JP2010165306A - Method and system for providing service, proxy device, program therefor - Google Patents

Method and system for providing service, proxy device, program therefor Download PDF

Info

Publication number
JP2010165306A
JP2010165306A JP2009009117A JP2009009117A JP2010165306A JP 2010165306 A JP2010165306 A JP 2010165306A JP 2009009117 A JP2009009117 A JP 2009009117A JP 2009009117 A JP2009009117 A JP 2009009117A JP 2010165306 A JP2010165306 A JP 2010165306A
Authority
JP
Japan
Prior art keywords
service
authentication
request information
transmits
receives
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009009117A
Other languages
Japanese (ja)
Inventor
Makiko Aoyanagi
真紀子 青柳
Manabu Okamoto
学 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2009009117A priority Critical patent/JP2010165306A/en
Publication of JP2010165306A publication Critical patent/JP2010165306A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To reduce authentication costs, and system construction costs. <P>SOLUTION: A user device performs an integrated service utilization request to a proxy device, the proxy device performs source requests to each of service devices which provide service sources constituting the integrated service, the service device performs an authentication request to the proxy device, the proxy device transmits received authentication request information to an authentication device, the authentication device transmits authentication result information to the proxy device, the proxy device transmits, when the authentication result information is received, the received authentication result information to the service device, the service device transmits the service sources to the proxy device when determination of the authentication result information is authenticated, the proxy device integrates the service sources when the service sources constituting the integrated service are received, and transmits the integrated service to the user device. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は例えば、複数のサービスソースを統合して統合サービスを提供するサービス提供方法、サービス提供システム、代理装置、そのプログラムに関する。   The present invention relates to, for example, a service providing method, a service providing system, a proxy device, and a program for providing an integrated service by integrating a plurality of service sources.

従来、複数のサービスソース(マッシュアップソース)を統合(マッシュアップ)させて統合サービスを提供する手法がある(非特許文献1などを参照)。図1に統合サービスの例を示す。図1に示す統合サービスは、時刻の情報についてのサービスソースX、天気の情報についてのサービスソースY、ニュースの情報についてのサービスソースZ、背景の情報についてのサービスソースV、これら4つのサービスソースからなるものである。   Conventionally, there is a method of providing an integrated service by integrating (mashing up) a plurality of service sources (mashup sources) (see Non-Patent Document 1, etc.). FIG. 1 shows an example of an integrated service. The integrated service shown in FIG. 1 includes a service source X for time information, a service source Y for weather information, a service source Z for news information, a service source V for background information, and these four service sources. It will be.

図2に、ユーザ装置100が統合サービスを受けるためシステム構成の例を示す。図2に示すように、サービスソースを提供するサービス装置がN個あり、サービス装置400(n=1、...、N)とする。図1の例では、4個のサービス装置400〜400がそれぞれサービスソースX、Y、Z、Vを提供する。サービス装置400〜400よりのサービスソースX、Y、Z、Vは統合装置50に送信される。そして、統合装置50が4個のサービスソースX、Y、Z、Vを統合することで、統合サービスを生成し、ユーザ装置100に送信する。 FIG. 2 shows an example of a system configuration for the user apparatus 100 to receive the integrated service. As shown in FIG. 2, there are N service devices that provide service sources, and it is assumed that the service device 400 n (n = 1,..., N). In the example of FIG. 1, four service devices 400 1 to 400 4 provide service sources X, Y, Z, and V, respectively. The service sources X, Y, Z, and V from the service devices 400 1 to 400 4 are transmitted to the integration device 50. Then, the integrated device 50 integrates the four service sources X, Y, Z, and V to generate an integrated service and transmit it to the user device 100.

川崎有亮、” WebサービスAPI+マッシュアップことはじめ”[online]2006年11月10日、Itpro、[平成21年1月13日検索]、インターネット〈URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20061020/251301/〉Yusuke Kawasaki, “Web Service API + Getting Started with Mashup” [online] November 10, 2006, Itpro, [Search January 13, 2009], Internet <URL: http://itpro.nikkeibp.co. jp / article / COLUMN / 20061020/251301 /〉

従来の統合サービス提供手法の場合に、ユーザ(ユーザ装置100を利用する者)がN個全てのサービス装置400とユーザ認証を行わなければならない場合、N回のユーザ認証を行わなければならず、認証コストが高かった。 In the case of conventional integrated service providing method, (who uses the user device 100) if the user must perform all N service apparatus 400 n and the user authentication, it is necessary to perform user authentication of N times The certification cost was high.

ところで、シングルサインオンという技術がある。この技術は、1回のユーザ認証を受けるだけで、許可されているサービス装置から全てのサービスを受けることができるものであり、認証コストを下げるものである。図3にシングルサインオンの処理フローの例を示し、図3を用いて、簡単にシングサインオンを説明する。また、シングルサインオンの代表的な例として、SAMLについては、[平成21年1月13日検索]、インターネット〈URL:http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=security〉に記載されている。また、オープンIDについては、[平成21年1月13日検索]、インターネット〈URL:http://openid.net/〉に記載されている。   By the way, there is a technique called single sign-on. This technology can receive all services from a permitted service device by receiving only one user authentication, and reduces the authentication cost. FIG. 3 shows an example of a single sign-on processing flow, and single sign-on will be briefly described with reference to FIG. In addition, as a representative example of single sign-on, SAML [Search January 13, 2009], Internet <URL: http://www.oasis-open.org/committees/tc_home.php?wg_abbrev = security>. The open ID is described in [Search on January 13, 2009] and the Internet <URL: http://openid.net/>.

ユーザ装置100がサービス利用を要求するための利用要求情報を生成し、サービス装置700に送信する(ステップS302)サービス装置700が、利用要求情報を受信すると、認証処理を要求するための認証要求情報をユーザ装置100に送信し、リダイレクトで、当該認証要求情報を認証装置200に送信する(ステップS304)。   User apparatus 100 generates use request information for requesting service use and transmits it to service apparatus 700 (step S302). When service apparatus 700 receives use request information, authentication request information for requesting an authentication process. Is transmitted to the user apparatus 100, and the authentication request information is transmitted to the authentication apparatus 200 by redirection (step S304).

認証装置200が、認証要求情報を受信すると、認証装置200がユーザ認証を行う。ユーザは認証装置200にアカウントを予め持っているとし、ユーザが共有している認証情報(例えば、パスワード)をユーザ装置100が認証装置200に送信し、認証装置200が送信された認証情報が正当なものか否かを判断する。   When the authentication device 200 receives the authentication request information, the authentication device 200 performs user authentication. Assume that the user has an account in the authentication device 200 in advance, the user device 100 transmits authentication information (for example, a password) shared by the user to the authentication device 200, and the authentication information transmitted by the authentication device 200 is valid. Judge whether or not

認証装置200の判断結果(ユーザが認証されたか否か)である認証結果情報がサービス装置700に送信される。サービス装置700が受信した認証結果情報を検証した結果、ユーザが認証された旨のものであれば、サービス装置700はユーザ装置100にサービスを送信(提供)する。そして、一度、ユーザが認証されれば、認証装置200に許可されている他のサービス装置からサービスを受けることができ、結果として認証コストを削減できる。   Authentication result information that is a determination result (whether or not the user has been authenticated) of the authentication device 200 is transmitted to the service device 700. As a result of verifying the authentication result information received by the service device 700, if the user is authenticated, the service device 700 transmits (provides) a service to the user device 100. Once the user is authenticated, the service can be received from another service device permitted by the authentication device 200, and as a result, the authentication cost can be reduced.

このシングルサインオンを統合サービス提供手法に適用して、認証コストを低減できるとも考えられる。しかし、シングルサインオンのプロトコルに準拠して適用することは容易ではない。理由を説明すると、シングルサインオンプロトコルに従うと、サービス装置400からのサービスソースBは、ユーザ認証の起点(つまり、ユーザ装置100)に送信され、統合装置50に送信されなくなる。そうすると、サービスソースは統合装置50を通して、提供されない。また、サービスソースを統合装置50に送信するように設計し直すとすると、シングルサインオンプロトコルを崩すことになり、システム構築コスト、システム導入コストなどがかかる。 It may be possible to reduce the authentication cost by applying this single sign-on to the integrated service provision method. However, it is not easy to apply in compliance with the single sign-on protocol. Explaining the reason, according to the single sign-on protocol, the service source B n from the service device 400 n is transmitted to the starting point of user authentication (that is, the user device 100) and is not transmitted to the integration device 50. Then, the service source is not provided through the integration device 50. Further, if the service source is redesigned so as to be transmitted to the integrated device 50, the single sign-on protocol is destroyed, and system construction costs, system introduction costs, and the like are required.

上記の課題を解決するために、以下の方法でサービス提供を行う。ユーザ装置が、代理装置に統合サービスを利用するための利用要求情報を送信する。代理装置が、利用要求情報を受信すると、認証要求情報を認証装置に送信する。認証装置が、認証要求情報を受信すると、認証結果情報を代理装置に送信する。代理装置が、認証結果情報を受信すると、当該受信した認証結果情報をサービス装置に送信する。サービス装置が、認証結果情報を受信すると、当該認証結果情報を判定し、認証済みであれば、サービスソースを代理装置に送信する。代理装置が、統合サービスを構成するサービスソースを受信すると、当該サービスソースを統合し、当該統合サービスをユーザ装置に送信する。   In order to solve the above problems, services are provided by the following method. The user device transmits use request information for using the integrated service to the proxy device. When the proxy device receives the usage request information, the proxy device transmits the authentication request information to the authentication device. When the authentication device receives the authentication request information, the authentication device transmits authentication result information to the proxy device. When the proxy device receives the authentication result information, the proxy device transmits the received authentication result information to the service device. When the service device receives the authentication result information, the service device determines the authentication result information. If the service device has been authenticated, the service device transmits the service source to the proxy device. When the proxy device receives the service source constituting the integrated service, the proxy device integrates the service source and transmits the integrated service to the user device.

本発明のサービス提供方法によれば、従来のシングルサインオンのプロトコルに準拠して、統合サービス提供手法に適用できることから、認証コスト、システム構築コストなどを軽減できるという効果がある。   According to the service providing method of the present invention, since it can be applied to an integrated service providing method in accordance with the conventional single sign-on protocol, there is an effect that the authentication cost, the system construction cost, and the like can be reduced.

統合サービスの一例を示した図。The figure which showed an example of the integrated service. 従来の統合サービス提供システムの機能構成例を示した図。The figure which showed the function structural example of the conventional integrated service provision system. シングルサインオンの処理フローの一例を示した図。The figure which showed an example of the processing flow of single sign-on. 本実施例のサービス提供システムの構成例を示した図。The figure which showed the structural example of the service provision system of a present Example. 本実施例の処理フローを示した図。The figure which showed the processing flow of the present Example. 本実施例のユーザ装置などの機能構成例を示した図。The figure which showed the function structural examples, such as the user apparatus of a present Example. 宛先リストの一例を示した図。The figure which showed an example of the destination list. 別の実施例の処理フローの前編を示した図。The figure which showed the first part of the processing flow of another Example. 別の実施例の処理フローの後編を示した図。The figure which showed the sequel of the processing flow of another Example. コンテナ装置、統合装置の機能構成例を示した図。The figure which showed the function structural example of the container apparatus and the integrated apparatus. HTTP Artifact Binding方式を適用した場合の処理フローの前編を示した図。The figure which showed the first part of the processing flow at the time of applying an HTTP Artifact Binding method. HTTP Artifact Binding方式を適用した場合の処理フローの中編を示した図。The figure which showed the first part of the processing flow at the time of applying an HTTP Artifact Binding method. HTTP Artifact Binding方式を適用した場合の処理フローの後編を示した図。The figure which showed the second part of the processing flow at the time of applying an HTTP Artifact Binding method.

以下、本発明の実施の形態について、詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail.

図4にサービス提供システムの構成例を示し、図5に処理フローを示し、図6にユーザ装置100など機能構成例を示す。図4に示すように、本実施例のサービス提供システムは、ユーザ装置100、認証装置200、代理装置300、それぞれがサービスソースBを提供するN個のサービス装置400(n=1、...、N)とで構成され、ユーザ装置100、認証装置200、代理装置300は、ネットワーク70で接続されている。N個のサービス装置400は代理装置300に接続されている。 FIG. 4 shows a configuration example of the service providing system, FIG. 5 shows a processing flow, and FIG. 6 shows a functional configuration example such as the user apparatus 100. As shown in FIG. 4, the service providing system of this embodiment, the user device 100, the authentication device 200, the proxy device 300, each providing a service source B n N pieces of service equipment 400 n (n = 1 ,. The user apparatus 100, the authentication apparatus 200, and the proxy apparatus 300 are connected via a network 70. N service devices 400 n are connected to the proxy device 300.

前提条件として、ユーザ装置100は認証装置200のアカウントを持っており、代理装置300から見て、認証装置200、サービス装置400は信頼関係がある(お互いにサーバ認証されている)なものであるとする。また、ユーザ装置100は、統合サービスWを要求しているものとし、統合サービスWは、N個のサービスソースB(n=1、...、N)により構成されているものとする。サービス装置400が、それぞれ対応するサービスソースBを提供しているものとする。 As a prerequisite, the user device 100 has an account of the authentication device 200, as viewed from the proxy device 300, the authentication device 200, the service device 400 n intended trust relationship (which is server authentication to each other) Suppose there is. Further, it is assumed that the user apparatus 100 requests the integrated service W, and the integrated service W is configured by N service sources B n (n = 1,..., N). It is assumed that each service device 400 n provides a corresponding service source B n .

まず、ユーザ装置100の情報生成部104が、統合サービスを利用するための利用要求情報Aを生成して、送受信部102が利用要求情報Aを代理装置300に送信する(ステップS102)。代理装置300の送受信部302が、利用要求情報Aを受信すると、サービスソースBを要求するための情報であるソース要求情報Cを、対応するサービス装置400に送信する(ステップS104)。サービス装置400の送受信部402が、ソース要求情報Cを受信すると、サービス装置400の情報生成部404は、ユーザ認証を要求するための情報である認証要求情報Dを生成し、送受信部402が代理装置300に認証要求情報Dを送信する(ステップS106)。当該ステップS106の送受信部402の認証要求情報Dの送信処理は、シングルサインオンプロトコルに基づいて、ソース要求情報Cの送信元である代理装置300に対して行われる。 First, the information generation unit 104 of the user device 100 generates usage request information A for using the integrated service, and the transmission / reception unit 102 transmits the usage request information A to the proxy device 300 (step S102). Transceiver 302 of the proxy device 300 receives the use request information A, transmits the source request information C is information for requesting the service source B n, the corresponding service device 400 n (step S104). When the transmission / reception unit 402 of the service device 400 n receives the source request information C, the information generation unit 404 of the service device 400 n generates authentication request information D that is information for requesting user authentication, and the transmission / reception unit 402. Transmits the authentication request information D to the proxy device 300 (step S106). The transmission process of the authentication request information D of the transmission / reception unit 402 in step S106 is performed on the proxy device 300 that is the transmission source of the source request information C based on the single sign-on protocol.

代理装置300の送受信部302が、認証要求情報Dを受信する。ここで、代理装置300は認証要求情報Dの宛先を変換して、当該受信した認証要求情報Dを変えずに認証装置200に送信する。   The transmission / reception unit 302 of the proxy device 300 receives the authentication request information D. Here, the proxy device 300 converts the destination of the authentication request information D and transmits the received authentication request information D to the authentication device 200 without changing it.

ここで宛先変換の第1の手法として、ステップS106において、サービス装置400は認証装置200の宛先情報(例えば、URL)を含ませた認証要求情報Dを代理装置300に送信する。そして、代理装置の送受信部302は、当該含まれた認証装置200の宛先情報を用いて認証要求情報Dを認証装置200に送信する。 As a first approach where the destination conversion, in step S106, the service apparatus 400 n transmits the destination information of the authentication device 200 (e.g., URL) an authentication request information D moistened with the proxy device 300. Then, the transmission / reception unit 302 of the proxy device transmits the authentication request information D to the authentication device 200 using the destination information of the included authentication device 200.

第2の手法として、代理装置300の記憶部306に宛先リストを格納させる。図7に宛先リストの例を示す。図7に示すように、宛先リストとは、一例として、サービス装置の宛先αと認証装置の宛先βとを対応付けたものである。代理装置300の変換部308が宛先リストを参照して、認証要求情報Dの送信元のサービス装置400の宛先αと対応する認証装置の宛先βを取り出し、当該宛先βに対して、受信した認証要求情報Dを送信する。つまり、代理装置300は認証要求情報Dの宛先変換を行い、受信した認証要求情報Dそのまま(同一性を変えずに)、認証装置200に対して送信する。図5に示すように、ユーザ装置100に送信し、リダイレクトにより認証装置200に送信してもよい。認証要求情報Dの宛先変換手法は第1、第2の手法に限られない。 As a second method, the destination list is stored in the storage unit 306 of the proxy device 300. FIG. 7 shows an example of the destination list. As shown in FIG. 7, the destination list is an example in which a destination α of the service device is associated with a destination β of the authentication device. The conversion unit 308 of the proxy device 300 refers to the destination list, extracts the destination β of the authentication device corresponding to the destination α of the service device 400 n that is the transmission source of the authentication request information D, and received it for the destination β Authentication request information D is transmitted. That is, the proxy device 300 performs destination conversion of the authentication request information D, and transmits it to the authentication device 200 as it is (without changing the identity). As shown in FIG. 5, it may be transmitted to the user apparatus 100 and transmitted to the authentication apparatus 200 by redirection. The destination conversion method of the authentication request information D is not limited to the first and second methods.

また、以下の[具体例]で説明する「Unsolicited Response」方式を適用すれば、ステップS104とステップS106とを省略できる。この場合は、代理装置300の情報生成部304が認証要求情報Dを生成し、当該認証要求情報Dを認証装置200に送信すればよい。   Further, if the “Unsolicited Response” method described in [Specific Example] below is applied, Step S104 and Step S106 can be omitted. In this case, the information generation unit 304 of the proxy device 300 may generate the authentication request information D and transmit the authentication request information D to the authentication device 200.

認証装置200が、認証要求情報Dを受信すると、認証装置200はユーザ認証を行う(ステップS109)。ユーザ認証の一例として、ユーザが認証装置200に予めパスワードを設定し、ユーザ装置100は当該パスワードを認証装置200に送信し、認証装置200が受信したパスワードが正当であるか否かを判定する。また、このユーザ認証処理は事前(ステップS102の前)に行っていても良い。そして、ユーザの認証状態(認証済みか否か)は認証装置200の記憶部206に記憶する。   When the authentication device 200 receives the authentication request information D, the authentication device 200 performs user authentication (step S109). As an example of user authentication, the user sets a password in the authentication device 200 in advance, and the user device 100 transmits the password to the authentication device 200 to determine whether the password received by the authentication device 200 is valid. Further, this user authentication process may be performed in advance (before step S102). Then, the user authentication state (whether or not authenticated) is stored in the storage unit 206 of the authentication device 200.

認証装置200の送受信部202は認証結果情報Eを代理装置300に対して、送信すし(ステップS110)、代理装置300の送受信部302が認証結果情報Eを受信する。代理装置300は当該受信した認証結果情報Eをそのまま(同一性を変えずに)に、認証結果情報Eと対応する認証要求情報Dの送信元のサービス装置400に送信する。 The transmission / reception unit 202 of the authentication device 200 transmits the authentication result information E to the proxy device 300 (step S110), and the transmission / reception unit 302 of the proxy device 300 receives the authentication result information E. Proxy device 300 as it is the authentication result information (E), which the received (without changing the identity) to the sender of the service device 400 n of the authentication request information D corresponding to the authentication result information E.

サービス装置400の送受信部402が認証結果情報Eを受信すると、判定部410が、認証結果情報Eを判定し、認証結果が検証できなければ、処理を終了させるなどをすれば良い。また、認証結果が検証できれば、サービス装置400はサービスソースBを代理装置300に送信する(ステップS114)。 When the transmission / reception unit 402 of the service device 400 n receives the authentication result information E, the determination unit 410 determines the authentication result information E, and if the authentication result cannot be verified, the process may be terminated. If the authentication result can be verified, the service device 400 n transmits the service source B n to the proxy device 300 (step S114).

そして、代理装置300が、統合サービスWを構成するためのサービスソースBを収集すると、サービスソースBを統合することで統合サービスWを生成し、統合サービスWをユーザ装置100に送信する。 Then, when the proxy device 300 collects the service source B n for configuring the integrated service W, the integrated service W is generated by integrating the service source B n and the integrated service W is transmitted to the user device 100.

このように、本実施例であれば、シングルサインオンプロトコルに準拠して統合サービス提供手法に適用できる。図5に示すように、本実施例のサービス提供方法であれば、代理装置300が利用要求情報Aを一旦、受信して(ステップS102)、サービス装置400にソース要求情報Cを送信している。また、代理装置300が認証結果情報Eを一旦、受信して(ステップS112)認証結果情報Eをサービス装置400に送信している。従って、シングルサインオンプロトコルに基づいて、サービス要求の起点である代理装置300にサービスソースBは送信されることになり、代理装置300でサービスソースBを統合して、統合サービスWを生成し当該統合サービスWをユーザ装置100に対して送信できる。 In this way, the present embodiment can be applied to the integrated service providing method based on the single sign-on protocol. As shown in FIG. 5, if the service providing method of this embodiment, the proxy device 300 once the use request information A, received (step S102), transmits the source request information C to the service system 400 n Yes. Also, the proxy device 300 is transmitting the authentication result information E once received (step S112) authentication result information E to the service apparatus 400 n. Accordingly, based on the single sign-on protocol, the service source B n is transmitted to the proxy device 300 that is the origin of the service request, and the service source B n is integrated by the proxy device 300 to generate the integrated service W. Then, the integrated service W can be transmitted to the user device 100.

実施例2は、セキュリティ性向上のため、代理装置300をコンテナ装置500と統合装置600とに分けた構成である。統合装置600は、マッシュアッププログラムをコンピュータにダウンロードしたものであり、統合装置600には、サービスソースBの統合処理以外の処理をさせたくないという開発実情がある。そこで、統合装置600が呼び出せる共通機能として、コンテナ装置500を設け、統合装置600は当該コンテナ装置500に対して依頼情報Fを送信することで呼び出せるようにする。そして、統合処理以外の処理をコンテナ装置500にさせることで、統合装置600の負荷を軽減でき、開発実情にあわせることができつつ、実施例1の効果を得ることができる。図8、図9にそれぞれに実施例2のサービス提供方法の前編、後編の処理フローを示し、図10にコンテナ装置500と統合装置600の機能構成例を示す。また、図8、9は図5と対応するステップの参照番号には「−1」や「−2」を付けて表現する。例えば、実施例1で説明したステップS102は、実施例2では、ステップS102−1と対応し、実施例1で説明したステップS104は、実施例2では、ステップS104−1とステップS104−2とで構成される。また、ユーザ装置100、認証装置200、サービス装置400は図6(実施例1)と同様である。 In the second embodiment, the proxy device 300 is divided into a container device 500 and an integrated device 600 in order to improve security. The integration device 600 is obtained by downloading a mashup program to a computer, and there is a development situation that the integration device 600 does not want to perform processing other than the integration processing of the service source Bn . Therefore, a container device 500 is provided as a common function that can be called by the integrated device 600, and the integrated device 600 can be called by transmitting request information F to the container device 500. Then, by causing the container device 500 to perform processing other than the integration processing, the load of the integration device 600 can be reduced, and the effects of the first embodiment can be obtained while being able to match the development situation. 8 and 9 show the processing flow of the first part and the second part of the service providing method according to the second embodiment, respectively, and FIG. 10 shows an example of the functional configuration of the container device 500 and the integration device 600. 8 and 9 are expressed by adding “−1” and “−2” to the reference numbers of the steps corresponding to FIG. 5. For example, step S102 described in the first embodiment corresponds to step S102-1 in the second embodiment, and step S104 described in the first embodiment corresponds to step S104-1 and step S104-2 in the second embodiment. Consists of. The user device 100, the authentication device 200, the service apparatus 400 n is similar to FIG. 6 (Example 1).

ステップS102−1として、ユーザ装置100が、利用要求情報Aを統合装置600に送信する。   As step S102-1, the user apparatus 100 transmits use request information A to the integration apparatus 600.

ステップS104−1として、統合装置600の情報生成部604はコンテナ装置500を呼び出すための依頼情報Fを生成し、コンテナ装置500に送信する。ステップS104−2として、コンテナ装置500の情報生成部504は、ソース要求情報Cを生成し、送受信部502がソース要求情報Cを各サービス装置400に送信する。 In step S <b> 104-1, the information generation unit 604 of the integration apparatus 600 generates request information F for calling the container apparatus 500 and transmits the request information F to the container apparatus 500. Step S104-2, information generating section 504 of the container apparatus 500 generates source request information C, transceiver unit 502 transmits the source request information C on each service unit 400 n.

ステップS106−1として、サービス装置400は認証要求情報Dをコンテナ装置500に送信する。ステップS108−1として、コンテナ装置500の変換部508が前記第1の手法または第2の手法などを用いて認証要求情報Dの宛先を変換して、送受信部502が、受信した認証要求情報Dを認証装置200に送信する。変換部508は実施例1で説明した変換部308と同一のものである。また、以下の[具体例]で説明する「Unsolicited Response」方式であれば、ステップS104−2とステップS106−1とを省略できる。この場合は、コンテナ装置500の情報生成部506が認証要求情報Dを生成し、送受信部502が当該認証要求情報Dを認証装置200に送信すればよい。そして、ステップS109により、認証装置200はユーザ認証を行う。 Step S106-1, the service apparatus 400 n transmits an authentication request information D to the container apparatus 500. In step S108-1, the conversion unit 508 of the container device 500 converts the destination of the authentication request information D using the first method or the second method, and the transmission / reception unit 502 receives the received authentication request information D. Is transmitted to the authentication device 200. The conversion unit 508 is the same as the conversion unit 308 described in the first embodiment. Further, in the case of the “Unsolicited Response” method described in [Specific Example] below, Step S104-2 and Step S106-1 can be omitted. In this case, the information generation unit 506 of the container device 500 may generate the authentication request information D, and the transmission / reception unit 502 may transmit the authentication request information D to the authentication device 200. In step S109, the authentication apparatus 200 performs user authentication.

ステップS110−1として、認証結果情報Eは、ユーザ装置100およびコンテナ装置500に送信される。ステップS112−1として、コンテナ装置500の変換部308は認証結果情報Eについて宛先変換して、送受信部502は、受信した認証結果情報Eをそのままサービス装置400に送信する。 As step S110-1, the authentication result information E is transmitted to the user device 100 and the container device 500. Step S112-1, the conversion unit 308 of the container apparatus 500 and destination conversion for the authentication result information E, transceiver unit 502 transmits the received authentication result information E directly to the service device 400 n.

判定部410が認証結果情報Eを判定し、認証状態(当該判定が認証済みであるか否かの状態)を記憶部406に記憶させる。そして、情報生成部404が、認証キーGと認証済み情報Hとを生成する。認証キーGとは、コンテナ装置500とサービス装置400とのセッション情報であり、認証済み情報Hとは、認証結果情報Eの判定処理が終了したことを示すものである。ステップS218として、送受信部402が、認証キーGと認証済み情報Hとをコンテナ装置500に送信する。認証キーGは、一旦、コンテナ装置500の記憶部506に記憶される。ステップS220として、コンテナ装置500の送受信部502が受信した認証済み情報Hを統合装置600に送信する。   The determination unit 410 determines the authentication result information E and causes the storage unit 406 to store the authentication state (the state whether or not the determination has been authenticated). Then, the information generation unit 404 generates an authentication key G and authenticated information H. The authentication key G is session information between the container device 500 and the service device 400, and the authenticated information H indicates that the determination process of the authentication result information E has been completed. In step S218, the transmission / reception unit 402 transmits the authentication key G and the authenticated information H to the container device 500. The authentication key G is temporarily stored in the storage unit 506 of the container device 500. In step S220, the authenticated information H received by the transmission / reception unit 502 of the container apparatus 500 is transmitted to the integration apparatus 600.

ステップS222として、統合装置600の送受信部602が、認証済み情報Hを受信すると、情報生成部604がソース依頼情報Jを生成し、コンテナ装置500に送信する。ソース依頼情報Jとは、コンテナ装置500にサービスソースBの受信を依頼するための情報である。 In step S <b> 222, when the transmission / reception unit 602 of the integration apparatus 600 receives the authenticated information H, the information generation unit 604 generates source request information J and transmits it to the container apparatus 500. The source request information J is information for requesting the container device 500 to receive the service source Bn .

コンテナ装置500の送受信部502がソース依頼情報Jを受信すると、情報生成部504が、ソース要求情報Cを生成する。そして、ステップS224として、当該ソース要求情報Cと記憶部506に記憶させていた認証キーGをサービス装置400に送信する。サービス装置400の送受信部402が、ソース要求情報Cと認証キーGと受信すると、判定部410が認証キーGが正当であるか否かを判定する。ステップS226として、判定部410の判定が正当であれば、サービス装置400はサービスソースBをコンテナ装置500に送信する。ステップS228として、コンテナ装置500は受信したサービスソースBを統合装置600に送信する。 When the transmission / reception unit 502 of the container device 500 receives the source request information J, the information generation unit 504 generates the source request information C. Then, in step S224, it transmits an authentication key G that has been stored in the source request information C and the storage unit 506 to the service apparatus 400 n. Service device 400 n of the transmitting and receiving unit 402 determines, upon receiving the source request information C and the authorization key G, whether the determination unit 410 is legitimate authentication key G. Step S226, if valid determination of the determination unit 410, the service apparatus 400 n transmits a service source B n in the container device 500. In step S228, the container apparatus 500 transmits the received service source B n to the integration apparatus 600.

ステップS116−1として、統合装置600はサービスソースBを収集すると当該サービスソースBを統合して、統合サービスWを生成する。送受信部6−2は生成された統合サービスWをユーザ装置100に送信する。
また、コンテナ装置500、統合装置600を1つの筺体内に具備させ、代理装置300’としてもよい。 Step S116-1, integrating device 600 integrates the services Source B n Collecting service source B n, and generates an integrated service W. The transmission / reception unit 6-2 transmits the generated integrated service W to the user device 100.
Alternatively, the container device 500 and the integrated device 600 may be provided in one casing to serve as the proxy device 300 ′.

実施例2では、セキュリティ性を向上させるために、サービス装置400の情報生成部404が認証キーを生成した。また、この認証キーを用いる手法は公知であり、実施例1で適用しても良い。 In Example 2, in order to improve the security, information generation unit 404 of the service device 400 n generates the authentication key. Further, a method using this authentication key is known and may be applied in the first embodiment.

上記説明、図8、9から明らかなように、統合装置600は、ユーザ装置100との情報のやりとり(ステップS102−1とステップS116−1)と、コンテナ装置500との情報のやりとり(ステップS114−1など)しか行わず、かつ、サービスソースBの統合処理以外の処理は全てコンテナ装置500に行わせている。従って、統合装置600の負荷をコンテナ装置500に分担させることができ、結果として、統合装置600を構成しやすくなるという顕著な効果を有することができる。 As is apparent from the above description and FIGS. 8 and 9, the integration device 600 exchanges information with the user device 100 (steps S <b> 102-1 and S <b> 116-1) and exchanges information with the container device 500 (step S <b> 114). -1 etc.), and all processes other than the integration process of the service source Bn are performed by the container apparatus 500. Therefore, the load of the integrated device 600 can be shared by the container device 500, and as a result, the integrated device 600 can be easily configured.

ユーザは提供された統合サービスWをカスタマイズしたい場合がある。ここで、カスタマイズとは、図1の例で説明すると、例えば、サービスソースXについての時刻情報、サービスソースYについての天気情報Y、サービスソースZについてのニュース情報の位置を変えることである。ユーザが統合サービスWのカスタマイズを所望する場合には、ユーザ装置100の情報生成部104はカスタマイズ所望情報Kを生成し、統合装置600に送信する。従って、統合装置600とユーザ装置100との通信手段を確保しなければならないという実情がある。図8、9の例では、当該通信手段は確保されている。   The user may want to customize the provided integrated service W. Here, the customization refers to, for example, changing the position of the time information about the service source X, the weather information Y about the service source Y, and the news information about the service source Z, for example. When the user desires customization of the integrated service W, the information generation unit 104 of the user device 100 generates customization desired information K and transmits it to the integration device 600. Therefore, there is a situation that communication means between the integrated device 600 and the user device 100 must be secured. In the examples of FIGS. 8 and 9, the communication means is secured.

一方、実施例2で説明したとおり、コンテナ装置500は、重要な情報や機能を有する。重要な情報とは例えば、記憶部506に記憶されている宛名リストであり、重要な機能とは、例えばステップS112−1での受信した認証結果情報をそのまま、サービス装置400に送信する機能である。また、認証装置200、サービス装置400、統合装置600はコンテナ装置500からみて、信頼関係があるものとする。しかし、ユーザ装置100に悪意があれば、コンテナ装置500の重要な情報や機能を攻撃する場合があるが、実施例2のサービス提供システムの場合であると、ステップS112−1で示したとおり、コンテナ装置500とユーザ装置100との通信手段が確保されており、コンテナ装置500が攻撃される可能性がある。 On the other hand, as described in the second embodiment, the container device 500 has important information and functions. Important information is, for example, a mailing list stored in the storage unit 506, is an important feature, for example, the received authentication result information in step S112-1 as a feature to be transmitted to the service apparatus 400 n is there. Further, it is assumed that the authentication device 200, the service device 400 n , and the integration device 600 have a trust relationship when viewed from the container device 500. However, if the user device 100 is malicious, it may attack important information and functions of the container device 500. In the case of the service providing system of the second embodiment, as shown in step S112-1, Communication means between the container apparatus 500 and the user apparatus 100 is secured, and the container apparatus 500 may be attacked.

そこで、実施例3のサービス提供システムでは、コンテナ装置500の送受信部502に判断手段5020を設ける(図10では破線で示す)。判断手段5020は、ユーザ装置100からの情報については、アイデンティティ情報Lのみを受信し、それ以外の情報については受信しない。アイデンティティ情報Lとは、ユーザの認証情報や認可情報や認証結果情報などを示す。   Therefore, in the service providing system according to the third embodiment, a determination unit 5020 is provided in the transmission / reception unit 502 of the container device 500 (indicated by a broken line in FIG. 10). The determination unit 5020 receives only the identity information L for the information from the user apparatus 100 and does not receive any other information. The identity information L indicates user authentication information, authorization information, authentication result information, and the like.

このように、コンテナ装置500の送受信部502に判断手段5020を設けることで、実施例2のサービス提供システムと比較して、よりセキュリティ性を向上させたサービス提供システムを構築できる。   As described above, by providing the determination unit 5020 in the transmission / reception unit 502 of the container apparatus 500, it is possible to construct a service providing system with improved security compared to the service providing system of the second embodiment.

[具体例]
実施例1〜3で説明したサービス提供方法の具体的な例として、[1]SAML利用方式の場合には、(1)HTTP(Redirect/POST)Binding方式(2)HTTP Artifact Binding方式(3)Unsolicited Response方式などがあり、そのほか[2]Open ID利用方式等がある。以下、それぞれ簡単に説明する。
[1]SAML利用方式の場合には、以下を前提条件とする。
・認証装置200は、SAML Idpに相当
・サービス装置400はSAML SPに相当
・サービス装置400はIdpのCoT(Circle of Trust)に属する
・認証装置とサービス装置のユーザアカウントはID連携済 [Concrete example]
As a specific example of the service providing method described in the first to third embodiments, [1] In the case of the SAML usage method, (1) HTTP (Redirect / POST) binding method (2) HTTP Artifact binding method (3) There is an Unsolicited Response system, and there are [2] Open ID utilization system and others. Each will be briefly described below.
[1] In the case of the SAML usage method, the following conditions are assumed.
Authentication device 200 corresponds to SAML Idp Service device 400 n corresponds to SAML SP Service device 400 n belongs to Idp CoT (Circle of Trust) User account of authentication device and service device has already been linked with ID

ここで、CoTとは、ユーザのアイデンティティ情報の運用協定に基づく信頼関係を持っているサービス装置400と認証装置の連携を示す。
(1)HTTP(Redirect/POST)Binding方式について説明する。シーケンス図は図8、9である。HTTPBinding方式は、最も一般的に用いられる通信方式である。リダイレクトの場合にはURLパラメータとして、POSTの場合にはHTMLのボディを利用して、SAMLメッセージを交換する。SAMLリクエストに対するレスポンスのHTTP電文としてAssertionを送りあう方式である。 Here, CoT indicates the cooperation between the authentication apparatus and the service apparatus 400 n having a trust relationship based on the user identity information operation agreement.
(1) An HTTP (Redirect / POST) binding method will be described. Sequence diagrams are shown in FIGS. The HTTP Binding method is the most commonly used communication method. SAML messages are exchanged by using URL parameters in the case of redirection and HTML bodies in the case of POST. In this method, an Association is sent as an HTTP message as a response to a SAML request.

この方式では、上述のように、コンテナ装置500は、統合装置600に代わって、サービス装置400へのサービス要求と認証処理、データ取得の処理を行う。また、コンテナ装置500は、認証装置200とサービス装置400の間でSAMLリクエストとレスポンスを代理する機能を提供する必要がある。 In this method, as described above, the container apparatus 500 performs a service request, authentication process, and data acquisition process to the service apparatus 400 n instead of the integration apparatus 600. In addition, the container device 500 needs to provide a function of proxying the SAML request and response between the authentication device 200 and the service device 400 n .

認証装置に対するSAMLリクエストを生成する場合には、サービス装置400はユーザの認証装置を認識する必要がある。通常は、認証装置のトップ画面で選択するなどの方法で実現されているが、この場合、ユーザ装置100からサービス装置400には直接アクセスしない。取れる手段としては、サービス装置400が認証装置を固定的に設定しておくか、サービス装置400のインターフェースとしてユーザの認証装置を指定してできるようなものを用意する必要がある。前記の場合には、ユーザやサービス装置400が利用できる認証装置は限られてしまい、後者の場合にはサービス装置の開発者が上記のインターフェースを実装する必要がある。 When generating SAML requests for authentication device service apparatus 400 n is required to recognize the authentication device of the user. Normally, this is realized by a method such as selecting on the top screen of the authentication device, but in this case, the user device 100 does not directly access the service device 400 n . The take means, or service device 400 n is setting the authentication device fixedly, it is necessary to prepare something to specify the authentication device of the user as an interface of the service device 400 n. In the above case, the authentication devices that can be used by the user and the service device 400 n are limited. In the latter case, the developer of the service device needs to implement the above interface.

また、SAMLメッセージのエンドポイント(認証装置−サービス装置)と実際に通信が発生する対象(認証装置−コンテナ装置、コンテナ装置−サービス装置)が異なる点には注意が必要である。ここでSAML仕様ではリクエストプロトコルの中で、SAMLレスポンスのエンドポイントを明示的に指定する要素としてAssertion Consumer Service URLという属性が規定されている。よって認証装置はこの値として、サービス装置のアドレスを設定しておけば、SAMLリクエストの送信元(コンテナ装置)に関わらず、指定されたエンドポイント(サービス装置)に充てたAssertionを生成することは可能である。また、SAMLレスポンスプロトコルには、レスポンスの宛先をしている要素としてDestinationという属性が規定されている。よって認証装置はこの値としてサービス装置のアドレスを設定しておけば、SAML、レスポンスの送信先(コンテナ装置)にかかわらず、指定したエンドポイント(サービス装置)にAssertionを返信することは可能である。   It should be noted that the endpoint of the SAML message (authentication device-service device) is different from the object (authentication device-container device, container device-service device) where communication actually occurs. Here, in the SAML specification, an attribute called “Assertion Consumer Service URL” is defined as an element for explicitly specifying the endpoint of the SAML response in the request protocol. Therefore, if the authentication device sets the address of the service device as this value, it can generate an assertion for the specified endpoint (service device) regardless of the source (container device) of the SAML request. Is possible. In the SAML response protocol, an attribute called Destination is defined as an element that is the destination of the response. Therefore, if the authentication device sets the address of the service device as this value, it is possible to return the assertion to the specified endpoint (service device) regardless of the SAML and response destination (container device). .

(2)HTTP Artifact Binding方式について説明する。図11〜図13に、この方式のシーケンス図の前編、中編、後編を示す。実施例2と比較して主に違っている点は、ステップS502、S504、S506、S508が追加されている点である。 (2) The HTTP Artifact Binding method will be described. 11 to 13 show the first part, the middle part, and the second part of the sequence diagram of this method. The main difference from the second embodiment is that steps S502, S504, S506, and S508 are added.

Artifactとは、SAMLリクエストやレスポンスを参照するための情報(以下、「参照情報Mという。」)である。Artifact方式とは、ユーザ装置を介した認証装置とサービス装置とのやり取りにおいて、SAMLメッセージの代わりにArtifactと呼ばれる参照情報Mのみを利用する方式であり、ユーザ装置を介してやり取りされるデータ量を抑えることができる。参照情報Mを受信したサービス装置400や認証装置200は、SOAP(Simple Object Access Protocol)などの通信手段を使って、直接SAMLメッセージをやり取りする。 Artifact is information (hereinafter referred to as “reference information M”) for referring to a SAML request or response. The Artifact method is a method that uses only the reference information M called Artifact instead of the SAML message in the exchange between the authentication device and the service device through the user device, and the amount of data exchanged through the user device is Can be suppressed. The service device 400 n and the authentication device 200 that have received the reference information M directly exchange SAML messages using a communication means such as SOAP (Simple Object Access Protocol).

この場合にステップS106において、コンテナ装置500が代理するのは、認証要求情報D、認証結果情報Eとして、SAMLメッセージではなく、Artifact(参照情報M)という短いデータになる。逆に、認証装置200とサービス装置400は直接通信して認証情報を取得する必要があるため、SOAPのインターフェースを備える必要がある。また、実施例2と同様にサービス装置400が参照情報Mを送信する時点で、認証装置200の宛先(URL)を認識する必要があり、認証装置200を特定する何らかの手段が必要である。また、この場合も、SAMLメッセージのエンドポイント(つまり、認証装置200−サービス装置400)と、実際に通信が発生する対象(認証装置200−コンテナ装置500、コンテナ装置500−サービス装置400)が異なる点に注意が必要であるが、上記(1)同様に認証装置200に対する認証要求にAssertion Consumer Service URLとしてサービス装置400のアドレスを設定しておけばよい。 In this case, what is represented by the container apparatus 500 in step S106 is not the SAML message but the short data Artifact (reference information M) as the authentication request information D and the authentication result information E. On the other hand, the authentication device 200 and the service device 400 n need to communicate directly to acquire authentication information, and thus need to have a SOAP interface. Similarly to the second embodiment, when the service device 400 n transmits the reference information M, the destination (URL) of the authentication device 200 needs to be recognized, and some means for specifying the authentication device 200 is necessary. Also in this case, the end point of the SAML message (that is, the authentication device 200-service device 400 n ) and the object that actually communicates (authentication device 200-container device 500, container device 500-service device 400 n ). However, it is only necessary to set the address of the service device 400 n as the Assertion Consumer Service URL in the authentication request to the authentication device 200 as in (1) above.

(3)Unsolicited Response方式について説明する。当該方式のシーケンス図の前編は図8のステップS104−2とステップS106−1を削除したものであり、後編は図9と同様である。
通常、Assertion(認証要求情報D)は、認証要求に対するレスポンスの形式で送られるが、この方式を用いると、サービス装置400からのリクエストなしに、認証装置200から一方的にAssertionを送ることができる。 (3) The Unsolicited Response method will be described. The first part of the sequence diagram of this method is obtained by deleting steps S104-2 and S106-1 in FIG. 8, and the second part is the same as FIG.
Normally, the Authentication (authentication request information D) is sent in the form of a response to the authentication request, but if this method is used, the Authentication device 200 can send the Assertion unilaterally without a request from the service device 400. .

