WO2013132641A1 - Single sign-on system - Google Patents

Single sign-on system Download PDF

Info

Publication number
WO2013132641A1
WO2013132641A1 PCT/JP2012/056037 JP2012056037W WO2013132641A1 WO 2013132641 A1 WO2013132641 A1 WO 2013132641A1 JP 2012056037 W JP2012056037 W JP 2012056037W WO 2013132641 A1 WO2013132641 A1 WO 2013132641A1
Authority
WO
WIPO (PCT)
Prior art keywords
single sign
website
sso
authentication
unit
Prior art date
Application number
PCT/JP2012/056037
Other languages
French (fr)
Japanese (ja)
Inventor
茂生 營田
秀律 神林
綾乃 伊藤
Original Assignee
株式会社日立システムズ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社日立システムズ filed Critical 株式会社日立システムズ
Priority to PCT/JP2012/056037 priority Critical patent/WO2013132641A1/en
Publication of WO2013132641A1 publication Critical patent/WO2013132641A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers

Definitions

  • the present invention relates to a single sign-on system that realizes integrated login to a plurality of websites, and in particular, relates to single sign-on to systems with different mechanisms.
  • Some websites have a mechanism that does not support single sign-on, and are generally not covered by single sign-on.
  • the HTML for displaying the login screen is analyzed to identify the input location of the user ID and password as login information, and the login operation is manually performed by embedding the user ID and password. It is possible to execute without going through.
  • Patent Document 1 Japanese Patent Application Laid-Open No. 2003-323409
  • Patent Document 2 Japanese Patent Application Laid-Open No. 2002-334056
  • Patent Document 3 Japanese Patent Application Laid-Open No. 2008-152596
  • Patent Documents 1 to 3 are based on the premise of single sign-on to a system with the same mechanism, and cannot be handled when single sign-on is not supported or when different login methods are used. Met.
  • an object of the present invention is to provide a single sign-on system that can be handled as a single sign-on object regardless of the construction of a website.
  • an integrated authentication storage unit storing authentication information for each of a plurality of websites for a user and a single sign-on process to a first website having a first single sign-on mechanism
  • a first single sign-on processing unit that performs a second single sign-on processing unit that performs a single sign-on process to a second website having a second single sign-on mechanism, and a first single sign
  • a third single sign-on processing unit that performs a single sign-on process to a third website that does not support the on- mechanism and the second single sign-on mechanism, and accepts a single sign-on request from a user
  • the website to which the user is connected is analyzed, and the analyzed website information
  • the first single sign-on processing unit is caused to execute the single sign-on process and the analyzed web
  • the second single sign-on processing unit is caused to execute the
  • the effect obtained by a typical one is that it is possible to support multiple single sign-on methods while using the single sign-on system that has been used so far, and realize management of single sign-on destinations. Can do.
  • FIG. 1 is a configuration diagram showing a configuration of a single sign-on system according to an embodiment of the present invention.
  • the single sign-on system includes an integrated SSO front function 12 that is an integrated single sign-on processing unit, a database of an integrated authentication directory 13 that is an integrated authentication storage unit, a directory management function 14 that is an authentication information management unit, Reverse proxy type SSO function 15 that is a single sign-on processing unit, agent type SSO function 16 that is a second single sign-on processing unit, scraping type SSO function 17 that is a third single sign-on processing unit, and authentication log 19 It consists of a database.
  • the single sign-on system includes, for example, a server or an information processing apparatus having a CPU, a memory, a storage device, and the like, and performs various processes by executing a program stored on the memory or the storage device by the CPU. .
  • the single sign-on system is connected to user terminals 10A to 10C via the network 11, and is an SSO target site 18A that is accessed by a reverse proxy that is the first website, and an agent that is the second website.
  • Single sign-on processing is executed for the SSO target site 18B to be accessed and the SSO target site 18C to be accessed by scraping, which is the third website.
  • User terminals 10A to 10C are information terminals installed by users who want to receive single sign-on.
  • the integrated SSO front function 12 receives website access requests from a plurality of user terminals 10A to 10C via the network 11, confirms the contents, and refers to the integrated authentication directory 13 to distribute authentication methods. And single sign-on to each of the SSO target sites 18A to 18C.
  • the directory management function 14 stores / changes the authentication information of each SSO target site 18A to 18C in the integrated authentication directory 13.
  • the reverse proxy type SSO function 15 has a function of realizing reverse proxy type single sign-on between a plurality of user terminals 10A to 10C and a plurality of SSO target sites 18A.
  • the agent type SSO function 16 has a function of realizing agent type single sign-on between the plurality of user terminals 10A to 10C and the plurality of SSO target sites 18B.
  • the scraping SSO function 17 has a function of realizing single sign-on by scraping between the plurality of user terminals 10A to 10C and the plurality of SSO target sites 18C.
  • FIGS. 2 to 8 are diagrams showing an internal configuration of each part of the single sign-on system according to the embodiment of the present invention.
  • FIG. 2 shows user terminals 10A to 10C
  • FIG. 3 shows an integrated SSO front function 12
  • FIG. 4 shows a directory management function 14
  • FIG. 5 shows a reverse proxy SSO function 15
  • FIG. 6 shows an agent SSO function 16
  • FIG. 7 shows a scraping SSO function 17, and
  • FIG. 2 shows user terminals 10A to 10C
  • FIG. 3 shows an integrated SSO front function 12
  • FIG. 4 shows a directory management function 14
  • FIG. 5 shows a reverse proxy SSO function
  • FIG. 6 shows an agent SSO function 16
  • FIG. 7 shows a scraping SSO function 17, and
  • FIG. 1 shows user terminals 10A to 10C
  • FIG. 3 shows an integrated SSO front function 12
  • FIG. 4 shows a directory management function 14
  • FIG. 5 shows a reverse proxy SSO function 15
  • FIG. 6 shows an agent SSO
  • the user terminals 10A to 10C are composed of a CPU 101, a keyboard 102 and a pointing device (such as a mouse) 103 constituting an input device, a display device 104, and an internal memory 105.
  • the internal memory 105 includes a program group 106.
  • a WWW browser 1061 is stored.
  • a communication device connected to the network, an external storage device, and the like are also provided.
  • the integrated SSO front function 12 includes an SSO distribution program 121, and the SSO distribution program 121 includes an SSO reception unit 1211, a user information inquiry unit 1212, and an authentication function distribution unit 1213.
  • the reverse proxy type SSO function 15 By controlling the reverse proxy type SSO function 15, the agent type SSO function 16, and the scraping type SSO function 17, various single sign-on is performed, and the authentication result and the like are stored in the authentication log 19.
  • the directory management function 14 includes a directory registration / change program 141 and a scraping information generation program 142.
  • the directory registration / change program 141 includes a directory reading unit 1411, a directory information analysis unit 1412, a shortage information complementing unit 1413, a directory information writing unit 1414, and a log output unit 1415.
  • the scraping information generation program 142 includes a target screen HTML reading unit 1421, an input field generation unit 1422, a reading target output field generation unit 1423, a normal screen transition generation unit 1424, an error screen transition generation unit 1425, and a log output unit 1426.
  • the information in the integrated authentication directory 13 is stored / changed, and the log is output to the authentication log 19.
  • the reverse proxy type SSO function 15 includes a reverse proxy program 151.
  • the reverse proxy program 151 includes an SSO request reception unit 1511, an SSO information generation unit 1512, an SSO information response unit 1513, a cache control unit 1514, and a log output unit 1515. Based on the information in the integrated authentication directory 13, the reverse proxy program 151 Single sign-on is performed on the SSO target site 18A to be accessed, and the log is output to the authentication log 19.
  • the agent type SSO function 16 includes an agent control program 161.
  • the agent control program 161 includes an SSO request reception unit 1611, an SSO information generation unit 1612, and a log output unit 1613, and performs single sign-on to the SSO target site 18B accessed by the agent based on information in the integrated authentication directory 13. The log is output to the authentication log 19.
  • the scraping SSO function 17 includes a scraping SSO program 171.
  • the scraping SSO program 171 includes an SSO request reception unit 1710, a login URL operation unit 1711, a screen operation unit 1712, a screen reading unit 1713, a login information input unit 1714, and a log output unit 1715, and is based on information in the integrated authentication directory 13. Then, single sign-on is performed on the SSO target site 18C accessed by scraping, and the log is output to the authentication log 19.
  • the integrated authentication directory 13 stores an integrated login ID 131, an integrated login password 132, and authentication information 133 for each single sign-on destination.
  • SSO destination URL 134 SSO method 135, login ID 136, password 137, reverse proxy supplementary information 138, agent information 139, and scraping information 13A are stored as authentication information 133 of SSO destination 1. Yes.
  • FIG. 9 is a flowchart showing a single sign-on process in the single sign-on system according to the embodiment of the present invention.
  • the single sign-on request is made from the user terminals 10A to 10C, and the SSO target site is connected. The flow of processing until the SSO target site can be used is shown.
  • the user operates the user terminals 10A to 10C (step S3001) and performs a connection operation (step S3002).
  • the integrated SSO front function 12 reads the integrated authentication directory 13 (step S3003), and checks whether or not an integrated login is necessary (step S3004).
  • step S3004 If the integrated login is necessary in step S3004, the integrated login screen is displayed (step S3101), and the user ID / password is accepted.
  • step S3102 a login determination is made as to whether or not there is an error (step S3102). If there is an error in step S3102, an error handling process (step S3201) and an error process log output (step S3202) are performed. The process returns to S3101.
  • step S3004 If the integrated login is not required in step S3004 or if there is no error in step S3102, the connection destination is analyzed (step S3005), and supplementary information is read from the integrated authentication directory 13 (step S3006).
  • a single sign-on destination determination process [determination of whether it is a leave proxy type (step S3007), determination of whether it is an agent type (step S3008)] is performed, and each SSO operation [reverse proxy type SSO operation ( Step S3301), agent type SSO operation (step S3401), scraping type SSO operation (step S3009)] are executed, and the process returns to the user terminals 10A to 10C.
  • steps S3002 to S3004 and steps S3101 to S3202 are processed by the SSO reception unit 1211
  • step S3006 is processed by the user information inquiry unit 1212
  • steps S3007 to S3009, step S3301, and step S3401 are authentication function distribution. This is processed by the unit 1213.
  • FIG. 10 is a flowchart showing a single sign-on destination registration / change process by the directory management function of the single sign-on system according to the embodiment of the present invention.
  • step S4001 it is checked whether or not integrated login is necessary. If integrated login is necessary in step S4001, an integrated login screen is displayed (step S4101), and a user ID / password is received.
  • step S4102 it is determined whether or not there is an error (step S4102). If there is an error in step S4102, an error handling process (step S4201) and an error process log output (step S4202) are performed. Return to before execution. If there is no error in step S4102, the process proceeds to S4002.
  • step S4001 If the integrated login is not required in step S4001, the directory is read from the integrated authentication directory 13 (step S4002), the registration information is received (step S4003), and the directory information analysis (step S4004) is executed.
  • step S4005 it is determined whether or not the single sign-on destination website is scraping type. If the single sign-on destination website is other than the scraping type in step S4005, the missing information is edited (step S4006). Write directory information (step S4007).
  • step S4005 HTML reading of the target screen (step S4301), HTML decomposition (step S4302), login input field, Password input field candidate analysis (step S4303), candidate selection screen generation (step S4304), and candidate selection screen display (step S4305) are executed.
  • the analysis result analyzed in steps S4301 to S4303 can be stored in the integrated authentication directory 13 or the like, and the analysis information stored in the case of the same scraping type website can be used next time.
  • step S4306 it is determined whether or not the input fields such as the login input field and the password input field are changed. If the input field is changed in step S4306, the process returns to step S4305, and the input field is changed to step S4306. If there is no change, normal screen transition generation (step S4307), error screen transition generation (step S4308), and screen transition confirmation screen generation (step S4309) are executed.
  • step S4310 a screen transition confirmation screen is displayed (step S4310), and it is determined whether there is a screen transition change (step S4311). If there is a screen transition change in step S4311, the process returns to step S4310, and a screen transition change is performed in step S4311. If not, the process proceeds to step S4006.
  • Steps S4001 to S4003 and Steps S4101 to S4202 are processed by the directory reading unit 1411.
  • Steps S4004 and S4005 are processed by the directory information analyzing unit 1412.
  • Step S4006 is processed by the missing information complementing unit 1413.
  • Step S4007 Is processed by the directory information writing unit 1414.
  • Steps S4301 and S4302 are processed by the target screen HTML reading unit 1421
  • step S4303 is processed by the input field generation unit 1422
  • steps S4304 to S4306 are processed by the reading target output field generation unit 1423
  • steps S4307 to S4303 are processed.
  • Step S4311 is processed by the normal screen transition generation unit 1424 and the error screen transition generation unit 1425.
  • log output units 1415 and 1426 perform processing for storing the log of each processing in the authentication log 19 or the like.
  • FIG. 11 is a flowchart showing a single sign-on procedure by the reverse proxy SSO function of the single sign-on system according to the embodiment of the present invention.
  • the SSO request is accepted, the cache information is checked, whether or not the user has already logged in is checked, and the necessity / unnecessity of the integrated login operation is determined (steps S5001, S5002, and S5003).
  • step S5003 If an integrated login operation is required in step S5003, SSO information generation (step S5101) and login operation (step S5102) are performed, and single sign-on to the SSO target site 18A accessed by the reverse proxy is performed. Transition.
  • step S5003 when the integrated login operation is not required in step S5003, the fact that the login is continued is reflected as cache information (step S5004).
  • Steps S5001, S5002, and S5003 are processed by the SSO request receiving unit 1511. Steps S5002 and S5004 are controlled by the cache control unit 1514. Step S5101 is processed by the SSO information generation unit 1512. Step S5102 is processed by the SSO information. It is processed by the response unit 1513.
  • the log output unit 1515 performs a process of storing the log of each process in the authentication log 19 or the like.
  • the authentication information presented as a cache from the SSO target site 18A is continuously used, the encrypted communication of the SSO target site 18A is taken over, and the digitally signed certificate is obtained. This can be done by taking over the document.
  • FIG. 12 is a flowchart showing a single sign-on procedure by the agent-type SSO function of the single sign-on system according to the embodiment of the present invention.
  • an SSO request is accepted, the integrated authentication directory 13 is referenced (step S6001), agent information is checked (step S6002), and the SSO target site 18B accessed by the agent as an agent is accessed (step S6003). .
  • step S6001 is processed by the SSO request accepting unit 1611, and steps S6002 and S6003 are processed by the SSO information generating unit 1612.
  • the log output unit 1613 performs a process of storing the log of each process in the authentication log 19 or the like.
  • FIG. 13 is a flowchart showing a single sign-on procedure by the scraping SSO function of the single sign-on system according to the embodiment of the present invention.
  • an SSO request is accepted (step S7001), and a logged-in flag is read from the integrated authentication directory 13 (step S7002).
  • step S7003 it is checked whether or not login has already been performed, and it is determined whether integrated login is necessary or not.
  • step S7003 If a login operation is required in step S7003, the login URL operation (step S7101), the screen operation (step S7102), the screen reading (step S7103), and the login information input (step S7104) are accessed by scraping. To do.
  • step S7004 it is determined whether or not the login check is OK (step S7004). If the login is not successful in step S7004, the login flag is set. Clearing is performed (step S7201), and the process returns to step S7003 to perform login processing again.
  • step S7004 If it is confirmed in step S7004 that login has been completed, the logged-in flag is edited and set to logged-in (step S7005).
  • Steps S7001 to S7005 are processed by the SSO request receiving unit 1710, step S7101 is processed by the login URL operation unit 1711, step S7102 is processed by the screen operation unit 1712, and step S7103 is processed by the screen reading unit 1713.
  • Step S7104 is processed by the login information input unit 1714.
  • the log output unit 1715 performs a process of storing the log of each process in the authentication log 19 or the like.
  • the integrated SSO front function 12 performs a single sign-on by a corresponding method on a website capable of reverse proxy type single sign-on or agent type single sign-on, For websites that do not allow single sign-on with a reverse proxy type or agent type, by using single sign-on by scraping, the single sign-on system used so far can be used as it is, and multiple single sign-on methods can be used. Can respond.
  • the present invention relates to a single sign-on system that realizes integrated login to a plurality of websites, and can be widely applied to systems that require single sign-on to systems with different mechanisms.
  • SYMBOLS 10A-10C ... User terminal, 11 ... Network, 12 ... Integrated SSO front function, 13 ... Integrated authentication directory, 14 ... Directory management function, 15 ... Reverse proxy type SSO function, 16 ... Agent type SSO function, 17 ... Scraping type SSO function, 18A to 18C ... SSO target site, 102 ... keyboard, 103 ... pointing device, 104 ... display device, 105 ... internal memory, 106 ... program group, 121 ... SSO distribution program, 131 ... integrated login ID, 132 ... integrated Login password 133 ... Authentication information 134 ... SSO destination URL 135 ... SSO method 136 ... Login ID 137 ... Password 138 ...
  • Reverse proxy supplementary information 139 ... Agent information 13A ... Scraping information 141 ... Directory registration / change program, 142 ... Scraping information generation program, 151 ... Reverse proxy program, 161 ... Agent control program, 171 ... Scraping SSO program, 1211 ... SSO reception unit, 1212 ... User information inquiry unit, 1213 ... Authentication function Sorting unit, 1411 ... Directory reading unit, 1412 ... Directory information analysis unit, 1413 ... Insufficient information complementing unit, 1414 ... Directory information writing unit, 1415 ... Log output unit, 1421 ... Target screen HTML reading unit, 1422 ... Input field generation unit , 1423 ... Read target output field generation unit, 1424 ... Normal screen transition generation unit, 1425 ...

Abstract

Provided is a single sign-on system which allows single sign-on for any website regardless of how the website was designed. A single sign-on system is provided with: a consolidated authentication directory (13); a reverse-proxy type SSO function (15); an agent type SSO function (16); a scraping type SSO function (17); and a consolidated SSO front function (12) that analyzes the website that a user has connected to on the basis of a single sign-on request from the user, executes single sign-on with the reverse-proxy type SSO function (15) when the analyzed website is an SSO-applicable site (18A), executes single sign-on with the agent type SSO function (16) when the analyzed website is an SSO-applicable site (18B), and executes single sign-on with the scraping type SSO function (17) when the analyzed website is an SSO-applicable site (18C).

Description

シングルサインオンシステムSingle sign-on system
 本発明は、複数のウェブサイトに統合的にログインすることを実現するシングルサインオンシステムに関し、特に、仕組みの異なるシステムへのシングルサインオンに関するものである。 The present invention relates to a single sign-on system that realizes integrated login to a plurality of websites, and in particular, relates to single sign-on to systems with different mechanisms.
 従来、シングルサインオン(SSO:Single Sign-On)は同じシングルサインオンの仕組みを持つウェブサイトに対してのシングルサインオンのみであった。 Conventionally, single sign-on (SSO) is only single sign-on for websites having the same single sign-on mechanism.
 シングルサインオンの方法としては、リバースプロキシ型、エージェント型がある。 There are a reverse proxy type and an agent type as a single sign-on method.
 一般のシングルサインオンシステムでは、リバースプロキシ型またはエージェント型のいずれかのみに対応している。 * A general single sign-on system supports only the reverse proxy type or agent type.
 ウェブサイトの中にはシングルサインオン対応ができない仕組みを持つものが存在しており、一般にはシングルサインオン対象外として扱われている。 Some websites have a mechanism that does not support single sign-on, and are generally not covered by single sign-on.
 ただし、スクレイピングという技術を使用することによって、ログイン画面を表示するHTMLを解析することで、ログイン情報であるユーザIDとパスワードの入力場所を特定し、前記ユーザIDとパスワードを埋め込んでログイン操作を人手を介さずに実行することが可能である。 However, by using a technique called scraping, the HTML for displaying the login screen is analyzed to identify the input location of the user ID and password as login information, and the login operation is manually performed by embedding the user ID and password. It is possible to execute without going through.
 従来、シングルサインオンの技術として、例えば、特開2003-323409号公報(特許文献1)、特開2002-334056号公報(特許文献2)、特開2008-152596号公報(特許文献3)に記載されたものがあった。 Conventional single sign-on techniques include, for example, Japanese Patent Application Laid-Open No. 2003-323409 (Patent Document 1), Japanese Patent Application Laid-Open No. 2002-334056 (Patent Document 2), and Japanese Patent Application Laid-Open No. 2008-152596 (Patent Document 3). There was what was described.
特開2003-323409号公報JP 2003-323409 A 特開2002-334056号公報JP 2002-334056 A 特開2008-152596号公報JP 2008-152596 A
 近年、ユーザがログインしたいウェブサイトは増加する一方であり、ウェブサイトの仕組みに依存せずにシングルサインオンができるシステムが必要である。 In recent years, the number of websites that users want to log in to is increasing, and a system that enables single sign-on without depending on the website mechanism is required.
 ところで、全てのウェブサイトがシングルログイン対応となっておらず、シングルログイン対応しているウェブサイトにおいてもシングルログイン方式が異なる場合がある。 By the way, not all websites support single login, and even single login systems may have different single login methods.
 しかしながら、特許文献1~3に記載のものは、同じ仕組みのシステムへのシングルサインオンが前提の技術であり、シングルサインオンに対応していない場合や、異なるログイン方式の場合などでは対応できないものであった。 However, the technologies described in Patent Documents 1 to 3 are based on the premise of single sign-on to a system with the same mechanism, and cannot be handled when single sign-on is not supported or when different login methods are used. Met.
 そこで、本発明の目的は、ウェブサイトの造りによらず、全てシングルサインオン対象として扱えるシングルサインオンシステムを提供することにある。 Therefore, an object of the present invention is to provide a single sign-on system that can be handled as a single sign-on object regardless of the construction of a website.
 本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。 The above and other objects and novel features of the present invention will be apparent from the description of this specification and the accompanying drawings.
 本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次の通りである。 The outline of a representative one of the inventions disclosed in the present application will be briefly described as follows.
 すなわち、代表的なものの概要は、ユーザに対する複数のウェブサイト毎の認証情報が格納された統合認証格納部と、第1のシングルサインオンの仕組みを持つ第1のウェブサイトへのシングルサインオン処理を行う第1のシングルサインオン処理部と、第2のシングルサインオンの仕組みを持つ第2のウェブサイトへのシングルサインオン処理を行う第2のシングルサインオン処理部と、第1のシングルサインオンの仕組み、および第2のシングルサインオンの仕組みに対応しない第3のウェブサイトへのシングルサインオン処理を行う第3のシングルサインオン処理部と、ユーザからのシングルサインオン要求を受け付け、シングルサインオン要求に基づいて、ユーザの接続先のウェブサイトを解析し、解析したウェブサイトの情報および統合認証格納部に格納された認証情報に基づいて、解析されたウェブサイトが第1のウェブサイトの場合は第1のシングルサインオン処理部にシングルサインオン処理を実行させ、解析されたウェブサイトが第2のウェブサイトの場合は第2のシングルサインオン処理部にシングルサインオン処理を実行させ、解析されたウェブサイトが第3のウェブサイトの場合は第3のシングルサインオン処理部にシングルサインオン処理を実行させる統合シングルサインオン処理部とを備えたものである。 That is, the outline of a typical one is that an integrated authentication storage unit storing authentication information for each of a plurality of websites for a user and a single sign-on process to a first website having a first single sign-on mechanism A first single sign-on processing unit that performs a second single sign-on processing unit that performs a single sign-on process to a second website having a second single sign-on mechanism, and a first single sign A third single sign-on processing unit that performs a single sign-on process to a third website that does not support the on- mechanism and the second single sign-on mechanism, and accepts a single sign-on request from a user, Based on the sign-on request, the website to which the user is connected is analyzed, and the analyzed website information When the analyzed website is the first website based on the authentication information stored in the integrated authentication storage unit, the first single sign-on processing unit is caused to execute the single sign-on process and the analyzed web When the site is the second website, the second single sign-on processing unit is caused to execute the single sign-on process. When the analyzed website is the third website, the third single sign-on processing unit is executed. And an integrated single sign-on processing unit for executing a single sign-on process.
 本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下の通りである。 Among the inventions disclosed in the present application, effects obtained by typical ones will be briefly described as follows.
 すなわち、代表的なものによって得られる効果は、これまで使用してきたシングルサインオンシステムをそのまま使用したまま、複数のシングルサインオン方式に対応することができ、シングルサインオン先の管理を実現することができる。 In other words, the effect obtained by a typical one is that it is possible to support multiple single sign-on methods while using the single sign-on system that has been used so far, and realize management of single sign-on destinations. Can do.
 また、これまでシングルサインオンの対象とすることができなかったウェブサイトにおいてもシングルサインオン対象として扱うことができる。 Also, websites that could not be targeted for single sign-on can be treated as single sign-on.
本発明の一実施の形態に係るシングルサインオンシステムの構成を示す構成図である。It is a block diagram which shows the structure of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムの利用者端末の内部構成を示す図である。It is a figure which shows the internal structure of the user terminal of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムの統合SSOフロント機能の内部構成を示す図である。It is a figure which shows the internal structure of the integrated SSO front function of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのディレクトリ管理機能の内部構成を示す図である。It is a figure which shows the internal structure of the directory management function of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのリバースプロキシ型SSO機能の内部構成を示す図である。It is a figure which shows the internal structure of the reverse proxy type | mold SSO function of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのエージェント型SSO機能の内部構成を示す図である。It is a figure which shows the internal structure of the agent type SSO function of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのスクレイピング型SSO機能の内部構成を示す図である。It is a figure which shows the internal structure of the scraping type | mold SSO function of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムの統合認証ディレクトリの内部構成を示す図である。It is a figure which shows the internal structure of the integrated authentication directory of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムにおけるシングルサインオンの処理を示すフローチャートである。It is a flowchart which shows the process of the single sign-on in the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのディレクトリ管理機能によりシングルサインオン先の登録・変更の処理を示すフローチャートである。It is a flowchart which shows the process of registration / change of a single sign-on destination by the directory management function of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのリバースプロキシ型SSO機能によるシングルサインオンの手順を示すフローチャートである。It is a flowchart which shows the procedure of the single sign-on by the reverse proxy type | mold SSO function of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのエージェント型SSO機能によるシングルサインオンの手順を示すフローチャートである。It is a flowchart which shows the procedure of the single sign-on by the agent type SSO function of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのスクレイピング型SSO機能によるシングルサインオンの手順を示すフローチャートである。It is a flowchart which shows the procedure of the single sign-on by the scraping type SSO function of the single sign-on system which concerns on one embodiment of this invention.
 以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that components having the same function are denoted by the same reference symbols throughout the drawings for describing the embodiment, and the repetitive description thereof will be omitted.
 <シングルサインオンシステムの構成>
 図1により、本発明の一実施の形態に係るシングルサインオンシステムの構成について説明する。図1は本発明の一実施の形態に係るシングルサインオンシステムの構成を示す構成図である。 <Configuration of single sign-on system>
The configuration of a single sign-on system according to an embodiment of the present invention will be described with reference to FIG. FIG. 1 is a configuration diagram showing a configuration of a single sign-on system according to an embodiment of the present invention.
 図1において、シングルサインオンシステムは、統合シングルサインオン処理部である統合SSOフロント機能12、統合認証格納部である統合認証ディレクトリ13のデータベース、認証情報管理部であるディレクトリ管理機能14、第1のシングルサインオン処理部であるリバースプロキシ型SSO機能15、第2のシングルサインオン処理部であるエージェント型SSO機能16、第3のシングルサインオン処理部であるスクレイピング型SSO機能17、認証ログ19のデータベースから構成されている。 1, the single sign-on system includes an integrated SSO front function 12 that is an integrated single sign-on processing unit, a database of an integrated authentication directory 13 that is an integrated authentication storage unit, a directory management function 14 that is an authentication information management unit, Reverse proxy type SSO function 15 that is a single sign-on processing unit, agent type SSO function 16 that is a second single sign-on processing unit, scraping type SSO function 17 that is a third single sign-on processing unit, and authentication log 19 It consists of a database.
 シングルサインオンシステムは、例えば、CPU、メモリ、記憶装置などを有するサーバや情報処理装置などで構成され、メモリや記憶装置上に格納されたプログラムをCPUで実行することで各種処理を行っている。 The single sign-on system includes, for example, a server or an information processing apparatus having a CPU, a memory, a storage device, and the like, and performs various processes by executing a program stored on the memory or the storage device by the CPU. .
 また、シングルサインオンシステムには、ネットワーク11を介して利用者端末10A~10Cが接続され、第1のウェブサイトであるリバースプロキシでアクセスするSSO対象サイト18A、第2のウェブサイトであるエージェントでアクセスするSSO対象サイト18B、第3のウェブサイトであるスクレイピングでアクセスするSSO対象サイト18Cへのシングルサインオンの処理を実行している。 The single sign-on system is connected to user terminals 10A to 10C via the network 11, and is an SSO target site 18A that is accessed by a reverse proxy that is the first website, and an agent that is the second website. Single sign-on processing is executed for the SSO target site 18B to be accessed and the SSO target site 18C to be accessed by scraping, which is the third website.
 利用者端末10A~10Cは、シングルサインオンを受けたい利用者によって設置される情報端末である。 User terminals 10A to 10C are information terminals installed by users who want to receive single sign-on.
 統合SSOフロント機能12は、複数の利用者端末10A~10Cからのウェブサイトアクセス要求をネットワーク11を介して受信し、その内容を確認後、統合認証ディレクトリ13を参照の上、認証方法の振り分けを行い、それぞれのSSO対象サイト18A~18Cにシングルサインオンを行う。 The integrated SSO front function 12 receives website access requests from a plurality of user terminals 10A to 10C via the network 11, confirms the contents, and refers to the integrated authentication directory 13 to distribute authentication methods. And single sign-on to each of the SSO target sites 18A to 18C.
 ディレクトリ管理機能14は、統合認証ディレクトリ13に対して、各SSO対象サイト18A~18Cの認証情報を格納・変更する。 The directory management function 14 stores / changes the authentication information of each SSO target site 18A to 18C in the integrated authentication directory 13.
 リバースプロキシ型SSO機能15は、複数の利用者端末10A~10Cと複数のSSO対象サイト18Aとの間で、リバースプロキシ型のシングルサインオンを実現する機能を備えている。 The reverse proxy type SSO function 15 has a function of realizing reverse proxy type single sign-on between a plurality of user terminals 10A to 10C and a plurality of SSO target sites 18A.
 エージェント型SSO機能16は、複数の利用者端末10A~10Cと複数のSSO対象サイト18Bとの間で、エージェント型のシングルサインオンを実現する機能を備えている。 The agent type SSO function 16 has a function of realizing agent type single sign-on between the plurality of user terminals 10A to 10C and the plurality of SSO target sites 18B.
 スクレイピング型SSO機能17は、複数の利用者端末10A~10Cと複数のSSO対象サイト18Cとの間で、スクレイピングによるシングルサインオンを実現する機能を備えている。 The scraping SSO function 17 has a function of realizing single sign-on by scraping between the plurality of user terminals 10A to 10C and the plurality of SSO target sites 18C.
 <シングルサインオンシステムの各部の内部構成>
 次に、図2~図8により、本発明の一実施の形態に係るシングルサインオンシステムの各部の内部構成について説明する。図2~図8は本発明の一実施の形態に係るシングルサインオンシステムの各部の内部構成を示す図であり、図2は利用者端末10A~10C、図3は統合SSOフロント機能12、図4はディレクトリ管理機能14、図5はリバースプロキシ型SSO機能15、図6はエージェント型SSO機能16、図7はスクレイピング型SSO機能17、図8は統合認証ディレクトリ13を示している。 <Internal configuration of each part of single sign-on system>
Next, the internal configuration of each part of the single sign-on system according to the embodiment of the present invention will be described with reference to FIGS. 2 to 8 are diagrams showing an internal configuration of each part of the single sign-on system according to the embodiment of the present invention. FIG. 2 shows user terminals 10A to 10C, FIG. 3 shows an integrated SSO front function 12, and FIG. 4 shows a directory management function 14, FIG. 5 shows a reverse proxy SSO function 15, FIG. 6 shows an agent SSO function 16, FIG. 7 shows a scraping SSO function 17, and FIG.
 図2において、利用者端末10A~10Cは、CPU101、入力装置を構成するキーボード102及びポインティングデバイス(マウスなど)103、表示装置104、内部メモリ105から構成され、内部メモリ105にはプログラム群106としてWWWブラウザ1061が記憶されている。また、そのほか、ネットワークに接続する通信装置や外部記憶装置なども備えている。 2, the user terminals 10A to 10C are composed of a CPU 101, a keyboard 102 and a pointing device (such as a mouse) 103 constituting an input device, a display device 104, and an internal memory 105. The internal memory 105 includes a program group 106. A WWW browser 1061 is stored. In addition, a communication device connected to the network, an external storage device, and the like are also provided.
 図3において、統合SSOフロント機能12は、SSO振り分けプログラム121から構成されており、SSO振り分けプログラム121はSSO受付部1211、ユーザ情報問合せ部1212、認証機能振り分け部1213から構成され、統合認証ディレクトリ13を参照し、リバースプロキシ型SSO機能15、エージェント型SSO機能16、スクレイピング型SSO機能17を制御することにより、各種シングルサインオンを行い、認証結果などを認証ログ19に格納している。 In FIG. 3, the integrated SSO front function 12 includes an SSO distribution program 121, and the SSO distribution program 121 includes an SSO reception unit 1211, a user information inquiry unit 1212, and an authentication function distribution unit 1213. , By controlling the reverse proxy type SSO function 15, the agent type SSO function 16, and the scraping type SSO function 17, various single sign-on is performed, and the authentication result and the like are stored in the authentication log 19.
 図4において、ディレクトリ管理機能14は、ディレクトリ登録・変更プログラム141、スクレイピング情報生成プログラム142から構成されている。 In FIG. 4, the directory management function 14 includes a directory registration / change program 141 and a scraping information generation program 142.
 ディレクトリ登録・変更プログラム141は、ディレクトリ読込部1411、ディレクトリ情報解析部1412、不足情報補完部1413、ディレクトリ情報書き込み部1414、ログ出力部1415から構成されている。 The directory registration / change program 141 includes a directory reading unit 1411, a directory information analysis unit 1412, a shortage information complementing unit 1413, a directory information writing unit 1414, and a log output unit 1415.
 スクレイピング情報生成プログラム142は、対象画面HTML読み込み部1421、入力フィールド生成部1422、読取対象出力フィールド生成部1423、正常画面遷移生成部1424、エラー画面遷移生成部1425、ログ出力部1426から構成され、統合認証ディレクトリ13の情報を格納・変更し、そのログを認証ログ19に出力する。 The scraping information generation program 142 includes a target screen HTML reading unit 1421, an input field generation unit 1422, a reading target output field generation unit 1423, a normal screen transition generation unit 1424, an error screen transition generation unit 1425, and a log output unit 1426. The information in the integrated authentication directory 13 is stored / changed, and the log is output to the authentication log 19.
 図5において、リバースプロキシ型SSO機能15は、リバースプロキシプログラム151から構成されている。 In FIG. 5, the reverse proxy type SSO function 15 includes a reverse proxy program 151.
 リバースプロキシプログラム151は、SSO要求受付部1511、SSO情報生成部1512、SSO情報応答部1513、キャッシュ制御部1514、ログ出力部1515から構成され、統合認証ディレクトリ13の情報に基づいて、リバースプロキシでアクセスするSSO対象サイト18Aへシングルサインオンを実施し、そのログを認証ログ19に出力する。 The reverse proxy program 151 includes an SSO request reception unit 1511, an SSO information generation unit 1512, an SSO information response unit 1513, a cache control unit 1514, and a log output unit 1515. Based on the information in the integrated authentication directory 13, the reverse proxy program 151 Single sign-on is performed on the SSO target site 18A to be accessed, and the log is output to the authentication log 19.
 図6において、エージェント型SSO機能16は、エージェント制御プログラム161から構成されている。 6, the agent type SSO function 16 includes an agent control program 161.
 エージェント制御プログラム161は、SSO要求受付部1611、SSO情報生成部1612、ログ出力部1613から構成され、統合認証ディレクトリ13の情報に基づいて、エージェントでアクセスするSSO対象サイト18Bへシングルサインオンを実施し、そのログを認証ログ19に出力する。 The agent control program 161 includes an SSO request reception unit 1611, an SSO information generation unit 1612, and a log output unit 1613, and performs single sign-on to the SSO target site 18B accessed by the agent based on information in the integrated authentication directory 13. The log is output to the authentication log 19.
 図7において、スクレイピング型SSO機能17は、スクレイピングSSOプログラム171から構成されている。 7, the scraping SSO function 17 includes a scraping SSO program 171.
 スクレイピングSSOプログラム171は、SSO要求受付部1710、ログインURL操作部1711、画面操作部1712、画面読取部1713、ログイン情報入力部1714、ログ出力部1715から構成され、統合認証ディレクトリ13の情報に基づいて、スクレイピングでアクセスするSSO対象サイト18Cへシングルサインオンを実施し、そのログを認証ログ19に出力する。 The scraping SSO program 171 includes an SSO request reception unit 1710, a login URL operation unit 1711, a screen operation unit 1712, a screen reading unit 1713, a login information input unit 1714, and a log output unit 1715, and is based on information in the integrated authentication directory 13. Then, single sign-on is performed on the SSO target site 18C accessed by scraping, and the log is output to the authentication log 19.
 図8において、統合認証ディレクトリ13には、統合ログインID131、統合ログインパスワード132、シングルサインオン先ごとに認証情報133が格納されている。 8, the integrated authentication directory 13 stores an integrated login ID 131, an integrated login password 132, and authentication information 133 for each single sign-on destination.
 図8に示す例では、SSO先1の認証情報133として、その配下にSSO先URL134、SSO方式135、ログインID136、パスワード137、リバースプロキシ補足情報138、エージェント情報139、スクレイピング情報13Aが格納されている。 In the example shown in FIG. 8, SSO destination URL 134, SSO method 135, login ID 136, password 137, reverse proxy supplementary information 138, agent information 139, and scraping information 13A are stored as authentication information 133 of SSO destination 1. Yes.
 <シングルサインオンの流れ>
 次に、図9により、本発明の一実施の形態に係るシングルサインオンシステムにおけるシングルサインオンの処理について説明する。図9は本発明の一実施の形態に係るシングルサインオンシステムにおけるシングルサインオンの処理を示すフローチャートであり、利用者端末10A~10Cからシングルサインオンの要求を行い、SSO対象サイトに接続し、SSO対象サイトが利用できるようになるまでの処理の流れを示している。 <Single sign-on flow>
Next, a single sign-on process in the single sign-on system according to the embodiment of the present invention will be described with reference to FIG. FIG. 9 is a flowchart showing a single sign-on process in the single sign-on system according to the embodiment of the present invention. The single sign-on request is made from the user terminals 10A to 10C, and the SSO target site is connected. The flow of processing until the SSO target site can be used is shown.
 まず、利用者が利用者端末10A~10Cを操作し(ステップS3001)、接続操作(ステップS3002)を行う。統合SSOフロント機能12は、統合認証ディレクトリ13の読み出しを行い(ステップS3003)、その時点で統合ログインの要・不要のチェック(ステップS3004)を行う。 First, the user operates the user terminals 10A to 10C (step S3001) and performs a connection operation (step S3002). The integrated SSO front function 12 reads the integrated authentication directory 13 (step S3003), and checks whether or not an integrated login is necessary (step S3004).
 ステップS3004で統合ログインが必要な場合は、統合ログイン画面の表示(ステップS3101)が行われ、ユーザID・パスワードの受付を行う。 If the integrated login is necessary in step S3004, the integrated login screen is displayed (step S3101), and the user ID / password is accepted.
 そして、エラーがあるか否かのログインの判定が行われ(ステップS3102)、ステップS3102でエラーがある場合は、エラー対応処理(ステップS3201)、エラー処理ログ出力(ステップS3202)が行われ、ステップS3101に戻る。 Then, a login determination is made as to whether or not there is an error (step S3102). If there is an error in step S3102, an error handling process (step S3201) and an error process log output (step S3202) are performed. The process returns to S3101.
 そして、ステップS3004で統合ログインが不要な場合またはステップS3102でエラーがない場合は、接続先の解析(ステップS3005)、統合認証ディレクトリ13から補足情報の読み出し(ステップS3006)が実行される。 If the integrated login is not required in step S3004 or if there is no error in step S3102, the connection destination is analyzed (step S3005), and supplementary information is read from the integrated authentication directory 13 (step S3006).
 そして、シングルサインオン先の判定処理[リーバスプロシキ型か否かの判定(ステップS3007)、エージェント型か否かの判定(ステップS3008)]が行われ、それぞれのSSO操作[リバースプロシキ型SSO操作(ステップS3301)、エージェント型SSO操作(ステップS3401)、スクレイピング型SSO操作(ステップS3009)]が実行され、利用者端末10A~10Cに戻る。 Then, a single sign-on destination determination process [determination of whether it is a leave proxy type (step S3007), determination of whether it is an agent type (step S3008)] is performed, and each SSO operation [reverse proxy type SSO operation ( Step S3301), agent type SSO operation (step S3401), scraping type SSO operation (step S3009)] are executed, and the process returns to the user terminals 10A to 10C.
 上記ステップS3002~ステップS3004、ステップS3101~ステップS3202の処理はSSO受付部1211で処理され、ステップS3006はユーザ情報問合せ部1212で処理され、ステップS3007~ステップS3009、ステップS3301、ステップS3401は認証機能振り分け部1213で処理されている。 The processes of steps S3002 to S3004 and steps S3101 to S3202 are processed by the SSO reception unit 1211, step S3006 is processed by the user information inquiry unit 1212, and steps S3007 to S3009, step S3301, and step S3401 are authentication function distribution. This is processed by the unit 1213.
 <シングルサインオン先の登録・変更>
 次に、図10により、本発明の一実施の形態に係るシングルサインオンシステムのディレクトリ管理機能によりシングルサインオン先の登録・変更の処理について説明する。図10は本発明の一実施の形態に係るシングルサインオンシステムのディレクトリ管理機能によりシングルサインオン先の登録・変更の処理を示すフローチャートである。 <Register / change single sign-on destination>
Next, a single sign-on destination registration / change process by the directory management function of the single sign-on system according to an embodiment of the present invention will be described with reference to FIG. FIG. 10 is a flowchart showing a single sign-on destination registration / change process by the directory management function of the single sign-on system according to the embodiment of the present invention.
 まず、統合ログインの要・不要のチェック(ステップS4001)を行う。ステップS4001で統合ログインが必要な場合は、統合ログイン画面の表示(ステップS4101)が行われ、ユーザID・パスワードの受付を行う。 First, it is checked whether or not integrated login is necessary (step S4001). If integrated login is necessary in step S4001, an integrated login screen is displayed (step S4101), and a user ID / password is received.
 そして、エラーがあるか否かのログインの判定が行われ(ステップS4102)、ステップS4102でエラーがある場合は、エラー対応処理(ステップS4201)、エラー処理ログ出力(ステップS4202)が行われ、S4101実行前に戻る。ステップS4102でエラーがない場合はS4002に移行する。 Then, it is determined whether or not there is an error (step S4102). If there is an error in step S4102, an error handling process (step S4201) and an error process log output (step S4202) are performed. Return to before execution. If there is no error in step S4102, the process proceeds to S4002.
 ステップS4001で統合ログインが不要な場合は、統合認証ディレクトリ13からディレクトリの読み込み(ステップS4002)、登録情報の受付(ステップS4003)、ディレクトリ情報解析(ステップS4004)を実行する。 If the integrated login is not required in step S4001, the directory is read from the integrated authentication directory 13 (step S4002), the registration information is received (step S4003), and the directory information analysis (step S4004) is executed.
 そして、シングルサインオン先のウェブサイトがスクレイピング型か否かを判断し(ステップS4005)、ステップS4005でシングルサインオン先のウェブサイトがスクレイピング型以外の場合は、不足情報の編集(ステップS4006)、ディレクトリ情報の書き込み(ステップS4007)を実行する。 Then, it is determined whether or not the single sign-on destination website is scraping type (step S4005). If the single sign-on destination website is other than the scraping type in step S4005, the missing information is edited (step S4006). Write directory information (step S4007).
 ステップS4005でシングルサインオン先のウェブサイトがスクレイピング型(スクレイピングによってシングルサインオンするSSO対象サイト18C)の場合は、対象画面のHTML読み出し(ステップS4301)、HTML分解(ステップS4302)、ログイン入力フィールド、パスワード入力フィールド候補解析(ステップS4303)、候補選択画面生成(ステップS4304)、候補選択画面表示(ステップS4305)を実行する。 If the single sign-on destination website is scraping type (SSO target site 18C that performs single sign-on by scraping) in step S4005, HTML reading of the target screen (step S4301), HTML decomposition (step S4302), login input field, Password input field candidate analysis (step S4303), candidate selection screen generation (step S4304), and candidate selection screen display (step S4305) are executed.
 なお、ステップS4301~ステップS4303で解析された解析結果は統合認証ディレクトリ13等に格納し、次回同じスクレイピング型のウェブサイトの場合に格納された解析情報を利用することも可能である。 The analysis result analyzed in steps S4301 to S4303 can be stored in the integrated authentication directory 13 or the like, and the analysis information stored in the case of the same scraping type website can be used next time.
 そして、ログイン入力フィールド、パスワード入力フィールドなどの入力フィールドに変更があるか否かを判断し(ステップS4306)、ステップS4306で入力フィールドに変更があれば、ステップS4305に戻り、ステップS4306で入力フィールドに変更がなければ、正常画面遷移生成(ステップS4307)、エラー画面遷移生成(ステップS4308)、画面遷移確認画面生成(ステップS4309)を実行する。 Then, it is determined whether or not the input fields such as the login input field and the password input field are changed (step S4306). If the input field is changed in step S4306, the process returns to step S4305, and the input field is changed to step S4306. If there is no change, normal screen transition generation (step S4307), error screen transition generation (step S4308), and screen transition confirmation screen generation (step S4309) are executed.
 そして、画面遷移確認画面を表示し(ステップS4310)、画面遷移変更があるか否かを判定し(ステップS4311)、ステップS4311で画面遷移変更があればステップS4310に戻り、ステップS4311で画面遷移変更がなければ、ステップS4006に移行する。 Then, a screen transition confirmation screen is displayed (step S4310), and it is determined whether there is a screen transition change (step S4311). If there is a screen transition change in step S4311, the process returns to step S4310, and a screen transition change is performed in step S4311. If not, the process proceeds to step S4006.
 上記ステップS4001~ステップS4003、ステップS4101~ステップS4202はディレクトリ読込部1411で処理され、ステップS4004、ステップS4005はディレクトリ情報解析部1412で処理され、ステップS4006は不足情報補完部1413で処理され、ステップS4007はディレクトリ情報書き込み部1414で処理されている。 Steps S4001 to S4003 and Steps S4101 to S4202 are processed by the directory reading unit 1411. Steps S4004 and S4005 are processed by the directory information analyzing unit 1412. Step S4006 is processed by the missing information complementing unit 1413. Step S4007 Is processed by the directory information writing unit 1414.
 また、ステップS4301、ステップS4302は対象画面HTML読み込み部1421で処理され、ステップS4303は入力フィールド生成部1422で処理され、ステップS4304~ステップS4306は読取対象出力フィールド生成部1423で処理され、ステップS4307~ステップS4311は正常画面遷移生成部1424およびエラー画面遷移生成部1425で処理されている。 Steps S4301 and S4302 are processed by the target screen HTML reading unit 1421, step S4303 is processed by the input field generation unit 1422, and steps S4304 to S4306 are processed by the reading target output field generation unit 1423, and steps S4307 to S4303 are processed. Step S4311 is processed by the normal screen transition generation unit 1424 and the error screen transition generation unit 1425.
 また、ログ出力部1415、1426は、各処理のログを認証ログ19などに格納する処理を行っている。 In addition, the log output units 1415 and 1426 perform processing for storing the log of each processing in the authentication log 19 or the like.
 <リバースプロキシ型SSO機能によるシングルサインオンの手順>
 次に、図11により、本発明の一実施の形態に係るシングルサインオンシステムのリバースプロキシ型SSO機能によるシングルサインオンの手順について説明する。図11は本発明の一実施の形態に係るシングルサインオンシステムのリバースプロキシ型SSO機能によるシングルサインオンの手順を示すフローチャートである。 <Procedure for single sign-on using reverse proxy SSO function>
Next, a single sign-on procedure using the reverse proxy SSO function of the single sign-on system according to the embodiment of the present invention will be described with reference to FIG. FIG. 11 is a flowchart showing a single sign-on procedure by the reverse proxy SSO function of the single sign-on system according to the embodiment of the present invention.
 まず、SSO要求の受付を行い、キャッシュ情報をチェックし、すでにログインされているかどうかのチェックを行い統合ログイン操作の要・不要判定を行う(ステップS5001、S5002、S5003)。 First, the SSO request is accepted, the cache information is checked, whether or not the user has already logged in is checked, and the necessity / unnecessity of the integrated login operation is determined (steps S5001, S5002, and S5003).
 ステップS5003で統合ログイン操作が必要な場合は、SSO情報生成(ステップS5101)、ログイン操作(ステップS5102)を行い、リバースプロキシでアクセスするSSO対象サイト18Aへのシングルサインオンを実施し、ステップS5004に移行する。 If an integrated login operation is required in step S5003, SSO information generation (step S5101) and login operation (step S5102) are performed, and single sign-on to the SSO target site 18A accessed by the reverse proxy is performed. Transition.
 また、ステップS5003で統合ログイン操作が不要な場合、ログインが継続していることをキャッシュ情報として反映する(ステップS5004)。 Further, when the integrated login operation is not required in step S5003, the fact that the login is continued is reflected as cache information (step S5004).
 上記ステップS5001、ステップS5002、ステップS5003はSSO要求受付部1511で処理され、ステップS5002、ステップS5004はキャッシュ制御部1514で制御され、ステップS5101はSSO情報生成部1512で処理され、ステップS5102はSSO情報応答部1513で処理されている。 Steps S5001, S5002, and S5003 are processed by the SSO request receiving unit 1511. Steps S5002 and S5004 are controlled by the cache control unit 1514. Step S5101 is processed by the SSO information generation unit 1512. Step S5102 is processed by the SSO information. It is processed by the response unit 1513.
 また、ログ出力部1515は各処理のログを認証ログ19などに格納する処理を行っている。 Also, the log output unit 1515 performs a process of storing the log of each process in the authentication log 19 or the like.
 また、上記キャッシュ情報によるログイン状態の維持としては、例えば、SSO対象サイト18Aからキャッシュとして提示される認証情報を継続利用し、SSO対象サイト18Aが持つ暗号化の通信を引き継ぎ、電子署名された証明書の引継ぎを行うなどで実施可能である。 In order to maintain the login state by the cache information, for example, the authentication information presented as a cache from the SSO target site 18A is continuously used, the encrypted communication of the SSO target site 18A is taken over, and the digitally signed certificate is obtained. This can be done by taking over the document.
 また、SSO対象サイト18A内でのページ遷移に対応してシングルサインオンを引き継ぐことも可能である。 Also, it is possible to take over single sign-on in response to a page transition in the SSO target site 18A.
 <エージェント型SSO機能によるシングルサインオンの手順>
 次に、図12により、本発明の一実施の形態に係るシングルサインオンシステムのエージェント型SSO機能によるシングルサインオンの手順について説明する。図12は本発明の一実施の形態に係るシングルサインオンシステムのエージェント型SSO機能によるシングルサインオンの手順を示すフローチャートである。 <Procedure for single sign-on using agent type SSO function>
Next, a single sign-on procedure using the agent-type SSO function of the single sign-on system according to an embodiment of the present invention will be described with reference to FIG. FIG. 12 is a flowchart showing a single sign-on procedure by the agent-type SSO function of the single sign-on system according to the embodiment of the present invention.
 まず、SSO要求の受付を行い、統合認証ディレクトリ13を参照し(ステップS6001)、エージェント情報のチェックを行い(ステップS6002)、エージェントとしてエージェントでアクセスするSSO対象サイト18Bにアクセスを行う(ステップS6003)。 First, an SSO request is accepted, the integrated authentication directory 13 is referenced (step S6001), agent information is checked (step S6002), and the SSO target site 18B accessed by the agent as an agent is accessed (step S6003). .
 上記のステップS6001はSSO要求受付部1611で処理され、ステップS6002、ステップS6003はSSO情報生成部1612で処理されている。 The above step S6001 is processed by the SSO request accepting unit 1611, and steps S6002 and S6003 are processed by the SSO information generating unit 1612.
 また、ログ出力部1613は各処理のログを認証ログ19などに格納する処理を行っている。 In addition, the log output unit 1613 performs a process of storing the log of each process in the authentication log 19 or the like.
 <スクレイピング型SSO機能によるシングルサインオンの手順>
 次に、図13により、本発明の一実施の形態に係るシングルサインオンシステムのスクレイピング型SSO機能によるシングルサインオンの手順について説明する。図13は本発明の一実施の形態に係るシングルサインオンシステムのスクレイピング型SSO機能によるシングルサインオンの手順を示すフローチャートである。 <Single sign-on procedure with scraping SSO function>
Next, a single sign-on procedure using the scraping SSO function of the single sign-on system according to an embodiment of the present invention will be described with reference to FIG. FIG. 13 is a flowchart showing a single sign-on procedure by the scraping SSO function of the single sign-on system according to the embodiment of the present invention.
 まず、SSO要求の受付を行い(ステップS7001)、統合認証ディレクトリ13からログイン済みフラグを読み出す(ステップS7002)。 First, an SSO request is accepted (step S7001), and a logged-in flag is read from the integrated authentication directory 13 (step S7002).
 そして、すでにログインされているかどうかのチェックを行い統合ログインの要・不要判定を行う(ステップS7003)。 Then, it is checked whether or not login has already been performed, and it is determined whether integrated login is necessary or not (step S7003).
 ステップS7003でログイン操作が必要な場合は、ログインURL操作(ステップS7101)、画面操作(ステップS7102)、画面読み取り(ステップS7103)、ログイン情報入力(ステップS7104)を、スクレイピングでアクセスするSSO対象サイト18Cに対して行う。 If a login operation is required in step S7003, the login URL operation (step S7101), the screen operation (step S7102), the screen reading (step S7103), and the login information input (step S7104) are accessed by scraping. To do.
 また、ステップS7003で統合ログイン操作が不要な場合およびステップS7104の処理が終了した場合、ログインチェックがOKか否かを判定し(ステップS7004)、ステップS7004でログインできていない場合はログイン済みフラグのクリアを行い(ステップS7201)、ステップS7003に戻り再度ログイン処理を行う。 If the integrated login operation is not necessary in step S7003 and if the processing in step S7104 is completed, it is determined whether or not the login check is OK (step S7004). If the login is not successful in step S7004, the login flag is set. Clearing is performed (step S7201), and the process returns to step S7003 to perform login processing again.
 ステップS7004でログインできていることが確認できたら、ログイン済みフラグを編集し、ログイン済みに設定する(ステップS7005)。 If it is confirmed in step S7004 that login has been completed, the logged-in flag is edited and set to logged-in (step S7005).
 上記のステップS7001~ステップS7005はSSO要求受付部1710で処理され、ステップS7101はログインURL操作部1711で処理され、ステップS7102は画面操作部1712で処理され、ステップS7103は画面読取部1713で処理され、ステップS7104はログイン情報入力部1714で処理されている。 Steps S7001 to S7005 are processed by the SSO request receiving unit 1710, step S7101 is processed by the login URL operation unit 1711, step S7102 is processed by the screen operation unit 1712, and step S7103 is processed by the screen reading unit 1713. Step S7104 is processed by the login information input unit 1714.
 また、ログ出力部1715は各処理のログを認証ログ19などに格納する処理を行っている。 Also, the log output unit 1715 performs a process of storing the log of each process in the authentication log 19 or the like.
 以上のように、本実施の形態では、統合SSOフロント機能12により、リバースプロキシ型のシングルサインオンまたはエージェント型のシングルサインオンが可能なウェブサイトには、対応した方法によるシングルサインオンを行い、リバースプロキシ型やエージェント型でのシングルサインオンができないウェブサイトには、スクレイピングによるシングルサインオンを行うことにより、これまで使用してきたシングルサインオンシステムをそのまま使用したまま、複数のシングルサインオン方式に対応することができる。 As described above, in the present embodiment, the integrated SSO front function 12 performs a single sign-on by a corresponding method on a website capable of reverse proxy type single sign-on or agent type single sign-on, For websites that do not allow single sign-on with a reverse proxy type or agent type, by using single sign-on by scraping, the single sign-on system used so far can be used as it is, and multiple single sign-on methods can be used. Can respond.
 また、統合認証ディレクトリに、複数のシングルサインオン方式に対応する情報を格納することにより、シングルサインオン先の管理を行うことができる。 Also, it is possible to manage the single sign-on destination by storing information corresponding to a plurality of single sign-on methods in the integrated authentication directory.
 以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。 As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Needless to say.
 本発明は、複数のウェブサイトに統合的にログインすることを実現するシングルサインオンシステムに関し、仕組みの異なるシステムへのシングルサインオンが必要なシステムなどに広く適用可能である。 The present invention relates to a single sign-on system that realizes integrated login to a plurality of websites, and can be widely applied to systems that require single sign-on to systems with different mechanisms.
 10A~10C…利用者端末、11…ネットワーク、12…統合SSOフロント機能、13…統合認証ディレクトリ、14…ディレクトリ管理機能、15…リバースプロキシ型SSO機能、16…エージェント型SSO機能、17…スクレイピング型SSO機能、18A~18C…SSO対象サイト、102…キーボード、103…ポインティングデバイス、104…表示装置、105…内部メモリ、106…プログラム群、121…SSO振り分けプログラム、131…統合ログインID、132…統合ログインパスワード、133…認証情報、134…SSO先URL、135…SSO方式、136…ログインID、137…パスワード、138…リバースプロキシ補足情報、139…エージェント情報、13A…スクレイピング情報、141…ディレクトリ登録・変更プログラム、142…スクレイピング情報生成プログラム、151…リバースプロキシプログラム、161…エージェント制御プログラム、171…スクレイピングSSOプログラム、1211…SSO受付部、1212…ユーザ情報問合せ部、1213…認証機能振り分け部、1411…ディレクトリ読込部、1412…ディレクトリ情報解析部、1413…不足情報補完部、1414…ディレクトリ情報書き込み部、1415…ログ出力部、1421…対象画面HTML読み込み部、1422…入力フィールド生成部、1423…読取対象出力フィールド生成部、1424…正常画面遷移生成部、1425…エラー画面遷移生成部、1426…ログ出力部、1511…SSO要求受付部、1512…SSO情報生成部、1513…SSO情報応答部、1514…キャッシュ制御部、1515…ログ出力部、1611…SSO要求受付部、1612…SSO情報生成部、1613…ログ出力部、1710…SSO要求受付部、1711…ログインURL操作部、1712…画面操作部、1713…画面読取部、1714…ログイン情報入力部、1715…ログ出力部。 DESCRIPTION OF SYMBOLS 10A-10C ... User terminal, 11 ... Network, 12 ... Integrated SSO front function, 13 ... Integrated authentication directory, 14 ... Directory management function, 15 ... Reverse proxy type SSO function, 16 ... Agent type SSO function, 17 ... Scraping type SSO function, 18A to 18C ... SSO target site, 102 ... keyboard, 103 ... pointing device, 104 ... display device, 105 ... internal memory, 106 ... program group, 121 ... SSO distribution program, 131 ... integrated login ID, 132 ... integrated Login password 133 ... Authentication information 134 ... SSO destination URL 135 ... SSO method 136 ... Login ID 137 ... Password 138 ... Reverse proxy supplementary information 139 ... Agent information 13A ... Scraping information 141 ... Directory registration / change program, 142 ... Scraping information generation program, 151 ... Reverse proxy program, 161 ... Agent control program, 171 ... Scraping SSO program, 1211 ... SSO reception unit, 1212 ... User information inquiry unit, 1213 ... Authentication function Sorting unit, 1411 ... Directory reading unit, 1412 ... Directory information analysis unit, 1413 ... Insufficient information complementing unit, 1414 ... Directory information writing unit, 1415 ... Log output unit, 1421 ... Target screen HTML reading unit, 1422 ... Input field generation unit , 1423 ... Read target output field generation unit, 1424 ... Normal screen transition generation unit, 1425 ... Error screen transition generation unit, 1426 ... Log output unit, 1511 ... SSO request reception unit, 1512 ... S O information generation unit, 1513 ... SSO information response unit, 1514 ... cache control unit, 1515 ... log output unit, 1611 ... SSO request reception unit, 1612 ... SSO information generation unit, 1613 ... log output unit, 1710 ... SSO request reception unit , 1711 ... Login URL operation unit, 1712 ... Screen operation unit, 1713 ... Screen reading unit, 1714 ... Login information input unit, 1715 ... Log output unit.

Claims (5)

  1.  ユーザが複数のウェブサイトへのシングルサインオンを行うためのシングルサインオンシステムであって、
     前記ユーザに対する前記複数のウェブサイト毎の認証情報が格納された統合認証格納部と、
     第1のシングルサインオンの仕組みを持つ第1のウェブサイトへのシングルサインオン処理を行う第1のシングルサインオン処理部と、
     第2のシングルサインオンの仕組みを持つ第2のウェブサイトへのシングルサインオン処理を行う第2のシングルサインオン処理部と、
     前記第1のシングルサインオンの仕組み、および前記第2のシングルサインオンの仕組みに対応しない第3のウェブサイトへのシングルサインオン処理を行う第3のシングルサインオン処理部と、
     前記ユーザからのシングルサインオン要求を受け付け、前記シングルサインオン要求に基づいて、前記ユーザの接続先のウェブサイトを解析し、前記解析した前記ウェブサイトの情報および前記統合認証格納部に格納された認証情報に基づいて、解析されたウェブサイトが前記第1のウェブサイトの場合は前記第1のシングルサインオン処理部にシングルサインオン処理を実行させ、解析されたウェブサイトが前記第2のウェブサイトの場合は前記第2のシングルサインオン処理部にシングルサインオン処理を実行させ、解析されたウェブサイトが前記第3のウェブサイトの場合は前記第3のシングルサインオン処理部にシングルサインオン処理を実行させる統合シングルサインオン処理部とを備えたことを特徴とするシングルサインオンシステム。     A single sign-on system for a user to perform single sign-on to multiple websites,
    An integrated authentication storage unit storing authentication information for each of the plurality of websites for the user;
    A first single sign-on processing unit for performing a single sign-on process to a first website having a first single sign-on mechanism;
    A second single sign-on processing unit for performing a single sign-on process to a second website having a second single sign-on mechanism;
    A third single sign-on processing unit that performs a single sign-on process to a third website that does not correspond to the first single sign-on mechanism and the second single sign-on mechanism;
    Accepting a single sign-on request from the user, analyzing a website to which the user is connected based on the single sign-on request, and storing the analyzed website information and the integrated authentication storage unit Based on the authentication information, if the analyzed website is the first website, the first single sign-on processing unit executes a single sign-on process, and the analyzed website is the second website. In the case of a site, the second single sign-on processing unit is caused to execute a single sign-on process. A single sign-on system comprising an integrated single sign-on processing unit for executing processing Temu.
  2.  請求項1に記載のシングルサインオンシステムにおいて、
     前記第1のシングルサインオン処理部は、リバースプロキシ型認証によるシングルサインオン処理を行い、前記第2のシングルサインオン処理部はエージェント型認証によるシングルサインオン処理を行い、前記第3のシングルサインオン処理部はスクレイピング型認証によるシングルサインオン処理を行うことを特徴とするシングルサインオンシステム。     The single sign-on system according to claim 1,
    The first single sign-on processing unit performs single sign-on processing by reverse proxy type authentication, the second single sign-on processing unit performs single sign-on processing by agent type authentication, and the third single sign-on processing A single sign-on system in which the on-processing unit performs a single sign-on process by scraping type authentication.
  3.  請求項2に記載のシングルサインオンシステムにおいて、
     前記第1のシングルサインオン処理部は、前記第1のウェブサイトのキャッシュの認証情報を継続利用し、前記第1のウェブサイトが持つ暗号化の通信を引き継ぎ、電子署名された証明書の引継ぎを行うことにより、シングルサインオンを継続させることを特徴とするシングルサインオンシステム。     The single sign-on system according to claim 2,
    The first single sign-on processing unit continuously uses the authentication information in the cache of the first website, takes over the encrypted communication of the first website, and takes over the digitally signed certificate. A single sign-on system in which single sign-on is continued by performing
  4.  請求項2に記載のシングルサインオンシステムにおいて、
     前記第1のウェブサイト、前記第2のウェブサイト、および前記第3のウェブサイトの認証情報を登録および修正する認証情報管理部を備えたことを特徴とするシングルサインオンシステム。     The single sign-on system according to claim 2,
    A single sign-on system comprising: an authentication information management unit for registering and correcting authentication information of the first website, the second website, and the third website.
  5.  請求項4に記載のシングルサインオンシステムにおいて、
     前記認証情報管理部は、前記第3のウェブサイトの前記スクレイピング型認証のための情報を解析し、その解析結果を前記統合認証格納部に格納することを特徴とするシングルサインオンシステム。     The single sign-on system according to claim 4,
    The authentication information management unit analyzes the information for the scraping type authentication of the third website and stores the analysis result in the integrated authentication storage unit.
PCT/JP2012/056037 2012-03-08 2012-03-08 Single sign-on system WO2013132641A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP2012/056037 WO2013132641A1 (en) 2012-03-08 2012-03-08 Single sign-on system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2012/056037 WO2013132641A1 (en) 2012-03-08 2012-03-08 Single sign-on system

Publications (1)

Publication Number Publication Date
WO2013132641A1 true WO2013132641A1 (en) 2013-09-12

Family

ID=49116155

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2012/056037 WO2013132641A1 (en) 2012-03-08 2012-03-08 Single sign-on system

Country Status (1)

Country Link
WO (1) WO2013132641A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104270386A (en) * 2014-10-22 2015-01-07 中国建设银行股份有限公司 Cross-application-system user information integration method and identity information management server

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010502109A (en) * 2006-08-22 2010-01-21 インターデイジタル テクノロジー コーポレーション Method and apparatus for providing trusted single sign-on access to applications and Internet-based services
JP2010225078A (en) * 2009-03-25 2010-10-07 Nec Corp Authentication method, authentication system thereof, and authentication processing program thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010502109A (en) * 2006-08-22 2010-01-21 インターデイジタル テクノロジー コーポレーション Method and apparatus for providing trusted single sign-on access to applications and Internet-based services
JP2010225078A (en) * 2009-03-25 2010-10-07 Nec Corp Authentication method, authentication system thereof, and authentication processing program thereof

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
KATSURO KIKUCHI ET AL.: "Study on Expert System for Single Sign-On Solution", IPSJ SIG TECHNICAL REPORTS, vol. 2005, no. 53, 27 May 2005 (2005-05-27), pages 9 - 16 *
MIKIO FUNAHASHI: "Cloud Computing o Sasaeru Middleware", FUJITSU, vol. 62, no. L, 11 January 2011 (2011-01-11), pages 28 - 34 *
TOSHIKI IIDA: "Directory Service o Network Kanri ni Katsuyo shiyo", COMPUTER & NETWORK LAN, vol. 21, no. 4, 1 April 2003 (2003-04-01), pages 48 - 52 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104270386A (en) * 2014-10-22 2015-01-07 中国建设银行股份有限公司 Cross-application-system user information integration method and identity information management server
CN104270386B (en) * 2014-10-22 2017-09-08 中国建设银行股份有限公司 Across application system user (asu) information integrating method and identity information management server

Similar Documents

Publication Publication Date Title
US9344513B2 (en) In-server redirection of HTTP requests
US7917412B1 (en) Method and system for collecting information
US9825948B2 (en) Actively federated mobile authentication
US8769133B2 (en) Network-based verification and fraud-prevention system
CN102098158B (en) Cross-domain name single sign on and off method and system as well as corresponding equipment
US7937325B2 (en) Interactive bill payment center
US9438659B2 (en) Systems for serving website content according to user status
JP2002032340A (en) System and method for single sign-on web site and recording medium
US20100299735A1 (en) Uniform Resource Locator Redirection
JP2014115833A (en) Method for inhibiting continuous unauthorized access
US9497190B2 (en) Information processing apparatus, method of controlling the same, storage medium and information processing system
US11522944B2 (en) Systems and methods for distributing electronic documents
US10387872B2 (en) Browser-based payment for content
EP2320622B1 (en) Report form normalization processing method, apparatus and system
US8239553B2 (en) Providing services for multiple business consumers
JP2019139547A (en) Service management system and service management method
US20150127771A1 (en) Method and Apparatus
WO2013132641A1 (en) Single sign-on system
US20090077655A1 (en) Processing html extensions to enable support of information cards by a relying party
WO2020115782A1 (en) Information processing device, information processing method, and information processing program
JP5326035B1 (en) Server device
US20230068283A1 (en) Method and system for access authorisation
Hertlein et al. Smart authentication, identification and digital signatures as foundation for the next generation of eco systems
JP2013228951A (en) Authenticated web page url service device, web service providing system, operation method for authenticated web page url service device, and operation method for web service providing system
JP2004133705A (en) Insurance soliciting support server, insurance soliciting support method, and program

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12870683

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12870683

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: JP