JP2012203781A - Authentication system, authentication linkage device, and authentication method - Google Patents

Authentication system, authentication linkage device, and authentication method Download PDF

Info

Publication number
JP2012203781A
JP2012203781A JP2011069557A JP2011069557A JP2012203781A JP 2012203781 A JP2012203781 A JP 2012203781A JP 2011069557 A JP2011069557 A JP 2011069557A JP 2011069557 A JP2011069557 A JP 2011069557A JP 2012203781 A JP2012203781 A JP 2012203781A
Authority
JP
Japan
Prior art keywords
authentication
conversion
information
login
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011069557A
Other languages
Japanese (ja)
Other versions
JP5618883B2 (en
Inventor
Masakazu Shiga
正和 志賀
Kenjiro Baba
健次郎 馬場
Yuichiro Mori
勇一朗 森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2011069557A priority Critical patent/JP5618883B2/en
Publication of JP2012203781A publication Critical patent/JP2012203781A/en
Application granted granted Critical
Publication of JP5618883B2 publication Critical patent/JP5618883B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To perform authentication without providing a third party with a login ID used inside a company even while requesting processing of single sign-on for utilizing a plurality of computer resources to the third party.SOLUTION: An authentication information converter receives the login ID from a use terminal authenticated on the basis of the login ID, generates a converted ID which is a calculation result of performing irreversible calculation on the basis of the received login ID, and transmits the generated conversion ID to an authentication linkage device. The authentication linkage device stores the combination of the user ID and a password predetermined for each information provision device beforehand corresponding to the converted ID, reads the combination of the user ID and the password corresponding to the converted ID transmitted from the authentication information converter, transmits it to the information provision device, and makes the information provision device perform authentication processing.

Description

本発明は、シングルサインオンの認証を代行する技術に関する。   The present invention relates to a technique for performing single sign-on authentication.

PC(Personal Computer)等の端末においてアプリケーションを動作させたりネットワークを介して他のコンピュータ装置に接続したりして様々なコンピュータリソースを利用する場合、利用するコンピュータリソース毎に異なるユーザIDとパスワードとが要求されることがある。この場合、ユーザは利用するコンピュータリソース毎にユーザIDとパスワードとを利用端末に入力しなければならず、面倒である。そこで、一度の認証処理によって複数のコンピュータリソースを利用可能にするシングルサインオンの技術が提供されている(例えば、特許文献1)。   When using various computer resources by running an application on a terminal such as a PC (Personal Computer) or connecting to another computer device via a network, a different user ID and password are used for each computer resource used. May be required. In this case, the user has to input the user ID and password into the user terminal for each computer resource to be used, which is troublesome. Therefore, a single sign-on technique that enables a plurality of computer resources to be used by a single authentication process is provided (for example, Patent Document 1).

例えば、図11は、シングルサインオンによる認証処理の概要を示す図である。ここでは、利用端末902が、ネットワークを介していわゆるクラウドサービスを提供するクラウドサーバ900に接続する例を説明する。クラウド側のクラウドサーバ900が参照するクラウド認証DB901には、ユーザの氏名と、ユーザIDとユーザパスワード(PASS)との組み合わせが予め作成され記憶されているものとする。企業内の認証サーバ904が参照する認証DB(データベース)905には、利用端末902を利用するユーザの氏名と、ログインIDとログインパスワードとの組み合わせが対応付けられて予め記憶されている。SSO(シングルサインオン)認証サーバ903が参照する認証変換DB906には、ユーザのログインIDと、そのユーザがクラウドサービスを利用する際のユーザIDとユーザパスワードとの組み合わせが対応付けられて予め記憶されている。   For example, FIG. 11 is a diagram showing an outline of authentication processing by single sign-on. Here, an example will be described in which the use terminal 902 connects to a cloud server 900 that provides a so-called cloud service via a network. In the cloud authentication DB 901 referred to by the cloud server 900 on the cloud side, a combination of a user name, a user ID, and a user password (PASS) is created and stored in advance. In the authentication DB (database) 905 referred to by the authentication server 904 in the company, the name of the user who uses the use terminal 902, the combination of the login ID and the login password are associated and stored in advance. In the authentication conversion DB 906 referred to by the SSO (single sign-on) authentication server 903, a combination of a user login ID, a user ID when the user uses the cloud service, and a user password is stored in advance in association with each other. ing.

利用端末902が起動すると、利用端末902は自身のコンピュータリソースを起動し、企業内のネットワークに接続するためのログインIDとパスワードとの入力画面を表示する。ユーザによって利用端末902にログインIDとパスワードとが入力されると、利用端末902は認証サーバ904に認証要求を送信し、認証成功と判定されると利用端末902のコンピュータリソースが利用可能になる。そして、ユーザからの入力に応じて利用端末902がクラウドサーバ900へのアクセス要求を送信すると(ステップS101)、SSO認証サーバ903がアクセス要求を受信する。SSO認証サーバ903は、認証サーバ904と連携して、アクセス要求を送信した利用端末902が認証されているか否かを判定する(ステップS102)。認証されていれば、SSO認証サーバ903は、認証変換DB906からユーザのログインIDに対応するユーザIDとユーザパスワードとの組み合わせを読み出し、クラウドサーバ900に送信する(ステップS104)。クラウドサーバ900は、SSO認証サーバ903から送信されたユーザIDとユーザパスワードとの組み合わせと、認証DB901に予め記憶されているユーザIDとユーザパスワードとの組み合わせを比較して、認証処理を行う。認証が成功すれば、クラウドサーバ900は利用端末からの利用を許可する。このように、シングルサインオンによれば、ユーザは利用端末の起動時に自身のログインIDとログインパスワードとを入力するだけで、クラウドサーバ等のコンピュータリソースを利用することが可能になる。   When the usage terminal 902 is activated, the usage terminal 902 activates its own computer resource, and displays a login ID and password input screen for connecting to the corporate network. When the user inputs a login ID and password to the use terminal 902, the use terminal 902 transmits an authentication request to the authentication server 904, and when it is determined that the authentication is successful, the computer resource of the use terminal 902 becomes available. When the use terminal 902 transmits an access request to the cloud server 900 in response to an input from the user (step S101), the SSO authentication server 903 receives the access request. The SSO authentication server 903 cooperates with the authentication server 904 to determine whether or not the use terminal 902 that has transmitted the access request is authenticated (step S102). If authenticated, the SSO authentication server 903 reads a combination of a user ID and a user password corresponding to the user login ID from the authentication conversion DB 906 and transmits the combination to the cloud server 900 (step S104). The cloud server 900 performs authentication processing by comparing the combination of the user ID and user password transmitted from the SSO authentication server 903 with the combination of the user ID and user password stored in advance in the authentication DB 901. If the authentication is successful, the cloud server 900 permits use from the use terminal. As described above, according to single sign-on, the user can use computer resources such as a cloud server only by inputting his / her login ID and login password when the user terminal is activated.

特開2006−252418号公報JP 2006-252418 A

しかしながら、近年では様々なクラウドサービスが提供されてきており、多数のユーザIDやユーザパスワード等を管理するSSO認証サーバの運営は煩雑化してくることが考えられる。そこで、図12に示すように、シングルサインオンの処理を行うSSO認証サーバ912の管理を、外部のアウトソース企業に委託することが考えられる。しかし、この場合、アウトソース企業が管理する認証変換DB913に、企業内のユーザのログインIDに対応付けてユーザIDとユーザパスワードとの組み合わせが記憶される。すなわち、企業は、ログインIDを第三者であるアウトソース企業に提供することになる。ここで、企業内における利用端末にログインし、企業内のネットワークに接続するような強い権限を持つログインIDは、できるだけ外部に対して秘匿されることが望ましい。   However, various cloud services have been provided in recent years, and the operation of an SSO authentication server that manages a large number of user IDs and user passwords can be complicated. Therefore, as shown in FIG. 12, it is conceivable to entrust the management of the SSO authentication server 912 that performs single sign-on processing to an external outsource company. However, in this case, the authentication conversion DB 913 managed by the outsource company stores the combination of the user ID and the user password in association with the login ID of the user in the company. That is, the company provides the login ID to an outsource company that is a third party. Here, it is desirable that a login ID having a strong authority to log in to a use terminal in a company and connect to a network in the company is kept secret from the outside as much as possible.

本発明は、このような状況に鑑みてなされたもので、複数のコンピュータリソースを利用するためのシングルサインオンの処理を第三者に委託しつつも、ユーザが企業内で利用するログインIDを第三者に提供せずに認証を行う認証システム、認証連携装置、認証方法を提供する。   The present invention has been made in view of such a situation, and while entrusting a single sign-on process for using a plurality of computer resources to a third party, a login ID used by a user within a company is provided. Provide an authentication system, an authentication cooperation device, and an authentication method for performing authentication without providing them to a third party.

上述した課題を解決するために、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムであって、認証情報変換装置は、ログインIDに基づいて認証された利用端末から、ログインIDを受信するログインID受信部と、ログインID受信部が受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、変換ID生成部によって生成された変換IDを認証連携装置に送信する送信部と、を備え、認証連携装置は、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせる認証代行部と、を備えることを特徴とする。   In order to solve the above-described problems, the present invention performs an authentication process based on a combination of a predetermined user ID and password, and connects a network to a plurality of information providing apparatuses that provide information when it is determined that the authentication is successful. Single sign-on for a plurality of information providing devices based on login IDs of predetermined use terminals connected to the authentication information conversion device connected to the use terminals connected via the authentication information conversion device and the information providing device An authentication system comprising a third-party authentication cooperation device acting on behalf of the user, wherein the authentication information conversion device includes a login ID receiving unit that receives a login ID from a user terminal authenticated based on the login ID, a login A conversion ID generation unit that generates a conversion ID that is a calculation result obtained by performing an irreversible calculation based on the login ID received by the ID reception unit; A transmission unit that transmits the conversion ID generated by the conversion ID generation unit to the authentication cooperation device, and the authentication cooperation device associates the conversion ID with the user ID and password that are determined in advance for each information providing device. The combination of the ID stored in advance and the combination of the user ID and password associated with the conversion ID transmitted from the authentication information conversion device are read out and transmitted to the information providing device, and the information providing device is authenticated. And an authentication proxy unit that performs processing.

また、本発明は、認証連携装置は、認証情報変換装置と接続された回線を識別する回線情報を取得する回線情報取得部を備え、変換ID記憶部には、変換ID毎に、変換IDを送信してくる認証情報変換装置を識別する回線情報が対応付けられて予め記憶され、認証代行部は、変換ID記憶部に記憶された変換IDおよび回線情報と、認証情報変換装置から送信された変換IDおよび、回線情報取得部によって取得された、変換IDが送信された回線の回線情報とを比較し、変換IDと回線情報とが一致する場合、変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信することを特徴とする。   Further, according to the present invention, the authentication cooperation apparatus includes a line information acquisition unit that acquires line information for identifying a line connected to the authentication information conversion apparatus, and the conversion ID storage unit stores a conversion ID for each conversion ID. The line information for identifying the authentication information conversion device to be transmitted is associated and stored in advance, and the authentication agent is transmitted from the authentication ID conversion device and the conversion ID and line information stored in the conversion ID storage unit. When the conversion ID is compared with the line information of the line to which the conversion ID is transmitted, acquired by the line information acquisition unit, and the conversion ID matches the line information, the user ID and password associated with the conversion ID The combination is read out and transmitted to the information providing apparatus.

また、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続され、ログインIDに基づいて認証された利用端末から、ログインIDを受信するログインID受信部と、ログインID受信部が受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、変換ID生成部によって生成された変換IDを送信する送信部と、を備えた認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムにおける認証連携装置であって、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせる認証代行部と、を備えることを特徴とする。   In addition, the present invention performs an authentication process based on a combination of a predetermined user ID and password, and a use terminal connected via a network to a plurality of information providing apparatuses that provide information when it is determined that the authentication is successful The login ID receiving unit that receives the login ID from the user terminal authenticated based on the login ID, and the conversion ID that is the calculation result of the irreversible calculation based on the login ID received by the login ID receiving unit Are connected to an authentication information conversion device, an authentication information conversion device, and an information providing device, which are provided in advance, and include a conversion ID generation unit that generates a conversion ID and a transmission unit that transmits the conversion ID generated by the conversion ID generation unit. A third-party authentication cooperation device that performs single sign-on for a plurality of information providing devices based on the login ID of the used terminal. A conversion ID storage unit that stores a combination of a user ID and a password determined in advance for each information providing device in association with the conversion ID, and an authentication information conversion device. An authentication agent that reads a combination of a user ID and a password associated with the conversion ID to be transmitted, transmits the combination to the information providing apparatus, and causes the information providing apparatus to perform an authentication process.

また、本発明は、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、認証情報変換装置および情報提供装置に接続され、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部を備え、予め定められた利用端末のログインIDに基づいて複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムの認証方法であって、認証情報変換装置が、ログインIDに基づいて認証された利用端末から、ログインIDを受信するステップと、受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成するステップと、生成した変換IDを認証連携装置に送信するステップと、認証連携装置が、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせるステップと、を備えることを特徴とする。   In addition, the present invention performs an authentication process based on a combination of a predetermined user ID and password, and a use terminal connected via a network to a plurality of information providing apparatuses that provide information when it is determined that the authentication is successful Are connected to the authentication information conversion device, the authentication information conversion device and the information providing device, and a combination of a user ID and a password predetermined for each information providing device is stored in advance in association with the conversion ID. An authentication method for an authentication system comprising a conversion ID storage unit and a third-party authentication cooperation device acting as a single sign-on for a plurality of information providing devices based on login IDs of predetermined use terminals. The authentication information conversion device receives the login ID from the user terminal authenticated based on the login ID, and the received log-in A step of generating a conversion ID which is a calculation result obtained by performing an irreversible calculation based on the ID, a step of transmitting the generated conversion ID to the authentication cooperation device, and a conversion ID transmitted from the authentication information conversion device by the authentication cooperation device And a step of reading a combination of a user ID and a password associated with the password and transmitting the combination to the information providing apparatus, and causing the information providing apparatus to perform an authentication process.

以上説明したように、本発明によれば、認証情報変換装置は、ログインIDに基づいて認証された利用端末から、ログインIDを受信し、受信したログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成し、生成した変換IDを認証連携装置に送信し、認証連携装置は、変換IDに対応付けて、情報提供装置毎に予め定められたユーザIDとパスワードとの組み合わせを予め記憶し、認証情報変換装置から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出して情報提供装置に送信し、情報提供装置に認証処理を行わせるようにしたので、複数のコンピュータリソースを利用するためのシングルサインオンの処理を第三者に委託しつつも、ユーザが企業内で利用するログインIDを第三者に提供せずに認証を行うことが可能となる。   As described above, according to the present invention, the authentication information conversion apparatus receives a login ID from a user terminal authenticated based on the login ID, and performs a irreversible calculation based on the received login ID. The conversion ID is generated, and the generated conversion ID is transmitted to the authentication cooperation device. The authentication cooperation device associates the conversion ID with the combination of the user ID and the password predetermined for each information providing device in advance. Since the combination of the user ID and the password stored in correspondence with the conversion ID transmitted from the authentication information conversion device is read out and transmitted to the information providing device, the information providing device performs authentication processing. A third-party login ID is used by the user while outsourcing single sign-on processing to use other computer resources. It is possible to perform authentication without providing to.

本発明の一実施形態による通信システムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the communication system by one Embodiment of this invention. 本発明の一実施形態による認証情報変換装置と認証連携装置との詳細なブロック構成を示す図である。It is a figure which shows the detailed block structure of the authentication information conversion apparatus and authentication cooperation apparatus by one Embodiment of this invention. 本発明の一実施形態による認証情報変換データ記憶部に記憶されるデータ例を示す図である。It is a figure which shows the example of data memorize | stored in the authentication information conversion data storage part by one Embodiment of this invention. 本発明の一実施形態による認証連携DB装置に記憶されるデータ例を示す図である。It is a figure which shows the example of data memorize | stored in the authentication cooperation DB apparatus by one Embodiment of this invention. 本発明の一実施形態による通信システムの動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of the communication system by one Embodiment of this invention. 本発明の一実施形態による通信システムの動作例を示すシーケンス図である。It is a sequence diagram which shows the operation example of the communication system by one Embodiment of this invention. 本発明の一実施形態による認証情報変換装置の動作例を示すフローチャートである。It is a flowchart which shows the operation example of the authentication information conversion apparatus by one Embodiment of this invention. 本発明の一実施形態による認証連携装置の動作例を示すフローチャートである。It is a flowchart which shows the operation example of the authentication cooperation apparatus by one Embodiment of this invention. 本発明の一実施例を示す図である。It is a figure which shows one Example of this invention. 本発明の一実施例を示す図である。It is a figure which shows one Example of this invention. 従来技術によるシングルサインオンの概要を示す図である。It is a figure which shows the outline | summary of the single sign-on by a prior art. 従来技術によるシングルサインオンの概要を示す図である。It is a figure which shows the outline | summary of the single sign-on by a prior art.

以下、本発明の一実施形態について、図面を参照して説明する。
図1は、本実施形態による通信システム1の構成を示すブロック図である。ここでは、企業内においてユーザAが利用する利用端末200がクラウド側のクラウドサービスを利用する際のシングルサインオンを、通信事業者に委託する場合の例を示している。通信システム1は、クラウド側においてクラウドサービスを提供する複数のクラウドサーバ100(クラウドサーバ100−1、クラウドサーバ100−2、クラウドサーバ100−3、・・・)と、それぞれのクラウドサービスにおける認証処理の際に参照されるクラウド認証DB装置110(クラウド認証DB装置110−1、クラウド認証DB装置110−2、クラウド認証DB装置110−3、・・・)とを備えている。ここで、それぞれのクラウドサービスは異なるサービスを提供するものであって良いが、同様の認証処理を行うものであるため、特に区別しない場合には「−1」、「−2」などの表記を省略してクラウドサーバ100、クラウド認証DB装置110として説明する。ここでは、3台のクラウドサーバ100、3台のクラウド認証DB装置110による3つのクラウドサービスを図示して説明するが、それぞれのクラウドサービスは2台以上のクラウドサーバ100によって構成されて良いし、4つ以上のクラウドサービスを利用するものであっても良い。通信システム1は、企業内において利用端末200と、回線接続装置210と、認証DB装置220と、認証サーバ230と、認証情報変換装置300とを備えている。また、通信事業者側において通信機器装置400と、認証連携DB装置500と、認証連携装置600とを備えている。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 1 is a block diagram showing a configuration of a communication system 1 according to the present embodiment. Here, an example is shown in which the user terminal 200 used by the user A in the company entrusts the single sign-on when using the cloud service on the cloud side to a communication carrier. The communication system 1 includes a plurality of cloud servers 100 (cloud server 100-1, cloud server 100-2, cloud server 100-3,...) That provide cloud services on the cloud side, and authentication processing in each cloud service. Cloud authentication DB device 110 (cloud authentication DB device 110-1, cloud authentication DB device 110-2, cloud authentication DB device 110-3,...) That is referred to at the time. Here, each cloud service may provide a different service, but performs the same authentication process. Therefore, unless otherwise distinguished, “−1”, “−2”, etc. are used. It abbreviate | omits and demonstrates as the cloud server 100 and the cloud authentication DB apparatus 110. FIG. Here, three cloud services by three cloud servers 100 and three cloud authentication DB devices 110 are illustrated and described, but each cloud service may be configured by two or more cloud servers 100, Four or more cloud services may be used. The communication system 1 includes a use terminal 200, a line connection device 210, an authentication DB device 220, an authentication server 230, and an authentication information conversion device 300 in the company. Further, the communication provider side includes a communication device device 400, an authentication collaboration DB device 500, and an authentication collaboration device 600.

クラウドサーバ100は、利用端末200からの認証要求に応じて、予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供するコンピュータ装置である。認証処理は、送信される利用要求に含まれるユーザIDとパスワードとの組み合わせに一致するユーザIDとパスワードとの組み合わせがクラウド認証DB装置110に記憶されているか否かを判定することによって行う。一致するユーザIDとパスワードとの組み合わせがクラウド認証DB装置110に記憶されていれば認証成功と判定し、一致しないと判定すれば認証失敗と判定する。クラウドサーバ100は、認証が成功した場合に、例えばワープロソフト、表計算ソフトなどのアプリケーションをSaaS(Software as a Service)形式で提供するものであっても良いし、その他の情報を提供するものであっても良い。
クラウド認証DB装置110は、クラウドサーバ100によって提供するサービスの利用を許可するユーザのユーザIDとユーザパスワードとの組み合わせが予め記憶されているコンピュータ装置である。 The cloud server 100 is a computer device that performs authentication processing based on a predetermined combination of a user ID and a password in response to an authentication request from the use terminal 200 and provides information when it is determined that the authentication is successful. The authentication process is performed by determining whether or not the combination of the user ID and the password that matches the combination of the user ID and the password included in the transmitted use request is stored in the cloud authentication DB device 110. If the combination of the matching user ID and password is stored in the cloud authentication DB device 110, it is determined that the authentication is successful, and if it does not match, it is determined that the authentication is unsuccessful. When the authentication is successful, the cloud server 100 may provide, for example, an application such as word processing software or spreadsheet software in the SaaS (Software as a Service) format, or provide other information. There may be.
The cloud authentication DB device 110 is a computer device in which a combination of a user ID and a user password of a user permitted to use a service provided by the cloud server 100 is stored in advance.

利用端末200は、企業内のネットワークにログインしてコンピュータリソースを利用するコンピュータ装置であり、認証連携装置600とネットワークとを介してクラウドサーバ100に接続される。ここでは、企業内のネットワークに接続された1台の利用端末200を示して説明するが、企業内のネットワークには複数の利用端末200を接続することができる。また、利用端末200は、ユーザから入力されるログインIDとログインパスワードを認証サーバ230に送信して認証処理を行う。また、ログイン中である場合、自身のログインIDを、予め定められた暗号鍵によって暗号化し、認証情報変換装置300に送信する。この際、利用端末200は、ログインIDとともに、認証DB装置220に記憶されている固有情報を認証連携装置600に送信することができる。   The usage terminal 200 is a computer device that logs in to a corporate network and uses computer resources, and is connected to the cloud server 100 via the authentication collaboration device 600 and the network. Here, one user terminal 200 connected to a corporate network is shown and described, but a plurality of user terminals 200 can be connected to the corporate network. In addition, the user terminal 200 transmits a login ID and a login password input by the user to the authentication server 230 to perform an authentication process. If the user is logged in, his / her login ID is encrypted with a predetermined encryption key and transmitted to the authentication information conversion apparatus 300. At this time, the user terminal 200 can transmit the unique information stored in the authentication DB device 220 to the authentication cooperation device 600 together with the login ID.

回線接続装置210は、通信事業者側のネットワークと企業内のネットワークとを接続するコンピュータ装置である。回線接続装置210は、通信機器装置400から送信される通信機器装置400の固有情報を受信する。固有情報は、通信事業者のみが知り得る情報であり、例えば通信事業者の通信機器装置400と回線接続装置210とを接続する回線の契約を識別する契約識別子、その回線により接続された企業を識別する企業識別子、その回線を識別する回線情報などが適用できる。回線接続装置210は、受信した固有情報を認証DB装置220に記憶させる。
認証DB装置220は、回線接続装置210が通信機器装置400から受信した固有情報が記憶されるコンピュータ装置である。 The line connection device 210 is a computer device that connects a network on the telecommunications carrier side and a network in a company. The line connection device 210 receives the unique information of the communication device device 400 transmitted from the communication device device 400. The unique information is information that only the communication carrier can know. For example, a contract identifier that identifies a contract of a line connecting the communication device 400 of the communication carrier and the line connection device 210, and a company connected by the line. A company identifier for identifying, line information for identifying the line, and the like can be applied. The line connection device 210 stores the received unique information in the authentication DB device 220.
The authentication DB device 220 is a computer device in which unique information received by the line connection device 210 from the communication device device 400 is stored.

認証サーバ230は、企業内ネットワークに接続される利用端末200の認証を行うコンピュータ装置である。認証サーバ230は、企業内ネットワークへの接続を許可するユーザのログインIDとログインパスワードとの組み合わせを自身の記憶領域に予め記憶し、利用端末200に入力されるログインIDとログインパスワードとの組み合わせを受信して認証処理を行う。認証処理は、利用端末200から送信される認証要求に含まれるユーザIDとパスワードとの組み合わせに一致するユーザIDとパスワードとの組み合わせが予め記憶されているか否かを判定することによって行う。一致するユーザIDとパスワードとの組み合わせが予め記憶されていれば認証成功と判定し、一致しないと判定すれば認証失敗と判定する。また、認証サーバ230は、利用端末200からの認証要求に応じて認証成功と判定した場合、認証成功と判定すると、そのユーザのログインIDを、そのユーザがログイン中であることを示す情報として自身の記憶領域に記憶する。   The authentication server 230 is a computer device that authenticates the user terminal 200 connected to the corporate network. The authentication server 230 stores in advance a combination of the login ID and login password of the user who is permitted to connect to the corporate network in its own storage area, and the combination of the login ID and login password input to the use terminal 200 is stored. Receive and perform authentication. The authentication process is performed by determining whether or not a combination of a user ID and a password that matches the combination of the user ID and the password included in the authentication request transmitted from the use terminal 200 is stored in advance. If a combination of the matching user ID and password is stored in advance, it is determined that the authentication is successful, and if it is determined that they do not match, it is determined that the authentication has failed. Further, when the authentication server 230 determines that the authentication is successful in response to the authentication request from the use terminal 200, the authentication server 230 uses the login ID of the user as information indicating that the user is logging in. Is stored in the storage area.

認証情報変換装置300は、利用端末200に接続され、利用端末200のログインIDに基づいて変換IDを生成するコンピュータ装置である。図2は、認証情報変換装置300と認証連携装置600のブロック構成を詳細に示す図である。認証情報変換装置300は、認証情報分析処理部310と、回線情報取得部320と、認証変換処理部330と、認証情報変換データ記憶部340と、通信部350とを備えている。   The authentication information conversion device 300 is a computer device that is connected to the use terminal 200 and generates a conversion ID based on the login ID of the use terminal 200. FIG. 2 is a diagram showing in detail the block configurations of the authentication information conversion apparatus 300 and the authentication cooperation apparatus 600. The authentication information conversion apparatus 300 includes an authentication information analysis processing unit 310, a line information acquisition unit 320, an authentication conversion processing unit 330, an authentication information conversion data storage unit 340, and a communication unit 350.

認証情報分析処理部310は、ログインIDに基づいて認証サーバ230によって認証された利用端末200から、ログイン中のログインIDを受信するログインID受信部である。認証情報分析処理部310は、利用端末200から送信される暗号化されたログインIDを受信すると、認証情報変換データ記憶部340に記憶されている復号鍵を読み出して復号する。   The authentication information analysis processing unit 310 is a login ID receiving unit that receives a login ID being logged in from the use terminal 200 authenticated by the authentication server 230 based on the login ID. Upon receiving the encrypted login ID transmitted from the use terminal 200, the authentication information analysis processing unit 310 reads and decrypts the decryption key stored in the authentication information conversion data storage unit 340.

回線情報取得部320は、認証DB装置220に記憶された固有情報を読み出す。
認証変換処理部330は、認証情報分析処理部310が受信して復号したログインIDと、回線情報取得部320が読み出した固有情報とに基づいて、不可逆計算を行った計算結果である変換IDを生成する。不可逆計算とは、例えばログインIDと固有情報とに基づくハッシュ計算である。ここで、認証変換処理部330は、認証情報変換データ記憶部340に記憶されている不可逆演算鍵を読み出し、ログインIDと固有情報と不可逆演算鍵とに基づいてハッシュ計算を行うこともできる。このように、ログインIDだけでなく、ログインIDと固有情報とに基づいて負荷逆計算を行うことで、より確実に一意な変換IDを生成することができる。すなわち、例えば異なる企業に同一のログインIDを持つユーザが存在するような場合にも、このような固有情報に基づけば異なる変換IDが生成されることとなる。 The line information acquisition unit 320 reads the unique information stored in the authentication DB device 220.
The authentication conversion processing unit 330 receives a conversion ID, which is a calculation result of irreversible calculation, based on the login ID received and decrypted by the authentication information analysis processing unit 310 and the unique information read by the line information acquisition unit 320. Generate. The irreversible calculation is a hash calculation based on, for example, a login ID and unique information. Here, the authentication conversion processing unit 330 can read the irreversible calculation key stored in the authentication information conversion data storage unit 340 and perform hash calculation based on the login ID, the unique information, and the irreversible calculation key. In this way, a unique conversion ID can be more reliably generated by performing the load reverse calculation based on not only the login ID but also the login ID and the unique information. That is, for example, even when users having the same login ID exist in different companies, different conversion IDs are generated based on such unique information.

認証情報変換データ記憶部340には、ログインIDの変換のために用いる情報が記憶されている。図3は、認証情報変換データ記憶部340に記憶される情報のデータ例を示す図である。認証情報変換データ記憶部340には、企業に対応する複数の支店が存在する場合には、その支店を識別する支店等IDに対応付けて、復号鍵と不可逆演算鍵とが記憶される。
通信部350は、通信事業者の認証連携装置600に接続されたネットワークを介して通信を行う。例えば、通信部350は、認証変換処理部330によって生成された変換IDを認証連携装置600に送信する。 The authentication information conversion data storage unit 340 stores information used for converting the login ID. FIG. 3 is a diagram illustrating a data example of information stored in the authentication information conversion data storage unit 340. When there are a plurality of branches corresponding to a company, the authentication information conversion data storage unit 340 stores a decryption key and an irreversible operation key in association with a branch ID for identifying the branch.
The communication unit 350 performs communication via a network connected to the authentication cooperation device 600 of the communication carrier. For example, the communication unit 350 transmits the conversion ID generated by the authentication conversion processing unit 330 to the authentication cooperation apparatus 600.

図1に戻り、通信機器装置400は、通信事業者のネットワークと企業内のネットワークとを接続するコンピュータ装置である。
認証連携DB装置500は、変換IDに対応付けて、クラウドサービス毎に予め定められたユーザIDとユーザパスワードとの組み合わせが予め記憶されるコンピュータ装置である。さらに、ここでは、変換ID毎に、その変換IDを送信してくる認証情報変換装置300を識別する回線情報が対応付けられて予め記憶される。認証連携DB装置500に記憶されるデータ例を示す図である。ここでは、変換IDに対応付けて、回線IDと、クラウドIDと、クラウドURLと、ユーザIDと、ユーザパスワードとが記憶される。回線IDは、対応する変換IDを送信した利用端末200が、予め契約している回線を識別する情報である。クラウドIDは、対応する変換IDを送信した利用端末200が利用することが許可されたクラウドサービスを識別する情報である。クラウドURL(Uniform Resource Locator)は、クラウドIDが示すクラウドサービスを提供するクラウドサーバ100に接続するためのURLである。ユーザIDとユーザパスワードは、対応するクラウドサービスを利用するために予め定められた認証情報である。これらの情報は、予め入力されて記憶されているものとする。 Returning to FIG. 1, the communication device 400 is a computer device that connects a network of a telecommunications carrier and a company network.
The authentication collaboration DB device 500 is a computer device that stores in advance a combination of a user ID and a user password predetermined for each cloud service in association with the conversion ID. Further, here, for each conversion ID, line information for identifying the authentication information conversion apparatus 300 that transmits the conversion ID is associated and stored in advance. 4 is a diagram illustrating an example of data stored in an authentication collaboration DB device 500. FIG. Here, a line ID, a cloud ID, a cloud URL, a user ID, and a user password are stored in association with the conversion ID. The line ID is information for identifying a line with which the user terminal 200 that has transmitted the corresponding conversion ID has previously contracted. The cloud ID is information for identifying a cloud service permitted to be used by the user terminal 200 that has transmitted the corresponding conversion ID. The cloud URL (Uniform Resource Locator) is a URL for connecting to the cloud server 100 that provides the cloud service indicated by the cloud ID. The user ID and the user password are authentication information predetermined for using the corresponding cloud service. These pieces of information are input and stored in advance.

認証連携装置600は、認証情報変換装置300およびクラウドサーバ100に接続され、予め定められた利用端末200のログインIDに基づいて複数のクラウドサーバ100に対するシングルサインオンを代行する通信事業者のコンピュータ装置である。図2に示したように、認証連携装置600は、企業側通信部610と、利用回線情報取得部620と、認証情報分析部630と、クラウド認証情報取得部640と、通信事前処理部650と、クラウド側通信部660とを備えている。   The authentication cooperation device 600 is connected to the authentication information conversion device 300 and the cloud server 100, and is a computer device of a communication carrier that performs single sign-on for a plurality of cloud servers 100 based on a predetermined login ID of the use terminal 200. It is. As shown in FIG. 2, the authentication collaboration apparatus 600 includes a company side communication unit 610, a used line information acquisition unit 620, an authentication information analysis unit 630, a cloud authentication information acquisition unit 640, and a communication preprocessing unit 650. And a cloud side communication unit 660.

企業側通信部610は、企業内のネットワークと通信を行う。
利用回線情報取得部620は、通信機器装置400から、企業内の認証情報変換装置300と接続された回線を識別する回線情報を取得する。
認証情報分析部630は、認証連携DB装置500に記憶されている情報を読み出して、利用回線情報取得部620が取得した回線情報が、変換IDに対応する回線情報であるか否かを判定する。また、認証情報分析部630は、利用端末200が利用要求しているクラウドサービスが、変換IDに対応するクラウドサービスであるかを判定する。 The company-side communication unit 610 communicates with a company network.
The used line information acquisition unit 620 acquires line information for identifying a line connected to the authentication information conversion apparatus 300 in the company from the communication device apparatus 400.
The authentication information analysis unit 630 reads information stored in the authentication cooperation DB device 500 and determines whether or not the line information acquired by the used line information acquisition unit 620 is line information corresponding to the conversion ID. . Further, the authentication information analysis unit 630 determines whether the cloud service requested by the use terminal 200 is a cloud service corresponding to the conversion ID.

クラウド認証情報取得部640は、認証情報変換装置300から送信される変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出してクラウドサーバ100に送信し、クラウドサーバ100に認証処理を行わせる。この際、クラウド認証情報取得部640は、認証連携DB装置500に記憶された変換IDおよび回線情報と、認証情報変換装置300から送信された変換IDおよび、利用回線情報取得部620によって取得された、変換IDが送信された回線の回線情報とを比較し、変換IDと回線情報とが一致する場合、変換IDに対応付けられたユーザIDとパスワードとの組み合わせを読み出してクラウドサーバ100に送信することができる。   The cloud authentication information acquisition unit 640 reads a combination of a user ID and a password associated with the conversion ID transmitted from the authentication information conversion apparatus 300, transmits the combination to the cloud server 100, and causes the cloud server 100 to perform an authentication process. . At this time, the cloud authentication information acquisition unit 640 is acquired by the conversion ID and the line information stored in the authentication cooperation DB device 500, the conversion ID transmitted from the authentication information conversion device 300, and the used line information acquisition unit 620. The line information of the line to which the conversion ID is transmitted is compared. If the conversion ID and the line information match, the combination of the user ID and password associated with the conversion ID is read and transmitted to the cloud server 100. be able to.

通信事前処理部650は、企業内ネットワークにおけるドメインとクラウドにおけるドメインとを経間する処理等を行う。例えば、企業内ネットワークからクラウドへのアクセスを、認証連携装置600を経由して行わせるために、企業内ネットワークにおいては通信事業者内の通信装置を示すURLを公開しておく場合、利用端末200から送信される利用要求に含まれるドメイン名を、対応するクラウド側のドメイン名に変換する。
クラウド側通信部660は、ネットワークを介してクラウドサーバ100との通信を行う。 The communication pre-processing unit 650 performs processing that passes between a domain in the corporate network and a domain in the cloud. For example, when the URL indicating the communication device in the communication carrier is disclosed in the corporate network in order to make the cloud access from the corporate network via the authentication cooperation device 600, the use terminal 200 The domain name included in the usage request sent from is converted to the corresponding cloud domain name.
The cloud side communication unit 660 communicates with the cloud server 100 via a network.

次に、本実施形態による通信システム1の動作例を説明する。図5、6は、通信システム1によるシングルサインオンの動作例を示すシーケンス図である。
まず、回線接続装置210が、通信機器装置400に対して回線接続要求を送信すると(ステップS1)、通信機器装置400は、固有情報を回線接続装置210に送信する(ステップS2)。回線接続装置210は、通信機器装置400から送信された固有情報を受信すると、受信した固有情報を認証DB装置220に記憶させる(ステップS3)。認証DB装置220は、回線接続装置210から送信された固有情報を記憶すると、記憶したことを示す情報を回線接続装置210に送信する(ステップS4)。回線接続装置210は、固有情報を受信したことを示す情報を通信機器装置400に送信する(ステップS5)。通信機器装置400は、回線接続完了を回線接続装置210に通知する(ステップS6)。 Next, an operation example of the communication system 1 according to the present embodiment will be described. 5 and 6 are sequence diagrams showing an example of single sign-on operation by the communication system 1.
First, when the line connection device 210 transmits a line connection request to the communication device 400 (step S1), the communication device 400 transmits unique information to the line connection device 210 (step S2). When the line connection device 210 receives the unique information transmitted from the communication device 400, the line connection device 210 stores the received unique information in the authentication DB device 220 (step S3). When the authentication DB device 220 stores the unique information transmitted from the line connection device 210, the authentication DB device 220 transmits information indicating the storage to the line connection device 210 (step S4). The line connection device 210 transmits information indicating that the unique information has been received to the communication device device 400 (step S5). The communication device 400 notifies the line connection device 210 of the completion of the line connection (step S6).

利用端末200は、企業内ネットワークに接続すると、ユーザから入力されるログインIDとログインパスワードとを認証サーバ230に送信する(ステップS7)。認証サーバ230は、送信されたログインIDとログインパスワードとに基づいて認証処理を行い、認証成功であれば利用端末200の接続を許可し、接続完了を通知する(ステップS8)。利用端末200が、ユーザからの入力に応じてクラウドサーバ100に対する利用要求を送信すると(ステップS9)、認証連携装置600が、利用端末200から送信された利用要求を受信する。認証連携装置600は、認証連携DB装置500に記憶されたデータを参照して、利用端末200から送信された利用要求に応じてクラウドサーバ100へのアクセスが許可されているか否かを判定する処理を行い、対応するクラウドURLを読み出してドメイン変換を行う(ステップS10)。   When the user terminal 200 is connected to the corporate network, the user terminal 200 transmits a login ID and a login password input by the user to the authentication server 230 (step S7). The authentication server 230 performs an authentication process based on the transmitted login ID and login password. If the authentication is successful, the connection of the user terminal 200 is permitted and the connection completion is notified (step S8). When the usage terminal 200 transmits a usage request to the cloud server 100 in response to an input from the user (step S9), the authentication cooperation device 600 receives the usage request transmitted from the usage terminal 200. The authentication cooperation apparatus 600 refers to the data stored in the authentication cooperation DB apparatus 500, and determines whether or not access to the cloud server 100 is permitted in response to the use request transmitted from the use terminal 200 To read the corresponding cloud URL and perform domain conversion (step S10).

認証連携装置600が、クラウドサーバ100に対してクラウド利用要求を送信すると、クラウドサーバ100は、認証連携装置600に対して認証要求を送信する(ステップS12)。認証連携装置600は、認証連携装置600から送信された認証要求を受信すると、利用端末200に対して企業内ネットワークにおいて認証が行われているか否かを確認する要求を送信する(ステップS13)。利用端末200は、認証サーバ230に対して、ログインIDと認証結果の取得要求を送信する(ステップS14)。認証サーバ230は、ログインIDと認証結果とを利用端末200に送信する(ステップS15)。利用端末200は、ログインIDを暗号化して、暗号化されたログインIDと認証結果とを認証情報変換装置300に送信する(ステップS16)。認証情報変換装置300は、認証DB装置220に記憶された固有情報を読み出す(ステップS17、18)。認証情報変換装置300は、ログインIDを復号し、復号したログインIDと、固有情報とに基づいて、変換IDを生成する(ステップS19)。   When the authentication collaboration apparatus 600 transmits a cloud use request to the cloud server 100, the cloud server 100 transmits an authentication request to the authentication collaboration apparatus 600 (step S12). Upon receiving the authentication request transmitted from the authentication collaboration device 600, the authentication collaboration device 600 transmits a request for confirming whether or not authentication has been performed in the corporate network to the use terminal 200 (step S13). The user terminal 200 transmits a login ID and an authentication result acquisition request to the authentication server 230 (step S14). The authentication server 230 transmits the login ID and the authentication result to the use terminal 200 (step S15). The use terminal 200 encrypts the login ID, and transmits the encrypted login ID and the authentication result to the authentication information conversion apparatus 300 (step S16). The authentication information conversion device 300 reads the unique information stored in the authentication DB device 220 (steps S17 and S18). The authentication information conversion apparatus 300 decrypts the login ID, and generates a conversion ID based on the decrypted login ID and the unique information (step S19).

図6に進み、認証情報変換装置300は、生成した変換IDを利用端末200に送信する(ステップS20)。利用端末200は、認証情報変換装置300から送信された変換IDを受信すると、変換IDが含まれるクラウド認証要求を認証情報変換装置300に送信する(ステップS21)。認証情報変換装置300は、変換IDと、固有情報とを認証連携装置600に送信する(ステップS22)。認証連携装置600は、変換IDに対応する固有情報と、利用回線と、クラウドアクセスの可否との判定を行い(ステップS23)、認証連携DB装置500から変換IDに対応するユーザIDとユーザパスワードとを読み出す(ステップS24、25)。認証連携装置600は、認証要求のドメイン変換等の処理を行い(ステップS26)、ユーザIDとユーザパスワードとが含まれる認証要求をクラウドサーバ100に送信する(ステップS27)。クラウドサーバ100は、認証連携装置600から送信されたユーザIDとユーザパスワードとに基づいて認証処理を行い、認証成功と判定すれば認証OKの通知を認証連携装置600に送信する(ステップS28)。   Proceeding to FIG. 6, the authentication information conversion apparatus 300 transmits the generated conversion ID to the use terminal 200 (step S20). When receiving the conversion ID transmitted from the authentication information conversion apparatus 300, the usage terminal 200 transmits a cloud authentication request including the conversion ID to the authentication information conversion apparatus 300 (step S21). The authentication information conversion apparatus 300 transmits the conversion ID and the unique information to the authentication cooperation apparatus 600 (step S22). The authentication collaboration apparatus 600 determines whether the unique information corresponding to the conversion ID, the use line, and the availability of cloud access (step S23), and the user ID and user password corresponding to the conversion ID from the authentication collaboration DB apparatus 500 Is read out (steps S24 and S25). The authentication cooperation apparatus 600 performs processing such as domain conversion of the authentication request (step S26), and transmits an authentication request including the user ID and the user password to the cloud server 100 (step S27). The cloud server 100 performs an authentication process based on the user ID and the user password transmitted from the authentication collaboration apparatus 600, and transmits an authentication OK notification to the authentication collaboration apparatus 600 if it is determined that the authentication is successful (step S28).

認証連携装置600は、クラウドサーバ100から送信された認証OKの通知を認証情報変換装置300に送信する(ステップS29)。認証情報変換装置300は、認証OKの通知を利用端末200に送信する(ステップS30)。利用端末200が、クラウド利用要求を認証連携装置600に送信すると(ステップS31)、認証連携装置600はドメイン変換等の処理を行って(ステップS32)クラウドサーバ100にクラウド利用要求を送信する(ステップS33)。クラウドサーバ100は、利用要求に応じた情報を認証連携装置600に送信する(ステップS34)。認証連携装置600は、ドメイン変換等の処理を行って(ステップS35)、クラウドサーバ100から送信された情報を利用端末200に送信する(ステップS36)。   The authentication collaboration apparatus 600 transmits an authentication OK notification transmitted from the cloud server 100 to the authentication information conversion apparatus 300 (step S29). The authentication information conversion apparatus 300 transmits an authentication OK notification to the user terminal 200 (step S30). When the usage terminal 200 transmits a cloud usage request to the authentication collaboration device 600 (step S31), the authentication collaboration device 600 performs processing such as domain conversion (step S32) and transmits the cloud usage request to the cloud server 100 (step S31). S33). The cloud server 100 transmits information corresponding to the use request to the authentication collaboration apparatus 600 (step S34). The authentication collaboration apparatus 600 performs processing such as domain conversion (step S35), and transmits the information transmitted from the cloud server 100 to the user terminal 200 (step S36).

図7は、認証情報変換装置300の詳細な処理を示すフローチャートである。認証情報変換装置300は、HTTP(HyperText Transfer Protocol)(S)データが入力されると、そのデータが利用端末200からの入力であれば(ステップS40:Yes)、クラウド認証済みであるか否かを判定する(ステップS41)。クラウド認証済みでなければ(ステップS41:No)、企業内ネットワークの認証結果を読み出し(ステップS42)、認証結果が認証成功を示すものであれば(ステップS42:Yes)、認証DB装置220から固有情報を読み出す(ステップS43)。読み出しが成功すれば(ステップS44:Yes)、変換IDを生成する(ステップS45)。この演算においては、契約識別子、企業識別子、回線情報等の固有情報と、ログインIDとに基づいて、不可逆計算を行い、計算結果を変換IDとする。変換IDの生成処理が成功すれば(ステップS46:Yes)、生成した変換IDを認証連携装置600に送信する(ステップS47)。送信が成功すれば、Aに戻る。   FIG. 7 is a flowchart showing detailed processing of the authentication information conversion apparatus 300. When HTTP (HyperText Transfer Protocol) (S) data is input, the authentication information conversion apparatus 300 determines whether or not cloud authentication has been completed if the data is input from the use terminal 200 (step S40: Yes). Is determined (step S41). If the cloud authentication has not been completed (step S41: No), the authentication result of the in-company network is read (step S42). If the authentication result indicates that the authentication has succeeded (step S42: Yes), the authentication DB apparatus 220 is unique Information is read (step S43). If the reading is successful (step S44: Yes), a conversion ID is generated (step S45). In this calculation, an irreversible calculation is performed based on unique information such as a contract identifier, a company identifier, and line information, and a login ID, and the calculation result is used as a conversion ID. If the conversion ID generation process is successful (step S46: Yes), the generated conversion ID is transmitted to the authentication collaboration apparatus 600 (step S47). If the transmission is successful, return to A.

図8は、認証連携装置600の詳細な処理を示すフローチャートである。認証連携装置600は、HTTP(S)データが入力されると、そのデータが認証情報変換装置300からの入力であれば(ステップS60:Yes)、クラウド認証済みであるか否かを判定する(ステップS61)。クラウド認証済みであれば(ステップS61:Yes)、ドメイン変換等の処理後、認証連携装置600に転送する(ステップS62)。転送が成功すれば(ステップS63:Yes)、Aに戻り、転送が失敗すれば(ステップS63:No)、要求元へエラーを出力してAに戻る。クラウド認証済みでなく(ステップS61:No)、変換IDを受信した場合(ステップS65:Yes)、変換IDに対応する利用回線のチェックを行い(ステップS72)、チェック結果が妥当であれば(ステップS73:Yes)、クラウドアクセス可否チェックを行う(ステップS74)。チェック結果が妥当であれば(ステップS75:Yes)、変換IDに対応するユーザIDとユーザパスワードとを読み出す(ステップS76)。ユーザIDとユーザパスワードとを読み出すと(ステップS77:Yes)、クラウドサーバ100にユーザIDとユーザパスワードとを送信して認証処理を行い(ステップS78)、認証すればAに戻り、認証が失敗すれば要求元へエラーを出力して、Aに戻る。   FIG. 8 is a flowchart showing detailed processing of the authentication collaboration apparatus 600. When the HTTP (S) data is input, the authentication cooperation device 600 determines whether or not cloud authentication has been completed if the data is input from the authentication information conversion device 300 (step S60: Yes) ( Step S61). If cloud authentication has been completed (step S61: Yes), after processing such as domain conversion, it is transferred to the authentication collaboration apparatus 600 (step S62). If the transfer is successful (step S63: Yes), the process returns to A. If the transfer fails (step S63: No), an error is output to the request source and the process returns to A. If the cloud authentication is not completed (step S61: No), and the conversion ID is received (step S65: Yes), the use line corresponding to the conversion ID is checked (step S72). S73: Yes), a cloud access permission check is performed (step S74). If the check result is valid (step S75: Yes), the user ID and user password corresponding to the conversion ID are read (step S76). When the user ID and the user password are read (step S77: Yes), the user ID and the user password are transmitted to the cloud server 100 to perform authentication processing (step S78). If authenticated, the process returns to A and the authentication fails. If an error is output to the request source, the process returns to A.

図9は、本実施形態の一実施例を示す図である。ユーザAは、回線1から業務系、勘定系クラウドの利用が許可されており、ユーザBは、回線1、回線2からのコミュにケーション系クラウドの利用が許可されるように設定されているものとする。この場合、T支店の利用端末200−3から、回線2を介してユーザAがクラウドに接続しようとしても、変換IDに対応するユーザIDとユーザパスワードとが対応付けられていないため、クラウドを利用することができない。   FIG. 9 is a diagram illustrating an example of the present embodiment. User A is permitted to use the business and accounting cloud from line 1, and user B is set to be permitted to use the communication cloud for communication from line 1 and line 2. And In this case, the user ID corresponding to the conversion ID and the user password are not associated with each other even if the user A tries to connect to the cloud via the line 2 from the use terminal 200-3 of the T branch. Can not do it.

図10は、本実施形態の一実施例を示す図である。ユーザAは回線1から業務系、勘定系クラウドの利用が許可されているものとする。このとき、悪意のある企業Bにおける利用端末200−2から、ユーザJが、ユーザAのログインIDを推測するために認証連携装置600に接続して認証を試みても、クラウドへの認証は行えないため、ログインIDを推測することはできない。一方、万が一、ユーザAのログインIDを知ったユーザKが、ユーザAのログインIDを用いてクラウドに接続しようとしても、回線2に基づいて生成された変換IDは、接続が許可されていないため、接続できない。また、万が一、ユーザAの変換IDがユーザLに盗まれたとしても、回線2からの接続は許可されていないため、接続できない。また、変換IDが盗まれたとしても、変換IDは、企業Aの企業内ネットワークにログイン可能なログインIDとは異なるため、リモート端末から接続しようとしても、変換IDによる認証は失敗するため、接続できない。
なお、本実施形態では、利用端末200からクラウドサービスを利用する際の認証処理をシングルサインオンにより行う例を示したが、企業がシングルサインオンの処理を第三者に委託するような様々な場面に本実施形態を適用することができる。 FIG. 10 is a diagram illustrating an example of the present embodiment. It is assumed that the user A is permitted to use the business system and the accounting system cloud from the line 1. At this time, even if the user J connects to the authentication cooperation apparatus 600 in order to guess the login ID of the user A from the user terminal 200-2 in the malicious company B, the authentication to the cloud can be performed. There is no way to guess the login ID. On the other hand, even if the user K who knows the login ID of the user A tries to connect to the cloud using the login ID of the user A, the conversion ID generated based on the line 2 is not permitted to connect. ,can not connect. Even if the conversion ID of the user A is stolen by the user L, the connection from the line 2 is not permitted and cannot be connected. Also, even if the conversion ID is stolen, the conversion ID is different from the login ID that can log in to the company A's corporate network. Can not.
In the present embodiment, an example in which the authentication process when using the cloud service from the use terminal 200 is performed by single sign-on has been described, but there are various cases in which a company entrusts the single sign-on process to a third party. The present embodiment can be applied to a scene.

なお、本実施形態では、クラウドサーバ100がForm認証、Basic認証を行う場合の例を示したが、SAML(Security Assertion Markup Language)やOpenID等の認証においても、本実施形態の構成を同様に適用できる。この場合、認証連携装置600が行ったSAMLやOpenID等の認証結果を、クラウドサーバ100に送信する。具体的には、図5のステップS11において認証連携装置600がクラウドサーバ100に接続した際に、利用端末200が認証されていなければ、クラウドサーバ100は、認証連携装置600に認証結果要求を送信する。そして、認証連携装置600が認証連携DB装置500からユーザの変換IDと回線IDとを読み出し、認証結果をクラウドサーバ100に送信する。クラウドサーバ100は、認証連携装置600から送信された認証結果が認証成功を示す場合、認証OKの通知を認証連携装置600に送信する。   In the present embodiment, an example in which the cloud server 100 performs form authentication and basic authentication is shown. However, the configuration of the present embodiment is similarly applied to authentication such as SAML (Security Assertion Markup Language) and OpenID. it can. In this case, an authentication result such as SAML or OpenID performed by the authentication collaboration apparatus 600 is transmitted to the cloud server 100. Specifically, when the authentication collaboration apparatus 600 is connected to the cloud server 100 in step S11 of FIG. 5, if the use terminal 200 is not authenticated, the cloud server 100 transmits an authentication result request to the authentication collaboration apparatus 600. To do. Then, the authentication collaboration apparatus 600 reads the user conversion ID and line ID from the authentication collaboration DB apparatus 500 and transmits the authentication result to the cloud server 100. When the authentication result transmitted from the authentication collaboration apparatus 600 indicates a successful authentication, the cloud server 100 transmits an authentication OK notification to the authentication collaboration apparatus 600.

以上説明したように、本実施形態によれば、企業は、第三者にログインIDを知られることなく、第三者により提供されるシングルサインオンの機能を、安心、安全に利用することができる。また、万が一、変換IDが漏洩したとしても、ログインIDを知られることはない。このように、変換IDを活用したシングルサインオンを行うことで、様々なクラウドサービスを、効率良く利用することが可能になる。   As described above, according to the present embodiment, a company can use the single sign-on function provided by a third party safely and securely without the login ID being known by the third party. it can. Also, even if the conversion ID is leaked, the login ID is not known. As described above, by performing single sign-on using the conversion ID, various cloud services can be efficiently used.

なお、本発明における処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより認証を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータシステム」は、ホームページ提供環境(あるいは表示環境)を備えたWWWシステムも含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。   Note that a program for realizing the function of the processing unit in the present invention is recorded on a computer-readable recording medium, and the program recorded on the recording medium is read into a computer system and executed for authentication. Also good. Here, the “computer system” includes an OS and hardware such as peripheral devices. The “computer system” includes a WWW system having a homepage providing environment (or display environment). The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding programs for a certain period of time are also included.

また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。   The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line. The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

1 通信システム
100 クラウドサーバ
110 クラウド認証DB装置
200 利用端末
210 回線接続装置
220 認証DB装置
230 認証サーバ
300 認証情報変換装置
310 認証情報分析処理部
320 回線情報取得部
330 認証変換処理部
340 認証情報変換データ記憶部
350 通信部
400 通信機器装置
500 認証連携DB装置
600 認証連携装置
610 企業側通信部
620 利用回線情報取得部
630 認証情報分析部
640 クラウド認証情報取得部
650 通信事前処理部
660 クラウド側通信部 DESCRIPTION OF SYMBOLS 1 Communication system 100 Cloud server 110 Cloud authentication DB apparatus 200 User terminal 210 Line connection apparatus 220 Authentication DB apparatus 230 Authentication server 300 Authentication information conversion apparatus 310 Authentication information analysis process part 320 Line information acquisition part 330 Authentication conversion process part 340 Authentication information conversion Data storage unit 350 Communication unit 400 Communication device 500 Authentication collaboration DB device 600 Authentication collaboration device 610 Enterprise communication unit 620 Used line information acquisition unit 630 Authentication information analysis unit 640 Cloud authentication information acquisition unit 650 Communication preprocessing unit 660 Cloud side communication Part

Claims (4)

予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムであって、
前記認証情報変換装置は、
前記ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するログインID受信部と、
前記ログインID受信部が受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、
前記変換ID生成部によって生成された前記変換IDを前記認証連携装置に送信する送信部と、を備え、
前記認証連携装置は、
前記変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせる認証代行部と、
を備えることを特徴とする認証システム。 Authentication information connected to a user terminal connected via a network to a plurality of information providing apparatuses that perform authentication processing based on a combination of a predetermined user ID and password and provide information when it is determined that authentication is successful A conversion device and a third-party authentication linkage that is connected to the authentication information conversion device and the information providing device, and performs single sign-on for the plurality of information providing devices based on a predetermined login ID of the user terminal An authentication system comprising a device,
The authentication information conversion device includes:
A login ID receiving unit that receives the login ID from the user terminal authenticated based on the login ID;
A conversion ID generation unit that generates a conversion ID that is a calculation result obtained by performing an irreversible calculation based on the login ID received by the login ID reception unit;
A transmission unit that transmits the conversion ID generated by the conversion ID generation unit to the authentication cooperation device,
The authentication linkage device
A conversion ID storage unit in which a combination of the user ID and password predetermined for each of the information providing devices is stored in advance in association with the conversion ID;
An authentication agent that reads a combination of the user ID and password associated with the conversion ID transmitted from the authentication information conversion apparatus, transmits the combination to the information providing apparatus, and causes the information providing apparatus to perform the authentication process When,
An authentication system comprising: 前記認証連携装置は、
前記認証情報変換装置と接続された回線を識別する回線情報を取得する回線情報取得部を備え、
前記変換ID記憶部には、前記変換ID毎に、当該変換IDを送信してくる前記認証情報変換装置を識別する回線情報が対応付けられて予め記憶され、
前記認証代行部は、前記変換ID記憶部に記憶された前記変換IDおよび前記回線情報と、前記認証情報変換装置から送信された前記変換IDおよび、前記回線情報取得部によって取得された、当該変換IDが送信された回線の回線情報とを比較し、当該変換IDと当該回線情報とが一致する場合、前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信する
ことを特徴とする請求項1に記載の認証システム。 The authentication linkage device
A line information acquisition unit for acquiring line information for identifying a line connected to the authentication information conversion apparatus;
In the conversion ID storage unit, for each conversion ID, line information for identifying the authentication information conversion apparatus that transmits the conversion ID is associated and stored in advance.
The authentication substitution unit includes the conversion ID and the line information stored in the conversion ID storage unit, the conversion ID transmitted from the authentication information conversion apparatus, and the conversion acquired by the line information acquisition unit. The information providing apparatus reads out the combination of the user ID and the password associated with the conversion ID when the conversion ID matches the line information with the line information of the line to which the ID is transmitted. The authentication system according to claim 1, further comprising: 予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続され、ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するログインID受信部と、前記ログインID受信部が受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成する変換ID生成部と、前記変換ID生成部によって生成された前記変換IDを送信する送信部と、を備えた認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムにおける前記認証連携装置であって、
前記変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部と、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせる認証代行部と、
を備えることを特徴とする認証連携装置。 A login ID that is connected to a user terminal connected via a network to a plurality of information providing apparatuses that perform authentication processing based on a combination of a predetermined user ID and password and provide information when it is determined that authentication is successful. A login ID receiving unit that receives the login ID and a conversion ID that is a calculation result obtained by performing an irreversible calculation based on the login ID received by the login ID receiving unit is generated from the user terminal authenticated based on Connected to the authentication information conversion device, the authentication information conversion device, and the information providing device, the conversion ID generation unit that performs the conversion ID generation, and the transmission unit that transmits the conversion ID generated by the conversion ID generation unit. A first sign-on for the plurality of information providing devices is performed on the basis of the defined login ID of the user terminal. Wherein an authentication linkage apparatus in a user authentication system comprising an authentication linkage device,
A conversion ID storage unit in which a combination of the user ID and password predetermined for each of the information providing devices is stored in advance in association with the conversion ID;
An authentication agent that reads a combination of the user ID and password associated with the conversion ID transmitted from the authentication information conversion apparatus, transmits the combination to the information providing apparatus, and causes the information providing apparatus to perform the authentication process When,
An authentication linkage apparatus comprising: 予め定められたユーザIDとパスワードとの組み合わせに基づく認証処理を行い、認証成功と判定した場合に情報を提供する複数の情報提供装置にネットワークを介して接続された利用端末に接続された認証情報変換装置と、当該認証情報変換装置および前記情報提供装置に接続され、変換IDに対応付けて、前記情報提供装置毎に予め定められた前記ユーザIDとパスワードとの組み合わせが予め記憶される変換ID記憶部を備え、予め定められた前記利用端末のログインIDに基づいて前記複数の情報提供装置に対するシングルサインオンを代行する第三者の認証連携装置とを備えた認証システムの認証方法であって、
前記認証情報変換装置が、
前記ログインIDに基づいて認証された前記利用端末から、当該ログインIDを受信するステップと、
受信した前記ログインIDに基づいて不可逆計算を行った計算結果である変換IDを生成するステップと、
生成した前記変換IDを前記認証連携装置に送信するステップと、
前記認証連携装置が、
前記認証情報変換装置から送信される前記変換IDに対応付けられた前記ユーザIDとパスワードとの組み合わせを読み出して前記情報提供装置に送信し、当該情報提供装置に前記認証処理を行わせるステップと、
を備えることを特徴とする認証方法。 Authentication information connected to a user terminal connected via a network to a plurality of information providing apparatuses that perform authentication processing based on a combination of a predetermined user ID and password and provide information when it is determined that authentication is successful A conversion ID that is connected to the conversion device, the authentication information conversion device, and the information providing device, and stores a combination of the user ID and password that is predetermined for each information providing device in association with the conversion ID. An authentication method for an authentication system, comprising: a storage unit; and a third-party authentication cooperation device that performs single sign-on for the plurality of information providing devices based on a predetermined login ID of the user terminal. ,
The authentication information conversion device is
Receiving the login ID from the user terminal authenticated based on the login ID;
Generating a conversion ID that is a calculation result obtained by performing an irreversible calculation based on the received login ID;
Transmitting the generated conversion ID to the authentication collaboration device;
The authentication collaboration device is
A step of reading a combination of the user ID and password associated with the conversion ID transmitted from the authentication information conversion apparatus, transmitting the combination to the information providing apparatus, and causing the information providing apparatus to perform the authentication process;
An authentication method comprising:
JP2011069557A 2011-03-28 2011-03-28 Authentication system, authentication linkage device, authentication method Active JP5618883B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011069557A JP5618883B2 (en) 2011-03-28 2011-03-28 Authentication system, authentication linkage device, authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011069557A JP5618883B2 (en) 2011-03-28 2011-03-28 Authentication system, authentication linkage device, authentication method

Publications (2)

Publication Number Publication Date
JP2012203781A true JP2012203781A (en) 2012-10-22
JP5618883B2 JP5618883B2 (en) 2014-11-05

Family

ID=47184690

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011069557A Active JP5618883B2 (en) 2011-03-28 2011-03-28 Authentication system, authentication linkage device, authentication method

Country Status (1)

Country Link
JP (1) JP5618883B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5948472B1 (en) * 2015-07-23 2016-07-06 株式会社野村総合研究所 Information management system and business system
JP2017058884A (en) * 2015-09-15 2017-03-23 株式会社日立製作所 ID management system and ID management method
US9843571B2 (en) 2013-02-01 2017-12-12 Interman Corporation Identity confirmation method and identity confirmation system
WO2019049420A1 (en) * 2017-09-11 2019-03-14 Capy株式会社 User authentication method, evaluation device, program and user authentication system
JP7124174B1 (en) 2021-06-14 2022-08-23 株式会社インターネットイニシアティブ Method and apparatus for multi-factor authentication

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000003334A (en) * 1998-06-12 2000-01-07 Fujitsu Ltd Gateway system and recording medium
JP2003132022A (en) * 2001-10-22 2003-05-09 Nec Corp User authentication system and method
JP2003271561A (en) * 2002-03-18 2003-09-26 Sony Corp Information processing system, information processor and method, and program
JP2003316742A (en) * 2002-04-24 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Anonymous communication method and device having single sign-on function
JP2003330886A (en) * 2002-05-09 2003-11-21 Kyocera Communication Systems Co Ltd Network processing device
JP2005276122A (en) * 2004-03-26 2005-10-06 Fujitsu Ltd Access source authentication method and system
JP2006155108A (en) * 2004-11-26 2006-06-15 Fujitsu Ltd Network service system using user tentative identifier
JP2006331204A (en) * 2005-05-27 2006-12-07 Ntt Resonant Inc Authentication method and authentication system
JP2008204413A (en) * 2007-02-23 2008-09-04 Fuji Xerox Co Ltd Information processing system and information processing program
JP2008541242A (en) * 2005-05-06 2008-11-20 ベリサイン・インコーポレイテッド Token sharing system and method
JP2008282212A (en) * 2007-05-10 2008-11-20 Mitsubishi Electric Corp Authentication device and authentication system
JP2010066929A (en) * 2008-09-09 2010-03-25 Olympus Corp Server system, electronic equipment, communication terminal, and authentication method

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000003334A (en) * 1998-06-12 2000-01-07 Fujitsu Ltd Gateway system and recording medium
JP2003132022A (en) * 2001-10-22 2003-05-09 Nec Corp User authentication system and method
JP2003271561A (en) * 2002-03-18 2003-09-26 Sony Corp Information processing system, information processor and method, and program
JP2003316742A (en) * 2002-04-24 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> Anonymous communication method and device having single sign-on function
JP2003330886A (en) * 2002-05-09 2003-11-21 Kyocera Communication Systems Co Ltd Network processing device
JP2005276122A (en) * 2004-03-26 2005-10-06 Fujitsu Ltd Access source authentication method and system
JP2006155108A (en) * 2004-11-26 2006-06-15 Fujitsu Ltd Network service system using user tentative identifier
JP2008541242A (en) * 2005-05-06 2008-11-20 ベリサイン・インコーポレイテッド Token sharing system and method
JP2006331204A (en) * 2005-05-27 2006-12-07 Ntt Resonant Inc Authentication method and authentication system
JP2008204413A (en) * 2007-02-23 2008-09-04 Fuji Xerox Co Ltd Information processing system and information processing program
JP2008282212A (en) * 2007-05-10 2008-11-20 Mitsubishi Electric Corp Authentication device and authentication system
JP2010066929A (en) * 2008-09-09 2010-03-25 Olympus Corp Server system, electronic equipment, communication terminal, and authentication method

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9843571B2 (en) 2013-02-01 2017-12-12 Interman Corporation Identity confirmation method and identity confirmation system
US10129234B2 (en) 2013-02-01 2018-11-13 Interman Corporation Identity confirmation method and identity confirmation system using life log
US10554642B2 (en) 2013-02-01 2020-02-04 Interman Corporation Identity confirmation method and identity confirmation system
JP5948472B1 (en) * 2015-07-23 2016-07-06 株式会社野村総合研究所 Information management system and business system
JP2017027395A (en) * 2015-07-23 2017-02-02 株式会社野村総合研究所 Information management system and business system
JP2017058884A (en) * 2015-09-15 2017-03-23 株式会社日立製作所 ID management system and ID management method
WO2017047209A1 (en) * 2015-09-15 2017-03-23 株式会社日立製作所 Id managing system and id managing method
WO2019049420A1 (en) * 2017-09-11 2019-03-14 Capy株式会社 User authentication method, evaluation device, program and user authentication system
JP2019049868A (en) * 2017-09-11 2019-03-28 Capy株式会社 User authentication method, evaluation device, program, and user authentication system
US11153312B2 (en) 2017-09-11 2021-10-19 Capy Japan Inc. User authentication method, evaluation device, non-transitory computer-readable storage medium, and user authentication system
JP7124174B1 (en) 2021-06-14 2022-08-23 株式会社インターネットイニシアティブ Method and apparatus for multi-factor authentication
JP2022190213A (en) * 2021-06-14 2022-12-26 株式会社インターネットイニシアティブ Method and device for multi-factor authentication

Also Published As

Publication number Publication date
JP5618883B2 (en) 2014-11-05

Similar Documents

Publication Publication Date Title
KR100800339B1 (en) Method and system for user-determined authentication and single-sign-on in a federated environment
JP6170158B2 (en) Mobile multi single sign-on authentication
US8528058B2 (en) Native use of web service protocols and claims in server authentication
WO2017028804A1 (en) Web real-time communication platform authentication and access method and device
Miculan et al. Formal analysis of Facebook Connect single sign-on authentication protocol
CN111698250B (en) Access request processing method and device, electronic equipment and computer storage medium
US9276932B2 (en) Federated identity mapping using delegated authorization
TW200810460A (en) Authentication of a principal in a federation
JP2015535984A5 (en)
US10581806B2 (en) Service providing method, service requesting method, information processing device, and client device
Sharma et al. Identity and access management-a comprehensive study
CN111786969A (en) Single sign-on method, device and system
JP5618883B2 (en) Authentication system, authentication linkage device, authentication method
CN106161475B (en) Method and device for realizing user authentication
JP2014056549A (en) Communication system, communication device, communication method, and communication program
CN103716280A (en) Data transmission method, server and system
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
Al-Sinani et al. CardSpace-Liberty integration for CardSpace users
JP2012181662A (en) Account information cooperation system
Sharif et al. SoK: A Survey on Technological Trends for (pre) Notified eIDAS Electronic Identity Schemes
JP4837060B2 (en) Authentication apparatus and program
Rehman Get ready for OpenID
JP5749222B2 (en) Access permission control system and access permission control method
Schwartz et al. SAML
JP2011170795A (en) Web authentication system, mobile terminal, web terminal, web server, web authentication method and program for them

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130913

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140610

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140801

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140819

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140916

R150 Certificate of patent or registration of utility model

Ref document number: 5618883

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250