JP2008197919A - 処理形態切替装置 - Google Patents
処理形態切替装置 Download PDFInfo
- Publication number
- JP2008197919A JP2008197919A JP2007032537A JP2007032537A JP2008197919A JP 2008197919 A JP2008197919 A JP 2008197919A JP 2007032537 A JP2007032537 A JP 2007032537A JP 2007032537 A JP2007032537 A JP 2007032537A JP 2008197919 A JP2008197919 A JP 2008197919A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- processing
- mode
- authentication ticket
- ticket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/081—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
Abstract
【課題】複数のモードを有するクライアント/サーバシステムにおいて、クライアントがあるモードを利用中に、他のモードへの切替を円滑に、かつ、ユーザに負荷をかけることなく行うことを目的とする。
【解決手段】ユーザ毎、モード毎に発行されるチケットにより、アプリケーションサーバ4(以下AP4)は、クライアント1(以下CL1)のアクセス範囲を制限する。CL1がAP4が提供するモードAをチケットAにより利用中にモードB(以下モードB)への切替状況になった場合、処理形態切替装置6(切替装置6)は、モードB用のチケットBをCL1へ送信する。CL1はチケットBでAP4へアクセスする。AP4は新たなチケットBを切替装置6へ送信する。切替装置6はCL1がモードBを利用可能であるかチケットBにより認証サーバ2に判定させ、その結果をAP4へ通知する。通知された結果に基づき、AP4はCL1からのアクセスの許否を判定する。
【選択図】図4
【解決手段】ユーザ毎、モード毎に発行されるチケットにより、アプリケーションサーバ4(以下AP4)は、クライアント1(以下CL1)のアクセス範囲を制限する。CL1がAP4が提供するモードAをチケットAにより利用中にモードB(以下モードB)への切替状況になった場合、処理形態切替装置6(切替装置6)は、モードB用のチケットBをCL1へ送信する。CL1はチケットBでAP4へアクセスする。AP4は新たなチケットBを切替装置6へ送信する。切替装置6はCL1がモードBを利用可能であるかチケットBにより認証サーバ2に判定させ、その結果をAP4へ通知する。通知された結果に基づき、AP4はCL1からのアクセスの許否を判定する。
【選択図】図4
Description
本発明は、例えば、モード(処理形態)と呼ばれる状況の変化に応じて、利用可能なアプリケーションサービスの範囲、及び、参照先のデータベースの範囲等が変更されるシステムにおいて、効率的にログイン(使用)しているモードを切替えるための技術に関するものである。
利用可能なアプリケーションサービスの範囲、及び、参照先のデータベースの範囲等のアクセス範囲を制限する方法として、アクセス権情報と参照可能なデータベース範囲が設定された認証チケットを使用する方法がある。認証チケットを使用する方法では、ユーザがアプリケーションサービスを利用するため認証サーバから認証許可を受ける際に、ログインするモードに応じた認証チケットを取得する。認証チケットを使用する方法では、認証チケットに設定されたアクセス権情報と参照可能なデータベース範囲とに基づき、アクセス範囲を制限する。認証チケットは、ログインしたユーザ毎、ログイン先のモード毎に異なるものとすることで、ユーザ毎、モード毎にアクセス範囲を制限することができる。
認証チケットを使用する方法においてログインするモードを変更する場合、ユーザは、改めて認証サーバから変更後のモードに対する認証許可を受けるとともに、変更後のモードに応じた認証チケットを取得する。つまり、認証チケットを使用する方法においてログインするモードを変更する場合、ユーザは改めて変更後のモードへのログイン処理を行う。変更後のモードに応じた認証チケットに基づきアクセス範囲を制限することで、変更後のモードに対して適正にアクセス範囲を制限する。
特開2004−185396号公報
認証チケットを使用する方法においてログインするモードを変更する場合、ユーザは、改めて認証サーバから変更後のモードに対する認証許可を受けるとともに、変更後のモードに応じた認証チケットを取得する。つまり、認証チケットを使用する方法においてログインするモードを変更する場合、ユーザは改めて変更後のモードへのログイン処理を行う。変更後のモードに応じた認証チケットに基づきアクセス範囲を制限することで、変更後のモードに対して適正にアクセス範囲を制限する。
上述したモードを変更する方法においては、ログインするモードを切替える度に、ユーザは改めてログイン処理を行う必要がある。したがって、モードの切替をしなければならない状況が頻繁に発生するような場合、ユーザはその都度、新たなモードへのログイン処理を行わなければならず、その操作に手間がかかる。
また、上述したモードを変更する方法は、ユーザの判断によりログインモードを選択する方法であるため、ユーザによってはモードの変更が必要か否かについて決断することが困難な場合がある。
さらに、ログイン先のモードをユーザの判断により選択することが必要となる。
また、上述したモードを変更する方法は、ユーザの判断によりログインモードを選択する方法であるため、ユーザによってはモードの変更が必要か否かについて決断することが困難な場合がある。
さらに、ログイン先のモードをユーザの判断により選択することが必要となる。
本発明は、例えば、ユーザのログインするモードの変更に関する手間を少なくすることを目的とする。また、サーバ側により、アプリケーションサービスを利用中のユーザに対して、ログインするモードの変更を促すことを目的とする。さらに、モードの切替先を誤ることをなくすことを目的とする。
本発明に係る処理形態切替装置は、例えば、複数の処理形態を有するアプリケーションサーバと通信する処理形態切替装置において、
上記複数の処理形態の第1の処理形態の利用を要求したユーザ端末が認証サーバにより上記第1の処理形態を利用可能であると認証された場合に、上記ユーザ端末の端末情報を受信し、上記第1の処理形態の利用に使用する認証チケットである第1の認証チケットを発行して、上記第1の認証チケットを上記ユーザ端末へ通信装置を介して送信する認証チケット発行処理部と、
上記複数の処理形態の第2の処理形態への切替情報を検知して切替要求信号を処理装置により発信する状況監視処理部と、
上記状況監視処理部により切替要求信号が発信された場合、上記認証チケット発行処理部により発行される上記第2の処理形態の利用に使用する認証チケットである第2の認証チケットを取得して上記ユーザ端末へ通信装置を介して送信するモード切替処理部と、
上記ユーザ端末が上記モード切替処理部により送信された第2の認証チケットを利用してアプリケーションサーバへアクセスした場合、上記アプリケーションサーバから上記第2の認証チケットを受信し、上記ユーザ端末が上記第2の処理形態を利用可能であるか否かを上記第2の認証チケットに基づき上記認証サーバに判定させて、判定させた結果を上記アプリケーションサーバへ通知するチケット認証処理部と
を備えることを特徴とする。
上記複数の処理形態の第1の処理形態の利用を要求したユーザ端末が認証サーバにより上記第1の処理形態を利用可能であると認証された場合に、上記ユーザ端末の端末情報を受信し、上記第1の処理形態の利用に使用する認証チケットである第1の認証チケットを発行して、上記第1の認証チケットを上記ユーザ端末へ通信装置を介して送信する認証チケット発行処理部と、
上記複数の処理形態の第2の処理形態への切替情報を検知して切替要求信号を処理装置により発信する状況監視処理部と、
上記状況監視処理部により切替要求信号が発信された場合、上記認証チケット発行処理部により発行される上記第2の処理形態の利用に使用する認証チケットである第2の認証チケットを取得して上記ユーザ端末へ通信装置を介して送信するモード切替処理部と、
上記ユーザ端末が上記モード切替処理部により送信された第2の認証チケットを利用してアプリケーションサーバへアクセスした場合、上記アプリケーションサーバから上記第2の認証チケットを受信し、上記ユーザ端末が上記第2の処理形態を利用可能であるか否かを上記第2の認証チケットに基づき上記認証サーバに判定させて、判定させた結果を上記アプリケーションサーバへ通知するチケット認証処理部と
を備えることを特徴とする。
本発明に係る処理形態切替装置によれば、モード切替処理部により送信された第2の認証チケットを利用してユーザがアプリケーションサーバへアクセスした場合、ユーザがログイン処理をすることなく認証処理が行われる。したがって、ユーザのログインするモードの変更に関する手間を少なくすることが可能である。
また、状況監視処理部が第2の処理形態への切替情報を検知し、モード切替処理部が第2の処理形態の利用に使用する第2の認証チケットをユーザ端末へ送信するため、ユーザへログインモードの変更が促され、ユーザは自らの判断によらず、ログインモード変更する必要があることを知ることができる。
また、ユーザ端末へ送信された第2の認証チケットは、変更先のモードである第2の処理形態に応じた認証チケットである。したがってユーザがモードの切替先を誤ることをなくすことが可能である。
また、状況監視処理部が第2の処理形態への切替情報を検知し、モード切替処理部が第2の処理形態の利用に使用する第2の認証チケットをユーザ端末へ送信するため、ユーザへログインモードの変更が促され、ユーザは自らの判断によらず、ログインモード変更する必要があることを知ることができる。
また、ユーザ端末へ送信された第2の認証チケットは、変更先のモードである第2の処理形態に応じた認証チケットである。したがってユーザがモードの切替先を誤ることをなくすことが可能である。
図1は、実施の形態における処理形態切替システム100の外観の一例を示す図である。
図1において、処理形態切替システム100は、PC909(Personal Computer)、サーバA916、サーバB917、サーバC918、データベースA907、データベースB908を備える。また、PC909は、LCD(液晶)901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disc・Drive)、CDD905(コンパクトディスク装置)などのハードウェア資源を備え、これらのハードウェア資源はケーブルや信号線で接続されている。
PC909、サーバA916、サーバB917、サーバC918、データベースA907、データベースB908は、コンピュータであり、ローカルエリアネットワーク942(LAN)により接続され、ゲートウェイ941とインターネット940とを介して外部サーバ919と接続されている。
ここで、PC909は、実施の形態におけるクライアント1の一例である。また、サーバA916は、実施の形態におけるる認証サーバ2の一例である。また、サーバB917は、実施の形態における処理形態切替装置6の一例である。また、サーバC918は、実施の形態におけるアプリケーションサーバ4の一例である。また、データベースA907は、実施の形態におけるモードA用データベースの一例である。また、データベースB908は、実施の形態におけるモードB用データベースの一例である。
図1において、処理形態切替システム100は、PC909(Personal Computer)、サーバA916、サーバB917、サーバC918、データベースA907、データベースB908を備える。また、PC909は、LCD(液晶)901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disc・Drive)、CDD905(コンパクトディスク装置)などのハードウェア資源を備え、これらのハードウェア資源はケーブルや信号線で接続されている。
PC909、サーバA916、サーバB917、サーバC918、データベースA907、データベースB908は、コンピュータであり、ローカルエリアネットワーク942(LAN)により接続され、ゲートウェイ941とインターネット940とを介して外部サーバ919と接続されている。
ここで、PC909は、実施の形態におけるクライアント1の一例である。また、サーバA916は、実施の形態におけるる認証サーバ2の一例である。また、サーバB917は、実施の形態における処理形態切替装置6の一例である。また、サーバC918は、実施の形態におけるアプリケーションサーバ4の一例である。また、データベースA907は、実施の形態におけるモードA用データベースの一例である。また、データベースB908は、実施の形態におけるモードB用データベースの一例である。
図2は、実施の形態におけるクライアント1、認証サーバ2、認証チケット発行サーバ3、アプリケーションサーバ4、処理形態切替装置6及び他システム用装置7の構成の一例を示す図である。
図2において、クライアント1、認証サーバ2、認証チケット発行サーバ3、アプリケーションサーバ4、処理形態切替装置6及び他システム用装置7は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、LCD901、キーボード902、マウス903、FDD904、CDD905、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
図2において、クライアント1、認証サーバ2、認証チケット発行サーバ3、アプリケーションサーバ4、処理形態切替装置6及び他システム用装置7は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信ボード915、LCD901、キーボード902、マウス903、FDD904、CDD905、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、FDD904、CDD905などは、入力装置の一例である。
通信ボード915は、通信装置の一例である。
通信ボード915、キーボード902、FDD904、CDD905などは、入力装置の一例である。
通信ボード915は、通信装置の一例である。
通信ボード915は、LAN942等に接続されている。
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、以下に述べる実施の形態の説明において「認証チケット発行処理部61」、「ユーザ情報記憶部62」、「モード切替処理部63」、「状況監視処理部64」、「チケット認証処理部65」、「通信制御部66」、「ログイン状況テーブル67(ログイン状況記憶部)」、「認証チケットデータベース68(認証チケット記憶部)」等として説明する機能を実行するプログラム、及び、各サーバの処理を実行するその他のプログラムがそれぞれ記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「認証チケット」、「ユーザ情報」、「アクセス権限情報」、「ログイン状況テーブル67」、「認証チケットデータベース68」等として説明する情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、コンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、以下に述べる実施の形態の説明において、「認証チケット」、「ユーザ情報」、「アクセス権限情報」、「ログイン状況テーブル67」、「認証チケットデータベース68」等として説明する情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶されている。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、コンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disc)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
実施の形態1.
実施の形態1に係る処理形態切替システム100について説明する。
実施の形態1に係る処理形態切替システム100について説明する。
まず、図3に基づき、実施の形態1に係る処理形態切替システム100の基礎となる、認証チケットを使用してアクセス範囲を制限する認証チケット発行システムの構成について説明する。図3は、認証チケットを使用してアクセス範囲を制限する認証チケット発行システムの構成図である。ここでは、モードA(第1の処理形態の一例)、モードB(第2の処理形態の一例)の2種類のモードが存在する場合を例に示す。認証チケット発行システムは、クライアント1、認証サーバ2、認証チケット発行サーバ3、ユーザ情報記憶部62、アプリケーションサーバ4、モードA用とモードB用とに分かれたデータベース5(モードA用データベース、モードB用データベース)を備える。
クライアント1は、ユーザが使用するユーザ端末の一例である。認証サーバ2は、モード毎にユーザの認証処理を行う。認証チケット発行サーバ3は、アクセス権情報と参照可能なデータベース範囲が設定された認証チケットを発行する。アプリケーションサーバ4は、所定のアプリケーションサービスを提供する。データベース5は、所定のアプリケーションに必要な情報を、モード毎に分けて記憶する。
まず、クライアント1は、アプリケーションサービスを利用する際、認証サーバ2へユーザ固有の証明書情報を添付したログイン要求の信号を送信する。ログイン要求には、ログイン先のモードを特定する情報が含まれている。例えば、ここでは、モードAに対するログイン要求を出したとする。次に、認証サーバ2は、ログイン要求の信号を受信すると、添付されたユーザ固有の証明書情報を元に認証を行う。認証を許可する場合、認証サーバ2は、ユーザを識別可能なユーザ情報及びログイン先のモードを認証チケット発行サーバ3へ通知する。次に、認証チケット発行サーバ3は、ユーザ情報記憶部62が記憶したユーザ情報と照らし合わせ、当該ユーザに対する認証チケットを発行する。認証チケットは、ログイン要求のあったモードAに応じた認証チケットである。また、認証チケットは、ユーザ情報記憶部62が記憶したユーザ情報を元に作成されたユーザID、当該ユーザの利用可能なアプリケーションサービスのアクセス権、参照可能なデータベース、及び、認証情報を含む。認証チケット発行サーバ3は、発行した認証チケットをクライアント1へ送付する。そして、クライアント1は、送付された認証チケットを用いてアプリケーションサーバ4へアクセスする。認証チケットを用いてアクセスすることにより、認証チケットに設定されたアクセス権、及び、参照可能なデータベースの範囲に従ってアプリケーションサービスを利用することが可能となる。
状況が変化しログインモードをモードBに変更する必要が生じた場合、クライアント1は上記と同様の方法により切替先の新たなモードBにログインする。そして、クライアント1はモードBに応じた認証チケットを取得し直す。つまり、モードBに応じた認証チケットを取得するためには、ユーザは再度ログイン操作を行い、認証サーバ2から認証を受ける。
このようにユーザは、状況の変化に応じて新たなモードへログインすることにより、新しい認証チケットを取得し、利用可能なアプリケーションサービスの範囲、及び、参照可能なデータベースの範囲を変更することができる。
このようにユーザは、状況の変化に応じて新たなモードへログインすることにより、新しい認証チケットを取得し、利用可能なアプリケーションサービスの範囲、及び、参照可能なデータベースの範囲を変更することができる。
次に、図4に基づき、ログインモードを変更する際、ログイン操作の必要のない処理形態切替システム100の構成及び機能について説明する。図4は、実施の形態1に係る処理形態切替システム100の構成及び機能を示す図である。
処理形態切替システム100は、図3に示す認証チケット発行システムの認証チケット発行サーバ3に代え、処理形態切替装置6(ログインモード切替装置)を備える。また、ユーザ情報記憶部62は、処理形態切替装置6に含まれる。さらに、処理形態切替装置6は、他システム用装置7とネットワーク8を介して通信する。その他の構成は、原則として図3に示す認証チケット発行システムと同様である。
処理形態切替装置6は、認証チケット発行処理部61、ユーザ情報記憶部62、モード切替処理部63、状況監視処理部64、チケット認証処理部65、通信制御部66(通信装置)、ログイン状況テーブル67(ログイン状況記憶部)、認証チケットデータベース68(認証チケット記憶部)を備える。
処理形態切替システム100は、図3に示す認証チケット発行システムの認証チケット発行サーバ3に代え、処理形態切替装置6(ログインモード切替装置)を備える。また、ユーザ情報記憶部62は、処理形態切替装置6に含まれる。さらに、処理形態切替装置6は、他システム用装置7とネットワーク8を介して通信する。その他の構成は、原則として図3に示す認証チケット発行システムと同様である。
処理形態切替装置6は、認証チケット発行処理部61、ユーザ情報記憶部62、モード切替処理部63、状況監視処理部64、チケット認証処理部65、通信制御部66(通信装置)、ログイン状況テーブル67(ログイン状況記憶部)、認証チケットデータベース68(認証チケット記憶部)を備える。
次に、処理形態切替装置6を備える処理形態切替システム100の動作について、以下に示す(1)と(2)とに分けて説明する。
(1)初めにクライアント1がアプリケーションサービスを利用するまでの動作(認証チケット発行処理)。
(2)クライアント1がアプリケーションサービスを利用中に状況が変化し、モードを切替える動作(処理形態切替処理)。
また、(2)について、さらに以下の(i)と(ii)とに分けて説明する。
(i)切替後の新たなモードに対応した新たなチケットを配布する動作(チケット再配布処理)。
(ii)新たなモードに対応する認証チケットを取得したクライアント1が、新たな認証チケット取得後初めてアプリケーションサーバ4へアクセスする動作(認証処理)。
(1)初めにクライアント1がアプリケーションサービスを利用するまでの動作(認証チケット発行処理)。
(2)クライアント1がアプリケーションサービスを利用中に状況が変化し、モードを切替える動作(処理形態切替処理)。
また、(2)について、さらに以下の(i)と(ii)とに分けて説明する。
(i)切替後の新たなモードに対応した新たなチケットを配布する動作(チケット再配布処理)。
(ii)新たなモードに対応する認証チケットを取得したクライアント1が、新たな認証チケット取得後初めてアプリケーションサーバ4へアクセスする動作(認証処理)。
上記(1)の認証チケット発行処理について図5に基づき説明する。図5は、認証チケット発行処理の動作を示すフローチャートである。
まず、(S101)では、クライアント1は、アプリケーションサービスを利用する際、認証サーバ2へユーザ固有の証明書情報を添付したログイン要求の信号を送信する。ログイン要求には、ログイン先のモードを特定する情報が含まれている。ここでは、例えば、モードAに対するログイン要求を出したとする。
次に、(S102)では、認証サーバ2は、ログイン要求の信号を受信すると、添付されたユーザ固有の証明書情報を元に認証を行う。認証を許可すると認証サーバ2が判定した場合(S102でYes)、(S103)へ進む。一方、認証を許可しないと認証サーバ2が判定した場合(S102でNo)、(S104)へ進む。
認証を許可する場合、(S103)では、認証サーバ2は、ユーザを識別可能なユーザ情報(端末情報の一例)及びログイン先のモードを処理形態切替装置6へ通知し、認証チケットの発行を要求する。一方、認証を許可しない場合(S104)では、認証サーバ2は、クライアント1へ認証に失敗した旨の通知をする。ここまでは、図3に示す認証チケット発行システムの動作と同様である。
次に、(S102)では、認証サーバ2は、ログイン要求の信号を受信すると、添付されたユーザ固有の証明書情報を元に認証を行う。認証を許可すると認証サーバ2が判定した場合(S102でYes)、(S103)へ進む。一方、認証を許可しないと認証サーバ2が判定した場合(S102でNo)、(S104)へ進む。
認証を許可する場合、(S103)では、認証サーバ2は、ユーザを識別可能なユーザ情報(端末情報の一例)及びログイン先のモードを処理形態切替装置6へ通知し、認証チケットの発行を要求する。一方、認証を許可しない場合(S104)では、認証サーバ2は、クライアント1へ認証に失敗した旨の通知をする。ここまでは、図3に示す認証チケット発行システムの動作と同様である。
次に、(S105)では、処理形態切替装置6の通信制御部66が認証サーバ2からユーザ情報を受信すると、認証チケット発行処理部61は、ユーザ情報記憶部62が記憶したユーザ情報と照らし合わせ、認証情報(認証チケット)を発行する。ここで、認証チケット発行処理部61は、ユーザ情報記憶部62に対し問い合わせを行うときに、当該ユーザの2種類のモードそれぞれに対応するモード毎のアクセス権、及び、データベース参照可能範囲をそれぞれ取得し、モードA用の認証チケット(第1の認証チケットの一例)とモードB用の認証チケット(第2の認証チケットの一例)との2種類の認証チケットを発行する。つまり、認証チケット発行処理部61はすべてのモードに対応する認証チケットを発行する。認証チケットは、図3に示す認証チケット発行システムが発行したものと同様にユーザ情報記憶部62が記憶したユーザ情報を元に作成されたユーザID、当該ユーザの利用可能なアプリケーションサービスのアクセス権、参照可能なデータベース、及び、認証情報を含む。
次に、(S106)では、認証チケット発行処理部61は、発行した2種類の認証チケットのうち、ユーザからのログイン要求があったモード用の認証チケットをクライアント1へ通信制御部66を介して送信する。また、認証チケット発行処理部61は、クライアント1へ送信した認証チケットも含めた2種類両方の認証チケットをモード切替処理部63へ送信する。つまり、ここでは、モードA用の認証チケットのみがクライアント1へ送信されるとともに、モードA用の認証チケットとモードB用の認証チケットとがモード切替処理部63へ送信される。
次に、(S107)では、モード切替処理部63は、2種類の認証チケットを受信すると、これらの認証チケットを認証チケットデータベース68に記憶する。また、認証チケットデータベース68内の認証チケットは認証チケットIDにて管理される。認証チケットに付与された認証チケットIDの情報は、図6に示すログイン状況テーブル67においても格納される。なお、ログイン状況テーブル67は、ユーザID(端末情報の一例)の格納領域31、ユーザグループID(端末情報の一例)の格納領域32、端末ID(端末情報の一例)の格納領域33、ユーザのログイン中のモードの格納領域34、モードA用認証チケットIDの格納領域35、及び、モードB用認証チケットの格納領域36を備える。
次に、(S106)では、認証チケット発行処理部61は、発行した2種類の認証チケットのうち、ユーザからのログイン要求があったモード用の認証チケットをクライアント1へ通信制御部66を介して送信する。また、認証チケット発行処理部61は、クライアント1へ送信した認証チケットも含めた2種類両方の認証チケットをモード切替処理部63へ送信する。つまり、ここでは、モードA用の認証チケットのみがクライアント1へ送信されるとともに、モードA用の認証チケットとモードB用の認証チケットとがモード切替処理部63へ送信される。
次に、(S107)では、モード切替処理部63は、2種類の認証チケットを受信すると、これらの認証チケットを認証チケットデータベース68に記憶する。また、認証チケットデータベース68内の認証チケットは認証チケットIDにて管理される。認証チケットに付与された認証チケットIDの情報は、図6に示すログイン状況テーブル67においても格納される。なお、ログイン状況テーブル67は、ユーザID(端末情報の一例)の格納領域31、ユーザグループID(端末情報の一例)の格納領域32、端末ID(端末情報の一例)の格納領域33、ユーザのログイン中のモードの格納領域34、モードA用認証チケットIDの格納領域35、及び、モードB用認証チケットの格納領域36を備える。
そして、(S108)、(S109)では、クライアント1は、送付された認証チケットを用いてアプリケーションサーバ4にアクセスすることにより、認証チケットに設定されたアクセス権、及び、参照可能なデータベースの範囲に従ってアプリケーションサービスを利用することが可能となる。
次に、上記(2)の処理形態切替処理について説明する。図7は、上記(2)(i)のチケット再配布処理の動作を示すフローチャートである。図8は、上記(2)(ii)の認証処理を示すフローチャートである。
上記(2)(i)のチケット再配布処理の動作について図7に基づき説明する。
まず、(S201)では、状況監視処理部64は、モードの切替情報を検知して切替要求信号を処理装置によりモード切替処理部63へ発信する。
状況監視処理部64は、例えば、ネットワーク8を介して接続されている他システム用装置7から不定期に送信される電子データを受信する。そして、状況監視処理部64は、例えば、予め所定の文字列を記憶装置に記憶しておき、他システム用装置7から受信した電子データの中から上記所定の文字列を検索し、検索した結果、上記所定の文字列が含まれている場合は、モードの切替情報であると検知する。
あるいは、状況監視処理部64は、例えば、システム管理者等の特定のユーザからモードの切替要求の信号を受信した場合に、モードの切替情報であると検知する。
つまり、状況監視処理部64は、受信する電子データから検索する文字列を定義するインタフェース、及び、システム管理者等特定のユーザからのモード切替要求を受け付けるインタフェースを有する。
ここで、検知したモードの切替情報は、例えば、モード切替要求対象のユーザグループ、及び、切替要求先のモード示す情報を有し、発信する切替要求信号にもモード切替要求対象のユーザグループ、及び、切替要求先のモードを示す情報を含める。ここでは、モードAからモードBへ切替するため、モードの切替情報と切替要求信号とには、モード切替要求対象のユーザグループと切替要求先のモードであるモードBを示す情報とを有する。
まず、(S201)では、状況監視処理部64は、モードの切替情報を検知して切替要求信号を処理装置によりモード切替処理部63へ発信する。
状況監視処理部64は、例えば、ネットワーク8を介して接続されている他システム用装置7から不定期に送信される電子データを受信する。そして、状況監視処理部64は、例えば、予め所定の文字列を記憶装置に記憶しておき、他システム用装置7から受信した電子データの中から上記所定の文字列を検索し、検索した結果、上記所定の文字列が含まれている場合は、モードの切替情報であると検知する。
あるいは、状況監視処理部64は、例えば、システム管理者等の特定のユーザからモードの切替要求の信号を受信した場合に、モードの切替情報であると検知する。
つまり、状況監視処理部64は、受信する電子データから検索する文字列を定義するインタフェース、及び、システム管理者等特定のユーザからのモード切替要求を受け付けるインタフェースを有する。
ここで、検知したモードの切替情報は、例えば、モード切替要求対象のユーザグループ、及び、切替要求先のモード示す情報を有し、発信する切替要求信号にもモード切替要求対象のユーザグループ、及び、切替要求先のモードを示す情報を含める。ここでは、モードAからモードBへ切替するため、モードの切替情報と切替要求信号とには、モード切替要求対象のユーザグループと切替要求先のモードであるモードBを示す情報とを有する。
次に、(S202)では、状況監視処理部64よりモード切替要求の信号を受信したモード切替処理部63は、受信したモード切替要求に含まれるモード切替要求対象のユーザグループのレコードをログイン状況テーブル67のユーザID格納領域31から検索する。
次に、(S203)では、モード切替処理部63は、ログイン状況テーブル67の検索したユーザIDのレコードから、ログイン中のモードの情報を取得する。そして、モード切替処理部63は、取得したログイン中のモードに従い、モードが切替要求先とは異なるモードにログインしているか否かを判定する。切替要求先のモードとは異なるモードにログインしているとモード切替処理部63が判定した場合、(S204)へ進む。一方、切替要求先とは異なるモードにログインしていない(切替要求先のモードにログインしている、又は、ログアウト中である)とモード切替処理部63が判定した場合、モードの切替は必要ないため処理を終了する。
次に、(S204)と(S205)とでは、モード切替処理部63は、ログイン状況テーブル67から検索したユーザIDのレコードから、使用中の端末IDの格納領域33、及び、モード切替要求先のモード用認証チケットIDの格納領域(ここでは、モードAからモードBへ切替するため、モードB用の認証チケットIDの格納領域36)を参照し、そのユーザIDが使用中の端末ID、及び、モード切替要求先の認証チケットIDの情報を取得する。
次に、(S206)では、モード切替処理部63は、取得した認証チケットIDに対応する認証チケットを認証チケットデータベース68から取得する。
次に、(S206)では、モード切替処理部63は、取得した認証チケットIDに対応する認証チケットを認証チケットデータベース68から取得する。
そして、(S207)では、モード切替処理部63は、取得した認証チケットをそのユーザIDが使用中の端末IDで特定されるクライアント1に対して、通信制御部66を介しネットワークを通じて送信される。
(S208)では、モード切替処理部63から送信された認証チケットを受信したクライアント1は、切替先のモード用の認証チケットを受信する。つまり、ここでは、これまでログインしていたモードA用の認証チケットが新しく受信したモードB用の認証チケットに置き換えられる。この際、例えば、クライアント1の表示ディスプレイに、モード切替要求によるログインモードの変更が行われることを通知する表示をする。例えば、クライアント1の表示ディスプレイに、モードAからモードBへ変更される旨を表示する。これにより、ユーザはログインのモード変更が要求されたことを確認できる。
一方(S209)では、モード切替処理部63は、認証チケットをクライアント1へ送信した場合、ログイン状況テーブル67の当該ユーザのレコードについてログイン中モードを変更後のモードに更新する。
チケット再配布処理が行われることにより、モードの切替が必要になった場合に、ログイン処理をユーザが行うことなく、ユーザの使用するクライアント1へ新たなモードに対応する認証チケットが送信される。
ここで、上記(1)の認証チケット発行処理の(S105)では、すべてのモードに対応する認証チケットを発行するとした。また、上記(2)(i)のチケット再配布処理の(S204)から(S206)で、上記(S105)で発行した切替先のモードの認証チケットを取得するとした。しかし、これに限らず、例えば、上記(S105)では、認証チケット発行処理部61は、ログイン要求のあったモードのチケットのみを発行する。また、上記(S204)から(S206)では、モード切替処理部63は、ログイン状況テーブル67から検索したユーザIDに基づき、認証チケット発行処理部61に切替先のモードの認証チケットを発行させるとしても構わない。
上記(2)(ii)の認証処理の動作について図8に基づき説明する。
認証処理では、チケット再配布処理により、クライアント1が認証チケット取得後初めてアプリケーションサーバ4へアクセスする際、ユーザが意識することなく認証サーバ2の認証を受けることを可能とする。また、クライアント1が前回アプリケーションサーバ4へアクセスしてから一定時間以上アクセスの無かった場合にも、同様にユーザが意識することなく認証サーバ2の認証を受けることを可能とする。つまり、認証処理では、チケット再配布処理後初めてアクセスする場合、又は、前回アクセスから一定時間以上経過している場合、改めて認証を行う。
認証処理では、チケット再配布処理により、クライアント1が認証チケット取得後初めてアプリケーションサーバ4へアクセスする際、ユーザが意識することなく認証サーバ2の認証を受けることを可能とする。また、クライアント1が前回アプリケーションサーバ4へアクセスしてから一定時間以上アクセスの無かった場合にも、同様にユーザが意識することなく認証サーバ2の認証を受けることを可能とする。つまり、認証処理では、チケット再配布処理後初めてアクセスする場合、又は、前回アクセスから一定時間以上経過している場合、改めて認証を行う。
まず、(S301)では、クライアント1は、アプリケーションサーバ4へ認証チケットを送信してアクセス要求を出す。
次に、(S302)では、アプリケーションサーバ4は、クライアント1が今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとを比較する。そして、今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとが異なる場合、(S304)へ進む。一方、今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとが同一である場合、(S303)へ進む。
次に、(S303)では、アプリケーションサーバ4は、前回アクセス時から所定の時間以上経過したか否かを判定する。前回アクセス時から所定の時間以上経過したとアプリケーションサーバ4が判定した場合、(S304)へ進む。一方、前回アクセス時から所定の時間以上経過していないとアプリケーションサーバ4が判定した場合、改めて認証する必要はないため(S309)へ進む。
次に、(S304)では、アプリケーションサーバ4は、処理形態切替装置6のチケット認証処理部65へクライアント1から受信した認証チケットを送信する。
次に、(S302)では、アプリケーションサーバ4は、クライアント1が今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとを比較する。そして、今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとが異なる場合、(S304)へ進む。一方、今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとが同一である場合、(S303)へ進む。
次に、(S303)では、アプリケーションサーバ4は、前回アクセス時から所定の時間以上経過したか否かを判定する。前回アクセス時から所定の時間以上経過したとアプリケーションサーバ4が判定した場合、(S304)へ進む。一方、前回アクセス時から所定の時間以上経過していないとアプリケーションサーバ4が判定した場合、改めて認証する必要はないため(S309)へ進む。
次に、(S304)では、アプリケーションサーバ4は、処理形態切替装置6のチケット認証処理部65へクライアント1から受信した認証チケットを送信する。
次に、(S305)では、アプリケーションサーバ4から認証チケットを受信したチケット認証処理部65は、受信した認証チケットからユーザIDとそのユーザの認証情報を逆変換により作成する。
そして、(S306)では、生成したユーザIDと認証情報とを認証サーバ2へ送信する。
そして、(S306)では、生成したユーザIDと認証情報とを認証サーバ2へ送信する。
(S307)では、認証サーバ2は、チケット認証処理部65から受信したユーザIDを元に、認証を行う。次に、認証サーバ2は、認証を行った結果作成された認証情報とチケット認証処理部65から受信した認証情報を比較する。比較した結果、それぞれの認証情報が一致する場合、(S308)へ進む。一方、それぞれの認証情報が一致しない場合、(S309)へ進む。
(S308)では、認証サーバ2は、アプリケーションサーバ4に対し、問い合わせのあった認証チケットが正式に許可されたものであることを通知する。一方、(S309)では、認証サーバ2は、アプリケーションサーバ4に対し、問い合わせのあった認証チケットが正式に許可されたものでないことを通知する。
(S308)では、認証サーバ2は、アプリケーションサーバ4に対し、問い合わせのあった認証チケットが正式に許可されたものであることを通知する。一方、(S309)では、認証サーバ2は、アプリケーションサーバ4に対し、問い合わせのあった認証チケットが正式に許可されたものでないことを通知する。
(S310)では、認証サーバ2から問い合わせの認証チケットが正式に許可されたものであるとの通知を受けたアプリケーションサーバ4は、クライアント1へアプリケーションサービスの利用を許可する。一方、(S311)では、認証サーバ2から問い合わせの認証チケットが正式に許可されたものでないとの通知を受けたアプリケーションサーバ4は、クライアント1からのアクセスを拒絶する。
以上説明したように、実施の形態1に係る処理形態切替装置6によれば、モード切替処理部63が、認証チケット発行処理部61と状況監視処理部64と連携することで、ユーザにモード切替のためのログイン操作をさせることなくモードの切換を行う。したがって、実施の形態1に係る処理形態切替装置6によれば、ユーザはログインモードの変更が必要になった場合でも、ログインモードを切替える操作を行う必要がなく、自動でログインモードを変更することが可能となる。
なお、上述したログインモードの自動切替の手順は、モードが2種類の場合を説明しているが、モードは複数あってもよい。
実施の形態2.
実施の形態2では、モードに認証レベルの設定がある場合の認証処理について説明する。
実施の形態2では、モードに認証レベルの設定がある場合の認証処理について説明する。
モードに認証レベルの設定がある場合とは、例えば、利用可能なアプリケーションサービスの範囲、及び、参照可能なデータベースの範囲が広いモードと狭いモードとがある場合である。例えば、モードAとモードBとの2種類あるとき、モードAとモードBを比較した場合、全ユーザにおいて、利用可能なアプリケーションの範囲、及び、参照可能なデータベースの範囲の両方について、モードBよりもモードAの方が限定されているような場合である。このような場合には、モードBを使用していたユーザがモードAを使用するときに、改めて認証をとる必要がない。そこで、モードBからモードAへのモードの切替の場合には認証する処理を省略することで、処理時間の短縮等を図ることが可能である。
図9に基づき、実施の形態2に係る処理形態切替システム100の構成及び機能について説明する。図9は、実施の形態2に係る処理形態切替システム100の構成及び機能を示す図である。
実施の形態2に係る処理形態切替システム100の処理形態切替装置6は、実施の形態1に係る処理形態切替システム100の処理形態切替装置6の機能に加え、認証レベル記憶部69を備える。認証レベル記憶部69は、モードの認証レベルの設定を記憶する。つまり、認証レベル記憶部69は、例えば、各ログインモードの利用可能なアプリケーションサービスの範囲、及び、参照可能なデータベースの範囲の広さの順位情報を記憶装置に記憶する。例えば、順位情報が示す順位が高いほど利用可能なアプリケーションサービスの範囲、及び、参照可能なデータベースの範囲が広い。つまり、全てのユーザの、順位情報が示す順位が高いモードにおけるアクセス範囲は、順位情報の順位が低いモードにおけるアクセス範囲を包含している。
実施の形態2に係る処理形態切替システム100の処理形態切替装置6は、実施の形態1に係る処理形態切替システム100の処理形態切替装置6の機能に加え、認証レベル記憶部69を備える。認証レベル記憶部69は、モードの認証レベルの設定を記憶する。つまり、認証レベル記憶部69は、例えば、各ログインモードの利用可能なアプリケーションサービスの範囲、及び、参照可能なデータベースの範囲の広さの順位情報を記憶装置に記憶する。例えば、順位情報が示す順位が高いほど利用可能なアプリケーションサービスの範囲、及び、参照可能なデータベースの範囲が広い。つまり、全てのユーザの、順位情報が示す順位が高いモードにおけるアクセス範囲は、順位情報の順位が低いモードにおけるアクセス範囲を包含している。
次に、図10に基づき、ログインモードに認証レベルの設定がある場合の認証処理について説明する。図10は、ログインモードに認証レベルの設定がある場合の認証処理の動作を示すフローチャートである。
図10に示すフローチャートは、図8に示すフローチャートと概ね同一である。したがって、図10に示すフローチャートについて図8に示すフローチャートと異なる部分のみ説明する。ここでは、モードAとモードBとの2種類あり、モードAとモードBを比較した場合、全ユーザにおいて、利用可能なアプリケーションの範囲、及び、参照可能なデータベースの範囲の両方において、モードBよりもモードAの方が限定されているものとする。
(S401)と(S402)との処理は、それぞれ(S301)と(S302)との処理と同様である。ここで、(S402)において、今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとが異なる場合、(S403)へ進む。一方、今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとが同一である場合、(S404)へ進む。
次に、(S403)では、アプリケーションサーバ4は、認証チケットがモードA用の認証チケットであるか、モードB用の認証チケットであるかを判定する。モードA用の認証チケットであると判定した場合、以前よりもアクセス範囲が限定されるため、前回アクセス時に使用していた認証チケットと同一であった場合と同様、改めて認証する必要がない。そこで、モードA用の認証チケットであると判定した場合、(S404)へ進む。一方、モードB用の認証チケットであると判定した場合、以前よりもアクセス範囲が広くなるため、改めて認証を行う必要がある。そこで、そこで、モードB用の認証チケットであると判定した場合、(S405)へ進み、改めて認証を行う。
つまり、モードA用の認証チケットであれば、当該ユーザは、それまで参照できていたデータベースの一部が参照できなくなり、また、それまで利用できていたアプリケーションサービスの一部が利用できなくなるため、モードBからモードAへの切替については、その認証チケットを改めて認証することは行わず、前回アクセス時刻から一定時間経過したか否かの判断を行う。そして、前回アクセス時刻から一定時間内であれば、モードA用の認証チケットは信頼性が確保されているものとして、アプリケーションサービスの利用が可能であることをクライアント1に通知する。
一方、モードB用の認証チケットであれば、モードAからモードBへの切替を意味しているため、それまで参照できていなかったデータベースが参照でき、また、利用可能なアプリケーションサービスの範囲が拡大されることから、改めて認証を行う。
(S401)と(S402)との処理は、それぞれ(S301)と(S302)との処理と同様である。ここで、(S402)において、今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとが異なる場合、(S403)へ進む。一方、今回アクセス時に使用している認証チケットと前回アクセス時に使用していた認証チケットとが同一である場合、(S404)へ進む。
次に、(S403)では、アプリケーションサーバ4は、認証チケットがモードA用の認証チケットであるか、モードB用の認証チケットであるかを判定する。モードA用の認証チケットであると判定した場合、以前よりもアクセス範囲が限定されるため、前回アクセス時に使用していた認証チケットと同一であった場合と同様、改めて認証する必要がない。そこで、モードA用の認証チケットであると判定した場合、(S404)へ進む。一方、モードB用の認証チケットであると判定した場合、以前よりもアクセス範囲が広くなるため、改めて認証を行う必要がある。そこで、そこで、モードB用の認証チケットであると判定した場合、(S405)へ進み、改めて認証を行う。
つまり、モードA用の認証チケットであれば、当該ユーザは、それまで参照できていたデータベースの一部が参照できなくなり、また、それまで利用できていたアプリケーションサービスの一部が利用できなくなるため、モードBからモードAへの切替については、その認証チケットを改めて認証することは行わず、前回アクセス時刻から一定時間経過したか否かの判断を行う。そして、前回アクセス時刻から一定時間内であれば、モードA用の認証チケットは信頼性が確保されているものとして、アプリケーションサービスの利用が可能であることをクライアント1に通知する。
一方、モードB用の認証チケットであれば、モードAからモードBへの切替を意味しているため、それまで参照できていなかったデータベースが参照でき、また、利用可能なアプリケーションサービスの範囲が拡大されることから、改めて認証を行う。
(S405)から(S412)までの処理は、(S304)から(S311)までの処理と同様である。
なお、図10に示すチケット認証の手順は、モードが2種類存在する場合を例に説明しているが、モードが複数ある場合でもよい。この場合は、(S403)で認証チケットを判断する処理において、認証レベルが高い方から低い方へのモード切替か否かを判断することにより、モードが2種類の場合と同様の処理となる。
本実施の形態に係る処理形態切替装置6によれば、ユーザが利用可能なアプリケーションサービスがより限定されるモードの切替、あるいは、参照可能なデータベースの範囲がより限定されるモードの切替については、そのためのチケット認証処理部65での処理を省略でき、円滑なログインモード切替が可能となる。
1 クライアント、2 認証サーバ、3 認証チケット発行サーバ、4 アプリケーションサーバ、5 データベース、6 処理形態切替装置、7 他システム用装置、8 ネットワーク、61 認証チケット発行処理部、62 ユーザ情報記憶部、63 モード切替処理部、64 状況監視処理部、65 チケット認証処理部、66 通信制御部、67 ログイン状況テーブル、68 認証チケットデータベース、69 認証レベル記憶部、100 処理形態切替システム、901 LCD、902 K/B、903 マウス、904 FDD、905 CDD、907 データベースA、908 データベースB、909 PC、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、916 サーバA、917 サーバB、918 サーバC、919 外部サーバ、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
Claims (7)
- 複数の処理形態を有するアプリケーションサーバと通信する処理形態切替装置において、
上記複数の処理形態の第1の処理形態の利用を要求したユーザ端末が認証サーバにより上記第1の処理形態を利用可能であると認証された場合に、上記ユーザ端末の端末情報を受信し、上記第1の処理形態の利用に使用する認証チケットである第1の認証チケットを発行して、上記第1の認証チケットを上記ユーザ端末へ通信装置を介して送信する認証チケット発行処理部と、
上記複数の処理形態の第2の処理形態への切替情報を検知して切替要求信号を処理装置により発信する状況監視処理部と、
上記状況監視処理部により切替要求信号が発信された場合、上記認証チケット発行処理部により発行される上記第2の処理形態の利用に使用する認証チケットである第2の認証チケットを取得して上記ユーザ端末へ通信装置を介して送信するモード切替処理部と、
上記ユーザ端末が上記モード切替処理部により送信された第2の認証チケットを利用してアプリケーションサーバへアクセスした場合、上記アプリケーションサーバから上記第2の認証チケットを受信し、上記ユーザ端末が上記第2の処理形態を利用可能であるか否かを上記第2の認証チケットに基づき上記認証サーバに判定させて、判定させた結果を上記アプリケーションサーバへ通知するチケット認証処理部と
を備えることを特徴とする処理形態切替装置。 - 上記認証チケット発行処理部は、上記端末情報を受信した場合、上記複数の処理形態の処理形態毎に認証チケットを発行し、上記第1の処理形態の利用に使用する第1の認証チケットを上記ユーザ端末へ通信装置を介して送信し、
上記処理形態切替装置は、さらに、
上記認証チケット発行処理部が発行した全ての認証チケットを記憶装置に記憶する認証チケット記憶部を備え、
上記モード切替処理部は、上記状況監視処理部により切替要求信号が発信された場合、上記認証チケット記憶部が記憶した認証チケットから上記第2の認証チケットを取得して上記ユーザ端末へ通信装置を介して送信する
ことを特徴とする請求項1記載の処理形態切替装置。 - 上記認証チケット発行処理部は、上記端末情報とともに、上記認証サーバが上記ユーザ端末の認証に使用した認証情報を受信し、上記認証情報を含めて認証チケットを発行し、
上記チケット認証処理部は、上記アプリケーションサーバから上記認証チケットを受信した場合、上記認証チケットから上記認証情報を作成して認証サーバへ問合せることにより、上記ユーザ端末が上記第2の処理形態を利用可能であるか否かを判定させる
ことを特徴とする請求項1記載の処理形態切替装置。 - 上記状況監視処理部は、所定の文字列を記憶装置に記憶し、所定の装置から受信したデータに上記所定の文字列が存在するか否かを判定し、上記所定の文字列が存在した場合、上記第2の処理形態への切替情報であると検知する
ことを特徴とする請求項1記載の処理形態切替装置。 - 上記状況監視処理部は、所定のユーザにより入力された上記第2の処理形態への切替要求を受信した場合、上記第2の処理形態への切替情報であると検知する
ことを特徴とする請求項1記載の処理形態切替装置。 - 上記処理形態切替装置は、さらに、
上記複数の処理形態のいずれかの処理形態を利用しているユーザ端末の端末情報と、ユーザ端末が利用している処理形態とを記憶装置に記憶するログイン状況記憶部を備え、
上記モード切替処理部は、上記ログイン状況記憶部が記憶した端末情報とユーザ端末が利用している処理形態とから、上記第2の処理形態を利用していないユーザ端末を特定し、上記ユーザ端末へ上記第2の認証チケット送信する
ことを特徴とする請求項1記載の処理形態切替装置。 - 上記処理形態切替装置は、さらに、
上記各処理形態の順位情報を記憶装置に記憶する認証レベル記憶部を備え、
上記モード切替処理部は、上記ログイン状況記憶部が記憶した端末情報とユーザ端末が利用している処理形態とから、上記認証レベル記憶部が記憶した順位情報に基づき、上記第2の処理形態よりも低い順位の処理形態を利用しているユーザ端末を特定し、上記ユーザ端末へ上記第2の認証チケット送信する
ことを特徴とする請求項6記載の処理形態切替装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007032537A JP2008197919A (ja) | 2007-02-13 | 2007-02-13 | 処理形態切替装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007032537A JP2008197919A (ja) | 2007-02-13 | 2007-02-13 | 処理形態切替装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008197919A true JP2008197919A (ja) | 2008-08-28 |
Family
ID=39756799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007032537A Pending JP2008197919A (ja) | 2007-02-13 | 2007-02-13 | 処理形態切替装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008197919A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011210124A (ja) * | 2010-03-30 | 2011-10-20 | Ntt Data Corp | 共通id発行システム、サービス提供システム、及び共通id発行方法 |
| JP2012190158A (ja) * | 2011-03-09 | 2012-10-04 | Murata Mach Ltd | 中継サーバ及び中継通信システム |
| JP2022536422A (ja) * | 2020-02-24 | 2022-08-16 | センストーン インコーポレイテッド | 仮想コードを用いたユーザ設定情報認証方法、プログラム及び装置 |
-
2007
- 2007-02-13 JP JP2007032537A patent/JP2008197919A/ja active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011210124A (ja) * | 2010-03-30 | 2011-10-20 | Ntt Data Corp | 共通id発行システム、サービス提供システム、及び共通id発行方法 |
| JP2012190158A (ja) * | 2011-03-09 | 2012-10-04 | Murata Mach Ltd | 中継サーバ及び中継通信システム |
| JP2022536422A (ja) * | 2020-02-24 | 2022-08-16 | センストーン インコーポレイテッド | 仮想コードを用いたユーザ設定情報認証方法、プログラム及び装置 |
| JP7297107B2 (ja) | 2020-02-24 | 2023-06-23 | センストーン インコーポレイテッド | 仮想コードを用いたユーザ設定情報認証方法、プログラム及び装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9288213B2 (en) | System and service providing apparatus | |
| JP2006155263A (ja) | ワンタイムid認証システム、認証サーバ、変換サーバ、ワンタイムid認証方法及びプログラム | |
| JP4855516B2 (ja) | アクセス制御プログラム、アクセス制御装置およびアクセス制御方法 | |
| JP2007323340A (ja) | アカウントリンクシステム,アカウントリンク用コンピュータ,およびアカウントリンク方法 | |
| JPWO2005006204A1 (ja) | データベースアクセス制御方法、データベースアクセス制御装置、代理処理サーバ装置、データベースアクセス制御のためのプログラム、および該プログラムを記録した記録媒体 | |
| US20090198987A1 (en) | Information processing apparatus, information processing method, and recording medium storing computer program | |
| KR20130009624A (ko) | 네트워크 서비스 교환을 제공하는 데 사용하는 방법 및 시스템 | |
| JP2008257492A (ja) | 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム | |
| JP6099384B2 (ja) | 情報通信システム及び認証装置及び情報通信システムのアクセス制御方法及びアクセス制御プログラム | |
| JP2014153805A (ja) | 情報処理システム、情報処理装置、認証方法及びプログラム | |
| JP2007058502A (ja) | 端末管理システム | |
| JP5452374B2 (ja) | 認証装置、認証方法及び認証プログラム | |
| JP2011175402A (ja) | アクセス制御連携システム及びアクセス制御連携方法 | |
| US9032541B2 (en) | Information processing system, information processing apparatus, and computer-readable storage medium | |
| JP2008197919A (ja) | 処理形態切替装置 | |
| JP2007157024A (ja) | アクセス権限管理装置及びアクセス権限管理方法ならびにそのプログラム | |
| JP6004454B2 (ja) | データベースへのアクセスを制御する装置及び方法 | |
| JP5289104B2 (ja) | 認証先選定システム | |
| JP2007011942A (ja) | ユーザー認証情報連携システム | |
| EP3827362A1 (en) | Web browser incorporating social and community features | |
| JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
| JP2010039763A (ja) | サーバシステム | |
| JP6578770B2 (ja) | ライセンス数管理システム、ライセンス数管理装置、ライセンス数管理プログラムおよびライセンス数管理方法 | |
| JP6288241B2 (ja) | サービス提供方法、サービス提供装置、及び、サービス提供プログラム | |
| JP5660986B2 (ja) | データ処理システム及びデータ処理方法及びプログラム |