JP2007272542A - Access controller, access control method and program - Google Patents

Access controller, access control method and program Download PDF

Info

Publication number
JP2007272542A
JP2007272542A JP2006097062A JP2006097062A JP2007272542A JP 2007272542 A JP2007272542 A JP 2007272542A JP 2006097062 A JP2006097062 A JP 2006097062A JP 2006097062 A JP2006097062 A JP 2006097062A JP 2007272542 A JP2007272542 A JP 2007272542A
Authority
JP
Japan
Prior art keywords
authentication
user
service providing
single sign
authentication level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2006097062A
Other languages
Japanese (ja)
Inventor
Takashi Nagaoka
孝 永岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2006097062A priority Critical patent/JP2007272542A/en
Publication of JP2007272542A publication Critical patent/JP2007272542A/en
Withdrawn legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent reduction of an overall security level in single sign-on. <P>SOLUTION: This access controller having a function providing the single sign-on has: an authentication level decision means determining an authentication level of user authentication for permitting the single sign-on when receiving access for the single sign-on from a user device, and selecting a service provision device having an authentication means corresponding to the determined authentication level; a proxy login means performing login requirement to the service provision device selected by the authentication level decision means as proxy of the user device; a reception means receiving a result of authentication processing performed to the user device according to the login requirement from the service provision device; and a means permitting the single sign-on by the user device when the result of the authentication processing is normal. <P>COPYRIGHT: (C)2008,JPO&INPIT

Description

本発明は、ユーザが1回だけID、パスワード入力等の認証処理を行うことにより、認証を要する複数のネットワークサービスを利用できるシングルサインオン(SSO)に関するものである。   The present invention relates to single sign-on (SSO) in which a user can use a plurality of network services that require authentication by performing authentication processing such as ID and password input only once.

従来、ユーザが複数のサービス提供装置から各種のネットワークサービスを受けるためには、ユーザは各々のサービス提供装置の認証を受けなければならなかった。一方、ユーザが一度認証を受けることにより、再度の認証を行うことなく複数のサービス提供装置からサービスを受けることを可能とするシングルサインオンが普及してきている。   Conventionally, in order for a user to receive various network services from a plurality of service providing apparatuses, the user has to authenticate each service providing apparatus. On the other hand, single sign-on that allows a user to receive services from a plurality of service providing apparatuses without performing authentication again once has been widely used.

シングルサインオンの方式には種々のものがあるが、その中の一つとして、リバティアライアンスプロジェクトにより標準化が進められている方式がある。この方式では、シングルサインオン提供装置(SSO提供装置と呼ぶ)と各サービス提供装置間でユーザの認証に関する情報をアイデンティティとして連携させることによりシングルサインオンを実現している。リバティアライアンスプロジェクト方式のシングルサインオンの一例を図1を参照して説明する。   There are various single sign-on methods, and one of them is a method that is being standardized by the Liberty Alliance Project. In this method, single sign-on is realized by linking information relating to user authentication as an identity between a single sign-on providing device (referred to as an SSO providing device) and each service providing device. An example of the Liberty Alliance Project type single sign-on will be described with reference to FIG.

図1に示す例では、シングルサインオンサービスを提供するSSO提供装置10、及び各種ネットワークサービスを提供するサービス提供装置1、2が存在する。以下、SSO提供装置10、及びサービス提供装置1、2の各々にはユーザ端末20のユーザが既に登録されているものとし、ユーザは各々の装置に対して各々の認証方式(ID、パスワード等)でローカルにログインできるものとする。また、SSO提供装置10及びサービス提供装置1、2間は信頼関係で結ばれているものとする(リバティアライアンスプロジェクトでは“トラストサークル”と呼ばれる)。   In the example illustrated in FIG. 1, there are an SSO providing apparatus 10 that provides a single sign-on service, and service providing apparatuses 1 and 2 that provide various network services. Hereinafter, it is assumed that the user of the user terminal 20 has already been registered in each of the SSO providing apparatus 10 and the service providing apparatuses 1 and 2, and the user uses each authentication method (ID, password, etc.) for each apparatus. You can log in locally at Further, it is assumed that the SSO providing apparatus 10 and the service providing apparatuses 1 and 2 are connected in a trust relationship (referred to as “trust circle” in the Liberty Alliance Project).

ユーザがサービス提供装置1、2に対するシングルサインオンを利用するにあたって、ユーザはまずサービス提供装置1、2の各々に対して認証を要求し、各サービス提供装置による認証を受け、SSO提供装置10と連携させることを要求する。これにより、アイデンティティの連携が行われ、これ以降、シングルサインオンを利用することが可能となる。   When the user uses single sign-on for the service providing apparatuses 1 and 2, the user first requests authentication for each of the service providing apparatuses 1 and 2, receives authentication by each service providing apparatus, Request to work together. As a result, identity linking is performed, and thereafter, single sign-on can be used.

シングルサインオン利用のために、ユーザ端末20はSSO提供装置10にアクセスし、SSO提供装置10に対するID、パスワードを入力することにより認証が行われる(初期認証)(ステップ1)。   In order to use single sign-on, the user terminal 20 accesses the SSO providing apparatus 10 and performs authentication by inputting an ID and a password for the SSO providing apparatus 10 (initial authentication) (step 1).

その後、ユーザ端末20がサービス提供装置1のサービスを利用する場合、ユーザ端末20がサービス提供装置1にアクセスすると(ステップ2)、サービス提供装置1はSSO提供装置10に認証要求を送信する(ステップ3)。なお、この認証要求にはサービス提供装置1が必要とする認証レベルを含めることが可能である。この認証要求を受けたSSO提供装置10は、ユーザに対する初期認証が行われていることと、サービス提供装置1との連携が行われていることを確認し、認証情報(認証アサーションと呼ばれる)をサービス提供装置1に対して発行する(ステップ4)。   Thereafter, when the user terminal 20 uses the service of the service providing apparatus 1, when the user terminal 20 accesses the service providing apparatus 1 (step 2), the service providing apparatus 1 transmits an authentication request to the SSO providing apparatus 10 (step 2). 3). The authentication request can include an authentication level required by the service providing apparatus 1. Upon receiving this authentication request, the SSO providing apparatus 10 confirms that initial authentication for the user is performed and that the cooperation with the service providing apparatus 1 is performed, and provides authentication information (referred to as an authentication assertion). Issued to the service providing apparatus 1 (step 4).

サービス提供装置1は認証情報をチェックし、正しければユーザ端末20に対してサービス提供を行う。これにより、ユーザはサービス提供装置1に対するID、パスワード入力等を再度行うことなくサービス提供装置1のサービスを利用できる。なお、アイデンティティ連携及びシングルサインオンにおける処理において実際のID情報は装置間でやりとりされず、信頼当事者間でのみユーザを識別できる識別情報がやりとりされる。
また、サービス提供装置とSSO提供装置10間での認証に関する情報の送受信は、リダイレクトによりユーザ端末20を介して行う場合があるが、図1では簡略化して示している。 The service providing apparatus 1 checks the authentication information, and if it is correct, provides the service to the user terminal 20. As a result, the user can use the service of the service providing apparatus 1 without re-entering the ID and password for the service providing apparatus 1. It should be noted that actual ID information is not exchanged between devices in the process of identity linkage and single sign-on, but identification information that can identify the user is exchanged only between the relying parties.
Further, transmission / reception of information related to authentication between the service providing apparatus and the SSO providing apparatus 10 may be performed via the user terminal 20 by redirection, but is simplified in FIG.

リバティアライアンスプロジェクトのアイデンティティ連携及びシングルサインオンに関しては非特許文献1に開示された各文書に詳細に記載されている。また、シングルサインオンに関する先行技術文献として特許文献1がある。
リバティアライアンスプロジェクト、[online]、[平成18年3月28日検索]、インターネット: URL: http://www.projectliberty.org/jp/resources/index.html#Presentations 特開2004−355073号公報 The Liberty Alliance project identity collaboration and single sign-on are described in detail in each document disclosed in Non-Patent Document 1. Patent Document 1 is a prior art document related to single sign-on.
Liberty Alliance Project, [online], [March 28, 2006 search], Internet: URL: http://www.projectliberty.org/jp/resources/index.html#Presentations JP 2004-355073 A

上記従来技術では、SSO提供装置10に対するID、パスワード等を使用した初期認証のみで各サービス提供装置のサービスを利用することができるので、全体のセキュリティレベルは初期認証のセキュリティレベルになる。   In the above prior art, the service of each service providing apparatus can be used only by the initial authentication using the ID, password, etc. for the SSO providing apparatus 10, so that the overall security level becomes the security level of the initial authentication.

一般にシングルサインオンではユーザの利便性を重視するため、SSO提供装置10はID、パスワード等の簡易な認証方式を採用することが多い。従って、サービス提供装置の中にID、パスワード方式よりもレベルの高い認証方式(例えばICカード認証)を採用しているものがあったとしても、原則として、シングルサインオン利用時のセキュリティレベルは当該サービス提供装置がローカルで認証を行う場合よりも低いレベルのものとなってしまう。つまり、従来のシングルサインオンでは、ユーザの利便性を重視した簡易な認証方式を採用する限り、全体的なセキュリティレベルが低下するという問題があった。   In general, since single sign-on places importance on user convenience, the SSO providing apparatus 10 often adopts a simple authentication method such as an ID and a password. Therefore, even if some of the service providing devices adopt an authentication method (for example, IC card authentication) that is higher than the ID / password method, the security level when using single sign-on is in principle The service providing apparatus is of a lower level than when performing authentication locally. That is, the conventional single sign-on has a problem that the overall security level is lowered as long as a simple authentication method that emphasizes user convenience is employed.

本発明は上記の点に鑑みてなされたものであり、シングルサインオンにおいて全体的なセキュリティレベルの低下を防止する技術を提供することを目的とする。   The present invention has been made in view of the above points, and an object of the present invention is to provide a technique for preventing a decrease in the overall security level in single sign-on.

上記の課題は、ユーザ装置に対してシングルサインオンによりネットワークサービスへのアクセスを許容する機能を備えたアクセス制御装置であって、シングルサインオンのためのアクセスをユーザ装置から受け付けたときに、シングルサインオンを許可するためのユーザ認証の認証レベルを決定し、決定された認証レベルに対応する認証手段を備えたサービス提供装置を選択する認証レベル判定手段と、前記認証レベル判定手段により選択されたサービス提供装置に対して前記ユーザ装置の代理としてログイン要求を行う代理ログイン手段と、前記ログイン要求に応じて前記ユーザ装置に対して行われた認証処理の結果を前記サービス提供装置から受信する受信手段と、前記認証処理の結果が正常である場合に、前記ユーザ装置によるシングルサインオンを許可する手段とを備えたことを特徴とするアクセス制御装置により解決できる。   The above-described problem is an access control device having a function that allows a user device to access a network service by single sign-on. When an access for single sign-on is received from the user device, An authentication level determination unit that determines an authentication level of user authentication for permitting sign-on and selects a service providing apparatus including an authentication unit corresponding to the determined authentication level; and selected by the authentication level determination unit Proxy login means for making a login request to the service providing apparatus as a proxy for the user apparatus, and receiving means for receiving, from the service providing apparatus, a result of authentication processing performed on the user apparatus in response to the login request. If the result of the authentication process is normal, Can be solved by the access controller being characterized in that a means for permitting a sign-on.

前記認証レベル判定手段は、シングルサインオンによりアクセス可能なサービス提供装置の中で最大の認証レベルを持つサービス提供装置を選択することとしてもよい。   The authentication level determination means may select a service providing apparatus having the maximum authentication level among service providing apparatuses accessible by single sign-on.

また、前記アクセス制御装置は、サービス提供装置毎の認証レベルを記録した認証レベル対応データを保持し、前記認証レベル判定手段は、当該認証レベル対応データを参照することによりサービス提供装置の選択を行うこととしてもよい。更に、前記認証レベル判定手段は、予め設定された認証レベルに対応するサービス提供装置を選択することとしてもよい。   The access control apparatus holds authentication level corresponding data in which an authentication level for each service providing apparatus is recorded, and the authentication level determination unit selects the service providing apparatus by referring to the authentication level corresponding data. It is good as well. Further, the authentication level determination means may select a service providing apparatus corresponding to a preset authentication level.

また、前記アクセス制御装置は、前記認証レベル判定手段により決定された認証レベルを前記ユーザ装置に送信する手段を備え、当該ユーザ装置から別の認証レベルの指定がなされた場合に、前記認証レベル判定手段は、当該別の認証レベルに対応する認証手段を備えたサービス提供装置を選択することとしてもよい。   Further, the access control device includes means for transmitting the authentication level determined by the authentication level determination means to the user device, and when the user device designates another authentication level, the authentication level determination The means may select a service providing apparatus provided with an authentication means corresponding to the other authentication level.

また、前記ユーザ装置からシングルサインオンがされた状態において、前記アクセス制御装置が、前記ユーザ装置からアクセスを受けたサービス提供装置からユーザ認証要求を受信したときに、当該アクセス制御装置は、認証に使用された認証レベルの履歴と、当該サービス提供装置が要求する認証レベルとを比較することにより、当該サービス提供装置に対する前記ユーザ装置のアクセス許否を決定することとしてもよい。   Further, when the access control apparatus receives a user authentication request from a service providing apparatus accessed by the user apparatus in a state where single sign-on is performed from the user apparatus, the access control apparatus performs authentication. By comparing the history of used authentication levels with the authentication level requested by the service providing apparatus, it may be possible to determine whether the user apparatus is permitted to access the service providing apparatus.

また、前記ユーザ装置からシングルサインオンがされた状態において、前記アクセス制御装置が、前記ユーザ装置からアクセスを受けたサービス提供装置からユーザ認証要求を受信したときに、当該アクセス制御装置は、認証の履歴と、当該サービス提供装置の認証条件とに基づき当該サービス提供装置に対する前記ユーザ装置のアクセス許否を決定することとしてもよい。   Further, when the access control apparatus receives a user authentication request from a service providing apparatus that has received access from the user apparatus in a state where single sign-on is performed from the user apparatus, the access control apparatus performs authentication. Based on the history and the authentication condition of the service providing apparatus, whether or not the user apparatus can access the service providing apparatus may be determined.

また、本発明は上記アクセス制御装置が実行するアクセス制御方法として構成することもできる。また、本発明は、コンピュータを上記アクセス制御装置として機能させるためのプログラムとして構成することもできる。   The present invention can also be configured as an access control method executed by the access control apparatus. The present invention can also be configured as a program for causing a computer to function as the access control device.

本発明によれば、シングルサインオンにおいて全体的なセキュリティレベルの低下を防止することが可能となる。   According to the present invention, it is possible to prevent a decrease in the overall security level in single sign-on.

以下、図面を参照して本発明の実施の形態について説明する。本実施の形態でのシステムの全体構成は図1に示したものと同じである。また、本実施の形態では、リバティアライアンスプロジェクトによるアイデンティティ連携及びシングルサインオン方式を前提とするが、本発明が適用されるシングルサインオンの方式はこれに限られるものではない。   Embodiments of the present invention will be described below with reference to the drawings. The overall configuration of the system in this embodiment is the same as that shown in FIG. Further, in the present embodiment, identity linkage and single sign-on schemes based on the Liberty Alliance project are premised, but the single sign-on scheme to which the present invention is applied is not limited to this.

本実施の形態では、図2に示すような認証レベル対応表をSSO提供装置10が保持する。この認証レベル対応表は、SSO提供装置10を含むサービス提供装置毎の認証レベルを記録したものである。なお、認証レベル判定にあたっては、SSO提供装置10はサービス提供装置の一つとして扱う。それぞれのサービス提供装置がローカルで提供する認証方式について事前に認証レベルを定義しておき、それに従って認証レベル対応表に記録する。例えば、IDパスワード認証:レベル1、ワンタイムパスワード認証:レベル2、ICカード認証:レベル3、生体認証:レベル4、などと定義する。   In the present embodiment, the SSO providing apparatus 10 holds an authentication level correspondence table as shown in FIG. This authentication level correspondence table records the authentication level for each service providing apparatus including the SSO providing apparatus 10. In the authentication level determination, the SSO providing device 10 is handled as one of the service providing devices. Authentication levels are defined in advance for authentication methods locally provided by each service providing apparatus, and recorded in the authentication level correspondence table accordingly. For example, ID password authentication: level 1, one-time password authentication: level 2, IC card authentication: level 3, biometric authentication: level 4, etc. are defined.

また、図2に示すようにレベルの大きさを登録する代わりに、PW(IDパスワード認証)<OTPW(ワンタイムパスワード認証)<ICC(ICカード認証)<BIO(生体認証)のようにして認証レベルの大小関係を定義しておくことにより、表にはSSO提供装置10及びサービス提供装置毎の認証方式を記録しておくだけとしてもよい。以下、図2のようなレベルが記載された認証レベル表を用いることとして説明する。   Also, instead of registering the level size as shown in Fig. 2, authentication is performed as PW (ID password authentication) <OTPW (one-time password authentication) <ICC (IC card authentication) <BIO (biometric authentication) By defining the level relationship, the authentication method for each SSO providing device 10 and each service providing device may be recorded in the table. Hereinafter, description will be made assuming that an authentication level table in which levels as shown in FIG. 2 are described.

本実施の形態では、SSO提供装置10がユーザ端末20からのアクセスを受けると、SSO提供装置10は認証レベル対応表を参照し、当該ユーザ端末20に対してシングルサインオンでサービス提供可能なサービス提供装置(SSO提供装置を含む)の中で最大の認証レベルを持つサービス提供装置に認証処理の引き継ぎを行い、当該サービス提供装置によるユーザ認証処理が正常であった場合に、通常のシングルサインオンと同様に、ユーザに対して各サービス提供装置のサービス利用が許可される。   In the present embodiment, when the SSO providing apparatus 10 receives access from the user terminal 20, the SSO providing apparatus 10 refers to the authentication level correspondence table and can provide a service that can provide a service to the user terminal 20 by single sign-on. Normal single sign-on when the user authentication processing by the service provider is normal when the service provider takes over the service provider with the maximum authentication level among the providers (including the SSO provider) In the same way as above, the user is permitted to use the service of each service providing apparatus.

次に、図3を参照して本実施の形態における処理の流れを説明する。図3では、ユーザ端末20のユーザに関して、シングルサインオンに必要な連携処理を終了しており、シングルサインオンのための認証が成功すれば各サービス提供装置のサービスを利用可能である状態であるものとする。また、サービス提供装置1がポータルサイトのホームページを提供し、SSO提供装置10へのログインのためのID、パスワード入力欄を表示するものとする。   Next, the flow of processing in the present embodiment will be described with reference to FIG. In FIG. 3, the cooperation processing necessary for single sign-on has been completed for the user of the user terminal 20, and the service of each service providing apparatus can be used if authentication for single sign-on is successful. Shall. Further, it is assumed that the service providing apparatus 1 provides a home page of a portal site and displays an ID and password input column for logging in to the SSO providing apparatus 10.

まず、ユーザ端末20はサービス提供者装置1にアクセスし、SSO提供装置10に対するID、パスワードを入力することによりSSO提供装置10へのログインを行う(ステップ11)。サービス提供装置1は、ユーザ端末20からのログイン情報をSSO提供装置10に送信することにより、シングルサインオンのための処理をSSO提供装置10に引き継ぐ(ステップ12)。   First, the user terminal 20 accesses the service provider device 1 and logs in to the SSO providing device 10 by inputting an ID and password for the SSO providing device 10 (step 11). The service providing apparatus 1 transmits the login information from the user terminal 20 to the SSO providing apparatus 10 to take over the process for single sign-on to the SSO providing apparatus 10 (step 12).

ログイン情報を受信し、ユーザによるログインを許可したSSO提供装置10は、図2に示した認証レベル表を参照し、ユーザがシングルサインオンによるアクセスを行うことができるサービス提供装置のうち、最も認証レベルが高いものを選択する(ステップ13)。本実施の形態では、サービス提供装置2の認証レベルが最大であるものとする。   The SSO providing apparatus 10 that has received the login information and has permitted the login by the user refers to the authentication level table shown in FIG. 2 and is the most authenticated among the service providing apparatuses that the user can access by single sign-on. A high level is selected (step 13). In the present embodiment, it is assumed that the authentication level of the service providing apparatus 2 is the maximum.

SSO提供装置10は、ステップ13の判定により得られたサービス提供装置2に対し、ユーザ端末20に代わってログインを行う(ステップ14)。つまり、代理ログインを行う。この代理ログインでは、例えば、アイデンティティ連携で付与されたユーザの識別情報を用いることができる。サービス提供装置2では、シングルサインオンではない通常の場合(ローカルでのログイン)と同様にして、ログイン要求元であるSSO提供装置10に対して認証要求を送信する(ステップ15)。   The SSO providing device 10 logs in to the service providing device 2 obtained by the determination in step 13 instead of the user terminal 20 (step 14). In other words, proxy login is performed. In this proxy login, for example, user identification information given by identity cooperation can be used. The service providing apparatus 2 transmits an authentication request to the SSO providing apparatus 10 that is the login request source in the same manner as in a normal case (local login) other than single sign-on (step 15).

この認証要求は、図2の認証レベル表に記載されているとおり、レベル3の認証のためのものである。この認証要求はSSO提供装置10からユーザ端末20に送られ(ステップ16)、ユーザは要求された認証のための処理(例えばICカードリーダにICカードの情報(認証情報)を読み取らせる)を行う。そして、認証情報がSSO提供装置10を介してサービス提供装置2に送られる(ステップ17、18)。サービス提供装置2では受信した認証情報を用いて認証処理を行い、認証がOKであれば、その旨の情報を代理ログイン元であるSSO提供装置10に送信する(ステップ19)。その後、SSO提供装置10は、通常のシングルサインオンにおける初期認証が終了した場合と同様の処理を行う。例えば、ユーザ端末20に対して認証OKを示す情報を送り、アクセス可能なサービス提供装置を表示する。   This authentication request is for level 3 authentication as described in the authentication level table of FIG. This authentication request is sent from the SSO providing device 10 to the user terminal 20 (step 16), and the user performs processing for the requested authentication (for example, causing the IC card reader to read the IC card information (authentication information)). . Then, the authentication information is sent to the service providing apparatus 2 via the SSO providing apparatus 10 (Steps 17 and 18). The service providing apparatus 2 performs an authentication process using the received authentication information, and if authentication is OK, transmits information to that effect to the SSO providing apparatus 10 that is the proxy login source (step 19). Thereafter, the SSO providing apparatus 10 performs the same processing as when the initial authentication in the normal single sign-on is completed. For example, information indicating that authentication is OK is sent to the user terminal 20 to display an accessible service providing apparatus.

図4に、SSO提供装置10の認証レベルが最大である場合の処理の流れを示す。この場合は、いずれのサービス提供装置に対しても代理ログインを行うことなく、最初のSSO提供装置10によるID、パスワード認証に基づき、シングルサインオンが可能となる。   FIG. 4 shows a processing flow when the authentication level of the SSO providing apparatus 10 is the maximum. In this case, single sign-on is possible based on ID and password authentication by the first SSO providing apparatus 10 without performing proxy login to any service providing apparatus.

上記のような方式により、シングルサインオンの利用時に、全体のセキュリティレべルが落ちてしまうことを防止できる。なお、決定された認証レベルに該当する装置が複数存在する場合には、装置間での優先順位を予め定めておき、その認証レベルの中で優先順位の高い装置の認証手段を使うこととすればよい。   With the above method, it is possible to prevent the overall security level from being lowered when using single sign-on. When there are a plurality of devices corresponding to the determined authentication level, a priority order between the devices is determined in advance, and an authentication unit of a device having a higher priority in the authentication level is used. That's fine.

図5に、本実施の形態におけるSSO提供装置10の機能構成図を示す。図5に示すように、本実施の形態におけるSSO提供装置10は、SSO提供部11、レベル判定部12、代理ログイン部13、通信部14、設定情報格納部15を備えている。   FIG. 5 shows a functional configuration diagram of the SSO providing apparatus 10 in the present embodiment. As illustrated in FIG. 5, the SSO providing apparatus 10 according to the present embodiment includes an SSO providing unit 11, a level determination unit 12, a proxy login unit 13, a communication unit 14, and a setting information storage unit 15.

SSO提供部11はシングルサインオンを実現するための機能部であり、例えばリバティアライアンスプロジェクト方式のアイデンティティ連携及びシングルサインオンを実現する機能を備えている。また、SSO提供部11はSSO提供装置10自身の認証方式による認証を行う機能を含む。レベル判定部12は、設定情報格納部15に格納されている認証レベル表を参照することにより、どの装置の認証手段を利用するかを判定する機能を備えている。   The SSO providing unit 11 is a functional unit for realizing single sign-on, and has a function for realizing, for example, Liberty Alliance Project type identity linkage and single sign-on. Further, the SSO providing unit 11 includes a function of performing authentication by the authentication method of the SSO providing apparatus 10 itself. The level determination unit 12 has a function of determining which device authentication means is used by referring to the authentication level table stored in the setting information storage unit 15.

代理ログイン部13は、レベル判定部12によりSSO提供装置10以外のサービス提供装置の認証手段を利用すると判定された場合に、当該サービス提供装置に対してユーザの代理でログインを行い、当該サービス提供装置からの認証処理要求をユーザ端末20に送信し、ユーザ端末20からの認証情報を当該サービス提供装置に送信し、当該サービス提供装置からの認証結果をSSO提供部11に通知する機能を備えている。SSO提供部11は代理ログイン部13からの認証結果が正常である場合に、シングルサインオンによるアクセスを許容する。   The proxy login unit 13 logs in to the service providing device on behalf of the user when the level determining unit 12 determines that the authentication unit of the service providing device other than the SSO providing device 10 is used, and provides the service A function of transmitting an authentication processing request from the apparatus to the user terminal 20, transmitting authentication information from the user terminal 20 to the service providing apparatus, and notifying the SSO providing unit 11 of an authentication result from the service providing apparatus. Yes. When the authentication result from the proxy login unit 13 is normal, the SSO providing unit 11 allows access by single sign-on.

通信部14はネットワークを介してデータ通信を行う機能を備え、設定情報格納部15は各種設定情報を格納する機能を備えている。   The communication unit 14 has a function of performing data communication via a network, and the setting information storage unit 15 has a function of storing various setting information.

SSO提供装置10は、CPU、記憶装置等を備えたコンピュータに、上述した各機能部の処理を実行させるためのプログラムを搭載することにより実現可能である。   The SSO providing apparatus 10 can be realized by mounting a program for executing the processing of each functional unit described above on a computer including a CPU, a storage device, and the like.

(認証レベルの判定方法の他の例)
認証レベルの判定方法は、上記のように認証レベルが最大レベルのものを選択する方法に限られない。例えば下記の方法を採用することが可能である。 (Other examples of authentication level judgment methods)
The method for determining the authentication level is not limited to the method for selecting the authentication level having the maximum level as described above. For example, the following method can be employed.

(1)シングルサインオンのために常に最大認証レベルの認証方式を利用することとすると、ユーザの利便性が低下することも考えられる。そこで、ユーザが通常時に使用したいと考える認証レベルを定義することとしてもよい。この場合、ユーザは予めSSO提供装置10に対して使用したい認証レベル(例えば認証レベル2)を通知しておく。SSO提供装置10は当該ユーザと“認証レベル2”を対応付けて保持し、当該ユーザからのアクセス時には、レベル2の認証方式の装置を選択して代理ログインを行う。なお、レベル2の認証方式の装置が複数存在する場合は優先順位の高い装置を選択する。   (1) If the authentication method of the maximum authentication level is always used for single sign-on, the user convenience may be reduced. Therefore, an authentication level that the user wants to use at normal times may be defined. In this case, the user notifies the SSO providing apparatus 10 in advance of the authentication level (for example, authentication level 2) desired to be used. The SSO providing apparatus 10 holds the user and “authentication level 2” in association with each other, and when accessing from the user, the apparatus of the level 2 authentication method is selected to perform proxy login. Note that if there are a plurality of level 2 authentication method apparatuses, a higher priority apparatus is selected.

(2)また、各サービス提供装置の運用者である各サービス提供者が、ユーザがどのレベル以上で認証を受けた場合にシングルサインオンに基づくアクセスを許容するかをSSO提供装置10に対して予め登録しておくこととしてもよい。   (2) In addition, the service provider who is the operator of each service providing apparatus indicates to which level the user is authenticated at what level or higher to permit access based on single sign-on to the SSO providing apparatus 10 It may be registered in advance.

この場合、例えば、図3のステップ13の判定において、連携された複数のサービス提供装置により登録された認証レベルのうち、最大の認証レベルの認証方式を選択して代理ログインを行う。これにより、サービス提供者は、自分自身が提供可能な認証レベルよりも高い認証レベルの認証を行ってアクセスを行わせることが可能となる。   In this case, for example, in the determination of step 13 in FIG. 3, the authentication method of the maximum authentication level is selected from the authentication levels registered by the plurality of service providing apparatuses linked to perform proxy login. As a result, the service provider can perform access by performing authentication at an authentication level higher than the authentication level that can be provided by the service provider.

(3)また、SSO提供装置10の運用者が、ユーザにシングルサインオンを提供するときの認証レベルを定義し、SSO提供装置10に保持しておいてもよい。   (3) The operator of the SSO providing apparatus 10 may define an authentication level when providing single sign-on to the user and hold it in the SSO providing apparatus 10.

なお、ユーザ、サービス提供者、SSO提供者のうちのいずれか1の当事者のみが上記のような希望認証レベルの設定をしている場合は、その設定に従って認証方式を決定し、認証を行うことができる。   If only one of the user, service provider, and SSO provider has the desired authentication level as described above, determine the authentication method according to the setting and perform authentication. Can do.

また、複数当事者が認証レベルの登録を行う場合は、ユーザ、サービス提供者、SSO提供者間で優先順位を予め付けておき、優先順位の最も高い者の希望に従って上記(1)〜(3)のうちのいずれかにより認証方式を決定することとしてもよい。   In addition, when a plurality of parties register authentication levels, priorities are set in advance among users, service providers, and SSO providers, and the above (1) to (3) according to the desire of the person with the highest priority. It is good also as determining an authentication system by either of these.

(4)さて、ユーザが外出先から携帯端末を用いてサービスにアクセスする場合等、場合によってはICカード認証等の高レベルの認証を実施することができないことがある。このような場合を想定して、レベル判定の結果をユーザの操作により変更することとしてもよい。この場合の処理の流れを図6を参照して説明する。なお、図6ではサービス提供装置1を図示していない。   (4) Now, in some cases, such as when a user accesses a service using a mobile terminal from outside, high-level authentication such as IC card authentication may not be performed. Assuming such a case, the result of the level determination may be changed by a user operation. The processing flow in this case will be described with reference to FIG. In FIG. 6, the service providing apparatus 1 is not shown.

この場合、認証レベルの判定結果がSSO提供装置10の認証レベルより大きい場合に、認証レベルの判定結果がユーザ端末20に返される(ステップS33)。そして、例えば、ユーザ端末20の画面上にレベル2での認証が必要である旨の情報が表示される。また、当該画面上には、他のレベルの認証を選択するために情報も表示される。   In this case, when the determination result of the authentication level is higher than the authentication level of the SSO providing device 10, the determination result of the authentication level is returned to the user terminal 20 (step S33). For example, information indicating that authentication at level 2 is required is displayed on the screen of the user terminal 20. Information is also displayed on the screen for selecting other levels of authentication.

レベル2という結果が表示されたが、ユーザ端末20ではその認証処理を行うことができない場合、ユーザは画面上でレベル1を選択し、それをSSO提供装置10に送信する(ステップ34)。SSO提供装置10では、レベル1の認証を行う装置の選択を行い(ステップ35)、認証処理を行う(ステップ36)。もしくは、レベル1の認証はSSO提供装置10へのアクセス時に終了しているので、レベル1を選択することが判明した時点で、シングルサインオンのアクセスを許容することとしてもよい。   If the result of level 2 is displayed but the user terminal 20 cannot perform the authentication process, the user selects level 1 on the screen and transmits it to the SSO providing apparatus 10 (step 34). The SSO providing device 10 selects a device that performs level 1 authentication (step 35) and performs authentication processing (step 36). Alternatively, since the authentication of level 1 is completed when accessing the SSO providing apparatus 10, it is possible to permit single sign-on access when it is determined that level 1 is selected.

(アクセスコントロール機能)
上記のうちの特に(1)や(4)の場合、低レベルの認証方式でシングルサインオンをしたユーザに対してはサービス提供を許容しないサービス提供装置が存在することが考えられる。このように、サービス提供装置が要求するシングルサインオン時の認証レベルが、実際のシングルサインオン時の認証レベルより高い場合がある場合には、SSO提供装置10がアクセスコントロール機能を備えることにより対応可能である。この場合の処理手順を図7を参照して説明する。 (Access control function)
In the case of (1) and (4) among the above, there may be a service providing apparatus that does not allow service provision to a user who has performed single sign-on using a low-level authentication method. In this way, when the authentication level at the time of single sign-on requested by the service providing apparatus may be higher than the authentication level at the time of actual single sign-on, the SSO providing apparatus 10 is provided with an access control function. Is possible. The processing procedure in this case will be described with reference to FIG.

図7は、ユーザ端末20からSSO提供装置10に対するシングルサインオン時の初期認証が終了した後の動作を示す。また、ユーザ端末20はサービス提供装置2のサービスを利用するものとする。また、シングルサインオン時の認証レベルはレベルXであったものとし、SSO提供装置10はその情報を保持している。   FIG. 7 shows an operation after the initial authentication at the time of single sign-on from the user terminal 20 to the SSO providing apparatus 10 is completed. Further, it is assumed that the user terminal 20 uses the service of the service providing apparatus 2. Further, it is assumed that the authentication level at the time of single sign-on is level X, and the SSO providing apparatus 10 holds the information.

ユーザ端末20は、サービス提供装置2におけるある特定のサービスを利用するために、サービス提供装置2にアクセスする(ステップ41)。サービス提供装置2が当該特定のサービスを提供するユーザをレベルY以上で認証されたユーザのみとしている場合、サービス提供装置2は、SSO提供装置10に対して要求認証レベル(レベルY)を含む認証要求を送信する(ステップ42)。SSO提供装置10は、要求認証レベル(レベルY)と、シングルサインオン時の認証レベル(レベルX)とを比較し(ステップS43)、要求認証レベルがシングルサインオン時の認証レベル以下(レベルY≦レベルX)である場合に、ユーザがサービス提供装置2の上記特定のサービスを利用することを許可し(ステップS44)、サービス提供が行われる。   The user terminal 20 accesses the service providing apparatus 2 in order to use a specific service in the service providing apparatus 2 (step 41). When the service providing apparatus 2 sets only the users who are authenticated at the level Y or higher as the users who provide the specific service, the service providing apparatus 2 authenticates the SSO providing apparatus 10 including the request authentication level (level Y). A request is transmitted (step 42). The SSO providing apparatus 10 compares the required authentication level (level Y) with the authentication level at the time of single sign-on (level X) (step S43), and the required authentication level is equal to or lower than the authentication level at the time of single sign-on (level Y). When ≦ level X), the user is permitted to use the specific service of the service providing apparatus 2 (step S44), and the service is provided.

要求認証レベルがシングルサインオン時の認証レベルより大きい場合は、サービス提供装置2は認証NGを受け取り(ステップ45)、サービス提供装置2自身でのレベルYの認証をユーザに対して行うことになる(ステップ46)。もしくは、サービスを拒否することとしてもよい。   If the requested authentication level is higher than the authentication level at the time of single sign-on, the service providing apparatus 2 receives the authentication NG (step 45), and the service providing apparatus 2 itself performs level Y authentication for the user. (Step 46). Alternatively, the service may be rejected.

上記の場合、サービス提供装置2自身による認証がOKであれば、ユーザは当初のレベルXよりレベルの高いレベルYの認証を受けたことになる。従って、サービス提供装置2は、当該ユーザに対するサービス提供装置2での認証がOKであった旨をSSO提供装置10に通知し(ステップ47)、SSO提供装置10はこの情報を保持しておく。そして、以降の各サービス提供装置からの認証要求受信時において、シングルサインオン時の認証レベルをレベルYと見なして図7のステップ43におけるレベル比較を行うことができる。   In the above case, if the authentication by the service providing apparatus 2 itself is OK, the user has received the authentication of the level Y higher than the initial level X. Accordingly, the service providing apparatus 2 notifies the SSO providing apparatus 10 that the authentication in the service providing apparatus 2 for the user is OK (step 47), and the SSO providing apparatus 10 holds this information. Then, at the time of receiving an authentication request from each service providing apparatus thereafter, the level comparison at step 43 in FIG. 7 can be performed by regarding the authentication level at the time of single sign-on as level Y.

このように、連携されたサービス提供装置でローカル認証が行われた場合に、その認証レベル、認証方式、サービス提供装置の情報等の履歴をSSO提供装置10が保持しておくことにより、一旦高レベルの認証が行われれば、その後はローカルの認証処理を行う可能性が減る。   As described above, when local authentication is performed by the linked service providing device, the SSO providing device 10 holds the history of the authentication level, the authentication method, the information of the service providing device, and the like. If level authentication is performed, then the possibility of performing local authentication processing decreases.

さて、同じ認証レベルであっても特定の認証方式での認証を受けたユーザしかアクセスを受け付けないサービス提供装置が存在し得る。例えば、あるサービス提供装置ではB社のICカードによる認証がシングルサインオンにおいて行われた場合しか特定のサービスを提供しない場合があり得る。この場合、シングルサインオンでの初期認証もしくは認証履歴の中で、最大の認証レベルの認証として、A社のICカードによる認証が行われていたとしても、上記サービス提供装置のサービス提供条件を満たさない。このような場合に対処するために、認証レベルの比較のみでなく、より複雑な条件の判定を行う機能をSSO提供装置10に備えてもよい。   There may be a service providing apparatus in which only a user who has been authenticated by a specific authentication method accepts access even at the same authentication level. For example, a certain service providing apparatus may provide a specific service only when authentication by the IC card of company B is performed in single sign-on. In this case, even if the authentication by the IC card of company A is performed as the authentication at the maximum authentication level in the initial authentication or authentication history by single sign-on, the service providing condition of the service providing apparatus is satisfied. Absent. In order to cope with such a case, the SSO providing apparatus 10 may be provided with a function for determining not only a comparison of authentication levels but also more complicated conditions.

この場合の処理の流れを図8を参照して説明する。この場合の処理の前提として、SSO提供装置10は図9に示すような条件を予め保持する。この条件は既存のポリシー記述言語で記述でき、SSO提供装置10は、条件を解釈することにより、アクセス許否の判定を行う。また、この場合も、ローカル認証の履歴を上記と同様にして管理しておく。ただし、履歴には、認証方式の情報をより詳細に記録しておく。   The processing flow in this case will be described with reference to FIG. As a premise of the processing in this case, the SSO providing apparatus 10 holds conditions as shown in FIG. 9 in advance. This condition can be described in an existing policy description language, and the SSO providing apparatus 10 determines access permission by interpreting the condition. Also in this case, the history of local authentication is managed in the same manner as described above. However, the authentication method information is recorded in more detail in the history.

図8において、ユーザ端末20は、サービス提供装置2におけるある特定のサービスを利用するために、サービス提供装置2にアクセスする(ステップ51)。サービス提供装置2は、SSO提供装置10に対して認証要求を送信する(ステップ52)。SSO提供装置10は、図9に示す条件を解釈し(ステップS53)、認証履歴を参照して、条件に適合した認証が行われているか否かを判定する(ステップ54)。条件に適合した認証が行われていれば、ユーザがサービス提供装置2の上記特定のサービスを利用することを許可し(ステップS55)、サービス提供が行われる。   In FIG. 8, the user terminal 20 accesses the service providing apparatus 2 in order to use a specific service in the service providing apparatus 2 (step 51). The service providing apparatus 2 transmits an authentication request to the SSO providing apparatus 10 (step 52). The SSO providing device 10 interprets the conditions shown in FIG. 9 (step S53), and refers to the authentication history to determine whether or not authentication conforming to the conditions is performed (step 54). If authentication conforming to the conditions is performed, the user is permitted to use the specific service of the service providing apparatus 2 (step S55), and the service is provided.

条件に適合していない場合、サービス提供装置2は認証NGを受け取り(ステップ56)、サービス提供装置2自身でICカード認証をユーザに対して行うことになる(ステップ57)。もちろん、図9に示す表に単にサービス提供装置毎の認証レベルを記載しておき、当該認証レベル以上の認証が行われていたときにアクセスを許可することとしてもよい。   If the conditions are not met, the service providing apparatus 2 receives the authentication NG (step 56), and the service providing apparatus 2 itself performs IC card authentication for the user (step 57). Of course, the authentication level for each service providing apparatus may be simply described in the table shown in FIG. 9, and access may be permitted when authentication at or above the authentication level is performed.

なお、本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。   The present invention is not limited to the above-described embodiment, and various modifications and applications can be made within the scope of the claims.

リバティアライアンスプロジェクト方式のシングルサインオンの一例を説明するための図である。It is a figure for demonstrating an example of the single sign-on of a Liberty Alliance project system. 認証レベル対応表を示す図である。It is a figure which shows an authentication level corresponding table. 本発明の実施の形態における処理の流れを説明するための図である。It is a figure for demonstrating the flow of the process in embodiment of this invention. SSO提供装置10の認証レベルが最大である場合の処理の流れを示す図である。It is a figure which shows the flow of a process when the authentication level of the SSO provision apparatus 10 is the maximum. SSO提供装置10の機能構成図である。2 is a functional configuration diagram of an SSO providing apparatus 10. FIG. レベル判定の結果をユーザの操作により変更する場合における処理の流れを示す図である。It is a figure which shows the flow of a process in the case of changing the result of level determination by a user's operation. アクセスコントロールを行う場合における処理の流れを示す図(1)である。It is FIG. (1) which shows the flow of a process in the case of performing access control. アクセスコントロールを行う場合における処理の流れを示す図(2)である。It is FIG. (2) which shows the flow of a process in the case of performing access control. SSO提供装置10が保持する条件の例を示す図である。It is a figure which shows the example of the conditions which the SSO provision apparatus 10 hold | maintains.

符号の説明Explanation of symbols

1、2 サービス提供装置
20 ユーザ端末
11 SSO提供部
12 レベル判定部
13 代理ログイン部
14 通信部
15 設定情報格納部 1, 2 Service providing device 20 User terminal 11 SSO providing unit 12 Level determining unit 13 Proxy login unit 14 Communication unit 15 Setting information storage unit

Claims (9)

ユーザ装置に対してシングルサインオンによりネットワークサービスへのアクセスを許容する機能を備えたアクセス制御装置であって、
シングルサインオンのためのアクセスをユーザ装置から受け付けたときに、シングルサインオンを許可するためのユーザ認証の認証レベルを決定し、決定された認証レベルに対応する認証手段を備えたサービス提供装置を選択する認証レベル判定手段と、
前記認証レベル判定手段により選択されたサービス提供装置に対して前記ユーザ装置の代理としてログイン要求を行う代理ログイン手段と、
前記ログイン要求に応じて前記ユーザ装置に対して行われた認証処理の結果を前記サービス提供装置から受信する受信手段と、
前記認証処理の結果が正常である場合に、前記ユーザ装置によるシングルサインオンを許可する手段と
を備えたことを特徴とするアクセス制御装置。 An access control device having a function of allowing access to a network service by single sign-on for a user device,
A service providing apparatus including an authentication unit that determines an authentication level of user authentication for permitting single sign-on when an access for single sign-on is accepted from a user apparatus, and corresponds to the determined authentication level. An authentication level determination means to select;
Proxy login means for making a login request on behalf of the user apparatus to the service providing apparatus selected by the authentication level determination means;
Receiving means for receiving, from the service providing apparatus, a result of authentication processing performed on the user apparatus in response to the login request;
An access control apparatus comprising: means for permitting single sign-on by the user apparatus when the result of the authentication process is normal. 前記認証レベル判定手段は、シングルサインオンによりアクセス可能なサービス提供装置の中で最大の認証レベルを持つサービス提供装置を選択することを特徴とする請求項1に記載のアクセス制御装置。   The access control apparatus according to claim 1, wherein the authentication level determination unit selects a service providing apparatus having a maximum authentication level among service providing apparatuses accessible by single sign-on. 前記アクセス制御装置は、サービス提供装置毎の認証レベルを記録した認証レベル対応データを保持し、前記認証レベル判定手段は、当該認証レベル対応データを参照することによりサービス提供装置の選択を行うことを特徴とする請求項1に記載のアクセス制御装置。   The access control device holds authentication level correspondence data in which an authentication level for each service providing device is recorded, and the authentication level determination means selects the service providing device by referring to the authentication level correspondence data. The access control apparatus according to claim 1, wherein: 前記認証レベル判定手段は、予め設定された認証レベルに対応するサービス提供装置を選択することを特徴とする請求項1に記載のアクセス制御装置。   The access control apparatus according to claim 1, wherein the authentication level determination unit selects a service providing apparatus corresponding to a preset authentication level. 前記アクセス制御装置は、前記認証レベル判定手段により決定された認証レベルを前記ユーザ装置に送信する手段を備え、当該ユーザ装置から別の認証レベルの指定がなされた場合に、前記認証レベル判定手段は、当該別の認証レベルに対応する認証手段を備えたサービス提供装置を選択することを特徴とする請求項1に記載のアクセス制御装置。   The access control device includes means for transmitting the authentication level determined by the authentication level determination means to the user device, and when the user device designates another authentication level, the authentication level determination means 2. The access control apparatus according to claim 1, wherein a service providing apparatus provided with authentication means corresponding to the different authentication level is selected. 前記ユーザ装置からシングルサインオンがされた状態において、前記アクセス制御装置が、前記ユーザ装置からアクセスを受けたサービス提供装置からユーザ認証要求を受信したときに、当該アクセス制御装置は、認証に使用された認証レベルの履歴と、当該サービス提供装置が要求する認証レベルとを比較することにより、当該サービス提供装置に対する前記ユーザ装置のアクセス許否を決定することを特徴とする請求項1ないし5のうちいずれか1項に記載のアクセス制御装置。   When the access control apparatus receives a user authentication request from a service providing apparatus that has received access from the user apparatus in a state where single sign-on is performed from the user apparatus, the access control apparatus is used for authentication. The access authorization of the user device to the service providing device is determined by comparing the history of the authentication level and the authentication level requested by the service providing device. The access control apparatus according to claim 1. 前記ユーザ装置からシングルサインオンがされた状態において、前記アクセス制御装置が、前記ユーザ装置からアクセスを受けたサービス提供装置からユーザ認証要求を受信したときに、当該アクセス制御装置は、認証の履歴と、当該サービス提供装置の認証条件とに基づき当該サービス提供装置に対する前記ユーザ装置のアクセス許否を決定することを特徴とする請求項1ないし5のうちいずれか1項に記載のアクセス制御装置。   When the access control apparatus receives a user authentication request from a service providing apparatus that has received access from the user apparatus in a state where single sign-on has been performed from the user apparatus, the access control apparatus 6. The access control apparatus according to claim 1, wherein access permission / rejection of the user apparatus for the service providing apparatus is determined based on an authentication condition of the service providing apparatus. ユーザ装置に対してシングルサインオンによりネットワークサービスへのアクセスを許容する機能を備えたアクセス制御装置が実行するアクセス制御方法であって、
シングルサインオンのためのアクセスをユーザ装置から受け付けたときに、シングルサインオンを許可するためのユーザ認証の認証レベルを決定し、決定された認証レベルに対応する認証手段を備えたサービス提供装置を選択する認証レベル判定ステップと、
前記認証レベル判定ステップにより選択されたサービス提供装置に対して前記ユーザ装置の代理としてログイン要求を行う代理ログインステップと、
前記ログイン要求に応じて前記ユーザ装置に対して行われた認証処理の結果を前記サービス提供装置から受信する受信ステップと、
前記認証処理の結果が正常である場合に、前記ユーザ装置によるシングルサインオンを許可するステップと
を備えたことを特徴とするアクセス制御方法。 An access control method executed by an access control device having a function of allowing access to a network service by single sign-on for a user device,
A service providing apparatus including an authentication unit that determines an authentication level of user authentication for permitting single sign-on when an access for single sign-on is accepted from a user apparatus, and corresponds to the determined authentication level. An authentication level determination step to be selected; and
A proxy login step for making a login request on behalf of the user device to the service providing device selected in the authentication level determination step;
Receiving from the service providing device a result of authentication processing performed on the user device in response to the login request;
An access control method comprising: permitting single sign-on by the user apparatus when a result of the authentication process is normal. コンピュータを、ユーザ装置に対してシングルサインオンによりネットワークサービスへのアクセスを許容する機能を備えたアクセス制御装置として機能させるためのプログラムであって、コンピュータを、
シングルサインオンのためのアクセスをユーザ装置から受け付けたときに、シングルサインオンを許可するためのユーザ認証の認証レベルを決定し、決定された認証レベルに対応する認証手段を備えたサービス提供装置を選択する認証レベル判定手段、
前記認証レベル判定手段により選択されたサービス提供装置に対して前記ユーザ装置の代理としてログイン要求を行う代理ログイン手段、
前記ログイン要求に応じて前記ユーザ装置に対して行われた認証処理の結果を前記サービス提供装置から受信する受信手段、
前記認証処理の結果が正常である場合に、前記ユーザ装置によるシングルサインオンを許可する手段、
として機能させるためのプログラム。 A program for causing a computer to function as an access control device having a function of allowing a user device to access a network service by single sign-on,
A service providing apparatus including an authentication unit that determines an authentication level of user authentication for permitting single sign-on when an access for single sign-on is accepted from a user apparatus, and corresponds to the determined authentication level. Authentication level determination means to be selected,
Proxy login means for making a login request on behalf of the user apparatus to the service providing apparatus selected by the authentication level determination means;
Receiving means for receiving, from the service providing apparatus, a result of authentication processing performed on the user apparatus in response to the login request;
Means for allowing single sign-on by the user device when the result of the authentication process is normal;
Program to function as.
JP2006097062A 2006-03-31 2006-03-31 Access controller, access control method and program Withdrawn JP2007272542A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006097062A JP2007272542A (en) 2006-03-31 2006-03-31 Access controller, access control method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006097062A JP2007272542A (en) 2006-03-31 2006-03-31 Access controller, access control method and program

Publications (1)

Publication Number Publication Date
JP2007272542A true JP2007272542A (en) 2007-10-18

Family

ID=38675287

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006097062A Withdrawn JP2007272542A (en) 2006-03-31 2006-03-31 Access controller, access control method and program

Country Status (1)

Country Link
JP (1) JP2007272542A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101161182B1 (en) 2011-10-20 2012-08-07 주식회사 인포바인 Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request
JP2014026348A (en) * 2012-07-24 2014-02-06 Nippon Telegr & Teleph Corp <Ntt> Information distribution system, authentication cooperation method, device, and program therefor
JP2016118930A (en) * 2014-12-19 2016-06-30 日立電線ネットワークス株式会社 Authentication system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101161182B1 (en) 2011-10-20 2012-08-07 주식회사 인포바인 Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request
JP2014026348A (en) * 2012-07-24 2014-02-06 Nippon Telegr & Teleph Corp <Ntt> Information distribution system, authentication cooperation method, device, and program therefor
JP2016118930A (en) * 2014-12-19 2016-06-30 日立電線ネットワークス株式会社 Authentication system

Similar Documents

Publication Publication Date Title
US9887846B2 (en) Information processing apparatus, information processing method, information processing program and information processing system
US10171241B2 (en) Step-up authentication for single sign-on
US8973099B2 (en) Integrating account selectors with passive authentication protocols
EP2540051B1 (en) Method for managing access to protected resources and delegating authority in a computer network
US10673985B2 (en) Router-host logging
TWI400922B (en) Authentication of a principal in a federation
EP2149102B1 (en) Request-specific authentication for accessing web service resources
US8443425B1 (en) Remotely authenticating using a mobile device
US9419974B2 (en) Apparatus and method for performing user authentication by proxy in wireless communication system
EP2479957A2 (en) System and method for authenticating remote server access
US20100299735A1 (en) Uniform Resource Locator Redirection
JP4960738B2 (en) Authentication system, authentication method, and authentication program
US8955094B2 (en) User session management for web applications
JP2007257426A (en) Collaborative authentication method and system corresponding to servers different in authentication intensity
JP5452374B2 (en) Authentication apparatus, authentication method, and authentication program
JP4729365B2 (en) Access control system, authentication server, access control method, and access control program
JP2022144003A (en) Information processing deice and information processing program
US10592978B1 (en) Methods and apparatus for risk-based authentication between two servers on behalf of a user
CN105656856A (en) Resource management method and device
JP2012118833A (en) Access control method
JP5317795B2 (en) Authentication system and authentication method
JP2007272542A (en) Access controller, access control method and program
JP4914725B2 (en) Authentication system, authentication program
JP2006260002A (en) Single sign-on system, server device, single sign-on method and program
JP2018206087A (en) Information processing apparatus and information processing program

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20090602