JP2005258672A - トップページ介在シングルサインオン方法及びトップページ装置 - Google Patents
トップページ介在シングルサインオン方法及びトップページ装置 Download PDFInfo
- Publication number
- JP2005258672A JP2005258672A JP2004067626A JP2004067626A JP2005258672A JP 2005258672 A JP2005258672 A JP 2005258672A JP 2004067626 A JP2004067626 A JP 2004067626A JP 2004067626 A JP2004067626 A JP 2004067626A JP 2005258672 A JP2005258672 A JP 2005258672A
- Authority
- JP
- Japan
- Prior art keywords
- top page
- single sign
- screen
- client device
- server device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】認証サーバ装置が提供するシングルサインオンの機能を利用した、多様なアプリケーション・サーバ装置の利用形態を提供することができる。
【解決手段】まず、ステップ122において、トップページ装置を介在させてトップページ画面表示を行う。この後、ステップ124などによって、認証サーバ装置を利用するなどして、シングルサインオンの機能を提供する。
【選択図】図4
【解決手段】まず、ステップ122において、トップページ装置を介在させてトップページ画面表示を行う。この後、ステップ124などによって、認証サーバ装置を利用するなどして、シングルサインオンの機能を提供する。
【選択図】図4
Description
本発明は、トップページ介在シングルサインオン方法及びトップページ装置に係り、特に、認証サーバ装置が提供するシングルサインオンの機能を利用した、多様なアプリケーション・サーバ装置の利用形態を提供することができるトップページ介在シングルサインオン方法及びトップページ装置に関する。
シングルサインオン(SSO(Single Sigh−On))は、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用できるようにしている。例えば、ネットワークに接続された端末を使っている場合、端末の起動時、LAN(Local Area Network)への接続時、1つ又はそれ以上のサーバ装置への接続時、サーバ装置上の様々なアプリケーション・プログラムの利用開始時など、何度もID(IDentification)やそのパスワードを入力することもあり得る。シングルサインオンでは、こうした手間を省き、一度認証されれば、これ以降の他の認証を省略することができる。
なお、本願発明においては、認証を伴って行うサインオンや、ログオンは、同じ意味として扱う。又、シングルサインオフや、ログオフについても、同じ意味として扱うものとする。又、該認証についても特に限定されるものではなく、ID及びパスワードによる認証でも、あるいは、いわゆるバイオメトリクスの手法を採用する認証でもよい。バイオメトリクスの手法による認証であれば、所定のハードウェア装置を用いて、例えば指紋認証、虹彩認証、声紋認証などを行うようにしてもよい。
シングルサインオンでは、認証サーバ装置はLDAP(Lightweight Directory Access Protocol)サーバ装置を用いるなどして、利用者に登録されたID及びパスワードを代理登録するといった手法などが使われる。このシングルサインオンには、アプリケーション・サーバ装置においてプラグイン・ソフトウェアを用いるという、いわゆるエージェント型のものがある。又、全てのアクセスをプロキシに集約させる、いわゆるリバース・プロキシ型などがある。
LDAPは、インターネットやイントラネットなどのTCP/IP(Transmission Control Protocol/Internet Protocol)ネットワークにおいて、ディレクトリデータベースにアクセスするためのプロトコルであり、ディレクトリ・サービスを提供する際に用いる。ディレクトリ・サービスとは、ネットワークを利用するユーザの、ID及びパスワードの代理登録や、メールアドレスや環境に関する情報の管理などが含まれる。
特許文献1では、シングルサインオンの語句に言及していないものの、シングルサインオンに相当するサービスにおいて、個々の利用者のアクセス権限を利用者に対して提示するという技術が開示されている。特許文献2では、同じくシングルサインオンの語句に言及していないものの、複数のホスト名をログイン処理用のサーバ装置に持たせ、該サーバ装置で一括して認証情報を含むクッキーを利用者のブラウザに書き込むという、シングルサインオンの1つの提供形態に関する技術が開示されている。特許文献3では、シングルサインオンにおいて指紋認証を導入するという技術が開示されている。
なお、本願発明では、アプリケーション・サーバ装置の多様な利用形態を提供するという点で、外国語対応という一形態がある。ここで、外国語対応という面で特許文献4では、あたかも自国語ホームページのごとく、外国語ウェブ・ページを検索するという技術が開示されている。
シングルサインオンは、認証サーバ装置を用いて、多様なサービスを提供するアプリケーション・サーバ装置に接続するため、この認証サーバ装置に障害が発生すると、これらのアプリケーション・サーバ装置への接続の障害となる。
更に、障害時において必要なアプリケーション・サーバ装置に、直接接続することも可能である。しかしながら、直接接続する場合は、各利用者が、接続先のアプリケーション・サーバ装置のURL(uniform resource locator)を把握している必要がある。該把握は、実施されていない場合も多い。従って、上記の障害が発生すると、現実的には、アプリケーション・サーバ装置が提供するサービスを利用できなくなってしまう場合も多い。
ここで、上記障害に対処するために、認証サーバ装置その他を二重化することが考えられる。しかしながらこのためには、ハードウェア設置や、これに係る保守などにコストや手間がかかるという問題がある。
又、企業活動が国際的になり、一企業が異なる国に跨ったり、企業内に外国語を母国語とする従業員が多くなったりする様子が次第に増大している。従って、シングルサインオンにおいても、このような多言語対応が必要になっている。又、このような多言語対応に際しても、これまでの認証サーバ装置の利用が可能であれば、この多言語対応が容易であるばかりか、多言語対応の後における、ハードウェアやソフトウェアの保守面でも有利である。
更に、シングルサインオンでは、各アプリケーション・サーバ装置への接続では、利用者毎のアクセス権限が管理されているものの、一旦接続された後、利用者がクライアント装置から一時離席した場合、他者が該クライアント装置を盗用することで、サインオンしている、又サインオン可能な機能を、他者が盗用してしまうことが考えられる。このような盗用は、結局のところ利用者がきめ細かにサインオフすれば防止することができるが、多数のウインドウで多数のアプリケーション・サーバ装置のサービスを利用している場合は、これらを全てサインオフすることは、非常に手間がかかるものである。
本発明は、前記従来の問題点を解決するべくなされたもので、特定の責任者が承認している文書であることを明瞭にすることができる電子署名承認データ送信方法及び装置を提供することを課題とする。
まず、本願の第1発明のトップページ介在シングルサインオン方法は、ネットワークを介して、アプリケーション・サーバ装置が提供する複数のサービスにログオンする際の、それぞれの認証手続を管理することで、シングルサインオンの機能を提供する認証サーバ装置を利用する際に、利用者側のクライアント装置は、利用者の操作に応じて、内蔵するブラウザ・プログラムによる処理によって、トップページ装置間のネットワークを介した接続を確立し、該接続によって該トップページ装置は、前記シングルサインオン機能を受けるための機能選択が可能な画面表示をするためのトップページ画面表示用情報を、前記クライアント装置に送信し、該クライアント装置は、該トップページ画面表示用情報を受信し、前記画面表示をするようにしたことにより、前記課題を解決したものである。
又、上記トップページ介在シングルサインオン方法において、前記トップページ装置が、前記シングルサインオンが前記認証サーバ装置によって正常に動作し得るか判定する異常監視処理を行い、異常ありと判定された場合は、該異常に応じた前記トップページ画面表示用情報を、前記クライアント装置に送信するようにしたことにより、異常時には代替機能を提供できるようにしたものである。
なお、上記のような、異常であるか否かの判定は、トップページ装置において行うにしても、該異常判定の元になる異常検出は、該トップページ装置とは別の装置によって行うようにしてもよい。例えば、後述する実施形態では、異常検出はシステム監視装置15において行い、該検出結果をサーバ装置10が受け取って、図5のステップ134に示すように、サーバ装置10は該検出結果に基づいて異常判定を行うようにしている。
次に、前記トップページ介在シングルサインオン方法において、前記クライアント装置との前記接続によって、前記トップページ装置が、前記ブラウザ・プログラムにおける利用者の表示言語識別情報を取得し、前記トップページ装置は、該表示言語識別情報に応じた前記トップページ画面表示用情報を、前記クライアント装置に送信するようにしたことにより、多言語対応もできるようにしたものである。
又、前記トップページ介在シングルサインオン方法において、前記クライアント装置は、前記トップページ画面表示用情報による前記画面表示において、シングルサインオンされる全ての前記サービスを、一斉にサインオフを受け付けるボタン操作入力機能、及び該一斉サインオフを実行する機能を提供することにより、前記クライアント装置の他者による盗用の機会を低減できるように、速やかに前記一斉サインオフの機能を提供できるようにしたものである。
更に、前記トップページ介在シングルサインオン方法において、前記クライアント装置は、前記画面表示において、該アプリケーションの使用を一時的に中断し、該アプリケーションを利用できない画面を表示する機能を提供するようにしたものである。
次に、本願の第2発明のトップページ装置は、ネットワークを介して、アプリケーション・サーバ装置が提供する複数のサービスにログオンする際の、それぞれの認証手続を管理する認証サーバ装置が提供するシングルサインオンの機能を受けるための、機能選択が可能な画面表示を行うためのトップページ画面表示用情報を生成するための表示画面処理部と、利用者の操作に応じて、利用者側のクライアント装置が内蔵するブラウザ・プログラムによって確立するネットワークを介した接続によって、該トップページ画面表示用情報を、前記クライアント装置に送信するウェブ・サーバ処理部と、を備えたことにより、前記課題を解決したものである。
又、本願の第3発明のコンピュータ・プログラムは、前記第1発明のトップページ介在シングルサインオン方法、又は、前記第2発明のトップページ装置を実施するためのコンピュータ・プログラムを提供するようにしたことにより、前記課題を解決したものである。
以下、本発明の作用について、簡単に説明する。
本発明では、シングルサインオンの機能を提供する認証サーバ装置を利用する際に、まずは利用者は、トップページ装置と接続する。該接続は、利用者側のクライアント装置における利用者の操作に応じて、該クライアント装置が内蔵するブラウザ・プログラムによる処理によって、ネットワークを介しておこなう。
そして、該接続によって該トップページ装置は、前記シングルサインオン機能を受けるための機能選択が可能な画面表示をするためのトップページ画面表示用情報を、前記クライアント装置に送信する。又、該クライアント装置は、該トップページ画面表示用情報を受信し、前記画面表示をする。
従って、まず、トップページ装置を介在させてトップページ画面表示を行うので、該トップページ画面表示などによって様々な利用形態を提供することができる。
なお、トップページとは、一般的には、特定のサイトにおいて、頂点になる1つのウェブ・ページを意味する。しかしながら、説明の便宜上、本願発明におけるトップページは、トップページ装置からクライアント装置に提供されるもので、該クライアント装置において画面表示などされるウェブ・ページであればよいものとし、特に限定されるものではないものとする。
例えば、本願発明のトップページは、クライアント装置からトップページ装置へのアクセス時における、初期画面に限定されるものではない。例えば、該トップページは、適宜、複数のウェブ・ページであってもよい。後述する実施形態においては、トップページ初期画面、正常時ポータル画面、異常時ポータル画面などは、すべて本願発明のトップページに相当するものである。
なお、本願発明は、対象になるアプリケーション・サーバ装置の台数を限定するものではない。例えば、1台のアプリケーション・サーバ装置のみ利用して、該アプリケーション・サーバ装置から複数のサービスを提供するようにしてもよい。あるいは、複数のアプリケーション・サーバ装置20を利用して、それぞれのアプリケーション・サーバ装置から1つ又は複数のサービスを提供するようにしてもよい。
従って、本発明のトップページ介在シングルサインオン方法及びトップページ装置によれば、認証サーバ装置が提供するシングルサインオンの機能を利用した、多様なアプリケーション・サーバ装置の利用形態を提供することができる。
以下、図を用いて本発明の実施の形態を詳細に説明する。
図1は、本発明が適用された実施形態のトップページ装置を含むトップページ介在シングルサインオン方法の構成を示すブロック図である。
図示されるように、本実施形態においては、トップページ装置10と、クライアント装置5と、認証サーバ装置13と、システム監視装置15と、LDAP装置17と、利用者情報DB(Data Base)装置18と、アプリケーション・サーバ装置20とは、ネットワーク1に接続されている。なお、異常検出を行うシステム監視装置15を検出対象の認証サーバ装置13に、ネットワーク通信面で接近させて配置しておけば、該検出が容易になる。
本実施形態では、トップページ装置10やクライアント装置5において、本願発明が主として適用されている。又、それぞれのアプリケーション・サーバ装置20は、ネットワーク1を介して、利用者側のクライアント装置5に対してサービスを提供している。又、これらサービスに係る認証において、シングルサインオンの機能が、認証サーバ装置13を中心としてLDAP装置17や利用者情報DB装置18を利用しつつ提供されている。
なお、トップページ装置10、認証サーバ装置13、システム監視装置15、LDAPサーバ装置17、利用者情報DB装置18、更にはアプリケーション・サーバ装置20は、異なるハードウェアに構成するものである必要はない。即ち、これら装置のいずれか複数を単一のハードウェアによって実現するようにしてもよい。該単一構成によれば、ハードウェアの初期投資費用や維持管理費用を削減することができる可能性がある。なお、適宜、個別構成とすれば、特定のハードウェアにトラブルが発生しても、他のハードウェアに構成した上記装置は悪影響を抑えることができる。例えば、少なくともトップページ装置10は、認証サーバ装置13とは別のハードウェアにおいて構成することが望ましい。
なお、ネットワーク1は、具体的に限定されるものではない。例えば、インターネットや、WAN(Wide Area Network)や、VAN(Value Added Network)、更にはLAN(Local Area Network)であってもよい。種々の形態の通信ネットワークであってもよく、電話やデータ通信の公衆回線網や専用回線網、あるいは携帯電話などの回線網を用いてもよい。更には、異なる形態のネットワークを組み合わせたものであってもよい。
又、クライアント装置5は、図1中において、ネットワーク1に直接接続されているものの、このようなものに限定されるものではない。例えば、インターネット・アクセス・プロバイダの設備を経由して、ネットワーク1に接続するようにしてもよい。異なる形態のネットワークを介して、ネットワーク1に接続してもよい。
図2は、本実施形態のトップページ装置10やクライアント装置5のハードウェア構成を示すブロック図である。
トップページ装置10やクライアント装置5は、OS(Operating System)は一例として米国マイクロソフト社のWindows(登録商標)を搭載する、一般的なPCであるが、特に限定されものではない。例えば、この図2に示すようなハードウェア構成のものを用いることができる。なお、この図において、ハードウェア構成は、説明の関係上一部抽象化されている。
なお、前述した認証サーバ装置13、システム監視装置15、LDAP装置17、利用者情報DB装置18についても、PC(Personal Computer)サーバ装置を利用可能であり、この図2のようなハードウェアを利用することができる。
この図において、クライアント装置5は、CPU(Central Processing Unit)310と、RAM(Random Access Memory)311と、ROM(Read Only Memory)312と、LAN−I/F(Inter Face)313と、MODEM(modulator-demodulator)314と、種々のI/F(Inter Face)320〜322とを有している。これらは、バス301によって相互接続されている。
又、バス301に対して、I/F320を介して、画面表示装置330が接続されている。又、バス303によって相互接続されている、キーボード331と、マウス332と、プリンタ装置333とは、バス301に対して、I/F321を介して接続されている。
更に、バス301に対して、I/F322を介して、HDD(Hard Disc Drive)装置340と、CD(Compact Disc)装置341と、FDD(Floppy(登録商標) Disc Drive)装置342とが接続されている。これらはバス302によって相互接続されている。
以上のようなハードウェア構成において、OSや、本実施形態に係るアプリケーション・プログラムは、HDD装置340に格納されていて、実行時には、RAM311に読み出されてCPU310によって実行される。LAN−I/F313は、LAN3に対する接続などに用いられる。なお、CPU310で実行されるアプリケーション・プログラムには、インターネット1経由やLAN3経由で取得される、JAVA(登録商標)のアプレットも含まれる。
又、OSやアプリケーション・プログラムの実行に際して、オペレータは、画面表示装置330に表示される情報を参照しつつ、キーボード331によって文字入力や諸操作を行ったり、マウス332によって座標入力や諸操作を行ったりする。なお、CD装置341やFDD装置342は、本発明の承認に対象になる文書を含めた、オフラインでの情報交換に用いられる。
次に、図3は、本実施形態のトップページ装置10における、本発明に係る構成を示すブロック図である。
図示されるように、トップページ装置10は、ウェブ・サーバ装置30と、表示画面処理部32と、クライアント言語処理部34と、異常監視処理部36と、サイト・リスト格納部38と、認証サーバ装置対応処理部40と、リンク対応処理部42とを有している。
なお、表示画面処理部32、クライアント言語処理部34、異常監視処理部36は、JAVA(登録商標)サーブレット(アプリケーション・プログラム)によって実現するようにしている。又、トップページ装置10に係り、クライアント装置5のブラウザ・プログラムを介在させて行う、該クライアント装置5における表示画面への表示は、該トップページ装置10からダウンロードするJAVA(登録商標)アプレット(アプリケーション・プログラム)によって実現するようにしている。しかしながら、これらはサーブレットやアプレット以外によって実現するようにしてもよい。
図4は、本実施形態において、本願発明に係る全体的な処理を示すフローチャートである。即ち、図4は、本実施形態においてサインオンしてアプリケーション・サーバ装置20を利用する際の全体的な処理が示される。
本実施形態においてサインオンして、所望のアプリケーション・サーバ装置20のアプリケーション・プログラムによって提供されるサービスを利用する際には、利用者は、まず、図4のステップ120において、画面表示装置330を参照しながら、クライアント装置5のキーボード331やマウス332を操作しつつ、ブラウザ・プログラムを起動させ、又、該ブラウザ・プログラムによってURLを指定するなどして、トップページ装置10によって提供される「トップページ」を表示させる操作を行う。該「トップページ」は、HTML(hypertext markup language)やXML(extensible markup language)などによって記述される、いわゆるウェブ・ページである。該操作を行うと、ブラウザ・プログラムはトップページ装置10に対して、ネットワーク1を介して、「トップページ」の表示を依頼する。
なお、本実施形態のフローチャートにおいて、一点鎖線では、主として人手による操作などを示す。これに対して、実線は、クライアント装置5、アプリケーション・サーバ装置20、認証サーバ装置13その他のハードウェア資源上で実行される、ソフトウェア・プログラムによる処理を中心としたものになっている。
但し、説明や作図の便宜上、一点鎖線部分にも、一部ソフトウェア・プログラム処理が含まれ、又実線部分にも、人手操作が含まれる。例えば、ステップ120の場合は一点鎖線で示されるように、人手操作を中心としているものの、ブラウザ・プログラムが「トップページ」の表示をトップページ装置10に対して依頼するなどの、一部ソフトウェア・プログラム処理が含まれる。
ステップ120に続いて、ステップ122では、図5に示されるトップページ装置処理を行い、利用者の操作に応じて続くステップ124の処理が起動される。該ステップ124では、図6に示される認証サーバ装置処理を行い、利用者の操作に応じて続くステップ126の処理が起動される。該ステップ126では、図7に示されるアプリケーション・サーバ装置処理を行う。又、これらトップページ装置処理、認証サーバ装置処理やアプリケーション・サーバ装置処理の相互の起動関係は以上のとおりであるが、他を起動後も起動側処理は適宜処理が継続している。
そうして、これら処理が行われている際に、ステップ128においてトップページ装置処理に対して、利用者が「サインオフ」の操作を行う。該操作は、後述する図5のステップ142において表示された「サインオフ画面」にある、「一斉サインオフ」のソフトウェア的押しボタンをマウス332で押下することで行う。
すると、ステップ129において、トップページ装置10は、アプリケーション・サーバ装置20や認証サーバ装置13などで行われている、該利用者に係る全ての処理をサインオフさせる。
以下、以上に説明した図4の全体的な処理において含まれる各処理について詳細に説明する。
まず、図5は、該全体的処理に含まれる、トップページ装置処理を示すフローチャートである。図6は、本実施形態のシステム監視装置処理を示すフローチャートである。図7は、認証サーバ装置処理を示すフローチャートである。そして、図8〜図10は、それぞれ該認証サーバ装置13に含まれるファイルのデータ構成図である。又、図11は、アプリケーション・サーバ装置処理を示すフローチャートである。
更に、図12〜図14は、いずれも、図5に示されるトップページ装置処理によって、トップページ装置10からクライアント装置に提供されるトップページの例を示す表示画面図である。
まず、図12は英語版のトップページ初期画面であり、図示されない日本語版のトップページ初期画面は、該英語版の表示内容を和訳したものと言える。図13は日本語版の正常時ポータル画面であり、図示されない英語語版の正常時ポータル画面は該日本語版を英訳したものと言える。図14は英語版の異常時ポータル画面であり、図示されない日本語版の異常時ポータル画面は該英語版を和訳したものと言える。これら画面はすべて、本願発明のトップページに相当するものである。
まず図5は、主として、図3に示したようなトップページ装置10で行われる処理、又、該トップページ装置10からクライアント装置5にダウンロードされたアプレットによって、該クライアント装置5において実行される処理である。
この図5において、まずステップ130では、クライアント言語処理部34は、トップページ装置10にアクセスしてきたクライアント装置5の表示言語識別情報を取得する。米国マイクロソフト社のインターネット・エクスプローラ(登録商標)などのブラウザ・プログラムは、日本語や英語又アジアなどの様々な国語(言語)に対応している。そして、このようなブラウザ・プログラムは、表示中の対応言語を示す情報を保持しており、該情報は、ネットワーク1を介したブラウザ・プログラムからのアクセス時に、該アクセスのパケットに含まれるようになっている。従って、本実施形態のクライアント言語処理部34は、パケット中の該情報から、上述の表示言語識別情報を取得する。
そして、以上のように取得した表示言語識別情報に基づいて、トップページ装置10は、日本語版や英語版など、以後にクライアント装置5に提供するトップページの言語を決定する。
次にステップ132では、システム監視装置15が監視している認証サーバ装置13の動作が正常であるか、トップページ装置10の異常監視処理部36がシステム監視装置15に対して、ネットワーク1を経由して、該システム監視装置15による異常検出結果の問い合わせを行う。ステップ134では、該問い合わせに基づいて、認証サーバ装置13が正常であるか否か判定することで、シングルサインオンの機能が正常であるか否かの異常判定をする。
該ステップ134において、正常であると判定された場合、ステップ136に進んで、利用者に対してシングルサインオンの機能を提供する。あるいは、異常であると判定された場合は、認証サーバ装置13が異常であるのでシングルサインオンの機能が適用できないため、ステップ148に進んで、該機能に代替する機能を提供する。
ここで、システム監視装置15においては、図6に示すようなシステム監視処理がシステム監視装置15において行われている。該システム監視処理によってシステム監視装置15は、シングルサインオンの機能が正常であるか否かの異常検出を行うようにしている。又、該異常検出の結果は、サーバ装置10における異常判定に用いられるものである。
該図6のステップ160では、DOSコマンドである「ピング」通信コマンドを認証サーバ装置13に対して送信する。そうして、ステップ162では、該認証サーバ装置13から返信される該通信コマンドのレスポンスによって、該認証サーバ装置13が正常であるか判定する。正常であれば、ステップ164において、トップページ装置10からネットワーク1を経由して、上述の問い合わせがあった場合、「正常」を示す情報をトップページ装置10に返信する。あるいは、異常と判定された場合はねステップ166において、該問い合わせに対して、「異常」を示す情報をトップページ装置10に返信する。
なお、本願発明に係る異常検出は、特に限定されるものではない。上述のものでは、「ピング」通信コマンドをシステム監視装置15から認証サーバ装置13に送信し、該送信に対する認証サーバ装置13の返信をシステム監視装置15において監視するという、いわゆるポーリングによって異常検出を行っているが、他の異常検出方法でもよい。例えば、ポーリングによって異常検出する場合にも、他のコマンドを利用するようにしてもよい。
前述の図5のステップ134において、正常であると判定された場合、ステップ136又これに続く各ステップの処理によって、利用者に対してシングルサインオンの機能を提供する。
まずステップ136では、ステップ130で獲得した表示言語識別情報に基づいて、シングルサインオンを行うにあたって、図12に示すような表示言語識別情報に対応する該当言語の「トップページ初期画面」を表示するための、クライアント装置5にダウンロードする情報を表示画面処理部32において生成する。該情報は、HTML形式データやアプレットなどが含まれている。該情報は、ウェブ・サーバ装置30やネットワーク1を経由してクライアント装置5のブラウザ・プログラムに送付され、該情報によって画面表示装置330において該トップページ初期画面が表示される。
該トップページ初期画面は、表示言語識別情報に対応する言語による表示になっており、利用者がシングルサインオンを行うための、利用者のID及びパスワードの入力を受け付けるようになっている。なお、これ以降にトップページ装置10によってクライアント装置5において表示する画面は、いずれも表示言語識別情報に対応する言語によるものになっている。
ステップ138では、利用者は、クライアント装置5の画面表示装置330に表示される前述のトップページ初期画面を参照しながら、ステップ138において、シングルサインオンのID及びパスワードの入力を行って、該シングルサインオンの指示入力を行う。
すると、ステップ140では、認証サーバ装置対応処理部40は、これらシングルサインオンのID及びパスワードの入力、又シングルサインオン指示入力が適正であれば、これら入力を認証サーバ装置13に伝達する。
該ステップ140の後、ステップ142では、表示画面処理部32により、図13に示すような表示言語識別情報に対応する該当言語の「正常時ポータル画面」を生成するための情報を生成し、これをウェブ・サーバ装置30及びネットワーク1を経由してクライアント装置5にダウンロードする。すると、該クライアント装置5のブラウザ・プログラムは画面表示装置330において、「正常時ポータル画面」を表示する。
該「正常時ポータル画面」には、例えば図13に示されるように、利用可能な様々なサービスのリストがメニューとして表示されるので、利用者は、利用を希望する該当メニューを、マウス332の操作で選択することができる。該選択をすると、該選択のサービスを利用することができる。又該利用に際しては、シングルサインオンの機能によって利用者のID及びパスワードの入力を適宜省略することができる。なお、該選択によって利用中のサービスを、以下認証サイトと呼ぶ。
又、該「正常時ポータル画面」には、例えば図13に示すように、「Sign−OFF」(一斉サインオフ)、又「Screen Saver」の、それぞれのソフトウェア的押しボタンを有している。「Sign−OFF」のソフトウェア的押しボタンをマウス332の操作で押下すると、すべての認証サイトを一斉にサインオフすることができ、シングルサインオン中の全てのサービスや処理を一斉にサインオフすることができる。あるいは、「Screen Saver」のソフトウェア的押しボタンをマウス332の操作で押下すると、スクリーン・セーバー機能を起動することができる。
ここで、該スクリーン・セーバー機能は、利用者が短時間、クライアント装置5から離席する際に利用するものである。該スクリーン・セーバー機能では、画面表示を消去したり、無意味な表示に切り替えたりすると共に、認証サイトの利用ができないようにする機能になっている。
なお、このようにスクリーン・セーバー機能が動作している状態からの復帰は、通常のパスワード入力によるものとしてもよい。あるいは、スクリーン・セーバー機能が動作している状態からの復帰に、一時的な、一文字あるいは複数文字からなるパスワードや、画面の特定箇所のクリックなどを利用するようにしてもよい。
例えば、トップページ装置10は、「Screen Saver」のソフトウェア的押しボタンの利用者による押下後に、該利用者が希望する任意の一時的なパスワードや、画面の任意箇所のクリックなどを登録入力させて、このようなパスワードやクリック箇所などを保存しておく。該保存の後に、トップページ装置10は、スクリーン・セーバー機能を作動させる。この後に該スクリーン・セーバー機能動作状態から復帰する際には、トップページ装置10は、利用者にパスワード入力や画面クリックなどをさせて、該パスワード入力や該画面クリックのクリック箇所などを、上記登録保存のパスワードやクリック箇所などと照合する。そうして、該照合のこれらパスワードやクリック箇所などが一致する場合に、認証サイトの利用を再開させて、スクリーン・セーバー機能が動作している状態から復帰させるようにしてもよい。あるいは、該照合のこれらのパスワードやクリック箇所などが一致しない場合に、警告を表示し、ログオフ処理をしてもよい。なお、以上のような一時的なパスワードや、画面クリック、その他は、組み合わせてもよく、いずれか単独であってもよい。
トップページ装置処理は以上のとおりであるが、この図5の処理は、図4のステップ128や129において、サインオフがなされるまで行われる。
なお、以上のようなトップページ装置処理において、ステップ130で獲得した表示言語識別情報に基づき、ステップ140に係る認証サーバ装置13が、対応する言語を取り扱っているものになるように変更するようにしてもよい。これによって、多言語対応が可能になる。
次に、前述の図5のステップ134において、異常であると判定された場合は、ステップ148に進んで、認証サーバ装置13が異常であるのでシングルサインオンの機能が適用できないため、該機能に代替する機能を提供する。
該代替機能は、シングルサインオンの対象になっているアプリケーション・サーバ装置20によって提供されているサービスに対して、利用者が直接接続するためのリンク機能を有しており、該直接接続の後は、利用者は各サービスに個別にログインする。
該代替機能を提供するため、まずステップ148では、ステップ130で獲得した表示言語識別情報に基づいて、代替機能のサインオンを行うにあたって、図12に示すような表示言語識別情報に対応する該当言語の「トップページ初期画面」を表示するための、クライアント装置5にダウンロードする情報を表示画面処理部32において生成する。該情報は、HTML形式データやアプレットなどが含まれている。該情報は、ウェブ・サーバ装置30やネットワーク1を経由してクライアント装置5のブラウザ・プログラムに送付され、該情報によって画面表示装置330において該トップページ初期画面が表示される。該トップページ初期画面は、上記の表示言語識別情報に対応する言語による表示になっている。
ステップ150では、該トップページ初期画面においては、シングルサインオンは提供せず該シングルサインオンの代替機能を提供するものであるが、便宜上、利用者は、シングルサインオンのためのID及びパスワードを入力し、又該サインオンの指示入力を行う。これらシングルサインオンのID及びパスワードの入力、又シングルサインオン指示入力は、認証サーバ装置対応処理部40において受け付けられ、これら入力が適正であると認証サーバ装置対応処理部40において判定されると、ステップ150の後にステップ152に進む。
なお、これらステップ148及びステップ150は、省略するようにしてもよい。
ステップ152では、認証サーバ装置対応処理部40は、リンク対応処理部42は、サイト・リスト格納部38を参照して、該IDや前述の表示言語識別情報に応じた、該当のリンクリストを生成する。そうして、表示画面処理部32は、該リンクリストをリンク対応処理部42から受け、図14に示すような表示言語識別情報に対応する該当言語の「異常時ポータル画面」を表示するための、クライアント装置5にダウンロードする情報を生成する。該情報は、HTML形式データやアプレットなどが含まれている。該情報は、ウェブ・サーバ装置30やネットワーク1を経由してクライアント装置5のブラウザ・プログラムに送付され、該情報によって画面表示装置330において該提供アプリケーション・リスト・メニュー画面が表示される。該提供アプリケーション・リスト・メニュー画面は、例えば図14に示されるように、利用可能な様々なサービスのリストがメニューとして表示され、リンクリストにあるサービスを利用者が選択することができるようになっており、上記の表示言語識別情報に対応する言語による表示になっている。利用者は、利用を希望する該当メニューを、マウス332の操作で選択することができる。
又、該「異常時ポータル画面」は、「Screen Saver」のソフトウェア的押しボタンを有している。「Screen Saver」のソフトウェア的押しボタンをマウス332の操作で押下すると、前述のようなスクリーン・セーバー機能を起動することができる。
なお、以上のようなトップページ装置処理において、ステップ130で獲得した表示言語識別情報に基づき、上記のリンクリストの内容が、対応する言語によってサービスを行っているものになるように、適宜変更するようにしてもよい。これによって、多言語対応が可能になる。
ステップ154では、該提供アプリケーション・リスト・メニュー画面においては、アプリケーション・サーバ装置20によって提供されているサービスを選択入力する。すると、ステップ156において、リンク対応処理部42は、該選択のサービスへと、リンクするための処理を行う。
次に、図7において、認証サーバ装置13において行う処理を説明する。
ステップ210において認証サーバ装置13は、前述のステップ140において認証サーバ装置対応処理部40から受けた、利用者のIDに基づいて、LDAP装置17に問い合わせを行う。該問い合わせに対して、図8のようなテーブルから、該当のパスワードを返信する。
ステップ212では、認証サーバ装置13は、該返信情報に基づいて、利用者のID及びパスワードをチェックし、利用者を認証する。認証が可であればステップ214に進みに、不可であればステップ240に進む。
ステップ214では、前述のステップ130と同様の、クライアント装置5のブラウザ・プログラムから表示言語識別情報を、ネットワーク1を経由して認証サーバ装置13が取得する。ステップ216では、現在時刻を取得する。該現在時刻は、シングルサインオンした時刻とされ、これ以降、サインオンしている時間を確認するために用いる。ステップ218では、認証サーバ装置13は、ネットワーク1を介して利用者情報DB装置18に対して問い合わせを行い、該利用者情報DB装置18にある図9や図10に示すファイルの情報を獲得する。
ここで、図9で示される利用権限ファイルによって、IDによって示される各利用者が利用可能な、アプリケーション・サーバ装置20によって提供されるサービスが示される。又、図10で示されるサービスURLファイルによって、各サービスのURLが示される。
ステップ220では、このように利用者情報DB装置18から獲得した図9の利用権限ファイルの情報に基づいて、認証サーバ装置13は、利用者が利用できるサービスのリストを作成する。ステップ222では、該リストに基づいて、利用者がサービスを選択するためのメニュー画面を表示するための、クライアント装置5にダウンロードする情報を認証サーバ装置13において生成する。該情報は、HTML形式データやアプレットなどが含まれている。ステップ224において、該情報は、ネットワーク1を経由してクライアント装置5のブラウザ・プログラムに送付され、該情報によって画面表示装置330において該メニュー画面が表示される。
この後は、利用者は、画面表示装置330に表示される該メニュー画面において、マウス332によって所望のサービスを選択する。すると、図10のサービスURLファイルの情報に基づいて該当のアプリケーション・サーバ装置20のサービスに接続され、該サービスを、該接続のアプリケーション・サーバ装置20から受けることができる。又、この際、シングルサインオンが既になされているので、改めてサインオンを行う必要はない。
なお、ステップ212において認証が不可とされると、ステップ240に進む。該ステップ240では、シングルサインオンの認証が受け付けられなかった旨、表示する画面を表示するための情報が認証サーバ装置13において生成され、該情報は、認証サーバ装置13からクライアント装置5に対して送信される。
次に、図11において、アプリケーション・サーバ装置処理について説明する。
このアプリケーション・サーバ装置処理は、シングルサインオンによって認証サーバ装置13を経由して、アプリケーション・サーバ装置20が提供している該当のサービスが選択されサービスURLファイルに基づいて接続されたり、あるいは該サービスのURLに対して直接接続されたりした場合に行われる。
まず、ステップ262は、このサービスの利用の可否の認証情報を獲得し、ステップ264において該認証情報に基づいた利用可否判断を行う。シングルサインオンに係り認証サーバ装置13を経由して接続した場合は該認証サーバ装置13から受けた認証情報を、直接接続した場合は新たにID及びパスワードを入力させて得た認証情報を用いて、該利用可否判断を行う。
そうして、前述のステップ216で取得した現在時間から求めることができるサインオンしている時間が有効時間内であれば(ステップ270及び272における判定)、ステップ276において、今回提供するサービスの利用が可能になる。
なお、ステップ280及び282では、認証サーバ装置13の動作状態が正常であるか確認し、判定する。ステップ286及び288では、アプリケーション・サーバ装置20が直接LDAP装置17に問い合わせて、該LDAP装置17から図8の情報を得て行った認証の可否判断である。
ステップ264において認証不可で、ステップ280及び282で認証サーバ装置13が正常であると判定された場合は、ステップ284において、サービス利用ができない旨のメッセージをクライアント装置5において表示するための処理を行う。
ステップ264において認証不可で、ステップ280及び282で認証サーバ装置13が異常であると判定され、ステップ286及び288で独自判定が利用可の認証判定の場合は、ステップ276において、サービスを利用することができる。ステップ286及び288で独自判定が利用可の認証判定の場合は、ステップ290において、ステップ284と同様のメッセージ表示のための処理を行う。
以上に説明したように、本実施形態によれば、本願発明を効果的に適用することができる。
以上説明したとおり、本発明によれば、認証サーバ装置が提供するシングルサインオンの機能を利用した、多様なアプリケーション・サーバ装置の利用形態を提供することができる。
1…インターネット
5…クライアント装置
10…トップページ装置
13…認証サーバ装置
15…システム監視装置
17…LDAP装置
18…利用者情報DB装置
20…アプリケーション・サーバ装置
30…ウェブ・サーバ装置
32…表示画面処理部
34…クライアント言語処理部
36…異常監視処理部
38…サイト・リスト格納部
40…認証サーバ装置対応処理部
42…リンク対応処理部
301〜303…バス
310…CPU
311…RAM
312…ROM
313…LAN−I/F
314…MODEM
320〜322…I/F
330…画面表示装置
331…キーボード
332…マウス
333…プリンタ装置
340…HDD装置
341…CD装置
342…FDD装置
5…クライアント装置
10…トップページ装置
13…認証サーバ装置
15…システム監視装置
17…LDAP装置
18…利用者情報DB装置
20…アプリケーション・サーバ装置
30…ウェブ・サーバ装置
32…表示画面処理部
34…クライアント言語処理部
36…異常監視処理部
38…サイト・リスト格納部
40…認証サーバ装置対応処理部
42…リンク対応処理部
301〜303…バス
310…CPU
311…RAM
312…ROM
313…LAN−I/F
314…MODEM
320〜322…I/F
330…画面表示装置
331…キーボード
332…マウス
333…プリンタ装置
340…HDD装置
341…CD装置
342…FDD装置
Claims (7)
- ネットワークを介して、アプリケーション・サーバ装置が提供する複数のサービスにログオンする際の、それぞれの認証手続を管理することで、シングルサインオンの機能を提供する認証サーバ装置を利用する際に、
利用者側のクライアント装置は、利用者の操作に応じて、内蔵するブラウザ・プログラムによる処理によって、トップページ装置間のネットワークを介した接続を確立し、
該接続によって該トップページ装置は、前記シングルサインオン機能を受けるための機能選択が可能な画面表示をするためのトップページ画面表示用情報を、前記クライアント装置に送信し、
該クライアント装置は、該トップページ画面表示用情報を受信し、前記画面表示をするようにしたことを特徴とするトップページ介在シングルサインオン方法。 - 請求項1のトップページ介在シングルサインオン方法において、
前記トップページ装置が、前記シングルサインオンが前記認証サーバ装置によって正常に動作し得るか判定する異常監視処理を行い、
異常ありと判定された場合は、該異常に応じた前記トップページ画面表示用情報を、前記クライアント装置に送信するようにしたことを特徴とするトップページ介在シングルサインオン方法。 - 請求項1のトップページ介在シングルサインオン方法において、
前記クライアント装置との前記接続によって、前記トップページ装置が、前記ブラウザ・プログラムにおける利用者の表示言語識別情報を取得し、
前記トップページ装置は、該表示言語識別情報に応じた前記トップページ画面表示用情報を、前記クライアント装置に送信するようにしたことを特徴とするトップページ介在シングルサインオン方法。 - 請求項1〜請求項3のいずれかのトップページ介在シングルサインオン方法において、
前記クライアント装置は、前記トップページ画面表示用情報による前記画面表示において、シングルサインオンされる全ての前記サービスを、一斉にサインオフを受け付けるボタン操作入力機能、及び該一斉サインオフを実行する機能を提供することを特徴とするトップページ介在シングルサインオン方法。 - 請求項1〜請求項4のいずれかのトップページ介在シングルサインオン方法において、
前記クライアント装置は、前記画面表示において、該アプリケーションの使用を一時的に中断し、該アプリケーションを利用できない画面を表示する機能を提供することを特徴とするトップページ介在シングルサインオン方法。 - ネットワークを介して、アプリケーション・サーバ装置が提供する複数のサービスにログオンする際の、それぞれの認証手続を管理する認証サーバ装置が提供するシングルサインオンの機能を受けるための、機能選択が可能な画面表示を行うためのトップページ画面表示用情報を生成するための表示画面処理部と、
利用者の操作に応じて、利用者側のクライアント装置が内蔵するブラウザ・プログラムによって確立するネットワークを介した接続によって、該トップページ画面表示用情報を、前記クライアント装置に送信するウェブ・サーバ処理部と、を備えたことを特徴とするトップページ装置。 - 請求項1〜請求項5のいずれか1つのトップページ介在シングルサインオン方法、又は、請求項6のトップページ装置を実施するためのコンピュータ・プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004067626A JP2005258672A (ja) | 2004-03-10 | 2004-03-10 | トップページ介在シングルサインオン方法及びトップページ装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004067626A JP2005258672A (ja) | 2004-03-10 | 2004-03-10 | トップページ介在シングルサインオン方法及びトップページ装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005258672A true JP2005258672A (ja) | 2005-09-22 |
Family
ID=35084341
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004067626A Withdrawn JP2005258672A (ja) | 2004-03-10 | 2004-03-10 | トップページ介在シングルサインオン方法及びトップページ装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005258672A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016116088A (ja) * | 2014-12-15 | 2016-06-23 | 株式会社リコー | 情報処理装置、情報処理方法、及びプログラム |
CN105830389A (zh) * | 2013-11-11 | 2016-08-03 | 亚马逊技术有限公司 | 用于访问多个计算资源服务的单组证书 |
US9736159B2 (en) | 2013-11-11 | 2017-08-15 | Amazon Technologies, Inc. | Identity pool bridging for managed directory services |
US10375013B2 (en) | 2013-11-11 | 2019-08-06 | Amazon Technologies, Inc. | Managed directory service connection |
US10509663B1 (en) | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
US10817821B2 (en) | 2014-09-26 | 2020-10-27 | Kyocera Document Solutions Inc. | Workflow control device and non-transitory computer-readable storage medium having stored therein workflow control program for controlling workflow regarding operation on electronic apparatus |
US10908937B2 (en) | 2013-11-11 | 2021-02-02 | Amazon Technologies, Inc. | Automatic directory join for virtual machine instances |
-
2004
- 2004-03-10 JP JP2004067626A patent/JP2005258672A/ja not_active Withdrawn
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10375013B2 (en) | 2013-11-11 | 2019-08-06 | Amazon Technologies, Inc. | Managed directory service connection |
CN105830389A (zh) * | 2013-11-11 | 2016-08-03 | 亚马逊技术有限公司 | 用于访问多个计算资源服务的单组证书 |
JP2016540295A (ja) * | 2013-11-11 | 2016-12-22 | アマゾン テクノロジーズ インコーポレイテッド | 複数のコンピューティング・リソース・サービスにアクセスするための単一の資格認定セット |
US9736159B2 (en) | 2013-11-11 | 2017-08-15 | Amazon Technologies, Inc. | Identity pool bridging for managed directory services |
CN105830389B (zh) * | 2013-11-11 | 2019-06-14 | 亚马逊技术有限公司 | 用于访问多个计算资源服务的单组证书 |
US10447610B1 (en) | 2013-11-11 | 2019-10-15 | Amazon Technologies, Inc. | Techniques for network redirection |
US10511566B2 (en) | 2013-11-11 | 2019-12-17 | Amazon Technologies, Inc. | Managed directory service with extension |
US10530742B2 (en) | 2013-11-11 | 2020-01-07 | Amazon Technologies Inc. | Managed directory service |
US10908937B2 (en) | 2013-11-11 | 2021-02-02 | Amazon Technologies, Inc. | Automatic directory join for virtual machine instances |
US10817821B2 (en) | 2014-09-26 | 2020-10-27 | Kyocera Document Solutions Inc. | Workflow control device and non-transitory computer-readable storage medium having stored therein workflow control program for controlling workflow regarding operation on electronic apparatus |
US10303870B2 (en) | 2014-12-15 | 2019-05-28 | Ricoh Company, Ltd. | Information processing apparatus, information processing method, and computer program product |
JP2016116088A (ja) * | 2014-12-15 | 2016-06-23 | 株式会社リコー | 情報処理装置、情報処理方法、及びプログラム |
US10509663B1 (en) | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7296077B2 (en) | Method and system for web-based switch-user operation | |
US9485239B2 (en) | Implementing single sign-on across a heterogeneous collection of client/server and web-based applications | |
EP1361723B1 (en) | Maintaining authentication states for resources accessed in a stateless environment | |
US7356833B2 (en) | Systems and methods for authenticating a user to a web server | |
US7191467B1 (en) | Method and system of integrating third party authentication into internet browser code | |
US20030065951A1 (en) | Information providing server, terminal apparatus, control method therefor, and information providing system | |
US7877492B2 (en) | System and method for delegating a user authentication process for a networked application to an authentication agent | |
WO2011089712A1 (ja) | 認証方法、認証システムおよび認証プログラム | |
US20040073666A1 (en) | Secure resource access | |
AU2001280975A1 (en) | Systems and methods for authenticating a user to a web server | |
RU2237275C2 (ru) | Сервер и способ (варианты) определения программного окружения клиентского узла в сети с архитектурой клиент/сервер | |
KR20060134925A (ko) | 확장가능하고 안전한 원격 데스크탑 접근을 위한 방법 및장치 | |
CN111049946A (zh) | 一种Portal认证方法、系统及电子设备和存储介质 | |
JP2008515085A (ja) | ネットワークコンテンツファイルへのアクセス提供におけるアクセス制御レベルを割り当てる方法および装置 | |
US8290901B2 (en) | Techniques for remote resource mounting | |
JP2005258672A (ja) | トップページ介在シングルサインオン方法及びトップページ装置 | |
US20050097106A1 (en) | Methods, systems and computer program products for multi-protocol self-service application access | |
US20040148372A1 (en) | Web-browser based heterogeneous systems management tool | |
US20230008310A1 (en) | Communication device, non-transitory computer-readable recording medium storing computer-readable instructions for communication device, non-transitory computer-readable recording medium storing computer-readable instructions for server, and server | |
KR20080036837A (ko) | 웹 사이트의 로그인 정보 저장 방법, 그를 이용한 자동로그인 방법과 그를 위한 프로그램을 기록한 컴퓨터에서읽을 수 있는 기록매체 | |
JP4305146B2 (ja) | 通信制御装置、アプリケーションサーバ、およびプログラム | |
JP4914725B2 (ja) | 認証システム、認証プログラム | |
Cisco | Upgrading Cisco CallManager Release 3.0(4) | |
Cisco | Release Notes for Cisco Aironet Client Utilities | |
JP2002342270A (ja) | リモートアクセス制御方法、リモートアクセス制御プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070605 |