JP2011164686A - Information processor, image processor, login authentication method, program, and recording medium - Google Patents
Information processor, image processor, login authentication method, program, and recording medium Download PDFInfo
- Publication number
- JP2011164686A JP2011164686A JP2010023255A JP2010023255A JP2011164686A JP 2011164686 A JP2011164686 A JP 2011164686A JP 2010023255 A JP2010023255 A JP 2010023255A JP 2010023255 A JP2010023255 A JP 2010023255A JP 2011164686 A JP2011164686 A JP 2011164686A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authentication request
- priority
- unit
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ログインに対する認証をネットワーク接続可能な複数の認証サーバを利用して行うJAASのKerberos認証に関し、より詳しくは、クライアントの認証要求に認証サーバが応答する際のフェイルオーバ時間の短縮化を図る認証処理を行う情報処理装置、画像処理装置、ログインの認証方法及び前記認証処理を実行するためのプログラム及び記録媒体に関する。 The present invention relates to JAAS Kerberos authentication that uses a plurality of authentication servers that can connect to a network for login authentication. More specifically, the present invention aims to shorten the failover time when an authentication server responds to a client authentication request. The present invention relates to an information processing apparatus, an image processing apparatus, a login authentication method, a program for executing the authentication process, and a recording medium.
公開された、例えばインターネットなどのネットワークで使うために開発された認証システムであるKerberos(登録商標、以下同様)では、冗長化を目的として、認証サーバとして1つのマスタKDC(KDC:Key Distribution Center:キー配布センター)と複数のスレーブKDCを構成要素とする認証システムを構成している。
また、Java(登録商標)認証・承認サービス(即ち、JAAS:Java(登録商標) Authentication and Authorization Service)のKerberos認証であるSun OSに実装するKerberos認証サービスでは、J2SE v1.4.2以降にスレーブKDCがサポートされ、KDCを複数指定できる。
このため、マスタKDCに障害が発生し、予め設定されたタイムアウト時間以内に応答がない場合、順次自動的にスレーブKDCへ認証をリダイレクトして実行を可能とする機能が既にこのKerberos認証システムが持つことは、知られるところである。
In Kerberos (registered trademark, the same applies hereinafter), which is an authentication system developed for use in a public network such as the Internet, for the purpose of redundancy, one master KDC (KDC: Key Distribution Center: Key distribution center) and an authentication system consisting of multiple slave KDCs.
In addition, in the Kerberos authentication service implemented in Sun OS, which is the Kerberos authentication of Java (registered trademark) authentication and authorization service (that is, JAAS: Java (registered trademark) Authentication and Authorization Service), the slave KDC is installed after J2SE v1.4.2. Supported, multiple KDCs can be specified.
For this reason, if a failure occurs in the master KDC and there is no response within the preset timeout period, this Kerberos authentication system already has a function that can automatically redirect and execute authentication to the slave KDC. That is known.
ただ、既存のSun OSに実装するKerberos認証サービスには、障害が発生したKDCが回復するまで優先させないように優先度を変える、といった対応を自動的に行うことで解決を図る機能もしくはどのKDCが応答したかを知る術を持たない。このため、次回認証を要求した場合に、再度マスタKDCから実行せざるを得ず、正常に動作するサーバが応答するまでのフェイルオーバ時間が掛かってしまう問題があった。
ところで、特許文献1には、ディスクアレイ装置等のストレージ装置を共用する複数のサーバを結合したクラスタシステムにおいて、あるサーバに障害が発生した場合に、代替サーバが処理やデータを引き継ぐフェイルオーバ機能が示されている。この従来技術では、ストレージ装置が状況検出部と優先度制御部を備え、サーバ側の状況をストレージ装置側からサーバの状況を観測し、観測結果に応じて処理の優先度を制御することにより、フェイルオーバ時間の短縮を図る動作を行うことが記載されている。
However, the Kerberos authentication service implemented in the existing Sun OS has a function to solve by automatically changing the priority so that priority is not given until the failed KDC recovers, or which KDC There is no way to know if you responded. For this reason, the next time authentication is requested, the master KDC must be executed again, and there is a problem that it takes a failover time until a normally operating server responds.
By the way, in
しかしながら、特許文献1に示される従来技術では、サーバ状況の観測結果は、障害等の発生時に、処理やデータを引き継ぐ代替サーバの処理の優先度を高め、引き継ぎ時にフェイルオーバ時間が長引くことを避けることに利用され、またフェイルオーバ機能をハードウェアで実現するもので、JAASのKerberos認証サービスにおいて認証要求を行うクライアント側の動作により起きる上記したフェイルオーバ時間の問題を解決することができない。
本発明は、JAASのKerberos認証システムにおける上述の従来技術の問題に鑑みてなされたもので、その目的は、複数の認証サーバと、これらにネットワークを介して接続されるクライアントとしての情報処理装置をシステム要素として構成する認証システムにおいて、クライアントの認証要求に認証サーバが応答する際のフェイルオーバ時間を短縮することにある。
However, in the prior art disclosed in
The present invention has been made in view of the above-mentioned problems of the prior art in JAAS's Kerberos authentication system, and its purpose is to provide a plurality of authentication servers and an information processing apparatus as a client connected to these via a network. In an authentication system configured as a system element, it is to reduce a failover time when an authentication server responds to a client authentication request.
本発明は、ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行う情報処理装置であって、ユーザーのログインを受け付けるユーザーインターフェース部と、受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成部と、認証要求の構成情報に基づいて認証要求を発行する認証要求発行部と、発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録部と、優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録部に登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正部と、修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行部に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に優先順位登録部の認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ部とを有することを特徴とする。
本発明は、ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行い、ログインに伴う処理要求に応じて処理対象の画像にデータ処理を施す画像処理装置であって、ユーザーのログインを受け付けるユーザーインターフェース部と、受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成部と、認証要求の構成情報に基づいて認証要求を発行する認証要求発行部と、発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録部と、優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録部に登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正部と、修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行部に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に優先順位登録部の認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ部とを有することを特徴とする。
本発明は、ユーザーのログインを受け付け、受け付けたログインに対する認証をネットワーク接続可能な認証サーバを利用して行う情報処理装置におけるログインの認証方法であって、ユーザーのログインを受け付ける工程と、受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成工程と、認証要求の構成情報に基づいて認証要求を発行する認証要求発行工程と、発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録工程と、優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録工程で登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正工程と、修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行工程に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に前記優先順位登録工程で登録した認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ工程とを有することを特徴とする。
The present invention is an information processing apparatus that accepts a user's login and performs authentication for the accepted login using an authentication server that can be connected to a network, and includes a user interface unit that accepts a user's login and a received user's login. On the other hand, a configuration information creation unit that creates configuration information of an authentication request to be issued to a specified authentication server, an authentication request issue unit that issues an authentication request based on the configuration information of the authentication request, and an available destination that can be specified as an issue destination A priority order registration unit for registering the priority order of a plurality of authentication servers, and a next order registered in the priority order registration unit when a response to an authentication request issued to a prioritized authentication server is not obtained. Modify configuration information that modifies the configuration information of an existing authentication request in order to change the authentication server to the issue destination The authentication request issuing unit is instructed to execute an authentication request issued based on the modified authentication request configuration information, and a response to the authentication request issued to the changed authentication server is obtained. And an authentication request retry unit for changing the priority of the authentication server of the priority order registration unit from the initial priority to the order of giving priority to the authentication server from which a response has been obtained.
The present invention is an image processing apparatus that accepts a user login, performs authentication for the accepted login using an authentication server that can be connected to a network, and performs data processing on an image to be processed in response to a processing request accompanying the login. The user interface unit that accepts user login, the configuration information creation unit that creates the configuration information of the authentication request issued to the specified authentication server for the received user login, and authentication based on the configuration information of the authentication request An authentication request issuing unit that issues a request, a priority registration unit that registers the priorities of a plurality of available authentication servers that are designated as issue destinations, and a response to the authentication request issued to the priority authentication server If it cannot be obtained, the authentication server of the next order registered in the priority registration unit is changed to the issue destination. In order to issue, a configuration information correction unit for correcting configuration information of an existing authentication request, and an instruction to execute an authentication request issued based on the corrected configuration information of the authentication request are instructed to the authentication request issuing unit. When the response to the authentication request issued to the changed authentication server is obtained, the priority of the authentication server of the priority registration unit is set to the priority of the authentication server in which the response is obtained. And an authentication request retry unit for changing from the above.
The present invention relates to a login authentication method in an information processing apparatus that accepts a user's login and performs authentication for the accepted login using an authentication server that can be connected to a network, the step of accepting the user's login, and the accepted user Configuration information creation step for creating authentication request configuration information to be issued to the designated authentication server, authentication request issuance step for issuing an authentication request based on the authentication request configuration information, and designation as an issue destination Registered in the priority registration step when a response to an authentication request issued to a priority issuer authentication server cannot be obtained, and a priority order registration step of registering the priorities of a plurality of available authentication servers Modify the configuration information of the existing authentication request to change the authentication server of the next order to the issue destination and issue it. The authentication information issuing step and an instruction to execute the authentication request issued based on the configuration information of the corrected authentication request to the authentication request issuing step, and for the authentication request issued to the changed authentication server An authentication request retry step for changing the priority order of the authentication servers registered in the priority order registration step when the response is obtained from the initial priority order to a priority order for giving priority to the authentication server for which the response is obtained. It is characterized by that.
本発明によって、複数の認証サーバと、これらにネットワークを介して接続されるクライアントとしての情報処理装置をシステム要素として構成する認証システムにおいて、認証要求への応答結果によって、発行先として指定する利用可能な複数の認証サーバの優先順位を変更して、認証要求を行えるようにすることで、認証サーバが応答する際のフェイルオーバ時間を短縮することができる。 According to the present invention, in an authentication system comprising a plurality of authentication servers and an information processing apparatus as a client connected to these servers via a network as system elements, it can be used as an issue destination by a response result to an authentication request. By changing the priority order of a plurality of authentication servers so that an authentication request can be made, the failover time when the authentication server responds can be shortened.
本発明の実施形態について、添付図面を参照して説明する。
以下に示す実施形態は、認証サーバとしてのKDCを複数指定できるJAASのKerberos認証システムを構成する例を示す。
また、ネットワーク上でKDCを利用するクライアント装置にMFP(複写、プリンタ、スキャナ等の機能を複合して持つ複合機)等の画像処理装置を適用した例を示す。なお、MFPは、スキャナ読み取りにより画像データを生成する機能やスキャナ入力や外部機からネットワーク経由で入力される画像データ(印刷要求を含む)をもとに画像出力や外部機へのネットワーク配信に用いる画像データの処理を行う装置であり、共用されることが多く、Kerberos認証の必要性が高い画像処理装置の1つである。
ただ、基本的には、例示するMFP等の画像処理装置を対象にした以下に示す手法を、ログインに対するKerberos認証を必要とする例えば、共用されるPC(Personal Computer)等の他の情報処理装置に適用することにより、こうした情報処理装置に対しても同様に実施することができる。
Embodiments of the present invention will be described with reference to the accompanying drawings.
The following embodiment shows an example of configuring a JAAS Kerberos authentication system that can specify a plurality of KDCs as authentication servers.
In addition, an example in which an image processing apparatus such as an MFP (multifunction apparatus having a combination of functions such as a copy, a printer, and a scanner) is applied to a client apparatus that uses a KDC on a network is shown. The MFP is used for image output and network distribution to an external device based on a function of generating image data by scanning a scanner, image input from a scanner or an external device via a network (including a print request). It is an apparatus that processes image data, and is one of image processing apparatuses that are often shared and have a high necessity for Kerberos authentication.
However, basically, the following method for an image processing apparatus such as an MFP as an example is used as another information processing apparatus such as a shared PC (Personal Computer) that requires Kerberos authentication for login. By applying to the above, the present invention can be similarly applied to such an information processing apparatus.
「クライアント装置のハードウェア構成」
図1は、本実施形態のクライアント装置としての画像処理装置のハードウェア構成を示すブロック図である。
図1に示す画像処理装置100は、コントローラ110のもとに画像処理装置100全体が制御され、複写、プリンタ、スキャナ等の機能を利用する際にも必要となる各種デバイスの動作をコントローラ110が制御する。
コントローラ110は、ソフトウエアプログラムの命令を実行するためのCPU(Central Processing Unit)111と、該プログラムを格納するためのROM(Read Only Memory)112と、該プログラムの動作によって作成されるページメモリやプログラムの動作に必要なワークメモリとして利用するRAM(Random Access Memory)113と、画像処理装置100を適正に動作させるための設定条件などを保存しておく不揮発性メモリであるNVRAM114よりなるコンピュータで構成する。
"Hardware configuration of client device"
FIG. 1 is a block diagram illustrating a hardware configuration of an image processing apparatus as a client apparatus according to the present embodiment.
In the
The
また、コントローラ110の構成要素として、ネットワーク上に接続された外部機120とデータのやり取りを行うためのネットワークI/F(インターフェース)115とエンジン130との間で印刷指令等の動作の指示を行うエンジンI/F116と、ユーザーインターフェース(UI)として機能する操作パネル140との間でデータのやり取りを行うための操作パネルI/F117を有する。
なお、ネットワークI/F115を介して接続される外部機120としては、ホストPCや後述する認証サーバなどが含まれる。エンジンI/F116を介して接続されるエンジン130としては、スキャナやプリンタなどが含まれる。操作パネル140は、表示部とキー等の入力操作を受付ける入力部とを備え、対話形式のUI機能を提供する。
Further, as a component of the
Note that the
「認証サーバのハードウェア構成」
図2は、本実施形態に係る認証サーバのハードウェア構成を示すブロック図である。
この認証サーバ200のハードウェアは、PCで構成することができ、バス210と、それぞれがバス210に接続されたCPU212、メモリ213、通信装置214、表示装置215、HD(Hard Disk)ドライブ216、入力装置217、CD(Compact Disk)−ROM(Read Only Memory)ドライブ218及びFD(Flexible Disk)ドライブ219を有する。
CPU212は、この認証サーバ200の動作を制御する。メモリ213は、CPU212が起動時に実行するプログラムや必要なデータ等を記憶するためのROM、CPU212のワークエリア等を構成するためのRAMなどからなる。
CPU212は、RAMをワークメモリとして用いることにより、ROM、HDドライブ216などに格納されたソフトウェア(プログラム)を動作させ、これらの要素で構成するコンピュータを動作制御部として機能させる。このコンピュータは、本実施形態では、認証サーバとしてのKDCの処理を実行するためのプログラムを駆動することにより、これらの処理手段として機能する。
"Authentication Server Hardware Configuration"
FIG. 2 is a block diagram showing a hardware configuration of the authentication server according to the present embodiment.
The hardware of the
The
The
通信装置214は、この認証サーバ200をインターネットなどのネットワークに接続し、画像処理装置(クライアント装置)100(図1)等とのデータ交換を行うための装置で、このネットワークによりJAASのKerberos認証システムを構成する。
表示装置215は、この認証サーバ200を操作するための画面や動作状態を表示する。
入力装置217は、キーボードやマウスなどからなり、この認証サーバ200に対する種々のキー操作や指示の入力を行うためのものである。
HDドライブ216は、KDCの処理を実行するためのプログラム、ワークデータ、及びファイルデータなどを記憶する。CD−ROMドライブ218は、CD−ROMやDVD−ROMなどの記録媒体の読み出しを行うための装置である。FDドライブ219は、フレキシブルディスクに対する書き込み及び読み出しを行うための装置である。
The
The
The
The
「認証システムとその動作」
クライアント装置としての画像処理装置100とネットワークで接続された認証サーバ200とにより構成するJAASのKerberos認証システムと、この認証システムにおける認証時の動作を詳細に説明する。
以下の説明では、認証サーバとして1つのマスタKDC(master.sample.com)と2つのスレーブKDC(slave1.sample.com,slave2.sample.com)からレルム環境を構成する実施例を示す。また、利用する認証サーバの優先順位が予め設定されるが、その初期設定は、master.sample.com,slave1.sample.com,slave2.sample.comの順とする。
"Authentication system and its operation"
A JAAS Kerberos authentication system configured by an
In the following description, an embodiment is shown in which a realm environment is configured from one master KDC (master.sample.com) and two slave KDCs (slave1.sample.com, slave2.sample.com) as an authentication server. The priority order of the authentication servers to be used is set in advance, and the initial setting is the order of master.sample.com, slave1.sample.com, and slave2.sample.com.
〈先行技術〉
本発明に係る実施形態を説明する前に、先ず、JAASのKerberos認証システムとして、本発明と共通の手段を一部に用いて構成する先行技術の該認証システムの1例を図3〜5を参照して、説明する。なお、ここでは、この認証システムのクライアントの構成に特徴部分があり、認証サーバとしてのKDC自体は、既存の技術を適用することにより実施することができるので、認証サーバの詳細な説明は省略する。
図3は、JAAS API(Application Program Interface)を利用してKerberos認証を行うためにクライアント装置が用いる先行技術のソフトウェア構成を示すブロック図である。
図3に示すように、クライアント装置は、クライアントJava(登録商標) VM(Virtual Machine)10として、Kerberosクライアント9とJAAS(Java(登録商標) Authentication and Authorization Service)13を有する。また、クライアントJava(登録商標)
VM10は、ネットワーク30を介して1つのマスタKDC(master.sample.com)20と2つのスレーブKDC21,22(slave1.sample.com,slave2.sample.com)と接続する。
<Prior art>
Before describing an embodiment according to the present invention, first, as an example of a Kerberos authentication system of JAAS, an example of the authentication system of the prior art configured by using a part common to the present invention is shown in FIGS. Reference is made to the description. Here, there is a characteristic part in the configuration of the client of this authentication system, and the KDC itself as the authentication server can be implemented by applying the existing technology, and thus detailed description of the authentication server is omitted. .
FIG. 3 is a block diagram showing a prior art software configuration used by a client device to perform Kerberos authentication using JAAS API (Application Program Interface).
As illustrated in FIG. 3, the client apparatus includes a
The
Kerberosクライアント9は、UI(ユーザーインターフェース)部1と、Kerberos構成ファイル(krb5.conf)15を作成する構成ファイル作成部2と、JAAS13に認証を依頼する認証要求部3を構成要素とする。
JAAS13は、LoginContext11とKrb5LoginModule12を構成要素とし、後述するように、認証要求を認証サーバとしてのKDCへ発行する際の処理を行う。
構成ファイル作成部2が作成するKerberos構成ファイル15には、Kerberosクライアント9、認証サーバ(KDC)20〜22、管理用ユーティリティ及びKDC自身にリンクされる、Kerberosライブラリに必要な情報がすべて含まれる。
図4は、Kerberos構成ファイル15の1例を示すものである。
図4に示す例では、[realms]の記述のもと、SAMPLE.COMレルム内に、1つのマスタKDC(master.sample.com)と2つのスレーブKDC(slave1.sample.com,slave2.sample.com)よりなる3つのKDCがユーザーによって設定された優先順位に従って定義されている。
The
The
FIG. 4 shows an example of the
In the example shown in FIG. 4, under the description of [realms], one master KDC (master.sample.com) and two slave KDCs (slave1.sample.com, slave2.sample.) Are included in the SAMPLE.COM realm. com) are defined according to the priority set by the user.
クライアントJava(登録商標) VM10が行う認証要求の処理過程を、図5の処理手順を表すシーケンス図を参照して説明する。
UI部1は、このKerberos認証に必要な情報を入力するインターフェースと、ユーザー認証に必要なユーザー情報を入力するインターフェースを持つ。従って、これらのインターフェースを介して行われるそれぞれの入力に応じて行うシーケンスを図5に示している。
Kerberos認証に必要な情報は、ユーザーの操作によって、Kerberosクライアント9のUI部1を介してKDC設定として入力される(図5,シーケンス1)。
このとき、UI部1は、入力されたKerberos認証に必要な情報の中から利用するKDCの優先順位を定める情報を構成ファイル作成部2に渡す(図5,シーケンス1.1)。
次に、構成ファイル作成部2は、UI部1から渡された利用するKDCの優先順位を定める情報等をもとに、既定のフォーマットに従いKerberos構成ファイル15を作成する(図5,シーケンス1.2)。なお、作成されるKerberos構成ファイル15(krb5.conf)には、[realms]の記述のもとに、KDCがユーザーによって設定された優先順位で定義される。
An authentication request processing process performed by the client Java (registered trademark)
The
Information necessary for Kerberos authentication is input as a KDC setting via the
At this time, the
Next, the configuration
また、ユーザーの操作によって、Kerberosクライアント9のUI部1を介してログインの入力がなされる(図5,シーケンス2)。
このとき、UI部1は、ユーザーのログインを受付け、ログインに示されたユーザー情報を付して認証要求部3に認証要求の処理を依頼する。この依頼を受けた認証要求部3は、UI部1から渡されたユーザー情報を用いJAAS API のLoginContext11と対話し認証要求を行う(図5,シーケンス2.1)。
次いで、Krb5LoginModule12は、LoginContext11を介して受付けた認証要求に応じてKerberosプロトコルを使用して認証サーバへユーザー認証要求を発行する。この処理の手順としては、Krb5LoginModule12は、構成ファイル作成部2が上記シーケンス1.2で作成したKerberos構成ファイル15(krb5.conf)を読み込み(図5,シーケンス2.1.1)、Kerberos構成ファイル15の記述に従い、Kerberosプロトコルを使用してKDCへユーザー認証要求を発行する(図5,シーケンス2.1.2,2.1.3,2.1.4)。
In addition, a login operation is input through the
At this time, the
Next, the
図4に例示したKerberos構成ファイルによると、Krb5LoginModule12は、KDCリストの記述における上から順に、即ち(master.sample.com,slave1.sample.com,slave2.sample.com)の順に認証をリダイレクトする。
例えば、master.sample.comのKDCへユーザー認証要求を発行し(図5,シーケンス2.1.2)、発行したKDCに何らかの障害が発生し、設定されたタイムアウト時間(kdc_timeoutの値:ミリ秒)内に応答が無い場合には、次の順位のslave1.sample.comに対して自動的にリダイレクトし、認証要求を発行する(図5,シーケンス2.1.3)。
同様に、slave1.sample.comのKDCに障害が発生し、タイムアウト時間内に応答が無い場合には、次の順位のslave2.sample.comに対して認証要求を発行する(図5,シーケンス2.1.4)。
ここで、slave2.sample.comからはタイムアウト時間内に応答があり、このKDCにより認証に成功した場合には、認証結果がKerberosクライアント9に伝えられ、またログインの可、不可をログイン結果として操作パネルの表示部を通してユーザーに通知する。
According to the Kerberos configuration file illustrated in FIG. 4, the
For example, a user authentication request is issued to the KDC of master.sample.com (Fig. 5, sequence 2.1.2), and some failure occurs in the issued KDC, and the set timeout time (value of kdc_timeout: milliseconds) If there is no response in (), it is automatically redirected to slave1.sample.com in the next rank and an authentication request is issued (FIG. 5, sequence 2.1.3).
Similarly, when a failure occurs in the KDC of slave1.sample.com and there is no response within the timeout period, an authentication request is issued to slave2.sample.com of the next rank (FIG. 5, sequence 2). .1.4).
Here, there is a response from the slave2.sample.com within the timeout period, and if the authentication is successful by this KDC, the authentication result is transmitted to the
上記のように、先行技術によって、予めユーザーの入力により定めた優先順位で複数のKDCに自動でリダイレクトする機能が実現される。
ただ、クライアントJava(登録商標) VM10のJAAS13には、上記の例のように、master.sample.comとslave1.sample.comからの応答が得られず、slave2.sample.comで認証に成功した場合、この状況を知る術がなく、KDCの優先順位をそのときの状況に合わせて最適化する機能を用意していないため、次回認証を要求した場合に、再度master.sample.comから実行してしまい、状況が変わらなければ、以前と同様に応答時間が掛かってしまうことになってしまう。
As described above, according to the prior art, a function of automatically redirecting to a plurality of KDCs with a priority determined in advance by user input is realized.
However, as shown in the example above, the response from master.sample.com and slave1.sample.com was not obtained in JAAS13 of client Java (registered trademark) VM10, and authentication was successful at slave2.sample.com. In this case, there is no way to know this situation and there is no function to optimize the priority of the KDC according to the situation at that time, so the next time authentication is requested, it is executed again from master.sample.com. If the situation does not change, it will take a response time as before.
〈本発明の実施形態〉
そこで、本発明の実施形態では、優先順位に従ってKDCへの認証要求を発行する際に、初回には、予め定めた初期優先順位に従い認証要求をKDCへ発行し、いずれかのKDCで認証に成功した場合に、そのとき認証に成功した、即ち認証結果を得たKDCを次回に認証要求を発行するときに発行先として優先させる。
このために、本実施形態は、優先順位に従い認証要求をKDCに発行する際に、KDCごとに認証要求を発行し、認証に成功したKDCを特定できるようにし、次回に特定したKDCを認証要求の発行先として優先させるために必要な情報を管理する。
このように、認証要求時のKDCの状況に応じて、要求の発行先とするKDCの優先順位を最適化し、認証要求を発行する処理を行うことによって、先行技術の上記問題を解決する。
<Embodiment of the present invention>
Therefore, in the embodiment of the present invention, when issuing an authentication request to the KDC in accordance with the priority order, the authentication request is issued to the KDC in accordance with a predetermined initial priority order for the first time, and the authentication is successful in any KDC. If the authentication is successful, that is, the KDC that has obtained the authentication result is given priority as the issue destination when the authentication request is issued next time.
Therefore, in this embodiment, when issuing an authentication request to the KDC in accordance with the priority order, the authentication request is issued for each KDC so that the KDC that has been successfully authenticated can be specified, and the next specified KDC is requested to be authenticated. Manage the information necessary to give priority to the issuer.
As described above, the priorities of the prior art are solved by optimizing the priority order of the KDCs to which requests are issued according to the state of the KDC at the time of the authentication request and performing the process of issuing the authentication request.
本実施形態のJAASのKerberos認証システムの1例を図6〜9を参照して、説明する。なお、ここでは、この認証システムのクライアントの構成に特徴部分があり、認証サーバとしてのKDC自体は、既存の技術を適用することにより実施することができるので、認証サーバの詳細な説明は省略する。
図6は、JAAS API(Application Program Interface)を利用してKerberos認証を行うためにクライアント装置(図1の画像処理装置100)が用いるソフトウェア構成を示すブロック図である。
図6に示すように、クライアント装置は、クライアントJava(登録商標) VM(Virtual Machine)10として、Kerberosクライアント9とJAAS(Java(登録商標) Authentication and Authorization Service)13を有する。また、クライアントJava(登録商標)
VM10は、ネットワーク30を介して1つのマスタKDC(master.sample.com)20と2つのスレーブKDC21,22(slave1.sample.com,slave2.sample.com)と接続する。
An example of the JAAS Kerberos authentication system of this embodiment will be described with reference to FIGS. Here, there is a characteristic part in the configuration of the client of this authentication system, and the KDC itself as the authentication server can be implemented by applying the existing technology, and thus detailed description of the authentication server is omitted. .
FIG. 6 is a block diagram showing a software configuration used by the client apparatus (
As illustrated in FIG. 6, the client device includes a
The
Kerberosクライアント9は、UI(ユーザーインターフェース)部1と、Kerberos構成ファイル(krb5.conf)15を作成する構成ファイル作成部2と、JAAS13に認証を依頼する認証要求部3と、認証要求部3に対し要求を繰り返し行うことが可能な認証要求リトライ部4と、認証要求リトライ部4の指示でKerberos構成ファイル15を修正する構成ファイル修正部5と、認証要求リトライによって変更される接続するKDCの優先順位を登録する優先順位登録部6を構成要素とする。
なお、上記UI部1は、Kerberos認証に必要な情報として、接続するKDCの優先順位等を入力するインターフェースと、ユーザー認証に必要なユーザー情報を入力するインターフェースを持つ。また、構成ファイル作成部2は、UI部1から渡されたKerberos認証に必要な情報を元に、既定のフォーマットに従いKerberos構成ファイル15を作成する。これらの点では、上述の先行技術におけるKerberosクライアントと同様である。
The
The
JAAS13は、LoginContext11とKrb5LoginModule12を構成要素とし、後述するように、認証要求を認証サーバとしてのKDCへ発行する際の処理を行う。
構成ファイル作成部2が作成するKerberos構成ファイル15には、Kerberosクライアント9、認証サーバ(KDC)20〜22、管理用ユーティリティ及びKDC自身にリンクされる、Kerberosライブラリに必要な情報がすべて含まれる。
図7は、本実施形態で作成されるKerberos構成ファイル15の1例を示すものである。
図7に示す例では、[realms]の記述のもと、SAMPLE.COMレルム内に、1つのKDCだけが設定される。なお、図7の例では、ユーザーによって設定された優先順位の先頭のマスタKDC(master.sample.com)だけが定義されている。これは、1つのKDCだけを設定し認証要求のリトライ動作を行うことにより、認証に成功したKDCを特定できるようにするためである。このリトライ動作については、下記の処理手順で詳細に説明する。
The
FIG. 7 shows an example of the
In the example shown in FIG. 7, only one KDC is set in the SAMPLE.COM realm under the description of [realms]. In the example of FIG. 7, only the first master KDC (master.sample.com) in the priority order set by the user is defined. This is because only one KDC is set and an authentication request retry operation is performed, so that a KDC that has been successfully authenticated can be identified. This retry operation will be described in detail in the following processing procedure.
クライアントJava(登録商標) VM10が行う認証要求の処理過程を、図8の処理手順を表すシーケンス図を参照して説明する。
先ず、ユーザーの操作によってKerberosクライアント9のUI部1を介して、Kerberos認証に必要な情報が、KDC設定として入力される(図8,シーケンス1)。
このとき、UI部1は、入力されたKerberos認証に必要な情報の中から利用するKDCの優先順位を定める情報を構成ファイル作成部2に渡す(図8,シーケンス1.1)。
次に、構成ファイル作成部2は、UI部1から渡された利用するKDCの優先順位を定める情報等をもとに、既定のフォーマットに従いKerberos構成ファイル15を作成する(図8,シーケンス1.2)。なお、作成されるKerberos構成ファイル15(krb5.conf)には、[realms]の記述のもとに、KDCがユーザーによって設定された優先順位で定義される(図4、参照)。ここまでのシーケンスは、図5に示した先行技術のシーケンスと変わりがなく、作成されるKerberos構成ファイル15は、図4に示したものと同じである。
An authentication request processing process performed by the client Java (registered trademark)
First, information necessary for Kerberos authentication is input as a KDC setting via the
At this time, the
Next, the configuration
また、ユーザーの操作によって、Kerberosクライアント9のUI部1を介してログインの入力がなされる(図8,シーケンス2)。
このとき、クライアント装置と認証サーバとしてのKDCとの間のSession Timeout(セッションタイムアウト)が確認され、Session Timeoutであれば、優先順位を初期化する(図8,シーケンス2.1)。この実施形態では、セッションタイムとして、前回のログイン時刻(この実施形態では、ログインの認証時刻)から所定時間を決め、その時間が経過するまでは、優先順位を初期化しないで、前回のログインに対して行った認証要求の処理結果に応じてKDCの優先順位を変更し、変更した優先順位に従った処理を行う。つまり、認証要求のリトライ動作(後記で詳述)を行うことにより、認証に成功したKDCを次回の認証要求を発行するときの発行先として優先させる動作を実施するタイムリミットをセッションタイムによって定める。
In addition, a login operation is input through the
At this time, the Session Timeout (session timeout) between the client device and the KDC as the authentication server is confirmed, and if it is Session Timeout, the priority is initialized (FIG. 8, sequence 2.1). In this embodiment, a predetermined time is determined as the session time from the previous login time (in this embodiment, the login authentication time), and priorities are not initialized until the time has elapsed. The priority order of the KDC is changed in accordance with the processing result of the authentication request made for the process, and processing according to the changed priority order is performed. That is, by performing an authentication request retry operation (described in detail later), a time limit for performing an operation to prioritize the KDC that has been successfully authenticated as an issue destination when the next authentication request is issued is determined by the session time.
上記のセッションタイムは、認証システムの構成を含めさまざまな要因により適正な値が異なるので、例えば、認証システムの構成ごとに得られた経験値をもとにそれぞれの認証システムに適応する値が定められる。
Session Timeoutで初期化するときに設定される初期優先順位は、例えば、認証システムを稼動した際の成功率の高さや処理時間を経験値としてその統計データを求め、求められたデータをもとに認証システムを構成するKDCに予め順位を付け、クライアント装置内に保存しておく。
認証要求リトライ部4は、クライアント装置自身が発する初期化の指令を受け、保存しておいた初期優先順位を優先順位登録部6に登録することにより、実行時にこの優先順位を適用する。
The appropriate value for the above session time varies depending on various factors including the configuration of the authentication system.For example, a value to be applied to each authentication system is determined based on the experience value obtained for each configuration of the authentication system. It is done.
The initial priority set when initializing with Session Timeout is, for example, the statistical data is obtained based on the high success rate and processing time when the authentication system is operated as the experience value, and based on the obtained data. Priorities are assigned to the KDCs constituting the authentication system and stored in the client device.
The authentication request retry unit 4 receives an initialization command issued by the client device itself, and registers the stored initial priority in the priority registration unit 6 to apply this priority at the time of execution.
Session Timeoutで優先順位を初期化した場合には、ログインしたユーザーが操作パネルから認証に用いるKDCの優先順位を指定する入力を行うことがあるので、入力された場合には、入力された優先順位と初期設定との異同を確認する(図8,シーケンス2.2)。
ユーザーによって入力された優先順位が、初期化時に設定された初期優先順位と異なる場合に、構成ファイル修正部5は、上述のシーケンス1.2で作成されたKerberos構成ファイル15をユーザーの入力に従って修正する(図8,シーケンス2.3)。このとき、この実施形態では、図7で例示したように、ユーザーによって設定された優先順位の1番目のマスタKDC(master.sample.com)だけを定義する修正がKerberos構成ファイル15に加えられる。
If the priority is initialized with Session Timeout, the logged-in user may input from the operation panel to specify the priority of the KDC to be used for authentication. And the difference between the initial settings (Fig. 8, Sequence 2.2).
When the priority input by the user is different from the initial priority set at the time of initialization, the configuration
Kerberos構成ファイル15の修正後、UI部1からのユーザーのログインを受付けた認証要求リトライ部4は、ログインに示されたユーザー情報を付して認証要求部3に認証要求の処理を依頼する。この依頼を受けた認証要求部3は、UI部1から渡されたユーザー情報を用いJAAS APIのLoginContext11と対話し認証要求を行う(図8,シーケンス2.4)。
次いで、Krb5LoginModule12は、LoginContext11を介して受付けた認証要求に応じてKerberosプロトコルを使用して認証サーバへユーザー認証要求を発行する。この処理の手順としては、Krb5LoginModule12は、構成ファイル作成部2が上記図8,シーケンス2.3で修正したKerberos構成ファイル15(krb5.conf)を読み込み(図8,シーケンス2.4.1)、Kerberos構成ファイル15の記述に従い、Kerberosプロトコルを使用して優先順位の1番目のKDCへユーザー認証要求を発行する(図8,シーケンス2.4.2)。
After the modification of the
Next, the
図8のシーケンスでは、シーケンス2.4.2で発行した優先順位の1番目のKDCに何らかの障害が発生し、設定されたタイムアウト時間(kdc_timeoutの値:ミリ秒)内に応答が無かった場合であり、この場合には、次の順位のKDCに対して認証要求を発行する。
このための手順として、構成ファイル修正部5は、上述のシーケンス2.3で修正されたKerberos構成ファイル15を、さらにユーザーの入力で指示された優先順位に従って発行先のKDCの修正を行う(図8,シーケンス2.5)。このとき、この実施形態では、図9のKerberos構成ファイルに示すように、[realms]の記述のもと、SAMPLE.COMレルム内に、ユーザーによって設定された優先順位の2番目のKDCだけを定義する修正が加えられる。
In the sequence shown in FIG. 8, when a failure occurs in the first priority KDC issued in sequence 2.4.2 and there is no response within the set timeout period (kdc_timeout value: milliseconds). Yes, in this case, an authentication request is issued to the next-ranked KDC.
As a procedure for this, the configuration
Kerberos構成ファイル15の修正後、UI部1からのユーザーのログインを受付けた認証要求リトライ部4は、ログインに示されたユーザー情報を付して認証要求部3に認証要求の処理を依頼する。この依頼を受けた認証要求部3は、UI部1から渡されたユーザー情報を用いJAAS APIのLoginContext11と対話し認証要求を行う(図8,シーケンス2.6)。
次いで、Krb5LoginModule12は、LoginContext11を介して受付けた認証要求に応じてKerberosプロトコルを使用して認証サーバへユーザー認証要求を発行する。この処理の手順としては、Krb5LoginModule12は、構成ファイル作成部2が上記図8,シーケンス2.5で修正したKerberos構成ファイル15(krb5.conf)を読み込み(図8,シーケンス2.6.1)、Kerberos構成ファイル15の記述に従い、Kerberosプロトコルを使用して優先順位の2番目のKDCへユーザー認証要求を発行する(図8,シーケンス2.6.2)。
After the modification of the
Next, the
ここで、2番目のKDCからはタイムアウト時間内に応答があり、このKDCにより認証に成功した場合には、認証結果がKerberosクライアント9に通知される。なお、Kerberosクライアント9が受取る認証結果には、認証の成功、失敗の結果とともに、認証したKDCを特定する情報及びこのときの時刻が付加されている。なお、前記時刻は、認証結果の通知時の時刻でもよいが、認証時にKDCで付したタイムスタンプが付加されている場合には、このタイムスタンプとする。
この認証結果を受取ったKerberosクライアント9の認証要求リトライ部4は、通知された優先順位登録部6に認証に成功した正常稼動中のKDCとタイムスタンプを対応付けて登録する。この登録は、次回に用いるKDCの優先順位の変更をするので、認証に成功した正常稼動中のKDCを優先順位の1番目にして登録を行う(図8,シーケンス2.7)。
なお、この優先順位の変更を行う場合に、このログインに対して発行された認証要求に応答せず、認証に失敗したKDCには、リダイレクトしないようにする。これは、失敗直後には、先の失敗の原因が除かれ、リトライで成功する可能性が低いので、認証に失敗したKDCを加えると、フェイルオーバ時間を短縮するためには、負の要因になると考えられるからである。
Here, there is a response from the second KDC within the timeout time, and when the authentication is successful by this KDC, the authentication result is notified to the
Upon receiving this authentication result, the authentication request retry unit 4 of the
Note that when changing the priority order, the authentication request issued for this login is not responded, and the KDC that fails authentication is not redirected. This is because immediately after the failure, the cause of the previous failure is removed and the possibility of success in the retry is low, so adding a KDC that failed to authenticate is a negative factor in order to shorten the failover time. It is possible.
また、認証要求リトライ部4は、認証時にKDCで付したタイムスタンプが好適である、この認証結果を受取ったときの認証時刻をもとに、セッションを作成する(図8,シーケンス2.8)。
作成されたセッションの時刻はセッションの開始時刻となり、次回のユーザーログイン時においてSession Timeoutを確認するとき(図8,シーケンス2.1、参照)に用いられる。つまり、このセッションの開始時刻から始まるセッションタイムを越える、Session Timeoutをしなければ、今回変更した優先順位を使用して認証要求の発行先を決め、他方、Session Timeoutであれば、セッションをクリアとともに優先順位を初期化し、KDC復旧時にも対応可能にするという手順を行うことができるようにする。
また、認証の成功、失敗に従うログインの可、不可をログイン結果として操作パネルの表示部を通してユーザーに通知する。
Further, the authentication request retry unit 4 creates a session based on the authentication time when the authentication result is received, which is preferably the time stamp given by the KDC at the time of authentication (FIG. 8, sequence 2.8). .
The time of the created session is the start time of the session, and is used when confirming the Session Timeout at the next user login (see FIG. 8, sequence 2.1). In other words, if you do not set Session Timeout exceeding the session time starting from the start time of this session, the authentication request is issued using the priority changed this time. On the other hand, if Session Timeout is used, the session is cleared and The procedure to initialize the priority order and make it possible to cope with KDC recovery is also possible.
In addition, the user is notified through the display unit of the operation panel as a login result whether or not the login according to the success or failure of the authentication is possible.
〈優先順位の変更に付随する処理〉
本実施形態では、上記のように、セッションタイムを越えるまでは、前回ログイン時に正常に稼動したKDCを優先させるように変更した優先順位を使用して認証要求の発行先を決める。
ただ、変更した順位を適用して発行した認証要求に対して、常にそのKDCが正常に稼動する保証があるわけではない。
そこで、変更した順位を適用した発行先のKDCが正常に稼動しなかった場合には、優先順位を初期の設定に戻すようにする。この方法を用いることによって、KDCに生じる障害によっては、ログインの処理をより速く行うことが可能になる。
<Processing accompanying priority change>
In the present embodiment, as described above, until the session time is exceeded, the authentication request issuance destination is determined using the priority order changed so that the KDC that normally operates at the time of the previous login is given priority.
However, there is no guarantee that the KDC will always operate normally for authentication requests issued by applying the changed order.
Therefore, when the issue destination KDC to which the changed order is applied does not operate normally, the priority order is returned to the initial setting. By using this method, the login process can be performed faster depending on the failure that occurs in the KDC.
上述のように、本実施形態のJAASのKerberos認証システムによると、認証要求を、予めクライアント装置自身が初期条件として設定するか、もしくはユーザーの設定する優先順位に従い定めたKDCへ順次リトライして発行し、認証要求へ応答したKDCを優先させるように、利用可能な複数のKDCの優先順位を変更して、次回の認証要求の発行先とすることで、認証要求時のKDCの状況に応じて優先順位を適正化し、この順位に従い認証要求を発行することによって、フェイルオーバ時間を短縮することができる。さらに、認証要求へ応答したKDCのタイムスタンプからの経過時間をチェックし、所定時間経過(セッションタイムアウト)した場合に優先順位を初期化することで、KDC復旧時にも対応可能になり、最適化が可能になる。 As described above, according to the JAAS Kerberos authentication system of the present embodiment, an authentication request is issued as an initial condition set in advance by the client device itself or sequentially to the KDC determined according to the priority set by the user. Depending on the status of the KDC at the time of the authentication request, the priority of the multiple KDCs that can be used is changed so that the KDC that responds to the authentication request has priority. Failover time can be shortened by optimizing priorities and issuing authentication requests according to the priorities. Furthermore, by checking the elapsed time from the time stamp of the KDC that responded to the authentication request and initializing the priority when a predetermined time has passed (session timeout), it is possible to cope with KDC recovery and optimization. It becomes possible.
1・・UI部、2・・構成ファイル作成部、3・・認証要求部、4・・認証要求リトライ部、5・・構成ファイル修正部、6・・優先順位登録部、9・・Kerberosクライアント、10・・クライアントJava(登録商標) VM、13・・JAAS(Java(登録商標) Authentication and Authorization Service)、15・・Kerberos構成ファイル、20・・マスタKDC、21,22・・スレーブKDC、30・・ネットワーク、100・・画像処理装置、110・・コントローラ、111・・CPU、112・・ROM、113・・RAM、115・・ネットワークI/F、116・・エンジンI/F、117・・操作パネルI/F、120・・外部機、130・・エンジン、140・・操作パネル。
1 ....
Claims (18)
ユーザーのログインを受け付けるユーザーインターフェース部と、
受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成部と、
認証要求の構成情報に基づいて認証要求を発行する認証要求発行部と、
発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録部と、
優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録部に登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正部と、
修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行部に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に優先順位登録部の認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ部と
を有することを特徴とする情報処理装置。 An information processing apparatus that accepts a user login and performs authentication for the accepted login using an authentication server that can be connected to a network,
A user interface that accepts user logins;
A configuration information creation unit that creates configuration information of an authentication request issued to a specified authentication server in response to a login of an accepted user;
An authentication request issuing unit for issuing an authentication request based on the configuration information of the authentication request;
A priority registration unit for registering priorities of a plurality of available authentication servers designated as issue destinations;
If a response to the authentication request issued to the priority issuer authentication server cannot be obtained, the existing authentication server registered in the priority registration unit is changed to the issue destination and issued. A configuration information correction unit for correcting the configuration information of the authentication request of
When the authentication request issuing unit is instructed to execute an authentication request issued based on the modified authentication request configuration information, and a response to the authentication request issued to the changed authentication server is obtained. And an authentication request retry unit that changes the priority of the authentication server of the priority order registration unit from the initial priority to the order of priority of the authentication server for which the response has been obtained.
前記認証要求リトライ部は、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、優先順位を初期優先順位に戻すことを特徴とする情報処理装置。 The information processing apparatus according to claim 1,
The authentication request retry unit returns the priority to the initial priority when a response to the authentication request issued to the changed authentication server is not obtained.
前記認証要求リトライ部は、正常稼動していない認証サーバにリダイレクトしないようにすることを特徴とする情報処理装置。 In the information processing apparatus according to claim 1 or 2,
The authentication request retry unit is configured not to redirect to an authentication server that is not operating normally.
前記優先順位登録部は、前記初期優先順位を自動的に予め定められた優先順位で登録することを特徴とする情報処理装置。 The information processing apparatus according to any one of claims 1 to 3,
The information processing apparatus, wherein the priority order registration unit automatically registers the initial priority order with a predetermined priority order.
前記優先順位登録部は、認証要求に対する応答が得られた認証サーバによって認証時に行われるタイムスタンプを該サーバと対応付けて登録するとともに、
前記認証要求リトライ部は、タイムスタンプからの所定セッションタイムの経過を条件に優先順位を初期優先順位に戻すことを特徴とする情報処理装置。 The information processing apparatus according to any one of claims 1 to 4,
The priority order registration unit registers a time stamp performed at the time of authentication by the authentication server from which a response to the authentication request is obtained in association with the server, and
The authentication request retry unit returns the priority to the initial priority on condition that a predetermined session time has elapsed from the time stamp.
ユーザーのログインを受け付けるユーザーインターフェース部と、
受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成部と、
認証要求の構成情報に基づいて認証要求を発行する認証要求発行部と、
発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録部と、
優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録部に登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正部と、
修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行部に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に優先順位登録部の認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ部と
を有することを特徴とする画像処理装置。 An image processing apparatus that accepts a user's login, performs authentication for the accepted login using an authentication server that can be connected to a network, and performs data processing on an image to be processed in response to a processing request accompanying login,
A user interface that accepts user logins;
A configuration information creation unit that creates configuration information of an authentication request issued to a specified authentication server in response to a login of an accepted user;
An authentication request issuing unit for issuing an authentication request based on the configuration information of the authentication request;
A priority registration unit for registering priorities of a plurality of available authentication servers designated as issue destinations;
If a response to the authentication request issued to the priority issuer authentication server cannot be obtained, the existing authentication server registered in the priority registration unit is changed to the issue destination and issued. A configuration information correction unit for correcting the configuration information of the authentication request of
When the authentication request issuing unit is instructed to execute an authentication request issued based on the modified authentication request configuration information, and a response to the authentication request issued to the changed authentication server is obtained. And an authentication request retry unit for changing the priority of the authentication server of the priority order registration unit from the initial priority to the order of priority of the authentication server from which a response has been obtained.
前記認証要求リトライ部は、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、優先順位を初期優先順位に戻すことを特徴とする画像処理装置。 The image processing apparatus according to claim 6, wherein
The authentication request retry unit returns the priority to the initial priority when a response to the authentication request issued to the changed authentication server is not obtained.
前記認証要求リトライ部は、正常稼動していない認証サーバにリダイレクトしないようにすることを特徴とする画像処理装置。 In the image processing device according to claim 6 or 7,
The image processing apparatus, wherein the authentication request retry unit does not redirect to an authentication server that is not operating normally.
前記優先順位登録部は、前記初期優先順位を自動的に予め定められた優先順位で登録することを特徴とする画像処理装置。 The image processing apparatus according to any one of claims 6 to 8,
The image processing apparatus, wherein the priority order registration unit automatically registers the initial priority order with a predetermined priority order.
前記優先順位登録部は、認証要求に対する応答が得られた認証サーバによって認証時に行われるタイムスタンプを該サーバと対応付けて登録するとともに、
前記認証要求リトライ部は、タイムスタンプからの所定セッションタイムの経過を条件に優先順位を初期優先順位に戻すことを特徴とする画像処理装置。 The image processing apparatus according to any one of claims 6 to 9,
The priority order registration unit registers a time stamp performed at the time of authentication by the authentication server from which a response to the authentication request is obtained in association with the server, and
The authentication request retry unit returns the priority to the initial priority on condition that a predetermined session time has elapsed from the time stamp.
ユーザーのログインを受け付ける工程と、
受け付けたユーザーのログインに対し、指定する認証サーバへ発行する認証要求の構成情報を作成する構成情報作成工程と、
認証要求の構成情報に基づいて認証要求を発行する認証要求発行工程と、
発行先として指定する利用可能な複数の認証サーバの優先順位を登録する優先順位登録工程と、
優先させた発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、前記優先順位登録工程で登録された次の順位の認証サーバを発行先に変更して発行するために、既存の認証要求の構成情報を修正する構成情報修正工程と、
修正された認証要求の構成情報に基づいて発行される認証要求の実行指示を前記認証要求発行工程に指示するとともに、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られた場合に前記優先順位登録工程で登録した認証サーバの優先順位を、応答が得られた当該認証サーバを優先させる順位へ初期優先順位からの変更を行う認証要求リトライ工程と
を有することを特徴とするログインの認証方法。 An authentication method for login in an information processing apparatus that accepts user login and performs authentication for the received login using an authentication server that can be connected to a network,
Accepting user logins,
A configuration information creation process for creating configuration information of an authentication request issued to a specified authentication server in response to a login of an accepted user;
An authentication request issuing step for issuing an authentication request based on the configuration information of the authentication request;
A priority registration step of registering priorities of a plurality of available authentication servers designated as issue destinations;
If a response to the authentication request issued to the priority issuer authentication server cannot be obtained, the existing authentication server registered in the priority order registration step is changed to the issue destination and issued. A configuration information correction process for correcting the configuration information of the authentication request of
When an instruction to execute an authentication request issued based on the configuration information of the modified authentication request is instructed to the authentication request issuing step, and a response to the authentication request issued to the changed authentication server is obtained The authentication request retrying step of changing the priority of the authentication server registered in the priority order registration step from the initial priority to the order of priority of the authentication server for which the response has been obtained. Authentication method.
前記認証要求リトライ工程は、変更された発行先の認証サーバへ発行した認証要求に対する応答が得られない場合に、優先順位を初期優先順位に戻すことを特徴とするログインの認証方法。 The login authentication method according to claim 14, wherein:
An authentication method for login, wherein the authentication request retrying step returns the priority to the initial priority when a response to the authentication request issued to the changed authentication server is not obtained.
前記認証要求リトライ工程は、正常稼動していない認証サーバにリダイレクトしないようにすることを特徴とするログインの認証方法。 The login authentication method according to claim 14 or 15, wherein:
An authentication method for login, wherein the authentication request retry step does not redirect to an authentication server that is not operating normally.
前記優先順位登録工程は、前記初期優先順位を自動的に予め定められた優先順位で登録することを特徴とするログインの認証方法。 The login authentication method according to any one of claims 14 to 16, wherein:
In the priority order registration step, the initial priority order is automatically registered in a predetermined priority order.
前記優先順位登録工程は、認証要求に対する応答が得られた認証サーバによって認証時に行われるタイムスタンプを該サーバと対応付けて登録するとともに、
前記認証要求リトライ工程は、タイムスタンプからの所定セッションタイムの経過を条件に優先順位を初期優先順位に戻すことを特徴とするログインの認証方法。
The login authentication method according to any one of claims 14 to 17,
In the priority order registration step, a time stamp performed at the time of authentication by the authentication server from which a response to the authentication request is obtained is registered in association with the server, and
The authentication request retrying step returns the priority to the initial priority on condition that a predetermined session time has elapsed from the time stamp.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010023255A JP2011164686A (en) | 2010-02-04 | 2010-02-04 | Information processor, image processor, login authentication method, program, and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010023255A JP2011164686A (en) | 2010-02-04 | 2010-02-04 | Information processor, image processor, login authentication method, program, and recording medium |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011164686A true JP2011164686A (en) | 2011-08-25 |
Family
ID=44595342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010023255A Pending JP2011164686A (en) | 2010-02-04 | 2010-02-04 | Information processor, image processor, login authentication method, program, and recording medium |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011164686A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101209641B1 (en) | 2012-06-08 | 2012-12-07 | 주식회사 인포바인 | Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request |
JP2015516617A (en) * | 2012-03-15 | 2015-06-11 | フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー | Modular server system, I / O module and switching method |
JP2020170352A (en) * | 2019-04-03 | 2020-10-15 | キヤノン株式会社 | Information processing system, information processing device, control method of information processing device and program |
CN114745130A (en) * | 2022-04-02 | 2022-07-12 | 杭州玳数科技有限公司 | Authentication method and device for multiple KDC data sources |
-
2010
- 2010-02-04 JP JP2010023255A patent/JP2011164686A/en active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015516617A (en) * | 2012-03-15 | 2015-06-11 | フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー | Modular server system, I / O module and switching method |
KR101209641B1 (en) | 2012-06-08 | 2012-12-07 | 주식회사 인포바인 | Method and system capable of user integrated authentication according to security level of internet site by automatically detecting user authentication request |
JP2020170352A (en) * | 2019-04-03 | 2020-10-15 | キヤノン株式会社 | Information processing system, information processing device, control method of information processing device and program |
JP7222792B2 (en) | 2019-04-03 | 2023-02-15 | キヤノン株式会社 | Information processing system, information processing device, control method and program for information processing device |
CN114745130A (en) * | 2022-04-02 | 2022-07-12 | 杭州玳数科技有限公司 | Authentication method and device for multiple KDC data sources |
CN114745130B (en) * | 2022-04-02 | 2023-12-08 | 杭州玳数科技有限公司 | Authentication method and device for multi-KDC data source |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5683205B2 (en) | Information processing apparatus, control method for controlling information processing apparatus, and program thereof | |
US10802779B2 (en) | Print processing system and method having print server converts document data into print data and to store the print data into plural storage servers for printing at image processing apparatus | |
JP5693051B2 (en) | Information processing apparatus and user authentication method for information processing apparatus | |
JP5862240B2 (en) | Information processing apparatus, control system, control method, control program, and recording medium recording the program | |
JP2012185748A (en) | Print system, information processor, control method, and program | |
JP2011227564A (en) | Image processing apparatus, user authentication method in image processing apparatus | |
JP5339858B2 (en) | Data processing apparatus, data processing apparatus control method, and program | |
US10423375B2 (en) | Non-transitory computer-readable storage medium, client computer, and print method | |
JP5858750B2 (en) | Image processing apparatus, image processing apparatus control method, and program | |
US11140294B2 (en) | Communication device, non-transitory computer-readable recording medium storing computer-readable instructions for communication device, and method executed by communication device | |
JP2011164686A (en) | Information processor, image processor, login authentication method, program, and recording medium | |
JP6025797B2 (en) | Image forming apparatus, method for controlling the apparatus, and program | |
JP2010146486A (en) | Image-processing device, network interface device, controlling method, image-processing system, and program | |
JP5274203B2 (en) | Data processing apparatus, method, program, and data processing system | |
JP5702953B2 (en) | Information processing apparatus and application execution method and program | |
JP4837475B2 (en) | Method, system, and server device for reducing the number of times authentication information data is input | |
JP2007011942A (en) | User authentication information linkage system | |
JP6191272B2 (en) | Printing program, information processing apparatus, and printing system | |
JP4140956B2 (en) | Print information processing apparatus, print system, print information processing method, print program, and storage medium storing print program | |
JP2022056789A (en) | Printing system and printer | |
JP6518302B2 (en) | INFORMATION PROCESSING APPARATUS, CONTROL METHOD THEREOF, AND PROGRAM | |
JP4378338B2 (en) | Information processing apparatus, device setting method, storage medium, and program | |
WO2021028589A1 (en) | A multi-function device, a system, a method of configuring a multi-function device, and a program | |
JP2008071318A (en) | Certificate management apparatus, certificate management method and certificate management program | |
JP2007125777A (en) | Image input/output system |