JP2016042327A - 情報処理システム及び認証方法 - Google Patents
情報処理システム及び認証方法 Download PDFInfo
- Publication number
- JP2016042327A JP2016042327A JP2014166392A JP2014166392A JP2016042327A JP 2016042327 A JP2016042327 A JP 2016042327A JP 2014166392 A JP2014166392 A JP 2014166392A JP 2014166392 A JP2014166392 A JP 2014166392A JP 2016042327 A JP2016042327 A JP 2016042327A
- Authority
- JP
- Japan
- Prior art keywords
- information
- service providing
- user
- authentication
- user information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Accessory Devices And Overall Control Thereof (AREA)
Abstract
【課題】複数人のユーザが共用する電子機器において、セキュリティを確保しながら各種サービスへのログインの手間を軽減できる情報処理システムを提供すること。【解決手段】第一及び第二のサービス提供システムを有する情報処理システムであって、第一及び第二のユーザ情報を対応付ける対応付け手段と、電子機器から第一のサービス提供システムの認証要求を受け付け、第一の利用権限情報を電子機器に提供する第一の認証手段と、第一の利用権限情報を指定した第二のサービス提供システムの認証要求を受け付け、第一のユーザ情報に対応する第二のユーザ情報を特定し、第二のの利用権限情報を電子機器に提供する利用権限情報提供手段と、電子機器から第二の利用権限情報を指定したサービス利用要求を受け付け、電子機器にサービスを提供するサービス提供手段と、を有することにより、上記課題を解決する。【選択図】 図1
Description
本発明は情報処理システム及び認証方法に関する。
各々がユニークな認証情報を要求する複数のサービスを含むシステムにおけるユーザの認証情報データの入力回数の削減方法がある。従来、複数の異なる制限されたサービスを含むシステムにおける、ユーザの認証情報データの入力回数の削減方法であって、画像処理装置に入力された認証情報の認証をアカウンティングアプリが行い、認証情報の認証に成功した場合、SSOサーバアプリがSSOトークンを発行し、SSOトークンとユーザサービス認証情報とを対応付けた対応情報を記憶するステップと、画像処理装置が取得したSSOトークンをサービスに送信してアクセス要求を行うステップと、SSOサーバアプリがサービスから受信したSSOトークンに対応するユーザサービス認証情報を対応情報から読み出してサービスに送信するステップと、サービスが受信したユーザサービス認証情報を用いてユーザ認証を行い、認証成功の場合にアクセスを許可するステップとを含む方法は知られている(例えば特許文献1参照)。
例えばPC等の端末装置に搭載されたブラウザはユーザにより入力された各種サービスのIDやパスワードなどの認証情報を保存しておくことによって、各種サービスへのログインの手間を軽減する場合がある。しかしながら、複数人のユーザが共用する複合機(MFP)などの電子機器に、ユーザにより入力された各種サービスの認証情報を保存しておくことはセキュリティの観点から好ましくない。
本発明の実施の形態は、上記の点に鑑みなされたもので、複数人のユーザが共用する電子機器において、セキュリティを確保しながら各種サービスへのログインの手間を軽減できる情報処理システムを提供することを目的とする。
上記目的を達成するため、本願請求項1は、第一のサービス提供システムと、前記第一のサービス提供システムと認証基盤が異なる第二のサービス提供システムと、を有する情報処理システムであって、前記第一のサービス提供システムを利用するユーザの第一のユーザ情報と、前記ユーザが前記第二のサービス提供システムを利用する場合の第二のユーザ情報と、を対応付けたユーザ情報対応付け情報を保持するユーザ情報対応付け処理手段と、ユーザが操作する電子機器から前記第一のユーザ情報を指定した前記第一のサービス提供システムに対する認証要求を受け付け、前記第一のサービス提供システムの利用権限情報を前記電子機器に提供する第一の認証手段と、前記電子機器から前記第一のサービス提供システムの利用権限情報を指定した前記第二のサービス提供システムに対する認証要求を受け付け、前記第一のサービス提供システムの利用権限情報及び前記ユーザ情報対応付け情報とに基づき、前記第一のユーザ情報に対応する前記第二のユーザ情報を特定し、前記第二のサービス提供システムに発行させた前記第二のサービス提供システムの利用権限情報を前記電子機器に提供する利用権限情報提供手段と、前記電子機器から前記第二のサービス提供システムの利用権限情報を指定したサービス利用要求を受け付け、前記第二のサービス提供システムの利用権限情報が有効であれば前記電子機器にサービスを提供するサービス提供手段と、を有することを特徴とする。
本発明の実施の形態によれば、複数人のユーザが共用する電子機器において、セキュリティを確保しながら各種サービスへのログインの手間を軽減できる。
次に、本発明の実施の形態について、詳細に説明する。
[第1の実施形態]
<システム構成>
図1は本実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1は、ユーザシステム5、サービス提供システム6及び外部サービスシステム7を有する。ユーザシステム5、サービス提供システム6及び外部サービスシステム7はLANやインターネットなどのネットワークN4を介して接続されている。
[第1の実施形態]
<システム構成>
図1は本実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1は、ユーザシステム5、サービス提供システム6及び外部サービスシステム7を有する。ユーザシステム5、サービス提供システム6及び外部サービスシステム7はLANやインターネットなどのネットワークN4を介して接続されている。
ユーザシステム5はユーザが操作する端末装置11、複数人のユーザが共用する電子機器12、ファイアウォール(FW)13がLANなどのネットワークN1を介して接続されている。ネットワークN1はFW13を介してネットワークN4に接続される。FW13は不正なアクセスを検出及び遮断する。
例えば端末装置11は一般的なOS等が搭載された情報処理装置(コンピュータ)により実現できる。端末装置11は、タブレット端末、PC、スマートフォンや携帯電話などのユーザが操作可能な装置である。
電子機器12は複数人のユーザが共用する複合機(MFP)やコピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板などの機器である。なお、図1に示したユーザシステム5は端末装置11及び電子機器12が、それぞれ一台である例を示しているが複数台であってもよい。
サービス提供システム6は認証装置21、1台以上のサービス提供装置22、FW23がLANなどのネットワークN2を介して接続されている。ネットワークN2はFW23を介してネットワークN4に接続されている。FW23は不正なアクセスを検出及び遮断する。
例えば認証装置21、サービス提供装置22は一般的なOS等が搭載された情報処理装置により実現できる。サービス提供システム6はサービスを提供するための1台以上の情報処理装置によって構成される。認証装置21はサービス提供システム6のサービスを利用するユーザの認証に関する処理を行う。サービス提供装置22は認証装置21で認証されたユーザにサービスを提供する。なお、認証装置21及びサービス提供装置22は一台のコンピュータに統合して実現してもよいし、複数のコンピュータに分散して実現してもよい。
外部サービスシステム7は、IDマッパー装置31、1台以上の外部サービス提供装置32がLANなどのネットワークN3を介して接続されている。ネットワークN3はFW33を介してネットワークN4に接続される。FW33は不正なアクセスを検出及び遮断する。
例えばIDマッパー装置31、外部サービス提供装置32は一般的なOS等が搭載された情報処理装置により実現できる。外部サービスシステム7は外部サービスを提供するための1台以上の情報処理装置によって構成される。外部サービスシステム7は例えば電子機器12に搭載されたアプリと連携して外部サービスを提供する。
IDマッパー装置31はサービス提供システム6におけるユーザのIDと外部サービスシステム7におけるユーザのIDとの対応表を管理する。外部サービス提供装置32は外部サービスを利用可能なユーザとして認証されたユーザに外部サービスを提供する。
なお、IDマッパー装置31及び外部サービス提供装置32は一台のコンピュータに統合して実現してもよいし、複数のコンピュータに分散して実現してもよい。
図1の情報処理システム1では、サービス提供システム6及び外部サービスシステム7が異なる認証基盤によって認証を行っているものとする。図1の情報処理システム1はIDマッパー装置31を利用することでサービス提供システム6の認証基盤と外部サービスシステム7の認証基盤とを連携させている。このように、図1の情報処理システム1ではサービス提供システム6の認証基盤と外部サービスシステム7の認証基盤とが連携することで、ユーザにとってのシングルサインオンを実現している。
<ハードウェア構成>
端末装置11、認証装置21、サービス提供装置22、IDマッパー装置31及び外部サービス提供装置32は、例えば図2に示すハードウェア構成のコンピュータにより実現される。図2は本実施形態に係るコンピュータの一例のハードウェア構成図である。
端末装置11、認証装置21、サービス提供装置22、IDマッパー装置31及び外部サービス提供装置32は、例えば図2に示すハードウェア構成のコンピュータにより実現される。図2は本実施形態に係るコンピュータの一例のハードウェア構成図である。
図2に示したコンピュータ500は、入力装置501、表示装置502、外部I/F503、RAM504、ROM505、CPU506、通信I/F507、及びHDD508などを備え、それぞれがバスBで相互に接続されている。なお、入力装置501及び表示装置502は必要なときに接続して利用する形態であってもよい。
入力装置501はキーボードやマウスなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置502はディスプレイなどを含み、コンピュータ500による処理結果を表示する。
通信I/F507はコンピュータ500をネットワークN1やネットワークN2に接続するインタフェースである。これにより、コンピュータ500は通信I/F507を介してデータ通信を行うことができる。
HDD508はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータは、例えばコンピュータ500全体を制御する基本ソフトウェアであるOSや、OS上において各種機能を提供するアプリケーションソフトウェアなどである。
外部I/F503は、外部装置とのインタフェースである。外部装置には、記録媒体503aなどがある。これにより、コンピュータ500は外部I/F503を介して記録媒体503aの読み取り及び/又は書き込みを行うことができる。記録媒体503aにはフレキシブルディスク、CD、DVD、SDメモリカード、USBメモリなどがある。
ROM505は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM505には、コンピュータ500の起動時に実行されるBIOS、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM504は、プログラムやデータを一時保持する揮発性の半導体メモリである。
CPU506は、ROM505やHDD508などの記憶装置からプログラムやデータをRAM504上に読み出し、処理を実行することで、コンピュータ500全体の制御や機能を実現する演算装置である。本実施形態に係る端末装置11、認証装置21、サービス提供装置22、IDマッパー装置31及び外部サービス提供装置32は、上記したコンピュータ500のハードウェア構成により後述するような各種処理を実現できる。
図1の電子機器12の一例である複合機600は例えば図3に示すハードウェア構成のコンピュータにより実現される。図3は本実施形態に係る電子機器の一例のハードウェア構成図である。
図3に示す複合機600は、コントローラ601、操作パネル602、外部I/F603、通信I/F604、プリンタ605及びスキャナ606などを備える。
コントローラ601はCPU611、RAM612、ROM613、NVRAM614及びHDD615などを備える。ROM613は、各種プログラムやデータが格納されている。RAM612はプログラムやデータを一時保持する。NVRAM614は、例えば設定情報等が格納されている。また、HDD615は各種プログラムやデータが格納されている。
CPU611は、ROM613やNVRAM614、HDD615などからプログラムやデータ、設定情報等をRAM612上に読み出し、処理を実行することで、複合機600全体の制御や機能を実現する。
操作パネル602はユーザからの入力を受け付ける入力部と、表示を行う表示部とを備えている。外部I/F603は外部装置とのインタフェースである。外部装置には、記録媒体603aなどがある。これにより、複合機600は外部I/F603を介して記録媒体603aの読み取り及び/又は書き込みを行うことができる。記録媒体603aにはICカード、フレキシブルディスク、CD、DVD、SDメモリカード、USBメモリ等がある。
通信I/F604は、複合機600をネットワークN1に接続させるインタフェースである。これにより、複合機600は通信I/F604を介してデータ通信を行うことができる。プリンタ605は印刷データを用紙に印刷するための印刷装置である。スキャナ606は原稿から画像データ(電子データ)を読み取るための読取装置である。
<ソフトウェア構成>
《サービス提供システムの認証装置》
サービス提供システム6の認証装置21は例えば図4に示す処理ブロックにより実現される。図4は本実施形態に係る認証装置の一例の処理ブロック図である。図4の認証装置21はプログラムを実行することにより、ユーザ情報管理部101、認証処理部102を実現している。
《サービス提供システムの認証装置》
サービス提供システム6の認証装置21は例えば図4に示す処理ブロックにより実現される。図4は本実施形態に係る認証装置の一例の処理ブロック図である。図4の認証装置21はプログラムを実行することにより、ユーザ情報管理部101、認証処理部102を実現している。
ユーザ情報管理部101はサービス提供システム6を利用可能なユーザのユーザ情報として、テナントID、ユーザID、パスワードを対応付けて管理する。なお、テナントIDは企業、部署、組織などのグループを特定する情報である。認証処理部102はユーザ情報によるログイン要求を受け付け、ユーザ情報の認証を行う。認証処理部102は認証に成功すると、ログイン要求元である端末装置11や電子機器12、外部サービス提供装置32などに認証チケットを発行する。
また、認証処理部102は認証チケットの検証要求を受け付け、認証チケットの検証を行う。認証処理部102は認証チケットの検証を行い、認証チケットに対応するユーザ情報を検証要求元であるIDマッパー装置31などに返す。
《外部サービスシステムのIDマッパー装置》
外部サービスシステム7のIDマッパー装置31は、例えば図5に示す処理ブロックにより実現される。図5は、本実施形態に係るIDマッパー装置の一例の処理ブロック図である。図5のIDマッパー装置31はプログラムを実行することにより、ユーザ情報対応付け処理部111、認証チケット提供部112を実現している。
外部サービスシステム7のIDマッパー装置31は、例えば図5に示す処理ブロックにより実現される。図5は、本実施形態に係るIDマッパー装置の一例の処理ブロック図である。図5のIDマッパー装置31はプログラムを実行することにより、ユーザ情報対応付け処理部111、認証チケット提供部112を実現している。
ユーザ情報対応付け処理部111は、サービス提供システム6を利用可能なユーザのユーザ情報と、外部サービスシステム7を利用可能なユーザのユーザ情報と、を対応付けて登録する。
ユーザ情報対応付け処理部111はユーザ情報の登録要求を受け付け、後述するユーザ情報対応付けテーブルに、サービス提供システム6を利用可能なユーザのユーザ情報と外部サービスシステム7を利用可能なユーザのユーザ情報とを対応付けて登録する。
認証チケット提供部112はサービス提供システム6の認証装置21が発行した後述の認証チケット(IdPの認証チケット)を指定した外部サービス提供装置32へのログイン要求を受け付ける。認証チケット提供部112は指定されたIdPの認証チケットを利用して後述のように外部サービス提供装置32の認証チケット(SPの認証チケット)をログイン要求元である端末装置11や電子機器12などに提供する。
《外部サービス提供装置》
外部サービスシステム7の外部サービス提供装置32は例えば図6に示す処理ブロックにより実現される。図6は本実施形態に係る外部サービス提供装置の一例の処理ブロック図である。図6の外部サービス提供装置32はプログラムを実行することにより、認証処理部121、ユーザ情報設定部122、サービス提供部123を実現している。
外部サービスシステム7の外部サービス提供装置32は例えば図6に示す処理ブロックにより実現される。図6は本実施形態に係る外部サービス提供装置の一例の処理ブロック図である。図6の外部サービス提供装置32はプログラムを実行することにより、認証処理部121、ユーザ情報設定部122、サービス提供部123を実現している。
認証処理部121は、外部サービスシステム7を利用可能なユーザのユーザ情報によるログイン要求を受け付け、ユーザ情報の認証を行う。認証処理部121は、認証に成功すると、ログイン要求元である端末装置11や電子機器12などにSPの認証チケットを発行する。
ユーザ情報設定部122はSPの認証チケットを利用した、サービス提供システム6を利用可能なユーザのユーザ情報の設定要求を受け付け、ユーザ情報の登録を行う。サービス提供部123はSPの認証チケットを利用したサービスの利用要求を受け付け、SPの認証チケットを検証する。サービス提供部123は有効なSPの認証チケットであることを確認できれば、サービスの利用要求元である端末装置11や電子機器12などにサービスを提供する。
<処理の詳細>
以下では、本実施形態に係る情報処理システム1の処理の詳細について説明する。図1の情報処理システム1では、シングルサインオン(SSO)におけるIdP(Identity Provider)としての役割を、サービス提供システム6の認証装置21が担う。また、図1の情報処理システム1ではSSOにおけるSP(Service Provider)としての役割を、外部サービスシステム7の外部サービス提供装置32が担う。したがって、情報処理システム1では、認証装置21で認証されたユーザが、外部サービス提供装置32の外部サービスにSSOでアクセスできる。
以下では、本実施形態に係る情報処理システム1の処理の詳細について説明する。図1の情報処理システム1では、シングルサインオン(SSO)におけるIdP(Identity Provider)としての役割を、サービス提供システム6の認証装置21が担う。また、図1の情報処理システム1ではSSOにおけるSP(Service Provider)としての役割を、外部サービスシステム7の外部サービス提供装置32が担う。したがって、情報処理システム1では、認証装置21で認証されたユーザが、外部サービス提供装置32の外部サービスにSSOでアクセスできる。
《ユーザ情報の登録》
図1の情報処理システム1では、IDマッパー装置31へのユーザ情報の登録を例えば図7に示すように行う。図7はIDマッパー装置へのユーザ情報登録処理の一例のシーケンス図である。図7に示したユーザ情報登録処理は、端末装置11や電子機器12から外部サービス提供装置32にログインしたユーザのサービス提供システム6のユーザ情報と外部サービスシステム7のユーザ情報とを対応付けて登録するものである。
図1の情報処理システム1では、IDマッパー装置31へのユーザ情報の登録を例えば図7に示すように行う。図7はIDマッパー装置へのユーザ情報登録処理の一例のシーケンス図である。図7に示したユーザ情報登録処理は、端末装置11や電子機器12から外部サービス提供装置32にログインしたユーザのサービス提供システム6のユーザ情報と外部サービスシステム7のユーザ情報とを対応付けて登録するものである。
ステップS11において、端末装置11や電子機器12に搭載されたブラウザはユーザから外部サービスシステム7のユーザID及びパスワードを指定したログイン要求を受け付ける。ブラウザは外部サービスシステム7のユーザID及びパスワードを指定したログイン要求を外部サービス提供装置32に対して行う。
ステップS12において、外部サービス提供装置32の認証処理部121は指定されていた外部サービスシステム7のユーザID及びパスワードの認証を行う。認証に成功すると、認証処理部121はステップS13でSPの認証チケットを発行する。ステップS14において認証処理部121はSPの認証チケットをログイン要求元であるブラウザに送信する。
SPの認証チケットを受信したブラウザは例えば図8に示すようなユーザ情報設定画面からユーザによるIdPのユーザ情報として、IdPのテナントID及びユーザIDの入力を受け付ける。図8はユーザ情報設定画面の一例のイメージ図である。
図8のユーザ情報設定画面はIdPのユーザ情報登録用WebUIの一例である。例えばユーザ情報設定画面は、外部サービス提供装置32の既存のユーザ管理画面を拡張して用意しても、IDマッパー装置31の専用UIにより用意してもよい。図8のユーザ情報設定画面は外部サービス提供装置32のユーザ管理画面にIdPのユーザ情報であるテナントID及びユーザIDの入力フィールドを設けた例である。なお、端末装置11や電子機器12が予め持っているテナントIDを利用するのであれば、ユーザ情報設定画面のテナントIDの入力フィールドは省略できる。
ステップS15において、ブラウザはSPの認証チケットを利用して、ユーザ情報設定画面に入力されたユーザ情報(IdPのテナントID及びユーザIDを含む)の設定要求を外部サービス提供装置32に対して行う。
ステップS16において、外部サービス提供装置32のユーザ情報設定部122はSPの認証チケットを利用した、ユーザ情報の設定要求をブラウザから受け付け、ユーザ情報の登録をIDマッパー装置31に要求する。IDマッパー装置31のユーザ情報対応付け処理部111はユーザ情報の登録要求を受け付ける。ユーザ情報対応付け処理部111は図9に示すようなユーザ情報対応付けテーブルに、図8のユーザ情報設定画面に入力されたユーザ情報(IdPのテナントID及びユーザID)とログインしたユーザのユーザ情報(SPのユーザID)とを対応付けて登録する。
図9はユーザ情報対応付けテーブルの一例の構成図である。図9のユーザ情報対応付けテーブルは、外部サービスシステム(SP)のユーザID、サービス提供システム(IdP)のテナントID及びユーザIDが対応付けられて登録されている。図9のユーザ情報対応付けテーブルを利用することで、IDマッパー装置31はサービス提供システム6において認証済みのユーザの外部サービスシステム7におけるユーザIDを特定できる。
IDマッパー装置31からユーザ情報対応付けテーブルへの登録の終了を通知された外部サービス提供装置32はステップS17において、ユーザ情報の設定要求に対する応答をブラウザに対して行う。
なお、上記したシーケンスの処理では、ユーザ情報設定画面に入力されたIdPのテナントID及びユーザIDが正しいことを確認していないため、ユーザが誤入力した場合などに認証連携ができなくなる。また、情報の不正入手に悪用される可能性もある。
そこで、上記したシーケンスの処理ではステップS15〜S17に替えて、ステップS21〜S26の処理を行うようにしてもよい。ステップS21において、ブラウザはSPの認証チケットを利用して、ユーザ情報設定画面に入力されたユーザ情報(IdPのテナントID、ユーザID、パスワードを含む)の設定要求を外部サービス提供装置32に対して行う。
ステップS22において、外部サービス提供装置32の認証処理部121は設定要求の対象であるユーザ情報に含まれるIdPのテナントID、ユーザID、パスワードを指定したログイン要求を認証装置21の認証処理部102に対して行う。認証処理部102は指定されていたIdPのテナントID、ユーザID、パスワードの認証を行う。ステップS24において、認証処理部102は認証結果を外部サービス提供装置32に返す。
IdPのテナントID、ユーザID、パスワードの認証結果が認証の成功であれば、外部サービス提供装置32のユーザ情報設定部122はステップS25においてユーザ情報の登録をIDマッパー装置31に要求する。IDマッパー装置31のユーザ情報対応付け処理部111はユーザ情報の登録要求を受け付ける。ユーザ情報対応付け処理部111は図9に示したようなユーザ情報対応付けテーブルに、図8のユーザ情報設定画面に入力されたユーザ情報(IdPのテナントID及びユーザID)とログインしたユーザのユーザ情報(SPのユーザID)とを対応付けて登録する。
IDマッパー装置31からユーザ情報対応付けテーブルへの登録の終了を通知された外部サービス提供装置32はステップS26において、ユーザ情報の設定要求に対する応答をブラウザに対して行う。
図1の情報処理システム1では、IDマッパー装置31へのユーザ情報の登録を例えば図10に示すように行ってもよい。図10はIDマッパー装置へのユーザ情報登録処理の他の例のシーケンス図である。
図10に示したユーザ情報登録処理は電子機器12から認証装置21及び外部サービス提供装置32にログインしたユーザのサービス提供システム6のユーザ情報と外部サービスシステム7のユーザ情報とを対応付けて登録するものである。
ステップS51において、電子機器12に搭載されたアプリ(MFPアプリ)はユーザからサービス提供システム6のテナントID、ユーザID及びパスワードを指定したログイン要求を受け付ける。MFPアプリはサービス提供システム6のテナントID、ユーザID及びパスワードを指定したログイン要求を認証装置21に対して行う。
ステップS52において、認証装置21の認証処理部102は指定されていたサービス提供システム6のテナントID、ユーザID及びパスワードの認証を行う。認証に成功すると、認証処理部102はIdPの認証チケットを発行する。そして、ステップS53において認証処理部102はIdPの認証チケットをログイン要求元であるMFPアプリに送信する。
また、ステップS54において、MFPアプリはユーザから外部サービスシステム7のユーザID及びパスワードを指定したログイン要求を受け付ける。MFPアプリは外部サービスシステム7のユーザID及びパスワードを指定したログイン要求を外部サービス提供装置32に対して行う。
ステップS55において、外部サービス提供装置32の認証処理部121は指定されていた外部サービスシステム7のユーザID及びパスワードの認証を行う。認証に成功すると、認証処理部121はステップS56でSPの認証チケットを発行する。ステップS57において認証処理部121はSPの認証チケットをログイン要求元であるMFPアプリに送信する。
SPの認証チケットを受信したMFPアプリはステップS58において、IdPの認証チケット及びSPの認証チケットを利用して、ユーザ情報の設定要求をIDマッパー装置31に対して行う。
ステップS59において、IDマッパー装置31のユーザ情報対応付け処理部111はIdPの認証チケットの検証を認証装置21に要求する。認証装置21の認証処理部102は検証を要求されたIdPの認証チケットの検証を行い、IdPの認証チケットが有効な場合に、そのIdPの認証チケットに対応するテナントID、ユーザIDを検証要求元であるIDマッパー装置31に返す。
ステップS60において、IDマッパー装置31のユーザ情報対応付け処理部111はSPの認証チケットの検証を外部サービス提供装置32に要求する。外部サービス提供装置32の認証処理部121は検証を要求されたSPの認証チケットの検証を行い、SPの認証チケットが有効な場合に、そのSPの認証チケットに対応するユーザIDを検証要求元であるIDマッパー装置31に返す。
ステップS61において、IDマッパー装置31のユーザ情報対応付け処理部111は図9に示したようなユーザ情報対応付けテーブルに、IdPの認証チケットに対応するテナントID、ユーザIDと、SPの認証チケットに対応するユーザIDとを対応付けて登録する。IDマッパー装置31はステップS62において、ユーザ情報の設定要求に対する応答をMFPアプリに対して行う。
図10のシーケンスの処理では、認証装置21及び外部サービス提供装置32にログインしている状態で、IDマッパー装置31にIdPのチケット及びSPの認証チケットを利用して、ユーザ情報の設定要求を行う。IDマッパー装置31はIdPのチケットに対応するテナントID、ユーザIDと、SPの認証チケットに対応するユーザIDとを対応付けてユーザ情報対応付けテーブルに登録できる。
なお、ユーザ情報の登録は、後述の1回目の外部サービスの利用時に行い、2回目以降にSSOでアクセスできるようにしてもよい。
《外部サービスの利用》
図1の情報処理システム1では、外部サービスの利用を例えば図11のシーケンスに示すように行う。図11は外部サービス利用処理の一例のシーケンス図である。図11に示した外部サービス利用処理は、サービス提供システム6のユーザ情報で認証されたユーザが外部サービスシステム7の外部サービスにSSOでアクセスするものである。
図1の情報処理システム1では、外部サービスの利用を例えば図11のシーケンスに示すように行う。図11は外部サービス利用処理の一例のシーケンス図である。図11に示した外部サービス利用処理は、サービス提供システム6のユーザ情報で認証されたユーザが外部サービスシステム7の外部サービスにSSOでアクセスするものである。
ステップS101において、電子機器12のMFPアプリはユーザからサービス提供システム6におけるユーザ情報(テナントID、ユーザID及びパスワード)を指定したログイン要求を受け付ける。MFPアプリはサービス提供システム6におけるユーザ情報を指定したログイン要求を認証装置21に対して行う。
ステップS102において、認証装置21の認証処理部102は指定されていたサービス提供システム6におけるユーザ情報の認証を行う。認証に成功すると、認証処理部102はIdPの認証チケットを発行する。そして、ステップS103において認証処理部102はIdPの認証チケットをログイン要求元であるMFPアプリに送信する。
また、ステップS104において、MFPアプリはユーザから外部サービスへのログイン要求を受け付ける。MFPアプリはIdPの認証チケットを指定したログイン要求をIDマッパー装置31に対して行う。
ステップS105において、IDマッパー装置31の認証チケット提供部112はIdPの認証チケットの検証を認証装置21に要求する。認証装置21の認証処理部102は検証を要求されたIdPの認証チケットの検証を行い、IdPの認証チケットが有効な場合に、そのIdPの認証チケットに対応するテナントID、ユーザIDを検証要求元であるIDマッパー装置31に返す。
ステップS106において、IDマッパー装置31の認証チケット提供部112はIdPの認証チケットに対応するテナントID、ユーザIDで図9に示すようなユーザ情報対応付けテーブルを検索する。ステップS107において、認証チケット提供部112はサービス提供システム6のテナントID、ユーザIDに対応する外部サービスシステム7のユーザIDを特定する。ステップS108において、認証チケット提供部112は外部サービスシステム7のユーザIDを指定した認証チケットの発行要求を外部サービス提供装置32に対して行う。
ステップS109において、外部サービス提供装置32の認証処理部121は指定された外部サービスシステム7のユーザIDに対応したSPの認証チケットを発行する。発行されたSPの認証チケットはステップS111、S112においてMFPアプリに送信される。
ステップS113において、MFPアプリは受信したSPの認証チケットを利用して外部サービス提供装置32にサービスの利用要求を行う。外部サービス提供装置32のサービス提供部123はSPの認証チケットを利用したサービスの利用要求を受け付けるとステップS114においてSPの認証チケットを検証する。
サービス提供部123は有効なSPの認証チケットであることを確認できれば、SPの認証チケットに対応する外部サービスシステムのユーザIDに対して外部サービスを提供するための処理を行う。ステップS116において、サービス提供部123はサービスの利用要求元であるMFPアプリに例えばサービスのコンテンツを提供する。
なお、ユーザ情報の登録を1回目の外部サービスの利用時に行い、2回目以降にSSOでアクセスできるようにする場合は、以下のような手順となる。IDマッパー装置31はステップS105で返されたIdPの認証チケットに対応するテナントID、ユーザIDが図9に示すようなユーザ情報対応付けテーブルに登録されていなければ、ステップS104の応答としてエラーを返す。エラーを返されたMFPアプリは例えば図10に示す手順でユーザ情報の登録を行う。このような手順により、本実施形態の情報処理システム1はユーザ情報の登録を1回目の外部サービスの利用時に行い、2回目以降にSSOでアクセスできる。
図1の情報処理システム1は外部サービスの利用を例えば図12のシーケンスに示すように行ってもよい。図12は外部サービス利用処理の他の例のシーケンス図である。図12のシーケンス図は図11のステップS104〜S116の処理を連続して実行するものである。
ステップS151〜S153は図11のステップS101〜S103と同様であるため説明を省略する。ステップS154において、MFPアプリはユーザから外部サービスの利用要求を受け付ける。MFPアプリはIdPの認証チケットを指定したサービスの利用要求をIDマッパー装置31に対して行う。
ステップS155において、IDマッパー装置31の認証チケット提供部112はIdPの認証チケットの検証を認証装置21に要求する。認証装置21の認証処理部102は検証を要求されたIdPの認証チケットの検証を行い、IdPの認証チケットが有効な場合に、そのIdPの認証チケットに対応するテナントID、ユーザIDを検証要求元であるIDマッパー装置31に返す。
ステップS156において、IDマッパー装置31の認証チケット提供部112はIdPの認証チケットに対応するテナントID、ユーザIDで図9に示すようなユーザ情報対応付けテーブルを検索する。ステップS157において、認証チケット提供部112はサービス提供システム6のテナントID、ユーザIDに対応する外部サービスシステム7のユーザIDを特定する。ステップS158において、認証チケット提供部112は外部サービスシステム7のユーザIDを指定したサービスの利用要求を外部サービス提供装置32に対して行う。
ステップS159において、外部サービス提供装置32のサービス提供部123はSPのユーザIDを利用したサービスの利用要求を受け付けると認証処理部121にSPの認証チケットの発行要求を行う。ステップS160において、認証処理部121は指定された外部サービスシステム7のユーザIDに対応したSPの認証チケットを発行する。
ステップS161において、サービス提供部123はMFPアプリに対して外部サービスを提供するための処理を行う。ステップS162、163において、サービス提供部123はIDマッパー装置31を介して、サービスの利用要求元であるMFPアプリに例えばサービスのコンテンツを提供する。
図1の情報処理システム1は外部サービスの利用を図13のシーケンス図に示すように行ってもよい。図13は外部サービス利用処理の他の例のシーケンス図である。図13のシーケンス図は図12のMFPアプリに替えてブラウザを利用するものである。ブラウザは電子機器12のブラウザアプリとして実装してもよいし、サービス提供システム6のポータル(アプリランチャ)からリンクされる端末装置11のブラウザとして実装してもよい。なお、図12のMFPアプリに替えてブラウザを利用する場合はブラウザをリダイレクトする仕組みをサービス提供システム6側で実装する必要がある。
ステップS201において電子機器12に搭載されたブラウザはユーザからサービス提供システム6のテナントID、ユーザID及びパスワードを指定したログイン要求を受け付ける。ブラウザはサービス提供システム6のテナントID、ユーザID及びパスワードを指定したログイン要求を認証装置21に対して行う。
ステップS202において、認証装置21の認証処理部102は指定されていたサービス提供システム6のテナントID、ユーザID及びパスワードの認証を行う。認証に成功すると、認証処理部102はIdPの認証チケットを発行する。そして、ステップS203において認証処理部102はIdPの認証チケットをログイン要求元であるブラウザに送信する。
ステップS204において、ブラウザはユーザから利用する外部サービスの選択を受け付ける。例えばユーザは外部サービス一覧画面から外部サービスのリンクをクリックすることにより外部サービスの選択を行う。ブラウザはIdPの認証チケット及び外部サービス名(SP名)を指定したサービスの選択要求を認証装置21に対して行う。認証装置21は図14に示すような自動POST用HTMLをブラウザに返す。
図14は自動POST用HTMLの一例の構成図である。図14の自動POST用HTMLにはIDマッパー装置31のURL、IdPの認証チケットが含まれる。ブラウザは図14の自動POST用HTMLを読み込む。図14の自動POST用HTMLを読み込むことでブラウザはステップS205において、サービスの利用要求をIDマッパー装置31に対して行う。
なお、ステップS206〜S212の処理は図12のステップS155〜S161と同様である。そして、ステップS213、S214において、サービス提供部123はIDマッパー装置31を介して、サービスの利用要求元であるブラウザに例えばサービスのコンテンツを提供する。
図13のシーケンス図は電子機器12に搭載されたブラウザがサービス提供システム6の認証装置21を介して外部サービスシステム7にアクセスする点が図12のシーケンス図と異なっている。ブラウザはIdPの認証チケットを直接、外部サービスシステム7へのリクエストに渡すことができない。そこで、図13のシーケンス図では外部サービスを起動するためのリンク等を用意する。リンクがクリックされると、ブラウザはサービス提供システム6に外部サービスの選択要求を飛ばす。そして、サービス提供システム6は自動POST用HTML(ページのロードが完了したらJavaScript(登録商標)でFORMのsubmitを行う)をブラウザに応答している。
《API仕様》
サービス提供システム6は図15に示すようなAPI(Application Programming Interface)を提供する。図15はログイン要求を受け付けるAPIの一例を説明するための図である。図15はログイン要求を受け付けるAPIのリクエスト例とレスポンス例とを示している。ログイン要求を受け付けるAPIのリクエスト例にはサービス提供システム6のテナントID、ユーザID及びパスワードが指定される。また、ログイン要求を受け付けるAPIのレスポンス例にはIdPの認証チケットが含まれる。
サービス提供システム6は図15に示すようなAPI(Application Programming Interface)を提供する。図15はログイン要求を受け付けるAPIの一例を説明するための図である。図15はログイン要求を受け付けるAPIのリクエスト例とレスポンス例とを示している。ログイン要求を受け付けるAPIのリクエスト例にはサービス提供システム6のテナントID、ユーザID及びパスワードが指定される。また、ログイン要求を受け付けるAPIのレスポンス例にはIdPの認証チケットが含まれる。
なお、図15のログイン要求を受け付けるAPIは一例であって、ICカード等によるログイン要求を受け付けるAPIやパスワード無しのログイン要求を受け付けるAPIであってもよい。
また、サービス提供システム6は図16に示すようなAPIを提供する。図16は認証チケットの検証要求を受け付けるAPIの一例を説明するための図である。例えば図16は認証チケットの検証要求を受け付けるAPIのリクエスト例とレスポンス例とを示している。
認証チケットの検証要求を受け付けるAPIのリクエスト例にはIdPの認証チケットが含まれる。認証チケットの検証要求を受け付けるAPIのレスポンス例にはIdPの認証チケットに対応するユーザ情報であるサービス提供システム6のテナントID、ユーザIDが含まれる。このように、認証チケットの検証要求を受け付けるAPIはIdPの認証チケットに対応するユーザ情報を返すものである。
なお、本実施形態の情報処理システム1では外部サービス提供装置32にIdPの認証チケットを受け取ってSPの認証チケットを発行する機能(IdP認証モジュール)を実装する。IdPの認証チケットは例えば図17に示すようなHTTPヘッダに含ませて受信できる。
IdP認証モジュールの機能はリバースプロキシやHTTPサーバのモジュールとして実装することもできる。IdP認証モジュールは受信したHTTPリクエストのヘッダを解析してアプリケーションのCookieが含まれている場合、アプリケーションのリクエスト処理部(アプリケーションサーバなど)にリクエストを転送する。
HTTPリクエストにアプリケーションのCookieが含まれておらず、IdPの認証チケットを含んでいた場合にはHTTPクライアントを使ってサービス提供システム6の/userにGETリクエストを送信する。IdP認証モジュールはレスポンスとして受信したテナントID、ユーザIDをキーに情報対応付けテーブルを検索し、アプリケーションにおけるユーザを特定する。
IdP認証モジュールはアプリケーションの認証処理部121に対して特定したユーザの認証チケット(Cookie)発行を依頼し、発行された認証チケットをリクエストに追加した上でサービス提供部123にリクエストを転送する。なお、HTTPリクエストにアプリケーションのCookieもIdPの認証チケットも含まれていない場合、IdP認証モジュールはログイン画面にリダイレクトさせる。
《SDKによるIDマッパー装置の構成例》
図18はSDKによるIDマッパー装置の一例の構成図である。図18に示されたIDマッパー装置31はSDK201と、SPのチケット発行要求部202と、設定ファイル203と、を有する。SDK201は、認証連携ロジック221、DB(データベース)アクセス222、1つ以上のDBアダプタ223を有する。
図18はSDKによるIDマッパー装置の一例の構成図である。図18に示されたIDマッパー装置31はSDK201と、SPのチケット発行要求部202と、設定ファイル203と、を有する。SDK201は、認証連携ロジック221、DB(データベース)アクセス222、1つ以上のDBアダプタ223を有する。
なお、図18のサービスロジック211、Webアプリケーションサーバ212、DBMS213は外部サービスシステム7を構成するモジュールである。SPのチケット発行要求部202及び設定ファイル203は認証連携に必要なモジュールである。図18に示した各処理部は例えば図19のシーケンス図に示すように処理を行う。
図19は外部サービス利用処理の他の例のシーケンス図である。ステップS301において、電子機器12のMFPアプリはユーザからサービス提供システム6におけるユーザ情報を指定したログイン要求を受け付ける。MFPアプリは、サービス提供システム6におけるユーザ情報を指定したログイン要求を認証装置21に対して行い、IdPの認証チケットを受信する。
また、ステップS302において、MFPアプリはユーザから外部サービスへのログイン要求を受け付ける。MFPアプリは、IdPの認証チケットを指定したログイン要求を外部サービスシステム7のWebアプリケーションサーバ212に対して行う。
Webアプリケーションサーバ212は、IdPの認証チケットを指定したログイン要求をIDマッパー装置31の認証連携ロジック221に対して行う。ステップS304において、IDマッパー装置31の認証連携ロジック221はIdPの認証チケットの検証を認証装置21に要求する。認証装置21の認証処理部102は検証を要求されたIdPの認証チケットの検証を行い、IdPの認証チケットが有効な場合に、そのIdPの認証チケットに対応するテナントID、ユーザIDを検証要求元であるIDマッパー装置31に返す。
ステップS305において、IDマッパー装置31の認証連携ロジック221はIdPの認証チケットに対応するテナントID、ユーザIDでSPのユーザを検索する処理をDBアクセス222に要求する。
ステップS306において、DBアクセス222は設定ファイル203により選択されるDBアダプタ223に、IdPの認証チケットに対応するテナントID、ユーザIDでSPのユーザを検索する処理を要求する。ステップS307において、DBアダプタ223はIdPの認証チケットに対応するテナントID、ユーザIDでDBMS213を検索する。
DBアダプタ223がDBMS213から検索した外部サービスシステム7のユーザIDは認証連携ロジック221に返される。ステップS308において、認証連携ロジック221は外部サービスシステム7のユーザIDを指定した認証チケットの発行要求をSPのチケット発行要求部202に対して行う。また、ステップS309において、チケット発行要求部202は外部サービスシステム7のユーザIDを指定した認証チケットの発行要求をサービスロジック211に対して行う。
ステップS310において、サービスロジック211は、指定された外部サービスシステム7のユーザIDに対応したSPの認証チケットを発行する。発行されたSPの認証チケットはステップS311〜S314においてMFPアプリに送信される。
ステップS315において、MFPアプリは、受信したSPの認証チケットを利用して外部サービスシステム7のWebアプリケーションサーバ212にサービスの利用要求を行う。また、ステップS316においてWebアプリケーションサーバ212はSPの認証チケットを利用したサービスの利用要求をIDマッパー装置31の認証連携ロジック221に対して行う。
認証連携ロジック221はSPの認証チケットを利用したサービスの利用要求を受信した場合、その利用要求をサービスロジック211に転送する。サービスロジック211は有効なSPの認証チケットであることを確認できれば、MFPアプリに外部サービスを提供するための処理を行う。
[第2の実施形態]
第1の実施形態に係る情報処理システム1ではIDマッパー装置31が外部サービスシステム7に配置されている。第2の実施形態に係る情報処理システム1aは図20に示すようにIDマッパー装置31aをサービス提供システム6に配置する。
[第2の実施形態]
第1の実施形態に係る情報処理システム1ではIDマッパー装置31が外部サービスシステム7に配置されている。第2の実施形態に係る情報処理システム1aは図20に示すようにIDマッパー装置31aをサービス提供システム6に配置する。
図20は本実施形態に係る情報処理システムの他の例の構成図である。図20の情報処理システム1aは図1のIDマッパー装置31がサービス提供システム6にIDマッパー装置31aとして配置されている点で図1の情報処理システム1と異なる。IDマッパー装置31aは外部サービスにログインするための認証情報を保管し、外部サービスへのログインを代行する。
図20の情報処理システム1aでは、IDマッパー装置31aへのユーザ情報の登録を例えば図21に示すように行う。図21はIDマッパー装置へのユーザ情報登録処理の他の例のシーケンス図である。
ステップS401において、ブラウザはユーザからサービス提供システム6のテナントID、ユーザID及びパスワードを指定したログイン要求を受け付け、認証装置21に対してログイン要求を行う。ステップS402において、認証装置21の認証処理部102は指定されていたサービス提供システム6のテナントID、ユーザID及びパスワードの認証を行う。認証に成功すると、認証処理部102はステップS403においてIdPの認証チケットを発行し、ログイン要求元であるブラウザに送信する。
IdPの認証チケットを受信したブラウザは例えば図22に示すようなユーザ情報設定画面からユーザによるSPのユーザ情報として、SPのユーザID(外部ユーザID)及びSPのパスワード(外部パスワード)の入力を受け付ける。図22はユーザ情報設定画面の他の例のイメージ図である。
ステップS404において、ブラウザはIdPの認証チケットを利用して、ユーザ情報設定画面に入力されたユーザ情報(SPのユーザID及びSPのパスワードを含む)の登録要求をIDマッパー装置31aに対して行う。なお、ステップS404ではブラウザがユーザ情報の登録要求をIDマッパー装置31aに対して行っているが、認証装置21を介して行うようにしてもよい。
ステップS405において、IDマッパー装置31aはIdPの認証チケットの検証を認証装置21に要求し、そのIdPの認証チケットに対応するテナントID、ユーザIDを受信する。ステップS406において、IDマッパー装置31aは外部サービスシステム7のユーザID及びパスワードを指定したログイン要求を外部サービス提供装置32に対して行う。
ステップS407において、外部サービス提供装置32は指定されていた外部サービスシステム7のユーザID及びパスワードの認証を行い、認証に成功すると、SPの認証チケットを発行してIDマッパー装置31に送信する。
ステップS408において、IDマッパー装置31は図23に示すようなユーザ情報対応付けテーブルに、IdPの認証チケットに対応するテナントID、ユーザIDと、SPのアプリID、SPのユーザID及びSPのパスワードと、を対応付けて登録する。図23はユーザ情報対応付けテーブルの他の例の構成図である。図23のユーザ情報対応付けテーブルを利用することにより、IDマッパー装置31はサービス提供システム6において認証済みのユーザの外部サービスシステム7におけるユーザID、パスワードを特定できる。
なお、図23のユーザ情報対応付けテーブルは複数の外部サービスをサポートする場合の例を表している。図23に示したユーザ情報対応付けテーブルはアプリIDにより外部サービスと対応付けてIdPのテナントID及びユーザIDと、SPのユーザID及びSPのパスワードとを保存している。また、ステップS409においてIDマッパー装置31は、ユーザ情報の登録要求に対する応答をブラウザに対して行う。
また、図20の情報処理システム1aでは、外部サービスの利用を例えば図24に示すように行う。図24は外部サービス利用処理の他の例のシーケンス図である。ステップS451において、電子機器12のMFPアプリはユーザからサービス提供システム6におけるユーザ情報を指定したログイン要求を受け付ける。MFPアプリはサービス提供システム6におけるユーザ情報を指定したログイン要求を認証装置21に対して行う。
ステップS452において、認証装置21は指定されていたサービス提供システム6におけるユーザ情報の認証を行う。認証に成功すると認証装置21はIdPの認証チケットを発行する。そして、ステップS453において認証装置21はIdPの認証チケットをログイン要求元であるMFPアプリに送信する。
また、ステップS454において、MFPアプリはユーザから外部サービスへのログイン要求を受け付ける。MFPアプリはIdPの認証チケットを指定したログイン要求をIDマッパー装置31aに対して行う。なお、ステップS454ではブラウザが外部サービスへのログイン要求をIDマッパー装置31aに対して行っているが、認証装置21を介して行うようにしてもよい。
ステップS455において、IDマッパー装置31aはIdPの認証チケットの検証を認証装置21に要求する。認証装置21は検証を要求されたIdPの認証チケットの検証を行い、IdPの認証チケットが有効な場合に、そのIdPの認証チケットに対応するテナントID、ユーザIDを検証要求元であるIDマッパー装置31aに返す。
ステップS456において、IDマッパー装置31aはIdPの認証チケットに対応するテナントID、ユーザIDで、図23に示すようなユーザ情報対応付けテーブルを検索する。
ステップS457においてIDマッパー装置31aはIdPのテナントID、ユーザIDに対応するSPのユーザID及びパスワードを特定する。ステップS458においてIDマッパー装置31aはSPのユーザID及びパスワードを指定したログイン要求を外部サービス提供装置32に対して行う。
ステップS459において、外部サービス提供装置32は指定されたSPのユーザID及びパスワードに対応したSPの認証チケットを発行する。なお、発行されたSPの認証チケットはステップS460、S461においてMFPアプリに送信される。
ステップS462において、MFPアプリは受信したSPの認証チケットを利用して外部サービス提供装置32にサービスの利用要求を行う。ステップS463において、外部サービス提供装置32はSPの認証チケットを利用したサービスの利用要求を受け付けるとSPの認証チケットを検証する。
外部サービス提供装置32は有効なSPの認証チケットであることを確認できれば外部サービスを提供するための処理を行う。ステップS465において、外部サービス提供装置32はサービスの利用要求元であるMFPアプリに例えばサービスのコンテンツを提供する。
[第3の実施形態]
第3の実施形態に係る情報処理システム1bは図25に示すようにIDマッパー装置31bをユーザシステム5、サービス提供システム6及び外部サービスシステム7以外の他のシステム8に配置する。図25は本実施形態に係る情報処理システムの他の例の構成図である。
[第3の実施形態]
第3の実施形態に係る情報処理システム1bは図25に示すようにIDマッパー装置31bをユーザシステム5、サービス提供システム6及び外部サービスシステム7以外の他のシステム8に配置する。図25は本実施形態に係る情報処理システムの他の例の構成図である。
図25の情報処理システム1bは、図1の情報処理システム1に他のシステム8が追加され、更に、IDマッパー装置31bが他のシステム8に配置されている。他のシステム8はIDマッパー装置31b、FW41がLANなどのネットワークN5を介して接続されている。ネットワークN5はFW41を介してネットワークN4に接続される。FW41は不正なアクセスを検出及び遮断する。
図25の情報処理システム1bはIDマッパー装置31bをユーザシステム5、サービス提供システム6及び外部サービスシステム7以外の他のシステム8に配置することにより第三のパートナーにIDマッパー装置31bの開発を委託できる。なお、図25の情報処理システム1bにおけるIDマッパー装置31bへのユーザ情報登録処理、外部サービス利用処理は第2の実施形態に係る情報処理システム1aと同様であるため、説明を省略する。
<まとめ>
本実施形態に係る情報処理システム1、1a、1bによれば、複数人のユーザが共用する電子機器12において、セキュリティを確保しながら外部サービスへのログインの手間を軽減できる。
本実施形態に係る情報処理システム1、1a、1bによれば、複数人のユーザが共用する電子機器12において、セキュリティを確保しながら外部サービスへのログインの手間を軽減できる。
例えば本実施形態に係る情報処理システム1、1a、1bは、端末装置11からの外部サービスの利用において外部サービスごとのログインを維持する。したがって、本実施形態に係る情報処理システム1、1a、1bは、端末装置11からの外部サービスの利用において現状を維持できる。また、本実施形態に係る情報処理システム1、1a、1bは電子機器12からの外部サービスの利用においてSSOを実現するための認証方式を簡易に実現できる。
本実施形態に係る情報処理システム1、1a、1bはIDマッパー装置31、31a及び31bを利用することで、サービス提供システム6及び外部サービスシステム7の何れにもなるべく変更を加えずに、外部サービスへのログインの手間を軽減できる。
本実施形態に係る情報処理システム1によれば、異なる認証基盤を持つサービス提供システム6及び外部サービスシステム7が、ユーザによる一度の認証処理によって認証連携処理を行うことにより、ユーザにとってのSSOを実現できる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。なお、サービス提供システム6は特許請求の範囲に記載した第一のサービス提供システムの一例である。外部サービスシステム7は第二のサービス提供システムの一例である。
ユーザ情報対応付け処理部111はユーザ情報対応付け処理手段の一例である。認証処理部102は第一の認証手段の一例である。認証チケット提供部112は利用権限情報提供手段の一例である。サービス提供部123はサービス提供手段の一例である。他のシステム8は第一のサービス提供システム及び第二のサービス提供システム以外の他のシステムの一例である。ユーザ情報設定部122はユーザ情報設定手段の一例である。
認証チケットは利用権限情報の一例である。自動POST用HTMLは電子機器に利用権限情報提供手段に接続させて認証要求又はサービス利用要求を行わせるためのデータの一例である。
1、1a、1b 情報処理システム
5 ユーザシステム
6 サービス提供システム
7 外部サービスシステム
11 端末装置
12 電子機器
13、23、33、41 ファイアウォール(FW)
21 認証装置
22 サービス提供装置
31、31a、31b IDマッパー(Mapper)装置
32 外部サービス提供装置
101 ユーザ情報管理部
102 認証処理部
111 ユーザ情報対応付け処理部
112 認証チケット提供部
121 認証処理部
122 ユーザ情報設定部
123 サービス提供部
201 SDK(Software Development Kit)
202 SPのチケット発行要求部
203 設定ファイル
211 サービスロジック
212 Webアプリケーションサーバ
213 DBMS(DataBase Management System)
221 認証連携ロジック
222 データベースアクセス
223 1つ以上のDBアダプタ
500 コンピュータ
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 RAM
505 ROM
506 CPU
507 通信I/F
508 HDD
600 複合機
601 コントローラ
602 操作パネル
603 外部I/F
603a 記録媒体
604 通信I/F
605 プリンタ
606 スキャナ
611 CPU
612 RAM
613 ROM
614 NVRAM
615 HDD
B バス
N1〜N5 ネットワーク
5 ユーザシステム
6 サービス提供システム
7 外部サービスシステム
11 端末装置
12 電子機器
13、23、33、41 ファイアウォール(FW)
21 認証装置
22 サービス提供装置
31、31a、31b IDマッパー(Mapper)装置
32 外部サービス提供装置
101 ユーザ情報管理部
102 認証処理部
111 ユーザ情報対応付け処理部
112 認証チケット提供部
121 認証処理部
122 ユーザ情報設定部
123 サービス提供部
201 SDK(Software Development Kit)
202 SPのチケット発行要求部
203 設定ファイル
211 サービスロジック
212 Webアプリケーションサーバ
213 DBMS(DataBase Management System)
221 認証連携ロジック
222 データベースアクセス
223 1つ以上のDBアダプタ
500 コンピュータ
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 RAM
505 ROM
506 CPU
507 通信I/F
508 HDD
600 複合機
601 コントローラ
602 操作パネル
603 外部I/F
603a 記録媒体
604 通信I/F
605 プリンタ
606 スキャナ
611 CPU
612 RAM
613 ROM
614 NVRAM
615 HDD
B バス
N1〜N5 ネットワーク
Claims (11)
- 図11
第一のサービス提供システムと、前記第一のサービス提供システムと認証基盤が異なる第二のサービス提供システムと、を有する情報処理システムであって、
前記第一のサービス提供システムを利用するユーザの第一のユーザ情報と、前記ユーザが前記第二のサービス提供システムを利用する場合の第二のユーザ情報と、を対応付けたユーザ情報対応付け情報を保持するユーザ情報対応付け処理手段と、
ユーザが操作する電子機器から前記第一のユーザ情報を指定した前記第一のサービス提供システムに対する認証要求を受け付け、前記第一のサービス提供システムの利用権限情報を前記電子機器に提供する第一の認証手段と、
前記電子機器から前記第一のサービス提供システムの利用権限情報を指定した前記第二のサービス提供システムに対する認証要求を受け付け、前記第一のサービス提供システムの利用権限情報及び前記ユーザ情報対応付け情報とに基づき、前記第一のユーザ情報に対応する前記第二のユーザ情報を特定し、前記第二のサービス提供システムに発行させた前記第二のサービス提供システムの利用権限情報を前記電子機器に提供する利用権限情報提供手段と、
前記電子機器から前記第二のサービス提供システムの利用権限情報を指定したサービス利用要求を受け付け、前記第二のサービス提供システムの利用権限情報が有効であれば前記電子機器にサービスを提供するサービス提供手段と、
を有することを特徴とする情報処理システム。 - 前記利用権限情報提供手段は、前記電子機器から前記第一のサービス提供システムの利用権限情報を指定した前記第二のサービス提供システムに対するサービス利用要求を受け付け、前記第一のサービス提供システムの利用権限情報及び前記ユーザ情報対応付け情報とに基づき、前記第一のユーザ情報に対応する前記第二のユーザ情報を特定し、前記第二のサービス提供システムに前記第二のユーザ情報を指定したサービス利用要求を行い、
前記サービス提供手段は、前記第二のユーザ情報を指定したサービス利用要求を受け付けると、前記第二のサービス提供システムの利用権限情報及び前記サービス利用要求に対するサービスを前記電子機器に提供すること
を特徴とする請求項1記載の情報処理システム。 - 前記利用権限情報提供手段は、前記第一のサービス提供システムの利用権限情報を指定した検証要求を前記第一の認証手段に対して行い、前記第一のサービス提供システムの利用権限情報に対応する前記第一のユーザ情報を前記第一の認証手段から取得し、前記第一のユーザ情報に対応する前記第二のユーザ情報を前記ユーザ情報対応付け情報から特定すること
を特徴とする請求項1又は2記載の情報処理システム。 - 前記ユーザ情報対応付け処理手段及び前記利用権限情報提供手段は、前記第二のサービス提供システムに設置されていること
を特徴とする請求項1乃至3何れか一項記載の情報処理システム。 - 前記ユーザ情報対応付け処理手段及び前記利用権限情報提供手段は、前記第一のサービス提供システムに設置されていること
を特徴とする請求項1乃至3何れか一項記載の情報処理システム。 - 前記ユーザ情報対応付け処理手段及び前記利用権限情報提供手段は、前記第一のサービス提供システム及び前記第二のサービス提供システム以外の他のシステムに設置されていること
を特徴とする請求項1乃至3何れか一項記載の情報処理システム。 - 前記電子機器から前記第二のサービス提供システムの利用権限情報と前記第一のユーザ情報とを指定した前記ユーザ情報対応付け情報の設定要求を受け付け、前記第一のユーザ情報と前記第二のサービス提供システムの利用権限情報に対応する前記第二のユーザ情報とを対応付けて前記ユーザ情報対応付け情報に設定するユーザ情報設定手段(122)、
を更に有する請求項1乃至6何れか一項記載の情報処理システム。 - 前記利用権限情報提供手段は、前記第一のユーザ情報に対応する前記第二のユーザ情報が前記ユーザ情報対応付け情報に設定されていなければ、前記第一のユーザ情報と前記第二のユーザ情報とを対応付けて前記ユーザ情報対応付け情報に設定する処理を前記電子機器に要求すること
を特徴とする請求項7記載の情報処理システム。 - 前記第一の認証手段は前記電子機器から前記第一のサービス提供システムの利用権限情報と前記第二のサービス提供システムとを指定した前記第二のサービス提供システムの選択要求を受け付けると、前記電子機器に前記利用権限情報提供手段に接続させて前記認証要求又は前記サービス利用要求を行わせるためのデータを前記電子機器に提供すること
を特徴とする請求項1乃至8何れか一項記載の情報処理システム。 - 前記ユーザ情報対応付け処理手段及び前記利用権限情報提供手段はSDK(Software Development Kit)により構成されること
を特徴とする請求項1乃至9何れか一項記載の情報処理システム。 - 第一のサービス提供システムと、前記第一のサービス提供システムと認証基盤が異なる第二のサービス提供システムと、を有する情報処理システムにおいて実行される認証方法であって、
前記第一のサービス提供システムを利用するユーザの第一のユーザ情報と、前記ユーザが前記第二のサービス提供システムを利用する場合の第二のユーザ情報と、を対応付けたユーザ情報対応付け情報を保持するユーザ情報対応付け処理ステップと、
ユーザが操作する電子機器から前記第一のユーザ情報を指定した前記第一のサービス提供システムに対する認証要求を受け付け、前記第一のサービス提供システムの利用権限情報を前記電子機器に提供する第一の認証ステップと、
前記電子機器から前記第一のサービス提供システムの利用権限情報を指定した前記第二のサービス提供システムに対する認証要求を受け付け、前記第一のサービス提供システムの利用権限情報及び前記ユーザ情報対応付け情報とに基づき、前記第一のユーザ情報に対応する前記第二のユーザ情報を特定し、前記第二のサービス提供システムに発行させた前記第二のサービス提供システムの利用権限情報を前記電子機器に提供する利用権限情報提供ステップと、
前記電子機器から前記第二のサービス提供システムの利用権限情報を指定したサービス利用要求を受け付け、前記第二のサービス提供システムの利用権限情報が有効であれば前記電子機器にサービスを提供するサービス提供ステップと、
を有することを特徴とする認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014166392A JP2016042327A (ja) | 2014-08-19 | 2014-08-19 | 情報処理システム及び認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014166392A JP2016042327A (ja) | 2014-08-19 | 2014-08-19 | 情報処理システム及び認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016042327A true JP2016042327A (ja) | 2016-03-31 |
Family
ID=55592039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014166392A Pending JP2016042327A (ja) | 2014-08-19 | 2014-08-19 | 情報処理システム及び認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016042327A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10789107B2 (en) | 2017-09-14 | 2020-09-29 | Ricoh Company, Ltd. | Information processing device, information processing system, and information processing method |
| US11157608B2 (en) | 2018-03-15 | 2021-10-26 | Ricoh Company, Ltd. | Information processing system allowing a target device to process an operation request using a common API |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012164191A (ja) * | 2011-02-08 | 2012-08-30 | Mitsubishi Electric Corp | 認証システム及び認証方法 |
| JP2012181662A (ja) * | 2011-03-01 | 2012-09-20 | Nomura Research Institute Ltd | アカウント情報連携システム |
| JP2013168035A (ja) * | 2012-02-15 | 2013-08-29 | Nippon Telegr & Teleph Corp <Ntt> | 認証情報変換装置及び認証情報変換方法 |
| JP2014112354A (ja) * | 2012-10-31 | 2014-06-19 | Ricoh Co Ltd | システム及びサービス提供装置 |
-
2014
- 2014-08-19 JP JP2014166392A patent/JP2016042327A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012164191A (ja) * | 2011-02-08 | 2012-08-30 | Mitsubishi Electric Corp | 認証システム及び認証方法 |
| JP2012181662A (ja) * | 2011-03-01 | 2012-09-20 | Nomura Research Institute Ltd | アカウント情報連携システム |
| JP2013168035A (ja) * | 2012-02-15 | 2013-08-29 | Nippon Telegr & Teleph Corp <Ntt> | 認証情報変換装置及び認証情報変換方法 |
| JP2014112354A (ja) * | 2012-10-31 | 2014-06-19 | Ricoh Co Ltd | システム及びサービス提供装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10789107B2 (en) | 2017-09-14 | 2020-09-29 | Ricoh Company, Ltd. | Information processing device, information processing system, and information processing method |
| US11157608B2 (en) | 2018-03-15 | 2021-10-26 | Ricoh Company, Ltd. | Information processing system allowing a target device to process an operation request using a common API |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6318940B2 (ja) | サービス提供システム、データ提供方法及びプログラム | |
| US9288213B2 (en) | System and service providing apparatus | |
| US10637845B2 (en) | Privacy-aware ID gateway | |
| JP6098169B2 (ja) | 情報処理システム、情報処理装置、プログラム及び認証方法 | |
| US20170230444A1 (en) | Cloud service server and method for managing cloud service server | |
| US9071605B2 (en) | Relay device, relay method, and non-transitory computer readable medium | |
| US9148492B2 (en) | Relay device, relay method, and non-transitory computer readable medium | |
| JP6064636B2 (ja) | 情報処理システム、情報処理装置、認証方法及びプログラム | |
| JP5743786B2 (ja) | サーバー装置、情報処理方法及びプログラム | |
| JP6248641B2 (ja) | 情報処理システム及び認証方法 | |
| JP2017033339A (ja) | サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法 | |
| JP6183035B2 (ja) | サービス提供システム、サービス提供方法及びプログラム | |
| JP5409435B2 (ja) | アクセス制御連携システム及びアクセス制御連携方法 | |
| JP2016051329A (ja) | コンテンツ管理装置及びその制御方法 | |
| US10063745B2 (en) | Information processing system, information processing apparatus, and information processing method | |
| WO2016143027A1 (ja) | 情報処理装置、機器連携認証プログラム及び機器連携認証方法 | |
| JP6303312B2 (ja) | サービス提供システム及び画像提供方法 | |
| JP2016042327A (ja) | 情報処理システム及び認証方法 | |
| JP6447766B2 (ja) | サービス提供システム、データ提供方法及びプログラム | |
| JP2017228059A (ja) | 情報処理システム及び認可方法 | |
| JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
| JP6241111B2 (ja) | サービス提供システム、情報処理システム、利用制限方法及びプログラム | |
| US20190306146A1 (en) | Coordination support system, coordination support method, and non-transitory computer-readable storage medium | |
| JP7172592B2 (ja) | 印刷処理プログラム、印刷処理方法、印刷処理装置、印刷処理システム及び印刷システム | |
| JP6299101B2 (ja) | サービス提供システム、サービス提供方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170808 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171121 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180122 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180206 |