JP2013008140A - Single sign-on system, single sign-on method and authentication server cooperation program - Google Patents

Single sign-on system, single sign-on method and authentication server cooperation program Download PDF

Info

Publication number
JP2013008140A
JP2013008140A JP2011139533A JP2011139533A JP2013008140A JP 2013008140 A JP2013008140 A JP 2013008140A JP 2011139533 A JP2011139533 A JP 2011139533A JP 2011139533 A JP2011139533 A JP 2011139533A JP 2013008140 A JP2013008140 A JP 2013008140A
Authority
JP
Japan
Prior art keywords
authentication
user
single sign
cooperation
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2011139533A
Other languages
Japanese (ja)
Inventor
Kazuya Kikuchi
一也 菊池
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2011139533A priority Critical patent/JP2013008140A/en
Priority to PCT/JP2012/056038 priority patent/WO2012176506A1/en
Publication of JP2013008140A publication Critical patent/JP2013008140A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Abstract

PROBLEM TO BE SOLVED: To provide a single sign-on system for enabling a user to use a plurality of services including a cloud service, only with OS authentication of a user device.SOLUTION: A single sign-on system comprises: a user device 110 used by a user 100; an authentication server device 120 for performing authentication processing of the user 100 when the user device 110 is used; an intracompany network 140 to which the user device 110 and the authentication server device 120 are connected; an application server device 160 which is connected to the intracompany network 140 through the Internet 170 and provides an application to the user 100; and an authentication cooperation base device 150 which shares authentication information of the user 100 by the authentication server device 120 and performs single sign-on processing to the application server device 160.

Description

本発明は、一度のログオンにより複数のサービスを利用可能とするシングルサインオンシステムに関し、特に、パスワードを用いた現行の認証方法から、より高度な安全性を備えた認証方法を実現し、利便性をも向上させるに好適な認証技術に関するものである。   The present invention relates to a single sign-on system that enables a plurality of services to be used by logging on once. In particular, the present invention realizes an authentication method with higher security from the current authentication method using a password, and is convenient. The present invention relates to an authentication technique suitable for improving the quality.

クラウドサービス利用の普及に伴い、企業は今後、複数のクラウドサービス(SaaS:software as a service)を利用すると考える。しかし、複数サービス利用により企業及び個人のID等のアカウント管理が複雑となり、現在ではクラウドサービスと認証連携(シングルサインオン)製品が普及し始めている。   With the widespread use of cloud services, companies will use multiple cloud services (SaaS: software as a service) in the future. However, account management such as corporate and personal IDs becomes complicated due to the use of multiple services, and cloud services and authentication linkage (single sign-on) products are now becoming popular.

現在の認証連携製品では、サービスポータル画面を経由してシングルサインオンにより各サービスにアクセスされるが、サービスポータル画面そのものにはログオンしなければならないという問題がある。   In the current authentication linkage product, each service is accessed by single sign-on via the service portal screen, but there is a problem that the service portal screen itself must be logged on.

また、利用者がPCに一度サインオンすることにより、複数のアプリケーションとのシングルサインオンを実現する仕組みがあった[例えば、特開2009−223452号公報(特許文献1)]。   Further, there has been a mechanism for realizing single sign-on with a plurality of applications by once signing on to a PC [for example, Japanese Patent Laying-Open No. 2009-223442 (Patent Document 1)].

特開2009−223452号公報Japanese Unexamined Patent Publication No. 2009-223452

しかしながら、特許文献1に記載のものは、利用者装置及び該当アプリケーション側にエージェントプログラムをインストールしなければならないという追加作業が発生してしまい、クラウドサービスとのシングルサインオンでは導入が困難(導入できない)こととなる。   However, the method described in Patent Document 1 requires additional work that requires an agent program to be installed on the user device and the corresponding application side, and is difficult to install by single sign-on with a cloud service (cannot be introduced). )

そこで、本発明の目的は、企業内の認証サーバ装置とデータセンタなどで管理している認証連携基盤装置を連携させることにより、利用者は利用者装置のOS認証のみで、クラウドサービスまでの複数のサービスを利用可能とすることができ、これにより、ユーザの利便性向上及び高セキュアな認証連携を提供することができるシングルサインオンシステムを提供することにある。   Therefore, an object of the present invention is to link an authentication server device in a company with an authentication cooperation infrastructure device managed by a data center or the like, so that a user can perform a plurality of services up to a cloud service only by OS authentication of a user device. Accordingly, it is possible to provide a single sign-on system that can improve user convenience and provide highly secure authentication cooperation.

本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。   The above and other objects and novel features of the present invention will be apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次の通りである。   Of the inventions disclosed in the present application, the outline of typical ones will be briefly described as follows.

すなわち、代表的なものの概要は、シングルサインオンシステムにおいて、利用者が利用する利用者端末と、利用者端末の利用時の利用者の認証処理を行う認証サーバ装置と、利用者端末および認証サーバ装置が接続された内部ネットワークと、内部ネットワークにインターネットを介して接続され、利用者にアプリケーションを提供するアプリケーションサーバ装置と、認証サーバ装置による利用者の認証情報を共有し、アプリケーションサーバ装置へのシングルサインオン処理を行う認証連携基盤装置とを備えたものである。   That is, typical outlines of a single sign-on system include a user terminal used by a user, an authentication server device that performs user authentication processing when the user terminal is used, a user terminal, and an authentication server. An internal network to which the device is connected, an application server device that is connected to the internal network via the Internet, and provides an application to the user, and the user authentication information by the authentication server device is shared. And an authentication cooperation infrastructure device that performs sign-on processing.

また、利用者が利用者端末を利用し、利用者端末が接続された内部ネットワークを介して、インターネットに接続されたアプリケーションサーバ上のアプリケーションを利用する際のシングルサインオン方法であって、インターネットに接続され、アプリケーションサーバへのシングルサインオン処理を行う認証連携基盤装置の認証情報を、内部ネットワークに接続され、利用者の認証を行う認証サーバ装置の認証情報と共有させ、認証連携基盤装置のアプリケーションサーバへのシングルサインオン処理により、利用者にアプリケーションサーバ上のアプリケーションを提供するものである。   A single sign-on method when a user uses a user terminal and uses an application on an application server connected to the Internet via an internal network to which the user terminal is connected. Authentication authentication platform device authentication information that is connected and performs single sign-on processing to the application server is shared with the authentication information of the authentication server device that is connected to the internal network and authenticates the user. The application on the application server is provided to the user by the single sign-on process to the server.

また、認証サーバ連携プログラムにおいて、情報処理装置を、認証サーバの認証情報に基づいて、認証の連携のための利用者の認証情報を保持し、認証連携基盤装置によるシングルサインオン処理時に利用者の認証情報が存在しない場合に、認証連携基盤装置への利用者の認証情報の提供を行う認証連携装置として機能させるものである。   Also, in the authentication server cooperation program, the information processing apparatus holds user authentication information for authentication cooperation based on the authentication information of the authentication server, and the user's authentication information is processed at the time of single sign-on processing by the authentication cooperation infrastructure apparatus. When authentication information does not exist, it is made to function as an authentication cooperation apparatus that provides user authentication information to the authentication cooperation infrastructure apparatus.

本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下の通りである。   The effects obtained by typical ones of the inventions disclosed in the present application will be briefly described as follows.

すなわち、代表的なものによって得られる効果は、企業内の認証サーバ装置とデータセンタなどで管理している認証連携基盤装置を連携させることにより、利用者は利用者装置のOS認証のみで、クラウドサービスまでの複数のサービス利用を可能とすることができる。これにより、ユーザの利便性が向上すると共に、高セキュアな認証連携を実現することができる。   In other words, the effect obtained by a typical one is that the authentication server device in the company is linked with the authentication cooperation base device managed by the data center, so that the user can perform only the OS authentication of the user device, and the cloud Multiple services up to the service can be used. As a result, the convenience of the user is improved, and highly secure authentication cooperation can be realized.

本発明の一実施の形態に係るシングルサインオンシステムのシステム構成を示す構成図である。It is a block diagram which shows the system configuration | structure of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムの認証連携装置のソフトウェア構成を示す図である。It is a figure which shows the software structure of the authentication cooperation apparatus of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムの認証連携基盤装置のソフトウェア構成を示す図である。It is a figure which shows the software structure of the authentication cooperation infrastructure device of the single sign-on system which concerns on one embodiment of this invention. 本発明の一実施の形態に係るシングルサインオンシステムのシングルサインオン方法による認証処理を示す処理フローである。It is a processing flow which shows the authentication process by the single sign-on method of the single sign-on system which concerns on one embodiment of this invention.

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that components having the same function are denoted by the same reference symbols throughout the drawings for describing the embodiment, and the repetitive description thereof will be omitted.

<シングルサインオンシステムの構成>
図1〜図3により、本発明の一実施の形態に係るシングルサインオンシステムのシステム構成について説明する。図1は本発明の一実施の形態に係るシングルサインオンシステムのシステム構成を示す構成図、図2は本発明の一実施の形態に係るシングルサインオンシステムの認証連携装置のソフトウェア構成を示す図、図3は本発明の一実施の形態に係るシングルサインオンシステムの認証連携基盤装置のソフトウェア構成を示す図である。 <Configuration of single sign-on system>
A system configuration of a single sign-on system according to an embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a configuration diagram showing a system configuration of a single sign-on system according to an embodiment of the present invention, and FIG. 2 is a diagram showing a software configuration of an authentication collaboration apparatus of the single sign-on system according to an embodiment of the present invention. FIG. 3 is a diagram showing a software configuration of the authentication cooperation infrastructure device of the single sign-on system according to the embodiment of the present invention.

図1において、シングルサインオンシステムは、利用者100が使用する利用者装置110、利用者100が利用者装置110にログオンするための認証を受ける認証サーバ装置120、利用者装置110を介して何らかの業務を行うためのアプリケーションサーバ(APサーバ)装置160が、内部ネットワークである社内ネットワーク140及びインターネット170で接続される従来の構成に加えて、新たに認証連携装置130、認証連携基盤装置150が社内ネットワーク140とインターネット170に接続される構成を備えている。   In FIG. 1, the single sign-on system includes a user device 110 used by the user 100, an authentication server device 120 that receives authentication for the user 100 to log on to the user device 110, and a user device 110. In addition to the conventional configuration in which an application server (AP server) device 160 for performing business is connected via an internal network 140 that is an internal network and the Internet 170, an authentication collaboration device 130 and an authentication collaboration infrastructure device 150 are newly installed in the company. It is configured to be connected to the network 140 and the Internet 170.

図2において、情報処理装置などから構成される認証連携装置130には、メモリ220上に認証サーバ連携プログラム210がロードされ、認証サーバ連携プログラム210が認証連携装置130内の処理部(図示せず)などにより処理され、社内ネットワーク140に接続されている認証サーバ装置120とインターネット170を介して接続されている認証連携基盤装置150の認証連携などが行われている。   2, an authentication server cooperation program 210 is loaded on the memory 220 in the authentication cooperation device 130 including an information processing device, and the authentication server cooperation program 210 is a processing unit (not shown) in the authentication cooperation device 130. ) And the like, and the authentication cooperation between the authentication server device 120 connected to the in-house network 140 and the authentication cooperation infrastructure device 150 connected via the Internet 170 is performed.

図3において、情報処理装置などから構成される認証連携基盤装置150には、メモリ330上に認証サーバ連携モジュール310のプログラムと認証連携システム320のプログラムがロードされ、認証サーバ連携モジュール310のプログラムと認証連携システム320のプログラムが認証連携基盤装置150の処理部(図示せず)などにより処理され、利用者100へのアプリケーションポータルの提供、認証サーバ装置120との認証情報の共有、アプリケーションサーバ装置160へのシングルサインオンなどが行われている。   In FIG. 3, the authentication cooperation platform apparatus 150 including an information processing apparatus or the like is loaded with the program of the authentication server cooperation module 310 and the program of the authentication cooperation system 320 on the memory 330. The program of the authentication collaboration system 320 is processed by a processing unit (not shown) of the authentication collaboration infrastructure device 150, etc., providing an application portal to the user 100, sharing authentication information with the authentication server device 120, and the application server device 160. Single sign-on to is performed.

なお、図3に示す例では、認証サーバ連携モジュール310のプログラムと認証連携システム320のプログラムがメモリ330にロードされている例を示しているが、認証連携基盤装置150の処理を行うことができるプログラムなどであれば、どのような構成であってもよい。   In the example illustrated in FIG. 3, an example in which the program of the authentication server cooperation module 310 and the program of the authentication cooperation system 320 are loaded in the memory 330 is illustrated, but the processing of the authentication cooperation infrastructure device 150 can be performed. Any configuration may be used as long as it is a program or the like.

<シングルサインオンシステムのシングルサインオン方法による認証処理>
次に、図4により、本発明の一実施の形態に係るシングルサインオンシステムのシングルサインオン方法による認証処理について説明する。図4は本発明の一実施の形態に係るシングルサインオンシステムのシングルサインオン方法による認証処理を示す処理フローである。 <Authentication processing by the single sign-on method of the single sign-on system>
Next, with reference to FIG. 4, an authentication process by the single sign-on method of the single sign-on system according to the embodiment of the present invention will be described. FIG. 4 is a processing flow showing authentication processing by the single sign-on method of the single sign-on system according to the embodiment of the present invention.

まず、利用者100は利用者装置110を起動する(ステップ401)。当該利用者装置110はOSを起動しOSにログオンするためのログオン画面を利用者100に対して表示する(ステップ402)。ここではOS用のユーザID及びパスワードを入力させる画面が表示される。   First, the user 100 activates the user device 110 (step 401). The user device 110 activates the OS and displays a logon screen for logging on to the OS to the user 100 (step 402). Here, a screen for inputting the user ID and password for the OS is displayed.

そして、利用者100はOS用のユーザID及びパスワードを入力する(ステップ403)。利用者装置110は入力されたOS用のユーザIDのパスワードと当該ユーザIDの照合用のパスワードを比較することによって認証を行い、一致した場合には正当な利用者であるとみなしログオンを許可する。図4に示す例では、照合用のパスワードは認証サーバ装置120に記録されているため、認証サーバ装置120に利用者100が入力したユーザID及びパスワードを送信する(ステップ404)。   Then, the user 100 inputs the OS user ID and password (step 403). The user device 110 performs authentication by comparing the entered password for the OS user ID and the password for collating the user ID, and if they match, the user device 110 is regarded as a valid user and permits logon. . In the example shown in FIG. 4, since the verification password is recorded in the authentication server device 120, the user ID and password input by the user 100 are transmitted to the authentication server device 120 (step 404).

認証サーバ装置120では受信したユーザID及びパスワードと認証サーバ装置120内で記録しているOS用ユーザ情報と照合することで認証を行いその認証結果を利用者装置110に返信する(ステップ405)。   The authentication server device 120 performs authentication by comparing the received user ID and password with the OS user information recorded in the authentication server device 120, and returns the authentication result to the user device 110 (step 405).

認証結果がOKの場合には利用者装置110が利用者100にログオン後の画面を表示する(ステップ406)。ログオンが許可された場合、利用者100は当該利用者装置110内にあるプログラムを実行できるようになるのでアプリケーション利用プログラム(アプリケーションポータル)は、インターネットを経由して認証連携基盤装置150の認証サーバ連携モジュール310にアクセス要求を送信する(ステップ407)。   If the authentication result is OK, the user device 110 displays a screen after logon to the user 100 (step 406). When the logon is permitted, the user 100 can execute the program in the user device 110, so that the application utilization program (application portal) cooperates with the authentication server of the authentication collaboration infrastructure device 150 via the Internet. An access request is transmitted to the module 310 (step 407).

認証連携基盤装置150はアクセス要求を受け、当該利用者100の認証情報と認証連携基盤装置150に格納されている認証IDとを照合させ、認証情報が不一致で認証確認NGの場合(ステップ408)には、利用者装置110に対して認証情報の要求を実施する(ステップ409)。   Upon receiving the access request, the authentication collaboration infrastructure device 150 collates the authentication information of the user 100 with the authentication ID stored in the authentication collaboration infrastructure device 150, and the authentication information does not match and the authentication confirmation is NG (step 408). In step S409, the user apparatus 110 is requested for authentication information.

そして、利用者装置110は認証情報を判定するため、認証連携装置130に認証情報の判定を依頼する(ステップ410)。認証連携装置130内のメモリ220に存在する認証サーバ連携プログラム210で保持している認証情報が存在せず、認証確認NGの場合(ステップ411)には、認証サーバ装置120に認証情報を依頼する(ステップ412)。   Then, the user device 110 requests the authentication cooperation device 130 to determine the authentication information in order to determine the authentication information (step 410). If there is no authentication information held in the authentication server cooperation program 210 existing in the memory 220 in the authentication cooperation device 130 and the authentication confirmation is NG (step 411), the authentication server device 120 is requested for authentication information. (Step 412).

認証サーバ装置120は利用者100の固有IDが暗号化されている情報を受け取り、認証の確認を実施し、認証連携装置130に認証情報を付加し認証確認結果を返信する(ステップ413)。そして、認証連携装置130は受け取った認証情報を利用者装置110に通知する(ステップ415)。   The authentication server device 120 receives information in which the unique ID of the user 100 is encrypted, performs authentication confirmation, adds authentication information to the authentication cooperation device 130, and returns an authentication confirmation result (step 413). And the authentication cooperation apparatus 130 notifies the received authentication information to the user apparatus 110 (step 415).

また、認証連携装置130内のメモリ220に存在する認証サーバ連携プログラム210で保持している認証情報が存在し、認証確認OKの場合(ステップ414)には、認証情報を利用者装置110に通知する(ステップ415)。   If the authentication information held by the authentication server cooperation program 210 existing in the memory 220 in the authentication cooperation apparatus 130 exists and the authentication confirmation is OK (step 414), the authentication information is notified to the user apparatus 110. (Step 415).

そして、利用者装置110は、再度、認証連携基盤装置150の認証サーバ連携モジュール310にアクセス要求と認証情報を送り(ステップ416)、当該利用者100の認証情報と認証連携基盤装置150に格納されている認証IDとを照合させ、認証情報が一致した場合に利用者100が利用できるアプリケーションポータル画面を利用者装置110を経由して表示する(ステップ417)。   Then, the user device 110 again sends an access request and authentication information to the authentication server cooperation module 310 of the authentication cooperation infrastructure device 150 (step 416), and is stored in the authentication information and authentication cooperation infrastructure device 150 of the user 100. The application portal screen that can be used by the user 100 when the authentication information matches is displayed via the user device 110 (step 417).

また、認証連携基盤装置150はアクセス要求を受け、当該利用者100の認証情報と認証連携基盤装置150に格納されている認証IDとを照合させ、認証情報が一致し、認証確認OKの場合(ステップ421)には、利用者100が利用できるアプリケーションポータル画面を利用者装置110を経由して表示する(ステップ417)。   Further, the authentication collaboration infrastructure device 150 receives the access request, collates the authentication information of the user 100 with the authentication ID stored in the authentication collaboration infrastructure device 150, and the authentication information matches and the authentication confirmation is OK ( In step 421), an application portal screen that can be used by the user 100 is displayed via the user device 110 (step 417).

そして、利用者100はアプリケーションポータル画面から利用するアプリケーションを認証連携基盤装置150に要求する(ステップ418)。   Then, the user 100 requests an application to be used from the application portal screen to the authentication collaboration infrastructure device 150 (step 418).

認証連携基盤装置150は、認証連携システム320による該当するアプリケーションとのシングルサインオン機能を有しているため、該当するアプリケーションをアプリケーションサーバ装置160に要求する(ステップ419)。   Since the authentication collaboration infrastructure device 150 has a single sign-on function with the corresponding application by the authentication collaboration system 320, it requests the corresponding application from the application server device 160 (step 419).

そして、要求を受け取ったアプリケーションサーバ装置160は認証情報を確認し、アプリケーション画面を利用者装置110を経由して利用者100に表示する(ステップ420)。   Upon receiving the request, the application server device 160 confirms the authentication information, and displays an application screen on the user 100 via the user device 110 (step 420).

そして、利用者100は、アプリケーション画面を操作することにより、アプリケーションサーバ装置160のアプリケーションを利用する。   Then, the user 100 uses the application of the application server device 160 by operating the application screen.

以上のように、本実施の形態では、認証連携装置130により、社内ネットワーク140に接続されている認証サーバ装置120とインターネット170を介して接続されている認証連携基盤装置150の認証連携を行い、認証連携基盤装置150により、認証サーバ装置120との認証情報を共有し、アプリケーションサーバ装置160へのシングルサインオンを行うようにしたので、利用者100は、利用者装置110への一度のOS認証のみで、複数のアプリケーションサーバ装置160のアプリケーションを利用することができる。   As described above, in this embodiment, the authentication collaboration apparatus 130 performs authentication collaboration between the authentication server apparatus 120 connected to the in-house network 140 and the authentication collaboration infrastructure apparatus 150 connected via the Internet 170, Since the authentication cooperation infrastructure device 150 shares authentication information with the authentication server device 120 and performs single sign-on to the application server device 160, the user 100 authenticates the user device 110 once. Only the applications of the plurality of application server apparatuses 160 can be used.

また、認証サーバ装置120の認証情報をインターネット170を経由して認証連携基盤装置150の認証情報と共有するためにインターネット170上で流れる認証情報を、例えば、SHA(Secret Hash Algorism)暗号化方式などで暗号化してすることにより、より高セキュアな認証連携を行うことができる。   Further, the authentication information flowing on the Internet 170 in order to share the authentication information of the authentication server device 120 with the authentication information of the authentication cooperation infrastructure device 150 via the Internet 170 is, for example, a SHA (Secret Hash Algorithm) encryption method or the like. By encrypting with, more secure authentication cooperation can be performed.

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。   As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Needless to say.

例えば、本実施の形態では、認証連携基盤装置150から利用者装置110に対して認証情報の要求を実施しているが、認証連携基盤装置150から認証連携装置130に認証情報の要求を実施するようにしてもよい。   For example, in the present embodiment, the authentication cooperation infrastructure device 150 issues a request for authentication information to the user device 110, but the authentication cooperation infrastructure device 150 issues a request for authentication information to the authentication collaboration device 130. You may do it.

本発明は、一度のログオンにより複数のサービスを利用可能とするシングルサインオンシステムに関し、利用者が利用者装置からインターネットを介してアプリケーションサーバ装置上のアプリケーションを利用するシステムなどに広く適用可能である。   The present invention relates to a single sign-on system that enables a plurality of services to be used by logging on once, and is widely applicable to a system in which a user uses an application on an application server device via the Internet from a user device. .

100…利用者、110…利用者装置、120…認証サーバ装置、130…認証連携装置、140…社内ネットワーク、150…認証連携基盤装置、160…アプリケーションサーバ装置、170…インターネット、210…認証サーバ連携プログラム、220…メモリ、310…認証サーバ連携モジュール、320…認証連携システム、330…メモリ。 DESCRIPTION OF SYMBOLS 100 ... User, 110 ... User apparatus, 120 ... Authentication server apparatus, 130 ... Authentication cooperation apparatus, 140 ... In-house network, 150 ... Authentication cooperation infrastructure apparatus, 160 ... Application server apparatus, 170 ... Internet, 210 ... Authentication server cooperation Program 220 ... Memory 310 ... Authentication server cooperation module 320 ... Authentication cooperation system 330 ... Memory

Claims (9)

利用者が利用する利用者端末と、
前記利用者端末の利用時の前記利用者の認証処理を行う認証サーバ装置と、
前記利用者端末および前記認証サーバ装置が接続された内部ネットワークと、
前記内部ネットワークにインターネットを介して接続され、前記利用者にアプリケーションを提供するアプリケーションサーバ装置と、
前記認証サーバ装置による前記利用者の認証情報を共有し、前記アプリケーションサーバ装置へのシングルサインオン処理を行う認証連携基盤装置とを備えたことを特徴とするシングルサインオンシステム。 A user terminal used by the user,
An authentication server device that performs authentication processing of the user when using the user terminal;
An internal network to which the user terminal and the authentication server device are connected;
An application server device connected to the internal network via the Internet and providing an application to the user;
A single sign-on system comprising: an authentication cooperation infrastructure device that shares authentication information of the user by the authentication server device and performs a single sign-on process to the application server device. 請求項1に記載のシングルサインオンシステムにおいて、
前記内部ネットワークに接続され、前記認証サーバ装置による前記利用者の認証情報と前記認証連携基盤装置の認証情報を連携させる認証連携装置を備えたことを特徴とするシングルサインオンシステム。 The single sign-on system according to claim 1,
A single sign-on system comprising an authentication linkage device connected to the internal network and linking authentication information of the user by the authentication server device and authentication information of the authentication linkage infrastructure device. 請求項2に記載のシングルサインオンシステムにおいて、
前記認証連携装置は、認証の連携のための前記利用者の認証情報を保持し、前記利用者の認証時に前記利用者の認証情報が存在しない場合、前記認証サーバ装置に問い合わせ、前記利用者の認証情報を取得することを特徴とするシングルサインオンシステム。 The single sign-on system according to claim 2,
The authentication cooperation device holds the authentication information of the user for authentication cooperation, and when the authentication information of the user does not exist at the time of authentication of the user, the authentication cooperation device inquires the authentication server device, A single sign-on system characterized by acquiring authentication information. 請求項3に記載のシングルサインオンシステムにおいて、
前記認証連携基盤装置は、前記シングルサインオン処理時に前記利用者の認証情報が存在しない場合、前記認証連携装置を介して前記利用者の認証情報を取得することを特徴とするシングルサインオンシステム。 The single sign-on system according to claim 3,
The single-sign-on system is characterized in that the authentication cooperation base device acquires the user's authentication information via the authentication cooperation device when the user's authentication information does not exist during the single sign-on process. 請求項1に記載のシングルサインオンシステムにおいて、
前記インターネット上で流れる認証情報をSHA暗号化方式により暗号化することを特徴とするシングルサインオンシステム。 The single sign-on system according to claim 1,
A single sign-on system, wherein authentication information flowing on the Internet is encrypted by a SHA encryption method. 請求項1に記載のシングルサインオンシステムにおいて、
前記認証連携装置および前記認証連携基盤装置で利用する前記利用者の認証情報は、前記認証サーバ装置の認証方式で使用される認証情報であることを特徴とするシングルサインオンシステム。 The single sign-on system according to claim 1,
The single sign-on system, wherein the authentication information of the user used in the authentication cooperation device and the authentication cooperation base device is authentication information used in an authentication method of the authentication server device. 利用者が利用者端末を利用し、前記利用者端末が接続された内部ネットワークを介して、インターネットに接続されたアプリケーションサーバ上のアプリケーションを利用する際のシングルサインオン方法であって、
前記インターネットに接続され、前記アプリケーションサーバへのシングルサインオン処理を行う認証連携基盤装置の認証情報を、前記内部ネットワークに接続され、前記利用者の認証を行う認証サーバ装置の認証情報と共有させ、前記認証連携基盤装置の前記アプリケーションサーバへのシングルサインオン処理により、前記利用者に前記アプリケーションサーバ上の前記アプリケーションを提供することを特徴とするシングルサインオン方法。 A single sign-on method when a user uses a user terminal and uses an application on an application server connected to the Internet via an internal network to which the user terminal is connected,
Authentication information of an authentication collaboration infrastructure device that is connected to the Internet and performs single sign-on processing to the application server is shared with authentication information of an authentication server device that is connected to the internal network and authenticates the user, A single sign-on method, wherein the application on the application server is provided to the user by a single sign-on process to the application server of the authentication cooperation infrastructure device. 請求項7に記載のシングルサインオン方法において、
前記認証連携基盤装置の認証情報は、前記アプリケーションサーバへのシングルサインオン処理時に、前記利用者の認証情報が存在しない場合に、前記認証サーバ装置の認証情報に基づいて蓄積されることを特徴とするシングルサインオン方法。 The single sign-on method according to claim 7,
Authentication information of the authentication collaboration infrastructure device is stored based on the authentication information of the authentication server device when the user authentication information does not exist during the single sign-on process to the application server. Single sign-on method to do. 利用者が利用する利用者端末と、前記利用者端末の利用時の前記利用者の認証処理を行う認証サーバ装置と、前記利用者端末および前記認証サーバ装置が接続された内部ネットワークと、前記内部ネットワークにインターネットを介して接続され、前記利用者にアプリケーションを提供するアプリケーションサーバ装置と、前記アプリケーションサーバ装置へのシングルサインオン処理を行う認証連携基盤装置とを備えたシングルサインオンシステムの認証連携処理を行うために情報処理装置を、
前記認証サーバの認証情報に基づいて、認証の連携のための前記利用者の認証情報を保持し、前記認証連携基盤装置による前記シングルサインオン処理時に前記利用者の認証情報が存在しない場合に、前記認証連携基盤装置への前記利用者の認証情報の提供を行う認証連携装置として機能させることを特徴とする認証サーバ連携プログラム。 A user terminal used by a user, an authentication server device that performs authentication processing of the user when using the user terminal, an internal network to which the user terminal and the authentication server device are connected, and the internal Authentication cooperation processing of a single sign-on system comprising an application server device connected to a network via the Internet and providing an application to the user, and an authentication cooperation infrastructure device that performs single sign-on processing to the application server device To do information processing equipment,
Based on the authentication information of the authentication server, holding the user authentication information for authentication cooperation, and when the user authentication information does not exist during the single sign-on process by the authentication cooperation infrastructure device, An authentication server cooperation program that functions as an authentication cooperation device that provides authentication information of the user to the authentication cooperation base device.
JP2011139533A 2011-06-23 2011-06-23 Single sign-on system, single sign-on method and authentication server cooperation program Pending JP2013008140A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011139533A JP2013008140A (en) 2011-06-23 2011-06-23 Single sign-on system, single sign-on method and authentication server cooperation program
PCT/JP2012/056038 WO2012176506A1 (en) 2011-06-23 2012-03-08 Single sign-on system, single sign-on method, and authentication server linking program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011139533A JP2013008140A (en) 2011-06-23 2011-06-23 Single sign-on system, single sign-on method and authentication server cooperation program

Publications (1)

Publication Number Publication Date
JP2013008140A true JP2013008140A (en) 2013-01-10

Family

ID=47422356

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011139533A Pending JP2013008140A (en) 2011-06-23 2011-06-23 Single sign-on system, single sign-on method and authentication server cooperation program

Country Status (2)

Country Link
JP (1) JP2013008140A (en)
WO (1) WO2012176506A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103237019A (en) * 2013-04-03 2013-08-07 中国科学院合肥物质科学研究院 Cloud service accessing gateway system and cloud service accessing method
KR20150049546A (en) * 2013-10-30 2015-05-08 삼성에스디에스 주식회사 Mobile device having the function of authentificating user in virtual environment
KR101944698B1 (en) * 2017-11-28 2019-02-01 (주) 시큐어가드테크놀러지 Method for auto login of single sign on using the login result of computer operating system, and computer readable recording medium applying the same
US11361056B2 (en) 2017-10-18 2022-06-14 Fujifilm Business Innovation Corp. Information processing apparatus, information processing system, and non-transitory computer readable medium

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6064636B2 (en) * 2013-02-06 2017-01-25 株式会社リコー Information processing system, information processing apparatus, authentication method, and program
CN104158723B (en) * 2014-08-15 2017-04-19 深圳市蜂联科技有限公司 Implementation method for sharing of user account by open intelligent gateway platform

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002334056A (en) * 2001-05-08 2002-11-22 Infocom Corp System and method for executing log-in in behalf of user
JP2005321970A (en) * 2004-05-07 2005-11-17 Hitachi Ltd Computer system
JP2006352223A (en) * 2005-06-13 2006-12-28 Hitachi Ltd Network connection system
JP2007221747A (en) * 2006-01-18 2007-08-30 Ricoh Co Ltd Multi-functional input-output device and method of input-output
JP2007293811A (en) * 2006-03-31 2007-11-08 Nippon Telegr & Teleph Corp <Ntt> Proxy authentication system and method and authentication apparatus using therewith
JP2008197973A (en) * 2007-02-14 2008-08-28 Mitsubishi Electric Corp User authentication system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002334056A (en) * 2001-05-08 2002-11-22 Infocom Corp System and method for executing log-in in behalf of user
JP2005321970A (en) * 2004-05-07 2005-11-17 Hitachi Ltd Computer system
JP2006352223A (en) * 2005-06-13 2006-12-28 Hitachi Ltd Network connection system
JP2007221747A (en) * 2006-01-18 2007-08-30 Ricoh Co Ltd Multi-functional input-output device and method of input-output
JP2007293811A (en) * 2006-03-31 2007-11-08 Nippon Telegr & Teleph Corp <Ntt> Proxy authentication system and method and authentication apparatus using therewith
JP2008197973A (en) * 2007-02-14 2008-08-28 Mitsubishi Electric Corp User authentication system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSND201000328003; '"リスクポイントから解決策まで クラウドセキュリティのいろは"' 日経NETWORK 第122号, 20100528, p.20-33, 日経BP社 *
JPN6014053192; '"リスクポイントから解決策まで クラウドセキュリティのいろは"' 日経NETWORK 第122号, 20100528, p.20-33, 日経BP社 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103237019A (en) * 2013-04-03 2013-08-07 中国科学院合肥物质科学研究院 Cloud service accessing gateway system and cloud service accessing method
CN103237019B (en) * 2013-04-03 2016-08-31 中国科学院合肥物质科学研究院 A kind of cloud service accesses gateway system and method
KR20150049546A (en) * 2013-10-30 2015-05-08 삼성에스디에스 주식회사 Mobile device having the function of authentificating user in virtual environment
KR101596097B1 (en) * 2013-10-30 2016-02-19 삼성에스디에스 주식회사 Mobile device having the function of authentificating user in virtual environment
US11361056B2 (en) 2017-10-18 2022-06-14 Fujifilm Business Innovation Corp. Information processing apparatus, information processing system, and non-transitory computer readable medium
KR101944698B1 (en) * 2017-11-28 2019-02-01 (주) 시큐어가드테크놀러지 Method for auto login of single sign on using the login result of computer operating system, and computer readable recording medium applying the same

Also Published As

Publication number Publication date
WO2012176506A1 (en) 2012-12-27

Similar Documents

Publication Publication Date Title
EP3424195B1 (en) Encrypted password transport across untrusted cloud network
US11196729B2 (en) Methods and systems for distributing encrypted cryptographic data
CN109088889B (en) SSL encryption and decryption method, system and computer readable storage medium
US9191394B2 (en) Protecting user credentials from a computing device
US8856517B2 (en) Access management system using trusted partner tokens
US8925046B2 (en) Device, method, and recording medium
US8296828B2 (en) Transforming claim based identities to credential based identities
US11102191B2 (en) Enabling single sign-on authentication for accessing protected network services
CN102457507B (en) Cloud computing resources secure sharing method, Apparatus and system
US10356079B2 (en) System and method for a single sign on connection in a zero-knowledge vault architecture
CN106487765B (en) Authorized access method and device using the same
WO2017020452A1 (en) Authentication method and authentication system
JP2004048679A (en) Session key security protocol
CN108809633B (en) Identity authentication method, device and system
KR20220086580A (en) Non-custodial tool for building decentralized computer applications
WO2012176506A1 (en) Single sign-on system, single sign-on method, and authentication server linking program
US9716701B1 (en) Software as a service scanning system and method for scanning web traffic
CN109587098B (en) Authentication system and method, and authorization server
JP2016139910A (en) Authentication system, authentication key management device, authentication key management method and authentication key management program
CN110619236A (en) File authorization access method, device and system based on file credential information
CN115189975B (en) Login method, login device, electronic equipment and storage medium
CN116346486A (en) Combined login method, device, equipment and storage medium
KR101510473B1 (en) Method and system of strengthening security of member information offered to contents provider
CN110602074A (en) Service identity using method, device and system based on master-slave association

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140324

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141216

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150407