JP2016152042A - Information processing device, and authentication processing method and program in the same - Google Patents

Information processing device, and authentication processing method and program in the same Download PDF

Info

Publication number
JP2016152042A
JP2016152042A JP2015044036A JP2015044036A JP2016152042A JP 2016152042 A JP2016152042 A JP 2016152042A JP 2015044036 A JP2015044036 A JP 2015044036A JP 2015044036 A JP2015044036 A JP 2015044036A JP 2016152042 A JP2016152042 A JP 2016152042A
Authority
JP
Japan
Prior art keywords
information
authentication
processing apparatus
information processing
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015044036A
Other languages
Japanese (ja)
Inventor
吉田 晋
Susumu Yoshida
晋 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CONNECTONE CO Ltd
Original Assignee
CONNECTONE CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CONNECTONE CO Ltd filed Critical CONNECTONE CO Ltd
Priority to JP2015044036A priority Critical patent/JP2016152042A/en
Publication of JP2016152042A publication Critical patent/JP2016152042A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

PROBLEM TO BE SOLVED: To facilitate management while achieving the function of a signal signature.SOLUTION: In an information processing device 1, such as a portable terminal, a personal computer, or the like, a secure browser program is installed, success/failure authentication to a primary server 2p that is mainly used is managed according to the secure browser program. When the authentication is successful, an automatic log-in by auto-complete to another authentication web server is caused to be available, and if authentication of the primary server 2p fails the prescribed number of times, setting data for automatic log-in is initialized.SELECTED DRAWING: Figure 1

Description

本発明は、情報処理装置、それにおける認証処理方法、及びプログラムに関する。  The present invention relates to an information processing apparatus, an authentication processing method therefor, and a program.

一つの代表したアカウントとパスワードによって複数のサーバにおける認証を行うシステム(シングルサインオンシステム)が知られている。具体的に、複数の認証付きWebサーバ(以下「認証Webサーバ」と呼ぶ)に対応した従来のシングルサインオンシステムの場合、シングルサインオン管理サーバが、代表となるアカウントとパスワードを保持し、認証代行すべき認証Webサーバのアカウントやパスワードなどの認証情報はこの代表となる認証情報に紐付けて管理されていた。  A system (single sign-on system) that performs authentication in a plurality of servers with one representative account and password is known. Specifically, in the case of a conventional single sign-on system compatible with a plurality of authenticated web servers (hereinafter referred to as “authenticated web servers”), the single sign-on management server holds a representative account and password and authenticates. Authentication information such as an account and password of an authentication Web server to be substituted is managed in association with this representative authentication information.

このため企業等がシングルサインオンシステムを導入するときには、複数の既存の認証Webサーバのアカウント情報に加えて新たにシングルサインオンシステム自体のアカウント情報を用意し、管理することとしていた。  For this reason, when a company or the like introduces a single sign-on system, account information of the single sign-on system itself is newly prepared and managed in addition to account information of a plurality of existing authentication Web servers.

特許文献1には、複数の既存認証Webサーバのアカウントとシングルサインオン管理サーバの主となるアカウントを連携管理する技術が開示されている。  Japanese Patent Application Laid-Open No. 2004-133867 discloses a technique for managing a plurality of existing authentication Web server accounts and a main account of a single sign-on management server in a linked manner.

特開2013−250875公報JP2013-250875A

このように従来のシングルサインオンシステムは、新たに全ユーザ分のシングルサインオンシステム用のアカウントを用意し、運用管理しなくてはならなかった。また、シングルサインオンシステムのアカウントのデータが漏洩すると、関連する既存の認証Webサーバへのハッキングの危険性が高まるため、そのセキュリティ管理もより厳重にしなければならず、管理負荷が増大することとなっていた。  As described above, the conventional single sign-on system has to prepare and manage the accounts for the single sign-on system for all users. In addition, if the account data of the single sign-on system is leaked, the risk of hacking into the related existing authentication Web server increases, so that security management must be tightened and the management load increases. It was.

本発明は上記実情に鑑みて為されたもので、従来のシングルサインオンシステムと同等の機能を実現しながら、管理負荷を軽減できる情報処理装置、それにおける認証処理方法、及びプログラムを提供することを、その目的の一つとする。  The present invention has been made in view of the above circumstances, and provides an information processing apparatus capable of reducing the management load while realizing the same function as a conventional single sign-on system, and an authentication processing method and program therefor Is one of its purposes.

上記従来例の問題点を解決するための本発明は、情報処理装置であって、予め定められた認証ウェブサーバであるプライマリサーバにアクセスして当該プライマリサーバにおける認証の成否を判断する手段と、前記プライマリサーバでの認証の成否を管理し、当該成否に基づいてプライマリサーバ以外の、認証を要するウェブサーバとの間での情報送受態様を変更する手段と、を含むこととしたもものである。  The present invention for solving the problems of the above-described conventional example is an information processing apparatus, which accesses a primary server that is a predetermined authentication web server and determines the success or failure of authentication in the primary server; Means for managing the success or failure of authentication at the primary server, and changing the information transmission / reception mode with a web server that requires authentication based on the success or failure. .

本発明によると、従来のシングルサインオンシステムと同等の機能を実現しながら、管理負荷を軽減できる。  According to the present invention, the management load can be reduced while realizing a function equivalent to that of a conventional single sign-on system.

本発明の実施の形態に係る情報処理装置の構成例、及び接続例を表すブロック図である。  It is a block diagram showing the example of a structure of the information processing apparatus which concerns on embodiment of this invention, and a connection example. 本発明の実施の形態に係る情報処理装置が保持する設定データの例を表す説明図である。  It is explanatory drawing showing the example of the setting data which the information processing apparatus which concerns on embodiment of this invention hold | maintains. 本発明の実施の形態に係る情報処理装置の例を表す機能ブロック図である。  It is a functional block diagram showing the example of the information processing apparatus which concerns on embodiment of this invention.

本発明の実施の形態について図面を参照しながら説明する。本発明の実施の形態に係る情報処理装置1は、図1に例示するように、制御部11と、記憶部12と、操作部13と、表示部14と、通信部15とを含んで構成され、ネットワーク等の通信手段を介してウェブサーバ2a,2b…との間で通信可能に接続される。さらに、本実施の形態の一例に係る情報処理装置1は、ネットワーク等の通信手段を介してアクティベーション管理サーバ3との間で通信可能に接続されてもよい。この情報処理装置1は、パーソナルコンピュータ(PC)によって実現されてもよいし、スマートフォンやタブレット端末等の携帯端末によって実現されてもよい。  Embodiments of the present invention will be described with reference to the drawings. As illustrated in FIG. 1, the information processing apparatus 1 according to the embodiment of the present invention includes a control unit 11, a storage unit 12, an operation unit 13, a display unit 14, and a communication unit 15. Are connected to the web servers 2a, 2b,... Via a communication means such as a network. Furthermore, the information processing apparatus 1 according to an example of the present embodiment may be communicably connected to the activation management server 3 via a communication unit such as a network. The information processing apparatus 1 may be realized by a personal computer (PC) or a mobile terminal such as a smartphone or a tablet terminal.

制御部11は、CPU等のプログラム制御デバイスであり、記憶部12に格納されたプログラムに従って動作する。本実施の形態の制御部11は、情報処理装置1が例えばPCであれば、記憶部12に格納されているオペレーティングシステムや、本発明の実施の形態に係るブラウザプログラム(以下、セキュアブラウザプログラムと呼ぶ)を含む各種アプリケーションプログラムの処理を実行する。また本実施の形態の制御部11は、認証処理として、予め定められた、ユーザ認証を行うウェブサーバ2(以下、プライマリサーバと呼ぶ)との間の認証の成否状態を調べ、当該成否状態に応じた処理を行う。この制御部11による認証処理の具体的な内容は、後に詳しく述べる。  The control unit 11 is a program control device such as a CPU, and operates according to a program stored in the storage unit 12. If the information processing apparatus 1 is a PC, for example, the control unit 11 according to the present embodiment is an operating system stored in the storage unit 12 or a browser program (hereinafter referred to as a secure browser program) according to the embodiment of the present invention. The processing of various application programs including the above is executed. Moreover, the control part 11 of this Embodiment investigates the success or failure state of the authentication with the web server 2 (henceforth a primary server) which performs user authentication predetermined as an authentication process, and makes the said success or failure state Perform appropriate processing. Specific contents of the authentication process by the control unit 11 will be described in detail later.

記憶部12は、ハードディスクドライブや、フラッシュメモリ等の記憶デバイスを含んで構成される。この記憶部12は、制御部11によって実行されるプログラムを格納している。このプログラムはDVD−ROM等のコンピュータ可読かつ非一時的な記憶媒体に格納されて提供され、この記憶部12にインストールされたものであってもよい。また、このプログラムは、ネットワーク等の通信手段を介して提供され、この記憶部12にインストールされたものであってもよい。さらに本実施の形態において、この記憶部12は、制御部11のワークメモリとしても動作し、認証情報を記憶する。この認証情報の例についても後述する。  The storage unit 12 includes a storage device such as a hard disk drive or a flash memory. The storage unit 12 stores a program executed by the control unit 11. This program may be provided by being stored in a computer-readable non-transitory storage medium such as a DVD-ROM and installed in the storage unit 12. Further, this program may be provided via communication means such as a network and installed in the storage unit 12. Further, in the present embodiment, the storage unit 12 also operates as a work memory of the control unit 11 and stores authentication information. An example of this authentication information will also be described later.

操作部13は、キーボードやマウス、あるいはキーパッドないしタッチパネル等であり、ユーザの操作を受け入れて、当該操作の内容を表す情報を制御部11に出力する。表示部14は、例えば液晶ディスプレイ等であり、制御部11から入力される指示に従って、情報を表示する。  The operation unit 13 is a keyboard, a mouse, a keypad, a touch panel, or the like. The operation unit 13 receives a user operation and outputs information representing the content of the operation to the control unit 11. The display unit 14 is a liquid crystal display, for example, and displays information according to an instruction input from the control unit 11.

通信部15は、有線または無線のネットワークインタフェース等であり、制御部11から入力される指示に従って、外部の通信先との間で情報を送受する。この通信部15は、外部の通信先からネットワーク等を介して到来した、情報処理装置1宛の情報を受信して制御部11に対して出力するとともに、制御部11から入力される指示に従い、指示された宛先に対してネットワーク等を介して指示された情報を送出する。  The communication unit 15 is a wired or wireless network interface or the like, and transmits / receives information to / from an external communication destination according to an instruction input from the control unit 11. The communication unit 15 receives information output from the external communication destination and addressed to the information processing apparatus 1 to the control unit 11 and outputs the information to the control unit 11, and in accordance with an instruction input from the control unit 11. The instructed information is sent to the instructed destination via the network or the like.

ウェブサーバ2は、情報処理装置1等からURL(Uniform Resource Locators)の指定とともにウェブページや画像情報の要求を受けると、当該URLで特定されるウェブページ等の情報を送出する処理を実行している。また、このウェブサーバ2の少なくとも一部には、認証を要するウェブサーバ(認証ウェブサーバ)として動作し、ユーザ(またはユーザが使用する情報処理装置1)に対してユーザ名やパスワード等の認証情報の入力を求めるウェブページ等を送出し、ユーザが使用する情報処理装置1から送出された認証情報と、予めウェブサーバ2側で保持する認証情報とを比較して、それらが一致するまでは所定のウェブページ等の送出を行わないといったユーザ認証の処理を行う。  When the web server 2 receives a request for a web page and image information together with a URL (Uniform Resource Locator) designation from the information processing apparatus 1 or the like, the web server 2 executes a process of sending information such as the web page specified by the URL. Yes. Further, at least a part of the web server 2 operates as a web server requiring authentication (authentication web server), and authentication information such as a user name and a password for the user (or the information processing apparatus 1 used by the user) A web page or the like for requesting input is sent out, and the authentication information sent from the information processing apparatus 1 used by the user is compared with the authentication information held in advance on the web server 2 side, and until the two match, predetermined The user authentication process is performed such that the web page is not transmitted.

また、本実施の形態の情報処理装置1側では、こうした認証ウェブサーバ2の一つを予めプライマリサーバ2pとして定めておく。このプライマリサーバ2pのURL等の情報を記憶部12に予め格納しておく。なお、プライマリサーバ2pにおけるユーザ認証の方法も、アクセスしたユーザに対してユーザ名とパスワードとを入力させ、当該入力されたユーザ名とパスワードとの組が予め設定されたものに一致するか否かを判断するもので構わない。  Further, on the information processing apparatus 1 side of the present embodiment, one of such authentication web servers 2 is determined in advance as the primary server 2p. Information such as the URL of the primary server 2p is stored in the storage unit 12 in advance. Note that the user authentication method in the primary server 2p also allows the accessing user to input a user name and password, and whether or not the set of the input user name and password matches a preset one. It doesn't matter what you judge.

また、本実施の形態の情報処理装置1は、プライマリサーバ2pを特定する情報(プライマリサーバ2pのURL等の情報)に対して、プライマリサーバ2p以外の認証ウェブサーバ2を特定する情報(当該ウェブサーバのホームページのURLでよい)の一覧を記憶部12に格納している(図2)。またこの一覧に含まれる、認証ウェブサーバ2を特定する情報のそれぞれには、対応する認証ウェブサーバ2へ送出するべき認証情報を関連付けて記憶しておく(S)。この記憶部12に格納された情報を以下、設定データと呼ぶ。なお、この認証情報としてどのような種類の情報を保持させるか(ユーザ名のみ、あるいはパスワードのみ、あるいはユーザ名及びパスワード、などの種別の情報)は、管理者が任意に設定可能としておいてもよい。情報処理装置1は、当該管理者の設定に従って、認証情報を取得して保持する。  In addition, the information processing apparatus 1 according to the present embodiment has information for identifying an authentication web server 2 other than the primary server 2p (information about the web) with respect to information for identifying the primary server 2p (information such as the URL of the primary server 2p). A list of server homepage URLs is stored in the storage unit 12 (FIG. 2). Each piece of information specifying the authentication web server 2 included in this list is associated with authentication information to be sent to the corresponding authentication web server 2 (S). The information stored in the storage unit 12 is hereinafter referred to as setting data. It should be noted that what kind of information is held as this authentication information (user name only, password only, or user name and password type information) can be arbitrarily set by the administrator. Good. The information processing apparatus 1 acquires and holds authentication information according to the setting of the administrator.

本実施の形態において制御部11は、記憶部12に格納されたセキュアブラウザプログラムを実行することにより、機能的には、図3に例示するように、ブラウザ処理部21と、ログイン試行部22と、成否管理部23と、設定データ初期化部24とを含む装置として動作する。  In the present embodiment, the control unit 11 functionally executes a secure browser program stored in the storage unit 12 to functionally display a browser processing unit 21, a login trial unit 22, as illustrated in FIG. 3. The device operates as a device including a success / failure management unit 23 and a setting data initialization unit 24.

ブラウザ処理部21は、基本的には一般的なウェブブラウザとしての処理を実行し、ユーザからURLの入力を受け入れて、当該URLにより識別されるウェブサーバから、当該URLによって識別されるウェブページの情報を取得する。そして当該ウェブページの情報(一般的にはHTMLで記述された情報や、画像データなど)に基づいて、表示用の画面情報を生成して、表示部14を制御して、当該生成した画面情報を表示出力させる。また本実施の形態において、このブラウザ処理部21は、その起動時(または起動後、ユーザから最初にURLの指定を受けたとき)に、ログイン試行部22に対して処理開始を指示する。そしてログイン試行部22から処理完了の入力があるまで待機し、処理完了の入力があったときに、一般的なウェブブラウザとしての処理を開始することとする。  The browser processing unit 21 basically executes processing as a general web browser, accepts an input of a URL from a user, and transmits a web page identified by the URL from a web server identified by the URL. Get information. Then, based on the information on the web page (generally, information described in HTML, image data, etc.), display screen information is generated and the display unit 14 is controlled to generate the generated screen information. Is displayed and output. In the present embodiment, the browser processing unit 21 instructs the login trial unit 22 to start processing when the browser processing unit 21 is activated (or when the user first specifies a URL after activation). Then, it waits until there is an input of processing completion from the login trial unit 22, and when there is an input of processing completion, processing as a general web browser is started.

このブラウザ処理部21は、ユーザから入力されたURLが、プライマリサーバ2p以外の認証ウェブサーバ2であれば、いわゆるオートコンプリートおよび自動ログインの処理を実行する。具体的にブラウザ処理部21は、ユーザから入力されたURLが、プライマリサーバ2p以外の認証ウェブサーバ2が提供するウェブページ等のURLであったときには、当該URLで識別されるウェブページの情報を取得したときに、当該ウェブページの情報内に、認証情報の入力を求める記述が含まれているか否かを調べる。この処理は、例えば属性が「password」として設定された入力欄(inputタグで識別される部分)があるか否かを調べるなど、広く知られた処理があるので、ここでの詳しい説明を省略する。  If the URL input by the user is an authentication web server 2 other than the primary server 2p, the browser processing unit 21 performs so-called autocomplete and automatic login processing. Specifically, when the URL input from the user is a URL such as a web page provided by the authentication web server 2 other than the primary server 2p, the browser processing unit 21 displays information on the web page identified by the URL. When the information is acquired, it is checked whether or not a description for inputting authentication information is included in the information on the web page. This process is a well-known process such as checking whether or not there is an input field (part identified by the input tag) whose attribute is set as “password”, so detailed description thereof is omitted here. To do.

ブラウザ処理部21は、ここで認証情報の入力を求める記述があれば、後に説明する成否管理部23により記憶部12に格納される認証の結果の情報を参照する。そして当該認証の結果の情報が、認証に失敗した旨の情報であるときには、ブラウザ処理部21は、
(a)オートコンプリートの処理をせず、認証情報の入力欄を空欄としたままウェブページに基づく画面の表示を行う、
(b)認証情報の入力欄を入力不能とする(disabledまたはreadonlyの属性を付加した場合と同様とするなど、セキュアブラウザプログラムの処理における、認証に関係する情報の受け入れを拒否する設定とする)、
(c)当該認証ウェブサーバ2から提供されたウェブページの表示ができない旨の表示を行う(セキュアブラウザプログラムの処理におけるウェブサイトへのアクセスを拒否する)
(d)ブラウザ処理部21としての動作を行うプログラムに係る処理を終了する(セキュアブラウザプログラムの処理を終了する)
のいずれかの処理を行う。なお、(d)のようにセキュアブラウザプログラムの処理を終了したときには、さらに、セキュアブラウザプログラムの処理の再度の起動を許可しないよう(例えばセキュアブラウザプログラムのモジュールの一部を削除するなどして)設定してもよい。If there is a description for requesting input of authentication information, the browser processing unit 21 refers to the authentication result information stored in the storage unit 12 by the success / failure management unit 23 described later. When the authentication result information is information indicating that the authentication has failed, the browser processing unit 21
(A) Without auto-complete processing, display the screen based on the web page while leaving the authentication information input field blank.
(B) Making the input field of authentication information unusable (set to reject acceptance of information related to authentication in the process of the secure browser program, such as the same as when a disabled or readonly attribute is added) ,
(C) Display that the web page provided from the authentication web server 2 cannot be displayed (deny access to the website in the process of the secure browser program)
(D) End processing related to the program that operates as the browser processing unit 21 (end processing of the secure browser program)
Do one of the following. When the process of the secure browser program is terminated as shown in (d), the secure browser program process is not permitted to be activated again (for example, by deleting a part of the module of the secure browser program). It may be set.

一方、後に説明する成否管理部23により記憶部12に格納される認証の結果の情報を参照したときに、当該認証の結果の情報が、認証に成功した旨の情報であったときには、ブラウザ処理部21は、ユーザから入力されたURLで特定される認証ウェブサーバ2を特定する情報に関連付けて設定データに記録されている認証情報を記憶部12から読み出す。  On the other hand, when the authentication result information stored in the storage unit 12 is referred to by the success / failure management unit 23 to be described later, the browser processing is performed when the authentication result information is information indicating that the authentication is successful. The unit 21 reads out the authentication information recorded in the setting data in association with the information specifying the authentication web server 2 specified by the URL input by the user from the storage unit 12.

そして当該読み出した認証情報をデフォルトの値として、認証情報の入力欄に含めて、上記認証ウェブサーバ2から受信したウェブページに基づく画面の表示を行う。この処理はいわゆるオートコンプリートの処理と同様のものでよい。  Then, the read authentication information is included as a default value in the authentication information input field, and a screen based on the web page received from the authentication web server 2 is displayed. This process may be the same as the so-called autocomplete process.

この場合、ユーザは、認証情報が既に入力されたウェブページを見ることとなり、そのまま認証情報を認証ウェブサーバ2へ送出する指示を行うことが可能となる(自動ログイン)。つまり本実施の形態によれば、プライマリサーバ2pへの認証が成功した時のみ、プライマリサーバ2p以外の他の認証ウェブサーバ2への自動ログインが許可される。  In this case, the user sees the web page in which the authentication information has already been input, and can issue an instruction to send the authentication information to the authentication web server 2 as it is (automatic login). That is, according to the present embodiment, automatic login to an authentication web server 2 other than the primary server 2p is permitted only when the authentication to the primary server 2p is successful.

ログイン試行部22は、ブラウザ処理部21から処理開始が指示されると、予め定められているプライマリサーバ2pへのログインを試行する。具体的にこのログイン試行部22は、記憶部12に格納されているプライマリサーバ2pのURLを読み出して、当該URLで特定されるウェブサーバ2(プライマリサーバ2p)に対して、当該読み出したURLで特定されるウェブページを要求する。  When the browser processing unit 21 gives an instruction to start processing, the login trial unit 22 tries to log in to a predetermined primary server 2p. Specifically, the login trial unit 22 reads the URL of the primary server 2p stored in the storage unit 12, and sends the URL to the web server 2 (primary server 2p) specified by the URL with the read URL. Request a specified web page.

そしてこの要求に対する応答としてプライマリサーバ2pから送信されたウェブページの情報を受信し、当該受信した情報に基づいて、ログイン試行部22が、ウェブページの画面情報(認証画面)を生成して表示部14に表示出力する。本実施の形態の一例では、ここで表示されるウェブページの画面情報には、ユーザ名とパスワードとの入力欄(認証情報の入力欄)が含まれる。  Then, the web page information transmitted from the primary server 2p is received as a response to the request, and based on the received information, the login trial unit 22 generates screen information (authentication screen) of the web page and displays it. 14 is output. In an example of the present embodiment, the screen information of the web page displayed here includes a user name and password input field (authentication information input field).

ユーザがこれらの入力欄にそれぞれユーザ名とパスワードとを入力して送信の指示を行うと、ログイン試行部22は、プライマリサーバ2pに対して当該入力されたユーザ名とパスワードとを送出する。プライマリサーバ2pでは、当該送出されたユーザ名及びパスワードの組と、事前にプライマリサーバ2p側に格納されているユーザ名とパスワードとの組とが一致するか否かを調べる。ここで情報処理装置1のログイン試行部22が送出したユーザ名及びパスワードの組と、事前にプライマリサーバ2p側に格納されているユーザ名とパスワードとの組とが一致すると判断すると、プライマリサーバ2pは、認証が成功した旨の情報を情報処理装置1に対して送出する。  When the user inputs a user name and a password in these input fields and gives a transmission instruction, the login trial unit 22 sends the input user name and password to the primary server 2p. In the primary server 2p, it is checked whether or not the set of the sent user name and password matches the set of the user name and password stored in advance on the primary server 2p side. If it is determined that the combination of the user name and password sent out by the login trial unit 22 of the information processing apparatus 1 matches the combination of the user name and password stored in advance on the primary server 2p side, the primary server 2p Sends information indicating that the authentication has succeeded to the information processing apparatus 1.

一方、情報処理装置1のログイン試行部22が送出したユーザ名及びパスワードの組と、事前にプライマリサーバ2p側に格納されているユーザ名とパスワードとの組とが一致しないと判断した場合、プライマリサーバ2pは、認証に失敗した旨の情報を情報処理装置1に対して送出する。ここで具体的に認証に失敗した旨の情報とは、再度のログインを促す、認証画面を表すウェブページの情報である。ログイン試行部22は、認証情報を送出した後に、再度、認証情報の入力欄を含むウェブページが送出されたときには、つまり、認証処理の実行結果としてプライマリサーバ2pから受信する情報に含まれるHTMLのソースコード内に予め指定された文字列(ここでは認証情報の入力欄を表すHTMLの文字列)があるときには、認証に失敗した旨の情報を受信したと判断する。具体的にpassworrd属性を含んだinputタグを表すHTML文字列等が含まれれ、パスワードフィールドが存在する場合は、ログインに失敗して再度ログインが促されていると判断できるため、プライマリサーバ2pでの認証が失敗したと判断できる。  On the other hand, if it is determined that the combination of the user name and password sent by the login trial unit 22 of the information processing apparatus 1 and the combination of the user name and password stored in advance on the primary server 2p side do not match, The server 2p sends information indicating that the authentication has failed to the information processing apparatus 1. Here, specifically, information indicating that the authentication has failed is information on a web page representing an authentication screen that prompts the user to log in again. When the login trial part 22 sends out the authentication information and then again sends out the web page including the input field of the authentication information, that is, as a result of executing the authentication process, the login trial part 22 includes the HTML included in the information received from the primary server 2p. If there is a character string specified in advance in the source code (here, an HTML character string representing an input field for authentication information), it is determined that information indicating that the authentication has failed has been received. Specifically, when an HTML character string representing an input tag including a password attribute is included and a password field exists, it can be determined that the login is failed and the login is prompted again, so the primary server 2p It can be determined that the authentication has failed.

ログイン試行部22では、プライマリサーバ2pから送出された認証の結果の情報(認証に成功した旨の情報、または認証に失敗した旨の情報)を受け入れる。ログイン試行部22は、プライマリサーバ2pから受信した認証の結果の情報を成否管理部23に出力するとともに、処理完了の情報をブラウザ処理部21に出力する。  The login trial unit 22 accepts the authentication result information (information indicating that the authentication has been successful or information indicating that the authentication has failed) sent from the primary server 2p. The login trial unit 22 outputs the authentication result information received from the primary server 2p to the success / failure management unit 23 and also outputs processing completion information to the browser processing unit 21.

成否管理部23は、ログイン試行部22から、プライマリサーバ2pにおける認証の結果の情報を受け入れて、記憶部12に保持する。成否管理部23は、ログイン試行部22から入力された認証の結果の情報が、認証に失敗した旨の情報であれば、設定データ初期化部24に対して、設定データの初期化を指示する。  The success / failure management unit 23 accepts the authentication result information in the primary server 2p from the login trial unit 22 and stores it in the storage unit 12. The success / failure management unit 23 instructs the setting data initialization unit 24 to initialize the setting data if the authentication result information input from the login trial unit 22 is information indicating that the authentication has failed. .

設定データ初期化部24は、成否管理部23から設定データの初期化の指示を受けると、記憶部12に格納されている設定データ(図2に例示した、認証ウェブサーバ2を特定する情報と認証情報との組)を削除する。  When the setting data initialization unit 24 receives an instruction to initialize the setting data from the success / failure management unit 23, the setting data initialization unit 24 stores the setting data stored in the storage unit 12 (information specifying the authentication web server 2 illustrated in FIG. 2). Delete a pair with authentication information).

なお、上記の例で、ログイン試行部22がプライマリサーバ2pにおける認証に成功したか否かを判断するにあたり、認証情報の送出後にその応答としてプライマリサーバ2pが出力した情報に含まれるHTMLのソースコード内に予め指定された文字列があるか否かを調べることとしていた。特に上記の例では、上記情報に含まれるHTMLのソースコード内に、認証情報の入力欄を表す情報(例えばpassword属性を含んだinputタグを表すHTML文字列等)がある場合に認証に失敗したと判断することとしていた。  In the above example, when the login trial unit 22 determines whether or not the authentication is successful in the primary server 2p, the HTML source code included in the information output by the primary server 2p as a response after sending the authentication information It is supposed to check whether or not there is a character string designated in advance. In particular, in the above example, authentication fails when there is information (for example, an HTML character string representing an input tag including a password attribute) indicating an input field of authentication information in the HTML source code included in the above information. It was decided to judge.

しかし本実施の形態はこの限りではない。例えばログイン試行部22は、上記情報に含まれるHTMLのソースコード内に、ログアウト用のボタンを規定するHTML文字列があれば、認証に成功したと判断することとしてもよい。  However, this embodiment is not limited to this. For example, if there is an HTML character string defining a logout button in the HTML source code included in the information, the login trial unit 22 may determine that the authentication has succeeded.

またログイン試行部22は、認証情報の送出後にプライマリサーバ2pから受信する応答の情報に含まれるHTTPレスポンスに予め指定されたコードがあるか否かにより、認証の成否を判断してもよい。具体的にはHTTPレスポンスに含まれるステータスコードが「401」(Unauthorized)等、認証を経ていないことを表すものである場合に、認証に失敗したと判断してもよい。またHTTPレスポンスに含まれるコードが「200」(OK)等、リクエストの処理に成功したことを表すもの等であるときに、認証に成功したと判断してもよい。  In addition, the login trial unit 22 may determine whether or not the authentication is successful depending on whether or not there is a code designated in advance in the HTTP response included in the response information received from the primary server 2p after sending the authentication information. Specifically, when the status code included in the HTTP response indicates that authentication has not been performed, such as “401” (Unauthorized), it may be determined that the authentication has failed. Further, when the code included in the HTTP response is “200” (OK) or the like indicating that the request has been successfully processed, it may be determined that the authentication has been successful.

さらにログイン試行部22は、認証情報の送出後にその応答としてプライマリサーバ2pが出力した情報に含まれるHTMLのソースコード内に、リダイレクトの指示が含まれ、当該リダイレクトの指示において指定されたリダイレクト先が、予め定められたリダイレクト先であるか否かによって認証の成否を判断してもよい。例えばリダイレクト先が、プライマリサーバ2pのホームページ(プライマリサーバ2pにおける認証前にアクセス可能なページ)であれば、認証に失敗したと判断してもよい。  Further, the login trial unit 22 includes a redirect instruction in the HTML source code included in the information output from the primary server 2p as a response after the authentication information is transmitted, and the redirect destination specified in the redirect instruction is The success or failure of the authentication may be determined based on whether or not the destination is a predetermined redirect destination. For example, if the redirect destination is the home page of the primary server 2p (a page accessible before authentication in the primary server 2p), it may be determined that the authentication has failed.

またログイン試行部22は、プライマリサーバ2pから受信される情報によるのではなく、例えば認証情報を送出してからプライマリサーバ2pが応答となる情報を送出するまで(プライマリサーバ2pから情報を受信するまで)の時間をログイン試行部22が測定し、当該時間が予め定めた条件を満足するか否かにより、認証の成否を判断してもよい。この例ではたとえば、予め定めた時間を超えた場合に、認証に失敗したと判断するようにする。  The login trial unit 22 does not depend on the information received from the primary server 2p, but, for example, until the primary server 2p sends out information as a response after sending the authentication information (until the information is received from the primary server 2p). ) May be measured by the login trial unit 22 and whether or not the authentication is successful may be determined based on whether or not the time satisfies a predetermined condition. In this example, for example, when a predetermined time is exceeded, it is determined that the authentication has failed.

これらのログイン試行部22の認証の成否の判断の方法は、プライマリサーバ2pが現実にどのような応答をするかに応じて選択可能としておき、プライマリサーバ2pごとに当該選択の結果を記憶しておいて、当該記憶している内容を利用して設定を行ってもよい。  The method for determining the success or failure of the authentication of the login trial unit 22 is made selectable according to how the primary server 2p actually responds, and the result of the selection is stored for each primary server 2p. In this case, the setting may be performed using the stored contents.

さらに本実施の形態の一例では、ログイン試行部22は、プライマリサーバ2pにおける認証が失敗したときに、認証失敗の回数をカウントし、当該カウント値が所定回数未満の場合には成否管理部23に対して認証の結果を出力することなく、またブラウザ処理部21に対して処理完了の情報を出力することなく、再度、プライマリサーバ2pに対するログインを試行してもよい。  Furthermore, in an example of the present embodiment, the login trial unit 22 counts the number of authentication failures when authentication in the primary server 2p fails, and if the count value is less than a predetermined number, the login management unit 23 On the other hand, the login to the primary server 2p may be attempted again without outputting the authentication result and without outputting the processing completion information to the browser processing unit 21.

またこの例では認証失敗の回数が所定回数に達した場合には、ログイン試行部22は、認証の結果の情報(認証に失敗した旨の情報)を成否管理部23に出力するとともに、処理完了の情報をブラウザ処理部21に出力する。この所定回数(しきい値)は、管理者等が任意に設定できるようになっていてもよい。  Further, in this example, when the number of authentication failures reaches a predetermined number, the login trial unit 22 outputs information on the result of authentication (information indicating that the authentication has failed) to the success / failure management unit 23 and completes the processing. Is output to the browser processing unit 21. The predetermined number of times (threshold value) may be set arbitrarily by an administrator or the like.

さらに、既に説明したように、本実施の形態の情報処理装置1では、図2に例示した設定データとして、認証ウェブサーバ2を特定する情報に関連付けて、対応する認証ウェブサーバ2へ送出するべき認証情報を記憶している。この設定データにおける認証情報は、過去、初めて(あるいは認証情報の設定時に)対応する認証ウェブサーバ2へアクセスしたときに入力した認証情報を記憶したものでよいが、例えばより高いセキュリティレベルが求められる認証ウェブサーバに対しての認証情報は、ユーザが毎回入力する形式とするほうが好ましい場合もある。  Further, as already described, in the information processing apparatus 1 of the present embodiment, the setting data illustrated in FIG. 2 should be transmitted to the corresponding authentication web server 2 in association with the information specifying the authentication web server 2. It stores authentication information. The authentication information in the setting data may be the authentication information input when the corresponding authentication web server 2 is accessed for the first time (or at the time of setting the authentication information) in the past, but may be stored at a higher security level, for example. It may be preferable that the authentication information for the authentication web server is in a format that the user inputs every time.

そこで本実施の形態の一例では、管理者が予め、認証情報を設定データに記憶しないよう制御すべき認証ウェブサーバ2を設定可能としておいてもよい。この例では、認証情報を設定データに記憶しないよう制御すべき認証ウェブサーバを特定する情報(例えばそのURL)のリストを、管理者が生成して、制限リストとして記憶部12に格納しておく。  Therefore, in an example of the present embodiment, the administrator may previously set the authentication web server 2 that should be controlled so as not to store the authentication information in the setting data. In this example, the administrator generates a list of information (for example, the URL) for specifying the authentication web server to be controlled so as not to store the authentication information in the setting data, and stores it in the storage unit 12 as a restriction list. .

その後、ある認証ウェブサーバ2に対して初めて(あるいはその認証情報の設定時に)アクセスしたときにユーザが入力した認証情報を認証ウェブサーバ2に対して送出するとともに、制限リストを参照して、当該認証ウェブサーバ2を特定する情報が制限リストに含まれているか否かを調べる。ここで制限リストに、当該認証ウェブサーバ2を特定する情報が含まれていれば、情報処理装置1は、設定データに当該認証ウェブサーバ2を特定する情報と入力された認証情報とを記憶しない。  Thereafter, the authentication information entered by the user when accessing the authentication web server 2 for the first time (or when setting the authentication information) is sent to the authentication web server 2 and the restriction list is referred to. It is checked whether or not the information specifying the authentication web server 2 is included in the restriction list. If the restriction list includes information for specifying the authentication web server 2, the information processing apparatus 1 does not store the information for specifying the authentication web server 2 and the input authentication information in the setting data. .

また制限リストに、当該認証ウェブサーバ2を特定する情報が含まれていれば、情報処理装置1は、当該認証ウェブサーバ2を特定する情報と入力された認証情報とを関連付けて設定データに追記する。  If the restriction list includes information for specifying the authentication web server 2, the information processing apparatus 1 adds the information for specifying the authentication web server 2 and the input authentication information in association with the setting data. To do.

さらに本実施の形態の一例では、設定データに含めて記憶する認証情報は暗号化されていてもよい。この場合、成否管理部23がログイン試行部22からプライマリサーバ2pにおける認証の結果の情報を受け入れたときに、当該認証の結果の情報が、認証に成功した旨の情報であるときに、当該認証情報を復号することとしてもよい。この例では例えばブラウザ処理部21がある認証ウェブサーバ2にアクセスしたときに、当該アクセスした認証ウェブサーバ2に対応する認証情報を読み出そうとしても、プライマリサーバ2pにおける認証に成功していない間は、当該認証情報が暗号化されているために用いることができなくなっている。またプライマリサーバ2pにおける認証に成功すると、当該認証情報が復号されるので、この復号後の認証情報を用いて認証ウェブサーバ2における認証の処理を行わせることが可能となる。  Furthermore, in an example of the present embodiment, the authentication information stored in the setting data may be encrypted. In this case, when the success / failure management unit 23 accepts the authentication result information in the primary server 2p from the login trial unit 22, the authentication result information is information indicating that the authentication is successful. Information may be decrypted. In this example, for example, when the browser processing unit 21 accesses a certain authentication web server 2, the authentication information corresponding to the accessed authentication web server 2 is read, but the authentication in the primary server 2 p is not successful. Cannot be used because the authentication information is encrypted. Further, when the authentication in the primary server 2p is successful, the authentication information is decrypted, so that the authentication processing in the authentication web server 2 can be performed using the decrypted authentication information.

なお、この場合、ブラウザ処理部21としての処理を終了する(ウェブブラウザを終了する)指示が為されたときには、再度、上記設定データに含まれる認証情報を暗号化する。またこの暗号化の際の暗号鍵は、プライマリサーバ2pに対するログインの際に送出するべきパスワードなどの認証情報そのものであってもよいし、また当該認証情報に関連した情報(例えばパスワードなどの認証情報を所定の方法で符号化したものなど)であってもよい。  In this case, when an instruction to end the processing as the browser processing unit 21 (end the web browser) is given, the authentication information included in the setting data is encrypted again. The encryption key for this encryption may be authentication information itself such as a password to be transmitted when logging in to the primary server 2p, or information related to the authentication information (for example, authentication information such as a password). May be encoded by a predetermined method).

また本実施の形態において、情報処理装置1は、セキュアブラウザプログラムのアクティベーションを実行してもよい。具体的には、セキュアブラウザプログラムを使用(実行)を許可するユーザに対して予めアクティベーションコード情報を告知しておくとともに、アクティベーション管理サーバ3に対して当該アクティベーションコード情報を保持させておく。本実施の形態の一例では情報処理装置1においてユーザがセキュアブラウザプログラムの実行開始の指示を行ったときなど所定のタイミングで、ユーザに対して、情報処理装置1がアクティベーションコード情報の入力を求める。ユーザがこの求めに応じて情報を入力すると、情報処理装置1は当該入力された情報をアクティベーション管理サーバ3に対して認証用情報として送出する。  In the present embodiment, the information processing apparatus 1 may execute activation of the secure browser program. Specifically, the activation code information is notified in advance to a user who is permitted to use (execute) the secure browser program, and the activation management server 3 holds the activation code information. . In an example of the present embodiment, the information processing apparatus 1 requests the user to input activation code information at a predetermined timing such as when the user gives an instruction to start execution of the secure browser program in the information processing apparatus 1. . When the user inputs information in response to this request, the information processing apparatus 1 sends the input information to the activation management server 3 as authentication information.

アクティベーション管理サーバ3は、情報処理装置1から認証用情報を受信し、当該受信した認証用情報に一致するアクティベーションコード情報を保持しているか否かを調べ、保持していればアクティベーションを許可する情報を情報処理装置1へ送出する。  The activation management server 3 receives the authentication information from the information processing apparatus 1 and checks whether or not the activation code information that matches the received authentication information is held. Information to be permitted is sent to the information processing apparatus 1.

情報処理装置1では、アクティベーションを許可する情報を受信すると、セキュアブラウザプログラムの実行を開始して、認証を要するウェブサーバ2(プライマリサーバ2pを含む)へのアクセスを可能とする。またアクティベーションを許可する情報が受信できなかったときには、セキュアブラウザプログラムの実行を行わない。  When the information processing apparatus 1 receives the information that permits activation, the information processing apparatus 1 starts execution of the secure browser program and enables access to the web server 2 (including the primary server 2p) that requires authentication. Further, when the information permitting activation cannot be received, the secure browser program is not executed.

また、アクティベーション管理サーバ3においては、ユーザが入力するアクティベーションコード情報だけでなく、ユーザが利用する情報処理装置1に係る情報を併せて用いてもよい。この場合、アクティベーション管理サーバ3では、ユーザごとに、当該ユーザに予め告知されているアクティベーションコード情報のほか、当該ユーザが使用する少なくとも一つの情報処理装置1に係る情報である、例えば情報処理装置1の機種情報やオペレーティングシステムの情報、個体識別子(情報処理装置1が携帯電話機であればその契約者固有情報等)などをアクティベーションポリシー情報として、対応するユーザのアクティベーションコード情報に関連付けて記憶しておく。  The activation management server 3 may use not only the activation code information input by the user but also information related to the information processing apparatus 1 used by the user. In this case, in the activation management server 3, for each user, in addition to the activation code information previously notified to the user, the information is information related to at least one information processing apparatus 1 used by the user. Model information of the device 1, operating system information, individual identifier (if the information processing device 1 is a mobile phone, contractor-specific information, etc.) are associated with the activation code information of the corresponding user as activation policy information. Remember.

なお、アクティベーションコード情報は、ユーザが告知された情報であれば、どのようなものであってもよく、例えばユーザ自身の社員番号や学籍番号等、ユーザが属する組織内では周知して使用されているが組織外の第三者には個人を特定することが困難な値を用いることとしてもよい。  The activation code information may be any information as long as it is announced by the user. For example, the user's own employee number or student ID number is well known and used in the organization to which the user belongs. However, a value that is difficult to identify an individual may be used for a third party outside the organization.

この例では、ユーザは当該ユーザが使用するものとして予めアクティベーション管理サーバ3に対して、その情報を保持させてある情報処理装置1を用いて、セキュアブラウザプログラムの実行開始の指示を行う。  In this example, the user instructs the activation management server 3 to start execution of the secure browser program using the information processing apparatus 1 that holds the information in advance for use by the user.

すると情報処理装置1がユーザに対してアクティベーションコード情報の入力を求める。ユーザがこの求めに応じて情報を入力すると、情報処理装置1は当該入力された情報とともに、予め定められている自己に係る情報をアクティベーション管理サーバ3に対して認証用情報として送出する。  Then, the information processing apparatus 1 requests the user to input activation code information. When the user inputs information in response to this request, the information processing apparatus 1 sends information related to the predetermined information together with the input information to the activation management server 3 as authentication information.

アクティベーション管理サーバ3は、情報処理装置1から認証用情報を受信し、当該受信した認証用情報に一致するアクティベーションコード情報を保持しているか否かを調べ、保持していれば当該アクティベーションコード情報に関連付けられたアクティベーションポリシー情報と、情報処理装置1から受信した情報処理装置1に係る情報とを比較する。そしてこれらが一致する場合には、アクティベーションを許可する情報を情報処理装置1へ送出する。  The activation management server 3 receives the authentication information from the information processing apparatus 1 and checks whether or not the activation code information matching the received authentication information is held. The activation policy information associated with the code information is compared with the information related to the information processing device 1 received from the information processing device 1. If they match, information for permitting activation is sent to the information processing apparatus 1.

情報処理装置1では、アクティベーションを許可する情報を受信すると、セキュアブラウザプログラムの実行を開始して、認証を要するウェブサーバ2(プライマリサーバ2pを含む)へのアクセスを可能とする。またアクティベーションを許可する情報が受信できなかったときには、セキュアブラウザプログラムの実行を行わない。  When the information processing apparatus 1 receives the information that permits activation, the information processing apparatus 1 starts execution of the secure browser program and enables access to the web server 2 (including the primary server 2p) that requires authentication. Further, when the information permitting activation cannot be received, the secure browser program is not executed.

このようにアクティベーション管理サーバ3はアクティベーションコード情報(社員番号など)に紐付けられた情報処理装置1に係る許可条件(アクティベーションポリシー情報)と、ユーザが操作する情報処理装置1から受信した情報とを照合し、アクティベーションの要求のあった情報処理装置1から受信した情報がアクティベーションポリシー情報と合致しているかを確認する。そして合致した場合は当該情報処理装置1におけるセキュアブラウザプログラムの実行(アクティベーション)が許可され、ユーザは当該情報処理装置1上でのセキュアブラウザプログラムの使用が許可される。  In this way, the activation management server 3 receives the permission condition (activation policy information) related to the information processing apparatus 1 associated with the activation code information (employee number, etc.) and the information processing apparatus 1 operated by the user. The information is collated, and it is confirmed whether the information received from the information processing apparatus 1 that has requested activation matches the activation policy information. If they match, execution (activation) of the secure browser program in the information processing apparatus 1 is permitted, and the user is permitted to use the secure browser program on the information processing apparatus 1.

この例によると、アクティベーション時に情報処理装置1に係る情報も用いられるため、情報処理装置1の盗難紛失時には、管理者は当該情報処理装置1に係る情報をディアクティベート(アクティベーションポリシー情報から削除するなど)することで、当該情報処理装置1でのセキュアブラウザプログラムの使用を禁止することができる。  According to this example, since information related to the information processing device 1 is also used at the time of activation, when the information processing device 1 is lost, the administrator deactivates the information related to the information processing device 1 (deletes it from the activation policy information). To use the secure browser program in the information processing apparatus 1.

またアクティベーションポリシー情報は、情報処理装置1ごとに固有な情報を用いてもよいし、複数の情報処理装置1に共通の情報を用いてもよい。また情報処理装置1に固有な情報を用いる場合、例えば製造番号の範囲等を用いてもよい。この場合、当該範囲にある製造番号の情報処理装置1を用いるユーザが対応するアクティベーションコード情報を入力した場合、当該情報処理装置1でのセキュアブラウザプログラムの利用が可能となる。  Further, as the activation policy information, information unique to each information processing apparatus 1 may be used, or information common to a plurality of information processing apparatuses 1 may be used. When information unique to the information processing apparatus 1 is used, for example, a range of serial numbers may be used. In this case, when the user using the information processing apparatus 1 having the serial number within the range inputs corresponding activation code information, the secure browser program can be used in the information processing apparatus 1.

また、アクティベーション管理サーバ3には一度にアクティベート可能な情報処理装置1の台数を制限する情報を設定しておいてもよい。この場合、情報処理装置1はセキュアブラウザプログラムの終了時には、処理の終了をアクティベーション管理サーバ3に通知するようにしておいてもよい。  The activation management server 3 may be set with information that limits the number of information processing apparatuses 1 that can be activated at one time. In this case, the information processing apparatus 1 may notify the activation management server 3 of the end of the process when the secure browser program ends.

アクティベーション管理サーバ3は、アクティベーションを許可する情報を送出するごとに、アクティベーションを許可した情報処理装置1の数をカウントするカウンタ(初期化時には「0」とする)を「1」ずつインクリメントする。また、アクティベーション管理サーバ3は、情報処理装置1から処理の終了が通知されると、上記カウンタを「1」だけデクリメントする。  The activation management server 3 increments a counter that counts the number of information processing devices 1 that are permitted to be activated (set to “0” at initialization) by “1” each time the information that permits activation is sent. To do. Further, when the activation management server 3 is notified of the end of the process from the information processing apparatus 1, the activation management server 3 decrements the counter by “1”.

アクティベーション管理サーバ3は、いずれかの情報処理装置1からアクティベーションの要求(ユーザがアクティベーションコード情報として入力した情報等)を受信したときに、このカウンタの値と、設定された一度にアクティベート可能な情報処理装置1の台数とを比較して、これらが一致しているときには、入力されたアクティベーションコード情報が正当なものであっても、アクティベーションを許可する情報を送出しない。これにより、管理者はユーザがアクティベーションできる情報処理装置1の台数の制限できる。  When the activation management server 3 receives an activation request (information entered by the user as activation code information, etc.) from any of the information processing apparatuses 1, the activation management server 3 activates the value of this counter and the set one time. When the number of possible information processing apparatuses 1 is compared and they match, the activation permission information is not transmitted even if the input activation code information is valid. As a result, the administrator can limit the number of information processing apparatuses 1 that can be activated by the user.

なお、ここでの一例では、アクティベーション管理サーバ3に対してアクティベーションコード情報等を送出するタイミングは、セキュアブラウザプログラムの実行開始時としたが、本実施の形態はこれに限らず、セキュアブラウザプログラムのインストール時としてもよい。この場合は、情報処理装置1は、インストーラの起動時にユーザに対してアクティベーションコード情報の入力を求め、上述の例と同様にしてアクティベーション管理サーバ3との通信により、アクティベーションの可否を確認することとする。  In this example, the activation code information and the like are sent to the activation management server 3 at the start of execution of the secure browser program. However, the present embodiment is not limited to this, and the secure browser It may be during program installation. In this case, the information processing apparatus 1 prompts the user for activation code information when starting the installer, and confirms whether activation is possible by communicating with the activation management server 3 in the same manner as in the above example. I decided to.

さらにアクティベーション管理サーバ3に対する情報の設定にあたっては、アクティベーションを許可する情報処理装置1の機種やオペレーティングシステムの種類やバージョン、あるいは一度にアクティベーション可能な情報処理装置1の数などを含むプリセットのアクティベーションポリシー情報を複数設定しておき、ユーザの役職、部署、所属組織などの組織属性に対応して、いずれかのプリセットのアクティベーションポリシー情報を設定することで、ユーザごとの設定を簡易にすることとしてもよい。  Further, when setting information for the activation management server 3, preset information including the model of the information processing device 1 that permits activation, the type and version of the operating system, the number of information processing devices 1 that can be activated at one time, and the like. By setting multiple activation policy information and setting activation policy information of one of the presets according to the organizational attributes such as the user's job title, department, organization, etc., settings for each user can be simplified It is good to do.

さらに本実施の形態において情報処理装置1は、設定データを、各ユーザのアクティベーションコード情報に関連付けて複数保持していてもよい。この場合、アクティベーション管理サーバ3がアクティベーションを許可したときに、ユーザがセキュアブラウザプログラムの起動時に入力したアクティベーションコード情報を参照し、プライマリサーバ2pにおける認証に成功した後に、当該アクティベーションコード情報に関連付けて記憶された設定データを用いて、プライマリサーバ2p以外の認証ウェブサーバ2に対する認証情報の自動ログイン処理を実行することとしてもよい。  Further, in the present embodiment, the information processing apparatus 1 may hold a plurality of setting data in association with the activation code information of each user. In this case, when the activation management server 3 permits the activation, the activation code information entered by the user when starting the secure browser program is referred to, and after the authentication in the primary server 2p is successful, the activation code information It is good also as performing the automatic login process of the authentication information with respect to authentication web server 2 other than the primary server 2p using the setting data memorize | stored in relation to.

この例では、一つの情報処理装置1を複数のユーザが共用し、またそれぞれのユーザがセキュアブラウザプログラムの起動時に自分のアクティベーションコード情報を入力することによって、自分の認証情報が用いられるように設定され、認証ウェブサーバ2への自己のアカウントでの自動ログインが可能となる。  In this example, one information processing apparatus 1 is shared by a plurality of users, and each user inputs his / her activation code information when starting the secure browser program so that his / her authentication information is used. It is set, and automatic login to the authentication web server 2 with its own account becomes possible.

このように本実施の形態の情報処理装置1によれば、セキュアブラウザプログラムの実行により、シングルサインオンを実現しながらもプライマリサーバ2pへの認証の成否をもって他の認証ウェブサーバ2への代理認証を行うことができる。このため、従来のようにシングルサインオンシステム用のアカウントを追加管理する必要がない。これによりシングルサインオン導入時のシステム管理者の運用管理コストを大幅に低減することができる。  As described above, according to the information processing apparatus 1 of the present embodiment, the proxy authentication to the other authentication web server 2 with the success or failure of the authentication to the primary server 2p while realizing the single sign-on by executing the secure browser program. It can be performed. For this reason, it is not necessary to additionally manage an account for the single sign-on system as in the prior art. As a result, the operation management cost of the system administrator when introducing single sign-on can be greatly reduced.

また本実施の形態によれば、社員番号などユーザが普段使用しているが企業外の人間には当該人物を特定困難な値をアクティベーションコードとしてシステム管理者が端末登録管理することができる。つまりアクティベーション管理サーバには個人を特定しづらいアクティベーションコードしか保存されておらず、業務システムの認証に関わる情報は保存されない。このため、外部からのハッキングに対するセキュリティも堅牢に保つことができる。  In addition, according to the present embodiment, the system administrator can manage the terminal registration using a value that is normally used by a user such as an employee number but is difficult for a person outside the company to identify the person as an activation code. That is, the activation management server stores only activation codes that are difficult to identify individuals, and does not store information related to business system authentication. For this reason, security against external hacking can be kept robust.

さらにセキュアブラウザ内に保存されているシングルサインオンに使用する認証ウェブサーバ2への認証情報も暗号化でき、さらに当該暗号化の際には、ユーザしか知り得ないプライマリサーバ2pのパスワードなどの認証情報を暗号鍵とすることができる。さらに、プライマリサーバ2pの認証が一定回数以上失敗するとセキュアブラウザプログラムにおいて用いられるシングルサインオンのためのデータ(設定データ)が抹消されるように設定可能になっているので、端末の盗難紛失時のなりすまし認証に対するセキュリティも堅牢に保つことができる。  Furthermore, the authentication information for the authentication web server 2 used for single sign-on stored in the secure browser can be encrypted, and at the time of the encryption, authentication such as the password of the primary server 2p that only the user can know. Information can be an encryption key. Furthermore, since it is possible to set the data (setting data) for single sign-on used in the secure browser program to be deleted if the authentication of the primary server 2p fails for a certain number of times or more, the terminal can be lost when it is lost. Security against impersonation authentication can be kept robust.

本実施の形態の情報処理装置1は以上の構成を含み、例えば携帯端末またはパーソナルコンピュータである情報処理装置1に対してセキュアブラウザプログラムがインストールされている場合に、次のように動作する。  The information processing apparatus 1 of the present embodiment includes the above-described configuration, and operates as follows when a secure browser program is installed in the information processing apparatus 1 that is, for example, a mobile terminal or a personal computer.

このセキュアブラウザプログラムは、ウェブサーバから受信されるコンテンツを表示するブラウザモジュールと、プライマリサーバ2pにおける認証の成否を管理する認証モジュールとを含んで成り立っている。情報処理装置1は、このセキュアブラウザプログラムを実行することで、インターネットを経由してプライマリサーバ2pおよびその他の認証ウェブサーバ2に接続する。  This secure browser program includes a browser module that displays content received from a web server, and an authentication module that manages the success or failure of authentication in the primary server 2p. The information processing apparatus 1 connects to the primary server 2p and other authentication web servers 2 via the Internet by executing this secure browser program.

情報処理装置1は、セキュアブラウザプログラムが起動されると、プライマリサーバ2pへアクセスし、プライマリサーバ2pから受信したコンテンツのデータに従って、プライマリサーバ2pへのログイン画面を表示させる。情報処理装置1は、このログイン画面でのログインの成否を、例えば認証情報を送出した後、プライマリサーバ2pから送信される応答に、さらにパスワードの入力欄が含まれているか否かを調べるなどして、プライマリサーバ2pでの認証の成否の情報を取得する。情報処理装置1は、一定の回数だけプライマリサーバ2pへのログインに失敗した場合は、セキュアブラウザプログラムの設定データを初期化し、登録された認証ウェブサーバ2へアクセスをできないように制御する。  When the secure browser program is activated, the information processing apparatus 1 accesses the primary server 2p and displays a login screen to the primary server 2p according to the content data received from the primary server 2p. The information processing apparatus 1 checks whether or not the login on the login screen is successful, for example, by checking whether or not a password input field is further included in the response transmitted from the primary server 2p after sending the authentication information. Thus, information on the success or failure of authentication in the primary server 2p is acquired. The information processing device 1 initializes the setting data of the secure browser program when the login to the primary server 2p has failed for a certain number of times, and controls so that the registered authentication web server 2 cannot be accessed.

また、プライマリサーバ2pへのログインに成功したときには、ユーザの指示により他の認証ウェブサーバ2へアクセスしたときに、当該認証ウェブサーバ2に対して過去に送出した認証情報を、設定データから読み出して、認証ウェブサーバ2へ送出する。これにより、いわゆるシングルサインオンが実現される。  Also, when the login to the primary server 2p is successful, the authentication information sent in the past to the authentication web server 2 is read from the setting data when another authentication web server 2 is accessed by the user's instruction. And sent to the authentication web server 2. Thereby, so-called single sign-on is realized.

1 情報処理装置、2 ウェブサーバ、3 アクティベーション管理サーバ、11 制御部、12 記憶部、13 操作部、14 表示部、15 通信部、21 ブラウザ処理部、22 ログイン試行部、23 成否管理部、24 設定データ初期化部、DESCRIPTION OF SYMBOLS 1 Information processing apparatus, 2 Web server, 3 Activation management server, 11 Control part, 12 Storage part, 13 Operation part, 14 Display part, 15 Communication part, 21 Browser processing part, 22 Login trial part, 23 Success / failure management part, 24 Setting data initialization section,

Claims (8)

予め定められた認証ウェブサーバであるプライマリサーバにアクセスして当該プライマリサーバにおける認証の成否を判断する手段と、
前記プライマリサーバでの認証の成否を管理し、当該成否に基づいてプライマリサーバ以外の、認証を要するウェブサーバとの間での情報送受態様を変更する手段と、
を含む情報処理装置。Means for accessing a primary server, which is a predetermined authentication web server, and determining success or failure of authentication in the primary server;
Means for managing the success or failure of authentication at the primary server, and changing the information transmission / reception mode with the web server that requires authentication based on the success or failure;
An information processing apparatus including: 請求項1に記載の情報処理装置であって、
ユーザによるブラウザプログラムの起動時、または前記プライマリサーバへのアクセスの指示があった時に、前記プライマリサーバに対して認証処理の開始を要求する情報処理装置。The information processing apparatus according to claim 1,
An information processing apparatus that requests the primary server to start authentication processing when a user activates a browser program or when an instruction to access the primary server is given. 請求項1または2に記載の情報処理装置であって、
前記プライマリサーバから、認証のための情報を入力させるウェブページの情報を受信する手段と、
当該ウェブページの情報に基づいてユーザから入力される認証のための情報を前記プライマリサーバへ送出して認証処理の実行を要求する手段と、
前記認証処理の実行結果として前記プライマリサーバから受信する情報に基づき、
1.当該情報に含まれるHTMLのソースコード内に予め指定された文字列があるか、
2.当該情報に含まれるHTTPレスポンスに予め指定されたコードがあるか、
3.当該情報に含まれるリダイレクトの指示において指定されたリダイレクト先が、予め定められたリダイレクト先であるか、
4.当該情報が受信されるまでの時間が、予め定めた条件を満足するか、
のうち、少なくとも一つを判断し、当該判断の結果により、認証の成否を判断する判断手段をさらに含む情報処理装置。The information processing apparatus according to claim 1, wherein:
Means for receiving, from the primary server, information of a web page for inputting information for authentication;
Means for sending authentication information input from a user based on information on the web page to the primary server and requesting execution of authentication processing;
Based on information received from the primary server as an execution result of the authentication process,
1. Whether there is a character string specified in advance in the HTML source code included in the information,
2. Whether there is a pre-specified code in the HTTP response included in the information,
3. Whether the redirect destination specified in the redirect instruction included in the information is a predetermined redirect destination,
4). Whether the time until the information is received satisfies a predetermined condition,
An information processing apparatus further comprising: a determination unit that determines at least one of the determinations and determines the success or failure of authentication based on a result of the determination. 請求項1から3のいずれか一項に記載の情報処理装置であって、
前記認証の成否を判断する手段は、前記プライマリサーバにおける認証が所定回数だけ失敗したときに認証失敗として、
1.ブラウザプログラムの処理における、認証に関係する情報の受け入れ拒否、
2.ブラウザプログラムの処理における、ウェブサイトへのアクセス拒否、
3.所定の設定情報の初期化
の少なくとも一つの処理を実行する情報処理装置。An information processing apparatus according to any one of claims 1 to 3,
The means for determining success or failure of the authentication, as authentication failure when authentication in the primary server has failed a predetermined number of times,
1. Refusal to accept information related to authentication in browser program processing;
2. Denying access to websites in browser program processing,
3. An information processing apparatus that executes at least one process of initializing predetermined setting information. 請求項1から4のいずれか一項に記載の情報処理装置であって、
この情報処理装置は、ブラウザプログラムの使用を許可したユーザに予め告知されるアクティベーションコード情報を保持し、当該保持するアクティベーションコード情報を用いてアクティベーションの可否を判断するアクティベーション管理サーバとの間で通信可能に接続され、
所定のタイミングで、前記アクティベーションコード情報の入力をユーザに求め、当該求めに応じてユーザが入力した情報をアクティベーション管理サーバに送出してアクティベーションの可否に係る情報を受信し、
アクティベーションを許可する情報を受信したときに、認証を要するウェブサーバへのアクセスを可能とする情報処理装置。An information processing apparatus according to any one of claims 1 to 4,
This information processing apparatus holds activation code information notified in advance to a user who is permitted to use the browser program, and determines whether or not activation is possible using the held activation code information. Are communicably connected,
At a predetermined timing, the user is requested to input the activation code information, and the information input by the user in response to the request is sent to the activation management server to receive information on whether or not activation is possible,
An information processing apparatus that enables access to a web server that requires authentication when receiving information that permits activation. 請求項5記載の情報処理装置であって、
前記アクティベーション管理サーバは、前記アクティベーションコード情報と、ユーザが利用する情報処理装置に固有の情報とを用いてアクティベーションの可否を判断するアクティベーション管理サーバであり、
前記アクティベーション管理サーバへユーザが入力した情報を送出する際には、情報処理装置が情報処理装置に係る、所定の情報を併せて送出し、アクティベーションの可否に係る情報を受信する情報処理装置。The information processing apparatus according to claim 5,
The activation management server is an activation management server that determines whether activation is possible using the activation code information and information specific to an information processing device used by a user,
When sending information input by the user to the activation management server, the information processing apparatus sends out predetermined information related to the information processing apparatus and receives information related to whether or not activation is possible . 情報処理装置における認証処理方法であって、
情報処理装置の制御部が、予め定められた認証ウェブサーバであるプライマリサーバにアクセスして当該プライマリサーバにおける認証の成否を判断する工程、及び、前記プライマリサーバでの認証の成否を管理し、当該成否に基づいてプライマリサーバ以外の、認証を要するウェブサーバとの間での情報送受態様を変更する工程、
を実行する認証処理方法。An authentication processing method in an information processing apparatus,
The control unit of the information processing apparatus accesses a primary server that is a predetermined authentication web server and determines the success or failure of authentication in the primary server, and manages the success or failure of authentication in the primary server, A step of changing an information transmission / reception mode with a web server that requires authentication based on success or failure,
Authentication processing method to execute. コンピュータを、
予め定められた認証ウェブサーバであるプライマリサーバにアクセスして当該プライマリサーバにおける認証の成否を判断する手段と、
前記プライマリサーバでの認証の成否を管理し、当該成否に基づいてプライマリサーバ以外の、認証を要するウェブサーバとの間での情報送受態様を変更する手段と、
として機能させるプログラム。Computer
Means for accessing a primary server, which is a predetermined authentication web server, and determining success or failure of authentication in the primary server;
Means for managing the success or failure of authentication at the primary server, and changing the information transmission / reception mode with the web server that requires authentication based on the success or failure;
Program to function as.
JP2015044036A 2015-02-18 2015-02-18 Information processing device, and authentication processing method and program in the same Pending JP2016152042A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015044036A JP2016152042A (en) 2015-02-18 2015-02-18 Information processing device, and authentication processing method and program in the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015044036A JP2016152042A (en) 2015-02-18 2015-02-18 Information processing device, and authentication processing method and program in the same

Publications (1)

Publication Number Publication Date
JP2016152042A true JP2016152042A (en) 2016-08-22

Family

ID=56696512

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015044036A Pending JP2016152042A (en) 2015-02-18 2015-02-18 Information processing device, and authentication processing method and program in the same

Country Status (1)

Country Link
JP (1) JP2016152042A (en)

Similar Documents

Publication Publication Date Title
US20240080311A1 (en) Managing security credentials
CN110463161B (en) Password state machine for accessing protected resources
JP6904857B2 (en) Delegation system, control method, and program
JP6727799B2 (en) Authority delegation system, information processing device, authorization server, control method and program
KR101929598B1 (en) Sharing user id between operating system and application
US20170257363A1 (en) Secure mobile device two-factor authentication
JP6929181B2 (en) Devices and their control methods and programs
US20160197914A1 (en) System and method for converting one-time passcodes to app-based authentication
US10326758B2 (en) Service provision system, information processing system, information processing apparatus, and service provision method
KR20190024817A (en) Authority transfer system, control method therefor, and client
US10205717B1 (en) Virtual machine logon federation
JP4960738B2 (en) Authentication system, authentication method, and authentication program
US10270774B1 (en) Electronic credential and analytics integration
US20220303268A1 (en) Passwordless login
CN106161475B (en) Method and device for realizing user authentication
KR20110055542A (en) An apparatus for managing user authentication
US10547599B1 (en) Multi-factor authentication for managed directories
JP2022113037A (en) Image forming apparatus having multi-element authentication function
US20220286435A1 (en) Dynamic variance mechanism for securing enterprise resources using a virtual private network
KR101278926B1 (en) Social verification login system being possible to verify user and providing method thereof
JP6287213B2 (en) Proxy login device, terminal, control method, and program
US20100095372A1 (en) Trusted relying party proxy for information card tokens
JP2008226015A (en) Session authority management method
US9246902B1 (en) Device-agnostic user authentication
US9479492B1 (en) Authored injections of context that are resolved at authentication time