JP2004302869A - アクセス管理サーバ、ネットワーク装置、ネットワークシステム、アクセス管理方法 - Google Patents

アクセス管理サーバ、ネットワーク装置、ネットワークシステム、アクセス管理方法 Download PDF

Info

Publication number
JP2004302869A
JP2004302869A JP2003095179A JP2003095179A JP2004302869A JP 2004302869 A JP2004302869 A JP 2004302869A JP 2003095179 A JP2003095179 A JP 2003095179A JP 2003095179 A JP2003095179 A JP 2003095179A JP 2004302869 A JP2004302869 A JP 2004302869A
Authority
JP
Japan
Prior art keywords
client
access
login
sso
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003095179A
Other languages
English (en)
Other versions
JP4352210B2 (ja
Inventor
Satoshi Sunada
智 砂田
Soichi Kagiwada
創一 鍵和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2003095179A priority Critical patent/JP4352210B2/ja
Publication of JP2004302869A publication Critical patent/JP2004302869A/ja
Application granted granted Critical
Publication of JP4352210B2 publication Critical patent/JP4352210B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Abstract

【課題】サービス毎に自由にログイン状態の制御が可能であり、そのログイン状態の変更を即時に他のサービスへも反映するとともに、パフォーマンスへの影響を最小限に抑え、さらに特別なポータルを必要としないネットワークシステムを提供する。
【解決手段】SSOアプリケーション2,3は、それぞれログイン状態情報データベース23にログイン状態情報を保持しており、自由にログイン状態の管理を行うことができる。またSSOアプリケーション2,3に対するクライアント5〜7のアクセスは、アクセス情報としてSSOサーバ1のSSOアクセス情報データベース12に保持しておく。クライアント5〜7からのログインやログアウトなどのログイン状態の変更要求があると、SSOサーバ1はアクセス情報を利用してそれまでに要求元のクライアントがアクセスしたSSOアプリケーションに対してログイン状態情報を通知する。
【選択図】 図1

Description

【0001】
【発明の属する技術分野】
本発明は、クライアントが複数のサービスを利用する際のアクセス管理技術に関するものであり、特に、一度認証するだけで認証が必要な複数のサービスを利用可能とするシングルサインオン(以下SSO)機能に適用可能なアクセス管理技術に関するものである。
【0002】
【従来の技術】
クライアントがネットワークを通じてサービスを利用する場合、そのサービスを利用する権限を有していることを確認するため、ユーザ名やパスワード等の入力によるサインを行う。ユーザの利用権限のチェックはそれぞれのサービスごとに必要となるため、旧来はそれぞれのサービスを利用する毎にユーザはサインを行っていた。しかし、利用するサービスが複数存在する場合、いちいちサインを行うのは手間がかかる。このようなユーザの手間を軽減するため、クライアントがただ一度のサイン(ユーザ名,パスワード等の入力)を行うことで複数のサービスの利用を可能にしたシングルサインオンの技術が開発されている。
【0003】
シングルサインオンを実現する従来の方法の一つとして、例えばクライアント側で用いているブラウザにおいて、アプリケーション毎のサイン(ユーザ名,パスワード)を保持する方法がある。しかし、このような機能を有していないブラウザもあり、汎用的に利用できる技術ではない。
【0004】
別の方法として、例えば特許文献1に記載されているように、クライアントからのアクセスを受け付けるWebサーバを設け、このWebサーバを通じて各種のサービスを提供する方法がある。この場合、Webサーバに対して1回のサイン(ユーザ名,パスワード入力)のみで、各種のサービスを利用することが可能である。また、クライアントのログイン状態はすべてWebサーバにおいて一元管理することができる。
【0005】
しかし、WebサーバやSSOに参加している各サーバが利用するクライアント識別情報は同一であることを前提としているため、例えばWebアプリケーションに適用しようとした場合、必ずポータル的なサーバが必要となる。そのため、すでにネットワーク上にサーバが構成されている場合、導入への大きな障害となる。また、クライアントからの要求はすべてWebサーバを通過しなければならないため、パフォーマンスへの影響も大きい。
【0006】
別の方法として、例えば特許文献2に記載されているように、複数の認証が必要なWWWサーバのうち、一つのWWWサーバにおいて認証を行えば、そのWWWサーバから他のサーバへ認証済み情報が通知される技術がある。この技術では、認証が行われたときに、その旨を他のすべてのWWWサーバへ通知する。そのため、それぞれのWWWサーバが通知先となる全てのWWWサーバの情報を保持している必要がある。また、クライアントがアクセスしたか否かによらず、全てのWWWサーバへ認証済みである旨を通知するため、通知によるトラフィック量が増大し、パフォーマンスへの影響が大きいという問題がある。
【0007】
さらに別の方法として、特願2002−95755号公報に記載されている技術においても、SSOサーバにおいてクライアント識別情報とそのクライアントの認証情報を一元管理し、SSOを実現している。この技術では、クライアントからのアクセスを受けたWWWアプリケーションがSSOサーバに問い合わせ、また、WWWアプリケーションがSSOサーバから認証状況を受け取った後は、クライアントとWWWアプリケーションの間で通信を行うので、特定のサーバにアクセスが集中することもなく、パフォーマンスの影響は小さい。
【0008】
しかしこの技術では、ログイン状態を決定する情報をクライアントから受け取るのは、ログイン状態を管理しているサーバ(SSOサーバ)である。そのため、例えばDocuShare(登録商標)のように各々のサーバがログイン状態を管理し、またそれぞれのサーバが認証機能を有してクライアントからの要求により認証方法を切り替えるといった制御を行っているシステムをSSOに参加させることはできない。また、この技術では、SSOに参加しているサーバがSSOサーバへクライアントのログイン状態を問い合わせるのは最初の接続時のみであり、その後のログイン状態の変化を反映することができない。そのため、クライアントのログイン状態が自由に変更可能なシステムにおいては、ログイン状態の統一を保つことができないという問題があった。
【0009】
【特許文献1】
特開2000−106552号公報
【特許文献2】
特開2002−288138号公報
【0010】
【発明が解決しようとする課題】
本発明は、上述した事情に鑑みてなされたもので、SSOに参加しているサービス毎に自由にログイン状態の制御が可能であるとともに、そのクライアントのログイン状態の変更を、パフォーマンスへの影響を最小限に抑えながらも、即時に他のサービスへも反映することができ、さらに特別なポータルを必要としないネットワークシステムを提供するとともに、そのようなネットワークシステムにおいて利用可能なアクセス管理サーバ及びネットワーク装置と、アクセス管理方法を提供することを目的とするものである。
【0011】
【課題を解決するための手段】
本発明は、クライアントに対して提供されるサービスへの前記クライアントのアクセスを管理するアクセス管理サーバ及びアクセス管理方法において、通信制御手段は、クライアントが新たなサービスにアクセスするたびに、そのクライアントがアクセスしたサービスの情報をアクセス情報としてアクセス情報保持手段に保持し、クライアントのログイン状態の変更時には、アクセス情報保持手段に保持しておいたアクセス情報に従って、クライアントがアクセスしたサービスに対してログイン状態情報の変更を通知することを特徴とするものである。さらにクライアントのログイン状態に関するログイン状態情報をログイン状態情報保持手段に保持しておき、既にアクセス済のクライアントが他のサービスに新たにアクセスしたときには、ログイン状態情報に従って、他のサービスに対してログイン状態を通知し、ログイン状態の変更時にはログイン状態情報保持手段中のログイン状態情報の更新も行うように構成することができる。
【0012】
例えばクライアントがいくつかのサービスに対してアクセスした場合には、それぞれのサービスに対してアクセスした旨をアクセス情報として保持しておく。そして、ログイン状態の変更としてサービスに対するログイン要求を受け付けた場合には、必要に応じてクライアントの認証を行い、あるサービスに対するログインの許可を他のアクセス済のサービスに対して通知する。また、例えばログイン状態の変更としてサービスに対するログアウト要求を受け付けた場合には、あるサービスに対するログアウトを他のアクセス済のサービスに対して通知すればよい。
【0013】
このような構成によって、ログイン状態の変更に対応することができるとともに、ログイン状態の変更時にはそれまでクライアントがアクセスしたサービスに対してのみ、即時に通知するので、トラフィック量を低減してパフォーマンスへの影響を最小限に抑えながら、即時性を保証することができる。
【0014】
なお、上述のようなクライアントからのアクセスあるいはサービスからのクライアントに関する問い合わせのアクセスに対して、それぞれのクライアント毎に有効期限を定めておくことができる。もちろん、有効期限を定めなくてもよい。
【0015】
また本発明は、上述のようなアクセス管理サーバを利用し、ネットワークを通じて行われるクライアントからの要求に応じてサービスを提供するネットワーク装置において、クライアントのログイン状態に関するログイン状態情報をログイン状態情報保持手段に保持に保持しておき、クライアントからのアクセスを受けた際に、ログイン状態情報保持手段が保持するログイン状態情報を調べ、新たなクライアントからのアクセスである場合、あるいは、ログイン状態の変更を要求するアクセスの場合にはアクセス管理サーバに通知し、アクセス管理サーバからの通知に応じてログイン状態情報保持手段へのログイン状態情報の登録又はログイン状態情報の更新を行うことを特徴とするものである。
【0016】
なお、ログイン状態の変更を要求したクライアントがサービスに対するローカルユーザである場合には、アクセス管理サーバへの問い合わせを行わずにログイン状態の変更を行うように構成することができる。このように、アクセス管理サーバによるログイン状態の管理に束縛されずに、それぞれのネットワーク装置が自由にログイン状態の制御が可能である。
【0017】
また、サービスを提供するネットワーク装置の側でも、クライアント毎にアクセスの有効期限を定めることができる。もちろん、有効期限を定めなくてもよい。
【0018】
さらに本発明は、ネットワークを通じて行われるクライアントからの要求に応じてサービスを提供するネットワーク装置と、ネットワークを通じて前記クライアントのアクセスを管理するアクセス管理サーバを含むネットワークシステムであって、ネットワーク装置は、クライアントから新たなアクセスを受けた際にアクセス管理サーバに通知し、アクセス管理サーバは、ネットワーク装置からの新たなアクセスを受けた際の通知に従いアクセス情報を保持する。そして、ネットワーク装置がクライアントからログイン状態の変更を要求された場合には、ログイン状態の変更の要求をアクセス管理サーバに送り、前記アクセス管理サーバはそれまでに保持されている当該クライアントに対応するアクセス情報に従って1ないし複数のネットワーク装置に対してログイン状態の変更を通知することを特徴とするものである。
【0019】
例えばネットワーク装置がクライアントからログインの要求を受けたときには、アクセス管理サーバは必要に応じてクライアントの認証を行って、当該クライアントに対応するログイン状態情報をログインしている旨に変更するとともに、それまでに当該クライアントがアクセスした1ないし複数のネットワーク装置に対してログイン状態情報の変更を通知する。これによって、他のネットワーク装置においても当該クライアントをログイン済として扱うことができる。
【0020】
また、ネットワーク装置がクライアントからログアウトの要求を受けたとき、アクセス管理サーバは当該クライアントに対応するログイン状態情報をログアウトの状態に変更するとともに、それまでに当該クライアントがアクセスした1ないし複数のネットワーク装置に対してログイン状態情報の変更を通知する。これによって、他のネットワーク装置においても当該クライアントがログアウトしたものとして扱うことができる。
【0021】
このようなネットワークシステムおいては、ログイン状態の変更に容易に対応することができるとともに、ログイン状態の変更時にはそれまでクライアントがアクセスしたサービスに対してのみ、即時に通知するので、トラフィック量を低減してパフォーマンスへの影響を最小限に抑えながら、即時性を保証することができる。
【0022】
【発明の実施の形態】
図1は、本発明の実施の一形態を示すシステム構成図である。図中、1はSSOサーバ、2,3はSSOアプリケーション、4はネットワーク、5〜7はクライアント、11は通信制御部、12はSSOアクセス情報データベース、13はログイン状態情報データベース、14はユーザ認証情報データベース、21は通信制御部、22は処理部、23はログイン状態情報データベースである。図1に示す例では、SSOサーバ1、SSOアプリケーション2,3、クライアント5〜7などがネットワーク4を利用して通信可能に構成されている。もちろん、多くのクライアント、多くのSSOアプリケーション、その他多くのサーバ等と通信可能である。ネットワーク4は、LANやインターネットなど、各種のネットワークで構成することができ、またそれらが複合的に組み合わされた構成であってよい。
【0023】
SSOサーバ1は、クライアント5〜7からSSOアプリケーション2,3に対するアクセス及びログイン状態を管理するアクセス管理サーバとして機能する。クライアントが新たなSSOアプリケーションに対してアクセスする度にクライアントとアクセスしたSSOアプリケーションの情報をSSOアクセス情報としてSSOアクセス情報データベース12に保持しておく。また、管理しているログイン状態の情報をログイン状態情報データベース13に格納しており、このログイン状態情報を用いてSSOアプリケーション2,3からのログイン状態の問い合わせに応じることでSSO機能を提供する。さらに、ログイン状態の変更時には、必要に応じてクライアントの認証を行うとともに、SSOアクセス情報として登録されているそれまでにクライアントがアクセスしたSSOアプリケーションに対してログイン状態の変更を通知する。ログイン状態の変更としては、ログイン前のゲストからユーザアカウントへのログイン、及び、ログインの状態からのログアウトなどがある。
【0024】
この例ではSSOサーバ1は、通信制御部11、SSOアクセス情報データベース12、ログイン状態情報データベース13、ユーザ認証情報データベース14などを含んで構成されている。通信制御部11は、ネットワーク4を通じてSSOアプリケーション2,3やクライアント5〜7等との通信を行うとともに、上述のようなSSOサーバ1における機能を実現する。
【0025】
SSOアクセス情報データベース12は、クライアントがアクセスしたSSOアプリケーションに関するアクセス情報を保持する。またログイン状態情報データベース13は、それぞれのクライアントごとに、クライアントのログイン状態に関するログイン状態情報を保持する。さらにユーザ認証情報データベース14は、クライアントの認証情報を保持する。
【0026】
図2は、SSOサーバが保持する情報の一例の説明図である。図2(A)に示すSSOアクセス情報データベース12に格納するアクセス情報は、SSOサーバにおけるクライアント識別情報(以下、sidと呼ぶことがある)と、クライアントがアクセスしたSSOアプリケーションの名称などの識別情報と、当該SSOアプリケーションにおけるクライアント識別情報(以下、cidと呼ぶことがある)から構成されている。このようなアクセス情報を、クライアント毎、SSOアプリケーション毎に格納する。
【0027】
また図2(B)に示すログイン状態情報データベース13に格納するログイン状態情報は、SSOサーバにおけるクライアント識別情報(sid)と、ログイン状態から構成されている。ログイン状態には、例えば3行目に示しているように“guest”でSSOアプリケーション2,3にアクセスしている状態か、1,2行目に示しているように“user−A”や“user−B”といったユーザIDのアカウントによりログインした状態か、等を示す情報が格納されている。
【0028】
さらに図2(C)に示すユーザ認証情報データベース14に格納するユーザ認証情報は、ユーザIDと、対応する認証情報(例えばパスワードなど)によって構成されている。クライアントからログイン要求を受けたとき、ユーザIDと認証情報を用いて認証を行うことができる。
【0029】
なお、それぞれのデータベースに格納する情報は図2に示した情報に限られるものではなく、それぞれの機能が果たせればどのような情報であってもよいし、他の種々の情報を含んでいてもよい。また、SSOアクセス情報データベース12、ログイン状態情報データベース13、ユーザ認証情報データベース14は、この例ではSSOサーバ1内に設けているが、これに限らず、その一部又は全部をSSOサーバ1とは別のサーバにより構成することも可能である。
【0030】
SSOアプリケーション2,3は、クライアントに対して各種のサービスを提供する。SSOアプリケーション2,3は、例えばコンピュータなどのネットワーク装置(サーバ)で構成することができる。なお、1台のネットワーク装置(サーバ)が複数のサービスを提供することもあるし、複数台のネットワーク装置が協働して1つのサービスを提供することもある。ここでは、SSOアプリケーション2,3は、クライアントに対して提供されるサービスに対応するものとして示している。なお、SSOアプリケーション2,3は、それぞれがローカルユーザのための認証機構を有しており、ユーザの認証を独自で行うことができる。認証を独自で行うか、あるいはSSOサーバに任せるかは、それぞれのSSOアプリケーション2,3が判断して行う。従って、ログイン状態の制御をSSOアプリケーションにおいて行うことができる。
【0031】
SSOアプリケーション2は、通信制御部21、処理部22、ログイン状態情報データベース23を含んで構成されている。SSOアプリケーション3については図示していないが、同様の構成を含んで構成することができる。処理部22は、実際にサービスを提供する部分である。
【0032】
通信制御部21は、ネットワーク1を通じてクライアント5〜7及びSSOサーバ1などとの通信を行い、SSOアプリケーション2における処理部22で行うサービスのための処理以外の様々な処理を行う。例えばクライアントからのアクセスを受け付け、ログイン状態情報データベース23が保持するログイン状態情報を調べ、新たなクライアントからのアクセスである場合には、SSOサーバ1に対して問い合わせを行い、ログイン状態情報を受け取ってログイン状態情報を登録する。このとき、既に他のSSOアプリケーションでログイン済であり、SSO機能によりログインを許可する場合には、このSSOアプリケーション2においてもログイン済として扱う。また、例えばゲストとしてアクセスしているクライアントからログイン要求を受けたり、ログイン中のクライアントからログアウト要求を受けるなど、ログイン状態を変更する要求を受けた場合には、ローカルなユーザであれば自装置内で処理し、そうでなければSSOサーバ1に依頼する。さらに、SSOサーバ1からクライアントのログイン状態情報の変更が通知された場合には、当該通知に基づいてログイン状態情報の更新を行う。当然、SSOアプリケーション毎のクライアント管理の方針によりログイン状態情報の更新を行わなくても良い。(例えば、ローカルユーザのログイン状態を優先する方針であれば、SSOサーバ1からの通知では、ログイン状態を更新しない等。)
【0033】
ログイン状態情報データベース23は、それぞれのクライアントのログイン状態に関する情報であるログイン状態情報を保持している。図3は、SSOアプリケーションが保持するログイン状態情報の一例の説明図である。このログイン状態情報は、図2(B)に示したSSOサーバ1が保持するログイン状態情報と同様であり、SSOアプリケーション2におけるクライアント識別情報(cid)とログイン状態を保持している。このログイン状態情報は、SSOアプリケーション2においてローカルなユーザについてのログイン状態情報についても保持しておくことができる。なお、ログイン状態情報は、図3に示した構成に限られるものではない。また、このログイン状態情報データベース23はSSOアプリケーションとは別に設けることも可能である。
【0034】
なおクライアント5〜7は、コンピュータや携帯端末、携帯電話をはじめ、様々なネットワーク機器で構成することができる。
【0035】
次に、本発明の実施の一形態における動作について説明する。なお、以下の動作の説明では、利用するプロトコルはHTTPとして説明する。図4は、クライアントからSSOアプリケーションへの初回のアクセス時の動作の一例を示すシーケンス図である。ここではクライアント5がSSOにより利用可能なSSOアプリケーション群へのはじめてのアクセスとして、SSOアプリケーション2に対してアクセスを行ったものとする。クライアントは(1)において、SSOアプリケーション2のホームページなどのアドレス(url)を指定してアクセスする。
【0036】
SSOアプリケーション2は、クライアント5からのアクセスを受けると、クライアント5が既にSSOアプリケーション2にアクセスを行っているか否かを調べる。これは、例えばクライアント5からSSOアプリケーション2が発行した情報(例えばクッキー)の提示があるか否かを判定したり、あるいは、ログイン状態情報データベース23に格納されているログイン状態情報を調べることによって行うことができる。
【0037】
クライアント5からの新規のアクセスであることを確認したら、(2)において、クライアント5に対してクライアント識別情報(cid)を割り当てる。そして、ログイン状態情報として、クライアント識別情報(cid)と、まだログインしていない状態であることを示すログイン状態“ゲスト”を対応付けてログイン状態情報データベース23に格納する。さらに、一時的な識別子(oid)をクライアント識別情報(cid)と対応付けて保持しておく。そしてSSOアプリケーション2は、(3)において、クライアント5に対してリダイレクションによってSSOサーバ1へのアクセスを指示する。このとき、SSOサーバ1のアドレスとともに、SSOアプリケーション2のアドレス(SSOApp)と一時的な識別子(oid)を送る。
【0038】
クライアント5では、リダイレクションの指示をSSOアプリケーション2から受け取ると、自動的に、あるいはユーザの指示に従い、(4)において、送られてきたSSOサーバのアドレスを用いてSSOサーバ1へのアクセスが行われる。この時、同じく送られてきたSSOアプリケーション2のアドレス(SSOApp)と一時的な識別子(oid)についてもSSOサーバ1へ送る。
【0039】
SSOサーバ1では、クライアント5からのアクセスを受けると、クライアント5が既にSSOサーバ1(すなわちSSOアプリケーションのいずれか)にアクセスを行っているか否かを調べる。これは、例えばクライアント5からSSOサーバ1が発行した情報(例えばクッキー)の提示があるか否かを判定したり、あるいは、ログイン状態情報データベース13に格納されているログイン状態情報を調べることによって行うことができる。
【0040】
クライアント5からの新規のアクセスであることを確認したら、(5)において、クライアント5に対してクライアント識別情報(sid)を割り当てる。そして、ログイン状態情報として、クライアント識別情報(sid)と、まだログインしていない状態であることを示すログイン状態“ゲスト”を対応付けてログイン状態情報データベース23に格納する。さらに、(6)において、SSOサーバ1はSSOアプリケーション2に対して、クライアント5から送られてきたSSOアプリケーション2のアドレス(SSOApp)及び一時的な識別子(oid)をもとに、SSOアプリケーション2におけるクライアント識別情報(cid)を要求する。
【0041】
SSOサーバ1からの要求を受け取ったSSOアプリケーション2では、(7)において、送られてきた一時的な識別子(oid)をもとに、関連づけられているクライアント識別情報(cid)を取得し、一時的な識別子(oid)とクライアント識別情報(cid)との関連づけを消す。そして(8)において、SSOアプリケーション2におけるクライアント識別情報(cid)をSSOサーバ1へ送る。
【0042】
SSOサーバ1では、SSOアプリケーション2から送られてきたクライアント識別情報(cid)を受け取ると、(9)において、SSOサーバ1におけるクライアント識別情報(sid)と、SSOアプリケーション2を識別する情報(例えばSSOアプリケーション2のアドレス(SSOApp)など)と、SSOアプリケーション2におけるクライアント識別情報(cid)とを対応付けてアクセス情報としてSSOアクセス情報データベース12に格納する。SSOサーバ1は、アクセス情報の登録が終了した後、クライアント5が初回のアクセスであった場合には、(10)において、SSOアプリケーション2にアクセスを戻すため、SSOアプリケーション2のアドレス(SSOApp)を指定したリダイレクションをクライアント5に指示する。この時、以後、SSOサーバ1にアクセスする際に用いる情報(例えばクッキーなど)をクライアント5へ送っておく。
【0043】
クライアント5では、リダイレクションの指示をSSOサーバ1から受け取ると、自動的に、あるいはユーザの指示に従い、(11)において、送られてきたSSOアプリケーションのアドレス(SSOApp)を用いてSSOアプリケーション2へのアクセスが行われる。
【0044】
SSOアプリケーション2は、クライアント5からのアクセスを受け取ると、(12)において、今度はクライアント5にクライアント識別情報(cid)が割り当てられているので、これをもとにログイン状態情報データベース23に格納されているログイン状態情報を取得し、クライアント5のログインの状態を調べる。ここではクライアント5のログイン状態は“ゲスト”である。要求されているページが“ゲスト”のログイン状態で参照可能であることを確認後、(13)において、要求されているページをクライアント5へ送る。
【0045】
このようにして、(1)で要求したページがクライアント5において表示され、ユーザが参照することができる。以後、SSOアプリケーション2において“ゲスト”のログイン状態で参照可能なページについては、クライアント5からの要求に応じて、SSOアプリケーション2が当該ページを送ることによって、やりとりが行われる。
【0046】
図5は、クライアントから別のSSOアプリケーションへアクセスした時の動作の一例を示すシーケンス図である。ここではクライアント5が上述のようにしてSSOアプリケーション2にアクセスした後に、SSOアプリケーション3に対してアクセスを行ったものとする。なお、図4で説明した初回のアクセス時と同様の部分には同じ符号を付して概略のみを説明する。
【0047】
クライアント5が(1)においてSSOアプリケーション3にアクセスすると、SSOアプリケーション3は、クライアント5が既にSSOアプリケーション3にアクセスを行っているか否かを調べる。ここでは、クライアント5はSSOアプリケーション2に対しては既にアクセスを行っているものの、SSOアプリケーション3に対しては初回のアクセスとなる。
【0048】
SSOアプリケーション3は、クライアント5からの新規のアクセスであることを確認したら、(2)において、クライアント5に対するクライアント識別情報(cid)の割り当てと、ログイン状態情報の生成及びログイン状態情報データベースへの格納を行う。さらに、一時的な識別子(oid)をクライアント識別情報(cid)と対応付けて保持しておく。そして(3)において、クライアント5に対してリダイレクションによってSSOサーバ1へのアクセスを指示する。クライアント5は、リダイレクションの指示を受け、(4)において、SSOサーバ1へのアクセスを行う。
【0049】
SSOサーバ1では、クライアント5からのアクセスを受けると、(5’)において、クライアント5が既にSSOサーバ1(すなわちSSOアプリケーションのいずれか)にアクセスを行っているか否かを調べる。ここでは既にSSOアプリケーション2にアクセスしたときにSSOサーバ1へのアクセスを行っている。従って、ログイン状態情報データベース13にクライアント5のログイン状態情報が格納されている。また、例えばSSOサーバ1が例えばクッキー等の情報を発行している場合には、クライアント5からSSOサーバ1が発行した例えばクッキー等の情報が提示される。なお、クライアント5が既に他のSSOアプリケーションにアクセスしている場合には、新たなクライアント識別情報(sid)の割り当てや新たなログイン状態情報の生成及び登録などは行わない。
【0050】
SSOサーバ1は、(6)において、SSOアプリケーション3に対して一時的な識別子(oid)をもとに、SSOアプリケーション3におけるクライアント識別情報(cid)を要求する。この要求に対して、SSOアプリケーション3では、(7)において、送られてきた一時的な識別子(oid)をもとに、関連づけられているクライアント識別情報(cid)を取得し、一時的な識別子(oid)とクライアント識別情報(cid)との関連づけを消す。そして(8)において、SSOアプリケーション3におけるクライアント識別情報(cid)をSSOサーバ1へ送る。
【0051】
SSOサーバ1では、SSOアプリケーション3から送られてきたクライアント識別情報(cid)を受け取ると、(9)において、SSOサーバ1におけるクライアント識別情報(sid)と、SSOアプリケーション3を識別する情報(例えばSSOアプリケーション3のアドレス(SSOApp)など)と、SSOアプリケーション3におけるクライアント識別情報(cid)とを対応付けてアクセス情報としてSSOアクセス情報データベース12に格納する。このようにして、同じクライアント5であっても、異なるSSOアプリケーションにアクセスした場合には新たなアクセス情報が生成され、登録される。従ってクライアント5がいずれのSSOアプリケーションにアクセスしたかがアクセス情報として蓄積されることになる。
【0052】
SSOサーバ1は、アクセス情報の登録が終了した後、(10’)において、SSOアプリケーション3に対して、ログイン状態情報データベース13に格納されているクライアント5に対応するログイン状態情報(status)を、SSOアプリケーション3におけるクライアント5のクライアント識別情報(cid)とともに送る。この通知を受けたSSOアプリケーション3では、(12’)において、ログイン状態情報データベース23に格納されているクライアント5に対応するログイン状態情報を、受け取ったログイン状態情報に書き換える。そして(13)において、要求されているページをクライアント5へ送る。
【0053】
この例では、先にSSOアプリケーション2に対して“ゲスト”としてアクセスしているので、SSOサーバ1からSSOアプリケーション3に対してログイン状態が“ゲスト”である旨が通知され、SSOアプリケーション3におけるクライアント5に対するログイン状態情報は“ゲスト”のままである。例えば後述するログイン状態の変更要求がなされ、ユーザIDなどによってログインされた状態の場合には、その旨がSSOサーバ1からSSOアプリケーション3に通知され、SSOアプリケーション3においても通知されたユーザIDによってログインされた状態となる。これによって、クライアント5から改めてSSOアプリケーション3に対してログインを行わなくても、SSOアプリケーション3にログインしているものとしてSSOアプリケーション3のサービスを受けることができ、SSOを実現することができる。
【0054】
次に、ログイン状態の変更を要求された場合の動作について説明する。ログイン状態の変更としては、ユーザIDによるログインやログアウトなどがある。まずログイン時の動作について説明する。
【0055】
図6は、クライアントからSSOアプリケーションへログイン要求を行ったときの動作の一例を示すシーケンス図である。ここではクライアント5がSSOアプリケーション2にログイン要求を行うものとし、これまでにクライアント5はSSOアプリケーション2,3に対してアクセスを行っているものとする。すなわち、SSOサーバ1にはアクセス情報として、SSOアプリケーション2へのアクセス時のアクセス情報とSSOアプリケーション3へのアクセス時のアクセス情報がSSOアクセス情報データベース12に格納されているものとする。
【0056】
クライアント5は、ログインを要求するために、ここではSSOアプリケーション2に対して(21)においてログインフォームを要求し、SSOアプリケーション2は、この要求に応じて(22)においてログインフォームをクライアント5に送る。クライアント5では、送られてきたログインフォームにユーザIDやパスワードなどの所定事項を入力し、その内容をログイン情報として、(23)においてSSOアプリケーション2に送る。
【0057】
SSOアプリケーション2は、クライアント5からログイン情報を受け取ると、その内容をチェックした後、(24)においてクライアント5のクライアント識別情報(cid)とともにログイン情報をSSOサーバ1へ送る。
【0058】
SSOサーバ1では、SSOアプリケーション2からクライアント識別情報(cid)及びログイン情報を受け取ると、(25)において、ユーザ認証情報データベース14に格納されているユーザ認証情報を用いて認証を行う。認証に成功したら、SSOアプリケーション2におけるクライアント識別情報(cid)をもとにSSOサーバ1におけるクライアント識別情報(sid)を特定し、ログイン状態情報データベース13に格納されているクライアント5のログイン状態情報を更新する。さらに(26)において、SSOサーバ1におけるクライアント識別情報(sid)をもとにSSOアクセス情報データベース12を検索し、それまでクライアント5がアクセスしたSSOアプリケーションを特定する。
【0059】
そして(27)において、(26)で特定したSSOアプリケーションに対して、それぞれ、ログイン状態情報(status)をそれぞれのSSOアプリケーションにおけるクライアント識別情報(cid)とともに送る。クライアント5がSSOアプリケーション2,3にアクセスしていた場合、図中(27)として示すSSOアプリケーション2へのログイン状態情報の送信とともに、SSOアプリケーション3に対してもログイン状態情報が送信される。これを(27’)として示している。
【0060】
このように、ログインが行われてログイン状態が更新される場合には、SSOアクセス情報データベース12に蓄積されている、クライアントがそれまでにアクセスしたすべてのSSOアプリケーションに対して更新後のログイン状態情報が送信される。これによって即時性を保証する。しかし、SSOアプリケーションが多数存在する場合でも、クライアントがアクセスしたSSOアプリケーションのみにしかログイン状態情報を送信しないため、ネットワーク4などに対する負荷を最小限にとどめることができる。さらに、ログイン状態の変更はSSOサーバ1から通知されるため、SSOアプリケーションから定期的に、あるいはクライアントからのアクセス時毎にSSOサーバ1へ尋ねる必要もなく、この点でも即時性及び負荷の軽減に寄与することができる。
【0061】
SSOサーバ1からログイン状態情報を受け取ったSSOアプリケーション2では、(28)において、受け取ったログイン状態情報に従ってログイン状態情報データベース23を更新し、クライアント5はSSOアプリケーション2にログインした状態に変更される。そしてSSOアプリケーション2は、ログイン後のページを(29)においてクライアント5に送る。以後、クライアント5はログインしたユーザとして扱われ、ログインユーザのみに許されるページなどの参照が可能となる。
【0062】
また、SSOアプリケーション3においても、SSOサーバ1からクライアント5のログイン状態情報を受け取る。そしてSSOアプリケーション3のログイン状態情報データベースについても更新される。これによって、クライアント5がSSOアプリケーション2に対してログインを行うだけで、SSOアプリケーション3についてもログインを行ったのと同等のサービスを受けることができるようになり、SSOの機能を実現することができる。
【0063】
なお、(23)においてSSOアプリケーション2がクライアント5からログイン情報を受け取ったとき、このログイン情報を(24)でSSOサーバ1に転送するか否かはSSOアプリケーション2が制御可能である。例えばSSOアプリケーション2が個別の認証機構を有しており、SSOアプリケーション2のローカルユーザとしてクライアントの認証を行う場合には、クライアントの認証を自装置において行えばよく、SSOサーバ1にログイン情報を転送する必要はない。また、SSOアプリケーションにおいて、クライアントはローカルユーザとしてログインしており、かつそのSSOアプリケーションがローカルユーザを優先する方針であれば、SSOサーバからログイン状態情報変更の通知を受け取ったとしても、クライアントのログイン状態を更新する必要はない。既存のSSOアプリケーションでは、このように従来から用いているアカウント及び認証機構をそのまま維持している場合が多く、このようなSSOアプリケーションについてもSSOシステムに容易に加えることが可能である。またこのような機構によって、SSOアプリケーションがログイン状態を任意に制御できるようにしている。
【0064】
また、SSOサーバ1が(25)において認証を行った結果、認証が不成功に終わった場合には、その旨をSSOアプリケーション2に送り、さらにSSOアプリケーション2がクライアント5に対してログインが成功しなかった旨を伝えればよい。
【0065】
図7は、クライアントからSSOアプリケーションへログアウト要求を行ったときの動作の一例を示すシーケンス図である。ここではクライアント5がログイン中にSSOアプリケーション2に対してログアウトの要求を行うものとする。この例においても、これまでにクライアント5はSSOアプリケーション2,3に対してアクセスを行っているものとする。
【0066】
クライアント5は、ここではSSOアプリケーション2に対して(31)においてログアウトを要求する。SSOアプリケーション2は、クライアント5からログアウトの要求を受け取ると、(32)においてクライアント5のクライアント識別情報(cid)とともにログアウトの要求をSSOサーバ1へ送る。
【0067】
SSOサーバ1では、SSOアプリケーション2からクライアント識別情報(cid)及びログアウトの要求を受け取ると、(33)において、SSOアプリケーション2におけるクライアント識別情報(cid)をもとにSSOサーバ1におけるクライアント識別情報(sid)を特定し、ログイン状態情報データベース13に格納されているクライアント5のログイン状態情報を更新する。例えば“ゲスト”の状態に戻せばよい。
【0068】
さらに、SSOサーバ1におけるクライアント識別情報(sid)をもとにSSOアクセス情報データベース12を検索し、それまでクライアント5がアクセスしたSSOアプリケーションを特定する。
【0069】
そして(34)において、(33)で特定した各SSOアプリケーションに対して、ログアウトをそれぞれのSSOアプリケーションにおけるクライアント識別情報(cid)とともに送る。ログアウトは、例えば“ゲスト”のログイン状態情報(status)を送信してもよい。クライアント5がSSOアプリケーション2,3にアクセスしていた場合、図中(34)として示すSSOアプリケーション2へのログアウトの送信とともに、SSOアプリケーション3に対してもログアウトが送信される。これを(34’)として示している。
【0070】
このように、ログアウトが行われてログイン状態が更新される場合も、ログイン時と同様、SSOアクセス情報データベース12に蓄積されている、クライアントがそれまでにアクセスしたすべてのSSOアプリケーションに対してログアウトが送信される。これによって即時性を保証するとともに、クライアントがアクセスしたSSOアプリケーションのみにしかログアウトを送信しないことによって、ネットワーク4などに対する負荷を最小限にとどめることができる。さらに、ログアウトについてもSSOサーバ1からSSOアプリケーションに通知されるため、SSOアプリケーションから定期的に、あるいはクライアントからのアクセス時毎にSSOサーバ1へ尋ねる必要もなく、この点でも即時性及び負荷の軽減に寄与することができる。
【0071】
SSOサーバ1からログアウトを受け取ったSSOアプリケーション2では、(35)において、クライアント5のログイン状態情報をログアウトの状態(例えば“ゲスト”)に更新する。そしてSSOアプリケーション2は、ログアウト後のページを(36)においてクライアント5に送る。以後、クライアント5はログインしていない“ゲスト”として扱われる。
【0072】
また、SSOアプリケーション3においても、SSOサーバ1からクライアント5のログアウトを受け取る。そしてSSOアプリケーション3のログイン状態情報データベースについても更新される。これによって、クライアント5がSSOアプリケーション2に対してログアウトを行うだけで、SSOアプリケーション3についてもログアウトを行ったのと同等のサービスを受けることができるようになり、SSOの機能を実現することができる。
【0073】
なお、(31)においてSSOアプリケーション2がクライアント5からログアウトの要求を受け取ったとき、クライアント5がローカルユーザとしてログインしている場合にはSSOアプリケーション2においてログアウトの処理を行い、SSOサーバ1へのログアウトの要求の転送を行わないように制御すればよい。また、通知を受けるSSOアプリケーションにおいて、クライアントはローカルユーザとしてログインしており、かつそのSSOアプリケーションがローカルユーザを優先する方針であれば、SSOサーバからログイン状態情報変更の通知を受け取ったとしても、クライアントのログイン状態をログアウト状態へ更新する必要はない。
【0074】
上述の動作の説明では、SSOアプリケーション2,3及びSSOサーバ1においてクライアントに対して割り当てたクライアント識別情報(cid,sid)に対する有効期限については説明していないが、例えばログインしたら永続的にそのログインの状態を続けるのであれば、有効期限を設定しなければよい。あるいは、無期限の設定を行えばよい。
【0075】
もちろん有効期限を設定することもでき、その場合には、例えばそれぞれのSSOアプリケーション及びSSOサーバにおいて期限管理を行えばよい。あるいは、SSOアプリケーション及びSSOサーバがクライアントに対して発行した情報(例えばクッキー)に有効期限を設定しておき、クライアントからのアクセスを有効期限内に制限することもできる。有効期限としては、例えば時間を設定したり、例えばセッションの終了までなどといった特定の事象の発生までの期限を設定することもできる。
【0076】
このような有効期限は、ユーザの利用を制限するほか、クライアント識別情報(cid,sid)の漏洩による不正アクセスの防止にも利用することができる。例えばSSOサーバにおけるクライアント識別情報(sid)に有効期限を設けず、SSOアプリケーションにおけるクライアント識別情報(cid)に有効期限を設けておく。そして、SSOアプリケーションにおけるクライアント識別情報(cid)の有効期限切れの後にクライアントからSSOアプリケーションにアクセスされ、SSOサーバに問い合わせが行われた際に、SSOサーバにおけるクライアント識別情報(sid)を更新する。これによって、SSOサーバにおけるログイン状態は保ったまま、クライアント識別情報(sid)を変更してゆくことができる。従ってクライアント識別情報(sid)が漏洩しても永続的に利用できないため、不正アクセスを低減することができる。
【0077】
【発明の効果】
以上の説明から明らかなように、本発明によれば、SSOを実現するとともにログイン状態の変更にも対応し、またそのログイン状態をサービス側で自由に制御することができ、さらに特別なポータルサイトを必要としないネットワークシステムを提供することができる。また、クライアントがアクセスしたサービスに関する情報をアクセス管理サーバに保持しておき、ログイン状態の変更時にはクライアントがアクセスしたことのあるサービスに対してログイン状態の変更を通知するようにしたので、ログイン状態の変更が即時に行われるとともに、ネットワークに対する負荷を軽減し、パフォーマンスへの影響を最小限に抑えることができるという効果がある。
【図面の簡単な説明】
【図1】本発明の実施の一形態を示すシステム構成図である。
【図2】SSOサーバが保持する情報の一例の説明図である。
【図3】SSOアプリケーションが保持するログイン状態情報の一例の説明図である。
【図4】クライアントからSSOアプリケーションへの初回のアクセス時の動作の一例を示すシーケンス図である。
【図5】クライアントから別のSSOアプリケーションへアクセスした時の動作の一例を示すシーケンス図である。
【図6】クライアントからSSOアプリケーションへログイン要求を行ったときの動作の一例を示すシーケンス図である。
【図7】クライアントからSSOアプリケーションへログアウト要求を行ったときの動作の一例を示すシーケンス図である。
【符号の説明】
1…SSOサーバ、2,3…SSOアプリケーション、4…ネットワーク、5〜7…クライアント、11…通信制御部、12…SSOアクセス情報データベース、13…ログイン状態情報データベース、14…ユーザ認証情報データベース、21…通信制御部、22…処理部、23…ログイン状態情報データベース。

Claims (14)

  1. クライアントに対して提供されるサービスへの前記クライアントのアクセスを管理するアクセス管理サーバにおいて、クライアントがアクセスしたサービスに関するアクセス情報を保持するアクセス情報保持手段と、前記クライアントが新たなサービスにアクセスするたびに前記クライアントがアクセスしたサービスの情報を前記アクセス情報として前記アクセス情報保持手段に保持させ前記クライアントのログイン状態の変更時には前記アクセス情報に従って前記クライアントがアクセスしたサービスに対してログイン状態の変更を通知する通信制御手段を有することを特徴とするアクセス管理サーバ。
  2. 前記クライアントのログイン状態に関するログイン状態情報を保持するログイン状態情報保持手段を有し、前記通信制御手段は、既にアクセス済のクライアントが他のサービスに新たにアクセスしたときには、前記ログイン状態情報に従って前記他のサービスに対してログイン状態を通知し、ログイン状態の変更時には前記ログイン状態情報の更新も行うことを特徴とする請求項1に記載のアクセス管理サーバ。
  3. 前記通信制御手段は、前記ログイン状態の変更としてサービスに対するログイン要求を受け付け、あるサービスに対するログインの許可を他のアクセス済のサービスに対して通知することを特徴とする請求項1または請求項2に記載のアクセス管理サーバ。
  4. クライアントの認証情報を保持する認証情報保持手段を有しており、前記通信制御手段は、前記サービスに対するログイン要求を受け付けた際に前記認証情報保持手段に保持されている認証情報を用いてクライアントの認証を行うことを特徴とする請求項3に記載のアクセス管理サーバ。
  5. 前記通信制御手段は、前記ログイン状態の変更としてサービスに対するログアウト要求を受け付け、あるサービスに対するログアウトを他のアクセス済のサービスに対して通知することを特徴とする請求項1または請求項2に記載のアクセス管理サーバ。
  6. 前記通信制御手段は、前記クライアント毎にアクセスの有効期限を定めることを特徴とする請求項1ないし請求項5のいずれか1項に記載のアクセス管理サーバ。
  7. ネットワークを通じて行われるクライアントからの要求に応じてサービスを提供するネットワーク装置において、要求されたサービスを提供する処理手段と、前記クライアントのログイン状態に関するログイン状態情報を保持するログイン状態情報保持手段と、クライアントからのアクセスを受け付けて必要に応じて前記処理手段にサービスを行わせる通信制御手段を有し、前記通信制御手段は、クライアントからのアクセスを受けた際に、前記ログイン状態情報保持手段が保持する前記ログイン状態情報を調べ、新たなクライアントからのアクセスである場合、あるいは、ログイン状態の変更を要求するアクセスの場合にはアクセス管理サーバに通知し、前記アクセス管理サーバからの通知に応じて前記ログイン状態情報保持手段への前記ログイン状態情報の登録又は前記ログイン状態情報の更新を行うことを特徴とするネットワーク装置。
  8. 前記通信制御手段は、ログイン状態の変更を要求したクライアントがサービスに対するローカルユーザである場合には、前記アクセス管理サーバへの問い合わせを行わずにログイン状態の変更を行うことを特徴とする請求項7に記載のネットワーク装置。
  9. 前記通信制御手段は、前記クライアント毎にアクセスの有効期限を定めることを特徴とする請求項7または請求項8に記載のネットワーク装置。
  10. ネットワークを通じて行われるクライアントからの要求に応じてサービスを提供するネットワーク装置と、ネットワークを通じて前記クライアントのアクセスを管理するアクセス管理サーバを含み、前記ネットワーク装置は、クライアントから新たなアクセスを受けた際に前記アクセス管理サーバに通知し、前記アクセス管理サーバは、前記ネットワーク装置からの新たなアクセスを受けた際の通知に従いアクセス情報を保持し、前記ネットワーク装置がクライアントからログイン状態の変更を要求された場合には前記ログイン状態の変更の要求を前記アクセス管理サーバに送り、前記アクセス管理サーバはそれまでに保持されている当該クライアントに対応するアクセス情報に従って1ないし複数のネットワーク装置に対してログイン状態の変更を通知することを特徴とするネットワークシステム。
  11. 前記ネットワーク装置がクライアントからログインの要求を受けたとき、前記アクセス管理サーバは前記クライアントの認証を行って当該クライアントに対応するログイン状態情報をログインの状態に変更するとともに、それまでに前記クライアントがアクセスしたネットワーク装置に対してログイン状態情報の変更を通知し、他のネットワーク装置においても前記クライアントがログイン済として扱うことを特徴とする請求項10に記載のネットワークシステム。
  12. 前記ネットワーク装置がクライアントからログアウトの要求を受けたとき、前記アクセス管理サーバは当該クライアントに対応するログイン状態情報をログアウトの状態に変更するとともに、それまでに前記クライアントがアクセスしたネットワーク装置に対してログイン状態情報の変更を通知し、他のネットワーク装置においても前記クライアントがログアウトしたものとして扱うことを特徴とする請求項10に記載のネットワークシステム。
  13. クライアントに対して提供されるサービスへの前記クライアントのアクセスを管理するアクセス管理方法において、前記クライアントが新たなサービスにアクセスするたびに前記クライアントがアクセスしたサービスの情報をアクセス情報として保持し、前記クライアントのログイン状態の変更時には、前記アクセス情報に従って前記クライアントがアクセスしたサービスに対してログイン状態情報の変更を通知することを特徴とするアクセス管理方法。
  14. さらに、前記クライアントのログイン状態に関するログイン状態情報を保持しており、既にアクセス済のクライアントが他のサービスに新たにアクセスしたときには、前記ログイン状態情報に従って前記他のサービスに対してログイン状態を通知し、ログイン状態の変更時には前記ログイン状態情報の更新も行うことを特徴とする請求項13に記載のアクセス管理方法。
JP2003095179A 2003-03-31 2003-03-31 アクセス管理サーバ、ネットワーク装置、ネットワークシステム Expired - Lifetime JP4352210B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003095179A JP4352210B2 (ja) 2003-03-31 2003-03-31 アクセス管理サーバ、ネットワーク装置、ネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003095179A JP4352210B2 (ja) 2003-03-31 2003-03-31 アクセス管理サーバ、ネットワーク装置、ネットワークシステム

Publications (2)

Publication Number Publication Date
JP2004302869A true JP2004302869A (ja) 2004-10-28
JP4352210B2 JP4352210B2 (ja) 2009-10-28

Family

ID=33407565

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003095179A Expired - Lifetime JP4352210B2 (ja) 2003-03-31 2003-03-31 アクセス管理サーバ、ネットワーク装置、ネットワークシステム

Country Status (1)

Country Link
JP (1) JP4352210B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008225943A (ja) * 2007-03-14 2008-09-25 Nomura Research Institute Ltd セッション管理装置、プログラム、及び記憶媒体
US7823187B2 (en) 2006-06-07 2010-10-26 Fujitsu Limited Communication processing method and system relating to authentication information
CN102065067A (zh) * 2009-11-11 2011-05-18 杭州华三通信技术有限公司 一种在门户服务器和客户端之间防重放攻击的方法及设备
JP2012137968A (ja) * 2010-12-27 2012-07-19 Kyocera Document Solutions Inc 画像形成装置
JP2012137969A (ja) * 2010-12-27 2012-07-19 Kyocera Document Solutions Inc 画像形成装置
CN111800511A (zh) * 2020-07-07 2020-10-20 上海携程商务有限公司 同步登录态的处理方法、系统、设备及可读存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7823187B2 (en) 2006-06-07 2010-10-26 Fujitsu Limited Communication processing method and system relating to authentication information
JP2008225943A (ja) * 2007-03-14 2008-09-25 Nomura Research Institute Ltd セッション管理装置、プログラム、及び記憶媒体
CN102065067A (zh) * 2009-11-11 2011-05-18 杭州华三通信技术有限公司 一种在门户服务器和客户端之间防重放攻击的方法及设备
CN102065067B (zh) * 2009-11-11 2014-06-25 杭州华三通信技术有限公司 一种在门户服务器和客户端之间防重放攻击的方法及设备
JP2012137968A (ja) * 2010-12-27 2012-07-19 Kyocera Document Solutions Inc 画像形成装置
JP2012137969A (ja) * 2010-12-27 2012-07-19 Kyocera Document Solutions Inc 画像形成装置
CN111800511A (zh) * 2020-07-07 2020-10-20 上海携程商务有限公司 同步登录态的处理方法、系统、设备及可读存储介质

Also Published As

Publication number Publication date
JP4352210B2 (ja) 2009-10-28

Similar Documents

Publication Publication Date Title
JP5357246B2 (ja) 統合認証のためのシステム、方法およびプログラム製品
JP3569122B2 (ja) セッション管理システム、サービス提供サーバ、セッション管理サーバ、セッション管理方法及び記録媒体
TWI400922B (zh) 在聯盟中主用者之認證
US7082532B1 (en) Method and system for providing distributed web server authentication
AU2015324004B2 (en) Using credentials stored in different directories to access a common endpoint
JP4579546B2 (ja) 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置
CN102171984B (zh) 服务提供者访问
CN111147453A (zh) 系统登录方法以及集成登录系统
CN103404103A (zh) 将访问控制系统与业务管理系统相结合的系统和方法
CN110730174B (zh) 一种网络访问控制方法、装置、设备及介质
JP2009519529A (ja) 認証方法を拡張するための方法及びシステム
JP2005516533A (ja) パブリックキー暗号法を用いたインターネット上でのシングルサインオン
JPH10177552A (ja) 認証応答方法およびその方法を用いた認証応答装置
CN102638454A (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
CN112367666B (zh) 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
AU2017344389B2 (en) Portal aggregation service mapping subscriber device identifiers to portal addresses to which connection and authentication requests are redirected and facilitating mass subscriber apparatus configuration
JP2000106552A (ja) 認証方法
JP4352210B2 (ja) アクセス管理サーバ、ネットワーク装置、ネットワークシステム
US20170195426A1 (en) Maintaining session across plural providing devices
JP2005301424A (ja) 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム
JP2001056795A (ja) アクセス認証処理装置及びこれを備えるネットワーク及びその記憶媒体及びアクセス認証処理方法
JP2000172645A (ja) サーバコンピュータ及びサーバコンピュータにおける認証情報管理方法
JP2005293088A (ja) 認証システム及び認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090410

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090701

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090714

R150 Certificate of patent or registration of utility model

Ref document number: 4352210

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120807

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120807

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130807

Year of fee payment: 4

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term