JP2015191508A - シングルサインオンシステム、シングルサインオン方法 - Google Patents
シングルサインオンシステム、シングルサインオン方法 Download PDFInfo
- Publication number
- JP2015191508A JP2015191508A JP2014069184A JP2014069184A JP2015191508A JP 2015191508 A JP2015191508 A JP 2015191508A JP 2014069184 A JP2014069184 A JP 2014069184A JP 2014069184 A JP2014069184 A JP 2014069184A JP 2015191508 A JP2015191508 A JP 2015191508A
- Authority
- JP
- Japan
- Prior art keywords
- server
- authentication request
- user authentication
- web browser
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】Webブラウザをクライアントアプリケーションとして利用するサービスにおいて、クライアントアプリケーションがユーザ認証を受ける形態を変えることなく、シングルサインオンを実現する技術を提供する。
【解決手段】本発明に係るシングルサインオンシステムにおいて、クライアント端末はWebブラウザとWebブラウザ以外のクライアントアプリケーションを実行し、第1サーバはこれらアプリケーションのいずれか一方を認証してその結果を返信し、認証要求部は第2サーバに対してユーザ認証を要求し、第2サーバは上記アプリケーションの他方に対して認証結果を送信する。
【選択図】図1
【解決手段】本発明に係るシングルサインオンシステムにおいて、クライアント端末はWebブラウザとWebブラウザ以外のクライアントアプリケーションを実行し、第1サーバはこれらアプリケーションのいずれか一方を認証してその結果を返信し、認証要求部は第2サーバに対してユーザ認証を要求し、第2サーバは上記アプリケーションの他方に対して認証結果を送信する。
【選択図】図1
Description
本発明は、シングルサインオン技術に関するものである。
ユーザ端末上で、複数の関連するサービスを使用する場合、ユーザの操作負担を軽減するため、いずれかのサービス上でユーザ認証を受ける(サインオンまたはログイン)と他のサービス上においてもその結果が反映されることが望ましい。このような機能はシングルサインオンと呼ばれる。シングルサインオンは例えば、各サービスが提供するクライアントアプリケーション同士が連携し、ユーザがいずれかのクライアントアプリケーションに対して入力した認証情報を他のアプリケーションに受け渡し、1回のログインで各サービスに対して同時にログインすることにより、実現できる。この手法は、クライアントアプリケーションが端末上で通信して互いに認証情報を受け渡すことを前提としている。
一方、近年サービスを利用するソフトウェアはWebブラウザ上で動作することが多くなっている。Webブラウザに入力した認証情報を、別のサービスのクライアントに渡すことは、通常セキュリティ上の理由で禁止されている。そのため上述の手法は、クライアントアプリケーションとしてWebブラウザを用いる場合においては、シングルサインオンを実現することが困難である。
下記特許文献1に開示されているシステムは、ユーザ端末上で常に動作するプロセスを生成し、このプロセスを経由して認証を実施することにより、シングルサインオンを実現している。
上記特許文献1記載の技術によってシングルサインオンを実現するためには、常駐プロセスがWebブラウザからの通信を受け付ける権限を有している必要がある。そのため、携帯端末などプロセスの権限が制限されている場合においては、同文献記載の技術を用いることは困難であると考えられる。また同文献記載の技術においては、常駐プロセスがユーザ端末上で動作するため、常駐プロセスはサービスを提供するサーバと同等のセキュリティを備えていることが必要となる。例えばWebブラウザと常駐アプリケーションとの間で独自に認証を実施することが必要となる。
本発明は、上記のような課題に鑑みてなされたものであり、Webブラウザをクライアントアプリケーションとして利用するサービスにおいて、クライアントアプリケーションがユーザ認証を受ける形態を変えることなく、シングルサインオンを実現する技術を提供することを目的とする。
本発明に係るシングルサインオンシステムにおいて、クライアント端末はWebブラウザとWebブラウザ以外のクライアントアプリケーションを実行し、第1サーバはこれらアプリケーションのいずれか一方を認証してその結果を返信し、認証要求部は第2サーバに対してユーザ認証を要求し、第2サーバは上記アプリケーションの他方に対して認証結果を送信する。
本発明に係るシングルサインオンシステムによれば、Webブラウザまたは他のクライアントアプリケーションが一方のサーバに対してログインすると、他方のアプリケーションも他方のサーバに対してログインした状態になる。これにより、クライアント端末上で認証処理のための新たなプログラムを動作させることなく、WebブラウザとWebブラウザ以外のクライアントアプリケーションを用いる場合においても、シングルサインオンを実現することができる。
<実施の形態1>
図1は、本発明の実施形態1に係るシングルサインオンシステム10の構成図である。シングルサインオンシステム10は、クライアント端末200を使用するユーザに対してシングルサインオン機能を提供するシステムであり、第1サーバ110、第2サーバ120、クライアント端末200を有する。これら装置はネットワークを介して互いに接続されている。
図1は、本発明の実施形態1に係るシングルサインオンシステム10の構成図である。シングルサインオンシステム10は、クライアント端末200を使用するユーザに対してシングルサインオン機能を提供するシステムであり、第1サーバ110、第2サーバ120、クライアント端末200を有する。これら装置はネットワークを介して互いに接続されている。
クライアント端末200は、Webブラウザ210とクライアントアプリケーション220を実行するCPU(Central Processing Unit)230を備えるコンピュータである。クライアント端末200のユーザは、Webブラウザ210を用いて第1サーバ110が提供するサービスを利用し、クライアントアプリケーション220を用いて第2サーバ120が提供するサービスを利用する。クライアントアプリケーション220はWebブラウザ以外のアプリケーションであり、セキュリティの都合上、Webブラウザ210との間でユーザ認証情報を直接的に授受することはできないように構成されている。
以下では記載の便宜上、Webブラウザ210またはクライアントアプリケーション220を動作主体として説明する場合があるが、実際にこれらアプリケーションを実行するのはCPU230であることを付言しておく。
第1サーバ110および第2サーバ120がそれぞれ提供するサービスを利用するためには、あらかじめこれらサーバにログインする必要がある。シングルサインオンシステム10は、ユーザの利便性を高めるため、ユーザがWebブラウザ210を用いて第1サーバ110に対してログインすると、クライアントアプリケーション220も第2サーバ120に対して自動的にログインした状態となる機能を提供する。
第1サーバ110は、Webブラウザ210が利用するサービスを提供するサーバコンピュータであり、認証部111、認証要求部112、および後述する対応テーブル113を備える。認証部111は、Webブラウザ210からユーザ認証情報とともにユーザ認証リクエストを受信し、ユーザ認証を実施してその結果をWebブラウザ210へ返信する。認証要求部112は、第2サーバ120に対してユーザ認証情報とともにユーザ認証リクエストを送信する。
第2サーバ120は、クライアントアプリケーション220が利用するサービスを提供するサーバコンピュータであり、認証部121を備える。認証部121は、認証要求部112からユーザ認証情報とともにユーザ認証リクエストを受信し、ユーザ認証を実施してその結果をクライアントアプリケーション220へ送信する。
クライアントアプリケーション220は、定期的に第2サーバ120に対してポーリングするか、またはあらかじめクライアントアプリケーション220と第2サーバ120との間でコネクションを確立しておき第2サーバ120からクライアントアプリケーション220に対してPUSH通信する。これにより、認証部121からクライアントアプリケーション220に対してユーザ認証結果を通知することができる。
図2は、対応テーブル113の構成とデータ例を示す図である。対応テーブル113は第1サーバ110上のユーザ認証情報と第2サーバ120上のユーザ認証情報との間の対応関係を記述したデータテーブルであり、第1サーバ110が備えるハードディスク装置などの記憶装置に格納されている。
認証部111は、Webブラウザ210からユーザ認証リクエストを受け取ると、対応テーブル113を参照して、そのリクエストのユーザ認証情報が第1サーバ110上におけるユーザ認証情報と合致するか否かを判定することにより、ユーザ認証を実施する。認証要求部112は、認証部111がWebブラウザ210からのユーザ認証リクエストを許可した場合は、対応テーブル113を参照することによりそのユーザ認証情報を第2サーバ120上におけるユーザ認証情報に変換し、これを用いて第2サーバ120に対してユーザ認証リクエストを発行する。
図2においては、ユーザ認証情報の例として、第1サーバ110上におけるユーザIDとパスワードの組(第1サーバユーザID1131と第1サーバパスワード1132)を第2サーバ120上におけるユーザIDとパスワードの組(第2サーバユーザID1133と第2サーバパスワード1134)に変換する例を示したが、ユーザ認証情報の対応関係を記述することができれば、必ずしもIDとパスワードの組を用いる必要はない。
図3は、第1サーバ110の動作を説明するフローチャートである。以下図3の各ステップについて説明する。
(図3:ステップS300)
クライアント端末200のユーザは、Webブラウザ210を用いて第1サーバ110が提供するWebサイトにアクセスする。ユーザは、Webブラウザ210上でユーザ認証情報(例えばユーザIDとパスワード)を入力する。Webブラウザ210は、第1サーバ110に対して、そのユーザ認証情報とともにユーザ認証リクエストを送信する。認証部111がそのリクエストを受信すると本フローチャートが開始する。
クライアント端末200のユーザは、Webブラウザ210を用いて第1サーバ110が提供するWebサイトにアクセスする。ユーザは、Webブラウザ210上でユーザ認証情報(例えばユーザIDとパスワード)を入力する。Webブラウザ210は、第1サーバ110に対して、そのユーザ認証情報とともにユーザ認証リクエストを送信する。認証部111がそのリクエストを受信すると本フローチャートが開始する。
(図3:ステップS301〜S302)
認証部111は、Webブラウザ210が送信したユーザ認証情報を取得し、これを対応テーブル113が格納しているユーザ認証情報と照合することにより、ユーザ認証を実施する(S301)。ユーザ認証に成功した場合はステップS304へ進み、成功しなかった場合はステップS303へ進む(S302)。
認証部111は、Webブラウザ210が送信したユーザ認証情報を取得し、これを対応テーブル113が格納しているユーザ認証情報と照合することにより、ユーザ認証を実施する(S301)。ユーザ認証に成功した場合はステップS304へ進み、成功しなかった場合はステップS303へ進む(S302)。
(図3:ステップS303)
認証部111は、ユーザ認証に成功しなかった旨の応答を、Webブラウザ210に対して返信し、本フローチャートは終了する。Webブラウザ210はその応答を受け取ると、ユーザ認証できなかった旨を通知する画面を表示する。
認証部111は、ユーザ認証に成功しなかった旨の応答を、Webブラウザ210に対して返信し、本フローチャートは終了する。Webブラウザ210はその応答を受け取ると、ユーザ認証できなかった旨を通知する画面を表示する。
(図3:ステップS304)
認証要求部112は、対応テーブル113を参照して、Webブラウザ210が送信した第1サーバ110上のユーザ認証情報に対応する第2サーバ120上のユーザ認証情報を取得する。認証要求部112は、取得した第2サーバ120上のユーザ認証情報を用いて、第2サーバ120に対してユーザ認証リクエストを送信する。
認証要求部112は、対応テーブル113を参照して、Webブラウザ210が送信した第1サーバ110上のユーザ認証情報に対応する第2サーバ120上のユーザ認証情報を取得する。認証要求部112は、取得した第2サーバ120上のユーザ認証情報を用いて、第2サーバ120に対してユーザ認証リクエストを送信する。
(図3:ステップS305)
認証部121は、認証要求部112が送信したユーザ認証情報を用いてユーザ認証を実施し、その結果を認証要求部112に対して返信する。ユーザ認証の手法としては、対応テーブル113と同様のIDとパスワードの組を記述したデータを用いてもよいし、その他の手法を用いてもよい。ユーザ認証に成功した場合はステップS306へ進み、成功しなかった場合はステップS307へ進む。
認証部121は、認証要求部112が送信したユーザ認証情報を用いてユーザ認証を実施し、その結果を認証要求部112に対して返信する。ユーザ認証の手法としては、対応テーブル113と同様のIDとパスワードの組を記述したデータを用いてもよいし、その他の手法を用いてもよい。ユーザ認証に成功した場合はステップS306へ進み、成功しなかった場合はステップS307へ進む。
(図3:ステップS306)
認証要求部112は、認証部121からユーザ認証に成功した旨の通知を受信する。認証部111は、Webブラウザ210に対して、ユーザ認証に成功した旨の通知を送信する。例えば、ログイン完了後にWebブラウザ210が表示すべきWebコンテンツとともに、ランダムに生成したセッションIDを送信する。以後認証部111とWebブラウザ210はそのセッションIDを共有し、これによりWebブラウザ210は第1サーバ110上にログインした状態となる。その他適当な公知手法を用いてもよい。
認証要求部112は、認証部121からユーザ認証に成功した旨の通知を受信する。認証部111は、Webブラウザ210に対して、ユーザ認証に成功した旨の通知を送信する。例えば、ログイン完了後にWebブラウザ210が表示すべきWebコンテンツとともに、ランダムに生成したセッションIDを送信する。以後認証部111とWebブラウザ210はそのセッションIDを共有し、これによりWebブラウザ210は第1サーバ110上にログインした状態となる。その他適当な公知手法を用いてもよい。
(図3:ステップS307)
認証要求部112は、認証部121からユーザ認証に失敗した旨の通知を受信する。認証部111は、ユーザ認証に成功しなかった旨の応答を、Webブラウザ210に対して返信し、本フローチャートは終了する。Webブラウザ210はその応答を受け取ると、ユーザ認証できなかった旨を通知する画面を表示する。
認証要求部112は、認証部121からユーザ認証に失敗した旨の通知を受信する。認証部111は、ユーザ認証に成功しなかった旨の応答を、Webブラウザ210に対して返信し、本フローチャートは終了する。Webブラウザ210はその応答を受け取ると、ユーザ認証できなかった旨を通知する画面を表示する。
図4は、第2サーバ120の動作を説明するフローチャートである。以下図4の各ステップについて説明する。
(図4:ステップS400〜S402)
認証部121が認証要求部112からユーザ認証リクエストを受け取ると、本フローチャートが開始する(S400)。認証部121は、認証要求部112が送信したユーザ認証情報を用いてユーザ認証を実施し、その結果を認証要求部112に対して返信する(S401)。ユーザ認証に成功した場合はステップS403へ進み、成功しなかった場合はステップS404へ進む(S402)。
認証部121が認証要求部112からユーザ認証リクエストを受け取ると、本フローチャートが開始する(S400)。認証部121は、認証要求部112が送信したユーザ認証情報を用いてユーザ認証を実施し、その結果を認証要求部112に対して返信する(S401)。ユーザ認証に成功した場合はステップS403へ進み、成功しなかった場合はステップS404へ進む(S402)。
(図4:ステップS403)
認証部121は、ユーザ認証に成功した旨を認証要求部112に対して返信する。またこれと並行して、クライアントアプリケーション220に対してユーザ認証に成功した旨の通知を送信する。例えば認証部111からWebブラウザ210に対する返信と同様に、ランダムに生成したセッションIDをクライアントアプリケーション220に対して送信することができる。以後認証部121とクライアントアプリケーション220はそのセッションIDを共有し、これによりクライアントアプリケーション220は第2サーバ120上にログインした状態となる。その他適当な公知手法を用いてもよい。
認証部121は、ユーザ認証に成功した旨を認証要求部112に対して返信する。またこれと並行して、クライアントアプリケーション220に対してユーザ認証に成功した旨の通知を送信する。例えば認証部111からWebブラウザ210に対する返信と同様に、ランダムに生成したセッションIDをクライアントアプリケーション220に対して送信することができる。以後認証部121とクライアントアプリケーション220はそのセッションIDを共有し、これによりクライアントアプリケーション220は第2サーバ120上にログインした状態となる。その他適当な公知手法を用いてもよい。
(図4:ステップS403:補足)
本ステップの前提として、クライアント端末200上でクライアントアプリケーション220が起動している必要がある。すなわちクライアント端末200のユーザは、Webブラウザ210を用いてユーザ認証リクエストを送信する前に、あらかじめクライアントアプリケーション220を起動して待機させておくことが望ましい。
本ステップの前提として、クライアント端末200上でクライアントアプリケーション220が起動している必要がある。すなわちクライアント端末200のユーザは、Webブラウザ210を用いてユーザ認証リクエストを送信する前に、あらかじめクライアントアプリケーション220を起動して待機させておくことが望ましい。
(図4:ステップS404)
認証部121は、ユーザ認証に失敗した旨の通知を認証要求部112に対して送信する。
認証部121は、ユーザ認証に失敗した旨の通知を認証要求部112に対して送信する。
<実施の形態1:まとめ>
以上のように、本実施形態1に係るシングルサインオンシステム10において、Webブラウザ210が第1サーバ110に対してユーザ認証リクエストを送信すると、第1サーバ110はこれに対して返信するとともに、第2サーバ120に対してユーザ認証リクエストを送信する。第2サーバ120は、ユーザ認証の結果をクライアントアプリケーション220に対して送信する。これにより、クライアント端末200上でWebブラウザ210とクライアントアプリケーション220を連携させることなく、シングルサインオンを実現することができる。
以上のように、本実施形態1に係るシングルサインオンシステム10において、Webブラウザ210が第1サーバ110に対してユーザ認証リクエストを送信すると、第1サーバ110はこれに対して返信するとともに、第2サーバ120に対してユーザ認証リクエストを送信する。第2サーバ120は、ユーザ認証の結果をクライアントアプリケーション220に対して送信する。これにより、クライアント端末200上でWebブラウザ210とクライアントアプリケーション220を連携させることなく、シングルサインオンを実現することができる。
<実施の形態2>
図5は、本発明の実施形態2に係るシングルサインオンシステム10の構成図である。本実施形態2において、認証要求部112は、第1サーバ110に代えてWebブラウザ210上に実装されている。その他の構成は概ね実施形態1と同様であるため、以下では差異点を中心に説明する。
図5は、本発明の実施形態2に係るシングルサインオンシステム10の構成図である。本実施形態2において、認証要求部112は、第1サーバ110に代えてWebブラウザ210上に実装されている。その他の構成は概ね実施形態1と同様であるため、以下では差異点を中心に説明する。
ユーザがWebブラウザ210を用いて第1サーバ110に対してユーザ認証リクエストを送信すると、認証要求部112はその後またはこれと並行して第2サーバ120に対してユーザ認証リクエストを送信する。実施形態1と同様に対応テーブル113をあらかじめクライアント端末200上に格納しておき、これを用いて第1サーバ110上のユーザ認証情報を第2サーバ120上のユーザ認証情報に変換してもよいし、第1サーバ110と第2サーバ120が同一のユーザ認証情報を保持しておき、これらサーバに対して同一のユーザ認証情報を送信するようにしてもよい。
認証要求部112は、例えばWebアプリケーションとして構成することができる。具体的には、ユーザがWebブラウザ210上に入力した第1サーバ110上のユーザ認証情報を取得し、これを用いて第2サーバ120に対してユーザ認証リクエストを送信するスクリプトを用いて、認証要求部112を実装することができる。例えばログインページ内に記述されたJavaScriptなどを用いて認証要求部112を実装することができる。その他任意の公知技術を用いてもよい。
<実施の形態3>
実施形態1〜2では、クライアント端末200のユーザはWebブラウザ210を用いて第1サーバ110に対してログインすることを説明したが、クライアントアプリケーション220を用いて第1サーバ110に対してログインするようにシングルサインオンシステム10を構成することもできる。本発明の実施形態3ではその構成例について説明する。
実施形態1〜2では、クライアント端末200のユーザはWebブラウザ210を用いて第1サーバ110に対してログインすることを説明したが、クライアントアプリケーション220を用いて第1サーバ110に対してログインするようにシングルサインオンシステム10を構成することもできる。本発明の実施形態3ではその構成例について説明する。
図6は、本実施形態3に係るシングルサインオンシステム10の構成図である。本実施形態3において、クライアント端末200のユーザはクライアントアプリケーション220を用いて第1サーバ110上にログインする。認証部121は、認証要求部112からユーザ認証リクエストを受け取ると、その結果を認証要求部112に対して返信するとともに、Webブラウザ210に対して送信する。このように、Webブラウザ210とクライアントアプリケーション220の役割を実施形態1〜2におけるこれらの役割と入れ替えても、同様のシングルサインオン機能を実現することができる。
クライアントアプリケーション220が認証要求部112を実装する場合、クライアントアプリケーション220の一部として認証要求部112を組み込むことができる。対応テーブル113についても同様である。
Webブラウザ210は、実施形態1〜2におけるクライアントアプリケーション220と同様に、定期的に第2サーバ120に対してポーリングするか、またはあらかじめ第2サーバ120との間でコネクションを確立しておき第2サーバ120から認証結果をPUSH通信により受信する。第2サーバ120からWebブラウザ210またはクライアントアプリケーション220に対するPUSH通信は、例えばWebSocketなどの技術を用いて実装することができる。
<実施の形態4>
実施形態1〜3では、クライアント端末200が送信するユーザ認証情報を各サーバ間で共有することにより、シングルサインオンを実現した。ユーザ認証情報が各サーバ間で共有されていることを利用すると、例えば第1サーバ110上のあるユーザに関する属性情報を更新し、その更新内容を第2サーバ120上の同一ユーザに関する属性情報として自動的に反映することが考えられる。
実施形態1〜3では、クライアント端末200が送信するユーザ認証情報を各サーバ間で共有することにより、シングルサインオンを実現した。ユーザ認証情報が各サーバ間で共有されていることを利用すると、例えば第1サーバ110上のあるユーザに関する属性情報を更新し、その更新内容を第2サーバ120上の同一ユーザに関する属性情報として自動的に反映することが考えられる。
この更新に係る処理シーケンスは、実施形態1〜3においてシングルサインオンを実現する処理シーケンスと同様に実装することができる。例えば実施形態1で説明した構成を前提とする場合、(a)Webブラウザ210は第1サーバ110に対して、あるユーザに関する暗号鍵を更新するリクエストを送信し、認証部111はそのリクエストにしたがって第1サーバ110が格納しているユーザ属性データを更新し、(b)認証要求部112は、同様のリクエストを第2サーバ120上の対応するユーザに対して実施するよう第2サーバ120に対して要求し、(c)認証部121は、そのリクエストにしたがって第2サーバ120が格納しているユーザ属性データを更新するとともに、その結果をクライアントアプリケーション220に対して通知する、という処理シーケンスが考えられる。その他の属性情報についても同様のシーケンスにより処理することができる。
本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。上記実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることもできる。また、ある実施形態の構成に他の実施形態の構成を加えることもできる。また、各実施形態の構成の一部について、他の構成を追加・削除・置換することもできる。
上記各構成、機能、処理部、処理手段等は、それらの一部や全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記録装置、ICカード、SDカード、DVD等の記録媒体に格納することができる。
10:シングルサインオンシステム、110:第1サーバ、111:認証部、112:認証要求部、120:第2サーバ、121:認証部、200:クライアント端末、210:Webブラウザ、220:クライアントアプリケーション、230:CPU。
Claims (7)
- ユーザ認証リクエストに応じてユーザ認証を実施する第1および第2サーバ、
前記第1サーバに対してユーザ認証リクエストを送信するクライアント端末、
前記第2サーバに対してユーザ認証リクエストを送信する認証要求部、
を備え、
前記クライアント端末は、WebブラウザおよびWebブラウザ以外のクライアントアプリケーションを実行するプロセッサを備え、
前記Webブラウザまたは前記クライアントアプリケーションのいずれか一方は、前記第1サーバに対して第1ユーザ認証リクエストを送信するように構成されており、
前記第1サーバは、前記Webブラウザまたは前記クライアントアプリケーションのいずれか一方から前記第1ユーザ認証リクエストを受け取ると、ユーザ認証を実施してその結果を送信元に対して返信し、
前記認証要求部は、前記プロセッサが前記Webブラウザおよび前記クライアントアプリケーションを同時に実行している間に、前記第1サーバが認証するユーザに対応するユーザを認証するよう要求する第2ユーザ認証リクエストを前記第2サーバに対して送信し、
前記第2サーバは、前記認証要求部から前記第2ユーザ認証リクエストを受け取ると、ユーザ認証を実施してその結果を前記Webブラウザまたは前記クライアントアプリケーションの他方に対して送信する
ことを特徴とするシングルサインオンシステム。 - 前記第1サーバは、前記認証要求部およびユーザ認証を実施する認証部を備えており、
前記認証要求部は、前記認証部が前記クライアント端末から前記第1ユーザ認証リクエストを受け取ると、前記第2サーバに対して前記第2ユーザ認証リクエストを送信する
ことを特徴とする請求項1記載のシングルサインオンシステム。 - 前記第1サーバは、前記クライアント端末が送信する前記第1ユーザ認証リクエストを前記第2サーバに対する前記第2ユーザ認証リクエストに変換するための対応関係を記述した対応テーブルを備え、
前記認証要求部は、前記対応テーブルを参照することにより、前記認証部が前記クライアント端末から受け取った前記第1ユーザ認証リクエストを前記2サーバに対する前記第2ユーザ認証リクエストに変換する
ことを特徴とする請求項2記載のシングルサインオンシステム。 - 前記Webブラウザまたは前記クライアントアプリケーションは、前記認証要求部を実装するように構成されており、
前記認証要求部を実装した前記Webブラウザまたは前記クライアントアプリケーションは、前記第1サーバに対して前記第1ユーザ認証リクエストを送信するのと並行して、前記第2サーバに対して前記第2ユーザ認証リクエストを送信するように構成されている
ことを特徴とする請求項1記載のシングルサインオンシステム。 - 前記認証要求部を実装した前記Webブラウザまたは前記クライアントアプリケーションは、前記第1サーバと前記第2サーバに対して、同一のユーザ認証情報を並行して送信するように構成されている
ことを特徴とする請求項4記載のシングルサインオンシステム。 - 前記第1および第2サーバは、ユーザに関する属性情報を記述したユーザ属性データをそれぞれ保持するように構成されており、
前記Webブラウザまたは前記クライアントアプリケーションのいずれか一方は、前記ユーザ属性データを更新するよう要求する第1更新リクエストを前記第1サーバに対して送信するように構成されており、
前記第1サーバは、前記Webブラウザまたは前記クライアントアプリケーションのいずれか一方から受け取った前記第1更新リクエストを前記ユーザ属性データに反映した上でその結果を送信元に対して返信し、
前記認証要求部は、前記クライアント端末が前記第1サーバに対して送信する前記第1更新リクエストと同一の更新内容を要求する第2更新リクエストを前記第2サーバに対して送信し、
前記第2サーバは、前記認証要求部から受け取った前記第2更新リクエストが要求する更新内容を前記ユーザ属性データに反映した上でその結果を前記Webブラウザまたは前記クライアントアプリケーションの他方に対して送信する
ことを特徴とする請求項1記載のシングルサインオンシステム。 - ユーザ認証リクエストに応じてユーザ認証を実施する第1および第2サーバ、
前記第1サーバに対してユーザ認証リクエストを送信するクライアント端末、
前記第2サーバに対してユーザ認証リクエストを送信する認証要求部、
を備え、
前記クライアント端末は、WebブラウザおよびWebブラウザ以外のクライアントアプリケーションを実行するプロセッサを備え、
前記Webブラウザまたは前記クライアントアプリケーションのいずれか一方は、前記第1サーバに対してユーザ認証リクエストを送信するように構成されている、
情報システムにおいて、シングルサインオンを実行する方法であって、
前記プロセッサが前記Webブラウザまたは前記クライアントアプリケーションのいずれか一方を実施することにより、前記第1サーバに対して第1ユーザ認証リクエストを送信するステップ、
前記第1サーバが、前記Webブラウザまたは前記クライアントアプリケーションのいずれか一方から前記第1ユーザ認証リクエストを受け取り、ユーザ認証を実施してその結果を送信元に対して返信するステップ、
前記認証要求部が、前記プロセッサが前記Webブラウザおよび前記クライアントアプリケーションを同時に実行している間に、前記第1サーバが認証するユーザに対応するユーザを認証するよう要求する第2ユーザ認証リクエストを前記第2サーバに対して送信するステップ、
前記第2サーバが、前記認証要求部から前記第2ユーザ認証リクエストを受け取り、ユーザ認証を実施してその結果を前記Webブラウザまたは前記クライアントアプリケーションの他方に対して送信するステップ、
を有することを特徴とするシングルサインオン方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014069184A JP2015191508A (ja) | 2014-03-28 | 2014-03-28 | シングルサインオンシステム、シングルサインオン方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014069184A JP2015191508A (ja) | 2014-03-28 | 2014-03-28 | シングルサインオンシステム、シングルサインオン方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015191508A true JP2015191508A (ja) | 2015-11-02 |
Family
ID=54425930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014069184A Pending JP2015191508A (ja) | 2014-03-28 | 2014-03-28 | シングルサインオンシステム、シングルサインオン方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015191508A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020511803A (ja) * | 2019-02-28 | 2020-04-16 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ブロックチェーンベースのデータ管理のためのシステムおよび方法 |
JP2020113006A (ja) * | 2019-01-10 | 2020-07-27 | 富士通株式会社 | Webサーバ、ログイン判定方法及びプログラム |
-
2014
- 2014-03-28 JP JP2014069184A patent/JP2015191508A/ja active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020113006A (ja) * | 2019-01-10 | 2020-07-27 | 富士通株式会社 | Webサーバ、ログイン判定方法及びプログラム |
JP7120033B2 (ja) | 2019-01-10 | 2022-08-17 | 富士通株式会社 | Webサーバ、ログイン判定方法及びプログラム |
JP2020511803A (ja) * | 2019-02-28 | 2020-04-16 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | ブロックチェーンベースのデータ管理のためのシステムおよび方法 |
US11258778B2 (en) | 2019-02-28 | 2022-02-22 | Advanced New Technologies Co., Ltd. | System and method for blockchain-based data management |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9178868B1 (en) | Persistent login support in a hybrid application with multilogin and push notifications | |
US10552442B1 (en) | Stateful database application programming interface | |
JP4965747B2 (ja) | ネットワークを介したセキュリティ保護された動的な資格証明書の配布 | |
US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
KR101929598B1 (ko) | 운영체제 및 애플리케이션 사이에서 사용자 id의 공유 기법 | |
US9021552B2 (en) | User authentication for intermediate representational state transfer (REST) client via certificate authority | |
US9338165B2 (en) | Common internet file system proxy authentication of multiple servers | |
WO2018010146A1 (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
US10572315B1 (en) | Application programming interface state management | |
US9584615B2 (en) | Redirecting access requests to an authorized server system for a cloud service | |
US11140140B2 (en) | Virtual cryptographic module with load balancer and cryptographic module fleet | |
US9503444B2 (en) | System and method for sharing access to a service within a home network | |
WO2015192582A1 (zh) | 虚拟桌面登录验证方法和装置 | |
JP2020042691A (ja) | 情報処理装置、リソース提供装置、情報処理方法、情報処理プログラム、リソース提供方法、リソース提供プログラム | |
KR102232763B1 (ko) | 멀티 도메인 서비스들을 위한 단일 인증 방법 그리고 이를 구현한 시스템 | |
US10069814B2 (en) | Single sign on across multiple devices using a unique machine identification | |
CN103997482A (zh) | 桌面云业务中用户登录的方法、系统 | |
JP2013182302A (ja) | ネットワークシステム、認証連携装置、認証連携方法、及びプログラム | |
JP2013251835A (ja) | 情報処理装置、情報処理システム、情報処理方法及びプログラム | |
WO2016155266A1 (zh) | 虚拟桌面的数据共享方法和装置 | |
JP2015130028A (ja) | 代行ログイン装置、端末、制御方法およびプログラム | |
US11252143B2 (en) | Authentication system, authentication server and authentication method | |
JP2017049745A (ja) | 認証サーバ、認証方法およびプログラム | |
JP2015191508A (ja) | シングルサインオンシステム、シングルサインオン方法 | |
JP2003323409A (ja) | シングルサインオンシステム、そのプログラム及びその方法 |