JP2000106552A - 認証方法 - Google Patents
認証方法Info
- Publication number
- JP2000106552A JP2000106552A JP10274551A JP27455198A JP2000106552A JP 2000106552 A JP2000106552 A JP 2000106552A JP 10274551 A JP10274551 A JP 10274551A JP 27455198 A JP27455198 A JP 27455198A JP 2000106552 A JP2000106552 A JP 2000106552A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- client
- session
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】ユーザ認証が必要な業務サーバオブジェクトが
分散オブジェクト基盤を利用するネットワークに分散し
ており、クライアントからHTTPのような接続状態を
管理しない通信プロトコルを使って業務サーバオブジェ
クトを利用するクライアント・サーバシステムには、セ
ッションの識別情報を持ち回る必要があるが、ユーザ情
報を含む証書をクライアント−サーバの間、サーバ−サ
ーバの間でやりとりすることは、セキュリティ上好まし
くない。 【解決手段】クライアント計算機101,103,10
5からの受け取ったユーザ情報をもとにユーザ認証オブ
ジェクト112で認証をおこない、認証に成功した場合
にセッションの識別情報とともにユーザ情報や認証時に
得られるユーザ属性等の情報の組みをログイン情報管理
オブジェクト114で保持することにより、シングルサ
インオンを実現する認証方式。
分散オブジェクト基盤を利用するネットワークに分散し
ており、クライアントからHTTPのような接続状態を
管理しない通信プロトコルを使って業務サーバオブジェ
クトを利用するクライアント・サーバシステムには、セ
ッションの識別情報を持ち回る必要があるが、ユーザ情
報を含む証書をクライアント−サーバの間、サーバ−サ
ーバの間でやりとりすることは、セキュリティ上好まし
くない。 【解決手段】クライアント計算機101,103,10
5からの受け取ったユーザ情報をもとにユーザ認証オブ
ジェクト112で認証をおこない、認証に成功した場合
にセッションの識別情報とともにユーザ情報や認証時に
得られるユーザ属性等の情報の組みをログイン情報管理
オブジェクト114で保持することにより、シングルサ
インオンを実現する認証方式。
Description
【0001】
【発明の属する技術分野】本発明は、ユーザ認証が必要
な各業務サーバオブジェクトが分散オブジェクト基盤を
利用するネットワークに分散しており、クライアントか
らHTTP(Hypertext Transfer Protocol)のような
接続状態を管理しない通信プロトコルを使って業務サー
バオブジェクトを利用するクライアント・サーバシステ
ムにおける認証方式に係わり、特に認証済みのセッショ
ンを一元管理することで、ネットワークに分散する業務
サーバオブジェクトへのシングルサインオンを実現する
認証方法に係わる。
な各業務サーバオブジェクトが分散オブジェクト基盤を
利用するネットワークに分散しており、クライアントか
らHTTP(Hypertext Transfer Protocol)のような
接続状態を管理しない通信プロトコルを使って業務サー
バオブジェクトを利用するクライアント・サーバシステ
ムにおける認証方式に係わり、特に認証済みのセッショ
ンを一元管理することで、ネットワークに分散する業務
サーバオブジェクトへのシングルサインオンを実現する
認証方法に係わる。
【0002】
【従来の技術】特開平8−292929によれば、遠隔
ユーザが入力したユーザ情報がセキュリティ機構で認証
された場合、ユーザを識別する働きをするトークンをセ
キュリティ機構が発行し、ユーザとアプリケーションサ
ーバの間で接続を行うために、接続要求に関連するトー
クンがセキュリティ機構から発行されたことが確認され
た場合に、ユーザはアプリケーションサーバに接続する
ことが開示されている。
ユーザが入力したユーザ情報がセキュリティ機構で認証
された場合、ユーザを識別する働きをするトークンをセ
キュリティ機構が発行し、ユーザとアプリケーションサ
ーバの間で接続を行うために、接続要求に関連するトー
クンがセキュリティ機構から発行されたことが確認され
た場合に、ユーザはアプリケーションサーバに接続する
ことが開示されている。
【0003】
【発明が解決しようとする課題】WWWのような接続状
態を管理しないプロトコルを使ったネットワーク環境と
分散オブジェクト基盤を組合わせたクライアント・サー
バシステムでは、WWW環境でのクライアントとサーバ
の間だけではなく、分散オブジェクト基盤上の業務サー
バオブジェクトの間でも認証が必要となる。このWWW
−分散オブジェクトを組合わせたクライアント・サーバ
システムに、上記の従来の証書を使った認証方式を適用
する場合、ユーザ情報を含む証書をセッション識別子の
代わりにクライアント−サーバの間、サーバ−サーバの
間で持ち回り、しかも一つのセッションの間で、クライ
アントからの要求の度に証書をサーバとやり取りする必
要があり、セキュリティを考えると好ましくない。さら
に、その拡張容易性から分散オブジェクト基盤上に多く
の業務サーバオブジェクトを配置し、サーバ−サーバの
間で証書をやりとりする頻度が増大する場合、上記セキ
ュリティの問題が大きくなると同時に証書の有効性検証
に要する時間も増大する。
態を管理しないプロトコルを使ったネットワーク環境と
分散オブジェクト基盤を組合わせたクライアント・サー
バシステムでは、WWW環境でのクライアントとサーバ
の間だけではなく、分散オブジェクト基盤上の業務サー
バオブジェクトの間でも認証が必要となる。このWWW
−分散オブジェクトを組合わせたクライアント・サーバ
システムに、上記の従来の証書を使った認証方式を適用
する場合、ユーザ情報を含む証書をセッション識別子の
代わりにクライアント−サーバの間、サーバ−サーバの
間で持ち回り、しかも一つのセッションの間で、クライ
アントからの要求の度に証書をサーバとやり取りする必
要があり、セキュリティを考えると好ましくない。さら
に、その拡張容易性から分散オブジェクト基盤上に多く
の業務サーバオブジェクトを配置し、サーバ−サーバの
間で証書をやりとりする頻度が増大する場合、上記セキ
ュリティの問題が大きくなると同時に証書の有効性検証
に要する時間も増大する。
【0004】セッション識別子については、同一ユーザ
でもセッション毎に異なりユーザ情報を含まないセッシ
ョン識別子を使うことで、システム外部からの脅威に対
して上記セキュリティ上の問題を小さくすることができ
る。
でもセッション毎に異なりユーザ情報を含まないセッシ
ョン識別子を使うことで、システム外部からの脅威に対
して上記セキュリティ上の問題を小さくすることができ
る。
【0005】本発明の目的は、ユーザ認証が必要な業務
サーバオブジェクトが分散オブジェクト基盤を利用する
ネットワークに分散しており、クライアントからHTT
Pのような接続状態を管理しない通信プロトコルを使っ
て業務サーバオブジェクトを利用するクライアント・サ
ーバシステムにおいて、認証済みのセッションを管理す
ることでシングルサインオンを実現する認証方式を提供
することにある。
サーバオブジェクトが分散オブジェクト基盤を利用する
ネットワークに分散しており、クライアントからHTT
Pのような接続状態を管理しない通信プロトコルを使っ
て業務サーバオブジェクトを利用するクライアント・サ
ーバシステムにおいて、認証済みのセッションを管理す
ることでシングルサインオンを実現する認証方式を提供
することにある。
【0006】
【課題を解決するための手段】本発明は、ユーザ認証が
必要な業務サーバオブジェクトが分散オブジェクト基盤
を利用するネットワークに分散しており、クライアント
からHTTPのような接続状態を管理しない通信プロト
コルを使って業務サーバオブジェクトを利用するクライ
アント・サーバシステムにおいて、シングルサインオン
を実現するための認証方式であって、クライアントがサ
ーバにログインする場合、クライアントは、ユーザID
やパスワードなどのユーザ情報もしくはこれらユーザ情
報を含む証明書と、当該セッションを識別するためのセ
ッション識別子を、ユーザ認証オブジェクトに渡して認
証を行い、認証に成功した場合、ユーザ認証オブジェク
トが当該セッション識別子とユーザ情報(ユーザID
等)とそのユーザ属性(所属グループ等)をログイン情
報管理オブジェクトに登録し保持することを特徴とする
認証方式。
必要な業務サーバオブジェクトが分散オブジェクト基盤
を利用するネットワークに分散しており、クライアント
からHTTPのような接続状態を管理しない通信プロト
コルを使って業務サーバオブジェクトを利用するクライ
アント・サーバシステムにおいて、シングルサインオン
を実現するための認証方式であって、クライアントがサ
ーバにログインする場合、クライアントは、ユーザID
やパスワードなどのユーザ情報もしくはこれらユーザ情
報を含む証明書と、当該セッションを識別するためのセ
ッション識別子を、ユーザ認証オブジェクトに渡して認
証を行い、認証に成功した場合、ユーザ認証オブジェク
トが当該セッション識別子とユーザ情報(ユーザID
等)とそのユーザ属性(所属グループ等)をログイン情
報管理オブジェクトに登録し保持することを特徴とする
認証方式。
【0007】また上記ユーザ認証オブジェクトでの認証
において、認証を要求してきたクライアントが認証済み
であるかどうかを、ユーザ認証オブジェクトが当該セッ
ション識別子を使ってログイン情報管理オブジェクトに
確認することを特徴とする認証方式。
において、認証を要求してきたクライアントが認証済み
であるかどうかを、ユーザ認証オブジェクトが当該セッ
ション識別子を使ってログイン情報管理オブジェクトに
確認することを特徴とする認証方式。
【0008】さらにクライアントからの業務サーバオブ
ジェクト呼出す場合、業務サーバオブジェクトは、当該
セッションが認証済みであるかどうかをクライアントか
ら受け取ったセッション識別子を使ってログイン情報管
理オブジェクトに確認することを特徴とする認証方式。
ジェクト呼出す場合、業務サーバオブジェクトは、当該
セッションが認証済みであるかどうかをクライアントか
ら受け取ったセッション識別子を使ってログイン情報管
理オブジェクトに確認することを特徴とする認証方式。
【0009】また業務サーバオブジェクトが当該セッシ
ョンのユーザ情報を必要とする場合に、業務サーバオブ
ジェクトは当該セッションが認証済みであるかどうかを
クライアントから受け取ったセッション識別子を使って
ログイン情報管理オブジェクトに確認し、業務サーバオ
ブジェクトはログイン情報管理オブジェクトから当該セ
ッションのユーザ情報やそのユーザ属性を取得すること
を特徴とする認証方式。
ョンのユーザ情報を必要とする場合に、業務サーバオブ
ジェクトは当該セッションが認証済みであるかどうかを
クライアントから受け取ったセッション識別子を使って
ログイン情報管理オブジェクトに確認し、業務サーバオ
ブジェクトはログイン情報管理オブジェクトから当該セ
ッションのユーザ情報やそのユーザ属性を取得すること
を特徴とする認証方式。
【0010】
【発明の実施の形態】以下、本発明の一実施例について
説明する。
説明する。
【0011】図1はWWW環境と分散オブジェクト環境
を組み合わせたクライアント・サーバシステム全体の構
成図である。システムはWebブラウザ102,10
4,106が実行可能なクライアント計算機101,1
03,105とWebサーバ計算機108によって構成
されるWWW環境107と、Webサーバ計算機108
内で実行されるCGIプログラム109と、分散オブジ
ェクト基盤110と、ユーザ認証オブジェクト112が
実行されるオブジェクトサーバ計算機111とログイン
情報管理オブジェクト114が実行されるオブジェクト
サーバ113計算機と業務サーバオブジェクト116が
実行されるオブジェクトサーバ計算機115によって構
成される。図中ではユーザ認証オブジェクト112とロ
グイン情報管理オブジェクト114は異なるオブジェク
トサーバ計算機上にあるが同一オブジェクトサーバ計算
機上にある場合もある。同様に業務サーバオブジェクト
116も同一オブジェクトサーバ計算機に複数あっても
よい。これらの物理的配置の制限は分散オブジェクト基
盤110によって決められるものである。
を組み合わせたクライアント・サーバシステム全体の構
成図である。システムはWebブラウザ102,10
4,106が実行可能なクライアント計算機101,1
03,105とWebサーバ計算機108によって構成
されるWWW環境107と、Webサーバ計算機108
内で実行されるCGIプログラム109と、分散オブジ
ェクト基盤110と、ユーザ認証オブジェクト112が
実行されるオブジェクトサーバ計算機111とログイン
情報管理オブジェクト114が実行されるオブジェクト
サーバ113計算機と業務サーバオブジェクト116が
実行されるオブジェクトサーバ計算機115によって構
成される。図中ではユーザ認証オブジェクト112とロ
グイン情報管理オブジェクト114は異なるオブジェク
トサーバ計算機上にあるが同一オブジェクトサーバ計算
機上にある場合もある。同様に業務サーバオブジェクト
116も同一オブジェクトサーバ計算機に複数あっても
よい。これらの物理的配置の制限は分散オブジェクト基
盤110によって決められるものである。
【0012】図2以降はクライアント計算機101,1
02,103でのユーザのログインから認証および業務
サーバオブジェクト116を実行するまでの流れ図であ
る。図面の大きさの都合上、複数のフェーズに分けて説
明する。
02,103でのユーザのログインから認証および業務
サーバオブジェクト116を実行するまでの流れ図であ
る。図面の大きさの都合上、複数のフェーズに分けて説
明する。
【0013】図2はログイン情報管理オブジェクト11
4の認証済みのセッション識別子(以下「SID」と略
す。)および対応するユーサ情報等のUIDの管理方式
の一例である。ここではユーザ情報としてユーザID
(以下「UID」と略す。)および他のユーサ属性を管
理しているが、SID以外の情報の種類数はシステムに
応じて変わる。本例では表形式での管理方式でありセッ
ション管理テーブル201はSID,UID,必要であ
ればユーザ属性を管理するもので単純な表形式のデータ
構造で十分対応可能である。
4の認証済みのセッション識別子(以下「SID」と略
す。)および対応するユーサ情報等のUIDの管理方式
の一例である。ここではユーザ情報としてユーザID
(以下「UID」と略す。)および他のユーサ属性を管
理しているが、SID以外の情報の種類数はシステムに
応じて変わる。本例では表形式での管理方式でありセッ
ション管理テーブル201はSID,UID,必要であ
ればユーザ属性を管理するもので単純な表形式のデータ
構造で十分対応可能である。
【0014】図3はユーザが目的とするアプリケーショ
ンを実行するためにWebブラウザ102などからWe
bサーバ計算機108へアクセスしログイン画面が表示
されるまでの流れである。ユーザがWebブラウザ10
2上でログイン画面のURL(Uniform Resource Locat
or)を入力(ステップ301)する。URLが入力され
るとWebブラウザ102はURLに記述されたWeb
サーバ計算機108へHTTPによりアクセスする。ア
クセスされたWebサーバ計算機108はCGIプログ
ラム109を起動する(ステップ302)。CGIプロ
グラム109はSIDを生成し(ステップ303)、こ
のSIDをCookieに設定し(ステップ304)、
ログイン画面を表示するためのHTML(Hyper Text Ma
rkup Language)を生成し(ステップ305)、生成した
HTMLとCookieをWebブラウザ102に返
す。Webブラウザ102は受け取ったHTMLを表示
することでログイン画面を表示する(ステップ30
6)。
ンを実行するためにWebブラウザ102などからWe
bサーバ計算機108へアクセスしログイン画面が表示
されるまでの流れである。ユーザがWebブラウザ10
2上でログイン画面のURL(Uniform Resource Locat
or)を入力(ステップ301)する。URLが入力され
るとWebブラウザ102はURLに記述されたWeb
サーバ計算機108へHTTPによりアクセスする。ア
クセスされたWebサーバ計算機108はCGIプログ
ラム109を起動する(ステップ302)。CGIプロ
グラム109はSIDを生成し(ステップ303)、こ
のSIDをCookieに設定し(ステップ304)、
ログイン画面を表示するためのHTML(Hyper Text Ma
rkup Language)を生成し(ステップ305)、生成した
HTMLとCookieをWebブラウザ102に返
す。Webブラウザ102は受け取ったHTMLを表示
することでログイン画面を表示する(ステップ30
6)。
【0015】図4はWebブラウザ102上に表示され
たログイン画面からユーザがユーザIDとパスワード
(以下「PWD」と略す。)を入力し、ユーザ認証オブ
ジェクト112で認証処理が行われログイン情報管理オ
ブジェクト114にSIDとUIDとユーザ属性が登録
されるまでの流れ図である。なお、図4以降Webサー
バ計算機108はWebブラウザ102とCGIプログ
ラム109間を、分散オブジェクト基盤110はCGI
プログラム109とオブジェクト間を仲介する以外の処
理はなく、本発明での重要な部分にはならないので説明
および図から省略する。
たログイン画面からユーザがユーザIDとパスワード
(以下「PWD」と略す。)を入力し、ユーザ認証オブ
ジェクト112で認証処理が行われログイン情報管理オ
ブジェクト114にSIDとUIDとユーザ属性が登録
されるまでの流れ図である。なお、図4以降Webサー
バ計算機108はWebブラウザ102とCGIプログ
ラム109間を、分散オブジェクト基盤110はCGI
プログラム109とオブジェクト間を仲介する以外の処
理はなく、本発明での重要な部分にはならないので説明
および図から省略する。
【0016】Webブラウザ102に表示されたログイ
ン画面でユーザがUIDとPWDを入力する(ステップ
401)。入力されたUID,PWDとCookieに
設定されたSIDがCGIプログラムに渡る。CGIプ
ログラムは分散オブジェクト基盤110上にあるユーザ
認証オブジェクト112に対しUID,PWD,SID
を渡しログイン処理を依頼する(ステップ402)。ユ
ーザ認証オブジェクト112はまずログイン情報管理オ
ブジェクト114に渡されたSIDを使って認証済みか
どうかの検証を依頼する(ステップ403)。ログイン
情報管理オブジェクト114ではセッション管理テーブ
ル201内を検索(ステップ404)し渡されたSID
が登録済みかどうかの結果をユーザ認証オブジェクト1
12に返す。同一UIDでの複数ログインを許したくな
い場合も考えられる。このような場合はログイン情報管
理オブジェクト114へのSID検証依頼処理(ステッ
プ403)で、ログイン情報管理オブジェクト114に
UIDも渡すようにし、ログイン情報管理オブジェクト
114のセッション管理テーブル検索処理(ステップ4
04)でUIDの検索も行うことで実現できるユーザ認
証オブジェクト112は返された検証結果を判定する
(ステップ405)。結果が未登録の場合、認証処理
(ステップ406)を行い、その結果を検証する(ステ
ップ407)。認証が成功した場合はSID,UIDお
よび認証時に得られるユーザ属性をログイン情報管理オ
ブジェクト114に対し登録依頼する(ステップ40
8)。ログイン情報管理オブジェクト114は渡された
SID,UIDおよびユーザ属性をセッション管理テー
ブル201に登録する(ステップ409)。ユーザ認証
オブジェクト112はSID,UIDおよびユーザ属性
の登録処理依頼(ステップ408)後、正常終了コード
をCGIプログラム109に返し処理を終了する。
ン画面でユーザがUIDとPWDを入力する(ステップ
401)。入力されたUID,PWDとCookieに
設定されたSIDがCGIプログラムに渡る。CGIプ
ログラムは分散オブジェクト基盤110上にあるユーザ
認証オブジェクト112に対しUID,PWD,SID
を渡しログイン処理を依頼する(ステップ402)。ユ
ーザ認証オブジェクト112はまずログイン情報管理オ
ブジェクト114に渡されたSIDを使って認証済みか
どうかの検証を依頼する(ステップ403)。ログイン
情報管理オブジェクト114ではセッション管理テーブ
ル201内を検索(ステップ404)し渡されたSID
が登録済みかどうかの結果をユーザ認証オブジェクト1
12に返す。同一UIDでの複数ログインを許したくな
い場合も考えられる。このような場合はログイン情報管
理オブジェクト114へのSID検証依頼処理(ステッ
プ403)で、ログイン情報管理オブジェクト114に
UIDも渡すようにし、ログイン情報管理オブジェクト
114のセッション管理テーブル検索処理(ステップ4
04)でUIDの検索も行うことで実現できるユーザ認
証オブジェクト112は返された検証結果を判定する
(ステップ405)。結果が未登録の場合、認証処理
(ステップ406)を行い、その結果を検証する(ステ
ップ407)。認証が成功した場合はSID,UIDお
よび認証時に得られるユーザ属性をログイン情報管理オ
ブジェクト114に対し登録依頼する(ステップ40
8)。ログイン情報管理オブジェクト114は渡された
SID,UIDおよびユーザ属性をセッション管理テー
ブル201に登録する(ステップ409)。ユーザ認証
オブジェクト112はSID,UIDおよびユーザ属性
の登録処理依頼(ステップ408)後、正常終了コード
をCGIプログラム109に返し処理を終了する。
【0017】図5はCGIプログラム109においてユ
ーザ認証オブジェクト112からステップ405、40
7でエラーで返された場合およびステップ408後に正
常終了コードが返された場合の後の処理の流れ図であ
る。CGIプログラム109はユーザ認証オブジェクト
へ112のログイン依頼処理(ステップ402)後、ユ
ーザ認証オブジェクト112から返されたコードを判定
する(ステップ501)。判定結果が正常である場合は
アプリケーション画面をHTMLとして生成(ステップ
502)し、またステップ501での判定結果がエラー
である場合はログイン失敗画面をHTMLとして生成し
(ステップ502)、Webブラウザに返す。Webブ
ラウザは渡されたHTMLを表示する(ステップ50
4)。表示内容はCGIプログラムのログイン依頼処理
(ステップ402)の結果によりアプリケーション実行
画面か、「すでにログインしています。」などのログイ
ン失敗画面となる。
ーザ認証オブジェクト112からステップ405、40
7でエラーで返された場合およびステップ408後に正
常終了コードが返された場合の後の処理の流れ図であ
る。CGIプログラム109はユーザ認証オブジェクト
へ112のログイン依頼処理(ステップ402)後、ユ
ーザ認証オブジェクト112から返されたコードを判定
する(ステップ501)。判定結果が正常である場合は
アプリケーション画面をHTMLとして生成(ステップ
502)し、またステップ501での判定結果がエラー
である場合はログイン失敗画面をHTMLとして生成し
(ステップ502)、Webブラウザに返す。Webブ
ラウザは渡されたHTMLを表示する(ステップ50
4)。表示内容はCGIプログラムのログイン依頼処理
(ステップ402)の結果によりアプリケーション実行
画面か、「すでにログインしています。」などのログイ
ン失敗画面となる。
【0018】図6はWebブラウザ102からアプリケ
ーション実行操作を行ったときの流れ図である。これま
で説明したログインが成功しWebブラウザ102上に
アプリケーション実行画面が表示され、ユーザが実行操
作を行う(ステップ601)。Webブラウザ12はS
IDと必要であればアプリケーションのパラメタをCG
Iプログラムへ渡す。CGIプログラムはSIDとパラ
メタを指定し業務サーバオブジェクト116を実行する
(ステップ602)。業務サーバオブジェクト116が
実行されるとログイン情報管理オブジェクト114に渡
されたSIDの検証依頼(ステップ603)を行う。ロ
グイン情報管理オブジェクト114は渡されたSIDが
セッション管理テーブル201に存在するかを検索する
(ステップ604)。見つかった場合は認証済みとな
り、見つからない場合はログインされていないというこ
とになる。この結果を業務サーバオブジェクト116に
返す。業務サーバオブジェクト116はログイン情報管
理オブジェクト114より返された結果を判定する(ス
テップ605)。認証済みであれば業務処理を行い(ス
テップ606)その結果をCGIプログラム109に返
す。ステップ605の判定結果がログインされていなけ
ればエラーコードをCGIプログラム109に返す。C
GIプログラム109は業務サーバオブジェクト116
から返された結果に対応した画面をHTMLとして生成
し(ステップ607)、Webブラウザ102に返す。
Webブラウザ102はCGIプログラム109が生成
したHTMLを表示する(ステップ608)。
ーション実行操作を行ったときの流れ図である。これま
で説明したログインが成功しWebブラウザ102上に
アプリケーション実行画面が表示され、ユーザが実行操
作を行う(ステップ601)。Webブラウザ12はS
IDと必要であればアプリケーションのパラメタをCG
Iプログラムへ渡す。CGIプログラムはSIDとパラ
メタを指定し業務サーバオブジェクト116を実行する
(ステップ602)。業務サーバオブジェクト116が
実行されるとログイン情報管理オブジェクト114に渡
されたSIDの検証依頼(ステップ603)を行う。ロ
グイン情報管理オブジェクト114は渡されたSIDが
セッション管理テーブル201に存在するかを検索する
(ステップ604)。見つかった場合は認証済みとな
り、見つからない場合はログインされていないというこ
とになる。この結果を業務サーバオブジェクト116に
返す。業務サーバオブジェクト116はログイン情報管
理オブジェクト114より返された結果を判定する(ス
テップ605)。認証済みであれば業務処理を行い(ス
テップ606)その結果をCGIプログラム109に返
す。ステップ605の判定結果がログインされていなけ
ればエラーコードをCGIプログラム109に返す。C
GIプログラム109は業務サーバオブジェクト116
から返された結果に対応した画面をHTMLとして生成
し(ステップ607)、Webブラウザ102に返す。
Webブラウザ102はCGIプログラム109が生成
したHTMLを表示する(ステップ608)。
【0019】
【発明の効果】以上述べたように本発明によれば、ユー
ザ認証が必要な業務サーバオブジェクト116が分散オ
ブジェクト基盤110を利用するネットワークに分散し
ており、クライアントからHTTPのような接続状態を
管理しない通信プロトコルを使って業務サーバオブジェ
クト116を利用するクライアント・サーバシステムに
おいて、認証済みのセッションの識別子と対応するユー
ザ情報とそのユーザ属性を一元管理することによって、
シングルサインオンを実現できる。
ザ認証が必要な業務サーバオブジェクト116が分散オ
ブジェクト基盤110を利用するネットワークに分散し
ており、クライアントからHTTPのような接続状態を
管理しない通信プロトコルを使って業務サーバオブジェ
クト116を利用するクライアント・サーバシステムに
おいて、認証済みのセッションの識別子と対応するユー
ザ情報とそのユーザ属性を一元管理することによって、
シングルサインオンを実現できる。
【図1】システム全体構成図。
【図2】セッション管理テーブル。
【図3】認証処理フロー1。
【図4】認証処理フロー2。
【図5】認証処理フロー3。
【図6】認証処理フロー4。
101,103,105…クライアント計算機 102,104,106…Webブラウザ 107…WWW環境 108…Webサーバ計算機 109…CGIプログラム 110…分散オブジェクト基盤 113,115…オブジェクトサーバ計算機 112…ユーザ認証オブジェクト 114…ログイン情報管理オブジェクト 116…業務サーバオブジェクト
───────────────────────────────────────────────────── フロントページの続き (72)発明者 内田 稔 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア事業部内 (72)発明者 小瀧 伯泰 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア事業部内 (72)発明者 内田 貴子 神奈川県横浜市戸塚区戸塚町5030番地 株 式会社日立製作所ソフトウェア事業部内 Fターム(参考) 5B085 AC03 AE01 AE06 AE23 BC01 BG07 5J104 AA07 KA01 MA01 NA05 NA27 PA09
Claims (4)
- 【請求項1】ユーザ認証が必要な業務サーバオブジェク
トが分散オブジェクト基盤を利用するネットワークに分
散しており、クライアントからサーバオブジェクトへア
クセスするクライアント・サーバシステムにおける認証
方法において、 クライアントがサーバにログインするときユーザを識別
するユーザ情報書と、セッションを識別するセッション
識別子を、ユーザ認証オブジェクトへ送付し、認証され
た場合、ユーザ認証オブジェクトが当該セッション識別
子とユーザ情報をログイン情報管理オブジェクトに登録
し保持することを特徴とする認証方法。 - 【請求項2】請求項1の認証方法において、クライアン
トがサーバにログインするときクライアントが認証済み
であるかどうかを、ユーザ認証オブジェクトが当該セッ
ション識別子を使ってログイン情報管理オブジェクトに
確認することを特徴とする認証方法。 - 【請求項3】請求項1の認証方法において、クライアン
トから業務サーバオブジェクトを呼出す場合、業務サー
バオブジェクトは当該セッションが認証済みであるかど
うかを、クライアントから受け取ったセッション識別子
を使ってログイン情報管理オブジェクトに確認すること
を特徴とする認証方法。 - 【請求項4】請求項1の認証方法において、業務サーバ
オブジェクトが当該セッションのユーザ情報を必要とす
る場合に、業務サーバオブジェクトは当該セッションが
認証済みであるかどうかをクライアントから受け取った
セッション識別子を使ってログイン情報管理オブジェク
トに確認し、業務サーバオブジェクトはログイン情報管
理オブジェクトから当該セッションのユーザ情報を取得
することを特徴とする認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10274551A JP2000106552A (ja) | 1998-09-29 | 1998-09-29 | 認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10274551A JP2000106552A (ja) | 1998-09-29 | 1998-09-29 | 認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000106552A true JP2000106552A (ja) | 2000-04-11 |
Family
ID=17543308
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10274551A Pending JP2000106552A (ja) | 1998-09-29 | 1998-09-29 | 認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000106552A (ja) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020003759A (ko) * | 2000-07-03 | 2002-01-15 | 김효철 | 통신 네트워크를 이용한 인증처리 방법 |
| JP2002278936A (ja) * | 2001-03-15 | 2002-09-27 | Cognitive Research Laboratories Inc | 携帯情報端末におけるセキュリティ管理データの操作システム |
| JP2002298009A (ja) * | 2001-03-30 | 2002-10-11 | Japan Research Institute Ltd | サイト統合システムおよびサイトアクセス方法 |
| JP2002333928A (ja) * | 2001-05-08 | 2002-11-22 | Being:Kk | ライセンスコントロールシステム |
| EP1290568A1 (en) * | 2000-05-15 | 2003-03-12 | Communicator, Inc. | Method and system for providing an online industry hub |
| US6832377B1 (en) * | 1999-04-05 | 2004-12-14 | Gateway, Inc. | Universal registration system |
| JP2005267529A (ja) * | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 |
| WO2005101220A1 (ja) * | 2004-03-30 | 2005-10-27 | Ibm Japan, Ltd. | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
| JP2007235348A (ja) * | 2006-02-28 | 2007-09-13 | Hitachi Ltd | 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法 |
| JP2008515080A (ja) * | 2004-09-30 | 2008-05-08 | ケィティ、コーポレーション | 有・無線統合サービスネットワークにおける個人の移動性のための統合認証処理装置及びその方法 |
| JPWO2006073008A1 (ja) * | 2005-01-07 | 2008-10-23 | 株式会社システム・ケイ | ネットワークカメラへのログイン認証システム |
| JP2010114714A (ja) * | 2008-11-07 | 2010-05-20 | Canon Inc | データ処理装置、データ処理装置の制御方法、情報処理装置、情報処理装置の制御方法、記憶媒体及びプログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1996007256A1 (fr) * | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Systeme de certification |
| JPH08249253A (ja) * | 1995-03-13 | 1996-09-27 | Fujitsu Ltd | 通信システムおよびアクセス応答装置およびアクセス要求装置 |
| JPH10269184A (ja) * | 1997-03-28 | 1998-10-09 | Hitachi Ltd | ネットワークシステムのセキュリティ管理方法 |
| JPH1131126A (ja) * | 1997-05-08 | 1999-02-02 | Internatl Business Mach Corp <Ibm> | サーバ・グループ間で操作を調整する方法 |
| JP2000036809A (ja) * | 1998-07-17 | 2000-02-02 | Hitachi Ltd | ユーザの簡易認証方法およびそのプログラムを格納した記録媒体 |
| JP2000047971A (ja) * | 1998-07-30 | 2000-02-18 | Mitsubishi Electric Corp | ユーザ認証機能付サーバクライアントシステム装置及びユーザ認証方法及びユーザ認証機能付サーバ及びコンピュータ読み取り可能な記録媒体 |
-
1998
- 1998-09-29 JP JP10274551A patent/JP2000106552A/ja active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1996007256A1 (fr) * | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Systeme de certification |
| JPH08249253A (ja) * | 1995-03-13 | 1996-09-27 | Fujitsu Ltd | 通信システムおよびアクセス応答装置およびアクセス要求装置 |
| JPH10269184A (ja) * | 1997-03-28 | 1998-10-09 | Hitachi Ltd | ネットワークシステムのセキュリティ管理方法 |
| JPH1131126A (ja) * | 1997-05-08 | 1999-02-02 | Internatl Business Mach Corp <Ibm> | サーバ・グループ間で操作を調整する方法 |
| JP2000036809A (ja) * | 1998-07-17 | 2000-02-02 | Hitachi Ltd | ユーザの簡易認証方法およびそのプログラムを格納した記録媒体 |
| JP2000047971A (ja) * | 1998-07-30 | 2000-02-18 | Mitsubishi Electric Corp | ユーザ認証機能付サーバクライアントシステム装置及びユーザ認証方法及びユーザ認証機能付サーバ及びコンピュータ読み取り可能な記録媒体 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6832377B1 (en) * | 1999-04-05 | 2004-12-14 | Gateway, Inc. | Universal registration system |
| EP1290568A1 (en) * | 2000-05-15 | 2003-03-12 | Communicator, Inc. | Method and system for providing an online industry hub |
| EP1290568A4 (en) * | 2000-05-15 | 2005-05-11 | Communicator Inc | METHOD AND SYSTEM FOR ESTABLISHING AN ONLINE INDUSTRIAL ACTIVITY CENTER |
| KR20020003759A (ko) * | 2000-07-03 | 2002-01-15 | 김효철 | 통신 네트워크를 이용한 인증처리 방법 |
| JP2002278936A (ja) * | 2001-03-15 | 2002-09-27 | Cognitive Research Laboratories Inc | 携帯情報端末におけるセキュリティ管理データの操作システム |
| JP4623853B2 (ja) * | 2001-03-30 | 2011-02-02 | 株式会社日本総合研究所 | サイト統合システムにおけるサイトアクセス方法 |
| JP2002298009A (ja) * | 2001-03-30 | 2002-10-11 | Japan Research Institute Ltd | サイト統合システムおよびサイトアクセス方法 |
| JP2002333928A (ja) * | 2001-05-08 | 2002-11-22 | Being:Kk | ライセンスコントロールシステム |
| JP2005267529A (ja) * | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 |
| WO2005101220A1 (ja) * | 2004-03-30 | 2005-10-27 | Ibm Japan, Ltd. | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
| JPWO2005101220A1 (ja) * | 2004-03-30 | 2008-03-06 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Maschines Corporation | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
| US9253217B2 (en) | 2004-03-30 | 2016-02-02 | International Business Machines Corporation | Authentication policy usage for authenticating a user |
| US8839393B2 (en) | 2004-03-30 | 2014-09-16 | International Business Machines Corporation | Authentication policy usage for authenticating a user |
| US7712129B2 (en) | 2004-03-30 | 2010-05-04 | International Business Machines Corporation | System, method and program for user authentication, and recording medium on which the program is recorded |
| US8689302B2 (en) | 2004-03-30 | 2014-04-01 | International Business Machines Corporation | System, method and program for user authentication, and recording medium on which the program is recorded |
| KR100968179B1 (ko) | 2004-03-30 | 2010-07-07 | 인터내셔널 비지네스 머신즈 코포레이션 | 사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체 |
| US9584548B2 (en) | 2004-03-30 | 2017-02-28 | International Business Machines Corporation | Authentication policy usage for authenticating a user |
| JP4750020B2 (ja) * | 2004-03-30 | 2011-08-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
| JP4937917B2 (ja) * | 2004-09-30 | 2012-05-23 | ケィティ、コーポレーション | 有・無線統合サービスネットワークにおける個人の移動性のための統合認証処理装置及びその方法 |
| JP2008515080A (ja) * | 2004-09-30 | 2008-05-08 | ケィティ、コーポレーション | 有・無線統合サービスネットワークにおける個人の移動性のための統合認証処理装置及びその方法 |
| JPWO2006073008A1 (ja) * | 2005-01-07 | 2008-10-23 | 株式会社システム・ケイ | ネットワークカメラへのログイン認証システム |
| JP2007235348A (ja) * | 2006-02-28 | 2007-09-13 | Hitachi Ltd | 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法 |
| JP2010114714A (ja) * | 2008-11-07 | 2010-05-20 | Canon Inc | データ処理装置、データ処理装置の制御方法、情報処理装置、情報処理装置の制御方法、記憶媒体及びプログラム |
| US9710676B2 (en) | 2008-11-07 | 2017-07-18 | Canon Kabushiki Kaisha | Data processing apparatus, information processing apparatus, and storage medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5357246B2 (ja) | 統合認証のためのシステム、方法およびプログラム製品 | |
| US7350229B1 (en) | Authentication and authorization mapping for a computer network | |
| JP4782986B2 (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
| US7860883B2 (en) | Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments | |
| US8117649B2 (en) | Distributed hierarchical identity management | |
| JPH11212912A (ja) | セッション管理システム及び管理方法 | |
| JP2002334056A (ja) | ログイン代行システム及びログイン代行方法 | |
| JP2003296277A (ja) | ネットワーク装置、認証サーバ、ネットワークシステム、認証方法 | |
| US7093019B1 (en) | Method and apparatus for providing an automated login process | |
| KR20200002680A (ko) | 멀티 도메인 서비스들을 위한 단일 인증 방법 그리고 이를 구현한 시스템 | |
| JP2000106552A (ja) | 認証方法 | |
| JP2006031064A (ja) | セッション管理システム及び管理方法 | |
| US7784085B2 (en) | Enabling identity information exchange between circles of trust | |
| JP4932154B2 (ja) | アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム | |
| JP2016115260A (ja) | 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム | |
| JP3528065B2 (ja) | コンピュータネットワーク上の対話継承型アクセス制御方法 | |
| JP4352210B2 (ja) | アクセス管理サーバ、ネットワーク装置、ネットワークシステム | |
| JP2002342270A (ja) | リモートアクセス制御方法、リモートアクセス制御プログラム | |
| CA2458257A1 (en) | Distributed hierarchical identity management | |
| JP4352211B2 (ja) | ネットワーク装置及び認証サーバ | |
| JP2005346571A (ja) | 認証システム及び認証方法 | |
| JP2001056795A (ja) | アクセス認証処理装置及びこれを備えるネットワーク及びその記憶媒体及びアクセス認証処理方法 | |
| JP2000172645A (ja) | サーバコンピュータ及びサーバコンピュータにおける認証情報管理方法 | |
| JP2005293088A (ja) | 認証システム及び認証方法 | |
| JP2004178466A (ja) | サービスサイト単位のセッションを確立させる方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20040817 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20041214 |