JP2007272492A - Authentication and authorization server, authentication and authorization system, authentication and authorization method, and authentication and authorization program - Google Patents
Authentication and authorization server, authentication and authorization system, authentication and authorization method, and authentication and authorization program Download PDFInfo
- Publication number
- JP2007272492A JP2007272492A JP2006096289A JP2006096289A JP2007272492A JP 2007272492 A JP2007272492 A JP 2007272492A JP 2006096289 A JP2006096289 A JP 2006096289A JP 2006096289 A JP2006096289 A JP 2006096289A JP 2007272492 A JP2007272492 A JP 2007272492A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- attribute information
- information
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
この発明は、例えば、ユーザが複数の企業に跨って権限をもち、かつ、複数の企業を跨ってシステムを利用する際に、各企業のシステムに対して各企業における職務または権限によりアクセス制御を行う技術に関するものである。 In the present invention, for example, when a user has authority across a plurality of companies and uses the system across a plurality of companies, the access control is performed on the system of each company by the duties or authority of each company. It relates to the technology to be performed.
企業では、さまざまなシステムをさまざまなユーザが使用するために厳密なアクセス制御が必要である。また、近年、利用者が企業グループ内など複数の企業に跨って職務をもつことがある。この場合、企業内だけでなく、複数の企業に跨がってシステムを利用する必要がある。しかし、業種によっては、同時に複数の企業に跨った職務を実施することが法令などにより禁止されている場合がある。そのため、このような場合に各企業のシステム毎に操作端末を異なる部屋に設置するなどの運用で対策がとられている。しかし、利用者の利便性は著しく低い。そこで、複数の企業のシステムへの認証認可を統合して行う仕組が必要である。 In an enterprise, strict access control is required for various users to use various systems. In recent years, there are cases where a user has duties across a plurality of companies such as a company group. In this case, it is necessary to use the system not only within the company but also across a plurality of companies. However, depending on the type of business, there may be cases where it is prohibited by law or the like to perform duties across multiple companies at the same time. Therefore, in such a case, measures are taken in operation such as installing an operation terminal in a different room for each company's system. However, the convenience for the user is extremely low. Therefore, it is necessary to have a mechanism that integrates authentication and authorization for systems of a plurality of companies.
Webクライアント/サーバ型のシステムにおいて、複数システムの認証及び認可を統合して行う認証認可サーバが存在する。この認証認可サーバでは、1つの認証リポジトリのみを参照し、認証認可を行う。ここで認証リポジトリとは、認証情報を有するサーバ、データベースなどである。
また、分散した拠点において拠点毎にアクセス制御を行う装置を置くことにより、ローカル拠点だけではなく分散拠点からのアクセスに対してアクセス制御を行い、一定の操作権限を与えるものがある。
また、特開2000−148737号公報では、ネットワークを介して分散管理された各電子文書に対して、関与者情報等を含んだコミュニケーション情報を持たせる。そして、分散管理されたコミュニケーション情報同士をリンクで関連付ける。このコミュニケーション情報を用いることにより、ローカルのユーザのみならず、他の場所のユーザに対してもアクセス制御できる。
In addition, there are devices that provide access control from a distributed base as well as a local base by providing a device that performs access control for each base at a distributed base, and give a certain operating authority.
In Japanese Patent Laid-Open No. 2000-148737, each electronic document distributed and managed through a network is provided with communication information including participant information. Then, the distributedly managed communication information is associated with each other by a link. By using this communication information, access control can be performed not only for local users but also for users in other locations.
従来の認証認可システムによるアクセス制御では、複数の企業のシステムを使用する場合にはそれぞれの認証認可システムにログインして業務を実施する。そのため、それぞれの企業でユーザ管理も行われており、ユーザ属性情報(ユーザ管理情報)に関連はない。したがって、同時に複数の企業の業務にアクセスすることに対して制御できないという課題がある。
また、企業を跨って職務を有する場合に、ある企業の認証認可サーバから他企業のシステムに接続可能する場合、各企業の認証リポジトリにおいて他社のユーザ属性情報を管理する必要がある。つまり、この場合には、ユーザ属性情報の二重管理が必要となり、セキュリティレベルの低下、運用負荷の増加が発生するという課題がある。
本発明は、例えば、1つの認証認可システムの認証により、複数の企業のシステムへのアクセス制御を行うことを目的とする。また、本発明は、例えば、複数の企業(グループ)に跨って職務(権限)を有し、1つの認証認可サーバから複数の企業のシステムへアクセスする場合にも、ユーザ属性情報を一元管理することを目的とする。
In the access control by the conventional authentication / authorization system, when a plurality of company's systems are used, the business is performed by logging in to each authentication / authorization system. Therefore, user management is also performed in each company, and it is not related to user attribute information (user management information). Therefore, there is a problem that it is not possible to control access to the operations of a plurality of companies at the same time.
In addition, when having a job across companies, if it is possible to connect to a system of another company from a certain company's authentication authorization server, it is necessary to manage the user attribute information of the other company in the authentication repository of each company. That is, in this case, double management of user attribute information is required, and there is a problem that the security level is lowered and the operation load is increased.
An object of the present invention is to perform access control to systems of a plurality of companies, for example, by authentication of one authentication / authorization system. In addition, the present invention unifies management of user attribute information even when, for example, a job (authority) spans a plurality of companies (groups) and a system of a plurality of companies is accessed from one authentication authorization server. For the purpose.
本発明にかかる認証認可サーバは、属性情報と、リンクする認証リポジトリを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶装置に記憶する複数の認証リポジトリから、所定の認証リポジトリを処理装置により検索する認証リポジトリ検索部と、上記認証リポジトリ検索部が検索した認証リポジトリである第1認証リポジトリから所定のユーザのユーザ属性情報を取得して記憶装置に記憶する第1ユーザ属性情報取得部と、上記第1ユーザ属性情報取得部が取得したユーザ属性情報からリンク情報を取得して記憶装置に記憶するリンク情報取得部と、上記リンク情報取得部が取得したリンク情報が示す認証リポジトリである第2認証リポジトリから上記ユーザのユーザ属性情報を取得して記憶装置に記憶する第2ユーザ属性情報取得部と、上記第1認証リポジトリが割当てられたグループである第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行い、上記第2認証リポジトリが割当てられたグループである第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う認証認可処理部と
を備えることを特徴とする。
An authentication authorization server according to the present invention includes a predetermined authentication repository from a plurality of authentication repositories that store user attribute information assigned to each user including attribute information and link information indicating an authentication repository to be linked in a storage device. Obtaining first user attribute information for acquiring user attribute information of a predetermined user from an authentication repository search unit that is searched by a processing device and a first authentication repository that is an authentication repository searched by the authentication repository search unit, and storing it in a storage device A link information acquisition unit that acquires link information from the user attribute information acquired by the first user attribute information acquisition unit and stores it in a storage device, and an authentication repository indicated by the link information acquired by the link information acquisition unit A second user that acquires user attribute information of the user from a second authentication repository and stores it in a storage device. User attribute acquired by the first user attribute information acquisition unit with respect to the access from the user terminal by the user to the server of the first group which is the group to which the attribute information acquisition unit and the first authentication repository are assigned The second user attribute information acquisition unit performs access control by the processing device based on the information, and the access from the user terminal by the user to the server of the second group that is the group to which the second authentication repository is assigned. And an authentication / authorization processing unit that performs access control by the processing device based on the user attribute information acquired.
本発明にかかる認証認可サーバよれば、各認証リポジトリ毎に記憶されたユーザ属性情報に基づき、各グループのサーバへのアクセス制御を行う。また、ユーザ属性情報はリンク情報により、他の認証リポジトリとリンクされている。したがって、1つの認証認可システムの認証により、複数の企業のシステムへのアクセス制御を行うことができる。 According to the authentication authorization server according to the present invention, access control to the server of each group is performed based on the user attribute information stored for each authentication repository. The user attribute information is linked with other authentication repositories by link information. Therefore, access control to a plurality of company systems can be performed by authentication of one authentication / authorization system.
以下、図に基づき本発明の実施の形態について説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
まず、図1、図2に基づき本発明にかかる認証認可サーバ100のハードウェア構成の一例について説明する。 First, an example of the hardware configuration of the authentication authorization server 100 according to the present invention will be described with reference to FIGS.
図1は、実施の形態にかかる認証認可システム1000の外観の一例を示した図である。
図1において、認証認可システム1000は、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B)902、マウス903、コンパクトディスク装置(CDD)905、データベース908、システムユニット909、サーバA917、サーバB918を備え、これらはケーブルで接続されている。
さらに、認証認可システム1000は、ローカルエリアネットワーク(LAN)942、ゲートウェイ941を介してインターネット940に接続されている。また、認証認可システム1000は、インターネット940を介して外部サーバ916等と接続されている。
ここで、サーバA917は、後述する認証認可サーバ100の一例である。また、サーバB918や外部サーバ916は、後述するWeb系業務などを提供する業務サーバの一例である。さらに、データベース908は、認証リポジトリ、ACLDB(Access Control List Data Base)の一例である。また、CRT表示装置901は表示装置986の一例である。
FIG. 1 is a diagram illustrating an example of an appearance of an authentication authorization system 1000 according to the embodiment.
In FIG. 1, an authentication authorization system 1000 includes a CRT (Cathode Ray Tube)
Further, the authentication / authorization system 1000 is connected to the Internet 940 via a local area network (LAN) 942 and a
Here, the server A 917 is an example of an authentication authorization server 100 described later. The server B 918 and the external server 916 are examples of business servers that provide Web-based business and the like described later. Further, the database 908 is an example of an authentication repository, ACLDB (Access Control List Data Base). The
図2は、実施の形態における認証認可サーバ100のハードウェア構成の一例を示す図である。
図2において、認証認可サーバ100は、コンピュータであり、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disc)904、CDD905、磁気ディスク装置920と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置984の一例である。
通信ボード915は、LAN942等に接続されている。
また、K/B902、マウス903等は、入力装置982の一例である。
また、CPU911は、処理装置980の一例である。
また、通信ボード915は、通信装置988の一例である。
FIG. 2 is a diagram illustrating an example of a hardware configuration of the authentication authorization server 100 according to the embodiment.
In FIG. 2, the authentication / authorization server 100 is a computer, and includes a CPU (Central Processing Unit) 911 that executes a program. The
The
The
K /
The
The
ここで、通信ボード915は、LAN942に限らず、直接、インターネット940、或いはISDN等のWAN(ワイドエリアネットワーク)に接続されていても構わない。直接、インターネット940、或いはISDN等のWANに接続されている場合、認証認可サーバ100は、インターネット940、或いはISDN等のWANに接続され、ゲートウェイ941は不用となる。
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
Here, the
The
上記プログラム群923には、以下に述べる実施の形態の説明において、例えば、「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜判定」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD、光ディスク、CD、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
In the
In the
Also, the arrows in the flowcharts described in the following description of the embodiments mainly indicate data input / output, and the data for the data input / output is the
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、ハードウェアのみ、或いは、ソフトウェアとハードウェアとの組合せ、さらには、ファームウェアとの組合せで実施されても構わない。
In addition, what is described as “unit” in the description of the embodiment described below may be realized by firmware stored in the
また、以下に述べる実施の形態を実施するプログラムは、また、磁気ディスク装置920、FD、光ディスク、CD、MD、DVD等のその他の記録媒体による記録装置を用いて記憶されても構わない。
In addition, a program that implements the embodiment described below may be stored using a recording device using another recording medium such as the
実施の形態1.
次に、実施の形態1について説明する。実施の形態1では、1度の認証のみで複数の企業のシステムへのアクセス制御を行う認証認可システム1000について説明する。
Next, the first embodiment will be described. In the first embodiment, an authentication authorization system 1000 that performs access control to a plurality of company systems with only one authentication will be described.
図3は実施の形態1にかかる認証認可システム1000の概要構成を示す構成図である。
認証認可システム1000は、認証認可サーバ1、認証リポジトリA2a、認証リポジトリB2b、ACLDB3を備える。ここで、認証リポジトリA2aは企業Aに割当てられた認証リポジトリであり、認証リポジトリB2bは企業Bに割当てられた認証リポジトリである。
FIG. 3 is a configuration diagram showing a schematic configuration of the authentication authorization system 1000 according to the first embodiment.
