JP2011145754A - Single sign-on system and method, authentication server, user terminal, service server, and program - Google Patents
Single sign-on system and method, authentication server, user terminal, service server, and program Download PDFInfo
- Publication number
- JP2011145754A JP2011145754A JP2010003963A JP2010003963A JP2011145754A JP 2011145754 A JP2011145754 A JP 2011145754A JP 2010003963 A JP2010003963 A JP 2010003963A JP 2010003963 A JP2010003963 A JP 2010003963A JP 2011145754 A JP2011145754 A JP 2011145754A
- Authority
- JP
- Japan
- Prior art keywords
- user
- service
- authentication
- user terminal
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、サーバに認証を受けることにより、利用することが可能となる複数の機能について、一度の認証を受けるだけで、各機能の利用が可能となるSSO(シングルサインオン:Single Sign On)システムに関する。 In the present invention, an SSO (Single Sign On) can be used for a plurality of functions that can be used by being authenticated by the server, by receiving only one authentication. About the system.
ユーザの所持するパーソナルコンピュータ等のユーザ端末機器が、ユーザの希望するシステムにログインする場合には、認証サーバでのログインが必要となる。所定のシステムにログインしたユーザ端末機器が、他のシステムにログインしようとする場合には、もう一度、他の認証サーバでのログインが必要となる。 When a user terminal device such as a personal computer possessed by the user logs in to the system desired by the user, it is necessary to log in at the authentication server. When a user terminal device logged in to a predetermined system tries to log in to another system, it is necessary to log in again with another authentication server.
上記のように、ユーザが複数のシステムにログインする場合は、システム毎にログインの手続が必要となりユーザの利便性が損なわれるので、連携型認証方式が提案されている。この連携型認証方式は、認証サーバ(以下、IdPという)で一度認証が行われると、他の連携しているシステムにログインすることができるSSOシステムを実現することができる。すなわち、このSSOシステムでは、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用することができる。 As described above, when a user logs in to a plurality of systems, a login procedure is required for each system, and the convenience of the user is impaired. Therefore, a cooperative authentication method has been proposed. This cooperative authentication method can realize an SSO system that can log in to another cooperative system once authentication is performed by an authentication server (hereinafter referred to as IdP). In other words, in this SSO system, all authorized functions can be used once the user is authenticated once.
SSOシステムの一例が、特許文献1(特開2007−293760号公報)および特許文献2(特開2006−331044号公報)に開示されている。 An example of the SSO system is disclosed in Patent Document 1 (Japanese Patent Laid-Open No. 2007-293760) and Patent Document 2 (Japanese Patent Laid-Open No. 2006-331444).
特許文献1に開示されるシステムは、ネットワークを介して接続される、ユーザクライアント端末、SSO認証サーバ、複数のサービスサイトからなるシステムで、各サービスサイトが、個別ログインIDに対してSSO利用ユーザの可否を判定する情報を持ち、個別ログイン画面から個別ログインIDとパスワードでログインしたクライアント端末がSSO利用ユーザかを判定し、SSO利用ユーザであれば当該クライアント端末をSSO認証サーバにリダイレクトさせ、個別ログインID情報と、サービスサイトのログイン成功情報をSSO認証サーバに渡し、SSO認証サーバは、受け取った個別ログインID情報を元に、それに紐付くSSOログインID情報を取得し、当該クライアント端末のSSO認証を行うものである。
The system disclosed in
特許文献1では、上記の構成を備えることにより、各サービスサイトでSSOを利用するユーザと利用しないユーザが混在する環境で、SSO利用ユーザはサービスサイトへログインするアクセス先と個別ログインIDを変更することなく、SSO認証サーバの認証を受けることができ、SSO利用ユーザの利便性が向上するとしている。
In
特許文献2に開示されるシステムは、ナレッジとして格納したシングルサインオンを実現するシングルサインオンモジュール、業務システムのログイン通信を解析し適用可能なシングルサインオンモジュールを選択、実行するシングルサインオンサーバを備え、HTTP、HTMLなどの下位レイヤの知識を必要せずにシングルサインオンを実現するものである。
The system disclosed in
特許文献2では、上記の構成を備えることにより、システムエンジニアにHTTP、HTMLなどの下位レイアの知識を要求することなくシングルサインオンを実現できるので、短期間、低コストでのシングルサインオンが実現できるとしている。
In
上記のように、SSOシステムにおいては、ユーザ端末と、IdPと、サービスプロバイダがサービスを提供するために使用するサービスサーバ(以下、SPと称する)から構成され、IdPで一度認証が行われると、他の連携しているシステムにログインすることができ、ユーザが一度認証を受けるだけで、許可されているすべてのSPが提供するサービス機能を利用することができる。 As described above, in an SSO system, a user terminal, an IdP, and a service server (hereinafter referred to as SP) used by a service provider to provide a service, and once authenticated by the IdP, It is possible to log in to other linked systems and use the service functions provided by all authorized SPs once the user is authenticated.
