JP2015130028A - 代行ログイン装置、端末、制御方法およびプログラム - Google Patents
代行ログイン装置、端末、制御方法およびプログラム Download PDFInfo
- Publication number
- JP2015130028A JP2015130028A JP2014000799A JP2014000799A JP2015130028A JP 2015130028 A JP2015130028 A JP 2015130028A JP 2014000799 A JP2014000799 A JP 2014000799A JP 2014000799 A JP2014000799 A JP 2014000799A JP 2015130028 A JP2015130028 A JP 2015130028A
- Authority
- JP
- Japan
- Prior art keywords
- user
- application
- terminal
- information
- proxy login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 70
- 230000004044 response Effects 0.000 claims abstract description 27
- 230000010365 information processing Effects 0.000 claims abstract description 15
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 23
- 230000006870 function Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 235000006481 Colocasia esculenta Nutrition 0.000 description 1
- 240000004270 Colocasia esculenta var. antiquorum Species 0.000 description 1
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 206010022000 influenza Diseases 0.000 description 1
- 230000033764 rhythmic process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】ログインを代行される側の認証情報をログインを代行する側のユーザに開示することなしに、権限委譲を実現する。
【解決手段】代行ログイン装置は、第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付ける受付手段と、前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼する承認依頼手段と、前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする代行ログイン手段と、を備える。
【選択図】図20
【解決手段】代行ログイン装置は、第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付ける受付手段と、前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼する承認依頼手段と、前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする代行ログイン手段と、を備える。
【選択図】図20
Description
本発明は、あるユーザの権限を他のユーザに委譲する技術に関する。
例えば、あるユーザ(以下、「第1のユーザ」と記載する)と、当該ユーザとは別のユーザ(以下、「第2のユーザ」と記載する)とが、社内アプリケーションを利用して共に業務を遂行する状況を想定する。社内アプリケーションには、社内の端末からでないとログインできない状況を想定する。
第1のユーザは、社内の端末を介して、第1のユーザの識別情報および認証情報を用いてアプリケーションにログインする。これにより、第1のユーザは第1のユーザの権限によってアプリケーションにログインすることになる。第2のユーザは、社内の端末を介して、第2のユーザの識別情報および認証情報を用いてアプリケーションにログインする。これにより、第2のユーザは第2のユーザの権限によってアプリケーションにログインすることになる。
ここで例えば、第2のユーザが急病等で急遽出社できなくなり、当該アプリケーションにログインすることができなくなった場合を想定する。第2のユーザの権限でなければ遂行できない急ぎの業務がある場合、例えば、第2のユーザの識別情報および認証情報を第1のユーザに開示し、第1のユーザが第2のユーザの権限で当該アプリケーションにログインして、第2のユーザの代わりに業務を継続することが考えられる。
しかし、あるユーザの認証情報を他のユーザに対して開示することは、セキュリティ上の問題がある。
このような問題を解決するため、あるユーザの権限を他のユーザに安全に委譲する技術が知られている。特許文献1はこのような技術の一例を開示する。特許文献1が開示する技術によれば、権限を委譲する側のユーザ(第2のユーザ)が権限を委譲される側のユーザ(第1のユーザ)に対して「代理人許可チケット」を送信する。第2のユーザから代行人許可チケットを受け取った第1のユーザは、当該チケットに基づいて、第2のユーザの権限を用いてアプリケーションにログインする。
特許文献1が開示する技術を用いて権限委譲を実現する場合、権限を委譲する側のユーザが、権限を委譲される側のユーザに対して、あらかじめ代行人許可チケットを送信しておく必要がある。例えば上述した例において、第1のユーザ(権限を委譲される側のユーザ)が第2のユーザ(権限を委譲する側のユーザ)から権限を委譲して欲しいと考えた場合、第2のユーザが第1のユーザにあらかじめ代行人許可チケットを送信していなければ、第1のユーザは第2のユーザから適切に権限を委譲してもらうことができない。しかし、第2のユーザが急病等で急遽出社できなくなった場合などを想定すると、あらかじめ第2のユーザが第1のユーザに対して代行人許可チケットを送信しておくことは現実的でない。
本発明は、権限を委譲する側(以下、「ログインを代行される側」と記載する)のユーザの認証情報を、権限を委譲される側(以下、「ログインを代行する側」と記載する)のユーザに対して開示することなしに、権限委譲を実現することを一つの目的とする。
また本発明は、ログインを代行する側のユーザがログインを代行される側のユーザに権限の委譲を要求したことに応じて、権限が迅速に委譲されるような技術を提供することを一つの目的とする。
本発明の第1の側面は、第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付ける受付手段と、前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼する承認依頼手段と、前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする代行ログイン手段と、を備える代行ログイン装置である。
本発明の第2の側面は、コンピュータが、第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付け、前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼し、前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする、制御方法である。
本発明の第3の側面は、コンピュータに、第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付ける処理と、前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼する処理と、前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする処理と、を実行させるプログラムである。
また、本発明の目的は、上記のプログラムが格納されたコンピュータ読み取り可能な記録媒体によっても達成される。
本発明は、ログインを代行される側のユーザの認証情報を、ログインを代行する側のユーザに対して開示することなしに、権限委譲を実現することができる。また本発明は、ログインを代行する側のユーザがログインを代行される側のユーザに権限の委譲を要求したことに応じて、権限が迅速に委譲されるような技術を提供することができる。
以下、本発明の実施形態について図面を参照して詳細に説明する。
<第1の実施形態>
第1のユーザが、アプリケーション410に第2のユーザの権限でログインする場合を例に、第1の実施形態にかかる代行ログインシステム1000の詳細を説明する。第1のユーザとは、アプリケーション410へのログインを代行する側のユーザである。第2のユーザとは、アプリケーション410へのログインを代行される側のユーザである。
第1のユーザが、アプリケーション410に第2のユーザの権限でログインする場合を例に、第1の実施形態にかかる代行ログインシステム1000の詳細を説明する。第1のユーザとは、アプリケーション410へのログインを代行する側のユーザである。第2のユーザとは、アプリケーション410へのログインを代行される側のユーザである。
(構成の概略の説明)
図1は、第1の実施形態にかかる代行ログインシステム1000の概要を説明するブロック図である。図1に示すように、代行ログインシステム1000は、第1の端末100と、第2の端末200と、代行ログイン装置300と、情報処理装置400とを含む。
図1は、第1の実施形態にかかる代行ログインシステム1000の概要を説明するブロック図である。図1に示すように、代行ログインシステム1000は、第1の端末100と、第2の端末200と、代行ログイン装置300と、情報処理装置400とを含む。
第1の端末100および第2の端末200は、通信ネットワーク(以下「ネットワーク」と記載する)を介して代行ログイン装置300と通信可能に接続される。また、情報処理装置400は、ネットワークを介して代行ログイン装置300と通信可能に接続される。
第1の端末100は、第1のユーザが操作する端末である。第2の端末200は、第2のユーザが操作する端末である。理解を容易にするため、第1の端末100は、例えば第1のユーザが社内で用いる端末と考えるとわかりやすい。第2の端末200は、例えば第2のユーザが操作する携帯端末と考えるとわかりやすい。当然、第1の端末100および第2の端末200はこれらの具体例には限定されない。
情報処理装置400は、一つまたは複数のアプリケーション(AP)410を提供する。以下、複数のアプリケーション410を互いに区別する必要がある場合は、アプリケーション410A、アプリケーション410B・・・と記載する。
アプリケーション410は、第1のユーザの識別情報および認証情報を受け付けた場合、
第1のユーザのログイン処理を行う。アプリケーション410は、第2のユーザの識別情報および認証情報を受け付けた場合、第2のユーザのログイン処理を行う。
第1のユーザのログイン処理を行う。アプリケーション410は、第2のユーザの識別情報および認証情報を受け付けた場合、第2のユーザのログイン処理を行う。
(動作の概略の説明)
代行ログインシステム1000の動作の概略を、図2および図3を用いて説明する。図2は、第1のユーザが、アプリケーション410に第2のユーザの権限によってログインする際の、代行ログインシステム1000の動作を説明するシーケンス図である。
代行ログインシステム1000の動作の概略を、図2および図3を用いて説明する。図2は、第1のユーザが、アプリケーション410に第2のユーザの権限によってログインする際の、代行ログインシステム1000の動作を説明するシーケンス図である。
第1の端末100は、第1のユーザの識別情報、第1のユーザの認証情報および第2のユーザの識別情報の入力を第1のユーザから受け付ける(ステップS101)。第1の端末100は、ステップS101において受け付けた情報を代行ログイン装置300に送信する(ステップS102)。
代行ログイン装置300は、第1の端末100から、第1のユーザの識別情報、第1のユーザの認証情報および第2のユーザの識別情報を受信する。代行ログイン装置300は、第2の端末200宛に「承認依頼」のリクエストを送信する(ステップS103)。「承認依頼」とは、第1のユーザが第2のユーザの代わりにアプリケーション410にログインすることについて、第2のユーザの承認を求めることである。言い換えると、「承認依頼」とは、第1のユーザがアプリケーション410に第2のユーザの権限によってログインすることについて、第2のユーザの承認を求めることである。
第2の端末200は、代行ログイン装置300からの承認依頼を受けて、第2の端末200が備えるディスプレイ(不図示)に、承認依頼画面を表示する(ステップS104)。第2のユーザは、第2の端末200に表示された承認依頼画面を見て、依頼された内容を承認するか否かを判断する。すなわち第2のユーザは、第1のユーザが自身(第2のユーザ)の権限によってアプリケーション410にログインしてよいか否かを判断する。第2の端末200は、承認結果の入力を第2のユーザから受け付ける(ステップS105)。第2の端末200は、第2のユーザから受け付けた承認結果を、代行ログイン装置300に送信する(ステップS106)。
代行ログイン装置300は、第2の端末200から承認結果を受信する。代行ログイン装置300は、第2の端末200から「依頼を承認する」旨を表す承認結果を受信した場合、第2のユーザの識別情報および第2のユーザの認証情報を用いて、アプリケーション410にログインする(ステップS107)。第2のユーザの識別情報および第2のユーザの認証情報は、あらかじめ代行ログイン装置300の内部に記憶されていてもよいし、代行ログイン装置300からアクセス可能な記憶媒体に記憶されていてもよい。
図3は、第1のユーザが、アプリケーション410に第2のユーザの権限によってログインした後の、代行ログインシステム1000の動作を説明するシーケンス図である。第1の端末100は、アプリケーション410に対するリクエストを代行ログイン装置300に送信する(ステップS201)。代行ログイン装置300は、第1の端末100から受信したリクエストをアプリケーション410に転送する(ステップS202)。アプリケーション410はリクエストに対するレスポンスを代行ログイン装置300に送信する(ステップS203)。代行ログイン装置300は、アプリケーション410から受信したレスポンスを第1の端末100に転送する(ステップS204)。
(構成の詳細な説明)
次に、第1の実施形態にかかる代行ログインシステム1000の詳細な構成を説明する。図4は、図1に示す代行ログイン装置300の詳細を説明するブロック図である。図4に示すように、代行ログイン装置300は、受付部310と、承認依頼部320と、承認受付部330と、代行ログイン部340と、を備える。代行ログイン装置300はさらに、認証情報管理テーブル311と、端末情報テーブル321と、AP認証情報管理テーブル341と、を備える。各テーブルは、代行ログイン装置300からアクセス可能な外部装置に実装されていてもよい。
次に、第1の実施形態にかかる代行ログインシステム1000の詳細な構成を説明する。図4は、図1に示す代行ログイン装置300の詳細を説明するブロック図である。図4に示すように、代行ログイン装置300は、受付部310と、承認依頼部320と、承認受付部330と、代行ログイン部340と、を備える。代行ログイン装置300はさらに、認証情報管理テーブル311と、端末情報テーブル321と、AP認証情報管理テーブル341と、を備える。各テーブルは、代行ログイン装置300からアクセス可能な外部装置に実装されていてもよい。
受付部310は、第1の端末100に表示される受付画面を介して、第1のユーザの識別情報、第1のユーザの認証情報および第2のユーザの識別情報の入力を受け付ける。図5は、受付画面の一例を示す図である。図5に示す画面を第1の端末100のディスプレイ(不図示)に表示させる機能は、第1の端末100側に実装されていてもよいし、受付部310の機能として実装されていてもよい。
第1のユーザは、第1のユーザの識別情報、第1のユーザの認証情報、および、第2のユーザの識別情報を図5に示す画面に入力する。第1のユーザは、ログインしたいアプリケーション410の名称を図5に示す画面に入力してもよい。図5に示す「ログインユーザID」は、第1のユーザの識別情報に相当する情報である。図5に示す「パスワード」は、第1のユーザの認証情報に相当する情報である。図5に示す「代行対象ユーザのID(Identifier)」は、第2のユーザの識別情報に相当する情報である。図5に示す「アプリケーション名」は、ログインしたいアプリケーション410の名称に相当する情報である。
図4を参照する説明に戻る。受付部310は、第1のユーザの識別情報および第1のユーザの認証情報に基づいて、第1のユーザの代行ログイン装置300に対するログイン処理を実行する。以下、受付部310が実行するログイン処理について説明する。受付部310は、第1のユーザの識別情報に基づいて、認証情報管理テーブル311を参照する。受付部310は、受け付けた第1のユーザの認証情報と、認証情報管理テーブル311に記憶されている第1のユーザの認証情報とを比較することにより、第1のユーザのログイン処理を行う。
図6は、認証情報管理テーブル311が記憶する情報の一例を説明する図である。図6に示すように、認証情報管理テーブル311は、ユーザの識別情報と、当該ユーザの認証情報とを関連付けて記憶する。認証情報管理テーブル311が記憶する識別情報は、代行ログイン装置300がユーザを識別するための情報である。認証情報管理テーブル311が記憶する認証情報は、代行ログイン装置300がユーザを認証するための情報である。
図4を参照する説明に戻る。承認依頼部320は、第2のユーザの識別情報に基づいて、端末情報テーブル321を参照し、第2の端末にアクセスするためのアドレスを取得する。
承認依頼部320は、第1のユーザが、アプリケーション410に第2のユーザの権限によってログインすることについての承認依頼を、当該アドレス宛に送信する。
承認依頼部320は、第1のユーザが、アプリケーション410に第2のユーザの権限によってログインすることについての承認依頼を、当該アドレス宛に送信する。
図7は、端末情報テーブル321が記憶する情報の一例を示す図である。図7に示すように、端末情報テーブル321は、ユーザの識別情報と、当該ユーザが操作する端末にアクセスするための情報とを関連付けて記憶する。「ユーザが操作する端末にアクセスするための情報」は、例えば、当該端末のIP(Internet Protocol)アドレス、URL(Uniform Resource Locator)、ユーザのメールアドレスまたはユーザの電話番号などである。端末情報テーブル321は、端末の名称を併せて記憶していてもよい。図7に示す「デバイス名」は、端末の名称に相当する情報である。図7に示す「アクセスURL」は、「ユーザが操作する端末にアクセスするための情報」に相当する情報である。
図4を参照する説明に戻る。承認受付部330は、第2の端末200から、承認依頼に対する返信を受信する。
代行ログイン部340は、承認受付部330が「依頼を承認する」旨の承認結果を受信した場合、AP認証情報管理テーブル341を参照し、第2のユーザがアプリケーション410にログインするための、第2のユーザの識別情報および第2のユーザの認証情報を取得する。代行ログイン部340は、取得した第2のユーザの識別情報および第2のユーザの認証情報を用いて、アプリケーション410にログインリクエストを送信する。代行ログイン部340は、承認受付部330が「依頼を承認しない」旨を表す承認結果を受信した場合、アプリケーション410にログインリクエストを送信することはしない。
図8は、AP認証情報管理テーブル341が記憶する情報の一例を示す図である。図8に示すように、AP認証情報管理テーブル341は、代行ログイン装置300においてユーザを識別するための情報と、アプリケーション410の名前と、アプリケーション410においてユーザを識別するための情報と、アプリケーション410においてユーザを認証するための情報と、を関連付けて記憶する。
代行ログイン部340は、例えば識別情報「B-00001」で識別されるユーザ(ユーザB)の識別情報および認証情報を用いてアプリケーション410Bにログインする場合、アプリケーション410BにログインするためのユーザBの識別情報「qwerty」と、アプリケーション410BにログインするためのユーザBの認証情報「passw0rd」とを取得する。
なお、代行ログイン装置300においてユーザを識別または認証するための情報と、アプリケーション410においてユーザを識別または認証するための情報とは、互いに同一であっても異なっていてもよい。
図9は、図1に示す第2の端末200の詳細を説明するブロック図である。図9に示すように、第2の端末200は、表示部210と、操作受付部220と、承認結果送信部230とを備える。
表示部210は、承認依頼部320からの承認依頼を受けて、第2の端末200のディスプレイに承認依頼画面を表示する。図10は、承認依頼画面の一例を示す図である。
図10に示すように、承認依頼画面は、第1のユーザが、アプリケーション410に第2のユーザの権限によってログインすることについて、第2のユーザに対して承認を依頼する画面である。承認依頼画面は、少なくとも、第1のユーザを識別する情報を表示する。承認依頼画面は、ログイン対象のアプリケーション410の名称を表示してもよい。
図10に示す画面を表示部210に表示させる機能は、第2の端末200に実装されていてもよいし、承認依頼部320の機能として実装されていてもよい。
第2のユーザは、図10に示す承認依頼画面を見て、第1のユーザが自分(第2のユーザ)の権限によってアプリケーション410にログインすることを、承認するか否かを判断する。第2のユーザは、判断した結果(承認結果)を承認依頼画面に入力する。操作受付部220は、第2のユーザから承認結果の入力(すなわち、承認するか、承認しないか)を受け付ける。
承認結果送信部230は操作受付部220が受け付けた承認結果を承認受付部330に送信する。
(代行ログイン装置300を実現するハードウェア構成の一例)
図11は、代行ログイン装置300を実現するハードウェア構成の一例を示すブロック図である。代行ログイン装置300を構成するハードウェアは、CPU(Central Processing Unit)31、メモリ32、記憶装置33、通信インターフェース(I/F)34を備える。代行ログイン装置300は、入力装置35または出力装置36を備えていてもよい。代行ログイン装置300の機能は、例えばCPU31が、メモリ32に読み出されたコンピュータプログラム(ソフトウェアプログラム、以下単に「プログラム」と記載する)を実行することにより実現される。実行に際して、CPU31は、通信インターフェース34、入力装置35および出力装置36を適宜制御する。
図11は、代行ログイン装置300を実現するハードウェア構成の一例を示すブロック図である。代行ログイン装置300を構成するハードウェアは、CPU(Central Processing Unit)31、メモリ32、記憶装置33、通信インターフェース(I/F)34を備える。代行ログイン装置300は、入力装置35または出力装置36を備えていてもよい。代行ログイン装置300の機能は、例えばCPU31が、メモリ32に読み出されたコンピュータプログラム(ソフトウェアプログラム、以下単に「プログラム」と記載する)を実行することにより実現される。実行に際して、CPU31は、通信インターフェース34、入力装置35および出力装置36を適宜制御する。
尚、本実施形態および後述する各実施形態を例として説明される本発明は、係るプログラムが格納されたコンパクトディスク等の不揮発性の記憶媒体38によっても構成される。記憶媒体38が格納するプログラムは、例えばドライブ装置37により読み出される。
代行ログイン装置300が実行する通信は、例えばOS(Operating System)が提供する機能を使ってアプリケーションプログラムが通信インターフェース34を制御することによって実現される。代行ログイン装置300は、2つ以上の物理的に分離した装置が有線または無線で接続されることによって構成されていてもよい。
図11に示すハードウェア構成例は、後述する各実施形態にも適用可能である。なお、代行ログイン装置300は専用の装置であってもよい。なお、代行ログイン装置300およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。
(第2の端末200を実現するハードウェア構成の一例)
図12は、第2の端末200を実現するハードウェア構成の一例を示すブロック図である。第2の端末200を構成するハードウェアは、例えば、CPU21、メモリ22、記憶装置23、通信インターフェース(I/F)24、入力装置35および出力装置36を備える。第2の端末200の機能は、例えばCPU21が、メモリ22に読み出されたコンピュータプログラム(ソフトウェアプログラム、以下単に「プログラム」と記載する)を実行することにより実現される。実行に際して、CPU21は、通信インターフェース24、入力装置25および出力装置26を適宜制御する。
図12は、第2の端末200を実現するハードウェア構成の一例を示すブロック図である。第2の端末200を構成するハードウェアは、例えば、CPU21、メモリ22、記憶装置23、通信インターフェース(I/F)24、入力装置35および出力装置36を備える。第2の端末200の機能は、例えばCPU21が、メモリ22に読み出されたコンピュータプログラム(ソフトウェアプログラム、以下単に「プログラム」と記載する)を実行することにより実現される。実行に際して、CPU21は、通信インターフェース24、入力装置25および出力装置26を適宜制御する。
第2の端末200が実行する通信は、例えばOSが提供する機能を使ってアプリケーションプログラムが通信インターフェース24を制御することによって実現される。入力装置25は、例えばキーボード、マウスまたはタッチパネルである。出力装置26は、例えばディスプレイである。
図12に示すハードウェア構成例は、後述する各実施形態にも適用可能である。ななお、第2の端末200およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。
(第1の実施形態の効果)
第1の実施形態にかかる代行ログイン装置300によれば、第2のユーザの認証情報を、第1のユーザに開示することなしに、第2のユーザの権限を第1のユーザに委譲することができる。その理由は、第2のユーザの認証情報はAP認証情報管理テーブル341に格納されており、第1のユーザはAP認証情報管理テーブル341が記憶する第2のユーザの認証情報を参照することはできないからである。
第1の実施形態にかかる代行ログイン装置300によれば、第2のユーザの認証情報を、第1のユーザに開示することなしに、第2のユーザの権限を第1のユーザに委譲することができる。その理由は、第2のユーザの認証情報はAP認証情報管理テーブル341に格納されており、第1のユーザはAP認証情報管理テーブル341が記憶する第2のユーザの認証情報を参照することはできないからである。
また、第1の実施形態にかかる代行ログイン装置300によれば、第1のユーザが第2のユーザに対して権限の委譲を要求したことに応じて、第2のユーザの権限は第1のユーザに迅速に委譲される。その理由は、代行ログインシステム1000が以下のように構成されるからである。すなわち、第1のユーザが代行ログイン装置300を経由して第2のユーザに対して承認依頼を求め、第2のユーザが当該依頼された内容を承認すると、代行ログイン装置300が第2のユーザの権限によってアプリケーション410にログインするよう構成されるからである。
更に、第1の実施形態にかかる代行ログイン装置300によれば、第1のユーザは自身がアプリケーション410にアカウントを持っていなくても、第2のユーザの代わりにアプリケーション410に代行ログインできる。
更に、第1の実施形態にかかる代行ログイン装置300によれば、アプリケーション410側は何ら特別な処理を実行しなくてもよい。言い換えると、代行ログイン装置300と連携するための特別な機能をアプリケーション410が有していなくても、代行ログイン装置300とアプリケーション410とが互いに連携して動作することができる。これにより、任意のアプリケーション410に対して代行ログイン装置300を利用することができる。その理由は、代行ログイン装置300は第2のユーザの識別情報および認証情報を用いてアプリケーション410にログインするため、アプリケーション410から見ると、実際に第2のユーザがログインしているようにしか見えないからである。すなわち、アプリケーション410は、第2のユーザのログインが代行ログインであることを意識しなくてよい。
<第2の実施形態>
次に、上述した第1の実施形態を基本とする第2の実施形態について説明する。図11は、第2の実施形態にかかる代行ログインシステム1000Aの構成を説明するブロック図である。図1または図4に示した構成と実質的に同一の構成については、同様の符号を付与し、説明を省略する。
次に、上述した第1の実施形態を基本とする第2の実施形態について説明する。図11は、第2の実施形態にかかる代行ログインシステム1000Aの構成を説明するブロック図である。図1または図4に示した構成と実質的に同一の構成については、同様の符号を付与し、説明を省略する。
図13に示すように、代行ログインシステム1000Aは、第1の実施形態における代行ログインシステム1000と比較して、代行ログイン装置300に代えて代行ログイン装置300Aを備える。
図11に示すように、第2の実施形態にかかる代行ログイン装置300Aは、第1の実施形態にかかる代行ログイン装置300と比較して、受付部310に代えて受付部310Aを備え、承認依頼部320に代えて承認依頼部320Aを備える。
(受付部310Aの説明)
受付部310Aは、第1の受付処理または第2の受付処理を実行する。第1のユーザは、受付部310Aに第1の受付処理を実行させるかあるいは第2の受付処理を実行させるかを選択する。
受付部310Aは、第1の受付処理または第2の受付処理を実行する。第1のユーザは、受付部310Aに第1の受付処理を実行させるかあるいは第2の受付処理を実行させるかを選択する。
(第1の受付処理の説明)
第1の受付処理は、第1の実施形態において既に説明した処理である。第1のユーザが受付部310Aに第1の受付処理を実行させることを選択した場合、第1の端末100には例えば図5に示す画面が表示される。第1の受付処理においては、受付部310Aは、図5に示す画面を介して、第1のユーザの識別情報、第1のユーザの認証情報および第2のユーザの識別情報の入力を受け付ける。受付部310は、第1のユーザの識別情報および第1のユーザの認証情報に基づいて、第1のユーザの代行ログイン装置300に対するログイン処理を実行する。以上、第1の受付処理について説明した。
第1の受付処理は、第1の実施形態において既に説明した処理である。第1のユーザが受付部310Aに第1の受付処理を実行させることを選択した場合、第1の端末100には例えば図5に示す画面が表示される。第1の受付処理においては、受付部310Aは、図5に示す画面を介して、第1のユーザの識別情報、第1のユーザの認証情報および第2のユーザの識別情報の入力を受け付ける。受付部310は、第1のユーザの識別情報および第1のユーザの認証情報に基づいて、第1のユーザの代行ログイン装置300に対するログイン処理を実行する。以上、第1の受付処理について説明した。
(第2の受付処理の説明)
第2の受付処理は、第1の受付処理とは異なる受付処理である。第1のユーザが受付部310Aに第2の受付処理を実行させることを選択した場合、第1の端末100には例えば図14に示す画面が表示される。図14は、第2の受付処理において第1の端末100に表示される画面の一例を示す図である。なお、図14に示す画面を第1の端末100のディスプレイに表示させる機能は、第1の端末100側に実装されていてもよいし、受付部310Aの機能として実装されていてもよい。
第2の受付処理は、第1の受付処理とは異なる受付処理である。第1のユーザが受付部310Aに第2の受付処理を実行させることを選択した場合、第1の端末100には例えば図14に示す画面が表示される。図14は、第2の受付処理において第1の端末100に表示される画面の一例を示す図である。なお、図14に示す画面を第1の端末100のディスプレイに表示させる機能は、第1の端末100側に実装されていてもよいし、受付部310Aの機能として実装されていてもよい。
受付部310Aは、図14に示す画面を介して、第1のユーザのユーザ名等、および、第2のユーザの識別情報を受け付ける。受付部310Aは、代行ログインしたいアプリケーション410の指定を受け付けてもよい。図14に示す「ログインユーザ名」は、第1のユーザのユーザ名等に相当する情報である。ユーザ名は、例えば第1のユーザの本名であってもよいし、任意の文字列であってもよい。
図14に示す「代行対象ユーザのID」は、第2のユーザの識別情報に相当する情報である。図14に示す「アプリケーション名」は、ログインしたいアプリケーション410の名称に相当する情報である。また、受付部310Aは図14に示す画面を介して、テキストによる第1のユーザからのコメント等を受け付けてもよい。この場合、第1のユーザは、自身(第1のユーザ)と第2のユーザとの間でしか知り得ないような文言、すなわち自分を証明するような文言をコメントとして入力することが好ましい。
第2の受付処理においては、受付部310Aは第1のユーザの代行ログイン装置300に対するログイン処理は実行しない。以上、第2の受付処理について説明した。
(承認依頼部320Aの説明)
承認依頼部320Aは、受付部310Aが第1の受付処理を実行したか、あるいは、第2の受付処理を実行したかに応じて、互いに異なる態様で、第2の端末200に承認依頼を送信する。
承認依頼部320Aは、受付部310Aが第1の受付処理を実行したか、あるいは、第2の受付処理を実行したかに応じて、互いに異なる態様で、第2の端末200に承認依頼を送信する。
承認依頼部320Aは、第1のユーザが、代行ログイン装置300により認証されたユーザであるか否かが、第2のユーザにとって認識可能な態様で、第2の端末200に承認依頼を送信することが好ましい。
まずは、受付部310Aが第1の受付処理を実行した場合の承認依頼部320Aの動作を説明する。この場合、第1のユーザは、代行ログイン装置300が認証したユーザである。すなわち、第1のユーザが不審なユーザではないことが保障されている。受付部310Aが第1の受付処理を実行した場合、例えば図10に示すような承認依頼画面が、表示部210に表示される。
次に、受付部310Aが第2の受付処理を実行した場合の承認依頼部320Aの動作を説明する。この場合、第1のユーザは、第1のユーザは認証されていないユーザということになる。すなわち、第1のユーザが不審な人物である危険性が否定できない。この場合、第2のユーザは、代行ログインを承認するか否かを注意して判断するべきである。受付部310Aが第2の受付処理を実行した場合、例えば図15に示すような承認依頼画面が、表示部210に表示される。
図15に示す例では、第1のユーザ(Suzuki Taro)が代行ログイン装置300により認証されたユーザではないことが画面に明示されている。表示部210は、図15に示す画面において、受付部310Aが図14に示す画面にて第1のユーザから受け付けたコメントを併せて表示してもよい。図15に示す画面を表示部210に表示させる機能は、第2の端末200に実装されていてもよいし、承認依頼部320Aの機能として実装されていてもよい。
承認依頼部320Aは、受付部310Aが第1の受付処理を実行した場合と第2の受付処理を実行した場合とで、例えば、承認依頼画面の文字の色を変える、着信音を変える、または、着信の際のバイブレーションのリズムを変える、などのように動作してもよい。このように承認依頼部320Aは、受付部310Aが第1の受付処理を実行した場合と第2の受付処理を実行した場合との違いを、第2のユーザが認識可能な態様で、承認依頼を送信する。
(第2の実施形態の効果)
第2の実施形態にかかる代行ログイン装置300Aによれば、第1のユーザが代行ログイン装置300にアカウントを有していなくても、第2のユーザに対して承認依頼を送信することができる。
第2の実施形態にかかる代行ログイン装置300Aによれば、第1のユーザが代行ログイン装置300にアカウントを有していなくても、第2のユーザに対して承認依頼を送信することができる。
第2の実施形態にかかる代行ログイン装置300Aによれば、第2のユーザは、第1のユーザが不審な人物でないかどうかを注意しながら、依頼された内容を承認するか拒否するかを判断することができる。その理由は、受付部310Aが第1の受付処理を実行した場合(すなわち、第1のユーザが認証されている場合)と、受付部310Aが第2の受付処理を実行した場合(すなわち、第1のユーザが認証されていない場合)とで、承認依頼部320Aは、互いに異なる態様で承認依頼のためのリクエストを送信するからである。第2のユーザは、例えば承認依頼画面を確認することで、第1のユーザが認証されたユーザであるのか認証されていないユーザであるのかを認識することができる。第2のユーザは、第1のユーザが認証されていないユーザである場合、例えば承認依頼画面に表示された第1のユーザのコメント等を確認することにより、第1のユーザが不審なユーザでないかどうかを判断してもよい。
<第3の実施形態>
次に、上述した第1の実施形態または第2の実施形態を基本とする第3の実施形態について説明する。図16は、第3の実施形態にかかる代行ログインシステム1000Bの構成を説明するブロック図である。図1、図4または図13に示した構成と実質的に同一の構成については、同様の符号を付与し、説明を省略する。
次に、上述した第1の実施形態または第2の実施形態を基本とする第3の実施形態について説明する。図16は、第3の実施形態にかかる代行ログインシステム1000Bの構成を説明するブロック図である。図1、図4または図13に示した構成と実質的に同一の構成については、同様の符号を付与し、説明を省略する。
図16に示すように、代行ログインシステム1000Bは、第1の実施形態における代行ログインシステム1000と比較して、代行ログイン装置300に代えて代行ログイン装置300Bを備える。
図16に示すように、代行ログイン装置300Bは、第1の実施形態にかかる代行ログイン装置300と比較して、セッション管理部350Bと、セッション管理テーブル351Bとを更に備える。
セッション管理部350Bは、受付部310がアプリケーション410から受信したレスポンスを第1の端末100に転送する際、アプリケーション410が発行した第2のユーザのセッション情報を第1のユーザのセッション情報に置換する。セッション管理部350は、受付部310が第1の端末100から受信したリクエストをアプリケーション410に転送する際、第1のユーザのセッション情報を第2のユーザのセッション情報に置換する。
セッション管理部350は、セッションのタイムアウト時間を、アプリケーション410が管理するセッションタイムアウト時間とは別に管理してもよい。第2のユーザが第1のユーザにアプリケーション410にログインする権限を委譲した場合、第1のユーザが無制限にアプリケーション410にログインできてしまうとセキュリティ上の問題がある。そこで例えば、アプリケーション410が管理するセッションタイムアウト時間よりも短いセッションタイムアウト時間をセッション管理部350に設定する。こうすることにより、第1のユーザが第2のユーザの権限によってアプリケーション410を操作できる時間を代行ログイン装置300が独自に管理することができる。
なお、セッション管理部350が管理するセッションタイムアウト時間は、第2のユーザが指定してもよい。例えば表示部210に表示される承認依頼画面を介して、第2のユーザからセッションタイムアウト時間の指定を受け付けてもよい。
また、代行ログイン装置300は、第1のユーザが第2のユーザの権限によってアプリケーション410を操作できる時間を、セッション以外の方法で管理してもよい。例えば、第1のユーザがアプリケーション410にログインしてから所定時間経過した後は、受付部310がリクエストおよびレスポンスを転送しないようにするように構成されていてもよい。
図17は、セッション管理テーブル351が記憶する情報の一例を示す図である。図17に示すように、セッション管理テーブル351は、第1のユーザの識別情報と、アプリケーション410が発行したセッション情報と、代行セッション情報と、第1のユーザの最終アクセス時刻と、を関連付けて記憶する。
次に、第3の実施形態にかかる代行ログイン装置300Bの動作の一例を図18および図19を用いて説明する。図18および図19は、代行ログイン装置300Bの動作の一例を説明するフローチャートである。
受付部310は、第1の端末100から第1のユーザの識別情報、第1のユーザの認証情報および第2のユーザの識別情報の入力を受け付ける(ステップS101)。セッション管理部350Bは、セッション管理テーブル351を参照して、第1のユーザのセッション情報があるかどうかを確認する(ステップS102)。
第1のユーザのセッション情報がない場合(ステップS102においてNO)、受付部310は第1のユーザの認証処理を実行する(ステップS103)。
図19は、受付部310が実行する認証処理の詳細を説明するフローチャートである。受付部310は、認証情報管理テーブル311を参照する(ステップS201)。受付部310が受け付けた第1のユーザの識別情報が認証情報管理テーブル311に記憶されている場合(ステップS202においてYES)、受付部310は、受け付けた第1のユーザの認証情報と、認証情報管理テーブル311に記憶されている第1のユーザの認証情報とを比較する(ステップS203)。両者が一致する場合(ステップS203においてYES)、受付部310は第1の受付処理の実行を終了し、ステップS104に進む。受付部310が受け付けた第1のユーザの識別情報が記憶されていない場合(ステップS202においてNO)、受付部310は第2の受付処理を終了し、ステップS104に進む。受け付けた第1のユーザの認証情報と、認証情報管理テーブル311に記憶されている第1のユーザの認証情報とが一致しない場合(ステップS203においてNO)、代行ログイン処理は失敗したとして処理を終了する(ステップS204)。
承認依頼部320は、受付部310から第2のユーザの識別情報を取得する(ステップS104)。承認依頼部320は、第2のユーザの識別情報に基づいて端末情報テーブル321を参照し、第2の端末200のアドレスを取得する(ステップS105)。承認依頼部320が第2の端末200のアドレスを取得できない場合(ステップS105においてNO)、代行ログインに失敗したとして処理を終了する(ステップS112)。承認依頼部320が第2の端末200のアドレスを取得できた場合(ステップS105においてYES)、承認依頼部320は、第2の端末200に対して承認依頼を行う(ステップS106)。承認受付部330が第2の端末200から承認する旨の返答を受け付けた場合(ステップS107においてYES)、代行ログイン部340は第2のユーザの識別情報および第2のユーザの認証情報を用いてアプリケーション410にログインする(ステップS108)。承認受付部330が第2の端末200から承認しない旨の返答を受け付けた場合(ステップS107においてNO)、代行ログインに失敗したとして処理を終了する(ステップS112)。
受付部310は、アプリケーション410からレスポンスを受信する。セッション管理部350Bは、アプリケーション410が発行したセッション情報を第1のユーザのセッション情報に置換する。受付部310は、レスポンスを第1の端末100に転送する(ステップS109)。
第1のユーザのセッション情報がある場合(ステップS102においてYES)、セッション管理部350Bは、セッション管理テーブル351が記憶する最終アクセス時刻と、セッションタイムアウト時間とに基づいて、セッションタイムアウト時間が経過しているか否かを確認する(ステップS110)。セッションタイムアウト時間が経過している場合(ステップS110においてYES)、セッション管理部350Bは、第1の端末100のディスプレイに、セッションタイムアウトが発生した旨を示す画面を表示するとともに、ログイン画面(図5または図14)を表示する。セッションタイムアウト時間が経過していない場合(ステップS110においてNO)、セッション管理部350Bは、リクエストのセッション情報を第1のユーザのセッション情報から第2のユーザのセッション情報に置換して、リクエストをアプリケーション410に転送する(ステップS109)。
(第3の実施形態の効果)
第3の実施形態にかかる代行ログイン装置300Bは、第1または第2の実施形態にかかる代行ログイン装置300と比較して、更に安全な代行ログイン装置を提供することができる。その理由は、代行ログイン装置300Bは、第1のユーザが第2のユーザの権限によってアプリケーション410を操作できる期間を、代行ログイン装置300B自身で管理することができるからである。
第3の実施形態にかかる代行ログイン装置300Bは、第1または第2の実施形態にかかる代行ログイン装置300と比較して、更に安全な代行ログイン装置を提供することができる。その理由は、代行ログイン装置300Bは、第1のユーザが第2のユーザの権限によってアプリケーション410を操作できる期間を、代行ログイン装置300B自身で管理することができるからである。
<第4の実施形態>
図20は、第4の実施形態にかかる代行ログイン装置300Cの構成を示すブロック図である。図20に示すように、代行ログイン装置300Cは、受付部310Cと、承認依頼部320Cと、代行ログイン部340Cとを備える。
図20は、第4の実施形態にかかる代行ログイン装置300Cの構成を示すブロック図である。図20に示すように、代行ログイン装置300Cは、受付部310Cと、承認依頼部320Cと、代行ログイン部340Cとを備える。
受付部310Cは、第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付ける。
承認依頼部320Cは、前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼する。
代行ログイン部340Cは、前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする。
<その他の実施形態>
第1の端末100と代行ログイン装置300とは、同一の端末であってもよい。例えば、代行ログイン装置300に相当する機能が、代行ログインアプリケーションとして第1の端末100にインストールされていてもよい。この場合、認証情報管理テーブル311、端末情報テーブル321およびAP認証情報管理テーブル341は、第1の端末100と通信可能に接続された外部の記憶装置に実装されることが好ましい。また、情報処理装置400と代行ログイン装置300とが同一の端末であってもよい。
第1の端末100と代行ログイン装置300とは、同一の端末であってもよい。例えば、代行ログイン装置300に相当する機能が、代行ログインアプリケーションとして第1の端末100にインストールされていてもよい。この場合、認証情報管理テーブル311、端末情報テーブル321およびAP認証情報管理テーブル341は、第1の端末100と通信可能に接続された外部の記憶装置に実装されることが好ましい。また、情報処理装置400と代行ログイン装置300とが同一の端末であってもよい。
第2の端末200は、例えば、携帯電話、スマートホンまたはタブレット端末等の携帯端末であってもよい。第2の端末200は、例えば、指紋認証つきスマートデバイスであってもよい。こうすることで、第2の端末200を操作するユーザが必ずデバイスの所有者本人(第2のユーザ)あることが保障され、成りすましを防ぐことができる。これにより、代行ログインシステム1000のセキュリティを強化することができる。
認証情報はパスワードには限定されない。認証情報は、例えば指紋等の情報であってもよい。
代行ログインシステム1000は、第2のユーザの識別情報とアプリケーション410を指定する情報とをあらかじめ関連付けて管理していてもよい。これにより、受付部310が第2のユーザの識別情報を受け付けた際に、受付部310がアプリケーション410を指定する情報を受け付けなくても、代行ログインシステム1000は、どのアプリケーション410に代行ログインすべきかを決定することができる。
上述した各実施の形態は、適宜組み合わせて実施されることが可能である。
各ブロック図に示したブロック分けは、説明の便宜上から表された構成である。各実施形態を例に説明された本発明は、その実装に際して、各ブロック図に示した構成には限定されない。
また、動作の説明においては、複数の動作を順番に説明したが、その複数の動作の順番は支障のない範囲で変更してもよい。また、これら複数の動作は、それぞれ別々のタイミングで実行されるとは限らない。たとえば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的にないし全部において重複したりしてもよい。
さらに、各動作の説明においては、発明の理解を容易にするため、ある動作が他の動作の契機になるように記載したが、その記載はある動作と他の動作の関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更してもよい。
以上、本発明を実施するための形態について説明したが、上記実施の形態は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明はその趣旨を逸脱することなく変更、改良され得ると共に、本発明にはその等価物も含まれる。
本発明は、あるユーザの権限を他のユーザに委譲する技術に応用することができる。例えば日々の業務の中で、ウェブサービスを利用して作業をしていたある担当者が急遽出社できなくなったが、作業は継続させたい、といったような場合がある。しかしながら、ウェブサービスの利用においては、作業の進捗や個人に紐づいているデータを参照するためには、その担当者アカウントでの認証処理が必要となる。従来、こういったケースで作業継続を行うための一般的な手段としては、継続作業を行う者へアカウント情報を開示する必要があり、セキュリティ面で危険が伴っていた。
大規模災害が発生した際、インフルエンザのパンデミックが発生した際などに、本発明を利用することで、該当事象に巻き込まれたユーザから安全に認証情報を委譲できる。
例えば本発明は、代行機能を持たないグループウェアを利用している企業で、他者のスケジュールを代行入力したいというような場合に利用できる。
21 CPU
22 メモリ
23 記憶装置
24 通信インターフェース
25 入力装置
26 出力装置
27 ドライブ装置
28 記憶媒体
31 CPU
32 メモリ
33 記憶装置
34 通信インターフェース
35 入力装置
36 出力装置
37 ドライブ装置
38 記憶媒体
100 第1の端末
200 第2の端末
210 表示部
220 操作受付部
230 承認結果送信部
300 代行ログイン装置
310 受付部
320 承認依頼部
330 承認受付部
340 代行ログイン部
350 セッション管理部
400 情報処理装置
410 アプリケーション
1000 代行ログインシステム
22 メモリ
23 記憶装置
24 通信インターフェース
25 入力装置
26 出力装置
27 ドライブ装置
28 記憶媒体
31 CPU
32 メモリ
33 記憶装置
34 通信インターフェース
35 入力装置
36 出力装置
37 ドライブ装置
38 記憶媒体
100 第1の端末
200 第2の端末
210 表示部
220 操作受付部
230 承認結果送信部
300 代行ログイン装置
310 受付部
320 承認依頼部
330 承認受付部
340 代行ログイン部
350 セッション管理部
400 情報処理装置
410 アプリケーション
1000 代行ログインシステム
Claims (10)
- 第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付ける受付手段と、
前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼する承認依頼手段と、
前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする代行ログイン手段と、
を備える代行ログイン装置。 - 前記代行ログイン手段が前記アプリケーションにログインすることに成功した後、
前記受付手段は、
前記第1のユーザから前記第1の端末を介して、前記アプリケーションに対するリクエストを受け付けるのに応じて、前記リクエストを前記アプリケーションに転送し、
前記リクエストに対するレスポンスを前記アプリケーションから受け付けるのに応じて、前記レスポンスを前記第1の端末に転送する、
請求項1に記載の代行ログイン装置。 - セッション管理手段を更に備え、
前記セッション管理手段は、
前記受付手段が、前記アプリケーションから前記第1の端末へと前記レスポンスを転送する際、前記アプリケーションが発行した第2のユーザのセッション情報を他のセッション情報に置換し、
前記受付手段が、前記第1の端末から前記アプリケーションへと前記リクエストを転送する際、前記他のセッション情報を前記第2のユーザのセッション情報に置換する、
請求項2に記載の代行ログイン装置。 - 前記受付手段は、所定のタイミングから所定時間が経過した以降は、前記リクエストおよびレスポンスの転送を行わず、
前記所定時間は、前記アプリケーションに設定されるセッションタイムアウト時間よりも短い時間である、
請求項2または3に記載の代行ログイン装置。 - 前記受付手段は、前記代行ログイン装置に対する前記第1のユーザのログイン処理を行う第1の受付処理を実行するか、あるいは、前記代行ログイン装置に対する前記第1のユーザのログイン処理を行わない第2の受付処理を実行し、
前記承認依頼手段は、前記受付手段が前記第1の受付処理を実行して前記ログイン処理に成功した場合と、前記受付手段が前記第2の受付処理を実行した場合とで、互いに異なる態様にて、前記第2の端末を介して前記第2のユーザに対して前記承認を依頼する、
請求項1から4のいずれかに記載の代行ログイン装置。 - 前記承認依頼手段は、
前記受付手段が前記第2の受付処理を実行した場合には、前記第2のユーザに前記承認を依頼する際、前記第2の端末の画面に、前記第1のユーザが前記代行ログイン装置にログインしていないユーザである旨を示す情報を表示するよう前記第2の端末を制御する
請求項5に記載の代行ログイン装置。 - コンピュータが、
第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付け、
前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼し、
前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする、
制御方法。 - コンピュータに、
第1のユーザが操作する第1の端末を介して第2のユーザの識別情報の入力を受け付ける処理と、
前記第2のユーザの識別情報に基づいて、前記第2のユーザに対して前記第2のユーザが操作する第2の端末を介して、情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて、承認を依頼する処理と、
前記承認の依頼について許可を表す返答を前記第2のユーザから受け付けた場合に、前記アプリケーションに前記第2のユーザがログインするための認証情報を用いて、前記アプリケーションにログインする処理と、
を実行させるプログラム。 - 請求項5に記載の代行ログイン装置と通信可能に接続された前記第2の端末であって、
表示手段と、操作受付手段と、承認結果送信手段とを備え、
前記表示手段は、前記受付手段が前記第1の受付処理を実行することによって前記ログイン処理に成功した場合と、前記受付手段が前記第2の受付処理を実行した場合とで、前記情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて承認を依頼されている旨の情報を、互いに異なる態様にて表示し、
前記操作受付手段は、前記表示手段に表示された情報に基づいて、前記第2のユーザから前記依頼された内容を許可するか否かを表す承認結果の入力を受け付け、
前記承認結果送信手段は、前記承認結果を前記代行ログイン装置に送信する、
前記第2の端末。 - 請求項5に記載の代行ログイン装置と通信可能に接続された前記第2の端末に、
前記受付手段が前記第1の受付処理を実行することによって前記ログイン処理に成功した場合と、前記受付手段が前記第2の受付処理を実行した場合とで、前記情報処理装置により提供されるアプリケーションに前記第2のユーザの代わりに前記第1のユーザがログインすることについて承認を依頼されている旨の情報を、互いに異なる態様にて表示する処理と、
前記操作受付手段は、前記表示手段に表示された情報に基づいて、前記第2のユーザから前記依頼された内容を許可するか否かを表す承認結果の入力を受け付ける処理と、
前記承認結果送信手段は、前記承認結果を前記代行ログイン装置に送信する処理と、
を実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014000799A JP6287213B2 (ja) | 2014-01-07 | 2014-01-07 | 代行ログイン装置、端末、制御方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014000799A JP6287213B2 (ja) | 2014-01-07 | 2014-01-07 | 代行ログイン装置、端末、制御方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015130028A true JP2015130028A (ja) | 2015-07-16 |
| JP6287213B2 JP6287213B2 (ja) | 2018-03-07 |
Family
ID=53760716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014000799A Active JP6287213B2 (ja) | 2014-01-07 | 2014-01-07 | 代行ログイン装置、端末、制御方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6287213B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016130876A (ja) * | 2015-01-13 | 2016-07-21 | 富士ゼロックス株式会社 | 中継装置、中継システム及びプログラム |
| JP2017167645A (ja) * | 2016-03-14 | 2017-09-21 | 富士通株式会社 | 承認支援装置、承認支援方法および承認支援プログラム |
| JP2019179960A (ja) * | 2018-03-30 | 2019-10-17 | 日本電気株式会社 | ファイル操作管理システムおよびファイル操作管理方法 |
| CN111787023A (zh) * | 2015-11-12 | 2020-10-16 | 三菱电机大楼技术服务株式会社 | 批准登录系统和方法 |
| CN116232778A (zh) * | 2023-05-10 | 2023-06-06 | 北京芯盾时代科技有限公司 | 一种权限处理方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004213475A (ja) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | ログイン要求受付装置およびアクセス管理装置 |
| JP2006119719A (ja) * | 2004-10-19 | 2006-05-11 | Konica Minolta Photo Imaging Inc | コンピュータシステム及びユーザ認証方法 |
| JP2009205223A (ja) * | 2008-02-26 | 2009-09-10 | Nippon Telegr & Teleph Corp <Ntt> | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ |
| JP2013011969A (ja) * | 2011-06-28 | 2013-01-17 | Fujitsu Ltd | 代理アクセスを許可するサーバ,そのプログラム,そのシステム及びその方法 |
-
2014
- 2014-01-07 JP JP2014000799A patent/JP6287213B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004213475A (ja) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | ログイン要求受付装置およびアクセス管理装置 |
| JP2006119719A (ja) * | 2004-10-19 | 2006-05-11 | Konica Minolta Photo Imaging Inc | コンピュータシステム及びユーザ認証方法 |
| JP2009205223A (ja) * | 2008-02-26 | 2009-09-10 | Nippon Telegr & Teleph Corp <Ntt> | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ |
| JP2013011969A (ja) * | 2011-06-28 | 2013-01-17 | Fujitsu Ltd | 代理アクセスを許可するサーバ,そのプログラム,そのシステム及びその方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016130876A (ja) * | 2015-01-13 | 2016-07-21 | 富士ゼロックス株式会社 | 中継装置、中継システム及びプログラム |
| CN111787023A (zh) * | 2015-11-12 | 2020-10-16 | 三菱电机大楼技术服务株式会社 | 批准登录系统和方法 |
| JP2017167645A (ja) * | 2016-03-14 | 2017-09-21 | 富士通株式会社 | 承認支援装置、承認支援方法および承認支援プログラム |
| JP2019179960A (ja) * | 2018-03-30 | 2019-10-17 | 日本電気株式会社 | ファイル操作管理システムおよびファイル操作管理方法 |
| JP7000961B2 (ja) | 2018-03-30 | 2022-01-19 | 日本電気株式会社 | ファイル操作管理システムおよびファイル操作管理方法 |
| CN116232778A (zh) * | 2023-05-10 | 2023-06-06 | 北京芯盾时代科技有限公司 | 一种权限处理方法、装置、电子设备及存储介质 |
| CN116232778B (zh) * | 2023-05-10 | 2023-09-12 | 北京芯盾时代科技有限公司 | 一种权限处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6287213B2 (ja) | 2018-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6426791B2 (ja) | ユーザ認証方法及びこれを実現するためのシステム | |
| US9930705B2 (en) | Mobile terminal control method, apparatus and system | |
| EP3942775B1 (en) | Application integration using multiple user identities | |
| US11627129B2 (en) | Method and system for contextual access control | |
| EP3225008B1 (en) | User-authentication-based approval of a first device via communication with a second device | |
| JP6157411B2 (ja) | 権限移譲システム、方法、認証サーバーシステム、およびそのプログラム | |
| JP6287213B2 (ja) | 代行ログイン装置、端末、制御方法およびプログラム | |
| EP3918495B1 (en) | Methods, systems, and apparatuses for improved multi-factor authentication in a multi-app communication system | |
| JP2011215753A (ja) | 認証システムおよび認証方法 | |
| CN111049946A (zh) | 一种Portal认证方法、系统及电子设备和存储介质 | |
| JP6800011B2 (ja) | サーバ、ログイン処理方法、及び、ログイン処理プログラム | |
| JP2018116698A (ja) | データ入力方法及びデータ入力方法を実施するための電子装置及びシステム | |
| JP7000484B2 (ja) | ユーザ端末、その制御方法、及びプログラム | |
| JP2018133022A (ja) | Api提供装置及びapi使用権委譲の同意方法 | |
| JP2022071684A (ja) | 情報処理装置、情報処理装置の制御方法およびプログラム | |
| JP6115884B1 (ja) | サービス提供システム、認証装置、及びプログラム | |
| WO2017134922A1 (ja) | サービス提供システム、認証装置、及びプログラム | |
| JP2015118459A (ja) | 画像形成装置、情報端末、サーバ装置、データ処理システム、画像形成装置の通信方法、情報端末の通信方法、サーバ装置の通信方法、及びプログラム | |
| JP2014085919A (ja) | ユーザ認証装置、ユーザ認証方法及びユーザ認証プログラム | |
| WO2019013647A1 (en) | AUTHENTICATION METHOD, AUTHENTICATION DEVICE, AND SYSTEM COMPRISING THE AUTHENTICATION DEVICE | |
| JP6173268B2 (ja) | マッチングシステム、マッチング方法及びWebサーバ | |
| JP2013161259A (ja) | シンクライアントシステム | |
| WO2023057616A1 (en) | Method, apparatuses and system for performing an authentication-based configuration of an aerosol generating device by means of a server and of a communication device | |
| CN118611992A (zh) | 一种接入方法及系统、电子设备 | |
| JP2017219918A (ja) | サービス提供システム、サービス提供方法、および、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161214 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171017 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171024 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171215 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180109 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180122 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6287213 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |