JP2013149238A - Information processing device, information processing method, and program - Google Patents

Information processing device, information processing method, and program Download PDF

Info

Publication number
JP2013149238A
JP2013149238A JP2012184570A JP2012184570A JP2013149238A JP 2013149238 A JP2013149238 A JP 2013149238A JP 2012184570 A JP2012184570 A JP 2012184570A JP 2012184570 A JP2012184570 A JP 2012184570A JP 2013149238 A JP2013149238 A JP 2013149238A
Authority
JP
Japan
Prior art keywords
cooperation
account
website
user
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012184570A
Other languages
Japanese (ja)
Inventor
Mitsuo Kasanuki
光雄 笠貫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Marketing Japan Inc
Canon IT Solutions Inc
Canon MJ IT Group Holdings Inc
Original Assignee
Canon Marketing Japan Inc
Canon IT Solutions Inc
Canon MJ IT Group Holdings Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Marketing Japan Inc, Canon IT Solutions Inc, Canon MJ IT Group Holdings Inc filed Critical Canon Marketing Japan Inc
Priority to JP2012184570A priority Critical patent/JP2013149238A/en
Publication of JP2013149238A publication Critical patent/JP2013149238A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide a mechanism for realizing single sign-on even without work such as repair of existing applications on sites not cooperating with each other.SOLUTION: A mapping table in which a user account in a cooperation source Web site is associated with a user account in a cooperation destination Web site is stored, account information in the cooperation source Web site is acquired, the acquired account information is converted into account information in the cooperation destination Web site using the mapping table, and in order to access the cooperation destination Web site using the converted account information, the account information is sent back to a user.

Description

本発明は、Webサイトにおける認証技術に関する。   The present invention relates to an authentication technique for a website.

現在、様々な情報やサービスがWebサイトにより提供されているが、その中には、予め登録されたユーザでなければ得られない情報やサービスもある。そのような場合、通常は、登録された個々のユーザにIDが割り当てられ、当該IDを用いてWebサイトにログインすることで、情報やサービスを得られる仕組みとなっている。特に近年では多くのサイトにログインをする機会が増えている。   Currently, various information and services are provided by websites. Among them, there are information and services that can only be obtained by registered users. In such a case, normally, an ID is assigned to each registered user, and information and services are obtained by logging in to the Web site using the ID. In particular, in recent years, the opportunity to log in to many sites has increased.

上述の通り、Webサイトへログインするにあたり、ユーザ毎に割り振られたログインIDとパスワードとを入力する必要がある。   As described above, when logging in to the Web site, it is necessary to input a login ID and a password assigned to each user.

このような場合、何度もIDとパスワードを入力する手間を省くために、複数のサイト間で、ある1つのWebサイトにログインすれば、他のWebサイトにもログインできる機能(いわゆるシングルサインオン)が普及している。   In such a case, in order to save the trouble of inputting the ID and password many times, a function (so-called single sign-on) can be used to log in to another website by logging in to one website between a plurality of sites. ) Is popular.

特許文献1には、このシングルサインオンに関する技術が記載され、特に複数の認証サイトで確実に認証を行うことを目的として、複数の認証サイトに対して負荷分散装置を用いて振分けを行う技術が記載されている。   Patent Document 1 describes a technique related to this single sign-on, and in particular, a technique for performing distribution to a plurality of authentication sites using a load balancer for the purpose of surely authenticating at a plurality of authentication sites. Have been described.

特開2005−301424号公報Japanese Patent Laying-Open No. 2005-301424

しかし、異なるサイト間でシングルサインオンを行う場合、連携元Webサイトと連携先Webサイトとの両方にシングルサインオン機能を備える必要がある。   However, when performing single sign-on between different sites, it is necessary to provide a single sign-on function on both the cooperation source website and the cooperation destination website.

そのため、独自の認証機能を備えているサイトとの間でシングルサインオンを実現しようとすると、既存プリケーションの改修などの作業が必要となり、実現の妨げとなっていた。   Therefore, when trying to realize single sign-on with a site having an original authentication function, work such as renovation of an existing application is required, which hinders realization.

そこで、本発明は、互いに連携していないサイト間において、既存プリケーションの改修などの作業をしなくてもシングルサインオンを実現する仕組みを提供することを目的とする。   Accordingly, an object of the present invention is to provide a mechanism for realizing single sign-on between sites that are not linked to each other without performing work such as repairing an existing application.

本発明は、連携元Webサイトにおけるユーザアカウントと連携先Webサイトにおけるユーザアカウントとが対応付けられたマッピングテーブルを記憶する情報処理装置であって、連携先Webサイトへのアクセス要求をしたユーザに関するアカウント情報を連携元Webサイトから取得するアカウント情報取得手段と、前記記憶されたマッピングテーブルを用いて、前記アカウント情報に含まれる連携元Webサイトのユーザアカウントを連携先Webサイトのユーザアカウントに変換するマッピング手段と、前記マッピング手段により変換されたアカウント情報により認証トークンを生成する生成手段と、前記生成手段により生成された認証トークンを連携先Webサイトへのアクセスに用いるために、当該連携先Webサイトへのアクセス要求したユーザに対して送信する認証トークン送信手段と、を備えることを特徴とする。   The present invention is an information processing apparatus that stores a mapping table in which a user account in a cooperation source website and a user account in a cooperation destination website are associated with each other, and an account relating to a user who has requested access to the cooperation destination website Mapping for converting a user account of the cooperation source website included in the account information into a user account of the cooperation destination website using the account information acquisition means for acquiring information from the cooperation source website and the stored mapping table Means for generating an authentication token from the account information converted by the mapping means, and to use the authentication token generated by the generating means for accessing the cooperation destination website. No Characterized in that it comprises an authentication token transmission unit that transmits to the user who processes the request.

また、本発明は、連携元Webサイトにおけるユーザアカウントと連携先Webサイトにおけるユーザアカウントとが対応付けられたマッピングテーブルを記憶する情報処理装置における情報処理方法であって、前記情報処理装置のアカウント情報取得手段が、連携先Webサイトへのアクセス要求をしたユーザに関するアカウント情報を連携元Webサイトから取得するアカウント情報取得工程と、前記情報処理装置のマッピング手段が、前記記憶されたマッピングテーブルを用いて、前記アカウント情報に含まれる連携元Webサイトのユーザアカウントを連携先Webサイトのユーザアカウントに変換するマッピング工程と、前記情報処理装置の生成手段が、前記マッピング工程により変換されたアカウント情報により認証トークンを生成する生成工程と、前記情報処理装置の認証トークン送信手段が、前記生成工程により生成された認証トークンを連携先Webサイトへのアクセスに用いるために、当該連携先Webサイトへのアクセス要求したユーザに対して送信する認証トークン送信工程と、を備えることを特徴とする。   The present invention is also an information processing method in an information processing apparatus that stores a mapping table in which a user account in a cooperation source website and a user account in a cooperation destination website are associated with each other. An acquisition unit acquires account information about a user who has requested access to the cooperation destination website from the cooperation source website, and a mapping unit of the information processing apparatus uses the stored mapping table. A mapping step of converting a user account of the cooperation source website included in the account information into a user account of a cooperation destination website, and the generation unit of the information processing apparatus authenticating the authentication token by the account information converted by the mapping step The And a user who has requested access to the cooperation destination website so that the authentication token transmission means of the information processing apparatus uses the authentication token generated in the generation step for accessing the cooperation destination website. An authentication token transmission step of transmitting to the authentication token.

また、本発明は、連携元Webサイトにおけるユーザアカウントと連携先Webサイトにおけるユーザアカウントとが対応付けられたマッピングテーブルを記憶する情報処理装置において実行可能なプログラムであって、前記情報処理装置を、連携先Webサイトへのアクセス要求をしたユーザに関するアカウント情報を連携元Webサイトから取得するアカウント情報取得手段と、前記記憶されたマッピングテーブルを用いて、前記アカウント情報に含まれる連携元Webサイトのユーザアカウントを連携先Webサイトのユーザアカウントに変換するマッピング手段と、前記マッピング手段により変換されたアカウント情報により認証トークンを生成する生成手段と、前記生成手段により生成された認証トークンを連携先Webサイトへのアクセスに用いるために、当該連携先Webサイトへのアクセス要求したユーザに対して送信する認証トークン送信手段として機能させることを特徴とする。   In addition, the present invention is a program that can be executed in an information processing apparatus that stores a mapping table in which a user account in a cooperation source website and a user account in a cooperation destination website are associated with each other. Using account information acquisition means for acquiring account information about a user who has requested access to the cooperation destination website from the cooperation source website, and the stored mapping table, the user of the cooperation source website included in the account information Mapping means for converting the account into a user account of the cooperation destination website, generation means for generating an authentication token from the account information converted by the mapping means, and the authentication token generated by the generation means to the cooperation destination website For use in the access, characterized in that to function as an authentication token transmission unit that transmits to the user who requested access to the cooperation destination Web site.

本発明によれば、互いに連携していないサイト間において、既存アプリケーションの改修などの作業負荷を軽減し、シングルサインオンを実現する仕組みを提供することが可能となる。   According to the present invention, it is possible to provide a mechanism that realizes single sign-on between sites that are not linked to each other, by reducing a workload such as renovation of an existing application.

本発明の情報処理システムの構成の一例を示す図であるIt is a figure which shows an example of a structure of the information processing system of this invention. 図1のクライアント端末101、中継サーバ102のハードウエア構成の一例を示す図であるIt is a figure which shows an example of the hardware constitutions of the client terminal 101 of FIG. 1, and the relay server 102 本発明の第1の実施形態におけるクライアント端末101、中継サーバ102、連携元Webサイト104が実行する認証処理を示すフローチャートThe flowchart which shows the authentication process which the client terminal 101 in the 1st Embodiment of this invention, the relay server 102, and the cooperation origin Web site 104 perform. 連携情報管理テーブルの一例を示す図The figure which shows an example of a cooperation information management table マッピングテーブルの一例を示す図The figure which shows an example of a mapping table 本発明の第2の実施形態におけるクライアント端末101、中継サーバ102、連携元Webサイト104が実行する認証処理を示すフローチャートThe flowchart which shows the authentication process which the client terminal 101 in the 2nd Embodiment of this invention, the relay server 102, and the cooperation origin Web site 104 perform.

以下、図面を参照して本発明の実施形態を詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図1は、本発明に係る情報処理システムのシステム構成の一例を示す図である。   FIG. 1 is a diagram showing an example of a system configuration of an information processing system according to the present invention.

図1に示すように、本実施形態に係る情報処理システムは、クライアント端末101と連携元Webサイト104、連携先Webサイト105、中継サーバ102が相互に通信可能に広域ネットワーク103を介して接続されている。   As shown in FIG. 1, in the information processing system according to the present embodiment, a client terminal 101, a cooperation source website 104, a cooperation destination website 105, and a relay server 102 are connected via a wide area network 103 so that they can communicate with each other. ing.

以下、本発明の情報処理システムを構成する各装置について説明する。   Hereinafter, each apparatus which comprises the information processing system of this invention is demonstrated.

以下、図2を用いて、図1に示したクライアント端末101、中継サーバ102のハードウエア構成の一例について説明する。   Hereinafter, an example of the hardware configuration of the client terminal 101 and the relay server 102 illustrated in FIG. 1 will be described with reference to FIG.

図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM203あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な各種プログラム等が記憶されている。   In FIG. 2, reference numeral 201 denotes a CPU that comprehensively controls each device and controller connected to the system bus 204. Further, the ROM 203 or the external memory 211 is necessary to realize a BIOS (Basic Input / Output System) or an operating system program (hereinafter referred to as an OS), which is a control program of the CPU 201, or a function executed by each server or each PC. Various programs are stored.

202はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM203あるいは外部メモリ211からRAM202にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。   A RAM 202 functions as a main memory, work area, and the like for the CPU 201. The CPU 201 implements various operations by loading a program necessary for execution of processing from the ROM 203 or the external memory 211 into the RAM 202 and executing the loaded program.

また、205は入力コントローラで、入力装置209等からの入力を制御する。206はビデオコントローラで、液晶ディスプレイ等のディスプレイ装置210への表示を制御する。なお、ディスプレイ装置は、液晶ディスプレイに限られず、CRTディスプレイなどであっても良い。これらは必要に応じてクライアントが使用するものである。   An input controller 205 controls input from the input device 209 or the like. A video controller 206 controls display on a display device 210 such as a liquid crystal display. The display device is not limited to a liquid crystal display, and may be a CRT display or the like. These are used by clients as needed.

207はメモリコントローラで、ブートプログラム,各種のアプリケーション,フォントデータ,ユーザファイル,編集ファイル,各種データ等を記憶するハードディスク(HD)や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。   A memory controller 207 is connected to the hard disk (HD), flexible disk (FD), or PCMCIA card slot for storing a boot program, various applications, font data, user files, editing files, various data, etc. via an adapter. The access to the external memory 211 such as a compact flash (registered trademark) memory is controlled.

208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。   A communication I / F controller 208 connects and communicates with an external device via a network (for example, the LAN 400 shown in FIG. 1), and executes communication control processing in the network. For example, communication using TCP / IP is possible.

なお、CPU201は、例えばRAM202内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ装置210上での表示を可能としている。また、CPU201は、ディスプレイ装置210上の不図示のマウスカーソル等でのユーザ指示を可能とする。   Note that the CPU 201 enables display on the display device 210 by executing outline font rasterization processing on a display information area in the RAM 202, for example. Further, the CPU 201 enables a user instruction with a mouse cursor (not shown) on the display device 210.

ハードウエア上で動作する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM202にロードされることによりCPU201によって実行されるものである。   Various programs that operate on the hardware are recorded in the external memory 211 and are executed by the CPU 201 by being loaded into the RAM 202 as necessary.

なお、全ての装置がこれらの構成を備えているわけではなく、必要なものを夫々備えていればよい。   It should be noted that not all devices have these configurations, and it is only necessary to provide necessary devices.

次に図3を用いて、本発明の第1の実施形態におけるクライアント端末101、中継サーバ102、連携元Webサイト104が行う認証処理について説明する。   Next, an authentication process performed by the client terminal 101, the relay server 102, and the cooperation source website 104 according to the first embodiment of the present invention will be described with reference to FIG.

なお、図3のフローチャートで示す処理については、クライアント端末101のCPU201が所定の制御プログラムを読み出して実行する処理である。   Note that the process shown in the flowchart of FIG. 3 is a process in which the CPU 201 of the client terminal 101 reads and executes a predetermined control program.

ステップS301では、クライアント端末101のCPU201は、ユーザからのWebサイト(連携先Webサイト)へのアクセス要求を受け付ける。
例えば、連携元Webサイトから連携先Webサイトへ遷移するための操作(リンクをクリックや、ボタンの押下)を受け付けることで、連携先Webサイトへのアクセス要求を受け付ける。
Webサイトへのアクセス要求を受け付けると、クライアント端末101のCPU201は当該要求を連携元Webサイトへ送信する。 In step S301, the CPU 201 of the client terminal 101 accepts an access request to the website (cooperation destination website) from the user.
For example, an access request to the cooperation destination website is accepted by accepting an operation (clicking a link or pressing a button) for transition from the cooperation source website to the cooperation destination website.
When receiving an access request to the Web site, the CPU 201 of the client terminal 101 transmits the request to the cooperation source Web site.

ステップS302では、連携元Webサイト104は、ステップS301でクライアント端末101から送信された要求を受信すると、まず当該要求を送信したユーザについて認証処理を行う。   In step S302, upon receiving the request transmitted from the client terminal 101 in step S301, the cooperation source website 104 first performs authentication processing for the user who transmitted the request.

認証処理に成功すると、アクセス要求先であるWebサイト(連携先Webサイト)を示す情報と、連携元アカウント(認証処理をしたユーザにかかるアカウント)とに対して暗号化処理を施す(アカウント情報を暗号化する)。   If the authentication process is successful, the encryption process is performed on the information indicating the Web site that is the access request destination (cooperation destination Web site) and the cooperation source account (account for the user who has performed the authentication process) (account information is changed). Encrypt).

ステップS303では、連携元Webサイト104は、ステップS302で暗号化したアカウント情報と、中継サーバ102のURLとをブラウザへ返却する。   In step S303, the cooperation source website 104 returns the account information encrypted in step S302 and the URL of the relay server 102 to the browser.

ステップS304では、クライアント端末101のCPU201は、ステップS303で送信された中継サーバのURLをもとに、中継サーバ102へリダイレクトまたは自動POSTし、ステップS303で送信された暗号化されたアカウント情報を中継サーバ102に送信する。   In step S304, the CPU 201 of the client terminal 101 redirects or automatically POSTs to the relay server 102 based on the URL of the relay server transmitted in step S303, and relays the encrypted account information transmitted in step S303. Send to server 102.

ステップS305では、中継サーバ102のCPU201は、ステップS304で送信されたアカウント情報を受信すると、当該アカウント情報を復号する。   In step S305, upon receiving the account information transmitted in step S304, the CPU 201 of the relay server 102 decrypts the account information.

なお、ステップS304での暗号化処理およびステップS305での復号処理については、公知の技術を用いて行うものとする。   Note that the encryption process in step S304 and the decryption process in step S305 are performed using a known technique.

ステップS306では、中継サーバ102のCPU201は、ステップS305で受信したアカウント情報に含まれるアクセス要求先のWebサイトが連携情報管理テーブルに登録されているか否かを判断する。   In step S306, the CPU 201 of the relay server 102 determines whether the access request destination Web site included in the account information received in step S305 is registered in the cooperation information management table.

連携情報管理テーブル(図4)に登録されていると判断された場合(ステップS306:YES)は、処理をステップS307に移行する。   If it is determined that it is registered in the cooperation information management table (FIG. 4) (step S306: YES), the process proceeds to step S307.

連携情報管理テーブル(図4)に登録されていないと判断された場合(ステップS306:NO)は、処理をステップS314に移行する。   If it is determined that it is not registered in the cooperation information management table (FIG. 4) (step S306: NO), the process proceeds to step S314.

ステップS307では、中継サーバ102のCPU201は、ステップS305で受信したアカウント情報に含まれる連携元アカウントが、マッピングテーブル(図5)に登録されているか否かを判断する。   In step S307, the CPU 201 of the relay server 102 determines whether or not the cooperation source account included in the account information received in step S305 is registered in the mapping table (FIG. 5).

マッピングテーブルに登録されていると判断された場合(ステップS307:YES)は、処理をステップS308に移行する。   If it is determined that it is registered in the mapping table (step S307: YES), the process proceeds to step S308.

マッピングテーブルに登録されていないと判断された場合(ステップS307:NO)は、処理をステップS314に移行する。   If it is determined that it is not registered in the mapping table (step S307: NO), the process proceeds to step S314.

ステップS308では、中継サーバ102のCPU201は、アカウントの認証処理を行う。   In step S308, the CPU 201 of the relay server 102 performs account authentication processing.

ステップS308における認証処理は、ステップS305で受信したアカウント情報と、ディレクトリサーバ(不図示)に登録されたアカウント情報との照合を行い、同一のアカウント情報が登録されていれば認証OKと判断される。認証で使用されるアカウント情報はユーザID、パスワードの組み合わせや証明書などが用いられる。   In the authentication process in step S308, the account information received in step S305 is compared with the account information registered in the directory server (not shown), and if the same account information is registered, it is determined that the authentication is OK. . As account information used for authentication, a combination of a user ID, a password, a certificate, and the like are used.

なお、ディレクトリサーバについては、中継サーバと同一の端末であってもよい。   Note that the directory server may be the same terminal as the relay server.

ステップS309では、中継サーバ102のCPU201は、ステップS308における認証処理の結果を判断する。   In step S309, the CPU 201 of the relay server 102 determines the result of the authentication process in step S308.

認証OKであった場合(ステップS309:YES)は、処理をステップS310に移行する。   If the authentication is OK (step S309: YES), the process proceeds to step S310.

認証NGであった場合(ステップS309:NO)は、処理をステップS314に移行する。   When it is authentication NG (step S309: NO), the process proceeds to step S314.

ステップS310では、中継サーバ102のCPU201は、アカウントマッピング処理を実行する。   In step S310, the CPU 201 of the relay server 102 executes an account mapping process.

具体的には、図5に示すアカウントマッピングテーブルを用いて、ステップS305で受信したアカウント情報に含まれる連携元アカウントを連携先アカウントに置き換える。   Specifically, the cooperation source account included in the account information received in step S305 is replaced with the cooperation destination account using the account mapping table shown in FIG.

ステップS311では、中継サーバ102のCPU201は、アクセス要求のあったWebサイト(連携先Webサイト)に対して送信される認証トークンを生成する。   In step S <b> 311, the CPU 201 of the relay server 102 generates an authentication token to be transmitted to the website (cooperation destination website) that requested access.

ステップS312では、中継サーバ102のCPU201は、ステップS311で生成した認証トークンをブラウザへ返却する。   In step S312, the CPU 201 of the relay server 102 returns the authentication token generated in step S311 to the browser.

ステップS313では、クライアント端末101のCPU201は、アクセス要求先サイト(連携先Webサイト)へステップS312で中継サーバ102から送信された認証トークンを用いてリダイレクトまたは自動POSTでアクセスする。   In step S313, the CPU 201 of the client terminal 101 accesses the access request destination site (cooperation destination website) by redirection or automatic POST using the authentication token transmitted from the relay server 102 in step S312.

以上のように、中継サーバがシングルサインオン機能を備え、当該中継サーバのシングルサインオン機能を利用することで、互いに連携していないサイト間においても、既存のアプリケーションの改修を最小限に留めてシングルサインオンを実現する仕組みを提供することが可能となる。   As described above, the relay server has a single sign-on function, and by using the single sign-on function of the relay server, it is possible to minimize the modification of existing applications even between sites that are not linked to each other. It is possible to provide a mechanism for realizing single sign-on.

また、クライアント端末101と中継サーバ102との間でやりとりされるアカウント情報については、暗号化処理がなされるため、なりすましなどによる不正アクセスを防止することが可能となる。   In addition, since the account information exchanged between the client terminal 101 and the relay server 102 is encrypted, unauthorized access due to impersonation or the like can be prevented.

次に、図6を用いて、本発明の第2の実施形態におけるクライアント端末101、中継サーバ102、連携元Webサイト104が行う認証処理について説明する。   Next, an authentication process performed by the client terminal 101, the relay server 102, and the cooperation source website 104 according to the second embodiment of the present invention will be described with reference to FIG.

なお、図6に示すフローチャートは、第1の実施形態における図3のフローチャートの処理に、ステップS601〜ステップS605の処理を追加したものである。そのため、ここでは当該追加したステップS601〜S605の処理についてのみ説明する。   The flowchart shown in FIG. 6 is obtained by adding steps S601 to S605 to the process of the flowchart of FIG. 3 in the first embodiment. For this reason, only the added steps S601 to S605 will be described here.

他の処理については、図3のフローチャートに示す処理と同様であるため、ここでの説明は省略する。   Other processing is the same as the processing shown in the flowchart of FIG. 3, and thus the description thereof is omitted here.

ステップS309において、認証OKと判定された場合(ステップS309:YES)に、中継サーバ102のCPU201は、ステップS601の処理を実行する。   If it is determined in step S309 that the authentication is OK (step S309: YES), the CPU 201 of the relay server 102 executes the process of step S601.

ステップS601では、中継サーバ102のCPU201は、認証済み情報をクライアント端末101に返却する。ここで、認証済み情報とは具体的には、クライアントを一意に識別するためのID(一般的にはセッションIDと呼ばれる)とサービスURLである。   In step S <b> 601, the CPU 201 of the relay server 102 returns authenticated information to the client terminal 101. Here, specifically, the authenticated information is an ID (generally called a session ID) for uniquely identifying a client and a service URL.

サービスURLについては、ステップS301においてユーザから要求された内容を元に特定される。   The service URL is specified based on the content requested by the user in step S301.

ステップS602では、クライアント端末101のCPU201は、ステップS601で送信されたサービスURL(本実施形態においては、シングルサインオン開始URL)へリダイレクトまたは自動POSTしアクセスする。   In step S602, the CPU 201 of the client terminal 101 redirects or automatically POSTs and accesses the service URL (in this embodiment, the single sign-on start URL) transmitted in step S601.

ステップS603では、中継サーバ102のCPU201は、認証済み情報が有効であるか、無効となったかを判断する。   In step S603, the CPU 201 of the relay server 102 determines whether the authenticated information is valid or invalid.

すなわち、ステップS309において認証に成功しているが、ステップS603の時点ではタイムアウト等により無効となっている可能性があるため、ステップS603において有効性の確認をする。   That is, although the authentication is successful in step S309, it may be invalid due to a timeout or the like at the time of step S603, and thus the validity is confirmed in step S603.

認証済み情報が有効であると判断された場合(ステップS603:YES)は、処理をステップS310に移行する。   If it is determined that the authenticated information is valid (step S603: YES), the process proceeds to step S310.

ステップS310~S313の処理は、図3に示すフローチャートの処理と同様であるため、ここでの説明は省略する。   Since the processing in steps S310 to S313 is the same as the processing in the flowchart shown in FIG. 3, description thereof is omitted here.

認証済み情報が無効である場合(ステップS603:NO)は、処理をステップS604に移行する。   If the authenticated information is invalid (step S603: NO), the process proceeds to step S604.

ステップS604では、中継サーバ102のCPU201は、エラーページをクライアント端末101に送信する。   In step S <b> 604, the CPU 201 of the relay server 102 transmits an error page to the client terminal 101.

ステップS605では、クライアント端末101のCPU201は、ステップS604で送信されたエラーページを受信し、表示する。
そして、本フローチャートの処理を終了する。 In step S605, the CPU 201 of the client terminal 101 receives and displays the error page transmitted in step S604.
And the process of this flowchart is complete | finished.

以上のように、第1の実施形態における処理に対して、認証済み情報をクライアント端末101に返却する処理(ステップS601)を追加することで、中継サーバ102で提供されるシングルサインオン以外のサービスであって認証が必要なサービスについても、シングルサインオンによる利用が可能となる。   As described above, services other than single sign-on provided by the relay server 102 are added to the processing in the first embodiment by adding processing for returning authenticated information to the client terminal 101 (step S601). Even a service that requires authentication can be used by single sign-on.

具体的には、本実施形態においては、ステップS310〜S312については中継サーバが提供するシングルサインオン機能を実現するための処理としているが、この処理を中継サーバが提供する別のサービスに置き換えることが可能となる。   Specifically, in this embodiment, steps S310 to S312 are processing for realizing the single sign-on function provided by the relay server, but this processing is replaced with another service provided by the relay server. Is possible.

本実施形態におけるステップS310〜S312の処理を中継サーバ102が提供する別のサービスに置き換えた場合は、ステップS313では、連携元Webサイトまたは中継サーバのページへ遷移する処理となる。   When the processing in steps S310 to S312 in the present embodiment is replaced with another service provided by the relay server 102, in step S313, the process is transitioned to the cooperation source website or the relay server page.

また、シングルサインオンサービスのような1回のリクエストで完結するサービスではなく、中継サーバ102を継続的に利用するサービスについても、シングルサインオンでの利用が可能となる。   In addition, a service that uses the relay server 102 continuously, not a service that is completed by a single request such as the single sign-on service, can be used with single sign-on.

なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。   It should be noted that the configuration and contents of the various data described above are not limited to this, and it goes without saying that the various data and configurations are configured according to the application and purpose.

また、本発明におけるプログラムは、図3の処理方法をコンピュータが実行可能なプログラムである。なお、本発明におけるプログラムは図3の各装置の処理方法ごとのプログラムであってもよい。   In addition, the program in the present invention is a program that allows a computer to execute the processing method of FIG. The program in the present invention may be a program for each processing method of each apparatus in FIG.

以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読み出し、実行することによっても本発明の目的が達成されることは言うまでもない。   As described above, a recording medium that records a program that implements the functions of the above-described embodiments is supplied to a system or apparatus, and a computer (or CPU or MPU) of the system or apparatus stores the program stored in the recording medium. It goes without saying that the object of the present invention can also be achieved by reading and executing.

この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記録した記録媒体は本発明を構成することになる。   In this case, the program itself read from the recording medium realizes the novel function of the present invention, and the recording medium recording the program constitutes the present invention.

プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、磁気テープ、不揮発性のメモリカード、ROM、EEPROM、シリコンディスク等を用いることが出来る。   As a recording medium for supplying the program, for example, a flexible disk, hard disk, optical disk, magneto-optical disk, CD-ROM, CD-R, DVD-ROM, magnetic tape, nonvolatile memory card, ROM, EEPROM, silicon A disk or the like can be used.

また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。   Further, by executing the program read by the computer, not only the functions of the above-described embodiments are realized, but also an OS (operating system) operating on the computer based on an instruction of the program is actually It goes without saying that a case where the function of the above-described embodiment is realized by performing part or all of the processing and the processing is included.

さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。   Furthermore, after the program read from the recording medium is written to the memory provided in the function expansion board inserted into the computer or the function expansion unit connected to the computer, the function expansion board is based on the instructions of the program code. It goes without saying that the case where the CPU or the like provided in the function expansion unit performs part or all of the actual processing and the functions of the above-described embodiments are realized by the processing.

また、本発明は、複数の機器から構成されるシステムに適用しても、ひとつの機器から成る装置に適用しても良い。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。   The present invention may be applied to a system constituted by a plurality of devices or an apparatus constituted by a single device. Needless to say, the present invention can be applied to a case where the present invention is achieved by supplying a program to a system or apparatus. In this case, by reading a recording medium storing a program for achieving the present invention into the system or apparatus, the system or apparatus can enjoy the effects of the present invention.

さらに、本発明を達成するためのプログラムをネットワーク上のサーバ、データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。   Furthermore, by downloading and reading a program for achieving the present invention from a server, database, etc. on a network using a communication program, the system or apparatus can enjoy the effects of the present invention. In addition, all the structures which combined each embodiment mentioned above and its modification are also included in this invention.

101 クライアント端末
102 中継サーバ
103 広域ネットワーク
104 連携元Webサイト
105 連携先Webサイト 101 Client terminal 102 Relay server 103 Wide area network 104 Cooperation source website 105 Cooperation destination website

Claims (5)

連携元Webサイトにおけるユーザアカウントと連携先Webサイトにおけるユーザアカウントとが対応付けられたマッピングテーブルを記憶する情報処理装置であって、
連携先Webサイトへのアクセス要求をしたユーザに関するアカウント情報を連携元Webサイトから取得するアカウント情報取得手段と、
前記記憶されたマッピングテーブルを用いて、前記アカウント情報に含まれる連携元Webサイトのユーザアカウントを連携先Webサイトのユーザアカウントに変換するマッピング手段と、
前記マッピング手段により変換されたアカウント情報により認証トークンを生成する生成手段と、
前記生成手段により生成された認証トークンを連携先Webサイトへのアクセスに用いるために、当該連携先Webサイトへのアクセス要求したユーザに対して送信する認証トークン送信手段と、
を備えることを特徴とする情報処理装置。 An information processing apparatus that stores a mapping table in which a user account in a cooperation source website and a user account in a cooperation destination website are associated with each other,
Account information acquisition means for acquiring account information about a user who has requested access to the cooperation destination website from the cooperation source website;
Mapping means for converting a user account of a cooperation source website included in the account information into a user account of a cooperation destination website using the stored mapping table;
Generating means for generating an authentication token from the account information converted by the mapping means;
An authentication token transmitting means for transmitting the authentication token generated by the generating means to a user who has requested access to the cooperation destination website in order to use it for accessing the cooperation destination website;
An information processing apparatus comprising: 認証処理を実行する認証処理実行手段と、
前記認証処理実行手段による認証処理の結果をアクセス要求したユーザに対して送信する認証結果送信手段と、
を備え、
前記マッピング手段は、前記認証処理実行手段による認証処理が成功した場合に、前記記憶されたマッピングテーブルを用いて、前記アカウント情報に含まれる連携元Webサイトのユーザアカウントを連携先Webサイトのユーザアカウントに変換することを特徴とする請求項1に記載の情報処理装置。 An authentication process executing means for executing the authentication process;
Authentication result transmitting means for transmitting the result of the authentication processing by the authentication processing executing means to the user who requested access;
With
When the authentication process by the authentication process executing means is successful, the mapping means uses the stored mapping table to convert the user account of the cooperation source website included in the account information to the user account of the cooperation destination website. The information processing apparatus according to claim 1, wherein the information processing apparatus is converted into an 前記認証結果送信手段により送信される情報には、前記認証処理実行手段による認証処理が成功した場合に利用可能なサービスを示す情報を含むことを特徴とする請求項2に記載の情報処理装置。   3. The information processing apparatus according to claim 2, wherein the information transmitted by the authentication result transmitting unit includes information indicating a service that can be used when the authentication process by the authentication process executing unit is successful. 連携元Webサイトにおけるユーザアカウントと連携先Webサイトにおけるユーザアカウントとが対応付けられたマッピングテーブルを記憶する情報処理装置における情報処理方法であって、
前記情報処理装置のアカウント情報取得手段が、連携先Webサイトへのアクセス要求をしたユーザに関するアカウント情報を連携元Webサイトから取得するアカウント情報取得工程と、
前記情報処理装置のマッピング手段が、前記記憶されたマッピングテーブルを用いて、前記アカウント情報に含まれる連携元Webサイトのユーザアカウントを連携先Webサイトのユーザアカウントに変換するマッピング工程と、
前記情報処理装置の生成手段が、前記マッピング工程により変換されたアカウント情報により認証トークンを生成する生成工程と、
前記情報処理装置の認証トークン送信手段が、前記生成工程により生成された認証トークンを連携先Webサイトへのアクセスに用いるために、当該連携先Webサイトへのアクセス要求したユーザに対して送信する認証トークン送信工程と、
を備えることを特徴とする情報処理方法。 An information processing method in an information processing apparatus for storing a mapping table in which a user account in a cooperation source website and a user account in a cooperation destination website are associated with each other,
An account information acquisition unit in which the account information acquisition unit of the information processing apparatus acquires account information about a user who has requested access to the cooperation destination website from the cooperation source website;
A mapping step in which a mapping unit of the information processing apparatus converts a user account of a cooperation source website included in the account information into a user account of a cooperation destination website using the stored mapping table;
A generating step in which the generating unit of the information processing apparatus generates an authentication token from the account information converted by the mapping step;
Authentication sent from the authentication token transmission means of the information processing apparatus to the user who has requested access to the cooperation destination website in order to use the authentication token generated in the generation step for accessing the cooperation destination website Token sending process;
An information processing method comprising: 連携元Webサイトにおけるユーザアカウントと連携先Webサイトにおけるユーザアカウントとが対応付けられたマッピングテーブルを記憶する情報処理装置において実行可能なプログラムであって、
前記情報処理装置を、
連携先Webサイトへのアクセス要求をしたユーザに関するアカウント情報を連携元Webサイトから取得するアカウント情報取得手段と、
前記記憶されたマッピングテーブルを用いて、前記アカウント情報に含まれる連携元Webサイトのユーザアカウントを連携先Webサイトのユーザアカウントに変換するマッピング手段と、
前記マッピング手段により変換されたアカウント情報により認証トークンを生成する生成手段と、
前記生成手段により生成された認証トークンを連携先Webサイトへのアクセスに用いるために、当該連携先Webサイトへのアクセス要求したユーザに対して送信する認証トークン送信手段として機能させることを特徴とするプログラム。 A program that can be executed in an information processing apparatus that stores a mapping table in which a user account in a cooperation source website and a user account in a cooperation destination website are associated with each other,
The information processing apparatus;
Account information acquisition means for acquiring account information about a user who has requested access to the cooperation destination website from the cooperation source website;
Mapping means for converting a user account of a cooperation source website included in the account information into a user account of a cooperation destination website using the stored mapping table;
Generating means for generating an authentication token from the account information converted by the mapping means;
In order to use the authentication token generated by the generating unit for accessing the cooperation destination website, the authentication token is made to function as an authentication token transmission means for transmitting to a user who has requested access to the cooperation destination website. program.
JP2012184570A 2011-12-22 2012-08-23 Information processing device, information processing method, and program Pending JP2013149238A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012184570A JP2013149238A (en) 2011-12-22 2012-08-23 Information processing device, information processing method, and program

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2011282127 2011-12-22
JP2011282127 2011-12-22
JP2012184570A JP2013149238A (en) 2011-12-22 2012-08-23 Information processing device, information processing method, and program

Publications (1)

Publication Number Publication Date
JP2013149238A true JP2013149238A (en) 2013-08-01

Family

ID=49046644

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012184570A Pending JP2013149238A (en) 2011-12-22 2012-08-23 Information processing device, information processing method, and program

Country Status (1)

Country Link
JP (1) JP2013149238A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5724017B1 (en) * 2014-05-29 2015-05-27 周 志偉Zhou Zhi Wei Authentication linkage system for multiple computer systems
WO2017011136A1 (en) * 2015-07-14 2017-01-19 Mastercard International Incorporated Identity federation and token translation module for use with a web application
JP2020077185A (en) * 2018-11-07 2020-05-21 エムオーテックス株式会社 Device to present and introduce interactive programs
JP2020077352A (en) * 2018-11-07 2020-05-21 エムオーテックス株式会社 Linkage system
US10673833B2 (en) 2015-08-26 2020-06-02 Ricoh Company, Ltd. Information processing system, server device, and method for processing information
US10708254B2 (en) 2017-02-27 2020-07-07 Fuji Xerox Co., Ltd. Information processing apparatus and non-transitory computer readable medium storing information processing program for single sign-on
US11228579B2 (en) 2017-04-18 2022-01-18 Google Llc Passing authentication information via parameters

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5724017B1 (en) * 2014-05-29 2015-05-27 周 志偉Zhou Zhi Wei Authentication linkage system for multiple computer systems
JP2015225562A (en) * 2014-05-29 2015-12-14 周 志偉Zhou Zhi Wei Authentication coordination system of plural computer systems
WO2017011136A1 (en) * 2015-07-14 2017-01-19 Mastercard International Incorporated Identity federation and token translation module for use with a web application
US9674200B2 (en) 2015-07-14 2017-06-06 Mastercard International Incorporated Identity federation and token translation module for use with a web application
US9825939B2 (en) 2015-07-14 2017-11-21 Mastercard International Incorporated Identity federation and token translation module for use with a web application
US10673833B2 (en) 2015-08-26 2020-06-02 Ricoh Company, Ltd. Information processing system, server device, and method for processing information
US10708254B2 (en) 2017-02-27 2020-07-07 Fuji Xerox Co., Ltd. Information processing apparatus and non-transitory computer readable medium storing information processing program for single sign-on
US11228579B2 (en) 2017-04-18 2022-01-18 Google Llc Passing authentication information via parameters
US12041045B2 (en) 2017-04-18 2024-07-16 Google Llc Passing authentication information via parameters
JP2020077185A (en) * 2018-11-07 2020-05-21 エムオーテックス株式会社 Device to present and introduce interactive programs
JP2020077352A (en) * 2018-11-07 2020-05-21 エムオーテックス株式会社 Linkage system

Similar Documents

Publication Publication Date Title
JP2013149238A (en) Information processing device, information processing method, and program
JP4863777B2 (en) Communication processing method and computer system
US7877794B2 (en) Relay apparatus, relay method and program therefor
JP4025268B2 (en) Client / server system, client module, and encrypted communication program
JP6098636B2 (en) Information processing apparatus, information processing system, information processing method, and program
CN109768965B (en) Login method, equipment and storage medium of server
CN101218779B (en) User mapping information extension for protocols
US8369835B2 (en) Web server constituting single sign-on system, method of controlling operation of same, and recording medium storing program for controlling operation of same
US8468360B2 (en) Client terminal, server, server-client system, cooperation processing method, program and recording medium
JP6141041B2 (en) Information processing apparatus, program, and control method
JP2009032070A (en) Authentication system and authentication method
WO2009093572A1 (en) License authentication system and authentication method
JP2009100462A (en) Encryption management apparatus, decryption management apparatus, and program
JP4579597B2 (en) Information processing apparatus, information processing method, and program
JP2006031064A (en) Session management system and management method
JP6465426B1 (en) Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method
KR20130082706A (en) Mobile device for processing application of client device and processing method the same
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
KR101748627B1 (en) Web-based electronic document service apparatus capable of authenticating a document and operating method thereof
JP2010092185A (en) Network relay apparatus, user information management system and user information management method
JP7215542B2 (en) Authentication collaboration device, information processing program, and authentication collaboration system
KR20130078842A (en) Recording medium, server for 2-factor authentication use of image code and one time password
JP2008287359A (en) Authentication apparatus and program
WO2010103800A1 (en) Server, terminal, program, and service providing method
JP5487659B2 (en) Information processing apparatus, information processing method, and program

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20130531

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130531

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20150410