JP2006252418A - 認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム - Google Patents

認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム Download PDF

Info

Publication number
JP2006252418A
JP2006252418A JP2005071029A JP2005071029A JP2006252418A JP 2006252418 A JP2006252418 A JP 2006252418A JP 2005071029 A JP2005071029 A JP 2005071029A JP 2005071029 A JP2005071029 A JP 2005071029A JP 2006252418 A JP2006252418 A JP 2006252418A
Authority
JP
Japan
Prior art keywords
authentication
server
client
single sign
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005071029A
Other languages
English (en)
Other versions
JP4543322B2 (ja
Inventor
Tsuguji Saito
嗣治 斉藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005071029A priority Critical patent/JP4543322B2/ja
Publication of JP2006252418A publication Critical patent/JP2006252418A/ja
Application granted granted Critical
Publication of JP4543322B2 publication Critical patent/JP4543322B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要を回避する。
【解決手段】シングルサインオンシステムは、クライアント31との間でインターネット31を介して通信可能に接続されるシングルサインオンドメイン1、2を有する。ドメイン1は、シングルサインオンによる認証を行い所定の独自認証識別子を生成する認証サーバ11と、複数のWebサーバ12とを有する。ドメイン2は、シングルサインオンによる認証を行い所定の認証アサーションを生成する認証サーバ21と、複数のWebサーバ22とを有する。仲介サーバ10は、両ドメイン1、2に属し、独自認証識別子及び認証アサーションを認識し、クライアント32からWebサーバ22へのアクセス時に、クライアント32から認独自証識別子を認識して認証サーバ21に通知する。
【選択図】 図1

Description

本発明は、認証情報を用いたシングルサインオン連携方法、シングルサインオンシステム、仲介サーバ、その動作方法及び動作プログラムに関する。
コンピュータネットワークでは、通常、ネットワークを通して利用可能なWebサーバによるWebコンテンツ等の複数のリソースへのアクセスやその利用権限をユーザに応じて制限している。このため、ユーザは各リソースへのアクセス時にユーザ名やパスワード等の情報を入力して、その都度認証を得る必要があった。しかし、個々のリソースへアクセスする度にユーザ名やパスワード等の情報を入力する操作は、ユーザにとっては大変煩わしく、またセキュリティ上の理由でリソース毎に異なるパスワードを設定していれば、パスワード数がリソース数に比例して増えるため、必ずしも利便性のよいものではなかった。
そこで、近年、このような複数のリソースにアクセスする際、一度だけ認証を行うことで、同じドメインに属するネットワーク内のアクセス許可されている全てのリソースを利用できる「シングルサインオン(Single Sign-on)」と呼ばれる認証方法が知られている。このシングルサインオン方法を用いたシステム(以下、「シングルサインオンシステム」と呼ぶ)では、例えばクッキー等既存の独自認証識別子を使用した認証情報をクライアント(ユーザ端末)に保管し、同じドメインに属するネットワーク内のWebコンテンツ等のリソースへのアクセス時にサーバ側でその認証情報を用いて認証を行う方式等が知られている。
なお、本発明に関連する先行技術文献としては、次のものがある。
特開2004−355073号公報 特開2004−234329号公報 特開2004−185396号公報 特許第3505058号公報
従来、シングルサインオンを行う為には、クッキー等既存の独自認証識別子を使用する必要があった。クッキー等既存の独自認証識別子は、異なるドメイン間でやりとりすることは難しい上、クッキー等既存の独自認証識別子そのものに互換性が無いために、方式の異なるシングルサインオンシステムを連携させる場合、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要があった。
このように方式の異なるシングルサインオンシステム同士を連携させる場合、シングルサインオンサーバが連携相手となるシングルサインオン方式を理解する必要があったため、認証サーバの置き換えや接続先毎の対応が発生するという問題があった。上述した先行技術文献では、このような方式の異なるシングルサインオンシステム同士を連携させる場合の問題解決を必ずしも意図したものではない。
本発明は、このような従来の事情を考慮してなされたもので、方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要がなく、認証サーバの置き換えや接続先毎の対応が発生しないようにすることを目的とする。
上記目的を達成するため、本発明に係る認証情報を用いたシングルサインオンの連携方法は、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いる認証情報を用いたシングルサインオンの連携方法であって、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを用意するステップと、前記クライアントから前記第2のサーバへのアクセス前に、前記第1の認証サーバが、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、前記クライアントから前記第2のサーバへのアクセス時に、前記仲介サーバが、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップと、前記第2の認証サーバが、前記仲介サーバからの通知を受けて前記認証アサーションを生成するステップと、その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとを有することを特徴とする。
本発明において、前記クライアントから前記第2のサーバへのアクセス時に、前記第2の認証サーバが、前記クライアントに対し認証を行い前記認証アサーションを生成するステップと前記仲介サーバが、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップと、前記第1の認証サーバが、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとをさらに有してもよい。
本発明において、前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いてもよい。前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていてもよい。
また、本発明に係るシングルサインオンシステムは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムであって、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを備え、前記第1の認証サーバは、前記クライアントから前記第2のサーバへのアクセス前に、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成し、前記仲介サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知し、前記第2の認証サーバは、前記仲介サーバからの通知を受けて、前記認証アサーションを生成することを特徴とする。
本発明において、前記第2の認証サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントに対し認証を行い前記認証アサーションを生成し、前記仲介サーバは、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出し、前記第1の認証サーバは、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成してもよい。
また、本発明に係る仲介サーバは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識すると共に、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする。
本発明において、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出してもよい。
また、本発明に係る仲介サーバの動作方法は、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする。
本発明において、さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出してもよい。
さらに、本発明に係る仲介サーバの動作プログラムは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップをコンピュータに実行させることを特徴とする。
本発明において、さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップをコンピュータに実行させてもよい。
本発明によれば、方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要がなく、認証サーバの置き換えや接続先毎の対応が発生しない。
次に、本発明に係る認証情報を用いたシングルサインオン連携方法、シングルサインオンシステム、仲介サーバ、その動作方法及び動作プログラムを実施するための最良の形態について図面を参照して詳細に説明する。
本実施の形態は、方式の異なるシングルサインオンシステムに対して仲介となるサーバを用意するだけで連携することを可能とするものである。即ち、本実施の形態では、既存のシングルサインオンシステムに新たに新方式のシングルサインオンシステムを連携させる場合において、既存のシングルサインオンシステムに、既存のシングルサインオン方式を新しいシングルサインオン方式で解釈できる仲介サーバを追加することで、新方式のシングルサインオンシステムで、既存のシングルサインオンシステムを使用することを可能とする。
図1を参照すると、本実施例によるシングルサインオンシステムは、ドメインの異なるネットワークシステムで構成され且つシングルサインオンによる認証方式が異なるシングルサインオンシステム(以下、シングルサインオンドメイン)を備えている。図1の例では、この方式が異なるシングルサインオンシステムとして、既存のシングルサインオンドメイン(第1のシングルサインオンシステム)1と、既存のシングルサインオンドメイン1に接続させようとする新方式のシングルサインオンドメイン(第2のシングルサインオンシステム)2とを有し、両シングルサインオンドメイン1、2にインターネット31を介してユーザ操作用のクライアント32が接続されている。
既存のシングルサインオンドメイン1は、認証情報としてクッキー等既存の独自認証識別子を使用する既存のシングルサインオンによる認証を行うもので、ユーザの認証を行う認証サーバ(第1の認証サーバ)11と、認証サーバ11によって認証を受けたユーザに対してWebコンテンツを提供するWebサーバ(第1のサーバ)12と、既存のシングルサインオンドメイン1に属する仲介サーバ10とを有している。認証サーバ11、Webサーバ12、及び仲介サーバ10は、ネットワーク13に接続され、そのネットワーク13がインターネット31に接続されている。
新方式のシングルサインオンドメイン2は、認証情報としてクッキー等既存の独自認証識別子を使用せずに所定の認証アサーションを使用する新方式(例えば、既知のSAML(Security Assertion Markup Language)プロトコルに従って認証情報を交換する方式等)のシングルサインオンによる認証を行うもので、ユーザの認証を行う認証サーバ(第2の認証サーバ)21と、認証サーバ21によって認証を受けたユーザに対してWebコンテンツを提供するWebサーバ(第2のサーバ)22と、既存のシングルサインオンドメイン1に属すると共に新方式のシングルサインオンドメイン2に属する仲介サーバ10とを有している。認証サーバ21及びWebサーバ22は、ネットワーク23に接続され、そのネットワーク23がインターネット31に接続されている。
仲介サーバ10は、既存のシングルサインオンドメイン1にも新方式のシングルサインオンドメイン2にも属し、新方式のシングルサインオンドメイン2の認証サーバ21に対して、クライアント32が既存のシングルサインオンドメイン1で認証を受けている場合、それを認証サーバ21に通知する機能を持つ。また、認証サーバ11に対して、クッキー等既存の独自認証識別子の生成要求を行う機能を持つ。図1の例では、Webサーバとしての機能も兼ねている。これらの機能は、仲介サーバ10を構成するコンピュータ機が予め設定された認証プログラム等のプログラムを実行することで実現される。
認証サーバ11は、ユーザの認証とクッキー等既存の独自認証識別子の作成を行う機能を持つ。また、認証サーバ11は、仲介サーバ10からのクッキー等既存の独自認証識別子の生成要求に対し、クッキー等既存の独自認証識別子の作成を行う機能を持つ。これらの機能は、認証サーバ11を構成するコンピュータ機が予め設定された認証プログラム等の動作プログラムを実行することで実現される。
Webサーバ12は、通常のWebサーバが有している既存の機能のほか、認証サーバ11で発行されたクッキー等既存の独自認証識別子を理解することができ、認証されたユーザに対しコンテンツの提供を行う機能を持つ。これらの機能は、Webサーバ12を構成するコンピュータ機が予め設定されたWebサーバソフトウェア等の動作プログラムを実行することで実現される。Webサーバ12は、提供するコンテンツにより複数存在するものとする。
認証サーバ21は、ユーザの認証と認証アサーションの作成を行う機能と、認証アサーションの検証を行う機能とを持つ。認証アサーションは、認証されたことを示す情報で、認証した方式や有効期限などの情報から構成される。これらの機能は、認証サーバ21を構成するコンピュータ機が予め設定された認証プログラム等の動作プログラムを実行することで実現される。なお、認証アサーションの例として、SAMLプロトコルに従い規定されるSAMLアサーションがある。
Webサーバ22は、通常のWebサーバが有している既存の機能のほか、認証サーバ21で発行された認証アサーションの検証を行うことができ、認証されたユーザに対しコンテンツの提供を行う機能を持つ。これらの機能は、Webサーバ22を構成するコンピュータ機が予め設定されたWebサーバソフトウェア等の動作プログラムを実行することで実現される。Webサーバ22は、提供するコンテンツにより複数存在するものとする。
クライアント32は、PC(パーソナルコンピュータ)等のコンピュータ機で構成され、インターネット31を介して両シングルサインオンドメイン1、2とシングルサインオンを行う。本実施例では、既存のシングルサインオンドメイン1で認証済みのユーザ用のクライアント32が、新方式のシングルサインオンドメイン2でシングルサインオンを行う場合を想定している。
なお、上記の各種サーバ10〜12、21〜22及びクライアント32を構成するコンピュータ機内のハードウェア構成(CPU、メモリ(ROM/RAM)及びその他の記録媒体、通信I/F等の各種I/O装置等)の詳細については、既存のマシンがそのまま適用され、本発明とは直接関係しないため、その説明を省略する。
次に、図2及び図2を参照して、本実施例の動作について詳細に説明する。
まず、図2を参照して、既存のシングルサインオンドメイン1でユーザを認証した場合に、新方式のシングルサインオンドメイン2からシングルサインオンを実施する場合を考える。
まず、クライアント32は、既存のシングルサインオンドメイン1に対してユーザID及びパスワード等の情報を用いてシングルサインオン(SSO)を行う。これにより、認証サーバ11は、SSO認証を行い、既存のシングルサインオンドメイン1内で読むことができるクッキー等既存の独自認証識別子を発行する(ステップ11)。この独自認証識別子は、仲介サーバ10から参照することができる。
次に、クライアント32からWebサーバ22に対してアクセスを行う(ステップ12)。アクセスされたWebサーバ22は、クライアント32がまだ認証されていないことを検出する(ステップ103)と、認証サーバ21で認証を行わせるために、リダイレクトをクライアント32に対して返す(ステップ104)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ105)。
認証サーバ21は、クライアント32が認証されていないことを検出する(ステップ106)と、仲介サーバ10に対してクライアント32がシングルサインオンドメイン1で認証を受けているかどうかを問い合わせるために、リダイレクトを発行する(ステップ107)。リダイレクトの結果、クライアント32は、仲介サーバ10に対してアクセスを行う(ステップ108)。このときのアクセス情報には、認証サーバ11で発行された第1のシングルサインオンドメイン1のクッキー等既存の独自認証識別子が含まれる。
次いで、仲介サーバ10は、クライアント32のアクセス情報から認証サーバ11で発行された既存のシングルサインオンドメイン1のクッキー等既存の独自認証識別子を読み出すと、上記ステップ11にて既存のシングルサインオンドメイン1の認証サーバ11により認証されていることを検出する(ステップ109)。
これにより、仲介サーバ10は、既存のシングルサインオンドメイン1で認証されていることを示す認証アサーションを発行し(ステップ110)、発行された認証アサーションとともに、認証サーバ21に戻るようにリダイレクトをかける(ステップ111)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ112)。
認証サーバ21は、クライアント32から、仲介サーバ10により発行された認証アサーションを受け取る(ステップ113)と、認証アサーションの中身を確認し(ステップ114)、受け入れが確認できる場合は、認証サーバ21で新たにシングルサインオンドメイン2の認証アサーションを生成する(ステップ115)。
次いで、認証サーバ21は、発行された認証アサーションとともに、Webサーバ22に戻るようにリダイレクトをかける(ステップ116)。リダイレクトの結果、クライアント32は、Webサーバ22に対してアクセスを行う(ステップ117)。
Webサーバ22は、クライアント32から認証アサーションを受け取り、中身を確認する(ステップ118)。この認証アサーションの確認後、Webサーバ22は、情報を開示する(ステップ119)。
次に、図3を参照して、新方式のシングルサインオンドメイン2でユーザを認証したことを、既存のシングルサインオンドメイン1から利用する場合を考える。
まず、クライアント32(ユーザ)は、新方式のシングルサインオンドメイン2に対してシングルサインオン(SSO)を行うために、Webサーバ22へアクセスする(ステップ21)。
アクセスされたWebサーバ22は、クライアント32が認証されていないことを検出し(ステップ22)、認証サーバ21へリダイレクトを行う(ステップ203)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ204)。
これにより、認証サーバ21は、SSO認証を行い(ステップ205)、認証後、認証アサーションを発行し(ステップ206)、発行された認証アサーションとともに、仲介サーバ10に対してクライアント32が認証されていることを示すためにリダイレクトをかける(ステップ207)。リダイレクトの結果、クライアント32は、仲介サーバ10に対してアクセスを行う(ステップ208)。
仲介サーバ10は、クライアント32から受け取った認証アサーションの中身を確認し(ステップ209)、受け入れが確認できる場合は、認証サーバ11に対してクライアント32のクッキー等既存の独自認証識別子の発行依頼(生成要求)を行う(ステップ210)。
認証サーバ11は、クライアント32に対してSSO認証を行い、クッキー等既存の独自認証識別子を発行する(ステップ211)。認証サーバ11は、仲介サーバ10に対して認証終了を通知する(ステップ212)。
仲介サーバ10は、認証サーバ21に戻るようにリダイレクトをかける(ステップ213)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ214)。
その後、認証サーバ21は、発行された認証アサーションとともに、Webサーバ22に戻るように、リダイレクトをかける(ステップ215)。リダイレクトの結果、クライアント32は、認証アサーションと共に、Webサーバ22に対してアクセスを行う(ステップ216)。
Webサーバ22は、送られた認証アサーションを検証し(ステップ217)、その認証アサーションの中身を確認後、情報開示を行い(ステップ218)、これによりシングルサインオンが成立する。
従って、本実施例によれば、仲介サーバを用いることにより、クッキー等既存の独自認証識別子を使用している既存のシングルサインオンシステムと、クッキー等既存の独自認証識別子を使用することのできない新方式のシングルサインオンシステムとを連携させることが可能となる。
また、本実施例によれば、既存のシングルサインオンドメイン側の修正が不要であり、修正のためのコストがかからない。これは、従来、異なるシングルサインオン方式を連携させるためには、認証サーバで他のシングルサインオン方式で使用されるクッキー等既存の独自認証識別子を理解し、自身が使用する識別子へ変換する必要があったが、本実施例で示した通りこれが不要となる。
なお、上記実施例では、各サーバ間で認証アサーションを直接渡す場合を説明しているが、その他の実施例として、「アーティファクト」と呼ばれる認証アサーションと結びつけられた識別子を渡し、アーティファクトを渡されたサーバがアサーションを取得する方法を採用することもできる。この場合、上記実施例と比べて、認証アサーションを渡す部分が、アーティファクトを渡すこととなり、また、渡されたサーバの処理にアーティファクトからアサーションを取得しにいくという動作が追加されることになる。なお、アーティファクトの例として、SAMLプロトコルに従い規定されるSAMLアーティファクトがある。
また、上記実施例のステップ113を省略することもできる。この場合、Webサーバ22が、仲介サーバ10の認証アサーションを直接検証を行うことで実施することが可能となる。
また、上記実施例では、新方式のシングルサインオンドメイン2でユーザを認証したことを既存のシングルサインオンドメイン1から利用する場合において、仲介サーバを使用しているが、その他の実施例として、仲介サーバを使用しない場合でも適用可能である。この場合、認証サーバ11が、他の認証サーバ(ここでは、認証サーバ21)からの認証受け入れ要求を受け付ける機能を持つ必要がある。認証サーバ21での認証後、ステップ206において、仲介サーバにリダイレクトを行う代わりに、直接認証サーバ11に対して認証受け入れ要求を行う。これにより、認証サーバ11でクッキー等既存の独自認証識別子を発行することで、シングルサインオンの連携を行うことが可能となる。
さらに、上記実施例では、認証サーバ11が、仲介サーバ10からのクッキー等既存の独自認証識別子の生成要求に対し、クッキー等既存の独自認証識別子の作成を行う機能を持っているが、その他の実施例として、この機能を持たない場合でも適用可能である。この場合、上記実施例と比べて、新方式のシングルサインオンドメイン2でユーザを認証したことを、既存のシングルサインオンドメイン1からの利用ができなくなる。つまり、ステップ21以降の実施が不可能となる以外は、上記実施例と同様となる。
本発明の実施例によるシングルサインオンシステムの全体構成を示す図である。 既存のシングルサインオンドメインでユーザを認証した場合に新方式のシングルサインオンドメインからシングルサインオンを実施する場合の動作を説明するシーケンス図である。 新方式のシングルサインオンドメインでユーザを認証したことを既存のシングルサインオンドメインから利用する場合の動作を説明するシーケンス図である。
符号の説明
1 既存のシングルサインオンドメイン
2 新方式のシングルサインオンドメイン
10 仲介サーバ
11、21 認証サーバ
12、22 Webサーバ
13、23 ネットワーク

Claims (14)

  1. クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
    前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
    前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いる認証情報を用いたシングルサインオンの連携方法であって、
    前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを用意するステップと、
    前記クライアントから前記第2のサーバへのアクセス前に、前記第1の認証サーバが、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、
    前記クライアントから前記第2のサーバへのアクセス時に、前記仲介サーバが、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップと、
    前記第2の認証サーバが、前記仲介サーバからの通知を受けて前記認証アサーションを生成するステップと、
    その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとを有することを特徴とする認証情報を用いたシングルサインオンの連携方法。
  2. 前記クライアントから前記第2のサーバへのアクセス時に、前記第2の認証サーバが、前記クライアントに対し認証を行い前記認証アサーションを生成するステップと
    前記仲介サーバが、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップと、
    前記第1の認証サーバが、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、
    その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとをさらに有することを特徴とする請求項1に記載の認証情報を用いたシングルサインオンの連携方法。
  3. 前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いることを特徴とする請求項1又は2に記載の認証情報を用いたシングルサインオンの連携方法。
  4. 前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていることを特徴とする請求項1から3のいずれか1項に記載の認証情報を用いたシングルサインオンの連携方法。
  5. クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
    前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
    前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムであって、
    前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを備え、
    前記第1の認証サーバは、前記クライアントから前記第2のサーバへのアクセス前に、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成し、
    前記仲介サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知し、
    前記第2の認証サーバは、前記仲介サーバからの通知を受けて、前記認証アサーションを生成することを特徴とするシングルサインオンシステム。
  6. 前記第2の認証サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントに対し認証を行い前記認証アサーションを生成し、
    前記仲介サーバは、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出し、
    前記第1の認証サーバは、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成することを特徴とする請求項5に記載のシングルサインオンシステム。
  7. 前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いることを特徴とする請求項5又は6に記載のシングルサインオンシステム。
  8. 前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていることを特徴とする請求項5から7のいずれか1項に記載のシングルサインオンシステム。
  9. クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
    前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
    前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、
    前記第1及び第2のシングルサインオンシステムに接続され、
    前記独自認証識別子及び前記認証アサーションを認識すると共に、
    前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする仲介サーバ。
  10. 前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すことを特徴とする請求項9に記載の仲介サーバ。
  11. クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、
    前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする仲介サーバの動作方法。
  12. さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すことを特徴とする請求項11に記載の仲介サーバの動作方法。
  13. クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、
    前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップをコンピュータに実行させることを特徴とする仲介サーバの動作プログラム。
  14. さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップをコンピュータに実行させることを特徴とする請求項13に記載の仲介サーバの動作プログラム。
JP2005071029A 2005-03-14 2005-03-14 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム Active JP4543322B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005071029A JP4543322B2 (ja) 2005-03-14 2005-03-14 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005071029A JP4543322B2 (ja) 2005-03-14 2005-03-14 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム

Publications (2)

Publication Number Publication Date
JP2006252418A true JP2006252418A (ja) 2006-09-21
JP4543322B2 JP4543322B2 (ja) 2010-09-15

Family

ID=37092823

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005071029A Active JP4543322B2 (ja) 2005-03-14 2005-03-14 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム

Country Status (1)

Country Link
JP (1) JP4543322B2 (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008242684A (ja) * 2007-03-27 2008-10-09 Fujitsu Ltd 認証処理方法及びシステム
JP2009217522A (ja) * 2008-03-10 2009-09-24 Nippon Telegr & Teleph Corp <Ntt> 個人属性情報提供システムおよび個人属性情報提供方法
WO2009128278A1 (ja) * 2008-04-17 2009-10-22 日本電気株式会社 要求側分散id管理装置、提供側分散id管理装置、分散id管理システムおよび提供側分散id管理方法
KR100953092B1 (ko) 2007-11-06 2010-04-19 한국전자통신연구원 Sso서비스 방법 및 시스템
JP2011175590A (ja) * 2010-02-25 2011-09-08 Kddi R & D Laboratories Inc ネットワーク認証システム、ネットワーク認証方法およびプログラム
JP2011175591A (ja) * 2010-02-25 2011-09-08 Kddi R & D Laboratories Inc ネットワーク認証システム、ネットワーク認証方法およびプログラム
US20120254429A1 (en) * 2011-03-31 2012-10-04 International Business Machine Corporation Non-Intrusive Single Sign-On Mechanism in Cloud Services
US8386776B2 (en) 2007-09-25 2013-02-26 Nec Corporation Certificate generating/distributing system, certificate generating/distributing method and certificate generating/distributing program
JP2013114622A (ja) * 2011-11-30 2013-06-10 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステム、ゲートウェイサーバ、ユーザ識別子連携方法及びユーザ識別子連携プログラム
JP2013182302A (ja) * 2012-02-29 2013-09-12 Nec System Technologies Ltd ネットワークシステム、認証連携装置、認証連携方法、及びプログラム
JP2015518228A (ja) * 2012-06-11 2015-06-25 シマンテック コーポレーションSymantec Corporation 多要素認証を実施するためのシステム及び方法
JP2015133034A (ja) * 2014-01-15 2015-07-23 株式会社リコー 情報処理システム及び認証方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002208965A (ja) * 2001-01-04 2002-07-26 Nec Corp インターネット中継接続方式
JP2002288138A (ja) * 2001-03-27 2002-10-04 Matsushita Electric Works Ltd Wwwサーバ認証連携システム
WO2003073783A1 (en) * 2002-02-28 2003-09-04 Telefonaktiebolaget L M Ericsson System, method and apparatus for federated single sign-on services
WO2004059415A2 (en) * 2002-12-31 2004-07-15 International Business Machines Corporation Method and system for authentification in a heterogeneous federated environment, i.e. single sign on in federated domains
JP2004234329A (ja) * 2003-01-30 2004-08-19 Nippon Telegraph & Telephone East Corp Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体
JP2005529392A (ja) * 2002-06-06 2005-09-29 シー. ハルト,ディック 階層的分散アイデンティティ管理

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002208965A (ja) * 2001-01-04 2002-07-26 Nec Corp インターネット中継接続方式
JP2002288138A (ja) * 2001-03-27 2002-10-04 Matsushita Electric Works Ltd Wwwサーバ認証連携システム
WO2003073783A1 (en) * 2002-02-28 2003-09-04 Telefonaktiebolaget L M Ericsson System, method and apparatus for federated single sign-on services
JP2005519501A (ja) * 2002-02-28 2005-06-30 テレフオンアクチーボラゲット エル エム エリクソン(パブル) シングルサインオンサービスのためのシステム、方法、および装置
JP2005529392A (ja) * 2002-06-06 2005-09-29 シー. ハルト,ディック 階層的分散アイデンティティ管理
WO2004059415A2 (en) * 2002-12-31 2004-07-15 International Business Machines Corporation Method and system for authentification in a heterogeneous federated environment, i.e. single sign on in federated domains
JP2006515447A (ja) * 2002-12-31 2006-05-25 インターナショナル・ビジネス・マシーンズ・コーポレーション 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム
JP2004234329A (ja) * 2003-01-30 2004-08-19 Nippon Telegraph & Telephone East Corp Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008242684A (ja) * 2007-03-27 2008-10-09 Fujitsu Ltd 認証処理方法及びシステム
US8386776B2 (en) 2007-09-25 2013-02-26 Nec Corporation Certificate generating/distributing system, certificate generating/distributing method and certificate generating/distributing program
KR100953092B1 (ko) 2007-11-06 2010-04-19 한국전자통신연구원 Sso서비스 방법 및 시스템
JP2009217522A (ja) * 2008-03-10 2009-09-24 Nippon Telegr & Teleph Corp <Ntt> 個人属性情報提供システムおよび個人属性情報提供方法
JP5365628B2 (ja) * 2008-04-17 2013-12-11 日本電気株式会社 要求側分散id管理装置、提供側分散id管理装置、分散id管理システムおよび提供側分散id管理方法
WO2009128278A1 (ja) * 2008-04-17 2009-10-22 日本電気株式会社 要求側分散id管理装置、提供側分散id管理装置、分散id管理システムおよび提供側分散id管理方法
US8650275B2 (en) 2008-04-17 2014-02-11 Nec Corporation Requester-side distributed ID management device, provider-side distributed ID management device, distributed ID management system, and provider-side distributed ID management method
JP2011175590A (ja) * 2010-02-25 2011-09-08 Kddi R & D Laboratories Inc ネットワーク認証システム、ネットワーク認証方法およびプログラム
JP2011175591A (ja) * 2010-02-25 2011-09-08 Kddi R & D Laboratories Inc ネットワーク認証システム、ネットワーク認証方法およびプログラム
US20120254429A1 (en) * 2011-03-31 2012-10-04 International Business Machine Corporation Non-Intrusive Single Sign-On Mechanism in Cloud Services
US8825855B2 (en) 2011-03-31 2014-09-02 International Business Machines Corporation Non-intrusive single sign-on mechanism in cloud services
JP2013114622A (ja) * 2011-11-30 2013-06-10 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステム、ゲートウェイサーバ、ユーザ識別子連携方法及びユーザ識別子連携プログラム
JP2013182302A (ja) * 2012-02-29 2013-09-12 Nec System Technologies Ltd ネットワークシステム、認証連携装置、認証連携方法、及びプログラム
JP2015518228A (ja) * 2012-06-11 2015-06-25 シマンテック コーポレーションSymantec Corporation 多要素認証を実施するためのシステム及び方法
JP2015133034A (ja) * 2014-01-15 2015-07-23 株式会社リコー 情報処理システム及び認証方法

Also Published As

Publication number Publication date
JP4543322B2 (ja) 2010-09-15

Similar Documents

Publication Publication Date Title
JP4543322B2 (ja) 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム
US8879099B2 (en) Printing system and method including authentication and owner name acquisition
JP7382818B2 (ja) ネイティブモバイルアプリケーション起点のOpenID Connect(OIDC)フロー及びセキュリティアサーションマークアップ言語(SAML)フローのためのシームレスなシングルサインオン(SSO)のための方法及びシステム
JP6682254B2 (ja) 認証連携システム及び認証連携方法、認可サーバー及びプログラム
JP7382753B2 (ja) セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム
US9021570B2 (en) System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
KR100968179B1 (ko) 사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체
JP6677496B2 (ja) 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム
CN1514569B (zh) 在不同类联合环境中用于验证的方法和系统
US7707414B2 (en) Information processing device for authentication processing, information processing method, and control program for executing the method
US9185102B2 (en) Server system and control method
US9065828B2 (en) System for delegation of authority, access management service system, medium, and method for controlling the system for delegation of authority
US8191127B2 (en) Information processing apparatus and method
JP5988699B2 (ja) 連携システム、その連携方法、情報処理システム、およびそのプログラム。
JP2009032070A (ja) 認証システム及び認証方法
JP2015133034A (ja) 情報処理システム及び認証方法
JP2009157640A (ja) ユーザ認証方法およびシステム
JP5626919B2 (ja) ネットワークシステム、認証連携装置、認証連携方法、及びプログラム
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
JP2009245268A (ja) 業務管理システム
CN108243164B (zh) 一种电子政务云计算跨域访问控制方法和系统
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
JP5383923B1 (ja) 情報処理装置、情報処理システム、情報処理方法およびプログラム
JP4573559B2 (ja) 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100603

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100616

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4543322

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150