JP2010073001A - Authentication control apparatus and authentication control program - Google Patents
Authentication control apparatus and authentication control program Download PDFInfo
- Publication number
- JP2010073001A JP2010073001A JP2008240841A JP2008240841A JP2010073001A JP 2010073001 A JP2010073001 A JP 2010073001A JP 2008240841 A JP2008240841 A JP 2008240841A JP 2008240841 A JP2008240841 A JP 2008240841A JP 2010073001 A JP2010073001 A JP 2010073001A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- processing unit
- unit
- authentication processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、認証制御装置及び認証制御プログラムに関する。 The present invention relates to an authentication control device and an authentication control program.
従来、認証情報を管理する認証情報管理装置に、クライアント計算機と、前置計算機と、後置計算機とが接続されたシステムが知られている(例えば、特許文献1参照)。 Conventionally, a system is known in which a client computer, a front-end computer, and a back-end computer are connected to an authentication information management apparatus that manages authentication information (see, for example, Patent Document 1).
このシステムにおいて、認証情報管理装置は、後置計算機毎にユーザに対応した認証情報を記憶する記憶手段と、前置計算機を介して後置計算機にアクセスする際に受け取る当該後置計算機の識別情報とユーザ情報とを基に記憶手段から該当する後置計算機の認証情報を検索する検索手段と、前記検索手段で検索された認証情報を当該前置計算機に返信する通信手段とを備える。
本発明の目的は、異なる種別の認証情報が利用される場合において、認証情報を入力する手間を軽減することができる認証制御装置及び認証制御プログラムを提供することにある。 An object of the present invention is to provide an authentication control apparatus and an authentication control program that can reduce the trouble of inputting authentication information when different types of authentication information are used.
本発明の一態様は、上記目的を達成するため、以下の認証制御装置及び認証制御プログラムを提供する。 In order to achieve the above object, one aspect of the present invention provides the following authentication control apparatus and authentication control program.
[1]異なる種別の認証情報に基づいて認証処理を行う複数の認証処理部と、認証情報を受け付ける受付部と、前記受付部により受け付けられた前記認証情報の種別を判別し、前記複数の認証処理部のうち判別した前記種別に対応する前記認証処理部に前記認証処理を行わせ、その結果認証が成功したとき、前記複数の認証処理部のうち当該認証処理部以外の他の認証処理部においても認証が成功したものとみなして、前記他の認証処理部を制御する制御部とを備えた認証制御装置。 [1] A plurality of authentication processing units that perform authentication processing based on different types of authentication information, a reception unit that receives authentication information, a type of the authentication information received by the reception unit, and determine the plurality of authentications When the authentication processing unit corresponding to the determined type among the processing units performs the authentication processing and, as a result, authentication is successful, the authentication processing unit other than the authentication processing unit among the plurality of authentication processing units And an authentication control apparatus comprising a control unit that controls the other authentication processing unit.
[2]さらに、前記種別に対応する前記認証処理部による認証処理の結果認証が成功したとき、前記認証情報を基にして、認証情報を含む利用者情報が利用者単位で管理された管理情報を検索し、前記認証情報の受付元の利用者を特定する利用者特定部を備えた前記[1]に記載の認証制御装置。 [2] Furthermore, when authentication as a result of authentication processing by the authentication processing unit corresponding to the type is successful, management information in which user information including authentication information is managed on a user basis based on the authentication information The authentication control device according to [1], further including a user specifying unit that searches for a user who specifies the user who has received the authentication information.
[3]前記制御部は、前記種別に対応する前記認証処理部による認証処理の結果認証が成功したとき、前記認証が成功した旨を示す認証状態情報を前記認証情報の受付元に送信する前記[1]に記載の認証制御装置。 [3] When the authentication is successful as a result of the authentication processing by the authentication processing unit corresponding to the type, the control unit transmits authentication status information indicating that the authentication is successful to the reception source of the authentication information. The authentication control device according to [1].
[4]前記受付部は、前記認証状態情報を受け付け、前記制御部は、前記受付部により受け付けられた前記認証状態情報が適式なとき、前記複数の認証処理部において認証が成功したものとみなして、前記複数の認証処理部を制御する前記[3]に記載の認証制御装置。 [4] The accepting unit accepts the authentication status information, and the control unit has succeeded in authentication in the plurality of authentication processing units when the authentication status information accepted by the accepting unit is appropriate. The authentication control apparatus according to [3], which regards the plurality of authentication processing units.
[5]認証情報を受け付ける受付ステップと、
前記受付ステップにより受け付けられた前記認証情報の種別を判別し、異なる種別の認証情報に基づいて認証処理を行う複数の認証処理部のうち判別した前記種別に対応する前記認証処理部に前記認証処理を行わせ、その結果認証が成功したとき、前記複数の認証処理部のうち当該認証処理部以外の他の認証処理部においても認証が成功したものとみなして、前記他の認証処理部を制御する制御ステップとをコンピュータに実行させる認証制御プログラム。
[5] A reception step for receiving authentication information;
The type of the authentication information received by the receiving step is determined, and the authentication processing unit corresponding to the determined type is identified among the plurality of authentication processing units that perform authentication processing based on different types of authentication information. When the authentication is successful as a result, it is assumed that the authentication processing unit other than the authentication processing unit among the plurality of authentication processing units has been authenticated, and the other authentication processing unit is controlled. An authentication control program for causing a computer to execute a control step.
請求項1,5に係る発明によれば、異なる種別の認証情報が利用される場合において、認証情報を入力する手間を軽減することができる。 According to the first and fifth aspects of the present invention, when different types of authentication information are used, it is possible to reduce the trouble of inputting the authentication information.
請求項2に係る発明によれば、異なる種別の認証情報が受け付けられた場合でも、その認証情報に対応する利用者を簡便に特定することができる。 According to the second aspect of the present invention, even when different types of authentication information are received, the user corresponding to the authentication information can be easily specified.
請求項3に係る発明によれば、認証が成功した旨を認証情報の受付元に通知することができる。 According to the third aspect of the invention, it is possible to notify the authentication information reception source that the authentication has succeeded.
請求項4に係る発明によれば、認証情報の入力を省略するとともに、認証の安全性を確保することができる。
According to the invention which concerns on
本発明の実施の形態に係る認証制御装置は、異なる種別の認証情報に基づいて認証処理を行う複数の認証処理部と、認証情報を受け付ける受付部と、前記受付部により受け付けられた前記認証情報の種別を判別し、前記複数の認証処理部のうち判別した前記種別に対応する前記認証処理部に前記認証処理を行わせ、その結果認証が成功したとき、前記複数の認証処理部のうち当該認証処理部以外の他の認証処理部においても認証が成功したものとみなして、前記他の認証処理部を制御する制御部とを備える。 An authentication control device according to an embodiment of the present invention includes a plurality of authentication processing units that perform authentication processing based on different types of authentication information, a reception unit that receives authentication information, and the authentication information received by the reception unit And the authentication processing unit corresponding to the determined type among the plurality of authentication processing units performs the authentication processing. As a result, when the authentication is successful, the authentication processing unit among the plurality of authentication processing units The authentication processing unit other than the authentication processing unit is also regarded as having been successfully authenticated, and includes a control unit that controls the other authentication processing unit.
認証情報の種別は、例えば、ユーザID、メールアドレス、パスワード、署名、電子証明書及びこれらの少なくとも2つを組み合わせた情報等であるが、これらに限定されない。 The type of authentication information is, for example, a user ID, an e-mail address, a password, a signature, an electronic certificate, and information combining at least two of these, but is not limited thereto.
上記構成において、認証を要求する利用者が、端末装置等により認証情報を入力すると、認証制御装置によりその認証情報の種別に応じて認証処理が行われる。その結果認証が成功した場合には、他の認証処理部においても認証が成功したものとみなされる。従って、利用者は、認証処理部が扱う認証情報の種別を意識せずに認証情報を入力すればよいため、認証情報を入力する手間が軽減される。 In the above configuration, when a user who requests authentication inputs authentication information using a terminal device or the like, authentication processing is performed by the authentication control device according to the type of the authentication information. As a result, if the authentication is successful, it is considered that the authentication is successful in the other authentication processing units. Therefore, the user only has to input authentication information without being aware of the type of authentication information handled by the authentication processing unit, so that the trouble of inputting authentication information is reduced.
[第1の実施の形態]
図1は、本発明の第1の実施の形態に係る認証システムの構成例を示す概略図である。この認証システム1Aは、認証制御装置2Aと、端末装置3と、LDAP(Lightweight Directory Access Protocol)認証サーバ4と、PKI(Public Key Infrastructure)認証サーバ5と、認証制御装置2A、端末装置3、LDAP認証サーバ4及びPKI認証サーバ5を相互に接続するネットワーク10とから構成されている。
[First Embodiment]
FIG. 1 is a schematic diagram showing a configuration example of an authentication system according to the first embodiment of the present invention. The authentication system 1A includes an
ネットワーク10は、有線通信(電気ケーブル、光ケーブル等)及び無線通信(電波、赤外線等)等によりデータの送受信を行うLAN(ローカルエリアネットワーク)、インターネット等の通信網である。
The
端末装置3は、例えば、コンピュータ、携帯情報端末(PDA)、携帯電話機等の情報処理装置により構成されている。端末装置3は、ユーザの入力操作により認証情報の入力を受け付けると、その認証情報を認証制御装置2Aに送信する。なお、認証情報は、端末装置3から認証制御装置2に直接送信される他、LDAP認証サーバ4及びPKI認証サーバ5を経由して認証制御装置2Aに送信されてもよい。
The terminal device 3 is configured by an information processing device such as a computer, a personal digital assistant (PDA), and a mobile phone, for example. When the terminal device 3 receives an input of authentication information by a user input operation, the terminal device 3 transmits the authentication information to the
LDAP認証サーバ4は、ディレクトリデータベースにアクセスするための、例えば、国際電気通信連合(ITU−T)によるX.500(ISO/IEC 9594−1)等のプロトコルが実装されたサーバである。LDAP認証サーバ4には、認証処理を行う際の照合元となるLDAP認証情報が、ユーザ毎に予め登録されている。
The LDAP
PKI認証サーバ5は、公開鍵基盤を利用した、例えば、国際電気通信連合によるX.509(ISO/IEC 9594−8)等の規格に準じたサーバである。
The PKI
(認証制御装置)
図2は、本発明の第1の実施の形態に係る認証制御装置の構成例を示すブロック図である。この認証制御装置2Aは、受付部20Aと、認証制御部(制御部)21Aと、認証制御情報22と、ローカル認証処理部23と、LDAP認証処理部24と、PKI認証処理部25と、ユーザプロファイルDB(管理情報)26と、ユーザ特定部(利用者特定部)27とを備える。
(Authentication control device)
FIG. 2 is a block diagram showing a configuration example of the authentication control apparatus according to the first embodiment of the present invention. The
受付部20Aは、ネットワーク10に接続された、例えば、ネットワークインタフェースカード等を介して、端末装置3から送信された認証情報を受け付ける。
20 A of reception parts receive the authentication information transmitted from the terminal device 3 via the network interface card etc. which were connected to the
認証制御部21Aは、受付部20Aにより受け付けられた認証情報の認証タイプ(種別)を判別し、複数の認証処理部23〜25のうち判別した認証タイプに対応する認証処理部に認証処理を行わせ、その結果認証が成功したとき、複数の認証処理部のうち当該認証処理部以外の他の認証処理部においても認証が成功したものとみなして、他の認証処理部を制御する。
21 A of authentication control parts discriminate | determine the authentication type (classification) of the authentication information received by the
ローカル認証処理部23は、ユーザ毎に予め登録された、認証処理の照合元となるローカル認証情報230を備える。ローカル認証処理部23は、認証制御部21Aから認証情報を受け取ると、その受け取った認証情報と、ローカル認証情報230との照合により認証が成功したか否かを判定し、その判定した結果を示す判定結果情報を認証制御部21Aに送る。
The local
LDAP認証処理部24は、LDAP認証サーバ4と連携して認証処理を行う。LDAP認証処理部24は、認証制御部21Aから認証情報を受け取ると、その受け取った認証情報をLDAP認証サーバ4に送る。そして、LDAP認証処理部24は、LDAP認証サーバ4により認証処理が行われた結果を示す判定結果情報をLDAP認証サーバ4から受け取り、その判定結果情報を認証制御部21Aに送る。
The LDAP authentication processing unit 24 performs authentication processing in cooperation with the LDAP
PKI認証処理部25は、PKI認証サーバ5と連携して認証処理を行う。PKI認証処理部25は、認証制御部21Aから認証情報を受け取ると、その受け取った認証情報をPKI認証サーバ5に送る。そして、PKI認証処理部25は、PKI認証サーバ5により認証処理が行われた結果を示す判定結果情報をPKI認証サーバ5から受け取り、その判定結果情報を認証制御部21Aに送る。
The PKI
ユーザ特定部27は、認証処理の結果認証が成功したとき、ユーザ毎に管理されたユーザプロファイルDB26から認証情報を検索キー(検索要素)にして、認証情報の受付元のユーザを特定する。
When the authentication is successful as a result of the authentication process, the
図3(a)は、ユーザプロファイルDBの一例を示す図である。ユーザプロファイルDB26は、認証情報を含む利用者情報がユーザ単位で管理された情報である。ユーザプロファイルDB26には、ユーザ毎に、ユーザIDと、メールアドレスと、パスワードと、信頼できる認証局から発行された署名等のプロファイル情報(利用者情報)が記録されている。
FIG. 3A shows an example of the user profile DB. The
図3(b)は、認証制御情報の一例を示す図である。認証制御情報22には、認証方式毎に、認証タイプと、ユーザ特定フィールドとが記録されている。本実施の形態では、認証方式として、ローカル認証、LDAP認証、PKI認証を採用しているが、その他の認証方式を採用してもよい。
FIG. 3B is a diagram illustrating an example of authentication control information. In the
なお、認証制御部21A、認証制御情報22、ローカル認証処理部23、LDAP認証処理部24、PKI認証処理部25及びユーザ特定部27は、例えば、CPU等の演算部により実現されている。また、認証制御情報22及びユーザプロファイルDB26は、例えば、ROM,RAM,ハードディスク等の記憶部により実現されている。
Note that the
(第1の実施の形態の動作)
以下に、本発明の第1の実施の形態に係る認証制御装置2Aの動作の一例を図4のフローチャートに従って説明する。
(Operation of the first embodiment)
Hereinafter, an example of the operation of the
まず、端末装置3は、例えば、認証システム1Aにアクセスする操作を受け付けると、ログイン画面を表示する。そして、端末装置3は、そのログイン画面上でユーザによる認証情報の入力操作を受け付けると、その認証情報をネットワーク10を介して認証制御装置2Aに送信する。
First, for example, when receiving an operation for accessing the authentication system 1A, the terminal device 3 displays a login screen. When the terminal device 3 receives an input operation of authentication information by the user on the login screen, the terminal device 3 transmits the authentication information to the
次に、認証制御装置2Aの受付部20Aは、端末装置3から送信された認証情報を受け付け、認証情報を認証制御部21Aに送る(S1)。
Next, the receiving
次に、認証制御部21Aは、その受け取った認証情報の認証タイプを判別し、その判別した認証タイプに一致する認証方式があるか否かを認証制御情報22を参照して判定する(S10)。なお、認証制御部21Aが認証タイプを判別する方法としては、例えば、認証情報に文字「@」が含まれている場合には、「メールアドレス+パスワード」と判別し、認証情報がHTTPS(Hypertext Transfer Protocol over Secure Socket Layer)等の通信プロトコルに準じている場合には、「署名」と判定する。また、ログイン画面等により認証情報の認証タイプがユーザにより指定されている場合には、認証制御部21Aは、その指定された認証タイプとして判別すればよい。
Next, the
次に、認証制御部21Aが、一致する認証方式がないと判定した場合には(S10:No)、その認証情報に対して認証が失敗した旨を端末装置3に送信する(S30)。
Next, when the
一方、認証制御部21Aが、一致する認証方式があると判定した場合には(S10:Yes)、認証制御部21Aは、認証処理部23〜25のうちその認証タイプに対応する認証処理部を決定する。ここでは、認証制御部21Aにより判別された認証タイプが、「メールアドレス+パスワード」の場合について説明すると、認証制御部21Aは、その認証タイプに対応する認証処理部として、LDAP認証処理部24に決定する。
On the other hand, when the
次に、認証制御部21Aは、LDAP認証処理部24に対して認証情報を送るとともに、認証処理を実行するように実行指示を送る。その実行指示を受けたLDAP認証処理部24は、LDAP認証サーバ4と連携して認証処理を実行する(S11)。
Next, the
次に、LDAP認証処理部24は、その認証処理の結果を示す判定結果情報を認証制御部21Aに送り、認証制御部21Aは、その判定結果情報に基づいて認証が成功したか否かを判定する(S12)。
Next, the LDAP authentication processing unit 24 sends determination result information indicating the result of the authentication processing to the
次に、認証制御部21Aが、認証が成功したと判定した場合には(S12:Yes)、認証制御部21Aは、ユーザ特定部27に対して認証が成功したユーザを特定するように特定指示を送る。その特定指示を受けたユーザ特定部27は、ユーザプロファイルDB26において認証タイプに対応するユーザ特定フィールド、すなわち、「メールアドレス」のフィールドに登録されたメールアドレスのうち、認証情報に含まれているメールアドレスに一致するユーザを検索する(S20)。
Next, when the
そして、ユーザ特定部27は、メールアドレスが一致するユーザを、認証が成功したユーザ(以下、認証成功ユーザという)を特定する(S21)。認証制御部21Aは、その認証情報に対して認証が成功した旨を端末装置3に送信する。また、認証制御部21Aは、認証処理を行った認証処理部以外の他の認証処理部、すなわち、ローカル認証処理部23及びPKI認証処理部25に認証成功ユーザに係る情報を送り、ローカル認証処理部23及びPKI認証処理部25においても、その認証成功ユーザに対して認証が成功したものとみなされる。
Then, the
一方、上記ステップS12において、認証制御部21Aが、認証が成功しなかったと判定した場合には(S12:No)、ステップS10に戻り、認証タイプが一致する認証方式が他にあるか否かを判定し(S10)、その判定結果に応じて以降のステップに進む。
On the other hand, if the
以上のようにして、端末装置3から送信された認証情報の認証タイプに応じて、認証制御装置2Aにより認証処理が行われるので、異なる認証タイプの認証情報を複数利用するユーザであっても、複数の認証情報をそれぞれ入力する操作が不要となる。また、認証システム1Aに新たな認証タイプを追加する場合は、認証制御装置2Aの認証制御情報22を更新すればよいため、認証システム1Aを運用管理する負担が軽減される。
As described above, authentication processing is performed by the
[第2の実施の形態]
図5は、本発明の第2の実施の形態に係る認証システムの構成例を示す概略図である。この認証システム1Bは、認証制御装置2Bと、第1乃至第2の端末装置3A,3Bと、第1の実施の形態と同様に構成されたLDAP認証サーバ4及びPKI認証サーバ5と、第1及び第2のサービス提供サーバ6A,6Bと、それら認証制御装置2B、端末装置3A,3B、LDAP認証サーバ4、PKI認証サーバ5及びサービス提供サーバ6A,6Bを相互に接続するネットワーク10とから構成されている。なお、第1乃至第2の端末装置3A,3Bは、第1の実施の形態の端末装置3と同様に構成されている。
[Second Embodiment]
FIG. 5 is a schematic diagram showing a configuration example of an authentication system according to the second embodiment of the present invention. The authentication system 1B includes an
第1及び第2のサービス提供サーバ6A,6Bは、例えば、ウェブサーバ、ファイルサーバ等のサービス(機能)を提供するサーバである。
The first and second
(認証制御装置)
図6は、本発明の第2の実施の形態に係る認証制御装置の構成例を示すブロック図である。認証制御装置2Bは、第1の実施の形態と同様の認証制御情報22、ローカル認証処理部23、LDAP認証処理部24、PKI認証処理部25、ユーザプロファイルDB26及びユーザ特定部27の他に、受付部20B、認証制御部21B、SSO(Single Sign On)処理部28、セッション管理情報29を備える。なお、認証制御部21B及びSSO処理部28が、制御部を構成する。
(Authentication control device)
FIG. 6 is a block diagram showing a configuration example of an authentication control apparatus according to the second embodiment of the present invention. In addition to the
受付部20Bは、認証情報の代わりに認証要求を受け付ける。認証要求は、認証情報を含む場合と含まない場合がある。また、認証要求は、例えば、クッキーに記録した情報としてセッションIDを含む場合と含まない場合がある。なお、受付部20Bは、第1及び第2の端末装置3A,3Bから送信された認証要求を直接受け付けてもよいし、第1及び第2のサービス提供サーバ6A,6Bを経由して受け付けてもよい。
The accepting
SSO処理部28は、認証処理部23〜25のいずれかで認証が成功したとき、その認証が成功した旨を示すセッション情報(認証状態情報)と、そのセッション情報に関連付けたセッションIDを生成し、セッション管理情報29に登録し、セッションIDを認証情報の受付元の端末装置に送信する。
When the authentication is successful in any of the
また、SSO処理部28は、セッションIDが受付部20Bにより受け付けられた認証情報にセッションIDが含まれている場合には、そのセッションIDに関連付けられたセッション情報が有効(適式)であるか否かを判定し、セッション情報が有効と判定したとき、その旨を示すセッション有効通知を認証制御部21Bに送る。
In addition, when the session ID is included in the authentication information received by the receiving
認証制御部21Bは、SSO処理部28からセッション有効通知を受け取ると、複数の認証処理部23〜25において認証が成功したものとみなして、複数の認証処理部23〜25を制御する。
Upon receiving the session validity notification from the
図7は、セッション管理情報の一例を示す図である。このセッション管理情報29は、セッションIDをキーにして、複数のセッション情報を管理する。セッション情報としては、例えば、認証が成功したユーザを示すログインユーザと、そのログインユーザの認証成功状態が保持される期間を示す有効期間等が挙げられる。
FIG. 7 is a diagram illustrating an example of session management information. The
(第2の実施の形態の動作)
以下に、本発明の第2の実施の形態に係る認証制御装置2Bの動作の一例を図8のフローチャートに従って説明する。ここでは、ユーザが第1の端末装置3Aを操作して、第1のサービス提供サーバ6Aにアクセスした場合について説明する。
(Operation of Second Embodiment)
Below, an example of operation | movement of the
まず、第1の端末装置3Aは、第1のサービス提供サーバ6Aが提供するサービスを利用する際に、ユーザの入力操作により受け付けた認証要求を第1のサービス提供サーバ6Aに送信する。第1のサービス提供サーバ6Aは、その認証要求を受信すると、その認証要求を認証制御装置2Bに転送(リダイレクト)する。
First, when using the service provided by the first
次に、認証制御装置2Bの受付部20Bは、その認証要求を受け付けると(S1)、SSO処理部28は、その認証要求にセッションIDが含まれているか否かを判定する(S2)。
Next, when the receiving
そして、SSO処理部28は、セッションIDが含まれていると判定した場合には(S2:Yes)、そのセッション情報が有効か否かを判定する(S3)。具体的には、SSO処理部28は、セッション管理情報29を参照し、そのセッションIDに対応するセッション管理情報を取得する。そして、SSO処理部28は、そのセッション管理情報の有効期限が過ぎていない場合には、セッション情報が有効であると判定する。
If it is determined that the session ID is included (S2: Yes), the
次に、SSO処理部28が、セッション情報が有効であると判定した場合には(S3:Yes)、セッション有効通知を認証制御部21Bに送る。そのセッション有効通知を受けた認証制御部21Bは、認証が成功したものとみなし、認証が成功した旨を第1のサービス提供サーバ6Aに送信する(S4)。
Next, when the
一方、SSO処理部28が、セッション情報が含まれていないと判定した場合(S2:No)、又はセッション情報が有効でないと判定した場合には(S3:No)、認証制御部21Bは、その認証要求に認証情報が含まれているか否かを判定する(S5)。
On the other hand, when the
そして、認証制御部21Bは、認証情報が含まれていないと判定した場合には(S5:No)、認証情報の入力要求を第1のサービス提供サーバ6Aに送信する(S40)。
If it is determined that the authentication information is not included (S5: No), the authentication control unit 21B transmits an authentication information input request to the first
一方、認証制御部21Bが、認証情報が含まれていると判定した場合には(S5:Yes)、認証制御部21Aは、その認証情報の認証タイプを判別し、その判別した認証タイプに一致する認証方式があるか否かを認証制御情報22を参照して判定する(S10)。
On the other hand, when the authentication control unit 21B determines that the authentication information is included (S5: Yes), the
そして、認証制御部21Bが、一致する認証方式がないと判定した場合には(S10:No)、その認証情報に対して認証が失敗した旨を第1の端末装置3Aに送信する(S30)。そして、SSO処理部28は、例えば、上記ステップS3においてセッション情報が有効でないと判定した場合には(S3:No)、そのセッション情報をセッション管理情報29からクリアする(S31)。
If the authentication control unit 21B determines that there is no matching authentication method (S10: No), the fact that authentication has failed for the authentication information is transmitted to the first
一方、認証制御部21Bが、一致する認証方式があると判定した場合には(S10:Yes)、認証処理部23〜25のうちその認証方式に該当する認証処理部を決定し、その認証処理部に実行指示を送る。その実行指示を受けた認証処理部23〜25は、認証処理を実行する(S11)。
On the other hand, when the authentication control unit 21B determines that there is a matching authentication method (S10: Yes), an authentication processing unit corresponding to the authentication method is determined from the
次に、認証処理部23〜25は、認証処理の結果を示す判定結果情報を認証制御部21Bに送り、認証制御部21Bは、その判定結果情報に基づいて認証が成功したか否かを判定する(S12)。
Next, the
次に、認証制御部21Bが、認証が成功したと判定した場合には(S12:Yes)、認証制御部21Aは、ユーザ特定部27に特定指示を送り、その特定指示を受けたユーザ特定部27は、ユーザプロファイルDB26においてユーザ特定フィールドを検索し(S20)、認証成功ユーザを特定する(S21)。
Next, when the authentication control unit 21B determines that the authentication is successful (S12: Yes), the
次に、SSO処理部28は、セッション管理情報29に認証成功ユーザに関するセッション情報を記録し、そのセッションIDを第1の端末装置3Aに送信する(S22)。そして、第1の端末装置3Aは、そのセッションID受信すると、自己の記憶部に記憶する。
Next, the
一方、上記ステップS12において、認証制御部21Bが、認証が成功しなかったと判定した場合には(S12:No)、ステップS10に戻り、認証タイプが一致する認証方式が他にあるか否かを判定し(S10)、その判定結果に応じて以降のステップに進む。 On the other hand, if the authentication control unit 21B determines in step S12 that the authentication has not succeeded (S12: No), the process returns to step S10 to determine whether there is another authentication method with the same authentication type. The determination is made (S10), and the process proceeds to the subsequent steps according to the determination result.
その後、第1の端末装置3Aが、第1及び第2のサービス提供サーバ6A,6Bのいずれかを利用すべく認証要求を送信する場合には、第1の端末装置3Aの記憶部に記憶されたセッションIDを認証要求に付加して送信する。そして、認証制御装置2BのSSO処理部28が、そのセッションIDに関連付けられたセッション情報が有効と判定した場合には、認証が成功したものとみなされるので、ユーザは改めて認証情報を入力する操作が不要となる。
Thereafter, when the first
(他の実施の形態)
なお、本発明は、上記各実施の形態に限定されず、本発明の趣旨を逸脱しない範囲内で種々な変形が可能である。例えば、上記各実施の形態における認証制御装置の受付部、認証制御部、認証制御部、認証制御情報、ローカル認証処理部、LDAP認証処理部、PKI認証処理部、ユーザ特定部、SSO処理部等は、CPU等の演算部と認証制御プログラムによって実現してもよいし、それらの一部または全部を特定用途向け集積回路(ASIC:Application Specific IC)等のハードウェアによって実現してもよい。
(Other embodiments)
The present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the spirit of the present invention. For example, the reception unit, authentication control unit, authentication control unit, authentication control information, local authentication processing unit, LDAP authentication processing unit, PKI authentication processing unit, user identification unit, SSO processing unit, etc. May be realized by a calculation unit such as a CPU and an authentication control program, or a part or all of them may be realized by hardware such as an application specific integrated circuit (ASIC).
また、上記各実施の形態で使用されるプログラムは、CD−ROM等の記録媒体から装置内の記憶部に読み込んでもよく、インターネット等のネットワークに接続されているサーバ等から装置内の記憶部にダウンロードしてもよい。 The program used in each of the above embodiments may be read from a recording medium such as a CD-ROM into a storage unit in the apparatus, or from a server or the like connected to a network such as the Internet to the storage unit in the apparatus. You may download it.
また、上記各実施の形態において、認証システムが有する機能やデータ等は、認証システム全体として備えられていればよく、例えば、認証制御情報、ユーザプロファイルDBは、別の記憶装置に記憶されていてもよい。 Further, in each of the above-described embodiments, the functions, data, and the like possessed by the authentication system may be provided as a whole authentication system. For example, the authentication control information and the user profile DB are stored in another storage device. Also good.
また、端末装置が認証情報を受け付ける方法は、キー入力の他に、例えば、ユーザが所有するIDカード等から非接触カードリーダ等により認証情報を読み取ってもよいし、声紋、指紋、静脈及び顔画像等の各ユーザの身体的な特徴情報を認証情報として受け付けてもよい。 In addition to key input, the terminal device accepts authentication information by, for example, reading authentication information from an ID card or the like owned by the user using a contactless card reader or the like, or a voice print, fingerprint, vein or face Physical feature information of each user such as an image may be received as authentication information.
1A,1B…認証システム、2A,2B…認証制御装置、3,3A,3B…端末装置、4…LDAP認証サーバ、5…PKI認証サーバ、6A,6B…サービス提供サーバ、10…ネットワーク、20A,20B…受付部、21A,21B…認証制御部、22…認証制御情報、23…ローカル認証処理部、24…LDAP認証処理部、25…PKI認証処理部、26…ユーザプロファイルDB、27…ユーザ特定部、28…SSO処理部、29…セッション管理情報、230…ローカル認証情報 DESCRIPTION OF SYMBOLS 1A, 1B ... Authentication system, 2A, 2B ... Authentication control apparatus, 3, 3A, 3B ... Terminal device, 4 ... LDAP authentication server, 5 ... PKI authentication server, 6A, 6B ... Service provision server, 10 ... Network, 20A, 20B ... Reception unit, 21A, 21B ... Authentication control unit, 22 ... Authentication control information, 23 ... Local authentication processing unit, 24 ... LDAP authentication processing unit, 25 ... PKI authentication processing unit, 26 ... User profile DB, 27 ... User identification , 28 ... SSO processing unit, 29 ... session management information, 230 ... local authentication information
Claims (5)
認証情報を受け付ける受付部と、
前記受付部により受け付けられた前記認証情報の種別を判別し、前記複数の認証処理部のうち判別した前記種別に対応する前記認証処理部に前記認証処理を行わせ、その結果認証が成功したとき、前記複数の認証処理部のうち当該認証処理部以外の他の認証処理部においても認証が成功したものとみなして、前記他の認証処理部を制御する制御部とを備えた認証制御装置。 A plurality of authentication processing units for performing authentication processing based on different types of authentication information;
A reception unit for receiving authentication information;
When the type of the authentication information received by the receiving unit is determined, and the authentication processing unit corresponding to the determined type among the plurality of authentication processing units is caused to perform the authentication process, and as a result, the authentication is successful An authentication control device comprising: a control unit that controls the other authentication processing unit by assuming that the authentication processing unit other than the authentication processing unit among the plurality of authentication processing units has succeeded in authentication.
前記制御部は、前記受付部により受け付けられた前記認証状態情報が適式か否かを判定し、前記認証状態情報が適式であると判定したとき、前記複数の認証処理部において認証が成功したものとみなして、前記複数の認証処理部を制御する請求項3に記載の認証制御装置。 The reception unit receives the authentication status information,
The control unit determines whether or not the authentication status information received by the receiving unit is appropriate, and when the authentication status information is determined to be appropriate, authentication is successful in the plurality of authentication processing units. The authentication control apparatus according to claim 3, wherein the authentication control device controls the plurality of authentication processing units.
前記受付ステップにより受け付けられた前記認証情報の種別を判別し、異なる種別の認証情報に基づいて認証処理を行う複数の認証処理部のうち判別した前記種別に対応する前記認証処理部に前記認証処理を行わせ、その結果認証が成功したとき、前記複数の認証処理部のうち当該認証処理部以外の他の認証処理部においても認証が成功したものとみなして、前記他の認証処理部を制御する制御ステップとをコンピュータに実行させる認証制御プログラム。 A reception step for receiving authentication information;
The type of the authentication information received by the receiving step is determined, and the authentication processing unit corresponding to the determined type is identified among the plurality of authentication processing units that perform authentication processing based on different types of authentication information. When the authentication is successful as a result, it is assumed that the authentication processing unit other than the authentication processing unit among the plurality of authentication processing units has been authenticated, and the other authentication processing unit is controlled. An authentication control program for causing a computer to execute a control step.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008240841A JP2010073001A (en) | 2008-09-19 | 2008-09-19 | Authentication control apparatus and authentication control program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008240841A JP2010073001A (en) | 2008-09-19 | 2008-09-19 | Authentication control apparatus and authentication control program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010073001A true JP2010073001A (en) | 2010-04-02 |
Family
ID=42204703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008240841A Pending JP2010073001A (en) | 2008-09-19 | 2008-09-19 | Authentication control apparatus and authentication control program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010073001A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019049986A (en) * | 2018-10-09 | 2019-03-28 | キヤノン株式会社 | Image forming system, image forming apparatus, method for controlling the system, and program |
-
2008
- 2008-09-19 JP JP2008240841A patent/JP2010073001A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019049986A (en) * | 2018-10-09 | 2019-03-28 | キヤノン株式会社 | Image forming system, image forming apparatus, method for controlling the system, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4413774B2 (en) | User authentication method and system using e-mail address and hardware information | |
| US10050952B2 (en) | Smart phone login using QR code | |
| US6510236B1 (en) | Authentication framework for managing authentication requests from multiple authentication devices | |
| US8819787B2 (en) | Securing asynchronous client server transactions | |
| EP3451617A1 (en) | Authority transfer system, control method therefor, computer program and storage medium | |
| US9185146B2 (en) | Service providing system | |
| JP5296726B2 (en) | Web content providing system, web server, content providing method, and programs thereof | |
| JP2007102778A (en) | User authentication system and method therefor | |
| JP5764501B2 (en) | Authentication device, authentication method, and program | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| US11611551B2 (en) | Authenticate a first device based on a push message to a second device | |
| JP5565408B2 (en) | ID authentication system, ID authentication method, authentication server, terminal device, authentication method of authentication server, communication method of terminal device, and program | |
| JP5951094B1 (en) | Generation device, terminal device, generation method, generation program, and authentication processing system | |
| JP2008242926A (en) | Authentication system, authentication method and authentication program | |
| US20060200854A1 (en) | Server with authentication function, and authentication method | |
| JP6240102B2 (en) | Authentication system, authentication key management device, authentication key management method, and authentication key management program | |
| JP2011221729A (en) | Id linking system | |
| JP6570480B2 (en) | Generation device, terminal device, generation method, generation program, and authentication processing system | |
| EP2916509B1 (en) | Network authentication method for secure user identity verification | |
| WO2017029708A1 (en) | Personal authentication system | |
| JP2021060744A (en) | Information processing device, information processing system and program | |
| US20220107822A1 (en) | Remote control system, remote control method, and non-transitory information recording medium | |
| JP2010073001A (en) | Authentication control apparatus and authentication control program | |
| JP5793593B2 (en) | Network authentication method for securely verifying user identification information | |
| JP6119624B2 (en) | Karaoke apparatus and login extension method in karaoke apparatus |