JP2013137588A - 認証連携システムおよびidプロバイダ装置 - Google Patents

認証連携システムおよびidプロバイダ装置 Download PDF

Info

Publication number
JP2013137588A
JP2013137588A JP2011287021A JP2011287021A JP2013137588A JP 2013137588 A JP2013137588 A JP 2013137588A JP 2011287021 A JP2011287021 A JP 2011287021A JP 2011287021 A JP2011287021 A JP 2011287021A JP 2013137588 A JP2013137588 A JP 2013137588A
Authority
JP
Japan
Prior art keywords
authentication
user
login
idp
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011287021A
Other languages
English (en)
Other versions
JP5197843B1 (ja
Inventor
Minoru Nishizawa
実 西澤
Tatsuro Ikeda
竜朗 池田
Masataka Yamada
正隆 山田
Yuichiro Ezaki
裕一郎 江崎
Seiichiro Tanaka
誠一郎 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2011287021A priority Critical patent/JP5197843B1/ja
Priority to SG2013016761A priority patent/SG188436A1/en
Priority to PCT/JP2012/006085 priority patent/WO2013099065A1/ja
Priority to CN201280002728.7A priority patent/CN103282909B/zh
Priority to US13/785,746 priority patent/US8793759B2/en
Application granted granted Critical
Publication of JP5197843B1 publication Critical patent/JP5197843B1/ja
Publication of JP2013137588A publication Critical patent/JP2013137588A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】
IDプロバイダのSSO装置を改造することなく、かつ、ユーザがSSOを要求したときの状況に応じて、SSOの過程でアカウント登録および連携を実行する際に、人手を介さないでサービス利用可否を決定することができるようになる。
【解決手段】
実施形態のIDプロバイダ装置は、サービスデータの送信が許可される対象となるユーザを示すポリシ情報を記憶するポリシ情報記憶部と、認証連携要求を受信した場合に、ユーザ端末のログイン状態に応じたタイミングでポリシ評価処理とアカウント連携処理とを行なう認証連携要求事前処理部とサービスプロバイダ装置から認証連携要求を受信した場合に、当該認証連携要求を認証連携要求事前処理部に転送する認証連携要求転送部と、を備える。
【選択図】図1

Description

本発明の実施形態は、認証連携システムおよびIDプロバイダ装置に関する。
一度の認証手続きで複数のアプリケーションやサービスを利用できる認証連携を行うための技術として、シングルサインオン(Single Sign On、以下SSOという)がある。SSOは、一つの企業のイントラネットのようなシングルドメインにおいて、複数のアプリケーションが備える認証を統合させる場合が多い。
しかし、最近では、異なるドメイン間(異なるWWWサーバ間の意味であり、以下、クロスドメインという)でのSSOが求められている。その理由として、企業統合や合併、海外展開などの活発化、および台頭してきたクラウドコンピューティングのSaaS(Software as a Service)等によるアウトソーシングが挙げられる。
しかしながら、クロスドメインのSSOを実現するためには、認証結果を共有するために大きな手間が発生するという問題がある。主な問題点としては以下の2点が挙げられる。
第1の問題点は、HTTP Cookieの利用がシングルドメインに限定されているため、ドメイン間でHTTP Cookieを利用して認証結果を共有できないことである。第2の問題点は、ドメインごとに採用しているアクセス管理製品のSSO方式がベンダ間で異なるため、単純に導入することはできず、別途施策を用意する必要があることである。
これらの問題点を解消するため、SSOの標準化の要望がある。この要望に応じる代表的な標準技術の一つとして、非営利団体OASIS(Organization for the Advancement of Structured Information Standards)が策定したSAML(Security Assertion Markup Language)がある。
SAMLは認証・認可・属性に関する情報の表現形式、および送受信手順が定義された仕様であり、目的に応じて様々な実装形態を可能にするように体系的に規定されている。主体の構成は、アイデンティティ提供者(Identity Provider、以下、IDP、もしくはIDプロバイダという)、サービス提供者(Service Provider、以下、SPもしくはサービスプロバイダという)、ユーザの3者であり、IDプロバイダが発行する認証結果をサービスプロバイダが信頼することでSSOを実現している。
ユーザがSAMLに基づくSSOを開始する場合、一般的に次の2点について事前に準備する必要がある。1点目は、サービスプロバイダとIDプロバイダとの間でビジネスや技術面での情報交換や合意形成を通じて、信頼関係を構築しておくことである。2点目は、一人のユーザがサービスプロバイダごとに個別のアカウントを持ち、これらの個別のSPアカウントとIDプロバイダのアカウントを事前に連携させておくこと(以下、アカウント連携という)である。これら信頼関係の構築および事前のアカウント連携といった事前準備を終えた状態でないとユーザがSSOを開始することはできない。
このような事前準備の後、SSOは以下のような手順(1)〜(6)に沿って実現される。ここでは、ユーザ端末を介した、サービスプロバイダ開始モデルのSSOの手順を説明する。
(1)ユーザがサービスプロバイダに対してサービス提供を要求する。
(2)サービスプロバイダは、まだユーザの認証をしていないため、ユーザ側の端末を介して、認証リクエストをIDプロバイダに送る。
(3)IDプロバイダは何らかの手段でユーザを認証し、認証アサーションを作成する。なお、SAMLは、認証手段を規定せず、認証アサーションをサービスプロバイダに伝える仕組みを規定している。認証アサーションとは、サービスプロバイダが認証結果を信用できるかを判断するため、認証手段の種類やクレデンシャルがどのように作成されたかなどの情報が含まれる。
(4)IDプロバイダは、作成した認証アサーションを含む認証結果を、ユーザ端末を介してサービスプロバイダに返信する。
(5)サービスプロバイダは、IDプロバイダの認証結果に基づき、サービス提供の可否を決定する。
(6)ユーザは、サービスプロバイダからサービス提供を受ける。
なお、ユーザがSSO要求をしたときの起点として、SAMLではサービスプロバイダ開始モデル(以下、SP開始モデルという)とIDプロバイダ開始モデル(以下、IDP開始モデル)の2つが定義されている。SP開始モデルは、前述したSSO手順の通りであり、ユーザがSPにアクセスし、SPがSAMLに基づいた認証リクエストを送信するところから、SSO要求が始まるモデルである。
IDP開始モデルは、前述のSSO手順(1)において、ユーザ端末からIDプロバイダに対して、サービスプロバイダのサービス提供を要求するところから始まるモデルである。したがって、SSO手順(2)は行われず、手順(1)に続いて(3)〜(6)の処理を行う。
このように、SAMLに基づくSSOでは、ユーザが一度の認証手続きをIDプロバイダに行うだけで更なる認証手続きを実行せずに、複数のサービスを使用可能となる。
但し、SAMLに基づくSSOは、アイデンティティのライフサイクル全体のうち、アイデンティティの「利用」という一部分でしかない。前述したように、SSOを開始する場合、アカウント連携を行う必要があり、アカウント連携を行うには、サービスプロバイダとIDプロバイダ間にアイデンティティの登録、変更、削除、再発行、一時停止などの管理を包括的に連携する技術が求められる。
アイデンティティの登録、変更、削除、再発行、一時停止などを自動化する技術としてアカウントプロビジョニングがあり、その標準技術としてSPML(Service Provisioning Markup Language)がある。
ところで、前述したアカウント連携の事前準備を終えていない状態から、アカウント連携をSSOの一部として動的に実行するデータ処理システムが知られている。通常、サービスプロバイダ側にユーザのアカウントが登録されてない状態、すなわち、アカウント連携が行われてない状態でSSOを開始しようとした場合、エラーが発生することになっていた。
しかしながら、このデータ処理システムによれば、前述した状態でもアカウント連携をSSOの一部として動的に実行できる。具体的には、サービスプロバイダがユーザからのサービス要求を受けた後、サービスプロバイダがユーザのアカウントを登録するための十分な情報を保持していないことを確認する。確認後、サービスプロバイダはIDプロバイダにユーザ属性を要求し、IDプロバイダはサービスプロバイダに所望のユーザ属性を提供する。これにより、データ処理システムは、SSOの過程でアカウント登録および連携を実行する。
しかしながら、例えば企業において所定のユーザがSaaSを利用する場合、管理部門がサービスプロバイダに対して、事前のアカウント登録やアカウント連携を一括して行う必要がある。もしくは各ユーザによる任意のタイミングで、一連の承認フローを通したサービスプロバイダ利用申請手続きを経た後、管理部門がサービスプロバイダに対して、申請したユーザに関する事前のアカウント登録や連携を行うことになる。このような事前処理を経た後にユーザは、サービスプロバイダが提供するサービスを利用可能となる。
ここで、前者の事前処理を行う場合は、SSOの過程でアカウント登録および連携を実行する必要がないので、前述したデータ処理システムとは無関係である。一方、後者の承認フローを通す場合は、ユーザだけでなく、ユーザ所属先の上長や管理部門など多くの人手を介すことになり、手間暇を要する。更に、管理部門が行うアカウント登録や連携を一括して行なわない場合、人手による作業が発生し、負担も大きい。そのため、効率が悪く、利便性も悪い。
SaaSなどにおいては、使いたいときに素早く使える点がメリットの1つである。しかし、後者の承認フローを通す場合には、人手による作業が発生し、負担も大きいため、このメリットを生かすことができない。そのため、SSOの過程でアカウント登録および連携を実行するシステムでは、人手を介さずにサービス利用可否を決定するシームレスな仕組みを備えていることが望ましい。
しかしながら、この仕組みを実現するためには上記のSAML機能を実装したIDプロバイダの改造が必要であり、その導入コストは大きい。
特表2008−538247号公報
"Assertions and Protocols for the OASIS Security Assertion Markup Language(SAML) V2.0",OASIS Standard,15 March 2005, http://docs.oasis−open.org/security/saml/v2.0/saml−core−2.0−os.pdf "OASIS Service Provisioning Markup Language (SPML) Version2", OASIS Standard,1 April 2006, http://www.oasis−open.org/committees/provision/docs/pstc−spml2−os.pdf
本発明が解決しようとする課題は、IDプロバイダ装置を改造する必要がないため導入が容易であり、かつ、SSOの過程でアカウント登録および連携を実行する際に人手を介さないでサービス利用可否の決定を行うことができる認証連携システムおよびIDプロバイダ装置を提供することである。
実施形態のIDプロバイダ装置は、サービスデータの送信が許可される対象となるユーザを示すポリシ情報を記憶するポリシ情報記憶部と、認証連携要求を受信した場合に、ユーザ端末のログイン状態に応じたタイミングでポリシ評価処理とアカウント連携処理とを行なう認証連携要求事前処理部と、サービスプロバイダ装置から認証連携要求を受信した場合に、当該認証連携要求を認証連携要求事前処理部に転送する認証連携要求転送部と、を備える。
第1の実施形態に係る認証連携システムのハードウェア構成の一例を示すブロック図。 第1の実施形態に係るIDプロバイダ装置の転送先URL管理テーブルの一例を示す図。 第1の実施形態に係るIDプロバイダ装置のIDP認証連携部の機能構成の一例を示すブロック図。 第1の実施形態に係るIDプロバイダ装置のIDPユーザストアの一例を示す図。 第1の実施形態に係るIDプロバイダ装置の認証アサーションの一例を示す図。 第1の実施形態に係るIDプロバイダ装置の認証連携制御システムの機能構成の一例を示すブロック図。 第1の実施形態に係るIDプロバイダ装置の認証セッション一時記憶装置の一例を示すブロック図。 第1の実施形態に係るIDプロバイダ装置のポリシストアの一例を示す図。 第1の実施形態に係るサービスプロバイダ装置のSPユーザストアの一例を示すブロック図。 第1の実施形態に係るサービスプロバイダ装置のサービスデータストアの一例を示すブロック図。 第1の実施形態に係るサービスプロバイダ装置の検証ポリシストアの一例を示すブロック図。 第1の実施形態に係るサービスプロバイダ装置の一時記憶装置の一例を示す図。 第1の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第1の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第1の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第2の実施形態に係る認証連携システムの機能構成の一例を示すブロック図。 第2の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第2の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第2の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第3の実施形態に係る認証連携システムの機能構成の一例を示すブロック図。 第3の実施形態に係る認証連携システムの機能構成の一例を示すブロック図。 第3の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第3の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第3の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。 第4の実施形態に係る認証連携システムの機能構成の一例を示すブロック図。 第4の実施形態に係る認証連携システムの動作の一例を示すシーケンス図。
以下、図面を参照して本発明の実施形態に係る認証連携システムについて説明する。
(第1の実施形態)
以下、図1乃至図15を参照して本実施形態の認証連携システムについて説明する。
図1は、本実施形態の認証連携システムの基本構成を示すブロック図である。この認証連携システムは、ユーザが操作するユーザ端末100に対してログイン処理を実行可能なIDプロバイダ装置200と、ログイン処理が成功した場合にユーザ端末100にサービスデータを送信可能なサービスプロバイダ装置300とを備えている。なお、サービスプロバイダ装置300は、複数台あってもよいが、ここでは1台のみを図示している。また、ユーザ端末100と、IDプロバイダ装置200と、サービスプロバイダ装置300とは、それぞれネットワークを介して接続されても良い。
ユーザ端末100は、通常のコンピュータ機能を有し、IDプロバイダ装置200およびサービスプロバイダ装置300と通信可能な装置であり、ユーザの操作に応じて、サービスプロバイダ装置300の利用を要求するSP利用要求をサービスプロバイダ装置300に送信する機能と、ユーザ端末100とIDプロバイダ装置200との間でログイン処理を実行する機能と、サービスプロバイダ装置300からサービスデータを受信する機能と、予めメモリに記憶したサービス利用アプリケーションプログラムをCPUが実行することにより、当該受信したサービスデータを再生する機能と、ユーザインタフェース機能と、を備える。
IDプロバイダ装置200は、ログイン処理、すなわちサービスプロバイダ装置300が提供するサービスを利用するユーザの認証を行う。また、IDプロバイダ装置200は、後述するポリシ情報に基づき、サービスプロバイダへのユーザのアカウント登録とアカウント連携とを行う。
IDプロバイダ装置200は、ポータルサーバ210、Webサーバ220、IDP認証連携部230、認証連携制御システム240、IDPユーザストア250、ポリシストア260、認証セッション一時記憶装置(第1メモリ)270、および鍵記憶装置280を備えている。
ポータルサーバ210はユーザに、アクセス先のサービスプロバイダを表示する。
Webサーバ220は、リバースプロキシ装置(第1のメッセージ転送部)221と転送先URL記憶装置222を備え、ユーザ端末100からのメッセージを受信する。
すなわち、Webサーバ220がメッセージを受信すると、リバースプロキシ装置221は、転送先URL記憶装置222を参照して受信したメッセージを転送する。
図2は転送先URL記憶装置222に記憶された転送先URL管理テーブル223の一例である。図2に示すように本実施形態の転送先URL管理テーブル223は、インターネット公開URLと転送先URLとが対応付けられて記憶され、各インターネット公開URLと転送先URLにはIDが付与されている。すなわち、リバースプロキシ装置221は、ユーザ端末100からwebサーバ220が受信したメッセージに対応するインターネット公開URLを検索し、検索結果に対応する転送先URLに当該メッセージを転送する。
IDP認証連携部230は、SSOのIDプロバイダ機能を有する。ここで、図3を参照して、IDP認証連携部230の構成の一例について説明する。
図3に示すように、本実施形態のIDプロバイダ装置200のIDP認証連携部230は、認証連携要求メッセージ受信部232、ログイン要求メッセージ送信部233、ログイン応答メッセージ受信部234、および認証連携応答メッセージ送信部235を備える。
認証連携要求メッセージ受信部232は、後述するサービスプロバイダ装置300のSP認証連携部330から認証連携要求メッセージを受信する。認証連携要求メッセージは例えば、HTTPリクエストの形態であり、サービスプロバイダ装置300がユーザ端末100からサービス利用要求を受信した場合に、IDプロバイダ装置200に認証連携を要求するために発行するメッセージである。また、認証連携要求メッセージ受信部232は、ユーザ端末のログイン状態を確認し、ログイン完了状態であれば、後述する認証連携応答メッセージ送信部235にユーザを認証したことを示す認証連携応答メッセージの作成を依頼する。
ログイン要求メッセージ送信部233は、ログイン未完了のユーザ端末100にログイン要求メッセージを送信する。
ログイン応答メッセージ受信部234は、ログイン要求メッセージへの応答情報として、ユーザ端末100によって入力されたログイン応答メッセージを受信し、ユーザのログイン処理を行う。
具体的には、ログイン応答メッセージ受信部234は、当該ユーザ端末100から、ログイン要求メッセージへの応答情報としてユーザIDおよびユーザ認証情報を含むログイン応答メッセージを受信した場合に、IDプロバイダユーザストア250(以下、IDPユーザストア250という)内のユーザIDおよび参照情報に基づいて認証する処理である。ここで、図4を参照して、IDPユーザストア250について説明する。
IDPユーザストア250は、IDプロバイダ装置200に所属するユーザに関する属性情報(以下、ユーザ属性情報という)を記憶する。
図4に示すように、IDPユーザストア250は、ユーザを特定するためのユーザ属性の項目名とユーザ属性の項目値とを関連付けたユーザ属性情報251を記憶する。ユーザ属性情報251は、例えばユーザを識別するユーザIDと、ユーザの氏名と、ユーザの従業員番号と、ユーザの所属部と、ユーザの所属課と、ユーザの役職と、ユーザ端末のアドレス情報と、ユーザのログイン処理をした際に参照する参照情報と、ユーザの電話番号と、を項目名に含む。なお、IDPユーザストア250にユーザ属性情報251は複数記憶されているが、図4にはその一例を示している。
すなわち、ユーザ属性情報251は個人の情報を特徴付ける情報の集合体である。なお、ユーザ属性情報251はこれらには限らず、例えば勤務状態といった任意の項目名と項目値とを更に含んでもよい。また、ユーザのログイン処理をした際に参照する参照情報は、本実施形態ではパスワードを用いるが、これには限らず、例えばユーザの指紋等の生体認証情報であってもよい。
認証連携応答メッセージ送信部235は、認証連携要求メッセージ受信部232から認証連携応答メッセージ作成依頼を受信した場合に、IDプロバイダ装置200でユーザを認証したことを示す認証アサーションを含む認証連携応答メッセージを作成する。認証アサーションとは、サービスプロバイダ装置300が認証結果を信用できるかを判断するため、認証手段の種類やクレデンシャルがどのように作成されたかなどの情報が含まれる。
ここで、図5に本実施形態のIDP認証連携部230が作成する認証アサーション231の一例を示す。
図5に示すように、認証アサーション231は、認証連携IDと、ログイン処理の認証方式名を含むアサーション本文と、デジタル署名と含む。認証連携IDとは、IDプロバイダ装置200とサービスプロバイダ装置300の双方で、それぞれのユーザID(ユーザIDとSP側ユーザID)を紐付けるためのIDであり、後述するアカウントプロビジョニング部247によって発行される。認証連携IDは、例えば、新規に発行してもよいし、IDプロバイダ装置200のユーザIDを指定してもよいし、IDプロバイダ装置200とサービスプロバイダ装置300間で共通のユーザ属性情報251であるメールアドレスを指定してもよい。なお、認証連携IDは、後述の認証連携応答確認処理で、サービスプロバイダ装置300が、利用要求してきたユーザを識別するために使用する。デジタル署名は、IDP認証連携部230によって当該アサーション本文に対して鍵記憶装置280内の署名生成鍵に基づいて生成される。
なお、鍵記憶装置280は、IDプロバイダ装置200の署名生成鍵を記憶する。署名生成鍵としては、例えば、公開鍵暗号方式における公開鍵と秘密鍵との鍵ペアのうちの秘密鍵が使用可能となっている。
また、認証連携応答メッセージ送信部235は、作成した認証連携応答メッセージをSP認証連携部330に対して送信する。
続いて、図6を参照して、認証連携制御システム240の構成の一例について説明する。
図6に示すように、認証連携制御システム240は、認証連携要求メッセージ事前処理部241と、ポリシ評価情報取得部245と、ポリシ評価部246と、アカウントプロビジョニング部247とを備える。
認証連携要求メッセージ事前処理部241は、ログイン状態判定部242と、ユーザID取得部243と、認証連携要求メッセージ転送部(第2のメッセージ転送部)244とを備え、ユーザ端末100からIDプロバイダ装置200が認証連携要求メッセージを受信した場合に事前処理を行う。事前処理については後述する。
ログイン状態判定部242はユーザ端末100から、例えばHTTPリクエストの形態である認証連携要求メッセージを受信した場合に、HTTPリクエストに含まれるCookieに格納されたにIDP認証トークンを参照してログイン状態を判定する。IDP認証トークンは、後述するログイン処理が行われるとIDプロバイダ装置200が発行する。すなわち、HTTPリクエスト中のCookieにIDP認証トークンが含まれる場合、IDプロバイダ装置200においてユーザがログイン完了状態である。なお、このCookieには当該IDP認証トークンが発行されたユーザを示すユーザIDもが含まれる。
このCookieは、例えばIDプロバイダ装置に備えられたRAMのようなメモリに格納される。以下、Cookieが格納されたメモリを認証セッション一時記億装置270という。図7に認証セッション一時記憶装置270の一例を示す。
ユーザID取得部243は、ログイン状態判定部242がログイン完了状態であると判定した場合に、当該認証連携要求メッセージからIDP認証トークンに対応したユーザIDを取得する。
認証連携要求メッセージ転送部244は、IDプロバイダ装置200内には存在しないURL(以下、ダミーURLという)に認証連携要求メッセージを転送する。転送先のダミーURLはあらかじめ設定されており、ここではダミー(1)URLであるとする。
ポリシ評価情報取得部245は、IDPユーザストア250と、後述するサービス利用状況データストア320とからポリシ評価情報を取得する。ポリシ評価情報とはIDPユーザストア250に記憶されたユーザ属性情報251と後述するSPサービスストア320に記憶されたユーザのサービス利用状況情報321〜324を含む情報である。
ポリシ評価部246は、ポリシ評価情報取得部245が取得したポリシ評価情報と、ポリシストア260で管理されるポリシ情報とに基づいて、サービスプロバイダ300を利用しようとするユーザの利用可否を判断する。
本実施形態のポリシストア260は、通信が許可される対象となるユーザを示す複数のポリシ情報を記憶する。図8にポリシストア260の一例を示す。
図8に示すように、ポリシストア260は、サービスプロバイダID毎に、当該サービスプロバイダIDで識別されるサービスプロバイダ装置300によるサービスデータの送信が許可されるユーザの所属および役職を示す複数の認証連携ポリシ(以下、ポリシ情報という)261(262、263、264、・・・・)を記憶する。
なお、ポリシストア260は、ユーザの所属および役職といった静的なポリシ(例えば、図8中のA〜Cの[1]〜[3])に加え、更に、サービスの利用数、従量制課金の合計といった動的なポリシ(例えば、図8中のCの[4])を含んでもよい。
例えば、上述したポリシの各要素について、「サブジェクト」は氏名や役職、所属など、「リソース」はサービスプロバイダIDやURLなど、「アクション」は利用開始や利用再開など、「環境条件」は何らかの要求を行なうユーザのIPアドレスやアクセス可能な期間や時刻などが該当する。また、「責務条件」はポリシ(アクセス可否条件)評価の結果を受けて、認証連携の実行に際して課す作業になる。例えば、“「新規利用者を登録する」要求は許可するが、その代わりに「遊休者のIDを削除する」ことは確実に実行せよ”というような指示になるのである(例えば、図8中のBの[4]の[責務条件])。
アカウントプロビジョニング部247は、ポリシ評価部246の利用可否の判断結果に基づき、IDPユーザストア250からユーザ属性情報251を取得し、取得したユーザ属性情報251を用いて、SPユーザストア310に対してアカウント登録を行う。すなわち、アカウントプロビジョニング部247は、認証連携IDを発行する。また、アカウントプロビジョニング部247は、IDPユーザストア250とSPユーザストア310の両方に対して、アカウント連携を行う。
上述のような構成によって、認証連携制御システム240は、ユーザがSSOを要求したときもしくはSSO処理の途中で行われるログインのタイミングで、ポリシ情報に基づき後述するアカウント登録処理とアカウント連携処理を行う。
ここでポリシ情報とは、誰(どのユーザ)が、どのサービスプロバイダ装置に、どのような操作(アクション)を行うことができるか否かが定義された、ユーザのサービスプロバイダ利用可否条件の集合体を指す。言い換えると、ポリシ情報とは、サービスプロバイダ装置300にサービスデータの送信が許可される対象となるユーザを示す。また、ポリシ情報には、オプションとして環境条件や責務条件についても定義されるものもある。
一方、サービスプロバイダ装置300は、ユーザが利用するサービスを提供するものである。サービスプロバイダ装置300は、サービスプロバイダ(以下、SPと記載する)ユーザストア310、サービス利用状況データストア320、SP認証連携部330、検証ポリシストア340、一時記憶装置(第2メモリ)350を備えている。
SPユーザストア310は、ユーザ属性部分情報記憶手段として機能する。なお、ユーザ属性部分情報とは、IDPユーザストア250内のユーザ属性情報251内のユーザ属性の項目名および項目値のうちの一部の項目名と項目値とである。このユーザ属性部分情報とサービスプロバイダ装置300におけるユーザID(以下、SP側ユーザIDという)と関連付けた情報をアカウント登録情報という311という。
すなわち、SPユーザストア310は、サービスプロバイダ300が送信するサービスデータを利用するユーザのアイデンティティ情報を記憶する。なお、SPユーザストア310は、ユーザ属性部分情報ではなく、ユーザ属性情報251すべてをSP側ユーザIDに関連付けて記憶しても良い。
具体的には、SPユーザストア310は、図9に示すように、認証連携IDと氏名とアドレス情報と電話番号などのユーザ属性情報の一部と、サービスプロバイダ装置300内でユーザを識別するSP側ユーザIDとを関連付けたアカウント登録情報311記憶している。
サービス利用状況データストア320は、図10に示すように、サービスプロバイダ装置300ごとの、ユーザ利用管理テーブル321と、利用数管理テーブル322と、ディスク使用量管理テーブル323と、課金料金管理テーブル324とを記憶し、ユーザのサービス利用状況を監視している。
ユーザ利用管理テーブル321は、SP側ユーザIDと、サービスデータの送信が許可された場合を示すサービス利用中、またはサービスデータの送信が許可されていない場合を示すサービス未利用のいずれかを示すサービス利用状況とを関連付けて書き込まれる。
利用数管理テーブル322は、ユーザ利用管理テーブル321内のサービス利用状況が示すサービス利用中の個数を示す利用数と、利用数の上限値とを関連付けて書き込まれる。
ディスク使用量管理テーブル323は、ユーザ利用管理テーブル321内のサービス利用状況が示すサービス利用中のサービスデータが使用しているディスク容量と、サービスプロバイダ装置300におけるディスク容量の上限値とを関連付けて書き込まれる。課金料金管理テーブル324は、ユーザ利用管理テーブル321内のサービス利用状況が示すサービス利用中のサービスに課金された料金の合計と、サービスプロバイダ装置300における課金料金の上限値とを関連付けて書き込まれる。サービスデータストア322には、これらの管理テーブル321〜324の他に、例えばライセンス数を管理するテーブルを記憶しても良い。
SP認証連携部330は、SSOのサービスプロバイダ機能を有する。SP認証連携部330は、具体的には、認証連携応答確認処理と、SP利用応答処理を行う。
認証連携応答確認処理は、後述する検証ポリシストア340内の認証アサーション検証ポリシ内の認証方式名と署名検証鍵とに基づいて、IDプロバイダ装置200のIDP認証連携部230が作成する認証アサーション231の認証方式名とデジタル署名とをそれぞれ検証し、検証した結果がいずれも正当のとき、SP認証トークンを発行し、このSP認証トークンを認証連携IDおよびSP側ユーザIDに関連付けて一時記憶装置350に書き込む処理である。
SP利用応答処理は、この認証連携応答確認処理においてSP認証トークンが発行された場合に、ユーザ端末100にサービスプロバイダ装置300が利用可能であると応答する処理である。
図11に示すように検証ポリシストア340は、ログイン処理が成功した場合にサービスデータの送信を許可するログイン処理の認証方式名と、IDプロバイダ装置200の署名生成鍵に対応する署名検証鍵とを含む認証アサーション検証ポリシ341を記憶する。署名検証鍵としては、例えば、公開鍵暗号方式における公開鍵と秘密鍵との鍵ペアのうちの公開鍵が使用可能となっている。
一時記憶装置350は、RAM等のような一時的なメモリであり、図12に示すように、例えば、登録されたアカウント登録情報311内の認証連携IDと、SP側のユーザIDと、発行されたSP認証トークンとを関連付けて記憶する。
ここで、本実施形態の認証連携システムの認証連携処理について図13乃至図15を参照して説明する。
なお、本実施形態では、IDプロバイダ装置200とサービスプロバイダ装置300との間でSSO処理が可能な状態であり、かつ当該IDプロバイダ側の組織に所属するユーザが当該サービスプロバイダ装置300にアカウントが登録されてない状態から開始される。また、ユーザのログイン状態と、ユーザからのSSO要求起点にはさまざまな組み合わせがあるが、本実施形態ではユーザのログイン状態は完了状態であり、かつユーザからのSSO要求起点がサービスプロバイダ装置300から開始とする。
また、本実施形態の認証連携システムにおいては、SSOは上述した(1)〜(6)の手順で行なわれるとする。
この状態において、ユーザがサービスプロバイダ装置300にサービス利用要求をしたときに、SSO処理を実行し、サービスプロバイダ装置300のサービスを利用可能とする本実施形態の認証連携システムの動作について説明する。
図13乃至図15は本実施形態の認証連携システムの動作の一例を示すシーケンス図である。なお、シーケンス図にはステップ番号を付与しており、小さい番号から順に処理が行われるとする。
図13に示すように、ステップS1では、ユーザが、アカウントが未登録のサービスプロバイダ装置300のサービスを利用するために、ユーザ端末100を操作し所望のサービスプロバイダ装置300にサービス要求を行なう。サービスプロバイダ装置300へのサービス要求は、例えば、ユーザ端末100の表示部(図示しない)に表示されたサービス公開URLのリンクのうち、ユーザの所望のリンクを、入力部(図示しない)を用いてクリックする。
ステップS2ではユーザ端末100は、ユーザの操作により、サービスプロバイダ装置300にサービス要求(以下、SP利用要求メッセージという)を送信する。サービスプロバイダ装置300は、アクセス管理を担うSP認証連携部330がSP利用要求メッセージを受信する。
ステップS3では、SP利用要求メッセージを受信したSP認証連携部330が、ユーザの認証連携状態を確認する。認証連携状態の確認は、例えば、ユーザからのSP利用要求メッセージがHTTPリクエストの形態の場合、そのHTTPリクエストに含まれるCookieの中に、SP認証連携部330が発行したSP認証トークンが存在するかしないかで判断する。
当該SP認証トークンが存在すれば、SP認証連携部330は、ユーザ端末100の認証連携が完了した状態とみなす。一方、当該SP認証トークンが存在しない場合は、SP認証連携部330は、ユーザ端末100の認証連携が未完了の状態とみなし、ユーザ端末のアドレス情報を含む認証連携要求メッセージを作成する。本実施形態では、認証連携が未完了状態とする。
ステップS4では、SP認証連携部330が、ステップS3での認証連携状態の確認結果、認証連携が未完了状態であるため、「IDP認証連携部230の認証連携要求メッセージ受信部232」を宛先とした認証連携要求メッセージを発行し、ユーザ端末100に送信する。
ステップS5では、ユーザ端末100が、認証連携要求メッセージを受信すると、指定された宛先(ここでは、IDP認証連携部230の認証連携要求メッセージ受信部232)にリダイレクトする。
ステップS6では、ステップS5においてユーザ端末100によってリダイレクトされた認証連携要求メッセージを、一旦Webサーバ220が受信する。Webサーバ220が認証連携要求メッセージを受信すると、リバースプロキシ装置221が、転送先URL記憶装置222に記憶された転送先URL管理テーブル223に基づいて、メッセージ転送の要否判定を行う。判定方法は、転送先URL管理テーブル223のインターネット公開URLフィールドの中に、受信した認証連携要求メッセージの宛先と適合するURLを検索する。ここでは、No.1のID「1−A」が適合するため、転送先はID「1−B」の「認証連携制御システム240の認証連携要求メッセージ事前処理部241」となる。
ステップS7では、Webサーバ220が、リバースプロキシ装置221を通じて、前ステップの判定において転送先と判定されたID「1−B」の「認証連携制御システム240の認証連携要求メッセージ事前処理部241」を宛先として、認証連携要求メッセージを転送する。続いて、図14の処理に進む。
図14のステップS8では、転送された認証連携要求メッセージを受信した認証連携要求メッセージ事前処理部241のログイン状態判定部242が、ユーザのログイン状態を判定する。ログイン状態の確認は、認証セッション一時記憶装置270におけるIDP認証トークンの有無によって確認する。本実施形態によると、ログイン完了状態であるため、認証セッション一時記憶装置270にIDP認証トークンが存在する。したがって、ログイン状態判定部242はログイン完了状態と判定し、判定結果をユーザID取得部243に送信する。
続いて、ステップS9では、ユーザID取得部243が、認証セッション一時記憶装置270から、ステップS8において確認されたIDP認証トークンと対応付けられたユーザIDを取得する。
ステップS10では、認証連携要求メッセージ事前処理部241が、ポリシ評価情報取得部245に対し、ポリシ評価情報の取得を依頼する。このとき、ステップS9で取得したユーザIDもポリシ評価情報取得部245に送信する。
ステップS11では、ポリシ評価情報取得部245が、サービスプロバイダ装置300のサービス利用状況データストア320にアクセスし、サービス利用状況情報321〜324を取得する(以下、サービス利用状況情報取得処理という)。
ステップS12では、ポリシ評価情報取得部245が、認証連携要求メッセージ事前処理部241から受信したユーザIDを検索キーとして、図4に示したIDPユーザストア250から、ユーザ属性情報251を取得する(以下、ユーザ属性情報取得処理という)。
ステップS13では、認証連携要求メッセージ事前処理部241は、ポリシ評価部246に対し、ポリシ評価の実行を依頼する。このとき、ステップS11の実行によって得られたサービス利用状況情報321〜324と、ステップS12の実行によって得られたユーザ属性情報251を、ポリシ評価情報としてまとめ、それをポリシ評価部246に引き渡す。
ステップS14では、ポリシ評価部246は、図8のポリシストア260から、ユーザが指定したサービスプロバイダ装置300に関するポリシ情報261を取得する。
ステップS15では、ポリシ評価部246が、ステップS13で取得されたポリシ評価情報と、ステップS14で取得したポリシ情報を使って、ポリシ評価を行う。以下、ステップS13〜ステップS15の処理をポリシ評価処理という。
ポリシ評価処理の結果、当該ユーザのサービス利用可否が決定する。本実施形態では、サービス利用が許可されたとする。
ステップS16では、サービス利用が許可の場合、認証連携要求メッセージ事前処理部241のアカウントプロビジョニング部247が、当該ユーザに関するアカウントプロビジョニングを実施する。このとき、ステップS12で取得されたユーザIDも送信する。
ステップS17では、アカウントプロビジョニング部247が、ステップS16で受信したユーザIDを検索キーとして、IDPユーザストア250から当該ユーザのユーザ属性情報251の一部の属性情報であるユーザ属性部分情報を取得する。
ステップS18では、アカウントプロビジョニング部247が、当該ユーザのSP側ユーザIDを作成し、取得したユーザ属性部分情報と対応付けてSPユーザストア310に登録するとともに、IDプロバイダ装置200とサービスプロバイダ装置300の両アカウントを紐付ける認証連携IDも登録する。本実施形態では、認証連携IDとして、IDプロバイダ装置200のユーザIDを指定する。
以下、ステップS16〜ステップS18の処理をアカウントプロビジョニング処理(アカウント連携処理)という。続いて、図15のステップS19の処理に進む。
図15のステップS19では、認証連携要求メッセージ事前処理部241の認証連携要求メッセージ転送部244が、IDプロバイダ装置200内には存在しないダミーのURLを宛先として、ユーザ端末100に向けて認証連携要求メッセージを転送する。ここでは、ダミーのURLはダミー(1)URLであるとする。
ステップS20では、認証連携要求メッセージを受信したユーザ端末100が、指定のURL、すなわち、ダミー(1)URLに認証連携要求メッセージをリダイレクトする。
ステップS21では、Webサーバ220が、ユーザ端末100によってリダイレクトされた認証連携要求メッセージを一旦受信する。Webサーバ220のリバースプロキシ装置221は、転送先URL記憶装置222に保存された転送先URL管理テーブル223に基づいたメッセージ転送の要否判定を行う。なお、判定方法は、転送先URL管理テーブル223のインターネット公開URLフィールドの中から、ステップS20で受信した認証連携要求メッセージの宛先と適合するURLを検索する。ここでは、ID「1−C」が適合するため、転送先はID「1−D」、すなわちIDP認証連携部230の認証連携要求メッセージ受信部232となる。続いて、メッセージ転送処理が行われる。
ステップS22では、Webサーバ220のリバースプロキシ装置221が、ステップS21の判定結果に基づいて、IDP認証連携部230の認証連携要求メッセージ受信部232を宛先として、認証連携要求メッセージを転送する。
ステップS23では、IDP認証連携部230の認証連携要求メッセージ受信部232が、認証連携要求メッセージを受信後、ユーザのログイン状態を確認する。ログイン状態の確認は、例えば認証セッション一時記憶装置270にユーザに発行されたIDP認証トークンが記憶されているか否かを確認することによって行なう。本実施形態ではログイン完了状態としているためIDP認証トークンが存在する。
ステップS24では、IDP認証連携部230の認証連携要求メッセージ受信部232が、ログイン状態の確認後、ログイン完了状態であるため、認証連携応答メッセージ送信部235に対し、認証連携応答メッセージの送信を要求する。認証連携応答メッセージとは、サービスプロバイダ300に、IDプロバイダ装置200でユーザを認証したことを示す認証アサーションを含む。
ステップS25では、認証連携応答メッセージ送信部235が、IDプロバイダ装置200側でユーザを認証したことを証明する認証アサーションを作成し、作成した認証アサーションを含める認証連携応答メッセージを作成する。作成した認証連携応答メッセージはSP認証連携部330を宛先として、ユーザ端末100に送信する。
ステップS26では、ユーザ端末100が、指定の宛先であるSP認証連携部330に対し、受信した認証連携応答メッセージをリダイレクトする。
ステップS27では、認証連携応答メッセージを受信したSP認証連携部330が、認証連携応答確認処理を行い、確認結果に基づいて認証連携を行う。
認証連携応答確認処理では、具体的には、SP認証連携部330は、受信したメッセージに含まれる認証アサーションの検証を行う。なお、認証アサーションの検証は、図11に示した検証ポリシストア340の認証アサーション検証ポリシに従って行う。
検証の結果、問題がなければ、SP認証連携部330は認証連携を完了し、SP認証トークンを発行する。SP認証連携部330が発行したSP認証トークンは、例えば、HTTP Cookieやセッション情報に格納する。なお、ステップS24〜S27の処理を認証連携応答処理という。
ステップS28では、認証連携を完了したSP認証連携部330が、ユーザ端末100に当該SP認証トークンとサービスデータとを含むSP利用応答メッセージを送信し、ユーザに利用可能である旨を通知するSP利用応答処理を行う。これによって、IDプロバイダ装置200所属のユーザとサービスプロバイダ装置300との間でのSSO処理が終了する。
上述のように、本実施形態の認証連携システムによると、IDプロバイダ装置200の組織に所属するユーザが、サービスプロバイダ装置300にアカウントが登録されてない状態であり、ユーザのログイン状態は完了状態であり、かつユーザからのSSO要求起点がサービスプロバイダ装置300から開始する場合において、SSOの過程でアカウント登録および連携を実行する際の人手を介さないサービス利用可否の決定を行うことが可能となる。
具体的には、本実施形態の認証連携システムは、SSO処理手順(2)と(3)の間に、ポリシストア260に事前に記憶されたサービス利用に関するポリシ情報261とサービス利用状況データストア320の利用状況321〜324に基づき、サービスプロバイダ装置300が提供するサービスを、認証連携要求を行なったユーザが利用可能か否かを評価した後、サービスプロバイダ装置300へのアカウント登録とアカウント連携を行う処理を割り込ませることで、ユーザ端末100を介したサービスプロバイダ装置300が提供するサービスの利用申請からSSOに至る一連の処理を自動化させることができる。したがって、本実施形態の認証連携システムによって、ユーザ所属の上長やIS部門など人手を介すことなく、ユーザがスムーズにサービス利用を開始できる。
また、本実施形態の認証連携システムによると、IDプロバイダ装置200の認証連携サーバ230が、SSO手順(2)〜(4)の処理を連続して行う中で、SSO手順(3)の直前に、ポリシ評価、およびアカウント登録・アカウント連携を行なうアカウントプロビジョニング処理の割り込みをIDプロバイダ装置の認証連携サーバ製品を直接改造することなく実現することが可能となる。このため、導入コストも低く、容易に、かつ人手を介さずにサービス利用可否を決定できる認証連携システムの提供が可能となる。
また、本実施形態の認証連携システムによると、ユーザがSSOを要求したときの起点が、サービスプロバイダ装置300の動作が開始したときであって、ユーザのログインが完了である場合に、適切なタイミングで、ポリシ評価とアカウントプロビジョニングを実施できる。
(第2の実施形態)
第2の実施形態の認証連携システムについて図16乃至図19を参照して説明する。
本実施形態は第1の実施形態と同様に、IDプロバイダ装置200とサービスプロバイダ装置300との間でSSO処理が可能な状態であり、かつ当該IDプロバイダ装置200が設置された組織に所属するユーザが当該サービスプロバイダ装置300にアカウントが登録されてない状態から開始される。また、本実施形態の認証連携システムは第1の実施形態と同様に、SSOは上述した(1)〜(6)の手順で行なわれるとする。
また、ユーザのログイン状態と、ユーザからのSSO要求起点にはさまざまな組み合わせがあるが、本実施形態ではユーザのログイン状態は未完了状態であり、かつユーザからのSSO要求起点がサービスプロバイダ装置300から開始とする。
ここで、図16を参照して、本実施形態の認証連携システムの機能構成について説明する。なお、第1の実施形態と同一の構成には同一の符号を付し、説明は省略する。
図16は本実施形態の認証連携制御システム240の機能構成の一例を示す図である。図16に示すように、本実施形態の認証連携制御システム240は、ポリシ評価情報取得部245と、ポリシ評価部246と、アカウントプロビジョニング部247と、ログイン応答メッセージ事前処理部290を備える。
ログイン応答メッセージ事前処理部290は、認証情報抽出部291と、認証識別部292と、ログイン応答メッセージ転送部293とを備える。
認証情報抽出部291は、ユーザ端末100からログイン応答メッセージを受信した場合に、ログイン応答メッセージに含まれるユーザIDとパスワードとを認証情報として抽出する。なお、ログイン応答メッセージは、ユーザがログイン未完了の場合にIDプロバイダ装置200から送信されるログイン要求メッセージに応答するために、ユーザ端末100によって入力される。ログイン応答メッセージは、例えば、ユーザがログイン未完了の場合にユーザ端末100に表示されるログイン画面を介して入力される。ログイン画面には、具体的には、ユーザIDとパスワードを入力する欄が表示される。
認証識別部292は、認証情報抽出部291によって抽出された認証情報と、図4に示したIDPユーザストア250に含まれるユーザIDおよび参照情報に基づいてユーザの認証と識別を行う。
具体的に、認証識別部292は、認証情報抽出部291が抽出したユーザIDに基づいてIDPユーザストア250を検索し、ユーザIDが一致するユーザ属性情報に含まれる参照情報と認証情報抽出部291が抽出したパスワードが一致するかを判定する。
ログイン応答メッセージ転送部293は、ダミーURLにログイン応答メッセージを転送する。
図17乃至図19を参照して、ユーザがサービスプロバイダ装置300にサービス利用要求をしたときに、SSO処理を実行し、サービスプロバイダ装置300のサービスを利用可能とする、本実施形態の認証連携システムの認証連携処理について説明する。図17乃至図19は、本実施形態の認証連携処理の一例を示すシーケンス図である。
なお、本実施形態の認証連携処理は、図13に示したステップS1〜ステップS7の処理に続いて、図17乃至図19に示したステップS30〜ステップS50の処理を行う。
ステップS1〜ステップS7の処理は第1の実施形態と同様であるため省略し、図17のステップS30から説明する。
ステップS30では、本実施形態のログイン状態判定部242がログイン状態は未完了状態であると判定し、判定結果を認証連携要求メッセージ転送部244に送信する。
ステップS31では、認証連携要求メッセージ転送部244が、認証連携要求メッセージをダミーURL宛に転送する。ここでは、ダミーのURLはダミー(1)URLであるとする。
ステップS32では、認証連携要求メッセージを受信したユーザ端末100が、指定のURL、すなわち、ダミー(1)URLに認証連携要求メッセージをリダイレクトする。
ステップS33では、Webサーバ220が、ユーザ端末100によってリダイレクトされた認証連携要求メッセージを一旦受信する。Webサーバ220のリバースプロキシ装置221は、転送先URL記憶装置222に保存された転送先URL管理テーブル223に基づいたメッセージ転送の要否判定を行う。ここでは、ID「1−C」が適合するため、転送先はID「1−D」、すなわちIDP認証連携部230の認証連携要求メッセージ受信部232となる。続いて、メッセージ転送処理が行われる。
ステップS34では、Webサーバ220のリバースプロキシ装置221が、ステップS33の判定結果に基づいて、IDP認証連携部230の認証連携要求メッセージ受信部232を宛先として、認証連携要求メッセージを転送する。
ステップS35では、IDP認証連携部230の認証連携要求メッセージ受信部232が、認証連携要求メッセージを受信後、ユーザのログイン状態を確認する。ログイン状態の確認は図14のステップS8と同様の処理であるため、説明は省略する。本実施形態では、ログイン未完了である。
ステップS36では、ステップS35の判定結果に基づいて、ログイン要求メッセージ送信部233が、ユーザ端末100にログイン要求メッセージを送信する。
ステップS37では、ログイン要求メッセージを受信したユーザ端末100に、ログイン画面が表示され、ユーザが当該ログイン画面を介してユーザIDとパスワードとを入力する。
ステップS38では、ユーザ端末100が、ステップS37で入力された当該ユーザIDとパスワードとを含むログイン応答メッセージをIDP認証連携部230のログイン応答メッセージ受信部234を宛先として送信する。
続いて図18のステップS39に進む。
図18のステップS39ではWebサーバ220が、ステップS38でユーザ端末100によって送信されたログイン応答メッセージを一旦受信する。また、Webサーバ220のリバースプロキシ装置221は、転送先URL記憶装置222に保存された転送先URL管理テーブル223に基づいて、当該ログイン応答メッセージの転送制御の要否判定を行う。なお、判定方法は、転送先URL管理テーブル223のインターネット公開URLフィールドの中から、受信したログイン応答メッセージの宛先と適合するURLを検索する。ここでは、ID「3−A」が適合するため、メッセージ転送要と判定される。なお、転送先URL管理テーブル223に一致するURLが存在しない場合は転送制御不要と判定される。
ここでは、転送先はID「3−B」、すなわち認証連携システム240のログイン応答メッセージ事前処理部290となる。続いて、メッセージ転送処理が行われる。
ステップS40では、Webサーバ220のリバースプロキシ装置221が、ステップS39の判定結果に基づいて、ログイン応答メッセージ事前処理部290を宛先として、ログイン応答メッセージを転送する。
ステップS41では、ログイン応答メッセージ事前処理部291の認証情報抽出部291が、受信したログイン応答メッセージから、ユーザIDとパスワードを認証情報として抽出する。
ステップS42では、ログイン応答メッセージ事前処理部291の認証識別部292が、ステップS41で抽出されたユーザIDを検索キーとして、IdPユーザストア250のユーザ属性情報を検索し、パスワードを取得する。
ステップS43では、ログイン応答メッセージ事前処理部291の認証識別部292が、取得したパスワードと、ログイン応答メッセージから抽出されたパスワードとを照合し、ユーザの認証を行うとともに、ユーザIDによるユーザの識別を行う。本実施形態では、ユーザを認証できたとする。
ステップS44では、ログイン応答メッセージ事前処理部291が、ポリシ評価情報取得部245に、ポリシ評価情報の取得要求を送信する。このとき、ログイン応答メッセージから取得されたユーザIDもともに送信する。
ステップS44の処理に引き続いて、図14のステップS11のサービスデータ取得処理、図14のステップS12のユーザ属性情報取得処理、ステップS13〜S15のポリシ評価処理、およびステップS16〜S18のアカウントプロビジョニング処理は行われる。これらの処理は第1の実施形態で説明済みであるため省略する。
続いて、図19のステップS45では、ログイン応答メッセージ事前処理部291のログイン応答メッセージ転送部293が、IDプロバイダ装置200内には存在しないダミーのURLを宛先として、ユーザ端末100に向けてログイン応答メッセージを転送する。なお、本実施形態ではログイン応答メッセージ転送部293が転送するダミーのURLはあらかじめ設定されており、「ダミー(3)URL」であるとする。
ステップS46では、ログイン応答メッセージを受信したユーザ端末100が、宛先であるダミー(3)URLにログイン応答メッセージをリダイレクトする。
ステップS47では、Webサーバ220が、ユーザ端末100によってリダイレクトされたログイン応答メッセージを一旦受信する。ここで、Webサーバ220のリバースプロキシ装置221が、転送先URL記憶装置222に記憶された転送先URL管理テーブル223に基づき、メッセージ転送の要否判定を行う。
判定方法は、転送先URL管理テーブル223のインターネット公開URLフィールドの中の受信したログイン応答メッセージの宛先と一致するURLを検索し、一致するURLが存在する場合に「転送要」とする。ここでは、ID「3−C」が適合するため、転送先は対応する転送先URLのID「3−D」である。すなわち、リバースプロキシ装置221は、IDP認証連携部230のログイン応答メッセージ受信部234にログイン応答メッセージの転送が必要であると判定する。
ステップS48では、Webサーバ220のリバースプロキシ装置221が、ステップS47での判定結果に基づいて、IDP認証連携部230のログイン応答メッセージ受信部234を宛先として、ログイン応答メッセージを転送する。
ステップS49では、IDP認証連携部230のログイン応答メッセージ受信部234が、受信したログイン応答メッセージに基づいてログイン処理を行う。ログイン処理は、具体的には、ログイン応答メッセージ受信部234が、受信したログイン応答メッセージログインからユーザIDとパスワードを取得する。取得したユーザIDを検索キーとして、ログイン応答メッセージ受信部234がIDPユーザストア250からパスワードを取得し、ログイン応答メッセージから抽出したパスワードと照合してユーザの認証を行う。なお、本実施形態では、ユーザの認証が確認できたとする。
ステップS50では、ログイン応答メッセージ受信部234が、IDプロバイダ装置200においてログインが完了したことを示すIDP認証トークンを発行し、ユーザIDとともに認証セッション一時記憶装置270に格納する。
ステップS50に続いて、図15のステップS24〜ステップS27における認証連携応答処理とステップS28におけるSP利用応答処理を行い、本実施形態の認証連携処理は終了する。
上述のように、本実施形態の認証連携システムによると、IDプロバイダ装置200の組織に所属するユーザがサービスプロバイダ装置300にアカウントが登録されてない状態であり、ユーザのログイン状態は未完了状態であり、かつユーザからのSSO要求起点がサービスプロバイダ装置300から開始する場合において、SSOの過程でアカウント登録および連携を実行する際の人手を介さないサービス利用可否の決定を行うことが可能となる。
また、本実施形態の認証連携システムによると、IDプロバイダ装置200の組織に所属するユーザがサービスプロバイダ装置300にアカウントが登録されてない状態であり、ユーザのログイン状態は未完了状態であり、かつユーザからのSSO要求起点がサービスプロバイダ装置300から開始する場合において、適切なタイミングで、ポリシ評価とアカウントプロビジョニングを実施できる。
(第3の実施形態)
第3の実施形態の認証連携システムについて図20乃至図24を参照して説明する。
本実施形態は第1の実施形態と同様に、IDプロバイダ装置200とサービスプロバイダ装置300との間でSSO処理が可能な状態であり、かつ当該IDプロバイダ装置200側の組織に所属するユーザが当該サービスプロバイダ装置300にアカウントが登録されてない状態から開始される。
また、ユーザのログイン状態と、ユーザからのSSO要求起点にはさまざまな組み合わせがあるが、本実施形態ではユーザのログイン状態は完了状態であり、かつユーザからのSSO要求起点がIDプロバイダ装置200から開始される(IDP開始モデル)とする。
IDP開始モデルは、前述のSSO手順(1)において、ユーザ端末からIDプロバイダに対して、サービスプロバイダのサービス提供を要求するところから始まるモデルである。したがって、本実施形態ではSSO手順(2)は行われず、手順(1)に続いて(3)〜(6)の処理を行う。
ここで、図20および図21を参照して、本実施形態の認証連携システムの機能構成について説明する。なお、第1の実施形態および第2の実施形態と同一の構成には同一の符号を付し、説明は省略する。
図20は本実施形態のIDP認証連携部230の機能構成の一例を示す図である。
図20に示すように、本実施形態のIDP認証連携部230は、ログイン要求メッセージ送信部233と、ログイン応答メッセージ受信部234と、認証連携応答メッセージ送信部235と、認証連携応答発行要求メッセージ受信部236とを備える。
認証連携応答発行要求メッセージ受信部236は、認証連携応答発行要求メッセージを受信する。なお、認証連携応答発行要求メッセージとは、IDP開始モデルにおいて発行されるサービスプロバイダ装置300への認証連携要求メッセージのことである。すなわち、ユーザ端末100からサービス利用要求を受信したIDプロバイダ装置200がサービスプロバイダ装置300に認証連携を要求するために発行するメッセージである。
サービスプロバイダ装置300が発行する認証連携要求メッセージをSP認証連携要求メッセージといい、IDプロバイダ装置200が発行する認証連携要求メッセージ(認証連携応答発行要求メッセージ)をIDP認証連携要求メッセージとしてもよい。
図21は本実施形態の認証連携制御システム240の機能構成の一例を示す図である。図21に示すように、本実施形態の認証連携制御システム240は、認証連携応答発行要求メッセージ事前処理部294を備える。
認証連携応答発行要求メッセージ事前処理部294は、認証連携応答発行要求メッセージ転送部295を備え、受信した認証連携応答発行要求メッセージの転送処理を行う。
ここで、図22乃至図24を参照して、本実施形態における認証連携システムの認証連携処理について説明する。図22乃至図24は、本実施形態における認証連携処理の一例を示すシーケンス図である。
まず、ステップS61では、ユーザが、サービスプロバイダ装置300のサービスを利用するために、ポータルサーバ210によってユーザ端末100に表示されたポータルメニュー画面を介して、サービスプロバイダ装置300が提供するサービス公開URLのリンクのうち所望のリンクをクリックすることにより、ユーザ端末100にSP利用要求が入力される。
ステップS62では、ユーザ端末100がポータルサーバ210にSP利用要求メッセージを送信する。
ステップS63では、Webサーバ220が、ユーザ端末100から送信されたSP利用要求メッセージを受信し、受信したSP要求メッセージの転送要否判定処理を行う。
転送要否判定処理は、具体的には、Webサーバ220が備えるリバースプロキシ装置221が、転送先URL記憶装置222に記憶された転送先URL管理テーブル223に基づいて行う。例えば、図2の転送先URL管理テーブル223のインターネット公開URLフィールドの中に、受信したSP利用要求メッセージの宛先と適合するURLを検索する。ここでは宛先はポータルサーバ220であるが、図2のインターネット公開URLフィールドの中に適合するものがないため、リバースプロキシ装置221は転送処理が不要であると判定する。
ステップS64では、リバースプロキシ装置221が、ステップS63での判定結果に基づいて、元々の宛先であるポータルサーバ220にSP利用要求メッセージを転送する。
ステップS65では、SP利用要求メッセージを受信したポータルサーバ220が、IDP認証連携部230の認証連携応答発行要求メッセージ受信部236を宛先とした認証連携応答発行要求メッセージを作成し、ユーザ端末100に送信する。すなわち、ポータルサーバ220は認証連携応答発行要求機能を備える。
ステップS66では、認証連携応答発行要求メッセージを受信したユーザ端末100が、指定された宛先である認証連携応答発行要求メッセージ受信部294にリダイレクトする。
ステップS67では、Webサーバ220が、リダイレクトされた認証連携応答発行要求メッセージを受信し、受信したメッセージの転送要否判定処理を行う。
転送要否判定処理はステップS63における処理と同様である。ここでは、宛先が、図2に示した転送先URL管理テーブル223のインターネット公開URLのID「2−A」と一致するため、リバースプロキシ装置221は転送要と判定する。また、転送先URLは、ID「2−A」に対応するID「2−B」の転送先URLである。すなわち、転送先URLは、認証連携制御システム240の認証連携応答発行要求メッセージ事前処理部294である。
ステップS68では、リバースプロキシ装置221が、ステップS67の判定結果に基づいて、認証連携制御システム240の認証連携応答発行要求メッセージ事前処理部294を宛先として、認証連携応答発行要求メッセージを転送する。
図23のステップS69では、認証連携応答発行要求メッセージを受信した認証連携応答発行要求メッセージ事前処理部294のログイン状態判定部242が、ユーザのログイン状態を判定する。ログイン状態の確認は、認証セッション一時記憶装置270にユーザに発行されたIDP認証トークンが記憶されているか否かによって確認する。本実施形態では、認証セッション一時記憶装置270にIDP認証トークンが記憶されており、ログイン完了状態と判定される。
ステップS70では、ユーザID取得部243が、認証セッション一時記憶装置270から、ステップS69におけるIDP認証トークンに対応づけられたユーザIDを取得する。
ステップS71では、認証連携応答発行要求メッセージ事前処理部294が、ポリシ評価情報取得部245にポリシ評価情報の取得を要求する。このとき、ステップS70で取得されたユーザIDもポリシ評価情報取得部245に引き渡される。
ステップS71に引き続いて、図14のステップS11のサービスデータ取得処理、図14のステップS12のユーザ属性情報取得処理、ステップS13〜S15のポリシ評価処理、およびステップS16〜S18のアカウントプロビジョニング処理が行われる。これらの処理は第1の実施形態で説明済みであるため省略する。
続いて、図24のステップ72の処理を行う。ステップS72では、ステップS18のアカウントプロビジョニング終了後に、認証連携応答発行要求メッセージ受信部294が、宛先がダミーURLである認証連携応答発行要求メッセージをユーザ端末100に送信する。なお、認証連携応答発行要求メッセージ受信部294が送信するダミーURLはあらかじめ設定されており、本実施形態では「ダミー(2)URL」である。
ステップS73では、認証連携応答発行要求メッセージを受信したユーザ端末100が、認証連携応答発行要求メッセージの宛先であるダミー(2)URLに、認証連携応答発行要求メッセージをリダイレクトする。
ステップS74では、リバースプロキシ装置221が、転送先URL記憶装置223に記憶された転送先URL管理テーブル223に基づいて、ユーザ端末100によってリダイレクトされた認証連携応答発行要求メッセージの転送要否判定処理を行う。
ここでは、転送先URL管理テーブル223に含まれるインターネット公開URLのID「2−C」が適合するため、メッセージ転送制御が必要であると判定する。
転送先は、ID「2−C」に対応した転送先URLである。すなわち、ID「2−D」のIDP認証連携部230の認証連携応答発行要求メッセージ受信部236である。
ステップS75では、リバースプロキシ装置221が、ステップS74の判定結果に基づいて、IDP認証連携部230の認証連携応答発行要求メッセージ受信部236を宛先として、認証連携応答発行要求メッセージを転送する。
ステップS76では、IDP認証連携部230の認証連携応答発行要求メッセージ受信部236が、認証連携応答発行要求メッセージを受信後、ユーザのログイン状態を判定する。ログイン状態判定結果は、例えば認証セッション一時記憶装置270にユーザに発行されたIDP認証トークンが記憶されているか否かを確認することによって行なう。本実施形態ではログイン完了状態としているためIDP認証トークンが存在する。
ステップS77では、IDP認証連携部230の認証連携応答発行要求メッセージ受信部236が、ログイン状態の判定結果がログイン完了状態であるため、認証連携応答メッセージ送信部235に対し、認証連携応答メッセージの送信を要求する。認証連携応答メッセージ送信部235は、IDP側でユーザを認証したことを証明する認証アサーションを作成する。
ステップS77の処理に引き続き、図15のステップS25〜ステップS28の処理が行われ、本実施形態の認証連携処理は終了する。ステップS25〜S28の処理については第1の実施形態で説明しているため、省略する。
上述のように、本実施形態の認証連携システムによると、IDプロバイダ装置200の組織に所属するユーザがサービスプロバイダ装置300にアカウントが登録されてない状態であり、ユーザのログイン状態は完了状態であり、かつユーザからのSSO要求起点がIDプロバイダ装置200から開始する場合において、SSOの過程でアカウント登録および連携を実行する際の人手を介さないサービス利用可否の決定を行うことが可能となる。
また、本実施形態の認証連携システムによると、IDプロバイダ装置200の認証連携サーバ230が、SSO手順(2)〜(4)の処理を連続して行う中で、SSO手順(3)の直前に、ポリシ評価、およびアカウント登録・アカウント連携を行なうアカウントプロビジョニング処理の割り込みをIDプロバイダ装置の認証連携サーバ製品を直接改造することなく実現することが可能となる。このため、導入コストも低く、かつ人手を介さずにサービス利用可否を決定できる認証連携システムの提供が可能となる。
また、本実施形態の認証連携システムによると、IDプロバイダ装置200の組織に所属するユーザがサービスプロバイダ装置300にアカウントが登録されてない状態であり、ユーザのログイン状態は完了状態でありかつユーザからのSSO要求起点がIDプロバイダ装置200から開始する場合において、適切なタイミングで、ポリシ評価とアカウントプロビジョニングを実施できる。
(第4の実施形態)
第4の実施形態の認証連携システムについて図25乃至図26を参照して説明する。
本実施形態は第1の実施形態と同様に、IDプロバイダ装置200とサービスプロバイダ装置300との間でSSO処理が可能な状態であり、かつ当該IDプロバイダ側の組織に所属するユーザが当該サービスプロバイダ装置300にアカウントが登録されてない状態から開始される。また、本実施形態の認証連携システムは第1の実施形態と同様に、SSOは上述した(1)〜(6)の手順で行なわれるとする。
また、本実施形態ではユーザのログイン状態は未完了状態であり、かつユーザからのSSO要求起点がIDプロバイダ装置200から開始とする。
ここで、図25を参照して、本実施形態の認証連携システムの機能構成について説明する。なお、第1の実施形態乃至第3の実施形態と同一の構成には同一の符号を付し、説明は省略する。
図25は、本実施形態の認証連携制御システム240の機能構成の一例を示す図である。図25に示すように、本実施形態の認証連携制御システム240は、ポリシ評価情報取得部245と、ポリシ評価部246と、アカウントプロビジョニング部247と、ログイン応答メッセージ事前処理部290と、認証連携応答発行要求メッセージ事前処理部294とを備える。すなわち、本実施形態の認証連携制御システム240は、第2の実施形態の認証連携制御システム240の認証連携要求メッセージ事前処理部241を第3の実施形態の認証連携制御システム240の認証連携応答発行要求メッセージ事前処理部294に置き換えて構成されている。
ここで、図22、図24、および図26を参照して、本実施形態の認証連携システムにおける認証連携処理の一例について説明する。図26は、本実施形態の認証連携処理の一例を示すシーケンス図である。
まず、本実施形態の認証連携システムは、図22のステップS61のSP利用要求からステップS68の認証連携応答発行要求メッセージの転送までの処理を行なう。これらの処理は第3の実施形態で説明したため、省略する。
ステップS68に続いて、ステップS81では、携応答発行要求メッセージを受信した認証連携応答発行要求メッセージ事前処理部294のログイン状態判定部242が、ユーザのログイン状態を判定する。ログイン状態の確認は、認証セッション一時記憶装置270に、ユーザに発行されたIDP認証トークンが記憶されているか否かによって確認する。本実施形態では、認証セッション一時記憶装置270にIDP認証トークンが記憶されておらず、ログイン未完了状態と判定される。
ステップS81でログイン未完了状態と判定されたため、続いて、図24に示したステップS72〜ステップS75の処理を行う。これらの処理も第3の実施形態で説明したため、省略する。
ステップS75に引き続いて、図17のステップS35〜図19のステップS28までの処理を行い、本実施形態の認証連携処理は終了する。図17のステップS35〜図19のステップS28までの処理は、第2の実施形態で説明したため省略する。
上述のように、本実施形態の認証連携システムによると、IDプロバイダ装置200の組織に所属するユーザがサービスプロバイダ装置300にアカウントが登録されてない状態であり、ユーザのログイン状態は未完了状態であり、かつユーザからのSSO要求起点がIDプロバイダ装置200から開始する場合において、SSOの過程でアカウント登録および連携を実行する際の人手を介さないサービス利用可否の決定を行うことが可能となる。
また、本実施形態の認証連携システムによると、IDプロバイダ装置200の組織に所属するユーザがサービスプロバイダ装置300にアカウントが登録されてない状態であり、ユーザのログイン状態は未完了状態でありかつユーザからのSSO要求起点がIDプロバイダ装置200から開始する場合において、適切なタイミングで、ポリシ評価とアカウントプロビジョニングを実施できる。
また、本実施形態の認証連携システムによると、IDプロバイダ装置200の認証連携サーバ230が、SSO手順(2)〜(4)の処理を連続して行う中で、SSO手順(3)の直前に、ポリシ評価、およびアカウント登録・アカウント連携を行なうアカウントプロビジョニング処理の割り込みをIDプロバイダ装置の認証連携サーバ製品を直接改造することなく実現することが可能となる。このため、導入コストも低く、かつ人手を介さずにサービス利用可否を決定できる認証連携システムの提供が可能となる。
以上、本発明のいくつかの実施形態を説明したが、これら実施形態は例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
100…ユーザ端末、200…IDプロバイダ、210…ポータルサーバ、220…Webサーバ、221…リバースプロキシ装置、222…転送URL記憶装置、230…IDP認証連携部、240…認証連携制御システム、250…IDPユーザストア、260…ポリシストア、270…認証セッション一時記憶装置、280…鍵記憶装置、290…ログイン応答メッセージ事前処理部、300…サービスプロバイダ装置、310…SPユーザストア、320…サービス利用状況データストア、330…一時記憶装置、340…検証ポリシストア、350…SP認証連携部

Claims (5)

  1. ユーザが操作するユーザ端末のログイン処理を行うIDプロバイダ装置と、前記ログイン処理が完了した場合に前記ユーザ端末にサービスデータを送信するサービスプロバイダ装置とを備え、前記ユーザ端末は前記サービスプロバイダ装置にサービス利用要求を行なう認証連携システムであって、
    前記IDプロバイダ装置は、
    前記ユーザを識別するユーザ識別子含む前記ユーザを特定するためのユーザ属性の項目名と前記ユーザ属性の項目値とを関連付けたIDPユーザ属性情報を記憶するIDPユーザ属性情報記憶部と、
    前記ユーザIDと前記ユーザのログイン状態がログイン完了状態であることを示す認証トークンとを対応付けて記憶するIDP認証セッション記憶部と、
    前記サービスデータの送信が許可される対象となるユーザを示すポリシ情報を記憶するポリシ情報記憶部と、
    前記IDプロバイダ装置の署名生成鍵を記憶する鍵記憶部と、
    前記ユーザ端末のログイン処理が未完了状態である場合には、前記ユーザ端末にログイン要求を行い、前記ユーザ端末のログイン処理が完了状態である場合には、前記サービス利用要求を受信した前記サービスプロバイダ装置から発行されるSP認証連携要求を受信し、前記ログイン処理の認証方式名を含むアサーション本文に対して前記署名生成鍵に基づくデジタル署名を生成し、当該アサーション本文と当該デジタル署名とを含む認証アサーションを作成し、前記認証アサーション含む認証連携応答を前記サービスプロバイダ装置に送信するIDP認証連携部と、
    前記ユーザ端末から前記SP認証連携要求を受信した場合に、前記認証セッション記憶部に当該ユーザに発行された認証トークンが記憶されているか否かを確認するログイン状態確認処理を行うログイン状態判定部と、前記ログイン状態確認処理の結果がログイン未完了の状態であれば、前記SP認証連携要求を前記IDP認証連部に転送する認証連携要求転送部と、前記ユーザ端末から、前記IDP認証連携部からの前記ログイン要求に基づいて送信された前記ユーザの認証情報を受信し、受信した前記認証情報に基づいて前記ログイン処理を行う認証識別部と、前記ログイン状態確認処理の結果がログイン完了状態である場合に、前記認証セッション記憶部に当該ユーザに発行された認証トークンに対応付けて記憶されたユーザIDに基づいて前記IDPユーザ属性情報記憶部から取得したIDPユーザ属性情報と前記ポリシ情報とに基づいて前記ユーザ端末を操作するユーザがサービスデータの送信が許可される対象となるユーザであるか否かを評価し、前記ログイン状態確認処理の結果がログイン未完了の状態である場合に、前記認証情報に含まれるユーザIDに基づいて前記IDPユーザ属性情報記憶部から取得したIDPユーザ属性情報と前記ポリシ情報とに基づいて前記ユーザ端末を操作するユーザがサービスデータの送信が許可されるユーザであるか否かを評価するポリシ評価部と、前記ポリシ評価部による評価結果が許可である場合に、前記取得されたIDPユーザ属性情報を参照して前記サービスプロバイダ装置とのアカウント連携処理を行い、前記サービスプロバイダ装置における前記ユーザの識別子であるSP側ユーザIDを作成するアカウント連携部と、前記アカウント連携処理後に前記SP認証連携要求を前記IDP認証連携部に送信する認証連携要求転送部とを具備する認証連携制御部と、
    を備え、
    前記サービスプロバイダ装置は、
    前記認証連携応答を受信した場合に前記サービスデータの送信を許可するログイン処理の認証方式名と、前記署名生成鍵に対応する署名検証鍵とを含む検証ポリシを記憶する検証ポリシ記憶部と、
    前記アカウント連携処理において発行される前記SP側ユーザIDと、前記ユーザ属性情報に含まれるユーザ属性の項目名および項目値のうちの少なくとも一つの項目名と項目値とであるユーザ属性部分情報とを関連付けたアカウント登録を記憶するSPユーザ属性情報記憶部と、
    前記サービス利用要求を受信した場合、当該サービス利用要求が認証トークンを含むか否かを判定し、前記サービス利用要求が前記認証トークンを含む場合には当該認証トークンと前記サービスデータとを前記ユーザ端末に送信し、前記サービス利用要求が前記認証トークンを含まない場合には、前記ユーザ端末のアドレス情報を含む前記IDプロバイダ装置に対する前記SP認証連携要求を発行し、
    前記認証連携応答を受信した場合、前記検証ポリシ内の認証方式名と署名検証鍵とに基づいて、前記認証方式名とデジタル署名とをそれぞれ検証し、前記検証した結果がいずれも正当のとき、認証トークンを発行し、前記認証トークンと前記サービスデータとを前記ユーザ端末に送信するSP認証連携部と、
    前記SP側ユーザIDと、前記認証トークンとを関連付けて記憶するSP認証セッション記憶部と、
    を備える認証連携システム。
  2. ユーザが操作するユーザ端末のログイン処理を行うIDプロバイダ装置と、前記ログイン処理が完了した場合に前記ユーザ端末にサービスデータを送信するサービスプロバイダ装置とを備え、前記ユーザ端末は前記IDプロバイダ装置にサービス利用要求を行なう認証連携システムであって、
    前記IDプロバイダ装置は、
    前記ユーザを識別するユーザ識別子含む前記ユーザを特定するためのユーザ属性の項目名と前記ユーザ属性の項目値とを関連付けたIDPユーザ属性情報を記憶するIDPユーザ属性情報記憶部と、
    前記ユーザIDと前記ユーザのログイン状態がログイン完了状態であることを示す認証トークンとを対応付けて記憶するIDP認証セッション記憶部と、
    前記サービスデータの送信が許可される対象となるユーザを示すポリシ情報を記憶するポリシ情報記憶部と、
    前記IDプロバイダ装置の署名生成鍵を記憶する鍵記憶部と、
    前記ユーザ端末からサービス利用要求を受信した場合に、前記サービスプロバイダ装置に対するIDP認証連携要求を発行するIDP認証連携要求部と、
    前記ユーザ端末のログイン処理が未完了状態である場合には、前記ユーザ端末にログイン要求を行い、前記ユーザ端末のログイン処理が完了状態である場合には、前記IDP認証連携要求を受信し、前記ログイン処理の認証方式名を含むアサーション本文に対して前記署名生成鍵に基づくデジタル署名を生成し、当該アサーション本文と当該デジタル署名とを含む認証アサーションを作成し、前記認証アサーション含む認証連携応答を前記サービスプロバイダ装置に送信するIDP認証連携部と、
    前記IDP認証連携要求を受信した場合に、前記認証セッション記憶部に当該ユーザに発行された認証トークンが記憶されているか否かを確認するログイン状態確認処理を行うログイン状態判定部と、前記ログイン状態確認処理の結果がログイン未完了の状態であれば、前記IDP認証連携要求を前記IDP認証連部に転送する認証連携要求転送部と、前記ユーザ端末から、前記IDP認証連携部からの前記ログイン要求に基づいて送信された前記ユーザの認証情報を受信し、受信した前記認証情報に基づいて前記ログイン処理を行う認証識別部と、前記ログイン状態確認処理の結果がログイン完了状態である場合に、前記認証セッション記憶部に当該ユーザに発行された認証トークンに対応付けて記憶されたユーザIDに基づいて前記IDPユーザ属性情報記憶部から取得したIDPユーザ属性情報と前記ポリシ情報とに基づいて前記ユーザ端末を操作するユーザがサービスデータの送信が許可される対象となるユーザであるか否かを評価し、前記ログイン状態確認処理の結果がログイン未完了の状態である場合に、前記認証情報に含まれるユーザIDに基づいて前記IDPユーザ属性情報記憶部から取得したIDPユーザ属性情報と前記ポリシ情報とに基づいて前記ユーザ端末を操作するユーザがサービスデータの送信が許可されるユーザであるか否かを評価するポリシ評価部と、前記ポリシ評価部による評価結果が許可である場合に、前記取得されたIDPユーザ属性情報を参照して前記サービスプロバイダ装置とのアカウント連携処理を行い、前記サービスプロバイダ装置における前記ユーザの識別子であるSP側ユーザIDを作成するアカウント連携部と、前記アカウント連携処理後に前記IDP認証連携要求を前記IDP認証連携部に送信する認証連携要求転送部とを具備する認証連携制御部と、
    を備え、
    前記サービスプロバイダ装置は、
    前記認証連携応答を受信した場合に前記サービスデータの送信を許可するログイン処理の認証方式名と、前記署名生成鍵に対応する署名検証鍵とを含む検証ポリシを記憶する検証ポリシ記憶部と、
    前記アカウント連携処理において発行される前記SP側ユーザIDと、前記ユーザ属性情報に含まれるユーザ属性の項目名および項目値のうちの少なくとも一つの項目名と項目値とであるユーザ属性部分情報とを関連付けたアカウント登録を記憶するSPユーザ属性情報記憶部と、
    前記IDP認証連携部から前記認証連携応答を受信した場合、前記検証ポリシ内の認証方式名と署名検証鍵とに基づいて、前記認証方式名とデジタル署名とをそれぞれ検証し、前記検証した結果がいずれも正当のとき、認証トークンを発行し、前記認証トークンと前記サービスデータとを前記ユーザ端末に送信するSP認証連携部と、
    前記SP側ユーザIDと、前記認証トークンとを関連付けて記憶するSP認証セッション記憶部と、
    を備える認証連携システム。
  3. ユーザが操作するユーザ端末にサービスデータを送信するサービスプロバイダ装置と接続され認証連携システムを構成する、前記サービスプロバイダ装置にサービス利用要求を行なう前記ユーザ端末のログイン処理を行うIDプロバイダ装置であって、
    前記ユーザを識別するユーザ識別子含む前記ユーザを特定するためのユーザ属性の項目名と前記ユーザ属性の項目値とを関連付けたIDPユーザ属性情報を記憶するIDPユーザ属性情報記憶部と、
    前記ユーザIDと前記ユーザのログイン状態がログイン完了状態であることを示す認証トークンとを対応付けて記憶するIDP認証セッション記憶部と、
    前記サービスデータの送信が許可される対象となるユーザを示すポリシ情報を記憶するポリシ情報記憶部と、
    前記IDプロバイダ装置の署名生成鍵を記憶する鍵記憶部と、
    前記ユーザ端末のログイン処理が未完了状態である場合には、前記ユーザ端末にログイン要求を行い、前記ユーザ端末のログイン処理が完了状態である場合には、前記サービス利用要求を受信した前記サービスプロバイダ装置から発行されるSP認証連携要求を受信し、前記ログイン処理の認証方式名を含むアサーション本文に対して前記署名生成鍵に基づくデジタル署名を生成し、当該アサーション本文と当該デジタル署名とを含む認証アサーションを作成し、前記認証アサーション含む認証連携応答を前記サービスプロバイダ装置に送信するIDP認証連携部と、
    前記ユーザ端末から前記SP認証連携要求を受信した場合に、前記認証セッション記憶部に当該ユーザに発行された認証トークンが記憶されているか否かを確認するログイン状態確認処理を行うログイン状態判定部と、前記ログイン状態確認処理の結果がログイン未完了の状態であれば、前記SP認証連携要求を前記IDP認証連部に転送する認証連携要求転送部と、前記ユーザ端末から、前記IDP認証連携部からの前記ログイン要求に基づいて送信された前記ユーザの認証情報を受信し、受信した前記認証情報に基づいて前記ログイン処理を行う認証識別部と、前記ログイン状態確認処理の結果がログイン完了状態である場合に、前記認証セッション記憶部に当該ユーザに発行された認証トークンに対応付けて記憶されたユーザIDに基づいて前記IDPユーザ属性情報記憶部から取得したIDPユーザ属性情報と前記ポリシ情報とに基づいて前記ユーザ端末を操作するユーザがサービスデータの送信が許可されるユーザであるか否かを評価し、前記ログイン状態確認処理の結果がログイン未完了の状態である場合に、前記認証情報に含まれるユーザIDに基づいて前記IDPユーザ属性情報記憶部から取得したIDPユーザ属性情報と前記ポリシ情報とに基づいて前記ユーザ端末を操作するユーザがサービスデータの送信が許可される対象となるユーザであるか否かを評価するポリシ評価部と、前記ポリシ評価部による評価結果が許可である場合に、前記取得されたIDPユーザ属性情報を参照して前記サービスプロバイダ装置とのアカウント連携処理を行い、前記サービスプロバイダ装置における前記ユーザの識別子であるSP側ユーザIDを作成するアカウント連携部と、前記アカウント連携処理後に前記SP認証連携要求を前記IDP認証連携部に送信する認証連携要求転送部とを具備する認証連携制御部と、
    前記サービスプロバイダ装置から送信された前記認証連携要求を前記認証連携制御部に転送する転送装置と、
    を備えるIDプロバイダ装置。
  4. ユーザが操作するユーザ端末にサービスデータを送信するサービスプロバイダ装置と接続され認証連携システムを構成し、ユーザ端末のログイン処理を行うIDプロバイダ装置であって、
    前記ユーザを識別するユーザ識別子含む前記ユーザを特定するためのユーザ属性の項目名と前記ユーザ属性の項目値とを関連付けたIDPユーザ属性情報を記憶するIDPユーザ属性情報記憶部と、
    前記ユーザIDと前記ユーザのログイン状態がログイン完了状態であることを示す認証トークンとを対応付けて記憶するIDP認証セッション記憶部と、
    前記サービスデータの送信が許可される対象となるユーザを示すポリシ情報を記憶するポリシ情報記憶部と、
    前記IDプロバイダ装置の署名生成鍵を記憶する鍵記憶部と、
    前記ユーザ端末からサービス利用要求を受信した場合に、前記サービスプロバイダ装置に対するIDP認証連携要求を発行するIDP認証連携要求部と、
    前記ユーザ端末のログイン処理が未完了状態である場合には、前記ユーザ端末にログイン要求を行い、前記ユーザ端末のログイン処理が完了状態である場合には、前記IDP認証連携要求を受信し、前記ログイン処理の認証方式名を含むアサーション本文に対して前記署名生成鍵に基づくデジタル署名を生成し、当該アサーション本文と当該デジタル署名とを含む認証アサーションを作成し、前記認証アサーション含む認証連携応答を前記サービスプロバイダ装置に送信するIDP認証連携部と、
    前記IDP認証連携要求を受信した場合に、前記認証セッション記憶部に当該ユーザに発行された認証トークンが記憶されているか否かを確認するログイン状態確認処理を行うログイン状態判定部と、前記ログイン状態確認処理の結果がログイン未完了の状態であれば、前記IDP認証連携要求を前記IDP認証連部に転送する認証連携要求転送部と、前記ユーザ端末から、前記IDP認証連携部からの前記ログイン要求に基づいて送信された前記ユーザの含む認証情報を受信し、受信した前記認証情報に基づいて前記ログイン処理を行う認証識別部と、前記ログイン状態確認処理の結果がログイン完了状態である場合に、前記認証セッション記憶部に当該ユーザに発行された認証トークンに対応付けて記憶されたユーザIDに基づいて前記IDPユーザ属性情報記憶部から取得したIDPユーザ属性情報と前記ポリシ情報とに基づいて前記ユーザ端末を操作するユーザがサービスデータの送信が許可される対象となるユーザであるか否かを評価し、前記ログイン状態確認処理の結果がログイン未完了の状態である場合に、前記認証情報に含まれるユーザIDに基づいて前記IDPユーザ属性情報記憶部から取得したIDPユーザ属性情報と前記ポリシ情報とに基づいて前記ユーザ端末を操作するユーザがサービスデータの送信が許可されるユーザであるか否かを評価するポリシ評価部と、前記ポリシ評価部による評価結果が許可である場合に、前記取得されたIDPユーザ属性情報を参照して前記サービスプロバイダ装置とのアカウント連携処理を行い、前記サービスプロバイダ装置における前記ユーザの識別子であるSP側ユーザIDを作成するアカウント連携部と、前記アカウント連携処理後に前記IDP認証連携要求を前記IDP認証連携部に送信する認証連携要求転送部とを具備する認証連携制御部と、
    を備えるIDプロバイダ装置。
  5. 前記ユーザIDと、前記各サービスプロバイダ装置のサービス利用状況とを関連付けたサービス利用状況情報を記憶するサービス利用状況記憶部を備え、
    前記認証連携要求事前処理部は、前記サービス利用状況記憶部に記憶された前記サービス利用状況情報と前記ポリシ情報記憶部に記憶された前記ポリシ情報とを参照して前記ユーザ端末を操作するユーザがサービスデータの送信が許可されるユーザであるか否かを評価する請求項3に記載のIDプロバイダ装置。
JP2011287021A 2011-12-27 2011-12-27 認証連携システムおよびidプロバイダ装置 Active JP5197843B1 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2011287021A JP5197843B1 (ja) 2011-12-27 2011-12-27 認証連携システムおよびidプロバイダ装置
SG2013016761A SG188436A1 (en) 2011-12-27 2012-09-25 Authentication collaboration system, and id provider device
PCT/JP2012/006085 WO2013099065A1 (ja) 2011-12-27 2012-09-25 認証連携システムおよびidプロバイダ装置
CN201280002728.7A CN103282909B (zh) 2011-12-27 2012-09-25 认证联合系统及id提供者装置
US13/785,746 US8793759B2 (en) 2011-12-27 2013-03-05 Authentication collaboration system and ID provider device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011287021A JP5197843B1 (ja) 2011-12-27 2011-12-27 認証連携システムおよびidプロバイダ装置

Publications (2)

Publication Number Publication Date
JP5197843B1 JP5197843B1 (ja) 2013-05-15
JP2013137588A true JP2013137588A (ja) 2013-07-11

Family

ID=48534025

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011287021A Active JP5197843B1 (ja) 2011-12-27 2011-12-27 認証連携システムおよびidプロバイダ装置

Country Status (5)

Country Link
US (1) US8793759B2 (ja)
JP (1) JP5197843B1 (ja)
CN (1) CN103282909B (ja)
SG (1) SG188436A1 (ja)
WO (1) WO2013099065A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101464724B1 (ko) 2013-10-15 2014-11-27 순천향대학교 산학협력단 멀티 클라우드 환경을 위한 OpenID 기반의 사용자 인증 기법
JP2018537022A (ja) * 2015-10-14 2018-12-13 ケンブリッジ ブロックチェーン,エルエルシー デジタルアイデンティティを管理するためのシステム及び方法
US11218479B2 (en) 2019-04-08 2022-01-04 Fujifilm Business Innovation Corp. Authentication broker apparatus and non-transitory computer readable medium storing authentication broker program
JP7510340B2 (ja) 2020-12-14 2024-07-03 Kddi株式会社 認証装置、認証方法及び認証プログラム

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104995864A (zh) * 2013-03-14 2015-10-21 英特尔公司 用于提供通用持续性云服务的系统、方法和计算机程序产品
US9154488B2 (en) * 2013-05-03 2015-10-06 Citrix Systems, Inc. Secured access to resources using a proxy
JP6071847B2 (ja) * 2013-11-06 2017-02-01 株式会社東芝 認証システム、方法及びプログラム
CN103731269A (zh) * 2013-12-20 2014-04-16 湖北安标信息技术有限公司 基于考评服务平台的跨域认证方法
JP6248641B2 (ja) 2014-01-15 2017-12-20 株式会社リコー 情報処理システム及び認証方法
US10454913B2 (en) * 2014-07-24 2019-10-22 Hewlett Packard Enterprise Development Lp Device authentication agent
US10841316B2 (en) 2014-09-30 2020-11-17 Citrix Systems, Inc. Dynamic access control to network resources using federated full domain logon
EP3770781B1 (en) 2014-09-30 2022-06-08 Citrix Systems, Inc. Fast smart card logon and federated full domain logon
US9767145B2 (en) 2014-10-10 2017-09-19 Salesforce.Com, Inc. Visual data analysis with animated informational morphing replay
US10049141B2 (en) 2014-10-10 2018-08-14 salesforce.com,inc. Declarative specification of visualization queries, display formats and bindings
US9449188B2 (en) * 2014-10-10 2016-09-20 Salesforce.Com, Inc. Integration user for analytical access to read only data stores generated from transactional systems
US10101889B2 (en) 2014-10-10 2018-10-16 Salesforce.Com, Inc. Dashboard builder with live data updating without exiting an edit mode
US9600548B2 (en) 2014-10-10 2017-03-21 Salesforce.Com Row level security integration of analytical data store with cloud architecture
WO2016115633A1 (en) * 2015-01-21 2016-07-28 FusionPipe Software Solutions Inc. Enhanced security authentication methods, systems and media
US11503031B1 (en) 2015-05-29 2022-11-15 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US9300660B1 (en) * 2015-05-29 2016-03-29 Pure Storage, Inc. Providing authorization and authentication in a cloud for a user of a storage array
US10115213B2 (en) 2015-09-15 2018-10-30 Salesforce, Inc. Recursive cell-based hierarchy for data visualizations
US10089368B2 (en) 2015-09-18 2018-10-02 Salesforce, Inc. Systems and methods for making visual data representations actionable
US9923929B2 (en) 2015-11-20 2018-03-20 Nasdaq, Inc. Systems and methods for in-session refresh of entitlements associated with web applications
KR101795592B1 (ko) * 2015-12-24 2017-12-04 (주)소만사 기업용 클라우드 서비스의 접근 통제 방법
US10311047B2 (en) 2016-10-19 2019-06-04 Salesforce.Com, Inc. Streamlined creation and updating of OLAP analytic databases
US10484358B2 (en) * 2017-05-05 2019-11-19 Servicenow, Inc. Single sign-on user interface improvements
CN110770695B (zh) * 2017-06-16 2024-01-30 密码研究公司 物联网(iot)设备管理
CN111656376B (zh) * 2017-11-30 2023-10-31 建筑开发技术公司 信息处理装置、信息处理方法、信息处理系统以及程序
US10958640B2 (en) 2018-02-08 2021-03-23 Citrix Systems, Inc. Fast smart card login
CN108632264B (zh) * 2018-04-23 2021-08-06 新华三技术有限公司 上网权限的控制方法、装置及服务器
US10819695B2 (en) * 2018-05-25 2020-10-27 Citrix Systems, Inc. Electronic device including local identity provider server for single sign on and related methods
US10484234B1 (en) * 2018-06-11 2019-11-19 Sap Se Dynamic logging framework for multi-tenant cloud environment
US10938801B2 (en) * 2018-09-21 2021-03-02 Microsoft Technology Licensing, Llc Nonce handler for single sign on authentication in reverse proxy solutions
US11271933B1 (en) 2020-01-15 2022-03-08 Worldpay Limited Systems and methods for hosted authentication service
CN113630273A (zh) * 2021-08-06 2021-11-09 百果园技术(新加坡)有限公司 账号注销系统、方法、设备及存储介质
CN114070651B (zh) * 2022-01-11 2022-04-12 中国空气动力研究与发展中心计算空气动力研究所 一种单点登录系统和方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007219935A (ja) * 2006-02-17 2007-08-30 Nec Corp 分散認証システム及び分散認証方法
JP2007299259A (ja) * 2006-05-01 2007-11-15 Nippon Telegr & Teleph Corp <Ntt> 認証情報管理システムおよびアプリケーションサーバ
JP2008282212A (ja) * 2007-05-10 2008-11-20 Mitsubishi Electric Corp 認証装置及び認証システム
WO2011080874A1 (ja) * 2009-12-28 2011-07-07 日本電気株式会社 ユーザ情報活用システム、装置、方法およびプログラム
JP2011221729A (ja) * 2010-04-08 2011-11-04 Hitachi Ltd Id連携システム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6243816B1 (en) * 1998-04-30 2001-06-05 International Business Machines Corporation Single sign-on (SSO) mechanism personal key manager
US7624421B2 (en) * 2003-07-31 2009-11-24 Microsoft Corporation Method and apparatus for managing and displaying contact authentication in a peer-to-peer collaboration system
US7636941B2 (en) * 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US7631346B2 (en) 2005-04-01 2009-12-08 International Business Machines Corporation Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
WO2007027154A1 (en) * 2005-08-31 2007-03-08 Encentuate Pte Ltd Fortified authentication on multiple computers using collaborative agents
JP2007323340A (ja) 2006-05-31 2007-12-13 Toshiba Corp アカウントリンクシステム,アカウントリンク用コンピュータ,およびアカウントリンク方法
US20100024015A1 (en) * 2006-12-21 2010-01-28 Sxip Identity Corp. System and method for simplified login using an identity manager
JP5153591B2 (ja) * 2008-11-26 2013-02-27 株式会社日立製作所 認証仲介サーバ、プログラム、認証システム及び選択方法
JP4649523B2 (ja) 2009-06-03 2011-03-09 株式会社東芝 アクセス制御システム
JP5361625B2 (ja) 2009-09-09 2013-12-04 株式会社東芝 アクセス制御システム、装置及びプログラム
JP4951092B2 (ja) 2010-06-03 2012-06-13 株式会社東芝 アクセス制御プログラム及び装置
JP4892093B1 (ja) 2010-11-09 2012-03-07 株式会社東芝 認証連携システム及びidプロバイダ装置
JP2012212211A (ja) * 2011-03-30 2012-11-01 Hitachi Ltd 認証連携システム、および、認証連携方法
JP2012212210A (ja) * 2011-03-30 2012-11-01 Hitachi Ltd 接続先決定装置、接続先決定方法、および、サービス連携システム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007219935A (ja) * 2006-02-17 2007-08-30 Nec Corp 分散認証システム及び分散認証方法
JP2007299259A (ja) * 2006-05-01 2007-11-15 Nippon Telegr & Teleph Corp <Ntt> 認証情報管理システムおよびアプリケーションサーバ
JP2008282212A (ja) * 2007-05-10 2008-11-20 Mitsubishi Electric Corp 認証装置及び認証システム
WO2011080874A1 (ja) * 2009-12-28 2011-07-07 日本電気株式会社 ユーザ情報活用システム、装置、方法およびプログラム
JP2011221729A (ja) * 2010-04-08 2011-11-04 Hitachi Ltd Id連携システム

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
CSNB200800524001; SAML利用検討報告書 初版, 20030331, 第3-18頁, 財団法人日本情報処理開発協会 電子商取引推進センタ *
CSNB201101126001; マザー ティム: クラウド セキュリティ & プライバシー 第1版, 20030331, 第82-85頁, 株式会社オライリー・ジャパン オライリー ティム *
CSND200201272009; 福田 崇男: '注目のインターネット技術' 日経インターネットテクノロジー 第62号, 20020822, 第94-97頁, 日経BP社 *
JPN6012068156; 福田 崇男: '注目のインターネット技術' 日経インターネットテクノロジー 第62号, 20020822, 第94-97頁, 日経BP社 *
JPN6012068157; SAML利用検討報告書 初版, 20030331, 第3-18頁, 財団法人日本情報処理開発協会 電子商取引推進センタ *
JPN6012068159; マザー ティム: クラウド セキュリティ & プライバシー 第1版, 20030331, 第82-85頁, 株式会社オライリー・ジャパン オライリー ティム *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101464724B1 (ko) 2013-10-15 2014-11-27 순천향대학교 산학협력단 멀티 클라우드 환경을 위한 OpenID 기반의 사용자 인증 기법
JP2018537022A (ja) * 2015-10-14 2018-12-13 ケンブリッジ ブロックチェーン,エルエルシー デジタルアイデンティティを管理するためのシステム及び方法
US10938835B2 (en) 2015-10-14 2021-03-02 Cambridge Blockchain, Inc. Systems and methods for managing digital identities
US11212296B2 (en) 2015-10-14 2021-12-28 Cambridge Blockchain, Inc. Systems and methods for managing digital identities
US11777953B2 (en) 2015-10-14 2023-10-03 Cambridge Blockchain, Inc. Systems and methods for managing digital identities
US11218479B2 (en) 2019-04-08 2022-01-04 Fujifilm Business Innovation Corp. Authentication broker apparatus and non-transitory computer readable medium storing authentication broker program
JP7510340B2 (ja) 2020-12-14 2024-07-03 Kddi株式会社 認証装置、認証方法及び認証プログラム

Also Published As

Publication number Publication date
SG188436A1 (en) 2013-08-30
US20130198801A1 (en) 2013-08-01
CN103282909A (zh) 2013-09-04
US8793759B2 (en) 2014-07-29
JP5197843B1 (ja) 2013-05-15
WO2013099065A1 (ja) 2013-07-04
CN103282909B (zh) 2016-03-30

Similar Documents

Publication Publication Date Title
JP5197843B1 (ja) 認証連携システムおよびidプロバイダ装置
KR101590076B1 (ko) 개인정보 관리 방법
JP4551369B2 (ja) サービスシステムおよびサービスシステム制御方法
US20230370464A1 (en) Systems and methods for controlling sign-on to web applications
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
CN104255007B (zh) Oauth框架
JP5296726B2 (ja) Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム
JP5422753B1 (ja) ポリシ管理システム、idプロバイダシステム及びポリシ評価装置
US11874905B2 (en) Establishing access sessions
JP5383838B2 (ja) 認証連携システム、idプロバイダ装置およびプログラム
JP2007257426A (ja) 認証強度の異なるサーバに対応した連携型認証方法及びシステム
JP4932154B2 (ja) アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム
JP4551367B2 (ja) サービスシステムおよびサービスシステム制御方法
JP2011076506A (ja) アプリケーションサービス提供システム及びアプリケーションサービス提供方法
US7565356B1 (en) Liberty discovery service enhancements
TWI768307B (zh) 開源軟體整合方法
JP5414774B2 (ja) 認証強度の異なるサーバに対応した連携型認証方法及びシステム
JP5749222B2 (ja) アクセス許可制御システム、アクセス許可制御方法
JP2012208554A (ja) アクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置
TWI399070B (zh) 驗證登入方法
Edge et al. Identity and Device Trust
JP2022165546A (ja) 認証システム
KR20100073884A (ko) Id 연계 기반의 고객정보 중개 및 동기화 방법
JP4551368B2 (ja) サービスシステムおよびサービスシステム制御方法
JP2018160220A (ja) アクセス制御システム、アクセス制御方法およびアクセス制御プログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130205

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160215

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5197843

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350