アカウントIDおよび業務アカウントパスワードは、業務アプリケーションログイン画面に入力される情報である。また、更新日時は、業務アプリケーションアカウント情報が更新された日時を示す情報である。 The user ID is the user ID of the user account information. The business application ID is a business application ID of the business application screen definition information. The business account ID and the business account password are information input to the business application login screen. The update date and time is information indicating the date and time when the business application account information was updated.

また、復旧状態は、業務アプリケーションアカウント情報の状態を示す情報である。復旧状態の「0」は、復旧済の状態であることを意味する。また、復旧状態の「1」は、復旧試行済の状態であることを意味する。また、復旧状態の「2」は、復旧直後の状態であることを意味する。 The recovery status is information indicating the status of the business application account information. A "0" in the restored state means that the restored state has been completed. Further, "1" in the recovery state means that the recovery has been tried. Further, "2" in the restored state means that it is the state immediately after the restoration.

管理サーバ200において障害が発生した場合、システム管理者が、バックアップデータを用いてログイン代行情報データベース210を復旧する。ログイン代行情報データベース210が復旧される際、認証情報復旧処理部220は、ログイン代行情報データベース210に格納されている各業務アプリケーションアカウント情報の復旧状態を、復旧直後であることを意味する「2」に設定する。 When a failure occurs in the management server 200, the system administrator restores the login agency information database 210 using the backup data. When the login agency information database 210 is restored, the authentication information recovery processing unit 220 sets the restoration status of each business application account information stored in the login agency information database 210 to "2", which means that the restoration is immediately after the restoration. Set to.

入力代行部130は、現在ログイン代行サーバ100にログインしている利用者の利用者ID、および表示されている業務アプリケーションログイン画面に関する業務アプリケーションIDをキーとして、業務アカウントIDおよび業務アカウントパスワードを取得する。 The input agency 130 acquires a business account ID and a business account password using the user ID of the user who is currently logged in to the login agency server 100 and the business application ID related to the displayed business application login screen as keys. ..

次いで、入力代行部130は、取得された情報の業務アプリケーションログイン画面への入力を代行する。情報が入力された後、業務アプリケーションログイン画面は、業務アプリケーションログイン成功画面、または業務アプリケーションログイン失敗画面のいずれかに遷移する。 Next, the input agency unit 130 inputs the acquired information to the business application login screen on behalf of the user. After the information is entered, the business application login screen transitions to either the business application login success screen or the business application login failure screen.

ログイン代行サーバ100のログイン後画面検知部140は、画面が遷移したことを検知する。次いで、ログイン後画面検知部140は、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を利用して、ログイン成功画面とログイン失敗画面のどちらが表示されているかを判別する。 After logging in to the login agency server 100, the screen detection unit 140 detects that the screen has changed. Next, the post-login screen detection unit 140 uses the business application screen definition information stored in the login agency information database 210 to determine whether the login success screen or the login failure screen is displayed.

業務アプリケーションログイン成功画面が表示されていると判別された場合、業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報を業務システムパスワード履歴情報データベース160に暗号化して保存する。 When it is determined that the business application login success screen is displayed, the business system password history processing unit 150 encrypts and stores the business system password history information in the business system password history information database 160.

図5は、業務システムパスワード履歴情報データベース160に格納されている業務システムパスワード履歴情報の例を示す説明図である。図5に示すように、業務システムパスワード履歴情報は、利用者IDと、業務アプリケーションIDと、業務アカウントIDと、処理種別と、業務アカウントパスワードと、処理日時とで構成されている。 FIG. 5 is an explanatory diagram showing an example of business system password history information stored in the business system password history information database 160. As shown in FIG. 5, the business system password history information is composed of a user ID, a business application ID, a business account ID, a processing type, a business account password, and a processing date and time.

利用者ID、業務アプリケーションID、業務アカウントID、および業務アカウントパスワードは、それぞれ業務アプリケーションアカウント情報の利用者ID、業務アプリケーションID、業務アカウントID、および業務アカウントパスワードである。 The user ID, business application ID, business account ID, and business account password are the user ID, business application ID, business account ID, and business account password of the business application account information, respectively.

また、処理種別は、ログイン代行の結果の種別であり、認証成功、またはパスワード変更のいずれかを示す。また、処理日時は、ログイン代行が実行された日時を示す情報である。 The processing type is the type of the result of the login agency, and indicates either authentication success or password change. The processing date and time is information indicating the date and time when the login agency was executed.

業務システムパスワード履歴情報データベース160に利用者IDが同一、業務アプリケーションIDが同一、処理種別が同一の業務システムパスワード履歴情報が既に格納されている場合、業務システムパスワード履歴処理部150は、格納されている情報を更新する。 When the business system password history information having the same user ID, the same business application ID, and the same processing type is already stored in the business system password history information database 160, the business system password history processing unit 150 is stored. Update the information you have.

なお上述したように、本実施形態のログイン代行システム10には、複数のクライアント端末が含まれている。よって、利用者IDが同一である業務システムパスワード履歴情報も、複数のログイン代行サーバに分散されて保持されている。 As described above, the login agency system 10 of the present embodiment includes a plurality of client terminals. Therefore, the business system password history information having the same user ID is also distributed and held in a plurality of login agency servers.

業務アプリケーションログイン失敗画面が表示されていると判別された場合、業務システムパスワード履歴処理部150は、ログイン代行情報データベース210に格納されている、ログイン代行に使用された情報を含む業務アプリケーションアカウント情報を参照する。 When it is determined that the business application login failure screen is displayed, the business system password history processing unit 150 inputs the business application account information including the information used for the login proxy stored in the login proxy information database 210. refer.

参照された業務アプリケーションアカウント情報の復旧状態が「2(復旧直後)」である場合、業務システムパスワード履歴処理部150は、認証情報復旧処理部220にログイン代行失敗情報を送信する。送信されるログイン代行失敗情報には、ログイン代行に失敗した際の利用者ID、業務アプリケーションID、業務アカウントID、およびログイン失敗の結果を示す情報が含まれる。 When the recovery status of the referenced business application account information is "2 (immediately after recovery)", the business system password history processing unit 150 transmits the login proxy failure information to the authentication information recovery processing unit 220. The login proxy failure information to be transmitted includes the user ID, the business application ID, the business account ID, and the information indicating the result of the login failure when the login proxy fails.

ログイン代行失敗情報を受信した場合、認証情報復旧処理部220は、クライアント端末300~クライアント端末300に対して稼働する各業務システムパスワード履歴処理部150に、受信されたログイン代行失敗情報を送信する。 When the login agency failure information is received, the authentication information recovery processing unit 220 transmits the received login agency failure information to each business system password history processing unit 150 operating for the client terminal 300 1 to the client terminal 300 M. do.

ログイン代行失敗情報を受信した業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報データベース160に、受信されたログイン代行失敗情報に含まれる利用者ID、業務アプリケーションID、および業務アカウントIDを含む業務システムパスワード履歴情報が格納されているか否かを確認する。 The business system password history processing unit 150 that has received the login agency failure information has the business system password history information database 160 that includes the user ID, the business application ID, and the business account ID included in the received login agency failure information. Check if the system password history information is stored.

該当する業務システムパスワード履歴情報の存在が確認された場合、業務システムパスワード履歴処理部150は、確認された業務システムパスワード履歴情報を認証情報復旧処理部220に送信する。 When the existence of the corresponding business system password history information is confirmed, the business system password history processing unit 150 transmits the confirmed business system password history information to the authentication information recovery processing unit 220.

認証情報復旧処理部220は、各業務システムパスワード履歴処理部150から業務システムパスワード履歴情報を収集する。次いで、認証情報復旧処理部220は、収集された情報のうち処理日時が最新の業務システムパスワード履歴情報に基づいて、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報を更新する。更新する際、認証情報復旧処理部220は、業務アプリケーションアカウント情報の復旧状態を「1(復旧試行済)」に更新する。 The authentication information recovery processing unit 220 collects business system password history information from each business system password history processing unit 150. Next, the authentication information recovery processing unit 220 updates the business application account information stored in the login agency information database 210 based on the business system password history information whose processing date and time is the latest among the collected information. When updating, the authentication information recovery processing unit 220 updates the recovery status of the business application account information to "1 (recovery attempted)".

次いで、認証情報復旧処理部220は、最初にログイン代行失敗情報を送信した業務システムパスワード履歴処理部150に対してログイン代行再試行指示を通知する。認証情報復旧処理部220からログイン代行再試行指示が通知された後、業務システムパスワード履歴処理部150は、入力代行部130に対してログイン代行の再試行を指示する。 Next, the authentication information recovery processing unit 220 notifies the business system password history processing unit 150, which first sent the login proxy failure information, of the login proxy retry instruction. After the authentication information recovery processing unit 220 notifies the login proxy retry instruction, the business system password history processing unit 150 instructs the input proxy unit 130 to retry the login proxy.

入力代行部130は、ログイン代行情報データベース210に格納されている、ログイン代行再試行指示に対応する業務アプリケーションアカウント情報の業務アカウントIDおよび業務アカウントパスワードを取得する。次いで、入力代行部130は、取得された情報を用いて再度業務アプリケーションログイン画面への入力を代行する。 The input agency unit 130 acquires the business account ID and the business account password of the business application account information corresponding to the login agent retry instruction stored in the login agent information database 210. Next, the input agency unit 130 substitutes the input to the business application login screen again using the acquired information.

ログイン代行が成功した場合、ログイン後画面検知部140は、ログイン代行の成功を示す情報を業務システムパスワード履歴処理部150に入力する。次いで、業務システムパスワード履歴処理部150は、認証情報復旧処理部220にログイン代行の成功を示す情報を送信する。 If the login agency is successful, the post-login screen detection unit 140 inputs information indicating the success of the login agency into the business system password history processing unit 150. Next, the business system password history processing unit 150 transmits information indicating the success of the login agency to the authentication information recovery processing unit 220.

ログイン代行の成功を示す情報を受信した後、認証情報復旧処理部220は、ログイン代行情報データベース210に格納されている情報のうち、該当する利用者ID、業務アプリケーションID、および業務アカウントIDを含む業務アプリケーションアカウント情報の復旧状態を「0(復旧済)」に変更する。 After receiving the information indicating the success of the login agency, the authentication information recovery processing unit 220 includes the corresponding user ID, business application ID, and business account ID among the information stored in the login agency information database 210. Change the recovery status of the business application account information to "0 (recovered)".

なお、本実施形態における同期処理のトリガは、クライアント端末300でのログイン代行処理の実行である。しかし、管理サーバ200がバックアップされたデータを用いて復旧処理を行った後、全てのログイン代行サーバ100~ログイン代行サーバ100に対してログイン代行失敗情報に準ずる情報を送信し、送信への応答として業務パスワードシステム履歴情報を受信した後にパスワードの同期処理を実行してもよい。 The trigger of the synchronization process in the present embodiment is the execution of the login proxy process on the client terminal 300. However, after the management server 200 performs the recovery process using the backed up data, the information equivalent to the login agency failure information is transmitted to all the login agency servers 100 1 to the login agency server 100 N , and the transmission is performed. After receiving the business password system history information as a response, the password synchronization process may be executed.

[動作の説明]
以下、本実施形態のログイン代行システム10においてログインが代行される動作を図6を参照して説明する。図6は、第1の実施形態のログイン代行システム10によるログイン代行処理の動作を示すフローチャートである。 [Explanation of operation]
Hereinafter, the operation in which login is performed on behalf of the login agency system 10 of the present embodiment will be described with reference to FIG. FIG. 6 is a flowchart showing the operation of the login agency processing by the login agency system 10 of the first embodiment.

最初に、利用者は、クライアント端末300においてログイン代行サーバログイン画面を表示し、ログイン代行サーバ100へのログインを要求する(ステップS110)。クライアント端末300は、ログイン処理部110にログイン要求を入力する。 First, the user displays the login proxy server login screen on the client terminal 300 and requests login to the login proxy server 100 1 (step S110). The client terminal 300 inputs a login request to the login processing unit 110.

次いで、ログイン処理部110は、ログイン代行情報データベース210に格納されている利用者アカウント情報を参照して、ログインを要求した利用者のログイン代行サーバ100へのログインを許可するか否かを判定する(ステップS120)。ログインが拒否された場合(ステップS130におけるNo)、ログイン代行システム10は、ログイン代行処理を終了する。 Next, the login processing unit 110 refers to the user account information stored in the login agency information database 210, and determines whether or not to allow the user who requested the login to log in to the login agency server 100. (Step S120). If the login is rejected (No in step S130), the login agency system 10 ends the login agency process.

ログインが許可された場合(ステップS130におけるYes)、利用者は、クライアント端末300において業務アプリケーションログイン画面を表示する(ステップS140)。 When login is permitted (Yes in step S130), the user displays the business application login screen on the client terminal 300 (step S140).

次いで、ログイン画面検知部120は、画面が表示されたことを検知し、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を参照して表示されている業務アプリケーション画面を特定する(ステップS150)。ログイン画面検知部120は、特定された業務アプリケーションログイン画面に関する業務アプリケーションIDを入力代行部130に入力する。 Next, the login screen detection unit 120 detects that the screen is displayed, and identifies the displayed business application screen by referring to the business application screen definition information stored in the login agency information database 210 (step). S150). The login screen detection unit 120 inputs the business application ID related to the specified business application login screen to the input agency unit 130.

次いで、入力代行部130は、利用者IDと、入力された業務アプリケーションIDを用いて、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報の業務アカウントIDおよび業務アカウントパスワードを取得する(ステップS160)。 Next, the input agency unit 130 acquires the business account ID and the business account password of the business application account information stored in the login agency information database 210 by using the user ID and the input business application ID (step). S160).

次いで、入力代行部130は、取得された情報の業務アプリケーションログイン画面への入力を代行する(ステップS170)。ログイン後画面検知部140は、入力が代行された後に画面が遷移したことを検知し、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を参照して表示されている業務アプリケーション画面を特定する(ステップS180)。 Next, the input agency unit 130 inputs the acquired information to the business application login screen (step S170). The post-login screen detection unit 140 detects that the screen has changed after the input is performed, and displays the business application screen by referring to the business application screen definition information stored in the login proxy information database 210. Identify (step S180).

業務アプリケーションログイン成功画面が表示されていると特定された場合(ステップS190におけるYes)、業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報を業務システムパスワード履歴情報データベース160に保存する(ステップS200)。保存した後、ログイン代行システム10は、ログイン代行処理を終了する。 When it is specified that the business application login success screen is displayed (Yes in step S190), the business system password history processing unit 150 saves the business system password history information in the business system password history information database 160 (step S200). ). After saving, the login agency system 10 ends the login agency process.

業務アプリケーションログイン失敗画面が表示されていると特定された場合(ステップS190におけるNo)、業務システムパスワード履歴処理部150は、パスワード同期処理を実行する(ステップS210)。パスワード同期処理を実行した後、ログイン代行システム10は、ログイン代行処理を終了する。 When it is specified that the business application login failure screen is displayed (No in step S190), the business system password history processing unit 150 executes the password synchronization process (step S210). After executing the password synchronization process, the login agency system 10 ends the login agency process.

次に、図6に示すログイン代行処理を構成する副処理であるステップS210のパスワード同期処理を図7を参照して説明する。図7は、第1の実施形態のログイン代行システム10によるパスワード同期処理の動作を示すフローチャートである。 Next, the password synchronization process of step S210, which is a sub-process constituting the login agency process shown in FIG. 6, will be described with reference to FIG. 7. FIG. 7 is a flowchart showing the operation of the password synchronization process by the login agency system 10 of the first embodiment.

業務システムパスワード履歴処理部150は、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報に基づいて、認証情報復旧処理部220にログイン代行失敗情報を送信する(ステップS211)。 The business system password history processing unit 150 transmits login agency failure information to the authentication information recovery processing unit 220 based on the business application account information stored in the login agency information database 210 (step S211).

次いで、認証情報復旧処理部220は、他のログイン代行サーバ100~ログイン代行サーバ100の各業務システムパスワード履歴処理部150に、受信されたログイン代行失敗情報を送信する(ステップS212)。 Next, the authentication information recovery processing unit 220 transmits the received login agency failure information to each business system password history processing unit 150 of the other login agency server 100 2 to the login agency server 100 N (step S212).

次いで、各業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報データベース160に格納されている、受信されたログイン代行失敗情報に対応する業務システムパスワード履歴情報を認証情報復旧処理部220に送信する(ステップS213)。 Next, each business system password history processing unit 150 transmits the business system password history information corresponding to the received login agency failure information stored in the business system password history information database 160 to the authentication information recovery processing unit 220. (Step S213).

次いで、認証情報復旧処理部220は、送信された情報のうち処理日時が最新の業務システムパスワード履歴情報に基づいて、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報を更新する(ステップS214)。 Next, the authentication information recovery processing unit 220 updates the business application account information stored in the login agency information database 210 based on the business system password history information whose processing date and time is the latest among the transmitted information (step S214). ).

次いで、認証情報復旧処理部220は、ログイン代行サーバ100の業務システムパスワード履歴処理部150に対してログイン代行再試行指示を通知する(ステップS215)。ログイン代行再試行指示が通知された業務システムパスワード履歴処理部150は、入力代行部130に対してログイン代行の再試行を指示する。 Next, the authentication information recovery processing unit 220 notifies the business system password history processing unit 150 of the login agency server 1001 of the login agency retry instruction (step S215). The business system password history processing unit 150 notified of the login proxy retry instruction instructs the input proxy unit 130 to retry the login proxy.

次いで、入力代行部130は、ログイン代行情報データベース210に格納されている、ログイン代行再試行指示に対応する業務アプリケーションアカウント情報の業務アカウントIDおよび業務アカウントパスワードを取得する(ステップS216)。 Next, the input agency unit 130 acquires the business account ID and the business account password of the business application account information corresponding to the login agent retry instruction stored in the login agent information database 210 (step S216).

次いで、入力代行部130は、取得された情報の業務アプリケーションログイン画面への入力を代行する(ステップS217)。ログイン後画面検知部140は、入力が代行された後に画面が遷移したことを検知し、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を参照して表示されている業務アプリケーション画面を特定する(ステップS218)。 Next, the input agency unit 130 inputs the acquired information to the business application login screen (step S217). The post-login screen detection unit 140 detects that the screen has changed after the input is performed, and displays the business application screen by referring to the business application screen definition information stored in the login proxy information database 210. Identify (step S218).

業務アプリケーションログイン失敗画面が表示されていると特定された場合(ステップS219におけるNo)、業務システムパスワード履歴処理部150は、再度ステップS211の処理を行う。 When it is specified that the business application login failure screen is displayed (No in step S219), the business system password history processing unit 150 performs the process of step S211 again.

業務アプリケーションログイン成功画面が表示されていると特定された場合(ステップS219におけるYes)、ログイン後画面検知部140は、ログイン代行の成功を示す情報を業務システムパスワード履歴処理部150に入力する。 When it is specified that the business application login success screen is displayed (Yes in step S219), the post-login screen detection unit 140 inputs information indicating the success of the login agency into the business system password history processing unit 150.

次いで、業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報を業務システムパスワード履歴情報データベース160に保存する(ステップS220)。次いで、業務システムパスワード履歴処理部150は、認証情報復旧処理部220にログイン代行の成功を示す情報を送信する(ステップS221)。 Next, the business system password history processing unit 150 saves the business system password history information in the business system password history information database 160 (step S220). Next, the business system password history processing unit 150 transmits information indicating the success of the login agency to the authentication information recovery processing unit 220 (step S221).

次いで、認証情報復旧処理部220は、ログイン代行情報データベース210に格納されている該当する業務アプリケーションアカウント情報の復旧状態を「0(復旧済)」に変更する(ステップS222)。変更した後、ログイン代行システム10は、パスワード同期処理を終了する。 Next, the authentication information recovery processing unit 220 changes the recovery status of the corresponding business application account information stored in the login agency information database 210 to "0 (recovered)" (step S222). After the change, the login agency system 10 ends the password synchronization process.

[効果の説明]
本実施形態のログイン代行システム10の利用者が業務アプリケーションを起動した後、ログイン代行サーバ100は、業務アプリケーションへのログインを代行する。ログインの代行が失敗した場合、管理サーバ200で管理されている利用者の業務アプリケーションのアカウント情報が復旧直後の状態であれば、業務システムパスワード履歴処理部150は、ログインに失敗した業務アプリケーションを示す情報を含むログイン代行失敗情報を管理サーバ200に送信する。 [Explanation of effect]
After the user of the login agency system 10 of the present embodiment starts the business application, the login agency server 100 substitutes for login to the business application. If the login proxy fails and the account information of the user's business application managed by the management server 200 is in the state immediately after recovery, the business system password history processing unit 150 indicates the business application that failed to log in. The login agency failure information including the information is transmitted to the management server 200.

ログイン代行失敗情報を受信した場合、管理サーバ200は、各ログイン代行サーバに対して利用者の業務システムパスワード履歴情報の送信を要求する。業務システムパスワード履歴情報の送信要求を受信した各ログイン代行サーバは、利用者の業務システムパスワード履歴情報を保持している場合、保持している情報を管理サーバ200に送信する。 When the login agency failure information is received, the management server 200 requests each login agency server to send the user's business system password history information. When each login agency server that has received the business system password history information transmission request holds the user's business system password history information, it sends the held information to the management server 200.

管理サーバ200は、各ログイン代行サーバから収集された情報のうち、最新の業務システムパスワード履歴情報の内容をログイン代行情報データベース210に格納することによって、不整合を解消する。 The management server 200 resolves the inconsistency by storing the contents of the latest business system password history information among the information collected from each login agency server in the login agency information database 210.

さらに、管理サーバ200は、ログイン代行失敗情報を送信した業務システムパスワード履歴処理部150に対して、復旧試行の完了を通知する。一部がクライアント端末300で稼働するログイン代行失敗情報を送信したログイン代行サーバ100は、業務アプリケーションへのログイン代行を再度試みる。 Further, the management server 200 notifies the business system password history processing unit 150 that has transmitted the login agency failure information of the completion of the recovery attempt. The login agency server 100, which has transmitted the login agency failure information partially running on the client terminal 300, tries to log in to the business application again.

本実施形態のログイン代行サーバ100~ログイン代行サーバ100は、ログイン代行対象の業務アプリケーションに対するパスワード変更時およびログイン代行成功時の時刻および業務アカウントパスワードを含む業務システムパスワード履歴情報を、暗号化して所定期間保持する。 The login agency server 100 1 to the login agency server 100 N of the present embodiment encrypt the business system password history information including the time when the password is changed and the login agent succeeds for the business application to be logged in, and the business account password. Hold for a specified period.

また、本実施形態の管理サーバ200は、バックアップされたデータを用いて復旧を行った際にパスワードが過去に使用されたパスワードに戻った場合、適切なタイミングで各ログイン代行サーバに保持されている業務システムパスワード履歴情報を収集してパスワードの同期を試みる。 Further, the management server 200 of the present embodiment is held in each login agency server at an appropriate timing when the password returns to the password used in the past when recovery is performed using the backed up data. Collect business system password history information and try to synchronize passwords.

ログイン代行方式のシングルサインオンシステム(ログイン代行システム10)に含まれる管理サーバ200側で障害が発生した際、管理サーバ200は、バックアップデータを用いて復旧を行う。復旧が行われた後、ログイン代行に使用されるパスワードが過去に使用されたパスワードに戻ってしまっても、上記の構成の管理サーバ200は、パスワードの再同期を実行できる。 When a failure occurs on the management server 200 side included in the login agency single sign-on system (login agency system 10), the management server 200 recovers using the backup data. Even if the password used for the login agent returns to the password used in the past after the recovery is performed, the management server 200 having the above configuration can execute the password resynchronization.

パスワードの再同期は利用者側の操作を契機に自動的に行われるため、管理者は、パスワードの再同期のために対応を行わなくてもよい。 Since the password resynchronization is automatically performed by the operation on the user side, the administrator does not have to take any action for the password resynchronization.

また、各ログイン代行サーバが業務システムパスワード履歴情報を管理し、自動でパスワードを同期する。よって、本実施形態のログイン代行システム10は、利用者が業務アカウントパスワードを覚えていない場合や、業務アカウントパスワードが利用者に通知されない運用が行われている場合にも対応できる。 In addition, each login agency server manages business system password history information and automatically synchronizes passwords. Therefore, the login agency system 10 of the present embodiment can cope with the case where the user does not remember the business account password or the operation where the business account password is not notified to the user.

また、本実施形態では、ログイン代行サーバ100側のパスワードが復旧されることによってパスワードが同期される。よって、本実施形態のログイン代行システム10は、業務アプリケーション側にパスワードを出力するインタフェースが設けられていない場合にも対応できる。 Further, in the present embodiment, the password is synchronized by recovering the password on the login agency server 100 side. Therefore, the login agency system 10 of the present embodiment can cope with the case where the business application side is not provided with the interface for outputting the password.

また、本実施形態では、ログイン代行サーバ100が業務システムパスワード履歴情報を保持する。よって、本実施形態のログイン代行システム10は、業務アプリケーション側で暗号化されたパスワードが保持されている場合にも対応できる。 Further, in the present embodiment, the login agency server 100 holds the business system password history information. Therefore, the login agency system 10 of the present embodiment can handle the case where the encrypted password is held on the business application side.

本発明は、クライアント端末にエージェントソフトウェアが導入されるログイン代行システムだけでなく、クライアント端末と業務アプリケーションサーバとの間に配置されるリバースプロキシが業務アプリケーションへのログインを代行するログイン代行システムにも好適に適用される。 The present invention is suitable not only for a login agency system in which agent software is installed in a client terminal, but also for a login agency system in which a reverse proxy placed between a client terminal and a business application server acts as a proxy for logging in to a business application. Applies to.

リバースプロキシは、業務アプリケーションサーバとクライアント端末との間で行われる通信を中継する。通信を中継する際、リバースプロキシは、通信の内容を確認することによって業務アプリケーションの画面を検知し、本実施形態のログイン代行処理と同様の処理を行う。 The reverse proxy relays the communication performed between the business application server and the client terminal. When relaying the communication, the reverse proxy detects the screen of the business application by confirming the content of the communication, and performs the same processing as the login agency processing of the present embodiment.

なお、本実施形態のログイン代行サーバ100~ログイン代行サーバ100、管理サーバ200は、例えば、非一時的な記憶媒体に格納されているプログラムに従って処理を実行するCPU(Central Processing Unit)によって実現されてもよい。すなわち、ログイン処理部110、ログイン画面検知部120、入力代行部130、ログイン後画面検知部140、業務システムパスワード履歴処理部150、および認証情報復旧処理部220は、例えば、プログラム制御に従って処理を実行するCPUによって実現されてもよい。 The login agency server 100 1 to the login agency server 100 N and the management server 200 of the present embodiment are realized by, for example, a CPU (Central Processing Unit) that executes processing according to a program stored in a non-temporary storage medium. May be done. That is, the login processing unit 110, the login screen detection unit 120, the input agency unit 130, the post-login screen detection unit 140, the business system password history processing unit 150, and the authentication information recovery processing unit 220 execute processing according to, for example, program control. It may be realized by the CPU.

また、業務システムパスワード履歴情報データベース160、およびログイン代行情報データベース210は、例えばRAM(Random Access Memory) で実現されてもよい。 Further, the business system password history information database 160 and the login agency information database 210 may be realized by, for example, RAM (Random Access Memory).

また、本実施形態のログイン代行サーバ100~ログイン代行サーバ100、管理サーバ200は、ハードウェア回路によって実現されてもよい。一例として、ログイン処理部110、ログイン画面検知部120、入力代行部130、ログイン後画面検知部140、業務システムパスワード履歴処理部150、業務システムパスワード履歴情報データベース160、ログイン代行情報データベース210、および認証情報復旧処理部220が、それぞれLSI(Large Scale Integration)で実現される。また、それらが1つのLSIで実現されていてもよい。 Further, the login agency server 100 1 to the login agency server 100 N and the management server 200 of the present embodiment may be realized by a hardware circuit. As an example, login processing unit 110, login screen detection unit 120, input agency unit 130, post-login screen detection unit 140, business system password history processing unit 150, business system password history information database 160, login agency information database 210, and authentication. Each of the information recovery processing units 220 is realized by LSI (Large Scale Integration). Further, they may be realized by one LSI.

次に、本発明の概要を説明する。図8は、本発明によるログイン代行システムの概要を示すブロック図である。本発明によるログイン代行システム50は、管理サーバ60(例えば、管理サーバ200)と、ログイン代行サーバ70~ログイン代行サーバ70(例えば、ログイン代行サーバ100~ログイン代行サーバ100、Kは2以上の自然数)とを含むログイン代行システムであって、ログイン代行サーバ70~ログイン代行サーバ70は、ログインで求められる情報であるログイン情報(例えば、業務アプリケーションアカウント情報)を用いてログインを代行する代行部71(例えば、入力代行部130)と、代行部71によるログインの代行結果を示す情報である代行結果情報(例えば、業務システムパスワード履歴情報)を記憶する第1記憶部72(例えば、業務システムパスワード履歴情報データベース160)とを有し、管理サーバ60は、ログイン情報を記憶する第2記憶部61(例えば、ログイン代行情報データベース210)と、ログインの代行が失敗した代行部71を有するログイン代行サーバ70以外のログイン代行サーバ70~ログイン代行サーバ70が有する第1記憶部72から代行結果情報を取得する取得部62(例えば、認証情報復旧処理部220)と、取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を第2記憶部61に記憶されている失敗したログインの代行で用いられたログイン情報に反映する反映部63(例えば、認証情報復旧処理部220)とを有する。 Next, the outline of the present invention will be described. FIG. 8 is a block diagram showing an outline of the login agency system according to the present invention. The login agency system 50 according to the present invention includes a management server 60 (for example, a management server 200) and a login agency server 70 1 to a login agency server 70 K (for example, a login agency server 100 1 to a login agency server 100 N , K is 2). It is a login agency system including the above natural numbers), and the login agency server 701 to the login agency server 70K use login information (for example, business application account information), which is information required for login, to perform login on behalf of the user. A first storage unit 72 (for example, business system password history information) that stores the proxy unit 71 (for example, the input proxy unit 130) and the proxy result information (for example, business system password history information) that is information indicating the login proxy result by the proxy unit 71. It has a business system password history information database 160), and the management server 60 has a second storage unit 61 (for example, a login agency information database 210) that stores login information, and a proxy unit 71 that fails to log in. Login agency server 70 A login agency server 70 2 to a login agency server 70 K has an acquisition unit 62 (for example, an authentication information recovery processing unit 220) that acquires agency result information from the first storage unit 72. Reflection unit 63 (for example, authentication information recovery processing) that reflects the content of the proxy result information that satisfies a predetermined condition among the proxy result information in the login information used in the proxy for the failed login stored in the second storage unit 61. It has a part 220) and.

そのような構成により、ログイン代行システムは、アプリケーションへのログインの代行で使用される情報をアプリケーションシステムと同期できる。 With such a configuration, the login agent system can synchronize the information used for login agent to the application with the application system.

また、取得部62は、ログインの代行が失敗した代行部71に所定の条件を満たす代行結果情報の内容が反映されたログイン情報を用いてログインを代行することを指示する情報である指示情報を入力してもよい。 Further, the acquisition unit 62 provides instruction information that is information for instructing the agent unit 71, which has failed to perform the login agent, to perform login on behalf of the agent unit 71 using the login information that reflects the content of the agent result information satisfying a predetermined condition. You may enter it.

そのような構成により、ログイン代行システムは、同期された後の情報を用いて再度ログインを代行できる。 With such a configuration, the login agency system can perform login again using the synchronized information.

また、代行部71は、入力された指示情報に基づいてログインを代行し、ログインの代行が成功したことを示す情報である成功情報を取得部62に入力してもよい。 Further, the proxy unit 71 may perform login on behalf of the user based on the input instruction information, and input success information, which is information indicating that the login proxy has succeeded, into the acquisition unit 62.

そのような構成により、ログイン代行システムは、同期された後の情報が用いられたログインの代行結果を把握できる。 With such a configuration, the login agency system can grasp the login agency result using the information after synchronization.

また、反映部63は、取得部62に入力された成功情報に基づいて所定の条件を満たす代行結果情報の内容が反映されたログイン情報に含まれている試行状態であることを示す情報を削除してもよい。 Further, the reflection unit 63 deletes the information indicating that the login information includes the content of the proxy result information satisfying a predetermined condition based on the success information input to the acquisition unit 62 in the login information. You may.

そのような構成により、ログイン代行システムは、ログインの代行で使用される情報の状態を管理できる。 With such a configuration, the login agency system can manage the state of the information used by the login agency.

また、所定の条件は、最新のログインの代行結果を示す情報であることでもよい。また、所定の条件は、同一の利用者からのログインの要求に対するログインの代行結果を示す情報であることでもよい。 Further, the predetermined condition may be information indicating the latest login proxy result. Further, the predetermined condition may be information indicating a login proxy result for a login request from the same user.

そのような構成により、ログイン代行システムは、より確実にログインの代行で使用される情報をアプリケーションシステムと同期できる。 With such a configuration, the login agency system can more reliably synchronize the information used for the login agency with the application system.

本発明は、統合ID管理、アクセス管理、およびシングルサインオンの各技術分野で好適に利用される。 The present invention is suitably used in the technical fields of integrated ID management, access management, and single sign-on.

10、50 ログイン代行システム
61 第2記憶部
62 取得部
63 反映部
70~70、100、100~100 ログイン代行サーバ
71 代行部
72 第1記憶部
110 ログイン処理部
120 ログイン画面検知部
130 入力代行部
140 ログイン後画面検知部
150 業務システムパスワード履歴処理部
160 業務システムパスワード履歴情報データベース
200、60 管理サーバ
210 ログイン代行情報データベース
220 認証情報復旧処理部
300、300~300 クライアント端末
400 業務アプリケーションサーバ 10, 50 Login agency system 61 Second storage unit 62 Acquisition unit 63 Reflection unit 70 1 to 70 K , 100, 100 1 to 100 N Login agency server 71 Agency unit 72 First storage unit 110 Login processing unit 120 Login screen detection unit 130 Input agency 140 Login agency screen detection unit 150 Business system password history processing unit 160 Business system password history information database 200, 60 Management server 210 Login agency information database 220 Authentication information recovery processing unit 300, 300 1 to 300 M Client terminal 400 Business application server

Claims (10)

管理サーバと、複数のログイン代行サーバとを含むログイン代行システムであって、
前記ログイン代行サーバは、
ログインで求められる情報であるログイン情報を用いてログインを代行する代行部と、
前記代行部によるログインの代行結果を示す情報である代行結果情報を記憶する第1記憶部とを有し、
前記管理サーバは、
前記ログイン情報を記憶する第2記憶部と、
ログインの代行が失敗した代行部を有するログイン代行サーバ以外のログイン代行サーバが有する第1記憶部から代行結果情報を取得する取得部と、
取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を前記第2記憶部に記憶されている失敗したログインの代行で用いられたログイン情報に反映する反映部とを有する
ことを特徴とするログイン代行システム。 A login agency system that includes a management server and multiple login agency servers.
The login agency server is
A proxy department that uses login information, which is the information required for login, to perform login on your behalf,
It has a first storage unit that stores proxy result information, which is information indicating the proxy result of login by the proxy unit.
The management server
A second storage unit that stores the login information,
An acquisition unit that acquires agency result information from the first storage unit of a login agency server other than the login agency server that has a login agency that fails to log in.
Among the acquired proxy result information, it has a reflection unit that reflects the content of the proxy result information that satisfies a predetermined condition in the login information used in the proxy of the failed login stored in the second storage unit. A featured login agency system. 取得部は、ログインの代行が失敗した代行部に所定の条件を満たす代行結果情報の内容が反映されたログイン情報を用いてログインを代行することを指示する情報である指示情報を入力する
請求項1記載のログイン代行システム。 Claims for inputting instruction information that is information instructing the proxy unit to perform login on behalf of the user using login information that reflects the content of the proxy result information satisfying a predetermined condition in the proxy unit in which the login proxy fails. 1 Login agency system described. 代行部は、
入力された指示情報に基づいてログインを代行し、
ログインの代行が成功したことを示す情報である成功情報を取得部に入力する
請求項2記載のログイン代行システム。 The agency department
Login on your behalf based on the entered instruction information
The login agency system according to claim 2, wherein success information, which is information indicating that the login agency has succeeded, is input to the acquisition unit. 反映部は、取得部に入力された成功情報に基づいて所定の条件を満たす代行結果情報の内容が反映されたログイン情報に含まれている試行状態であることを示す情報を削除する
請求項3記載のログイン代行システム。 Claim 3 deletes the information indicating that the login information includes the content of the proxy result information that satisfies a predetermined condition based on the success information input to the acquisition unit and that the login information is in the trial state. The login agency system described. 所定の条件は、最新のログインの代行結果を示す情報であることである
請求項1から請求項4のうちのいずれか1項に記載のログイン代行システム。 The login agency system according to any one of claims 1 to 4, wherein the predetermined condition is information indicating the latest login agency result. 第2記憶部を有する管理サーバと、複数のログイン代行サーバとを含むログイン代行システムで実行されるログイン代行方法であって、
前記ログイン代行サーバは、
ログインで求められる情報であるログイン情報を用いてログインを代行し、
ログインの代行結果を示す情報である代行結果情報を第1記憶部に記憶させ、
前記管理サーバは、
前記ログイン情報を前記第2記憶部に記憶させ、
ログインの代行が失敗したログイン代行サーバ以外のログイン代行サーバが有する第1記憶部から代行結果情報を取得し、
取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を前記第2記憶部に記憶されている失敗したログインの代行で用いられたログイン情報に反映する
ことを特徴とするログイン代行方法。 It is a login agency method executed by a login agency system including a management server having a second storage unit and a plurality of login agency servers.
The login agency server is
Use the login information, which is the information required for login, to log in on your behalf.
The proxy result information, which is the information indicating the login proxy result, is stored in the first storage unit.
The management server
The login information is stored in the second storage unit, and the login information is stored in the second storage unit.
The proxy result information is acquired from the first storage unit of the login proxy server other than the login proxy server that failed to log in.
Of the acquired proxy result information, the content of the proxy result information satisfying a predetermined condition is reflected in the login information used for the failed login proxy stored in the second storage unit. Method. 管理サーバは、ログインの代行が失敗したログイン代行サーバに所定の条件を満たす代行結果情報の内容が反映されたログイン情報を用いてログインを代行することを指示する情報である指示情報を入力する
請求項6記載のログイン代行方法。 The management server inputs instruction information that is information to instruct the login agency server to perform login by using the login information that reflects the contents of the proxy result information that satisfies the predetermined conditions. The login agency method described in Item 6. ログイン代行サーバは、
入力された指示情報に基づいてログインを代行し、
ログインの代行が成功したことを示す情報である成功情報を管理サーバに入力する
請求項7記載のログイン代行方法。 The login agency server is
Login on your behalf based on the entered instruction information
The login agency method according to claim 7, wherein success information, which is information indicating that the login agency has succeeded, is input to the management server. 管理サーバは、入力された成功情報に基づいて所定の条件を満たす代行結果情報の内容が反映されたログイン情報に含まれている試行状態であることを示す情報を削除する
請求項8記載のログイン代行方法。 The login according to claim 8, wherein the management server deletes the information indicating that the trial state is included in the login information that reflects the content of the proxy result information that satisfies a predetermined condition based on the input success information. Proxy method. 所定の条件は、最新のログインの代行結果を示す情報であることである
請求項6から請求項9のうちのいずれか1項に記載のログイン代行方法。 The login agency method according to any one of claims 6 to 9, wherein the predetermined condition is information indicating the latest login agency result.
JP2018056672A 2018-03-23 2018-03-23 Login agency system and login agency method Active JP7031415B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018056672A JP7031415B2 (en) 2018-03-23 2018-03-23 Login agency system and login agency method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018056672A JP7031415B2 (en) 2018-03-23 2018-03-23 Login agency system and login agency method

Publications (2)

Publication Number Publication Date
JP2019168956A JP2019168956A (en) 2019-10-03
JP7031415B2 true JP7031415B2 (en) 2022-03-08

Family

ID=68106814

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018056672A Active JP7031415B2 (en) 2018-03-23 2018-03-23 Login agency system and login agency method

Country Status (1)

Country Link
JP (1) JP7031415B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032611A (en) * 2022-12-28 2023-04-28 北京深盾科技股份有限公司 Login method, system and storage medium of network equipment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297551A (en) 2001-03-30 2002-10-11 Mitsubishi Electric Corp Identification system
JP2006331044A (en) 2005-05-26 2006-12-07 Hitachi Ltd Single sign-on achievement method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297551A (en) 2001-03-30 2002-10-11 Mitsubishi Electric Corp Identification system
JP2006331044A (en) 2005-05-26 2006-12-07 Hitachi Ltd Single sign-on achievement method

Also Published As

Publication number Publication date
JP2019168956A (en) 2019-10-03

Similar Documents

Publication Publication Date Title
CN110493202B (en) Login token generation and verification method and device and server
US7804838B2 (en) Time synchronizing device and process and associated products
US8341249B2 (en) Synchronizing configuration information among multiple clients
JP4779444B2 (en) Single sign-on implementation method
CN111683045B (en) Session information processing method, device, equipment and storage medium
US10263778B1 (en) Synchronizable hardware security module
US20060048214A1 (en) Automated login session extender for use in security analysis systems
JP4467256B2 (en) Proxy authentication program, proxy authentication method, and proxy authentication device
JPH1141230A (en) Method and system for authenticating user
Hine et al. An architecture for distributed OASIS services
US20080046576A1 (en) System and method for detecting unused accounts in a distributed directory service
US10757104B1 (en) System and method for authentication in a computing system
JP2017129935A (en) Server system, and method and program for controlling server system
US9524172B2 (en) Fast start
JP7031415B2 (en) Login agency system and login agency method
US20050289356A1 (en) Process for automated and self-service reconciliation of different loging IDs between networked computer systems
CN115037537A (en) Abnormal traffic interception and abnormal domain name identification method, device, equipment and medium
US11343242B2 (en) Dynamic connection across systems in real-time
US20060031926A1 (en) Method for reduced signon, using password synchronization instead of a credential database and scripts
JP2000172645A (en) Server computer and certificate information managing method for the same
JP6852510B2 (en) Information processing equipment, information processing systems, information processing methods, and programs
JP5193010B2 (en) Report data creation system, report data creation method, computer apparatus, connection management server, and database server
US20180316689A1 (en) System and heuristics for verifying origin of request
CN117156474B (en) Remote intelligent operation and maintenance system and operation and maintenance method thereof
JP2000222264A (en) Device and method for restoring public file and record medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220207

R151 Written notification of patent or utility model registration

Ref document number: 7031415

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151