JP2005301424A - Distributed authentication system, load distribution device, authentication server, load distribution program, and authentication program - Google Patents

Distributed authentication system, load distribution device, authentication server, load distribution program, and authentication program Download PDF

Info

Publication number
JP2005301424A
JP2005301424A JP2004113221A JP2004113221A JP2005301424A JP 2005301424 A JP2005301424 A JP 2005301424A JP 2004113221 A JP2004113221 A JP 2004113221A JP 2004113221 A JP2004113221 A JP 2004113221A JP 2005301424 A JP2005301424 A JP 2005301424A
Authority
JP
Japan
Prior art keywords
authentication
user
information
distributed
authenticated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004113221A
Other languages
Japanese (ja)
Other versions
JP4573559B2 (en
Inventor
Kenichiro Shimada
健一郎 島田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2004113221A priority Critical patent/JP4573559B2/en
Publication of JP2005301424A publication Critical patent/JP2005301424A/en
Application granted granted Critical
Publication of JP4573559B2 publication Critical patent/JP4573559B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To surely perform authentication even if a system configuration having a plurality of authentication servers for an authentication site in a Pull model of SSO. <P>SOLUTION: In the authentication site S1, this load distribution device 12 distributes an authentication request from a Web user u to one of the authentication servers 11i. The authentication server 11i receiving the authentication request generates a ticket issue certificate when it is determined that the Web user u is already authenticated. Then, the authentication server 11i transmits the ticket issue certificate to the Web user u. In this process, the load distribution device 12 stores the ticket issue certificate and an IP address of the authentication server 11i in association with each other. In receipt of an SAML authentication request including the ticket issue certification from a service site S2, the load distribution device 12 in the authentication site S1 specifies the authentication server issuing the ticket issue certificate based on the stored correspondence table and transfers the SAML authentication request to the authentication server 11i. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、SAML(Security Assertion Mark-up Language)を用いたシングルサインオン(Single Sign-On;以下、SSOと記載する)技術に関し、さらに詳しくは、SSOのPullモデルにおける分散認証システム、分散認証システムに用いられる負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラムに関する。   The present invention relates to a single sign-on (hereinafter referred to as SSO) technology using SAML (Security Assertion Mark-up Language), and more specifically, a distributed authentication system and distributed authentication in an SSO Pull model. The present invention relates to a load distribution device and an authentication server used in the system, and a load distribution program and an authentication program.

通常、認証の必要な複数のWebサイトを利用するには、Webユーザはサイトごとに認証情報を入力しなければならない。しかしながら、これでは手間がかかり、認証情報(IDやパスワードなど)の管理も面倒である。そのため、最近では、一度の認証で複数のWebサイトの利用が可能となるSSOの需要が高まっている。例えば、SAMLを用いたSSOにおいては、WebサイトがSAMLに対応していれば、別のサイトへ移動したときに、移動元のサイトと移動先のサイトがSAMLプロトコルで通信し、自動的に認証情報が引き継がれるようになっている。   Normally, in order to use a plurality of Web sites that require authentication, a Web user must input authentication information for each site. However, this is troublesome and the management of authentication information (ID, password, etc.) is troublesome. Therefore, recently, there is an increasing demand for SSO that enables the use of a plurality of Web sites with a single authentication. For example, in SSO using SAML, if the Web site supports SAML, the source site and the destination site communicate with each other using the SAML protocol and automatically authenticate when moving to another site. Information is carried over.

図7は、SSOの概念を示す図である。Webユーザuは、最初にソースWebサイト(認証サイト)SWSで認証を受けると、後にこの認証情報を用いて他のWebサイト(目的サイト)DWSに再度認証することなくアクセスできるようになっている。   FIG. 7 is a diagram showing the concept of SSO. When the Web user u is first authenticated by the source Web site (authentication site) SWS, it can access the other Web site (target site) DWS without authenticating again using this authentication information later. .

ここで、SSOにはSAMLを用いると以下の2つのモデルが考えられる。1つは、Pullモデルと呼ばれるもので、アクセス要求を受けた目的WebサイトDWSがWebユーザuの認証情報をソースWebサイトSWSに問い合わせて、認証情報を引き出す(PULL)モデルである。図8を用いてPullモデルにおけるSSO認証の手順を説明する。   Here, if SAML is used for SSO, the following two models can be considered. One is called a Pull model, in which the target website DWS that has received the access request inquires of the source website SWS about the authentication information of the Web user u and extracts the authentication information (PULL). The procedure of SSO authentication in the Pull model will be described with reference to FIG.

まず、WebユーザuがソースWebサイトSWSで認証を受ける(ステップS1)。次に、Webユーザuは、目的WebサイトDWSへのリンクを要求する(ステップS2)。これにより、ソースWebサイトSWSは、認証の参照先(例えば、ソースWebサイトSWSのURLなど;後述するSAMLアサーションのハンドルであり、チケット発行証明ともいう)d1をWebユーザuに提供し、Webユーザuを目的WebサイトDWSへリダイレクトさせる(ステップS3)。この結果、Webユーザuは、認証の参照先d1を目的WebサイトDWSへ提供し、目的WebサイトDWSの資源を要求する(ステップS4)。   First, the web user u is authenticated by the source website SWS (step S1). Next, the web user u requests a link to the target website DWS (step S2). As a result, the source website SWS provides a reference destination (for example, the URL of the source website SWS; a handle of a SAML assertion described later, also referred to as a ticket issue certificate) d1 to the web user u, and the web user u is redirected to the target website DWS (step S3). As a result, the Web user u provides the authentication reference destination d1 to the target Web site DWS, and requests the resources of the target Web site DWS (step S4).

目的WebサイトDWSは、認証の参照先d1に従って、Webユーザuの認証情報をソースWebサイトSWSに問い合わせる(ステップS5)。これは、SAMLアサーション(以下、認証済チケットともいう)d2をソースWebサイトSWSに対して要求するものである。尚、SAMLアサーションd2は、Webユーザuの認証に関する問い合わせに対してその内容を証明するステートメントである。これに対して、ソースWebサイトSWSは、この要求を確認すると、SAMLアサーションd2を発行し、目的WebサイトDWSに提供する(ステップS6)。これにより、目的WebサイトDWSは、Webユーザuに資源を提供し、Webユーザuは、目的WebサイトDWSの資源を利用できるようになる(ステップS7)。   The target website DWS inquires of the source website SWS about the authentication information of the web user u in accordance with the authentication reference destination d1 (step S5). This is a request for a SAML assertion (hereinafter also referred to as an authenticated ticket) d2 to the source website SWS. The SAML assertion d2 is a statement that proves the content of an inquiry regarding the authentication of the Web user u. On the other hand, when confirming this request, the source website SWS issues a SAML assertion d2 and provides it to the target website DWS (step S6). As a result, the target website DWS provides resources to the web user u, and the web user u can use the resources of the target website DWS (step S7).

もう1つは、Pushモデルと呼ばれるもので、Webユーザuの要求により、ソースWebサイトSWSが目的WebサイトDWSに認証情報を出す(Push)モデルである。図9を用いてPushモデルにおけるSSO認証の手順を説明する。   The other is called a Push model, which is a model in which the source website SWS issues authentication information to the target website DWS in response to a request from the web user u. The procedure of SSO authentication in the Push model will be described with reference to FIG.

まず、WebユーザuがソースWebサイトSWSで認証を受ける(ステップS11)。次に、Webユーザuは、目的WebサイトDWSへのリンクを要求する(ステップS12)。これにより、ソースWebサイトSWSは、目的WebサイトDWSの資源を使用する要求を送信する(ステップS13)。これは、アクセス権限を証明するSAMLアサーションd2を目的WebサイトDWSに提供するものである。目的WebサイトDWSは、アクセスを許可したソースWebサイトSWSにアクセス決定の参照先(例えば、ソースWebサイトSWSのURLなど)を提供する(ステップS14)。   First, the web user u is authenticated at the source website SWS (step S11). Next, the web user u requests a link to the target website DWS (step S12). Thereby, the source website SWS transmits a request to use the resource of the target website DWS (step S13). This provides the target Web site DWS with a SAML assertion d2 that proves the access authority. The target website DWS provides an access decision reference destination (for example, the URL of the source website SWS) to the source website SWS that is permitted to access (step S14).

ソースWebサイトSWSは、Webユーザuに決定の参照先を含んだSAMLアサーションd2を提供し、Webユーザuを目的Webサイトへリダイレクトさせる(ステップS15)。この結果、Webユーザuは、決定の参照先を提示し、目的WebサイトDWSの資源を要求する(ステップS15)。これに対して、目的WebサイトDWSは、Webユーザuに資源を提供し、Webユーザuは、目的WebサイトDWSの資源を利用できるようになる(ステップS17)。   The source Web site SWS provides the SAML assertion d2 including the determination reference destination to the Web user u, and redirects the Web user u to the target Web site (step S15). As a result, the Web user u presents the reference for determination and requests the resource of the target Web site DWS (step S15). In contrast, the target website DWS provides resources to the Web user u, and the Web user u can use the resources of the target website DWS (step S17).

尚、この出願に関連する先行技術文献情報としては、次のものがある。
鈴木 優一、 “(連載)Webサービスのセキュリティ 第4回強力なSSOを実現するXML認証・認可サービス(SAML)”、[online]、[平成16年3月25日検索]、株式会社アットマーク・アイティ、インターネット<URL:http://www.atmarkit.co.jp/fsecurity/rensai/webserv04/webserv02.html> 上田 隆司、“SAML技術解説”、[online]、[平成16年3月25日検索]、XMLコンソーシアム、インターネット<URL:http://www.xmlconsortium.org/websv/kaisetsu/C10/main.html> The prior art document information related to this application includes the following.
Yuichi Suzuki, “(Series) Web Service Security 4th XML Authentication / Authorization Service (SAML) for Strong SSO”, [online], [March 25, 2004 Search], Atmark Corporation IT, Internet <URL: http://www.atmarkit.co.jp/fsecurity/rensai/webserv04/webserv02.html> Takashi Ueda, “SAML Technical Explanation”, [online], [Search on March 25, 2004], XML Consortium, Internet <URL: http://www.xmlconsortium.org/websv/kaisetsu/C10/main.html >

ところで、上述したSSOはその需要の高まりから大量の認証要求が発生することが予想され、認証サイト(ソースWebサイト)SWSにおいては、認証処理を行う認証サーバを複数備えたシステム構成が考えられる。しかしながら、上述したPullモデルにおいては、認証の参照先には、どこのサイトで認証されたかという情報(例えば、URLに関する情報)しかないので、認証サイトSWSが発行したチケット発行証明d1をWebユーザuが目的WebサイトDWSに送信し、該目的WebサイトDWSがチケット発行証明d1を認証サイトSWSに送信して、認証済チケットd2を得る場合(図8のステップS4〜S6)、サーバ間通信がエラーとなる可能性がある。これは、チケット発行証明d1を受け取った認証サイトSWSにおいては、チケット発行証明d1を発行した認証サーバがどれであるか認識できないので、負荷分散装置がどの認証サーバにチケット発行証明d1を振り分けてよいかわからないという問題に起因する。即ち、ソースWebサイトSWSがSAML要求を出しても、確実にSAMLアサーション(認証済チケット)d2を受け取ることができるとは限らないという問題がある。   By the way, it is anticipated that a large amount of authentication requests will occur due to an increase in demand for the above-described SSO, and a system configuration including a plurality of authentication servers that perform authentication processing is considered in the authentication site (source Web site) SWS. However, in the Pull model described above, the authentication reference destination has only information on which site is authenticated (for example, information on the URL), so the ticket issue certificate d1 issued by the authentication site SWS is used as the Web user u. Is transmitted to the target website DWS, and when the target website DWS transmits the ticket issuance proof d1 to the authentication site SWS to obtain the authenticated ticket d2 (steps S4 to S6 in FIG. 8), the communication between servers is an error. There is a possibility. This is because the authentication site SWS that has received the ticket issuance proof d1 cannot recognize which authentication server has issued the ticket issuance proof d1, and the load distribution apparatus may distribute the ticket issuance proof d1 to which authentication server. This is due to the problem of not knowing. That is, there is a problem that even if the source website SWS issues a SAML request, the SAML assertion (authenticated ticket) d2 cannot always be received.

これに対して、Pushモデルにおいては、認証サイトSWSが複数の認証サーバを備えるシステム構成となっても、WebユーザuにSAMLアサーション(認証済チケット)d2を提供するとともに、PullモデルにおけるステップS5およびS6に示すようなサーバ間通信はないので、上述した問題は発生しない。   On the other hand, in the Push model, even if the authentication site SWS has a system configuration including a plurality of authentication servers, the SAML assertion (authenticated ticket) d2 is provided to the Web user u, and the step S5 in the Pull model and Since there is no communication between servers as shown in S6, the above-mentioned problem does not occur.

本発明は、上記の事情を鑑みてなされたものであり、SSOのPullモデルにおいて、認証サイトが認証サーバを複数備えて負荷を分散させるシステム構成を採用しても、確実に認証を行うことができる分散認証システム、分散認証システムに用いられる負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラムを提供することを目的とする。   The present invention has been made in view of the above circumstances, and in the SSO Pull model, even if the authentication site employs a system configuration in which a plurality of authentication servers are provided and the load is distributed, authentication can be reliably performed. An object of the present invention is to provide a distributed authentication system that can be used, a load distribution device and an authentication server used in the distributed authentication system, and a load distribution program and an authentication program.

上記目的を達成するため、請求項1記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備え、前記負荷分散装置は、前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶手段と、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分け手段と、を有することを特徴とする。   In order to achieve the above object, the present invention according to claim 1 is a distributed authentication system that performs authentication in response to an authentication request from a user under a pull-type single sign-on method, and includes a plurality of authentication servers. And a load balancer that distributes authentication processing to any of the plurality of authentication servers, and the load balancer authenticates the user after any of the plurality of authentication servers authenticates the user. An identification information storage means for storing the temporary authentication information and the identification information that can identify the authenticated authentication server in association with each other when transmitting temporary authentication information indicating the authentication reference destination via the load balancer; When the predetermined site requested by the user requests authentication information and requests the distributed authentication system to include the temporary authentication information, it is stored in the received temporary authentication information and the identification information storage. Based on the information, the user to identify the authentication server that authenticates, and having a a request distributing means for distributing the request received to the specified authentication server.

請求項2記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置であって、前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶手段と、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶手段に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分け手段と、を有することを特徴とする。   The present invention according to claim 2 is load distribution in which authentication processing is distributed to any of a plurality of authentication servers in a distributed authentication system that performs authentication in response to an authentication request from a user based on a pull-type single sign-on method. When the temporary authentication information indicating the authentication reference destination is transmitted to the user via the load balancer after any of the plurality of authentication servers authenticates the user, the temporary authentication Identification information storage means for storing information and identification information for identifying an authenticated authentication server in association with each other, and a predetermined site requested by the user to connect to the distributed authentication system for authenticated information. When a request including temporary authentication information is made, the authentication server that authenticates the user is identified and specified based on the received temporary authentication information and the information stored in the identification information storage means. Characterized in that it has a request distributing means for distributing the request received in testimony server, the.

請求項3記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備え、前記複数の認証サーバそれぞれは、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶手段と、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、前記認証済情報を発行する認証確認手段と、を有することを特徴とする。   According to a third aspect of the present invention, there is provided a distributed authentication system for performing authentication in response to an authentication request from a user based on a pull-type single sign-on method, comprising a plurality of authentication servers and the plurality of authentication servers. And a storage device that can be shared by the plurality of authentication servers, each of the plurality of authentication servers being assigned authentication processing from the load distribution device, and When the user is authenticated, temporary authentication information storage means for storing temporary authentication information indicating a reference destination of the issued authentication in the storage device and a predetermined site requested by the user for connection are requested for authenticated information. When a request including the temporary authentication information is made to the distributed authentication system and the request is distributed from the load balancer, the received temporary authentication information is stored in the information stored in the storage device. Confirmed it based on, and having an authentication check means for issuing the authenticated information.

請求項4記載の本発明は、Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備えて利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバであって、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶手段と、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、認証済情報を発行する認証確認手段と、を有することを特徴とする。   According to a fourth aspect of the present invention, there is provided a plurality of authentication servers, a load balancer that distributes authentication processing to any of the plurality of authentication servers, and the plurality of authentication servers based on a pull-type single sign-on method. And a sharable storage device for authenticating an authentication request from a user, wherein the authentication server distributes authentication processing from the load balancer and authenticates the user The temporary authentication information storage means for storing the temporary authentication information indicating the reference destination of the issued authentication in the storage device, and the predetermined site requested by the user to connect to the distributed authentication system for the authenticated information When the request including the temporary authentication information is distributed to the load balancer, the received temporary authentication information is based on the information stored in the storage device. Verify, and having an authentication check means for issuing the authenticated information.

請求項5記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備え、前記複数の認証サーバそれぞれは、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成して、前記利用者に送信し、前記負荷分散装置は、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けることを特徴とする。   The present invention according to claim 5 is a distributed authentication system that performs authentication in response to an authentication request from a user based on a pull-type single sign-on method, and includes a plurality of authentication servers and the plurality of authentication servers. A load balancer that distributes the authentication process to any one of the plurality of authentication servers, and each of the plurality of authentication servers is assigned an authentication process by the load balancer and identifies the authenticated authentication server when authenticating the user. Temporary authentication information indicating a reference destination of authentication, to which possible identification information is added, is created and transmitted to the user, and the load balancer has authenticated the predetermined site requested by the user for connection. When a request including the temporary authentication information is made to the distributed authentication system in response to information, the authentication server that authenticates the user is identified from the identification information added to the received temporary authentication information. Characterized in that distributes the requests received in the authentication server has.

請求項6記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置であって、前記分散認証システムが前記利用者を認証して、該利用者に、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を送信した後に、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けることを特徴とする。   According to the sixth aspect of the present invention, in a distributed authentication system that performs authentication in response to an authentication request from a user based on a pull-type single sign-on method, load distribution that distributes authentication processing to any of a plurality of authentication servers The distributed authentication system authenticates the user and transmits temporary authentication information indicating an authentication reference destination to which the identification information capable of specifying the authenticated authentication server is added to the user. Later, when a predetermined site requested by the user for connection requests for the authenticated information and includes the temporary authentication information in the distributed authentication system, the identification information added to the received temporary authentication information is used. The authentication server authenticating the user is specified, and the received request is distributed to the specified authentication server.

請求項7記載の本発明は、Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備えて、利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバであって、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成し、前記利用者に送信することを特徴とする。   The present invention according to claim 7 comprises a plurality of authentication servers and a load balancer that distributes the authentication processing to any of the plurality of authentication servers based on a pull-type single sign-on method. An authentication server in a distributed authentication system that performs authentication in response to an authentication request from the server, wherein authentication processing can be assigned from the load balancer and the authenticated server can be identified when the user is authenticated Temporary authentication information indicating an authentication reference destination to which information is added is created and transmitted to the user.

請求項8記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置が読み取り可能な負荷分散プログラムであって、前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶ステップと、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶手段に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分けステップと、を前記負荷分散装置に実行させることを特徴とする。   The present invention according to claim 8 is a load distribution that distributes authentication processing to one of a plurality of authentication servers in a distributed authentication system that performs authentication in response to an authentication request from a user under a pull-type single sign-on method. A load balancing program readable by the apparatus, wherein after any of the plurality of authentication servers authenticates the user, temporary authentication information indicating an authentication reference destination is transmitted to the user via the load distribution apparatus An identification information storage step for storing the temporary authentication information and identification information that can identify the authenticated authentication server in association with each other, and a predetermined site requested by the user to request authentication information. When the request including the temporary authentication information is made to the distributed authentication system, the user is based on the received temporary authentication information and the information stored in the identification information storage means. Identify the authentication server authenticates, characterized in that to execute the request switching step for distributing request received to the identified authentication server, to the load balancer.

請求項9記載の本発明は、Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備えて利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバが読み取り可能な認証プログラムであって、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶ステップと、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、認証済情報を発行する認証確認ステップと、を前記認証サーバに実行させることを特徴とする。   According to a ninth aspect of the present invention, there is provided a plurality of authentication servers, a load balancer that distributes authentication processing to any of the plurality of authentication servers, and the plurality of authentication servers based on a pull-type single sign-on method. An authentication program readable by the authentication server in a distributed authentication system that authenticates an authentication request from a user with a sharable storage device, and the authentication processing can be distributed from the load distribution device, When the user is authenticated, temporary authentication information storing step for storing temporary authentication information indicating a reference destination of the issued authentication in the storage device, and a predetermined site requested by the user to connect the authenticated information When the request including the temporary authentication information is made to the distributed authentication system and the request is distributed from the load balancer, the received temporary authentication information Based on stored in the storage device information to verify, characterized in that to execute the authentication confirmation issuing the authenticated information, to the authentication server.

請求項10記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置が読み取り可能な負荷分散プログラムであって、前記負荷分散装置に、前記分散認証システムが前記利用者を認証して、該利用者に、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を送信した後に、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けさせることを特徴とする。   According to the tenth aspect of the present invention, in a distributed authentication system that performs authentication in response to an authentication request from a user based on a pull-type single sign-on method, load distribution that distributes authentication processing to one of a plurality of authentication servers A load balancing program readable by a device, wherein the distributed authentication system authenticates the user, and identification information that can identify the authenticated authentication server is added to the load balancing device When a predetermined site requested by the user for connection after transmitting temporary authentication information indicating an authentication reference destination makes a request including the temporary authentication information to the distributed authentication system for authenticated information Identifying the authentication server that has authenticated the user from the identification information added to the received temporary authentication information, and causing the identified authentication server to distribute the received request. And butterflies.

請求項11記載の本発明は、Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備えて、利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバが読み取り可能な認証プログラムであって、前記認証サーバに、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成し、前記利用者に送信させることを特徴とする。   The present invention according to claim 11 comprises a plurality of authentication servers and a load balancer that distributes the authentication processing to any of the plurality of authentication servers under the Pull-type single sign-on method, An authentication program readable by the authentication server in a distributed authentication system that performs authentication in response to an authentication request from the server, when authentication processing is distributed to the authentication server from the load balancer and the user is authenticated Is characterized in that provisional authentication information indicating an authentication reference destination, to which identification information that can identify an authenticated authentication server is added, is created and transmitted to the user.

本発明によれば、SSOのPullモデルにおいて、認証サイトが認証サーバを複数備えて負荷を分散させるシステム構成を採用しても、確実に認証を行うことができる分散認証システム、分散認証システムに用いられる負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラムを提供することができる。   According to the present invention, in the SSO Pull model, even if the authentication site employs a system configuration in which a plurality of authentication servers are provided and the load is distributed, it is used for a distributed authentication system and a distributed authentication system that can perform authentication reliably. The load distribution apparatus and the authentication server, and the load distribution program and the authentication program can be provided.

この結果、SSOに対する需要が増え、大量の認証要求が発生したとしても、大量の認証要求に応えることが可能である。また、SSOのPullモデルにおいては、Pushモデルに比べて利用者が利用する利用者端末の種類に依存しないので、利用者の利便性を向上させることができる。   As a result, even if a demand for SSO increases and a large amount of authentication requests are generated, it is possible to respond to a large amount of authentication requests. In addition, the SSO Pull model does not depend on the type of user terminal used by the user as compared to the Push model, so that convenience for the user can be improved.

詳しくは、本発明は、負荷分散装置が仮認証情報と認証サーバの識別情報とを対応させて記憶するので、負荷分散装置が的確に仮認証情報を発行した認証サーバを特定することができ、確実に認証済情報を発行することができるという効果がある。   Specifically, in the present invention, since the load balancer stores the temporary authentication information and the authentication server identification information in association with each other, the load balancer can accurately identify the authentication server that issued the temporary authentication information, There is an effect that authenticated information can be issued with certainty.

また、本発明は、各認証サーバが共有可能な記憶装置を備えて、該記憶装置に仮認証情報を記憶するので、どの認証サーバが認証済情報を要求されても、確実に認証済情報を発行することができるという効果がある。   In addition, the present invention includes a storage device that can be shared by each authentication server, and stores temporary authentication information in the storage device. There is an effect that it can be issued.

さらに、本発明は、認証した認証サーバの識別情報を含めて仮認証情報としているので、負荷分散装置は、的確に仮認証情報を発行した認証サーバを特定することができ、確実に認証済情報を発行することができるという効果がある。   Furthermore, since the present invention uses temporary authentication information including the identification information of the authenticated authentication server, the load balancer can accurately identify the authentication server that issued the temporary authentication information, and reliably authenticate information. Can be issued.

以下、本発明の実施の形態を図面を用いて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

<第1の実施の形態>
図1は、本発明の第1の実施の形態に係る分散認証システム10が適用されるSSOシステム100の概略構成図である。図1に示すSSOシステム100は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム10、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末3を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAP(Simple Object Access Protocol)で交換するようになっている。 <First Embodiment>
FIG. 1 is a schematic configuration diagram of an SSO system 100 to which the distributed authentication system 10 according to the first exemplary embodiment of the present invention is applied. An SSO system 100 shown in FIG. 1 is a Pull model SSO system using SAML, a distributed authentication system 10 constructed in an authentication site S1, a service server 1 provided in a service site S2, and providing a predetermined service, The system configuration includes a user terminal 2 used by the Web user u and a communication network 3 that enables the authentication site S1, the service site S2, and the user terminal 3 to communicate with each other. With such a system configuration, communication using the SAML protocol is possible between the authentication server (described later) of the authentication site S1 and the service server 1 of the service site S2, and authentication that is a SAML message is performed. Information is exchanged by SOAP (Simple Object Access Protocol).

ここで、分散認証システム10は、Webユーザuの認証を行う複数の認証サーバ11i(i=a,b,…,n)、及びWebユーザuからの認証要求を認証サーバ11iのいずれかに振り分ける負荷分散装置12を具備する構成となっている。また、利用者端末2は、ブラウザ機能を備えているものである。   Here, the distributed authentication system 10 distributes the authentication requests from the plurality of authentication servers 11i (i = a, b,..., N) that authenticate the Web user u and the Web user u to any one of the authentication servers 11i. The load balancing device 12 is provided. The user terminal 2 has a browser function.

尚、上述した分散認証システム10を構成する認証サーバ11i及び負荷分散装置122、サービスサーバ1、並びに利用者端末3は、少なくとも演算機能および制御機能を備えた中央演算装置(CPU)、プログラムやデータを格納する機能を有するRAM等からなる主記憶装置(メモリ)を有する電子的な装置から構成されているものである。また、これらの装置は、主記憶装置の他、ハードディスクなどの補助記憶装置を具備していてもよい。さらに、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置またはハードディスクに格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。   Note that the authentication server 11i, the load distribution device 122, the service server 1, and the user terminal 3 that constitute the distributed authentication system 10 described above are at least a central processing unit (CPU), a program and data having a calculation function and a control function. Is composed of an electronic device having a main storage device (memory) composed of a RAM or the like having a function of storing data. In addition to the main storage device, these devices may include an auxiliary storage device such as a hard disk. Furthermore, a program for executing various processes according to the present embodiment is stored in the main storage device or the hard disk described above. The program can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM, an MO, or a DVD-ROM, or can be distributed via a communication network.

次に、本実施の形態に係る分散認証システム10が適用されるSSOシステム100の動作を図2を用いて説明する。ここで、図2は、Webユーザu、認証サイトS1、及びサービスサイトS2間の通信のやりとりを示すシーケンス図である。尚、本実施の形態におけるSSOシステム100の動作は、図8に示すPullモデルにおいて、ソースWebサイトSWSを認証サイトS1、目的WebサイトDWSをサービスサイトS2と置き換えたものとほぼ同一であるが、Webユーザuの最初のアクセス先において相違がある。即ち、本実施の形態においては、後述するようにまず、サービスサイトS2にアクセスするのに対し、図8に示すPullモデルにおいては、ソースWebサイトSWS(認証サイトS1)にアクセスするが、Pullモデルに基づく動作は実質的に同一である。   Next, the operation of the SSO system 100 to which the distributed authentication system 10 according to the present embodiment is applied will be described with reference to FIG. Here, FIG. 2 is a sequence diagram illustrating communication exchanges between the Web user u, the authentication site S1, and the service site S2. The operation of the SSO system 100 in the present embodiment is almost the same as that in the Pull model shown in FIG. 8 in which the source website SWS is replaced with the authentication site S1 and the target website DWS is replaced with the service site S2. There is a difference in the first access destination of the Web user u. That is, in this embodiment, as will be described later, the service site S2 is first accessed, whereas in the Pull model shown in FIG. 8, the source Web site SWS (authentication site S1) is accessed, but the Pull model is used. The operation based on is substantially the same.

まず、Webユーザuは、利用者端末2からサービスサイトS2にアクセスする(ステップS110)。サービスサイトS2においては、Webユーザuが未認証であるため、Webユーザuを認証サイトS1にリダイレクトさせる(ステップS120)。これにより、Webユーザuは、認証サイトS1にアクセスする(ステップS130)。   First, the web user u accesses the service site S2 from the user terminal 2 (step S110). In the service site S2, since the web user u is not authenticated, the web user u is redirected to the authentication site S1 (step S120). Thereby, the web user u accesses the authentication site S1 (step S130).

認証サイトS1においては、Webユーザuからの認証要求がくると、負荷分散装置12がランダムにこの認証要求を振り分けて、認証サーバ11iのいずれかに認証要求を送信する(ステップS140)。認証要求を受信した認証サーバ11iは、Webユーザuとの間で認証処理を行い(例えば、ID、パスワードをWebユーザuに入力させ、認証する)、認証済みとなると、チケット発行証明d1を生成する(ステップS150,S160)。ここで、チケット発行証明d1は、上述したように認証済チケットd2を得るためのチケットであり、具体的には、セッションID、認証の参照先に関する情報(どこの認証サイトが認証したかという情報)を含む情報となっている。   In the authentication site S1, when an authentication request is received from the Web user u, the load balancer 12 randomly distributes the authentication request and transmits the authentication request to one of the authentication servers 11i (step S140). Upon receiving the authentication request, the authentication server 11i performs an authentication process with the Web user u (for example, the Web user u is input and authenticated), and generates a ticket issuance proof d1 when the authentication is completed. (Steps S150 and S160). Here, the ticket issuance proof d1 is a ticket for obtaining the authenticated ticket d2 as described above. Specifically, the ticket issuance proof d1 is information regarding the session ID and authentication reference destination (information about which authentication site has authenticated). ).

次いで、認証サーバ11iは、チケット発行証明d1をWebユーザuに負荷分散装置12を介して送信するとともに、WebユーザuをサービスサイトS2にリダイレクトさせる(ステップS170)。この際、負荷分散装置12は、このチケット発行証明d1とチケット発行証明d1を発行した認証サーバ11iのIPアドレスを対応付けて、所定の記憶部に記憶させる(ステップS180)。   Next, the authentication server 11i transmits the ticket issuance proof d1 to the web user u via the load balancer 12, and redirects the web user u to the service site S2 (step S170). At this time, the load balancer 12 associates the ticket issuance certificate d1 with the IP address of the authentication server 11i that has issued the ticket issuance certificate d1, and stores them in a predetermined storage unit (step S180).

Webユーザuは、受信したチケット発行証明d1を持って、サービスサイトS2にアクセスする(ステップS190)。サービスサイトS2においては、Webユーザuからのチケット発行証明d1を受け取ると、このチケット発行証明d1を含んだSAML認証要求、即ち、認証済チケットd2を求める要求を認証サイトS1に行う(ステップS200)。   The Web user u accesses the service site S2 with the received ticket issue certificate d1 (step S190). When the service site S2 receives the ticket issuance proof d1 from the Web user u, the service site S2 makes a SAML authentication request including the ticket issuance proof d1, that is, a request for the authenticated ticket d2 to the authentication site S1 (step S200). .

認証サイトS1の負荷分散装置12は、サービスサイトS2からSAML認証要求を受けると、所定の記憶部に記憶されたチケット発行証明d1と認証サーバ11iのIPアドレスの対応表から、SAML認証要求に含まれるチケット発行証明d1に該当する対応情報を取得し、該対応情報のIPアドレスに従って、チケット発行証明d1を発行した認証サーバ11iを特定し、該認証サーバ11iにSAML認証要求を転送する(ステップS210)。   When receiving the SAML authentication request from the service site S2, the load distribution device 12 of the authentication site S1 is included in the SAML authentication request from the correspondence table of the ticket issuance certificate d1 stored in the predetermined storage unit and the IP address of the authentication server 11i. Corresponding information corresponding to the ticket issuance proof d1 is identified, the authentication server 11i that issued the ticket issuance proof d1 is specified according to the IP address of the correspondence information, and the SAML authentication request is transferred to the authentication server 11i (step S210). ).

これにより、認証サーバ11iは、自己が発行したチケット発行証明d1に対するSAML要求を確実に受信することができるので、チケット発行証明d1の確認をして、認証済チケットd2を発行し、サービスサイトS2にこの認証済チケットd2をSAML認証応答として送信する(ステップS220)。   As a result, the authentication server 11i can reliably receive the SAML request for the ticket issuance certificate d1 issued by itself, so that it confirms the ticket issuance certificate d1 and issues the authenticated ticket d2, and the service site S2 This authenticated ticket d2 is transmitted as a SAML authentication response (step S220).

サービスサイトS2は、認証済チケットd2を受け取ると、Webユーザuは認証済のユーザであることを確認できるので、所定のサービスをWebユーザuに提供する(ステップS230,S240)。   Upon receiving the authenticated ticket d2, the service site S2 can confirm that the Web user u is an authenticated user, and provides a predetermined service to the Web user u (Steps S230 and S240).

従って、本実施の形態によるSSOシステム100によれば、SSOのPullモデルにおいて、認証サイトS1が認証サーバ11iを複数備えて負荷を分散させるシステム構成を採用しても、負荷分散装置12が、チケット発行証明d1とチケット発行証明d1を発行した認証サーバ11iのIPアドレスとを対応付けて記憶するので、サービスサイトS2からのSAML認証要求をWebユーザuを認証した認証サーバ11iに正確に振り分けることができる。   Therefore, according to the SSO system 100 according to the present embodiment, even if the authentication site S1 includes a plurality of authentication servers 11i and distributes the load in the SSO Pull model, the load distribution apparatus 12 can Since the issuance certificate d1 and the IP address of the authentication server 11i that issued the ticket issuance certificate d1 are stored in association with each other, the SAML authentication request from the service site S2 can be accurately distributed to the authentication server 11i that has authenticated the web user u. it can.

この結果、認証サイトS1は、Webユーザuから大量の認証要求が発生したとしても、確実に認証処理を行って、認証済チケットd2をサービスサイトS2に発行することができる。   As a result, even if a large number of authentication requests are generated from the Web user u, the authentication site S1 can reliably perform the authentication process and issue the authenticated ticket d2 to the service site S2.

また、本実施の形態によれば、分散サーバ11i及びサービスサーバ1には何らシステム改修は発生しないので、既存の分散サーバ11i及びサービスサーバ1を用いてSSOシステム100を構築することができる。   Further, according to the present embodiment, since no system modification occurs in the distributed server 11i and the service server 1, the SSO system 100 can be constructed using the existing distributed server 11i and the service server 1.

さらに、SSOのPullモデルは、Pushモデルに比べて利用者端末2の種類の制限を受けないので、携帯電話やPDAなどの幅広い利用者端末2を対象に本発明を適用することができる。   Furthermore, since the SSO Pull model is not limited by the type of user terminal 2 compared to the Push model, the present invention can be applied to a wide range of user terminals 2 such as mobile phones and PDAs.

<第2の実施の形態>
図3は、本発明の第2の実施の形態に係る分散認証システム20が適用されるSSOシステム200の概略構成図である。図3に示すSSOシステム200は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム20、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末2を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAPで交換するようになっている。尚、本実施の形態においては、第1の実施の形態と異なる構成及び機能のみ説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する。 <Second Embodiment>
FIG. 3 is a schematic configuration diagram of an SSO system 200 to which the distributed authentication system 20 according to the second exemplary embodiment of the present invention is applied. The SSO system 200 shown in FIG. 3 is a Pull model SSO system using SAML. The distributed authentication system 20 constructed in the authentication site S1, the service server 1 provided in the service site S2, and providing a predetermined service, The system configuration includes a user terminal 2 used by the Web user u and a communication network 3 that enables the authentication site S1, the service site S2, and the user terminal 2 to communicate with each other. With such a system configuration, communication using the SAML protocol is possible between an authentication server, which will be described later, of the authentication site S1 and the service server 1 of the service site S2, and authentication that is a SAML message. Information is exchanged by SOAP. In the present embodiment, only the configuration and functions different from those of the first embodiment will be described, and the other components and functions will be denoted by the same reference numerals and the description thereof will be omitted.

ここで、分散認証システム20は、利用者uの認証を行う複数の認証サーバ21i(i=a,b,…,n)、Webユーザuからの認証要求を認証サーバ21iのいずれかに振り分ける負荷分散装置22、及び各認証サーバ21iがアクセス可能な共有メモリ23を具備する構成となっている。尚、共有メモリ23は、認証サーバ21iと物理的に別個のハードウェアであってもよいし、物理的に別個のハードウェアではないが、認証サーバ21iが備えるハードウェアを論理的に共有させて、該ハードウェアを共有メモリ23としてもよいものである。   Here, the distributed authentication system 20 loads a plurality of authentication servers 21i (i = a, b,..., N) that authenticate the user u and an authentication request from the Web user u to any one of the authentication servers 21i. The distributed device 22 and the shared memory 23 accessible by each authentication server 21i are provided. The shared memory 23 may be hardware that is physically separate from the authentication server 21i, or is not physically separate hardware, but logically shares the hardware included in the authentication server 21i. The hardware may be the shared memory 23.

尚、上述した分散認証システム20を構成する認証サーバ21i及び負荷分散装置222は、少なくとも演算機能および制御機能を備えた中央演算装置(CPU)、プログラムやデータを格納する機能を有するRAM等からなる主記憶装置(メモリ)を有する電子的な装置から構成されているものであり、また、共有メモリ23は、主記憶装置の機能を備えているものである。また、これらの装置は、主記憶装置の他、ハードディスクなどの補助記憶装置を具備していてもよい。さらに、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置またはハードディスクに格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。   Note that the authentication server 21i and the load distribution device 222 constituting the distributed authentication system 20 described above include a central processing unit (CPU) having at least a calculation function and a control function, a RAM having a function for storing programs and data, and the like. It is composed of an electronic device having a main memory (memory), and the shared memory 23 has a function of the main memory. In addition to the main storage device, these devices may include an auxiliary storage device such as a hard disk. Furthermore, a program for executing various processes according to the present embodiment is stored in the main storage device or the hard disk described above. The program can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM, an MO, or a DVD-ROM, or can be distributed via a communication network.

次に、本実施の形態に係る分散認証システム20が適用されるSSOシステム200の動作を図4を用いて説明する。ここで、図4は、Webユーザu、認証サイトS1、及びサービスサイトS2間の通信のやりとりを示すシーケンス図である。尚、本実施の形態におけるSSOシステム200の動作は、第1の実施の形態と同様、図8に示すPullモデルにおいて、ソースWebサイトSWSを認証サイトS1、目的WebサイトDWSをサービスサイトS2と置き換えたものとほぼ同一であるが、Webユーザuの最初のアクセス先に相違がある。即ち、本実施の形態においては、後述するようにまず、サービスサイトS2にアクセスするのに対し、図8に示すPullモデルにおいては、ソースWebサイトSWS(認証サイトS1)にアクセスするが、Pullモデルに基づく動作は実質的に同一である。   Next, the operation of the SSO system 200 to which the distributed authentication system 20 according to the present embodiment is applied will be described with reference to FIG. Here, FIG. 4 is a sequence diagram illustrating communication exchanges between the Web user u, the authentication site S1, and the service site S2. Note that the operation of the SSO system 200 in the present embodiment is similar to that in the first embodiment, in the Pull model shown in FIG. 8, replacing the source website SWS with the authentication site S1, and the target website DWS with the service site S2. The first access destination of the Web user u is different. That is, in this embodiment, as will be described later, the service site S2 is first accessed, whereas in the Pull model shown in FIG. 8, the source Web site SWS (authentication site S1) is accessed, but the Pull model is used. The operation based on is substantially the same.

まず、Webユーザuは、利用者端末2からサービスサイトS2にアクセスする(ステップS310)。サービスサイトS2においては、Webユーザuが未認証であるため、Webユーザuを認証サイトS1にリダイレクトさせる(ステップS320)。これにより、Webユーザuは、認証サイトS1にアクセスする(ステップS330)。   First, the web user u accesses the service site S2 from the user terminal 2 (step S310). In the service site S2, since the web user u is not authenticated, the web user u is redirected to the authentication site S1 (step S320). Thereby, the web user u accesses the authentication site S1 (step S330).

認証サイトS1においては、Webユーザuからの認証要求がくると、負荷分散装置22がランダムにこの認証要求を振り分けて、認証サーバ21iのいずれかに該認証要求を送信する(ステップS340)。認証要求を受信した認証サーバ21iは、Webユーザuとの間で認証処理を行い(例えば、ID、パスワードをWebユーザuに入力させ、認証するなど)、認証済みとなると、チケット発行証明d1を生成し、該チケット発行証明d1を共有メモリ23に記憶させる(ステップS350,S360,S370)。   In the authentication site S1, when an authentication request is received from the Web user u, the load distribution apparatus 22 randomly distributes the authentication request and transmits the authentication request to any one of the authentication servers 21i (step S340). Upon receiving the authentication request, the authentication server 21i performs an authentication process with the Web user u (for example, by inputting the ID and password to the Web user u to perform authentication). The ticket issuance certificate d1 is generated and stored in the shared memory 23 (steps S350, S360, S370).

次いで、認証サーバ21iは、チケット発行証明d1をWebユーザuに送信するとともに、WebユーザuをサービスサイトS2にリダイレクトさせる(ステップS380)。   Next, the authentication server 21i transmits the ticket issuance proof d1 to the web user u and redirects the web user u to the service site S2 (step S380).

Webユーザuは、受信したチケット発行証明d1を持って、サービスサイトS2にアクセスする(ステップS390)。サービスサイトS2においては、Webユーザuからのチケット発行証明d1を受け取ると、このチケット発行証明d1を含んだSAML認証要求、即ち、認証済チケットd2を求める要求を認証サイトS1に行う(ステップS400)。   The Web user u accesses the service site S2 with the received ticket issue certificate d1 (step S390). When the service site S2 receives the ticket issuance proof d1 from the Web user u, the service site S2 makes a SAML authentication request including the ticket issuance proof d1, that is, a request for the authenticated ticket d2 to the authentication site S1 (step S400). .

認証サイトS1の負荷分散装置22は、サービスサイトS2からSAML認証要求を受けると、このSAML認証要求をランダムにいずれかの認証サーバ21iに転送する(ステップS410)。   When receiving the SAML authentication request from the service site S2, the load distribution device 22 at the authentication site S1 transfers the SAML authentication request to any one of the authentication servers 21i at random (step S410).

これにより、認証サーバ21iは、SAML認証要求を受け取ると、共有メモリ23を参照して、SAML認証要求に含まれるチケット発行証明d1を確認し、認証済チケットd2を発行し、サービスサイトS2にこの認証済チケットd2をSAML認証応答として送信する(ステップS420)
サービスサイトS2は、認証済チケットd2を受け取ると、Webユーザuは認証済のユーザであることを確認できるので、所定のサービスをWebユーザuに提供する(ステップS430,S440)。 As a result, when the authentication server 21i receives the SAML authentication request, the authentication server 21i refers to the shared memory 23, confirms the ticket issuance proof d1 included in the SAML authentication request, issues an authenticated ticket d2, and sends this to the service site S2. The authenticated ticket d2 is transmitted as a SAML authentication response (step S420).
Upon receiving the authenticated ticket d2, the service site S2 can confirm that the Web user u is an authenticated user, and provides a predetermined service to the Web user u (Steps S430 and S440).

従って、本実施の形態によるSSOシステム200によれば、SSOのPullモデルにおいて、認証サイトS1が認証サーバ11iを複数備えて負荷を分散させるシステム構成を採用しても、各認証サーバ21iがアクセス可能な共有メモリ23を備えて、チケット発行証明d1を共有メモリ23に記憶させるので、サービスサイトS2からのSAML認証要求がチケット発行証明d1を発行した認証サーバ21iに振られなくても、確実に認証処理をすることができ、認証済チケットd2をサービスサイトS2に発行することができる。   Therefore, according to the SSO system 200 according to the present embodiment, even if the authentication site S1 includes a plurality of authentication servers 11i and distributes the load in the SSO Pull model, each authentication server 21i can be accessed. Since the ticket issuer certificate d1 is stored in the shared memory 23, the authentication is surely performed even if the SAML authentication request from the service site S2 is not sent to the authentication server 21i that issued the ticket issuer certificate d1. Processing can be performed, and the authenticated ticket d2 can be issued to the service site S2.

また、SSOのPullモデルは、Pushモデルに比べて利用者端末2の種類の制限を受けないので、携帯電話やPDAなどの幅広い利用者端末2を対象に本発明を適用することができる。   In addition, the SSO Pull model is not limited by the type of user terminal 2 compared to the Push model, and therefore the present invention can be applied to a wide range of user terminals 2 such as mobile phones and PDAs.

<第3の実施の形態>
図5は、本発明の第3の実施の形態に係る分散認証システム30が適用されるSSOシステム300の概略構成図である。図3に示すSSOシステム300は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム30、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末3を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAPで交換するようになっている。尚、本実施の形態においては、上記実施の形態と異なる構成及び機能のみ説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する。 <Third Embodiment>
FIG. 5 is a schematic configuration diagram of an SSO system 300 to which the distributed authentication system 30 according to the third exemplary embodiment of the present invention is applied. An SSO system 300 shown in FIG. 3 is a Pull model SSO system using SAML. The distributed authentication system 30 constructed in the authentication site S1, the service server 1 provided in the service site S2, and providing a predetermined service, The system configuration includes a user terminal 2 used by the Web user u and a communication network 3 that enables the authentication site S1, the service site S2, and the user terminal 3 to communicate with each other. With such a system configuration, communication using the SAML protocol is possible between the authentication server (described later) of the authentication site S1 and the service server 1 of the service site S2, and authentication that is a SAML message is performed. Information is exchanged by SOAP. In the present embodiment, only configurations and functions different from those of the above-described embodiment will be described, and with regard to other configurations and functions, the same portions are denoted by the same reference numerals, and description thereof will be omitted.

ここで、分散認証システム30は、利用者uの認証を行う複数の認証サーバ31i(i=a,b,…,n)、及びWebユーザuからの認証要求を認証サーバ31iのいずれかに振り分ける負荷分散装置32を具備する構成となっている。   Here, the distributed authentication system 30 distributes the authentication requests from the plurality of authentication servers 31i (i = a, b,..., N) that authenticate the user u and the web user u to any one of the authentication servers 31i. The load balancing device 32 is provided.

尚、上述した分散認証システム30を構成する認証サーバ31i及び負荷分散装置32は、少なくとも演算機能および制御機能を備えた中央演算装置(CPU)、プログラムやデータを格納する機能を有するRAM等からなる主記憶装置(メモリ)を有する電子的な装置から構成されているものである。また、これらの装置は、主記憶装置の他、ハードディスクなどの補助記憶装置を具備していてもよい。さらに、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置またはハードディスクに格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。   The authentication server 31i and the load distribution device 32 constituting the distributed authentication system 30 described above include a central processing unit (CPU) having at least a calculation function and a control function, a RAM having a function for storing programs and data, and the like. It is composed of an electronic device having a main storage device (memory). In addition to the main storage device, these devices may include an auxiliary storage device such as a hard disk. Furthermore, a program for executing various processes according to the present embodiment is stored in the main storage device or the hard disk described above. The program can be recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM, an MO, or a DVD-ROM, or can be distributed via a communication network.

次に、本実施の形態に係る分散認証システム30が適用されるSSOシステム300の動作を図6を用いて説明する。ここで、図6は、Webユーザu、認証サイトS1、及びサービスサイトS2間の通信のやりとりを示すシーケンス図である。尚、本実施の形態におけるSSOシステム300の動作は、上記実施の形態と同様、図8に示すPullモデルにおいて、ソースWebサイトSWSを認証サイトS1、目的WebサイトDWSをサービスサイトS2と置き換えたものとほぼ同一であるが、Webユーザuの最初のアクセス先に相違がある。即ち、本実施の形態においては、後述するようにまず、サービスサイトS2にアクセスするのに対し、図8に示すPullモデルにおいては、ソースWebサイトSWS(認証サイトS1)にアクセスするが、Pullモデルに基づく動作は実質的に同一である。   Next, the operation of the SSO system 300 to which the distributed authentication system 30 according to the present embodiment is applied will be described with reference to FIG. Here, FIG. 6 is a sequence diagram showing communication exchanges between the Web user u, the authentication site S1, and the service site S2. Note that the operation of the SSO system 300 in the present embodiment is similar to the above-described embodiment, in which the source website SWS is replaced with the authentication website S1 and the target website DWS is replaced with the service website S2 in the Pull model shown in FIG. The first access destination of the Web user u is different. That is, in this embodiment, as will be described later, the service site S2 is first accessed, whereas in the Pull model shown in FIG. 8, the source Web site SWS (authentication site S1) is accessed, but the Pull model is used. The operation based on is substantially the same.

まず、Webユーザuは、利用者端末2からサービスサイトS1にアクセスする(ステップS510)。サービスサイトS2においては、Webユーザuが未認証であるため、Webユーザuを認証サイトS1にリダイレクトさせる(ステップS520)。これにより、Webユーザuは、認証サイトS1にアクセスする(ステップS530)。   First, the web user u accesses the service site S1 from the user terminal 2 (step S510). In the service site S2, since the web user u is not authenticated, the web user u is redirected to the authentication site S1 (step S520). Thereby, the web user u accesses the authentication site S1 (step S530).

認証サイトS1においては、Webユーザuからの認証要求がくると、負荷分散装置32がランダムにこの認証要求を振り分けて、認証サーバ31iのいずれかに該認証要求を送信する(ステップS540)。認証要求を受信した認証サーバ31iは、Webユーザuとの間で認証処理を行い(例えば、ID、パスワードをWebユーザuに入力させ、認証するなど)、認証済みとなると、チケット発行証明d1’を生成する(ステップS550,S560)。ここで、チケット発行証明d1’は、上記実施の形態におけるチケット発行証明d1に認証した認証サーバ31iのIPアドレスを付加したものであり、具体的には、セッションID、認証の参照先に関する情報(どこの認証サイトが認証したかという情報)、認証サーバ31iのIPアドレスを含む情報となっている。   In the authentication site S1, when an authentication request is received from the Web user u, the load balancer 32 randomly distributes the authentication request and transmits the authentication request to one of the authentication servers 31i (step S540). Upon receiving the authentication request, the authentication server 31i performs an authentication process with the Web user u (for example, the Web user u is input and authenticated), and when it is authenticated, the ticket issuance proof d1 ′ Is generated (steps S550 and S560). Here, the ticket issue certificate d1 ′ is obtained by adding the IP address of the authenticated authentication server 31i to the ticket issue certificate d1 in the above-described embodiment. Information indicating which authentication site has been authenticated) and the IP address of the authentication server 31i.

次いで、認証サーバ31iは、チケット発行証明d1’をWebユーザuに送信するとともに、WebユーザuをサービスサイトS2にリダイレクトさせる(ステップS570)。   Next, the authentication server 31i transmits the ticket issuance proof d1 'to the web user u and redirects the web user u to the service site S2 (step S570).

Webユーザuは、受信したチケット発行証明d1’を持って、サービスサイトS2にアクセスする(ステップS580)。サービスサイトS2においては、Webユーザuからのチケット発行証明d1’を受け取ると、このチケット発行証明d1’を含んだSAML認証要求、即ち、認証済チケットd2を求める要求を認証サイトS1に行う(ステップS590)。   The Web user u accesses the service site S2 with the received ticket issue certificate d1 '(step S580). When the service site S2 receives the ticket issuance proof d1 ′ from the Web user u, the service site S2 makes a SAML authentication request including the ticket issuance proof d1 ′, that is, a request for the authenticated ticket d2 to the authentication site S1 (step S1). S590).

認証サイトS1の負荷分散装置32は、サービスサイトS2からSAML認証要求を受けると、このSAML認証要求に含まれる認証サーバ31iのIPアドレスに関する情報を抽出して、認証サーバ31iを特定し、特定した認証サーバ31iにSAML認証要求を転送する(ステップS600)。   When receiving the SAML authentication request from the service site S2, the load distribution device 32 of the authentication site S1 extracts the information related to the IP address of the authentication server 31i included in the SAML authentication request, specifies the authentication server 31i, and specifies The SAML authentication request is transferred to the authentication server 31i (step S600).

これにより、認証サーバ31iは、自己が発行したチケット発行証明d1’に対するSAML要求を確実に受信することができるので、チケット発行証明d1’の確認をして、認証済チケットd2を発行し、サービスサイトS2にこの認証済チケットd2をSAML認証応答として送信する(ステップS610)。   As a result, the authentication server 31i can reliably receive the SAML request for the ticket issuance proof d1 ′ issued by itself, so it confirms the ticket issuance proof d1 ′, issues the authenticated ticket d2, This authenticated ticket d2 is transmitted to the site S2 as a SAML authentication response (step S610).

サービスサイトS2は、認証済チケットd2を受け取ると、Webユーザuは認証済のユーザであることを確認できるので、所定のサービスをWebユーザuに提供する(ステップS620,S630)。   When receiving the authenticated ticket d2, the service site S2 can confirm that the Web user u is an authenticated user, and provides a predetermined service to the Web user u (steps S620 and S630).

従って、本実施の形態によるSSOシステム300によれば、SSOのPullモデルにおいて、認証サイトS1が認証サーバ31iを複数備えて負荷を分散させるシステム構成を採用しても、認証サーバ31iは、認証サーバ31iのIPアドレスを付加したチケット発行証明d1’を生成するので、負荷分散装置32は、チケット発行証明d1’を参照することで、サービスサイトS2からのSAML認証要求をWebユーザuを認証した認証サーバ11iに正確に振り分けることができる。   Therefore, according to the SSO system 300 according to the present embodiment, even if the authentication site S1 includes a plurality of authentication servers 31i and adopts a system configuration in which the load is distributed in the SSO Pull model, the authentication server 31i Since the ticket issuance proof d1 ′ to which the IP address of 31i is added is generated, the load balancer 32 refers to the ticket issuance proof d1 ′ to authenticate the SAML authentication request from the service site S2 by authenticating the Web user u. The server 11i can be accurately distributed.

この結果、認証サイトS1は、Webユーザuから大量の認証要求が発生したとしても、確実に認証処理を行って、認証済チケットd2をサービスサイトS2に発行することができる。   As a result, even if a large number of authentication requests are generated from the Web user u, the authentication site S1 can reliably perform the authentication process and issue the authenticated ticket d2 to the service site S2.

また、SSOのPullモデルは、Pushモデルに比べて利用者端末2の種類の制限を受けないので、携帯電話やPDAなどの幅広い利用者端末2を対象に本発明を適用することができる。   In addition, the SSO Pull model is not limited by the type of user terminal 2 compared to the Push model, and therefore the present invention can be applied to a wide range of user terminals 2 such as mobile phones and PDAs.

尚、認証サーバ31iにプライベートIPアドレスが割り当てられているシステム環境では、認証サーバ31iのIPアドレスを付加したチケット発行証明d1’が発行されたとしても、サービスサーバ1はSAML認証要求をチケット発行証明d1’を発行した認証サーバ31iに直接送信することはできないので、本実施の形態に係るSSOシステム300はこのような場合に好適に適用できるものである。   In a system environment in which a private IP address is assigned to the authentication server 31i, even if the ticket issuance certificate d1 ′ with the IP address of the authentication server 31i is issued, the service server 1 issues a SAML authentication request to the ticket issuance certificate. Since it cannot be directly transmitted to the authentication server 31i that issued d1 ′, the SSO system 300 according to the present embodiment can be suitably applied to such a case.

本発明の第1の実施の形態に係る分散認証システムを適用したSSOシステムの概略構成図である。It is a schematic block diagram of the SSO system to which the distributed authentication system which concerns on the 1st Embodiment of this invention is applied. 本発明の第1の実施の形態に係る分散認証システムを適用したSSOシステムの動作を説明するフローチャート図である。It is a flowchart figure explaining operation | movement of the SSO system to which the distributed authentication system which concerns on the 1st Embodiment of this invention is applied. 本発明の第2の実施の形態に係る分散認証システムを適用したSSOシステムの概略構成図である。It is a schematic block diagram of the SSO system to which the distributed authentication system which concerns on the 2nd Embodiment of this invention is applied. 本発明の第2の実施の形態に係る分散認証システムを適用したSSOシステムの動作を説明するフローチャート図である。It is a flowchart figure explaining operation | movement of the SSO system to which the distributed authentication system which concerns on the 2nd Embodiment of this invention is applied. 本発明の第3の実施の形態に係る分散認証システムを適用したSSOシステムの概略構成図である。It is a schematic block diagram of the SSO system to which the distributed authentication system which concerns on the 3rd Embodiment of this invention is applied. 本発明の第3の実施の形態に係る分散認証システムを適用したSSOシステムの動作を説明するフローチャート図である。It is a flowchart figure explaining operation | movement of the SSO system to which the distributed authentication system which concerns on the 3rd Embodiment of this invention is applied. SSOの概念を説明する図である。It is a figure explaining the concept of SSO. PullモデルにおけるSSO認証の手順を説明する図である。It is a figure explaining the procedure of the SSO authentication in a Pull model. PushモデルにおけるSSO認証の手順を説明する図である。It is a figure explaining the procedure of SSO authentication in a Push model.

符号の説明Explanation of symbols

1 サービスサーバ
3 利用者端末
4 通信ネットワーク
10,20,30 分散認証システム
11i,21i,31i 認証サーバ
12,22,32 負荷分散装置
23 共有メモリ
100,200,300 SSOシステム
u Webユーザ
S1 認証サイト
S2 サービスサイト
SWS ソースWebサイト
DWS 目的Webサイト
d1 チケット発行証明(仮認証情報の一例)
d2 認証済チケット(認証済情報の一例)

DESCRIPTION OF SYMBOLS 1 Service server 3 User terminal 4 Communication network 10, 20, 30 Distributed authentication system 11i, 21i, 31i Authentication server 12, 22, 32 Load balancer 23 Shared memory 100, 200, 300 SSO system u Web user S1 Authentication site S2 Service site SWS Source website DWS Target website d1 Ticket issue certificate (an example of temporary authentication information)
d2 Authenticated ticket (an example of authenticated information)

Claims (11)

Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、
複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備え、
前記負荷分散装置は、
前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶手段と、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分け手段と、
を有することを特徴とする分散認証システム。 A distributed authentication system that performs authentication in response to an authentication request from a user under a pull-type single sign-on method,
A plurality of authentication servers, and a load balancer that distributes authentication processing to any of the plurality of authentication servers,
The load balancer is:
After any of the plurality of authentication servers authenticates the user, the temporary authentication information indicating the authentication reference destination is transmitted to the user via the load balancer. Identification information storage means for storing the identification information that can identify the authentication server in association with each other;
When a predetermined site requested for connection by the user makes a request including the temporary authentication information to the distributed authentication system for authenticated information, the temporary authentication information received and stored in the identification information storage Request distribution means for identifying an authentication server that has authenticated the user based on the information, and distributing the received request to the identified authentication server;
A distributed authentication system comprising: Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置であって、
前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶手段と、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶手段に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分け手段と、
を有することを特徴とする負荷分散装置。 A load balancer that distributes authentication processing to any of a plurality of authentication servers in a distributed authentication system that performs authentication in response to an authentication request from a user under a pull-type single sign-on method,
After any of the plurality of authentication servers authenticates the user, the temporary authentication information indicating the authentication reference destination is transmitted to the user via the load balancer. Identification information storage means for storing the identification information that can identify the authentication server in association with each other;
When the predetermined site requested by the user requests authentication information and requests the distributed authentication system to include the temporary authentication information, it is stored in the received temporary authentication information and the identification information storage means. A request distribution unit that identifies an authentication server that has authenticated the user based on the received information, and distributes the received request to the identified authentication server;
A load balancer comprising: Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、
複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備え、
前記複数の認証サーバそれぞれは、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶手段と、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、前記認証済情報を発行する認証確認手段と、
を有することを特徴とする分散認証システム。 A distributed authentication system that performs authentication in response to an authentication request from a user under a pull-type single sign-on method,
A plurality of authentication servers, a load distribution device that distributes authentication processing to any of the plurality of authentication servers, and a storage device that can be shared by the plurality of authentication servers,
Each of the plurality of authentication servers includes:
Temporary authentication information storage means for storing temporary authentication information indicating a reference destination of the issued authentication in the storage device when authentication processing is distributed from the load balancer and the user is authenticated,
A predetermined site requested by the user to connect is requested when the distributed authentication system is requested to include the temporary authentication information, and received when the request is distributed from the load balancer. Authentication confirmation means for confirming temporary authentication information based on information stored in the storage device, and issuing the authenticated information;
A distributed authentication system comprising: Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備えて利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバであって、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶手段と、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、認証済情報を発行する認証確認手段と、
を有することを特徴とする認証サーバ。 A plurality of authentication servers, a load distribution device that distributes authentication processing to any of the plurality of authentication servers, and a storage device that can be shared by the plurality of authentication servers. The authentication server in a distributed authentication system that performs authentication in response to an authentication request from a user,
Temporary authentication information storage means for storing temporary authentication information indicating a reference destination of the issued authentication in the storage device when authentication processing is distributed from the load balancer and the user is authenticated,
A predetermined site requested by the user to connect is requested when the distributed authentication system is requested to include the temporary authentication information, and received when the request is distributed from the load balancer. Authentication confirmation means for confirming temporary authentication information based on information stored in the storage device, and issuing authenticated information;
An authentication server characterized by comprising: Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、
複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備え、
前記複数の認証サーバそれぞれは、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成して、前記利用者に送信し、
前記負荷分散装置は、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けることを特徴とする分散認証システム。 A distributed authentication system that performs authentication in response to an authentication request from a user under a pull-type single sign-on method,
A plurality of authentication servers, and a load balancer that distributes authentication processing to any of the plurality of authentication servers,
Each of the plurality of authentication servers includes:
When authentication processing is distributed from the load balancer and the user is authenticated, identification information that can identify the authenticated authentication server is added, and temporary authentication information indicating an authentication reference destination is created. Send it to the user,
The load balancer is:
When the predetermined site requested by the user requests authentication information and requests the distributed authentication system to include the temporary authentication information, the use is made from the identification information added to the received temporary authentication information. A distributed authentication system characterized by identifying an authentication server that has authenticated a person and distributing a received request to the identified authentication server. Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置であって、
前記分散認証システムが前記利用者を認証して、該利用者に、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を送信した後に、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けることを特徴とする負荷分散装置。 A load balancer that distributes authentication processing to any of a plurality of authentication servers in a distributed authentication system that performs authentication in response to an authentication request from a user under a pull-type single sign-on method,
After the distributed authentication system authenticates the user and transmits temporary authentication information indicating an authentication reference destination to which the identification information that can identify the authenticated authentication server is added, to the user When the predetermined site that requested the connection requests authenticated information and requests the distributed authentication system to include the temporary authentication information, the user is authenticated from the identification information added to the received temporary authentication information. A load distribution apparatus characterized by identifying an authenticated server and distributing a received request to the identified authentication server. Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備えて、利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバであって、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成し、前記利用者に送信することを特徴とする認証サーバ。 Based on a pull-type single sign-on method, a plurality of authentication servers and a load balancer that distributes authentication processing to any of the plurality of authentication servers are provided to authenticate authentication requests from users. The authentication server in the distributed authentication system to perform,
When authentication processing is distributed from the load balancer and the user is authenticated, provisional authentication information indicating an authentication reference destination is created, to which identification information that can identify the authenticated authentication server is added, and the use An authentication server characterized by being transmitted to a person. Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置が読み取り可能な負荷分散プログラムであって、
前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶ステップと、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶手段に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分けステップと、
を前記負荷分散装置に実行させることを特徴とする負荷分散プログラム。 A load balancing program that can be read by a load balancer that distributes authentication processing to one of multiple authentication servers in a distributed authentication system that authenticates user authentication requests under the Pull-type single sign-on method. There,
After any of the plurality of authentication servers authenticates the user, the temporary authentication information indicating the authentication reference destination is transmitted to the user via the load balancer, and the temporary authentication information is authenticated. An identification information storage step for storing the identification information that can identify the authentication server in association with each other;
When the predetermined site requested by the user requests authentication information and requests the distributed authentication system to include the temporary authentication information, it is stored in the received temporary authentication information and the identification information storage means. A request distribution step of identifying an authentication server that has authenticated the user based on the received information, and distributing the received request to the identified authentication server;
Is executed by the load balancer. Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備えて利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバが読み取り可能な認証プログラムであって、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶ステップと、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、認証済情報を発行する認証確認ステップと、
を前記認証サーバに実行させることを特徴とする認証プログラム。 A plurality of authentication servers, a load distribution device that distributes authentication processing to any of the plurality of authentication servers, and a storage device that can be shared by the plurality of authentication servers. An authentication program that can be read by the authentication server in a distributed authentication system that performs authentication in response to an authentication request from a user,
Temporary authentication information storage step of storing temporary authentication information indicating a reference destination of issued authentication in the storage device when authentication processing is distributed from the load balancer and the user is authenticated,
A predetermined site requested by the user to connect is requested when the distributed authentication system is requested to include the temporary authentication information, and received when the request is distributed from the load balancer. An authentication confirmation step of confirming temporary authentication information based on the information stored in the storage device and issuing authenticated information;
Is executed by the authentication server. Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置が読み取り可能な負荷分散プログラムであって、
前記負荷分散装置に、
前記分散認証システムが前記利用者を認証して、該利用者に、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を送信した後に、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けさせることを特徴とする負荷分散プログラム。 A load balancing program that can be read by a load balancer that distributes authentication processing to one of multiple authentication servers in a distributed authentication system that authenticates user authentication requests under the Pull-type single sign-on method. There,
In the load balancer,
After the distributed authentication system authenticates the user and transmits temporary authentication information indicating an authentication reference destination to which the identification information that can identify the authenticated authentication server is added, to the user When the predetermined site that requested the connection requests authenticated information and requests the distributed authentication system to include the temporary authentication information, the user is authenticated from the identification information added to the received temporary authentication information. A load distribution program characterized by identifying an authenticated server and distributing the received request to the identified authentication server. Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備えて、利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバが読み取り可能な認証プログラムであって、
前記認証サーバに、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成し、前記利用者に送信させることを特徴とする認証プログラム。

Based on a pull-type single sign-on method, a plurality of authentication servers and a load balancer that distributes authentication processing to any of the plurality of authentication servers are provided to authenticate authentication requests from users. An authentication program readable by the authentication server in the distributed authentication system to perform,
In the authentication server,
When authentication processing is distributed from the load balancer and the user is authenticated, provisional authentication information indicating an authentication reference destination is created, to which identification information that can identify the authenticated authentication server is added, and the use An authentication program characterized by causing a person to transmit.

JP2004113221A 2004-04-07 2004-04-07 Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program Expired - Lifetime JP4573559B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004113221A JP4573559B2 (en) 2004-04-07 2004-04-07 Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004113221A JP4573559B2 (en) 2004-04-07 2004-04-07 Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program

Publications (2)

Publication Number Publication Date
JP2005301424A true JP2005301424A (en) 2005-10-27
JP4573559B2 JP4573559B2 (en) 2010-11-04

Family

ID=35332920

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004113221A Expired - Lifetime JP4573559B2 (en) 2004-04-07 2004-04-07 Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program

Country Status (1)

Country Link
JP (1) JP4573559B2 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100755006B1 (en) 2005-11-14 2007-09-04 주식회사 유베이션 File identification system in distributed network and Method thereof
JP2007283562A (en) * 2006-04-13 2007-11-01 Canon Inc Printing system
JP2010525448A (en) * 2007-04-20 2010-07-22 マイクロソフト コーポレーション Request-only authentication to access web service resources
JP2010282351A (en) * 2009-06-03 2010-12-16 Nomura Research Institute Ltd Method for restricting login to web server system
JP2014026597A (en) * 2012-07-30 2014-02-06 Nec Biglobe Ltd Software providing system, portal server, providing server, providing method, and program
WO2014038034A1 (en) * 2012-09-06 2014-03-13 富士通株式会社 Information processing system, information processing method, and program
EP2993862A1 (en) 2014-09-05 2016-03-09 Ricoh Company, Ltd. Information processing apparatus, access control method, and communication system
US10623396B2 (en) 2016-01-26 2020-04-14 Canon Kabushiki Kaisha System and method for controlling system
US10735399B2 (en) 2016-10-13 2020-08-04 Canon Kabushiki Kaisha System, service providing apparatus, control method for system, and storage medium

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000311138A (en) * 1999-04-28 2000-11-07 Nec Corp System and method for decentralized authentication of server

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000311138A (en) * 1999-04-28 2000-11-07 Nec Corp System and method for decentralized authentication of server

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100755006B1 (en) 2005-11-14 2007-09-04 주식회사 유베이션 File identification system in distributed network and Method thereof
JP2007283562A (en) * 2006-04-13 2007-11-01 Canon Inc Printing system
US10104069B2 (en) 2007-04-20 2018-10-16 Microsoft Technology Licensing, Llc Request-specific authentication for accessing web service resources
JP2010525448A (en) * 2007-04-20 2010-07-22 マイクロソフト コーポレーション Request-only authentication to access web service resources
US8656472B2 (en) 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
US9183366B2 (en) 2007-04-20 2015-11-10 Microsoft Technology Licensing, Llc Request-specific authentication for accessing Web service resources
US9590994B2 (en) 2007-04-20 2017-03-07 Microsoft Technology Licensing, Llc Request-specific authentication for accessing web service resources
US9832185B2 (en) 2007-04-20 2017-11-28 Microsoft Technology Licensing, Llc Request-specific authentication for accessing web service resources
JP2010282351A (en) * 2009-06-03 2010-12-16 Nomura Research Institute Ltd Method for restricting login to web server system
JP2014026597A (en) * 2012-07-30 2014-02-06 Nec Biglobe Ltd Software providing system, portal server, providing server, providing method, and program
WO2014038034A1 (en) * 2012-09-06 2014-03-13 富士通株式会社 Information processing system, information processing method, and program
US9762570B2 (en) 2012-09-06 2017-09-12 Fujitsu Limited Information processing system, information processing method and computer readable recording medium stored a program
EP2993862A1 (en) 2014-09-05 2016-03-09 Ricoh Company, Ltd. Information processing apparatus, access control method, and communication system
US9942236B2 (en) 2014-09-05 2018-04-10 Ricoh Company, Ltd. Information processing apparatus, access control method, and communication system
US10623396B2 (en) 2016-01-26 2020-04-14 Canon Kabushiki Kaisha System and method for controlling system
US10735399B2 (en) 2016-10-13 2020-08-04 Canon Kabushiki Kaisha System, service providing apparatus, control method for system, and storage medium

Also Published As

Publication number Publication date
JP4573559B2 (en) 2010-11-04

Similar Documents

Publication Publication Date Title
JP5357246B2 (en) System, method and program product for integrated authentication
US11082225B2 (en) Information processing system and control method therefor
TWI400922B (en) Authentication of a principal in a federation
US8732815B2 (en) System, method of authenticating information management, and computer-readable medium storing program
JP4867486B2 (en) Control program and communication system
CN109428947A (en) Permission transfer system and its control method and storage medium
US9419974B2 (en) Apparatus and method for performing user authentication by proxy in wireless communication system
CN109428891A (en) Permission transfer system and its control method and client
KR20080053298A (en) Creating secure interactive connections with remote resources
US9686257B2 (en) Authorization server system, control method thereof, and storage medium
JP2007310512A (en) Communication system, service providing server, and user authentication server
JP2007293760A (en) Single sign-on cooperation method and system using individual authentication
JP4960738B2 (en) Authentication system, authentication method, and authentication program
CN102104483A (en) Single sign-on method, system and load balancing equipment based on load balance
JP2020035079A (en) System and data processing method
JP4729365B2 (en) Access control system, authentication server, access control method, and access control program
JP4573559B2 (en) Distributed authentication system, load distribution apparatus and authentication server, and load distribution program and authentication program
KR101803535B1 (en) Single Sign-On Service Authentication Method Using One-Time-Token
WO2013098925A1 (en) Information processing apparatus, information processing system, information processing method, and program
JP2006260002A (en) Single sign-on system, server device, single sign-on method and program
JP2007272689A (en) Online storage authentication system, online storage authentication method, and online storage authentication program
JP2005346571A (en) Authentication system and authentication method
JP5402301B2 (en) Authentication program, authentication system, and authentication method
JP2018110012A (en) Authentication system and authentication method
JP5460493B2 (en) Authentication system, authentication infrastructure device, and authentication program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100723

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100810

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100817

R150 Certificate of patent or registration of utility model

Ref document number: 4573559

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130827

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140827

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250