JP2016062362A - Method for authentication service, authentication service server, and authentication service system - Google Patents
Method for authentication service, authentication service server, and authentication service system Download PDFInfo
- Publication number
- JP2016062362A JP2016062362A JP2014190469A JP2014190469A JP2016062362A JP 2016062362 A JP2016062362 A JP 2016062362A JP 2014190469 A JP2014190469 A JP 2014190469A JP 2014190469 A JP2014190469 A JP 2014190469A JP 2016062362 A JP2016062362 A JP 2016062362A
- Authority
- JP
- Japan
- Prior art keywords
- organization
- authentication
- user
- certificate
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 230000008520 organization Effects 0.000 claims abstract description 362
- 230000004044 response Effects 0.000 claims abstract description 15
- 230000008569 process Effects 0.000 claims description 21
- 238000012545 processing Methods 0.000 abstract description 18
- 238000010586 diagram Methods 0.000 description 14
- 240000000220 Panda oleosa Species 0.000 description 6
- 235000016496 Panda oleosa Nutrition 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000010365 information processing Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Abstract
Description
本発明は、認証処理技術に関する。 The present invention relates to an authentication processing technique.
近年、SSL(Secure Sockets Layer)を介したインターネットの利用の際に、認証局が発行した証明書を用いて、通信相手の正当性を認証することが行われている。 In recent years, when using the Internet via SSL (Secure Sockets Layer), the authenticity of a communication partner is authenticated using a certificate issued by a certificate authority.
保有する証明書を、認証局及び認証ポリシーに基づいて生成されたグループ毎に仕分けして保存し、認証サーバからの認証要求に応じて、認証サーバと対応付られるグループから有効な証明書を選択する技術、電子証明書の拡張領域にクライアント証明書を暗号化してサーバに送信し、サーバは電子証明書の拡張領域の個人情報含むクライアント証明書を復号してクライアントを認証する技術等が提案されている。 The certificates held are sorted and stored for each group generated based on the certificate authority and the authentication policy, and a valid certificate is selected from the group associated with the authentication server according to the authentication request from the authentication server. Technology to encrypt the client certificate in the extension area of the electronic certificate and send it to the server, and the server authenticates the client by decrypting the client certificate containing the personal information in the extension area of the electronic certificate. ing.
複数の企業と契約し、各企業のユーザの認証情報を管理するリポジトリサーバを用いて、ユーザ認証を行う認証サービスでは、ユーザ認証の際には、ユーザが属する企業のリポジトリサーバを特定して認証処理が行われる。 In an authentication service that performs user authentication using a repository server that contracts with multiple companies and manages user authentication information for each company, the user is authenticated by identifying the repository server of the company to which the user belongs. Processing is performed.
このような認証サービスでは、各ユーザを全企業間において一意に識別しなければならない。上記従来技術は、ユーザが属する組織を特定する仕組みを持たないため、ユーザが属する企業のリポジトリサーバを利用するユーザ認証であっても、ユーザが所属する企業の識別情報を入力しなければ、ユーザ認証を行えないといった問題がある。 In such an authentication service, each user must be uniquely identified among all companies. Since the above prior art does not have a mechanism for identifying the organization to which the user belongs, even if the user authentication uses the repository server of the company to which the user belongs, if the identification information of the company to which the user belongs is not input, the user There is a problem that authentication cannot be performed.
したがって、1つの側面では、本発明は、ユーザ認証時の利便性を改善することを目的とする。 Therefore, in one aspect, the present invention aims to improve convenience during user authentication.
一態様によれば、組織の組織IDに対応付けて、該組織に所属するユーザのユーザIDと、該組織に含まれる各ユーザの認証情報が管理されている該組織内の認証サーバの認証サーバ識別情報とを記憶し、前記ユーザに対する証明書の発行要求を受けると、認証局に組織IDを含めた証明書の発行要求を行って、該認証局から組織IDを含んだ証明書を受信すると、前記ユーザに受信した該証明書を発行し、前記ユーザのユーザ端末からの認証要求に応じて受信される前記証明書に含まれる組織IDに基づいて、該組織の組織内の認証サーバと接続し、該認証サーバでの認証を行う処理をコンピュータが行う認証サービス方法が提供される。 According to one aspect, the authentication server of the authentication server in the organization in which the user ID of the user belonging to the organization and the authentication information of each user included in the organization are managed in association with the organization ID of the organization When the identification information is stored and a certificate issuance request is received for the user, a certificate issuance request including the organization ID is made to the certificate authority, and a certificate including the organization ID is received from the certificate authority. And issuing the certificate received to the user and connecting to an authentication server in the organization of the organization based on an organization ID included in the certificate received in response to an authentication request from the user terminal of the user Then, there is provided an authentication service method in which a computer performs a process of performing authentication with the authentication server.
また、上記課題を解決するための手段として、認証サービスサーバ、認証サービスシステム、コンピュータに上記処理を実行させるための認証サービスプログラム、及び、その認証サービスプログラムを記憶した記憶媒体とすることもできる。 Further, as means for solving the above-described problems, an authentication service server, an authentication service system, an authentication service program for causing a computer to execute the above processing, and a storage medium storing the authentication service program can be used.
ユーザ認証時の利便性を改善するができる。 Convenience at the time of user authentication can be improved.
以下、本発明の実施の形態を図面に基づいて説明する。組織において認証機能をアウトソースする場合、ユーザ情報を外部に持ち出さずに、認証サービスを行う外部の認証サービスサーバと、企業が保持するユーザ情報を管理するリポジトリサーバとを連携させる手法がとられている。その結果、認証サービスを提供する認証サービスサーバは、複数の組織毎のリポジトリサーバと連携することになる。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. When outsourcing the authentication function in an organization, a method is adopted in which an external authentication service server that performs an authentication service and a repository server that manages user information held by a company are linked without taking out user information to the outside. Yes. As a result, an authentication service server that provides an authentication service cooperates with a repository server for each of a plurality of organizations.
また、認証に関して、エンドユーザのユーザIDは、各組織内でユニークであるが、複数の組織の各ユーザのユーザIDを管理する認証サービスサーバにおいて、ユーザIDはユニークであるとはいえない。2以上の組織において、異なるユーザであってもユーザIDが一致する場合がある。 Regarding the authentication, the end user's user ID is unique within each organization. However, in the authentication service server that manages the user ID of each user of a plurality of organizations, the user ID is not unique. In two or more organizations, user IDs may match even for different users.
そのため、認証サービスがエンドユーザの組織情報を識別して組織毎のリポジトリサーバにアクセスするには、エンドユーザにエンドユーザが所属する組織を特定する組織IDを入力させる必要がある。この場合、織内のエンドユーザは、組織のリポジトリサーバを利用しているにも関わらず、自ら、所属する組織の組織IDを入力しなければならない。 Therefore, in order for the authentication service to identify the end user's organization information and access the repository server for each organization, it is necessary for the end user to input an organization ID that identifies the organization to which the end user belongs. In this case, the end user in the organization must input the organization ID of the organization to which he belongs, despite using the organization's repository server.
或いは、認証サービスのURLを組織毎に変える等の対策が考えられる。この場合、認証サービスを利用する組織の増減毎に、認証サービスサーバに対する設定等の認証サービス管理者による処理作業が必要となる。 Alternatively, measures such as changing the URL of the authentication service for each organization can be considered. In this case, every time the number of organizations that use the authentication service increases or decreases, processing operations by the authentication service administrator such as setting for the authentication service server are required.
従って、以下に説明する実施例において、各組織のエンドユーザの認証入力に係る利便性を改善し、認証サービス管理者に作業負担とならない仕組みを提供する。 Therefore, in the embodiment described below, the convenience related to the authentication input of the end user of each organization is improved, and a mechanism that does not become a work burden on the authentication service manager is provided.
図1は、システムのネットワーク構成例を示す図である。図1の認証サービスサーバ100は、組織毎の管理者(以下、組織管理者と言う)、エンドユーザ(以下、単にユーザと言う)、認証サービス管理者がアクセスする認証サービスと、ルート証明機関4rの発行するルート証明書で電子署名された中間証明書を有する中間認証局4とを有する。認証サービスサーバ100と中間認証局4とによって、認証サービス3が組織A、・・・組織N等の複数の組織に対して提供され、認証サービス3において、各組織は認証に係るサービス提供先に相当する。
FIG. 1 is a diagram illustrating an example of a network configuration of a system. The
認証サービスサーバ100は、組織Aリポジトリサーバ8a、組織Bリポジトリサーバ8b、・・・組織Nリポジトリサーバ8n等の各組織のリポジトリサーバ8とインターネット2を介して接続される。認証サービスサーバ100は、種々のサービスを提供するサービスサーバ9に代わって、組織単位で、ユーザを認証する。組織単位とは、企業、部門等である。
The
中間認証局4及び認証サービスサーバ100は、認証サービス管理者端末5と接続され、認証サービス管理者端末5の認証サービス管理者によって管理される。中間認証局4及び認証サービスサーバ100は、個別のサーバであっても良いし、1つのサーバで実現されても良い。
The
認証サービス3を利用する各組織は、その組織の管理者の組織管理者端末61と、サービス9を利用するユーザの組織ユーザ端末62と、組織が保持する組織リポジトリサーバ8とを有する。組織リポジトリサーバ8は、各組織内の認証サーバに相当する。
Each organization that uses the
組織A〜組織Nの組織A管理者端末61a〜61n等の組織管理者端末61と、組織Nユーザ端末62a〜62n等の組織ユーザ端末62とが認証サービスサーバ100に接続される。
組織管理者端末61は、組織管理者によって利用される情報処理端末であって、インターネット2を介して、認証サービスサーバ100と接続し、組織単位の組織認証に係る処理を行う。
The
組織ユーザ端末62は、組織に所属するユーザが利用する情報処理端末である。ユーザが、サービス9を利用するためには、組織内でのユーザ認証が必要となる。ユーザが、インターネット2を介して、サービスを利用するためにサービスサーバ9にアクセスすると、サービスサーバ9に代わって、認証サービスサーバ100がユーザが所属する組織リポジトリサーバ8を用いてユーザを認証する。
The
本実施例では、ユーザが各サービスサーバ9を利用する度に、自身が所属する組織を特定する組織IDを入力することなく、ユーザ認証を可能とする。組織のユーザは認証サービスを利用することで、インターネット2上にあるサービスサーバ9を利用するための認証を、認証サービスサーバ100に統合し、シングルサインオン(SSO)を実現する。
In this embodiment, every time a user uses each
認証サービス管理者は、各組織の組織管理者からのサービス申込を受け付けて、組織リポジトリサーバ8との接続作業を行う。サービス申込は、インターネット2から組織管理者端末61を介して認証サービスサーバ100に送信されることにより電子的に行われても良い。
The authentication service manager receives a service application from the organization manager of each organization and performs a connection operation with the
図2は、認証サービスの機能構成例を示す図である。図2において、認証サービスサーバ100は、サービスポータル171と、連携サーバ172と、データベースサーバ173とを有する。
FIG. 2 is a diagram illustrating a functional configuration example of the authentication service. In FIG. 2, the
サービスポータル171は、Webサーバに相当し、組織管理者端末61、組織ユーザ端末62、認証サービス管理者端末5からの要求を受け、要求に応じた処理を行った結果を返信する。
The
連携サーバ172は、認証サービスサーバ100による中間認証局4及び組織リポジトリサーバ8との連携処理を行う。データベースサーバ173は、組織情報、管理者情報、ユーザ情報等に関する種々のデータベース等の管理処理を行う。
The
データベースサーバ173は、権限マスタ131、組織請求先情報テーブル132、加入者情報テーブル133、組織認証情報テーブル134、組織情報テーブル135、サービス情報テーブル136等を管理する。
The
権限マスタ131は、認証サービス管理者、組織管理者等の権限を記憶し管理するデータベースである。組織請求先情報テーブル132は、各組織の利用料金、請求先を記憶し管理するテーブルである。
The
加入者情報テーブル133は、組織毎に、サービスサーバ9を利用するユーザに関するユーザ登録情報を記憶し管理するテーブルである。組織認証情報テーブル134は、組織毎のリポジトリアドレス情報を記憶し管理するテーブルである。組織情報テーブル135は、組織毎の組織情報を記憶し管理するテーブルである。サービス情報テーブル136は、利用するサービスサーバ9の情報を記憶し管理するテーブルである。
The subscriber information table 133 is a table for storing and managing user registration information related to users who use the
サービスポータル171、連携サーバ172、データベースサーバ173を夫々を実現する処理部として、一つの認証サービスサーバ100で実現する構成を示しているが、夫々を個別のサーバで実現しても良い。
Although the configuration in which the
一つの認証サービスサーバ100で実現される場合には、権限マスタ131、組織請求先情報テーブル132、加入者情報テーブル133、組織認証情報テーブル134、組織情報テーブル135、サービス情報テーブル136等は、後述する認証サービスサーバ100の記憶部130に記憶される。個別のデータベースサーバ173で管理される場合には、データベースサーバ173の記憶部に記憶される。
When realized by one
組織リポジトリサーバ8は、各組織のユーザ情報を管理するサーバであり、組織から提供される。組織リポジトリサーバ8と連携サーバ172とは、インターネット2又は専用線によって接続される。
The
中間認証局4は、登録局41と、発行局42と、リポジトリ43とを有する。登録局41は、クライアント証明書発行申請を受け付け、電子証明書の申請者が提出した所有者情報を審査するRA(Registration Authority)として機能する。発行局42は、電子証明書の発行、中断、破棄等を行うIA(Issuing Authority)として機能する。
The
リポジトリ43は、電子証明書とその他の関連情報の公開を目的としたデータベースである。その他の関連情報には、証明書失効リスト(CRL:Certificate Revocation List)、認証局運用規程(CPS:Certification Practice Statement)等を含む。
The
図3は、認証サービスサーバのハードウェア構成を示す図である。図3において、認証サービスサーバ100は、コンピュータによって制御される端末であって、CPU(Central Processing Unit)11と、主記憶装置12と、補助記憶装置13と、入力装置14と、表示装置15と、通信I/F(インターフェース)17と、ドライブ装置18とを有し、バスBに接続される。
FIG. 3 is a diagram illustrating a hardware configuration of the authentication service server. In FIG. 3, the
CPU11は、主記憶装置12に格納されたプログラムに従って認証サービスサーバ100を制御する。主記憶装置12には、RAM(Random Access Memory)、ROM(Read Only Memory)等が用いられ、CPU11にて実行されるプログラム、CPU11での処理に必要なデータ、CPU11での処理にて得られたデータ等を記憶又は一時保存する。
The
補助記憶装置13には、内臓HDD(Hard Disk Drive)等が用いられ、汎用OS(Operating System)、各種処理を実行するためのプログラム等のデータを格納する。補助記憶装置13に格納されているプログラムの一部が主記憶装置12にロードされ、CPU11に実行されることによって、各種処理が実現される。記憶部130は、主記憶装置12及び/又は補助記憶装置13を有する。
The
入力装置14は、マウス、キーボード等を有し、ユーザが認証サービスサーバ100による処理に必要な各種情報を入力するために用いられる。表示装置15は、CPU11の制御のもとに必要な各種情報を表示する。
The input device 14 includes a mouse, a keyboard, and the like, and is used for a user to input various information necessary for processing by the
通信I/F17は、NIC(Network Interface Card)等を有し、インターネット2を介して外部との通信を行う。データベース又は大量の情報を格納する際は、FC(Fiber Channel)又はNIC経由で、外部ストレージ130eにアクセス可能なように構成しても良い。
The communication I /
認証サービスサーバ100によって行われる処理を実現するプログラムは、例えば、CD−ROM(Compact Disc Read-Only Memory)等の記憶媒体19によって認証サービスサーバ100に提供される。
A program for realizing the processing performed by the
ドライブ装置18は、ドライブ装置18にセットされた記憶媒体19(例えば、CD−ROM等)と認証サービスサーバ100とのインターフェースを行う。
The
また、記憶媒体19に、後述される本実施の形態に係る種々の処理を実現するプログラムを格納し、この記憶媒体19に格納されたプログラムは、ドライブ装置18を介して認証サービスサーバ100にインストールされる。インストールされたプログラムは、認証サービスサーバ100により実行可能となる。
In addition, the storage medium 19 stores a program for realizing various processes according to the present embodiment, which will be described later, and the program stored in the storage medium 19 is installed in the
尚、プログラムを格納する媒体としてCD−ROMに限定するものではなく、コンピュータが読み取り可能な媒体であればよい。コンピュータ読取可能な記憶媒体として、CD−ROMの他に、DVDディスク、USBメモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリであっても良い。 The medium for storing the program is not limited to a CD-ROM, and any medium that can be read by a computer may be used. As a computer-readable storage medium, in addition to a CD-ROM, a portable recording medium such as a DVD disk or a USB memory, or a semiconductor memory such as a flash memory may be used.
ユーザ認証に関連するテーブル間の関連について説明する。図4は、テーブル間の関連を示す図である。図4において、組織情報テーブル135は、組織毎の組織登録情報を管理するテーブルであり、一意に付与された組織IDによって、組織認証情報テーブル134、加入者情報テーブル133、サービス情報テーブル136の夫々に関連付けられる。組織登録情報については、図5で後述される。 The relationship between tables related to user authentication will be described. FIG. 4 is a diagram illustrating a relationship between tables. In FIG. 4, an organization information table 135 is a table for managing organization registration information for each organization, and each of an organization authentication information table 134, a subscriber information table 133, and a service information table 136 is assigned by a uniquely assigned organization ID. Associated with The organization registration information will be described later with reference to FIG.
組織認証情報テーブル134は、組織毎に、組織リポジトリサーバ8を特定するリポジトリアドレス情報、認証ポリシー情報を管理する。リポジトリアドレス情報は、ユーザ認証情報を問い合わせるためのURL等である。認証ポリシー情報は、組織が定めたユーザ認証方法を示す。
The organization authentication information table 134 manages repository address information and authentication policy information for specifying the
加入者情報テーブル133は、加入者ID及び組織ID毎に、組織に属するユーザの登録情報を管理する。ユーザ登録情報については、図6で後述される。サービス情報テーブル136は、組織が利用するサービスサーバ9を特定するサービスサーバ情報を管理する。サービスサーバ情報は、サービスを受けるためのURLを示す。
The subscriber information table 133 manages registration information of users belonging to the organization for each subscriber ID and organization ID. The user registration information will be described later with reference to FIG. The service information table 136 manages service server information that identifies the
次に、本実施例に係る処理に関連する組織情報テーブル135と、加入者情報テーブル133とについて説明する。 Next, the organization information table 135 and the subscriber information table 133 related to the processing according to the present embodiment will be described.
図5は、組織情報テーブルのデータ項目例を示す図である。図5において、組織情報テーブル135は、組織管理者によって組織内の組織管理者端末61から、認証サービスサーバ100へ登録された組織情報を記憶するテーブルであり、組織ID、組織名、組織名(カナ)、住所、電話番号、契約日、解約日、ステータス、作成日、更新日等の項目を有する。
FIG. 5 is a diagram illustrating an example of data items in the organization information table. In FIG. 5, the organization information table 135 is a table for storing organization information registered in the
組織IDは、組織の識別情報を示し、組織の登録時に、サービスポータル171が一意に採番する。組織IDは、組織情報テーブル135のプライマリキーとなる。組織名は、組織の名称を示す。企業である場合は、企業名が示される。組織名(カナ)は、組織名をカナ表記で示す。
The organization ID indicates organization identification information, and is uniquely assigned by the
住所は、組織の所在地を示す。電話番号は、企業の電話番号を示す。契約日は、認証サービス3の提供元と組織間とで契約が締結した日付を示す。解約日は、認証サービス3の契約を解約した日付を示す。ステータスは、契約状態を示す。契約状態には、未登録、登録中、登録済、及び解約済がある。作成日は、レコードが作成された日付を示す。更新日は、レコードが更新された日付を示す。
The address indicates the location of the organization. The telephone number indicates a company telephone number. The contract date indicates the date on which the contract is concluded between the provider of the
上述したような項目を有するレコードが、組織毎に作成され、組織管理者端末61から受信した組織の登録情報が記憶される。組織の登録後に、組織に所属し、サービスサーバ9を利用するユーザの情報(ユーザ登録情報)が、加入者情報テーブル133に登録される。
A record having the items as described above is created for each organization, and the organization registration information received from the
図6は、加入者情報テーブルのデータ項目例を示す図である。図6において、加入者情報テーブル133は、組織管理者によって組織管理者端末61から、又は、組織のユーザによって組織ユーザ端末62から、認証サービスサーバ100へ登録された加入者情報を組織毎に記憶するテーブルであり、加入者ID、氏名、氏名(カナ)、住所、電話番号、組織ID、契約日、解約日、ステータス、作成日、更新日等の項目を有する。
FIG. 6 is a diagram illustrating an example of data items in the subscriber information table. 6, the subscriber information table 133 stores, for each organization, subscriber information registered in the
加入者IDは、組織内でユーザを識別するIDを示し、認証サービスサーバ100において加入者識別用のIDとして使用される。また、加入者IDは、加入者情報テーブル133のプライマリキーとなる。
The subscriber ID indicates an ID for identifying a user in the organization, and is used as an ID for subscriber identification in the
氏名は、ユーザの姓名を示す。氏名(カナ)は、ユーザの姓名のカナ表記を示す。住所は、ユーザの住所を示すが、ユーザの所属部の所在地であっても良い。電話番号は、ユーザの連絡先を示し、ユーザが所属する部署の電話番号であっても良い。組織IDは、ユーザが所属する組織のIDを示す。組織IDにより、加入者情報テーブル133と組織情報テーブル135(図5)とが関連付けられる。 A full name shows a user's full name. The name (kana) indicates the kana notation of the user's first and last name. The address indicates the user's address, but may be the location of the user's affiliation. The telephone number indicates the contact information of the user, and may be the telephone number of the department to which the user belongs. The organization ID indicates the ID of the organization to which the user belongs. The subscriber information table 133 and the organization information table 135 (FIG. 5) are associated with each other by the organization ID.
契約日は、ユーザが認証サービス3の加入者となった日付、又は、ユーザの組織が認証サービス3の提供元とで契約が締結した日付を示す。解約日は、ユーザが加入者としての契約を解約した日付、又は、組織が認証サービス3の契約を解約した日付を示す。ステータスは、契約状態を示す。契約状態には、未登録、登録中、登録済、及び解約済がある。
The contract date indicates the date when the user became a subscriber of the
作成日は、レコードが作成された日付を示す。更新日は、レコードが更新された日付を示す。 The creation date indicates the date when the record was created. The update date indicates the date when the record was updated.
組織が認証サービス3の提供元との契約後、上述したような項目を有するレコードが、ユーザ毎に作成され、組織管理者端末61又は組織ユーザ端末62から受信したユーザの登録情報が記憶される。
After the organization contracts with the provider of the
以下に認証サービス3が行う処理を説明する。先ず、セキュアな認証サービス3を実現するために、図7に示すように、認証局の公開鍵を取得する。図7は、認証局の公開鍵を取得する処理を説明するための図である。
Hereinafter, processing performed by the
図7において、認証サービス3は、中間認証局4を介して、信頼できるルート証明機関4rによって正当な認証局として証明し、中間認証局4から認証局の公開鍵を取得することで、認証サービス3が発行するクライアント証明書の信頼性を証明する。
In FIG. 7, the
次に、各組織からの認証サービス3へのサービス申込に関するサービス申込シーケンスについて図8及び図9で説明する。図8及び図9では、組織Aがサービスを申請した場合で説明する。
Next, a service application sequence related to service application from each organization to the
図8は、サービス申込処理を説明するための図である。図8において、組織A管理者は、組織A管理者端末61aからサービス申込を認証サービスサーバ100に送信する(ステップS11)。サービス申込には、組織Aリポジトリサーバ8aのURLを含む。
FIG. 8 is a diagram for explaining the service application process. In FIG. 8, the organization A administrator transmits a service application from the organization
認証サービスサーバ100では、サービスポータル171が組織A管理者端末61aからサービス申込を受信すると、データベースサーバ173を介して組織情報テーブル135に組織Aの組織登録情報を追加し、リポジトリアドレス情報を組織認証情報テーブル134に格納する。リポジトリアドレス情報は、組織Aリポジトリサーバ8aのURLを示す。
In the
リポジトリアドレス情報で特定される組織Aリポジトリサーバ8aと認証サービスサーバ100との接続が行われる(ステップS12)。接続が完了すると、認証サービスサーバ100のサービスポータル171は、組織A管理者へサービス申込完了の通知を送信する。サービス申込完了の通知は、電子メールで行われれば良い。組織A管理者は、組織A管理者端末61aでサービス申込完了の通知を受信する。
The organization
図9は、サービス申込シーケンスを示す図である。図9において、認証サービスサーバ100のサービスポータル171は、組織A管理者端末61aからサービス申込を受信すると(ステップS21)、サービスポータル171は、サービス申込の内容をチェックして(ステップS22)、チェックしたサービス申込の内容に基づいて、データベースサーバ173を介して、組織情報テーブル135に組織情報を登録する(ステップS23)。
FIG. 9 is a diagram showing a service application sequence. In FIG. 9, when the
サービスポータル171は、組織A用の組織IDを生成し、生成した組織IDと組織情報とを組織情報テーブル135に格納し、ステータスを登録中に設定する。また、サービスポータル171は、サービス申込の内容に基づいて、組織リポジトリサーバ8のリポジトリ情報を組織認証情報テーブル134に格納し、また、組織Aが利用するサービスサーバ9のURL等のサービスサーバ情報をサービス情報テーブル136に格納する。
The
サービスポータル171は、申込受付メールを認証サービス管理者へ送信する(ステップS24)。認証サービス管理者は、認証サービス管理者端末5で申込受付メールを受信すると(ステップS25)、組織Aリポジトリとの接続作業を行う(ステップS26)。接続作業が完了すると、認証サービス管理者は、認証サービス管理者端末5から設定完了入力をサービスポータル171に対して行う(ステップS27)。
The
一方、サービスポータル171は、ステップS24にて認証サービス管理者へ申込受付メールの送信後、組織A管理者へ受付完了を送信する(ステップS28)。そして、認証サービス管理者端末5から設定完了を受信すると(ステップS29)、サービスポータル171は、組織情報テーブル135の組織Aのステータスを登録済みに変更し(ステップS30)、組織A管理者へ申込完了メールを送信する(ステップS31)。
On the other hand, the
上述したサービス申込シーケンスにより、組織Aの登録が完了する。他の組織についても同様の処理により登録が行われる。 Registration of organization A is completed by the service application sequence described above. Other organizations are registered by the same process.
次に、組織に所属するユーザの登録によるクライアント証明書発行シーケンスについて図10及び図11で説明する。図10は、クライアント証明書発行処理を説明するための図である。 Next, a client certificate issuance sequence by registration of users belonging to an organization will be described with reference to FIGS. FIG. 10 is a diagram for explaining the client certificate issuing process.
図10において、認証サービスサーバ100のサービスポータル171が、組織A管理者端末61aから組織Aのユーザの証明書発行申請を受信する(ステップS41)。組織Aのユーザの証明書発行申請には、組織ID、組織AでのユーザIDが含まれている。
In FIG. 10, the
サービスポータル171は、データベースサーバ173を介して、組織認証情報テーブル134から組織Aのリポジトリアドレス情報を取得して、組織Aリポジトリサーバ8aから、受信した組織Aのユーザの証明書発行申請で指定されているユーザのユーザ情報を取得する(ステップS42)。サービスポータル171は、組織IDと、加入者IDと、ユーザ情報を含むユーザ登録情報とをデータベースサーバ173を介して加入者情報テーブル133に新たに登録する。
The
ユーザ情報を取得すると、サービスポータル171は、連携サーバ172を介して、中間認証局4の登録局41にクライアント証明書発行申請を行う(ステップS43)。クライアント証明書発行申請には、組織IDが含まれている。
When the user information is acquired, the
中間認証局4では、登録局41が、クライアント証明書発行申請の内容に基づいて、電子証明書の申請者である組織A管理者が提供した所有者情報を審査する。所有者情報の審査後、登録局41は、発行局42にクライアント証明書の発行要求を行う。発行局42は、電子証明書であるクライアント証明書を生成し、クライアント証明書に関する情報をリポジトリ43に記憶する。クライアント証明書は、X.509証明書に準拠し、拡張領域内に組織IDが設定される。
In the
登録局41は、発行局42が生成した組織IDを含むクライアント証明書を、連携サーバ172を介して、認証サービスサーバ100のサービスポータル171に送信する(ステップS44)。
The registration authority 41 transmits a client certificate including the organization ID generated by the issuing
サービスポータル171は、認証サービス管理者に対してユーザのIDカードの発行を要求し、認証サービス管理者は、ユーザのIDカードの発行要求を認証サービス管理者端末5で受信すると、ユーザのIDカードを発行する(ステップS45)。ユーザのIDカードは、組織A管理者宛てに郵送される(ステップS46)。
The
郵送されたIDカードは、組織A内のユーザに配布され、ユーザは、IDカードを用いて認証サービス3による認証後にサービスサーバ9からサービスを受けることができる。IDカードには、組織IDがX.509証明書の拡張領域に格納されたクライアント証明書と、ユーザIDとが記憶されている。IDカードの代わりに、組織IDがX.509証明書の拡張領域に格納されたクライアント証明書と、ユーザIDとを記憶したIDデータファイルが、認証サービス3から組織Aに提供されても良い。
The mailed ID card is distributed to users in the organization A, and the user can receive a service from the
図11は、クライアント証明書発行シーケンスを示す図である。図11において、認証サービスサーバ100のサービスポータル171は、組織A管理者端末61aから、組織内のユーザのためのクライアント証明書の発行申請を受信する(ステップS51)。
FIG. 11 is a diagram showing a client certificate issuing sequence. In FIG. 11, the
サービスポータル171は、クライアント証明書の発行申請の内容をチェックし、発行申請で指定されるユーザのユーザ情報を組織Aリポジトリサーバ8aから取得する(ステップS53)。サービスポータル171は、組織Aの組織IDを用いて組織認証情報テーブル134を参照することで、リポジトリアドレス情報を取得し、組織Aリポジトリサーバ8aにアクセスできる。
The
サービスポータル171は、データベースサーバ173を介して、組織ID、発行申請書で指定されたユーザID、及び組織Aリポジトリサーバ8aから取得したユーザ情報を加入者情報テーブル133に登録して(ステップS54)、ステータスを登録中に設定する。
The
次に、サービスポータル171は、クライアント証明書発行要求を生成する(ステップS55)。サービスポータル171は、データベースサーバ173に対して、加入者情報テーブル133において、発行申請で指定されたユーザIDと一致する加入者IDのレコードから組織IDの取得を要求し、組織IDを取得する。サービスポータル171は、取得した組織IDを、X.509証明書の拡張領域に設定する。
Next, the
そして、サービスポータル171は、クライアント証明書の発行要求を、連携サーバ172を介して中間認証局4に送信する(ステップS57)。拡張領域に組織IDが設定されたX.509証明書が中間認証局4に提供される。
Then, the
中間認証局4において、登録局41は、認証サービスサーバ100からクライアント証明書の発行要求を受信すると、クライアント証明書の発行処理を行う(ステップS58)。登録局41は、発行局42に、組織Aのユーザに対するクライアント証明書の発行を要求する。
In the
発行局42は、拡張領域に組織IDが設定されたX.509証明書を用いてクライアント証明書を発行し、リポジトリ43に発行したクライアント証明書を格納して、登録局41に提供する。組織Aユーザ端末62aとでユーザの認証を行う際に使用される公開鍵が生成され、リポジトリ43に登録される。
Issuing
登録局41は、発行局42が発行した、拡張領域に組織IDが設定されユーザの公開鍵を含むクライアント証明書を含む設定完了の通知を連携サーバ172を介してサービスポータル171に提供する(ステップS59)。
The registration authority 41 provides the
一方、サービスポータル171は、中間認証局4へクライアント証明書の発行要求を行った後、組織A管理者へ受付完了の通知を行う。受付完了の通知は、電子メールで行われれば良い。組織A管理者は、組織A管理者端末62aで受付完了の通知を受信する。
On the other hand, after making a request for issuing a client certificate to the
そして、中間認証局4から設定完了の通知を受信すると(ステップS61)、データベースサーバ173を介して、加入者情報テーブル133において、発行申請で指定された組織IDと加入者IDとが一致するレコードのステータスを登録済みに変更する(ステップS62)。
When the notification of the completion of setting is received from the intermediate certificate authority 4 (step S61), a record in which the organization ID specified in the issuance application matches the subscriber ID in the subscriber information table 133 via the
その後、サービスポータル171は、認証サービス管理者に対して、クライアント証明書の送付要求を行う(ステップS63)。クライアント証明書の送付要求は、電子メールで行えば良い。電子メールには、クライアント証明書が添付される。
Thereafter, the
サービス管理者は、認証サービス管理者端末5でクライアント証明書の送付要求を受信して(ステップS64)、クライアント証明書を取得する。サービス管理者は、組織IDがX.509証明書の拡張領域に格納されたクライアント証明書と、ユーザIDとを格納したIDカードを作成して、組織A管理者に送付する(ステップS65)。組織IDがX.509証明書の拡張領域に格納されたクライアント証明書と、ユーザIDとを記憶したIDデータファイルが、認証サービス3から組織Aに提供されても良い。
The service manager receives the client certificate sending request at the authentication service manager terminal 5 (step S64), and acquires the client certificate. The service administrator has an organization ID X. An ID card storing the client certificate stored in the extended area of the 509 certificate and the user ID is created and sent to the organization A administrator (step S65). Organization ID is X. An ID data file storing a client certificate and a user ID stored in the extended area of the 509 certificate may be provided from the
組織Aに属するユーザは、IDカード又はIDデータファイルを用いて認証サービス3による認証後にサービスサーバ9からサービスを受けることができる。
Users belonging to the organization A can receive a service from the
図12は、クライアント証明書のフォーマットを示す図である。図12において、クライアント証明書は、X.509証明書に準拠し、署名前証明書、署名アルゴリズム、署名値の領域を有する。 FIG. 12 is a diagram showing a format of a client certificate. In FIG. It conforms to 509 certificate, and has pre-signature certificate, signature algorithm, and signature value areas.
署名前証明書の領域には、バージョン、シリアル番号、アルゴリズム識別子、発行者、有効期間、開始時刻、終了時刻、主体者、主体者公開鍵情報、アルゴリズム、主体者公開鍵、発行者ユニーク識別子、及び主体者ユニーク識別子が示され、更に、署名前証明書の領域は拡張領域69を有する。拡張領域69は、バージョン3で追加された領域であり、本実施例において利用される。
The pre-signature certificate area includes version, serial number, algorithm identifier, issuer, validity period, start time, end time, subject, subject public key information, algorithm, subject public key, issuer unique identifier, And the subject unique identifier, and the area of the pre-signature certificate has an
本実施例では、この拡張領域69に組織IDを格納することで、ユーザは、認証の度に、組織IDを入力する手間を省くことができる。また、認証サービスサーバ100では、クライアント証明書から組織IDを取得することができるため、組織リポジトリサーバ8を特定することができる。
In the present embodiment, by storing the organization ID in the extended
図13は、認証処理を説明するための図である。図13において、組織Aのユーザが組織Aユーザ端末62aから所望のサービスを受けるためにサービスサーバ9にアクセスする(ステップS71)。このサイトアクセスは、認証サービスサーバ100へとリダイレクトされる。
FIG. 13 is a diagram for explaining the authentication process. In FIG. 13, the user of the organization A accesses the
認証サービスサーバ100のサービスポータル171は、リダイレクトされたサイトアクセスに応じて、認証要求を組織Aユーザ端末62aに対して行う(ステップS72)。組織Aユーザ端末62aには、認証画面が表示され、組織Aユーザは、ユーザID及びパスワードを入力する。組織Aユーザは、従来から組織内で利用しているユーザID及びパスワードを入力すれば良い。組織Aユーザが入力したユーザID及びパスワードは、クライアント証明書で暗号化されて認証サービスサーバ100へ送信される。認証プロ後コルには、SAML(Security Assertion Markup Language) OpenID Connect等を利用することで、SSOを実現できる。
The
認証サービスサーバ100のサービスポータル171は、クライアント証明書を認証局の公開鍵で解読して、ユーザID及びパスワードを取得し、また、クライアント証明書の拡張領域から組織IDを取得する(ステップS73)。
The
ステップS73において、サービスポータル171は、組織IDを用いて、データベースサーバ173に組織認証情報テーブル134からリポジトリアドレス情報を要求する。データベースサーバ173からリポジトリアドレス情報を取得すると、サービスポータル171は、連携サーバ172を介して、組織Aリポジトリサーバ8aに組織Aユーザ端末62aから受信したユーザID及びパスワードを送信して、組織Aリポジトリサーバ8aにユーザID及びパスワードによる認証を要求する。組織Aリポジトリサーバ8aは、認証サービスサーバ100から受信したユーザID及びパスワードで認証処理を行い、その認証結果を認証サービスサーバ100へ送信する。
In step S73, the
認証サービスサーバ100のサービスポータル171は、認証結果を組織Aユーザ端末62aを介してサービスサーバ9へ送信する(ステップS75)。サービスサーバ9は、認証結果が認証成功を示す場合、サービスの利用画面を組織Aユーザ端末62aに送信し、組織Aユーザによるサービスの利用が開始される(ステップS76)。認証結果が認証失敗を示す場合、サービスサーバ9は、認証が失敗したことを組織Aユーザ端末62aに通知する。
The
図14は、認証シーケンスを示す図である。図14において、サービスサーバ9は、組織Aユーザ端末62aからのサイトアクセスを検出すると(ステップS81)、認証リダイレクト要求を組織Aユーザ端末62aに送信する(ステップS82)。認証リダイレクト要求には、リダイレクト先に認証サービスサーバ100のサービスポータル171を指定したRedirect URLが含まれている。
FIG. 14 is a diagram showing an authentication sequence. In FIG. 14, when the
組織Aユーザ端末62aでは、Redirect URLにより認証サービスサーバ100のサービスポータル171へサービスサイト9へのサイトアクセスがリダイレクトされる(ステップS83)。
In the organization
サービスポータル171は、リダイレクトに応じて、組織Aユーザ端末62aから組織Aユーザの認証情報(ユーザID及びパスワード)を取得する。組織Aユーザの認証情報は、クライアント証明書によって正当性が保証される。サービスポータル171は、セッションID、組織ID、リモートIPアドレス等のチェックを行う(ステップS84)。サービスポータル171は、クライアント証明書を認証局の公開鍵で解読することで、ユーザID及びパスワードを取得する。
The
そして、サービスポータル171は、クライアント証明書の拡張領域に設定された組織IDを指定した組織Aの認証ポリシーの取得要求をデータベースサーバ173に行う(ステップS85)。
Then, the
データベースサーバ173は、組織認証情報テーブル134において、認証ポリシーの取得要求で指定される組織IDと一致するレコードから認証ポリシー情報を取得して、サービスポータル171に送信する(ステップS86)。
The
サービスポータル171は、組織Aユーザの認証を開始し(ステップS87)、組織Aユーザ端末62aから受信したユーザID及びパスワードを指定した認証要求を組織Aリポジトリサーバ8aに送信する(ステップS88)。
The
組織Aリポジトリサーバ8aでは、認証要求に応じて、認証要求で指定されるユーザID及びパスワードを用いて認証処理を実行し(ステップS90)、その認証結果を示す認証応答をサービスポータル171に送信する(ステップS91)。サービスポータル171は、連携サーバ172を介して認証応答を受信すると、認証結果を付与してリダイレクトさせる応答を組織Aユーザ端末62aに送信する(ステップS92)。
In response to the authentication request, the organization
サービスサーバ9は、組織Aユーザ端末62aからリダイレクトされた認証結果を受信する(ステップS93)。認証結果が認証成功を示す場合、サービスサーバ9は、組織Aユーザ端末61aへ、ステップS81のサイトアクセスに対してサービス利用開始を通知する(ステップS94)。組織Aユーザ端末61aの組織Aユーザは、サービスサーバ9のサービスを利用できる。一方、認証結果が認証失敗を示す場合、サービスサーバ9は、組織Aユーザへのサービスの利用を許可しない。
The
上述では、組織Aを一例として説明したが、他の夫々の組織に対しても、同様に、組織毎の組織リポジトリサーバ8を特定でき、ユーザによる組織IDの入力を省略することができ、ユーザ認証時の利便性を改善することができる。
In the above description, the organization A has been described as an example. Similarly, the
本実施例では、組織を跨って1以上のサービスが提供されるサービス利用形態において、認証サービスサーバが、複数の組織に認証サービス3を提供し、認証の過程で、組織固有の組織内認証サーバでの認証を必要とするとき、簡単な構成で、ユーザが所属する組織を特定するための組織IDを入力する手間を省くことができる。また、組織内で認証を行っていたときと何ら変更することなく、SSOを実現可能である。
In the present embodiment, in a service usage mode in which one or more services are provided across organizations, the authentication service server provides the
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。 The present invention is not limited to the specifically disclosed embodiments, and various modifications and changes can be made without departing from the scope of the claims.
以上の実施例を含む実施形態に関し、更に以下の付記を開示する。
(付記1)
組織の組織IDに対応付けて、該組織に所属するユーザのユーザIDと、該組織に含まれる各ユーザの認証情報が管理されている該組織内の認証サーバの認証サーバ識別情報とを記憶部に記憶し、
前記ユーザに対する証明書の発行要求を受けると、認証局に組織IDを含めた証明書の発行要求を行って、該認証局から組織IDを含んだ証明書を受信すると、前記ユーザに受信した該証明書を発行し、
前記ユーザのユーザ端末からの認証要求に応じて受信される前記証明書に含まれる組織IDに基づいて、該組織の組織内の認証サーバと接続し、該認証サーバでの認証を行う
処理をコンピュータが行う認証サービス方法。
(付記2)
前記組織IDを前記証明書の標準仕様の拡張領域に設定して、前記認証局に前記発行要求を行う処理を前記コンピュータが行うことを特徴とする付記1記載の認証サービス方法。
(付記3)
前記ユーザ端末からのアクセスに対するサービスサーバによるリダイレクトによって認証要求を受信すると、該ユーザ端末に対して認証情報を要求して、前記ユーザ端末から前記組織IDを含んだ証明書と前記認証情報とを受信し、
前記証明書内の前記組織IDを用いて、前記記憶部から前記認証サーバ識別情報を取得して、前記認証サーバに前記ユーザ端末から取得した前記認証情報で前記ユーザを認証させる
処理を前記コンピュータが行うことを特徴とする付記1又は2記載の認証サービス方法。
(付記4)
前記認証サーバから前記認証結果を受信し、
前記認証結果をリダイレクトにより、前記ユーザ端末を介して、前記サービスサーバに送信する
処理を前記コンピュータが行うことを特徴とする付記3記載の認証サービス方法。
(付記5)
組織の組織IDに対応付けて、該組織に所属するユーザのユーザIDと、該組織に含まれる各ユーザの認証情報が管理されている該組織内の認証サーバの認証サーバ識別情報とを記憶する記憶部と、
前記ユーザに対する証明書の発行要求を受けると、認証局に組織IDを含めた証明書の発行要求を行って、該認証局から組織IDを含んだ証明書を受信すると、前記ユーザに受信した該証明書を発行する証明書発行部と、
前記ユーザのユーザ端末からの認証要求に応じて受信される前記証明書に含まれる組織IDに基づいて、該組織の組織内の認証サーバと接続し、該認証サーバでの認証を行うユーザ認証部と、
を有する認証サービスサーバ。
(付記6)
複数の組織の各組織に属するユーザの認証情報を管理する該組織内の認証サーバと、
前記組織に属する前記ユーザの正当性を証明する証明書を発行する認証局と、
前記ユーザを認証する認証サービスサーバとを有し、
前記認証サービスサーバは、
各組織の組織IDに対応付けて、該組織に所属するユーザのユーザIDと、該組織に含まれる各ユーザの認証情報が管理されている該組織内の認証サーバの認証サーバ識別情報とを記憶する記憶部と、
前記ユーザに対する証明書の発行要求を受けると、前記認証局に組織IDを含めた証明書の発行要求を行って、該認証局から組織IDを含んだ証明書を受信すると、前記ユーザに受信した該証明書を発行する証明書発行部と、
前記記憶部を参照することにより、前記ユーザのユーザ端末からの認証要求に応じて受信される前記証明書に含まれる組織IDに対応付けられた認証サーバと接続し、該認証サーバでの認証を行うユーザ認証部と、
を有する認証サービスシステム。
(付記7)
認証サービスサーバは、
前記複数の組織が利用する1以上のサービスサーバに代わって、前記ユーザが属する組織の組織IDに対応付けられた前記認証サーバに接続する
ことを特徴とする付記6記載の認証サービスシステム。
(付記8)
組織の組織IDに対応付けて、該組織に所属するユーザのユーザIDと、該組織に含まれる各ユーザの認証情報が管理されている該組織内の認証サーバの認証サーバ識別情報とを記憶し、
前記ユーザに対する証明書の発行要求を受けると、認証局に組織IDを含めた証明書の発行要求を行って、該認証局から組織IDを含んだ証明書を受信すると、前記ユーザに受信した該証明書を発行し、
前記ユーザのユーザ端末からの認証要求に応じて受信される前記証明書に含まれる組織IDに基づいて、該組織の組織内の認証サーバと接続し、該認証サーバでの認証を行う
処理をコンピュータに行わせる認証サービスプログラム。
The following additional notes are further disclosed with respect to the embodiment including the above examples.
(Appendix 1)
A storage unit that stores a user ID of a user belonging to the organization and authentication server identification information of an authentication server in the organization in which authentication information of each user included in the organization is managed in association with the organization ID of the organization Remember
Upon receiving a certificate issuance request for the user, a certificate issuance request including the organization ID is made to the certificate authority, and when the certificate including the organization ID is received from the certificate authority, the user receives the certificate Issue a certificate,
A process for connecting to an authentication server in the organization of the organization based on the organization ID included in the certificate received in response to an authentication request from the user terminal of the user and performing authentication by the authentication server Authentication service method performed by.
(Appendix 2)
The authentication service method according to
(Appendix 3)
When an authentication request is received by a redirect by a service server for access from the user terminal, the authentication information is requested from the user terminal, and the certificate including the organization ID and the authentication information are received from the user terminal. And
The computer uses the organization ID in the certificate to acquire the authentication server identification information from the storage unit and cause the authentication server to authenticate the user with the authentication information acquired from the user terminal. The authentication service method according to
(Appendix 4)
Receiving the authentication result from the authentication server;
The authentication service method according to
(Appendix 5)
In association with the organization ID of the organization, a user ID of a user belonging to the organization and authentication server identification information of an authentication server in the organization that manages authentication information of each user included in the organization are stored. A storage unit;
Upon receiving a certificate issuance request for the user, a certificate issuance request including the organization ID is made to the certificate authority, and when the certificate including the organization ID is received from the certificate authority, the user receives the certificate A certificate issuing unit for issuing a certificate;
Based on an organization ID included in the certificate received in response to an authentication request from the user terminal of the user, a user authentication unit that connects to an authentication server in the organization of the organization and performs authentication by the authentication server When,
An authentication service server.
(Appendix 6)
An authentication server in the organization that manages authentication information of users belonging to each of a plurality of organizations;
A certificate authority issuing a certificate certifying the legitimacy of the user belonging to the organization;
An authentication service server for authenticating the user,
The authentication service server
In association with the organization ID of each organization, a user ID of a user belonging to the organization and authentication server identification information of an authentication server in the organization in which authentication information of each user included in the organization is managed are stored A storage unit to
When a certificate issuance request is received for the user, a certificate issuance request including an organization ID is made to the certificate authority, and a certificate containing an organization ID is received from the certificate authority. A certificate issuing unit that issues the certificate;
By referring to the storage unit, an authentication server associated with the organization ID included in the certificate received in response to an authentication request from the user terminal of the user is connected, and authentication by the authentication server is performed. A user authentication unit to perform;
An authentication service system.
(Appendix 7)
The authentication service server
The authentication service system according to
(Appendix 8)
In association with the organization ID of the organization, a user ID of a user belonging to the organization and authentication server identification information of an authentication server in the organization that manages authentication information of each user included in the organization are stored. ,
Upon receiving a certificate issuance request for the user, a certificate issuance request including the organization ID is made to the certificate authority, and when the certificate including the organization ID is received from the certificate authority, the user receives the certificate Issue a certificate,
A process for connecting to an authentication server in the organization of the organization based on the organization ID included in the certificate received in response to an authentication request from the user terminal of the user and performing authentication by the authentication server Authentication service program to be performed.
2 インターネット(又は専用線)
3 認証サービス、 4 中間認証局
4r ルート証明機関、 5 認証サービス管理者端末
8 組織リポジトリサーバ、 9 サービスサーバ
11 CPU、 12 主記憶装置
13 補助記憶装置、 14 入力装置
15 表示装置、 17 通信I/F
18 ドライブ、 19 記憶媒体
41 登録局(RA)、 42 発行局(IA)
43 リポジトリ
61 組織管理者端末、 62 組織ユーザ端末
100 認証サービスサーバ
131 権限マスタ、 132 組織請求先情報テーブル
133 加入者情報テーブル、 134 組織認証情報テーブル
135 組織情報テーブル、 136 サービス情報テーブル
171 サービスポータル(Webサーバ)
172 連携サーバ、 173 データベースサーバ
2 Internet (or leased line)
3
18 drive, 19 storage medium 41 registration authority (RA), 42 issuance authority (IA)
43
172 Cooperation server, 173 Database server
Claims (5)
前記ユーザに対する証明書の発行要求を受けると、認証局に組織IDを含めた証明書の発行要求を行って、該認証局から組織IDを含んだ証明書を受信すると、前記ユーザに受信した該証明書を発行し、
前記ユーザのユーザ端末からの認証要求に応じて受信される前記証明書に含まれる組織IDに基づいて、該組織の組織内の認証サーバと接続し、該認証サーバでの認証を行う
処理をコンピュータが行う認証サービス方法。 A storage unit that stores a user ID of a user belonging to the organization and authentication server identification information of an authentication server in the organization in which authentication information of each user included in the organization is managed in association with the organization ID of the organization Remember
Upon receiving a certificate issuance request for the user, a certificate issuance request including the organization ID is made to the certificate authority, and when the certificate including the organization ID is received from the certificate authority, the user receives the certificate Issue a certificate,
A process for connecting to an authentication server in the organization of the organization based on the organization ID included in the certificate received in response to an authentication request from the user terminal of the user and performing authentication by the authentication server Authentication service method performed by.
前記証明書内の前記組織IDを用いて、前記記憶部から前記認証サーバ識別情報を取得して、前記認証サーバに前記ユーザ端末から取得した前記認証情報で前記ユーザを認証させる
処理を前記コンピュータが行うことを特徴とする請求項1又は2記載の認証サービス方法。 When an authentication request is received by a redirect by a service server for access from the user terminal, the authentication information is requested from the user terminal, and the certificate including the organization ID and the authentication information are received from the user terminal. And
The computer uses the organization ID in the certificate to acquire the authentication server identification information from the storage unit and cause the authentication server to authenticate the user with the authentication information acquired from the user terminal. The authentication service method according to claim 1, wherein the authentication service method is performed.
前記ユーザに対する証明書の発行要求を受けると、認証局に組織IDを含めた証明書の発行要求を行って、該認証局から組織IDを含んだ証明書を受信すると、前記ユーザに受信した該証明書を発行する証明書発行部と、
前記ユーザのユーザ端末からの認証要求に応じて受信される前記証明書に含まれる組織IDに基づいて、該組織の組織内の認証サーバと接続し、該認証サーバでの認証を行うユーザ認証部と、
を有する認証サービスサーバ。 In association with the organization ID of the organization, a user ID of a user belonging to the organization and authentication server identification information of an authentication server in the organization that manages authentication information of each user included in the organization are stored. A storage unit;
Upon receiving a certificate issuance request for the user, a certificate issuance request including the organization ID is made to the certificate authority, and when the certificate including the organization ID is received from the certificate authority, the user receives the certificate A certificate issuing unit for issuing a certificate;
Based on an organization ID included in the certificate received in response to an authentication request from the user terminal of the user, a user authentication unit that connects to an authentication server in the organization of the organization and performs authentication by the authentication server When,
An authentication service server.
前記組織に属する前記ユーザの正当性を証明する証明書を発行する認証局と、
前記ユーザを認証する認証サービスサーバとを有し、
前記認証サービスサーバは、
各組織の組織IDに対応付けて、該組織に所属するユーザのユーザIDと、該組織に含まれる各ユーザの認証情報が管理されている該組織内の認証サーバの認証サーバ識別情報とを記憶する記憶部と、
前記ユーザに対する証明書の発行要求を受けると、前記認証局に組織IDを含めた証明書の発行要求を行って、該認証局から組織IDを含んだ証明書を受信すると、前記ユーザに受信した該証明書を発行する証明書発行部と、
前記記憶部を参照することにより、前記ユーザのユーザ端末からの認証要求に応じて受信される前記証明書に含まれる組織IDに対応付けられた認証サーバと接続し、該認証サーバでの認証を行うユーザ認証部と、
を有する認証サービスシステム。 An authentication server in the organization that manages authentication information of users belonging to each of a plurality of organizations;
A certificate authority issuing a certificate certifying the legitimacy of the user belonging to the organization;
An authentication service server for authenticating the user,
The authentication service server
In association with the organization ID of each organization, a user ID of a user belonging to the organization and authentication server identification information of an authentication server in the organization in which authentication information of each user included in the organization is managed are stored A storage unit
When a certificate issuance request is received for the user, a certificate issuance request including an organization ID is made to the certificate authority, and a certificate containing an organization ID is received from the certificate authority. A certificate issuing unit that issues the certificate;
By referring to the storage unit, an authentication server associated with the organization ID included in the certificate received in response to an authentication request from the user terminal of the user is connected, and authentication by the authentication server is performed. A user authentication unit to perform;
An authentication service system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014190469A JP6319006B2 (en) | 2014-09-18 | 2014-09-18 | Authentication service method, authentication service server, and authentication service system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014190469A JP6319006B2 (en) | 2014-09-18 | 2014-09-18 | Authentication service method, authentication service server, and authentication service system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016062362A true JP2016062362A (en) | 2016-04-25 |
| JP6319006B2 JP6319006B2 (en) | 2018-05-09 |
Family
ID=55797893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014190469A Expired - Fee Related JP6319006B2 (en) | 2014-09-18 | 2014-09-18 | Authentication service method, authentication service server, and authentication service system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6319006B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017220743A (en) * | 2016-06-06 | 2017-12-14 | 富士ゼロックス株式会社 | Information processing system, information processing apparatus and information processing program |
| JP2018022307A (en) * | 2016-08-03 | 2018-02-08 | 富士通株式会社 | Connection management unit, connection management method and connection management program |
| CN111989892A (en) * | 2018-04-09 | 2020-11-24 | 三菱电机株式会社 | Authentication system and authentication program |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003105002A1 (en) * | 2002-06-11 | 2003-12-18 | 株式会社帝国データバンク | General-purpose autentication system in organization |
| JP2010152619A (en) * | 2008-12-25 | 2010-07-08 | Nippon Telegr & Teleph Corp <Ntt> | Method for presenting authentication server, system, apparatus and program for providing service |
| JP2012168795A (en) * | 2011-02-15 | 2012-09-06 | Canon Inc | Information processing system, control method for information processing device, and program therefor |
-
2014
- 2014-09-18 JP JP2014190469A patent/JP6319006B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003105002A1 (en) * | 2002-06-11 | 2003-12-18 | 株式会社帝国データバンク | General-purpose autentication system in organization |
| JP2010152619A (en) * | 2008-12-25 | 2010-07-08 | Nippon Telegr & Teleph Corp <Ntt> | Method for presenting authentication server, system, apparatus and program for providing service |
| JP2012168795A (en) * | 2011-02-15 | 2012-09-06 | Canon Inc | Information processing system, control method for information processing device, and program therefor |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017220743A (en) * | 2016-06-06 | 2017-12-14 | 富士ゼロックス株式会社 | Information processing system, information processing apparatus and information processing program |
| JP2018022307A (en) * | 2016-08-03 | 2018-02-08 | 富士通株式会社 | Connection management unit, connection management method and connection management program |
| CN111989892A (en) * | 2018-04-09 | 2020-11-24 | 三菱电机株式会社 | Authentication system and authentication program |
| CN111989892B (en) * | 2018-04-09 | 2023-07-18 | 三菱电机株式会社 | Authentication system and computer-readable recording medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6319006B2 (en) | 2018-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924358B2 (en) | Method for issuing digital certificate, digital certificate issuing center, and medium | |
| US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
| US7844816B2 (en) | Relying party trust anchor based public key technology framework | |
| JP4128610B1 (en) | Server certificate issuing system | |
| JP4252620B1 (en) | Server certificate issuing system | |
| US6715073B1 (en) | Secure server using public key registration and methods of operation | |
| US9172541B2 (en) | System and method for pool-based identity generation and use for service access | |
| JP4494521B2 (en) | Server certificate issuing system | |
| EP3375161A1 (en) | Single sign-on identity management between local and remote systems | |
| EP2702744B1 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud system | |
| WO2014164034A1 (en) | Online personalization update system for externally acquired keys | |
| US10263789B1 (en) | Auto-generation of security certificate | |
| JP2017033339A (en) | Service provision system, information processing device, program and service use information creation method | |
| US9178869B2 (en) | Locating network resources for an entity based on its digital certificate | |
| JP6319006B2 (en) | Authentication service method, authentication service server, and authentication service system | |
| CN114760070A (en) | Digital certificate issuing method, digital certificate issuing center and readable storage medium | |
| JP6240102B2 (en) | Authentication system, authentication key management device, authentication key management method, and authentication key management program | |
| JP2012181662A (en) | Account information cooperation system | |
| JP2001202332A (en) | Authentication program managing system | |
| JP5290863B2 (en) | Terminal server, thin client system, and computer resource allocation method | |
| JP2015192377A (en) | Method, system and program for key transmission | |
| JP2017152877A (en) | Electronic key re-registration system, electronic key re-registration method, and program | |
| KR20100067445A (en) | System and method of user and device integrated authentication | |
| JP2023123792A (en) | Information communication method and information communication system | |
| CN116894236A (en) | Authority distribution method and device, processor and electronic equipment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170605 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180226 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180306 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180319 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6319006 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |