JP2013250894A - Mapping server and single sign-on system, mapping function providing method - Google Patents
Mapping server and single sign-on system, mapping function providing method Download PDFInfo
- Publication number
- JP2013250894A JP2013250894A JP2012126544A JP2012126544A JP2013250894A JP 2013250894 A JP2013250894 A JP 2013250894A JP 2012126544 A JP2012126544 A JP 2012126544A JP 2012126544 A JP2012126544 A JP 2012126544A JP 2013250894 A JP2013250894 A JP 2013250894A
- Authority
- JP
- Japan
- Prior art keywords
- mapping
- user
- server
- idp
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 337
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000007781 pre-processing Methods 0.000 claims description 106
- 230000008569 process Effects 0.000 claims description 30
- 238000013475 authorization Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 12
- 108010029660 Intrinsically Disordered Proteins Proteins 0.000 abstract description 37
- 102100037845 Isocitrate dehydrogenase [NADP], mitochondrial Human genes 0.000 abstract description 37
- 230000006870 function Effects 0.000 description 162
- 230000007704 transition Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 10
- 239000000284 extract Substances 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000007423 decrease Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000003825 pressing Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- KNMAVSAGTYIFJF-UHFFFAOYSA-N 1-[2-[(2-hydroxy-3-phenoxypropyl)amino]ethylamino]-3-phenoxypropan-2-ol;dihydrochloride Chemical compound Cl.Cl.C=1C=CC=CC=1OCC(O)CNCCNCC(O)COC1=CC=CC=C1 KNMAVSAGTYIFJF-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、たとえばマルチテナント対応したサーバー群の間等でシングルサインオンを実現するための、マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法に関する。 The present invention relates to a mapping server, a single sign-on system, and a mapping function providing method for realizing a single sign-on between, for example, a multi-tenant server group.
特に、サーバー群から構成されるIDPを複数登録可能なシステムにおいて、各々のIDPに適当なマッピングサーバーとシングルサインオンシステム、マッピング機能提供方法に関する。 In particular, the present invention relates to a mapping server, a single sign-on system, and a mapping function providing method suitable for each IDP in a system capable of registering a plurality of IDPs composed of servers.
従来、異なるドメイン下に存在する複数のサーバー間で認証を連携させる技術として、Security Assertion Markup Language(以下SAMLという)によるシングルサインオン(以下SSOという)の仕組みが知られている。SAMLを実現するシステムは、認証機能を提供するサーバー群(アイデンティティプロバイダ、以下IDPという)を含む。またIDPの認証結果を信頼して機能を提供する少なくとも一つ以上のサーバー群(サービスプロバイダ、以下SPという)も含む。SAMLによるSSOを利用するユーザーは、前述のIDPとSPのそれぞれのドメインにおけるユーザーID等の認証情報を登録している。 2. Description of the Related Art Conventionally, a single sign-on (hereinafter referred to as SSO) mechanism based on Security Association Markup Language (hereinafter referred to as SAML) is known as a technique for linking authentication between a plurality of servers existing under different domains. A system for realizing SAML includes a server group (identity provider, hereinafter referred to as IDP) that provides an authentication function. It also includes at least one server group (service provider, hereinafter referred to as SP) that provides a function by trusting the IDP authentication result. A user who uses SSO by SAML registers authentication information such as a user ID in each of the above-described IDP and SP domains.
ユーザーがSPの機能提供を受ける場合、IDPにアクセスし認証を受ける必要がある。例えば、ユーザーはIDPにて管理されているユーザーIDおよびパスワードを使ってIDPで認証される。そしてIDPは、認証したユーザーに対し、認証したことの証明であるSAMLアサーションをSP向けに発行する。SPは、このSAMLアサーションが、信頼しているIDPで発行されたものかを検証する事でユーザーを認証する。たとえばこの検証は、IDPの証明書を用いた電子署名を検証することで行われる。このとき、ユーザーはSPで管理されている認証情報を入力することなく、SPと連携するサーバー群が提供するサービスを受けることができる。 When the user is provided with the SP function, it is necessary to access the IDP for authentication. For example, a user is authenticated by IDP using a user ID and password managed by IDP. The IDP issues a SAML assertion, which is a proof of authentication, to the SP for the authenticated user. The SP authenticates the user by verifying whether this SAML assertion is issued by a trusted IDP. For example, this verification is performed by verifying an electronic signature using an IDP certificate. At this time, the user can receive a service provided by the server group linked with the SP without inputting authentication information managed by the SP.
なお、ユーザーがSPにSSOを利用しアクセスする際は、上述のように自身のSP用のユーザーIDをSPに渡していない。そのため、ユーザーはSSOを利用するのに先立って、IDPで認証を受けるIDP用のユーザーIDと、SPにアクセスする際のSP用のユーザーIDとの対応関係を上述のシステムに保持しておく必要がある。この対応関係を登録する処理をシングルサインオンマッピング(以下、SSOマッピングという)と呼ぶ。 When the user accesses the SP using SSO, the user ID for the SP is not handed over to the SP as described above. Therefore, prior to using SSO, the user needs to maintain the correspondence between the IDP user ID authenticated by IDP and the SP user ID when accessing the SP in the above system. There is. The process of registering this correspondence is called single sign-on mapping (hereinafter referred to as SSO mapping).
このように、SAMLのSSOは、IDPとSPの信頼関係によって成り立っている。つまりは、SSOを実現する前に、事前にIDPとSPとの間で信頼関係を結んでいる必要がある。この信頼関係は、SAMLプロトコルで規定されたどの方式でSSOを行うのかを記述したメタデータと、アサーションがIDPから発行された事を証明するための電子証明書の交換によって成立する。 Thus, SAML SSO is established by the trust relationship between IDP and SP. In other words, before realizing SSO, it is necessary to establish a trust relationship between the IDP and the SP in advance. This trust relationship is established by exchanging metadata describing which method the SSO is performed in the SAML protocol and an electronic certificate for proving that the assertion is issued from the IDP.
前述の通り、SAMLは、ユーザーがIDPによって認証されたこと、またそのIDPがSPから見て信頼できるものであることを検証することで、安全にSSOを提供する。より具体的には、SPは、IDPで発行されたアサーションの署名を事前に設定した電子証明書を用いて検証する事でSSOを実現する。ただし、SAMLの仕組み自体は安全であっても、SAMLの設定、例えばSSOマッピングが間違っていた場合、IDPで認証を受けたユーザーは、意図しないユーザーにマッピングされてSPにアクセスしてしまう。そのユーザーは、SPにおける別のユーザーとして承認されたことになる。このことからも、SAMLの仕組みを安全に利用するためにはSSOの設定も安全に設定してある必要がある。 As described above, SAML provides SSO safely by verifying that the user is authenticated by IDP and that the IDP is reliable from the viewpoint of the SP. More specifically, the SP realizes SSO by verifying the signature of the assertion issued by the IDP using a digital certificate set in advance. However, even if the SAML mechanism itself is safe, if the SAML setting, for example, the SSO mapping is wrong, a user who is authenticated by IDP is mapped to an unintended user and accesses the SP. The user has been approved as another user at the SP. For this reason as well, in order to use the SAML mechanism safely, it is necessary to set the SSO safely.
次に、IDPとSPとの関係を考える。SPから見た場合、IDPは、エンティティID(Entity ID)と呼ばれるIDで識別される。このエンティティIDは事前に交換したメタデータに記載されている。ここでIDPによっては、認証機能を提供するサーバー群として単一のエンティティIDしか持たないものと、複数のエンティティIDを持てるものとがある。エンティティIDが単一か複数かは、IDPの構成によって異なる。 Next, consider the relationship between IDP and SP. When viewed from the SP, the IDP is identified by an ID called an entity ID. This entity ID is described in the metadata exchanged in advance. Here, depending on the IDP, there are a server group that provides an authentication function and a server group that has only a single entity ID and a server group that has a plurality of entity IDs. Whether the entity ID is single or plural depends on the configuration of the IDP.
たとえばSAMLはHTTPで実現されるため、エンドポイントはURLで定義される。またアサーションを署名するためにエンティティIDごとに異なる電子証明書が必要となるが、電子証明書はホスト名に紐づけて発行される。結果として、IDPが複数のエンティティIDを持つためにはエンティティIDごとに異なるホスト名も持ち、またそれらのホスト名のIPアドレスが解決できる必要がある。IDPがユーザーの求めに応じ動的にエンティティIDを追加するのであれば、IDPがDNSサーバーを備え、エンティティIDの追加に対応して新しいホスト名とIPアドレスをDNSサーバーに登録するなどの作業が必要になる。よってIDPが複数のエンティティIDを持つには比較的規模の大きなIDPでないと対応が難しい。 For example, since SAML is realized by HTTP, an endpoint is defined by a URL. In order to sign an assertion, a different electronic certificate is required for each entity ID, but the electronic certificate is issued in association with a host name. As a result, in order for the IDP to have a plurality of entity IDs, it is necessary to have different host names for each entity ID and to resolve the IP addresses of those host names. If the IDP dynamically adds an entity ID in response to a user request, the IDP has a DNS server, and works such as registering a new host name and IP address in the DNS server in response to the addition of the entity ID. I need it. Therefore, it is difficult for an IDP to have a plurality of entity IDs unless it is a relatively large IDP.
一方アプリケーションサービスプロバイダーなど第三者にサービスを提供するケースでは、第三者からのアクセスを特定のURLに限定することで利便性や安全性を向上させることがある。このような場合は、URLが単一になり、エンティティIDが単一になる。
上記のようにエンティティIDが単一か複数かは、IDPの構成によって異なる。
On the other hand, in a case where a service is provided to a third party such as an application service provider, convenience and safety may be improved by limiting access from the third party to a specific URL. In such a case, the URL is single and the entity ID is single.
As described above, whether the entity ID is single or plural depends on the configuration of the IDP.
ここで1つのSPに対し、複数のIDPでSSOを可能とする場合を考える。その実現のためには、いずれのIDPともSSOできるようにするため、あらかじめSPにIDPを登録しておく必要がある。 Here, consider a case where SSO is possible with a plurality of IDPs for one SP. In order to realize this, it is necessary to register the IDP in advance with the SP in order to enable SSO with any IDP.
そこで従来、SSO対象のサーバー群を複数登録できるようにする方式があった(特許文献1等参照)。この方式によれば、SSO対象のサーバー群を複数登録できる。またSSO対象のサーバー群の登録を解除する際は、そのサーバー群に対応する画像を表示させることで、意図しないサーバー群の登録を解除することを防いでいる。 Therefore, there has conventionally been a method that allows a plurality of SSO target server groups to be registered (see Patent Document 1). According to this method, a plurality of SSO target server groups can be registered. Further, when canceling registration of a server group targeted for SSO, an image corresponding to the server group is displayed, thereby preventing unintended server group registration from being cancelled.
しかしながら従来の方法には以下の問題があった。すなわち、SSOするためには事前にSSOマッピングの設定が必要であるが、SSO対象のサーバー群であるIDPまたはSPが複数登録されている場合は、それぞれのIDPまたはSPに対して適当な手段でSSOマッピングする必要がある。たとえば複数のユーザー企業が同一のSPを利用するケースを考えると、SP上で管理される各企業の情報は互いに独立して分離されている必要がある。このような分離の単位を、以下でテナントと呼ぶ。ここでひとつのSPに複数IDPを登録する場合を考える。このときIDPのあるユーザーに対し、SPの異なるテナントのユーザーをSSOマッピングできてしまうことは情報漏えいの危険がありセキュリティ上好ましくない。また逆に、1つのSPのテナントに対し、異なるIDPのユーザーをSSOマッピングできてしまうことも、同様に好ましくない。いずれも当該ユーザーの本来の権限を越えた他のユーザーの権限でSPにアクセスし得るためである。よって誤ったSSOマッピングを防ぎ、セキュリティを担保することが必要である。ここでIDPの特性により、セキュリティを担保するためのSSOマッピングの方式が異なるため、登録されたIDPに対して適当な方式でSSOマッピングする必要がある。 However, the conventional method has the following problems. In other words, in order to perform SSO, it is necessary to set SSO mapping in advance, but when multiple IDPs or SPs that are SSO target server groups are registered, an appropriate means for each IDP or SP is used. SSO mapping is required. For example, when considering the case where a plurality of user companies use the same SP, the information of each company managed on the SP needs to be separated independently from each other. Such a unit of separation is hereinafter referred to as a tenant. Consider a case where a plurality of IDPs are registered in one SP. At this time, SSO mapping of a tenant with a different SP to a user with IDP is not desirable in terms of security because there is a risk of information leakage. On the other hand, it is also not preferable that users of different IDPs can be SSO mapped to one SP tenant. This is because the SP can be accessed with the authority of another user exceeding the original authority of the user. Therefore, it is necessary to prevent erroneous SSO mapping and ensure security. Here, since the SSO mapping method for ensuring security differs depending on the characteristics of the IDP, it is necessary to perform SSO mapping on the registered IDP by an appropriate method.
さらに、SSOマッピングを実施する際には、そのSSOマッピング行為の妥当性を確認するために、IDPのAPIを呼ぶ場合がある。このとき、IDPのAPIを呼び出すには、IDPの認証や認可が必要になる。そのため、認証や認可を受ける前処理が必要となる。この前処理には、IDPごとのポリシーによって、IDとパスワードとによる認証が求められる場合や、OAuthと呼ばれる認可の仕組みを利用する必要がある場合もある。このように、IDPごとに適当な方式で前処理する必要がある。 Further, when performing SSO mapping, an IDP API may be called to confirm the validity of the SSO mapping action. At this time, in order to call the API of IDP, IDP authentication and authorization are required. Therefore, pre-processing for receiving authentication and authorization is required. This pre-processing may require authentication with an ID and password depending on the policy for each IDP, or may require the use of an authorization mechanism called OAuth. As described above, it is necessary to perform preprocessing for each IDP by an appropriate method.
また、同一のIDPで複数の前処理が利用可能な場合がある。そのようなケースでは、ユーザーの選択に従い、SSOマッピング時にどの前処理方式を利用するか判断できる必要がある。 In some cases, a plurality of preprocessing can be used with the same IDP. In such a case, it is necessary to be able to determine which pre-processing method is used at the time of SSO mapping according to the user's selection.
本発明は上記従来例に鑑みてなされたもので、情報漏えい等、セキュリティ上の危険を抑制したSSOマッピングを実現できるマッピングサーバーとシングルサインオンシステム、マッピング機能提供方法を提供することを目的とする。 The present invention has been made in view of the above-described conventional example, and an object thereof is to provide a mapping server, a single sign-on system, and a mapping function providing method capable of realizing SSO mapping that suppresses security risks such as information leakage. .
上記目的を達成するために本発明は以下の構成を備える。 In order to achieve the above object, the present invention comprises the following arrangement.
認証サーバーがユーザーを認証したことを示すユーザー認証情報を、他のサーバーにおける前記ユーザーのユーザーIDと関連付けて当該サーバーへのアクセスを許すシングルサインオンシステムにおいて、ユーザーIDを関連付けたマッピング情報を提供するマッピングサーバーであって、
前記ユーザーIDの関連付けを行うマッピング機能を、認証サーバーごとに関連付けて登録したマッピング機能情報と、
前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段とを有する。
Mapping information associated with a user ID is provided in a single sign-on system that allows access to the server by associating user authentication information indicating that the authentication server has authenticated the user with the user ID of the user in another server. A mapping server,
Mapping function information that associates and registers the mapping function for associating the user ID for each authentication server;
A receiving unit that refers to the mapping function information and receives a selection of an authentication server associated with the mapping function;
Execution means for executing the processing according to the mapping function associated with the selected authentication server to configure the mapping information.
あるいは、他の側面によれば、本発明は、マッピングサーバーと、認証サーバーと、そのほかのサーバーとを含むシングルサインオンシステムにある。 Alternatively, according to another aspect, the present invention resides in a single sign-on system including a mapping server, an authentication server, and other servers.
本発明によれば、ユーザーが利用可能なIDPを一覧表示させるとともに、それぞれのIDPに対して適切なSSOマッピング機能を対応づけることができる。そのため、IDPの特性にあわせて、セキュリティを担保するため適切なSSOマッピング機能を提供することができる。 According to the present invention, it is possible to display a list of IDPs that can be used by a user and to associate an appropriate SSO mapping function with each IDP. Therefore, an appropriate SSO mapping function can be provided in order to ensure security in accordance with the characteristics of IDP.
[第1実施形態]
本発明の目的は、認証を連携させたいサーバー群の間で、それぞれに適切なSSOマッピング機能を提供することである。なお本実施形態及び第2乃至第4の実施形態でいうマッピング機能とは、サーバー(あるいはサービスともいう)間のユーザーIDを関連付けてIDの対応表(あるいはマッピング情報)を構成する機能である。以下、本発明を実施するための最良の形態について図面を用いて説明する。
[First Embodiment]
An object of the present invention is to provide an appropriate SSO mapping function between server groups for which authentication is desired to be coordinated. The mapping function referred to in the present embodiment and the second to fourth embodiments is a function for associating user IDs between servers (or services) to form an ID correspondence table (or mapping information). The best mode for carrying out the present invention will be described below with reference to the drawings.
<システム構成>
本実施の形態に係るシングルサインオンシステムは、図1に示すような構成のネットワーク上に実現される。WAN100は、広域ネットワークであり、本実施形態ではたとえばインターネットで、特にHTTPを用いたWorld Wide Web(WWW)システムである。LAN101は各構成要素を接続するローカルエリアネットワークである。クライアントPC200はユーザーが操作するクライアントPCであり、マッピングサーバー300は、エンティティIDごとにIDP用のユーザーIDとSP用のユーザーIDとを関連付けたマッピング情報を有しており、SSOマッピングを実施するとともに、マッピング情報を管理するための機能を提供する。IDP−A400、IDP−B410およびIDP−C420はそれぞれユーザーを認証するアイデンティティプロバイダ。なおここでマッピングサーバーはサービスプロバイダ(SP)であることを想定しているが、マッピングサーバーがアイデンティティプロバイダ(IDP)であり、400、410および420がSPであってもよい。アイデンティティプロバイダは、認証サーバーと呼んでもよいし、サービスプロバイダは、単にサービス或いはサーバーと呼んでもよい。
<System configuration>
The single sign-on system according to the present embodiment is realized on a network configured as shown in FIG. The
またクライアントPC200、マッピングサーバー300、IDP−A400、IDP−B410、IDP−C420はそれぞれWANネットワーク100およびLAN101を介して接続されている。なおクライアントPC200およびマッピングサーバー300やそれぞれのIDPは、それぞれ個別のLAN上に構成されていてもよいし同一のLAN上に構成されていてもよい。また同一のPCまたはサーバーコンピューター上に構成されていてもよい。例えばIDP−A300が構成されるサーバーコンピューター上に、不図示のIDPであるIDP−A−TRIALが構成されていてもよい。マッピングサーバー300、IDP−A400、IDP−B410、IDP−C420はそれぞれ、後述のサーバーコンピューター上で動作する。
The
マッピングサーバー300はまずユーザーのログインを受け付ける。次にユーザーが利用可能なIDPの一覧を表示する。そしてマッピングサーバー300はユーザーからのSSOマッピング設定要求を受け付けると、そのSSOマッピング設定要求に対応したIDPに関して適当なSSOマッピングを実施する。
The
<コンピュータの構成>
図2は本実施の形態に係るクライアントPC200の構成を示す図である。またマッピングサーバー300、IDP−A400、IDP−B410、IDP−C420のサーバーコンピューターの構成も同様である。尚、図2に示されるハードウェアブロック図は一般的な情報処理装置のハードウェアブロック図に相当するものとし、本実施形態のクライアントPC200およびサーバーコンピューターには一般的な情報処理装置のハードウェア構成を適用できる。
<Computer configuration>
FIG. 2 is a diagram showing a configuration of the
図2において、CPU201は、ROM203のプログラム用ROMに記憶された、或いはハードディスク211からRAM202にロードされたOSやアプリケーション等のプログラムを実行する。ここでOSとはコンピュータ上で稼動するオペレーティングシステムの略語である。後述する各フローチャートの処理はこのプログラムの実行により実現できる。RAM202は、CPU201の主メモリ、ワークエリア等として機能する。キーボードコントローラ(KBC)205は、キーボード(KB)209や不図示のポインティングデバイスからのキー入力を制御する。CRTコントローラ(CRTC)206は、CRTディスプレイ210の表示を制御する。ディスクコントローラ(DKC)207は各種データを記憶するハードディスク(HD)211やフロッピー(登録商標)ディスク(FD)等におけるデータアクセスを制御する。NC212はネットワークに接続されて、ネットワークに接続された他の機器との通信制御処理を実行する。
In FIG. 2, the
尚、後述の全ての説明においては、特に断りのない限り実行のハード上の主体はCPU201であり、ソフトウェア上の主体はハードディスク(HD)211にインストールされたアプリケーションプログラムである。
In all the descriptions below, unless otherwise specified, the execution hardware main body is the
<マッピングサーバーのモジュール構成>
図3は本実施の形態に係る、マッピングサーバー300のモジュール構成図である。マッピングサーバー300はマッピング機能管理モジュール301、マッピング機能提供モジュール302、利用IDP管理モジュール303を有する。1つのマッピング機能提供モジュール302が複数のIDPに対応したSSOマッピング機能を提供してもよく、またIDPごとに異なるSSOマッピング機能提供モジュール302が存在してもよい。ユーザーがマッピングサーバー300にアクセスすると、利用IDP管理モジュール303が当該ユーザーの利用可能なIDPを返す。またマッピング機能管理モジュール301は、利用IDP管理モジュールが返したIDPごとに、対応したマッピング機能提供モジュール302の機能を提供する画面のURLを返す。
<Mapping server module configuration>
FIG. 3 is a module configuration diagram of the
<マッピングサーバーにより管理されるデータ>
図4A、図4Bは本実施の形態に係る、データ例である。図4Aは本実施の形態に係る、マッピング機能一覧のデータ例である。マッピング機能一覧350は、マッピング機能管理モジュール301が管理するデータである。ここでマッピング機能一覧350は、複数のマッピング機能情報を持つ。個々のマッピング機能情報は、IDPを特定するIDP識別子と、そのIDPとのSSOマッピングに関する設定をマッピングサーバー300が管理するかどうかを示すマッピング管理場所情報を持つ。マッピング管理場所情報は、マッピングサーバー300が管理することを示す「サーバー内」(internal)とマッピングサーバー300が管理しないことを示す「サーバー外」(external)のいずれかの値をとる。さらにマッピングサーバー300がSSOマッピング機能を提供する場合、個々のマッピング機能情報はIDPに対応するマッピング機能提供モジュール302の機能を提供する画面(SSOマッピング画面)のURLを持つ。
<Data managed by the mapping server>
4A and 4B are data examples according to the present embodiment. FIG. 4A is a data example of a mapping function list according to the present embodiment. The
図4AではIDP−A400、IDP−A−TRIAL、IDP−B410の3つのIDPが登録されている様子を示す。これらのIDPの内、IDP−A400およびIDP−A−TRIALは、マッピングサーバー300がSSOマッピングを管理していることを示すとともに、対応するSSOマッピング画面のURLも持つ。またIDP−B410はSSOマッピング管理場所がマッピングサーバー300の外部であることを示すとともに、対応するマッピング画面を持たないことを示す。
FIG. 4A shows a state where three IDPs of IDP-A400, IDP-A-TRIAL, and IDP-B410 are registered. Among these IDPs, IDP-A400 and IDP-A-TRIAL indicate that the
図4Bは本実施の形態に係る、利用IDP一覧のデータ例である。利用IDP一覧351は、利用IDP管理モジュール303が管理するデータである。ここで利用IDP一覧351は複数の利用IDP情報を持つ。個々の利用IDP情報は、マッピングサーバー300にアクセスしたユーザーを識別するための利用者識別子と、そのユーザーが利用可能なIDPのIDP識別子を持つ。なお利用者識別子はユーザーそのものの識別子でもよく、ユーザーが所属するテナントの識別子であってもよいが、ここでは利用者識別子はテナント識別子であるとする。ここではテナントT001に所属するユーザーであれば、IDP−A400、IDP−A−TRIAL、IDP−B410の3つのIDPが利用可能であることを示す。
FIG. 4B is a data example of a usage IDP list according to the present embodiment. The
<IDP一覧表示処理>
図5A、図5Bはそれぞれ、本実施の形態に係る、SSOマッピングのための機能の一覧表示および各SSOマッピング機能への振り分けフローである。
<IDP list display processing>
FIG. 5A and FIG. 5B are a list of functions for SSO mapping and a distribution flow to each SSO mapping function, respectively, according to the present embodiment.
図5Aは本実施の形態に係る、SSOマッピングのための機能の一覧表示のフローである。ユーザーがマッピングサーバー300にアクセスすると、そのユーザーが利用可能なIDPが、それぞれ対応したSSOマッピング機能の提供画面への遷移ボタンとともに一覧表示される。
FIG. 5A is a flowchart for displaying a list of functions for SSO mapping according to the present embodiment. When a user accesses the
ステップS1001でマッピングサーバー300は、利用IDP管理モジュール303から、利用IDP一覧351のうち、ログインしているユーザーの利用者識別子に対応する利用IDP一覧を取得する。ここでユーザーの利用者識別子が、ユーザーが所属するテナントの識別子であるT001であれば、取得できる利用IDP一覧はIDP−A400、IDP−A−TRIAL、IDP−B410の3つのIDPを含むことが図4Bの例からわかる。利用IDP一覧351に含まれるIDPの数が増減すると、それに応じて、後述のフローで処理されるIDPの数が増減する。
In step S1001, the
ステップS1002でマッピングサーバー300は、ステップS1001で取得した利用IDP一覧(これを対象IDPと呼ぶ)の内、未処理の利用IDP情報があるか判断する。未処理のIDPがあればステップS1003へ遷移する。また未処理のIDPがなければフローを終了する。
In step S1002, the
ステップS1003でマッピングサーバー300は、ステップS1001で取得した対象IDPの内、未処理のIDPを取り出す、あるいは未処理のIDPに着目する。なお、ステップS1001で取得した対象IDPのうち、ステップS1003で着目したIDPを着目IDPと呼ぶことがある。
In step S1003, the
ステップS1004でマッピングサーバー300は、ステップS1003で取り出した対象IDPに対応するマッピング機能情報(図4A参照)を、マッピング機能管理モジュール301から取り出す。これを着目マッピング機能情報と呼ぶことがある。
In step S1004, the
ステップS1005でマッピングサーバー300は、ステップS1004で取り出した着目マッピング機能情報を参照し、マッピングサーバー300がSSOマッピングを管理しているか、すなわちSSOマッピング管理場所情報がサーバー内であるか判断する。判断の結果、マッピングサーバー300がSSOマッピングを管理するのであればステップS1006に遷移する。マッピングサーバー300がSSOマッピングを管理しないのであれば、着目しているIDPに関する処理を終了し、ステップS1002に遷移する。たとえばステップS1004で取り出した着目マッピング機能情報がIDP−A400に関するものであった場合、図4Aに示す通りIDP−A400はマッピングサーバー300がSSOマッピングを管理するため、ステップS1006に遷移する。
In step S1005, the
ステップS1006でマッピングサーバー300は、ステップS1004で取り出した着目マッピング機能情報から、SSOマッピング機能を提供する画面のURL(図4AのSSOマッピング画面URL)を取り出す。
In step S1006, the
ステップS1007でマッピングサーバー300は、ステップS1006で取り出したSSOマッピング画面URLを、ステップS1003で取り出した着目IDPの識別子とともに、画面表示させる。以上でそのIDPに関する処理を終了し、ステップS1002に遷移する。
In step S1007, the
図5Aのフローが完了した際に画面に表示されるのは、例えば図13Aに示されるようなIDP一覧表示画面500である。図13Aに示す通り、ログイン中のユーザーが利用可能なIDP一覧500がユーザーインターフェースに表示され、そこにはIDP識別子に関連付けて、そのIDPに対応するSSOマッピング画面へのリンク(URL)が埋め込まれたオブジェクト、たとえば遷移ボタン1301が表示される。このボタンをユーザーが押下すると、図5Bの処理が開始される。
When the flow of FIG. 5A is completed, what is displayed on the screen is an IDP
<マッピング機能提供処理>
図5Bは本実施の形態に係る、各SSOマッピング機能への振り分けフローである。図5Aで表示された、それぞれのIDPに対応したSSOマッピング機能を提供するURLへの遷移ボタン1301をユーザーが押下すると、本フローが開始される。
<Mapping function provision processing>
FIG. 5B is a distribution flow to each SSO mapping function according to the present embodiment. When the user presses a
ステップS1101でマッピングサーバー300は、IDPに対応したSSOマッピング機能を提供するURLへの遷移ボタンの押下を受け付ける。あるいは遷移ボタンが押下されるとS1102から処理が開始される。
In step S1101, the
ステップS1102でマッピングサーバー300は、遷移ボタンに紐付けられたSSOマッピング画面URLへ、ユーザーをリダイレクトさせる。
In step S1102, the
ステップS1103でマッピング機能提供モジュール302は、それぞれのIDPに対応したURLで特定されるSSOマッピング画面を通してURLごとに固有のSSOマッピング機能を提供し、フローを終了する。ここで、リダイレクト先のURLで表示される画面は、例えば図13Bに示されるようなマッピング機能提供画面501である。設定ファイルをユーザーが指定して設定ボタンを押下すると、設定ファイルが、マッピングサーバーが保持および管理するマッピング情報として設定される。ただし、設定前に、URLごと、すなわちIDPごとのSSOマッピング機能により、設定ファイルのマッピングに不都合なものがないかチェックする。ここでこのチェック機能の例をいくつか簡単に説明する。たとえばひとつのマッピング機能では、マッピングサーバー300が、IDPとSPのそれぞれから、それらが有するユーザーIDのリストをテナントごとに取得する。そして入力された設定ファイルに定義されたIDP用のユーザーIDとSP用のユーザーIDとの関連付けと照合して、不都合な関連付けがされていないか判定する。不都合な関連付けとは、たとえば、課題の欄で説明したような、IDPまたはSPの相異なる複数のテナントの、他方のひとつのテナントへの関連付けである。この場合には、設定ファイルに定義されたIDP用のユーザーIDとSP用のユーザーIDそれぞれの属するテナントを、取得したテナントごとのユーザーIDのリストを参照して特定する。そしてIDPまたはSPの複数のテナントと関連付けられたSPまたはIDPのひとつのテナントがあれば、その設定ファイルは不都合な可能性があるものと判断される。判断の結果は別の画面でクライアントに送信される。不都合な設定を許すか否かは、たとえばサービスプロバイダによる設定に従う。マッピング情報がIDPのエンティティIDを単位として管理されている場合、たとえばテナントごとにエンティティIDを付与しているIDPに対してはこのようなマッピング機能が適用されるのが望ましい。これに対して、複数のテナントに対して同一のエンティティIDを付与するIDPについては、マッピングサーバーにおいても、複数のテナントをまとめてひとつのマッピング情報で管理するため、マッピング情報で複数のテナントどうしが関連付けられる。したがって上述した方法では不都合な関連付けを判定することが困難である。
In step S1103, the mapping
そこでこのようなIDPについては、上述したチェックに加えて、さらに以下のような判定を行う。すなわち、たとえばIDPあるテナントからユーザーIDを削除し、それと同一のユーザーIDを他のテナントに追加した場合を考える。上述したようにひとつのテナントがひとつのエンティティIDで管理されている場合、マッピングサーバーでは、エンティティIDすなわちテナントごとにマッピング情報を管理するために、意図しないマッピングが行われることはない。追加されたユーザーIDは、削除されたユーザーIDの属するテナントとは異なるテナントのユーザーとしてマッピング情報においても管理されるためである。ところが複数のテナントを一つのエンティティIDで管理するIDPの場合、上述のようなユーザーIDのテナント間の移動があると、移動後のテナントが、マッピング情報に残っているユーザーID間の関連付けよって関連付けられてしまうことがあり得る。そこで複数のテナントを一つのエンティティIDで管理するIDPについては、IDP用のユーザーIDとSP用のユーザーIDとを直接関連付けず、中間的なIDを介して関連付ける。上記のようなテナント間のユーザーIDの移動があっても、異動後のユーザーIDにはあらたな中間的なIDを割り当てることで、不都合な関連付けを防止できる。このように、設定ファイルに定義されたユーザーIDの関連付けを、中間的なIDを介した関連付けに変換して、マッピング情報として設定する。以上のようにIDPに応じて、マッピング情報の設定は異なるマッピング機能で実現される。IDPとマッピング機能との関連付けはあらかじめ定められ、図4Aに示したようなSSOマッピング機能一覧に定義される。このマッピング機能一覧は、マッピングサーバーにあらかじめ登録され、参照される。そのためにたとえば図3のマッピング機能管理モジュールは、クライアントのブラウザからアクセスに応じて、マッピング機能一覧350を保守できるように構成してもよい。SSOマッピング画面およびそのURLと、そのSSOマッピング画面で指定された設定ファイルをマッピング情報として登録するマッピング機能を実現するプログラムなどは、別途用意しておく必要がある。
Therefore, for such an IDP, in addition to the above-described check, the following determination is further performed. That is, for example, consider a case where a user ID is deleted from a tenant with IDP and the same user ID is added to another tenant. As described above, when one tenant is managed by one entity ID, the mapping server manages mapping information for each entity ID, that is, for each tenant, so that unintended mapping is not performed. This is because the added user ID is also managed in the mapping information as a user of a tenant different from the tenant to which the deleted user ID belongs. However, in the case of an IDP that manages a plurality of tenants with a single entity ID, if there is a move between user IDs as described above, the tenant after the move is associated with the association between user IDs remaining in the mapping information. It can happen. Therefore, for an IDP that manages a plurality of tenants with a single entity ID, the IDP user ID and the SP user ID are not directly associated, but are associated through an intermediate ID. Even if the user ID is moved between tenants as described above, an inconvenient association can be prevented by assigning a new intermediate ID to the user ID after the transfer. As described above, the association of the user ID defined in the setting file is converted into the association via an intermediate ID and set as mapping information. As described above, the setting of mapping information is realized by different mapping functions according to the IDP. The association between the IDP and the mapping function is determined in advance, and is defined in the SSO mapping function list as shown in FIG. 4A. This mapping function list is registered and referred to in advance in the mapping server. For this purpose, for example, the mapping function management module of FIG. 3 may be configured to maintain the
図13A、図13Bは本実施の形態に係る、画面例である。図13AはIDP一覧表示画面の例を示す。ここでIDP一覧表示画面500には、IDP−A400、IDP−A−TRIAL、IDP−B410の3つのIDPが表示されている。またそれらのIDPの内で、IDP−A400、IDP−A−TRIALに関しては、マッピング機能を提供するURLへの遷移ボタン1301も表示されている。
13A and 13B are screen examples according to the present embodiment. FIG. 13A shows an example of an IDP list display screen. Here, on the IDP
図13Bはマッピング機能提供画面の例を示す。ここでマッピング機能提供画面501は、ユーザーから、SSOマッピングの設定に関する設定ファイルのアップロードを受け付ける。またアップロードされた設定ファイルに従いSSOマッピングを実施する。
FIG. 13B shows an example of a mapping function providing screen. Here, the mapping
設定ファイルには、たとえばSSOマッピングされるユーザーIDが関連付けて格納されている。たとえば設定ファイルは、当該ユーザーが当該IDPで認証を受けるためのIDP用ユーザーIDと、SPで認証を受けるためのSP用ユーザーIDとが、互いに関連付けられて格納されたファイルである。ここでIDPごとにマッピング方式を変えたことで、本来関連付けるべきでないテナントどうしのマッピングは防止されている。本来関連付けるべきでないテナントとは、たとえば実体となるユーザや企業などが異なっているテナントである。 In the setting file, for example, a user ID to be SSO mapped is stored in association with each other. For example, the setting file is a file in which an IDP user ID for the user to be authenticated by the IDP and an SP user ID for the user to be authenticated by the SP are stored in association with each other. Here, by changing the mapping method for each IDP, mapping between tenants that should not be associated with each other is prevented. Tenants that should not be associated with each other are, for example, tenants with different actual users or companies.
マッピング機能提供モジュール302は、IDPごとにあらかじめ定めたマッピング方式で、指定された設定ファイルに基づいてSSOマッピングを実施する。たとえば、設定ファイルにおいて定義されているIDの対応付けに基づいて、所定の形式のマップファイルとして格納する。
The mapping
SSOの手順自体は公知のものである。ここで簡単にSSOの手順の一例を説明する。まずユーザーは、クライアントPCのブラウザなどを用いて、アイデンティティプロバイダを兼務する第1のサービスプロバイダにアクセス要求する。アイデンティティプロバイダはユーザーに対して認証要求する。ユーザーの認証はたとえばユーザーID(ここではアイデンティティプロバイダ用のユーザーID)とパスワードとを用いる。アイデンティティプロバイダはユーザー認証を行うと、認証したことの証明であるユーザー認証情報(SAMLアサーション)を発行し、それを保持する。これは同時にユーザーが認証されて第1のサービスプロバイダへのアクセス要求が受け付けられることでもある。その後、当該ユーザーが第2のサービスプロバイダへのアクセスを要求すると、第2のサービスプロバイダはアイデンティティプロバイダに対して認証要求する。その認証要求に対してアイデンティティプロバイダは、アクセス要求したユーザーのユーザー認証情報すなわちSAMLアサーションを応答する。SAMLアサーションには、当該ユーザーのアイデンティティプロバイダ用のユーザーIDと電子署名とが含まれている。電子署名を検証してこのSAMLアサーションが信頼しているアイデンティティプロバイダで発行されたものであるか判定し、検証が成功すれば当アイデンティティプロバイダ用ユーザーIDを読んで、対応するサービスプロバイダ用のユーザーIDへの変換をマッチングサーバーに要求する。応答されたユーザーIDの権限で、ユーザーは第2のサービスプロバイダへアクセスする。以上のようにしてSSOを実現している。 The SSO procedure itself is known. Here, an example of the SSO procedure will be briefly described. First, the user makes an access request to the first service provider who also serves as the identity provider, using a browser of the client PC. The identity provider requests authentication from the user. For user authentication, for example, a user ID (here, a user ID for an identity provider) and a password are used. When the identity provider performs user authentication, it issues user authentication information (SAML assertion), which is proof of authentication, and holds it. At the same time, the user is authenticated and an access request to the first service provider is accepted. Thereafter, when the user requests access to the second service provider, the second service provider requests authentication from the identity provider. In response to the authentication request, the identity provider responds with user authentication information of the user who requested access, that is, a SAML assertion. The SAML assertion includes a user ID and an electronic signature for the user's identity provider. The electronic signature is verified to determine whether this SAML assertion is issued by a trusted identity provider. If the verification is successful, the user ID for the identity provider is read and the user ID for the corresponding service provider is read. Request matching server to convert to. The user accesses the second service provider with the authority of the responded user ID. SSO is realized as described above.
本実施の形態によれば、マッピングサーバーは、ユーザーが利用可能なIDPを一覧表示させるとともに、それぞれのIDPに対して適切なSSOマッピング機能を対応づけることができる。そのため、IDPの特性にあわせて、セキュリティを担保するため適切なSSOマッピング機能を提供することができる。 According to the present embodiment, the mapping server can display a list of IDPs that can be used by the user, and can associate an appropriate SSO mapping function with each IDP. Therefore, an appropriate SSO mapping function can be provided in order to ensure security in accordance with the characteristics of IDP.
[第2実施形態]
次に、本発明を実施するための第2の形態について図面を用いて説明する。なお第1の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。
[Second Embodiment]
Next, a second embodiment for carrying out the present invention will be described with reference to the drawings. Note that description of parts common to the first embodiment will be omitted, and only different parts will be described below.
図6は本実施の第2の形態に係る、マッピングサーバー300のモジュール構成図である。マッピングサーバー300はマッピング機能管理モジュール301、マッピング機能提供モジュール302、利用IDP管理モジュール303から構成される。また前処理機能管理モジュール311、前処理機能提供モジュール312を持つ。1つの前処理機能提供モジュール312が複数のIDPに対応した前処理機能を提供してもよく、またIDPごとに異なる前処理機能提供モジュール312が存在してもよい。ユーザーがマッピングサーバー300にアクセスすると、利用IDP管理モジュール303がユーザーの利用可能なIDPを返す。また前処理機能管理モジュール311は、利用IDP管理モジュールが返したIDPごとに、対応した前処理機能提供モジュール312の機能を提供するURLを返す。
FIG. 6 is a module configuration diagram of the
図7は本実施の第2の形態に係る、データ例である。図7Aは本実施の第2の形態に係る、マッピング機能管理モジュール301が管理するマッピング機能一覧のデータ例である。ここでマッピング機能一覧360は、IDP−C420に関するマッピング機能情報が追加されている。
FIG. 7 shows an example of data according to the second embodiment. FIG. 7A is a data example of a mapping function list managed by the mapping
図7Bは本実施の第2の形態に係る、利用IDP一覧管理モジュール303が管理する利用IDP一覧のデータ例である。ここで利用IDP一覧361は、テナントT001に所属するユーザーが利用可能なIDPとして、IDP−C420が追加されている。
FIG. 7B is a data example of a usage IDP list managed by the usage IDP
図7Cは本実施の第2の形態に係る、前処理機能一覧のデータ例である。前処理機能一覧362は、前処理機能管理モジュール311が管理するデータであり、複数の前処理機能情報を持つ。個々の前処理機能情報はIDPを特定するIDP識別子と、そのIDPとのSSOマッピングに先立ち必要な前処理機能が提供される前処理URLとを持つ。ここでは、IDP−A400およびIDP−A−TRIALについてはマッピングサーバー300内の画面が前処理機能を持つことを示す。これは例えば、ユーザーがマッピングサーバー300の画面からIDP−A400のIDとパスワードを入力する場合が該当する。このときマッピングサーバー300は、ユーザーの入力にもとづき、IDP−A400が提供するWebServiceなどのAPIを呼び出して認証を受け、認証セッションを受け取る。またここでは、IDP−C420に関してはIDP−C420の画面が前処理機能を持つことを示す。これは例えばOAuthのように、IDP−C420が提供する認可画面に一旦ユーザーをリダイレクトさせ、マッピングサーバー300は、ユーザーが操作するブラウザ経由で、ユーザーが認可した証拠を受け取る場合が該当する。いずれにしても、前処理URLにより前処理機能を持つ装置を指定することができる。
FIG. 7C is a data example of a preprocessing function list according to the second embodiment. The
<IDP一覧表示および前処理>
図8は本実施の第2の形態に係る、前処理も含むSSOマッピングのための機能の一覧表示および各SSOマッピング機能への振り分けフローである。
<IDP list display and preprocessing>
FIG. 8 shows a list of functions for SSO mapping including pre-processing and a distribution flow to each SSO mapping function according to the second embodiment.
図8Aは本実施の第2の形態に係る、前処理も含むSSOマッピングのための機能の一覧表示のフローである。ユーザーがマッピングサーバー300にアクセスすると、そのユーザーが利用可能なIDPが、それぞれ対応した前処理機能の提供画面への遷移ボタンとともに一覧表示される。
FIG. 8A is a flowchart for displaying a list of functions for SSO mapping including preprocessing according to the second embodiment. When a user accesses the
ステップS1001からステップS1004までは、第1の実施の形態と共通のため、説明を省略する。ステップS1004が完了すると、フローはステップS2001に遷移する。 Steps S1001 to S1004 are the same as those in the first embodiment, and a description thereof will be omitted. When step S1004 is completed, the flow moves to step S2001.
ステップS2001でマッピングサーバー300は、ステップS1004で取り出したマッピング機能情報を確認し、マッピングサーバー300がSSOマッピングを管理しているか判断する。判断の結果、マッピングサーバー300がSSOマッピングを管理するのであればステップS2002に遷移する。マッピングサーバー300がSSOマッピングを管理しないのであれば、そのIDPに関する処理を終了し、ステップS1002に遷移する。たとえばステップS1004で取り出したマッピング機能情報がIDP−A400に関するものであった場合、IDP−A400はマッピングサーバー300がSSOマッピングを管理するため、ステップS2002に遷移する。
In step S2001, the
ステップS2002でマッピングサーバー300は、前処理機能管理モジュール311から、前処理機能を提供する画面のURLを取り出す。
In step S2002, the
ステップS2003でマッピングサーバー300は、ステップS2002で取り出したURLを、ステップS1003で取り出したIDPの識別子とともに、画面表示させる。以上でそのIDPに関する処理を終了し、ステップS1002に遷移する。
In step S2003, the
図8Aのフローが完了した際に画面に表示されるのは、例えば図14Aに示されるようなIDP一覧表示画面510である。
When the flow of FIG. 8A is completed, what is displayed on the screen is an IDP
図8Bは本実施の第2の形態に係る、各前処理機能への振り分けフローである。図8Aで表示された、それぞれのIDPに対応した前処理機能を提供するURLへの遷移ボタンをユーザーが押下すると、本フローが開始される。 FIG. 8B is a distribution flow to each preprocessing function according to the second exemplary embodiment. When the user presses a transition button to a URL that provides a preprocessing function corresponding to each IDP displayed in FIG. 8A, this flow is started.
ステップS2101でマッピングサーバー300は、IDPに対応した前処理機能を提供するURLへの遷移ボタンの押下を受け付ける。
In step S2101, the
ステップS2102でマッピングサーバー300は、ステップS2101で押下されたボタンに紐付けられたURLが、マッピングサーバー側のURLか、IDP側のURLか判断する。判断の結果、マッピングサーバー側のURLであれば、マッピングサーバー300が前処理機能を提供するためにステップS2103に遷移する。またIDP側のURLであれば、IDPの前処理機能を利用するためにステップS2150に遷移する。
In step S2102, the
ステップS2103でマッピングサーバー300は、マッピングサーバー側で前処理機能を提供するために、ステップS2101で押下されたボタンに紐付けられたURLにユーザーのアクセスをリダイレクトさせる。
In step S2103, the
ステップS2104でマッピングサーバー300の前処理機能提供モジュール312は、前処理を実施し、IDPの認証セッションを受け取る。
In step S2104, the preprocessing
ステップS2105でマッピングサーバー300は、マッピング機能管理モジュール301から、ステップS2104で前処理を行ったIDPに対応するマッピング機能情報を取り出す。
In step S2105, the
ステップS2106でマッピングサーバー300は、ステップS2105で取り出したマッピング機能情報から、マッピング機能を提供するURLを取り出す。
In step S2106, the
ステップS2107でマッピングサーバー300は、ステップS2106で取り出したURLに対して、ユーザーのアクセスをリダイレクトさせる。
In step S2107, the
ステップS2108でマッピングサーバー300は、ステップS2107のリダイレクトを受け、ステップS2104の前処理で取得した認証セッションを用いて、IDPのAPIを呼び出す。
In step S2108, the
ステップS2109でマッピングサーバー300のマッピング機能提供モジュール302は、ステップS2108のAPI呼び出しに対して返された値を用いて、SSOマッピングを生成する。その際、図13Bに示されるような画面を表示させ、ユーザーから、SSOマッピングの設定に関するファイルのアップロードを受け付けてもよい。ステップS2109でSSOマッピングの生成が完了すると、フローを終了する。
In step S2109, the mapping
ステップS2150でマッピングサーバー300は、IDPの前処理機能を利用するために、ステップS2101で押下されたボタンに紐付けられたURLにユーザーのアクセスをリダイレクトさせてフローを終了する。
In step S2150, in order to use the IDP pre-processing function, the
<前処理手順の例>
図9は本実施の第2の形態に係る、前処理の例およびSSOマッピング機能のフローである。図9Aは本実施の第2の形態に係る、マッピングサーバー300におけるIDPに対応した前処理の例である。このフローは図8BのステップS2104の詳細なフローである。この例で前処理機能提供モジュール312は、ユーザーに、IDPにログインするためのIDとパスワードの入力を求める。またユーザーに入力されたIDとパスワードを用いてIDPの認証を受け、認証セッションを受け取る。
<Example of pre-processing procedure>
FIG. 9 is a flow of an example of preprocessing and an SSO mapping function according to the second embodiment. FIG. 9A is an example of preprocessing corresponding to IDP in the
ステップS2201で前処理機能提供モジュール312は、図14Bに示されるような第1の前処理機能提供画面511を表示させ、IDPにログインするためのIDとパスワードの入力を受け付ける。
In step S2201, the preprocessing
ステップS2202で前処理機能提供モジュール312は、ステップS2201で受け付けたIDとパスワードを用いて、IDPにアクセスする。
In step S2202, the preprocessing
ステップS2203で前処理機能提供モジュール312は、IDPの認証を受け、ステップS2202におけるIDPへのアクセスの応答として認証セッションを受け取る。認証セッションを受け取ると本フローは終了する。
In step S2203, the preprocessing
図9Bは本実施の第2の形態に係る、IDP側の前処理の例である。このフローは、IDPが、図8BのステップS2150でリダイレクトされたユーザーのアクセスを受けることで開始される。この例では、リダイレクトを受けるIDPはIDP−C420であるとする。またIDP−C420では、OAuthの認可の仕組みが利用可能であるとする。 FIG. 9B is an example of IDP-side preprocessing according to the second embodiment. This flow starts when the IDP receives the access of the user redirected in step S2150 of FIG. 8B. In this example, it is assumed that the IDP that receives the redirect is IDP-C420. In IDP-C420, it is assumed that an OAuth authorization mechanism can be used.
ステップS2301でIDP−C420は、マッピングサーバー300からリダイレクトされたユーザーのアクセスを受け付ける。
In step S2301, the IDP-
ステップS2302でIDP−C420は、ステップS2301で受け付けたアクセスの認証を行う。ここで例えば、IDP−C420は、ユーザーに対してIDとパスワードの入力を求めてもよい。
In step S2302, the IDP-
ステップS2303でIDP−C420は、ステップS2302の認証が成功したか判断する。認証に成功していたらステップS2304に遷移する。また認証に失敗していたらステップS2350に遷移する。
In step S2303, the IDP-
ステップS2304でIDP−C420は、マッピングサーバー300によるSSOマッピングの実施を許可するかを問う画面を表示させ、ユーザーの許可を求める。ここで表示される画面は、例えば図14Cに示されるような第2の前処理機能提供画面512であってもよい。
In step S2304, the IDP-
ステップS2305でIDP−C420は、ステップS2304でユーザーの許可を得られたか判断する。ユーザーの許可が得られていた場合にはステップS2306に遷移する。またユーザーの許可が得られていなかった場合にはステップS2350に遷移する。
In step S2305, the IDP-
ステップS2306でIDP−C420は、認可トークンを生成し、ユーザーのアクセスをマッピングサーバー300にリダイレクトさせる。このときリダイレクトは認可トークンを含み、認可トークンはユーザーが操作するクライアントを介してマッピングサーバー300に返される。なおここでリダイレクト先のURLは、マッピングサーバー300がマッピング機能を提供するURLであるとする。ユーザーのアクセスをマッピングサーバー300にリダイレクトさせると本フローは終了する。
In step S2306, the IDP-
ステップS2350でIDP−C420は、ユーザーからのアクセスをマッピングサーバー300にリダイレクトさせる。またこのとき、リダイレクトはユーザーが操作するクライアントを介して行われ、リダイレクトには前処理が失敗したことを示す情報が含まれる。ユーザーのアクセスをマッピングサーバー300にリダイレクトさせると本フローは終了する。
In step S2350, the IDP-
図9Cは本実施の第2の形態に係る、IDP側の前処理後のマッピングサーバー300における処理のフローの例である。このフローはマッピングサーバー300が、図9BのステップS2306でリダイレクトされたユーザーのアクセスを受けることで開始される。
FIG. 9C is an example of a processing flow in the
ステップS2401でマッピングサーバー300は、マッピング機能を提供するURLへのリダイレクトを、IDPから受け付ける。
In step S2401, the
ステップS2402でマッピングサーバー300は、ステップS2401で受け付けたリダイレクトに含まれる認可トークンを取り出す。
In step S2402, the
ステップS2403でマッピングサーバー300は、ステップS2402で取り出した認可トークンを用いて、IDPのAPIを呼び出す。
In step S2403, the
ステップS2404でマッピングサーバー300のマッピング機能提供モジュール302は、ステップS2403の応答としてIDPのAPIから返された値を用いて、SSOマッピングを生成する。その際、IDPに対応したマッピング機能情報からSSOマッピング画面URLを取り出し、そのURLで特定される図13Bに示されるような画面を表示させ、ユーザーから、SSOマッピングの設定に関するファイルのアップロードを受け付けてもよい。ステップS2404でSSOマッピングの生成が完了すると、フローを終了する。
In step S2404, the mapping
<第2実施形態の表示画面の例>
図14は本実施の第2の形態に係る、画面例である。図14AはIDP一覧表示画面の例を示す。ここでIDP一覧表示画面510には、IDP−A400、IDP−A−TRIAL、IDP−B410およびIDP−Cの4つのIDPが表示されている。またそれらのIDPの内で、IDP−A400、IDP−A−TRIALおよびIDP−Cに関しては、SSOマッピングの前処理機能を提供するURLへの遷移ボタンも表示されている。
<Example of Display Screen of Second Embodiment>
FIG. 14 shows an example of a screen according to the second embodiment. FIG. 14A shows an example of an IDP list display screen. Here, the IDP
図14Bは前処理機能提供画面の1つ目の例を示す。ここで第1の前処理機能提供画面511は、ユーザーから、IDPにログインするためのIDおよびパスワードの入力を受け付ける。また入力されたIDおよびパスワードに従い、前処理機能提供モジュール312がIDPの認証受け、認証セッションを受け取る。
FIG. 14B shows a first example of the preprocessing function provision screen. Here, the first preprocessing
図14Cは前処理機能提供画面の2つ目の例を示す。ここで第2の前処理機能提供画面512はOAuthにおける認可の画面であり、ユーザーに対して、マッピングサーバー300によるSSOマッピングを許可するかを問う。ここでユーザーが「許可」ボタンを押下すると、OAuthに従い、認可トークンが発行される。また発行された認可トークンはマッピングサーバー300に渡される。
FIG. 14C shows a second example of the preprocessing function provision screen. Here, the second pre-processing
以上のように、IDPごとに、マッピング機能のみならず前処理についてもあらかじめ定めた処理を実行させることが可能となる。本実施の第2の形態によれば、IDPごとに適当な方式で前処理を実施した上で、SSOマッピングを実施する際にIDPのAPIを呼ぶことが可能となる。そのためIDPごとのポリシーによって、IDとパスワードによる認証が求められる場合や、OAuthの認可の仕組みを利用する場合でも、適切な前処理が実施できる。 As described above, for each IDP, it is possible to execute predetermined processing not only for the mapping function but also for the preprocessing. According to the second embodiment, it is possible to call an IDP API when performing SSO mapping after performing preprocessing for each IDP in an appropriate manner. Therefore, appropriate preprocessing can be performed even when authentication by ID and password is required according to a policy for each IDP, or when an OAuth authorization mechanism is used.
[第3の実施形態]
次に、本発明を実施するための第3の形態について図面を用いて説明する。なお第1の実施の形態および第2の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。
[Third Embodiment]
Next, a third embodiment for carrying out the present invention will be described with reference to the drawings. In addition, description is abbreviate | omitted about the part which is common in 1st Embodiment and 2nd Embodiment, and only a different part is demonstrated below.
図10は本実施の第3の形態に係る、マッピングサーバー300のモジュール構成図である。マッピングサーバー300はマッピング機能管理モジュール301、マッピング機能提供モジュール302、利用IDP管理モジュール303から構成される。また前処理機能提供モジュール312、および第2の前処理機能管理モジュール321を持つ。第2の前処理管理モジュール321は第2の前処理機能一覧370を持ち、1つのIDPに対して複数の前処理URLを記憶することができる。またユーザーに対してそれら複数の前処理URLを提示することで、ユーザーが望む前処理URLを選択および利用できるようにする。
FIG. 10 is a module configuration diagram of the
図11は本実施の第3の形態に係る、第2の前処理機能一覧のデータ例である。第2の前処理機能一覧370は第2の前処理機能管理モジュール321が管理するデータである。ここで第2の前処理機能一覧370は複数の第2の前処理機能情報を持つ。また個々の第2の前処理機能情報は、IDPを特定するIDP識別子と、そのIDPとのSSOマッピングに先立ち必要な前処理機能が提供される前処理URLと、さらに前処理の種別を表す前処理種別を持つ。
FIG. 11 is a data example of the second preprocessing function list according to the third embodiment. The second
ここでは、IDP−A400についてはマッピングサーバー300内の画面が前処理機能を持つとともに、IDP−A400の画面が前処理機能を持つことを示す。これは例えば、図14Bに示されるようなIDとパスワードを入力する前処理機能と、図14Cに示されるようなOAuthによる前処理機能とが提供され、ユーザーがいずれかを選択できる場合を示す。
Here, for the IDP-
図12は本実施の第3の形態に係る、マッピング機能の一覧表示のフローである。ユーザーがマッピングサーバー300にアクセスすると、そのユーザーが利用可能なIDPが、それぞれ対応した前処理機能の提供画面への遷移ボタンとともに一覧表示される。
FIG. 12 is a flowchart for displaying a list of mapping functions according to the third embodiment. When a user accesses the
ステップS1001からステップS1004までは、第1の実施の形態と共通のため、説明を省略する。ステップS1004が完了すると、フローはステップS3001に遷移する。 Steps S1001 to S1004 are the same as those in the first embodiment, and a description thereof will be omitted. When step S1004 is completed, the flow moves to step S3001.
ステップS3001でマッピングサーバー300は、ステップS1004で取り出したマッピング機能情報を確認し、マッピングサーバー300がSSOマッピングを管理しているか判断する。判断の結果、マッピングサーバー300がSSOマッピングを管理するのであればステップS3002に遷移する。マッピングサーバー300がSSOマッピングを管理しないのであれば、そのIDPに関する処理を終了し、ステップS1002に遷移する。たとえばステップS1004で取り出したマッピング機能情報がIDP−A400に関するものであった場合、IDP−A400はマッピングサーバー300がSSOマッピングを管理するため、ステップS3002に遷移する。
In step S3001, the
ステップS3002でマッピングサーバー300は、第2の前処理機能管理モジュール321から、処理中のIDPに対応するすべての第2の前処理機能情報を取り出す。たとえばここで処理中のIDPがIDP−A400であったとすると、取り出される第2の前処理情報は、前処理種別が「ID / Password」のものと「OAuth」のものの2つである。
In step S3002, the
ステップS3003でマッピングサーバー300は、ステップS3002で取り出したすべての第2の前処理機能情報から、それぞれの前処理機能を提供するURLと前処理種別を取り出す。
In step S3003, the
ステップS3004でマッピングサーバー300は、ステップS3003で取り出した前処理機能を提供するURLのそれぞれに対し、対応する遷移ボタンを画面表示させる。またそれぞれのボタンは、対応するIDPの識別子と、さらに前処理種別を表す文言とともに表示される。以上でそのIDPに関する処理を終了し、ステップS1002に遷移する。
In step S3004, the
図12のフローが完了した際に画面に表示されるのは、例えば図15に示されるようなIDP一覧表示画面520である。
When the flow of FIG. 12 is completed, an IDP
図15は本実施の第3の形態に係る、IDP一覧表示画面の例を示す。ここでIDP一覧表示画面520には、IDP−A400、IDP−A−TRIAL、IDP−B410およびIDP−Cの4つのIDPが表示されている。またそれらのIDPの内で、IDP−A400に関しては、IDとパスワードによる前処理機能の画面への遷移ボタンと、OAuthによる前処理機能の画面への遷移ボタンの、2つの遷移ボタンが表示されている。
FIG. 15 shows an example of an IDP list display screen according to the third embodiment. Here, on the IDP
IDP一覧表示画面520が表示されたときにユーザーは、IDP−Aに対するSSOマッピングを実施する際に、IDとパスワードによる前処理とOAuthによる前処理の、2つの前処理の内で、自らの望む前処理でSSOマッピングを実施することができる。
When the IDP
本実施の第3の形態によれば、同一のIDPで複数の前処理が利用可能な場合に、ユーザーの選択に従い、SSOマッピング時の前処理を実施することができるようになる。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
According to the third embodiment, when a plurality of preprocessing can be used with the same IDP, the preprocessing at the time of SSO mapping can be performed according to the user's selection.
<Other embodiments>
The present invention can also be realized by executing the following processing. That is, software (program) that realizes the functions of the above-described embodiments is supplied to a system or apparatus via a network or various storage media, and a computer (or CPU, MPU, etc.) of the system or apparatus reads the program. It is a process to be executed.
Claims (9)
前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報と、
前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段と
を有することを特徴とするマッピングサーバー。 Mapping information associated with a user ID is provided in a single sign-on system that allows access to the server by associating user authentication information indicating that the authentication server has authenticated the user with the user ID of the user in another server. A mapping server,
Mapping function information for associating the user ID with the mapping function information registered in association with each authentication server;
A receiving unit that refers to the mapping function information and receives a selection of an authentication server associated with the mapping function;
A mapping server comprising: an execution unit configured to execute the process according to the mapping function associated with the selected authentication server to configure the mapping information.
前記実行手段は、前記前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とする請求項1または2に記載のマッピングサーバー。 Pre-processing function information registered in association with each authentication server, pre-processing to be performed before executing the mapping function,
The execution means refers to the preprocessing function information, and when the preprocessing function associated with the selected authentication server is executed by the authentication server, executes the preprocessing function. The mapping server according to claim 1, wherein the mapping information is configured by executing a process according to a mapping function associated with the selected authentication server.
前記実行手段は、選択された認証サーバーに応じて、ひとつのエンティティIDについて、関連付けられるユーザーIDが複数のテナントにわたっていないことチェックするマッピング機能と、互いに関連付けられるユーザーIDを、中間的なIDを介して関連付けたマッピング情報を生成するマッピング機能とを含むことを特徴とする請求項1乃至5のいずれか一項に記載のマッピングサーバー。 The mapping information is managed in units of entities having entity IDs, and the user ID is managed for each tenant to which a user belongs,
The execution means includes a mapping function for checking that the associated user ID does not exist for a plurality of tenants for one entity ID according to the selected authentication server, and the user ID associated with each other via an intermediate ID. The mapping server according to claim 1, further comprising a mapping function that generates mapping information associated with each other.
前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報を格納する手段と、
前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段と
してコンピュータを機能させるためのプログラム。 Mapping information associated with a user ID is provided in a single sign-on system that allows access to the server by associating user authentication information indicating that the authentication server has authenticated the user with the user ID of the user in another server. A program for causing a computer to function as a mapping server,
Means for storing mapping function information for associating the mapping function for associating the user ID with each authentication server;
A receiving unit that refers to the mapping function information and receives a selection of an authentication server associated with the mapping function;
A program for causing a computer to function as an execution unit that executes processing according to a mapping function associated with the selected authentication server to configure the mapping information.
前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け工程と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行工程と
を有することを特徴とするマッピング機能提供方法。 Mapping information associated with a user ID is provided in a single sign-on system that allows access to the server by associating user authentication information indicating that the authentication server has authenticated the user with the user ID of the user in another server. A mapping function providing method executed by a mapping server,
A receiving step of accepting a selection of an authentication server associated with the mapping function with reference to mapping function information registered in association with each authentication server, mapping function for associating the user ID;
A mapping function providing method comprising: executing a process according to a mapping function associated with the selected authentication server to configure the mapping information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012126544A JP5955106B2 (en) | 2012-06-01 | 2012-06-01 | Mapping server and single sign-on system, mapping function providing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012126544A JP5955106B2 (en) | 2012-06-01 | 2012-06-01 | Mapping server and single sign-on system, mapping function providing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013250894A true JP2013250894A (en) | 2013-12-12 |
JP5955106B2 JP5955106B2 (en) | 2016-07-20 |
Family
ID=49849471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012126544A Expired - Fee Related JP5955106B2 (en) | 2012-06-01 | 2012-06-01 | Mapping server and single sign-on system, mapping function providing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5955106B2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016045633A (en) * | 2014-08-21 | 2016-04-04 | 日本電信電話株式会社 | Id provider recommendation apparatus, id recommendation system, and id provider recommendation method |
WO2016166856A1 (en) * | 2015-04-15 | 2016-10-20 | 株式会社日立システムズ | Single sign-on system and single sign-on method |
JP2019526868A (en) * | 2016-09-14 | 2019-09-19 | オラクル・インターナショナル・コーポレイション | Single sign-on and single logout capabilities for multi-tenant identity and data security management cloud services |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009541817A (en) * | 2006-03-22 | 2009-11-26 | アリババ グループ ホールディング リミテッド | Single sign-on between systems |
WO2010110182A1 (en) * | 2009-03-24 | 2010-09-30 | 日本電気株式会社 | Mediation device, mediation method, program, and mediation system |
JP2011191882A (en) * | 2010-03-12 | 2011-09-29 | Hitachi Ltd | Id bridge service system and method for the same |
JP2012014536A (en) * | 2010-07-02 | 2012-01-19 | Mitsubishi Electric Corp | Authentication system, authentication base device, and authentication program |
-
2012
- 2012-06-01 JP JP2012126544A patent/JP5955106B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009541817A (en) * | 2006-03-22 | 2009-11-26 | アリババ グループ ホールディング リミテッド | Single sign-on between systems |
WO2010110182A1 (en) * | 2009-03-24 | 2010-09-30 | 日本電気株式会社 | Mediation device, mediation method, program, and mediation system |
JP2011191882A (en) * | 2010-03-12 | 2011-09-29 | Hitachi Ltd | Id bridge service system and method for the same |
JP2012014536A (en) * | 2010-07-02 | 2012-01-19 | Mitsubishi Electric Corp | Authentication system, authentication base device, and authentication program |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016045633A (en) * | 2014-08-21 | 2016-04-04 | 日本電信電話株式会社 | Id provider recommendation apparatus, id recommendation system, and id provider recommendation method |
WO2016166856A1 (en) * | 2015-04-15 | 2016-10-20 | 株式会社日立システムズ | Single sign-on system and single sign-on method |
JPWO2016166856A1 (en) * | 2015-04-15 | 2017-12-28 | 株式会社日立システムズ | Single sign-on system and single sign-on method |
US10476733B2 (en) | 2015-04-15 | 2019-11-12 | Hitachi Systems, Ltd. | Single sign-on system and single sign-on method |
JP2019526868A (en) * | 2016-09-14 | 2019-09-19 | オラクル・インターナショナル・コーポレイション | Single sign-on and single logout capabilities for multi-tenant identity and data security management cloud services |
JP2019164794A (en) * | 2016-09-14 | 2019-09-26 | オラクル・インターナショナル・コーポレイション | Single sign-on and single log-out function for multi-tenant identity and data security management cloud service |
JP6998912B2 (en) | 2016-09-14 | 2022-01-18 | オラクル・インターナショナル・コーポレイション | Single sign-on and single logout capabilities for multi-tenant identity and data security management cloud services |
Also Published As
Publication number | Publication date |
---|---|
JP5955106B2 (en) | 2016-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5614340B2 (en) | System, authentication information management method, and program | |
US7860882B2 (en) | Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations | |
JP4551369B2 (en) | Service system and service system control method | |
US7860883B2 (en) | Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments | |
US8015301B2 (en) | Policy and attribute based access to a resource | |
US8418234B2 (en) | Authentication of a principal in a federation | |
US20030226036A1 (en) | Method and apparatus for single sign-on authentication | |
US8522333B2 (en) | Client/server system for communicating according to the standard protocol OPC UA and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system | |
US20080021866A1 (en) | Method and system for implementing a floating identity provider model across data centers | |
CN111786969B (en) | Single sign-on method, device and system | |
US9077708B2 (en) | Information processing system, control method for controlling the information processing system, and storage medium | |
CN110519296A (en) | A kind of single-sign-on of isomery web system and publish method | |
CN112039873A (en) | Method for accessing business system by single sign-on | |
JP5955106B2 (en) | Mapping server and single sign-on system, mapping function providing method | |
US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
JP6041537B2 (en) | System, control method and program | |
JP2009205223A (en) | In-group service authorization method by single sign-on, in-group service providing system using this method, and each server constituting this system | |
JP2015505626A (en) | Integrate server applications with many authentication providers | |
JP6305005B2 (en) | Authentication server system, control method, and program thereof | |
US10735399B2 (en) | System, service providing apparatus, control method for system, and storage medium | |
EP1786140A1 (en) | Server aided launching of applications, authenticating users and connecting secure networks | |
US20170214685A1 (en) | System and method for controlling system | |
JPH1131132A (en) | Authentication/authority control system | |
WO2023160632A1 (en) | Method for setting cloud service access permissions of enclave instance, and cloud management platform | |
Ma et al. | Authentication delegation for subscription-based remote network services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150528 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160314 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160415 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160420 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160516 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160614 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5955106 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
LAPS | Cancellation because of no payment of annual fees |