JP2007293760A - 個別認証を用いたシングルサインオン連携方法およびシステム - Google Patents

個別認証を用いたシングルサインオン連携方法およびシステム Download PDF

Info

Publication number
JP2007293760A
JP2007293760A JP2006123336A JP2006123336A JP2007293760A JP 2007293760 A JP2007293760 A JP 2007293760A JP 2006123336 A JP2006123336 A JP 2006123336A JP 2006123336 A JP2006123336 A JP 2006123336A JP 2007293760 A JP2007293760 A JP 2007293760A
Authority
JP
Japan
Prior art keywords
sso
login
single sign
authentication
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006123336A
Other languages
English (en)
Inventor
Kai Ichikawa
快 市川
Hiroshi Fujimoto
弘士 藤本
Isao Yoshida
功 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006123336A priority Critical patent/JP2007293760A/ja
Publication of JP2007293760A publication Critical patent/JP2007293760A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】既存サービスサイトにSSO技術を適用する場合、利用するユーザと利用しないユーザが混在する環境になる可能性がある。また、SSO利用ユーザにログイン先のURLやログインIDを変更させるため、ユーザに負担がかかる。
【解決手段】各サービスサイトが、個別ログインIDに対してSSO利用ユーザの可否を判定する情報を持ち、個別ログイン画面から前記個別ログインIDとパスワードでログインしたクライアント端末がSSO利用ユーザかを判定し、SSO利用ユーザであれば当該クライアント端末をSSO認証サーバにリダイレクトさせ、前記個別ログインID情報と、前記サービスサイトのログイン成功情報を前記SSO認証サーバに渡し、前記SSO認証サーバは、受け取った前記個別ログインID情報を元に、それに紐付くSSOログインID情報を取得し、当該クライアント端末のSSO認証を行う。
【選択図】図1

Description

本発明は、ユーザがクライアント端末から、インターネット上のあるサイトにログインした後に、別サイトに遷移する場合、再度ログインIDとパスワードを入力することなくログインが可能となるシングルサインオン(SSO)システムに関する。
複数のサービスサイトを利用しているユーザは、各サービスサイトで利用するログインIDとパスワードを管理し、各サービスサイトにログインする度にログインIDとパスワードを入力する必要があった。その問題を解決するために、一度ログインIDとパスワードをユーザが入力した後は、ログインIDとパスワードの入力の必要がなく他サービスサイトにログイン可能なSSO技術がある。
SSOの従来技術として、エージェント型、リバースプロキシ型が存在する。エージェント型は、各サイトにエージェントプログラムを設置し、SSO認証処理を行っていないユーザがクライアント端末からサイトにアクセスした場合に、エージェントプログラムがクライアント端末のアクセスをSSOの認証サーバにリダイレクトさせて認証処理を行う。リダイレクトとは、サーバが指定したアクセス先にクライアント端末を誘導する仕組みであり、HTTPプロトコルなどで規定されている。
リバースプロキシ型は、リバースプロキシサーバにエージェントプログラムを設置し、SSO認証処理を行っていないユーザがクライアント端末からリバースプロキシサーバにアクセスした場合に、エージェントプログラムがクライアント端末のアクセスをSSOの認証サーバにリダイレクトさせてSSO認証処理を行う。SSO認証後、SSO認証サーバがクライアント端末をリバースプロキシサーバにリダイレクトし、リバースプロキシサーバはクライアント端末の代わりにサイトからコンテンツを取得し、クライアント端末に対してコンテンツを送信する。
従来技術では、SSO用のログインIDが各サービスサイトのログインIDとは独立して存在し、ユーザは、SSO用ログインIDを用いてSSOの認証を受ける。また、ユーザがSSOの認証を受ける場合、各サービスの個別ログイン画面ではなく、SSO用のログイン画面で認証を受ける。シングルサインオンシステムの従来技術は、特許文献1で開示されている。
特開平9−81518号公報
独立してログインIDを管理している複数のサービスサイトが既に存在し、その複数サービスサイトに対してSSOシステムを適用する場合、各ユーザの利用サービス数や契約関係などから、SSOシステムを利用するユーザと、利用しないユーザが混在する環境となる場合がある。SSOシステムを利用するユーザが、クライアント端末から各サービスサイトにログインする場合、SSO用のログイン画面にアクセスし、SSO用のログインIDを用いて認証を受ける。SSOシステムを利用しないユーザがクライアント端末から各サービスサイトにログインする場合、各サービスサイトの個別ログイン画面にアクセスし、各サービスサイトの個別ログインIDとパスワードを用いて認証を受ける。
従来技術では、SSOシステムの利用開始時に、SSOシステム利用ユーザが、各サービスサイトの個別ログイン画面へのアクセス先と個別ログインIDを、SSO用ログイン画面とSSO用ログインIDに変更しなければならないため、ユーザに負担がかかるという問題がある。
本発明の目的は、ユーザがクライアント端末から、各サービスサイトの個別ログイン画面にアクセスし、サービスサイトの個別ログインIDとパスワードを用いて認証を受けた場合、SSOシステム利用ユーザであれば、SSOの認証が行われ、SSOシステムを利用しないユーザであればそのサービスサイトの個別ログインのみを行うシングルサインオンシステムを提供し、SSO利用ユーザの利便性を高めることにある。
課題を解決するための方法として、各サービスサイトが、個別ログインIDに対してSSO利用ユーザの可否を判定する情報を持ち、個別ログイン画面から前記個別ログインIDとパスワードでログインしたユーザがSSO利用ユーザかを判定し、SSO利用ユーザであれば当該ユーザのクライアント端末をSSO認証サーバにリダイレクトさせ、前記個別ログインID情報と、前記サービスサイトのログイン成功情報を前記SSO認証サーバに渡し、前記SSO認証サーバは、受け取った前記個別ログインID情報を元に、それに紐付くSSOログインID情報を取得し、当該ユーザのクライアント端末のSSO認証を行うことを特徴とするシングルサインオン方法がある。
また他の方法として、各サービスサイトにはSSO利用ユーザの可否を判定する情報を持たず、個別ログイン画面から前記個別ログインIDとパスワードでログインした全てのユーザのクライアント端末をSSO認証サーバにリダイレクトさせ、前記個別ログインID情報と、前記サービスサイトのログイン成功情報を前記SSO認証サーバに渡し、前記SSO認証サーバは、受け取った前記個別ログインID情報を元に、それに紐付くSSOログインID情報が取得可能であれば、当該ユーザのクライアント端末のSSO認証を行い、SSOログインID情報が取得不可能であればSSO認証を行わないことを特徴とするシングルサインオン方法がある。
本発明により、各サービスサイトでSSOを利用するユーザと利用しないユーザが混在する環境で、SSO利用ユーザはサービスサイトへログインするアクセス先と個別ログインIDを変更することなく、SSO認証サーバの認証を受けることができ、SSO利用ユーザの利便性が向上する。
以下、図を用いて本発明の実施の形態を詳細に説明する。実施例1、2は、エージェント型、実施例3、4はリバースプロキシ型のSSO技術を用いた本発明の実施例である。
本発明のシステム構成例を図1に示し、処理フローを図4、図5に示す。処理フローの中でシステムが管理する情報を、図2、図3、図6、図7、図8、図9、図10に示す。図4、図5の処理フローのHTTP要求・応答は暗号化されたHTTPSプロトコルを利用する。処理フローの図は、縦の点線がシステムが行う処理、横向きの矢印線がシステム間の通信を示しており、各システムの動作を同時に示している。
図1は、本発明のシステム構成例であり、ユーザが利用するWebブラウザなどのクライアント端末2と、SSO認証を行うSSO認証サーバ3と、サービスを提供するサービスサイトAのアプリケーションサーバ4と、サービスサイトBのアプリケーションサーバ5が、インターネット1でそれぞれ接続されている。
クライアント端末2は、例えば、パーソナルコンピュータや携帯電話等であり、サーバとの間でHTTP(Hyper Text Transfer Protocol),HTTPS(Hyper Text Transfer Protocol Security)プロトコルでの通信が可能なWebブラウザ等のアプリケーションを保有しており、セッション管理情報としてクッキー等が利用可能であるものとする。クライアント端末2は安全性を考慮して、暗号化された通信を行うHTTPSプロトコルなどを利用することが望ましい。
アプリケーションサーバ4は、サービスを提供するアプリケーションであり、個別ログイン用URL(Uniform Resource Locator)と、SSO用URLを保有している。クライアント端末2が個別ログイン用URLにアクセスした場合、アプリケーションサーバ4は、クライアント端末2を介してユーザに個別ログインIDとパスワードを入力させ、サービスの利用を許可する。
一方、クライアント端末2がSSO用URLにアクセスした場合、アプリケーションサーバ4が保有しているSSOエージェントプログラム6が動作する。SSOエージェントプログラム6は、クライアント端末2がSSO認証サーバ3からSSOの認証を受けているか確認し、SSO認証を受けていればアプリケーションサーバ4のサービスの利用を許可し、SSO認証を受けていなければクライアント端末2をSSO認証サーバ3にリダイレクトし、SSO認証サーバ3でSSOの認証を行わせる。SSOエージェントプログラム6は、SSOシステムの一機能であり、SSO製品の中に含まれていることが多い。アプリケーションサーバ4は、SSO用URLにアクセスしてSSOエージェントプログラム6がSSO認証を確認したクライアント端末2に対して、ログインIDとパスワードの入力画面を表示しないという設定が必要となる。SSOエージェントプログラム6は、SSO認証を受けたユーザを識別するため、図10に示す、サービスサイトログインID1001と、セッション情報1002と、セッション有効期限1003を管理している。
SSO認証サーバ3でクライアント端末2がSSOの認証を受けている場合、クライアント端末2がアプリケーションサーバ4もしくはアプリケーションサーバ5のSSO用URLにアクセスすると、クライアント端末2はログインIDとパスワードの入力の必要なしにサービスの利用が許可され、シングルサインオンが実現する。
SSO認証サーバ3は、図2で示すSSOログインID201と、パスワード202と、サービスサイトAログインID203と、サービスサイトBログインID204の静的な情報と、SSOログインID201に対応するセッションID205と、セッション有効期限206の動的な情報を管理している。SSOログインID201と、パスワード202と、サービスサイトAログインID203と、サービスサイトBログインID204は、ユーザのSSO利用申し込み時などに、ユーザもしくはユーザ企業の管理者、もしくはSSO認証サーバのシステム管理者などによって設定され、パスワード202はユーザもしくはユーザ管理者によって更新される。セッションID205と、セッション有効期限206は、SSO認証サーバ3においてクライアント端末2の認証が成功した場合に、SSO認証サーバ3によって生成される。セッションIDとセッション有効期限の組合せを、セッション情報と定義する。
その他にSSO認証サーバ3においては、SSO認証後にアプリケーションサーバ4もしくは、アプリケーションサーバ5にクライアント端末2をリダイレクトするため、図6に示す、サービスサイトID601と、リダイレクト先個別ログインURL603とリダイレクト先SSO用URL604を管理している。
SSO認証サーバ3では、各サービスサイトのアプリケーションサーバで暗号化された情報を復号するために、図6で示すサービスサイトID601と、そのサービスサイトが利用する秘密鍵602の情報を有する。アプリケーションサーバ4、アプリケーションサーバ5は、それぞれ秘密鍵602と同一の情報を有する。暗号化の方式は、対称鍵暗号方式、非対称鍵暗号方式などあるが、この例では対称鍵暗号方式を利用している。秘密鍵602は、SSO認証サーバと各サービスサイトのシステム管理者が事前に鍵を交換し設定する。秘密鍵602をシステム管理者同士がオンラインで交換する場合、非対称鍵暗号方式を用い、互いの公開鍵をオンラインで交換し、相手の公開鍵を用いて対象鍵暗号の秘密鍵602を暗号化して交換する方法もある。また、システム間で秘密鍵602を交換する場合も、交換先システムの公開鍵をシステムがオンラインで取得し、その公開鍵を用いて秘密鍵602をシステムが暗号化し交換する。システム間で公開鍵を用いて秘密鍵602を交換する場合は、毎回異なった値の秘密鍵602を交換することも可能であるため、システムの安全性が向上する。
アプリケーションサーバ4で認証が成功したという情報を、アプリケーションサーバ4が暗号化し、CookieやURLに情報を埋め込むなどして、クライアント端末2経由でSSO認証サーバ3へ送信するため、暗号化された情報が含まれるCookieやURL情報が盗まれてしまうと、リプレイ攻撃を受ける可能性がある。従って、SSO認証サーバ3は、各サービスサイトのアプリケーションサーバで暗号化された情報の内容を復号し、図7に示すサービスサイトID701、サービスサイトログインID702、ランダム文字列有効期限703、ランダム文字列704の情報を管理し、同一の情報を受信した場合に検知することでリプレイ攻撃を防ぐ。SSO認証サーバ3は、リプレイ攻撃を検知するための判定情報量を減らすために、管理している情報のランダム文字列有効期限703の期限が切れた情報を削除する。リプレイ攻撃の対処方法の詳細は後述する。アプリケーションサーバ4は、有効期限内に同一のランダム文字列の生成を回避するために、ランダム文字列生成時に図8に示すサービスサイトログインID801と、ランダム文字列有効期限802と、ランダム文字列803の組合せを有する。ランダム文字列有効期限802と、ランダム文字列803は、ランダム文字列有効期限802の期限が切れた場合にアプリケーションサーバ4によって消去される。
アプリケーションサーバ4では、図3で示すサービスサイトAログインID301と、パスワード302と、SSO利用可否303の静的な情報と、サービスサイトAログインID301に対応するセッションID304と、セッション有効期限305の動的な情報を管理している。SSO利用可否303は、初期値に利用不可を示す値(Inactive)を指定し、SSO利用ユーザに対しては、ユーザ管理者もしくはサービスサイト管理者などが、SSO利用可能を示す値(Active)を設定する。サービスサイトAログインID301、パスワード302は、ユーザ管理者もしくはサービスサイト管理者が設定し、パスワード302はユーザやユーザ管理者が更新する。セッションID304と、セッション有効期限305は、アプリケーションサーバ4でクライアント端末2の認証が成功した場合に、アプリケーションサーバ4によって生成される。
その他に、アプリケーションサーバ4では、サービス画面上に他サービスサイトのリンクを表示するため、図9に示す、サービスサイトID901と、個別ログイン用URL902と、SSO用URL903を管理している。
アプリケーションサーバ5は、アプリケーションサーバ4と同様の構成の情報を有する。
図4において、インターネット1に接続しているクライアント端末2が、アプリケーションサーバ4の個別ログイン用URLに接続要求を行う(401)。アプリケーションサーバ4は、クライアント端末2に対し、個別ログイン画面を表示する認証要求を返す(402)。クライアント端末2は、個別ログイン画面を表示し、ユーザが個別ログインIDとパスワードの入力を行った後、アプリケーションサーバ4にユーザの入力した情報を送信する(403)。
アプリケーションサーバ4は、サービスサイトAログインID301とパスワード302と、クライアント端末2から受け取ったログインIDとパスワードとの照合処理を行い、クライアント端末2を認証する(404)。ステップ404において認証失敗であった場合、アプリケーションサーバ4は再度個別ログイン画面を表示するなどの認証失敗通知をクライアント端末2に返し(405)、クライアント端末は認証失敗の画面を表示する(406)。
ステップ404において認証成功であった場合、アプリケーションサーバ4は、クライアント端末2のログインを許可し、次回以降のクライアント端末2からのアクセスを識別可能とするためのセッションID304とセッション有効期限305を持つセッション情報を作成し管理する(407)。ステップ407で作成されたセッションID304とセッション有効期限305は、クライアント端末2がアプリケーションサーバ4に対してログアウトした場合、もしくは一定時間アクセスせずタイムアウトした場合、もしくはセッション有効期限305を越えた場合に、アプリケーションサーバ4によって消去される。
次に、アプリケーションサーバ4は、ユーザのサービスサイトAログインID301と、SSO利用可否303の情報から、ステップ404で認証したユーザのサービスサイトAログインID301に対し、SSOの利用が可能か判定する(408)。ステップ408でSSOの利用不可という判定であった場合、アプリケーションサーバ4は、ステップ407で作成したセッションID304とセッション有効期限305をCookieにセットし、ログイン後のサービス画面などを表示する認証成功通知と共にクライアント端末2に送信する(409)。クライアント端末2はアプリケーションサーバ4のログイン後のサービス画面を表示し(410)、その後ユーザはサービスを利用する。
ステップ408でSSOの利用が可能という判定であった場合、アプリケーションサーバ4は、ステップ407で作成したセッションID304とセッション有効期限305をCookieにセットし、その他にサービスサイトAログインID301と、アプリケーションサーバ4においてユニークなランダム文字列803と、ランダム文字列有効期限802の3つの情報を暗号化したものと、暗号化を行ったアプリケーションサーバを示すサービスサイトIDをCookieにセットし、クライアント端末2をSSO認証サーバ3にリダイレクトさせる情報と共にクライアント端末2に送る(411)。ステップ411において、リダイレクト先は常にSSO認証サーバ3のため、事前にアプリケーションサーバ4のシステム管理者がリダイレクト先を設定する。
ステップ411において、アプリケーションサーバ4とSSO認証サーバ3のドメインが異なるなど,Cookieが利用できない環境の場合、URLの一部にセッション情報や暗号化した情報を埋め込む方法もある。
次に、クライアント端末2が、SSO認証サーバ3にリダイレクトされ、ステップ411でアプリケーションサーバ4がCookieの中に含めたサービスサイトIDと、暗号化した3つの情報を、SSO認証サーバ3に送信する。SSO認証サーバ3は、受け取ったCookieから、サービスサイトIDと暗号化された情報を取得し、秘密鍵602を利用し、復号を行う(412)。
SSO認証サーバ3は、ステップ412で復号した3つの情報とサービスサイトIDの情報から、はじめにランダム文字列有効期限が期限内かの判定を行い、次にサービスサイトID701と、サービスサイトログインID702と、ランダム文字列有効期限703と、ランダム文字列704と同一の組み合わせの情報がSSO認証サーバ3に存在するか照合し、リプレイ攻撃の検知を行う(413)。
SSO認証サーバ3が暗号化された情報を復号できない場合、または復号が成功したがランダム文字列有効期限703が切れている場合、またはサービスサイトID701と、サービスサイトログインID702と、ランダム文字列有効期限703と、ランダム文字列704の同一の組み合わせが既にSSO認証サーバ3に存在する場合は、不正な情報とみなし、SSO認証サーバ3は認証失敗通知情報をクライアント端末2に返す(414)。クライアント端末2は、認証失敗画面を表示し、処理を終了する(553)。
SSO認証サーバ3が暗号化された情報を復号可能、かつ復号した情報のランダム文字列有効期限703が期限内、かつサービスサイトID701、サービスサイトログインID702、ランダム文字列有効期限703、ランダム文字列704と同一の組み合わせの情報がSSO認証サーバ3に存在しない場合において、SSO認証サーバ3は、アプリケーションサーバ4で認証されたサービスサイトAログインID301と、SSO認証サーバ3が管理するサービスサイトAログインID203と照合する(501)。リプレイ攻撃の検知をより強固にするために、SSO認証サーバ3は、取得したランダム文字列704がアプリケーションサーバ4に存在するか、SSL(Secure Socket Layer)などを用いて確認する方法を組み合わせると良い。
ステップ501において照合に失敗した場合、SSO認証サーバ3はクライアント端末2のSSO認証を行わず、アプリケーションサーバ4の個別ログイン用URL603にリダイレクトする(502)。ステップ502において、SSO認証サーバ3がクライアント端末2を各アプリケーションサーバの個別ログイン用URLにリダイレクトするため、SSO認証サーバ3のシステム管理者は、事前にアプリケーションサーバ毎のリダイレクト先の個別ログイン用URL603をSSO認証サーバ3に設定する。
クライアント端末2はステップ407でセッション情報が作成され、ログインが許可されているため、アプリケーションサーバ4は、ログイン後のサービス画面などを表示する認証成功通知をクライアント端末2に送信する(503)。クライアント端末2はアプリケーションサーバ4のログイン後のサービス画面を表示し(504)、その後ユーザはサービスを利用する。
ステップ501において、照合に成功した場合、SSO認証サーバ3はサービスサイトAログインID203に紐付くSSOログインID201を取得し(505)、SSO認証を成功とする。
次回以降のクライアント端末2からのアクセスを識別するため、SSO認証サーバ3は、セッションID205とセッション有効期限206の情報を作成し管理する(507)。ステップ507で作成したセッションID205とセッション有効期限206は、クライアント端末2がSSO認証サーバ3に対してログアウトした場合、もしくは一定時間アクセスせずタイムアウトした場合、もしくはセッション有効期限206を越えた場合に、SSO認証サーバ3によって消去される。
SSO認証サーバ3は、ステップ507で作成したセッションID205とセッション有効期限206をCookieにセットし、クライアント端末2をアプリケーションサーバ4のSSO用URL604にリダイレクトする要求と共にクライアント端末2に送信する(508)。ステップ508において、SSO認証サーバ3がクライアント端末2を各アプリケーションサーバのSSO用URLにリダイレクトするため、SSO認証サーバ3のシステム管理者は、事前にアプリケーションサーバ毎のリダイレクト先SSO用URL604をSSO認証サーバ3に設定する。
クライアント端末2がアプリケーションサーバ4のSSO用URL604にリダイレクトされると、SSOエージェントプログラム6がクライアント端末2のCookieにセットされているSSO認証サーバ3のセッションID205とセッション有効期限206を取得し、SSO認証サーバ3にSSLを利用し、セッションID205とセッション有効期限206が有効か問い合わせを行う(509)。
SSO認証サーバ3は、SSOエージェントプログラム6から受け取ったセッションID205とセッション有効期限206が有効か検証し、有効であればサービスサイトAログインID203の情報を返す(510)。
SSOエージェントプログラム6は、SSO認証サーバ3から受け取ったサービスサイトAログインID203の情報を元に、次回以降の認証済みのクライアント端末2からSSO用URLへのアクセスを識別可能とするためのセッションID1002と、セッション有効期限1003を生成する(511)。ステップ511で作成されたセッションID1002とセッション有効期限1003は、クライアント端末2がSSO認証サーバ3に対してログアウトした場合、もしくは一定時間アクセスせずタイムアウトした場合、もしくはセッション有効期限1003を越えた場合に、SSOエージェントプログラム6によって消去される。
アプリケーションサーバ4は、ステップ511で生成されたセッションID1002とセッション有効期限1003をCookieにセットし、ログイン後のサービス画面などを表示する認証成功通知のコンテンツと共に、クライアント端末2に送信する(512)。クライアント端末2はアプリケーションサーバ4のログイン後のサービス画面を表示し(513)、その後ユーザはサービスを利用する。
ステップ513の時点で、クライアント端末2はSSO認証サーバ3に有効なセッションID205が存在するため、例えばクライアント端末2がアプリケーションサーバ5のSSO用URLにアクセスした場合、アプリケーションサーバ5のSSOエージェントプログラム6がSSO認証サーバ3にセッションID205の有効性を確認し、アプリケーションサーバ5のログインを許可する。ユーザは、アプリケーションサーバ5のログインIDとパスワードが要求されず、サービスを利用できる。
ユーザは、SSOの利用申し込み後であっても、従来と同じように個別ログイン用URLから各アプリケーションサーバにログイン可能なため、SSO用URLを意識する必要はない。
しかし、クライアント端末2が、アプリケーションサーバ4からアプリケーションサーバ5へ遷移する場合、アプリケーションサーバ4が表示するリンク先の表示方法によってはユーザがSSO用URLを意識する必要がある。例えば、アプリケーションサーバ4が、アプリケーションサーバ5の個別ログイン用URL902とSSO用URL903の2つのリンクを表示し、ユーザに遷移先を選択させる場合などである。
クライアント端末2が、アプリケーションサーバ4からアプリケーションサーバ5へ遷移する場合、ユーザにSSO用URLを意識させないようにするために、アプリケーションサーバ4は、ログイン中のユーザがSSO認証を受けている場合、表示するアプリケーションサーバ5のリンクをSSO用URL903にする必要がある。アプリケーションサーバ4が表示するリンクのURLを動的に変更可能な場合、アプリケーションサーバ4は、SSOエージェント6が管理するセッションID1002とセッション有効期限1003を確認し、セッションID1002とセッション有効期限1003が有効期限内であれば、SSO用URL903を表示し、有効期限切れもしくはセッションID1002が情報として存在しなければ個別ログイン用URL902を表示する方法がある。
アプリケーションサーバ4が表示するリンクのURLを動的に変更不可能な場合や、画面表示プログラムの実装において判定を入れることが不可能な場合は、SSO用URL判定CGIスクリプトをアプリケーションサーバ4に別途設置し、アプリケーションサーバ4は、SSO用URL判定CGIのURLのリクエストパラメータに、サービスサイトID901の値をセットしたリンクを表示する。
SSO用URL判定CGIスクリプトは、リクエストパラメータに含まれるサービスサイトID901を取得し、アプリケーションサーバ4のSSOエージェント6が管理するセッションID1002とセッション有効期限1003を確認し、セッションID1002とセッション有効期限1003が有効期限内であれば、SSO用URL903にクライアント端末2をリダイレクトし、有効期限切れもしくはセッションID1002が情報として存在しなければ個別ログイン用URL902にクライアント端末2をリダイレクトする。
実施例2において、実施例1と異なる点を示す。
実施例2は、アプリケーションサーバ4が管理するSSO利用可否303の情報を持たないことを特徴とする。アプリケーションサーバ4は、図11に示すサービスサイトAログインID301と、パスワード302と、セッション情報304と、セッション有効期限305を管理する。
実施例1の処理フローは図4と図5の2つの図で示した。
実施例2の処理フローを、図12と図5に示す。図12において、実施例1の図4と異なる点は、ステップ408、409、410の機能を持たないことである。図5において、実施例1と実施例2は同一の内容である。
図12のステップ407において、アプリケーションサーバ4の認証を受けた全てのクライアント端末2は、ステップ411においてSSO認証サーバ3にリダイレクトされる。ステップ501において、SSO認証サーバ3は、アプリケーションサーバ4で認証されたサービスサイトAログインID301と、SSO認証サーバ3が管理するサービスサイトAログインID203と照合し、照合に成功したクライアント端末2のみ、SSO認証成功とする。図5のステップ501において、照合に成功しなかったクライアント端末2は、SSO認証サーバ3からSSO認証されず、アプリケーションサーバ4の個別ログイン用URL902にリダイレクトされ、アプリケーションサーバ4へ個別ログインする。
実施例2は、各アプリケーションサーバに個別ログインしたユーザ全てを、SSO認証サーバ3にリダイレクトし、SSO利用ユーザの判定を行うため、SSO認証サーバ3の負荷が増えるが、各アプリケーションサーバはSSO利用可否303の情報を管理する必要がなくなる。
実施例1において、ユーザがSSO申し込みをする度にアプリケーションサーバのサービスサイト管理者やユーザ管理者が、SSO利用可否303にSSO利用可能を示す値(Active)を設定する必要があったが、実施例2においては、その必要がなくなるため、アプリケーションサーバのサービスサイト管理者やユーザ管理者の負担が減る利点がある。
実施例3において、実施例1と異なる点を示す。
実施例3は、リバースプロキシ型のSSO技術に実施例1の方式を適用した例である。
図13は、実施例3のシステム構成例である。実施例1の図1と異なる点は、リバースプロキシサーバ9がインターネット1に接続しており、アプリケーションサーバ4、アプリケーションサーバ5に代わってリバースプロキシサーバ9がSSOエージェントプログラム6を有していることである。従って、実施例1においてアプリケーションサーバ4のSSOエージェントプログラム6が管理しているサービスサイトログインID1001と、セッションID1002と、セッション有効期限1003は、リバースプロキシサーバ9のSSOエージェントプログラム6が管理する。
実施例1において、アプリケーションサーバ4は個別ログイン用URLとSSO用URLを有していたが、実施例3においては、アプリケーションサーバ4は個別ログイン用URLのみ有し、SSO用URLはリバースプロキシサーバ9が有する。
リバースプロキシサーバ9は、各アプリケーションサーバのSSO用URLを持ち、各SSO用URLに対応するSSOエージェントプログラム6を実行する。
実施例3の処理フローを、図4と図14に示す。図4において、実施例1と実施例3は同一の内容である。実施例3において、リバースプロキシサーバ9が存在するが、図4の処理フローの中では処理がないため省略している。
図14において、実施例1の図5の処理フローと異なる点を述べる。
SSO認証サーバ3は、ステップ507で作成したセッションID205とセッション有効期限206をCookieにセットし、クライアント端末2をリバースプロキシサーバ9のSSO用URL 604にリダイレクトする要求と共にクライアント端末2に送信する(1601)。
クライアント端末2がリバースプロキシサーバ9のSSO用URL604にリダイレクトされると、SSOエージェントプログラム6がクライアント端末2のCookieにセットされているSSO認証サーバ3のセッションID205とセッション有効期限206を取得し、SSO認証サーバ3にSSLを利用し、セッションID205とセッション有効期限206が有効か問い合わせを行う(1602)。
SSO認証サーバ3は、SSOエージェントプログラム6から受け取ったセッションID205とセッション有効期限206が有効か検証し、有効であればサービスサイトAログインID203の情報を返す(510)。
SSOエージェントプログラム6は、SSO認証サーバ3から受け取ったサービスサイトAログインID203の情報を元に、次回以降のSSO認証済みのクライアント端末2からSSO用URLへのアクセスを識別可能とするためのセッションID1002と、セッション有効期限1003を生成する(1603)。ステップ1603で生成されたセッションID1002とセッション有効期限1003は、クライアント端末2がSSO認証サーバ3に対してログアウトした場合、もしくは一定時間アクセスせずタイムアウトした場合、もしくはセッション有効期限1003を越えた場合に、SSOエージェントプログラム6によって消去される。
リバースプロキシサーバ9は、クライアント端末2の代わりにアプリケーションサーバ4に対し、HTTP要求メッセージを送信する(1604)。ステップ1604のHTTP要求メッセージのHTTPヘッダには、クライアント端末2のサービスサイトログインID1001をセットする。
アプリケーションサーバ4は、リバースプロキシサーバ9からのアクセスをIPアドレスから判断し、HTTPヘッダにセットされているサービスサイトログインID1001を取得し、サービスサイトログインID1001に対するログイン後のサービス画面などを表示する認証成功通知メッセージをリバースプロキシサーバ9に返す(1605)。
アプリケーションサーバ4は、リバースプロキシサーバ9からの接続に対しては、常にログインを許可し、個別ログイン認証画面を表示しない設定が必要である。
リバースプロキシサーバ9は、セッションID1002とセッション有効期限1003をCookieにセットし、ステップ1605で受け取った認証成功通知メッセージをクライアント端末2に送信する(1606)。
クライアント端末2はアプリケーションサーバ4のログイン後のサービス画面を表示し(513)、その後ユーザはサービスを利用する。
実施例1において、クライアント端末2が、アプリケーションサーバ4からアプリケーションサーバ5へ遷移する場合、ユーザにSSO用URLを意識させないようにするための方法を述べた。実施例1では、アプリケーションサーバ4のSSOエージェントプログラム6が管理するセッションID1002とセッション有効期限1003を利用し、SSO認証を受けたクライアント端末2の判定が可能であった。
実施例3では、SSOエージェントプログラム6をリバースプロキシサーバ9に設置するため、アプリケーションサーバ4はクライアント端末2がSSOの認証を受けているか判定できない。
実施例3において、SSO認証を受けたユーザの代わりに、リバースプロキシサーバ9がアプリケーションサーバ4のコンテンツを取得する。従って、アプリケーションサーバ4は、リバースプロキシサーバ9の要求が必ずSSO認証を受けているクライアント端末2の代理要求と判定可能であるため、実施例1で述べた個別ログイン用URL902とSSO用URL903のリンクを動的に変更する方法、もしくはSSO用URL判定CGIを利用した方法が利用可能となる。具体的な方法は以下に述べる。
アプリケーションサーバ4が表示するリンクのURLを動的に変更可能な場合、アプリケーションサーバ4は、受信したHTTPリクエストのIPアドレスがリバースプロキシ9のものであれば、SSO用URL903を表示し、それ以外のIPアドレスからのHTTPリクエストには、個別ログイン用URL902を表示するコンテンツを返す。
アプリケーションサーバ4が表示するリンクのURLを動的に変更不可能な場合や、画面表示プログラムの実装において判定を入れることが不可能な場合は、SSO用URL判定CGIスクリプトをアプリケーションサーバ4に別途設置し、アプリケーションサーバ4は、SSO用URL判定CGIのURLのリクエストパラメータに、サービスサイトID901の値をセットしたリンクを表示するコンテンツを返す。
アプリケーションサーバ4のSSO用URL判定CGIスクリプトは、リクエストパラメータに含まれるサービスサイトID901を取得し、受信したHTTPリクエストのIPアドレスがリバースプロキシ9のものであれば、SSO用URL903にリダイレクトするメッセージを返し、それ以外のIPアドレスからのHTTPリクエストには、個別ログイン用URL902にリダイレクトするメッセージを返す。
実施例4は、リバースプロキシ型のSSO技術に実施例2の方式を適用した例である。実施例4において、実施例3と異なる点を示す。
実施例4の処理フローを図12と図14に示す。図12において、実施例4と実施例2は同一の内容である。実施例4において、リバースプロキシサーバ9が存在するが、図12の処理フローの中では処理がないため省略している。
図14において、実施例4と実施例3は同一の内容である。
実施例4は、実施例3と比較して、アプリケーションサーバ4が管理するSSO利用可否303の情報を持たないことを特徴とする。アプリケーションサーバ4は、図11に示すサービスサイトAログインID301と、パスワード302と、セッション情報304と、セッション有効期限305を管理する。
実施例4の図12において、実施例3の図4と異なる点は、ステップ408、409、410の機能を持たないことである。
図12のステップ407において、アプリケーションサーバ4の認証を受けた全てのクライアント端末2は、ステップ411においてSSO認証サーバ3にリダイレクトされる。ステップ501において、SSO認証サーバ3は、アプリケーションサーバ4で認証されたサービスサイトAログインID301と、SSO認証サーバ3が管理するサービスサイトAログインID203と照合し、照合に成功したクライアント端末2のみ、SSO認証成功とする。図5のステップ501において、照合に成功しなかったクライアント端末2は、SSO認証サーバ3からSSO認証されず、アプリケーションサーバ4の個別ログイン用URL902にリダイレクトされ、アプリケーションサーバ4へ個別ログインする。
実施例4においては、各アプリケーションサーバに個別ログインしたユーザ全てを、SSO認証サーバ3にリダイレクトし、SSO利用ユーザの判定を行うため、SSO認証サーバ3の負荷が増えるが、各アプリケーションサーバはSSO利用可否303の情報を管理する必要がなくなる。
実施例3において、ユーザがSSO申し込みをする度にアプリケーションサーバのサービスサイト管理者やユーザ管理者が、SSO利用可否303にSSO利用可能を示す値(Active)を設定する必要があったが、実施例4においては、その必要がなくなるため、アプリケーションサーバのサービスサイト管理者やユーザ管理者の負担が減る利点がある。
既存サービスサイトにSSO技術を適用する場合、SSOを利用するユーザと利用しないユーザが混在する環境になる可能性がある。従来のSSO技術では、SSO利用ユーザにログイン先のURLやログインIDを変更させるため、ユーザに負担がかかる問題があり、それを解決するために本発明の利用が可能である。
本発明の実施例1、本発明の実施例2に係るSSOのネットワーク構成とシステム構成例である。 本発明の実施例1、本発明の実施例2、本発明の実施例3、本発明の実施例4に係るSSO認証サーバが管理するSSOログインIDと各サービスサイトのログインIDとの紐付けと、セッション管理テーブルの一例を示す図である。 本発明の実施例1、本発明の実施例3に係るサービスサイトのアプリケーションサーバが管理するログインID、SSO利用可否とセッション情報の管理テーブルの一例を示す図である。 本発明の実施例1、本発明の実施例3に係るSSOの認証を行う処理フローの図である。 本発明の実施例1の図4の続きの処理フロー図、もしくは本発明の実施例2の図12の続きの処理フロー図である。 本発明の実施例1、本発明の実施例2、本発明の実施例3、本発明の実施例4に係るSSO認証サーバが管理する各サービスサイトの情報を管理するテーブルの一例を示す図である。 本発明の実施例1、本発明の実施例2、本発明の実施例3、本発明の実施例4に係るSSO認証サーバで管理するリプレイ攻撃を防止するための管理テーブルの一例を示す図である。 本発明の実施例1、本発明の実施例2、本発明の実施例3、本発明の実施例4に係る各サービスサイトのアプリケーションサーバが管理するリプレイ攻撃を防止するための管理テーブルの一例を示す図である。 本発明の実施例1、本発明の実施例2、本発明の実施例3、本発明の実施例4に係る各サービスサイトのアプリケーションサーバが管理する他サービスサイトのリンク先URL管理テーブルの一例を示す図である。 本発明の実施例1、本発明の実施例2、本発明の実施例3、本発明の実施例4に係るSSOエージェントプログラムが管理するセッション情報管理テーブルの一例を示す図である。 本発明の実施例2、本発明の実施例4に係るサービスサイトのアプリケーションサーバが管理するログインIDとセッション情報の管理テーブルの一例を示す図である。 本発明の実施例2、本発明の実施例4に係るSSOの認証を行う処理フローの図である。 本発明の実施例3、本発明の実施例4に係るSSOのネットワーク構成とシステム構成例である。 本発明の実施例3の図4の続きの処理フロー図、もしくは本発明の実施例4の図12の続きの処理フロー図である。
符号の説明
1 インターネット
2 クライアント端末
3 SSO認証サーバ
4 サービスサイトAのアプリケーションサーバ
5 サービスサイトBのアプリケーションサーバ
6 SSOエージェントプログラム
7 SSO認証サーバ管理テーブル
8 アプリケーションサーバ管理テーブル

Claims (10)

  1. クライアント端末と、シングルサインオンの認証を行うSSO認証サーバと、シングルサインオンの提携関係にある複数のアプリケーションサーバがネットワークを介して接続された環境で、前記アプリケーションサーバが前記SSO認証サーバとSSOのセッションIDの確認を行うシングルサインオン連携方法において、
    前記アプリケーションサーバは、管理するログインIDとパスワードでユーザが前記アプリケーションサーバに行った個別ログインに対し、当該ログインIDと前記アプリケーションサーバで個別ログインを行った証明情報を前記SSO認証サーバに送信し、前記SSO認証サーバは、前記アプリケーションサーバの当該ログインIDに、SSO認証サーバが管理するSSOログインIDが紐付いているか判定して、シングルサインオン認証を行うことを特徴とするシングルサインオン連携方法。
  2. 請求項1に記載のシングルサインオン連携方法において、
    前記アプリケーションサーバは、前記アプリケーションサーバに備えられた前記ログインIDのシングルサインオン利用可否の情報を用いて、前記ログインIDがシングルサインオン利用可能か判定し、前記ログインIDがシングルサインオン利用可能であれば、当該ログインIDと前記アプリケーションサーバで個別ログインを行った証明情報を前記SSO認証サーバに送信し、
    前記SSO認証サーバは、前記SSOログインIDが存在した場合に、シングルサインオン認証を行うことを特徴とするシングルサインオン連携方法。
  3. 請求項1に記載のシングルサインオン連携方法において、
    前記SSO認証サーバは、前記SSOログインIDが存在した場合に、シングルサインオン認証を実行し、前記SSOログインIDが存在しなかった場合にはシングルサインオン認証を実行しないことを特徴とするシングルサインオン連携方法。
  4. 請求項1ないし請求項3のいずれかに記載のシングルサインオン連携システムにおいて、
    前記クライアント端末の代理で前記アプリケーションサーバからコンテンツを取得するリバースプロキシサーバが前記ネットワークを介して接続されており、前記リバースプロキシサーバは、前記SSO認証サーバとSSOのセッションIDの確認を行うSSOエージェントプログラムにより前記SSO認証サーバとSSOのセッションIDの確認を行うことを特徴とするシングルサインオン連携方法。
  5. クライアント端末と、シングルサインオンの認証を行うSSO認証サーバと、シングルサインオンの提携関係にある複数のアプリケーションサーバがネットワークを介して接続されており、前記アプリケーションサーバは、前記SSO認証サーバとSSOのセッションIDの確認を行うSSOエージェントプログラムを有する環境におけるシングルサインオン連携方法において、
    前記アプリケーションサーバが、ログインIDとパスワードでユーザが前記アプリケーションサーバに行った個別ログインに対し、前記アプリケーションサーバに備えられた前記ログインIDのシングルサインオン利用可否の情報を用いて、前記ログインIDがシングルサインオン利用可能か判定するステップと、前記アプリケーションサーバが、前記ログインIDがシングルサインオン利用可能であれば、当該ログインIDと前記アプリケーションサーバで個別ログインを行った証明情報を前記SSO認証サーバに送信するステップと、前記SSO認証サーバが、前記アプリケーションサーバの当該ログインIDに、SSO認証サーバが管理するSSOログインIDが紐付いているか判定するステップと、前記SSOログインIDが存在した場合にシングルサインオン認証を行うステップと、を備えていることを特徴とするシングルサインオン連携方法。
  6. クライアント端末と、シングルサインオンの認証を行うSSO認証サーバと、シングルサインオンの提携関係にある複数のアプリケーションサーバとがネットワークを介して接続されたシングルサインオン連携システムにおいて、
    前記アプリケーションサーバは、前記SSO認証サーバとSSOのセッションIDの確認を行うSSOエージェントプログラムと、ログインIDとパスワードを管理する個別ログインID情報と、前記アプリケーションサーバは、前記管理するログインIDとパスワードでユーザが前記アプリケーションサーバに行った個別ログインに対し、当該ログインIDと前記アプリケーションサーバで個別ログインを行った証明情報を前記SSO認証サーバに送信する送信部とを備えており、前記SSO認証サーバは、前記アプリケーションサーバの当該ログインIDに、SSO認証サーバが管理するSSOログインIDが紐付いているか判定する判定部と、前記判定部の判定にもとづいてシングルサインオン認証を行う認証部とを備えていることを特徴とするシングルサインオン連携システム。
  7. 請求項6に記載のシングルサインオン連携システムにおいて、
    前記アプリケーションサーバは、前記ログインIDのシングルサインオン利用可否の情報と、前記ログインIDがシングルサインオン利用可能か判定する判定部と、前記ログインIDがシングルサインオン利用可能であれば、前記送信部は、当該ログインIDと前記アプリケーションサーバで個別ログインを行った証明情報を前記SSO認証サーバに送信する送信部とを備えており、
    前記SSO認証サーバの前記認証部は、前記SSOログインIDが存在した場合に、シングルサインオン認証を行う認証部を備えていることを特徴とするシングルサインオン連携システム。
  8. 請求項6に記載のシングルサインオン連携システムにおいて、
    前記SSO認証サーバの認証部は、前記SSOログインIDが存在した場合に、シングルサインオン認証を実行し、前記SSOログインIDが存在しなかった場合にはシングルサインオン認証を実行しないことを特徴とするシングルサインオン連携システム。
  9. 請求項6ないし請求項8のいずれかに記載のシングルサインオン連携システムにおいて、
    前記クライアント端末の代理で前記アプリケーションサーバからコンテンツを取得するリバースプロキシサーバが前記ネットワークを介して接続されており、前記リバースプロキシサーバは、前記SSO認証サーバとSSOのセッションIDの確認を行うSSOエージェントプログラムを有することを特徴とするシングルサインオン連携システム。
  10. クライアント端末と、シングルサインオンSSOの認証を行うSSO認証サーバと、シングルサインオンの提携関係にある複数のアプリケーションサーバがネットワークを介して接続されており、前記アプリケーションサーバは、前記SSO認証サーバとSSOのセッションIDの確認を行うSSOエージェントプログラムを有するシングルサインオン連携方システムにおいて、
    前記アプリケーションサーバは、前記ログインIDのシングルサインオン利用可否の情報である個別ログインID情報と、管理するログインIDとパスワードでユーザが前記アプリケーションサーバに行った個別ログインに対し、前記アプリケーションサーバに備えられた前記個別ログインID情報を用いて、前記ログインIDがシングルサインオン利用可能か判定する判定部と、前記ログインIDがシングルサインオン利用可能であれば、当該ログインIDと前記アプリケーションサーバで個別ログインを行った証明情報を前記SSO認証サーバに送信する送信部とを備えており、
    前記SSO認証サーバは、前記ログインIDとSSO認証サーバが管理するSSOログインIDとを管理するSSO−ID紐付け情報と、前記アプリケーションサーバの当該ログインIDに、SSO認証サーバが管理するSSOログインIDが紐付いているか判定する判定部と、前記SSOログインIDが存在した場合にシングルサインオン認証を行う認証部とを備えていることを特徴とするシングルサインオン連携システム。
JP2006123336A 2006-04-27 2006-04-27 個別認証を用いたシングルサインオン連携方法およびシステム Pending JP2007293760A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006123336A JP2007293760A (ja) 2006-04-27 2006-04-27 個別認証を用いたシングルサインオン連携方法およびシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006123336A JP2007293760A (ja) 2006-04-27 2006-04-27 個別認証を用いたシングルサインオン連携方法およびシステム

Publications (1)

Publication Number Publication Date
JP2007293760A true JP2007293760A (ja) 2007-11-08

Family

ID=38764315

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006123336A Pending JP2007293760A (ja) 2006-04-27 2006-04-27 個別認証を用いたシングルサインオン連携方法およびシステム

Country Status (1)

Country Link
JP (1) JP2007293760A (ja)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007299303A (ja) * 2006-05-02 2007-11-15 Ntt Resonant Inc Id連携型認証システムおよびid連携型認証方法
JP2010165079A (ja) * 2009-01-14 2010-07-29 Nec Corp アクセス制御システム、アクセス制御装置、アクセス制御方法及びプログラム
JP2010282351A (ja) * 2009-06-03 2010-12-16 Nomura Research Institute Ltd Webサーバシステムへのログイン制限方法
JP2011023001A (ja) * 2009-07-20 2011-02-03 Ricoh Co Ltd 2つのネットワークアクセス可能ソフトウェアアプリケーションの間でシングルサインオンを有効にするための方法、システム及びコンピュータ読取可能な媒体
JP2011053850A (ja) * 2009-08-31 2011-03-17 Sper Co Ltd 注文処理システム
JP2011076430A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd 認証id管理システム及び認証id管理方法
JP2011522307A (ja) * 2008-05-07 2011-07-28 インターナショナル・ビジネス・マシーンズ・コーポレーション 統合認証のためのシステム、方法およびプログラム製品
WO2012033311A2 (en) * 2010-09-07 2012-03-15 Samsung Electronics Co., Ltd. Method and apparatus for connecting to online service
JP5375976B2 (ja) * 2010-01-22 2013-12-25 富士通株式会社 認証方法、認証システムおよび認証プログラム
JP2014026597A (ja) * 2012-07-30 2014-02-06 Nec Biglobe Ltd ソフトウェア提供システム、ポータルサーバ、提供サーバ、提供方法およびプログラム
KR101449523B1 (ko) * 2011-02-15 2014-10-13 캐논 가부시끼가이샤 정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체
JP2016091211A (ja) * 2014-10-31 2016-05-23 株式会社リコー 情報処理システム、情報処理装置、ログイン方法、及びプログラム
JP6053076B1 (ja) * 2015-10-07 2016-12-27 株式会社リンクス 管理システム及び連絡システム
JP2020160873A (ja) * 2019-03-27 2020-10-01 日本電気株式会社 システム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラム
CN114006751A (zh) * 2021-10-29 2022-02-01 广东宜教通教育有限公司 一种使用临时认证码的校园系统单点登录方法
CN114244548A (zh) * 2021-04-12 2022-03-25 无锡江南计算技术研究所 一种面向云ide的动态调度和用户认证方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297967A (ja) * 2001-03-30 2002-10-11 Fujitsu Fip Corp 認証方法及び認証方法での処理をコンピュータに行なわせるためのプログラム
JP2003036244A (ja) * 2001-07-24 2003-02-07 Nippon Telegraph & Telephone West Corp 連携してサービスを提供するサーバコンピュータ及びその連携管理方法
JP2004220527A (ja) * 2003-01-17 2004-08-05 Hi Sys:Kk 認証通信におけるセキュリティ方法
JP2004234329A (ja) * 2003-01-30 2004-08-19 Nippon Telegraph & Telephone East Corp Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体
JP2005519365A (ja) * 2002-02-28 2005-06-30 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置
JP2005346570A (ja) * 2004-06-04 2005-12-15 Canon Inc 認証システム、認証方法及びコンピュータプログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297967A (ja) * 2001-03-30 2002-10-11 Fujitsu Fip Corp 認証方法及び認証方法での処理をコンピュータに行なわせるためのプログラム
JP2003036244A (ja) * 2001-07-24 2003-02-07 Nippon Telegraph & Telephone West Corp 連携してサービスを提供するサーバコンピュータ及びその連携管理方法
JP2005519365A (ja) * 2002-02-28 2005-06-30 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置
JP2004220527A (ja) * 2003-01-17 2004-08-05 Hi Sys:Kk 認証通信におけるセキュリティ方法
JP2004234329A (ja) * 2003-01-30 2004-08-19 Nippon Telegraph & Telephone East Corp Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体
JP2005346570A (ja) * 2004-06-04 2005-12-15 Canon Inc 認証システム、認証方法及びコンピュータプログラム

Cited By (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4672593B2 (ja) * 2006-05-02 2011-04-20 日本電信電話株式会社 Id連携型認証システムおよびid連携型認証方法
JP2007299303A (ja) * 2006-05-02 2007-11-15 Ntt Resonant Inc Id連携型認証システムおよびid連携型認証方法
US9762568B2 (en) 2008-05-07 2017-09-12 International Business Machines Corporation Consolidated authentication
US9319399B2 (en) 2008-05-07 2016-04-19 International Business Machines Corporation Consolidated authentication
JP2011522307A (ja) * 2008-05-07 2011-07-28 インターナショナル・ビジネス・マシーンズ・コーポレーション 統合認証のためのシステム、方法およびプログラム製品
US8880872B2 (en) 2008-05-07 2014-11-04 International Business Machines Corporation System, method and program product for consolidated authentication
JP2010165079A (ja) * 2009-01-14 2010-07-29 Nec Corp アクセス制御システム、アクセス制御装置、アクセス制御方法及びプログラム
JP2010282351A (ja) * 2009-06-03 2010-12-16 Nomura Research Institute Ltd Webサーバシステムへのログイン制限方法
JP2011023001A (ja) * 2009-07-20 2011-02-03 Ricoh Co Ltd 2つのネットワークアクセス可能ソフトウェアアプリケーションの間でシングルサインオンを有効にするための方法、システム及びコンピュータ読取可能な媒体
JP2011053850A (ja) * 2009-08-31 2011-03-17 Sper Co Ltd 注文処理システム
JP2011076430A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd 認証id管理システム及び認証id管理方法
JP5375976B2 (ja) * 2010-01-22 2013-12-25 富士通株式会社 認証方法、認証システムおよび認証プログラム
WO2012033311A2 (en) * 2010-09-07 2012-03-15 Samsung Electronics Co., Ltd. Method and apparatus for connecting to online service
US9769145B2 (en) 2010-09-07 2017-09-19 Samsung Electronics Co., Ltd Method and apparatus for connecting to online service
WO2012033311A3 (en) * 2010-09-07 2012-05-03 Samsung Electronics Co., Ltd. Method and apparatus for connecting to online service
KR101449523B1 (ko) * 2011-02-15 2014-10-13 캐논 가부시끼가이샤 정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체
JP2014026597A (ja) * 2012-07-30 2014-02-06 Nec Biglobe Ltd ソフトウェア提供システム、ポータルサーバ、提供サーバ、提供方法およびプログラム
JP2016091211A (ja) * 2014-10-31 2016-05-23 株式会社リコー 情報処理システム、情報処理装置、ログイン方法、及びプログラム
JP6053076B1 (ja) * 2015-10-07 2016-12-27 株式会社リンクス 管理システム及び連絡システム
JP2017073671A (ja) * 2015-10-07 2017-04-13 株式会社リンクス 管理システム及び連絡システム
JP7183908B2 (ja) 2019-03-27 2022-12-06 日本電気株式会社 システム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラム
JP2020160873A (ja) * 2019-03-27 2020-10-01 日本電気株式会社 システム操作ロック解除システム、操作ロック連携エージェント、サーバ、方法、及びプログラム
CN114244548A (zh) * 2021-04-12 2022-03-25 无锡江南计算技术研究所 一种面向云ide的动态调度和用户认证方法
CN114244548B (zh) * 2021-04-12 2023-10-13 无锡江南计算技术研究所 一种面向云ide的动态调度和用户认证方法
CN114006751A (zh) * 2021-10-29 2022-02-01 广东宜教通教育有限公司 一种使用临时认证码的校园系统单点登录方法
CN114006751B (zh) * 2021-10-29 2024-06-11 广东宜教通教育有限公司 一种使用临时认证码的校园系统单点登录方法

Similar Documents

Publication Publication Date Title
JP2007293760A (ja) 個別認証を用いたシングルサインオン連携方法およびシステム
KR100800339B1 (ko) 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템
JP4600851B2 (ja) コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
KR100856674B1 (ko) 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법
JP4863777B2 (ja) 通信処理方法及びコンピュータ・システム
US7127607B1 (en) PKI-based client/server authentication
US8340283B2 (en) Method and system for a PKI-based delegation process
JP5599910B2 (ja) 暗号証拠の再検証に基づく認証委任
KR100986441B1 (ko) 정보 보안 방법, 정보 보안 시스템, 및 보안 프로토콜을 갖는 컴퓨터 판독 가능 저장 매체
US6421768B1 (en) Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
US6643774B1 (en) Authentication method to enable servers using public key authentication to obtain user-delegated tickets
JP4770423B2 (ja) ディジタル証明書に関する情報の管理方法、通信相手の認証方法、情報処理装置、mfp、およびコンピュータプログラム
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
JP5170648B2 (ja) 権限委譲システム、権限委譲方法および権限委譲プログラム
US20050268100A1 (en) System and method for authenticating entities to users
EP0940960A1 (en) Authentication between servers
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
JP2009239919A (ja) トランスコーディング・プロキシでの複数の起点サーバへの動的接続
JP5023804B2 (ja) 認証方法及び認証システム
JP2001186122A (ja) 認証システム及び認証方法
JP4870427B2 (ja) デジタル証明書交換方法、端末装置、及びプログラム
JP2006031064A (ja) セッション管理システム及び管理方法
JP2005157845A (ja) サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法
JP2003244134A (ja) 認証システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110705

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110630

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20111108