この場合に、SAMLリクエストを生成する時点で、コンテナ装置500は認証装置200のURLを認識する必要があるため、統合装置600の開発者は、統合装置600に認証装置200を指定するためのインターフェースを用意する必要がある。また、SAMLリクエストを生成し送信するサーバ(コンテナ装置500)とSAMLAssertionの発行先となるサーバ(サービス装置400)は異なる点に注意が必要であるが、実施例2と同様、コンテナ装置500が認証装置200に要求するリクエストとにAssertion Consumer Service URLとしてサービス装置400のアドレスを設定しておけば良い。また、この場合に、ステップS112−1で送信される認証結果情報Eは、Unsolicited Responseになり、サービス装置400は必須仕様ではないUnsolicited Responseに対応している必要があり、サービス装置400の実装上の敷居が高い。 In this case, since the container apparatus 500 needs to recognize the URL of the authentication apparatus 200 at the time of generating the SAML request, the developer of the integration apparatus 600 specifies an interface for designating the authentication apparatus 200 to the integration apparatus 600. It is necessary to prepare. It should be noted that the server (container device 500) that generates and transmits the SAML request is different from the server (service device 400 n ) that is the SAMLASert issue destination, but the container device 500 is similar to the second embodiment. authentication and request for requesting the device 200 may be set to the address of the service device 400 n as Assertion Consumer service URL. In this case, the authentication result information E to be transmitted in step S112-1, becomes Unsolicited Response, the service apparatus 400 n must correspond to the Unsolicited Response not a mandatory design, the service apparatus 400 n The threshold for implementation is high.

[2]Open ID利用方式
次に、Open ID利用方式を説明すると、以下を前提条件とする。シーケンス図は図8、9になる。
・認証装置200は、OpenId Opに相当
・サービス装置400はOpenID RPに相当
・サービス装置400は認証装置200が提供するOpenIDを受け入れる。 [2] Open ID Usage Method Next, the Open ID usage method will be described. Sequence diagrams are shown in FIGS.
The authentication device 200 corresponds to OpenId Op. The service device 400 n corresponds to OpenID RP. The service device 400 n accepts the OpenID provided by the authentication device 200.

まずユーザ装置100は、サービス装置に対して、ユーザのOpenIDを送信する。サービス装置はそのURLに対して、認証要求を行い、当該認証要求を受けた認証装置は、ユーザ認証すると、認証結果情報EをPositive Assertionという形式で、サービス装置400に通知する。 First, the user device 100 transmits the user's OpenID to the service device. The service device makes an authentication request for the URL, and the authentication device that has received the authentication request notifies the service device 400 n of the authentication result information E in the form of Positive Association upon user authentication.

この方式では、コンテナ装置500は、認証装置200とサービス装置400間でOPRequestとResponseを代理する機能を必要とする。つまり、ステップS106−1、ステップS108−1で用いられる認証要求情報DはOPRequestになり、認証結果情報Eは、Response(Positive Assertion)になる。 In this method, the container device 500 needs a function of proxying OPRequest and Response between the authentication device 200 and the service device 400 n . That is, the authentication request information D used in step S106-1 and step S108-1 is OPRequest, and the authentication result information E is Response (Positive Association).

通常、ユーザはサービス装置400に自分のOpenIDを入力するが、この場合には統合装置600にOpenIDを入力する必要があり(ユーザ装置100は利用要求情報とOpenIDを統合装置600に送信する必要がある)、統合装置600の開発者はOpenIDを入力するためのインターフェースを用意する必要がある。 Normally, the user inputs his / her OpenID to the service apparatus 400 n , but in this case, it is necessary to input the OpenID to the integration apparatus 600 (the user apparatus 100 needs to transmit use request information and OpenID to the integration apparatus 600. The developer of the integrated device 600 needs to prepare an interface for inputting the OpenID.

通常、認証装置200のリクエストには、認証が完了した際のリダイレクト先として定義される「openid return_to」というパラメータが含まれる。仕様上、認証装置200は認証のステータスを示すレスポンスをこのURLに戻すべきだと規定されているが、この方式の場合、認証結果は一度コンテナ装置500にリダイレクトされた後にサービス装置に返されるため、return_toパラメータを無視にする必要がある。つまり認証装置は標準仕様に親和性の低い実装にすることが望まれる。   Normally, the request of the authentication device 200 includes a parameter “openid return_to” defined as a redirect destination when authentication is completed. The specification stipulates that the authentication apparatus 200 should return a response indicating the authentication status to this URL. In this method, the authentication result is once redirected to the container apparatus 500 and then returned to the service apparatus. , Return_to parameter should be ignored. In other words, it is desirable that the authentication device be mounted with a low affinity for the standard specifications.

<ハードウェア構成>
本発明は上述の実施の形態に限定されるものではない。また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、代理装置300が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、処理機能がコンピュータ上で実現される。 <Hardware configuration>
The present invention is not limited to the above-described embodiment. In addition, the various processes described above are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the apparatus that executes the processes or as necessary. Needless to say, other modifications are possible without departing from the spirit of the present invention.
Further, when the above configuration is realized by a computer, the processing contents of the functions that the proxy device 300 should have are described by a program. The processing function is realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記憶しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記憶装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよいが、具体的には、例えば、磁気記憶装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。   The program describing the processing contents can be stored in a computer-readable recording medium. The computer-readable recording medium may be any medium such as a magnetic storage device, an optical disk, a magneto-optical recording medium, or a semiconductor memory. Specifically, for example, as the magnetic storage device, a hard disk device, a flexible Discs, magnetic tapes, etc. as optical discs, DVD (Digital Versatile Disc), DVD-RAM (Random Access Memory), CD-ROM (Compact Disc Read Only Memory), CD-R (Recordable) / RW (ReWritable), etc. As the magneto-optical recording medium, MO (Magneto-Optical disc) or the like can be used, and as the semiconductor memory, EEP-ROM (Electronically Erasable and Programmable-Read Only Memory) or the like can be used.

また、このプログラムの流通は、例えば、そのプログラムを記憶したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM storing the program, for example. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記憶されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 A computer that executes such a program first stores, for example, a program stored in a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads the program stored in its own recording medium and executes the process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

また、本実施例で説明した代理装置300は、CPU(Central Processing Unit)、入力部、出力部、補助記憶装置、RAM(Random Access Memory)、ROM(Read Only Memory)及びバスを有している(何れも図示せず)。   The proxy device 300 described in this embodiment includes a CPU (Central Processing Unit), an input unit, an output unit, an auxiliary storage device, a RAM (Random Access Memory), a ROM (Read Only Memory), and a bus. (Neither shown).

CPUは、読み込まれた各種プログラムに従って様々な演算処理を実行する。補助記憶装置は、例えば、ハードディスク、MO(Magneto-Optical disc)、半導体メモリ等であり、RAMは、SRAM(Static Random Access Memory)、DRAM (Dynamic Random Access Memory)等である。また、バスは、CPU、入力部、出力部、補助記憶装置、RAM及びROMを通信可能に接続している。   The CPU executes various arithmetic processes according to the read various programs. The auxiliary storage device is, for example, a hard disk, an MO (Magneto-Optical disc), a semiconductor memory, or the like, and the RAM is an SRAM (Static Random Access Memory), a DRAM (Dynamic Random Access Memory), or the like. The bus connects the CPU, the input unit, the output unit, the auxiliary storage device, the RAM, and the ROM so that they can communicate with each other.

<ハードウェアとソフトウェアとの協働>
本実施例の単語追加装置は、上述のようなハードウェアに所定のプログラムが読み込まれ、CPUがそれを実行することによって構築される。以下、このように構築される各装置の機能構成を説明する。
代理装置300の送受信部302は、所定のプログラムが読み込まれたCPUの制御のもと駆動するLANカード、モデム等の通信装置である。その他の構成部は、所定のプログラムがCPUに読み込まれ、実行されることによって構築される演算部である。記憶部306は前記補助記憶装置として機能する。 <Cooperation between hardware and software>
The word adding device of this embodiment is constructed by reading a predetermined program into the hardware as described above and executing it by the CPU. The functional configuration of each device constructed in this way will be described below.
The transmission / reception unit 302 of the proxy device 300 is a communication device such as a LAN card or a modem that is driven under the control of a CPU loaded with a predetermined program. The other components are arithmetic units that are constructed when a predetermined program is read into the CPU and executed. The storage unit 306 functions as the auxiliary storage device.

Claims (13)

ユーザ装置と、認証装置と、代理装置と、複数のサービス装置と、で構成されるサービス提供システムを用いたサービス提供方法であって、
(A)前記ユーザ装置が、前記代理装置に統合サービスを利用するための利用要求情報を送信する過程と、
(B)前記代理装置が、前記利用要求情報を受信すると、認証要求情報を前記認証装置に送信する過程と、
(C)前記認証装置が、前記認証要求情報を受信すると、認証結果情報を前記代理装置に送信する過程と、
(D)前記代理装置が、前記認証結果情報を受信すると、当該受信した認証結果情報を前記サービス装置に送信する過程と、
(E)前記サービス装置が、前記認証結果情報を受信すると、当該認証結果情報を検証し、認証済みであれば、前記サービスソースを前記代理装置に送信する過程と、
(F)前記代理装置が、前記統合サービスを構成するサービスソースを受信すると、受信した当該サービスソースを統合し、当該統合サービスを前記ユーザ装置に送信する過程と、を有するサービス提供方法。 A service providing method using a service providing system including a user device, an authentication device, a proxy device, and a plurality of service devices,
(A) a process in which the user device transmits use request information for using an integrated service to the proxy device;
(B) When the proxy device receives the use request information, a process of transmitting authentication request information to the authentication device;
(C) When the authentication device receives the authentication request information, a process of transmitting authentication result information to the proxy device;
(D) When the proxy device receives the authentication result information, a process of transmitting the received authentication result information to the service device;
(E) when the service device receives the authentication result information, verifies the authentication result information, and if authenticated, transmits the service source to the proxy device;
(F) When the proxy device receives a service source constituting the integrated service, the service providing method includes a step of integrating the received service source and transmitting the integrated service to the user device. 請求項1記載のサービス提供方法であって、
前記代理装置は、コンテナ装置と、統合装置に分かれており、
前記(A)過程は、ユーザ装置が、前記利用要求情報を前記統合装置に送信し、
前記(B)過程は、
前記統合装置が、前記利用要求情報を受信すると、前記コンテナ装置に依頼情報を送信する(B−1)ステップと、
前記コンテナ装置が、前記依頼情報を受信すると、前記認証要求情報を認証装置に送信する(B−2)ステップと、
前記(C)過程は、前記認証装置が、認証要求情報を受信すると、前記認証結果情報を、前記コンテナ装置に送信し、
前記(D)過程は、前記コンテナ装置が、前記認証結果情報を受信すると、当該受信した認証結果情報を前記サービス装置に送信し、
前記(E)過程は、
前記サービス装置が、前記認証結果情報を受信すると、当該認証結果情報を検証し、認証済みであれば、前記サービスソースを前記コンテナ装置に送信する(E−1)ステップと、
前記コンテナ装置が、前記サービスソースを受信すると、当該受信したサービスソースを統合装置に送信する(E−2)ステップと、を有し、
前記(F)過程は、前記統合装置が、前記統合サービスを構成するサービスソースを受信すると、受信した当該サービスソースを統合し、当該統合サービスを前記ユーザ装置に送信することを特徴とするサービス提供方法。 The service providing method according to claim 1,
The proxy device is divided into a container device and an integrated device,
In the step (A), the user device transmits the use request information to the integrated device,
The process (B)
When the integrated device receives the use request information, the request information is transmitted to the container device (B-1).
Upon receiving the request information, the container device transmits the authentication request information to the authentication device (B-2).
In the step (C), when the authentication device receives the authentication request information, the authentication result information is transmitted to the container device.
In the step (D), when the container apparatus receives the authentication result information, the container apparatus transmits the received authentication result information to the service apparatus,
The step (E)
When the service device receives the authentication result information, it verifies the authentication result information, and if authenticated, transmits the service source to the container device (E-1);
And (E-2) transmitting the received service source to the integrated device when the container device receives the service source,
In the step (F), when the integration device receives a service source constituting the integration service, the integration device integrates the received service source and transmits the integration service to the user device. Method. 請求項1記載のサービス提供方法であって、
前記(A)過程の後に、
(G)前記代理装置が、前記利用要求情報を受信すると、ソース要求情報をそれぞれの前記サービス装置に送信する過程と、
(H)前記サービス装置が、前記ソース要求情報を受信すると、前記認証要求情報を前記代理装置に送信する過程と、を有し、
前記(B)過程は、前記代理装置が、前記認証要求情報を受信すると、当該受信した認証要求情報を前記認証装置に送信することを特徴とするサービス提供方法。 The service providing method according to claim 1,
After the step (A),
(G) When the proxy device receives the usage request information, the source device transmits source request information to each service device;
(H) the service device, when receiving the source request information, transmitting the authentication request information to the proxy device,
In the step (B), when the proxy device receives the authentication request information, the proxy device transmits the received authentication request information to the authentication device. 請求項2記載のサービス提供方法であって、
前記(B−1)ステップの後に、
(G)前記コンテナ装置が、前記依頼情報を受信すると、ソース要求情報をそれぞれの前記サービス装置に送信する過程と、
(H)前記サービス装置が、前記ソース要求情報を受信すると、前記認証要求情報を前記コンテナ装置に送信する過程と、を有し、
前記(B−2)ステップは、
前記コンテナ装置が、前記認証要求情報を受信すると、当該受信した認証要求情報を認証装置に送信することを特徴とするサービス提供方法。 The service providing method according to claim 2,
After the step (B-1),
(G) When the container device receives the request information, a process of transmitting source request information to each of the service devices;
(H) When the service device receives the source request information, the service device transmits the authentication request information to the container device.
The step (B-2)
When the container apparatus receives the authentication request information, the service apparatus provides the received authentication request information to the authentication apparatus. ユーザ装置と、認証装置と、代理装置と、複数のサービス装置と、で構成されるサービス提供システムであって、
前記ユーザ装置は、利用要求情報を代理装置に送信し、当該代理装置から統合サービスを受信する送受信部を有し、
前記認証装置は、
ユーザ認証を行う認証部と、
前記代理装置から認証要求情報を受信し、認証結果情報を前記代理装置に送信する送受信部と、を有し、
前記サービス装置は、
前記認証結果情報を判定する判定部と、
前記代理装置から認証結果情報を受信し、前記判定の結果が認証済みであればサービスソースを前記代理装置に送信する送受信部と、
を有し、
前記代理装置は、
前記統合サービスを構成するサービスソースを受信すると、受信した当該サービスソースを統合することで前記統合サービスを生成する統合部と、
ユーザ装置から前記利用要求情報を受信し、認証要求情報を前記認証装置に送信し、前記認証装置から認証結果情報を受信し、当該受信した認証結果情報を前記サービス装置に送信し、前記サービス装置からサービスソースを受信し、前記統合サービスを前記ユーザ装置に送信する送受信部と、を有するサービス提供システム。 A service providing system including a user device, an authentication device, a proxy device, and a plurality of service devices,
The user device has a transmission / reception unit that transmits use request information to the proxy device and receives an integrated service from the proxy device;
The authentication device
An authentication unit for performing user authentication;
A transmission / reception unit that receives authentication request information from the proxy device and transmits authentication result information to the proxy device;
The service device is:
A determination unit for determining the authentication result information;
A transmission / reception unit that receives authentication result information from the proxy device and transmits a service source to the proxy device if the determination result is authenticated;
Have
The proxy device is:
When receiving a service source that constitutes the integrated service, an integration unit that generates the integrated service by integrating the received service source;
Receiving the use request information from a user device, transmitting authentication request information to the authentication device, receiving authentication result information from the authentication device, transmitting the received authentication result information to the service device, and the service device And a transmission / reception unit that receives a service source from the server and transmits the integrated service to the user device. 請求項5記載のサービス提供システムであって、
前記代理装置は、コンテナ装置と、統合装置とに分かれており、
前記統合装置は、
依頼情報を生成する情報生成部と、
前記統合部と、
前記ユーザ装置から利用要求情報を受信し、前記依頼情報を前記コンテナ装置に送信し、前記コンテナ装置からサービスソースを受信し、前記統合サービスを前記ユーザ装置に送信する送受信部と、を有し、
前記コンテナ装置は、
前記コンテナ装置から前記依頼情報を受信し、認証要求情報を前記認証装置に送信し、前記認証装置から認証結果情報を受信し、当該受信した認証結果情報を前記サービス装置に送信し、前記サービス装置からサービスソースを受信し、当該受信したサービスソースを前記統合装置に送信する送受信部と、を有することを特徴とするサービス提供システム。 The service providing system according to claim 5,
The proxy device is divided into a container device and an integrated device,
The integrated device is
An information generator for generating request information;
The integration unit;
A transmission / reception unit that receives use request information from the user device, transmits the request information to the container device, receives a service source from the container device, and transmits the integrated service to the user device;
The container device is
Receiving the request information from the container device, transmitting authentication request information to the authentication device, receiving authentication result information from the authentication device, transmitting the received authentication result information to the service device, and the service device A service providing system comprising: a transmission / reception unit that receives the service source from the transmission source and transmits the received service source to the integrated device. 請求項5記載のサービス提供システムであって、
前記代理装置の送受信部は、ソース要求情報をそれぞれの前記サービス装置に送信し、前記サービス装置から認証要求情報を受信し、当該受信した認証要求情報を前記認証装置に送信するものであることを特徴とするサービス提供システム。 The service providing system according to claim 5,
The transmission / reception unit of the proxy device transmits source request information to each service device, receives authentication request information from the service device, and transmits the received authentication request information to the authentication device. Characteristic service provision system. 請求項6記載のサービス提供システムであって、
前記コンテナ装置の送受信部は、ソース要求情報を前記サービス装置に送信し、前記サービス装置から認証要求情報を受信し、当該受信した認証要求情報を前記認証装置に送信するものであることを特徴とするサービス提供システム。 The service providing system according to claim 6,
The transmission / reception unit of the container device transmits source request information to the service device, receives authentication request information from the service device, and transmits the received authentication request information to the authentication device. Service providing system. 統合サービスを要求するユーザ装置と、当該統合サービスを構成するサービスソースを提供する複数のサービス装置と、ユーザ認証を行う認証装置と、で構成されるサービス提供システムに用いられる代理装置であって、
サービスソースを受信すると、受信した当該サービスソースを統合することで前記統合サービスを生成する統合部と、
前記ユーザ装置から利用要求情報を受信し、認証要求情報を前記認証装置に送信し、前記認証装置から認証結果情報を受信し、当該受信した認証結果情報を前記サービス装置に送信し、サービス装置からサービスソースを受信し、前記統合サービスを前記ユーザ装置に送信する送受信部と、を有する代理装置。 A proxy device used in a service providing system including a user device that requests an integrated service, a plurality of service devices that provide a service source that configures the integrated service, and an authentication device that performs user authentication,
Upon receiving the service source, an integration unit that generates the integrated service by integrating the received service source;
Receiving usage request information from the user device, transmitting authentication request information to the authentication device, receiving authentication result information from the authentication device, transmitting the received authentication result information to the service device, and A proxy device comprising: a transmission / reception unit that receives a service source and transmits the integrated service to the user device. 請求項9記載の代理装置であって、
当該代理装置はコンテナ装置と、統合装置とに分かれており、
前記統合装置は、
依頼情報を生成する情報生成部と、
前記統合部と、
前記ユーザ装置から利用要求情報を受信し、前記依頼情報を前記コンテナ装置に送信し、前記コンテナ装置からサービスソースを受信し、統合サービスを前記ユーザ装置に送信する送受信部と、を有し、
前記コンテナ装置は、
前記統合装置から依頼情報を受信し、認証要求情報を前記認証装置に送信し、前記認証装置から認証結果情報を受信し、当該受信した認証結果情報を前記サービス装置に送信し、前記サービス装置からサービスソースを受信し、当該受信したサービスソースを前記統合装置に送信する送受信部と、を有することを特徴とする代理装置。 The proxy device according to claim 9, wherein
The proxy device is divided into a container device and an integrated device.
The integrated device is
An information generator for generating request information;
The integration unit;
A transmission / reception unit that receives use request information from the user device, transmits the request information to the container device, receives a service source from the container device, and transmits an integrated service to the user device;
The container device is
The request information is received from the integration device, the authentication request information is transmitted to the authentication device, the authentication result information is received from the authentication device, the received authentication result information is transmitted to the service device, and the service device A proxy device, comprising: a transmission / reception unit that receives a service source and transmits the received service source to the integrated device. 請求項9記載の代理装置であって、
前記送受信は、ソース要求情報を前記サービス装置に送信し、前記サービス装置から認証要求情報を受信し、当該受信した認証要求情報を前記認証装置に送信するものであることを特徴とする代理装置。 The proxy device according to claim 9, wherein
The proxy device is characterized in that the transmission / reception transmits source request information to the service device, receives authentication request information from the service device, and transmits the received authentication request information to the authentication device. 請求項10記載の代理装置であって、
前記コンテナ装置の送受信部は、
ソース要求情報を前記サービス装置に送信し、前記サービス装置から認証要求情報を受信し、当該受信した認証要求情報を前記認証装置に送信するものであることを特徴とする代理装置。 The proxy device according to claim 10,
The transmission / reception unit of the container device includes:
A proxy device that transmits source request information to the service device, receives authentication request information from the service device, and transmits the received authentication request information to the authentication device. 請求項9〜12何れかに記載の代理装置としてコンピュータを動作させるプログラム。   A program for operating a computer as a proxy device according to any one of claims 9 to 12.
JP2009009117A 2009-01-19 2009-01-19 Method and system for providing service, proxy device, program therefor Pending JP2010165306A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009009117A JP2010165306A (en) 2009-01-19 2009-01-19 Method and system for providing service, proxy device, program therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009009117A JP2010165306A (en) 2009-01-19 2009-01-19 Method and system for providing service, proxy device, program therefor

Publications (1)

Publication Number Publication Date
JP2010165306A true JP2010165306A (en) 2010-07-29

Family

ID=42581388

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009009117A Pending JP2010165306A (en) 2009-01-19 2009-01-19 Method and system for providing service, proxy device, program therefor

Country Status (1)

Country Link
JP (1) JP2010165306A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012017561A1 (en) * 2010-08-06 2012-02-09 富士通株式会社 Mediation processing method, mediation device, and system
WO2012026082A1 (en) * 2010-08-25 2012-03-01 日本電気株式会社 Condition matching system, condition matching coordination device and condition matching processing method
WO2012073559A1 (en) * 2010-11-30 2012-06-07 日本電気株式会社 Authorization information verification device and authorization information verification program, and authorization information verification system and authorization information verification method
WO2013088867A1 (en) * 2011-12-13 2013-06-20 インターナショナル・ビジネス・マシーンズ・コーポレーション Authentication method, authentication device, and authentication program
JP2014153805A (en) * 2013-02-06 2014-08-25 Ricoh Co Ltd Information process system, information process device, authentication method and program

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5418681B2 (en) * 2010-08-06 2014-02-19 富士通株式会社 Mediation processing method, mediation apparatus and system
WO2012017561A1 (en) * 2010-08-06 2012-02-09 富士通株式会社 Mediation processing method, mediation device, and system
US8763151B2 (en) 2010-08-06 2014-06-24 Fujitsu Limited Mediation processing method, mediation apparatus and system
WO2012026082A1 (en) * 2010-08-25 2012-03-01 日本電気株式会社 Condition matching system, condition matching coordination device and condition matching processing method
US8924422B2 (en) 2010-08-25 2014-12-30 Nec Corporation Condition matching system, linked conditional matching device, and condition matching processing method
JP2012119871A (en) * 2010-11-30 2012-06-21 Nec Corp Apparatus and program for verifying recognition information, and system and method for verifying recognition information
WO2012073559A1 (en) * 2010-11-30 2012-06-07 日本電気株式会社 Authorization information verification device and authorization information verification program, and authorization information verification system and authorization information verification method
WO2013088867A1 (en) * 2011-12-13 2013-06-20 インターナショナル・ビジネス・マシーンズ・コーポレーション Authentication method, authentication device, and authentication program
CN103975334A (en) * 2011-12-13 2014-08-06 国际商业机器公司 Authentication method, authentication device, and authentication program
GB2511260A (en) * 2011-12-13 2014-08-27 Ibm Authentication method, authentication device, and authentication program
GB2511260B (en) * 2011-12-13 2015-01-14 Ibm Authentication method, authentication System, and authentication program
JPWO2013088867A1 (en) * 2011-12-13 2015-04-27 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Authentication method, authentication system, and authentication program
US9173076B2 (en) 2011-12-13 2015-10-27 International Business Machines Corporation Authentication method, authentication system and authentication program
CN103975334B (en) * 2011-12-13 2016-08-24 国际商业机器公司 Authentication method and Verification System
JP2014153805A (en) * 2013-02-06 2014-08-25 Ricoh Co Ltd Information process system, information process device, authentication method and program

Similar Documents

Publication Publication Date Title
CN108234448B (en) Authorized code stream for application in browser
JP4594621B2 (en) Supplying aggregate services in a distributed computing environment
CN101534196B (en) Method and apparatus for securely invoking a REST API
US8051491B1 (en) Controlling use of computing-related resources by multiple independent parties
EP3301881B1 (en) Method, device and system for using and invoking oauth api
CN101331731B (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
JP5300045B2 (en) Method and apparatus for managing digital identities through a single interface
KR101063368B1 (en) Manage digital rights management (DRM) enforcement policy for identity providers in a federated environment
RU2390945C2 (en) Peer-to-peer authentication and authorisation
WO2017129016A1 (en) Resource access method, apparatus and system
US20090271847A1 (en) Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
JP2004185396A (en) Authentication system
KR20100042592A (en) Digital rights management(drm)-enabled policy management for a service provider in a federated environment
JP2002334056A (en) System and method for executing log-in in behalf of user
Torroglosa-García et al. Integration of the OAuth and Web Service family security standards
WO2019159894A1 (en) Authentication approval information integration device and authentication approval information integration method
JP2010165306A (en) Method and system for providing service, proxy device, program therefor
JP2006202052A (en) User authentication program, its recording medium, method and apparatus for authenticating user, and secret information acquisition program
Putz et al. Future-proof web authentication: Bring your own FIDO2 extensions
CN109951487A (en) A kind of portal authentication method and device
Giretti Understanding the gRPC Specification
JP6626466B2 (en) API providing apparatus and API use right transfer consent method
Akram et al. Supports for identity management in ambient environments-the hydra approach
Aivaliotis Mastering Nginx
Hoang et al. Secure roaming with identity metasystems