JP2014010656A - 情報処理システム - Google Patents
情報処理システム Download PDFInfo
- Publication number
- JP2014010656A JP2014010656A JP2012147215A JP2012147215A JP2014010656A JP 2014010656 A JP2014010656 A JP 2014010656A JP 2012147215 A JP2012147215 A JP 2012147215A JP 2012147215 A JP2012147215 A JP 2012147215A JP 2014010656 A JP2014010656 A JP 2014010656A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- server
- image
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】クロスドメインでのシングルサインオンを支援する。
【解決手段】ウェブシステム100は、ユーザ端末14から画像を要求された場合に、ユーザの認証状況にしたがって異なる態様の画像を提供する認証サーバ10と、ユーザ端末14からウェブページを要求された場合にコンピュータプログラムを提供するウェブサーバ12を備える。そのコンピュータプログラムは、認証サーバ10から画像を取得し、その画像の態様に応じて、認証サーバ10におけるユーザの認証状況を判定し、ユーザの認証状況に応じたウェブページを表示させるための処理をユーザ端末14に実行させる。
【選択図】図1
【解決手段】ウェブシステム100は、ユーザ端末14から画像を要求された場合に、ユーザの認証状況にしたがって異なる態様の画像を提供する認証サーバ10と、ユーザ端末14からウェブページを要求された場合にコンピュータプログラムを提供するウェブサーバ12を備える。そのコンピュータプログラムは、認証サーバ10から画像を取得し、その画像の態様に応じて、認証サーバ10におけるユーザの認証状況を判定し、ユーザの認証状況に応じたウェブページを表示させるための処理をユーザ端末14に実行させる。
【選択図】図1
Description
本発明はデータ処理技術に関し、ユーザ認証を実施する情報処理システムに関する。
インターネットやブロードバンドサービスの普及に伴って、様々な金融サービスやEC(Electronic Commerce)サービスがオンラインでユーザに提供されている。このようなオンラインサービスを提供するウェブサーバの中には、サービスを提供するためにユーザの情報を要求するものがある。
ネットワークのドメインを跨った(すなわちクロスドメインでの)シングルサインオンを実現する際に、あるドメインに属する認証サーバにおけるユーザの認証状況を、別のドメインに属する依存サーバに対して受け渡すことが必要となる場合がある。ドメインが異なる場合、認証サーバと依存サーバの間でクッキー(Cookie)を共有できないため、ユーザが依存サーバへアクセスしたときに、認証サーバへリダイレクトさせる等の方式が用いられてきた。本発明者は、このような方式では認証サーバが停止中に処理の継続が困難になる場合があり、改善の余地があると考えた。
本発明は、発明者の上記着想にもとづきなされたものであり、クロスドメインでのシングルサインオンを支援するための技術を提供することを主な目的とする。
上記課題を解決するために、本発明のある態様の情報処理システムは、ユーザの端末から画像を要求された場合に、ユーザの認証状況にしたがって異なる態様の画像をユーザの端末へ提供する認証サーバと、ユーザの端末からウェブページを要求された場合にコンピュータプログラムをユーザの端末へ提供するウェブサーバと、を備える。コンピュータプログラムは、認証サーバから画像を取得する画像取得機能と、認証サーバから取得された画像の態様に応じて、認証サーバにおけるユーザの認証状況を判定する判定機能と、ユーザの認証状況に応じたウェブページを表示させるための処理を実行する制御機能と、をユーザの端末に実現させる。
なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
本発明によれば、クロスドメインでのシングルサインオンを支援することができる。
図1は、実施の形態のウェブシステムの構成を示す。ウェブシステム100は、サーバ・クライアント間でHTTP通信を行う情報処理システムであり、認証サーバ10で総称される認証サーバ10a、認証サーバ10b、認証サーバ10cと、ウェブサーバ12と、ユーザ端末14を備える。これらの各装置はインターネット16を介して接続される。
ユーザ端末14は、ウェブブラウザを搭載した情報処理装置であり、例えばPC・携帯電話機・スマートフォン・タブレット端末であってもよい。ユーザ端末14は、ユーザの操作に応じてウェブサーバ12へアクセスし、ウェブサーバ12から提供されたウェブページを所定のディスプレイに表示する。
認証サーバ10は、ユーザ端末14からのアクセスを受け付けて、ユーザを認証する情報処理装置である。認証サーバ10は、OpenID規格のOP(OpenID Provider)に対応し、ユーザの認証に成功した場合、セッションクッキーをユーザ端末14へ発行する。ウェブサーバ12は、ユーザ端末14からのアクセスを受け付けて、そのアクセスで指定されたウェブページのデータをユーザ端末14へ提供する。認証サーバ10a〜認証サーバ10c、ウェブサーバ12のそれぞれは、ネットワークのドメイン(以下、「インターネットドメイン」とも呼ぶ。)が互いに異なるものとする。
ここでウェブサーバ12は、OpenID規格のRP(Relying Party)に対応し、ユーザが認証サーバ10a〜認証サーバ10cのいずれかで認証済みの場合(例えば認証に成功し、その認証結果が有効な状態であるとき)は、認証済みユーザ向けのウェブページをユーザ端末14へ提供し表示させる。その一方、ユーザが認証サーバ10a〜認証サーバ10cのいずれにおいても未認証の場合(例えば認証に失敗し、もしくは過去の認証結果が無効な状態であるとき)は、未認証ユーザ向けのウェブページをユーザ端末14へ提供し表示させるものとする。したがってウェブサーバ12は、認証サーバ10におけるユーザの認証状況を認識する必要がある。
既述したように、認証サーバ10とウェブサーバ12はインターネットドメインが異なるため、認証サーバ10がユーザ端末14に設定したクッキー情報をウェブサーバ12側では参照できない。そのため、クロスドメインでのシングルサインオンを実現するためのこれまでの方式の一例として、ウェブサーバ12は、ユーザ端末14からアクセスを受け付けると、まず認証サーバ10aへリダイレクトさせて認証サーバ10aにユーザ認証を実施させ、その認証結果をリダイレクトで取得する。次に、認証サーバ10bへリダイレクトさせて認証サーバ10bにユーザ認証を実施させ、その認証結果をリダイレクトで取得する、・・・を繰り返し、各認証サーバ10でのユーザの認証状況を判別することがあった。
本発明者は、これまでの方式について、1)ユーザ端末14におけるブラウザリダイレクトの回数が多くなり、ユーザ端末14でのウェブページ表示に遅延が発生すること、2)認証サーバ10の数が多くなるほど、上記1)の遅延が大きくなること、3)認証サーバ10が停止中にページ表示処理が継続できないこと、を問題として認識した。
そして本発明者は、クロスドメインの環境においても、A)ウェブページに埋め込まれたリソースに対するHTTPリクエストでは、設定済みのクッキーが送信されること、B)ウェブページに埋め込まれた画像の属性、具体的には幅や高さのサイズを取得できること、に着目して、クロスドメインでのシングルサインオンを効率的に実現させる仕組みに想到した。
具体的には、実施の形態の認証サーバ10は、ユーザに自身の認証状況を確認させるための画像(以下、「確認用画像」とも呼ぶ。)を提供するためのHTTPエンドポイント、言い換えれば、HTTPリクエストの受付窓口を予め設定しておく。そしてユーザ端末14から確認用画像が要求された場合に、ユーザの認証状況に応じたサイズの画像をユーザ端末14へ提供する。ウェブサーバ12は、ユーザ端末14からウェブページが要求された場合に、認証サーバ10から確認用画像を取得して表示するコードと、確認用画像のサイズを判定するコードを含むウェブページをユーザ端末14へ提供する。
ユーザ端末14のウェブブラウザはウェブページの表示に際して認証サーバ10から確認用画像を取得し、ウェブページのスクリプトコードでその画像サイズを判定することによりユーザの認証状況を判定可能となる。言い換えれば、ユーザが認証サーバ10にログイン済みか否かを判定可能となる。これにより、ユーザの認証状況に応じた態様のページをユーザ端末14に表示させるように、ウェブページのスクリプトコードで制御することができる。以下、図1の各装置の構成を詳細に説明する。
図2は、図1の認証サーバ10の機能構成を示すブロック図である。認証サーバ10は、ユーザ情報保持部20と、セッション情報保持部22と、ユーザ認証部24と、認証情報提供部26と、セッション管理部28と、認証状況判定部30と、画像提供部32を備える。本明細書のブロック図において示される各ブロックは、ハードウェア的には、コンピュータのCPUをはじめとする素子や機械装置で実現でき、ソフトウェア的にはコンピュータプログラム等によって実現されるが、ここでは、それらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックはハードウェア、ソフトウェアの組合せによっていろいろなかたちで実現できることは、当業者には理解されるところである。後述のブロック図についても同様である。
ユーザ情報保持部20は、認証対象のユーザに関する情報(以下、「ユーザ情報」とも呼ぶ。)を保持する記憶領域である。ユーザ情報には、ユーザ認証の成否を判定するための情報が含まれ、具体的には、ログイン画面でユーザが入力したユーザIDとパスワードの組と照合するための、ユーザIDとパスワードの情報が含まれる。またユーザ情報には、ユーザに関する各種の属性情報、例えばメールアドレスや性別、クレジットカード番号等が含まれてもよい。
セッション情報保持部22は、認証サーバ10とユーザ端末14のセッションの情報を保持する記憶領域である。セッション情報には、認証サーバ10がユーザ端末14へ発行したセッションIDと、認証サーバ10とユーザ端末14のセッションの有効期限が含まれることとする。
ユーザ認証部24は、ユーザ端末14から認証要求を受け付ける。この認証要求とともにユーザ端末14から送信されたクッキーがセッションIDを含む場合(このようなクッキーを「セッションクッキー」とも呼ぶ。)、ユーザ認証部24は、セッション情報保持部22のセッション情報を参照して、そのセッションIDに対応づけられた有効期限を確認する。セッションの有効期限内であれば、ユーザの認証が有効と判定する。
セッションの有効期限が途過しているとき、もしくは、ユーザ端末14からセッションIDが未送信であるとき、ユーザ認証部24は、ログイン画面のデータをユーザ端末14へ提供し、そのログイン画面へ入力されたユーザID・パスワードをユーザ端末14から取得する。そして、ログイン画面へ入力されたユーザID・パスワードがユーザ情報保持部20のユーザ情報と整合する場合に、ユーザの認証が成功したと判定する。
認証情報提供部26は、ユーザ認証部24によりユーザの認証が有効と判定された場合、もしくはユーザの認証が成功したと判定された場合に、ユーザ認証の成功を示すアサーション(「トークン」とも呼ばれる)をユーザ端末14へ提供する。実施の形態において、認証情報提供部26は、アサーションのデータに、ユーザ情報保持部20のユーザ情報(例えばユーザID)を含める。これにより、ユーザ認証に成功した旨とともにユーザ情報(例えばユーザID)を、ユーザ端末14を介してウェブサーバ12へ伝達する。
セッション管理部28は、ユーザ認証部24によりユーザの認証が成功したと判定された場合に、そのユーザに対するセッションIDを払い出し、現在日時に所定のセッション有効期間(例えば30分)を加えた日時をセッション有効期限として、セッション情報をセッション情報保持部22へ格納する。このときユーザ認証部24は、セッション管理部28により払い出されたセッションIDを、ユーザ端末14のクッキー(セッションクッキー)へ設定する。またセッション管理部28は、有効期限を途過したセッション情報をセッション情報保持部22から削除する。
認証状況判定部30は、確認用画像の提供要求をユーザ端末14から受け付ける。認証状況判定部30は、この要求とともにユーザ端末14から送信されたクッキーがセッションIDを含むか否かを判定する。セッションIDを含む場合には、セッション情報保持部22のセッション情報を参照して、そのセッションIDに対応づけられた有効期限を確認する。セッションの有効期限内であればユーザの認証が有効と判定する。その一方、ユーザ端末14からセッションIDが未送信である場合、もしくは、セッションIDに対応づけられた有効期限が途過している場合、ユーザの認証が無効と判定する。
画像提供部32は、認証状況判定部30によりユーザの認証が有効と判定された場合に、その旨を示す所定サイズの画像データ(ここでは幅が2ピクセルの画像とする)をユーザ端末14へ提供する。その一方、認証状況判定部30によりユーザの認証が無効と判定された場合は、異なるサイズの画像データ(ここでは幅が1ピクセルの画像とする)をユーザ端末14へ提供する。実施の形態では、ユーザの認証状況に応じて画像幅を変えることとするが、変形例として、画像の高さを変えてもよいことはもちろんである。
図3は、図1のウェブサーバ12の機能構成を示すブロック図である。ウェブサーバ12は、ページ保持部40とページ提供部42を備える。ページ保持部40は、ユーザへ提示すべきウェブコンテンツを定めたウェブページのデータ(典型的にはHTMLプログラム)を保持する記憶領域である。本実施の形態では、ページ保持部40は、認証サーバ10により未認証のユーザ向けのウェブページと、認証サーバ10により認証済みのユーザ向けのウェブページを少なくとも保持することとする。例えば前者は、全てのユーザへ公開可能なコンテンツのみを含む一方、後者は、認証済み(ログイン済み)のユーザに対してのみ公開可能なコンテンツを含むものである。
図4は、未認証ユーザ向けのウェブページのコードを模式的に示す。同図では具体的な処理の内容をコメント文として示している。コンテンツコード50は、ウェブコンテンツを表示させるためのHTMLプログラムコードであり、画像取得コード51を含む。画像取得コード51は、認証サーバ10a〜認証サーバ10cのそれぞれから確認用画像を取得して表示させるコードである。スクリプトコード52は、ウェブページにおけるデータ処理を制御するためのJAVAスクリプト(登録商標)コードである。図4では、スクリプトコード52として、認証サーバ10aに関するデータ処理のためのコードを示しているが、認証サーバ10bと認証サーバ10cに関するデータ処理のコードも同様である。
画像サイズ取得コード53は、認証サーバ10aから提供された確認用画像のサイズを取得するコードである。実施の形態では、ユーザの認証状況を画像幅で判別するが、画像の高さで識別してもよく、その場合「naturalHight」プロパティの値を取得してもよい。エラー判定コード54は、確認用画像の取得に関連するエラーを検出するためのコードであり、エラーハンドリングコード55はエラー検出時にそのエラーハンドリングを行うコードである。画像サイズ判定コード56は、確認用画像の幅にもとづいて認証状況を判定するコードである。認証要求コード57は、認証サーバ10aへ認証要求し、認証サーバ10からアサーションを取得するコードである。リダイレクトコード58は、リダイレクトによりアサーションをウェブサーバ12へ転送するコードである。
図3に戻り、ページ提供部42は、ウェブページの提供要求をユーザ端末14から受け付ける。そのときページ提供部42は、一旦、未認証ユーザ向けウェブページのデータをユーザ端末14へ提供する。ページ提供部42は、ユーザ端末14からユーザIDを含む認証サーバ10のアサーションデータを受け付けたことを条件として、認証済みユーザ向けウェブページのデータをユーザ端末14へ提供する。
図5は、図1のユーザ端末14の機能構成を示すブロック図である。ユーザ端末14は、操作検出部60と、モニター出力部62と、通信処理部64と、ブラウザ部66を備える。操作検出部60は、キーボードやマウス等の入力装置に対するユーザ操作を検出する。モニター出力部62は、ユーザ端末14のモニターへ画像データを送出することにより、その画像データをモニター(ディスプレイ)に表示させる。通信処理部64は、HTTPに則り、インターネット16を介して、認証サーバ10やウェブサーバ12とデータを送受する。
ブラウザ部66は、ユーザ端末14に搭載されたウェブブラウザに対応する。ブラウザ部66は、コンテンツ表示部68と、画像取得部70と、認証状況判定部72と、認証要求部74と、認証情報取得部76と、認証情報転送部78と、エラー処理部80を含む。このうち、画像取得部70、認証状況判定部72、認証要求部74、認証情報取得部76、認証情報転送部78、エラー処理部80の機能は、図4で示した未認証ユーザ向けウェブページのプログラムコードをブラウザ部66が実行することにより実現される。
コンテンツ表示部68は、ウェブページのHTMLコード(各種タグを含む)やJAVAスクリプトコードを解釈し、それらのコードが定めるウェブコンテンツをモニターに表示させる。例えば、図4のコンテンツコード50が定めるウェブコンテンツを表示させる。画像取得部70は、図4の画像取得コード51に対応し、認証サーバ10a〜認証サーバ10cのそれぞれから確認用画像を取得し、コンテンツ表示部68を介して各画像を表示させる。
図6は、ユーザ端末14で表示されるウェブページを模式的に示す。同図は、未認証ユーザ向けウェブページを示している。メインペイン90には、未認証ユーザ向けのウェブコンテンツが表示される。サブペイン92には、認証サーバ10a(例えば同図のAAA)〜認証サーバ10c(例えば同図のCCC)のそれぞれに対応する3つのログインボタン94を含むログインサイトの選択画面が表示される。またサブペイン92は、認証サーバ10a〜認証サーバ10cのそれぞれから取得した認証状況確認用の画像を表示させる画像表示領域96を含む。画像表示領域96は、ウェブページの隅等の目立たない位置に設けられることが望ましい。また画像表示領域96の確認用画像も、その表示色が背景色と同じである等、目立たない態様で表示することが望ましい。
図5に戻り、認証状況判定部72は、図4の画像サイズ取得コード53、エラー判定コード54、画像サイズ判定コード56に対応する。認証状況判定部72は、認証サーバ10a〜認証サーバ10cのそれぞれから取得された確認用画像の属性を判定し、その属性に応じてユーザの認証状況を判定する。具体的には、画像幅が2ピクセル長である場合、ユーザの認証が有効である、すなわち認証サーバ10によるユーザ認証が成功し、かつ、その認証が有効期限内であると判定する。その一方、画像幅が1ピクセル長である場合、ユーザの認証が無効である、すなわち認証サーバ10によるユーザ認証が失敗し、もしくは、認証サーバ10によるユーザ認証の有効期限が切れたと判定する。
また認証状況判定部72は、画像取得部70による画像取得でエラーが発生した場合、すなわち認証サーバ10から画像取得できなかった場合や、取得された画像の幅が0ピクセル長であった場合は、認証サーバ10が異常と判定する。そして後述のエラー処理部80へエラーハンドリングを指示する。
認証要求部74は図4の認証要求コード57に対応する。認証要求部74は、複数の認証サーバ10のうち、認証状況判定部72によりユーザの認証が有効と判定された認証サーバ10に対してユーザ認証の要求電文を送信する。その際に、認証サーバ10のインターネットドメインに対応するセッションクッキーがあれば、そのクッキーを合わせて送信する。
また認証要求部74は、図6の未認証ユーザ向けウェブページにおいて特定の認証サーバ10を示すログインボタン94がユーザにより選択された場合に、その認証サーバ10に対してユーザ認証の要求電文を送信する。なお認証要求部74は、ユーザ認証の要求先の認証サーバ10からログイン画面のデータが提供された場合、ログイン画面をモニターに表示させる。そしてユーザがログイン画面に入力したユーザIDおよびパスワードを認証サーバ10へ送信する。
認証情報取得部76も図4の認証要求コード57に対応する。認証情報取得部76は、認証サーバ10によるユーザ認証の結果の情報であり、ユーザIDを含む認証情報(アサーション、トークン)を認証サーバ10から取得する。認証情報転送部78は、図4のリダイレクトコード58に対応し、認証サーバ10から取得された認証情報をウェブサーバ12へ送信する。具体的には、ユーザ端末14のウェブブラウザに、ウェブサーバ12へリダイレクトさせることにより認証情報をウェブサーバ12へ送信させる。
エラー処理部80は図4のエラーハンドリングコード55に対応する。エラー処理部80は、認証状況判定部72からエラーハンドリングが指示された場合に、所定のエラー対応処理を実行する。例えば、認証サーバ10が異常であることを示す情報をウェブサーバ12へ通知して、認証サーバ10が異常である場合のウェブページをウェブサーバ12に提供させてもよい。また、認証状況確認用の画像を介して異常が検出された認証サーバ10について、未認証ユーザ向けウェブページにおける当該認証サーバ用のログインボタン94を、ユーザが選択できない態様(disabled)としてもよく、非表示としてもよい。
以上の構成によるウェブシステム100の動作を以下説明する。
図7は、ウェブシステム100の動作を示すフローチャートである。ユーザ端末14のブラウザ部66は、ユーザにより指定されたウェブページの提供要求をウェブサーバ12へ送信する(S10)。ウェブサーバ12のページ提供部42は、その要求に応じたウェブページをユーザ端末14へ提供し、認証済みユーザ向けウェブページが指定された場合は、一旦、未認証ユーザ向けウェブページをユーザ端末14へ送信する(S12)。ユーザ端末14のブラウザ部66は、未認証ユーザ向けウェブページの表示処理を実行する(S14)。
図7は、ウェブシステム100の動作を示すフローチャートである。ユーザ端末14のブラウザ部66は、ユーザにより指定されたウェブページの提供要求をウェブサーバ12へ送信する(S10)。ウェブサーバ12のページ提供部42は、その要求に応じたウェブページをユーザ端末14へ提供し、認証済みユーザ向けウェブページが指定された場合は、一旦、未認証ユーザ向けウェブページをユーザ端末14へ送信する(S12)。ユーザ端末14のブラウザ部66は、未認証ユーザ向けウェブページの表示処理を実行する(S14)。
S14において、複数の認証サーバ10の少なくとも1つによるユーザの認証が有効であることが確認された場合(S16のY)、ユーザ端末14の認証要求部74は、ユーザの認証が有効である認証サーバ10に対して、セッションクッキーとともに認証要求を送信する(S18)。認証サーバ10のユーザ認証部24は、その認証要求を受け付けると、セッション情報保持部22のセッション情報を参照してユーザの認証が有効であることを確認する。そして認証情報提供部26は、ユーザ情報保持部20に保持されたユーザID等のユーザ情報を含むアサーションのデータをユーザ端末14へ送信する。
ユーザ端末14の認証情報取得部76は、認証サーバ10から提供されたアサーションを取得し、認証情報転送部78はそのアサーションをウェブサーバ12へ転送する(S20)。ユーザ認証に関するアサーションを取得したウェブサーバ12のページ提供部42は、認証済みユーザ向けウェブページをユーザ端末14へ提供し、表示させる(S22)。S14において、複数の認証サーバ10のいずれにおいてもユーザの認証が無効であるときは(S16のN)、S18〜S22をスキップし、ユーザ端末14のブラウザ部66は、未認証ユーザ向けウェブページの表示を維持する。
図8は、図7のS14のページ表示処理を詳細に示すフローチャートである。ユーザ端末14の画像取得部70は、確認用画像の提供を認証サーバ10に要求する(S30)。複数の認証サーバ10のそれぞれにおいて、認証状況判定部30は、セッション情報保持部22に保持されたセッション情報を参照し、ユーザの認証が有効な状態か否かを判定する。ユーザの認証が有効な状態であるとき(S32のY)、認証サーバ10の画像提供部32は、2ピクセル幅の画像データをユーザ端末14へ送信する(S34)。ユーザの認証が無効な状態であれば(S32のN)、1ピクセル幅の画像データをユーザ端末14へ送信する(S36)。
ユーザ端末14の認証状況判定部72は、認証サーバ10から提供された確認用画像のサイズを取得する(S38)。エラーが未検出であれば(S40のN)、認証状況判定部72は、画像サイズに基づいてユーザの認証状況を判定する(S44)。その一方、画像取得処理でのエラーや、画像サイズのエラー(例えば画像幅が0ピクセルであること等)が検出されると(S40のY)、ユーザ端末14のエラー処理部80は、予め定められたエラーハンドリング処理を実行し、エラーに応じたウェブページを表示させる(S42)。
本実施の形態のウェブシステム100によると、ウェブサーバ12がユーザ端末14へ提供するウェブページのプログラムコードにおいて、認証サーバ10から認証状況に応じたサイズの確認用画像を取得し、その画像サイズに応じてユーザの認証状況を判別する。これにより、クロスドメイン環境においてクッキーを用いることなく認証状況を判別し、ウェブページのプログラムコードによる適切なページへの遷移が実現でき、クロスドメイン環境でのシングルサインオンを実現できる。また、ウェブページのプログラムコード(言い換えれば依存サイトであるウェブサーバ12)は、ユーザの認証状況を確認するために、認証サーバ10が設定した画像サイズをチェックするだけであり、セキュリティ上のリスクも抑制できる。
また確認用画像の取得や画像サイズ取得により、認証サーバ10が異常状態か否かを、認証要求前に判別しやすくなる。仮に認証サーバ10が異常状態であっても、ウェブページのプログラムコードにおいてエラーハンドリングを行うことで、認証サーバ10の異常によりウェブページの表示処理が中断することを回避しやすくなる。例えば、認証サーバ10が認証要求へのレスポンスを返すことができない異常状態であっても、エラーハンドリングにおいて、その認証サーバ10への認証要求を抑制する処理を実行することで、ウェブページの表示処理を継続させやすくなる。
またウェブシステム100によると、ウェブサーバ12が認証情報を受け付け可能な認証サーバ10が複数存在する場合でも、認証情報を取得するためにアクセスする対象は、ユーザの認証が有効な認証サーバ10だけとなる。これにより、ユーザ端末14におけるブラウザリダイレクトの回数を抑制し、ユーザ端末14においてウェブページの表示完了までに要する時間を低減できる。また、ウェブシステム100において認証サーバ10の数が増加しても、アクセスする認証サーバ10の数の増加を抑制できる。すなわち、クロスドメイン環境において効率的なシングルサインオンを実現できる。
以上、本発明を実施の形態をもとに説明した。この実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。以下変形例を示す。
第1の変形例を説明する。上記実施の形態では、ウェブサーバ12は、ユーザ認証に関するアサーションを取得することを条件として、認証済みユーザ向けウェブページを提供した。そのため、未認証ユーザ向けウェブページのプログラムコードは、確認用画像のサイズにもとづいてユーザの認証が有効と判定した場合に、認証サーバ10へ認証要求を送信し、そのレスポンスであるアサーションをウェブサーバ12へ転送した。変形例として、ウェブサーバ12は、ユーザの認証が有効な状態であることをもって、認証済みユーザ向けウェブページを提供してもよい。この変形例では、未認証ユーザ向けウェブページは、確認用画像のサイズによりユーザの認証が有効と判定した場合に、その旨をウェブサーバ12へ通知することにより、ウェブサーバ12に認証済みユーザ向けウェブページをユーザ端末14へ提供させるプログラムコードを含んでもよい。例えば、ユーザの認証が有効である場合に、その旨を示すパラメータを含む認証済みユーザ向けウェブページのURLを指定したHTTP−GETリクエストをウェブサーバ12へ送信してもよい。
第2の変形例を説明する。上記実施の形態では、ウェブサーバ12はデフォルトのウェブページとして未認証ユーザ向けウェブページを提供した。変形例として、ユーザ端末14からページ提供リクエストを受け付けたウェブサーバ12は、一旦、認証状況判定用のウェブページ(例えば図4の未認証ユーザ用のコンテンツコードを含まないデータ)をユーザ端末14へ提供してもよい。この変形例では、認証状況判定用のウェブページは、ユーザの認証が無効と判定した場合(確認用画像の幅が1ピクセルの場合)に、その旨をウェブサーバ12へ通知することにより、ウェブサーバ12に未認証ユーザ向けウェブページをユーザ端末14へ提供させるプログラムコードを含んでもよい。例えば、ユーザの認証が無効の場合に、未認証ユーザ向けウェブページの提供要求(未認証ユーザ向けウェブページのURLを指定したHTTP−GETリクエスト)をウェブサーバ12へ送信してもよい。
請求項に記載の各構成要件が果たすべき機能は、実施の形態および変形例において示された各構成要素の単体もしくはそれらの連係によって実現されることも当業者には理解されるところである。例えば、請求項に記載の制御機能は、図5の認証要求部74、認証情報取得部76、認証情報転送部78、エラー処理部80の連携により実現されてもよい。
10 認証サーバ、 12 ウェブサーバ、 14 ユーザ端末、 70 画像取得部、 72 認証状況判定部、 74 認証要求部、 76 認証情報取得部、 78 認証情報転送部、 80 エラー処理部、 100 ウェブシステム。
Claims (4)
- ユーザの端末から画像を要求された場合に、ユーザの認証状況にしたがって異なる態様の画像を前記ユーザの端末へ提供する認証サーバと、
前記ユーザの端末からウェブページを要求された場合にコンピュータプログラムを前記ユーザの端末へ提供するウェブサーバと、
を備え、
前記コンピュータプログラムは、
前記認証サーバから前記画像を取得する画像取得機能と、
前記認証サーバから取得された画像の態様に応じて、前記認証サーバにおけるユーザの認証状況を判定する判定機能と、
前記ユーザの認証状況に応じたウェブページを表示させるための処理を実行する制御機能と、を前記ユーザの端末に実現させることを特徴とする情報処理システム。 - 前記コンピュータプログラムの制御機能は、
前記認証サーバにおけるユーザの認証が有効である場合に、前記認証サーバからユーザの認証情報を取得する認証情報取得機能と、
前記認証情報を前記ウェブサーバへ送信することにより、前記認証情報に応じたウェブページを前記ウェブサーバから提供させるページ取得機能と、を含むことを特徴とする請求項1に記載の情報処理システム。 - 複数の認証サーバを備え、
前記コンピュータプログラムの画像取得機能は、前記複数の認証サーバのそれぞれから前記画像を取得し、
前記コンピュータプログラムの判定機能は、各認証サーバから取得された画像の属性に応じて、各認証サーバにおけるユーザの認証状況を判定し、
前記コンピュータプログラムの認証情報取得機能は、前記複数の認証サーバのうちユーザの認証が有効である認証サーバへアクセスして、ユーザの認証情報を取得することを特徴とする請求項2に記載の情報処理システム。 - 認証サーバが、ユーザの端末から画像を要求された場合に、ユーザの認証状況にしたがって異なる態様の画像を前記ユーザの端末へ提供するものであるとき、
前記ユーザの端末からウェブページを要求されたウェブサーバが前記ユーザの端末へ提供するコンピュータプログラムであって、
前記認証サーバから前記画像を取得する画像取得機能と、
前記認証サーバから取得された画像の態様に応じて、前記認証サーバにおけるユーザの認証状況を判定する判定機能と、
前記ユーザの認証状況に応じたウェブページを表示させるための処理を実行する制御機能と、
を前記ユーザの端末に実現させるためのコンピュータプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012147215A JP2014010656A (ja) | 2012-06-29 | 2012-06-29 | 情報処理システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012147215A JP2014010656A (ja) | 2012-06-29 | 2012-06-29 | 情報処理システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014010656A true JP2014010656A (ja) | 2014-01-20 |
Family
ID=50107310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012147215A Pending JP2014010656A (ja) | 2012-06-29 | 2012-06-29 | 情報処理システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2014010656A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017154492A (ja) * | 2016-02-26 | 2017-09-07 | 株式会社リコー | 機器、認証システム、サーバ装置、及び認証方法 |
JP2017182239A (ja) * | 2016-03-29 | 2017-10-05 | 株式会社三菱東京Ufj銀行 | 情報処理装置、プログラム、情報処理システム |
-
2012
- 2012-06-29 JP JP2012147215A patent/JP2014010656A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2017154492A (ja) * | 2016-02-26 | 2017-09-07 | 株式会社リコー | 機器、認証システム、サーバ装置、及び認証方法 |
JP2017182239A (ja) * | 2016-03-29 | 2017-10-05 | 株式会社三菱東京Ufj銀行 | 情報処理装置、プログラム、情報処理システム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10581827B2 (en) | Using application level authentication for network login | |
US10169569B2 (en) | Automated password generation and change | |
US8966594B2 (en) | Proxy authentication | |
JP6056384B2 (ja) | システム及びサービス提供装置 | |
US8544067B2 (en) | System and method for authenticating web users | |
US9231935B1 (en) | Background auto-submit of login credentials | |
US9240991B2 (en) | Anti-phishing system for cross-domain web browser single sign-on | |
JP2020126602A (ja) | ネイティブモバイルアプリケーション起点のOpenID Connect(OIDC)フロー及びセキュリティアサーションマークアップ言語(SAML)フローのためのシームレスなシングルサインオン(SSO)のための方法及びシステム | |
CN107690792A (zh) | 未经管理的移动设备的单点登录 | |
JP5988699B2 (ja) | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 | |
JP2008197973A (ja) | ユーザ認証システム | |
US10721311B1 (en) | System and method for coupling two separate applications to an application session within a serverless infrastructure | |
CN106464497A (zh) | 利用低延迟会话聚合框架体系发放、传送和管理令牌的方法和系统 | |
KR20110055542A (ko) | 유저 인증을 관리하기 위한 장치 | |
US10614417B2 (en) | System and method for electronic lead verification | |
US20100293604A1 (en) | Interactive authentication challenge | |
US20190235714A1 (en) | Contextual keyboard systems and methods of data management | |
JP4589200B2 (ja) | 放送通信連携サービスにおける認証方法,認証連携装置,そのプログラムおよびそのプログラム記録媒体 | |
KR20200006490A (ko) | 정보 처리 장치, 정보 처리 장치를 제어하는 방법 및 저장 매체 | |
JP2011242992A (ja) | 情報処理装置、文書管理装置、印刷出力方法、及びコンピュータプログラム | |
JP2008226015A (ja) | セッション権限管理方法 | |
JP2014010656A (ja) | 情報処理システム | |
US9350724B2 (en) | Authentication server system for performing control of notifications during service use, control method, and storage medium | |
JP5247644B2 (ja) | 認証サーバ、認証方法及び認証システム | |
JP4730604B2 (ja) | 画像形成装置 |