JP7183908B2 - System operation lock release system, operation lock cooperation agent, server, method, and program - Google Patents
System operation lock release system, operation lock cooperation agent, server, method, and program Download PDFInfo
- Publication number
- JP7183908B2 JP7183908B2 JP2019060549A JP2019060549A JP7183908B2 JP 7183908 B2 JP7183908 B2 JP 7183908B2 JP 2019060549 A JP2019060549 A JP 2019060549A JP 2019060549 A JP2019060549 A JP 2019060549A JP 7183908 B2 JP7183908 B2 JP 7183908B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- operation lock
- cooperation
- information
- target device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Description
本開示は、システム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラムに関する。 The present disclosure relates to a system operation lock release system, operation lock cooperation agent, server, method, and program.
かねてより、IT(Information Technology)におけるシステムは、それぞれにユーザ管理とユーザ認証の仕組みを有している。企業や組織が利用するITシステムは増加の一途を辿り、利用者は、各々のシステムのユーザID(Identifier)とパスワードとを覚え、それぞれに人手で入力しなければ業務ができないという状況にあった。そのような状況を解決する手段として、シングルサインオンという概念がある。シングルサインオンは、例えば、「連携先システムで必要なユーザIDとパスワードとを記憶しておき、認証画面が表示されたら利用者に成り代わって代行入力をする技術」を用いて実現される。あるいは、シングルサインオンは、「システム間でお互いの認証結果を信頼するように設定し、何れかのシステムの認証情報を保持していたら、それを信頼して他のシステムも認証済みとして利用可能とする技術」などで実現される。このような仕組みを利用することで、システムの利用者は、自身が記憶するユーザIDとパスワードとの組を減らすことができる。 Systems in IT (Information Technology) have long had mechanisms for user management and user authentication. The number of IT systems used by companies and organizations has been steadily increasing, and users have to memorize user IDs (Identifiers) and passwords for each system and enter them manually in order to perform their duties. . There is a concept of single sign-on as a means to solve such a situation. Single sign-on is realized by using, for example, "a technique of storing a user ID and password necessary for a linked system and performing substitute input on behalf of the user when an authentication screen is displayed." Alternatively, single sign-on is defined as "setting the system to trust each other's authentication results, and if you have the authentication information of any system, you can trust it and use other systems as authenticated. It is realized by "technology to By using such a mechanism, the user of the system can reduce the number of sets of user IDs and passwords that he/she remembers.
例えば、昨今のOA(office automation)業務においては、情報端末を用いてリモートワークが行われることがある。リモートワークでは、ユーザは、自分の手元にある情報端末へログインし、その後、VPN(Virtual Private Network)接続を用いて安全に会社の業務ネットワークに接続する。ユーザは、更に業務ネットワークに配置された仮想デスクトップ端末にログインし、業務システムに接続して業務を行う。このような環境では、各機器に認証がある。このため、ユーザは、何回もログイン行為をする必要がある。シングルサインオンでは、ユーザが一つの認証情報を入力すると、その後ろの機器へのログインは認証情報の連携により自動的に実施され、ユーザの煩わしさを解消できる。 For example, in recent OA (office automation) work, remote work may be performed using an information terminal. In remote work, a user logs in to an information terminal at hand, and then securely connects to the company's business network using a VPN (Virtual Private Network) connection. Further, the user logs in to a virtual desktop terminal placed on the business network, connects to the business system, and performs business. In such an environment, each device has an authentication. Therefore, the user needs to perform the login action many times. In single sign-on, when a user inputs one piece of authentication information, login to the device behind it is automatically performed by linking the authentication information, thereby eliminating the troublesomeness of the user.
上記した例において、例えば、ユーザは情報端末において顔認証を行い、情報端末にログインする。顔認証システムは、VPN認証に自動的にログインする。VPN装置は、VPC(Virtual Personal Computer)のログイン認証に自動的にログインし、VPCログイン認証は、業務システムログイン認証に自動ログインする。ここでの重要なポイントとして、シングルサインオンは認証情報を連携する仕組みであるので、各々のシステムがユーザ管理やユーザ認証が行っているという事実はこれまでと変らない。各段階において、ログインの仕組みは異なる。このため、それぞれの段階で、独立した方式で認証が行われており、認証情報が引き継がれていくわけではない。 In the above example, for example, the user performs face authentication on the information terminal and logs in to the information terminal. The facial recognition system automatically logs into VPN authentication. The VPN device automatically logs in to the VPC (Virtual Personal Computer) login authentication, and the VPC login authentication automatically logs in to the business system login authentication. The important point here is that single sign-on is a mechanism for linking authentication information, so the fact that each system performs user management and user authentication remains unchanged. At each stage, the login mechanism is different. Therefore, at each stage, authentication is performed by an independent method, and the authentication information is not handed over.
ここで、関連技術として、特許文献1は、端末機器に所定のサービスを提供する情報処理装置を開示する。情報処理装置は、同一の認証情報にて認証される複数の端末機器のうち、認証サーバによって認証された一の端末機器(端末A)の認証情報を受信する。また、情報処理装置は、複数の端末機器のうちの他の端末機器(端末B)の認証において、その端末Bから認証情報を取得する。情報処理装置は、端末Bの認証情報と端末Aの認証情報とに基づいて、端末機器の認証を認証サーバに代行して行う。 Here, as a related technique, Patent Literature 1 discloses an information processing apparatus that provides a predetermined service to a terminal device. The information processing apparatus receives authentication information of one terminal device (terminal A) authenticated by the authentication server, among a plurality of terminal devices authenticated by the same authentication information. Further, the information processing apparatus acquires authentication information from the terminal B in the authentication of another terminal device (terminal B) among the plurality of terminal devices. Based on the authentication information of terminal B and the authentication information of terminal A, the information processing device performs authentication of the terminal device on behalf of the authentication server.
シングルサインオンでは、例えば、顔認証システムを搭載した情報端末に顔認証でログインすることを起点として、認証連携を実現できる。具体的には、顔認証でのログインを起点として、情報端末からVPN装置への接続認証、情報端末からVPNを経由した仮想デスクトップ端末へのログイン認証、及び仮想デスクトップ端末から業務システムへのログイン認証を実現できる。 In single sign-on, for example, authentication cooperation can be realized starting from logging in to an information terminal equipped with a face authentication system by face authentication. Specifically, starting from the login by face authentication, connection authentication from the information terminal to the VPN device, login authentication from the information terminal to the virtual desktop terminal via VPN, and login authentication from the virtual desktop terminal to the business system can be realized.
ここで、複数の機器がそれぞれに認証機構を有している場合、それぞれの機器は、時間経過に伴って再認証を促す機構(操作ロック機構又は操作タイムアウト機構)を有している場合がある。一度の顔認証で業務システムまでシングルサインオンできるように構成された環境では、各機器の操作ロックの解除も、顔認証で行いたいというニーズがあると考えられる。しかしながら、前述した通り、各々の認証方式は独立しており、認証情報は引き継がれてはいない。このため、何れかの機器で操作ロックが掛かかった場合、顔認証はその機器が期待する認証方式とは異なるため操作ロックを解除できない。 Here, when a plurality of devices each have an authentication mechanism, each device may have a mechanism (operation lock mechanism or operation timeout mechanism) that prompts re-authentication over time. . In an environment configured to enable single sign-on to a business system with a single facial recognition, it is thought that there is a need to unlock the operation lock of each device by facial recognition. However, as described above, each authentication method is independent, and authentication information is not handed over. Therefore, when the operation lock is applied to any device, the operation lock cannot be released because the face authentication is different from the authentication method expected by the device.
例えば、VPN装置、仮想デスクトップ端末、及び業務システムにおいて、長時間無操作であると、操作ロック又は接続タイムアウトが発生する。VPN装置、仮想デスクトップ端末、及び業務システムにおいて、操作ロック又は接続タイムアウトを解除するためには、各機器に応じたユーザID及びパスワードを入力する必要がある。しかしながら、ユーザは、顔認証を通じてこれら機器にログインしている。このため、ユーザは、各機器の操作ロック解除用のユーザID及びパスワードを知らない場合がある。その場合、ユーザは、操作ロックを解除することができない。 For example, in VPN devices, virtual desktop terminals, and business systems, if there is no operation for a long time, an operation lock or connection timeout occurs. In VPN devices, virtual desktop terminals, and business systems, it is necessary to enter a user ID and password corresponding to each device in order to release the operation lock or connection timeout. However, users are logging into these devices through facial recognition. Therefore, the user may not know the user ID and password for releasing the operation lock of each device. In that case, the user cannot release the operation lock.
上記問題への対処として、顔認証の部分のみ操作ロックを掛け、それ以降の機器では再認証を要求しない(操作ロックをかけない)ようにすることが考えられる。しかし、その場合、例えば別の情報端末からログインした場合、後段の機器は再認証なしで利用できる。このため、セキュリティ面で危険性がある。特許文献1は、単に端末Bの代行認証を行うだけであり、操作ロックが発生した場合の操作ロック解除に対する解決手段を何ら提供しない。 As a countermeasure to the above problem, it is conceivable to lock the operation only for the face authentication portion and not to request re-authentication (lock the operation) on the subsequent devices. However, in that case, for example, when logging in from another information terminal, the subsequent device can be used without re-authentication. This poses a security risk. Patent Document 1 simply performs proxy authentication for terminal B, and does not provide any means for unlocking the operation lock when the operation lock occurs.
本開示は、上記事情に鑑み、機器のセキュリティを維持しつつユーザの利便性を向上させることができるシングルサインオンシステムと連携したシステム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラムを提供することを目的とする。 In view of the above circumstances, the present disclosure provides a system operation unlocking system, an operation lock cooperation agent, a server, a method, and a program that cooperate with a single sign-on system that can improve user convenience while maintaining device security. intended to provide
上記目的を達成するために、本開示は、第1の態様として、認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器と、前記複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを検知する検知手段と、前記複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が前記要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントと、前記操作ロック連携エージェントから前記操作ロック情報を受信し、前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合した連携データを生成し、該連携データを前記操作ロック連携エージェントに送信する操作ロック連携サーバとを備え、前記操作ロック連携エージェントは、前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を前記操作ロック連携サーバに送信し、前記操作ロック連携エージェントは、前記検知手段が要認証状態を検知した場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を前記操作ロック連携サーバに送信し、前記操作ロック連携サーバは、前記要認証状態である旨を示す操作ロック情報を含む連携データを生成して前記操作ロック連携エージェントに送信し、前記初段の認証対象機器に対応する操作ロック連携エージェントは前記認証手段に認証の実施を促し、前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるシステム操作ロック解除システムを提供する。 In order to achieve the above object, the present disclosure provides, as a first aspect, a device to be authenticated in the first stage that is authenticated using authentication means, and a device that is authenticated by single sign-on using the authentication result of the authentication means. A plurality of authentication target devices including the authentication target device described in the latter part, and whether or not each authentication target device is in an authentication required state, which is a state in which authentication is required, which is arranged corresponding to each of the plurality of authentication target devices authentication required state information arranged corresponding to each of the plurality of authentication target devices and indicating whether each authentication target device is in the authentication required state; and in each authentication target device an operation lock cooperation agent that generates operation lock information including an authentication result; and the operation lock information that is received from the operation lock cooperation agent and that is received from the operation lock cooperation agent corresponding to each of the plurality of authentication target devices. an operation lock cooperation server that generates cooperation data by combining operation lock information and transmits the cooperation data to the operation lock cooperation agent, and the operation lock cooperation agent authenticates the authentication target device in the single sign-on. is performed, operation lock information including an authentication result indicating successful authentication is transmitted to the operation lock cooperation server, and the operation lock cooperation agent detects that the authentication target device is Operation lock information including authentication required state information indicating the authentication required state is transmitted to the operation lock cooperation server, and the operation lock cooperation server cooperates including the operation lock information indicating the authentication required state. When data is generated and transmitted to the operation lock cooperation agent, and the operation lock cooperation agent corresponding to the first-stage authentication target device prompts the authentication means to perform authentication, and the authentication in the authentication means is performed normally. and a system operation unlocking system in which authentication of an authentication target device in which the authentication required state is detected is performed using the single sign-on mechanism.
本開示は、第2の態様として、認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成する操作ロック情報生成手段と、前記操作ロック情報を、前記複数の認証対象機器についての前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信する操作ロック情報送信手段と、前記操作ロック連携サーバから前記連携データを受信する連携データ受信手段と、前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促す認証要求手段とを備え、前記操作ロック情報生成手段は、前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報を生成し、前記操作ロック情報生成手段は、前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を生成し、前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データの受信後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証を実施させる操作ロック連携エージェントを提供する。 As a second aspect, the present disclosure includes a first stage authentication target device authenticated using an authentication means, and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result in the authentication means. authentication required state information indicating whether or not the authentication target device to be monitored is in an authentication required state in which authentication is required; an operation lock information generating means for generating operation lock information including the result of authentication in the authentication target device; operation lock information transmitting means for transmitting to an operation lock cooperation server generating cooperation data combining lock information; cooperation data receiving means for receiving the cooperation data from the operation lock cooperation server; and the authentication required state for the cooperation data. and when the authentication target device to be monitored is the first-stage authentication target device, authentication prompting the authentication means to perform authentication requesting means, wherein the operation lock information generating means generates operation lock information including a result of the authentication when the authentication target device to be monitored is authenticated, and the operation lock information generating means generating operation lock information including authentication required state information indicating that the authentication target device to be monitored is in the authentication required state when the authentication required state is detected in the authentication target device to be monitored; After receiving the cooperation data containing the operation lock information including the authentication required state information indicating the authentication state, when the authentication is normally performed by the authentication means, the single sign-on mechanism is used to perform the authentication. To provide an operation lock cooperation agent that performs authentication of an authentication target device in which an authentication required state is detected.
本開示は、第3の態様として、認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントから前記操作ロック情報を受信する操作ロック情報受信手段と、前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合して連携データを生成する連携データ生成手段と、前記連携データを前記操作ロック連携エージェントに送信する連携データ送信手段とを備え、前記操作ロック情報受信手段は、前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を前記操作ロック連携エージェントから受信し、前記操作ロック情報受信手段は、各認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を前記操作ロック連携エージェントから受信し、前記連携データ送信手段は、前記要認証状態である旨を示す操作ロック情報を含む連携データを前記操作ロック連携エージェントに送信し、前記認証手段は、前記初段の認証対象機器に対応する操作ロック連携エージェントから認証の実施が促され、前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携サーバを提供する。 As a third aspect, the present disclosure includes a first-stage authentication target device authenticated using an authentication means, and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means. authentication required state information indicating whether or not each authentication target device is in an authentication required state, which is a state requiring authentication, and the authentication result for each authentication target device and the operation lock information received from the operation lock cooperation agent corresponding to each of the plurality of authentication target devices. and a cooperation data transmission means for transmitting the cooperation data to the operation lock cooperation agent, wherein the operation lock information reception means receives the authentication When the target device is authenticated, operation lock information including an authentication result indicating authentication success is received from the operation lock cooperation agent, and the operation lock information receiving means detects the authentication required state in each authentication target device. When the authentication target device is in the authentication required state, the operation lock information including the authentication required state information indicating that the authentication target device is in the authentication required state is received from the operation lock cooperation agent, and the cooperation data transmission means receives the authentication required state. is transmitted to the operation lock cooperation agent, and the authentication means is prompted to perform authentication by the operation lock cooperation agent corresponding to the first-stage authentication target device, and authentication in the authentication means is performed. is performed normally, the single sign-on mechanism is used to authenticate the authentication target device for which the authentication required state has been detected.
本開示は、第4の態様として、認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成し、前記操作ロック情報を、前記複数の認証対象機器についての前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信し、前記操作ロック連携サーバから前記連携データを受信し、前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促すことを有し、前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報が生成され、前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が生成され、前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データが受信された後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携方法を提供する。 As a fourth aspect, the present disclosure includes a first-stage authentication target device that is authenticated using authentication means, and one or more subsequent authentication target devices that are authenticated by single sign-on using the authentication result of the authentication means. authentication required state information indicating whether or not the authentication target device to be monitored is in an authentication required state in which authentication is required; generating operation lock information including the authentication result of the authentication target device, receiving the operation lock information about the plurality of authentication target devices, and combining the received operation lock information Sending data to an operation lock cooperation server that generates data, receiving the cooperation data from the operation lock cooperation server, and including operation lock information including authentication required state information indicating that the authentication is required in the cooperation data and when the authentication target device to be monitored is the authentication target device of the first stage, the authentication means is urged to perform authentication, and the authentication target device to be monitored is authenticated. In this case, operation lock information including the result of the authentication is generated, and indicates that the authentication target device to be monitored is in the authentication required state when the authentication required state is detected in the authentication target device to be monitored. After the operation lock information including the authentication required state information is generated and the cooperation data including the operation lock information including the authentication required state information indicating that the authentication is required is received, the authentication means performs normal authentication. provided is an operation lock cooperation method for performing authentication of an authentication target device in which the authentication required state is detected, using the single sign-on mechanism.
本開示は、第5の態様として、認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成し、前記操作ロック情報を、前記複数の認証対象機器について前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信し、前記操作ロック連携サーバから前記連携データを受信し、前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促す処理をコンピュータに実行させるためのプログラムであり、前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報が生成され、前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が生成され、前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データが受信された後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるプログラムを提供する。 As a fifth aspect, the present disclosure includes a first-stage authentication target device authenticated using authentication means, and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means. authentication required state information indicating whether or not the authentication target device to be monitored is in an authentication required state in which authentication is required; generating operation lock information including the result of authentication in the authentication target device, receiving the operation lock information for the plurality of authentication target devices, and combining the received operation lock information is sent to the operation lock cooperation server that generates the operation lock cooperation server, the cooperation data is received from the operation lock cooperation server, and the operation lock information including the authentication required state information indicating that the authentication is required is included in the cooperation data and when the authentication target device to be monitored is the authentication target device of the first stage, the program causes a computer to execute a process for prompting the authentication means to perform authentication, wherein the authentication target device to be monitored is is performed, operation lock information including the result of the authentication is generated, and when the authentication-required state is detected in the authentication-required device to be monitored, the authentication-required device to be monitored is the authentication-required device. After the operation lock information including the authentication required state information indicating the authentication required state is generated and the linked data including the operation lock information including the authentication required state information indicating the authentication required state is received, the Provided is a program for performing authentication of an authentication target device in which the authentication required state is detected by using the single sign-on mechanism when authentication is normally performed by the authentication means.
本開示に係るシステム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラムは、機器のセキュリティを維持しつつユーザの利便性を向上させることができる。 The system operation lock release system, operation lock cooperation agent, server, method, and program according to the present disclosure can improve user convenience while maintaining device security.
本開示の実施の形態の説明に先立って、本開示の概要を説明する。図1は、本開示の例示的なシステム操作ロック解除システムを示す。システム操作ロック解除システム10は、複数の認証対象機器20、複数の検知手段30、複数の操作ロック連携エージェント40、及び操作ロック連携サーバ50を有する。認証対象機器20は、認証手段21を有する初段の認証対象機器と、認証手段21における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む。
An outline of the present disclosure will be described prior to description of the embodiments of the present disclosure. FIG. 1 illustrates an exemplary system-operated unlocking system of the present disclosure. The system operation
検知手段30は、複数の認証対象機器20に対応して配置され、各認証対象機器20が認証が必要な状態(要認証状態)であるか否かを検知する。操作ロック連携エージェント40は、各認証対象機器20が要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器20における認証結果を含む操作ロック情報を生成する。操作ロック連携エージェント40は、シングルサインオンにおいて認証対象機器20の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を生成する。操作ロック連携エージェント40は、検知手段30が要認証状態を検知した場合、認証対象機器20が要認証状態である旨を示す要認証状態情報を含む操作ロック情報を生成する。操作ロック連携エージェント40は、操作ロック情報を操作ロック連携サーバ50に送信する。
The
操作ロック連携サーバ50は、操作ロック連携エージェント40から操作ロック情報を受信する。操作ロック連携サーバ50は、複数の認証対象機器20のそれぞれに対応する操作ロック連携エージェント40から受信した操作ロック情報を結合した連携データを生成する。操作ロック連携サーバ50は、連携データを操作ロック連携エージェント40に送信する。操作ロック連携サーバ50は、何れかの操作ロック連携エージェント40から要認証状態を示す要認証状態情報を含む操作ロック情報を受信した場合、その操作ロック情報を含む連携データを、操作ロック連携エージェント40に送信する。
The operation
初段の認証対象機器20に対応する操作ロック連携エージェント40は、要認証状態を示す要認証状態情報を含む操作ロック情報が含まれる連携データを受信した場合、認証手段21に認証の実施を促す。認証手段21における認証が正常に行われた場合、シングルサインオンの仕組みを用いて、要認証状態が検知された認証対象機器20の認証が実施される。
The operation
ここで、認証対象機器20は、例えば無操作状態が続いた場合、及び/又は接続タイムアウトが発生した場合、操作ロックが掛かり、再度の認証が必要な状態となる。本実施形態では、認証手段21を用いて認証される初段の認証対象機器の後段にある認証対象機器20が認証を必要とする場合、その認証対象機器の認証を、認証手段21での認証結果を用いて実施することができる。このようにすることで、ユーザは、後段の認証対象機器20の認証に用いられるパスワードなどを知らなくても、認証手段21における認証により、認証対象機器20の認証を実施できる。このため、ユーザは、安全に後段の認証対象機器を使用することができ、セキュリティを維持しつつ、ユーザの利便性を向上できる。
Here, for example, if the
以下、図面を参照しつつ、本開示の実施の形態を詳細に説明する。図2は、本開示の一実施形態に係るシステム操作ロック解除システム及びシングルサインオンシステムを示す。システム操作ロック解除システムは、シングルサインオンシステムに連携して動作する。システム操作ロック解除システム100は、操作ロック連携サーバ101、及びそれぞれが操作ロック連携エージェント含む複数の装置又はシステムを有する。図2の例では、操作ロック連携エージェント含む複数の装置又はシステムとして、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500が示されている。
Hereinafter, embodiments of the present disclosure will be described in detail with reference to the drawings. FIG. 2 illustrates a system operation unlock system and single sign-on system according to one embodiment of the present disclosure. System Operation The unlocking system works in conjunction with the single sign-on system. The system operation
情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500において、操作ロック連携エージェントは、利用に際して認証を必要とする機器又はシステムを監視する。操作ロック連携サーバ101と、各機器又はシステムの操作ロック連携エージェントとは通信可能に接続される。操作ロック連携サーバ101は、図1の操作ロック連携サーバ50に対応する。情報端末200、仮想デスクトップ端末400、業務システム500、及び、VPN装置600は、図1の認証対象機器20に対応する。
In the
情報端末200は、顔認証システム201、VPNクライアント202、操作ロック連携エージェント203、MAC(Media Access Control)アドレス取得部204、IP(Internet Protocol)アドレス取得部205、操作ロック検知部206、及びローカルストレージ207を有する。顔認証システム201は、図1の認証手段21に対応する。操作ロック連携エージェント203は、図1の操作ロック連携エージェント40に対応する。操作ロック検知部206は、図1の検知手段30に対応する。
The
VPN装置600は、VPN認証部601を有する。操作ロック連携エージェント装置300は、VPN装置600を監視する。操作ロック連携エージェント装置300は、例えばVPN装置600のミラーポートに接続し、VPN装置600を監視する。操作ロック連携エージェント装置300は、操作ロック連携エージェント301、IPアドレス取得部302、タイムアウト検知部303、及びローカルストレージ304を有する。操作ロック連携エージェント301は、図1の操作ロック連携エージェント40に対応する。タイムアウト検知部303は、図1の検知手段30に対応する。なお、操作ロック連携エージェント装置300は、VPN装置600の一部であってもよい。
仮想デスクトップ端末400は、ログイン認証部401、業務システムクライアント402、操作ロック連携エージェント403、IPアドレス取得部404、操作ロック検知部405、及びローカルストレージ406を有する。操作ロック連携エージェント403は、図1の操作ロック連携エージェント40に対応する。操作ロック検知部405は、図1の検知手段30に対応する。業務システム500は、ログイン認証部501、操作ロック連携エージェント502、IPアドレス取得部503、タイムアウト検知部504、及びローカルストレージ505を有する。操作ロック連携エージェント502は、図1の操作ロック連携エージェント40に対応する。タイムアウト検知部504は、図1の検知手段30に対応する。
The
システム操作ロック解除システム100において、シングルサインオンは、例えば下記のように構成されている。情報端末200の顔認証システム201は、情報端末200に接続された、又は情報端末200に内蔵されるカメラ208を用いて、ユーザを顔認証する。ユーザは、顔認証システム201を用いて、情報端末200に顔認証でログインする。ユーザのログイン後、情報端末200は、VPNクライアント(ソフトウェア)202を起動する。VPNクライアント202は、VPN接続のためのユーザID及びパスワードを記憶している。VPNクライアント202は、情報端末200へログインしたユーザに応じたユーザID及びパスワードをVPN装置600に送信する。
In the system operation
VPN装置600のVPN認証部601は、VPNクライアント202から送信されたユーザID及びパスワードを用いて認証を行う。VPN装置600へのログインが正常に行われた場合、VPNクライアント202は、情報端末200とVPN装置600との間の通信をVPN化する。
A
その後、ユーザは、図示しない仮想デスクトップ端末接続ソフトウェアを起動し、情報端末200から仮想デスクトップ端末400に接続する。仮想デスクトップ端末接続ソフトウェアは、仮想デスクトップ接続のためのユーザID及びパスワードを記憶している。仮想デスクトップ端末接続ソフトウェアは、VPN装置600にログインしたユーザに応じたユーザID及びパスワードを仮想デスクトップ端末400に送信する。仮想デスクトップ端末400のログイン認証部401は、仮想デスクトップ端末接続ソフトウェアから送信されたユーザID及びパスワードを用いて認証を行う。
After that, the user activates virtual desktop terminal connection software (not shown) and connects from the
ユーザは、仮想デスクトップ端末400へのログイン後、仮想デスクトップ端末400上の業務システムクライアント402から業務システム500に接続し、業務を開始する。仮想デスクトップ端末400は、業務システム500を利用するためのユーザID及びパスワードを記憶している。仮想デスクトップ端末400は、ログインしたユーザに応じたユーザID及びパスワードを業務システム500に送信する。業務システム500のログイン認証部501は、仮想デスクトップ端末400から受信したユーザID及びパスワードを用いて認証を行う。情報端末200における顔認証システム201及びVPNクライアント202、並びにVPN装置600におけるVPN認証部601には、既存のものを用いることができる。また、仮想デスクトップ端末におけるログイン認証部401及び業務システムクライアント402、並びに業務システム500におけるログイン認証部501にも、既存のものを用いることができる。
After logging in to the
なお、上記したシングルサインオンの構成は、一例であり、本開示は、上記以外のシングルサインオン構成においても利用可能である。例えば、シングルサインオン構成は、各機器やシステムにログインするためのユーザID及びパスワードを保持するID管理サーバを有していてもよい。ID管理サーバは、シングルサインオン対象機器又はシステムへのアクセスが発生した場合、ユーザID及びパスワードを対象機器又はシステムに供給し、自動ログインを実現する。本開示は、別のID管理サーバが用いられる構成にも、適用可能である。 Note that the single sign-on configuration described above is merely an example, and the present disclosure can also be used in single sign-on configurations other than the above. For example, a single sign-on configuration may have an ID management server that holds user IDs and passwords for logging into each device or system. When a single sign-on target device or system is accessed, the ID management server supplies a user ID and password to the target device or system to realize automatic login. The present disclosure can also be applied to a configuration in which another ID management server is used.
図3は、操作ロック連携エージェントの構成例を示す。操作ロック連携エージェント150は、操作ロック情報生成手段151、操作ロック情報送信手段152、連携データ受信手段153、及び認証要求手段154を有する。操作ロック連携エージェント150は、図2の操作ロック連携エージェント203、301、403、及び502として用いられる。
FIG. 3 shows a configuration example of an operation lock cooperation agent. The operation
操作ロック情報生成手段151は、監視対象の機器又はシステムが要認証状態であるか否かを示す要認証状態情報、及び監視対象の機器又はシステムにおける認証の結果を含む操作ロック情報を生成する。操作ロック情報生成手段151は、認証が実施された場合、その結果を含む操作ロック情報を生成する。操作ロック情報生成手段151は、監視対象の認証対象機器において要認証状態が検知された場合、監視対象の認証対象機器が要認証状態である旨を示す要認証状態情報を含む操作ロック情報を生成する。操作ロック情報送信手段152は、操作ロック情報を、操作ロック連携サーバ101(図2を参照)に送信する。 The operation lock information generating means 151 generates authentication required state information indicating whether or not the device or system to be monitored is in an authentication required state, and operation lock information including the result of authentication in the device or system to be monitored. The operation lock information generating means 151 generates operation lock information including the result of the authentication when the authentication is performed. The operation lock information generating means 151 generates operation lock information including authentication required state information indicating that the authentication target device to be monitored is in the authentication required state when the authentication target device to be monitored is in the authentication required state. do. The operation lock information transmitting means 152 transmits the operation lock information to the operation lock cooperation server 101 (see FIG. 2).
操作ロック連携サーバ101は、シングルサインオンで認証される複数の機器又はシステムについての操作ロック情報を受信し、受信した操作ロック情報を結合した連携データ(操作ロック情報連携データ)を生成する。連携データ受信手段153は、操作ロック連携サーバ101から連携データを受信する。認証要求手段154は、連携データに、要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ監視対象機器が情報端末200である場合、顔認証システム201に顔認証の実施を促す。何れかの監視対象の認証対象機器において要認証状態が検知された後、顔認証が正常に行われた場合、シングルサインオンの仕組みを用いて、要認証状態が検知された認証対象機器の認証が実施される。
The operation
以下、個々の認証対象機器における動作を説明する。情報端末200において、操作ロック検知部206は、情報端末200へのユーザログイン(認証実行)を検知する。操作ロック検知部206は、ユーザログインを操作ロック連携エージェント203に通知する。MACアドレス取得部204は、情報端末200のMACアドレスを取得する。IPアドレス取得部205は、情報端末200のIPアドレスを取得する。操作ロック連携エージェント203は、MACアドレス取得部204からMACアドレスを取得し、IPアドレス取得部205からIPアドレスを取得する。操作ロック連携エージェント203は、情報端末200のMACアドレス及びIPアドレスを含む情報端末に関する操作ロック情報(情報端末操作ロック情報)を生成する。
The operation of each device to be authenticated will be described below. In
図4は、情報端末操作ロック情報の一例を示す。情報端末操作ロック情報は、情報端末のMACアドレス、情報端末のIPアドレス、ログインユーザID、認証結果、操作ロック状態、更新時刻、発行ID、及びチェーンオーダーを含む。操作ロック連携エージェントは、「MACアドレス」に、MACアドレス取得部204から取得したMACアドレスを格納する。また、操作ロック連携エージェント203は、「IPアドレス」に、IPアドレス取得部205から取得したIPアドレスを格納する。
FIG. 4 shows an example of information terminal operation lock information. The information terminal operation lock information includes the MAC address of the information terminal, the IP address of the information terminal, the login user ID, the authentication result, the operation lock state, the update time, the issue ID, and the chain order. The operation lock cooperation agent stores the MAC address obtained from the MAC
操作ロック連携エージェント203は、「ログインユーザID」に、情報端末200にログインしているユーザのIDを格納する。操作ロック連携エージェント203は、例えば顔認証システム201からユーザのIDを取得できる。操作ロック連携エージェント203は、「認証結果」に、顔認証ログインの結果を格納する。操作ロック連携エージェント203は、ユーザが情報端末200にログインできた場合は、“成功”を示す値を、「認証結果」に格納する。
The operation
操作ロック連携エージェント203は、「操作ロック状態」に、情報端末200が操作ロック状態であるか否かを示す値を格納する。操作ロック連携エージェント203は、「更新時刻」に、情報端末操作ロック情報を生成した時刻、又は更新した時刻を格納する。操作ロック連携エージェント203は、「発行ID」に、情報端末操作ロック情報を識別するためのIDを格納する。操作ロック連携エージェント203は、例えば情報端末操作ロック情報に対してUUID(Universally Unique Identifier)を生成し、その値を「発行ID」に格納する。操作ロック連携エージェント203は、「チェーンオーダー」は空値とする。「チェーンオーダー」には、後述するように操作ロック連携サーバ101が生成する値が格納される。
The operation
操作ロック連携エージェント203は、生成した操作ロック情報を、操作ロック連携サーバ101に送信する。また、操作ロック連携エージェント203は、生成した操作ロック情報を、ローカルストレージ207に記憶する。
The operation
情報端末200は、無操作の状態が所定時間継続した場合、操作ロック状態に移行する。ユーザは、情報端末200が操作ロック状態に移行した場合、認証を再度実施しなければ、情報端末200を使用することができない。操作ロック検知部206は、情報端末200が操作ロック状態へ移行した場合、操作ロック状態を検知する。操作ロック連携エージェント203は、上記と同様な動作で、操作ロック情報を生成する。このとき、操作ロック連携エージェント203は、「操作ロック状態」に、操作ロック状態である旨を示す値を格納する。また、操作ロック連携エージェント203は、「更新時刻」を更新する。操作ロック連携エージェント203は、生成した操作ロック情報を操作ロック連携サーバ101に送信する。
The
情報端末200へのログイン後、ユーザは、情報端末200にてVPNクライアント202を起動し、情報端末200とVPN装置600との間の通信をVPN化する。VPNクライアント202は、VPN認証部601にユーザIDとパスワードとを送信し、VPN装置600にログインする。操作ロック連携エージェント装置300のタイムアウト検知部303は、VPN装置600へのユーザログイン(認証実行)を検知する。タイムアウト検知部303は、ユーザログインを検知すると、その旨を操作ロック連携エージェント301に通知する。
After logging in to the
IPアドレス取得部302は、VPN装置600が情報端末200に払い出したIPアドレスと、情報端末200のIPアドレスとを取得する。操作ロック連携エージェント301は、IPアドレス取得部302から、情報端末200に払い出されたIPアドレスと、情報端末200のIPアドレスとを取得する。操作ロック連携エージェント301は、情報端末200に払い出されたIPアドレスと、情報端末200のIPアドレスとを含むVPNに関する操作ロック情報(VPN操作ロック情報)を生成する。
IP
図5は、VPN操作ロック情報の一例を示す。VPN操作ロック情報は、接続元MACアドレス、接続元IPアドレス、VPN払出IPアドレス、認証結果、タイムアウト状態、更新時刻、発行ID、及びチェーンオーダーを含む。操作ロック連携エージェント301は、「接続元IPアドレス」及び「VPN払出IPアドレス」に、IPアドレス取得部302から取得したIPアドレスを格納する。
FIG. 5 shows an example of VPN operation lock information. The VPN operation lock information includes connection source MAC address, connection source IP address, VPN issue IP address, authentication result, timeout status, update time, issue ID, and chain order. The operation
操作ロック連携エージェント301は、「認証結果」に、VPN接続確立の結果を格納する。操作ロック連携エージェント301は、VPN認証部601における認証が正常に行われた場合は、「認証結果」に“成功”を示す値を格納する。操作ロック連携エージェント301は、「タイムアウト状態」に、確立されたVPN接続がタイムアウトしたか否かを示す値を格納する。操作ロック連携エージェント301は、「更新時刻」に、VPN操作ロックを生成した時刻、又は更新した時刻を格納する。
The operation
操作ロック連携エージェント301は、「発行ID」に、VPN操作ロック情報を識別するためのIDを格納する。操作ロック連携エージェント301は、例えばVPN操作ロック情報に対してUUIDを生成し、その値を「発行ID」に格納する。操作ロック連携エージェント301は、「チェーンオーダー」は空値とする。操作ロック連携エージェント301は、生成したVPN操作ロック情報を、操作ロック連携サーバ101に送信する。また、操作ロック連携エージェント301は、生成したVPN操作ロック情報を、ローカルストレージ304に記憶する。
The operation
VPN装置600は、所定時間継続して情報端末200からの接続がない場合、タイムアウト状態に移行する。ユーザは、VPN装置600がタイムアウト状態に移行した場合、認証を再度実施しなければ、VPN通信を実施することができない。タイムアウト検知部303は、VPN装置600がタイムアウト状態へ移行した場合、接続タイムアウトを検知する。操作ロック連携エージェント301は、ローカルストレージ304に記憶される操作ロック情報を更新する。このとき、操作ロック連携エージェント301は、「タイムアウト状態」に、タイムアウト状態である旨を示す値を格納する。また、操作ロック連携エージェント301は、「更新時刻」を更新する。操作ロック連携エージェント301は、生成した操作ロック情報を操作ロック連携サーバ101に送信する。
The
ユーザは、情報端末200にて仮想デスクトップ端末接続ソフトウェアを起動し、情報端末200から仮想デスクトップ端末400にログインする。仮想デスクトップ端末接続ソフトウェアは、ログイン認証部401にユーザID及びパスワードを送信し、仮想デスクトップ端末400にログインする。仮想デスクトップ端末400の操作ロック検知部405は、仮想デスクトップ端末400へのユーザログインを検知する。操作ロック検知部405は、ユーザログイン(認証実行)を検知すると、操作ロック連携エージェント403にその旨を通知する。
The user activates the virtual desktop terminal connection software on the
IPアドレス取得部404は、仮想デスクトップ端末400のローカルIPアドレスと、仮想デスクトップ端末400への接続元IPアドレスとを取得する。操作ロック連携エージェント403は、IPアドレス取得部404から、ローカルIPアドレスと接続元IPアドレスとを取得する。操作ロック連携エージェント403は、ローカルIPアドレスと接続元IPアドレスとを含む仮想デスクトップに関する操作ロック情報(仮想デスクトップ操作ロック情報)を生成する。
The IP
図6は、仮想デスクトップ端末操作ロック情報の一例を示す。仮想デスクトップ操作ロック情報は、接続元IPアドレス、ローカルIPアドレス、ログインユーザ名、認証結果、操作ロック状態、更新時刻、発行ID、及びチェーンオーダーを含む。操作ロック連携エージェント403は、「接続元IPアドレス」及び「ローカルIPアドレス」に、IPアドレス取得部404から取得したIPアドレスを格納する。
FIG. 6 shows an example of virtual desktop terminal operation lock information. The virtual desktop operation lock information includes connection source IP address, local IP address, login user name, authentication result, operation lock state, update time, issue ID, and chain order. The operation
操作ロック連携エージェント403は、「ログインユーザID」に、仮想デスクトップ端末400へログインしているユーザのユーザIDを格納する。操作ロック連携エージェント403は、「認証結果」に、仮想デスクトップ端末400へのログインの結果を格納する。操作ロック連携エージェント403は、ログイン認証部401における認証が正常に行われた場合は、「認証結果」に“成功”を示す値を格納する。操作ロック連携エージェント403は、「操作ロック状態」に、仮想デスクトップ端末400が操作ロック状態にあるか否かを示す値を格納する。操作ロック連携エージェント403は、「更新時刻」に、仮想デスクトップ端末操作ロック情報を生成した時刻、又は更新した時刻を格納する。
The operation
操作ロック連携エージェント403は、「発行ID」に、仮想デスクトップ端末操作ロック情報を識別するためのIDを格納する。操作ロック連携エージェント403は、例えば仮想デスクトップ端末操作ロック情報に対してUUIDを生成し、その値を「発行ID」に格納する。操作ロック連携エージェント403は、「チェーンオーダー」は空値とする。操作ロック連携エージェント403は、生成した仮想デスクトップ端末操作ロック情報を、操作ロック連携サーバ101に送信する。また、操作ロック連携エージェント403は、生成した仮想デスクトップ端末操作ロック情報を、ローカルストレージ406に記憶する。
The operation
仮想デスクトップ端末400は、無操作の状態が所定時間継続した場合、操作ロック状態に移行する。ユーザは、仮想デスクトップ端末400が操作ロック状態に移行した場合、認証を再度実施しなければ、仮想デスクトップ端末400を使用することができない。操作ロック検知部405は、仮想デスクトップ端末400が操作ロック状態へ移行した場合、操作ロック状態を検知する。操作ロック連携エージェント403は、ローカルストレージ406に記憶される操作ロック情報を更新する。このとき、操作ロック連携エージェント403は、「操作ロック状態」に、操作ロック状態である旨を示す値を格納する。また、操作ロック連携エージェント403は、「更新時刻」を更新する。操作ロック連携エージェント403は、生成した操作ロック情報を操作ロック連携サーバ101に送信する。
The
ユーザは、仮想デスクトップ端末400にて業務システムクライアント402を起動し、仮想デスクトップ端末400から業務システム500にログインする。仮想デスクトップ端末400は、ログイン認証部501にユーザID及びパスワードを送信し、業務システム500にログインする。業務システム500のタイムアウト検知部504は、業務システム500へのユーザログイン(認証実行)を検知し、操作ロック連携エージェント502に通知する。
The user activates the
IPアドレス取得部503は、業務システム500に接続する接続元のIPアドレス(接続元IPアドレス)を取得する。操作ロック連携エージェント502は、IPアドレス取得部503から接続元IPアドレスを取得する。操作ロック連携エージェント502は、接続元IPアドレスを含む業務システムに関する操作ロック情報(業務システム操作ロック情報)を生成する。
The IP
図7は、業務システム操作ロック情報の一例を示す。業務システム操作ロック情報は、接続元IPアドレス、認証結果、タイムアウト状態、更新時刻、発行ID、及びチェーンオーダーを含む。操作ロック連携エージェント502は、「接続元IPアドレス」に、IPアドレス取得部503から取得したIPアドレスを格納する。
FIG. 7 shows an example of business system operation lock information. The business system operation lock information includes connection source IP address, authentication result, timeout status, update time, issue ID, and chain order. The operation
操作ロック連携エージェント502は、「認証結果」に、業務システム500へのログイン結果を格納する。操作ロック連携エージェント502は、ログイン認証部501における認証が正常に行われた場合は、「認証結果」に“成功”を示す値を格納する。操作ロック連携エージェント502は、「タイムアウト状態」に、業務システムがタイムアウト状態であるか否かを示す値を格納する。操作ロック連携エージェント502は、「更新時刻」に、業務システム操作ロック情報を生成した時刻、又は更新した時刻を格納する。
The operation
操作ロック連携エージェント502は、「発行ID」に、業務システム操作ロック情報を識別するためのIDを格納する。操作ロック連携エージェント502は、例えば業務システム操作ロック情報に対してUUIDを生成し、その値を「発行ID」に格納する。操作ロック連携エージェント502は、「チェーンオーダー」は空値とする。操作ロック連携エージェント502は、生成した業務システム操作ロック情報を、操作ロック連携サーバ101に送信する。また、操作ロック連携エージェント502は、生成した業務システム操作ロック情報を、ローカルストレージ505に記憶する。
The operation
業務システム500は、所定時間継続して仮想デスクトップ端末400からの接続がない場合、タイムアウト状態に移行する。ユーザは、業務システム500がタイムアウト状態に移行した場合、認証を再度実施しなければ、業務システム500を利用することができない。タイムアウト検知部504は、業務システム500がタイムアウト状態へ移行した場合、接続タイムアウトを検知する。操作ロック連携エージェント502は、ローカルストレージ505に記憶される操作ロック情報を更新する。このとき、操作ロック連携エージェント502は、「タイムアウト状態」に、タイムアウト状態である旨を示す値を格納する。また、操作ロック連携エージェント502は、「更新時刻」を更新する。操作ロック連携エージェント502は、生成した操作ロック情報を操作ロック連携サーバ101に送信する。
The
操作ロック連携サーバ101は、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500のそれぞれから、操作ロック情報を受信する。操作ロック連携サーバ101は、操作ロック情報を結合することで、操作ロック情報連携データを生成する。操作ロック連携サーバ101は、操作ロック情報連携データを、操作ロック連携データベース102に記憶する。操作ロック連携サーバ101と操作ロック連携データベース102との接続形態は特に問われない。操作ロック連携サーバ101と操作ロック連携データベース102とは、互いのハードウェアが直接に接続されている形態でもよいし、ネットワークを介して接続されている形態でもよい。
The operation
図8は、操作ロック連携サーバ101の構成例を示す。操作ロック連携サーバ101は、操作ロック情報受信手段111、連携データ生成手段112、連携データ送信手段113を有する。操作ロック情報受信手段111は、操作ロック連携エージェント203、301、403、及び502から操作ロック情報を受信する。連携データ生成手段112は、操作ロック情報受信手段111が受信した操作ロック情報を、例えばチェーン構造で結合し、操作ロック情報連携データを生成する。連携データ送信手段113は、操作ロック情報連携データを、それに含まれる操作ロック情報の送信元の操作ロック情報連携エージェントに送信する。
FIG. 8 shows a configuration example of the operation
連携データ生成手段112は、操作ロック情報の結合では、受信した操作ロック情報に含まれるIPアドレス及びMACアドレスの少なくとも一方が、既に受信した操作ロック情報に含まれるアドレスと一致するか否かを判断する。連携データ生成手段112は、一致しないと判断した場合は、操作ロック情報を、新たな操作ロック情報連携データとして操作ロック連携データベース102に記憶する。このとき、連携データ生成手段112は、操作ロック情報連携データの「チェーンオーダー」に「1」を格納する。連携データ送信手段113は、操作ロック情報連携データの送信元に、「チェーンオーダー」に「1」を格納した操作ロック情報連携データを送信する。
In linking the operation lock information, the linkage data generating means 112 determines whether at least one of the IP address and the MAC address included in the received operation lock information matches the address included in the already received operation lock information. do. When the linkage data generating means 112 determines that they do not match, it stores the operation lock information in the operation
連携データ生成手段112は、アドレスが一致すると判断した場合、受信した操作ロック情報と、受信済みの操作ロック情報(その連携データ)とを結合する。このとき、連携データ生成手段112は、「チェーンオーダー」の値を、受信済みの操作ロック情報における「チェーンオーダー」の最大値の次の値にする。連携データ生成手段112は、生成した操作ロック情報連携データを、操作ロック連携データベース102に記憶する。連携データ送信手段113は、いくつかの操作ロック情報が結合された操作ロック情報連携データを、それに含まれる操作ロック情報の送信元の操作ロック連携エージェントのそれぞれに送信する。
When determining that the addresses match, the linked
例えば、操作ロック連携サーバ101は、情報端末200の操作ロック連携エージェント203から、情報端末操作ロック情報(図4を参照)を受信する。操作ロック連携サーバ101は、操作ロック連携データベース102を検索し、情報端末操作ロック情報に含まれるMACアドレス及びIPアドレスに一致するアドレスを含む操作ロック情報の有無を調べる。操作ロック連携サーバ101は、検索の結果、ヒットしない場合は、情報端末操作ロック情報の「チェーンオーダー」に「1」を格納する。操作ロック連携サーバ101は、「チェーンオーダー」に「1」が格納された情報端末操作ロック情報を、操作ロック情報連携データとして操作ロック連携データベース102に記憶する。また、操作ロック連携サーバ101は、「チェーンオーダー」に「1」が格納された操作ロック情報連携データを、情報端末200に送信する。
For example, the operation
情報端末200の操作ロック連携エージェント203は、操作ロック連携サーバ101から操作ロック情報連携データを受信する。操作ロック連携エージェント203は、操作ロック情報連携データを受信した場合、ローカルストレージ207を検索し、発行IDが、受信した操作ロック情報連携データに含まれる発行IDと同一の操作ロック情報(又はその連携データ)の有無を調べる。操作ロック連携エージェント203は、発行IDが同じ操作ロック情報がローカルストレージ207に記憶されている場合は、ローカルストレージ207のデータを、受信したデータで上書きする。
The operation
操作ロック連携サーバ101は、操作ロック連携エージェント装置300の操作ロック連携エージェント301から、VPN操作ロック情報(図5を参照)を受信する。操作ロック連携サーバ101は、操作ロック連携データベース102を検索し、VPN操作ロック情報に含まれるMACアドレス及びIPアドレスに一致するアドレスを含む操作ロック情報連携データの有無を調べる。操作ロック連携サーバ101は、検索の結果、操作ロック情報連携データにおけるアドレスと、VPN操作ロック情報連携データにおけるアドレスとが一致すると判断する。この場合、操作ロック連携サーバ101は、記憶済みの操作ロック情報連携データと、VPN操作ロック情報連携データとを結合する。
The operation
図9は、情報端末操作ロック情報と、VPN操作ロック情報との結合を示す。操作ロック連携サーバ101は、情報端末操作ロック情報における「MACアドレス」と、VPN操作ロック情報における「接続元MACアドレス」とを比較する。また、操作ロック連携サーバ101は、情報端末操作ロック情報における「IPアドレス」と、VPN操作ロック情報における「接続元IPアドレス」とを比較する。操作ロック連携サーバ101は、アドレス同士が一致する場合、情報端末操作ロック情報とVPN操作ロック情報とを結合する。また、操作ロック連携サーバ101は、VPN操作ロック情報の「チェーンオーダー」に、情報端末操作ロック情報の「チェーンオーダー」の次の値「2」を格納する。
FIG. 9 shows the combination of information terminal operation lock information and VPN operation lock information. The operation
操作ロック連携サーバ101は、VPN操作ロック情報が結合された操作ロック情報連携データを、操作ロック連携データベース102に記憶する。このとき、操作ロック連携サーバ101は、既に記憶している操作ロック情報連携データを更新する形で、VPN操作ロック情報が結合された操作ロック情報連携データを記憶する。操作ロック連携サーバ101は、情報端末200と操作ロック連携エージェント装置300のそれぞれに、操作ロック情報連携データを送信する。
The operation
操作ロック連携エージェント装置300の操作ロック連携エージェント301は、操作ロック連携サーバ101から操作ロック情報連携データを受信する。操作ロック連携エージェント301は、操作ロック情報連携データを受信した場合、ローカルストレージ304を検索し、発行IDが、受信した操作ロック情報連携データに含まれる発行IDと同一の操作ロック情報(又はその連携データ)の有無を調べる。操作ロック連携エージェント301は、発行IDが同じ操作ロック情報連携データがローカルストレージ304に格納されている場合は、ローカルストレージ304のデータを、受信したデータで上書きする。
The operation
情報端末200の操作ロック連携エージェント203も、同様に、ローカルストレージ207を検索し、受信した操作ロック情報連携データに含まれる発行IDと同じ発行IDを含む操作ロック情報連携データの有無を調べる。同じ発行IDを含む操作ロック情報連携データがある場合、操作ロック連携エージェント203は、ローカルストレージ207上の操作ロック情報連携データを、操作ロック連携サーバ101から新たに受信した操作ロック情報連携データで上書きする。
Similarly, the operation
操作ロック連携サーバ101は、仮想デスクトップ端末400の操作ロック連携エージェント403から、仮想デスクトップ端末操作ロック情報(図6を参照)を受信する。操作ロック連携サーバ101は、操作ロック連携データベース102を検索し、仮想デスクトップ端末操作ロック情報に含まれるIPアドレスに一致するアドレスを含む操作ロック情報連携データの有無を調べる。操作ロック連携サーバ101は、検索の結果、操作ロック情報連携データにおけるアドレスと、仮想デスクトップ端末操作ロック情報におけるアドレスとが一致すると判断する。この場合、操作ロック連携サーバ101は、情報端末操作ロック情報とVPN操作ロック情報とが結合された操作ロック情報連携データに、仮想デスクトップ端末操作ロック情報を更に結合する。
The operation
図10は、仮想デスクトップ端末操作ロック情報の結合を示す。操作ロック連携サーバ101は、VPN操作ロック情報における「VPN払出IPアドレス」と、仮想デスクトップ端末操作ロック情報における「接続元IPアドレス」とを比較する。操作ロック連携サーバ101は、アドレス同士が一致する場合、操作ロック情報連携データに、仮想デスクトップ端末操作ロック情報を更に結合する。また、操作ロック連携サーバ101は、仮想デスクトップ端末操作ロック情報連携データの「チェーンオーダー」に、VPN操作ロック情報連携データの「チェーンオーダー」の次の値「3」を格納する。
FIG. 10 shows the combination of virtual desktop terminal operation lock information. The operation
操作ロック連携サーバ101は、VPN操作ロック情報の結合後、操作ロック情報連携データを、操作ロック連携データベース102に記憶する。このとき、操作ロック連携サーバ101は、既に記憶している操作ロック情報連携データを更新する形で、VPN操作ロック情報が結合された操作ロック情報連携データを格納する。操作ロック連携サーバ101は、情報端末200、操作ロック連携エージェント装置300、及び仮想デスクトップ端末400のそれぞれに、操作ロック情報連携データを送信する。
After combining the VPN operation lock information, the operation
仮想デスクトップ端末400の操作ロック連携エージェント403は、操作ロック連携サーバ101から操作ロック情報連携データを受信する。操作ロック連携エージェント403は、操作ロック情報連携データを受信した場合、ローカルストレージ406を検索し、発行IDが、受信した操作ロック情報連携データに含まれる発行IDと同一の操作ロック情報(その連携データ)の有無を調べる。操作ロック連携エージェント403は、発行IDが同じ操作ロック情報がローカルストレージ406に記憶されている場合は、ローカルストレージ406のデータを、受信したデータで上書きする。
The operation
情報端末200の操作ロック連携エージェント203及び操作ロック連携エージェント装置300の操作ロック連携エージェント301も、同様に、それぞれローカルストレージ207及び304を検索する。操作ロック連携エージェント203は、発行IDが同じ操作ロック情報連携データがある場合、ローカルストレージ207上の操作ロック情報連携データを、操作ロック連携サーバ101から新たに受信した操作ロック情報連携データで上書きする。また、操作ロック連携エージェント301は、発行IDが同じ操作ロック情報連携データがある場合、ローカルストレージ304上の操作ロック情報連携データを、操作ロック連携サーバ101から新たに受信した操作ロック情報連携データで上書きする。
The operation
操作ロック連携サーバ101は、業務システム500の操作ロック連携エージェント502から、業務システム操作ロック情報(図7を参照)を受信する。操作ロック連携サーバ101は、操作ロック連携データベース102を検索し、仮想デスクトップ端末操作ロック情報に含まれるIPアドレスに一致するアドレスを含む操作ロック情報連携データの有無を調べる。操作ロック連携サーバ101は、検索の結果、操作ロック情報連携データにおけるアドレスと、業務システム操作ロック情報におけるアドレスとが一致すると判断する。この場合、操作ロック連携サーバ101は、情報端末操作ロック情報とVPN操作ロック情報と仮想デスクトップ端末操作ロック情報とが結合された操作ロック情報連携データに、業務システム操作ロック情報を更に結合する。
The operation
図11は、業務システム操作ロック情報の結合を示す。操作ロック連携サーバ101は、仮想デスクトップ端末操作ロック情報における「ローカルIPアドレス」と、業務システム操作ロック情報における「接続元IPアドレス」とを比較する。操作ロック連携サーバ101は、アドレス同士が一致する場合、操作ロック情報連携データに、業務システム操作ロック情報を更に結合する。また、操作ロック連携サーバ101は、業務システム操作ロック情報の「チェーンオーダー」に、仮想デスクトップ端末操作ロック情報の「チェーンオーダー」の次の値「4」を格納する。
FIG. 11 shows the combination of business system operation lock information. The operation
操作ロック連携サーバ101は、操作ロック情報連携データを、操作ロック連携データベース102に記憶する。このとき、操作ロック連携サーバ101は、既に格納している操作ロック情報連携データを更新する形で、業務システム操作ロック情報が結合された操作ロック情報連携データを記憶する。操作ロック連携サーバ101は、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500のそれぞれに、操作ロック情報連携データを送信する。
The operation
業務システム500の操作ロック連携エージェント502は、操作ロック連携サーバ101から操作ロック情報連携データを受信する。操作ロック連携エージェント502は、操作ロック情報連携データを受信した場合、ローカルストレージ505を検索し、発行IDが、受信した操作ロック情報連携データに含まれる発行IDと同一の操作ロック情報(又はその連携データ)の有無を調べる。操作ロック連携エージェント502は、発行IDが同じ操作ロック情報連携データがローカルストレージ505に記憶されている場合は、ローカルストレージ505のデータを、受信したデータで上書きする。
The operation
情報端末200の操作ロック連携エージェント203、操作ロック連携エージェント装置300の操作ロック連携エージェント301、及び仮想デスクトップ端末400の操作ロック連携エージェント403も、同様に、それぞれローカルストレージ207、304、及び406を検索する。操作ロック連携エージェント203、301、及び403は、それぞれ、発行IDが同じ操作ロック情報連携データがある場合、ローカルストレージ207、304、及び406上の操作ロック情報連携データを、操作ロック連携サーバ101から受信した操作ロック情報連携データで上書きする。以上の操作を経て、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500のそれぞれのローカルストレージ207、304、406、及び505に、図11に示される操作ロック情報連携データが格納される。
The operation
続いて、操作ロック連携エージェントの動作手順を説明する。図12は、操作ロック連携エージェントの動作手順を示す。ここでは、操作ロック連携エージェント403の動作手順を説明する。しかしながら、操作ロック連携エージェント203、301、及び502における動作手順も、取得する情報が一部変更になる点などを除けば、操作ロック連携エージェント403の動作手順と同様でよい。操作ロック連携エージェント403は、イベントの発生を待機する(ステップA1)。操作ロック連携エージェント403は、操作ロック検知部405における認証実行の検知、又は操作ロック連携サーバ101から送信される連携データを待機する。
Next, the operating procedure of the operation lock cooperation agent will be described. FIG. 12 shows the operation procedure of the operation lock cooperation agent. Here, the operating procedure of the operation
操作ロック連携エージェント403は、操作ロック検知部405が認証実行を検知したか否かを判断する(ステップA2)。操作ロック連携エージェント403は、認証実行が検知されたと判断した場合、仮想デスクトップ端末400に関連するアドレス情報を取得する(ステップA3)。操作ロック連携エージェント403は、ステップA3では、IPアドレス取得部404から、接続元IPアドレス及びローカルIPアドレスを取得する。ステップA2で認証実行が検知されていないと判断した場合、ステップA1に戻り、操作ロック連携エージェント403は次のイベントの発生を待機する。
The operation
操作ロック連携エージェント403は、操作ロック情報を生成し、生成した操作ロック情報を操作ロック連携サーバ101に送信する(ステップA4)。操作ロック連携エージェント403は、ステップA4では、操作ロック情報(図6を参照)の「接続元IPアドレス」に、IPアドレス取得部404から取得した接続元IPアドレスを格納する。また、操作ロック連携エージェント403は、「ローカルIPアドレス」に、IPアドレス取得部404から取得したローカルIPアドレスを格納する。操作ロック連携エージェント403は、「ログインユーザID」に、仮想デスクトップ端末400にログインしているユーザのIDを格納する。
The operation
操作ロック連携エージェント403は、「認証結果」に、ログイン認証部501の認証結果(ログイン結果)を格納する。操作ロック連携エージェント403は、ユーザが仮想デスクトップ端末400にログインできた場合は、“成功”を示す値を「認証結果」に格納する。操作ロック連携エージェント403は、ログインに失敗した場合は、“失敗”を示す値を「認証結果」に格納する。
The operation
操作ロック連携エージェント403は、「操作ロック状態」に、仮想デスクトップ端末400が操作ロック状態であるか否かを示す値を格納する。操作ロック連携エージェント403は、仮想デスクトップ端末400が操作ロック状態でない場合は、その旨を示す値を「操作ロック状態」に格納する。操作ロック連携エージェント403は、操作ロック検知部405が仮想デスクトップ端末400が操作ロック状態に移行した旨を検知した場合は、操作ロック状態である旨を示す値を「操作ロック状態」に格納する。
The operation
操作ロック連携エージェント403は、「更新時刻」に、操作ロック情報を生成した時刻、又は更新した時刻を格納する。操作ロック連携エージェント403は、操作ロック情報にIDを発行し、そのIDを「発行ID」に格納する。操作ロック連携エージェント403は、「チェーンオーダー」は空値とする。操作ロック連携エージェント403は、生成した操作ロック情報を、操作ロック連携サーバ101に送信する。操作ロック情報の生成後、操作ロック連携エージェント403は、操作ロック情報をローカルストレージ406に記憶する(ステップA5)。その後、処理はステップA1に戻り、操作ロック連携エージェント403は、次のイベントの発生を待機する。
The operation
操作ロック連携エージェント403は、操作ロック連携サーバ101から、操作ロック情報連携データを受信したか否かを判断する(ステップA6)。操作ロック連携エージェント403は、ステップA6では、例えば図10又は図11に示される操作ロック情報連携データを受信する。操作ロック連携エージェント403は、操作ロック情報連携データを受信したと判断した場合、受信した操作ロック連携データを、ローカルストレージ406に記憶する(ステップA7)。操作ロック連携エージェント403は、ステップA6で操作ロック情報連携データを受信していないと判断した場合、ステップA1に戻り、次のイベントの発生を待機する。
The operation
操作ロック連携エージェント403は、受信した操作ロック情報連携データに存在する発行IDと同じIDを持つ操作ロック情報がローカルストレージ406に存在するかどうかを確認する(ステップA8)。操作ロック連携エージェント403は、同じIDを持つ操作ロック情報が存在するか否かを判断する(ステップA9)。操作ロック連携エージェント403は、同じIDを持つ操作ロック情報が存在すると判断した場合、その操作ロック情報と、受信した操作ロック情報連携データとを比較する(ステップA10)。操作ロック連携エージェント403は、ステップA9で同じIDを持つ操作ロック情報が存在しないと判断した場合、ステップA1に戻り、次のイベントの発生を待機する。
The operation
操作ロック連携エージェント403は、監視対象である仮想デスクトップ端末400の1つ後ろのチェーンオーダーを持つ業務システム500において接続タイムアウトが発生しているかどうかを調べる(ステップA11)。操作ロック連携エージェント403は、ステップA11では、例えば、業務システム操作ロック情報における「タイムアウト状態」が、接続タイムアウトを示す値に変化したか否かを判断する。操作ロック連携エージェント403は、ステップA11において業務システム500にて接続タイムアウトが発生していないと判断した場合、ステップA1に戻り、次のイベントの発生を待機する。
The operation
操作ロック連携エージェント403は、ステップA11において、業務システム500にて接続タイムアウトが発生していると判断した場合、新たに顔認証が実施され、かつ認証されたか否かを判断する(ステップA12)。操作ロック連携エージェント403は、ステップA11では、操作ロック情報連携データにおいて、チェーンオーダーが最も若い操作ロック情報、すなわち情報端末操作ロック情報を参照する。操作ロック連携エージェント403は、情報端末操作ロック情報の「更新時刻」が新しく、かつ「認証結果」が“成功”を示す値であるか否かを判断する。情報端末操作ロック情報の「更新時刻」が、業務システム操作ロック情報における「更新時刻」よりも後の時刻である場合、顔認証は、業務システム500において接続タイムアウトが発生した後に実施されている。更新時刻が新しく、かつ認証結果が“成功”である場合、操作ロック連携エージェント403は、監視対象機器である仮想デスクトップ端末400のシングルサインオン機構に、後段機器である業務システム500の認証実施を促す(ステップA13)。操作ロック連携エージェント403は、更新時刻が業務システム500の接続タイムアウト前の時刻であるか、又は認証結果が“成功”を示す値ではない場合、ステップA1に戻り、次のイベントの発生を待機する。
When the operation
続いて、操作ロック連携サーバにおける動作手順を説明する。図13は、操作ロック連携サーバ101の動作手順を示す。操作ロック連携サーバ101は、操作ロック連携エージェント203、301、403、又は502からの通知を待機する(ステップB1)。操作ロック連携サーバ101は、操作ロック連携エージェントから通知があったか否かを判断する(ステップB2)。操作ロック連携サーバ101は、操作ロック連携エージェントから通知がない場合は、ステップB1に戻り、通知を待機する。
Next, an operation procedure in the operation lock cooperation server will be explained. FIG. 13 shows the operation procedure of the operation
操作ロック連携サーバ101は、操作ロック連携エージェントから操作ロック情報を受信する(ステップB3)。操作ロック連携サーバ101は、操作ロック連携データベース102において、受信した操作ロック情報に含まれるアドレス情報と同じアドレス情報を持つ操作ロック連携情報を検索する(ステップB4)。操作ロック連携サーバ101は、検索の結果、該当する操作ロック情報が存在したか否かを判断する(ステップB5)。操作ロック連携サーバ101は、該当する情報が存在しないと判断した場合、受信した操作ロック情報を、新規な操作ロック情報連携データとして操作ロック連携データベース102に記憶する(ステップB6)。このとき、操作ロック連携サーバ101は、操作ロック情報の「チェーンオーダー」に「1」を格納する。
The operation
操作ロック連携サーバ101は、ステップB4で該当する情報が存在すると判断した場合、ステップB3で受信した操作ロック情報を、記憶済みの操作ロック情報連携データに結合する(ステップB7)。このとき、操作ロック連携サーバ101は、ステップB3で受信した操作ロック情報の「チェーンオーダー」に、記憶済みの操作ロック情報連携データに含まれる操作ロック情報の「チェーンオーダー」の最大値の次の値を格納する。操作ロック連携サーバ101は、ステップB3で受信した操作ロック情報を結合した操作ロック情報連結データを、操作ロック連携データベース102に記憶する(ステップB8)。
When the operation
操作ロック連携サーバ101は、操作ロック連携データベース102に記憶した操作ロック情報連携データを、操作ロック情報の送信元の操作ロック連携エージェントに送信する(ステップB9)。操作ロック連携サーバ101は、ステップB9では、操作ロック情報連携データに含まれる操作ロック情報を送信した操作ロック連携エージェントを特定する。例えば、操作ロック情報連携データが、情報端末操作ロック情報とVPN操作ロック情報と仮想デスクトップ端末操作ロック情報とを結合したデータである場合を考える。この場合、操作ロック連携サーバ101は、操作ロック連携エージェント203、301、及び403を、操作ロック情報の送信元の操作ロック連携エージェントとして特定する。操作ロック連携サーバ101は、特定した操作ロック連携エージェントに、操作ロック情報連携データを送信する。
The operation
図14は、各機器又はシステムにおける操作ロック情報連携データの更新の概略的な動作を示す。操作ロック連携サーバ101は、操作ロック連携データベース102の更新を待機する(ステップS11)。別の言い方をすると、操作ロック連携サーバ101は、操作ロック連携エージェントから操作ロック情報が送信されるのを待機する。操作ロック連携サーバ101は、操作ロック情報を受信すると、操作ロック情報連携データを操作ロック連携データベース102に記憶し、データベースを更新する(ステップS12)。操作ロック連携サーバ101は、操作ロック連携データベース102を更新すると、操作ロック情報連携データに関連する操作ロック連携エージェントに、操作ロック連携データを送信する(ステップS13)。
FIG. 14 shows a schematic operation of updating operation lock information linkage data in each device or system. The operation
情報端末200の操作ロック連携エージェント203は、操作ロック連携サーバ101からの通知を待機する(ステップS21)。操作ロック連携エージェント203は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS22)。操作ロック連携エージェント203は、ローカルストレージ207に受信した操作ロック情報連携データを記憶し、情報端末200内の情報を更新する(ステップS23)。
The operation
操作ロック連携エージェント装置300の操作ロック連携エージェント301は、操作ロック連携サーバ101からの通知を待機する(ステップS31)。操作ロック連携エージェント301は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS32)。操作ロック連携エージェント301は、ローカルストレージ304に受信した操作ロック情報連携データを記憶し、操作ロック連携エージェント装置300内の情報を更新する(ステップS33)。
The operation
仮想デスクトップ端末400の操作ロック連携エージェント403は、操作ロック連携サーバ101からの通知を待機する(ステップS41)。操作ロック連携エージェント403は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS42)。操作ロック連携エージェント403は、ローカルストレージ406に受信した操作ロック情報連携データを記憶し、仮想デスクトップ端末400内の情報を更新する(ステップS43)。
The operation
業務システム500の操作ロック連携エージェント502は、操作ロック連携サーバ101からの通知を待機する(ステップS51)。操作ロック連携エージェント502は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS52)。操作ロック連携エージェント502は、ローカルストレージ505に受信した操作ロック情報連携データを記憶し、業務システム500内の情報を更新する(ステップS53)。
The operation
次に、例として、業務システム500において接続タイムアウトが発生した場合の動作を説明する。図15は、業務システム500において接続タイムアウトが発生した場合の概略的な動作を示す。仮想デスクトップ端末400から接続している業務システム500において、接続タイムアウトが発生し、業務継続のためには再認証が必要な状態となったとする。業務システム500のタイムアウト検知部504は、仮想デスクトップ端末400からの業務システム利用における接続タイムアウトを検知する(ステップS55)。タイムアウト検知部504は、タイムアウト検知を操作ロック連携エージェント502に通知する。
Next, as an example, the operation when a connection timeout occurs in the
操作ロック連携エージェント502は、ローカルストレージ505に記憶される操作ロック連係情報を更新する(ステップS56)。操作ロック連携エージェント502は、ステップS56では、例えば、ローカルストレージ505から操作ロック情報連携データ(図11を参照)を読み出す。操作ロック連携エージェント502は、読み出した操作ロック情報連携データにおける業務システム操作ロック情報部分の「タイムアウト状態」にタイムアウトを示す値を格納する。また、操作ロック連携エージェント502は、「更新時刻」を現時刻に変更する。操作ロック連携エージェント502は、更新した操作ロック連携データをローカルストレージ505に記憶する。操作ロック連携エージェント502は、ステップS56で更新した操作ロック情報連携データ(操作ロック情報)を操作ロック連携サーバ101に送信する(ステップS57)。
The operation
操作ロック連携サーバ101は、操作ロック連携データベース102の更新を待機する(ステップS11)。操作ロック連携サーバ101は、操作ロック情報を受信すると、操作ロック情報連携データを操作ロック連携データベース102に記憶し、データベースを更新する(ステップS12)。操作ロック連携サーバ101は、操作ロック連携データベース102を更新すると、操作ロック情報連携データに関連する操作ロック連携エージェントに、操作ロック連携データを送信する(ステップS13)。
The operation
情報端末200の操作ロック連携エージェント203は、操作ロック連携サーバ101からの通知を待機する(ステップS21)。操作ロック連携エージェント203は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS22)。操作ロック連携エージェント203は、ローカルストレージ207に受信した操作ロック情報連携データを記憶し、情報端末200内の情報を更新する(ステップS23)。
The operation
操作ロック連携エージェント装置300の操作ロック連携エージェント301は、操作ロック連携サーバ101からの通知を待機する(ステップS31)。操作ロック連携エージェント301は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS32)。操作ロック連携エージェント301は、ローカルストレージ304に受信した操作ロック情報連携データを記憶し、操作ロック連携エージェント装置300内の情報を更新する(ステップS33)。
The operation
仮想デスクトップ端末400の操作ロック連携エージェント403は、操作ロック連携サーバ101からの通知を待機する(ステップS41)。操作ロック連携エージェント403は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS42)。操作ロック連携エージェント403は、ローカルストレージ406に受信した操作ロック情報連携データを記憶し、仮想デスクトップ端末400内の情報を更新する(ステップS43)。なお、図15では図示を省略しているが、業務システム500の操作ロック連携エージェント502も、操作ロック連携サーバ101から操作ロック情報連携データを受信し、ローカルストレージ505に記憶する。
The operation
操作ロック連携エージェント203、301、403、及び502は、それぞれ、操作ロック情報連携データを参照し、チェーンオーダーが「4」の箇所において、接続タイムアウトが発生したことを認識する。別の言い方をすると、操作ロック連携エージェント203、301、403、及び502は、それぞれ、業務システム操作ロック情報における「タイムアウト状態」がタイムアウトを示す値に変わったことで、業務システム500において再認証が必要であることを認識する。
Each of the operation
操作ロック連携エージェント203、301、403、及び502は、それぞれ、自身が発行した操作ロック情報の「チェーンオーダー」が、タイムアウトが発生した箇所のチェーンオーダーよりも若い値であるか否かを調べる。操作ロック連携エージェント203は、情報端末操作ロック情報のチェーンオーダーが最も若い値「1」であるため、情報端末200の認証機構である顔認証システム201に顔認証の実施を促す(ステップS24)。顔認証システム201は、顔認証画面を表示し、ユーザに顔認証を促す。
Each of the operation
図16は、情報端末200にて顔認証が実施された場合の概略的な動作を示す。情報端末200の操作ロック連携エージェント203は、顔認証の実施を待機する(ステップS25)。操作ロック検知部206は、顔認証の成功を検出し、操作ロック連携エージェント203に通知する。操作ロック連携エージェント203は、顔認証が実施された場合、操作ロック情報連携データにおける情報端末操作ロック情報の部分を更新する(ステップS26)。操作ロック連携エージェント203は、ステップS26では、ローカルストレージ207から、操作ロック情報連携データを読み出す。操作ロック連携エージェント203は、読み出した操作ロック情報連携データにおける情報端末操作ロック情報部分の「認証結果」に顔認証の結果を格納し、「更新時刻」に現時刻を格納する。操作ロック連携エージェント203は、ユーザが正常に顔認証された場合、「認証結果」に“成功”を示す値を格納する。操作ロック連携エージェント203は、更新した操作ロック情報連携データをローカルストレージ207に記憶(上書き)する。また、操作ロック連携エージェント203は、更新した操作ロック情報連携データを、操作ロック連携サーバ101に送信する(ステップS27)。
FIG. 16 shows a schematic operation when the
操作ロック連携サーバ101は、操作ロック連携サーバ101は、操作ロック連携データベース102の更新を待機する(ステップS11)。操作ロック連携サーバ101は、操作ロック連携エージェント203から、ステップS27で送信された操作ロック情報連携データを受信する。操作ロック連携サーバ101は、受信した操作ロック情報連携データを操作ロック連携データベース102に記憶し、データベースを更新する(ステップS12)。また、操作ロック連携サーバ101は、操作ロック情報連携データに関連する操作ロック連携エージェントに、操作ロック連携データを送信する(ステップS13)。操作ロック連携サーバ101は、ステップS13では、操作ロック連携エージェント203、301、403、及び502に操作ロック情報連携データを送信する。
The operation
操作ロック連携エージェント装置300の操作ロック連携エージェント301は、操作ロック連携サーバ101からの通知を待機する(ステップS31)。操作ロック連携エージェント301は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS32)。操作ロック連携エージェント301は、ローカルストレージ304に受信した操作ロック情報連携データを記憶し、操作ロック連携エージェント装置300内の情報を更新する(ステップS33)。
The operation
仮想デスクトップ端末400の操作ロック連携エージェント403は、操作ロック連携サーバ101からの通知を待機する(ステップS41)。操作ロック連携エージェント403は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS42)。操作ロック連携エージェント403は、ローカルストレージ406に受信した操作ロック情報連携データを記憶し、仮想デスクトップ端末400内の情報を更新する(ステップS43)。なお、図16では図示を省略しているが、情報端末200の操作ロック連携エージェント203も、操作ロック連携サーバ101から操作ロック情報連携データを受信し、ローカルストレージ207に記憶する。また、業務システム500の操作ロック連携エージェント502も、操作ロック連携サーバ101から操作ロック情報連携データを受信し、ローカルストレージ505に記憶する。
The operation
操作ロック連携エージェント301、403、及び502は、それぞれ、ローカルストレージ304、406、及び505に記憶した操作ロック情報連携データを参照し、チェーンオーダーが「1」の操作ロック情報において、「認証結果」が認証に成功した旨を示す値であることを認識する。また、操作ロック連携エージェント301、403、及び502は、それぞれ、チェーンオーダーが「1」の操作ロック情報において、「更新時刻」が記憶済みの操作ロック情報連携データにおける更新時刻より新しいことを認識する。
The operation
また、操作ロック連携エージェント203、301、403、及び502は、それぞれ、自身が生成した操作ロック情報の「チェーンオーダー」の値が、業務システム操作ロック情報の「チェーンオーダー」の値よりも1つ若い値である否かを調べる。ここでは、操作ロック連携エージェント403が、自身が発行した操作ロック情報のチェーンオーダーの値が、業務システム操作ロック情報のチェーンオーダー「4」より1つ若い値であると認識する。操作ロック連携エージェント403は、仮想デスクトップ端末400の業務システムクライアント402に再度、業務システム500への接続と認証を行うように働きかける。業務システムクライアント402は、業務システム500への接続と認証を実施する。その結果、業務システム500のタイムアウト状態は解消される。
Further, each of the operation
業務システム500のタイムアウト検知部504は、仮想デスクトップ端末400からの業務システム500へのログインを検知して、操作ロック連携エージェント502に通知する(ステップS61)。操作ロック連携エージェント502は、操作ロック情報連携データにおける業務システム操作ロック情報の部分を更新する(ステップS62)。操作ロック連携エージェント502は、操作ロック連携サーバ101に操作ロック情報連携データを送信する。その後、図14を参照して説明した動作を通じて、操作ロック情報連携データが、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500に記憶される。
The
本実施形態では、利用に際し認証を必要とする各機器又はシステムを監視する操作ロック連携エージェントが用いられる。本実施形態において、情報端末200のMACアドレス取得部204、IPアドレス取得部205、及び操作ロック検知部206は、操作ロック連携エージェント203の動作を補佐するために使用される。また、操作ロック連携エージェント装置300において、IPアドレス取得部302及びタイムアウト検知部303は、操作ロック連携エージェント301の動作を補佐するために使用される。仮想デスクトップ端末400において、IPアドレス取得部404及び操作ロック検知部405は、操作ロック連携エージェント403の動作を補佐するために使用される。業務システム500において、IPアドレス取得部503及びタイムアウト検知部504は、操作ロック連携エージェント502の動作を補佐するために使用される。
In this embodiment, an operation lock cooperation agent is used that monitors each device or system that requires authentication for use. In this embodiment, the MAC
操作ロック連携エージェント203、301、403、及び502は、認証が必要な各機器の認証通過時に得られたアドレス情報などを、操作ロック情報に記録する。また、操作ロック連携エージェント203、301、403、及び502は、操作ロック情報の生成時に、操作ロック情報に発行IDと更新日時とを付与する。
The operation
操作ロック連携エージェント203、301、403、及び502は、生成した操作ロック情報(その連携データ)を操作ロック連携サーバ101に送信する。操作ロック連携サーバ101は、受信した操作ロック情報をもとに、関係する操作ロック情報連携データを操作ロック連携データベース102から検索する。操作ロック連携サーバ101は、IPアドレスやMACアドレスに基づいて関係性を認めた操作ロック情報を例えばチェーン構造で結合し、チェーン化した操作ロック情報連携データを生成する。操作ロック連携サーバ101は、操作ロック情報連携データを操作ロック連携エージェント203、301、403、及び502に送信する。操作ロック連携エージェント203、301、403、及び502は、操作ロック情報連携データを保持する。操作ロック連携エージェント203、301、403、及び502は、自身が保持する操作ロック情報連携データの発行IDと同じ発行IDを持つ操作ロック情報連携データを操作ロック連携サーバ101から受信した場合、古い更新日時を持つ操作ロック情報連携データを削除する。
The operation
本実施形態において、操作ロック検知部206及び405、並びにタイムアウト検知部303及び504は、機器の操作ロック状態又はタイムアウト状態を検知し、操作ロック連携エージェント203、301、403、及び502に通知する。情報端末200の操作ロック連携エージェント203は、操作ロック情報連携データに基づいて、何れかの機器において操作ロック又はタイムアウトが発生したことを認識する。その場合、操作ロック連携エージェント203は、顔認証システム201と連携し、ユーザに顔認証の実施を促す。ユーザが顔認証を実施すると、各機器の操作ロック連携エージェントに連携され、操作ロックなどが発生した機器の前段にある機器が有するシングルサインオン技術を用いて、操作ロックなどが発生した機器の操作ロック解除操作がなされる。
In this embodiment, the operation
本実施形態では、各機器の操作ロック検知部又はタイムアウト検知部が機器の操作ロック又はタイムアウトを検知し、操作ロック連携エージェントに通知する。操作ロック連携エージェントは、操作ロック又はタイムアウトの発生を、操作ロック連携サーバに通知する。本実施形態では、図11に示されるように、情報端末200から業務システム500までの認証経路が操作ロック情報連携データ構造により明確化される。このため、操作ロック連携サーバ101は、シングルサインオンの基点となる情報端末200に、操作ロック又はタイムアウトの発生を通知することができる。通知を受けた情報端末200の操作ロック連携エージェント203は顔認証システム201を起動することを要求する。ユーザが顔認証を実施した場合、操作ロック連携エージェント203は、操作ロック連携サーバ101に顔認証の実施を通知する。通知を受けた操作ロック連携サーバ101は操作ロック又はタイムアウトが発生している機器の前段機器にある操作ロック連携エージェントに通知を行う。この通知を受けた操作ロック連携エージェントは、操作ロック又はタイムアウトが発生している機器に対し認証行為を要求する。このようにすることで、情報端末200における認証結果を用いて、操作ロック解除又はタイムアウト解除(再接続)が可能となる。
In this embodiment, the operation lock detection unit or timeout detection unit of each device detects the operation lock or timeout of the device and notifies the operation lock cooperation agent. The operation lock cooperation agent notifies the operation lock cooperation server of the occurrence of operation lock or timeout. In this embodiment, as shown in FIG. 11, the authentication path from the
本実施形態では、情報端末200の後段にあるVPN装置600、仮想デスクトップ端末400、及び業務システム500の操作ロック又はタイムアウトを、情報端末200での顔認証に基づいて解除することができる。このようにすることで、ユーザに各機器の操作ロック又はタイムアウト解除用のユーザIDとパスワードを通知しなくても、各機器の操作ロック又はタイムアウトを解除できる。本実施形態では、シングルサインオンの基点に顔認証を使用しており、操作ロック又はタイムアウトを、本人のみが顔情報を用いて安全に解除することができる。本実施形態では、ユーザは、後段の認証に必要なIDやパスワードなどを記憶する必要がなく、従って、セキュリティを維持しつつ、ユーザの利便性を向上できる。
In this embodiment, the operation lock or timeout of the
なお、上記実施形態では、情報端末200において顔認証が実施される例を説明したが、本開示はこれには限定されない。シングルサインオンの基点となる認証は、顔認証には限定されない。シングルサインオンの基点となる認証には、例えば、他の生体認証、所持に基づく認証、或いは記憶に基づく認証などの種々の認証を用いることができる。生体認証の例としては、例えば、指紋認証、掌紋認証、静脈認証、虹彩認証、又は耳音響認証などが挙げられる。所持に基づく認証の例としては、例えばIC(Integrated Circuit)カード認証、或いは携帯端末認証などが挙げられる。記憶に基づく認証の例としては、例えばパターン認証などが挙げられる
Note that, in the above embodiment, an example in which face authentication is performed in the
上記実施形態では、操作ロック情報連携データにおいて、操作ロック情報がチェーン構造で結合される例を説明したが、本開示はこれには限定されない。上記実施形態において、操作ロック情報連携データのデータ構造は特に限定されない。例えば、操作ロック情報連携データは、リレーショナルデータベースにおける主キー及び外部キーの関係で操作ロック情報が結合されたデータ構造であってもよい。上記実施形態において、情報端末200、VPN装置600、仮想デスクトップ端末400、及び業務システム500の全てが、直接IP通信可能なネットワーク構成を採用することもできる。その場合、全ての操作ロック情報連携データを各操作ロック連携エージェントに保持させ、操作ロック連携サーバ101と操作ロック連携データベース102を不要とする構成も可能である。
In the embodiment described above, an example in which operation lock information is linked in a chain structure in the operation lock information linkage data has been described, but the present disclosure is not limited to this. In the above embodiment, the data structure of the operation lock information linkage data is not particularly limited. For example, the operation lock information linkage data may have a data structure in which the operation lock information is combined in the relation of the primary key and the foreign key in the relational database. In the above embodiment, all of the
上記実施形態において、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500は、典型的にプロセッサとメモリとを含む。情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500内の機能は、プロセッサがメモリに格納されたプログラムを読み出して実行することで実現されてもよい。また、操作ロック連携サーバ101も、典型的にはプロセッサとメモリとを含む。操作ロック連携サーバ101の機能は、プロセッサがメモリに格納されたプログラムを読み出して実行することで実現されてもよい。
In the above embodiments, the
上記プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記憶媒体を含む。非一時的なコンピュータ可読媒体の例は、例えばフレキシブルディスク、磁気テープ、又はハードディスクなどの磁気記録媒体、例えば光磁気ディスクなどの光磁気記録媒体、CD(compact disc)、又はDVD(digital versatile disk)などの光ディスク媒体、及び、マスクROM(read only memory)、PROM(programmable ROM)、EPROM(erasable PROM)、フラッシュROM、又はRAM(random access memory)などの半導体メモリを含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体を用いてコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバなどの有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 The program can be stored and supplied to the computer using various types of non-transitory computer-readable media. Non-transitory computer-readable media include various types of tangible storage media. Examples of non-transitory computer-readable media include magnetic recording media such as flexible disks, magnetic tapes, or hard disks, magneto-optical recording media such as magneto-optical discs, compact discs (CDs), or digital versatile disks (DVDs). and semiconductor memory such as mask ROM (read only memory), PROM (programmable ROM), EPROM (erasable PROM), flash ROM, or RAM (random access memory). The program may also be delivered to the computer using various types of transitory computer readable media. Examples of transitory computer-readable media include electrical signals, optical signals, and electromagnetic waves. Transitory computer-readable media can deliver the program to the computer via wired channels, such as wires and optical fibers, or wireless channels.
以上、本開示の実施形態を詳細に説明したが、本開示は、上記した実施形態に限定されるものではなく、本開示の趣旨を逸脱しない範囲で上記実施形態に対して変更や修正を加えたものも、本開示に含まれる。 Although the embodiments of the present disclosure have been described in detail above, the present disclosure is not limited to the above-described embodiments, and changes and modifications can be made to the above-described embodiments without departing from the scope of the present disclosure. are also included in the present disclosure.
例えば、上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。 For example, some or all of the above-described embodiments may be described in the following supplementary remarks, but are not limited to the following.
[付記1]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器と、
前記複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを検知する検知手段と、
前記複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が前記要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントと、
前記操作ロック連携エージェントから前記操作ロック情報を受信し、前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合した連携データを生成し、該連携データを前記操作ロック連携エージェントに送信する操作ロック連携サーバとを備え、
前記操作ロック連携エージェントは、前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を前記操作ロック連携サーバに送信し、
前記操作ロック連携エージェントは、前記検知手段が要認証状態を検知した場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を前記操作ロック連携サーバに送信し、
前記操作ロック連携サーバは、前記要認証状態である旨を示す操作ロック情報を含む連携データを生成して前記操作ロック連携エージェントに送信し、
前記初段の認証対象機器に対応する操作ロック連携エージェントは前記認証手段に認証の実施を促し、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるシステム操作ロック解除システム。
[Appendix 1]
A first-stage authentication target device authenticated using an authentication means, a plurality of authentication target devices including one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means;
detection means arranged corresponding to each of the plurality of authentication target devices and detecting whether or not each authentication target device is in an authentication required state, which is a state requiring authentication;
authentication required state information indicating whether or not each authentication target device is in the authentication required state, and operation lock information including an authentication result in each authentication target device, which are arranged corresponding to each of the plurality of authentication target devices; an operation lock cooperation agent to be generated;
receiving the operation lock information from the operation lock cooperation agent; generating cooperation data by combining the operation lock information received from the operation lock cooperation agents corresponding to each of the plurality of authentication target devices; an operation lock cooperation server that transmits to the operation lock cooperation agent;
When the authentication target device is authenticated in the single sign-on, the operation lock cooperation agent transmits operation lock information including an authentication result indicating successful authentication to the operation lock cooperation server,
The operation lock cooperation agent transmits, to the operation lock cooperation server, operation lock information including authentication required state information indicating that the authentication target device is in the authentication required state when the detecting means detects the authentication required state. ,
The operation lock cooperation server generates cooperation data including operation lock information indicating that the authentication is required, and transmits the cooperation data to the operation lock cooperation agent;
The operation lock cooperation agent corresponding to the first-stage authentication target device prompts the authentication means to perform authentication,
A system operation unlocking system in which, when the authentication by the authentication means is performed normally, authentication of the authentication target device in which the authentication required state is detected is performed using the single sign-on mechanism.
[付記2]
前記操作ロック連携エージェントは、前記認証対象機器の初回認証時に、前記認証対象機器に関連するアドレス情報を取得し、該取得したアドレス情報を更に含む操作ロック情報を生成して前記操作ロック連携サーバに送信する付記1に記載のシステム操作ロック解除システム。
[Appendix 2]
The operation lock cooperation agent acquires address information related to the authentication target device at the time of initial authentication of the authentication target device, generates operation lock information further including the acquired address information, and transmits the operation lock cooperation server to the operation lock cooperation server. The system operation unlocking system of claim 1 to transmit.
[付記3]
前記操作ロック連携サーバは、前記操作ロック情報に含まれるアドレス情報に基づいて、前記複数の認証対象機器のそれぞれに対応する操作ロック連携エージェントから受信した操作ロック情報を結合する付記2に記載のシステム操作ロック解除システム。
[Appendix 3]
The system according to appendix 2, wherein the operation lock cooperation server combines operation lock information received from operation lock cooperation agents corresponding to each of the plurality of authentication target devices based on address information included in the operation lock information. Operation unlocking system.
[付記4]
前記操作ロック連携サーバは、各操作ロック連携エージェントから送信された操作ロック情報に、前記シングルサインオンで認証が行われた順にチェーンオーダーを付与する付記1から3何れか1つに記載のシステム操作ロック解除システム。
[Appendix 4]
4. The system operation according to any one of Appendices 1 to 3, wherein the operation lock cooperation server gives a chain order to the operation lock information transmitted from each operation lock cooperation agent in the order in which authentication is performed by the single sign-on. unlock system.
[付記5]
前記操作ロック連携エージェントは、前記認証対象機器の初回認証時に、前記操作ロック情報を識別するためのIDを発行し、該発行したIDを更に含む操作ロック情報を生成して前記操作ロック連携サーバに送信し、
前記操作ロック連携エージェントは、前記操作ロック連携サーバから前記連携データを受信した場合で、かつ該受信した連携データに前記発行したIDが含まれる場合、前記受信した連携データを記憶する付記1から4何れか1つに記載のシステム操作ロック解除システム。
[Appendix 5]
The operation lock cooperation agent issues an ID for identifying the operation lock information when the authentication target device is authenticated for the first time, generates operation lock information further including the issued ID, and sends the operation lock cooperation server to the operation lock cooperation server. send and
When the operation lock cooperation agent receives the cooperation data from the operation lock cooperation server and the received cooperation data includes the issued ID, the operation lock cooperation agent stores the received cooperation data. A system-operated unlocking system according to any one of the preceding claims.
[付記6]
前記初段の認証対象機器に対応した操作ロック連携エージェントは、何れかの認証対象機器に対応した操作ロック連携エージェントから送信された操作ロック情報に含まれる要認証状態情報が要認証状態を示す場合、認証手段に認証を促す付記1から5何れか1つに記載のシステム操作ロック解除システム。
[Appendix 6]
If the authentication required state information included in the operation lock information transmitted from the operation lock cooperation agent corresponding to one of the authentication target devices indicates the authentication required state, the operation lock cooperation agent corresponding to the first-stage authentication target device: 6. The system operation unlocking system according to any one of Appendices 1 to 5, which prompts the authentication means to authenticate.
[付記7]
前記操作ロック情報は前記操作ロック情報の更新時刻を更に含み、
前記連携データにおいて、前記初段の認証対象機器に対応する操作ロック連携エージェントから送信された操作ロック情報に含まれる認証結果が認証成功を示し、かつ前記更新時刻が、前記要認証状態が検知された認証対象機器の操作ロック連携エージェントから送信された操作ロック情報に含まれる更新時刻よりも後の時刻である場合、前記要認証状態が検知された認証対象機器の認証が実施される付記1から6何れか1つに記載のシステム操作ロック解除システム。
[Appendix 7]
the operation lock information further includes an update time of the operation lock information;
In the cooperation data, the authentication result included in the operation lock information transmitted from the operation lock cooperation agent corresponding to the first-stage authentication target device indicates authentication success, and the update time indicates that the authentication required state is detected. Supplementary notes 1 to 6 that authentication of the authentication target device for which the authentication required state is detected is performed when the time is later than the update time included in the operation lock information transmitted from the operation lock cooperation agent of the authentication target device. A system-operated unlocking system according to any one of the preceding claims.
[付記8]
前記認証手段は、ユーザの生体情報を用いて認証を行う付記1から7何れか1つに記載のシステム操作ロック解除システム。
[Appendix 8]
8. The system operation unlocking system according to any one of Appendices 1 to 7, wherein the authentication means performs authentication using biometric information of the user.
[付記9]
前記検知手段は、各認証対象機器において、無操作状態が所定時間以上継続した場合、又は接続がタイムアウトした場合、前記要認証状態を検知する付記1から8何れか1つに記載のシステム操作ロック解除システム。
[Appendix 9]
9. The system operation lock according to any one of appendices 1 to 8, wherein the detecting means detects the authentication-required state when a non-operating state continues for a predetermined time or longer or when a connection times out in each device to be authenticated. release system.
[付記10]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成する操作ロック情報生成手段と、
前記操作ロック情報を、前記複数の認証対象機器についての前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信する操作ロック情報送信手段と、
前記操作ロック連携サーバから前記連携データを受信する連携データ受信手段と、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促す認証要求手段とを備え、
前記操作ロック情報生成手段は、前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報を生成し、
前記操作ロック情報生成手段は、前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を生成し、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データの受信後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証を実施させる操作ロック連携エージェント。
[Appendix 10]
A monitoring target among a plurality of authentication target devices including an initial authentication target device authenticated using an authentication means and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means authentication-required state information indicating whether or not the monitored authentication-targeted device is in an authentication-required state, which is a state requiring authentication, and the authentication result of the monitored authentication-targeted device operation lock information generating means for generating operation lock information;
operation lock information transmitting means for transmitting the operation lock information to an operation lock cooperation server that receives the operation lock information for the plurality of authentication target devices and generates cooperation data combining the received operation lock information; ,
cooperation data receiving means for receiving the cooperation data from the operation lock cooperation server;
When the operation lock information including the authentication required state information indicating that the authentication required state is included in the cooperation data, and when the authentication target device to be monitored is the first-stage authentication target device, the authentication authentication requesting means for prompting the means to perform authentication;
The operation lock information generating means generates operation lock information including a result of the authentication when the authentication target device to be monitored is authenticated,
The operation lock information generating means, when the authentication-required state is detected in the authentication-required device to be monitored, performs an operation including authentication-required state information indicating that the authentication-required device to be monitored is in the authentication-required state. generate lock information,
After receiving the cooperation data containing the operation lock information including the authentication required state information indicating the authentication required state, if the authentication is normally performed by the authentication means, the single sign-on mechanism is used. , an operation lock cooperation agent that performs authentication of the authentication target device for which the authentication required state is detected.
[付記11]
前記操作ロック情報生成手段は、前記認証対象機器の初回認証時に、前記認証対象機器のアドレス情報を取得し、該取得したアドレス情報を更に含む操作ロック情報を生成する付記10に記載の操作ロック連携エージェント。
[Appendix 11]
11. The operation lock cooperation according to
[付記12]
前記操作ロック情報生成手段は、前記認証対象機器の初回認証時に、前記操作ロック情報を識別するためのIDを発行し、該発行したIDを更に含む操作ロック情報を生成し、
前記連携データ受信手段は、前記操作ロック連携サーバから受信した連携データに操作ロック情報生成手段が発行したIDを含む操作ロック情報が含まれる場合、前記受信した連携データを記憶する付記10又は11に記載の操作ロック連携エージェント。
[Appendix 12]
The operation lock information generating means issues an ID for identifying the operation lock information when the authentication target device is first authenticated, and generates operation lock information further including the issued ID,
When the cooperation data received from the operation lock cooperation server includes the operation lock information including the ID issued by the operation lock information generating means, the cooperation data receiving means stores the received cooperation data. Described operation lock cooperation agent.
[付記13]
前記認証要求手段は、前記後段の認証対象機器を監視対象の認証対象機器とする操作ロック連携エージェントから送信された操作ロック情報に含まれる要認証状態情報が要認証状態を示す場合、認証手段に認証を促す付記10から12何れか1つに記載の操作ロック連携エージェント。
[Appendix 13]
The authentication request means, when the authentication required state information included in the operation lock cooperation agent transmitted from the operation lock cooperation agent whose authentication target device in the latter stage is the authentication target device to be monitored indicates an authentication required state, 13. The operation lock cooperation agent according to any one of
[付記14]
前記操作ロック情報は前記操作ロック情報の更新時刻を更に含み、
前記連携データにおいて、前記初段の認証対象機器を監視対象の認証対象機器とする操作ロック連携エージェントから送信された操作ロック情報に含まれる認証結果が認証成功を示し、かつ前記更新時刻が、前記要認証状態が検知された認証対象機器を監視対象の認証対象機器とする操作ロック連携エージェントから送信された操作ロック情報に含まれる更新時刻よりも後の時刻である場合、前記要認証状態が検知された認証対象機器の認証が実施される付記10から13何れか1つに記載の操作ロック連携エージェント。
[Appendix 14]
the operation lock information further includes an update time of the operation lock information;
In the cooperation data, the authentication result included in the operation lock information transmitted from the operation lock cooperation agent whose first-stage authentication target device is the authentication target device to be monitored indicates authentication success, and the update time corresponds to the request. If the time is later than the update time included in the operation lock information transmitted from the operation lock cooperation agent that designates the authentication target device whose authentication state is detected as the authentication target device to be monitored, the authentication required state is detected. 14. The operation lock cooperation agent according to any one of
[付記15]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントから前記操作ロック情報を受信する操作ロック情報受信手段と、
前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合して連携データを生成する連携データ生成手段と、
前記連携データを前記操作ロック連携エージェントに送信する連携データ送信手段とを備え、
前記操作ロック情報受信手段は、前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を前記操作ロック連携エージェントから受信し、
前記操作ロック情報受信手段は、各認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を前記操作ロック連携エージェントから受信し、
前記連携データ送信手段は、前記要認証状態である旨を示す操作ロック情報を含む連携データを前記操作ロック連携エージェントに送信し、
前記認証手段は、前記初段の認証対象機器に対応する操作ロック連携エージェントから認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携サーバ。
[Appendix 15]
Corresponding to each of a plurality of devices to be authenticated, including a first-stage device to be authenticated using authentication means and one or more devices to be authenticated at a later stage that are authenticated by single sign-on using the authentication result of the authentication means An operation lock that generates authentication required status information indicating whether or not each authentication target device is in an authentication required state, which is a state that requires authentication, and operation lock information that includes the authentication result of each authentication target device. operation lock information receiving means for receiving the operation lock information from the cooperation agent;
cooperation data generating means for generating cooperation data by combining the operation lock information received from the operation lock cooperation agents corresponding to each of the plurality of authentication target devices;
cooperation data transmission means for transmitting the cooperation data to the operation lock cooperation agent;
The operation lock information receiving means receives operation lock information including an authentication result indicating authentication success from the operation lock cooperation agent when the authentication target device is authenticated in the single sign-on,
The operation lock information receiving means, when the authentication required state is detected in each authentication target device, transmits the operation lock information including the authentication required state information indicating that the authentication target device is in the authentication required state to the operation lock cooperation. received from the agent,
The cooperation data transmission means transmits cooperation data including operation lock information indicating that the authentication is required to the operation lock cooperation agent,
The authentication means is prompted to perform authentication by an operation lock cooperation agent corresponding to the first-stage authentication target device,
An operation lock cooperation server that authenticates the authentication target device for which the authentication required state is detected using the single sign-on mechanism when authentication by the authentication means is performed normally.
[付記16]
前記操作ロック情報受信手段は、前記認証対象機器の初回認証時に、前記認証対象機器のアドレス情報を更に含む操作ロック情報を操作ロック連携エージェントから受信する付記15に記載の操作ロック連携サーバ。
[Appendix 16]
16. The operation lock cooperation server according to appendix 15, wherein the operation lock information receiving means receives operation lock information further including address information of the authentication target device from an operation lock cooperation agent when the authentication target device is authenticated for the first time.
[付記17]
前記連携データ生成手段は、前記操作ロック情報に含まれるアドレス情報に基づいて、前記複数の認証対象機器のそれぞれに対応する操作ロック連携エージェントから受信した操作ロック情報を結合する付記16に記載の操作ロック連携サーバ。
[Appendix 17]
17. The operation according to appendix 16, wherein the cooperation data generating means combines the operation lock information received from the operation lock cooperation agents corresponding to each of the plurality of authentication target devices based on the address information included in the operation lock information. Lock cooperation server.
[付記18]
前記連携データ生成手段は、各操作ロック連携エージェントから送信された操作ロック情報に、前記シングルサインオンで認証が行われた順にチェーンオーダーを付与する付記15から17何れか1つに記載の操作ロック連携サーバ。
[Appendix 18]
18. The operation lock according to any one of appendices 15 to 17, wherein the cooperation data generating means gives a chain order to the operation lock information transmitted from each operation lock cooperation agent in the order in which authentication is performed by the single sign-on. Collaborative server.
[付記19]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置される操作ロック連携エージェントから、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を操作ロック連携サーバに送信し、
操作ロック連携サーバにおいて、前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合した連携データを生成し、該連携データを前記操作ロック連携エージェントに送信することを有し、
前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報が前記操作ロック連携エージェントから前記操作ロック連携サーバに送信され、
前記認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が前記操作ロック連携エージェントから前記操作ロック連携サーバに送信され、
前記要認証状態である旨を示す操作ロック情報を含む連携データが前記操作ロック連携サーバから前記操作ロック連携エージェントに送信され、
前記初段の認証対象機器において前記認証手段に認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携方法。
[Appendix 19]
Corresponding to each of a plurality of devices to be authenticated, including a first-stage device to be authenticated using authentication means and one or more devices to be authenticated at a later stage that are authenticated by single sign-on using the authentication result of the authentication means Authentication required state information indicating whether or not each authentication target device is in an authentication required state, which is a state requiring authentication, and an operation lock including the authentication result for each authentication target device, from the operation lock cooperation agent arranged as Send the information to the operation lock cooperation server,
The operation lock cooperation server generates cooperation data by combining the operation lock information received from the operation lock cooperation agents corresponding to each of the plurality of authentication target devices, and transmits the cooperation data to the operation lock cooperation agent. have the
when the authentication target device is authenticated in the single sign-on, operation lock information including an authentication result indicating successful authentication is transmitted from the operation lock cooperation agent to the operation lock cooperation server;
When the authentication required state is detected in the authentication target device, operation lock information including authentication required state information indicating that the authentication target device is in the authentication required state is sent from the operation lock cooperation agent to the operation lock cooperation server. sent,
cooperation data including operation lock information indicating that the authentication is required is transmitted from the operation lock cooperation server to the operation lock cooperation agent;
prompting the authentication means to perform authentication in the first-stage authentication target device;
An operation lock cooperation method in which, when authentication by the authentication means is performed normally, authentication of the authentication target device in which the authentication required state is detected is performed using the single sign-on mechanism.
[付記20]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成し、
前記操作ロック情報を、前記複数の認証対象機器についての前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信し、
前記操作ロック連携サーバから前記連携データを受信し、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促すことを有し、
前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報が生成され、
前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が生成され、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データが受信された後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携方法。
[Appendix 20]
A monitoring target among a plurality of authentication target devices including an initial authentication target device authenticated using an authentication means and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means authentication-required state information indicating whether or not the monitored authentication-targeted device is in an authentication-required state, which is a state requiring authentication, and the authentication result of the monitored authentication-targeted device generate operation lock information,
transmitting the operation lock information to an operation lock cooperation server that receives the operation lock information for the plurality of authentication target devices and generates cooperation data that combines the received operation lock information;
receiving the cooperation data from the operation lock cooperation server;
When the operation lock information including the authentication required state information indicating that the authentication required state is included in the cooperation data, and when the authentication target device to be monitored is the first-stage authentication target device, the authentication having prompting the means to carry out authentication;
when authentication is performed in the authentication target device to be monitored, operation lock information including the result of the authentication is generated;
when the authentication required state is detected in the authentication target device to be monitored, operation lock information including authentication required state information indicating that the authentication target device to be monitored is in the authentication required state is generated;
After the cooperation data containing the operation lock information including the authentication required state information indicating the authentication required state is received, when the authentication is normally performed by the authentication means, the single sign-on mechanism is activated. An operation lock cooperation method for performing authentication of an authentication target device in which the authentication required state is detected, using an operation lock cooperation method.
[付記21]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントから前記操作ロック情報を受信し、
前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合して連携データを生成し、
前記連携データを前記操作ロック連携エージェントに送信することを有し、
前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報が前記操作ロック連携エージェントから受信され、
各認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が前記操作ロック連携エージェントから受信され、
前記要認証状態である旨を示す操作ロック情報を含む連携データが前記操作ロック連携エージェントに送信され、
前記初段の認証対象機器に対応する操作ロック連携エージェントから前記認証手段に認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携方法。
[Appendix 21]
Corresponding to each of a plurality of devices to be authenticated, including a first-stage device to be authenticated using authentication means and one or more devices to be authenticated at a later stage that are authenticated by single sign-on using the authentication result of the authentication means An operation lock that generates authentication required status information indicating whether or not each authentication target device is in an authentication required state, which is a state that requires authentication, and operation lock information that includes the authentication result of each authentication target device. receiving the operation lock information from the cooperation agent;
combining the operation lock information received from the operation lock cooperation agent corresponding to each of the plurality of authentication target devices to generate cooperation data;
transmitting the cooperation data to the operation lock cooperation agent;
receiving operation lock information including an authentication result indicating successful authentication from the operation lock cooperation agent when the authentication target device is authenticated in the single sign-on;
when the authentication required state is detected in each authentication target device, operation lock information including authentication required state information indicating that the authentication target device is in the authentication required state is received from the operation lock cooperation agent;
cooperation data including operation lock information indicating that the authentication is required is transmitted to the operation lock cooperation agent;
The operation lock cooperation agent corresponding to the first-stage authentication target device prompts the authentication means to perform authentication,
An operation lock cooperation method in which, when authentication by the authentication means is performed normally, authentication of the authentication target device in which the authentication required state is detected is performed using the single sign-on mechanism.
[付記22]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成し、
前記操作ロック情報を、前記複数の認証対象機器について前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信し、
前記操作ロック連携サーバから前記連携データを受信し、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促す処理をコンピュータに実行させるためのプログラムであり、
前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報が生成され、
前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が生成され、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データが受信された後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるプログラム。
[Appendix 22]
A monitoring target among a plurality of authentication target devices including an initial authentication target device authenticated using an authentication means and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means authentication-required state information indicating whether or not the monitored authentication-targeted device is in an authentication-required state, which is a state requiring authentication, and the authentication result of the monitored authentication-targeted device generate operation lock information,
transmitting the operation lock information to an operation lock cooperation server that receives the operation lock information for the plurality of authentication target devices and generates cooperation data that combines the received operation lock information;
receiving the cooperation data from the operation lock cooperation server;
When the operation lock information including the authentication required state information indicating that the authentication required state is included in the cooperation data, and when the authentication target device to be monitored is the first-stage authentication target device, the authentication A program for causing a computer to execute a process of prompting the means to perform authentication,
when authentication is performed in the authentication target device to be monitored, operation lock information including the result of the authentication is generated;
when the authentication required state is detected in the authentication target device to be monitored, operation lock information including authentication required state information indicating that the authentication target device to be monitored is in the authentication required state is generated;
After the cooperation data containing the operation lock information including the authentication required state information indicating the authentication required state is received, when the authentication is normally performed by the authentication means, the single sign-on mechanism is activated. A program for performing authentication of an authentication target device in which the authentication required state is detected, using a program.
[付記23]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントから前記操作ロック情報を受信し、
前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合して連携データを生成し、
前記連携データを前記操作ロック連携エージェントに送信する処理をコンピュータに実行させるためのプログラムであり、
前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報が前記操作ロック連携エージェントから受信され、
各認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が前記操作ロック連携エージェントから受信され、
前記要認証状態である旨を示す操作ロック情報を含む連携データが前記操作ロック連携エージェントに送信され、
前記初段の認証対象機器に対応する操作ロック連携エージェントから前記認証手段に認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるプログラム。
[Appendix 23]
Corresponding to each of a plurality of devices to be authenticated, including a first-stage device to be authenticated using authentication means and one or more devices to be authenticated at a later stage that are authenticated by single sign-on using the authentication result of the authentication means An operation lock that generates authentication required status information indicating whether or not each authentication target device is in an authentication required state, which is a state that requires authentication, and operation lock information that includes the authentication result of each authentication target device. receiving the operation lock information from the cooperation agent;
combining the operation lock information received from the operation lock cooperation agent corresponding to each of the plurality of authentication target devices to generate cooperation data;
A program for causing a computer to execute a process of transmitting the cooperation data to the operation lock cooperation agent,
receiving operation lock information including an authentication result indicating successful authentication from the operation lock cooperation agent when the authentication target device is authenticated in the single sign-on;
when the authentication required state is detected in each authentication target device, operation lock information including authentication required state information indicating that the authentication target device is in the authentication required state is received from the operation lock cooperation agent;
cooperation data including operation lock information indicating that the authentication is required is transmitted to the operation lock cooperation agent;
The operation lock cooperation agent corresponding to the first-stage authentication target device prompts the authentication means to perform authentication,
A program for performing authentication of an authentication target device in which the authentication required state is detected using the single sign-on mechanism when the authentication by the authentication means is performed normally.
10:システム操作ロック解除システム
20:認証対象機器
21:認証手段
30:検知手段
40:操作ロック連携エージェント
50:操作ロック連携サーバ
100:システム操作ロック解除システム
101:操作ロック連携サーバ
102:操作ロック連携データベース
111:操作ロック情報受信手段
112:連携データ生成手段
113:連携データ送信手段
150:操作ロック連携エージェント
151:操作ロック情報生成手段
152:操作ロック情報送信手段
153:連携データ受信手段
154:認証要求手段
200:情報端末
201:顔認証システム
202:VPNクライアント
203:操作ロック連携エージェント
204:MACアドレス取得部
205:IPアドレス取得部
206:操作ロック検知部
207:ローカルストレージ
208:カメラ
300:操作ロック連携エージェント装置
301:操作ロック連携エージェント
302:IPアドレス取得部
303:タイムアウト検知部
304:ローカルストレージ
400:仮想デスクトップ端末
401:ログイン認証部
402:業務システムクライアント
403:操作ロック連携エージェント
404:IPアドレス取得部
405:操作ロック検知部
406:ローカルストレージ
500:業務システム
501:ログイン認証部
502:操作ロック連携エージェント
503:IPアドレス取得部
504:タイムアウト検知部
505:ローカルストレージ
600:VPN装置
601:VPN認証部
10: System operation lock release system 20: Authentication target device 21: Authentication means 30: Detection means 40: Operation lock cooperation agent 50: Operation lock cooperation server 100: System operation lock release system 101: Operation lock cooperation server 102: Operation lock cooperation Database 111: Operation lock information reception means 112: Cooperation data generation means 113: Cooperation data transmission means 150: Operation lock cooperation agent 151: Operation lock information generation means 152: Operation lock information transmission means 153: Cooperation data reception means 154: Authentication request Means 200: Information terminal 201: Face authentication system 202: VPN client 203: Operation lock cooperation agent 204: MAC address acquisition unit 205: IP address acquisition unit 206: Operation lock detection unit 207: Local storage 208: Camera 300: Operation lock cooperation Agent device 301: Operation lock cooperation agent 302: IP address acquisition unit 303: Timeout detection unit 304: Local storage 400: Virtual desktop terminal 401: Login authentication unit 402: Business system client 403: Operation lock cooperation agent 404: IP address acquisition unit 405: Operation lock detection unit 406: Local storage 500: Business system 501: Login authentication unit 502: Operation lock cooperation agent 503: IP address acquisition unit 504: Timeout detection unit 505: Local storage 600: VPN device 601: VPN authentication unit
Claims (10)
前記複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを検知する検知手段と、
前記複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が前記要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントと、
前記操作ロック連携エージェントから前記操作ロック情報を受信し、前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合した連携データを生成し、該連携データを前記操作ロック連携エージェントに送信する操作ロック連携サーバとを備え、
前記操作ロック連携エージェントは、前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を前記操作ロック連携サーバに送信し、
前記操作ロック連携エージェントは、前記検知手段が要認証状態を検知した場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を前記操作ロック連携サーバに送信し、
前記操作ロック連携サーバは、前記要認証状態である旨を示す操作ロック情報を含む連携データを生成して前記操作ロック連携エージェントに送信し、
前記初段の認証対象機器に対応する操作ロック連携エージェントは前記認証手段に認証の実施を促し、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるシステム操作ロック解除システム。 A first-stage authentication target device authenticated using an authentication means, a plurality of authentication target devices including one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means;
detection means arranged corresponding to each of the plurality of authentication target devices and detecting whether or not each authentication target device is in an authentication required state, which is a state requiring authentication;
authentication required state information indicating whether or not each authentication target device is in the authentication required state, and operation lock information including an authentication result in each authentication target device, which are arranged corresponding to each of the plurality of authentication target devices; an operation lock cooperation agent to be generated;
receiving the operation lock information from the operation lock cooperation agent; generating cooperation data by combining the operation lock information received from the operation lock cooperation agents corresponding to each of the plurality of authentication target devices; an operation lock cooperation server that transmits to the operation lock cooperation agent;
When the authentication target device is authenticated in the single sign-on, the operation lock cooperation agent transmits operation lock information including an authentication result indicating successful authentication to the operation lock cooperation server,
The operation lock cooperation agent transmits, to the operation lock cooperation server, operation lock information including authentication required state information indicating that the authentication target device is in the authentication required state when the detecting means detects the authentication required state. ,
The operation lock cooperation server generates cooperation data including operation lock information indicating that the authentication is required, and transmits the cooperation data to the operation lock cooperation agent;
The operation lock cooperation agent corresponding to the first-stage authentication target device prompts the authentication means to perform authentication,
A system operation unlocking system in which, when authentication by the authentication means is performed normally, authentication of the authentication target device in which the authentication required state is detected is performed using the single sign-on mechanism.
前記操作ロック情報を、前記複数の認証対象機器についての前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信する操作ロック情報送信手段と、
前記操作ロック連携サーバから前記連携データを受信する連携データ受信手段と、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促す認証要求手段とを備え、
前記操作ロック情報生成手段は、前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報を生成し、
前記操作ロック情報生成手段は、前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を生成し、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データの受信後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証を実施させる操作ロック連携エージェント。 A monitoring target among a plurality of authentication target devices including an initial authentication target device authenticated using an authentication means and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means authentication-required state information indicating whether or not the monitored authentication-targeted device is in an authentication-required state, which is a state requiring authentication, and the authentication result of the monitored authentication-targeted device operation lock information generating means for generating operation lock information;
operation lock information transmitting means for transmitting the operation lock information to an operation lock cooperation server that receives the operation lock information for the plurality of authentication target devices and generates cooperation data combining the received operation lock information; ,
cooperation data receiving means for receiving the cooperation data from the operation lock cooperation server;
When the operation lock information including the authentication required state information indicating that the authentication required state is included in the cooperation data, and when the authentication target device to be monitored is the first-stage authentication target device, the authentication authentication requesting means for prompting the means to perform authentication;
The operation lock information generating means generates operation lock information including a result of the authentication when the authentication target device to be monitored is authenticated,
The operation lock information generating means, when the authentication-required state is detected in the authentication-required device to be monitored, performs an operation including authentication-required state information indicating that the authentication-required device to be monitored is in the authentication-required state. generate lock information,
After receiving the cooperation data containing the operation lock information including the authentication required state information indicating the authentication required state, if the authentication is normally performed by the authentication means, the single sign-on mechanism is used. , an operation lock cooperation agent that performs authentication of the authentication target device for which the authentication required state is detected.
前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合して連携データを生成する連携データ生成手段と、
前記連携データを前記操作ロック連携エージェントに送信する連携データ送信手段とを備え、
前記操作ロック情報受信手段は、前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を前記操作ロック連携エージェントから受信し、
前記操作ロック情報受信手段は、各認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を前記操作ロック連携エージェントから受信し、
前記連携データ送信手段は、前記要認証状態である旨を示す操作ロック情報を含む連携データを前記操作ロック連携エージェントに送信し、
前記認証手段は、前記初段の認証対象機器に対応する操作ロック連携エージェントから認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携サーバ。 Corresponding to each of a plurality of devices to be authenticated, including a first-stage device to be authenticated using authentication means and one or more devices to be authenticated at a later stage that are authenticated by single sign-on using the authentication result of the authentication means An operation lock that generates authentication required status information indicating whether or not each authentication target device is in an authentication required state, which is a state that requires authentication, and operation lock information that includes the authentication result of each authentication target device. operation lock information receiving means for receiving the operation lock information from the cooperation agent;
cooperation data generating means for generating cooperation data by combining the operation lock information received from the operation lock cooperation agents corresponding to each of the plurality of authentication target devices;
cooperation data transmission means for transmitting the cooperation data to the operation lock cooperation agent;
The operation lock information receiving means receives operation lock information including an authentication result indicating authentication success from the operation lock cooperation agent when the authentication target device is authenticated in the single sign-on,
The operation lock information receiving means, when the authentication required state is detected in each authentication target device, transmits the operation lock information including the authentication required state information indicating that the authentication target device is in the authentication required state to the operation lock cooperation. received from the agent,
The cooperation data transmission means transmits cooperation data including operation lock information indicating that the authentication is required to the operation lock cooperation agent,
The authentication means is prompted to perform authentication by an operation lock cooperation agent corresponding to the first-stage authentication target device,
An operation lock cooperation server that authenticates the authentication target device for which the authentication required state is detected using the single sign-on mechanism when authentication by the authentication means is performed normally.
前記操作ロック情報を、前記複数の認証対象機器についての前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信し、
前記操作ロック連携サーバから前記連携データを受信し、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促すことを有し、
前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報が生成され、
前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が生成され、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データが受信された後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携方法。 A monitoring target among a plurality of authentication target devices including an initial authentication target device authenticated using an authentication means and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means authentication-required state information indicating whether or not the monitored authentication-targeted device is in an authentication-required state, which is a state requiring authentication, and the authentication result of the monitored authentication-targeted device generate operation lock information,
transmitting the operation lock information to an operation lock cooperation server that receives the operation lock information for the plurality of devices to be authenticated and generates cooperation data that combines the received operation lock information;
receiving the cooperation data from the operation lock cooperation server;
When the cooperation data includes operation lock information including authentication required state information indicating the authentication required state, and when the authentication target device to be monitored is the first authentication target device, the authentication having prompting the means to carry out authentication;
when authentication is performed in the authentication target device to be monitored, operation lock information including the result of the authentication is generated;
when the authentication required state is detected in the authentication target device to be monitored, operation lock information including authentication required state information indicating that the authentication target device to be monitored is in the authentication required state is generated;
After receiving the cooperation data containing the operation lock information including the authentication required state information indicating the authentication required state, if the authentication is normally performed by the authentication means, the single sign-on mechanism is activated. An operation lock cooperation method for performing authentication of an authentication target device in which the authentication required state is detected, using the method.
前記操作ロック情報を、前記複数の認証対象機器について前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信し、
前記操作ロック連携サーバから前記連携データを受信し、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促す処理をコンピュータに実行させるためのプログラムであり、
前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報が生成され、
前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が生成され、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データが受信された後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるプログラム。 A monitoring target among a plurality of authentication target devices including an initial authentication target device authenticated using an authentication means and one or more subsequent authentication target devices authenticated by single sign-on using the authentication result of the authentication means authentication-required state information indicating whether or not the monitored authentication-targeted device is in an authentication-required state, which is a state requiring authentication, and the authentication result of the monitored authentication-targeted device generate operation lock information,
transmitting the operation lock information to an operation lock cooperation server that receives the operation lock information for the plurality of authentication target devices and generates cooperation data that combines the received operation lock information;
receiving the cooperation data from the operation lock cooperation server;
When the operation lock information including the authentication required state information indicating that the authentication required state is included in the cooperation data, and when the authentication target device to be monitored is the first-stage authentication target device, the authentication A program for causing a computer to execute a process of prompting the means to perform authentication,
when authentication is performed in the authentication target device to be monitored, operation lock information including the result of the authentication is generated;
when the authentication required state is detected in the authentication target device to be monitored, operation lock information including authentication required state information indicating that the authentication target device to be monitored is in the authentication required state is generated;
After the cooperation data containing the operation lock information including the authentication required state information indicating the authentication required state is received, when the authentication is normally performed by the authentication means, the single sign-on mechanism is activated. A program for performing authentication of an authentication target device in which the authentication required state is detected, using a program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019060549A JP7183908B2 (en) | 2019-03-27 | 2019-03-27 | System operation lock release system, operation lock cooperation agent, server, method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019060549A JP7183908B2 (en) | 2019-03-27 | 2019-03-27 | System operation lock release system, operation lock cooperation agent, server, method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020160873A JP2020160873A (en) | 2020-10-01 |
JP7183908B2 true JP7183908B2 (en) | 2022-12-06 |
Family
ID=72639472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019060549A Active JP7183908B2 (en) | 2019-03-27 | 2019-03-27 | System operation lock release system, operation lock cooperation agent, server, method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7183908B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005346570A (en) | 2004-06-04 | 2005-12-15 | Canon Inc | Authentication system, authentication method and computer program |
JP2007293760A (en) | 2006-04-27 | 2007-11-08 | Hitachi Ltd | Single sign-on cooperation method and system using individual authentication |
US20120204245A1 (en) | 2011-02-03 | 2012-08-09 | Ting David M T | Secure authentication using one-time passwords |
JP2014154112A (en) | 2013-02-13 | 2014-08-25 | Ricoh Co Ltd | Communication data relay device and program |
US20140344910A1 (en) | 2013-05-16 | 2014-11-20 | Samsung Sds Co., Ltd. | System and method for single-sign-on in virtual desktop infrastructure environment |
-
2019
- 2019-03-27 JP JP2019060549A patent/JP7183908B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005346570A (en) | 2004-06-04 | 2005-12-15 | Canon Inc | Authentication system, authentication method and computer program |
JP2007293760A (en) | 2006-04-27 | 2007-11-08 | Hitachi Ltd | Single sign-on cooperation method and system using individual authentication |
US20120204245A1 (en) | 2011-02-03 | 2012-08-09 | Ting David M T | Secure authentication using one-time passwords |
JP2014154112A (en) | 2013-02-13 | 2014-08-25 | Ricoh Co Ltd | Communication data relay device and program |
US20140344910A1 (en) | 2013-05-16 | 2014-11-20 | Samsung Sds Co., Ltd. | System and method for single-sign-on in virtual desktop infrastructure environment |
Also Published As
Publication number | Publication date |
---|---|
JP2020160873A (en) | 2020-10-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8914866B2 (en) | System and method for user authentication by means of web-enabled personal trusted device | |
US7613929B2 (en) | Method and system for biometric identification and authentication having an exception mode | |
US9454656B2 (en) | System and method for verifying status of an authentication device through a biometric profile | |
US6167517A (en) | Trusted biometric client authentication | |
US8955076B1 (en) | Controlling access to a protected resource using multiple user devices | |
US11556617B2 (en) | Authentication translation | |
US20040230809A1 (en) | Portable wireless access to computer-based systems | |
JP4698751B2 (en) | Access control system, authentication server system, and access control program | |
WO2006072994A1 (en) | Login-to-network-camera authentication system | |
US11936649B2 (en) | Multi-factor authentication | |
US20080046750A1 (en) | Authentication method | |
WO2016206090A1 (en) | Two-factor authentication method, device and apparatus | |
US20230291565A1 (en) | Data recovery for a computing device | |
JP7183908B2 (en) | System operation lock release system, operation lock cooperation agent, server, method, and program | |
US20230084993A1 (en) | Mobile terminal, control method, and storage medium | |
US11551496B1 (en) | Access control systems, devices, and methods therefor | |
JP2021043675A (en) | Control method, control program, information processing device, and information processing system | |
JP6005232B1 (en) | Recovery system, server device, terminal device, recovery method, and recovery program | |
JP3974070B2 (en) | User authentication device, terminal device, program, and computer system | |
US11943349B2 (en) | Authentication through secure sharing of digital secrets previously established between devices | |
JP5123728B2 (en) | Information providing apparatus and information providing system | |
JP2002366519A (en) | System and method of electronic authentication | |
JP2014232490A (en) | Information processing system and information processing method | |
JP2022120271A (en) | Access controller | |
JP2008146351A (en) | Gateway system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220207 |
|
TRDD | Decision of grant or rejection written | ||
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221019 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221025 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221107 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7183908 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |