JP2006031064A - Session management system and management method - Google Patents
Session management system and management method Download PDFInfo
- Publication number
- JP2006031064A JP2006031064A JP2004204062A JP2004204062A JP2006031064A JP 2006031064 A JP2006031064 A JP 2006031064A JP 2004204062 A JP2004204062 A JP 2004204062A JP 2004204062 A JP2004204062 A JP 2004204062A JP 2006031064 A JP2006031064 A JP 2006031064A
- Authority
- JP
- Japan
- Prior art keywords
- session
- user
- application system
- information
- single sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は複数のシステムに跨ってログインを継続しシングルサインオンを行う場合セッション管理技術に関する。 The present invention relates to a session management technique in a case where login is continued and a single sign-on is performed across a plurality of systems.
インターネットを利用した電子商取引やデジタルコンテンツの配信サービス、IT技術を利用したユビキタスネットワークが普及するに伴って、ユーザを識別するためのIDの安全で利便性の高い付与方法や認証方法が必要になってきている。 With the spread of electronic commerce using the Internet, digital content distribution services, and ubiquitous networks using IT technology, a secure and convenient ID assignment method and authentication method for identifying users is required. It is coming.
現在、ユーザは様々なサービスを利用する場合、個々のサービス毎にユーザ情報の登録や認証を求められ、利便性の低いものとなっている。 Currently, when a user uses various services, registration and authentication of user information is required for each service, and the convenience is low.
この問題を解決するための技術として、特許文献1に記載のシングルサインオンおよびセッション管理方法が知られている。ユーザを認証した際に、ユーザブラウザのCookieにセッション情報を埋め込み、ユーザからのアクセスがあるとセッション管理サーバがCookieのセッション情報の有効性を検証し、有効期間を延長して再度Cookieに設定する。これにより複数サーバ間でのシングルサインオンおよびセッション管理を実現する。
As a technique for solving this problem, a single sign-on and session management method described in
また、非特許文献1に記載の連盟型シングルサインオン方法では、最初にユーザを認証した認証サーバが、認証実行の結果である認証状態を保持し、当該認証状態を示す認証トークンを作成発行し、当該ユーザからコンテンツ要求され、受け付けた第2の認証サーバが当該認証トークンを利用して、当該ユーザの認証状態を引き継ぎ、ユーザが1回のログインで、複数のサービスを利用可能としている。
In the federated single sign-on method described in Non-Patent
また、特定のサーバからログアウトした際に、ログアウト情報をシングルサインオンしたサーバ間で伝播させ、全てのサーバから一括してログアウトし、ログアウト忘れによるセキュリティレベルの低下を低減することを特徴としている。 In addition, when logging out from a specific server, logout information is propagated between servers that have single-signed on, and all servers are logged out at once to reduce a decrease in security level due to forgetting to log out.
特許文献1に記載のシングルサインオン方法は、Cookieを用いてセッションを管理している。CookieはWebブラウザなどのWebクライアントからCookieの発行元ドメインに対してだけだけ送られるデータであるため、複数ドメインに跨るシングルサインオンには利用できない。また、シングルサインオン時に各サーバに対してアクセスがあるとセッション管理サーバではセッションの有効期限を延長しシングルサインオンを継続しているが、以前にシングルサインオンした他のサーバにはセッションの有効期限を延長したことが通知されないため、ユーザの知らない間に他のサーバがタイムアウトしてしまうことが多くなってしまう。
The single sign-on method described in
同様に、非特許文献1のシステム間シングルサインオン方法でも、複数のシステムに跨ってシングルサインオンによりログインを継続しているが、以前にシングルサインオンした他のサーバにはログインが継続されていることが通知されないため、ユーザの知らない間に他のサーバがタイムアウトしてしまうことが多くなってしまう。
Similarly, in the inter-system single sign-on method of Non-Patent
また非特許文献1の方法では、中央管理サーバを置かず、複数のシステムにわたって認証情報を引き継ぐことによりシングルサインオンを行い、特定のサーバからログアウトした際に、ログアウト情報をシングルサインオンしたサーバの経路を逆に伝播させ、全てのサーバから一括してログアウトする。したがって、サーバの障害やタイムアウトなどにより途中のサーバが既にタイムアウトしてしまっている場合にログアウト情報が伝播されず、ログアウトされないサーバが出来てしまう恐れがあり、セキュリティレベルの低下を招いてしまう。
In the method disclosed in Non-Patent
同様にシングルサインオンしたサーバの一部からユーザが直接ログアウトした場合も、一括ログアウト時にログアウト情報が伝播されないサーバができる恐れがあるため、ユーザの意思で選択的にログアウトすることができない。 Similarly, even when the user directly logs out from a part of the server that has been single-signed on, there is a possibility that a server in which logout information is not propagated at the time of collective logout may occur, so that the user cannot selectively log out.
また、ユーザ自身も多くのサーバにシングルサインオンした場合、どのサーバにログイン中であるのか分らなくなり、ログアウト忘れ等によるセキュリティレベルの低下を招く恐れがある。 In addition, when the user himself / herself performs single sign-on to many servers, it is not possible to know which server is logged in, and there is a possibility that the security level is lowered due to forgetting to log out or the like.
したがって、シングルサインオン時の、より改善されたセッション管理技術が求められている。 Accordingly, there is a need for improved session management technology at the time of single sign-on.
本発明のセッション管理方法の概略を以下に説明する。 An outline of the session management method of the present invention will be described below.
ユーザは、ユーザ端末を用いて第1のシステムにログインした後、第2のシステムに移動するとき、第2のシステムにアクセスしシングルサインオンによる認証を要求する。その際、上記第2のシステムは上記第1のシステムより認証情報、シングルサインオンセッションの有効期間、それまでのシングルサインオンの履歴情報などを受信する(以下シングルサインオンセッションの有効期間、それまでのシングルサインオンの履歴情報をまとめてSSOセッション情報とする)。 When the user logs in to the first system using the user terminal and then moves to the second system, the user accesses the second system and requests authentication by single sign-on. At that time, the second system receives the authentication information, the validity period of the single sign-on session, the history information of the single sign-on so far from the first system (hereinafter referred to as the validity period of the single sign-on session, The history information of single sign-on up to is collected as SSO session information).
上記第2のシステムは、受信した上記の情報によりアクセス可否を決定し、アクセス許可した場合はユーザとの間にローカルセッションを設定する。さらに上記第2のシステムは上記SSOセッション情報に含まれている自サーバのシングルサインオン履歴情報ならびに有効期間を更新し、自システムのセッション管理テーブルに登録すると共に、第2のシステムからシングルサインオンを行った上記第1のシステムに対して更新情報を送信する。 The second system determines whether or not access is possible based on the received information and sets a local session with the user when access is permitted. Further, the second system updates the single sign-on history information and the validity period of its own server included in the SSO session information, registers it in its own session management table, and single sign-on from the second system. The update information is transmitted to the first system that has performed.
第1のシステムでは受信した更新情報を基に上記ユーザとのローカルセッションを延長し、管理している上記SSOセッション情報を更新し、さらに、既に他のシステムとシングルサインオンのセッションが設定されていれば、シングルサインオン経路情報を基に更新情報を当該他のシステムに送信する。 The first system extends the local session with the user based on the received update information, updates the managed SSO session information, and has already set up a single sign-on session with another system. Then, the update information is transmitted to the other system based on the single sign-on route information.
また、特定のシステムにおいて上記ユーザとのローカルセッションを延長した際にも、上記SSOセッション情報を更新してシングルサインオンを行ったシステム全てに伝播させる。 Also, when a local session with the user is extended in a specific system, the SSO session information is updated and propagated to all systems that have performed single sign-on.
これらにより、複数システムのローカルセッションをシステム間で共通のSSOセッションと連携させることにより、ユーザの知らない間の不意のタイムアウトを防ぐことを特徴とする。 Thus, by coordinating a local session of a plurality of systems with a common SSO session between the systems, an unexpected time-out without the user's knowledge is prevented.
上記第1,第2の各システムが保持しているSSOセッション情報には上記ユーザがログインしているシステムの情報が含まれており、上記ユーザからの要求に応じて要求されたシステムが上記SSOセッション情報を上記ユーザ端末上のユーザインタフェースに表示することにより、上記ユーザは第1,第2等、どのシステムにアクセスしていても現在どのサーバにログイン中であるのか確認することができる。 The SSO session information held by each of the first and second systems includes information on the system to which the user is logged in. The system requested in response to the request from the user is the SSO session information. By displaying the session information on the user interface on the user terminal, the user can confirm which server is currently logged in regardless of which system is accessed, such as the first or second system.
上記ユーザは、上記ユーザ端末に表示されるSSOセッション情報により任意のシステムに対して選択的にログアウトを要求することができる。当該ログアウト要求は上記表示を行っているシステムがまず受信し、上記SSOセッション情報に含まれるシングルサインオン経路情報に基づいて複数システムを伝播して当該ログアウトシステムに送信される。 The user can selectively request logout from an arbitrary system based on the SSO session information displayed on the user terminal. The logout request is first received by the system performing the display, and propagated through a plurality of systems based on the single sign-on path information included in the SSO session information, and transmitted to the logout system.
選択された当該ログアウトシステムが当該ユーザのローカルセッションを削除し、ログアウトを実行することにより、ユーザの意思で選択ログアウトが可能となる。 The selected logout system deletes the user's local session and executes logout, thereby enabling selective logout with the user's intention.
上記選択ログアウトした上記ログアウトシステムは、ログアウトを実行すると、当該ログアウトシステムを除いた新たなシングルサインオン経路を設定し、上記SSOセッション情報を更新し他の上記システムに送信する。 When the selected logout system performs logout, it sets a new single sign-on path excluding the logout system, updates the SSO session information, and transmits it to the other systems.
また、上記システムは定期的にシングルサインオン経路上隣接関係にある複数のシステムに対して上記ユーザのローカルセッションの状態を確認し、システムの障害等により当該ローカルセッションが終了している場合は、同様に当該ログアウトシステムを除いた新たなシングルサインオン経路を設定し、上記SSOセッション情報を更新し他の上記システムに送信する。 In addition, the system periodically checks the state of the user's local session with respect to a plurality of systems that are adjacent on the single sign-on path, and if the local session is terminated due to a system failure or the like, Similarly, a new single sign-on path excluding the logout system is set, and the SSO session information is updated and transmitted to the other systems.
つまり、ログアウトやシステム障害により一部のシステムで上記ユーザのローカルセッションが終了した場合にも、他のシステムが新たなシングルサインオン経路を構築し、システム間の連携を維持する。これらにより一括ログアウトを行う際に一部のシステムからログアウトできないという従来の問題を解決し、ロバストなシングルサインオンセッションの管理を実現可能とする。 That is, even when the user's local session is terminated in some systems due to logout or system failure, another system establishes a new single sign-on path and maintains cooperation between the systems. These solutions solve the conventional problem of being unable to log out from some systems when performing collective logout, and enable robust single sign-on session management.
上記セッション管理方法を実現する本発明のセッション管理システムは、
上記ユーザがシステムにアクセスした際に、シングルサインオン可能であればシングルサインオンを実行し、シングルサインオンできなければユーザを別の方法(例えばパスワード認証)で認証するユーザ管理部と、
上記SSOセッション情報をセッション管理テーブルを用いて管理し、上記ユーザのSSOセッション情報が他のシステムにおいて変更された場合に、当該ユーザのSSOセッション情報を受信および更新し、必要に応じて他のシステムに当該SSOセッション情報を送信して複数システム間のSSOセッション情報を同期させるセッション管理部と、
上記ユーザに対して当該ユーザのSSOセッション情報をユーザ端末に表示し、当該ユーザよりシングルサインオンしている複数のシステムに対するログアウトなどの要求を受け付けるセッション情報表示部とを備えることを特徴とする。
The session management system of the present invention that realizes the session management method described above,
When the user accesses the system, the user management unit executes single sign-on if single sign-on is possible, and otherwise authenticates the user by another method (for example, password authentication);
The SSO session information is managed using a session management table. When the SSO session information of the user is changed in another system, the SSO session information of the user is received and updated, and the other system is used as necessary. A session management unit that transmits the SSO session information to synchronize SSO session information among a plurality of systems;
A session information display unit that displays the SSO session information of the user on the user terminal for the user and accepts a request for logout or the like for a plurality of systems that are single-signed on from the user.
以上述べたとおり、上記態様は、ユーザが複数のアプリケーションシステムに跨ってログインを継続しシングルサインオンを行う場合において、システム間でのセッションを連携させ不意のログアウトを防ぐとともに、ユーザにシングルサインオンに関する情報を提示し、任意のシステムからの選択的なログアウトを可能とする。 As described above, when the user continues to log in across multiple application systems and performs single sign-on as described above, the session between the systems is linked to prevent unexpected logout and single sign-on to the user. Information about the system, and allows selective logout from any system.
本発明により、安全で利便性の高いシングルサインオンのセッション管理が実現できる。 According to the present invention, safe and convenient single sign-on session management can be realized.
(ネットワーク構成)
図1は、本発明の実施形態として、アプリケーションをユーザに提供する複数のアプリケーションシステム1−1ないし1−nが連携して、シングルサインオンおよびセッションの管理を提供するシングルサインオンサービス(以下、SSOサービスと呼ぶ)におけるネットワーク構成を示す。
(Network configuration)
FIG. 1 illustrates a single sign-on service (hereinafter, referred to as a single sign-on service) in which a plurality of application systems 1-1 to 1-n that provide an application to a user cooperate to provide single sign-on and session management. 2 shows a network configuration in an SSO service).
アプリケーションシステム1−1ないし1−nは一つのまたは複数の事業者(以下、サービス提供事業者と呼ぶ)が運営する。 The application systems 1-1 to 1-n are operated by one or a plurality of providers (hereinafter referred to as service provider).
サービス提供事業者としては、旅行代理店やレンタカー事業者やショッピングサイト運営事業者などのWeb上でサービスを提供している事業者や、企業内のアプリケーションシステムを運営しているシステム管理部署などが想定される。 Service providers include companies that provide services on the Web, such as travel agencies, car rental operators, and shopping site operators, and system management departments that operate application systems within companies. is assumed.
これらのサービス提供事業者はSSOサービスを提供することにより、ユーザの利便性を向上させ、またログアウトのし忘れに伴うセキュリティレベルの低下を防ぐことができる。なお、SSOサービスは、サービス提供事業者と契約した、他の事業者が代行してもよい。 By providing the SSO service, these service providers can improve the convenience of the user and prevent the security level from being lowered due to forgetting to log out. It should be noted that the SSO service may be acted on behalf of another provider contracted with the service provider.
図1において、アプリケーションシステム1−1ないし1−n、ユーザ端末2−1ないし2−m、および第三者機関としての認証局が有する認証局端末3は、例えばインターネットなどのネットワーク4を介して相互に接続されている。 In FIG. 1, an application system 1-1 to 1-n, user terminals 2-1 to 2-m, and a certificate authority terminal 3 possessed by a certificate authority as a third party are connected via a network 4 such as the Internet. Are connected to each other.
少なくとも一つの上記サービス提供事業者と契約しているユーザは、ユーザ端末2−1ないし2−mを用いてアプリケーションシステム1−1ないし1−nにアクセスし、各サービス提供事業者がそれぞれ提供しているアプリケーションサービスに加えてSSOサービスを利用できる。 A user who contracts with at least one service provider accesses the application systems 1-1 to 1-n using the user terminals 2-1 to 2-m, and each service provider provides SSO services can be used in addition to existing application services.
認証局端末3を利用する認証局は、サービス提供事業者、ユーザなどに対し電子証明書を発行する第三者機関である。認証局端末3は、シングルサインオン証明書、ログアウト要求書など後述する各種証明書に施された署名を検証するための、公開鍵および公開鍵証明書を、サービス提供事業者が取得および/または検証するために利用する。また、公開鍵証明書は事前にサービス提供事業者により認証局に登録されているとする。また、公開鍵や公開鍵証明書の取得、検証のステップは、以下の実施例中、必要に応じて行われるものであり、特記していない。 The certificate authority that uses the certificate authority terminal 3 is a third party that issues electronic certificates to service providers, users, and the like. The certificate authority terminal 3 acquires and / or obtains a public key and a public key certificate for verifying signatures applied to various certificates described later such as a single sign-on certificate and a logout request. Used for verification. It is assumed that the public key certificate is registered in advance with the certificate authority by the service provider. In addition, the steps of obtaining and verifying the public key and public key certificate are performed as necessary in the following embodiments, and are not specified.
(システム構成)
アプリケーションシステム1−1ないし1−nのシステム構成および機能モジュール構成を図1を用いて具体的に説明する。当該アプリケーションシステム1−1ないし1−nは、アプリケーション提供部10、ユーザ管理部11、セッション管理部12、セッション情報表示部13、登録ユーザ情報DB14、連携アプリケーションシステム情報DB15、セッション情報DB16より構成されている。なお、アプリケーションシステム1−1ないし1−nの機能各々は1つのサーバ装置上に構築せずに、複数の装置に各処理部を分散させて実現してもよい。
(System configuration)
The system configuration and functional module configuration of the application systems 1-1 to 1-n will be specifically described with reference to FIG. The application systems 1-1 to 1-n include an
アプリケーション提供部10は、各サービス提供事業者によるそれぞれのアプリケーションサービスを、ネットワーク4を介して、ユーザに提供する。アプリケーションサービスへのアクセス制御はユーザ管理部11によるユーザの認証結果を基に実行される。また、ユーザ認証およびアクセス認可後はユーザ端末2−1ないし2−mのいずれかとの間でローカルセッションを設定し、ログアウトが実行されるまで継続する。
The
また、アプリケーション提供部10は上記ローカルセッションを設定する際にセッション情報を管理するローカルセッションテーブルをセッション情報DB16に保持している。このローカルセッションテーブルには例えばセッションを一意に識別するローカルセッションID、セッションに関連付けて保存したい各種データ(例えばユーザIDなど)、ローカルセッションの有効期限などが登録される。
The
ユーザ管理部11はネットワーク4を介して、ユーザ端末2−1ないし2−mおよび他のアプリケーションシステム1−1ないし1−nと接続され、ユーザからのアクセスを受け付けた際に、既に他のアプリケーションシステム1−1ないし1−nで認証済みおよびシングルサインオンによるアクセスであれば、シングルサインオンによる認証を実行し、シングルサインオンによるアクセスでなければ別の方法(例えばパスワード認証)により認証を実行する。 The user management unit 11 is connected to the user terminals 2-1 to 2-m and other application systems 1-1 to 1-n via the network 4, and has already received another application when receiving an access from the user. If access has been authenticated by the system 1-1 to 1-n and single sign-on access, authentication by single sign-on is executed. If access is not by single sign-on, authentication is executed by another method (for example, password authentication) To do.
また、ユーザ管理部11はユーザ情報が登録される登録ユーザ情報管理テーブルを登録ユーザ情報DB14に保持している。この登録ユーザ情報管理テーブルには例えばユーザ情報識別ID、ユーザID、パスワード、氏名、年齢、住所、メールアドレス、興味を持っている事柄などの、ユーザの属性情報が登録され、ユーザの認証やアプリケーションの提供に使用される。
In addition, the user management unit 11 holds a registered user information management table in which user information is registered in the registered
また、ユーザ管理部11はシングルサインオンを行う際に、シングルサインオンに関する証明書(後述するSSO証明書41)を一時的に管理するSSO証明書管理テーブルをセッション情報DB16に保持している。この登録ユーザ情報管理テーブルには例えば検索用キーID、後述するSSO証明書41が登録され、シングルサインオンの際に使用される。
Further, when performing single sign-on, the user management unit 11 holds an SSO certificate management table for temporarily managing a certificate related to single sign-on (an SSO certificate 41 described later) in the
セッション管理部12はシングルサインオンセッションに関する情報(後述するSSOセッション情報)を管理し、いずれかのアプリケーションシステムで当該SSOセッション情報が変更された場合にシステム間で当該SSOセッション情報を送受信する。また、シングルサインオンの経路上、隣接関係にある複数アプリケーションシステムに対して定期的にシングルサインオンの状態確認メッセージを送信し、障害などにより状態確認の結果を受信できなかった場合には当該SSOセッション情報を更新して他のアプリケーションシステムに送信する。
The
また、セッション管理部12は連携する他のアプリケーションシステムの情報を登録する連携アプリケーションシステム管理テーブルを連携アプリケーションシステム情報DB15に保持している。この連携アプリケーションシステム管理テーブルには他のアプリケーションシステムと連携するためのアプリケーションシステム情報識別ID、アプリケーションシステムID、シングルサインオン受付URL、ログアウト受付URL、SSOセッション情報更新受付URL、公開鍵証明書などの連携アプリケーションシステム情報が登録され、SSOサービスを提供する際に必要に応じて利用される。これらの情報はSSOサービスを実施する際に連携するアプリケーションシステムIDをキーに検索され、必要に応じて利用されるものである。
Further, the
また、セッション管理部12は、シングルサインオンのセッションに関する情報を登録するSSOセッション管理テーブル1000およびSSO履歴テーブル2000をセッション情報DB16に保持している。
Further, the
図2にセッション情報DB16に保持しているSSOセッション管理テーブル(1000)の一例を示す。SSOセッション管理テーブルは識別ID(1001)、アクセスしてきたユーザの当該アプリケーションシステム1−1ないし1−nでの共通のユーザID(1002)、当該ユーザ端末2−1ないし2−mとの間で設定される上記ローカルセッションID(1003)、シングルサインオンを行った複数のアプリケーションシステム1−1ないし1−nの間で一意にシングルサインオンのセッションを識別するためのSSOセッションID(1004)、最終更新時刻(1005)および最終更新者(1006)、SSOセッション有効期限(1007)とで構成される。
FIG. 2 shows an example of the SSO session management table (1000) held in the
なお、ユーザIDは、システム間で共通の場合と、同一ユーザであっても、システムによって登録しているユーザIDが異なる場合がある。後者の場合、システム毎に、他のシステムと自システムとのローカルユーザIDのマッピングテーブルを管理して、受信したSSOセッション情報に記載のローカルユーザIDから、自システムでのローカルユーザIDを判定する方法が、非特許文献1において提案されている。
Note that the user ID may be common between systems, and the registered user ID may differ depending on the system even for the same user. In the latter case, the local user ID mapping table between other systems and the own system is managed for each system, and the local user ID in the own system is determined from the local user ID described in the received SSO session information. A method is proposed in
図3にセッション情報DB16に保持しているSSO履歴テーブル(2000)の一例を示す。SSO履歴テーブルは識別ID(2001)、上記SSOセッション管理テーブル1000のデータと関連付けるキーであるSSOセッションID(2002)、シングルサインオンを行った複数のアプリケーションシステム1−1ないし1−n各々の識別子であるSSOシステムID(2003)、どのアプリケーションシステム1−1ないし1−nからシングルサインオンで移動してきたかを表す移動元システムID(2004)、現在当該アプリケーションシステム1−1ないし1−nに対するユーザのログイン状態などを登録するステータス(2005)とで構成される。
FIG. 3 shows an example of the SSO history table (2000) held in the
SSOセッション管理テーブル1000とSSO履歴テーブル2000のデータはSSOセッションID(1004および2002)により関連付けられている。これらの内、最終更新時刻(1005)、最終更新者(1006)、SSOセッション有効期限(1007)、SSOシステムID(2003)、移動元システムID(2004)、ステータス(2005)をまとめて、以下、SSOセッション情報と呼ぶ。 The data in the SSO session management table 1000 and the SSO history table 2000 are associated by SSO session IDs (1004 and 2002). Among these, the last update time (1005), the last updater (1006), the SSO session expiration date (1007), the SSO system ID (2003), the source system ID (2004), and the status (2005) are collectively shown below. Called SSO session information.
また、例えば、シングルサインオンやセッション情報の更新の際に当該SSOセッションID(1004および2002)をキーに該当するSSOセッション情報が検索され、アプリケーションシステム1−1ないし1−n間で送受信される。 Also, for example, when single sign-on or session information is updated, the SSO session information corresponding to the SSO session ID (1004 and 2002) is searched for and transmitted / received between the application systems 1-1 to 1-n. .
また、上記SSOセッション管理テーブル1000およびSSO履歴テーブル2000に登録された情報は当該ユーザが当該アプリケーションシステム1−1ないし1−nからログアウト時および/またはSSOセッション有効期限(1007)の経過時に、当該セッション情報DB16より削除される。後者の場合、各システムが同期するので、結果的に全てのシステムから削除される。
The information registered in the SSO session management table 1000 and the SSO history table 2000 is stored when the user logs out from the application system 1-1 to 1-n and / or when the SSO session expiration date (1007) has passed. Deleted from the
セッション情報表示部13は、ユーザからのシングルサインオンのセッション情報の開示要求に応じて、上記SSOセッション情報をセッション情報DB16より検索し、当該ユーザ端末2−1ないし2−mのいずれかに表示する。
The session
(ハードウェア構成)
アプリケーションシステム1−1ないし1−nは図4に示すように、メモリ101、各種プログラム(セッション管理プログラム、OS等)および各種データが格納されたハードディスクなどの二次記憶装置(ハードディスクという)102、ハードディスク102からメモリ101にプログラム(例えば、セッション管理プログラム等100)をロードしそれを実行するCPU103、入出力インタフェース104、これらの間をつなぐバスなどの通信線105を有する計算機上に構築することができる。
(Hardware configuration)
As shown in FIG. 4, the application systems 1-1 to 1-n include a
入出力インタフェース104には表示装置106、入力装置(キーボード等)107、可搬型記憶媒体が装着されるドライブ108、通信媒体であるネットワーク4との間のデータ伝送を制御するネットワーク制御装置109、等が接続されている。
The input / output interface 104 includes a
このアプリケーションシステム1−1ないし1−nは、CPU103が、セッション管理プログラム等100を実行することによって、SSOサービスを提供する上記各機能部10、11、12、13を上記計算機上に実現する。また、ハードディスク102は、登録ユーザ情報DB14、連携アプリケーションシステム情報DB15、セッション情報DB16を格納する。
In the application systems 1-1 to 1-n, the
図1に示すその他の端末、すなわち、ユーザ端末2−1ないし2−m、認証局端末3は、ハードディスク102内のプログラムが異なる以外は、アプリケーションシステム1−1ないし1−nと同様の構成を備える。そして、CPU103が、各装置が備えるプログラム100を実行することによって、各装置が提供する機能を上記計算機上に実現する。
Other terminals shown in FIG. 1, that is, user terminals 2-1 to 2-m and certificate authority terminal 3 have the same configuration as that of application systems 1-1 to 1-n except that the programs in the
各装置のCPU103が実行するプログラムは、あらかじめメモリ101および/またはハードディスク102に格納されていても良いし、必要に応じて、ドライブ108に装着される、各装置が利用可能な可搬型記憶媒体を介して、他の装置からメモリ101および/またはハードディスク102に導入されても良い。
A program executed by the
同様に、各装置が利用可能な通信媒体、すなわち、ネットワーク制御装置109に接続される、通信回線または通信回線上を伝搬する、搬送波またはデジタル信号を介して、他の装置からメモリ101および/またはハードディスク102に導入されても良い。
Similarly, the
(SSO証明書)
図5は、上記ユーザ管理部11により発行、送信、受信されるSSO証明書41のデータ構成例を表している。SSO証明書41は、認証されたユーザの認証情報、SSOセッション情報を証明するためのデータであり、認証されたユーザを識別する認証者識別情報(例えばユーザID)を記述したデータと、上記SSOセッション情報、発行者のアプリケーションシステムによってこれらのデータに施されたデジタル署名、などから構成される。図5に示すSSO証明書41には、証明書ID、認証情報(ユーザID、認証ドメイン名、認証方法)、SSOセッション情報、証明書有効期間、発行者名、発行日時、およびデジタル署名が含まれている。
(SSO certificate)
FIG. 5 shows a data configuration example of the SSO certificate 41 issued, transmitted, and received by the user management unit 11. The SSO certificate 41 is data for certifying authenticated user authentication information and SSO session information. The SSO certificate 41 includes data describing authenticator identification information (for example, user ID) for identifying the authenticated user, and the SSO certificate. It consists of session information, digital signatures applied to these data by the publisher's application system, and the like. The SSO certificate 41 shown in FIG. 5 includes a certificate ID, authentication information (user ID, authentication domain name, authentication method), SSO session information, certificate validity period, issuer name, issue date and time, and digital signature. It is.
(SSOセッション更新要求書)
また、上記セッション管理部12により発行、送信、受信されるSSOセッション更新要求書は、SSO証明書41から認証情報を除いたものであり、SSOセッション情報が変更された際に、更新要求をシングルサインオンによりログイン中の各アプリケーションシステム1−1ないし1−nに送信されるためのデータである。
(SSO session update request)
The SSO session update request issued, transmitted, and received by the
(ログアウト要求書)
図6は、上記セッション管理部12により発行、送信、受信されるログアウト要求書42のデータ構成例を表している。ログアウト要求書42は、ユーザにより選択されたアプリケーションシステム1−1ないし1−nにログアウトを要求するためのデータであり、ログアウトするセッションを識別するID(例えばSSOセッションID1004)、ログアウトするシステムの識別情報を記述したデータと、発行者のアプリケーションシステム1−1ないし1−nによってこれらのデータに施されたデジタル署名、などから構成される。
(Logout request)
FIG. 6 shows a data configuration example of the
図6に示すログアウト要求書42には、証明書ID、SSOセッションID、ログアウトシステム、要求者、要求日時、発行日時、およびデジタル署名が含まれている。
The
以上に挙げた各証明書(SSO証明書41、SSOセッション更新要求書、ログアウト要求書42)は、認証や属性等セキュリティに関する表明を記述するための仕様であるSAML(Security Assertion Markup Language)などの既存の標準技術を用いて作成可能である。 Each certificate listed above (SSO certificate 41, SSO session update request, logout request 42) is a specification such as SAML (Security Association Markup Language) that is a specification for describing an assertion related to security such as authentication and attributes. It can be created using existing standard technology.
(実施形態の前提条件)
以下に本発明のユーザが複数のアプリケーションシステム間でシングルサインオンを行う際の、セッション管理方法およびシステムについて実施例を説明する。前提条件として、アプリケーションシステムは例えばWebショッピングサイトなどのWebコンテンツをユーザに提供する3つのWebアプリケーションシステム(以下Webシステム1−a、1−b、1−cと呼ぶ)とし、ユーザ2−Aはユーザ端末2−a上で動作するWebブラウザなどのWebクライアントを用いてWebシステム(1−a、1−b、1−c)にアクセスするものとする。また、既に従来の方法でユーザ2−Aが3つのWebシステム(1−a、1−b、1−c)に登録済みでアクセス権限を持つものとする。また、上記3つのWebシステム(1−a、1−b、1−c)は、それぞれ連携アプリケーションシステム情報DB15に他のWebシステムと連携するための情報を保持しているもとのする。ユーザ2−Aのユーザ端末2−a、Webシステム(1−a、1−b、1−c)はネットワーク4を介して互いに接続する。ユーザ端末2−aとWebシステム(1−a、1−b、1−c)間のネットワーク4では、悪意のある第3者により盗聴される危険があるため、Secure Socket Layer(SSL)等の暗号化通信技術を用いて通信路の機密性を確保することが望ましい。また、Webシステム(1−a、1−b、1−c)間ネットワーク4では、盗聴や改ざん、成りすまし等のセキュリティ上の危険を避けるため、SSL等の暗号化通信技術を用いて情報の暗号化、クライアント認証、サーバ認証を行うことが望ましい。以下、これらのセキュリティの確保は必要に応じて行われるものとし、特記しない。
(Prerequisites of the embodiment)
Embodiments of a session management method and system when a user of the present invention performs single sign-on between a plurality of application systems will be described below. As a precondition, the application system is assumed to be three Web application systems (hereinafter referred to as Web systems 1-a, 1-b, 1-c) that provide Web content such as a Web shopping site to the user, and the user 2-A It is assumed that the Web system (1-a, 1-b, 1-c) is accessed using a Web client such as a Web browser that operates on the user terminal 2-a. Further, it is assumed that the user 2-A has already been registered in the three Web systems (1-a, 1-b, 1-c) and has the access authority by the conventional method. The three Web systems (1-a, 1-b, 1-c) are assumed to hold information for linking with other Web systems in the linked application
(第1の実施形態)
以下、第1の実施形態であるユーザが複数のアプリケーションシステム間でシングルサインオンを行う際の、システム間のセッション情報の連携について説明する。ユーザ2−AがWebシステム(1−a、1−b、1−c)を順にシングルサインオンにより移動する場合を例にして、その手順を図7を用いて説明する。
(First embodiment)
Hereinafter, the cooperation of session information between systems when a user according to the first embodiment performs single sign-on between a plurality of application systems will be described. The procedure will be described with reference to FIG. 7, taking as an example a case where the user 2-A moves the Web systems (1-a, 1-b, 1-c) in order by single sign-on.
ユーザ2−Aはまず端末2−aよりWebシステム1−aにアクセスし、ログイン情報(例えばユーザIDとパスワード)を入力する(201)。Webシステム1−aはユーザ認証が完了する(202)と、ユーザ端末2−aとの間にローカルセッションを設定する。 First, the user 2-A accesses the Web system 1-a from the terminal 2-a and inputs login information (for example, user ID and password) (201). When the user authentication is completed (202), the Web system 1-a sets up a local session with the user terminal 2-a.
ローカルセッションは例えばCookieを用いて実現する場合は、ユーザ端末2−aのWebクライアント上に一意に識別可能なローカルセッションIDをCookieとして登録し、さらにWebシステム1−aのセッション情報DB16のローカルセッションテーブルにローカルセッションIDと関連付けて情報(例えばユーザIDなど)を保存しておき、再度当該ユーザ2−Aがユーザ端末2−aによりアクセスしてきた際にはCookieより当該ローカルセッションIDを取得し、上記ローカルセッションテーブルより上記ローカルセッションIDと関連付けた情報を取得し、ユーザを識別してアクセスを許可する。このローカルセッションはユーザがWebシステム1−aからログアウトするか、セッションの有効期限が切れるか、ユーザがWebクライアントを終了するまで有効であるとする。Webシステム1−aはローカルセッションの設定が完了すると提供しているサービスの画面を表示装置106に表示する(203)。
When the local session is realized using, for example, Cookie, a local session ID that can be uniquely identified is registered as Cookie on the Web client of the user terminal 2-a, and the local session in the
次にユーザ2−AはWebシステム1−aに対して別のWebシステム1−bへのシングルサインオンを要求する(204)。 Next, the user 2-A requests the Web system 1-a for single sign-on to another Web system 1-b (204).
要求を受信したWebシステム1−aのユーザ管理部11は、Webシステム1−bへ送信するシングルサインオンに関する証明書(以下SSO証明書41)を生成し、さらにハンドルIDを発行する。 The user management unit 11 of the Web system 1-a that has received the request generates a certificate related to single sign-on (hereinafter, SSO certificate 41) to be transmitted to the Web system 1-b, and further issues a handle ID.
このハンドルIDはWebシステム1−aに一意に対応付けられたシステムIDと、一時的でランダムな文字、数字等から構成するキーIDと、を予め決めておいた書式に従って組み合わせて構成する。 This handle ID is configured by combining a system ID uniquely associated with the Web system 1-a and a key ID composed of temporary random characters, numbers, and the like according to a predetermined format.
つぎに、当該SSO証明書41が当該キーIDから一意に特定できるよう、キーIDと対応付けた形でSSO証明書41がDB16上のSSO証明書管理テーブルに一時的に保存される。また、SSO証明書に含まれるSSOセッション情報は、セッション情報DB16のSSOセッション管理テーブル1000およびSSO履歴テーブル2000にローカルセッションと関連付けて保存される。
Next, the SSO certificate 41 is temporarily stored in the SSO certificate management table on the
次に発行した当該ハンドルIDをユーザ端末2−aに送信する(205)。ハンドルIDは悪意のあるユーザによる改ざん、偽造による危険を減らすためデジタル署名技術を用いて電子署名を施した上で送受信することが望ましい。 Next, the issued handle ID is transmitted to the user terminal 2-a (205). In order to reduce the risk of falsification and forgery by a malicious user, the handle ID is preferably transmitted / received after an electronic signature is applied using a digital signature technique.
ユーザ2−Aはユーザ端末2−aよりWebシステム1−bにアクセスし、シングルサインオンおよびサービスの提供を要求する。この際、Webシステム1−aより受信したハンドルIDを通知する(206)。 The user 2-A accesses the Web system 1-b from the user terminal 2-a, and requests single sign-on and service provision. At this time, the handle ID received from the Web system 1-a is notified (206).
Webシステム1−bのユーザ管理部11は受け取ったハンドルIDを解読し、システムIDよりWebシステム1−aを特定し、ハンドルIDをもとにWebシステム1−aに対してSSO証明書41を要求する。 The user management unit 11 of the Web system 1-b decodes the received handle ID, identifies the Web system 1-a from the system ID, and provides the SSO certificate 41 to the Web system 1-a based on the handle ID. Request.
Webシステム1−aのユーザ管理部11ではハンドルIDに含まれるキーIDよりメモリ上のSSO証明書管理テーブルを検索し、SSO証明書41を特定し、Webシステム1−bに送信する。 The user management unit 11 of the Web system 1-a searches the SSO certificate management table in the memory from the key ID included in the handle ID, specifies the SSO certificate 41, and transmits it to the Web system 1-b.
Webシステム1−bのユーザ管理部11では当該SSO証明書41を受け付けると、署名情報を検証するとともに、当該するユーザ情報があるか登録ユーザ情報DB14を検索し、有効なユーザ情報がある場合はアクセスを許可し、ない場合はアクセス拒否メッセージをユーザ端末2−aに送信する(207)。
When the user management unit 11 of the Web system 1-b receives the SSO certificate 41, it verifies the signature information, searches the registered
シングルサインオンによるアクセスを許可した場合、Webシステム1−bのセッション管理部12はまず受信したSSO証明書41に含まれる、SSOセッション情報を読み出し、更新が必要な情報を更新してセッション情報DB16のSSOセッション管理テーブル1000およびSSO履歴テーブル2000に登録する。
When access by single sign-on is permitted, the
更新する主な情報は、SSO履歴情報であるSSOシステムID2003(ここではWebシステム1−bを識別するID)および移動元システムID2004(ここでは移動元システムであるWebシステム1−aを識別するID)およびステータス2005(ここではシングルサインオン成功なので“ログイン”)および最終更新時刻1005および最終更新者1005である。また、SSOセッション有効期限1007がWebシステム1−bのサービスを提供するのに十分ではない場合は、SSOセッション有効期間1007を延長して登録する。
The main information to be updated is the SSO system ID 2003 (ID that identifies the Web system 1-b) and the migration source system ID 2004 (here, the ID that identifies the Web system 1-a that is the migration source system) that are SSO history information. ) And status 2005 (here, “login” since single sign-on was successful),
次にWebシステム1−bは更新したSSOセッション情報を含む上記SSOセッション更新要求書を生成し、移動元システムであるWebシステム1−aに送信し、SSOセッション更新要求を行う(208)。 Next, the Web system 1-b generates the SSO session update request including the updated SSO session information, transmits it to the Web system 1-a that is the migration source system, and makes an SSO session update request (208).
SSOセッション更新要求書を受信したWebシステム1−aのセッション管理部12では、受信したSSOセッション更新要求書に含まれるSSOセッションID1004を基にSSOセッション管理テーブル1000およびSSO履歴テーブル2000を検索し、当該のフィールドを受信したSSOセッション情報に更新する。また、この際SSOセッション有効期限1007が更新されている場合は、ユーザ2−Aとの間に設定してあるローカルセッションの有効期限をSSOセッション有効期限1007に合わせて更新する(209)。
Upon receiving the SSO session update request, the
次にWebシステム1−aではユーザ2−Aのシングルサインオン経路(以下SSO経路と呼ぶ)を計算する。このSSO経路の計算はSSOセッション情報に含まれるSSOシステムID2003、移動元システムID2004よりユーザ2−Aがどのシステムからどのシステムにシングルサインオンにより移動したのかを判定することにより計算される。Webシステム1−aは計算されたSSO経路情報より、当該Webシステム1−aとSSO経路の上で隣接関係のあるアプリケーションシステムを特定し、その中で、既にSSOセッション情報を更新済みであるSSOセッション更新要求書の送信元のWebシステム1−b以外のシステムにSSOセッション情報の更新要求を行う(210)。ただし、本実施例ではWebシステム1−aはWebシステム1−bとだけSSO経路上隣接関係にあるので、SSOセッション情報の更新要求は行わない。
Next, the Web system 1-a calculates a single sign-on path (hereinafter referred to as an SSO path) of the user 2-A. This SSO path is calculated by determining from which system the user 2-A has moved to which system by single sign-on based on the
Webシステム1−bではSSOセッション更新要求を送信後、ユーザ端末2−aとの間にローカルセッションを設定する。この際、ローカルセッションの有効期限は更新したSSOセッション有効期限1007と同じに設定する。次にWebシステム1−bは提供しているサービスの画面をユーザ端末に表示する(203)。
After transmitting the SSO session update request, the Web system 1-b sets a local session with the user terminal 2-a. At this time, the expiration date of the local session is set to be the same as the updated SSO
ユーザ2−AがWebシステム1−bから別のWebシステム1−cへシングルサインオンする場合は上記シングルサインオン処理およびSSOセッション情報更新処理(204〜210、203)と同様の処理を繰り返し、Webシステム1−cがWebシステム1−bからSSO証明書を取得することによりシングルサインオンを実行する。 When the user 2-A performs single sign-on from the web system 1-b to another web system 1-c, the same process as the single sign-on process and the SSO session information update process (204 to 210, 203) is repeated. The web system 1-c executes single sign-on by acquiring the SSO certificate from the web system 1-b.
ただし、ユーザ2−AがさらにWebシステム1−bからWebシステム1−cにシングルサインオンした場合、SSO経路上Webシステム1−bはWebシステム1−aおよびWebシステム1−cと隣接関係にある。従って、Webシステム1−bは、Webシステム1−cよりSSOセッション更新要求書を受信した際、SSOセッション更新要求をさらにWebシステム1−aに行う(211)。 However, when the user 2-A further performs single sign-on from the Web system 1-b to the Web system 1-c, the Web system 1-b on the SSO path is adjacent to the Web system 1-a and the Web system 1-c. is there. Accordingly, when the Web system 1-b receives the SSO session update request from the Web system 1-c, it further makes an SSO session update request to the Web system 1-a (211).
以上に示したように、ユーザが複数のアプリケーションシステム間でシングルサインオンを行う際に、シングルサインオン経路上の全てのアプリケーションシステムでSSOセッション情報を同期させ(一致させ)、さらに各アプリケーションシステムでSSOセッション情報とローカルセッションを同期させる(一致させる)ことにより、シングルサインオンを行ったシステム全体でSSOセッションの連携を実現する。これにより、セッションタイムアウト等による不意のログアウトを防ぐことができる。 As described above, when a user performs single sign-on between a plurality of application systems, SSO session information is synchronized (matched) in all application systems on the single sign-on path, and each application system By synchronizing (matching) the SSO session information with the local session, SSO session cooperation is realized in the entire system that has performed single sign-on. This prevents unexpected logout due to session timeout or the like.
(第2の実施形態)
以下、図8を用いて、第2の実施形態であるユーザに対するシングルサインオンセッション情報の表示および特定のシステムからの選択的なログアウト(以下、選択ログアウトという)について説明する。前提として、第1の実施例に従いユーザ2−AはWebシステム1−a、1−b、1−cを順にシングルサインオンした状態とする。
(Second Embodiment)
Hereinafter, display of single sign-on session information for a user and selective logout from a specific system (hereinafter referred to as selective logout) according to the second embodiment will be described with reference to FIG. As a premise, according to the first embodiment, the user 2-A sets the Web systems 1-a, 1-b, and 1-c in a single sign-on state in order.
ユーザ2−Aはシングルサインオンでログイン中のWebシステムの一つ(ここではWebシステム1−cとする)に、現在のシングルサインオンセッションの情報を要求する(301)。 The user 2-A requests information on the current single sign-on session from one of the web systems logged in with single sign-on (here, Web system 1-c) (301).
要求を受け付けたWebシステム1−cのセッション情報表示部13はユーザ端末2−aからCookieなどにより設定しているローカルセッションID1003を取得し、ローカルセッションID1003をキーにSSOセッション管理テーブル1000およびSSO履歴テーブル2000より当該SSOセッション情報を検索する。
The session
具体的には、ローカルセッションID1003をキーにSSOセッション管理テーブルより当該SSOセッションID1004の値を検索し、さらに検索した当該SSOセッションID1004をキーにSSO履歴テーブル2000より、SSO履歴テーブル2000上の各データを検索し取得する。
Specifically, the value of the
取得した情報をもとにWeb画面を生成しユーザ端末2−aに送信し、Webクライアントに表示する(302)。 A web screen is generated based on the acquired information, transmitted to the user terminal 2-a, and displayed on the web client (302).
図9に上記ステップ302においてユーザ端末2の表示装置106に表示されるSSOセッション情報表示画面(50)の例を示す。図9中、51は現在シングルサインオンによりログイン中のアプリケーションシステムとそのシングルサインオン経路を表すシングルサインオンセッションマップ51の例であり、ユーザは現在ログイン中のシステムを確認できる。
FIG. 9 shows an example of the SSO session information display screen (50) displayed on the
また、例えばログアウトしたい特定のシステムを選択して選択ログアウト要求や、シングルサインオンしている全てのシステムからの一括ログアウト等を選択しボタンを押すことにより要求することができる。 Further, for example, it is possible to request by selecting a specific system to be logged out, selecting a selective logout request, batch logout from all systems that are single-signed on, and pressing a button.
52はSSOセッション情報に含まれている現在のSSOセッション有効期限1007を表示する例であり、必要に応じて有効期限の延長要求を行うことができる。また53は、SSOセッション情報のステータス2005よりログアウト済みのシステムを検索し表示した例である。
次に、ユーザ2−AがWebシステム1−cからWebシステム1−bの選択ログアウトを行う方法を以下に説明する。ユーザ2−AはSSOセッション情報表示画面50からログアウトするWebシステム1−bを選択し、選択ログアウトを要求する(303)。要求を受け付けたWebシステム1−cのセッション管理部は、当該ユーザ2−AのSSOセッション情報を基にログアウト要求書42を生成し、Webシステム1−bに送信する。
Next, a method in which the user 2-A performs selective logout of the Web system 1-b from the Web system 1-c will be described below. The user 2-A selects the Web system 1-b to log out from the SSO session
ログアウト要求を受け付けたWebシステム1−bのセッション管理部12は、受信したログアウト要求書42に記載のSSOセッションIDをキーにSSOセッション管理テーブル1000およびSSO履歴テーブル2000より当該SSOセッション情報を検索する。さらにSSOセッション情報のローカルセッションID1003をキーに、ローカルセッションテーブルよりローカルセッション情報を検索し、このローカルセッション情報を削除することによりログアウトを実行する(305)。
The
次にログアウトした当該Webシステム1−bを除いた新たなシングルサインオン経路(SSO経路)を計算し、SSOセッション情報を更新する。この新SSO経路の計算においては、例えばまず当該Webシステム1−bからシングルサインオンにより移動した先のアプリケーションシステム(ここではWebシステム1−c)と、当該Webシステム1−bの移動元のアプリケーションシステム(ここではWebシステム1−a)を検索する。次に移動先のWebシステム1−cの移動元システムを当該Webシステム1−bの移動元システムである1−aに変更する。 Next, a new single sign-on path (SSO path) excluding the logged out Web system 1-b is calculated, and the SSO session information is updated. In the calculation of the new SSO route, for example, first, the destination application system (in this case, the Web system 1-c) moved from the Web system 1-b by single sign-on and the source application of the Web system 1-b. The system (here, Web system 1-a) is searched. Next, the migration source system of the destination Web system 1-c is changed to 1-a which is the migration source system of the Web system 1-b.
これにより当該Webシステム1−bと隣接関係のあるWebシステム1−aと1−c間で新たなSSO経路を決定し、SSOセッション情報の移動元システムID2004を更新する。また、ログアウトによりSSOセッション情報の中で更新された情報(ここではステータス2005、最終更新時刻1005、最終更新者1006)を更新し、SSOセッション更新要求書を生成する。そして、ログアウト前にWebシステム1−bと隣接関係のあったWebシステム1−a、Webシステム1−cにSSOセッション更新要求書を送信する(306)。
As a result, a new SSO route is determined between the Web systems 1-a and 1-c that are adjacent to the Web system 1-b, and the migration
SSOセッション更新要求書を受信したWebシステム1−a、Webシステム1−cのセッション管理部12は上記実施例1のステップ209、210と同様にSSOセッション情報の更新等の処理を行う。
The
Webシステム1−bでは上記SSOセッション更新要求書を送信した後、SSOセッション情報テーブル1000の当該SSOセッション情報を削除する(307)。 In the Web system 1-b, after transmitting the SSO session update request, the SSO session information in the SSO session information table 1000 is deleted (307).
以上に示したように、各アプリケーションシステムで分散管理しているSSOセッション情報を基にSSOセッション情報をユーザに提示することにより、ユーザ自身が現在どのシステムにログイン中であるか、いつでも確認することができ、さらにどのシステムにアクセスしている時でも、特定のシステムから選択的にログアウトを行うことができる。なお、複数システムからのログアウトを行う際は、上記選択ログアウトを繰り返せばよい。 As shown above, by presenting SSO session information to the user based on the SSO session information distributedly managed by each application system, it is always possible to check which system the user himself is currently logged in to. In addition, you can selectively log out from a specific system when you are accessing any system. Note that when logging out from a plurality of systems, the selective logout may be repeated.
(第3の実施形態)
以下、図10を用いて、第3の実施形態であるアプリケーションシステムの障害情報の通知について説明する。前提として、第1の実施例に従いユーザ2−AはWebシステム1−a、1−b、1−cの順にシングルサインオンした状態とする。
(Third embodiment)
Hereinafter, notification of failure information of the application system according to the third embodiment will be described with reference to FIG. As a premise, according to the first embodiment, the user 2-A is in a single sign-on state in the order of the Web systems 1-a, 1-b, 1-c.
各Webシステム1−a、1−b、1−cのセッション管理部12は、それぞれ繰り返し(例えば、5分毎)にSSO経路上の隣接システムに対して状態確認要求メッセージを送信する。状態確認要求メッセージには当該ユーザ2−Aのシングルサインオンセッションを識別するSSOセッションID1004などが含まれる。
The
状態確認要求メッセージを受信した各Webシステム1−a、1−b、1−cのセッション管理部12は当該SSOセッションID1004をキーにSSOセッション管理テーブル1000およびSSO履歴テーブル2000を検索し、当該SSOセッション情報があれば予め定めておいた正常を示すメッセージを送信する。
何らかの原因でローカルセッションが終了してしまっている、データが消去してしまっている場合など、当該SSOセッション情報がない場合は、予め定めておいたエラーメッセージを送信する。
The
When there is no SSO session information, such as when the local session has ended or data has been deleted for some reason, a predetermined error message is transmitted.
各Webシステム1−a、1−b、1−cは正常を示す状態確認結果を受信した場合は、何もせずに定期的に状態確認処理を実施し、エラーメッセージを受信、または状態確認結果を受信しなかった場合は下記に示す障害発生時の処理を実施する(401)。 When each Web system 1-a, 1-b, 1-c receives a status confirmation result indicating normality, it periodically performs status confirmation processing without doing anything, receives an error message, or status confirmation result Is not received, the following processing when a failure occurs is executed (401).
本第3の実施形態ではWebシステム1−bに障害(例えばサーバ停止)が発生し、Webシステム1−aがWebシステム1−bに送信した状態確認要求メッセージに対する状態確認の結果を受信できなかった場合を例に、障害発生時の処理を以下に説明する。 In the third embodiment, a failure (for example, server stop) occurs in the Web system 1-b, and the status check result for the status check request message sent from the Web system 1-a to the Web system 1-b cannot be received. The processing when a failure occurs will be described below by taking the case as an example.
1回または数回に渡り連続して(例えば、3回続けて)状態確認の結果を受信できなかった場合、Webシステム1−aは、アクセス不能となった(すなわち、ローカルセッションが終了している)Webシステム1−bをアクセス不能状態と判断し(402)、当該SSOセッション情報のステータス2005のうち、SSOシステムID2003がWebシステム1−bであるステータス2005を、予め定めておいたアクセス不能を示すコードに変更する(403)。なお、本実施例においては、各システムが互いに監視し合うことにより、より確実な状態確認を行うようにしている。
If the result of the status check cannot be received continuously (for example, three times in succession) once or several times, the Web system 1-a becomes inaccessible (that is, the local session ends) The Web system 1-b is determined to be inaccessible (402), and among the
さらに、上記ステップ306と同様に当該Webシステム1−bを除く新たなSSO経路を計算し、SSOセッション情報を更新し、SSO経路上の各アプリケーションシステム(ここではWebシステム1−c)に更新されたSSOセッション情報を送信する(306)。
Further, a new SSO route excluding the Web system 1-b is calculated in the same manner as in the
さらに障害が発生したという情報は、ユーザからログイン中のアプリケーションサーバ(ここではWebシステム1−cとする)にアクセスがあった際に、当該アプリケーションサーバが上記実施例2のステップ302およびSSOセッション情報表示画面50を用い、ユーザに通知する(404)。
Further, information indicating that a failure has occurred is that the application server accesses
以上の通り、各実施形態によればユーザが複数のアプリケーションシステムに跨ってログインを継続しシングルサインオンを行う場合において、システム間でのセッションを連携させ不意のログアウトを防ぐとともに、ユーザにシングルサインオンのセッションに関する情報を提示し、一部のサーバからの選択的なログアウトなどのサービスを提供する。また、何らかの原因により一部のシステムでログインセッションが終了してしまった場合でもユーザに早く通知することができる。これにより、安全で利便性の高いシングルサインオンのセッション管理を実現することができる。 As described above, according to each embodiment, when a user continues to log in across multiple application systems and performs single sign-on, a session between the systems is coordinated to prevent unexpected logout and to the user a single sign. Presents information about on sessions and provides services such as selective logout from some servers. In addition, even when a login session is terminated in some systems for some reason, the user can be notified quickly. As a result, safe and convenient single sign-on session management can be realized.
1…アプリケーションシステム、2…ユーザ端末、3…認証局端末、4…ネットワーク、5…ネットワーク、41…SSO証明書、42…ログアウト要求書、50…SSOセッション情報表示画面、1000…SSOセッション管理テーブル、2000…SSO履歴テーブル
DESCRIPTION OF
Claims (11)
各々の前記アプリケーションシステムは、ユーザ管理部と、セッション管理部とを備え、
第1の前記アプリケーションシステムで認証済みの前記ユーザが、ユーザ端末を用いて、第2のアプリケーションシステムにアクセスする際に、
第2の前記アプリケーションシステムの前記ユーザ管理部は、
前記第1のアプリケーションシステムの前記ユーザ管理部から前記ユーザに関するシングルサインオン証明書を受信し、
前記シングルサインオン証明書に基づいて、当該第2のアプリケーションシステムへの、ログイン処理を行い、
第2の前記アプリケーションシステムの前記セッション管理部は、
前記シングルサインオン証明書に含まれるセッション情報を更新して登録し、かつ、前記セッション情報の更新要求を前記第1のアプリケーションシステムに送信し、
前記第1のアプリケーションシステムの前記セッション管理部は、送信された更新要求を用いて、自アプリケーションシステムの前記セッション情報を更新する
ことを特徴とするセッション管理システム。 A session management system that manages a session when the user performs single sign-on to a plurality of application systems that provide services to the user,
Each of the application systems includes a user management unit and a session management unit,
When the user who has been authenticated by the first application system accesses the second application system using a user terminal,
The user management unit of the second application system includes:
Receiving a single sign-on certificate for the user from the user management unit of the first application system;
Based on the single sign-on certificate, log in to the second application system,
The session management unit of the second application system includes:
Update and register the session information included in the single sign-on certificate, and send an update request for the session information to the first application system,
The session management unit of the first application system updates the session information of its own application system using the transmitted update request.
前記第1のアプリケーションシステムの前記ユーザ管理部は、
前記ユーザが前記ユーザ端末を用いて行う前記第2のアプリケーションシステムへのシングルサインオン要求を受信し、
前記ユーザに関わる情報を用いた、前記シングルサインオン証明書と、前記シングルサインオン証明書に関連づけられ、当該第1のアプリケーションシステムを特定するハンドルIDと、を作成し、
前記ハンドルIDを前記ユーザ端末に送信する
ことを特徴とするセッション管理システム。 The session management system according to claim 1,
The user management unit of the first application system includes:
Receiving a single sign-on request to the second application system performed by the user using the user terminal;
Creating the single sign-on certificate using information relating to the user and a handle ID that is associated with the single sign-on certificate and identifies the first application system;
A session management system, wherein the handle ID is transmitted to the user terminal.
前記ユーザ端末は、前記第2のアプリケーションシステムへのシングルサインオン要求時に、前記ハンドルIDを送信し、
前記前記第2のアプリケーションシステムのセッション管理部は、前記ハンドルIDに関連づけられた前記シングルサインオン証明書を、前記第1のアプリケーションシステムに要求する
ことを特徴とするセッション管理システム。 The session management system according to claim 2,
The user terminal transmits the handle ID at the time of a single sign-on request to the second application system,
The session management system of the second application system requests the first application system for the single sign-on certificate associated with the handle ID.
前記第1のアプリケーションシステムの前記セッション管理部は、
前記セッション情報に基づいて、前記シングルサインオンの経路を求め、
前記第1のアプリケーションシステムへの移動元および/または移動先の、当該シングルサインオン中の他の前記アプリケーションシステムがある場合は、当該他のアプリケーションシステムに対して、前記セッション情報の更新要求を送信し、
前記他のアプリケーションシステムの前記セッション管理部は、送信された更新要求を用いて、自アプリケーションシステムの前記セッション情報を更新する
ことを特徴とするセッション管理システム。 The session management system according to claim 1,
The session management unit of the first application system includes:
Based on the session information, a route for the single sign-on is obtained,
When there is another application system in the single sign-on that is the source and / or destination of the first application system, the session information update request is transmitted to the other application system And
The session management unit of the other application system updates the session information of the own application system using the transmitted update request.
前記アプリケーションシステムは、前記ユーザ端末に対して、前記ユーザの前記シングルサインオンによりログイン中の前記アプリケーションシステムと、そのシングルサインオン経路に関する前記セッション情報に基づいた表示を行うセッション情報表示部を備える
ことを特徴とするセッション管理システム。 The session management system according to claim 1,
The application system includes a session information display unit that performs display on the user terminal based on the session information related to the single sign-on route and the application system that is logged in by the single sign-on of the user. Session management system characterized by
前記セッション管理部が管理するセッション情報には、
前記ユーザの前記アプリケーションシステムへのローカルセッション情報、および/または前記ユーザがシングルサインオンにより移動したおよび/または移動してきた複数の前記アプリケーションシステムに関する情報、および/またはシングルサインオンにより移動した複数の前記アプリケーションシステム間の移動経路に関する情報を含む
ことを特徴とするセッション管理システム。 The session management system according to claim 1,
The session information managed by the session management unit includes
Local session information of the user to the application system and / or information about the application systems that the user has moved and / or moved by single sign-on and / or a plurality of the moved by single sign-on A session management system including information on a movement route between application systems.
前記第2のアプリケーションシステムの前記セッション管理部は、
前記第1のアプリケーションシステムから前記ユーザがシングルサインオンによりログインした際に、前記セッション情報を生成し、移動元の前記第1のアプリケーションシステムに対してセッション延長情報を送信し、
シングルサインオン先の前記第3のアプリケーションシステムからセッション延長情報を受信した際には、該ユーザとの間のローカルセッション情報を更新し、シングルサインオン元の前記第1のアプリケーションシステムに対して受信した前記セッション延長情報を送信する
ことを特徴とするセッション管理システム。 The session management system according to claim 1,
The session management unit of the second application system includes:
When the user logs in by single sign-on from the first application system, the session information is generated, and session extension information is transmitted to the first application system that is the movement source,
When session extension information is received from the third application system of the single sign-on destination, the local session information with the user is updated and received by the first application system of the single sign-on source A session management system for transmitting the session extension information.
前記セッション管理部は、
管理している前記セッション情報に記載の、移動元および/または移動先の前記アプリケーションシステムに対して、前記ユーザとのローカルセッションが継続しているか確認し、
該ローカルセッションが既に終了している場合は、当該アプリケーションシステムを除く、新たなシングルサインオン経路を求め、前記セッション情報を更新し、前記セッション情報の更新要求を送信し、
セッション情報の更新要求を受信した場合は、該セッション管理部が管理している前記セッション情報を更新する
ことを特徴とするセッション管理システム。 The session management system according to claim 4,
The session management unit
Check whether the local session with the user continues for the application system of the move source and / or the move destination described in the managed session information,
If the local session has already been terminated, a new single sign-on path, excluding the application system, is obtained, the session information is updated, and the session information update request is transmitted.
A session management system that updates the session information managed by the session management unit when a session information update request is received.
前記ユーザが、ローカルセッションが終了していない前記アプリケーションシステムにアクセスした場合に、前記セッション情報表示部は、前記ローカルセッションが終了している前記アプリケーションシステムについて通知する
ことを特徴とするセッション管理システム。 The session management system according to claim 8, wherein
When the user accesses the application system in which a local session has not ended, the session information display unit notifies the application system in which the local session has ended.
前記第1のアプリケーションシステムにおいて、
前記セッション情報表示部は、
前記ユーザの前記シングルサインオンに関する前記セッション情報に基づく表示を前記ユーザ端末に行い、
前記ユーザから他の前記アプリケーションシステムに対する選択ログアウト要求を受け付け、
前記セッション管理部は、選択ログアウトする前記他のアプリケーションシステムに対して、ログアウト要求を送信する
ことを特徴とするセッション管理システム。 The session management system according to claim 1,
In the first application system,
The session information display section
Display on the user terminal based on the session information related to the single sign-on of the user,
Accepting a selective logout request from the user to the other application system;
The session management unit transmits a logout request to the other application system that performs selective logout.
前記ログアウト要求を受信した前記他のアプリケーションシステムのセッション管理部は、
当該アプリケーションシステムにおけるローカルセッションを削除し、
当該アプリケーションシステムを除く、新たなシングルサインオン経路を求め、前記セッション情報を更新し、
当該アプリケーションシステムへの移動元および/または移動先の前記アプリケーションシステムへ、前記セッション情報の更新要求を送信し、
当該アプリケーションシステムにおいて管理する前記セッション情報を削除する
ことを特徴とするセッション管理システム。
The session management system according to claim 10,
The session management unit of the other application system that has received the logout request,
Delete the local session in the application system,
Find a new single sign-on route, excluding the application system, update the session information,
A request for updating the session information is transmitted to the application system that is the source and / or destination of the application system;
A session management system, wherein the session information managed in the application system is deleted.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004204062A JP2006031064A (en) | 2004-07-12 | 2004-07-12 | Session management system and management method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004204062A JP2006031064A (en) | 2004-07-12 | 2004-07-12 | Session management system and management method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006031064A true JP2006031064A (en) | 2006-02-02 |
Family
ID=35897382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004204062A Ceased JP2006031064A (en) | 2004-07-12 | 2004-07-12 | Session management system and management method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006031064A (en) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008059038A (en) * | 2006-08-29 | 2008-03-13 | Nippon Telegr & Teleph Corp <Ntt> | Authentication device, authentication method, and authentication program with the method mounted thereon |
| JP2008225943A (en) * | 2007-03-14 | 2008-09-25 | Nomura Research Institute Ltd | Session management device, program and storage medium |
| JP2009104219A (en) * | 2007-10-19 | 2009-05-14 | Softbank Mobile Corp | System having account release/block means, and account release/block program |
| JP2009122734A (en) * | 2007-11-12 | 2009-06-04 | Internatl Business Mach Corp <Ibm> | Technology for managing session |
| JP2009140163A (en) * | 2007-12-05 | 2009-06-25 | Fuji Electric Systems Co Ltd | Session management device |
| WO2009107219A1 (en) * | 2008-02-28 | 2009-09-03 | 日本電信電話株式会社 | Authentication device, authentication method, and authentication program with the method mounted thereon |
| WO2011016338A1 (en) * | 2009-08-05 | 2011-02-10 | Canon Kabushiki Kaisha | Information processing system, control method for the same, and program |
| JP2011227564A (en) * | 2010-04-15 | 2011-11-10 | Canon Inc | Image processing apparatus, user authentication method in image processing apparatus |
| JP2012099099A (en) * | 2010-10-29 | 2012-05-24 | Nhn Corp | Integrated communication system and method using multi-login, terminal controlling operation of integrated communication tool, and communication method of terminal |
| JP2012146083A (en) * | 2011-01-11 | 2012-08-02 | Fujitsu Ltd | Session management system, session management apparatus, server device and session management method |
| JP2013182375A (en) * | 2012-03-01 | 2013-09-12 | Fujitsu Ltd | Service use management method, program and information processing apparatus |
| JP2014021812A (en) * | 2012-07-20 | 2014-02-03 | Fujitsu Marketing Ltd | Connection state management device and program of the same |
| JP2015036862A (en) * | 2013-08-12 | 2015-02-23 | キヤノン株式会社 | Information processing device, information processing method, and program |
| JP2016523416A (en) * | 2013-06-25 | 2016-08-08 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Account login method, device and system |
| JP6118479B1 (en) * | 2016-05-30 | 2017-04-19 | 楽天株式会社 | Server apparatus, service method, program, and non-transitory computer-readable information recording medium |
| KR101816650B1 (en) | 2017-02-21 | 2018-01-09 | 주식회사 코인플러그 | Method for providing simplified account registration service and authentication service, and authentication server using the same |
| JP2019192089A (en) * | 2018-04-27 | 2019-10-31 | 株式会社Pfu | Information processing system, information processing method, and program |
| KR20210065923A (en) * | 2020-03-18 | 2021-06-04 | 이일구 | Device authentication method by login session passing |
-
2004
- 2004-07-12 JP JP2004204062A patent/JP2006031064A/en not_active Ceased
Cited By (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008059038A (en) * | 2006-08-29 | 2008-03-13 | Nippon Telegr & Teleph Corp <Ntt> | Authentication device, authentication method, and authentication program with the method mounted thereon |
| JP4667326B2 (en) * | 2006-08-29 | 2011-04-13 | 日本電信電話株式会社 | Authentication apparatus, authentication method, and authentication program implementing the method |
| JP2008225943A (en) * | 2007-03-14 | 2008-09-25 | Nomura Research Institute Ltd | Session management device, program and storage medium |
| JP2009104219A (en) * | 2007-10-19 | 2009-05-14 | Softbank Mobile Corp | System having account release/block means, and account release/block program |
| JP2009122734A (en) * | 2007-11-12 | 2009-06-04 | Internatl Business Mach Corp <Ibm> | Technology for managing session |
| US10097532B2 (en) | 2007-11-12 | 2018-10-09 | International Business Machines Corporation | Session management technique |
| US9055054B2 (en) | 2007-11-12 | 2015-06-09 | International Business Machines Corporation | Session management technique |
| JP2009140163A (en) * | 2007-12-05 | 2009-06-25 | Fuji Electric Systems Co Ltd | Session management device |
| US8726356B2 (en) | 2008-02-28 | 2014-05-13 | Nippon Telegraph And Telephone Corporation | Authentication apparatus, authentication method, and authentication program implementing the method |
| WO2009107219A1 (en) * | 2008-02-28 | 2009-09-03 | 日本電信電話株式会社 | Authentication device, authentication method, and authentication program with the method mounted thereon |
| JP4729651B2 (en) * | 2008-02-28 | 2011-07-20 | 日本電信電話株式会社 | Authentication apparatus, authentication method, and authentication program implementing the method |
| WO2011016338A1 (en) * | 2009-08-05 | 2011-02-10 | Canon Kabushiki Kaisha | Information processing system, control method for the same, and program |
| US9215347B2 (en) | 2009-08-05 | 2015-12-15 | Canon Kabushiki Kaisha | Information processing system and program |
| JP2011227564A (en) * | 2010-04-15 | 2011-11-10 | Canon Inc | Image processing apparatus, user authentication method in image processing apparatus |
| JP2012099099A (en) * | 2010-10-29 | 2012-05-24 | Nhn Corp | Integrated communication system and method using multi-login, terminal controlling operation of integrated communication tool, and communication method of terminal |
| JP2012146083A (en) * | 2011-01-11 | 2012-08-02 | Fujitsu Ltd | Session management system, session management apparatus, server device and session management method |
| JP2013182375A (en) * | 2012-03-01 | 2013-09-12 | Fujitsu Ltd | Service use management method, program and information processing apparatus |
| JP2014021812A (en) * | 2012-07-20 | 2014-02-03 | Fujitsu Marketing Ltd | Connection state management device and program of the same |
| US10021098B2 (en) | 2013-06-25 | 2018-07-10 | Huawei Technologies Co., Ltd. | Account login method, device, and system |
| JP2016523416A (en) * | 2013-06-25 | 2016-08-08 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Account login method, device and system |
| JP2015036862A (en) * | 2013-08-12 | 2015-02-23 | キヤノン株式会社 | Information processing device, information processing method, and program |
| JP6118479B1 (en) * | 2016-05-30 | 2017-04-19 | 楽天株式会社 | Server apparatus, service method, program, and non-transitory computer-readable information recording medium |
| WO2017208305A1 (en) * | 2016-05-30 | 2017-12-07 | 楽天株式会社 | Server device, service method, program, and non-transitory computer-readable information recording medium |
| KR101816650B1 (en) | 2017-02-21 | 2018-01-09 | 주식회사 코인플러그 | Method for providing simplified account registration service and authentication service, and authentication server using the same |
| WO2018155822A1 (en) * | 2017-02-21 | 2018-08-30 | 주식회사 코인플러그 | Method for providing simplified account registration service and user authentication service, and authentication server using same |
| US10783260B2 (en) | 2017-02-21 | 2020-09-22 | Coinplug, Inc. | Method for providing simplified account registration service and user authentication service, and authentication server using same |
| JP2019192089A (en) * | 2018-04-27 | 2019-10-31 | 株式会社Pfu | Information processing system, information processing method, and program |
| JP7080100B2 (en) | 2018-04-27 | 2022-06-03 | 株式会社Pfu | Information processing systems, information processing methods, and programs |
| KR20210065923A (en) * | 2020-03-18 | 2021-06-04 | 이일구 | Device authentication method by login session passing |
| KR102465744B1 (en) | 2020-03-18 | 2022-11-09 | 이일구 | Device authentication method by login session passing |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI400922B (en) | Authentication of a principal in a federation | |
| US7793095B2 (en) | Distributed hierarchical identity management | |
| US7565536B2 (en) | Method for secure delegation of trust from a security device to a host computer application for enabling secure access to a resource on the web | |
| EP1700416B1 (en) | Access control for federated identities | |
| JP2006031064A (en) | Session management system and management method | |
| JP2005516533A (en) | Single sign-on on the Internet using public key cryptography | |
| JP2008015936A (en) | Service system and service system control method | |
| JP2007293760A (en) | Single sign-on cooperation method and system using individual authentication | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| JP2008197973A (en) | User authentication system | |
| JPWO2014049709A1 (en) | Policy management system, ID provider system, and policy evaluation apparatus | |
| JP4932154B2 (en) | Method and system for providing user authentication to a member site in an identity management network, method for authenticating a user at a home site belonging to the identity management network, computer readable medium, and system for hierarchical distributed identity management | |
| JP2000106552A (en) | Authentication method | |
| JP2003244123A (en) | Common key management system, server, and method and program | |
| JP2009123154A (en) | Method and device for managing attribute certificates | |
| JP6833658B2 (en) | Server equipment, equipment, certificate issuing method, certificate requesting method, certificate issuing program and certificate requesting program | |
| JP2015079376A (en) | Authentication server system, control method, and program thereof | |
| JP2007272689A (en) | Online storage authentication system, online storage authentication method, and online storage authentication program | |
| Gouveia et al. | E-id authentication and uniform access to cloud storage service providers | |
| JP6128958B2 (en) | Information processing server system, control method, and program | |
| JP2005293161A (en) | Authentication system, authentication method and computer program | |
| JP4846624B2 (en) | Authentication proxy device, authentication proxy method, and authentication proxy program | |
| JP2005346571A (en) | Authentication system and authentication method | |
| Baker | OAuth2 | |
| US20240241992A1 (en) | Registration application support system and registration application support method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060424 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060912 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091201 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091222 |
|
| A045 | Written measure of dismissal of application [lapsed due to lack of payment] |
Free format text: JAPANESE INTERMEDIATE CODE: A045 Effective date: 20100427 |