JP2013182302A - ネットワークシステム、認証連携装置、認証連携方法、及びプログラム - Google Patents
ネットワークシステム、認証連携装置、認証連携方法、及びプログラム Download PDFInfo
- Publication number
- JP2013182302A JP2013182302A JP2012043820A JP2012043820A JP2013182302A JP 2013182302 A JP2013182302 A JP 2013182302A JP 2012043820 A JP2012043820 A JP 2012043820A JP 2012043820 A JP2012043820 A JP 2012043820A JP 2013182302 A JP2013182302 A JP 2013182302A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- security token
- service
- service providing
- storage format
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】連携関係の複雑化の抑制とシステム運用時における負荷の増加の抑制とを図り得る、ネットワークシステム、認証連携装置、認証連携方法、及びプログラムを提供する。
【解決手段】ネットワークシステム100は、Webアプリケーションによってサービスを提供するサービス提供装置10と、利用者50の端末40から入力された認証情報に基づいて認証を行い、認証が成功した場合に、利用者を承認していることを示すセキュリティトークンを発行する認証装置20と、認証連携装置30とを備える。認証連携装置30は、認証が成功した場合に、セキュリティトークンを取得し、その格納形式を、利用対象となるサービスに適した格納形式に変換し、変換後のセキュリティトークンを端末40に送信し、更に、端末40に対して、変換後のセキュリティトークンのサービス提供装置10への送信を行なわせる。
【選択図】図1
【解決手段】ネットワークシステム100は、Webアプリケーションによってサービスを提供するサービス提供装置10と、利用者50の端末40から入力された認証情報に基づいて認証を行い、認証が成功した場合に、利用者を承認していることを示すセキュリティトークンを発行する認証装置20と、認証連携装置30とを備える。認証連携装置30は、認証が成功した場合に、セキュリティトークンを取得し、その格納形式を、利用対象となるサービスに適した格納形式に変換し、変換後のセキュリティトークンを端末40に送信し、更に、端末40に対して、変換後のセキュリティトークンのサービス提供装置10への送信を行なわせる。
【選択図】図1
Description
本発明は、Webアプリケーションによるサービスを利用者に提供するための、ネットワークシステム、それに用いられる認証連携装置、更には、認証連携方法及びプログラムに関する。
近年、クラウドによって提供されるWebアプリケーションサービスの利用が盛んになっている。また、Webアプリケーションサービスにおいては、サービス毎に異なる認証方式が採用されていることが多く、このサービス間の認証方式の違いを解決するため、種々のシステムが提案されている。
具体的には、上記のシステムの一つとしては、ドメインを気にせずに使用できるクレームベースのセュリティモデルと、ドメインを越えて異なるサービス間での認証を可能にするフェデレーション(Federation)と、を用いたシステムが挙げられる。
ここで、「クレーム」とは、利用者自身に関する情報を意味し、認証サーバはクレームの内容を基に認証の可否を決定する。クレームベースは、このクレームを利用した認証のことであり、クレーム中には、利用者の権限及び役割といった、従来はサービス側で管理していた情報を含めることができる。このため、クレームベースを利用すれば、利用者を管理している認証サーバ側で、利用者の権限及び役割も管理できる。
また、「フェデレーション」とは、各ドメインの認証サーバによって、ドメイン間の信頼関係に基づいて、利用者に認証サーバが署名したセキュリティトークンを発行し、利用先の認証サーバ及びサービスは、利用者が提示する、認証サーバが署名したセキュリティトークンを利用して、認証する技術である。
つまり、クレームベースのセュリティモデルとフェデレーションとを用いたシステムでは、いずれかのドメインの認証サーバによって、認証が行われる。そして、認証が成功した場合は、認証サーバによってクレームベースに基づいたセキュリティトークンが発行される。その後、ユーザが、認証を行なったドメイン以外の別のドメインでサービスを受けようとする場合は、この別のドメインの認証サーバに、形式変換後のセキュリティトークンが送信される。
また、特許文献1は、Webアプリケーションサービスを提供するサーバ(以下「Webアプリケーションサーバ」と表記する。)と、認証処理を行なう認証サーバと、両者を中継する中継装置とを備えたシステムを開示している。特許文献1に開示されたシステムでは、中継装置が、利用者の端末と認証サーバとの間、利用者の端末とWebアプリケーションサーバとの間、認証サーバとWebアプリケーションサーバとの間、それぞれで介在する。
具体的には、利用者が、いずれかのWebアプリケーションサービスを利用するために、認証を要求すると、中継装置は、利用者からの認証要求を取得し、これを、認証サーバが認識できる方式に変換して認証サーバに送信する。認証サーバは、中継装置を経由して、利用者の端末に認証情報の入力を要求し、入力された認証情報が登録情報と一致する場合は、セッション識別子を発行し、これを中継装置に送信する。その後、中継装置は、送信されてきたセッション識別子を利用者の端末に転送する。
また、利用者が、端末を介して、いずれかのWebアプリケーションサービスの利用を要求すると、中継装置は、利用者からのサービス要求を受け取り、サービス要求にセッション識別子が含まれているかどうかを確認する。セッション識別子が含まれている場合は、中継装置は、サービス要求のデータ形式を、要求先のWebアプリケーションサービスに適したデータ形式に変更し、変換後のサービス要求をWebアプリケーションサーバに送信する。
このように、特許文献1に開示されたシステムでは、中継装置が設置されるため、認証サーバによる一度の認証だけで、利用者は、異なるWebアプリケーションサービスを利用することができる。また、既存の認証サーバ及びWebアプリケーションサーバを改造する必要がなく、そのまま利用できるので、システムの構築にかかるコストの増大が抑制される。
ところで、上述したクレームベースのセュリティモデルとフェデレーションとを用いたシステムでは、認証サーバとWebアプリケーションサーバとが1対1で連携を組むことが前提とされている。
このため、各認証サーバは、サービス毎に、セキュリティトークンの変換方法の情報を保有しなければならず、Webアプリケーションサービス(ドメイン)が追加される度に、各認証サーバには、セキュリティトークンの変換方法の情報を追加する必要がある。つまり、上述したクレームベースのセュリティモデルとフェデレーションとを用いたシステムでは、Webアプリケーションサービスが増加される度に、各認証サーバと各Webアプリケーションサーバとの間の連携関係が複雑になってしまう。結果、セキュリティトークンの変換方法の情報の管理が困難になるという問題が発生する。
一方、特許文献1に開示されたシステムでは、中継装置の介在により、認証サーバとWebアプリケーションサーバとの間の連携関係の複雑化は抑制されると考えられる。しかし、特許文献1に開示されたシステムにおいては、利用者が端末を介して認証を求めた場合だけでなく、認証後に、利用者が端末を介してWebアプリケーションサービスの利用を要求した場合においても、中継装置の介在が必要となる。このため、中継装置における負荷は極めて高く、このことは、クラウドという不特定多数が利用する環境下で利用した場合、システムを運用していく上での懸念事項となってしまう恐れがある。
本発明の目的の一例は、上記問題を解消し、連携関係の複雑化の抑制とシステム運用時における負荷の増加の抑制とを図り得る、ネットワークシステム、認証連携装置、認証連携方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明の一側面におけるネットワークシステムは、
Webアプリケーションによってサービスを提供するサービス提供装置と、
前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、
前記サービス提供装置及び前記認証装置との間で信頼関係を構築する、認証連携装置と、
を備え、
前記認証連携装置は、前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換し、変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ことを特徴とする。
Webアプリケーションによってサービスを提供するサービス提供装置と、
前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、
前記サービス提供装置及び前記認証装置との間で信頼関係を構築する、認証連携装置と、
を備え、
前記認証連携装置は、前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換し、変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ことを特徴とする。
上記目的を達成するため、本発明の一側面における認証連携装置は、Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、に連携して動作する認証連係装置であって、
前記サービス提供装置と前記認証装置との間で信頼関係を構築する、信頼関係構築部と、
前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、格納形式変換部と、
変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、送信部と、
を備えていることを特徴とする。
前記サービス提供装置と前記認証装置との間で信頼関係を構築する、信頼関係構築部と、
前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、格納形式変換部と、
変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、送信部と、
を備えていることを特徴とする。
また、上記目的を達成するため、本発明の一側面における認証連携方法は、Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置とを用いた方法であって、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を有することを特徴とする。
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を有することを特徴とする。
更に、上記目的を達成するため、本発明の一側面におけるプログラムは、Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置とに、コンピュータを連携させるためのプログラムであって、
前記コンピュータに、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を実行させることを特徴とする。
前記コンピュータに、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を実行させることを特徴とする。
以上のように、本発明によれば、連携関係の複雑化の抑制とシステム運用時における負荷の増加の抑制とを図ることができる。
(実施の形態)
以下、本発明の実施の形態における、ネットワークシステム、認証連携装置、認証連携方法、及びプログラムについて、図1〜図8を参照しながら説明する。
以下、本発明の実施の形態における、ネットワークシステム、認証連携装置、認証連携方法、及びプログラムについて、図1〜図8を参照しながら説明する。
[システム構成]
最初に、本実施の形態におけるネットワークシステム及び認証連携装置の構成について図1を用いて説明する。図1は、本発明の実施の形態におけるネットワークシステムの構成を示すブロック図である。
最初に、本実施の形態におけるネットワークシステム及び認証連携装置の構成について図1を用いて説明する。図1は、本発明の実施の形態におけるネットワークシステムの構成を示すブロック図である。
図1に示すように、本実施の形態におけるネットワークシステム100は、サービス提供装置10と、認証装置20と、これらと連携して動作する認証連携装置30とを備えている。また、これらは、インターネット等のネットワーク60に接続され、ネットワーク60を介して相互にアクセス可能となっている。なお、図1の例では、サービス提供装置10及び認証装置20は、各1つずつ図示されているが、本実施の形態においてこれらの数は限定されるものではない。
また、サービス提供装置10によるサービスを利用する利用者50の端末40も、ネットワーク60に接続されている。更に、端末40には、Webブラウザ41が導入されており、利用者50は、Webブラウザ41を介して、サービス提供装置10、認証装置20、及び認証連携装置30と通信を行なう。
サービス提供装置10は、Webアプリケーションによってサービスを提供する装置である。具体的には、サービス提供装置10は、サーバコンピュータによって構築されており、いわゆる、Webアプリケーションサーバである。サービス提供装置10は、利用者50の端末40のWebブラウザ41上でサービスを提供する。
認証装置20は、利用者50が端末40から入力した認証情報に基づいて認証を行い、認証が成功した場合に、利用者40を承認していることを示すセキュリティトークンを発行する。認証装置20も、サーバコンピュータによって構築されている。
認証連携装置30は、信頼関係構築部31と、格納形式変換部32と、送信部33とを備えている。このうち、信頼関係構築部31は、サービス提供装置10と認証装置20との間で信頼関係を構築する。
格納形式変換部32は、認証装置20による認証が成功した場合に、認証装置20が発行したセキュリティトークンを取得する。そして、格納形式変換部32は、取得したセキュリティトークンの格納形式を、利用対象となるサービスに適した格納形式に変換する。
送信部33は、変換後のセキュリティトークンを利用者50の端末40に送信し、更に、利用者50の端末40に対して、変換後のセキュリティトークンのサービス提供装置10への送信を行なわせる。
このように、本実施の形態においては、セキュリティトークンの格納形式の変換は、認証連携装置30のみによって行なわれるので、従来と異なり、連携関係の複雑化は回避される。また、サービス装置10に適したセキュリティトークンは、利用者50の端末40に送信され、そこからサービス装置10へと送信されるので、認証連携装置30は、端末40でのサービス利用時においては処理を行なう必要がない。このため、システム運用時における負荷の増加が抑制される。
ここで、本実施の形態におけるネットワークシステム10及び認証連携装置30について更に具体的に説明する。図1に示すように、本実施の形態では、認証連携装置30は、信頼関係構築部31と、格納形式変換部32と、送信部33とに加え、各種情報を登録する記憶部34を備えている。
信頼関係構築部31は、本実施の形態では、まず、信頼関係を構築するため、認証装置20及びWeサービス提供装置10それぞれに関する情報(例えば、URI等)を、ノード情報35(後述する図4参照)として記憶部34に登録する。
続いて、信頼関係構築部31は、サービス提供装置10とそれに対応している認証装置20とを紐付け、これらを特定する情報を信頼関係規則36(後述する図5参照)として記憶部34に登録する。また、これにより、紐付けられた認証装置20は、認証連携装置30をサービス提供装置10として認識し、同じく紐付けられたサービス提供装置10は、認証連携装置30を認証装置20として認識する。
更に、信頼関係構築部31は、変換規則37(後述する図6〜図8参照)も記憶部34に登録する。変換規則37は、認証連携装置30において標準形式に設定されたセキュリティトークンの格納形式と、標準形式以外のセキュリティトークンの格納形式との間での変換を可能にする規則である。
また、本実施の形態において、認証連携装置30で使用される「標準形式」は、例えば、標準化団体OASISによって規定された格納形式に独自の格納形式を組み合わせる等して作成される。更に、「標準形式以外のセキュリティトークンの格納形式」としては、認証装置20が採用している格納形式、及びサービス提供装置10が採用している格納形式が挙げられる。なお、認証装置20が採用している格納形式、及びサービス提供装置10が採用している格納形式は、標準化団体OASISによって規定された格納形式であっても良いし、各装置で独自に策定された格納形式であっても良い。
また、本実施の形態では、信頼関係構築部31は、サービス提供装置10及び認証装置20それぞれとの間で、証明書(例えば、SSL証明書)を交換する。そして、信頼関係構築部31は、図1においては図示されていないが、認証装置20及びサービス提供装置10それぞれが発行する証明書も、記憶部34に格納し、これを登録する。また、連携対象となるサービス提供装置10及び認証装置20も、認証連携装置30の証明書を登録する。
本実施の形態では、このように、ノード情報35、信頼関係規則36、変換規則37、及び証明書が、認証連携装置30に登録されることにより、認証連携装置30と、サービス提供装置10及び認証装置20との間で、信頼関係が構築される。
そして、信頼関係の構築により、利用者の認証時においては、サービス提供装置10及び認証装置20それぞれは、認証連携装置30とのみ通信を行えば良い。よって、ネットワークシステム100に、連携対象となる認証装置20及びサービス提供装置10が追加された場合、この新たに追加された認証装置20及びサービス提供装置10は、認証連携装置30との間で信頼関係を構築するだけで良い。また、新たに追加された認証装置20及びサービス提供装置10は、認証連携装置30とすでに信頼関係を構築している全ての認証装置20及びサービス提供装置10と、認証連携装置30を介して連携することができる。
また、本実施の形態では、利用者がサービスの利用時においてサービス提供装置10によって承認されていない場合、サービス提供装置10は、認証要求を、利用者50の端末40ではなく、認証連携装置30に送信することができる。
この場合、認証連携装置30において、信頼関係構築部31は、信頼関係規則36に基づいて、サービス提供装置10に紐付けされている認証装置20を特定し、特定した認証装置20に対して認証を行なうように、利用者50の端末40に指示を送信する。その後、認証装置20は、認証要求に従って利用者を認証し、認証が成功した場合は、セキュリティトークンを発行して、これを認証連携装置30に送信する。
また、格納形式変換部32は、本実施の形態では、変換規則36を用いて、まず、取得したセキュリティトークンの格納形式を標準形式に変換し、更に、標準形式に変換されたセキュリティトークンの格納形式を、利用先となるサービスに適した格納形式に変換する。
具体的には、格納形式変換部32は、信頼関係規則36とノード情報35とに基づいて、変換規則37を検索し、認証装置20が採用するセキュリティトークンの形式を標準形式に変換する変換規則を抽出する。そして、格納形式変換部32は、これを用いて、セキュリティトークンの格納形式を標準形式に変換する。
続いて、格納形式変換部32は、信頼関係規則36とノード情報35とに基づいて、変換規則37を検索し、標準形式をサービス提供装置10が採用するセキュリティトークンの格納形式に変換する変換規則を抽出する。そして、格納形式変換部32は、これを用いて、セキュリティトークンの格納形式を、サービス提供装置10が採用する格納形式に変換する。
このように、認証装置20とサービス提供装置10との間に1対1の変換規則は存在しておらず、格納形式変換部32は、セキュリティトークンの格納形式を、認証装置20の格納形式から、利用先となるサービスの格納形式へと一度に変換する必要はない。このため、用意すべき変換規則36の数を抑制でき、変換規則の複雑化が抑制される。
また、上述したように、セキュリティトークンは、その格納形式がサービス提供装置によって求められる格納形式に変換されると、送信部33から、利用者50の端末40を通じて、サービス提供装置10へと送信される。これにより、利用者50は、サービス提供装置10が提供するサービスを利用することができるようになる。
そして、一旦認証されると、そのセキュリティトークンが有効である限り、利用者50は、認証連携装置30に認証を要求する必要はなく、サービスの要求は、利用者50の端末40とサービス提供装置10との間でのみ行われる。なお、セキュリティトークンが無効になれば、サービス提供装置10は、再度、認証連携装置30に認証要求を送信する。
[システム動作]
次に、本実施の形態におけるネットワークシステム100及び認証連携装置30の動作について図2〜図8を用いて説明する。以下の説明においては、適宜図1を参酌する。また、本実施の形態では、認証連携装置30を動作させることによって、認証連携方法が実施される。よって、本実施の形態における認証連携方法の説明は、以下のネットワークシステム100及び認証連携装置30の動作説明に代える。
次に、本実施の形態におけるネットワークシステム100及び認証連携装置30の動作について図2〜図8を用いて説明する。以下の説明においては、適宜図1を参酌する。また、本実施の形態では、認証連携装置30を動作させることによって、認証連携方法が実施される。よって、本実施の形態における認証連携方法の説明は、以下のネットワークシステム100及び認証連携装置30の動作説明に代える。
[認証処理]
最初に、図2を用いて、本実施の形態におけるネットワークシステム100の認証時における動作について説明する。図2は、本発明の実施の形態におけるネットワークシステムの認証処理時の動作を示すフロー図である。
最初に、図2を用いて、本実施の形態におけるネットワークシステム100の認証時における動作について説明する。図2は、本発明の実施の形態におけるネットワークシステムの認証処理時の動作を示すフロー図である。
まず、前提として、利用者50が、端末40にインストールされているWebブラウザ41を使って、サービス提供装置10が提供するサービス(Webアプリケーションサービス)にアクセスする。これにより、サービス提供装置10は、端末40を承認しているかどうかを判定し、未承認の場合は、端末40のWebブラウザ41に対して、認証連携装置30に認証要求を送るようにリダイレクトを返信する。
そして、端末40のWebブラウザ41は、サービス提供装置10からのリダイレクトを受信すると、認証連携装置30に認証要求を送信する。これにより、図2に示すように、認証連携装置30において、信頼関係構築部31は、Webブラウザ41から送信された認証要求を受信する(ステップA1)。
次に、信頼関係構築部31は、信頼関係規則36を参照し、サービス提供装置10の認証要求の認証先となる認証装置20を検索し、検索によって特定した認証装置20のURIを記述したリダイレクトを、端末40のWebブラウザ41に送信する(ステップA2)。
ステップA2が実行されると、Webブラウザ41は、そのリダイレクトを受けて認証要求を認証装置20に送信する。これにより、認証装置20は、受け取った認証要求に含まれる認証情報に基づいて認証処理を行う。その後、認証が成功すると、認証装置20は、端末40の利用者50を承認していることを示すセキュリティトークンを発行する(ステップA3)。
また、ステップA3の実行後、認証装置20は、そのセキュリティトークンと一緒に認証連携装置30へのリダイレクトを、端末40のWebブラウザ41に返信する(ステップA4)。そして、このリダイレクトを受けて、Webブラウザ41は、セキュリティトークンを認証連携装置30に送信する。
次に、認証連携装置30において、格納形式変換部32は、送信されてきたセキュリティトークンを受け取る。そして、格納形式変換部32は、ノード情報35から認証装置20に関する情報(例えば、URI(Uniform Resource Identifier))を取得し、これを基に、変換規則37から、認証装置20が採用するセキュリティトークンの形式を標準形式に変換する変換規則を抽出する。そして、格納形式変換部32は、これを用いて、セキュリティトークンの格納形式を標準形式に変換する(ステップA5)。
次に、格納形式変換部32は、ノード情報35から、サービス提供装置10に関する情報(例えば、URI)を取得し、これを基に、変換規則37から、標準形式をサービス提供装置10が採用するセキュリティトークンの格納形式に変換する変換規則を抽出する。そして、格納形式変換部32は、これを用いて、セキュリティトークンの格納形式を、標準形式からサービス提供装置10が採用する格納形式に変換する(ステップA6)。
その後、送信部33は、変換後のセキュリティトークンを、端末40のWebブラウザ41をWebブラウザ41に返信する(ステップA7)。また、Webブラウザ41は、このセキュリティトークンを、サービス提供装置10に送信する。これにより、利用者50は、サービス提供装置10が提供するサービスを利用することができるようになる。
[信頼関係構築処理]
続いて、図3〜図7を用いて、本実施の形態におけるネットワークシステム100の信頼関係構築時における動作、即ち、認証連携装置30がサービス提供装置10及び認証装置20との間で信頼関係を構築する際の、認証連携装置30の動作について説明する。図3は、本発明の実施の形態におけるネットワークシステムの信頼関係構築処理時の動作を示すフロー図である。
続いて、図3〜図7を用いて、本実施の形態におけるネットワークシステム100の信頼関係構築時における動作、即ち、認証連携装置30がサービス提供装置10及び認証装置20との間で信頼関係を構築する際の、認証連携装置30の動作について説明する。図3は、本発明の実施の形態におけるネットワークシステムの信頼関係構築処理時の動作を示すフロー図である。
最初に、図3に示すように、認証連携装置30において、信頼関係構築部31は、サービス提供装置10及び認証装置20と連携を図るため、まず、ノード情報35として、認証装置20及びサービス提供装置10それぞれに関する情報を登録する(ステップB1)。具体的には、図4に示すように、ノード情報35には、ノードID、ノード名(サーバ又はサービスの名称)、URIが含まれている。図4は、本発明の実施の形態で登録されるノード情報の一例を示す図である。
次に、信頼関係構築部31は、キュリティトークンを要求するサービス提供装置10と、その要求を受けてセキュリティトークンを発行する認証装置20とを紐付け、これらを特定する情報を信頼関係規則36として登録する(ステップB2)。
具体的には、図5に示すように、信頼関係規則36には、紐付けられたサービス提供装置10と認証装置20との組毎に、信頼関係ID、セキュリティトークン発行側ノードID、及びセキュリティトークン要求側ノードIDが含まれている。図5は、本発明の実施の形態で登録される信頼関係規則の一例を示す図である。なお、「セキュリティトークン発行側ノードID」は、認証装置20のノードIDに相当し、「セキュリティトークン要求側ノードID」は、サービス提供装置10のノードIDに相当する。
次に、信頼関係構築部31は、信頼関係規則36に登録した信頼関係毎に、変換規則を登録する(ステップB3)。その後、信頼関係構築部31は、記憶部34に、認証装置20の証明書と、サービス提供装置10の証明書とを登録する(ステップB4)。また、信頼関係構築部31は、サービス提供装置10及び認証装置20それぞれに、認証連携装置30の証明書を送信し、登録を行なわせる。
以上のステップB1〜B3が実行されると、認証連携装置30とサービス提供装置10及び認証装置20との間の信頼関係が構築される。この後、上述したステップA1〜A7が実行される。
ここで、図6〜図8を用いて、ステップB3で登録される変換規則について説明する。図6は、本発明の実施の形態で登録される変換規則の一例を示す図である。図7は、図6に示された変換規則TYPEの内容を示す図である。図8は、図6に示された変換規則VALUEの内容を示す図である。
図6に示すように、図5に示した信頼関係ID「T0000001」について、3つの変換規則が登録され、各変換規則には、変換規則IDが付与されている。また、変換規則毎に、セキュリティトークンに含まれる情報のうちの変換対象となる情報と、変換規則の種類とが登録されている。なお、変換規則の種類として、図6の例では、「TYPE」と「VALUE」とが示されている。
また、図7は、種類が「TYPE」である場合の変換規則の内容を示している。図7に示すように、「TYPE」においては、変換規則ID毎に、標準形式に含まれる項目と、その変換元となる項目(又はその変換先となる項目)とがノードID別に登録されている。
また、図8は、種類が「VALUE」である場合の変換規則の内容を示している。図8に示すように、「VALUE」においては、変換規則ID毎に、変換対象となる情報と、当該情報が標準形式で登録されたときの値と、当該情報が変換元の形式で登録されたときの値(又は変換先の形式で登録されたときの値)とがノードID別に登録されている。
以上のように本実施の形態では、セキュリティトークンの格納形式の変換は、認証連携装置30のみによって行なわれ、また、変換規則は、認証連携装置30によって一元管理されている。従って、利用者が複数のクラウドサービスを利用できる場合、即ち、複数の認証装置と複数のサービス提供装置とが連携し、各サービス提供装置で認証情報の形式が異なる場合であっても、サービス提供装置は、個々に変換規則を持つ必要はなく、連携関係の複雑化が抑制される。
また、この認証連携装置30は、利用者50の認証が必要な時にのみ使用され、認証後、サービス提供装置10は、利用者50の端末40と直接情報のやり取りを行なう。このため、本実施の形態におけるネットワークシステムが、不特定多数が利用するクラウドサービスのシステムに適用されたとしても、認証連携装置30に負荷がかかりすぎる事態は回避される。
[プログラム]
また、本実施の形態におけるプログラムは、コンピュータに、図2に示すステップA1、A2、A5〜A7、図3に示すB1〜B4を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における認証連携装置30及び認証連携方法を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、信頼関係構築部31、格納形式変換部32、及び送信部33として機能し、処理を行なう。また、本実施の形態では、コンピュータに備えられたハードディスク等の記憶装置が、記憶部34として機能する。
また、本実施の形態におけるプログラムは、コンピュータに、図2に示すステップA1、A2、A5〜A7、図3に示すB1〜B4を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における認証連携装置30及び認証連携方法を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、信頼関係構築部31、格納形式変換部32、及び送信部33として機能し、処理を行なう。また、本実施の形態では、コンピュータに備えられたハードディスク等の記憶装置が、記憶部34として機能する。
ここで、本実施の形態におけるプログラムを実行することによって、認証連携装置30を実現するコンピュータについて図9を用いて説明する。図9は、本発明の実施の形態における認証連携装置を実現するコンピュータの一例を示すブロック図である。
図9に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。
また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。
データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。
また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
上述した実施の形態の一部又は全部は、以下に記載する(付記1)〜(付記15)によって表現することができるが、以下の記載に限定されるものではない。
(付記1)
Webアプリケーションによってサービスを提供するサービス提供装置と、
前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、
前記サービス提供装置及び前記認証装置との間で信頼関係を構築する、認証連携装置と、
を備え、
前記認証連携装置は、前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換し、変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、
ことを特徴とするネットワークシステム。
Webアプリケーションによってサービスを提供するサービス提供装置と、
前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、
前記サービス提供装置及び前記認証装置との間で信頼関係を構築する、認証連携装置と、
を備え、
前記認証連携装置は、前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換し、変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、
ことを特徴とするネットワークシステム。
(付記2)
前記認証連携装置が、当該認証連携装置において標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式との間での変換を可能にする変換規則を有し、前記変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
付記1に記載のネットワークシステム。
前記認証連携装置が、当該認証連携装置において標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式との間での変換を可能にする変換規則を有し、前記変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
付記1に記載のネットワークシステム。
(付記3)
前記認証連携装置が、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、付記1または2に記載のネットワークシステム。
前記認証連携装置が、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、付記1または2に記載のネットワークシステム。
(付記4)
前記利用者が前記サービス提供装置において承認されていない場合に、前記認証連携装置が、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、付記3に記載のネットワークシステム。
前記利用者が前記サービス提供装置において承認されていない場合に、前記認証連携装置が、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、付記3に記載のネットワークシステム。
(付記5)
Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、に連携して動作する認証連係装置であって、
前記サービス提供装置と前記認証装置との間で信頼関係を構築する、信頼関係構築部と、
前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、格納形式変換部と、
変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、送信部と、
を備えていることを特徴とする認証連携装置。
Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、に連携して動作する認証連係装置であって、
前記サービス提供装置と前記認証装置との間で信頼関係を構築する、信頼関係構築部と、
前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、格納形式変換部と、
変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、送信部と、
を備えていることを特徴とする認証連携装置。
(付記6)
当該認証連携装置において標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式との間での変換を可能にする変換規則を格納する、記憶部を更に備え、
前記格納形式変換部が、前記変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
付記5に記載の認証連携装置。
当該認証連携装置において標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式との間での変換を可能にする変換規則を格納する、記憶部を更に備え、
前記格納形式変換部が、前記変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
付記5に記載の認証連携装置。
(付記7)
前記信頼関係構築部が、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、付記5または6に記載の認証連携装置。
前記信頼関係構築部が、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、付記5または6に記載の認証連携装置。
(付記8)
前記利用者が前記サービス提供装置において承認されていない場合に、前記信頼関係構築部が、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、付記7に記載の認証連携装置。
前記利用者が前記サービス提供装置において承認されていない場合に、前記信頼関係構築部が、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、付記7に記載の認証連携装置。
(付記9)
Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置とを用いた方法であって、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を有することを特徴とする認証連携方法。
Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置とを用いた方法であって、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を有することを特徴とする認証連携方法。
(付記10)
前記(b)のステップにおいて、標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式と、の間での変換を可能にする変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
付記9に記載の認証連携方法。
前記(b)のステップにおいて、標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式と、の間での変換を可能にする変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
付記9に記載の認証連携方法。
(付記11)
前記(a)のステップにおいて、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、付記9または10に記載の認証連携方法。
前記(a)のステップにおいて、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、付記9または10に記載の認証連携方法。
(付記12)
(d)前記利用者が前記サービス提供装置において承認されていない場合に、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、ステップを更に有する、
付記11に記載の認証連携方法。
(d)前記利用者が前記サービス提供装置において承認されていない場合に、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、ステップを更に有する、
付記11に記載の認証連携方法。
(付記13)
Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置とに、コンピュータを連携させるためのプログラムであって、
前記コンピュータに、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を実行させるプログラム。
Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置とに、コンピュータを連携させるためのプログラムであって、
前記コンピュータに、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を実行させるプログラム。
(付記14)
前記(b)のステップにおいて、標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式と、の間での変換を可能にする変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
付記13に記載のプログラム。
前記(b)のステップにおいて、標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式と、の間での変換を可能にする変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
付記13に記載のプログラム。
(付記15)
前記(a)のステップにおいて、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、付記13または14に記載のプログラム。
前記(a)のステップにおいて、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、付記13または14に記載のプログラム。
(付記16)
(d)前記利用者が前記サービス提供装置において承認されていない場合に、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、ステップを更に前記コンピュータに実行させる、付記15に記載のプログラム。
(d)前記利用者が前記サービス提供装置において承認されていない場合に、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、ステップを更に前記コンピュータに実行させる、付記15に記載のプログラム。
以上のように、本発明によれば、連携関係の複雑化の抑制とシステム運用時における負荷の増加の抑制とが図られる。本発明は、複数の認証サーバとWebアプリケーションサーバとが連携するクラウンドサービスのシステムに有用である。
10 サービス提供装置
20 認証装置
30 認証連携装置
31 信頼関係構築部
32 格納形式変換部
33 送信部
34 記憶装置
35 ノード情報
36 信頼関係規則
37 変換規則
40 端末
41 Webブラウザ
50 利用者
100 ネットワークシステム
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
20 認証装置
30 認証連携装置
31 信頼関係構築部
32 格納形式変換部
33 送信部
34 記憶装置
35 ノード情報
36 信頼関係規則
37 変換規則
40 端末
41 Webブラウザ
50 利用者
100 ネットワークシステム
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
Claims (7)
- Webアプリケーションによってサービスを提供するサービス提供装置と、
前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、
前記サービス提供装置及び前記認証装置との間で信頼関係を構築する、認証連携装置と、
を備え、
前記認証連携装置は、前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換し、変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、
ことを特徴とするネットワークシステム。 - 前記認証連携装置が、当該認証連携装置において標準形式に設定された前記セキュリティトークンの格納形式と、前記標準形式以外のセキュリティトークンの格納形式との間での変換を可能にする変換規則を有し、前記変換規則を用いて、まず、取得した前記セキュリティトークンの格納形式を前記標準形式に変換し、更に、前記標準形式に変換された前記セキュリティトークンの格納形式を、利用先となる前記サービスに適した格納形式に変換する、
請求項1に記載のネットワークシステム。 - 前記認証連携装置が、前記サービス提供装置とそれに対応している前記認証装置とを紐付けて登録し、更に、前記サービス提供装置及び前記認証装置それぞれとの間で証明書を交換することによって、前記信頼関係を構築する、請求項1または2に記載のネットワークシステム。
- 前記利用者が前記サービス提供装置において承認されていない場合に、前記認証連携装置が、前記サービス提供装置に紐付けされている前記認証装置を特定し、特定した前記認証装置に対して認証を行なうように、前記利用者の端末に指示を送信する、請求項3に記載のネットワークシステム。
- Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置と、に連携して動作する認証連係装置であって、
前記サービス提供装置と前記認証装置との間で信頼関係を構築する、信頼関係構築部と、
前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、格納形式変換部と、
変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、送信部と、
を備えていることを特徴とする認証連携装置。 - Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置とを用いた方法であって、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を有することを特徴とする認証連携方法。 - Webアプリケーションによってサービスを提供するサービス提供装置と、前記サービスを利用する利用者の端末から入力された認証情報に基づいて認証を行い、前記認証が成功した場合に、前記利用者を承認していることを示すセキュリティトークンを発行する、認証装置とに、コンピュータを連携させるためのプログラムであって、
前記コンピュータに、
(a)前記サービス提供装置と前記認証装置との間で信頼関係を構築する、ステップと、
(b)前記認証装置による前記認証が成功した場合に、前記セキュリティトークンを取得し、その格納形式を、利用対象となる前記サービスに適した格納形式に変換する、ステップと、
(c)変換後の前記セキュリティトークンを前記利用者の端末に送信し、更に、前記利用者の端末に対して、変換後の前記セキュリティトークンの前記サービス提供装置への送信を行なわせる、ステップと、
を実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012043820A JP5626919B2 (ja) | 2012-02-29 | 2012-02-29 | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012043820A JP5626919B2 (ja) | 2012-02-29 | 2012-02-29 | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013182302A true JP2013182302A (ja) | 2013-09-12 |
| JP5626919B2 JP5626919B2 (ja) | 2014-11-19 |
Family
ID=49272933
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012043820A Active JP5626919B2 (ja) | 2012-02-29 | 2012-02-29 | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5626919B2 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016092630A1 (ja) * | 2014-12-09 | 2016-06-16 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| WO2017011136A1 (en) * | 2015-07-14 | 2017-01-19 | Mastercard International Incorporated | Identity federation and token translation module for use with a web application |
| JP2017103769A (ja) * | 2015-12-01 | 2017-06-08 | 中華電信股▲分▼有限公司 | 安全と機能拡張性を有する有線ローカルエリアネットワークユーザー管理システムと方法 |
| JP2018142266A (ja) * | 2017-02-28 | 2018-09-13 | 株式会社野村総合研究所 | 不正アクセス検出装置、プログラム及び方法 |
| RU2718970C1 (ru) * | 2019-01-09 | 2020-04-15 | Кэнон Кабусики Кайся | Устройство обработки информации, способ управления для устройства обработки информации, система обработки информации и компьютерная программа |
| JP2021082342A (ja) * | 2021-02-22 | 2021-05-27 | 株式会社野村総合研究所 | 不正アクセス検出装置、プログラム及び方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002297451A (ja) * | 2001-03-30 | 2002-10-11 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ管理方法、装置、プログラム及び記録媒体 |
| US20040230831A1 (en) * | 2003-05-12 | 2004-11-18 | Microsoft Corporation | Passive client single sign-on for Web applications |
| JP2006252418A (ja) * | 2005-03-14 | 2006-09-21 | Nec Corp | 認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム |
| JP2010128719A (ja) * | 2008-11-26 | 2010-06-10 | Hitachi Ltd | 認証仲介サーバ、プログラム、認証システム及び選択方法 |
| JP2010165250A (ja) * | 2009-01-16 | 2010-07-29 | Nippon Telegr & Teleph Corp <Ntt> | サービス連携処理システム及び方法 |
| WO2010110182A1 (ja) * | 2009-03-24 | 2010-09-30 | 日本電気株式会社 | 仲介装置、仲介方法、プログラム及び仲介システム |
-
2012
- 2012-02-29 JP JP2012043820A patent/JP5626919B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002297451A (ja) * | 2001-03-30 | 2002-10-11 | Nippon Telegr & Teleph Corp <Ntt> | コンテンツ管理方法、装置、プログラム及び記録媒体 |
| US20040230831A1 (en) * | 2003-05-12 | 2004-11-18 | Microsoft Corporation | Passive client single sign-on for Web applications |
| JP2006252418A (ja) * | 2005-03-14 | 2006-09-21 | Nec Corp | 認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム |
| JP2010128719A (ja) * | 2008-11-26 | 2010-06-10 | Hitachi Ltd | 認証仲介サーバ、プログラム、認証システム及び選択方法 |
| JP2010165250A (ja) * | 2009-01-16 | 2010-07-29 | Nippon Telegr & Teleph Corp <Ntt> | サービス連携処理システム及び方法 |
| WO2010110182A1 (ja) * | 2009-03-24 | 2010-09-30 | 日本電気株式会社 | 仲介装置、仲介方法、プログラム及び仲介システム |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016092630A1 (ja) * | 2014-12-09 | 2016-06-16 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| CN107004094B (zh) * | 2014-12-09 | 2021-01-15 | 佳能株式会社 | 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 |
| RU2678428C2 (ru) * | 2014-12-09 | 2019-01-29 | Кэнон Кабусики Кайся | Устройство обработки информации, способ управления для устройства обработки информации, система обработки информации и компьютерная программа |
| EP3232363A4 (en) * | 2014-12-09 | 2018-07-18 | Canon Kabushiki Kaisha | Information processing device, method for controlling information processing device, information processing system, and computer program |
| CN107004094A (zh) * | 2014-12-09 | 2017-08-01 | 佳能株式会社 | 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序 |
| JPWO2016092630A1 (ja) * | 2014-12-09 | 2017-09-21 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
| US9825939B2 (en) | 2015-07-14 | 2017-11-21 | Mastercard International Incorporated | Identity federation and token translation module for use with a web application |
| US9674200B2 (en) | 2015-07-14 | 2017-06-06 | Mastercard International Incorporated | Identity federation and token translation module for use with a web application |
| WO2017011136A1 (en) * | 2015-07-14 | 2017-01-19 | Mastercard International Incorporated | Identity federation and token translation module for use with a web application |
| JP2017103769A (ja) * | 2015-12-01 | 2017-06-08 | 中華電信股▲分▼有限公司 | 安全と機能拡張性を有する有線ローカルエリアネットワークユーザー管理システムと方法 |
| JP2018142266A (ja) * | 2017-02-28 | 2018-09-13 | 株式会社野村総合研究所 | 不正アクセス検出装置、プログラム及び方法 |
| RU2718970C1 (ru) * | 2019-01-09 | 2020-04-15 | Кэнон Кабусики Кайся | Устройство обработки информации, способ управления для устройства обработки информации, система обработки информации и компьютерная программа |
| JP2021082342A (ja) * | 2021-02-22 | 2021-05-27 | 株式会社野村総合研究所 | 不正アクセス検出装置、プログラム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5626919B2 (ja) | 2014-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9276926B2 (en) | Secure and automated credential information transfer mechanism | |
| US9043591B2 (en) | Image forming apparatus, information processing method, and storage medium | |
| JP6006533B2 (ja) | 認可サーバー及びクライアント装置、サーバー連携システム、トークン管理方法 | |
| JP5626919B2 (ja) | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム | |
| JP7096736B2 (ja) | システム、及びデータ処理方法 | |
| JP2017004301A (ja) | 認証サーバーシステム、方法、プログラムおよび記憶媒体 | |
| JP2015005202A (ja) | 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム | |
| JP6248641B2 (ja) | 情報処理システム及び認証方法 | |
| JP2014067379A (ja) | デバイス装置、その制御方法、およびそのプログラム | |
| JP5342020B2 (ja) | グループ定義管理システム | |
| JP2014099030A (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
| JP2006252418A (ja) | 認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム | |
| US20140365653A1 (en) | System, method of disclosing information, and apparatus | |
| US7784085B2 (en) | Enabling identity information exchange between circles of trust | |
| EP2805447B1 (en) | Integrating server applications with multiple authentication providers | |
| JP5383923B1 (ja) | 情報処理装置、情報処理システム、情報処理方法およびプログラム | |
| JP2008071226A (ja) | クレデンシャルコンバージョンシステムと方法、コンピュータ装置、及びプログラム | |
| JP2012181662A (ja) | アカウント情報連携システム | |
| JP4573559B2 (ja) | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム | |
| US9590990B2 (en) | Assigning user requests of different types or protocols to a user by trust association interceptors | |
| WO2023024057A1 (zh) | 跨域授权处理方法及跨域调用处理方法 | |
| WO2017185498A1 (zh) | 一种注册管理方法和装置 | |
| JP2014026348A (ja) | 情報流通システム、認証連携方法、装置及びそのプログラム | |
| JP2012244382A (ja) | ゲートウェイ装置および通信方法 | |
| JP2015191508A (ja) | シングルサインオンシステム、シングルサインオン方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140312 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140508 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20140609 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140902 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140925 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5626919 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |