JP2008299467A - ユーザ認証情報管理装置及びユーザ認証プログラム - Google Patents
ユーザ認証情報管理装置及びユーザ認証プログラム Download PDFInfo
- Publication number
- JP2008299467A JP2008299467A JP2007142874A JP2007142874A JP2008299467A JP 2008299467 A JP2008299467 A JP 2008299467A JP 2007142874 A JP2007142874 A JP 2007142874A JP 2007142874 A JP2007142874 A JP 2007142874A JP 2008299467 A JP2008299467 A JP 2008299467A
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- unit
- target resource
- processing unit
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】認証サーバを不要とし、管理者に作業負荷をかけずにシングルサインオンのパスワード認証が可能な装置を提供する。
【解決手段】入力部1は対象リソースの指定を受け付け、要求処理部3は対象リソースにアクセス要求を送信するとともに認証情報要求を受信し、登録確認処理部5は認証情報要求が受信されると記憶部51に対し関連IDの存在を確認し、要求処理部3は関連IDが存在しない場合は対象リソースの認証情報の入力要求を表示部2に表示し認証情報が入力されると対象リソースに送信し、関連認証情報管理部90は入力された認証情報と対象リソースと関連IDとが関連認証情報として記憶部81に登録があるかを確認し、登録のない場合は関連IDを生成し、関連IDと対象リソースと認証情報とを関連認証情報として記憶部81に登録し、関連認証情報の関連IDを登録確認処理部5に出力し、登録確認処理部5は関連IDを記憶部51に記憶する。
【選択図】図3
【解決手段】入力部1は対象リソースの指定を受け付け、要求処理部3は対象リソースにアクセス要求を送信するとともに認証情報要求を受信し、登録確認処理部5は認証情報要求が受信されると記憶部51に対し関連IDの存在を確認し、要求処理部3は関連IDが存在しない場合は対象リソースの認証情報の入力要求を表示部2に表示し認証情報が入力されると対象リソースに送信し、関連認証情報管理部90は入力された認証情報と対象リソースと関連IDとが関連認証情報として記憶部81に登録があるかを確認し、登録のない場合は関連IDを生成し、関連IDと対象リソースと認証情報とを関連認証情報として記憶部81に登録し、関連認証情報の関連IDを登録確認処理部5に出力し、登録確認処理部5は関連IDを記憶部51に記憶する。
【選択図】図3
Description
この発明は、シングルサインオンを可能とするユーザ認証情報管理装置に関する。
近年の情報化に伴い、様々な作業がパーソナルコンピュータ等から実施できるようになっている。パーソナルコンピュータを使用する作業に関して、例えば、コンピュータネットワークでは、通常、ネットワークを通して利用可能なWebコンテンツを提供しているサーバ(以下、Webサーバと呼ぶ)によるWebコンテンツ等の複数のリソースへのアクセスや、その利用権限をユーザに応じて制限している。このため、ユーザは各リソースへアクセスする際にユーザ名やパスワード等の情報を入力して、その都度認証を得る必要があった。しかし、個々のリソースへアクセスする度にユーザ名やパスワード等の情報を入力する操作は、ユーザにとって大変煩わしく、またセキュリティ上の観点からリソース毎に異なるパスワードを設定していると、そのリソースの数だけパスワードを覚えておく必要があるために、必ずしも利便性の良いものではなかった。そこで、近年、このような複数のリソースにアクセスする際、ユーザIDやパスワード等といったユーザ認証(パスワード認証)に必要な情報(以下、ユーザ管理情報と呼ぶ)を認証サーバにて一元管理することで、一度だけ認証を行うことで、あらかじめ認証サーバの管理者によって設定されたアクセス許可されている全てのリソースを利用できる「シングルサインオン」と呼ばれる認証方法が知られている(例えば、特許文献1)。
特開2000−259566号公報
しかし、上記のように認証サーバにてユーザ管理情報を一元管理する方法では、認証サーバに障害が発生した場合に、各リソースに対してユーザ認証が実施できないという課題があった。
また、認証サーバの管理者は、あらかじめシングルサインオンを許可するリソース(Webサービスや業務アプリケーションなど)とユーザ管理情報(ユーザIDやパスワード等)とを認証サーバ内に設定する必要があり、管理者の作業負荷が高くなる課題もあった。
また、管理者が事前準備の設定作業を実施していたため、一般のユーザ自身がシングルサインオンを許可するリソースを任意に決めることができなかった。
本発明は、ユーザ管理情報を一元管理する認証サーバを用いることなく、管理者の作業負荷をかけずにシングルサインオン手段のパスワード認証方法を提供することを目的とする。
この発明のユーザ認証情報管理装置は、
表示部と、
識別子である関連IDを記憶する第1記憶部と、
情報を記憶する第2記憶部と、
受付部と、
アクセス要求処理部と、
関連ID記憶処理部と、
関連認証情報管理部と
を備え、
前記受付部は、
ユーザが指定するリソースである対象リソースの指定を受け付け、
前記アクセス要求処理部は、
前記受付部が受け付けた対象リソースにアクセスを要求するアクセス要求を送信するとともにアクセス要求に対して対象リソースから認証情報を要求する認証情報要求を受信し、
前記関連ID記憶処理部は、
前記アクセス要求処理部が対象リソースから認証情報要求を受信すると、前記第1記憶部に関連IDが記憶されているかどうかを確認し、
前記アクセス要求処理部は、
前記関連ID記憶処理部による確認の結果、前記第1記憶部に関連IDが記憶されていない場合には、前記受付部が受け付けた対象リソースの認証情報の入力を要求する入力要求を前記表示部に表示して前記受付部からの認証情報の入力をユーザに促し、前記受付部から対象リソースの認証情報が入力されると、入力された認証情報を対象リソースに送信し、
前記関連認証情報管理部は、
前記受付部から入力された認証情報とこの認証情報に対応する対象リソースと関連IDとが互いに関連付けられた関連認証情報として前記第2記憶部に登録されているかどうかを確認し、登録されていない場合は関連IDを生成し、生成された関連IDと対象リソースとこの対象リソースに対応する認証情報とを関連付けることにより関連認証情報として前記第2記憶部に登録し、登録された関連認証情報に含まれる関連IDを前記関連ID記憶処理部に出力し、
前記関連ID記憶処理部は、
前記関連認証情報管理部が出力した関連IDを前記第1記憶部に記憶することを特徴とする。
表示部と、
識別子である関連IDを記憶する第1記憶部と、
情報を記憶する第2記憶部と、
受付部と、
アクセス要求処理部と、
関連ID記憶処理部と、
関連認証情報管理部と
を備え、
前記受付部は、
ユーザが指定するリソースである対象リソースの指定を受け付け、
前記アクセス要求処理部は、
前記受付部が受け付けた対象リソースにアクセスを要求するアクセス要求を送信するとともにアクセス要求に対して対象リソースから認証情報を要求する認証情報要求を受信し、
前記関連ID記憶処理部は、
前記アクセス要求処理部が対象リソースから認証情報要求を受信すると、前記第1記憶部に関連IDが記憶されているかどうかを確認し、
前記アクセス要求処理部は、
前記関連ID記憶処理部による確認の結果、前記第1記憶部に関連IDが記憶されていない場合には、前記受付部が受け付けた対象リソースの認証情報の入力を要求する入力要求を前記表示部に表示して前記受付部からの認証情報の入力をユーザに促し、前記受付部から対象リソースの認証情報が入力されると、入力された認証情報を対象リソースに送信し、
前記関連認証情報管理部は、
前記受付部から入力された認証情報とこの認証情報に対応する対象リソースと関連IDとが互いに関連付けられた関連認証情報として前記第2記憶部に登録されているかどうかを確認し、登録されていない場合は関連IDを生成し、生成された関連IDと対象リソースとこの対象リソースに対応する認証情報とを関連付けることにより関連認証情報として前記第2記憶部に登録し、登録された関連認証情報に含まれる関連IDを前記関連ID記憶処理部に出力し、
前記関連ID記憶処理部は、
前記関連認証情報管理部が出力した関連IDを前記第1記憶部に記憶することを特徴とする。
この発明により、ユーザ管理情報を一元管理する認証サーバを不要とし、管理者に作業負荷をかけずにシングルサインオンのパスワード認証が可能な装置を提供できる。
実施の形態1.
図1〜図8を参照して実施の形態1を説明する。
図1〜図8を参照して実施の形態1を説明する。
図1は、コンピュータであるユーザ認証情報管理装置100の外観の一例を示す図である。図1において、ユーザ認証情報管理装置100は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、FDD817(Flexible・Disk・ Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
システムユニット830は、コンピュータであり、また、ネットワークに接続されている。ネットワークには、リソースを提供するサーバ200と端末装置が接続されている。ユーザ認証情報管理装置100は、ネットワークを介してサーバ200、端末装置と通信可能である。ユーザ認証情報管理装置100は、サーバ200の保有するリソースを利用する。
図2は、実施の形態1におけるユーザ認証情報管理装置100のハードウェア資源の一例を示す図である。図2において、ユーザ認証情報管理装置100は、プログラムを実行するCPU810(中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部の一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ819などは、出力部、出力装置の一例である。
通信ボード816は、ネットワーク(LAN等)に接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
上記プログラム群823には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
ファイル群824には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明する情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明においては、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
図3は、実施の形態1に係るユーザ認証情報管理装置100のブロック図である。ユーザ認証情報管理装置100では、初回アクセス時のみユーザが認証情報(ユーザIDとパスワード)を入力することで自動的に認証情報が登録/関連付けられる。このため、次回以降のアクセス時は1つのリソースに対してのみ認証情報を手入力すれば、後は関連付けられているリソースへの認証情報の入力は不要となるシングルサインオンを実現することができる。
図3に示すように、ユーザ認証情報管理装置100は、入力部1(受付部)、関連付け設定画面表示部2(表示部)、アクセス要求処理部3、認証情報設定部4、関連認証情報登録確認処理部5(関連ID記憶処理部)、実行関連ID記憶部51(第1記憶部)、関連認証情報アクセス部8、関連認証情報記憶部81(第2記憶部)、関連ID生成部9を備える。なお、関連認証情報アクセス部8と関連ID生成部9とは、関連認証情報管理部90を構成する。
(1)入力部1は、ユーザがキーボード/マウス等を用いてアクセス対象のリソースを選択したり、認証要求に応じてユーザIDとパスワード等を入力する。
(2)関連付け設定画面表示部2は、ユーザにアクセス対象の対象リソースを選択させるための画面や、アクセス対象の対象リソースからのパスワード認証要求に応じてログイン画面を表示する。
(3)アクセス要求処理部3は、関連付け設定画面表示部2上でユーザが入力部1を用いて選択したリソースに対して、アクセス要求を出したりアクセス対象リソースからのパスワード認証要求を受ける。
(4)認証情報設定部4は、シングルサインオンを実現する際に関連認証情報記憶部81から抽出したユーザIDやパスワード等といった「認証情報」を関連付け設定画面表示部2に表示されたログイン画面に自動セットする。
(5)関連認証情報登録確認処理部5は、認証情報設定部4からの要求によりアクセスしたリソースが認証済みのリソースと関連付けられているかどうかを確認する。
(6)実行関連ID記憶部51は、ユーザ認証情報管理装置100を用いて最初にアクセスしたリソースの関連IDを格納する。
(7)関連認証情報記憶部81は、シングルサインオンを実現するために関連IDを割り付けたリソースのリソース名およびユーザIDやパスワード等の認証情報を記録する。
(8)関連認証情報アクセス部8は、実行関連ID記憶部51から抽出した関連IDをキーに、関連認証情報記憶部81から該当するリソースと認証情報を抽出したり、関連認証情報記憶部81へ関連するリソースや認証情報を登録する。
(9)関連ID生成部9は、新たにリソース名や認証情報を登録する際にそれらをグルーピングするための識別子としての関連IDを生成する。
(2)関連付け設定画面表示部2は、ユーザにアクセス対象の対象リソースを選択させるための画面や、アクセス対象の対象リソースからのパスワード認証要求に応じてログイン画面を表示する。
(3)アクセス要求処理部3は、関連付け設定画面表示部2上でユーザが入力部1を用いて選択したリソースに対して、アクセス要求を出したりアクセス対象リソースからのパスワード認証要求を受ける。
(4)認証情報設定部4は、シングルサインオンを実現する際に関連認証情報記憶部81から抽出したユーザIDやパスワード等といった「認証情報」を関連付け設定画面表示部2に表示されたログイン画面に自動セットする。
(5)関連認証情報登録確認処理部5は、認証情報設定部4からの要求によりアクセスしたリソースが認証済みのリソースと関連付けられているかどうかを確認する。
(6)実行関連ID記憶部51は、ユーザ認証情報管理装置100を用いて最初にアクセスしたリソースの関連IDを格納する。
(7)関連認証情報記憶部81は、シングルサインオンを実現するために関連IDを割り付けたリソースのリソース名およびユーザIDやパスワード等の認証情報を記録する。
(8)関連認証情報アクセス部8は、実行関連ID記憶部51から抽出した関連IDをキーに、関連認証情報記憶部81から該当するリソースと認証情報を抽出したり、関連認証情報記憶部81へ関連するリソースや認証情報を登録する。
(9)関連ID生成部9は、新たにリソース名や認証情報を登録する際にそれらをグルーピングするための識別子としての関連IDを生成する。
(リソース新規登録:動作01)
まず、リソースの関連付けを行う際の動作(動作01ということとする)を説明する。図4は、ユーザ認証情報管理装置100の動作を示すフローチャートである。また、図5は、「動作01」のシーケンス図である。図4、図5を参照して、「動作01」を説明する。「動作01」は、図4において、S101〜S104、S105のNO、S105a,S112〜S114、S115のNO、S116aのNO,S118,S119,S117のルートである。
まず、リソースの関連付けを行う際の動作(動作01ということとする)を説明する。図4は、ユーザ認証情報管理装置100の動作を示すフローチャートである。また、図5は、「動作01」のシーケンス図である。図4、図5を参照して、「動作01」を説明する。「動作01」は、図4において、S101〜S104、S105のNO、S105a,S112〜S114、S115のNO、S116aのNO,S118,S119,S117のルートである。
ユーザは、入力部1を用いてユーザ認証情報管理装置100を起動する。起動によりユーザ認証情報管理装置100は、関連付け設定画面表示部2にアクセス対象リソース(単に対象リソースともいう)を選択する選択画面を表示する(S101)。ユーザは、「アクセス対象リソース」を選択し、もしくはアドレス(URL)を入力して、アクセス要求処理部3に通知する。ここで「アクセス対象リソース」とは、例えば、Webサービスやユーザ端末上で動作するアプリケーション、およびアプリケーションにて作成したワークファイル等である。
関連付け設定画面表示部2は、ユーザ端末内もしくはネットワークに接続された他の端末内のフォルダ構成やファイル名をツリー構造として表示しアクセス対象リソースを選択することができ、また、WebサービスへアクセスするためのURLも入力することができる。
アクセス要求処理部3は、関連付け設定画面表示部2にてユーザにより選択されたアクセス対象リソース(例えば、リソースAとする)へ「アクセス要求」を出す(S102)。その「アクセス要求」を受け取ったアクセス対象リソースAは、本人確認をするためにパスワード認証要求をアクセス要求処理部3に返してくるので、アクセス要求処理部3は、そのパスワード認証要求を受け取ると(S103)、関連認証情報登録確認処理部5に対して実行中(認証済み)リソースの有無確認(リソース名を含む)を依頼する(S103a)。
関連認証情報登録確認処理部5は、リソース名を含む有無確認を受信すると、実行関連ID記憶部51に関連IDが登録されているかどうかをチェックし(S104)、関連ID(後述する)が登録されていない場合は(S105のNO)、関連認証情報登録確認処理部5は、アクセス要求処理部3に「無し」を返す(S105a)。アクセス要求処理部3は、関連認証情報登録確認処理部5から「無し」を受け取ると、関連付け設定画面表示部2にログイン画面の表示を要求する(S112)。ユーザは、表示されたログイン画面にアクセス対象リソースAにログインするためのユーザIDとパスワードの認証情報を入力する。
アクセス要求処理部3は、ユーザによって入力された認証情報をアクセス対象リソースAに送信する(パスワード認証に成功すればアクセス対象リソースAが起動する)と共に(S113)、関連認証情報登録確認処理部5にアクセス対象リソースAのリソース名と認証情報を渡し認証情報の登録依頼を出す。関連認証情報登録確認処理部5は、認証情報の登録依頼を受け取ると関連認証情報アクセス部8に認証情報の新規登録を指示する(S113a)。
関連認証情報アクセス部8は、関連認証情報登録確認処理部5からの新規登録の指示を受けて、受け取ったリソース名(リソースA)と認証情報とが関連認証情報として関連認証情報記憶部81に登録されているかどうかを確認する(S114)。図8は、関連認証情報記憶部81の関連認証情報のデータ構成を示す図である。この設例では、現時点では、図8の関連認証情報は何も登録されていないものとする。登録されていない場合は(S115のNO)、関連認証情報アクセス部8は、さらに、その指示が関連IDをキーとしているかどうかを判定する(S116a)。この場合は、関連IDをキーとしていないのでS118に進み、関連認証情報アクセス部8は、関連ID生成部9に対して関連IDの新規作成を依頼する(S118)。関連認証情報アクセス部8は、関連ID生成部9で作成された関連ID(例えば、0001)と関連認証情報登録確認処理部5から受け取ったリソース名(A)と認証情報とを関連認証情報記憶部81に登録する。例えば図8の1行目のように、関連認証情報アクセス部8は、「0001、リソースA、pas+swo#rd」と登録する。そして、関連認証情報アクセス部8は、認証情報の登録処理が完了すると新規作成した関連IDを関連認証情報登録確認処理部5に通知する(S119)。
関連認証情報登録確認処理部5は、関連認証情報アクセス部8から通知された関連IDを実行関連ID記憶部51に登録し(S117)、認証情報の登録処理が完了したことをアクセス要求処理部3に通知する。実行関連ID記憶部51に登録された関連IDはユーザ認証情報管理装置が終了する際に、システムが自動的に削除する。
(リソースBの関連付け:動作02)
次に、関連付けるリソースの認証情報を登録する際の動作(動作02ということとする)について説明する。図6は、「動作02」のシーケンス図である。図4、図6を参照して、「動作02」を説明する。「動作02」は、図4において、S101〜S104、S105のYES、S106〜S107、S108のNO、S108a,S112〜S114、S115のNO,S116aのYES,S119,S117のルートである。
次に、関連付けるリソースの認証情報を登録する際の動作(動作02ということとする)について説明する。図6は、「動作02」のシーケンス図である。図4、図6を参照して、「動作02」を説明する。「動作02」は、図4において、S101〜S104、S105のYES、S106〜S107、S108のNO、S108a,S112〜S114、S115のNO,S116aのYES,S119,S117のルートである。
前記リソースAの認証情報登録処理の後に、引き続いてユーザは関連付け設定画面表示部2からリソースAと関連付けたいアクセス対象リソース(この例では、リソースBとする)を選択し、アクセス要求処理部3に通知する(S101)。
アクセス要求処理部3はアクセス対象リソースBに対してアクセス要求を出し(S102)、そのアクセス要求を受け取ったアクセス対象リソースBは、本人確認をするためにパスワード認証要求をアクセス要求処理部3に返してくるので、アクセス要求処理部3はその要求を受け取ると(S103)、関連認証情報登録確認処理部5に対して実行中(認証済み)のリソースの有無確認(リソース名Bを含む)を依頼する(S103a)。
関連認証情報登録確認処理部5は、リソース名Bを含む有無確認を受信すると(S104)、実行関連ID記憶部51に関連IDが登録されているかどうかをチェックする(S105)。この場合、関連ID(0001)が登録されている。(動作01のS117)、関連認証情報登録確認処理部5は、先にリソースAを登録した際に割り当てた関連ID(0001)を実行関連ID記憶部51から抽出する(S106)。
関連認証情報登録確認処理部5は、抽出した関連ID(0001)とリソース名(B)とをキーに、リソースBの「認証情報」が関連認証情報記憶部81に既に登録されているかどうかの確認を関連認証情報アクセス部8に指示する(S106a)。この指示には、関連ID(0001)とリソース名(B)とを含む。
関連認証情報アクセス部8は、関連認証情報登録確認処理部5から受け取った指示に含まれる関連ID(0001)とリソース名(B)とをキーにして、関連認証情報記憶部81に該当するリソースBが登録されているかどうかをチェックする(S107)。この例では、登録されていない。該当するリソースBが登録されていない場合(S108のNO)は、関連認証情報アクセス部8は、関連認証情報登録確認処理部5に「未登録」を返す。関連認証情報登録確認処理部5は、「未登録」をアクセス要求処理部3に返す(S108a)。
アクセス要求処理部3は、関連認証情報登録確認処理部5から「未登録」を受け取ると、関連付け設定画面表示部2にログイン画面の表示を要求する(S112)。ユーザは、表示されたログイン画面にアクセス対象リソースBにログインするためのユーザIDとパスワードの認証情報(B)を入力する。
アクセス要求処理部3は、ユーザによって入力された認証情報(B)をアクセス対象リソースBに送信すると共に、関連認証情報登録確認処理部5にアクセス対象リソースBのリソース名(B)と認証情報(B)を渡し認証情報(B)の登録依頼を出す(S113)。
関連認証情報登録確認処理部5は、認証情報(B)の登録依頼を受け取ると、実行関連ID記憶部51から抽出した関連ID(0001)をキーに、認証情報の新規登録を関連認証情報アクセス部8に指示する(S113a)。
関連認証情報アクセス部8は、受信した関連ID(0001)とリソース名(B)とをもとに、関連ID(0001)についてリソース名(B)の認証情報(B)が関連認証情報記憶部81に登録されているかどうかを確認する(S114)。この設例では、この時点では登録されていない。そこでS115のNOからS116aに処理が進み、関連認証情報アクセス部8は、この指示が、関連IDをキーとした指示かどうかを判定する。この場合、関連IDをキーとした指示であるので(S116aのYES)、関連認証情報アクセス部8は、関連認証情報登録確認処理部5からの指示を受けて、関連ID(0001)とリソース名(B)と認証情報(B)とを関連認証情報記憶部81に登録し、リソースAと関連付ける(S119)。これは、図8において、2行目のデータを登録した場合が該当する。関連認証情報アクセス部8は、認証情報の登録処理が完了したことを関連IDを関連認証情報登録確認処理部5に通知する。関連認証情報登録確認処理部5は、アクセス要求処理部3に認証情報の登録処理が完了したことを通知する。なお、リソースBの認証情報を登録した時の関連ID(0001)が、既に実行関連ID記憶部51に設定済みの場合は、実行関連ID記憶部51への再登録処理は実施しない。
(シングルサインオンの動作:動作03)
最後に、関連付けた認証情報を用いてシングルサインオンする際の動作(動作03ということとする)を説明する。図7は、「動作03」のシーケンス図である。図4、図7を参照して、「動作03」を説明する。以下に述べるリソースAのルートは、図4においてS101〜S104、S105のNO、S105a,S112〜S114、S115のYES、S116,S117である。また、リソースBのルートは、S101〜S104、S105のYES、S106〜S107、S108のYES、S109〜S111である。
最後に、関連付けた認証情報を用いてシングルサインオンする際の動作(動作03ということとする)を説明する。図7は、「動作03」のシーケンス図である。図4、図7を参照して、「動作03」を説明する。以下に述べるリソースAのルートは、図4においてS101〜S104、S105のNO、S105a,S112〜S114、S115のYES、S116,S117である。また、リソースBのルートは、S101〜S104、S105のYES、S106〜S107、S108のYES、S109〜S111である。
(リソースAについて)
ユーザは、入力部1を用いてユーザ認証情報管理装置100を起動して関連付け設定画面表示部2を表示し、アクセス対象のリソース(リソースAとする)を選択してアクセス要求処理部3に通知する(S101)。
ユーザは、入力部1を用いてユーザ認証情報管理装置100を起動して関連付け設定画面表示部2を表示し、アクセス対象のリソース(リソースAとする)を選択してアクセス要求処理部3に通知する(S101)。
アクセス要求処理部3は、アクセス対象リソースAに対してアクセス要求を出し(S102)、そのアクセス要求を受け取ったアクセス対象リソースAは、本人確認をするためにパスワード認証要求をアクセス要求処理部3に返してくるので、アクセス要求処理部3は、その要求を受け取ると(S103)、関連認証情報登録確認処理部5に対して実行中(認証済み)のリソースの有無確認を依頼する(S103a)。
関連認証情報登録確認処理部5は、実行関連ID記憶部51に関連IDが登録されているかどうかをチェックする(S104)。この場合は、登録されていない。関連認証情報登録確認処理部5は、関連IDが登録されていない場合は(S105のNO)、アクセス要求処理部3に「無し」を返す(S105a)。
アクセス要求処理部3は、関連認証情報登録確認処理部5から「無し」を受け取ると関連付け設定画面表示部2にログイン画面の表示を要求する(S112)。
ユーザは、表示されたログイン画面にアクセス対象リソースAにログインするための「ユーザID」と「パスワード」との認証情報(A)を入力する。
アクセス要求処理部3は、ユーザによって入力された認証情報(A)をアクセス対象リソースAに送信すると共に、関連認証情報登録確認処理部5にアクセス対象リソースAのリソース名(A)と認証情報(A)を渡し、認証情報(A)の登録依頼を出す(S113)。
関連認証情報登録確認処理部5は、認証情報(A)の登録依頼を受け取ると、関連認証情報アクセス部8に関連IDの新規作成と認証情報(A)の「新規登録」を指示する(S113a)。
関連認証情報アクセス部8は、関連認証情報登録確認処理部5から「新規登録」の指示を受けて、受け取ったリソース名(A)と認証情報(A)が関連認証情報記憶部81に登録されているかどうかを確認する(S114)。この場合は、前述の動作02のS119においてリソース名(A)と認証情報(A)とが関連認証情報記憶部81に登録されている(S115のYES)。この場合、図8の1行目のレコードが該当する。よって、関連認証情報アクセス部8は、リソース名(A)と認証情報(A)に割り当てられている関連ID(0001)を関連認証情報記憶部81から抽出して、関連認証情報登録確認処理部5に通知する(S116)。
関連認証情報登録確認処理部5は、受け取った関連ID(0001)を実行関連ID記憶部51に登録する(S117)。
(続いてリソースBについて)
次にユーザが入力部1を用いて関連付け設定画面表示部2にて「リソースB」を選択してアクセス要求処理部3に通知する(S101)。
次にユーザが入力部1を用いて関連付け設定画面表示部2にて「リソースB」を選択してアクセス要求処理部3に通知する(S101)。
アクセス要求処理部3は、アクセス対象リソースBに対してアクセス要求を出し(S102)、そのアクセス要求を受け取ったアクセス対象リソースBは、本人確認をするためにパスワード認証要求をアクセス要求処理部3に返してくるので、アクセス要求処理部3はその要求を受け取ると(S103)、関連認証情報登録確認処理部5に対して実行中(認証済み)のリソースの有無確認(リソース名(B)を含む)を依頼する(S103a)。
関連認証情報登録確認処理部5は、リソース名Bを含む有無確認を受け取ると、実行関連ID記憶部51に関連IDが登録されているかどうかをチェックする(S104、S105)。この設例では、現在リソースAは実行中であるため実行関連ID記憶部51に関連ID(0001)が登録されている。関連認証情報登録確認処理部5は、実行関連ID記憶部51から関連ID(0001)を抽出して(S106)、抽出した関連ID(0001)にリソース名(B)が関連付けられているかどうかの確認依頼を関連認証情報アクセス部8に出す(S106a)。
関連認証情報アクセス部8は依頼を受け取ると,関連ID(0001)とリソース名(B)をキーに関連認証情報記憶部81内を検索して(S107)、該当するものがあればその認証情報(ユーザIDとパスワード)を抽出する(S109)。この設例では図8の2行目のレコードが該当する。関連認証情報アクセス部8は、抽出したユーザID(0001)とパスワードの認証情報(B)(name111,abcd+012)とを関連認証情報登録確認処理部5に通知する。
関連認証情報登録確認処理部5は受け取った認証情報を認証情報設定部4へ渡し、認証情報設定部4は関連付け設定画面表示部2に表示されているログイン画面に受け取った認証情報を自動セットする(S110)。これにより、ユーザが認証情報を手入力せずにリソースBに対するパスワード認証が実施できる。
なお、リソースにアクセスする順番をリソースBからリソースAに変更した場合でも、同様に、最初にリソースBへの認証情報を入力してパスワード認証に成功していれば、次にリソースAにアクセスした際は関連認証情報記憶部81に格納されている認証情報がログイン画面に自動セットされシングルサインオンが実現される。
これにより、アクセス要求処理部3は、関連付けられたリソースへアクセスする場合、どのリソースからアクセスしても1度だけ認証情報を入力すれば、他のリソースにアクセスした際はユーザに認証情報の入力を要求することなくパスワード認証が実施することができる。
実施の形態2.
図9を参照して実施の形態2を説明する。図9は、関連認証情報を変更可能な実施の形態2に係るユーザ認証情報管理装置100のブロック図である。実施の形態2のユーザ認証情報管理装置100は、リソース側のパスワードが変更された場合に、これに対応するため、関連認証情報記憶部81に登録されているリソースの認証情報を変更する機能を有する。
図9を参照して実施の形態2を説明する。図9は、関連認証情報を変更可能な実施の形態2に係るユーザ認証情報管理装置100のブロック図である。実施の形態2のユーザ認証情報管理装置100は、リソース側のパスワードが変更された場合に、これに対応するため、関連認証情報記憶部81に登録されているリソースの認証情報を変更する機能を有する。
図9のユーザ認証情報管理装置100は、図3のユーザ認証情報管理装置100に対して、さらに関連認証情報一覧抽出部10と、関連認証情報変更部11とを備えている。図9において、関連認証情報一覧抽出部10は、関連認証情報記憶部81に登録されている関連認証情報の一覧を抽出して関連付け設定画面表示部2に渡す。関連認証情報変更部11は、入力部1を用いてユーザが関連付け設定画面表示部2に入力した変更後のパスワードを受け取って関連認証情報記憶部81の関連認証情報を更新する。
次に、実施の形態2に係るユーザ認証情報管理装置100の動作を説明する。
(1)ユーザが入力部1を用いて関連付け設定画面表示部2に関連認証情報記憶部81に登録済みの関連認証情報の一覧表示を指示すると、関連付け設定画面表示部2は、関連認証情報一覧抽出部10に関連認証情報(関連IDとリソース名とユーザ名)の抽出を要求する。
(2)関連認証情報一覧抽出部10は、関連付け設定画面表示部2からの要求を受け取ると、関連認証情報記憶部81に登録されている全ての関連認証情報を抽出して関連付け設定画面表示部2に抽出した情報を返す。
(3)関連付け設定画面表示部2は、受け取った関連認証情報(パスワードは除く)をユーザに表示する。
(4)ユーザは、入力部1を用いて関連付け設定画面表示部2に表示されている関連認証情報からパスワードを変更したいリソース名を選択してパスワードの変更要求を出すと、関連付け設定画面表示部2はパスワード入力画面を表示してユーザにパスワードの入力を促す。
(5)ユーザがパスワードを入力後に更新要求を指示すると関連付け設定画面表示部2は、関連認証情報変更部11にパスワード変更対象のリソースに割り当てられている関連IDとリソース名とユーザIDおよび変更後のパスワードを通知する。
(6)関連認証情報変更部11は、受け取った関連IDとリソース名とユーザIDをキーに関連認証情報記憶部81の該当するパスワードを変更後のパスワードで上書きする。
(1)ユーザが入力部1を用いて関連付け設定画面表示部2に関連認証情報記憶部81に登録済みの関連認証情報の一覧表示を指示すると、関連付け設定画面表示部2は、関連認証情報一覧抽出部10に関連認証情報(関連IDとリソース名とユーザ名)の抽出を要求する。
(2)関連認証情報一覧抽出部10は、関連付け設定画面表示部2からの要求を受け取ると、関連認証情報記憶部81に登録されている全ての関連認証情報を抽出して関連付け設定画面表示部2に抽出した情報を返す。
(3)関連付け設定画面表示部2は、受け取った関連認証情報(パスワードは除く)をユーザに表示する。
(4)ユーザは、入力部1を用いて関連付け設定画面表示部2に表示されている関連認証情報からパスワードを変更したいリソース名を選択してパスワードの変更要求を出すと、関連付け設定画面表示部2はパスワード入力画面を表示してユーザにパスワードの入力を促す。
(5)ユーザがパスワードを入力後に更新要求を指示すると関連付け設定画面表示部2は、関連認証情報変更部11にパスワード変更対象のリソースに割り当てられている関連IDとリソース名とユーザIDおよび変更後のパスワードを通知する。
(6)関連認証情報変更部11は、受け取った関連IDとリソース名とユーザIDをキーに関連認証情報記憶部81の該当するパスワードを変更後のパスワードで上書きする。
これにより、例えばリソース側のパスワードを変更した場合でも、それに合わせて関連認証情報記憶部81のパスワードも変更することができ、シングルサインオンが可能となる。
実施の形態3.
図10を参照して実施の形態3を説明する。図10は、実施の形態3に係るユーザ認証情報管理装置100のブロック図である。実施の形態3のユーザ認証情報管理装置100は、関連認証情報記憶部81に登録されているリソースの認証情報を削除して関連付けを外す機能をもつ。
図10を参照して実施の形態3を説明する。図10は、実施の形態3に係るユーザ認証情報管理装置100のブロック図である。実施の形態3のユーザ認証情報管理装置100は、関連認証情報記憶部81に登録されているリソースの認証情報を削除して関連付けを外す機能をもつ。
図10のユーザ認証情報管理装置100は、図3のユーザ認証情報管理装置100に対して、さらに関連認証情報一覧抽出部10と、関連認証情報削除部12とを備えている。図10において、関連認証情報削除部12は、入力部1を用いてユーザが関連付け設定画面表示部2にて選択した関連付けを外すリソースのリソース名と関連IDを受け取って関連認証情報記憶部81から該当する関連認証情報を削除する。
次に動作について説明する。
(1)ユーザが入力部1を用いて関連付け設定画面表示部2に関連認証情報記憶部81に登録済みの関連認証情報の一覧表示を指示すると、関連付け設定画面表示部2は関連認証情報一覧抽出部10に関連認証情報(関連IDとリソース名とユーザ名)の抽出を要求する。
(2)関連認証情報一覧抽出部10は、関連付け設定画面表示部2からの要求を受け取ると関連認証情報記憶部81に登録されている全ての関連認証情報を抽出して関連付け設定画面表示部2に抽出した情報を返す。
(3)関連付け設定画面表示部2は、受け取った関連認証情報をユーザに表示する。
(4)ユーザは、入力部1を用いて関連付け設定画面表示部2に表示されている関連認証情報から関連付けを解除したいリソース名を選択して関連付け解除の要求を出すと、関連付け設定画面表示部2は関連認証情報削除部12に関連付け解除対象のリソースに割り当てられている関連IDとリソース名およびユーザIDを通知する。
(5)関連認証情報削除部12は、受け取った関連IDとリソース名とユーザIDをキーに関連認証情報記憶部81の該当する関連認証情報を削除する。
(1)ユーザが入力部1を用いて関連付け設定画面表示部2に関連認証情報記憶部81に登録済みの関連認証情報の一覧表示を指示すると、関連付け設定画面表示部2は関連認証情報一覧抽出部10に関連認証情報(関連IDとリソース名とユーザ名)の抽出を要求する。
(2)関連認証情報一覧抽出部10は、関連付け設定画面表示部2からの要求を受け取ると関連認証情報記憶部81に登録されている全ての関連認証情報を抽出して関連付け設定画面表示部2に抽出した情報を返す。
(3)関連付け設定画面表示部2は、受け取った関連認証情報をユーザに表示する。
(4)ユーザは、入力部1を用いて関連付け設定画面表示部2に表示されている関連認証情報から関連付けを解除したいリソース名を選択して関連付け解除の要求を出すと、関連付け設定画面表示部2は関連認証情報削除部12に関連付け解除対象のリソースに割り当てられている関連IDとリソース名およびユーザIDを通知する。
(5)関連認証情報削除部12は、受け取った関連IDとリソース名とユーザIDをキーに関連認証情報記憶部81の該当する関連認証情報を削除する。
これにより、例えば開発が完了して今後ほとんどアクセスすることのないリソースに対してユーザが任意に関連認証情報を削除してリソース間の関連付けを解除することで、リソース毎にアクセスする際はパスワード認証が必要となり、仮に1つのリソースに対するパスワードが他人に盗まれたとしてもシングルサインオンによる他のリソースへのアクセスを防ぐことができる。
実施の形態4.
図11、図12を参照して実施の形態4を説明する。図11は、実施の形態4に係るユーザ認証情報管理装置100のブロック図である。図11は、実施の形態4に係る関連認証情報のデータ構成を示す図である。実施の形態4のユーザ認証情報管理装置100は、関連認証情報記憶部81に登録されているリソースの認証情報に対しリソースへのアクセス頻度をチェックして、ユーザによって任意に設定された期間の間に一度もアクセスされなかったリソースの関連認証情報を削除して関連付けを外す機能を持つ。このように実施の形態4に係るユーザ認証情報管理装置100は、リソースへのアクセス頻度をチェックして、アクセス頻度の低いリソースの関連認証情報を削除する。
図11、図12を参照して実施の形態4を説明する。図11は、実施の形態4に係るユーザ認証情報管理装置100のブロック図である。図11は、実施の形態4に係る関連認証情報のデータ構成を示す図である。実施の形態4のユーザ認証情報管理装置100は、関連認証情報記憶部81に登録されているリソースの認証情報に対しリソースへのアクセス頻度をチェックして、ユーザによって任意に設定された期間の間に一度もアクセスされなかったリソースの関連認証情報を削除して関連付けを外す機能を持つ。このように実施の形態4に係るユーザ認証情報管理装置100は、リソースへのアクセス頻度をチェックして、アクセス頻度の低いリソースの関連認証情報を削除する。
図11のユーザ認証情報管理装置100は、図3のユーザ認証情報管理装置100に対して、さらに、関連認証情報一覧抽出部10と、関連認証情報削除部12と、関連付け解除設定部13と、アクセス状況確認処理部14とを備えている。
図11において、関連付け解除設定部13は、入力部1を用いてユーザが関連付け設定画面表示部2にて各リソースもしくは全てのリソースに対してアクセス頻度の低いリソースの関連認証情報を削除するための期間を設定する。アクセス状況確認処理部14は、関連付け解除設定部13からの設定情報をもとに関連認証情報記憶部81に登録されている各リソースへのアクセス頻度をチェックして設定された期間内に一度もアクセスされなかったリソースの関連認証情報の削除を関連認証情報削除部12に要求する。図12は、関連認証情報記憶部81に各リソースへの最終アクセス日を格納した場合の例である。この最終アクセス日の情報は、各リソースへのアクセス要求があった際に関連認証情報アクセス部8が毎回更新する。
次に動作について説明する。
(1)ユーザが入力部1を用いて関連付け設定画面表示部2に関連認証情報記憶部81に登録済みの関連認証情報の一覧表示を指示すると、関連付け設定画面表示部2は関連認証情報一覧抽出部10に関連認証情報(関連IDとリソース名とユーザ名)の抽出を要求する。
(2)関連認証情報一覧抽出部10は、関連付け設定画面表示部2からの要求を受け取ると関連認証情報記憶部81に登録されている全ての関連認証情報を抽出して関連付け設定画面表示部2に抽出した情報を返す。
(3)関連付け設定画面表示部2は、受け取った関連認証情報をユーザに表示する。
(4)ユーザが入力部1を用いて関連付け設定画面表示部2に表示されている関連認証情報の一覧からリソースを選択してアクセス頻度を確認するための情報設定を指示すると、関連付け設定画面表示部2はアクセス頻度を確認する際に用いる期間を設定するための画面(以下、情報設定画面と呼ぶ)を表示する。
(5)ユーザは入力部1を用いて情報設定画面上にアクセス頻度を確認する際に用いる期間を入力し設定を指示すると、関連付け設定画面表示部2は関連付け解除設定部13に入力された期間の情報とリソース名と関連IDおよびユーザIDを通知する。
(6)関連付け解除設定部13は、受け取った期間の情報をリソース名と関連IDおよびユーザIDに対応付けて保持する。
(7)アクセス状況確認処理部14は、パスワード認証装置の起動時に関連認証情報記憶部81に登録されている関連認証情報(最終アクセス日)を抽出し、関連付け解除設定部13に設定されている期間の情報を元にアクセス頻度を確認し、最終アクセス日から既に関連付け解除設定部13に設定されている期間を超過しているリソースについては関連認証情報の削除を関連認証情報削除部12に要求する。
(8)関連認証情報削除部12は削除要求を受けて関連認証情報記憶部81の該当する関連認証情報を削除する。
(1)ユーザが入力部1を用いて関連付け設定画面表示部2に関連認証情報記憶部81に登録済みの関連認証情報の一覧表示を指示すると、関連付け設定画面表示部2は関連認証情報一覧抽出部10に関連認証情報(関連IDとリソース名とユーザ名)の抽出を要求する。
(2)関連認証情報一覧抽出部10は、関連付け設定画面表示部2からの要求を受け取ると関連認証情報記憶部81に登録されている全ての関連認証情報を抽出して関連付け設定画面表示部2に抽出した情報を返す。
(3)関連付け設定画面表示部2は、受け取った関連認証情報をユーザに表示する。
(4)ユーザが入力部1を用いて関連付け設定画面表示部2に表示されている関連認証情報の一覧からリソースを選択してアクセス頻度を確認するための情報設定を指示すると、関連付け設定画面表示部2はアクセス頻度を確認する際に用いる期間を設定するための画面(以下、情報設定画面と呼ぶ)を表示する。
(5)ユーザは入力部1を用いて情報設定画面上にアクセス頻度を確認する際に用いる期間を入力し設定を指示すると、関連付け設定画面表示部2は関連付け解除設定部13に入力された期間の情報とリソース名と関連IDおよびユーザIDを通知する。
(6)関連付け解除設定部13は、受け取った期間の情報をリソース名と関連IDおよびユーザIDに対応付けて保持する。
(7)アクセス状況確認処理部14は、パスワード認証装置の起動時に関連認証情報記憶部81に登録されている関連認証情報(最終アクセス日)を抽出し、関連付け解除設定部13に設定されている期間の情報を元にアクセス頻度を確認し、最終アクセス日から既に関連付け解除設定部13に設定されている期間を超過しているリソースについては関連認証情報の削除を関連認証情報削除部12に要求する。
(8)関連認証情報削除部12は削除要求を受けて関連認証情報記憶部81の該当する関連認証情報を削除する。
例えば、図12におけるリソースAを用いて説明すると、関連付け解除設定部13にリソースAに対してアクセス頻度を確認する際に用いる期間に20日と設定されていた場合には、例えばユーザ認証情報管理装置を2006/12/25に起動するとアクセス状況確認処理部14は関連認証情報記憶部81に登録されている関連認証情報を抽出して、抽出した関連認証情報の最終アクセス日(2006/12/01)にアクセス頻度を確認する際に用いる期間20日を足した日がユーザ認証情報管理装置を起動した日(2006/12/25)と比較して超過しているかどうかを確認する。
本例では4日を超過していることになるのでアクセス状況確認処理部14は、関連認証情報記憶部81に対して関連IDが0001で、かつリソース名がリソースAの関連認証情報の削除を要求し、これを受けて関連認証情報削除部12が関連認証情報記憶部81の該当する関連認証情報を削除する。
これにより、例えば開発が完了して今後ほとんどアクセスすることのないリソースに対してユーザ認証情報管理装置が自動的に関連認証情報を削除してリソース間の関連付けを解除することで、リソース毎にアクセスする際はパスワード認証が必要となり、仮に1つのリソースに対するパスワードが他人に盗まれたとしてもシングルサインオンによる他のリソースへのアクセスを防ぐことができる。
実施の形態5.
図13を参照して実施の形態5を説明する。図13は、実施の形態5に係るユーザ認証情報管理装置100のブロック図である。実施の形態5のユーザ認証情報管理装置100は、関連認証情報記憶部81に登録されているリソースへアクセスする際に要求されるパスワード認証の認証結果をもとに不正アクセスの有無を監視して、不正アクセスと思われる処理要求があった場合にアクセスしようとしていたリソースの認証情報を削除する機能を有する。
図13を参照して実施の形態5を説明する。図13は、実施の形態5に係るユーザ認証情報管理装置100のブロック図である。実施の形態5のユーザ認証情報管理装置100は、関連認証情報記憶部81に登録されているリソースへアクセスする際に要求されるパスワード認証の認証結果をもとに不正アクセスの有無を監視して、不正アクセスと思われる処理要求があった場合にアクセスしようとしていたリソースの認証情報を削除する機能を有する。
図13のユーザ認証情報管理装置100は、図3のユーザ認証情報管理装置100に対して、さらに、関連認証情報削除部12と、認証失敗回数記憶部15と、不正アクセス確認部16とを備えている。図13において、認証失敗回数記憶部15はアクセス要求処理部3からの認証失敗通知を受けて認証に失敗したリソース名とその失敗回数をカウントアップして記録する。不正アクセス確認部16は認証失敗回数記憶部15にて記録している認証失敗回数をチェックして予め設定された制限を超過した際に関連認証情報削除部12に認証失敗となっているリソースの関連認証情報の削除を要求する。
次に動作について説明する。
(1)実行関連ID記憶部51に関連IDが未登録の状態で、ユーザが入力部1を用いて関連付け設定画面表示部2にリソースへのアクセスを指示し、アクセス要求処理部3が関連付け設定画面表示部2からのアクセス要求を受けてアクセス対象リソースにアクセス要求を出し、リソースからのパスワード認証要求を受けてユーザにログイン画面を表示した場合において、例えば、ユーザがパスワードを入力ミスして認証に失敗すると(アクセス対象リソースから認証失敗が返ってくると)アクセス要求処理部3は認証失敗回数記憶部15に認証に失敗したリソース名を通知して、認証失敗回数記憶部15は受け取ったリソース名に失敗回数1を関連付けて登録する。
(2)アクセス要求処理部3は再度ログイン画面を表示して認証情報の再入力を促す。また、入力ミスして認証に失敗した場合は前記の処理と同様にアクセス要求処理部3が認証失敗回数記憶部15に認証失敗を通知し、認証失敗回数記憶部15は失敗回数に1を足した値に変更する。このように認証に失敗する度に失敗回数の値に1を足していく。
(2)アクセス要求処理部3は再度ログイン画面を表示して認証情報の再入力を促す。また、入力ミスして認証に失敗した場合は前記の処理と同様にアクセス要求処理部3が認証失敗回数記憶部15に認証失敗を通知し、認証失敗回数記憶部15は失敗回数に1を足した値に変更する。このように認証に失敗する度に失敗回数の値に1を足していく。
(3)認証失敗回数記憶部15は、不正アクセス確認部16に認証失敗があったことを通知し、不正アクセス確認部16はその失敗回数をチェックして不正アクセスの可能性があるかどうかを確認する。
(4)不正アクセス確認部16は、失敗回数が多い場合(例えば、10回を超えるような場合)には悪意を持ったユーザからのアクセスであると判断して、アクセス対象リソースの関連認証情報の削除を関連認証情報削除部12に要求し、これを受けて関連認証情報削除部12が関連認証情報記憶部81の該当する関連認証情報を削除する。また、アクセス要求処理部3は不正アクセス確認部16での判断結果を受けて、ログイン処理を中止しユーザからのアクセスを拒否する。
(5)認証失敗回数記憶部15に登録された認証失敗情報は、認証に成功した場合に(アクセス要求処理部3からの認証成功通知を受けて)削除されるようにする。
(4)不正アクセス確認部16は、失敗回数が多い場合(例えば、10回を超えるような場合)には悪意を持ったユーザからのアクセスであると判断して、アクセス対象リソースの関連認証情報の削除を関連認証情報削除部12に要求し、これを受けて関連認証情報削除部12が関連認証情報記憶部81の該当する関連認証情報を削除する。また、アクセス要求処理部3は不正アクセス確認部16での判断結果を受けて、ログイン処理を中止しユーザからのアクセスを拒否する。
(5)認証失敗回数記憶部15に登録された認証失敗情報は、認証に成功した場合に(アクセス要求処理部3からの認証成功通知を受けて)削除されるようにする。
以上により、例えば不正アクセスと思われるアクセス要求があった場合にアクセス対象リソースに対してユーザ認証情報管理装置が自動的に関連認証情報を削除してリソース間の関連付けを解除することで、リソース毎にアクセスする際はパスワード認証が必要となり、仮に1つのリソースに対するパスワードが他人に盗まれたとしてもシングルサインオンによる他のリソースへのアクセスを防ぐことができる。
以上の実施の形態に述べたように、ユーザ認証に必要な認証情報を各リソースへの初回アクセス時に自動的に登録し、またユーザ自身が選択したリソース間の認証情報も同時に関連付けて管理することによってシングルサインオンの機能を実現することができるとともに、アクセス頻度などに応じて関連付けを解除することにより不正アクセスによる被害を最小限に抑えることができるユーザ認証情報管理装置を提供することができる。
以上の実施の形態では、装置としてのユーザ認証情報管理装置100を説明したが、ユーザ認証情報管理装置100の各構成要素の動作を処理ととらえることにより、ユーザ認証情報管理装置100の動作をコンピュータに実行させるユーザ認証プログラムとして把握することも可能である。また、このプログラムを記憶した記憶媒体として把握することも可能である。
以上の実施の形態では、複数のリソースに対してユーザが初回アクセスの時に入力した認証情報を自動的に関連付けて管理することでシングルサインオンを実現するユーザ認証情報管理装置において、ユーザからのアクセス対象リソースの選択指示や認証情報の入力などを受け付ける入力部と、アクセス先のリソースを表示/選択するための画面やリソースへのアクセスに必要な認証情報を入力するための画面を表示する関連付け設定画面表示部と、前記関連付け設定画面表示部で選択されたリソースに対してアクセス要求を出すアクセス要求処理部と、アクセスしたリソースが関連付けられているかどうかを確認する関連認証情報登録確認処理部と、アクセス中のリソースに対して割当てられた関連IDを管理する実行関連ID記憶部と、シングルサインオンの対象とする各リソースの認証情報を関連付けて登録しておく関連認証情報記憶部と、前記関連認証情報記憶部に対して認証情報の登録や読み出しの処理を実施する関連認証情報アクセス部と、関連認証情報記憶部に新規に認証情報を登録する際に関連付けるリソースをグルーピングし管理するための関連IDを生成する関連ID生成部と、前記関連付け設定画面表示部にて選択されたアクセス対象リソースの認証情報を前記関連認証情報記憶部から抽出してログイン画面にそれを自動セットする認証情報設定部を具備することを特徴とするユーザ認証情報管理装置を説明した。
以上の実施の形態では、ユーザ認証情報管理装置において、前記関連認証情報記憶部に登録済みのユーザIDやパスワードの関連認証情報を前記入力部を用いて変更するために関連認証情報記憶部に対して関連認証情報の一覧を抽出する関連認証情報一覧抽出部と、関連認証情報の変更処理を実施する関連認証情報変更部とを設けたこと特徴とするユーザ認証情報管理装置を説明した。
以上の実施の形態では、ユーザ認証情報管理装置において、前記関連認証情報記憶部に登録済みの関連認証情報から前記入力部を用いてグルーピングしているリソースの全て、もしくは1つのリソースを削除してシングルサインオンの許可を解除するために関連認証情報記憶部に対して関連認証情報の削除処理を実施する関連認証情報削除部とを設けたこと特徴とするユーザ認証情報管理装置を説明した。
以上の実施の形態では、ユーザ認証情報管理装置において、前記関連認証情報記憶部に登録されている各リソースに対するアクセス状況を監視して、リソースへのアクセス頻度が低い場合に関連認証情報記憶部に登録されている関連認証情報を削除してシングルサインオンの対象から外すために、各リソース単位もしくは全てのリソースに対してどの程度期間アクセスしなかったら関連認証情報を削除するかを設定する関連付け解除設定部と、前記関連付け解除設定部にて設定された情報と前記関連認証情報記憶部に登録したアクセス回数をもとに各リソースへのアクセス頻度を判断して設定された期間内に一度もアクセスされなかったリソースを関連認証情報記憶部からの削除を前記関連認証情報削除部に要求するアクセス状況確認処理部とを設けたことを特徴とするユーザ認証情報管理装置を説明した。
以上の実施の形態では、ユーザ認証情報管理装置において、前記実行関連ID記憶部にまだ関連IDが登録されていない状態で関連認証情報記憶部に登録済みのリソースへアクセスし、リソースからのパスワード認証要求のためにユーザが前記入力部を用いて入力したユーザIDとパスワードではパスワード認証に失敗した場合の回数をカウントし記録する認証失敗回数記憶部と、前記認証失敗回数記憶部に記録された情報をもとに一定回数失敗したら関連認証情報記憶部に登録しているパスワード認証に失敗したリソースの関連認証情報の削除を前記関連認証情報削除部に要求する不正アクセス確認部とを設けたことを特徴とするユーザ認証情報管理装置を説明した。
1 入力部、2 関連付け設定画面表示部、3 アクセス要求処理部、4 認証情報設定部、5 関連認証情報登録確認処理部、8 関連認証情報アクセス部、9 関連ID生成部、10 関連認証情報一覧抽出部、11 関連認証情報変更部、12 関連認証情報削除部、13 関連付け解除設定部、14 アクセス状況確認処理部、15 認証失敗回数記憶部、16 不正アクセス確認部、51 実行関連ID記憶部、81 関連認証情報記憶部、90 関連認証情報管理部、100 ユーザ認証情報管理装置、810 CPU、811 ROM、812 RAM、813 DSP、814 K/B、815 マウス、816 通信ボード、817 FDD、818 CDD、819 プリンタ、820 磁気ディスク装置、821 OS、822 ウィンドウシステム、823 プログラム群、824 ファイル群、825 バス、830 システムユニット。
Claims (5)
- 表示部と、
識別子である関連IDを記憶する第1記憶部と、
情報を記憶する第2記憶部と、
受付部と、
アクセス要求処理部と、
関連ID記憶処理部と、
関連認証情報管理部と
を備え、
前記受付部は、
ユーザが指定するリソースである対象リソースの指定を受け付け、
前記アクセス要求処理部は、
前記受付部が受け付けた対象リソースにアクセスを要求するアクセス要求を送信するとともにアクセス要求に対して対象リソースから認証情報を要求する認証情報要求を受信し、
前記関連ID記憶処理部は、
前記アクセス要求処理部が対象リソースから認証情報要求を受信すると、前記第1記憶部に関連IDが記憶されているかどうかを確認し、
前記アクセス要求処理部は、
前記関連ID記憶処理部による確認の結果、前記第1記憶部に関連IDが記憶されていない場合には、前記受付部が受け付けた対象リソースの認証情報の入力を要求する入力要求を前記表示部に表示して前記受付部からの認証情報の入力をユーザに促し、前記受付部から対象リソースの認証情報が入力されると、入力された認証情報を対象リソースに送信し、
前記関連認証情報管理部は、
前記受付部から入力された認証情報とこの認証情報に対応する対象リソースと関連IDとが互いに関連付けられた関連認証情報として前記第2記憶部に登録されているかどうかを確認し、登録されていない場合は関連IDを生成し、生成された関連IDと対象リソースとこの対象リソースに対応する認証情報とを関連付けることにより関連認証情報として前記第2記憶部に登録し、登録された関連認証情報に含まれる関連IDを前記関連ID記憶処理部に出力し、
前記関連ID記憶処理部は、
前記関連認証情報管理部が出力した関連IDを前記第1記憶部に記憶することを特徴とするユーザ認証情報管理装置。 - 前記受付部は、
ユーザが指定するリソースである対象リソースの指定を受け付け、
前記アクセス要求処理部は、
前記受付部が受け付けた対象リソースにアクセスを要求するアクセス要求を送信するとともにアクセス要求に対して対象リソースから認証情報を要求する認証情報要求を受信し、
前記関連ID記憶処理部は、
前記アクセス要求処理部が対象リソースから認証情報要求を受信すると、前記第1記憶部に関連IDが記憶されているかどうかを確認し、確認の結果、前記第1格納部に関連IDが格納されている場合には関連IDを抽出し、
前記関連認証情報管理部は、
前記関連ID記憶処理部が抽出した関連IDと前記受付部から入力された対象リソースとをキーとして、前記関連ID記憶処理部が抽出した関連IDと前記受付部から入力された対象リソースとが関連付けられた関連認証情報が前記第2記憶部に登録されているかどうかを確認し、
前記アクセス要求処理部は、
前記関連認証情報管理部による確認の結果、前記第2記憶部に前記関連ID記憶処理部が抽出した関連IDと前記受付部から入力された対象リソースとが関連付けられた関連認証情報が登録されていない場合には、前記受付部が受け付けた対象リソースの認証情報の入力を要求する入力要求を前記表示部に表示して前記受付部からの認証情報の入力をユーザに促し、前記受付部から対象リソースの認証情報が入力されると、入力された認証情報を対象リソースに送信し、
前記関連認証情報管理部は、
前記関連ID記憶処理部により抽出された関連IDと前記受付部から入力された対象リソースとこの対象リソースに対応する前記受付部から入力された認証情報とを関連付けることにより関連認証情報として前記第2記憶部に登録し、登録された関連認証情報に含まれる関連IDを前記アクセス要求処理部に出力することを特徴とする請求項1記載のユーザ認証情報管理装置。 - 前記受付部は、
ユーザが指定するリソースである対象リソースの指定を受け付け、
前記アクセス要求処理部は、
前記受付部が受け付けた対象リソースにアクセスを要求するアクセス要求を送信するとともにアクセス要求に対して対象リソースから認証情報を要求する認証情報要求を受信し、
前記関連ID記憶処理部は、
前記アクセス要求処理部が対象リソースから認証情報要求を受信すると、前記第1記憶部に関連IDが記憶されているかどうかを確認し、
前記アクセス要求処理部は、
前記関連ID記憶処理部による確認の結果、前記第1格納部に関連IDが格納されていない場合には、前記受付部が受け付けた対象リソースの認証情報の入力を要求する入力要求を前記表示部に表示して前記受付部からの認証情報の入力をユーザに促し、前記受付部から対象リソースの認証情報が入力されると、入力された認証情報を対象リソースに送信し、
前記関連認証情報管理部は、
前記受付部から入力された認証情報とこの認証情報に対応する対象リソースと関連IDとが互いに関連付けられた関連認証情報として前記第2記憶部に登録されているかどうかを確認し、登録されている場合には、登録されている関連認証情報に含まれる関連IDを抽出し、抽出した関連IDを前記関連ID記憶処理部に出力し、
前記関連ID記憶処理部は、
前記関連認証情報管理部が抽出して出力した関連IDを入力し、入力した関連IDを前記第1記憶部に記憶することを特徴とする請求項2記載のユーザ認証情報管理装置。 - 前記受付部は、
ユーザが指定するリソースである対象リソースの指定を受け付け、
前記アクセス要求処理部は、
前記受付部が受け付けた対象リソースにアクセスを要求するアクセス要求を送信するとともにアクセス要求に対して対象リソースから認証情報を要求する認証情報要求を受信し、
前記関連ID記憶処理部は、
前記アクセス要求処理部が対象リソースから認証情報要求を受信すると、前記第1記憶部に関連IDが記憶されているかどうかを確認し、確認の結果、前記第1格納部に関連IDが格納されている場合には関連IDを抽出し、
前記関連認証情報管理部は、
前記関連ID記憶処理部が抽出した関連IDと前記受付部から入力された対象リソースとをキーとして、前記関連ID記憶処理部が抽出した関連IDと前記受付部から入力された対象リソースとを含む関連認証情報が前記第2記憶部に登録されているかどうかを確認し、確認の結果、登録されている場合には登録されている関連認証情報から前記関連ID記憶処理部が抽出した関連IDと前記受付部から入力された対象リソースとに対応する認証情報を抽出し、
前記ユーザ認証情報管理装置は、さらに、
記関連認証情報管理部が抽出した認証情報を前記表示装置の画面に設定する認証情報設定部を備えたことを特徴とする請求項3記載のユーザ認証情報管理装置。 - 表示部と、識別子である関連IDを記憶する第1記憶部と、情報を記憶する第2記憶部とを備えたコンピュータであるユーザ認証情報管理装置に以下の処理を実行させるユーザ認証プログラム
(1)ユーザが指定するリソースである対象リソースの指定を受け付ける処理
(2)受け付けた対象リソースにアクセスを要求するアクセス要求を送信するとともにアクセス要求に対して対象リソースから認証情報を要求する認証情報要求を受信する処理
(3)対象リソースから認証情報要求を受信すると、前記第1記憶部に関連IDが記憶されているかどうかを確認する処理
(4)確認の結果、前記第1記憶部に関連IDが記憶されていない場合には、受け付けた対象リソースの認証情報の入力を要求する入力要求を前記表示部に表示して認証情報の入力をユーザに促し、対象リソースの認証情報が入力されると、入力された認証情報を対象リソースに送信する処理
(5)入力された認証情報とこの認証情報に対応する対象リソースと関連IDとが互いに関連付けられた関連認証情報として前記第2記憶部に登録されているかどうかを確認し、登録されていない場合は関連IDを生成し、生成された関連IDと対象リソースとこの対象リソースに対応する認証情報とを関連付けることにより関連認証情報として前記第2記憶部に登録し、登録された関連認証情報に含まれる関連IDを出力する処理
(6)出力された関連IDを前記第1記憶部に記憶する処理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007142874A JP2008299467A (ja) | 2007-05-30 | 2007-05-30 | ユーザ認証情報管理装置及びユーザ認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007142874A JP2008299467A (ja) | 2007-05-30 | 2007-05-30 | ユーザ認証情報管理装置及びユーザ認証プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008299467A true JP2008299467A (ja) | 2008-12-11 |
Family
ID=40172964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007142874A Pending JP2008299467A (ja) | 2007-05-30 | 2007-05-30 | ユーザ認証情報管理装置及びユーザ認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008299467A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011059896A (ja) * | 2009-09-08 | 2011-03-24 | Ricoh Co Ltd | 情報処理装置、情報処理方法、情報処理プログラム |
| JP2011253496A (ja) * | 2010-06-04 | 2011-12-15 | Nippon Telegr & Teleph Corp <Ntt> | ログインid発行方法及びログインid発行システム |
-
2007
- 2007-05-30 JP JP2007142874A patent/JP2008299467A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011059896A (ja) * | 2009-09-08 | 2011-03-24 | Ricoh Co Ltd | 情報処理装置、情報処理方法、情報処理プログラム |
| JP2011253496A (ja) * | 2010-06-04 | 2011-12-15 | Nippon Telegr & Teleph Corp <Ntt> | ログインid発行方法及びログインid発行システム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11637828B2 (en) | Hybrid authentication systems and methods | |
| EP2310977B1 (en) | An apparatus for managing user authentication | |
| WO2009039160A2 (en) | Method and system for storing and using a plurality of passwords | |
| US9509672B1 (en) | Providing seamless and automatic access to shared accounts | |
| US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
| CN110417820A (zh) | 单点登录系统的处理方法、装置及可读存储介质 | |
| US11323432B2 (en) | Automatic login tool for simulated single sign-on | |
| US11706206B2 (en) | Administration portal for simulated single sign-on | |
| US11089005B2 (en) | Systems and methods for simulated single sign-on | |
| JP2008015733A (ja) | ログ管理計算機 | |
| JP2016024715A (ja) | 情報処理装置及びプログラム | |
| US11218466B2 (en) | Endpoint security | |
| US20210021416A1 (en) | Systems and methods for using automated browsing to recover secured key from a single data entry | |
| JP6091450B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| JP2008299467A (ja) | ユーザ認証情報管理装置及びユーザ認証プログラム | |
| US7845001B2 (en) | Method and system for managing secure platform administration | |
| JP2012079231A (ja) | 認証情報管理装置および認証情報管理方法 | |
| EP3791552B1 (en) | Deploying data-loss-prevention policies to user devices | |
| JP2014191455A (ja) | 情報処理装置、情報処理システム及び情報処理プログラム | |
| JP2022148147A (ja) | 情報処理装置およびプログラム | |
| CN113051035A (zh) | 一种远程控制方法、装置、系统及宿主机 | |
| JP2018041347A (ja) | 認証システム | |
| JP2017151859A (ja) | 情報処理装置およびプログラム | |
| JP5300794B2 (ja) | コンテンツサーバ及びアクセス制御システム | |
| US10554789B2 (en) | Key based authorization for programmatic clients |