しかし、ネットワーク間におけるID連携においては、仮にSPが協力して、それぞれのSP毎に提供されるIDに紐づく属性情報(ユーザの情報)を集めることにより個人の特定が出来てしまう、いわゆる、「名寄せ」、が可能となるリスクを抱えている。 However, in ID collaboration between networks, it is possible to identify an individual by collecting attribute information (user information) associated with an ID provided for each SP. There is a risk that “name identification” is possible.
上記の連携型認証方式は、IdPで一度認証が行われると、他の連携しているシステムにログインすることができるSSOを実現して、そのSSOを利用してサービスプロバイダにより提供される所定のサービスを利用することが可能となるため、ユーザの利便性を高めることができる特長を有している。しかし、ネットワーク間におけるID連携においては、サービスサイト毎にユーザ情報を集めることによって名寄せが可能となってしまう可能性がある。 The above-described cooperative authentication method realizes an SSO that can log in to another cooperative system once authenticated by IdP, and uses the SSO to provide a predetermined service provider provided by a service provider. Since the service can be used, it has a feature that can improve the convenience of the user. However, in ID collaboration between networks, name identification may be possible by collecting user information for each service site.
本発明は、データベースでユーザのデータ管理を行うとともに、名寄せを防ぐことのできるSSOシステムを実現することを目的とする。 An object of the present invention is to realize an SSO system capable of managing user data in a database and preventing name identification.
本発明によるシングルサインオンシステムは、ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とする。
A single sign-on system according to the present invention includes a user terminal, a plurality of service servers associated with the user terminal that provide services to the user terminal, and the plurality of service servers that provide services to the user terminal. A single sign-on system having an authentication server that manages user information required at the time and performs authentication when the user terminal logs in to each service server,
The authentication server is
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An encryption / decryption class for returning user information;
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. Is received, a new ID is assigned and a request for user information is transmitted to the authentication server.
本発明によるシングルサインオン方法は、ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムで行われるシングルサインオン方法であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納し、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送し、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とする。
The single sign-on method according to the present invention includes a user terminal, a plurality of service servers associated with the user terminal that provide services to the user terminal, and the plurality of service servers that provide services to the user terminal. A single sign-on method performed in a single sign-on system having an authentication server that manages user information required at the time and performs authentication when the user terminal logs in to each service server,
The authentication server is
The information of the service server associated in advance and the information of the user required for each of the plurality of service servers to provide each service are stored corresponding to the user ID,
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. Return user information,
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. Is received, a new ID is assigned and a request for user information is transmitted to the authentication server.
本発明の手法では、各サービスサイトにおける固有の識別子を利用し、暗号化と復号化を用いて新たなIDを払い出すことにより、サイト毎に払い出したIDにより、ユーザ情報のDBによる管理を可能としながら、セキュアなログインを実現している。 In the method of the present invention, by using a unique identifier in each service site and paying out a new ID using encryption and decryption, the user information DB can be managed by the ID paid out for each site. And secure login.
第1の効果は、ユーザを特定することが出来ないことにある。 The first effect is that the user cannot be specified.
その理由は、SP毎に払いだされたIDを利用するためである。 The reason is to use the ID paid out for each SP.
第2の効果は、名寄せを防ぐことができることにある。 The second effect is that name identification can be prevented.
その理由は、IDより利用者を特定することが出来ないためである。)
第3の効果は、膨大なIDを生成しながらもユーザをDBで管理することが可能な点にある。
The reason is that the user cannot be specified from the ID. )
The third effect is that the user can be managed by the DB while generating a huge ID.
その理由は、復号化によりユーザIDの復元が可能な点にある。 The reason is that the user ID can be restored by decryption.
次に、本発明の実施形態について図面を参照して説明する。 Next, embodiments of the present invention will be described with reference to the drawings.
図1は、本発明によるSSOシステムの一実施形態の構成を示すブロック図である。 FIG. 1 is a block diagram showing a configuration of an embodiment of an SSO system according to the present invention.
本実施形態は、ユーザ端末1、SP2、IdP3から構成されている。ユーザ端末1、SP2、IdP3は、制御装置、記憶装置、表示装置、入力装置、および通信装置を備える一般的なコンピュータから構成されるものであり、特定の利用者(ユーザ)が利用可能な、インターネットのような、周知の通信ネットワークを介して接続される。図ではIdP3について特徴的となる構成要素を示しているが、これらは制御装置により記憶装置上に仮想的に構築されるものであり、本発明にはコンピュータにこれらを構築するためのプログラムも含まれる。
This embodiment is comprised from the
ユーザ端末1、SP2、IdP3のいずれも複数設けられるもので、SSOを行うSPとして紐付けられている各SP2は、ユーザ端末1に対してそれぞれ固有のサービスを行うものであり、認証を行う連携先となるIdP3の情報が予め登録されている。IdP3は、認証を行うためのユーザID6を格納するデータベース3aと、SP2毎の新規IDの払い出しを実現する暗号・復号化クラス3bを備えており、データベース3aにはSSO認証を行う紐付けられたSPが予め登録されている。
A plurality of
IdP3は、ユーザ端末1がSP2にログインする際の認証を行うものであり、ユーザ端末1がSSOを行うSPとして紐付けられている各SP2に最初にログインする際に必要となるユーザID6およびパスワード、ユーザ端末1がSSOシステムを構成する各SP2によるサービスを受けるときに必要となる新規ID7を発行する。
The IdP3 performs authentication when the
ユーザ端末1を利用するユーザは、IdP3に対して予めユーザ登録を行い、これに応じて、IdP3はユーザ端末1に対してユーザID6およびパスワードを発行し、IdP3のデータベース3aにはパスワードとともに、SP2がサービスに利用するためのユーザデータ、たとえば、氏名、年齢、職業、などがユーザID6に対応して格納される。
A user who uses the
図2はIdP3の構成を詳細に示すブロック図、図3はユーザ端末1がSP2にログインするときのユーザ端末1、SP2、IdP3それぞれの動作を示すシーケンス図である。以下に、図1ないし図3を参照して本実施形態の動作について詳細に説明する。
FIG. 2 is a block diagram showing in detail the configuration of IdP3, and FIG. 3 is a sequence diagram showing the operation of each of
SP2によるサービスを受けるために、図3に示すように、ユーザ端末1よりSP2に対してログイン要求が実施される(ステップS1)。ログイン要求には、Idp3が発行したユーザID6とパスワードを含むものであり、ユーザID6にはどのIdPに対して連携用のIDを要求すればよいかを示すIdPを特定する情報、本実施形態においては、IdP3を特定する情報が付与されている。
In order to receive the service by SP2, as shown in FIG. 3, a login request is made from
ログイン要求を受け付けたSP2は、ログイン要求(ユーザID6)に含まれるIdPを特定する情報を利用して、連携するIdP3に対してユーザ端末1の認証要求を行う(ステップS2)。この認証要求には、ユーザ端末1のアドレスとユーザID6が含まれている。
The
連携用のIDの要求を受け付けたIdP3は、ユーザ端末IDにより、ユーザ端末1に対して、パスワードの入力を要求する(ステップS3)。
The
次に、パスワード入力要求を受け付けたユーザ端末1からIdP3に対して、パスワードが送られる(ステップS4)。
Next, the password is sent from the
IdP3は、ユーザ端末1から送られてきたパスワードをデータベース3aに格納されているパスワードと比較する認証処理を実施し、これらが一致した場合には、SP2のアドレスからSSOを行うSPとして紐付けられている各SPやSSOの有効期限を示す認証セッション情報を生成し、ユーザ端末1のユーザ情報としてデータベース3aに格納するとともに、SSOを行うために必要となる新規ID7の生成を開始する。
The IdP3 performs authentication processing for comparing the password sent from the
新規ID7の生成では、SP2固有の識別子4の要求をSP2に対して行い(ステップS5)、該要求を受け付けたSP2が固有の識別子4をIdP3へ送信することによりSP2固有の識別子4の取得が行われる(ステップS6)。なお、ウェブサイトの情報など、すでに保持している情報を固有の識別子4として利用する場合には、IdP3からSP2に対して固有の識別子4の要求を行う必要はない。
In the generation of the
次に、SP2の固有の識別子4と予め保持するハッシュ関数8を用いてハッシュ値5を取得する。取得したハッシュ値5とデータベース3aに登録されているユーザID6とを連結し、予め保持する暗号鍵9(図2参照)を用いて暗号化することにより、連携を実現するための新規ID7を生成し、ユーザ端末1への払い出しを行う(ステップS7)。ユーザ端末1は払い出された新規ID7を用いてSP2へサービスを要求することが可能となる。
Next, the
SP2に対してユーザ端末1がSP2におけるサービスの利用要求を実施すると(ステップS8)、SP2はIdP3に対してサービスの提供に必要となるユーザの情報の開示を、新規ID7を付与して要求する(ステップS9)。
When the
IdP3は必要な情報のみをSP2に対して提示を行う(ステップS10)。 IdP3 presents only necessary information to SP2 (step S10).
SP2は提示された情報を利用して、ユーザ端末1に対してサービスの提供を行う(ステップS11)。
The
図4は本実施形態におけるSP2毎の識別子4とユーザID6から新規ID7を生成する方法と新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示す図であり、(a)はSP2毎の識別子4とユーザID6から新規ID7を生成する方法を示し、(b)は新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示している。以下に、新規ID7の生成方法とユーザI6Dの復元方法について図4を参照して説明する。
FIG. 4 is a diagram showing a method for generating a
図4(a)に示すように、IdP3は、ユーザID6とSP2の識別子4のハッシュ値とを連結して文字列を作り、その文字列に対して暗号鍵9を利用して暗号化を行うことによって、SP2毎に異なる新規ID7を生成する(図3におけるステップS7)。
As shown in FIG. 4A, the
SP2はIdP3に対してサービスの提供に必要なユーザの情報開示を要求する際、該要求とともに新規ID7を添付する(図3におけるステップS9)。IdP3は新規ID7に対して、暗号鍵9を利用して復号化を行い、ユーザID6とハッシュ値5を復号し、さらに、ハッシュ値5とハッシュ関数8からSP2の識別子4を復号する。
When the
IdP3は、データベース3aから復号されたユーザID6に対応するユーザデータのうち、まず、認証セッション情報を確認して、SP2がユーザID6のSSO対象であり、また、SSOの有効期限内であるかを確認し、これらに該当するものである場合に、サービスの提供に必要であるとして要求されたユーザの情報を引き出す。
The IdP3 first confirms the authentication session information among the user data corresponding to the
この後、ユーザ端末1がSPを遷移する場合にも図3におけるステップS8と同様に、新規ID7を用いてサービスの利用要求を実施し、以後、ステップS9〜S11の動作が行われる。
Thereafter, even when the
上記のように本実施形態においては、SP2毎に新規ID7を作成するが、新規IDはSP毎の識別子およびユーザID6を含む暗号化されたものであるため、IdP3は新規ID7を復号することにより、SP2およびユーザを特定することが出来る。膨大な数のSP毎の新規ID7を生成しても、逆引きが可能であることから、IdP3は生成したSP2毎の新規ID7をデータベースに、登録・保持することなくユーザを管理することが可能となる。
As described above, in the present embodiment, a
本発明によれば、ユーザの特定が出来ないIDによるSPにおける商品の購入、サービスの利用後の、ISPによる一括決済といった用途に適用できる。また、匿名性を保持したままの、医療機関や法律事務所に対する相談といった用途にも適用可能である。 INDUSTRIAL APPLICABILITY According to the present invention, the present invention can be applied to uses such as purchase of merchandise at an SP with an ID that cannot identify a user and collective payment by an ISP after using the service. It can also be applied to applications such as consultation with medical institutions and law firms while maintaining anonymity.
1 ユーザ端末
2 SP(サービスサーバ)
3 IdP(認証サーバ)
3a データベース(DB)
3b 暗号・復号化クラス
4 識別子
5 ハッシュ値
6 ユーザID
7 新規ID
8 ハッシュ関数
9 暗号鍵
S1〜S11 ステップ
1
3 IdP (authentication server)
3a Database (DB)
3b Encryption / decryption class 4
7 New ID
8
Claims (8)
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするシングルサインオンシステム。 Managing a user terminal, a plurality of service servers linked in advance to provide services to the user terminals, and user information required when the service servers provide services to the user terminals And an authentication server that performs authentication when the user terminal logs in to each service server, and a single sign-on system,
The authentication server is
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An encryption / decryption class for returning user information;
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. In the single sign-on system, a request for user information with a new ID is transmitted to the authentication server.
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信するものであり、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備えることを特徴とする認証サーバ。 When a single sign-on system is configured together with a user terminal and a plurality of service servers linked in advance to provide services to the user terminals, and the plurality of service servers provide services to the user terminals An authentication server that manages required user information and performs authentication when the user terminal logs in to each service server,
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. Is received, a new ID is assigned and a request for user information is sent to the authentication server,
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An authentication server comprising: an encryption / decryption class for returning user information.
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信するものであり、
システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行うことを特徴とするユーザ端末。 A plurality of service servers linked in advance to provide a service to the user terminal, and user information required when the plurality of service servers provide a service to the user terminal and the user terminal Is a user terminal that constitutes a single sign-on system together with an authentication server that performs authentication when logging in to each service server,
The authentication server is
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An encryption / decryption class for returning user information;
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. Is received, a new ID is assigned and a request for user information is sent to the authentication server,
When logging in to the system, a login request including an address and a user ID is transmitted to the service server, and when the new ID is received from the authentication terminal, a new ID is assigned and a service is provided to the service server. A user terminal characterized by making a request to use the.
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行うものであり、
前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスとユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、前記新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするサービスサーバ。 A user server and an authentication server together constitute a single sign-on system, and a plurality of service servers that provide services to the user terminal are linked in advance,
The authentication server is
A database that stores the information of the service server associated in advance and the information of the user necessary for each of the plurality of service servers to provide each service, corresponding to the user ID;
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. An encryption / decryption class for returning user information;
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. A request to the server to use the service,
When a login request is received from the user terminal, an address and a user ID of the user terminal are given, an authentication request is transmitted to the authentication server, and a request to use a service is received from the user terminal A service server that sends a request for user information to which the new ID is assigned to the authentication server.
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納し、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送し、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするシングルサインオン方法。 Managing a user terminal, a plurality of service servers linked in advance to provide services to the user terminals, and user information required when the service servers provide services to the user terminals And a single sign-on method performed in a single sign-on system having an authentication server that performs authentication when the user terminal logs in to each service server,
The authentication server is
The information of the service server associated in advance and the information of the user required for each of the plurality of service servers to provide each service are stored corresponding to the user ID,
When an authentication request including the user ID and the address of the user terminal is received from the service server, an input for authenticating the address of the user terminal is requested, and then the returned contents and storage of the database Authenticate according to the contents, and if authentication is successful, concatenate the user ID and the identifier unique to the service server that made the authentication request, generate an encrypted new ID, and send it to the user terminal. When a request for user information together with a new ID is received from the service server, the request is obtained when the service server that has decrypted the new ID and requested the user information is a service server associated in advance. Return user information,
When the user terminal logs in to the system, the user terminal transmits a login request including an address and a user ID to the service server, and then receives the new ID from the authentication terminal. Make a request to the server to use the service,
When the service server accepts a login request from the user terminal, the service server sends an authentication request to the authentication server with the address of the user terminal and the user ID, and uses the service from the user terminal. In the single sign-on method, a request for user information with a new ID is transmitted to the authentication server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010003963A JP2011145754A (en) | 2010-01-12 | 2010-01-12 | Single sign-on system and method, authentication server, user terminal, service server, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010003963A JP2011145754A (en) | 2010-01-12 | 2010-01-12 | Single sign-on system and method, authentication server, user terminal, service server, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011145754A true JP2011145754A (en) | 2011-07-28 |
Family
ID=44460576
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010003963A Pending JP2011145754A (en) | 2010-01-12 | 2010-01-12 | Single sign-on system and method, authentication server, user terminal, service server, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011145754A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013167947A (en) * | 2012-02-14 | 2013-08-29 | International Universal Menu Association | User id issue system, administrative system information page generation system, method and program |
US9398075B2 (en) | 2012-09-14 | 2016-07-19 | Fujitsu Limited | Communication system, communication apparatus, communication method, and storage medium |
JP2018507463A (en) * | 2014-12-31 | 2018-03-15 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method and apparatus for identifying a user ID |
JP2020511803A (en) * | 2019-02-28 | 2020-04-16 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | System and method for blockchain-based data management |
-
2010
- 2010-01-12 JP JP2010003963A patent/JP2011145754A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013167947A (en) * | 2012-02-14 | 2013-08-29 | International Universal Menu Association | User id issue system, administrative system information page generation system, method and program |
US9398075B2 (en) | 2012-09-14 | 2016-07-19 | Fujitsu Limited | Communication system, communication apparatus, communication method, and storage medium |
JP2018507463A (en) * | 2014-12-31 | 2018-03-15 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method and apparatus for identifying a user ID |
US10848310B2 (en) | 2014-12-31 | 2020-11-24 | Alibaba Group Holding Limited | Method and device for identifying user identity |
JP2020511803A (en) * | 2019-02-28 | 2020-04-16 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | System and method for blockchain-based data management |
US11258778B2 (en) | 2019-02-28 | 2022-02-22 | Advanced New Technologies Co., Ltd. | System and method for blockchain-based data management |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
US10810515B2 (en) | Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment | |
US20210056541A1 (en) | Method and system for mobile cryptocurrency wallet connectivity | |
US8196177B2 (en) | Digital rights management (DRM)-enabled policy management for a service provider in a federated environment | |
JP4744785B2 (en) | Session key security protocol | |
CN107534667A (en) | Key exports technology | |
US20190306148A1 (en) | Method for oauth service through blockchain network, and terminal and server using the same | |
CN105580311A (en) | Data security using request-supplied keys | |
JP5602165B2 (en) | Method and apparatus for protecting network communications | |
CN107872455A (en) | A kind of cross-domain single login system and its method | |
US11455621B2 (en) | Device-associated token identity | |
US20160182562A1 (en) | Time based authentication codes | |
EP3185465A1 (en) | A method for encrypting data and a method for decrypting data | |
US9875371B2 (en) | System and method related to DRM | |
US20240089249A1 (en) | Method and system for verification of identify of a user | |
JP2012181662A (en) | Account information cooperation system | |
JP2011145754A (en) | Single sign-on system and method, authentication server, user terminal, service server, and program | |
JP2020106927A (en) | Information processing system, information processing program, information processing method, and information processing device | |
JP2020102741A (en) | Authentication system, authentication method, and authentication program | |
Al-Sinani et al. | Client-based cardspace-openid interoperation | |
JP6383293B2 (en) | Authentication system | |
KR20190019317A (en) | Server and method for authentication in on-demand SaaS aggregation service platform | |
TWI759090B (en) | Platform login method | |
WO2016075467A1 (en) | Network based identity federation | |
JP2003304242A (en) | Method, device for multiple authentication by single secret key and web service use method using the same method |