The authentication authorization system 1000 includes an
認証リポジトリA2aはユーザ情報2a−1を記憶し、認証リポジトリB2bは、ユーザ情報2b−1を記憶する。ユーザ情報2a−1とユーザ情報2b−1とは、ユーザID(識別子)、組織、役職、リンク情報(リンク元、リンク先)を備えるユーザ属性情報を管理する。つまり、認証リポジトリA2aと認証リポジトリB2bとは、ユーザ毎に、割当てられたユーザ属性情報を記憶する。また、リンク情報には、ここでは、リンク元(先)認証リポジトリ及びユーザIDが記憶される。ACLDB3はアクセス制御リスト3−1を記憶する。アクセス制御リスト3−1は、ACL名をキーにして、業務サーバへアクセスする権限を企業、役割(組織、役職)、職務、業務サーバ毎に管理する。
認証認可システム1000は、クライアント4から企業Aや企業Bの各業務サーバへアクセスがあった場合、認証リポジトリA2aと認証リポジトリB2b、ACLDB3の情報を使用してアクセス制御を行う。
The authentication repository A2a stores
When the
次に、図4、図5、図6に基づき認証認可システム1000の機能と動作とを説明する。図4は、実施の形態1にかかる認証認可システム1000の機能を示す機能ブロック図である。
図4において、認証認可システム1000は、上記と同様に、認証認可サーバ1、認証リポジトリA2a、認証リポジトリB2b、ACLDB3を備える。また、認証認可サーバ1は、企業Aの業務サーバA−1、業務サーバA−2と、企業Bの業務サーバB−1、業務サーバB−2と接続されている。
認証認可サーバ1は、識別情報受信部10、認証リポジトリ検索部20、ユーザ属性情報取得部30、リンク情報取得部40、権限情報取得部50、認証認可処理部60、認証判定部90、処理装置980、記憶装置984、通信装置988を備える。また、ユーザ属性情報取得部30は、第1ユーザ属性情報取得部32、第2ユーザ属性情報取得部34を備える。
Next, functions and operations of the authentication / authorization system 1000 will be described with reference to FIGS. 4, 5, and 6. FIG. 4 is a functional block diagram illustrating functions of the authentication authorization system 1000 according to the first embodiment.
In FIG. 4, the authentication / authorization system 1000 includes an authentication /
The
図5は、実施の形態1における認証認可サーバ1の認証処理のフローチャートである。図6は、実施の形態1における認証認可サーバ1の認可処理のフローチャートである。これらは、認証認可サーバ1の認証認可処理(認証認可方法、認証認可プログラム)の一例である。
FIG. 5 is a flowchart of the authentication process of the
まず、ユーザによりクライアント4(ユーザ端末の一例)からWebブラウザなどを使用して、認証認可サーバ1へアクセスされる(S1:認証認可サーバアクセスステップ)。次に、認証判定部90は、認証済み情報の有無により認証済か否かを処理装置980により判定する(S2:認証確認ステップ)。認証済であると認証判定部90が判定した場合(S2で認証済)、認証判定部90は(S5)へ進む。一方、認証済でないと認証判定部90が判定した場合(S2で認証前)、認証判定部90は、例えば図3に示すログイン画面6などを送信する(S3:識別画面送信ステップ)。ここで、図3に示すようにユーザ認証に使用するログイン画面は、ユーザID(UID)、パスワード(PWD)、企業コードを入力するための欄および入力データを送信するためのSUBMITボタンを備える。そして、クライアント4の表示装置にログイン画面6が表示される(S4:識別画面表示ステップ)。ユーザが、ログイン画面6にてユーザを識別するユーザID(ユーザ識別情報の一例)、パスワード、企業を識別する企業コード(グループ識別情報の一例)を入力し、SUBMITボタンを押下する(S5:識別情報入力ステップ)。すると、認証認可サーバ1へユーザが入力した情報が送信される(S6:識別情報送信ステップ)。ここでは、ユーザはユーザIDとして「ユーザA」、企業コードとして「A」を入力したとする。
First, the user accesses the
認証認可サーバ1の識別情報受信部10は、ユーザが送信したユーザID、パスワード、企業コードを、通信装置988を介して受信する(S7:識別情報受信ステップ)。そして、認証リポジトリ検索部20は、企業コードから認証に使用する認証リポジトリを検索して決定する(S8:認証リポジトリ検索ステップ)。ここでは企業A(第1グループの一例)に割当てられた「認証リポジトリA2a」(第1認証リポジトリの一例)に決定される。次に、認証判定部90は、認証リポジトリ検索部20が決定した認証リポジトリに対して、ユーザID、パスワードを使用して、認証リクエストを送信する(S9:認証リクエスト送信ステップ)。認証判定部90は、認証リポジトリからの応答に基づき認証するか否かを処理装置980により判定する(S10:認証判定ステップ)。認証判定部90が認証しない場合(S10で失敗)、認証判定部90は(S3)へ戻る。一方、認証判定部90が認証した場合(S10で成功)、認証判定部90は認証済情報を作成する(S11:認証済情報作成ステップ)。そして、第1ユーザ属性情報取得部32は、認証リポジトリA2aから該当のユーザのユーザ属性情報(組織、役職)を取得し、組織、役職情報を認証済情報に主職務として格納する(S12:第1ユーザ属性情報取得ステップ)。ここでは、第1ユーザ属性情報取得部32は、企業A、総務、課長を主職務として記憶装置984に記憶する。次に、リンク情報取得部40は、第1ユーザ属性情報取得部32が取得したユーザ属性情報のリンク情報に値が設定されているか処理装置980によりチェックする(S13:リンク情報判定ステップ)。リンク情報がないとリンク情報取得部40が判定した場合(S13でなし)、リンク情報取得部40は(S16)へ進む。一方、リンク情報があるとリンク情報取得部40が判定した場合(S13であり)、リンク情報取得部40はACLDB3から取得したユーザ属性情報に含まれるリンク情報を取得する。(S14:リンク情報取得ステップ)。そして、第2ユーザ属性情報取得部34は、リンク先およびリンク元の認証リポジトリからユーザ属性情報(組織、役職)を取得して、上述の認証済み情報に副職務として記憶装置984に格納する(S15:第2ユーザ属性情報取得ステップ)。ここでは、リンク先情報として「認証リポジトリBのユーザA’」を記憶している。そのため、第2ユーザ属性情報取得部34は、認証リポジトリB(第2認証リポジトリの一例)のユーザA’のユーザ属性情報を取得する。つまり、第2ユーザ属性情報取得部34は、企業B(第2グループの一例)、経理、担当を副職務として記憶する。(S13)から(S15)までの処理をリンク先とリンク元とのユーザ属性情報をすべて取得するまで繰り返す。そして、認証認可サーバ1は認証完了する(S16:認証完了ステップ)。
The identification
そして、認証が完了したユーザがクライアント4から、認証認可サーバ1経由で、業務サーバへアクセスする(S19:サーバアクセス認証ステップ)。次に、権限情報取得部50は、ACLDB3からアクセス先の業務サーバに関するACL(権限情報)を取得して記憶装置984に記憶する(S20:権限情報取得ステップ)。そして、認証認可処理部60は、主務職と権限情報取得部50が取得したACLとを処理装置980により比較する(S21:第1権限情報比較ステップ(認証認可処理ステップ))。認証認可処理部60が主職務と一致すると判定した場合(S21で一致)、認証認可処理部60は(S24)へ進む。一方、認証認可処理部60が主職務と一致しないと判定した場合(S21で不一致)、認証認可処理部60は副職務の有無を処理装置980によりチェックする(S22:第2権限情報判定ステップ)。副職務がないと認証認可処理部60が判定した場合(S22でなし)、認証認可処理部60はクライアントへアクセス不可通知を、通信装置988を介して送信して処理を終了する(S26:認証失敗通知ステップ)。一方、副職務があると認証認可処理部60が判定した場合(S22であり)、認証認可処理部60は副職務とACLとを処理装置980により比較する(S23:第2権限情報比較ステップ(認証認可処理ステップ))。副職務と一致すると認証認可処理部60が判定した場合(S23で一致)、ACLDB3のアクセス制御リスト3−1に従い、処理装置980により権限を設定する(S24:アクセス権限設定ステップ(認証認可処理ステップ))。一方、副職務と一致しないと認証認可処理部60が判定した場合(S23で不一致)、認証認可処理部60は(S22)へ戻り、他に副職務があるかをチェックする。(S24)にて権限を設定された場合、設定された権限に基づき業務サーバへアクセスする(S25:サーバアクセスステップ)。
The user who has completed authentication accesses the business server from the
ここで、まず、ユーザAが企業Aの業務サーバA−1にアクセスするものとする(S19)。すると、ユーザAの現在の主職務は(企業A、総務、課長)であるため、ACLDB3のアクセス制御リスト3−1のACL−A1に一致し(S21で一致))、権限は「読み書き」可能となる(S24)。
一方、ユーザAが企業Bの業務サーバB−1にアクセスするとする(S19)。すると、ユーザAの現在の主職務は(企業A、総務、課長)であるため、主職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はない(S21で不一致)。次に、ユーザAの副職務の有無をチェックするが(S22)、ユーザAには副職務が存在する(S22であり)。そして、ユーザAの副職務は(企業B、経理、担当)であるため、ACLDB3のアクセス制御リスト3−1のACL−B2と一致し(S23で一致)、権限は「読み」のみ可能となる(S24)。
Here, first, it is assumed that the user A accesses the business server A-1 of the company A (S19). Then, since the current main job of user A is (company A, general affairs, section manager), it matches ACL-A1 in ACLDB3 access control list 3-1 (matched in S21), and the authority can be “read and write” (S24).
On the other hand, assume that user A accesses business server B-1 of company B (S19). Then, since the current main duties of the user A are (company A, general affairs, section manager), there is no authority information in the access control list 3-1 of the
また、ユーザAが、企業Aの業務サーバA−2にアクセスする場合、上記業務サーバA−1にアクセスした際と同様の処理を辿る。つまり、ユーザAの主職務は(企業A、総務、課長)であるため、ACLDB3のアクセス制御リスト3−1のACL−A3にしたがい、権限は「読み」のみ可能となる。
一方、ユーザAが、企業Bの業務サーバB−2にアクセスすると、ユーザAの主職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はなく、またユーザAの副職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はないため、権限はなく、アクセス不可をクライアントに通知する(S26)。
Further, when the user A accesses the business server A-2 of the company A, the same processing as when accessing the business server A-1 is followed. That is, since the main duties of the user A are (company A, general affairs, section manager), according to ACL-A3 of the access control list 3-1 of ACLDB3, the authority can only be “read”.
On the other hand, when the user A accesses the business server B-2 of the company B, there is no authority information in the access control list 3-1 of the
つまり、認証認可処理部60は、ユーザによりログイン時などに選択された企業A(第1グループの一例)のサーバへのクライアント4からのアクセスに対しては、企業Aに割当てられた認証リポジトリA2a(第1認証リポジトリの一例)から取得したユーザ属性情報(第1ユーザ属性情報取得部32が取得したユーザ属性情報)に基づき処理装置980によりアクセス制御を行う。一方、企業B(第2グループの一例)のサーバへのクライアント4からのアクセスに対しては、企業Bに割当てられた認証リポジトリB2b(第2認証リポジトリの一例)から取得したユーザ属性情報(第2ユーザ属性情報取得部34が取得したユーザ属性情報)に基づき処理装置980によりアクセス制御を行う。
また、権限情報取得部50は、企業Aのサーバへのクライアント4からのアクセスに対しては、主職務(第1レベルの一例)に割当てられたACLを認証リポジトリA2aから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第1権限情報の一例)に基づきアクセス制御を行う。一方、権限情報取得部50は、企業Bのサーバへのクライアント4からのアクセスに対しては、副職務(第2レベルの一例)に割当てられたACLを認証リポジトリB2bから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第2権限情報の一例)に基づきアクセス制御を行う。
That is, the authentication
In addition, for access from the
次に、ユーザAがログイン画面6で企業Bを入力したときの動作を示す。基本的な流れは上記と同様である。
まず、ユーザによりクライアント4からWebブラウザなどを使用して、認証認可サーバ1にアクセスされる(S1)。認証前の場合、クライアント4の表示装置にログイン画面6が表示される(S4)。ユーザAが、ログイン画面にてユーザID、パスワード、企業コードを入力し、SUBMITボタンを押下すると(S5)、認証認可サーバ1に入力した情報が送信される。ここでは、ユーザはユーザIDとして「ユーザA’」、企業コードとして「B」を入力したとする。
Next, an operation when the user A inputs the company B on the
First, the user accesses the
識別情報受信部10は、ユーザAが送信したユーザID、パスワード、企業コードを受け取り(S7)、認証リポジトリ検索部20は、企業コードから認証に使用する認証リポジトリを決定する(S8)。ここでは、企業B(第1グループの一例)に割当てられた「認証リポジトリB2b」(第1認証リポジトリの一例)に決定される。認証判定部90は、決定した認証リポジトリに対して、ユーザID、パスワードを使用して、認証処理を実施する(S9、S10)。認証に成功した場合(S10で成功)、認証判定部90は、認証済み情報を作成し(S11)、第1ユーザ属性情報取得部32は、該当のユーザ情報の属性(組織、役職)を取得する(S12)。第1ユーザ属性情報取得部32は、組織、役職は認証済情報に主職務として格納する。ここでは、第1ユーザ属性情報取得部32は、企業B、経理、担当を主職務として記憶する。リンク情報取得部40は、取得したリンク情報属性に値が設定されているかチェックし(S13)、リンク情報があった場合(S13であり)、リンク情報取得部40はリンク情報を取得する(S14)。そして、第2ユーザ属性情報取得部34は、リンク先およびリンク元の属性情報も取得する。取得した役職(組織、役職)と上述の認証済み情報に副職務として格納する(S15)。ここでは、リンク先情報として「認証リポジトリAのユーザA」を記憶している。そのため、第2ユーザ属性情報取得部34は、認証リポジトリA(第2認証リポジトリの一例)のユーザAのユーザ属性情報を取得する。つまり、第2ユーザ属性情報取得部34は、企業A(第2グループの一例)、総務、課長を副職務として記憶する。
The identification
認証が完了したユーザAが、企業Aの業務サーバA−1にアクセスすると(S19)、ユーザAの主職務は(企業B、経理、担当)であるため、主職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はない(S21で不一致)。次に、ユーザAの副職務の有無をチェックするが(S22)、ユーザAには副職務が存在する(S22であり)。そして、ユーザAの現在の副職務は(企業A、総務、課長)であるため、ACLDB3のアクセス制御リスト3−1のACL−A2にしたがい、権限は「読み」のみ可能となる。
一方企業Bの業務サーバB−1にアクセスすると、ユーザAの主職務は(企業B、経理、担当)であるため、ACLDB3のアクセス制御リスト3−1のACL−B1にしたがい、権限は「読み書き」可能となる。
また、ユーザAが、企業Aの業務サーバA−2にアクセスすると、ユーザAの主職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はなく、またユーザAの副職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はないため、権限はなく、アクセス不可をクライアントに通知する。
一方企業Bの業務サーバB−2にアクセスすると、ユーザAの主職務は(企業B、経理、担当)であるため、ACLDB3のアクセス制御リスト3−1のACL−B3にしたがい、権限は「読み」のみ可能となる。
When the user A who has been authenticated accesses the business server A-1 of the company A (S19), the main job of the user A is (company B, accounting, charge), so the access control of the
On the other hand, when the business server B-1 of the company B is accessed, since the main duty of the user A is (company B, accounting, charge), the authority is “read / write” according to the ACL-B1 of the access control list 3-1 of the ACLDB3. It becomes possible.
Further, when the user A accesses the business server A-2 of the company A, there is no authority information in the access control list 3-1 of the
On the other hand, when accessing the business server B-2 of the company B, since the main job of the user A is (company B, accounting, charge), the authority is “read” according to the ACL-B3 of the access control list 3-1 of the ACLDB3. Only possible.
以上のように、実施の形態1にかかる認証認可システム1000によれば、同一の業務サーバにアクセスする際に、システム利用時の職務に応じてアクセス権限を変えることにより、厳密なアクセス制御が可能である。また、ユーザの属性情報をリンクにより取り出し可能とすることで、ユーザ属性情報を企業ごとで分割することが可能となる。そのため、アクセス制御のためのユーザ属性情報の二重管理をする必要がない。したがって、二重管理による管理負荷増および、セキュリティ低下を防止することができる。 As described above, according to the authentication authorization system 1000 according to the first embodiment, when accessing the same business server, strict access control is possible by changing the access authority according to the duties at the time of using the system. It is. In addition, by making it possible to extract user attribute information through a link, the user attribute information can be divided for each company. Therefore, it is not necessary to perform double management of user attribute information for access control. Therefore, it is possible to prevent an increase in management load and a decrease in security due to double management.
つまり、実施の形態1にかかる認証認可システム1000は、企業ごとに認証リポジトリを分割管理している認証認可サーバ1において、企業を跨った同一ユーザ間にリンクを持つ認証リポジトリを備え、認証時にリンク情報をもとに複数企業における属性情報を認証情報として保持し、認証情報に記録されているユーザの属性情報を利用して、アクセス制御を行うことを特徴とする。
That is, the authentication / authorization system 1000 according to the first embodiment includes an authentication repository having a link between the same users across the companies in the authentication /
また、実施の形態1にかかる認証認可システム1000は、各企業の認証リポジトリの同一ユーザのデータ(エントリ)間にリンクを設定し、認証時にリンクにより収集した属性情報をもとに認証認可サーバ1が、利用ユーザの利用時の職務により、厳密なアクセス制御を行う。
The authentication authorization system 1000 according to the first embodiment sets a link between data (entries) of the same user in the authentication repository of each company, and the
実施の形態2.
次に実施の形態2について説明する。実施の形態1では、認証認可サーバ1が単一であるときの認証認可方式を示した。実施の形態2では、認証認可サーバ1が複数ある場合の認証及びアクセス制御を行う認証認可システム1000について説明する。
Next, a second embodiment will be described. In the first embodiment, the authentication and authorization method when the
図7は実施の形態2にかかる認証認可システム1000の概要構成を示す構成図である。実施の形態1の構成と異なり、認証認可サーバ1が同じドメインである認証認可サーバA1aと認証認可サーバB1bとの2つある。それにともない認証リポジトリ2も、認証認可サーバA1aが割当てられた企業Aに割当てられた認証リポジトリA2aと認証認可サーバB1bが割当てられた企業Bに割当てられた認証リポジトリB2bとの2つある。また、ACLDB3も企業Aに割当てられたACLDB−A3aと企業Bに割当てられたACLDB−B3bとの2つある。その他は、実施の形態1の構成と同様である。
FIG. 7 is a configuration diagram illustrating a schematic configuration of the authentication / authorization system 1000 according to the second embodiment. Unlike the configuration of the first embodiment, there are two authentication authorization servers A1a and B1b in which the
次に、図8、図9、図6に基づき認証認可システム1000の機能と動作とを説明する。図8は、実施の形態2にかかる認証認可システム1000の機能を示す機能ブロック図である。ここで、ユーザは、初めに認証認可サーバA1aへアクセスするものとする。そのため認証認可サーバA1aは第1認証認可サーバの一例であり、認証認可サーバB1bは第2認証認可サーバの一例である。また、認証リポジトリA2aは第1認証リポジトリの一例であり、認証リポジトリB2bは第2認証リポジトリの一例である。さらに、ACLDB−A3aは第1ACLDBの一例であり、ACLDB−B3bは第2ACLDBの一例である。
図8において、認証認可システム1000は、認証認可サーバA1a、認証認可サーバB1b、認証リポジトリA2a、認証リポジトリB2b、ACLDB−A3a、ACLDB−B3bを備える。また、認証認可サーバA1aは、企業A(第1グループの一例)の業務サーバA−1、業務サーバA−2と接続されている。さらに、認証認可サーバB1bは、企業B(第2グループの一例)の業務サーバB−1、業務サーバB−2と接続されている。
認証認可サーバA1aは、識別情報受信部10、認証リポジトリ検索部20、ユーザ属性情報取得部30、リンク情報取得部40、第1権限情報取得部52、第1認証認可処理部62、認証判定部90、処理装置980A、記憶装置984A、通信装置988Aを備える。また、ユーザ属性情報取得部30は、第1ユーザ属性情報取得部32、第2ユーザ属性情報取得部34を備える。
認証認可サーバB1bは、第2権限情報取得部54、第2認証認可処理部64、処理装置980B、記憶装置984B、通信装置988Bを備える。
Next, functions and operations of the authentication / authorization system 1000 will be described with reference to FIGS. 8, 9, and 6. FIG. 8 is a functional block diagram of functions of the authentication / authorization system 1000 according to the second embodiment. Here, it is assumed that the user first accesses the authentication authorization server A1a. Therefore, the authentication authorization server A1a is an example of a first authentication authorization server, and the authentication authorization server B1b is an example of a second authentication authorization server. The authentication repository A2a is an example of a first authentication repository, and the authentication repository B2b is an example of a second authentication repository. Further, ACLDB-A3a is an example of the first ACLDB, and ACLDB-B3b is an example of the second ACLDB.
In FIG. 8, the authentication authorization system 1000 includes an authentication authorization server A1a, an authentication authorization server B1b, an authentication repository A2a, an authentication repository B2b, ACLDB-A3a, and ACLDB-B3b. The authentication / authorization server A1a is connected to the business server A-1 and business server A-2 of the company A (an example of the first group). Furthermore, the authentication authorization server B1b is connected to the business server B-1 and business server B-2 of the company B (an example of the second group).
The authentication authorization server A1a includes an identification
The authentication authorization server B1b includes a second authority
図9は、実施の形態2における認証認可サーバA1a、認証認可サーバB1bの認証処理のフローチャートである。実施の形態2における認証認可サーバA1a、認証認可サーバB1bの認可処理は図6に示す処理と同様である。これらは、認証認可システムの認証認可処理(認証認可方法、認証認可プログラム)の一例である。 FIG. 9 is a flowchart of authentication processing of the authentication authorization server A1a and authentication authorization server B1b in the second embodiment. The authorization process of the authentication authorization server A1a and the authentication authorization server B1b in the second embodiment is the same as the process shown in FIG. These are examples of authentication authorization processing (authentication authorization method, authentication authorization program) of the authentication authorization system.
まずユーザによりクライアント4から、認証認可サーバA1aへアクセスされる。(S1)。(S2)から(S4)までは、実施の形態1と同様である。但し、(S2で認証済)の場合、(S5−1)へ進む。また、(S3)では、ログイン画面6−1を送信する。(S5−1:識別情報入力ステップ)では、ユーザが、ログイン画面6−1にてユーザを識別するユーザID(ユーザ識別情報の一例)、パスワードのみを入力し、SUBMITボタンを押下する。すると、認証認可サーバ1へユーザが入力した情報が送信される(S6−1:識別情報送信ステップ)。ここでは、ユーザはユーザIDとして「ユーザA」を入力したとする。
First, the user accesses the authentication authorization server A1a from the
(S7−1:識別情報受信ステップ)では、認証認可サーバA1aの識別情報受信部10は、ユーザAが送信したユーザID、パスワードを、通信装置988Aを介して受信する。(S8−1:認証リポジトリ検索ステップ)では、認証リポジトリ検索部20は、認証に使用する認証リポジトリを決定する。認証リポジトリ検索部20は、ユーザによりクライアントから認証認可サーバA1aにアクセスされているため、使用する認証リポジトリは認証認可サーバA1aが割当てられた企業Aに割当てられた「認証リポジトリA2a」に決定される。(S9)から(S16)までは、実施の形態1と同様である。
ここで、認証認可サーバA1aによって作成された認証情報は、例えばクライアントが記憶する。そして、クライアントが同じドメインにある認証認可サーバB1bにアクセスする場合、クライアントから認証認可サーバB1bへ認証情報が送信され、認証認可サーバB1bは、(S2)の処理において認証済と判断される。つまり、同じドメイン内の認証認可サーバ1が作成した認証情報を他の認証認可サーバ1でも信頼する。
In (S7-1: identification information receiving step), the identification
Here, for example, the client stores the authentication information created by the authentication authorization server A1a. When the client accesses the authentication / authorization server B1b in the same domain, the authentication information is transmitted from the client to the authentication / authorization server B1b, and the authentication / authorization server B1b is determined to be authenticated in the process of (S2). That is, the authentication information created by the authentication /
(S19)で、(S16)までの処理で認証が完了したユーザが、認証認可サーバA1a経由で、企業Aの業務サーバへアクセスするものとする。この場合、(S20)では、第1権限情報取得部52は、アクセスする業務サーバが割当てられた企業Aに割当てられたACLDB−A3aからアクセス先の業務サーバに関するACL(権限情報)を取得する。そして、(S21)では、第1認証認可処理部62は、主務職と第1権限情報取得部52が取得したACLとを比較する。(S22)から(S26)までの処理は、実施の形態1と同様である。但し、権限情報取得部50が行う処理を第1権限情報取得部52が行い、認証認可処理部602が行う処理を第1認証認可処理部62が行う点で異なる。
In (S19), it is assumed that the user who has been authenticated by the processing up to (S16) accesses the business server of the company A via the authentication authorization server A1a. In this case, in (S20), the first authority
一方、(S19)で、(S16)までの処理で認証が完了したユーザが、認証認可サーバB1b経由で、企業Bの業務サーバへアクセスするものとする。この場合、(S20)では、第2権限情報取得部54は、ACLDB−B3bからアクセス先の業務サーバに関するACL(権限情報)を取得する。そして、(S21)では、第2認証認可処理部64は、主務職と第2権限情報取得部54が取得したACLとを比較する。(S22)から(S26)までの処理は、実施の形態1と同様である。但し、権限情報取得部50が行う処理を第2権限情報取得部54が行い、認証認可処理部60が行う処理を第2認証認可処理部64が行う点で異なる。
On the other hand, in (S19), it is assumed that the user who has been authenticated by the processing up to (S16) accesses the business server of the company B via the authentication authorization server B1b. In this case, in (S20), the second authority
ここで、ユーザAが認証認可サーバA1a経由で、企業Aの業務サーバA−1にアクセスするものとする(S19)。ユーザAの現在の主職務は(企業A、総務、課長)であるため、ACLDB−A3aのアクセス制御リスト3a−1のACL−A1に一致し、権限は「読み書き」可能となる(S24)。
一方、ユーザAが認証認可サーバB1b経由で、企業Bの業務サーバB−1にアクセスするとする(S19)。すると、ユーザAの現在の主職務は(企業A、総務、課長)であるため、主職務と一致するACLDB−B3bのアクセス制御リスト3b−1の権限情報はない(S21で不一致)。次に、ユーザAの副職務の有無をチェックするが(S22)、ユーザAには副職務が存在する(S22であり)。そして、ユーザAの副職務は(企業B、経理、担当)であるため、ACLDB−B3bのアクセス制御リスト3b−1のACL−B2一致し(S23で一致)、権限は「読み」のみ可能となる(S24)。
Here, it is assumed that the user A accesses the business server A-1 of the company A via the authentication authorization server A1a (S19). Since the current main function of the user A is (company A, general affairs, section manager), it matches the ACL-A1 of the
On the other hand, it is assumed that user A accesses business server B-1 of company B via authentication authorization server B1b (S19). Then, since the current main duties of the user A are (company A, general affairs, section manager), there is no authority information in the
また、ユーザAが、認証認可サーバA1a経由で、企業Aの業務サーバA−2にアクセスする場合、上記業務サーバA−1にアクセスした際と同様の処理を辿る。つまり、ユーザAの主職務は(企業A、総務、課長)であるため、ACLDB−A3aのアクセス制御リスト3a−1のACL−A3にしたがい、権限は「読み」のみ可能となる。
一方、ユーザAが、認証認可サーバB1b経由で、企業Bの業務サーバB−2にアクセスすると、ユーザAの主職務と一致するACLDB−B3bのアクセス制御リスト3b−1の権限情報はなく、またユーザAの副職務と一致するACLDB−B3bのアクセス制御リスト3b−1の権限情報はないため、権限はなく、アクセス不可をクライアントに通知する(S26)。
Further, when the user A accesses the business server A-2 of the company A via the authentication / authorization server A1a, the same processing as when accessing the business server A-1 is followed. That is, since the main function of the user A is (company A, general affairs, section manager), the authority can only be “read” according to the ACL-A3 of the
On the other hand, when the user A accesses the business server B-2 of the company B via the authentication authorization server B1b, there is no authority information in the
つまり、第1認証認可処理部62は、ユーザにより選択された企業A(第1グループの一例)のサーバへのクライアント4からのアクセスに対しては、企業Aに割当てられた認証リポジトリA2aから取得したユーザ属性情報に基づき処理装置980によりアクセス制御を行う。一方、第2認証認可処理部64は、企業B(第2グループの一例)のサーバへのクライアント4からのアクセスに対しては、企業Bに割当てられた認証リポジトリB2bから取得したユーザ属性情報に基づき処理装置980によりアクセス制御を行う。
また、第1権限情報取得部52は、企業Aのサーバへのクライアント4からのアクセスに対しては、企業Aに割当てられたACLDB−A(第1ACLDBの一例)から主職務(第1レベルの一例)に割当てられたACLを認証リポジトリA2aから取得したユーザ属性情報に基づき取得し、第1認証認可処理部62は、第1権限情報取得部52が取得したACL(第1権限情報の一例)に基づきアクセス制御を行う。一方、第2権限情報取得部54は、企業Bのサーバへのクライアント4からのアクセスに対しては、企業Bに割当てられたACLDB−B(第2ACLDBの一例)から副職務(第2レベルの一例)に割当てられたACLを認証リポジトリB2bから取得したユーザ属性情報に基づき取得し、第2認証認可処理部624は、第2権限情報取得部54が取得したACL(第2権限情報の一例)に基づきアクセス制御を行う。
That is, the first authentication
Also, the first authority
以上のように、実施の形態2にかかる認証認可システム1000によれば、認証認可サーバ1が複数台存在する場合でも、認証認可サーバ1が単一の場合と同様に、システム利用時の職務に応じてアクセス権限を変えることにより、厳密なアクセス制御が可能である。
As described above, according to the authentication / authorization system 1000 according to the second embodiment, even when there are a plurality of authentication /
また、上記では、認証認可サーバが同じドメイン内である場合にシングルサインオン可能とした。しかし、これに限られず、所定のサーバが作成した認証情報のみ信頼するなどとしても構わない。認証認可サーバ1が同一ドメインでない場合のシングルサインオンにはSAML(Security Assertion Markup Language)を利用することで実現可能である。
In the above, single sign-on is possible when the authentication and authorization server is in the same domain. However, the present invention is not limited to this, and only authentication information created by a predetermined server may be trusted. Single sign-on when the
つまり、実施の形態2にかかる認証認可システム1000は、認証認可サーバ1を複数の異なる筐体に備え、異なるサーバ間においてもシングルサインオンおよびユーザ間のリンクから属性情報を取得してアクセス制御を行うことを特徴とする。
That is, the authentication / authorization system 1000 according to the second embodiment includes the authentication /
実施の形態3.
次に実施の形態3について説明する。実施の形態1では、認証認可サーバ1が各業務サーバへの要求を中継するリバースプロキシ方式であるときの認証認可方式を示した。実施の形態3では、認証認可サーバ1が各業務サーバのエージェントから要求を受けるエージェント方式である場合の認証及びアクセス制御について説明する。
Next, a third embodiment will be described. In the first embodiment, the authentication / authorization method is shown when the authentication /
図10は実施の形態3にかかる認証認可システム1000の概要構成を示す構成図である。各業務サーバ(業務サーバ5A−1、業務サーバ5A−2、業務サーバ5B−1、業務サーバ5B−2)では、認証認可エージェント7が動作する。また、上記各業務サーバは同じドメインにあるものとする。その他は、実施の形態1の構成と同様である。
FIG. 10 is a configuration diagram illustrating a schematic configuration of an authentication authorization system 1000 according to the third embodiment. In each business server (business server 5A-1, business server 5A-2, business server 5B-1, business server 5B-2), the
次に、図11、図12、図13に基づき認証認可システム1000の機能と動作とを説明する。図11は、実施の形態3にかかる認証認可システム1000の機能を示す機能ブロック図である。
実施の形態3にかかる認証認可システム1000は、クライアントから認証認可サーバ1へのアクセスを各業務サーバ経由で受ける。その他は、実施の形態1と同様である。
Next, functions and operations of the authentication / authorization system 1000 will be described with reference to FIGS. 11, 12, and 13. FIG. 11 is a functional block diagram of functions of the authentication / authorization system 1000 according to the third embodiment.
The authentication / authorization system 1000 according to the third embodiment receives access from the client to the authentication /
図12は、実施の形態3における認証認可サーバ1の認証処理のフローチャートである。図13は、実施の形態3における認証認可サーバ1の認可処理のフローチャートである。これらは、認証認可システム1000及び認証認可サーバ1の認証認可処理(認証認可方法、認証認可プログラム)の一例である。
FIG. 12 is a flowchart of the authentication process of the
まず、(S1−1:認証認可サーバアクセスステップ)では、ユーザによりクライアント4からWebブラウザなどを使用して、業務サーバへアクセスする。次に、(S2−1:認証確認ステップ)では、業務サーバの認証認可エージェント7は認証済み情報の有無により認証済みかどうかをチェックする。認証済であると認証認可エージェント7が判定した場合(S2で認証済)、認証認可エージェント7は(S5−1)へ進む。一方、認証済でないと認証認可エージェント7が判定した場合(S2で認証前)、認証認可エージェント7は、例えば図9に示すログイン画面6−1などを送信する(S3−1:識別画面送信ステップ)。(S4)は実施の形態1と同様である。(S5−1:識別情報入力ステップ)では、ユーザが、ログイン画面6にてユーザを識別するユーザID(ユーザ識別情報の一例)、パスワードのみを入力し、SUBMITボタンを押下する。(S6−1:識別情報送信ステップ)では、業務サーバへ入力した情報が送信される。ここでは、ユーザはユーザIDとして「ユーザA」を入力したとする。
First, in (S1-1: Authentication and authorization server access step), the user accesses the business server from the
業務サーバの認証認可エージェント7はユーザが送信したユーザID、パスワードを受信し、企業コード(グループ識別情報)を決定する。ここでは、業務サーバが割当てられた企業の企業コードとする(S28:グループ識別情報検索ステップ)。そして、認証認可エージェント7は、認証認可サーバ1へ決定した企業コードを付加して送信する(S29:識別情報転送ステップ)。
次に、認証認可サーバ1の識別情報受信部10は、認証認可エージェント7が送信したユーザID、パスワード、企業コードを、通信装置988を介して受信する(S7−1:識別情報受信ステップ)。ここでは、ユーザは業務サーバA−1へアクセスしたものとする。したがって、最初にアクセスした業務サーバが業務サーバA−1のため、企業コードは「A」となる。(S8)から(S16)までは、実施の形態1と同様である。認証認可サーバ1が作成した認証情報は、例えばクライアントが記憶する。そして、クライアントが同じドメインにある他の業務サーバへアクセスする場合、クライアントから業務サーバに送信され、認証認可エージェント7は、(S2)の処理において認証済みと判断する。つまり、同じドメイン内の業務サーバから送信された情報に基づいて作成された認証情報を他の業務サーバでも信頼する。
The
Next, the identification
(S19−1:サーバアクセス認証ステップ)では、認証が完了したユーザが業務サーバへアクセスする。ユーザが業務サーバへアクセスする場合に、例えば、HTTPリクエストなどのリクエスト情報をクライアントからサーバへ送信する。ここでは、上述したように業務サーバA−1へアクセスする。そして、業務サーバの認証認可エージェント7は、リクエスト情報を受付け、認証認可サーバ1へリクエスト情報を送信する(S30:認証リクエスト送信ステップ)。(S20)から(S26)までは、実施の形態1と同様である。
In (S19-1: Server access authentication step), a user who has been authenticated accesses the business server. When the user accesses the business server, for example, request information such as an HTTP request is transmitted from the client to the server. Here, the business server A-1 is accessed as described above. The
以上のように、実施の形態3にかかる認証認可システム1000によれば、認証認可サーバ1がエージェント方式の場合でも、認証認可サーバ1がリバースプロキシ方式である場合と同様に、システム利用時の職務に応じてアクセス権限を変えることにより、厳密なアクセス制御が可能である。
As described above, according to the authentication / authorization system 1000 according to the third embodiment, even when the authentication /
つまり、実施の形態3にかかる認証認可システム1000は、ユーザからの直接アクセスのみならず、業務サーバからのリダレクトアクセスにより認証及び認可を実施することを特徴とする。 That is, the authentication / authorization system 1000 according to the third embodiment is characterized in that authentication and authorization are performed not only by direct access from a user but also by redirect access from a business server.
実施の形態4.
次に実施の形態4について説明する。実施の形態3では、認証認可サーバ1がエージェント方式かつ認証認可サーバ1が単一である場合の認証認可方式を示した。実施の形態4では、認証認可サーバ1がエージェント方式かつ認証認可サーバ1が複数台である場合の認証及びアクセス制御について説明する。
Next, a fourth embodiment will be described. In the third embodiment, the authentication authorization system in the case where the
図14は実施の形態4にかかる認証認可システム1000の概要構成を示す構成図である。企業Aの業務サーバ5A−1と業務サーバ5A−2とで認証認可エージェントA7aが動作し、企業Bの業務サーバ5B−1と業務サーバ5B−2とで認証認可エージェントB7bが動作する。各業務サーバ(業務サーバ5A−1、業務サーバ5A−2、業務サーバ5B−1、業務サーバ5B−2)は同じドメインである。その他は、実施の形態2の構成と同様である。 FIG. 14 is a configuration diagram illustrating a schematic configuration of an authentication authorization system 1000 according to the fourth embodiment. The authentication authorization agent A7a operates on the business server 5A-1 and the business server 5A-2 of the company A, and the authentication authorization agent B7b operates on the business server 5B-1 and the business server 5B-2 of the company B. Each business server (business server 5A-1, business server 5A-2, business server 5B-1, business server 5B-2) is the same domain. The other configuration is the same as that of the second embodiment.
実施の形態4にかかる認証認可システム1000の機能ブロック図は、クライアントからのアクセスを各業務サーバ経由で受けることを除き、実施の形態1と同様である。
また、実施の形態4における認証処理及び認可処理は実施の形態2および実施の形態3を組み合わせた処理となる。つまり、認証処理については、図9に示す実施の形態2にかかる認証処理の(S2)、(S3)、(S6)を、図12に示す実施の形態3にかかる認証処理の(S2−1)、(S3−1)、(S6−1)に置き換える。また、(S6−1)の次に、(S28)と(S29)とを実行する。また、認可処理については、図13に示す実施の形態3の認可処理と同様である。
The functional block diagram of the authentication / authorization system 1000 according to the fourth embodiment is the same as that of the first embodiment except that access from a client is received via each business server.
Further, the authentication process and the authorization process in the fourth embodiment are processes that combine the second embodiment and the third embodiment. That is, for the authentication process, (S2), (S3), and (S6) of the authentication process according to the second embodiment shown in FIG. 9 are replaced with (S2-1) of the authentication process according to the third embodiment shown in FIG. ), (S3-1), (S6-1). Further, after (S6-1), (S28) and (S29) are executed. The authorization process is the same as the authorization process of the third embodiment shown in FIG.
以上のように、実施の形態4にかかる認証認可システム1000によれば、認証認可サーバ1がエージェント方式かつ認証認可サーバ1が複数台である場合でも、認証認可サーバ1がエージェント方式かつ認証認可サーバ1が単一である場合と同様に、システム利用時の職務に応じてアクセス権限を変えることにより、厳密なアクセス制御が可能である。
As described above, according to the authentication and authorization system 1000 according to the fourth embodiment, even when the authentication and
つまり、実施の形態4にかかる認証認可システム1000は、認証認可サーバ1を複数の異なる筐体に備え、異なるサーバ間においてもシングルサインオンおよびユーザ間のリンクから属性情報を取得してアクセス制御を行うとともに、さらに、ユーザからの直接アクセスのみならず、業務サーバからのリダレクトアクセスにより認証及び認可を実施することを特徴とする。
That is, the authentication / authorization system 1000 according to the fourth embodiment includes the authentication /
実施の形態5.
次に実施の形態5について説明する。上述した実施の形態では、利用ユーザが現在の職務を意識して業務システムを利用する場合の認証認可方式を示した。実施の形態5では、利用ユーザが現在の職務を意識しないで業務システムを利用する場合の認証及びアクセス制御について説明する。
Embodiment 5 FIG.
Next, a fifth embodiment will be described. In the above-described embodiment, the authentication authorization method in the case where the user uses the business system in consideration of the current job has been shown. In the fifth embodiment, authentication and access control when a user uses a business system without being aware of the current job will be described.
図15は実施の形態5にかかる認証認可システム1000の概要構成を示す構成図である。実施の形態5にかかる認証認可システム1000は、アクセス経路マッピングDB(Data Base)8を有する。また、企業A5aはポータルサーバAを備え、企業B5bはポータルサーバBを備える。ポータルサーバA、ポータルサーバBは、各業務サーバ(業務サーバA−1、業務サーバA−2、業務サーバB−1、業務サーバB−2)へアクセスする場合に経由されるサーバである。その他は、実施の形態1の構成と同様である。 FIG. 15 is a configuration diagram illustrating a schematic configuration of an authentication / authorization system 1000 according to the fifth embodiment. The authentication authorization system 1000 according to the fifth embodiment has an access route mapping DB (Data Base) 8. The company A5a includes a portal server A, and the company B5b includes a portal server B. Portal server A and portal server B are servers through which access is made to each business server (business server A-1, business server A-2, business server B-1, business server B-2). The other configuration is the same as that of the first embodiment.
図16は、アクセス経路マッピングDB8の一例について示す図である。アクセス経路マッピングDB8は、ユーザ毎にサーバへのアクセスの経路情報と上記経路情報に割当てられたグループを識別するグループ識別情報とを記憶装置に記憶する。ここでは、図16に示すように、アクセス経路マッピングDB8は、主職務用企業コード(グループ識別情報)、アクセス経路1とアクセス経路2とを備えるアクセス経路を有する。
FIG. 16 is a diagram illustrating an example of the access
次に、図17、図18、図19に基づき認証認可システム1000の機能と動作とを説明する。図17は、実施の形態5にかかる認証認可システム1000の機能を示す機能ブロック図である。
実施の形態5にかかる認証認可サーバ1は、経路取得部72、経路判定部74、グループ識別情報取得部76を備える。また、ユーザ属性情報取得部30は、第1ユーザ属性情報取得部32、第2ユーザ属性情報取得部34、第3ユーザ属性情報取得部38を備える。また、第2ユーザ属性情報取得部は、リンク先ユーザ属性情報取得部35、リンク元ユーザ属性情報取得部36を備える。その他は、実施の形態1と同様である。
Next, functions and operations of the authentication / authorization system 1000 will be described with reference to FIGS. 17, 18, and 19. FIG. 17 is a functional block diagram of functions of the authentication / authorization system 1000 according to the fifth embodiment.
The
図18は、実施の形態5における認証認可サーバ1の認証処理のフローチャートである。図19は、実施の形態5における認証認可サーバ1の認可処理のフローチャートである。これらは、認証認可システム1000及び認証認可サーバ1の認証認可処理(認証認可方法、認証認可プログラム)の一例である。
FIG. 18 is a flowchart of the authentication process of the
(S1)から(S4)までは、実施の形態1と同様である。但し、(S2で認証済)の場合、(S5−1)へ進む。また、(S3)では、ログイン画面6−1を送信する。(S5−1:識別情報入力ステップ)では、ユーザが、ログイン画面6にてユーザを識別するユーザID(ユーザ識別情報の一例)、パスワードを入力し、SUBMITボタンを押下する。すると、認証認可サーバ1へユーザが入力した情報が送信される(S6−1:識別情報送信ステップ)。ここでは、ユーザはユーザIDとして「ユーザA」を入力したとする。
(S1) to (S4) are the same as in the first embodiment. However, in the case of (authenticated in S2), the process proceeds to (S5-1). In (S3), a login screen 6-1 is transmitted. In (S5-1: identification information input step), the user inputs a user ID (an example of user identification information) and a password for identifying the user on the
(S7−1:識別情報受信ステップ)では、認証認可サーバA1aの識別情報受信部10は、ユーザAが送信したユーザID、パスワードを、通信装置988を介して受信する。次に、認証リポジトリ検索部20は、アクセス先のURLなどのアクセス先を特定する情報から認証に使用する認証リポジトリを処理装置980により検索して決定する(S8−2:認証リポジトリ検索ステップ)。例えば、ここでは、ユーザAは業務サーバA−1にアクセスするものとする。業務サーバA−1は企業Aのサーバである。そのため、認証リポジトリ検索部20は、認証に使用する認証リポジトリを企業A(第1グループの一例)に割当てられた「認証リポジトリA2a」(第1認証リポジトリの一例)に決定する。(S9)から(S12)までは、実施の形態1と同様である。リンク情報取得部40は、第1ユーザ属性情報取得部32が取得したユーザ属性情報のリンク情報に値が設定されているか処理装置980によりチェックする(S13)。リンク情報がないとリンク情報取得部40が判定した場合(S13でなし)、リンク情報取得部40は(S16)へ進む。一方、リンク情報があるとリンク情報取得部40が判定した場合(S13であり)、リンク情報取得部40は、リンク元情報が設定されているか処理装置980によりチェックする(S31:リンク元情報判定ステップ)。リンク元情報がないとリンク情報取得部40が判定した場合(S31でなし)、リンク情報取得部40は、(S14−1)へ進む。一方、リンク元情報があるとリンク情報取得部40が判定した場合(S31であり)、リンク情報取得部40は先の職務は副職務とし(S32):第1職務変更ステップ)、リンク元ユーザ属性情報取得部36はリンク元のユーザ属性情報を取得して、主職務とする(S33:第2職務変更ステップ)。そして、(S14−1:リンク情報取得ステップ)では、リンク情報取得部40は、リンク先情報を取得する。(S15−1:第2ユーザ属性情報取得ステップ)では、リンク先ユーザ属性情報取得部35は、リンク情報が示すリンク先認証リポジトリからユーザ属性情報を取得して記憶装置984に記憶する。そして、認証認可サーバ1は認証完了する(S16)。つまり、ここでは、リンク先情報はあるが、リンク元情報はないため、第1ユーザ属性情報取得部32は、企業A、総務、課長を主職務として記憶する。また、第2ユーザ属性情報取得部34は、企業B、経理、担当を副職務として記憶する。
In (S7-1: identification information receiving step), the identification
そして、認証が完了したユーザAが、認証認可サーバ1経由で、企業Aの業務サーバA−1へアクセスする(S19)。次に、経路取得部72は、ユーザAがアクセスする業務サーバへのアクセス経路であるユーザ経路情報を取得して記憶装置984に記憶する(S34:経路取得ステップ)。経路判定部74は、記憶装置984に記憶したユーザ経路情報とアクセス経路マッピングDB8が記憶する経路情報とを比較して一致する経路情報があるか否かを処理装置により判定する(S35:経路判定ステップ)。一致する経路情報があると経路判定部74が判定した場合(S35であり)、グループ識別情報取得部76は、アクセス経路マッピングDB8から上記経路情報に割当てられた主職務用企業コードを取得して記憶装置984に記憶する。そして、第3ユーザ属性情報取得部は、主職務用企業コードに割当てられた認証リポジトリ(第3認証リポジトリの一例)から取得したユーザ属性情報を主職務とし、これまで主職務としていたユーザ属性情報を副職務とする(S36:権限レベル変更ステップ)。それにともない、メモリ上のアクセス履歴をクリアする(S37:取得経路削除ステップ)。一方、一致する経路情報がないと経路判定部74が判定した場合(S35でなし)、経路判定部74は、(S20)へ進む。(S20)以降は、実施の形態1と同様である。
Then, the user A who has been authenticated accesses the business server A-1 of the company A via the authentication authorization server 1 (S19). Next, the
ここでは、ユーザAがポータルAを介して業務サーバA−1へアクセスするため、図16に示すアクセス経路マッピングDBに該当する経路情報があり、その主職務用企業コードは「A」である。したがって、この場合には、企業Aに割当てられた認証リポジトリA2aから取得したユーザ属性情報を主職務とするため、特に変更はない。 Here, since the user A accesses the business server A-1 via the portal A, there is route information corresponding to the access route mapping DB shown in FIG. 16, and the company code for main duties is “A”. Therefore, in this case, since the user attribute information acquired from the authentication repository A2a assigned to the company A is the main job, there is no particular change.
つまり、認証認可処理部60は、リンク元の企業(リンク元グループの一例)のサーバへのクライアント4からのアクセスに対しては、上記企業に割当てられた認証リポジトリ(リンク元リポジトリの一例)から取得したユーザ属性情報に基づき処理装置980によりアクセス制御を行う。
また、権限情報取得部50は、リンク元の企業のサーバへのクライアント4からのアクセスに対しては、ACLDB3から、主職務(第1レベルの一例)に割当てられたACLをアクセス経路から判定された企業に割当てられた認証リポジトリから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第3権限情報の一例)に基づきアクセス制御を行う。一方、権限情報取得部50は、リンク元の企業以外の企業のサーバへのクライアント4からのアクセスに対しては、副職務(第2レベルの一例)に割当てられたACLを各認証リポジトリから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第1権限情報及び第2権限情報の一例)に基づきアクセス制御を行う。
That is, the authentication
Also, the authority
また、認証認可処理部60は、アクセス経路から判定された企業(第3グループの一例)のサーバへのクライアント4からのアクセスに対しては、上記企業に割当てられた認証リポジトリ(第3認証リポジトリの一例)から取得したユーザ属性情報に基づき処理装置980によりアクセス制御を行う。
また、権限情報取得部50は、アクセス経路から判定された企業のサーバへのクライアント4からのアクセスに対しては、主職務(第1レベルの一例)に割当てられたACLをアクセス経路から判定された企業に割当てられた認証リポジトリから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第1権限情報の一例)に基づきアクセス制御を行う。一方、権限情報取得部50は、アクセス経路から判定された企業以外の企業のサーバへのクライアント4からのアクセスに対しては、副職務(第2レベルの一例)に割当てられたACLを各認証リポジトリから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第2権限情報の一例)に基づきアクセス制御を行う。
In addition, the authentication
Also, the authority
以上のように、実施の形態5にかかる認証認可システム1000によれば、利用者のアクセス経路により、現在の職務を判断することが可能である。したがって、利用者が職務を意識しないでシステムを利用した場合でも、適切な職務に応じてアクセス権限を変え、厳密なアクセス制御が可能である。 As described above, according to the authentication authorization system 1000 according to the fifth embodiment, it is possible to determine the current job based on the access path of the user. Therefore, even when the user uses the system without being aware of the duties, the access authority can be changed according to the appropriate duties, and strict access control can be performed.
また、実施の形態5にかかる認証認可システム1000によれば、リンク情報に主従関係を持たせ、その主従関係により職務を判断することが可能である。 Further, according to the authentication authorization system 1000 according to the fifth embodiment, it is possible to give a master-slave relationship to the link information, and to determine the duties based on the master-slave relationship.
また、上記では、主職務用企業コードに割当てられた認証リポジトリから取得したユーザ属性情報を主職務とした。しかし、主職務用企業コードに割当てられた認証リポジトリから取得したユーザ属性情報が取得されていない場合には、第3ユーザ属性情報取得部38は、主職務用企業コードに割当てられた認証リポジトリからユーザ属性情報を取得するとしても構わない。
In the above, the user attribute information acquired from the authentication repository assigned to the company code for the main job is set as the main job. However, if the user attribute information acquired from the authentication repository assigned to the main company code is not acquired, the third user attribute
また、(S33)では、リンク元のユーザ属性情報を取得した場合、(S14−1)へ進んでいた。しかし、(S31)へ戻り、取得したリンク元のユーザ属性情報にさらにリンク元情報を有しているかチェックしても構わない。つまり、リンク元が存在する限り、リンク元のユーザ属性情報を取得して、本元にあるユーザ属性情報を主職務としても構わない。この場合、(S14−1)において、取得したユーザ属性情報のリンク情報をすべて取得し、(S15−1)において、取得したリンク情報のユーザ属性情報をすべて取得するとしても構わない。 In (S33), when the user attribute information of the link source is acquired, the process proceeds to (S14-1). However, the process may return to (S31) and check whether the acquired link source user attribute information further includes link source information. That is, as long as the link source exists, the user attribute information of the link source may be acquired, and the user attribute information in the main may be used as the main job. In this case, all the link information of the acquired user attribute information may be acquired in (S14-1), and all the user attribute information of the acquired link information may be acquired in (S15-1).
つまり、実施の形態5にかかる認証認可システム1000は、ユーザのアクセス履歴により利用ユーザの職務および権限をユーザのアクセス履歴から自動的に現在の職務権限の決定を行うことを特徴とする。 That is, the authentication authorization system 1000 according to the fifth embodiment is characterized in that the current job authority is automatically determined from the user's access history based on the user's access history.
実施の形態6.
次に実施の形態6について説明する。実施の形態5では、単一の認証認可サーバ1、かつ、利用ユーザが現在の職務を意識しないで業務システムを利用する場合の認証認可方式を示した。実施の形態6では、認証認可サーバ1が複数台、かつ、利用ユーザが現在の職務を意識しないで業務システムを利用する場合の場合の認証及びアクセス制御について説明する。
Next, a sixth embodiment will be described. In the fifth embodiment, a single authentication /
図20は実施の形態6にかかる認証認可システム1000の概要構成を示す構成図である。実施の形態6にかかる認証認可システム1000は、実施の形態5と同様のアクセス経路マッピングDB8を有する。その他は、実施の形態2の構成と同様である。
FIG. 20 is a configuration diagram illustrating a schematic configuration of an authentication authorization system 1000 according to the sixth embodiment. The authentication / authorization system 1000 according to the sixth embodiment includes an access
実施の形態6にかかる認証認可システム1000の機能ブロック図は、認証認可サーバがアクセス経路マッピングDB8と通信することを除き、実施の形態1と同様である。
実施の形態6における認証処理及び認可処理は実施の形態2および実施の形態5を組み合わせた処理となる。つまり、認証処理については、図18に示す実施の形態5にかかる認証処理の(S8−2)を、図9に示す実施の形態2にかかる認証処理の(S8−1)に置き換える。また、認可処理については、図19に示す実施の形態5の認可処理と同様である。
The functional block diagram of the authentication and authorization system 1000 according to the sixth embodiment is the same as that of the first embodiment except that the authentication and authorization server communicates with the access
The authentication process and the authorization process in the sixth embodiment are a combination of the second and fifth embodiments. That is, for the authentication process, (S8-2) of the authentication process according to the fifth embodiment shown in FIG. 18 is replaced with (S8-1) of the authentication process according to the second embodiment shown in FIG. The authorization process is the same as the authorization process of the fifth embodiment shown in FIG.
以上のように、実施の形態6にかかる認証認可システム1000によれば、認証認可サーバ1が複数台存在した場合も、単一サーバと同様に、利用者のアクセス履歴により現在の職務を判断することが可能である。したがって、利用者が職務を意識しないでシステムを利用した場合でも、適切な職務に応じた、厳密なアクセス制御が可能である。
As described above, according to the authentication / authorization system 1000 according to the sixth embodiment, even when there are a plurality of authentication /
つまり、実施の形態4にかかる認証認可システム1000は、認証認可サーバ1を複数の異なる筐体に備え、異なるサーバ間においてもシングルサインオンおよびユーザ間のリンクから属性情報を取得してアクセス制御を行うとともに、さらに、ユーザのアクセス履歴により利用ユーザの職務および権限をユーザのアクセス履歴から自動的に現在の職務権限の決定を行うことを特徴とする。
That is, the authentication / authorization system 1000 according to the fourth embodiment includes the authentication /
1 認証認可サーバ、2a 認証リポジトリA、2b 認証リポジトリB、3 ACLDB、4 クライアント、6 ログイン画面、10 識別情報受信部、20 認証リポジトリ検索部、30 ユーザ属性情報取得部、32 第1ユーザ属性情報取得部、34 第2ユーザ属性情報取得部、35 リンク先ユーザ属性情報取得部、36 リンク元ユーザ属性情報取得部、38 第3ユーザ属性情報取得部、40 リンク情報取得部、50 権限情報取得部、52 第1権限情報取得部、54 第2権限情報取得部、60 認証認可処理部、62 第1認証認可処理部、64 第2認証認可処理部、72 経路取得部、74 経路判定部、76 グループ識別情報取得部、90 認証判定部、901 CRT表示装置、902 K/B、903 マウス、904 FDD、905 CDD、908 データベース、909 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、916 外部サーバ、917 サーバA、918 サーバB、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 FAX機、940 インターネット、941 ゲートウェイ、942 LAN、980 処理装置、982 入力装置、984 記憶装置、986 表示装置、988 通信装置。 DESCRIPTION OF SYMBOLS 1 Authentication authorization server, 2a Authentication repository A, 2b Authentication repository B, 3 ACLDB, 4 Client, 6 Login screen, 10 Identification information receiving part, 20 Authentication repository search part, 30 User attribute information acquisition part, 32 1st user attribute information Acquisition unit, 34 Second user attribute information acquisition unit, 35 Link destination user attribute information acquisition unit, 36 Link source user attribute information acquisition unit, 38 Third user attribute information acquisition unit, 40 Link information acquisition unit, 50 Authority information acquisition unit , 52 First authority information acquisition unit, 54 Second authority information acquisition unit, 60 Authentication authorization processing unit, 62 First authentication authorization processing unit, 64 Second authentication authorization processing unit, 72 Path acquisition unit, 74 Path determination unit, 76 Group identification information acquisition unit, 90 authentication determination unit, 901 CRT display device, 902 K / B, 903 mouse, 904 FDD, 905 CDD, 908 database, 909 system unit, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 communication board, 916 external server, 917 server A, 918 server B, 920 magnetic disk unit, 921 OS, 922 window System, 923 program group, 924 file group, 931 telephone, 932 FAX machine, 940 Internet, 941 gateway, 942 LAN, 980 processing device, 982 input device, 984 storage device, 986 display device, 988 communication device.
Claims (12)
上記認証リポジトリ検索部が検索した認証リポジトリである第1認証リポジトリから所定のユーザのユーザ属性情報を取得して記憶装置に記憶する第1ユーザ属性情報取得部と、
上記第1ユーザ属性情報取得部が取得したユーザ属性情報からリンク情報を取得して記憶装置に記憶するリンク情報取得部と、
上記リンク情報取得部が取得したリンク情報が示す認証リポジトリである第2認証リポジトリから上記ユーザのユーザ属性情報を取得して記憶装置に記憶する第2ユーザ属性情報取得部と、
上記第1認証リポジトリが割当てられたグループである第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行い、上記第2認証リポジトリが割当てられたグループである第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う認証認可処理部と
を備えることを特徴とする認証認可サーバ。 An authentication repository search unit that searches a predetermined authentication repository by a processing device from a plurality of authentication repositories that store user attribute information assigned to each user including attribute information and link information indicating an authentication repository to be linked in a storage device When,
A first user attribute information acquisition unit that acquires user attribute information of a predetermined user from a first authentication repository that is an authentication repository searched by the authentication repository search unit;
A link information acquisition unit that acquires link information from the user attribute information acquired by the first user attribute information acquisition unit and stores the link information in a storage device;
A second user attribute information acquisition unit that acquires user attribute information of the user from a second authentication repository that is an authentication repository indicated by the link information acquired by the link information acquisition unit, and stores the user attribute information in a storage device;
In response to access from the user terminal by the user to the server of the first group, which is the group to which the first authentication repository is assigned, by the processing device based on the user attribute information acquired by the first user attribute information acquisition unit User attribute information acquired by the second user attribute information acquisition unit for access from the user terminal by the user to the server of the second group, which is a group to which the second authentication repository is assigned, by performing access control An authentication authorization server comprising an authentication authorization processing unit that performs access control by a processing device based on the above.
権限レベル毎にアクセス権限情報を記憶するACLDB(Access Control List Data Base)により記憶された権限レベルが第1レベルのアクセス権限情報から上記第1ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第1権限情報として取得し、上記ACLDBにより記憶された権限レベルが第2レベルのアクセス権限情報から上記第2ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第2権限情報として取得して記憶装置に記憶する権限情報取得部を備え、
上記認証認可処理部は、上記第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第1権限情報に基づいてアクセス制御を行い、上記第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第2権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項1記載の認証認可サーバ。 The authentication authorization server further includes:
The authority level stored by ACLDB (Access Control List Data Base) that stores access authority information for each authority level is included in the user attribute information acquired by the first user attribute information acquisition unit from the first level access authority information. The access authority information is acquired as the first authority information based on the attribute information, and the authority level stored by the ACLDB is included in the user attribute information acquired by the second user attribute information acquisition unit from the second level access authority information. An authority information acquisition unit that acquires the access authority information as the second authority information based on the attribute information and stores it in the storage device;
The authentication authorization processing unit performs access control based on the first authority information acquired by the authority information acquisition unit for the access from the user terminal by the user to the server of the first group. 2. The authentication authorization server according to claim 1, wherein access control is performed based on the second authority information acquired by the authority information acquisition unit for access from a user terminal to the server of the group by the user.
上記第2ユーザ属性情報取得部は、上記リンク情報取得部が取得したリンク情報が示すリンク先認証リポジトリから上記ユーザのユーザ属性情報を取得するリンク先ユーザ情報取得部と、上記リンク情報が示すリンク元認証リポジトリから上記ユーザのユーザ属性情報を取得するリンク元ユーザ情報取得部とを備え、
上記認証認可サーバは、さらに、
権限レベル毎にアクセス権限情報を記憶するACLDB(Access Control List Data Base)により記憶された権限レベルが第2レベルのアクセス権限情報から、上記第1ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第1権限情報として取得し、上記ACLDBにより記憶された権限レベルが第2レベルのアクセス権限情報から上記リンク先ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第2権限情報として取得し、上記ACLDBにより記憶された権限レベルが第1レベルのアクセス権限情報から上記リンク元ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第3権限情報として取得する権限情報取得部を備え、
上記認証認可処理部は、上記第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第1権限情報に基づいてアクセス制御を行い、上記リンク先認証リポジトリが割当てられたリンク先グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第2権限情報に基づいてアクセス制御を行い、上記リンク元認証リポジトリが割当てられたリンク元グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第3権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項1記載の認証認可サーバ。 The authentication repository search unit includes a predetermined authentication repository from a plurality of authentication repositories storing user attribute information assigned to each user including attribute information and link information indicating a link destination authentication repository and a link source authentication repository. Search for
The second user attribute information acquisition unit includes a link destination user information acquisition unit that acquires user attribute information of the user from a link destination authentication repository indicated by the link information acquired by the link information acquisition unit, and a link indicated by the link information A link source user information acquisition unit that acquires user attribute information of the user from the source authentication repository,
The authentication authorization server further includes:
The authority level stored by ACLDB (Access Control List Data Base) that stores access authority information for each authority level is included in the user attribute information acquired by the first user attribute information acquisition unit from the access authority information of the second level. The access authority information is acquired as the first authority information based on the attribute information, and the authority level stored by the ACLDB is included in the user attribute information acquired by the link destination user attribute information acquisition unit from the access authority information of the second level. The access authority information is acquired as the second authority information based on the attribute information, and the authority level stored by the ACLDB is included in the user attribute information acquired by the link source user attribute information acquisition unit from the first level access authority information. Access authority information based on the attribute information 3 It has an authority information acquisition part to acquire as authority information,
The authentication authorization processing unit performs access control based on the first authority information acquired by the authority information acquisition unit for the access from the user terminal by the user to the server of the first group, and the link destination For the access from the user terminal by the user to the link destination group server to which the authentication repository is assigned, access control is performed based on the second authority information acquired by the authority information acquisition unit, and the link source authentication repository The access control is performed based on the third authority information acquired by the authority information acquisition unit for access from the user terminal by the user to the server of the link source group to which is assigned. The listed authentication authorization server.
ユーザを識別するユーザ識別情報とグループを識別するグループ識別情報とを、通信装置を介して受信する識別情報受信部を備え、
上記認証リポジトリ検索部は、上記識別情報受信部が受信したグループ識別情報によって識別されるグループに割当てられた認証リポジトリを上記所定の認証リポジトリとして検索し、
上記第1ユーザ属性情報取得部は、上記認証リポジトリ検索部が検索した第1認証リポジトリから、上記識別情報受信部が受信したユーザ識別情報によって識別されるユーザを所定のユーザとしてユーザ属性情報を取得する
ことを特徴とする請求項1記載の認証認可サーバ。 The authentication authorization server further includes:
An identification information receiving unit for receiving user identification information for identifying a user and group identification information for identifying a group via a communication device;
The authentication repository search unit searches the authentication repository assigned to the group identified by the group identification information received by the identification information receiving unit as the predetermined authentication repository,
The first user attribute information acquisition unit acquires user attribute information from the first authentication repository searched by the authentication repository search unit, with a user identified by the user identification information received by the identification information receiving unit as a predetermined user. The authentication authorization server according to claim 1, wherein:
ことを特徴とする請求項4記載の認証認可サーバ。 5. The authentication authorization server according to claim 4, wherein the identification information receiving unit receives user identification information and group identification information from a server of the group accessed by a user from a user terminal.
ユーザによりユーザ端末からサーバへアクセスされた場合、上記ユーザを識別するユーザ識別情報を通信装置を介して受信する識別情報受信部を備え、
上記認証リポジトリ検索部は、上記ユーザ端末によりアクセスされたサーバが属するグループに割当てられた認証リポジトリを上記所定の認証リポジトリとして検索し、
上記第1ユーザ属性情報取得部は、上記認証リポジトリ検索部が検索した第1認証リポジトリから、上記識別情報受信部が受信したユーザ識別情報によって識別されるユーザを所定のユーザとしてユーザ属性情報を取得する
ことを特徴とする請求項1記載の認証認可サーバ。 The authentication authorization server further includes:
When the user accesses the server from the user terminal, the device includes an identification information receiving unit that receives user identification information for identifying the user via the communication device,
The authentication repository search unit searches the authentication repository assigned to the group to which the server accessed by the user terminal belongs as the predetermined authentication repository,
The first user attribute information acquisition unit acquires user attribute information from the first authentication repository searched by the authentication repository search unit, with a user identified by the user identification information received by the identification information receiving unit as a predetermined user. The authentication authorization server according to claim 1, wherein:
上記ユーザ端末から上記サーバへアクセスした経路を示すユーザ経路情報を取得して記憶装置に記憶する経路取得部と、
ユーザ毎に、サーバへのアクセスの経路情報と上記経路情報に割当てられたグループを識別するグループ識別情報とを記憶するアクセス経路マッピングDB(Data Base)を検索して、上記経路取得部が取得したユーザ経路情報が上記ユーザに割当てられた経路情報として存在するか否かを処理装置により判定する経路判定部と、
上記ユーザが上記サーバへアクセスした経路が存在すると上記経路判定部が判定した場合、上記経路情報に割当てられたグループ識別情報を取得して記憶装置に記憶するグループ識別情報取得部とを備え、
上記認証リポジトリ検索部は、上記グループ識別情報取得部が取得したグループ識別情報により識別されるグループである第3グループに割当てられた第3認証リポジトリを検索し、
上記認証認可サーバは、さらに、
上記認証リポジトリ検索部が検索した第3認証リポジトリから上記ユーザのユーザ属性情報を取得して記憶装置に記憶する第3ユーザ属性情報取得部と、
権限レベル毎にアクセス権限情報を記憶するACLDB(Access Control List Data Base)により記憶された権限レベルが第1レベルのアクセス権限情報から、第3ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第1権限情報として取得して記憶装置に記憶する権限情報取得部と、
上記認証認可処理部は、上記第3グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第1権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項6記載の認証認可サーバ。 The authentication authorization server further includes:
A route acquisition unit that acquires user route information indicating a route accessed from the user terminal to the server and stores it in a storage device;
For each user, an access route mapping DB (Data Base) that stores route information for access to the server and group identification information for identifying a group assigned to the route information is searched and acquired by the route acquisition unit. A route determination unit for determining whether or not the user route information exists as route information assigned to the user by the processing device;
A group identification information acquisition unit that acquires group identification information assigned to the route information and stores the group identification information in a storage device when the route determination unit determines that there is a route accessed by the user to the server;
The authentication repository search unit searches for a third authentication repository assigned to a third group that is a group identified by the group identification information acquired by the group identification information acquisition unit,
The authentication authorization server further includes:
A third user attribute information acquisition unit that acquires user attribute information of the user from a third authentication repository searched by the authentication repository search unit and stores the user attribute information in a storage device;
The authority level stored by ACLDB (Access Control List Data Base) that stores access authority information for each authority level is included in the user attribute information acquired by the third user attribute information acquisition unit from the access authority information of the first level. An authority information acquisition unit that acquires the access authority information as the first authority information based on the attribute information and stores it in the storage device;
The authentication authorization processing unit performs access control based on the first authority information acquired by the authority information acquiring unit with respect to access from the user terminal by the user to the server of the third group. The authentication authorization server according to claim 6.
上記認証認可処理部は、上記第3グループ以外のグループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第2権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項7記載の認証認可サーバ。 The authority information acquisition unit is accessed based on attribute information included in user attribute information acquired from other authentication repositories excluding the third authentication repository from access authority information whose authority level stored by ACLDB is the second level. Obtain authority information as second authority information,
The authentication authorization processing unit performs access control based on the second authority information acquired by the authority information acquiring unit for access from a user terminal by the user to a server of a group other than the third group. The authentication authorization server according to claim 7.
上記複数のグループの1つのグループである第1グループに割当てられた第1認証リポジトリと、
上記第1グループに割当てられたサーバへのアクセス制御を行う第1認証認可サーバと、
上記第1認証認可サーバにより特定される第2認証リポジトリと、
上記第2認証リポジトリが割当てられた第2グループに割当てられたサーバへのアクセス制御を行う第2認証認可サーバとを備え、
上記第1認証リポジトリは、
属性情報と、リンクする認証リポジトリを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶装置に記憶するユーザ属性情報記憶部を備え、
上記第1認証認可サーバは、
ユーザを識別するユーザ識別情報を通信装置を介して受信する識別情報受信部と、
上記第1認証リポジトリから上記識別情報受信部が受信したユーザ識別情報によって識別されるユーザのユーザ属性情報を取得する第1ユーザ属性情報取得部と、
上記第1ユーザ属性情報取得部が取得したユーザ属性情報からリンク情報を取得して記憶装置に記憶するリンク情報取得部と、
上記リンク情報取得部が取得したリンク情報が示す認証リポジトリを上記第2認証リポジトリとして特定し、上記第2認証リポジトリから上記リンク情報が示すユーザのユーザ属性情報を取得して記憶装置に記憶する第2ユーザ属性情報取得部と、
上記第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う第1認証認可処理部とを備え、
上記第2認証認可サーバは、
上記第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う第2認証認可処理部を備える
ことを特徴とする認証認可システム。 In an authentication and authorization system that controls access to servers assigned to each group of multiple groups,
A first authentication repository assigned to a first group that is one of the plurality of groups;
A first authentication authorization server for controlling access to the server assigned to the first group;
A second authentication repository identified by the first authentication authorization server;
A second authentication authorization server for controlling access to a server assigned to the second group to which the second authentication repository is assigned,
The first authentication repository is
A user attribute information storage unit that stores user attribute information assigned to each user including attribute information and link information indicating an authentication repository to be linked in a storage device;
The first authentication authorization server is
An identification information receiving unit for receiving user identification information for identifying a user via a communication device;
A first user attribute information acquisition unit that acquires user attribute information of a user identified by the user identification information received by the identification information reception unit from the first authentication repository;
A link information acquisition unit that acquires link information from the user attribute information acquired by the first user attribute information acquisition unit and stores the link information in a storage device;
The authentication repository indicated by the link information acquired by the link information acquisition unit is identified as the second authentication repository, and user attribute information of the user indicated by the link information is acquired from the second authentication repository and stored in a storage device. 2 user attribute information acquisition unit;
A first authentication authorization processing unit for performing access control by a processing device based on user attribute information acquired by the first user attribute information acquiring unit with respect to an access from a user terminal to the first group server by the user; With
The second authentication authorization server is
A second authentication authorization processing unit for performing access control by a processing device based on the user attribute information acquired by the second user attribute information acquiring unit with respect to an access from the user terminal by the user to the second group of servers; An authentication / authorization system comprising:
第1グループに割当てられ、権限レベル毎にアクセス権限情報を記憶する第1ACLDB(Access Control List Data Base)と、
第2グループに割当てられ、権限レベル毎にアクセス権限情報を記憶する第2ACLDBを備え、
上記第1認証認可サーバは、さらに、
上記第1ACLDBにより記憶された権限レベルが第1レベルのアクセス権限情報から上記第1ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第1権限情報として取得する第1権限情報取得部を備え、
上記第2認証認可サーバは、さらに、
上記第2ACLDBにより記憶された権限レベルが第2レベルのアクセス権限情報から上記第2ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第2権限情報として取得して記憶装置に記憶する第2権限情報取得部を備え、
上記第1認証認可処理部は、上記第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第1権限情報に基づいてアクセス制御を行い、
上記第2認証認可処理部は、上記第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第2権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項9記載の認証認可システム。 The authentication authorization system further includes:
A first ACLDB (Access Control List Data Base) assigned to the first group and storing access authority information for each authority level;
A second ACLDB assigned to the second group and storing access authority information for each authority level;
The first authentication authorization server further includes:
The access authority information is acquired as the first authority information based on the attribute information included in the user attribute information acquired by the first user attribute information acquisition unit from the access authority information whose authority level is stored in the first ACLDB. A first authority information acquisition unit;
The second authentication authorization server further includes:
The access authority information is acquired as the second authority information based on the attribute information included in the user attribute information acquired by the second user attribute information acquisition unit from the access authority information whose authority level stored by the second ACLDB is the second level. A second authority information acquisition unit for storing in the storage device,
The first authentication authorization processing unit performs access control based on the first authority information acquired by the authority information acquisition unit for access from the user terminal by the user to the server of the first group,
The second authentication authorization processing unit performs access control based on the second authority information acquired by the authority information acquiring unit with respect to access from the user terminal by the user to the server of the second group. The authentication authorization system according to claim 9, wherein:
属性情報と、リンクする認証リポジトリを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶装置に記憶する複数の認証リポジトリから、所定の認証リポジトリを認証リポジトリ検索部が処理装置により検索する認証リポジトリ検索ステップと、
上記認証リポジトリ検索ステップで検索した認証リポジトリである第1認証リポジトリから所定のユーザのユーザ属性情報を取得して第1ユーザ属性情報取得部が記憶装置に記憶する第1ユーザ属性情報取得ステップと、
上記第1ユーザ属性情報取得ステップで取得したユーザ属性情報からリンク情報を取得してリンク情報取得部が記憶装置に記憶するリンク情報取得ステップと、
上記リンク情報取得ステップで取得したリンク情報が示す認証リポジトリである第2認証リポジトリから上記ユーザのユーザ属性情報を取得して第2ユーザ属性情報取得部が記憶装置に記憶する第2ユーザ属性情報取得ステップと、
上記第1認証リポジトリが割当てられたグループである第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得ステップで取得したユーザ属性情報に基づき認証認可処理部が処理装置によりアクセス制御を行い、上記第2認証リポジトリが割当てられたグループである第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得ステップで取得したユーザ属性情報に基づき認証認可処理部が処理装置によりアクセス制御を行う認証認可処理ステップと
を備えることを特徴とする認証認可方法。 In the authentication authorization method of the authentication authorization server,
An authentication repository search unit searches a predetermined authentication repository by a processing device from a plurality of authentication repositories that store user attribute information assigned to each user including attribute information and link information indicating an authentication repository to be linked in a storage device. An authentication repository search step to
A first user attribute information acquisition step in which user attribute information of a predetermined user is acquired from a first authentication repository that is an authentication repository searched in the authentication repository search step, and the first user attribute information acquisition unit stores the storage in a storage device;
A link information acquisition step in which link information is acquired from the user attribute information acquired in the first user attribute information acquisition step and the link information acquisition unit stores it in a storage device;
Acquisition of second user attribute information acquired by the second user attribute information acquisition unit from the second authentication repository, which is the authentication repository indicated by the link information acquired in the link information acquisition step, and stored in the storage device Steps,
Authentication authorization processing based on the user attribute information acquired in the first user attribute information acquisition step with respect to the access from the user terminal by the user to the server of the first group that is the group to which the first authentication repository is allocated The second user attribute information acquisition step with respect to the access from the user terminal by the user to the server of the second group, which is a group to which the second authentication repository is assigned. An authentication authorization method, comprising: an authentication authorization processing step in which an authentication authorization processing unit performs access control by a processing device based on acquired user attribute information.
属性情報と、リンクする認証リポジトリを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶装置に記憶する複数の認証リポジトリから、所定の認証リポジトリを処理装置により検索する認証リポジトリ検索処理と、
上記認証リポジトリ検索処理で検索した認証リポジトリである第1認証リポジトリから所定のユーザのユーザ属性情報を取得して記憶装置に記憶する第1ユーザ属性情報取得処理と、
上記第1ユーザ属性情報取得処理で取得したユーザ属性情報からリンク情報を取得して記憶装置に記憶するリンク情報取得処理と、
上記リンク情報取得処理で取得したリンク情報が示す認証リポジトリである第2認証リポジトリから上記ユーザのユーザ属性情報を取得して記憶装置に記憶する第2ユーザ属性情報取得処理と、
上記第1認証リポジトリが割当てられたグループである第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得処理で取得したユーザ属性情報に基づき処理装置によりアクセス制御を行い、上記第2認証リポジトリが割当てられたグループである第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得処理で取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う認証認可処理処理と
をコンピュータに実行させることを特徴とする認証認可プログラム。 In the authentication authorization program of the authentication authorization server,
Authentication repository search processing for searching a predetermined authentication repository by a processing device from a plurality of authentication repositories storing user attribute information assigned to each user including attribute information and link information indicating an authentication repository to be linked in a storage device When,
A first user attribute information acquisition process for acquiring user attribute information of a predetermined user from a first authentication repository that is an authentication repository searched in the authentication repository search process;
A link information acquisition process for acquiring link information from the user attribute information acquired in the first user attribute information acquisition process and storing the link information in a storage device;
A second user attribute information acquisition process for acquiring user attribute information of the user from a second authentication repository that is an authentication repository indicated by the link information acquired in the link information acquisition process, and storing the user attribute information in a storage device;
For the access from the user terminal by the user to the server of the first group, which is the group to which the first authentication repository is assigned, by the processing device based on the user attribute information acquired in the first user attribute information acquisition process User attribute information acquired by the second user attribute information acquisition process for access from the user terminal by the user to the server of the second group, which is a group to which the second authentication repository is assigned, by performing access control An authentication authorization program for causing a computer to execute authentication authorization processing processing for performing access control by a processing device based on the above.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006096289A JP4757687B2 (en) | 2006-03-31 | 2006-03-31 | Authentication authorization server, authentication authorization system, authentication authorization method, and authentication authorization program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006096289A JP4757687B2 (en) | 2006-03-31 | 2006-03-31 | Authentication authorization server, authentication authorization system, authentication authorization method, and authentication authorization program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007272492A true JP2007272492A (en) | 2007-10-18 |
| JP4757687B2 JP4757687B2 (en) | 2011-08-24 |
Family
ID=38675243
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006096289A Expired - Fee Related JP4757687B2 (en) | 2006-03-31 | 2006-03-31 | Authentication authorization server, authentication authorization system, authentication authorization method, and authentication authorization program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4757687B2 (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010039763A (en) * | 2008-08-05 | 2010-02-18 | Nomura Research Institute Ltd | Server system |
| JP2013025405A (en) * | 2011-07-15 | 2013-02-04 | Canon Inc | System for providing single sign-on, control method of the same, service provision device, relay means, and program |
| JP2013257859A (en) * | 2012-02-01 | 2013-12-26 | Ricoh Co Ltd | Information processing system, information processing device, program, and authentication method |
| JP2016511479A (en) * | 2013-03-15 | 2016-04-14 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Support method and system of multi-tenant function for corporate social business computing. |
| JP2020501215A (en) * | 2016-12-30 | 2020-01-16 | ドロップボックス, インコーポレイテッド | Presence, access, and view status of local copies of shared content items |
| CN113222542A (en) * | 2021-04-26 | 2021-08-06 | 胡金钱 | Enterprise number and enterprise number management method and enterprise number management terminal device |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000122910A (en) * | 1998-10-20 | 2000-04-28 | Dainippon Printing Co Ltd | Data base system and access management device for same |
| JP2000148737A (en) * | 1998-11-13 | 2000-05-30 | Fuji Xerox Co Ltd | Access control system for decentralized electronic document |
| JP2001092782A (en) * | 1999-09-20 | 2001-04-06 | Oki Electric Ind Co Ltd | Information network |
| JP2003203145A (en) * | 2002-01-04 | 2003-07-18 | Sumitomo Trust & Banking Co Ltd | Personnel management support system and method therefor |
-
2006
- 2006-03-31 JP JP2006096289A patent/JP4757687B2/en not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000122910A (en) * | 1998-10-20 | 2000-04-28 | Dainippon Printing Co Ltd | Data base system and access management device for same |
| JP2000148737A (en) * | 1998-11-13 | 2000-05-30 | Fuji Xerox Co Ltd | Access control system for decentralized electronic document |
| JP2001092782A (en) * | 1999-09-20 | 2001-04-06 | Oki Electric Ind Co Ltd | Information network |
| JP2003203145A (en) * | 2002-01-04 | 2003-07-18 | Sumitomo Trust & Banking Co Ltd | Personnel management support system and method therefor |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010039763A (en) * | 2008-08-05 | 2010-02-18 | Nomura Research Institute Ltd | Server system |
| JP2013025405A (en) * | 2011-07-15 | 2013-02-04 | Canon Inc | System for providing single sign-on, control method of the same, service provision device, relay means, and program |
| JP2013257859A (en) * | 2012-02-01 | 2013-12-26 | Ricoh Co Ltd | Information processing system, information processing device, program, and authentication method |
| JP2016511479A (en) * | 2013-03-15 | 2016-04-14 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | Support method and system of multi-tenant function for corporate social business computing. |
| JP2020501215A (en) * | 2016-12-30 | 2020-01-16 | ドロップボックス, インコーポレイテッド | Presence, access, and view status of local copies of shared content items |
| US11249632B2 (en) | 2016-12-30 | 2022-02-15 | Dropbox, Inc. | Presence, access, and seen state for local copies of shared content items |
| JP7074745B2 (en) | 2016-12-30 | 2022-05-24 | ドロップボックス, インコーポレイテッド | Presenting a graphical user interface that provides presence information related to shared content items |
| CN113222542A (en) * | 2021-04-26 | 2021-08-06 | 胡金钱 | Enterprise number and enterprise number management method and enterprise number management terminal device |
| CN113222542B (en) * | 2021-04-26 | 2023-12-22 | 胡金钱 | Enterprise number and enterprise code management method and enterprise number and enterprise code management terminal device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4757687B2 (en) | 2011-08-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7249369B2 (en) | Post data processing | |
| US7231661B1 (en) | Authorization services with external authentication | |
| US7080077B2 (en) | Localized access | |
| US7464162B2 (en) | Systems and methods for testing whether access to a resource is authorized based on access information | |
| US7194764B2 (en) | User authentication | |
| US8635679B2 (en) | Networked identity framework | |
| US9038170B2 (en) | Logging access system events | |
| US9154493B2 (en) | Managing multiple logins from a single browser | |
| US7134137B2 (en) | Providing data to applications from an access system | |
| US8204999B2 (en) | Query string processing | |
| US7124203B2 (en) | Selective cache flushing in identity and access management systems | |
| US8850550B2 (en) | Using cached security tokens in an online service | |
| JP6140735B2 (en) | Access control device, access control method, and program | |
| US7562113B2 (en) | Method and system for automatically creating and storing shortcuts to web sites/pages | |
| JP4757687B2 (en) | Authentication authorization server, authentication authorization system, authentication authorization method, and authentication authorization program | |
| US20160255090A1 (en) | Method and system for securely updating a website | |
| AU2005201002A1 (en) | Method and system for displaying and managing security information | |
| US11425132B2 (en) | Cross-domain authentication in a multi-entity database system | |
| JP2004046460A (en) | File management system and access control system | |
| US11381545B2 (en) | Multi-layer navigation based security certificate checking | |
| JP5026130B2 (en) | Mail management method, mail management system, and mail management program | |
| Catrinescu et al. | Hybrid Scenarios | |
| JP2008536241A (en) | Discovery of web content management information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080810 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110525 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110531 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110601 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4757687 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140610 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |