JP2017004286A - Information processing system - Google Patents

Information processing system Download PDF

Info

Publication number
JP2017004286A
JP2017004286A JP2015118107A JP2015118107A JP2017004286A JP 2017004286 A JP2017004286 A JP 2017004286A JP 2015118107 A JP2015118107 A JP 2015118107A JP 2015118107 A JP2015118107 A JP 2015118107A JP 2017004286 A JP2017004286 A JP 2017004286A
Authority
JP
Japan
Prior art keywords
token
storage
intra
relay server
plug
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015118107A
Other languages
Japanese (ja)
Other versions
JP6459785B2 (en
Inventor
淳也 加藤
Junya Kato
淳也 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2015118107A priority Critical patent/JP6459785B2/en
Publication of JP2017004286A publication Critical patent/JP2017004286A/en
Application granted granted Critical
Publication of JP6459785B2 publication Critical patent/JP6459785B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an information processing system which can equivalently use clouds on the Internet and storage in an intranet, and has no influence on use even if a change occurs in an account.SOLUTION: An intranet 10 includes storage 102 in an intranet, a storage proxy 104 for issuing a token associated with authentication information for permitting the use of the storage 102 in the intranet, and an account mapping DB 101 for storing the token associated with the authentication information. A relay server 12 for accessing a cloud A14 and a cloud B16 on the Internet includes a token DB 124 for storing a token in association with an account, and a plug-in 121 for a storage proxy for using the token to access the storage proxy 104.SELECTED DRAWING: Figure 1

Description

本発明は、情報処理システムに関する。   The present invention relates to an information processing system.

インターネットからイントラネットへのアクセスを可能とする技術が提案されている。   Technologies that enable access from the Internet to an intranet have been proposed.

特許文献1には、インターネットに接続された第1の情報処理装置と、第1の情報処理装置からイントラネットに対するアクセスを管理する第1の管理サーバと、イントラネットに接続された第2の情報処理装置と、第2の情報処理装置からインターネットに対するアクセスを管理する第2の管理サーバを備え、第1の管理サーバと第2の管理サーバとの間で双方向通信を行うことが記載されている。インターネット上でログイン管理を行うグローバルアカウント管理サーバと、イントラネット上でアクセス管理を行うACLサーバとが相互に通信する構成である。   Patent Document 1 discloses a first information processing apparatus connected to the Internet, a first management server that manages access to the intranet from the first information processing apparatus, and a second information processing apparatus connected to the intranet. And a second management server for managing access to the Internet from the second information processing apparatus, and performing bidirectional communication between the first management server and the second management server. A global account management server that performs login management on the Internet and an ACL server that performs access management on an intranet communicate with each other.

特開2012−238150号公報JP 2012-238150 A

ACL(Access Control List)で各サービスの利用可否を決定するのみでは、複数のサービス間での連携が考慮されておらず、特に、インターネット上のパブリッククラウドのストレージサービスとイントラネット内のストレージサービスとの連携が図られていない。   By simply deciding whether or not each service can be used by ACL (Access Control List), the linkage between multiple services is not taken into consideration. In particular, there is a connection between the public cloud storage service on the Internet and the storage service on the intranet. Cooperation is not planned.

また、グローバルアカウントとイントラネット内のアカウントを直接的に関連付けて管理すると、グローバルアカウントに変更が生じた場合に、関連付け自体が無効となってしまう不都合がある。   Further, if the global account and the account in the intranet are directly associated and managed, there is a disadvantage that the association itself becomes invalid when the global account is changed.

本発明の目的は、インターネット上のクラウドとイントラネット内のストレージを共に利用でき、また、たとえアカウントに変更が生じた場合でも利用に影響のない情報処理システムを提供することにある。   An object of the present invention is to provide an information processing system that can use both the cloud on the Internet and the storage in the intranet, and that does not affect the use even when the account is changed.

請求項1に記載の発明は、イントラネット内に、ストレージと、前記ストレージの利用を許可するための認証情報と関連付けられたトークンを発行するプロキシと、前記認証情報と関連付けられた前記トークンを記憶する第1データベースとが設けられ、前記イントラネットからインターネット上のクラウドにアクセスする中継サーバに、前記トークンをアカウントと関連付けて記憶する第2データベースと、前記トークンを用いて前記プロキシにアクセスする処理手段が設けられる情報処理システムである。   The invention according to claim 1 stores, in the intranet, a storage, a proxy that issues a token associated with authentication information for permitting use of the storage, and the token associated with the authentication information. A first database, a relay server that accesses the cloud on the Internet from the intranet, a second database that stores the token in association with an account, and a processing unit that accesses the proxy using the token Information processing system.

請求項2に記載の発明は、前記中継サーバは、ユーザ端末から前記ストレージの利用が要求された場合に、前記第2データベースから前記トークンを読み出して前記プロキシに送信し、前記プロキシは、前記第1データベースから前記トークンに関連付けられた前記認証情報を用いて前記ストレージにアクセスする、請求項1に記載の情報処理システムである。   According to a second aspect of the present invention, when the use of the storage is requested from a user terminal, the relay server reads the token from the second database and transmits the token to the proxy. The information processing system according to claim 1, wherein the storage is accessed using the authentication information associated with the token from one database.

請求項3に記載の発明は、前記プロキシは、前記トークンが利用不可の場合に更新トークンを発行して前記認証情報と関連付けて前記第1データベースに記憶し、前記中継サーバは、前記更新トークンを前記アカウントと関連付けて前記第2データベースに記憶し、かつ、前記トークンが利用不可の場合に保留していた前記ユーザ端末からの要求を自動的に開始して前記更新トークンを前記プロキシに送信する、請求項2に記載の情報処理システムである。   According to a third aspect of the present invention, the proxy issues an update token when the token is not usable and stores it in the first database in association with the authentication information, and the relay server stores the update token. Storing in the second database in association with the account, and automatically starting a request from the user terminal that was suspended when the token is unavailable and sending the renewal token to the proxy; An information processing system according to claim 2.

請求項1に記載の発明によれば、インターネット上のクラウドとイントラネット内のストレージを共に利用できる。また、アカウントに変更が生じてもイントラネット内のストレージの利用に影響がない。   According to the first aspect of the present invention, both the cloud on the Internet and the storage in the intranet can be used. In addition, changes to the account will not affect the use of storage in the intranet.

請求項2に記載の発明によれば、さらに、イントラネット内のストレージを利用するための認証情報はイントラネット内で保持され、セキュリティが確保される。   According to the second aspect of the present invention, the authentication information for using the storage in the intranet is held in the intranet, and security is ensured.

請求項3に記載の発明によれば、さらに、ユーザ端末から再度要求を送信する場合に比べて効率的な処理が可能である。   According to the third aspect of the present invention, more efficient processing is possible compared to the case where a request is transmitted again from the user terminal.

実施形態のシステム構成図である。It is a system configuration figure of an embodiment. 実施形態の処理フローチャート(その1)である。It is a processing flowchart (the 1) of an embodiment. 実施形態の処理フローチャート(その2)である。It is a processing flowchart (the 2) of an embodiment. 実施形態の処理フローチャート(その3)である。It is a processing flowchart (the 3) of an embodiment. 実施形態の処理フローチャート(その4)である。It is a processing flowchart (the 4) of an embodiment.

以下、図面に基づき本発明の実施形態について説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

<システム構成>
図1は、本実施形態における情報処理システムのシステム構成図である。システムは、イントラネット10及び中継サーバ12を備える。中継サーバ12は、インターネット上の複数のクラウドA14、クラウドB16にアクセスする。中継サーバ12は、一般に、複数のテナントから受信したデータを、複数のクラウドに転送することによりデータの中継を行う。複数のクラウドは、それぞれクラウド毎に異なるAPI(Application Programming Interface)を用いており、複数のイントラネット10の複数のテナントが各クラウドのサービスを利用する場合には、各クラウドのAPIを予め知らなければならない。中継サーバ12は、各クラウドのAPIを隠蔽して統一したAPIのみを各テナントに提供することで、各テナントがクラウド毎に異なるAPIを知らなくても、複数のクラウドのサービスを利用可能とする。 <System configuration>
FIG. 1 is a system configuration diagram of an information processing system in the present embodiment. The system includes an intranet 10 and a relay server 12. The relay server 12 accesses a plurality of clouds A14 and cloud B16 on the Internet. The relay server 12 generally relays data by transferring data received from a plurality of tenants to a plurality of clouds. Each of the plurality of clouds uses a different API (Application Programming Interface) for each cloud, and when a plurality of tenants of the plurality of intranets 10 use the services of each cloud, the API of each cloud must be known in advance. Don't be. The relay server 12 provides each tenant with only a unified API by concealing the API of each cloud so that each tenant can use a plurality of cloud services without knowing a different API for each cloud. .

<イントラネット>
本実施形態におけるイントラネット10は、アカウントマッピングデータベース(DB)101、イントラネット(以下、これを適宜「イントラ」と称する)内ストレージ102、クライアント(アプリケーション)103、及びストレージプロキシ104を備える。 <Intranet>
The intranet 10 in this embodiment includes an account mapping database (DB) 101, an intranet (hereinafter referred to as “intra” as appropriate) storage 102, a client (application) 103, and a storage proxy 104.

アカウントマッピングDB101は、第1データベースとして機能し、イントラ内ストレージ102にアクセスするためのクレデンシャル情報、すなわちIDやパスワード等の認証情報と、トークンを関連付けて管理するデータベースである。   The account mapping DB 101 functions as a first database, and is a database that manages credential information for accessing the intra storage 102, that is, authentication information such as an ID and password, and a token in association with each other.

イントラ内ストレージ102は、イントラネット10に設けられたストレージであり、基本的にはイントラネット10内からのアクセスを許可するが、本実施形態では、中継サーバ12を介したアクセスも許可する。   The intra storage 102 is a storage provided in the intranet 10 and basically permits access from within the intranet 10, but in this embodiment, permits access via the relay server 12.

クライアント103は、イントラネット10内のクライアントであり、ユーザ端末で動作するアプリケーションである。ユーザは、ユーザ端末でアプリケーションを起動し、中継サーバ12にアクセスする。   The client 103 is a client in the intranet 10 and is an application that operates on a user terminal. The user starts an application on the user terminal and accesses the relay server 12.

ストレージプロキシ104は、イントラ内ストレージ102にアクセスするためのプロキシサーバである。ストレージプロキシ104は、中継サーバ12のストレージプロキシ用プラグインと相互通信を行い、ストレージプロキシ用プラグインからのリクエストに応じてイントラ内ストレージ102にアクセスする。   The storage proxy 104 is a proxy server for accessing the intra storage 102. The storage proxy 104 performs mutual communication with the storage proxy plug-in of the relay server 12 and accesses the intra storage 102 in response to a request from the storage proxy plug-in.

<中継サーバ>
他方、本実施形態における中継サーバ12は、ストレージプロキシ用プラグイン121、プラグインデータベース(DB)122、アカウントデータベース(DB)123、トークンデータベース(DB)124、プラグインA125、プラグインB126を備える。 <Relay server>
On the other hand, the relay server 12 in this embodiment includes a storage proxy plug-in 121, a plug-in database (DB) 122, an account database (DB) 123, a token database (DB) 124, a plug-in A 125, and a plug-in B 126.

ストレージプロキシ用プラグイン121は、処理手段として機能し、イントラ内ストレージ102にアクセスするためにストレージプロキシ104と相互通信を行うためのプラグインである。プラグインとは、機能を拡張するために追加されるプログラムである。   The storage proxy plug-in 121 functions as a processing unit, and is a plug-in for performing mutual communication with the storage proxy 104 in order to access the intra storage 102. A plug-in is a program added to expand functions.

プラグインDB122は、複数のクラウド、及びストレージプロキシ104にアクセスするためのプラグインを管理するデータベースである。ストレージプロキシ用プラグイン121、プラグインA125、プラグインB126その他のプラグインはこのデータベースに登録される。   The plug-in DB 122 is a database that manages plug-ins for accessing a plurality of clouds and the storage proxy 104. The plug-in 121 for storage proxy, plug-in A125, plug-in B126, and other plug-ins are registered in this database.

アカウントデータベース(DB)123は、複数のテナント(ユーザ)のアカウントを管理するデータベースである。   The account database (DB) 123 is a database that manages accounts of a plurality of tenants (users).

トークンデータベース(DB)124は、第2データベースとして機能し、テナントのアカウントと各クラウドから発行されたトークンを関連付けて管理するデータベースである。トークンには、クラウドA14から発行されたトークン、クラウドB16から発行されたトークン、及びストレージプロキシ104から発行されたトークンも含まれる。   The token database (DB) 124 functions as a second database, and is a database that manages tenant accounts and tokens issued from each cloud in association with each other. The token includes a token issued from the cloud A14, a token issued from the cloud B16, and a token issued from the storage proxy 104.

プラグインA125は、複数のクラウドのうちのクラウドA14にアクセスするためのプラグインである。   The plug-in A125 is a plug-in for accessing the cloud A14 of the plurality of clouds.

プラグインB126は、複数のクラウドのうちのクラウドB16にアクセスするためのプラグインである。   The plug-in B126 is a plug-in for accessing the cloud B16 of the plurality of clouds.

中継サーバ12は、ハードウェア構成として、CPU、メモリ、記憶装置及び入出力インタフェースを備える。CPUは、プログラムメモリに記憶された処理プログラムを読み出して実行することで各種の処理を実現する。主な処理は、イントラネット内のユーザ端末からの要求に応じ、インターネット上のクラウドA14、クラウドB16へのアクセスを中継すること、及びイントラネット10内のイントラ内ストレージ102へのアクセスである。処理手段としてのストレージプロキシ用プラグイン121は、CPUがストレージ用プラグインプログラムを読み出して実行することで実現される。プラグインDB122、アカウントDB123、トークンDB124は、記憶装置で実現されるが、必ずしも同一記憶装置でなく、複数の記憶装置で別個に実現されてもよい。   The relay server 12 includes a CPU, a memory, a storage device, and an input / output interface as a hardware configuration. The CPU implements various processes by reading and executing the processing program stored in the program memory. The main processing is to relay access to the cloud A14 and cloud B16 on the Internet and access to the intra storage 102 in the intranet 10 in response to a request from a user terminal in the intranet. The storage proxy plug-in 121 as the processing means is realized by the CPU reading and executing the storage plug-in program. Although the plug-in DB 122, the account DB 123, and the token DB 124 are realized by a storage device, they are not necessarily the same storage device, and may be realized separately by a plurality of storage devices.

イントラネット10内のストレージプロキシ104は、ハードウェア構成として、CPU、メモリ、記憶装置及び入出力インタフェースを備える。CPUは、プログラムメモリに記憶された処理プログラムを読み出して実行することで各種の処理を実現する。主な処理は、中継サーバ12からの要求に応じてトークンを発行すること、トークンを更新すること、トークンを用いてイントラ内ストレージ102に対しユーザ認証することである。アカウントマッピングDB101及びイントラ内ストレージ102は、同一若しくは別個の記憶装置で実現される。   The storage proxy 104 in the intranet 10 includes a CPU, a memory, a storage device, and an input / output interface as a hardware configuration. The CPU implements various processes by reading and executing the processing program stored in the program memory. The main processing is to issue a token in response to a request from the relay server 12, update the token, and perform user authentication to the intra storage 102 using the token. The account mapping DB 101 and the intra storage 102 are realized by the same or different storage devices.

<基本処理>
本実施形態におけるシステムの基本処理は以下のとおりである。イントラネット10の管理者は、イントラネット10内からストレージプロキシ104にアクセスして、ストレージプロキシ104を中継サーバ12に登録する。 <Basic processing>
The basic processing of the system in this embodiment is as follows. The administrator of the intranet 10 accesses the storage proxy 104 from within the intranet 10 and registers the storage proxy 104 in the relay server 12.

中継サーバ12は、ストレージプロキシ104にアクセスするために必要な情報をイントラネット(テナント)10と関連付けてプラグインDB122に登録する。この登録により、イントラネット10に所属しているユーザは、中継サーバ12にログインすると、登録したプラグインを含む利用可能なプラグインの一覧を取得でき、クラウドA14及びクラウドB16とイントラ内ストレージ102を共に利用することができる。   The relay server 12 registers information necessary for accessing the storage proxy 104 in the plug-in DB 122 in association with the intranet (tenant) 10. As a result of this registration, when a user belonging to the intranet 10 logs in to the relay server 12, a list of available plug-ins including the registered plug-ins can be acquired, and both the cloud A 14 and the cloud B 16 and the intra intra storage 102 are stored. Can be used.

本実施形態において、中継サーバ12を介してクラウドA14のストレージ、クラウドB16のストレージ、及びイントラ内ストレージ102を等価的に利用でき、クラウドA14のストレージに文書を登録するのと同様にイントラ内ストレージ102に文書を登録でき、クラウドA14のストレージから文書を取得するのと同様にイントラ内ストレージ102から文書を取得できる。イントラネット10に所属しているユーザは、イントラ内ストレージ102に直接アクセスできることは当然であるが、本実施形態では、インターネット上のクラウドサービスを利用するための中継サーバ12を介してイントラ内ストレージ102にもアクセスし得る。   In the present embodiment, the storage in the cloud A14, the storage in the cloud B16, and the intra-intra storage 102 can be equivalently used via the relay server 12, and the intra-internal storage 102 is registered in the same manner as registering a document in the storage in the cloud A14. The document can be registered in the intra storage 102 in the same manner as the document is acquired from the storage of the cloud A14. As a matter of course, a user belonging to the intranet 10 can directly access the intra storage 102, but in this embodiment, the intra storage 102 is also connected to the intra storage 102 via the relay server 12 for using the cloud service on the Internet. Accessible.

また、ストレージプロキシ104は、ユーザ毎に、中継サーバ12からイントラ内ストレージ102にアクセスするために利用するトークンを発行し、イントラ内ストレージ102にアクセスするための認証情報とトークンを関連付けてアカウントマッピングDB101に登録する。トークンとは、ネットワーク上を周回する送信権を意味する特殊な信号やデータである。トークンを取得したユーザは、このトークンを中継サーバ12に送信し、中継サーバ12は他のクラウドA14、クラウドB16と同様に、アカウントとトークンを関連付けてトークンDB124に登録する。そして、当該ユーザがイントラ内ストレージ102を利用する際には、中継サーバ12は、アクセス先のイントラ内ストレージ102と関連付けされているトークンをトークンDB124から取得し、ストレージプロキシ用プラグイン121は、取得したトークンをストレージプロキシ104に送信する。ストレージプロキシ104は、受信したトークンに一致する認証情報をアカウントマッピングDB101から取得し、取得した認証情報を用いてイントラ内ストレージ102にアクセスする。   Further, the storage proxy 104 issues a token to be used for accessing the intra storage 102 from the relay server 12 for each user, and associates the authentication information for accessing the intra storage 102 with the token to account mapping DB 101. Register with. A token is a special signal or data that means a transmission right that circulates on the network. The user who has acquired the token transmits this token to the relay server 12, and the relay server 12 associates the account with the token and registers them in the token DB 124 in the same manner as in the other cloud A14 and cloud B16. When the user uses the intra storage 102, the relay server 12 acquires the token associated with the intra storage 102 to be accessed from the token DB 124, and the storage proxy plug-in 121 acquires the token. The token is sent to the storage proxy 104. The storage proxy 104 acquires authentication information that matches the received token from the account mapping DB 101, and accesses the intra-storage 102 using the acquired authentication information.

本実施形態では、ユーザは、パブリッククラウドであるクラウドA14及びクラウドB16にアクセスするためのプラグインA125、プラグインB126に加え、イントラ内ストレージ102にアクセスするためのストレージプロキシ用プラグイン121も利用することができるため、インターネット上のストレージサービスとイントラ内ストレージサービスとを利用することができる。   In the present embodiment, the user also uses the storage proxy plug-in 121 for accessing the intra storage 102 in addition to the plug-in A 125 and plug-in B 126 for accessing the cloud A 14 and the cloud B 16 that are public clouds. Therefore, it is possible to use a storage service on the Internet and an intra-storage service.

また、本実施形態では、クレデンシャル情報(認証情報)はイントラネット10内に保持され、中継サーバ12には保持されないので、セキュリティも確保される。   Further, in the present embodiment, the credential information (authentication information) is held in the intranet 10 and is not held in the relay server 12, so that security is also ensured.

さらに、中継サーバ12のテナントのアカウントとトークンが関連付けてトークンDB124に登録され、かつ、ユーザの認証情報(ユーザのアカウント)とトークンが関連付けてアカウントマッピングDB101に登録されており、中継サーバ12のテナントのアカウントとイントラ内のアカウントは、トークンを利用して間接的に関連付けられているため、中継サーバ12のテナントのアカウントが変更されてもその影響を受けない。すなわち、たとえテナントのアカウントが変更されたとしても、当該テナントのアクセス先のトークンを特定することで、正しい認証情報を取得してアクセス先にアクセスできる。本実施形態は、トークンが有効である限り、テナントのアカウントによらずにインターネット上のクラウドA14、クラウドB16と同様にイントラ内ストレージ102にアクセスすることができるシステムといえる。   Further, the tenant account of the relay server 12 and the token are associated and registered in the token DB 124, and the user authentication information (user account) and the token are associated and registered in the account mapping DB 101, and the tenant of the relay server 12 is registered. Since the account in the intra and the account in the intra are indirectly associated using a token, even if the tenant account of the relay server 12 is changed, the account is not affected. That is, even if the tenant's account is changed, it is possible to acquire the correct authentication information and access the access destination by specifying the access destination token of the tenant. As long as the token is valid, this embodiment can be said to be a system that can access the intra storage 102 in the same manner as the cloud A14 and the cloud B16 on the Internet regardless of the tenant's account.

このことは、言い換えればトークンに異常が生じた場合、例えばトークンに有効期限が設定されており当該有効期限が切れた場合、あるいはイントラ内ストレージ102の認証情報(IDやパスワード)自体が変更された場合には、イントラ内ストレージ102へのアクセスが遮断されることを意味する。この場合においてイントラ内ストレージ102を利用するには、トークンの再発行ないし更新が必要となる。   In other words, when an abnormality occurs in the token, for example, when the expiration date is set for the token and the expiration date has expired, or the authentication information (ID and password) of the intra storage 102 itself has been changed. In this case, it means that access to the intra storage 102 is blocked. In this case, in order to use the intra storage 102, it is necessary to reissue or renew the token.

<詳細処理>
次に、本実施形態におけるシステムの処理について、ストレージプロキシ104の登録、アカウントマッピング、イントラ内ストレージ102の利用(正常時)、イントラ内ストレージ102の利用(異常時)に分けて順次、説明する。 <Detailed processing>
Next, the processing of the system in the present embodiment will be described in order, divided into storage proxy 104 registration, account mapping, use of intra storage 102 (normal), and use of intra storage 102 (abnormal).

<ストレージプロキシの登録>
図2は、ストレージプロキシ104を中継サーバ12に登録する処理のフローチャートであり、イントラ内ユーザ、イントラ管理者、中継サーバ12、ストレージプロキシ用プラグイン(SPプラグイン)121及びストレージプロキシ(SP)104の処理である。 <Register storage proxy>
FIG. 2 is a flowchart of processing for registering the storage proxy 104 in the relay server 12. Intra-user, intra-administrator, relay server 12, storage proxy plug-in (SP plug-in) 121, and storage proxy (SP) 104 It is processing of.

まず、イントラ管理者は、イントラ内の端末を用いて中継サーバ12に対してテナントを登録し、テナント内にユーザを作成する。   First, the intra administrator registers a tenant with the relay server 12 using a terminal in the intra, and creates a user in the tenant.

次に、イントラ管理者は、イントラ内の端末を用いてイントラ内からSP104にアクセスし、SP104を中継サーバ12に登録する作業を行う。このとき、SP104は、中継サーバ12にリダイレクト(転送)し、中継サーバ12は、イントラ管理者が中継サーバ12にログインすることで、中継サーバ12のテナント管理者であることを確認する。   Next, the intra administrator accesses the SP 104 from within the intra using a terminal in the intra, and performs an operation of registering the SP 104 in the relay server 12. At this time, the SP 104 redirects (transfers) to the relay server 12, and the relay server 12 confirms that the intra administrator logs in to the relay server 12 to be a tenant administrator of the relay server 12.

イントラ管理者は、中継サーバ12にログイン後、SP104にアクセスするために必要な情報を指定し、中継サーバ12は、SP104に当該情報でアクセスできることを確認した後に、指定されたアクセス情報をテナントIDと関連付けてプラグインDB122に登録する。以上の処理により、SPプラグイン121が中継サーバ12内に登録され、このSPプラグイン121を用いて中継サーバ12からSP104にアクセス可能となる。   The intra administrator designates information necessary for accessing the SP 104 after logging in to the relay server 12, and the relay server 12 confirms that the SP 104 can access the SP 104 with the information, and then designates the designated access information with the tenant ID. And registered in the plug-in DB 122. With the above processing, the SP plug-in 121 is registered in the relay server 12, and the SP server can be accessed from the relay server 12 using the SP plug-in 121.

次に、イントラ内のユーザ、すなわち、イントラ管理者によりテナント内に作成されたユーザは、イントラ内の端末を用いて中継サーバ12にログインする。中継サーバ12は、プラグインDB122に登録された利用可能なプラグイン一覧をユーザに返信する。このプラグイン一覧には、クラウドA14を利用するためのプラグインA125、クラウドB16を利用するためのプラグインB126に加え、イントラ内ストレージ102を利用するためのSPプラグイン121も含まれる。   Next, the user in the intra, that is, the user created in the tenant by the intra administrator logs in to the relay server 12 using the terminal in the intra. The relay server 12 returns a list of available plug-ins registered in the plug-in DB 122 to the user. This plug-in list includes an SP plug-in 121 for using the intra storage 102 in addition to the plug-in A 125 for using the cloud A 14 and the plug-in B 126 for using the cloud B 16.

中継サーバ12へのSP104の登録は、以上のようにイントラ管理者、つまりテナント管理者であり、そのテナントのイントラ内から実行されるため、不正なテナントによりSP104が不正に登録され利用されることはない。   As described above, the registration of the SP 104 with the relay server 12 is an intra administrator, that is, a tenant administrator, and is executed from within the tenant's intra, so that the SP 104 is illegally registered and used by an unauthorized tenant. There is no.

<アカウントマッピング>
図3は、アカウントマッピング処理のフローチャートであり、イントラ内ユーザ、中継サーバ12、SPプラグイン121、SP104、及びイントラ内ストレージ102の処理である。なお、この処理は、図2に示すSP104の登録処理が完了した後の処理である。 <Account mapping>
FIG. 3 is a flowchart of the account mapping process, which is a process of the intra-user, the relay server 12, the SP plug-in 121, the SP 104, and the intra-storage 102. This process is a process after the registration process of SP 104 shown in FIG. 2 is completed.

まず、イントラ内ユーザがイントラ内の端末を用いて中継サーバ12にログインし、クラウドサービス一覧の取得要求を行うと、中継サーバ12は、プラグインDB122から当該テナントが利用可能なプラグイン一覧を取得してイントラ内ユーザに返信する。   First, when an intra user logs in to the relay server 12 using a terminal in the intra and makes a cloud service list acquisition request, the relay server 12 acquires a plug-in list usable by the tenant from the plug-in DB 122. And reply to the intra-user.

次に、イントラ内ユーザは、プラグイン一覧からSPプラグイン121を選択し、イントラ内ストレージ102を利用すべく中継サーバ12に対してトークンの取得要求を行う。   Next, the intra user selects the SP plug-in 121 from the plug-in list and makes a token acquisition request to the relay server 12 to use the intra storage 102.

中継サーバ12のSPプラグイン121は、SP104にトークン取得要求をリダイレクト(転送)する。   The SP plug-in 121 of the relay server 12 redirects (transfers) the token acquisition request to the SP 104.

次に、イントラ内ユーザは、SP104にアクセスし、イントラ内ストレージ102にアクセスするための認証を行う。すなわち、イントラ内ユーザは、SP104に利用許可を依頼し、SP104はイントラ内ストレージ102に対して認証を行う。認証情報は、イントラ内ユーザからSP104を介してイントラ内ストレージ102に送信されるので、中継サーバ12を経由することはない。但し、イントラ内ユーザは、SPプラグイン121を利用しない限りSP104にアクセスできず、SP104にアクセスできない限り、アカウントマッピングはできない。   Next, the intra-user accesses the SP 104 and performs authentication for accessing the intra-storage 102. In other words, the intra user requests the SP 104 for permission to use, and the SP 104 authenticates the intra storage 102. Since the authentication information is transmitted from the intra-user to the intra-storage 102 via the SP 104, the authentication information does not pass through the relay server 12. However, intra-users cannot access the SP 104 unless they use the SP plug-in 121, and cannot perform account mapping unless they can access the SP 104.

認証に成功すると、SP104は、イントラ内ストレージ102を利用可能なトークンを発行し、発行したトークンと認証情報を関連付けてアカウントマッピングDB101に登録する。また、発行したトークンをイントラ内ユーザに返信する。なお、トークンには有効期限を設けても良く、トークンの有効期限が切れた場合の処理についてはさらに後述する。   If the authentication is successful, the SP 104 issues a token that can use the intra storage 102, and registers the issued token and authentication information in association with each other in the account mapping DB 101. The issued token is returned to the intra-user. The token may have an expiration date, and processing when the token expires will be described later.

トークンを取得したイントラ内ユーザは、中継サーバ12にトークンを送信し、中継サーバ12は、他のクラウドサービスと同様にテナント(ユーザ)のアカウントとトークンを関連付けてトークンDB124に登録する。トークンには、イントラ内ストレージ102を利用可能とする属性が付与される。中継サーバ12は、ユーザ端末からの要求に含まれるアクセス先がイントラ内ストレージ102であれば、これに対応するトークンをトークンDB124から読み出し得る。   The intra-user who acquired the token transmits the token to the relay server 12, and the relay server 12 associates the tenant (user) account with the token and registers them in the token DB 124 in the same manner as other cloud services. The token is given an attribute that makes the intra storage 102 available. If the access destination included in the request from the user terminal is the intra storage 102, the relay server 12 can read the corresponding token from the token DB 124.

以上の処理により、中継サーバ12のトークンDB124にはアカウントと関連付けられたイントラ内ストレージ102を利用可能なトークンが登録され、イントラネット10のアカウントマッピングDB101には認証情報と関連付けられたトークンが登録される。従って、中継サーバ12のテナントのアカウントと、イントラネット10内のユーザの認証情報(アカウント)は、SP104で発行されたイントラ内ストレージ102を利用可能なトークンを介在して間接的に関連付けられる。   Through the above processing, the token that can use the intra storage 102 associated with the account is registered in the token DB 124 of the relay server 12, and the token associated with the authentication information is registered in the account mapping DB 101 of the intranet 10. . Therefore, the tenant account of the relay server 12 and the authentication information (account) of the user in the intranet 10 are indirectly associated via a token that can use the intra storage 102 issued in the SP 104.

ここで、テナントのアカウントに着目すると、中継サーバ12のプラグインDB122には、テナントのアカウントと関連付けてSPプラグイン121が登録され、中継サーバ12のトークンDB124にはテナントのアカウントと関連付けてイントラ内ストレージ102を利用可能なトークンが登録される。テナントのアカウントが変更された場合、この変更に応じてプラグインDBのアカウント及びトークンDBのアカウントが変更されるので、変更後のアカウントでもユーザは正しくSPプラグイン121及びトークンを利用できる。   Here, focusing on the tenant account, the SP plug-in 121 is registered in the plug-in DB 122 of the relay server 12 in association with the tenant account, and the intra-intra site is associated with the tenant account in the token DB 124 of the relay server 12. A token that can use the storage 102 is registered. When the tenant account is changed, the plug-in DB account and the token DB account are changed according to the change, so that the user can correctly use the SP plug-in 121 and the token even in the account after the change.

<イントラ内ストレージの利用>
図4は、イントラ内ストレージ102を利用する場合(例えば、イントラ内ストレージ102に格納されている文書の取得)の処理フローチャートであり、ユーザ(イントラ内であってもイントラ外であってもよい)、中継サーバ12、SPプラグイン121、SP104及びイントラ内ストレージ102の処理である。 <Use of intra-storage>
FIG. 4 is a processing flowchart when the intra storage 102 is used (for example, acquisition of a document stored in the intra storage 102), and the user (may be inside or outside the intra). , Processing of the relay server 12, the SP plug-in 121, the SP 104, and the intra storage 102.

まず、ユーザは、端末を用いて中継サーバ12にログインし、クラウドサービス一覧の取得要求を行うと、中継サーバ12は、プラグインDB122から当該テナントが利用可能なプラグイン一覧を取得してユーザに返信する。   First, when a user logs in to the relay server 12 using a terminal and makes a cloud service list acquisition request, the relay server 12 acquires a plug-in list that can be used by the tenant from the plug-in DB 122, and Send back.

ユーザは、プラグイン一覧からSPプラグイン121を選択し、文書取得要求を行う。   The user selects the SP plug-in 121 from the plug-in list and makes a document acquisition request.

中継サーバ12は、アクセス先、つまりイントラ内ストレージ102を利用可能なトークンをトークンDB124から読み出し、SPプラグイン121は、SP104にアクセスする際に、このトークンをSP104に送信する。   The relay server 12 reads an access destination, that is, a token that can use the intra storage 102 from the token DB 124, and the SP plug-in 121 transmits this token to the SP 104 when accessing the SP 104.

SP104は、受信したトークンに適合する認証情報をアカウントマッピングDB101から読み出し、読み出した認証情報を用いてイントラ内ストレージ102にログインする。ログインに成功すると、ユーザからのリクエスト、つまり文書取得要求に応じた処理を実行し、要求された文書をユーザに送信する。   The SP 104 reads authentication information that matches the received token from the account mapping DB 101 and logs in to the intra storage 102 using the read authentication information. If the login is successful, the process according to the request from the user, that is, the document acquisition request is executed, and the requested document is transmitted to the user.

<トークンの更新処理>
図5は、イントラ内ストレージを利用する場合(例えば、イントラ内ストレージ102に文書を登録)の処理フローチャートであり、トークンの有効期限が切れている、あるいはパスワードが変更されている等の異常時の処理である。この場合、イントラ内ストレージ102を利用可能とするトークンの更新が必要となる。 <Token update process>
FIG. 5 is a processing flowchart in the case of using intra storage (for example, registering a document in intra storage 102), in the event of an abnormality such as a token expired or a password has been changed. It is processing. In this case, it is necessary to update the token to make the intra storage 102 available.

まず、イントラ内ユーザは、文書登録要求を中継サーバ12に対して行う。   First, the intra user makes a document registration request to the relay server 12.

中継サーバ12は、アクセス先、つまりイントラ内ストレージ102に対応するトークンをトークンDB124から読み出し、SPプラグイン121はSP104にトークンを渡す。   The relay server 12 reads the token corresponding to the access destination, that is, the intra storage 102, from the token DB 124, and the SP plug-in 121 passes the token to the SP 104.

SP104は、アカウントマッピングDB101からトークンに適合する認証情報を読み出すが、このとき、トークンが有効期限切れ、あるいはパスワードが変更されている等してトークンに適合する認証情報が存在しない場合、その旨をSPプラグイン121に返す。SPプラグイン121、すなわち中継サーバ12は、トークンが更新されるまで文書登録を保留するとともに、イントラ内ユーザに対してトークンの更新要求を返す。   The SP 104 reads the authentication information that matches the token from the account mapping DB 101. At this time, if there is no authentication information that matches the token because the token has expired or the password has been changed, the SP 104 notifies the SP. Return to plug-in 121. The SP plug-in 121, that is, the relay server 12, suspends document registration until the token is updated, and returns a token update request to the intra-user.

イントラ内ユーザは、中継サーバ12からのトークンの更新要求を受けて、SP104にアクセスし、トークンの更新要求を行う。なお、ユーザがイントラの外にいる場合には、SP104にアクセスできないため、イントラ内に戻るまでトークンの更新は行えない。   The intra-user receives the token update request from the relay server 12, accesses the SP 104, and makes a token update request. When the user is outside the intra, the SP 104 cannot be accessed, so the token cannot be updated until the user returns to the intra.

SP104は、イントラ内ユーザからの更新要求を受けて、イントラ内ストレージ102を利用可能なトークンを再発行することで更新し、更新後のトークンと認証情報を関連付けてアカウントマッピングDB101に再登録する。更新後のトークンには新たな有効期限が設定されており、かつ、更新後のトークンには変更後のパスワードを含む新たな認証情報が関連付けられる。   Upon receiving an update request from an intra-user, the SP 104 updates the intra-storage 102 by reissuing a usable token, and re-registers the updated token and authentication information in the account mapping DB 101 in association with each other. A new expiration date is set for the updated token, and new authentication information including the changed password is associated with the updated token.

SP104は、トークンを更新するとその旨を中継サーバ12及びイントラ内ユーザに返し、イントラ内ユーザは、中継サーバ12に対してトークンの更新を要求する。中継サーバ12は、SP104で更新されたトークンをアカウントと関連付けてトークンDB124に再登録する。中継サーバ12は、更新されたトークンをトークンDB124に再登録した後、保留していた文書登録要求を自動的に再開し、SPプラグイン121はSP104に更新後のトークンを渡して文書登録を要求する。SP104は、受信したトークンに適合する認証情報をアカウントマッピングDB101から読み出し、読み出した認証情報を用いてイントラ内ストレージ102にアクセスして文書登録を行う。   When the SP 104 updates the token, the SP 104 returns a message to that effect to the relay server 12 and the intra-user, and the intra-user requests the relay server 12 to update the token. The relay server 12 associates the token updated at SP 104 with the account and re-registers it in the token DB 124. The relay server 12 automatically re-registers the updated token in the token DB 124 and then automatically resumes the pending document registration request, and the SP plug-in 121 passes the updated token to the SP 104 to request document registration. To do. The SP 104 reads authentication information suitable for the received token from the account mapping DB 101, and accesses the intra storage 102 using the read authentication information to perform document registration.

以上のように、イントラ内のトークン更新やパスワード変更が必要になった場合でも、中継サーバ12に対する文書登録等のリクエストを保留し、トークンの更新の完了とともに保留したリクエストを自動的に再開することで、効率的な処理が可能となる。   As described above, even if it is necessary to update the token or change the password in the intra, the request for document registration to the relay server 12 is suspended, and the suspended request is automatically resumed upon completion of the token update. Thus, efficient processing is possible.

10 イントラネット(イントラ)、12 中継サーバ、14 クラウドA、16 クラウドB、101 アカウントマッピングデータベース(DB)、102 イントラ内ストレージ、103 クライアント(アプリケーション)、104 ストレージプロキシ(SP)、121 ストレージプロキシ用プラグイン(SPプラグイン)、122 プラグインデータベース(DB)、123 アカウントデータベース(DB)、124 トークンデータベース(DB)、125 プラグインA、126 プラグインB。   10 intranet (intra), 12 relay server, 14 cloud A, 16 cloud B, 101 account mapping database (DB), 102 intra storage, 103 client (application), 104 storage proxy (SP), 121 plug-in for storage proxy (SP plug-in), 122 plug-in database (DB), 123 account database (DB), 124 token database (DB), 125 plug-in A, 126 plug-in B.

Claims (3)

イントラネット内に、
ストレージと、
前記ストレージの利用を許可するための認証情報と関連付けられたトークンを発行するプロキシと、
前記認証情報と関連付けられた前記トークンを記憶する第1データベースと、
が設けられ、
前記イントラネットからインターネット上のクラウドにアクセスする中継サーバに、
前記トークンをアカウントと関連付けて記憶する第2データベースと、
前記トークンを用いて前記プロキシにアクセスする処理手段
が設けられる情報処理システム。 Within the intranet,
Storage,
A proxy that issues a token associated with authentication information for permitting use of the storage;
A first database that stores the token associated with the authentication information;
Is provided,
To the relay server that accesses the cloud on the Internet from the intranet,
A second database for storing the token in association with an account;
An information processing system provided with processing means for accessing the proxy using the token. 前記中継サーバは、ユーザ端末から前記ストレージの利用が要求された場合に、前記第2データベースから前記トークンを読み出して前記プロキシに送信し、
前記プロキシは、前記第1データベースから前記トークンに関連付けられた前記認証情報を用いて前記ストレージにアクセスする、
請求項1に記載の情報処理システム。 The relay server reads the token from the second database and sends it to the proxy when the user terminal requests use of the storage,
The proxy accesses the storage using the authentication information associated with the token from the first database;
The information processing system according to claim 1. 前記プロキシは、前記トークンが利用不可の場合に更新トークンを発行して前記認証情報と関連付けて前記第1データベースに記憶し、
前記中継サーバは、前記更新トークンを前記アカウントと関連付けて前記第2データベースに記憶し、かつ、前記トークンが利用不可の場合に保留していた前記ユーザ端末からの要求を自動的に開始して前記更新トークンを前記プロキシに送信する、
請求項2に記載の情報処理システム。 The proxy issues an update token when the token is unavailable and stores it in the first database in association with the authentication information;
The relay server stores the update token in the second database in association with the account, and automatically initiates a request from the user terminal that has been suspended when the token is not available. Send a refresh token to the proxy;
The information processing system according to claim 2.
JP2015118107A 2015-06-11 2015-06-11 Information processing system Active JP6459785B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015118107A JP6459785B2 (en) 2015-06-11 2015-06-11 Information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015118107A JP6459785B2 (en) 2015-06-11 2015-06-11 Information processing system

Publications (2)

Publication Number Publication Date
JP2017004286A true JP2017004286A (en) 2017-01-05
JP6459785B2 JP6459785B2 (en) 2019-01-30

Family

ID=57754778

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015118107A Active JP6459785B2 (en) 2015-06-11 2015-06-11 Information processing system

Country Status (1)

Country Link
JP (1) JP6459785B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021528722A (en) * 2018-06-25 2021-10-21 オラクル・インターナショナル・コーポレイション Integration of Declarative Third Party Identity Providers for Multitenant Identity Cloud Services

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006512648A (en) * 2002-12-31 2006-04-13 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, data processing system, and computer program for managing user sessions (method and system for integrated sign-off in heterogeneous environments)
JP2012238150A (en) * 2011-05-11 2012-12-06 Ricoh Co Ltd Information processing system and information processing method
JP2014010769A (en) * 2012-07-02 2014-01-20 Fuji Xerox Co Ltd Relay device
WO2014163938A1 (en) * 2013-03-13 2014-10-09 Google Inc. Identification delegation for devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006512648A (en) * 2002-12-31 2006-04-13 インターナショナル・ビジネス・マシーンズ・コーポレーション Method, data processing system, and computer program for managing user sessions (method and system for integrated sign-off in heterogeneous environments)
JP2012238150A (en) * 2011-05-11 2012-12-06 Ricoh Co Ltd Information processing system and information processing method
JP2014010769A (en) * 2012-07-02 2014-01-20 Fuji Xerox Co Ltd Relay device
WO2014163938A1 (en) * 2013-03-13 2014-10-09 Google Inc. Identification delegation for devices

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021528722A (en) * 2018-06-25 2021-10-21 オラクル・インターナショナル・コーポレイション Integration of Declarative Third Party Identity Providers for Multitenant Identity Cloud Services
JP7281483B2 (en) 2018-06-25 2023-05-25 オラクル・インターナショナル・コーポレイション Declarative Third-Party Identity Provider Integration for Multi-Tenant Identity Cloud Services

Also Published As

Publication number Publication date
JP6459785B2 (en) 2019-01-30

Similar Documents

Publication Publication Date Title
US10897464B2 (en) Device registration, authentication, and authorization system and method
CN107005582B (en) Method for accessing public end point by using credentials stored in different directories
Richer Oauth 2.0 token introspection
US9571494B2 (en) Authorization server and client apparatus, server cooperative system, and token management method
US10154036B2 (en) Authorization delegation system, control method, authorization server, and storage medium
CN111314340B (en) Authentication method and authentication platform
US20140317707A1 (en) Method for sharing data of device in m2m communication and system therefor
JP7096736B2 (en) System and data processing method
JP5342020B2 (en) Group definition management system
CN103262466A (en) Authentication system, authentication server, service provision server, authentication method, and computer-readable recording medium
JP6572750B2 (en) Authentication control program, authentication control device, and authentication control method
JP2014099030A (en) Device unit, control method, and program thereof
US20060282881A1 (en) Replicating selected secrets to local domain controllers
JP2020177537A (en) Authentication/authorization server, client, service providing system, access management method, and program
KR101824562B1 (en) Gateway and method for authentication
CN106330836B (en) Access control method of server to client
CN110365632A (en) Certification in computer network system
JP2016148919A (en) User attribute information management system and user attribute information management method
JP2015176546A (en) Relay device, system, and program
JP6719875B2 (en) Authentication server, authentication method and program
US11075922B2 (en) Decentralized method of tracking user login status
JP2017120502A (en) Method for registering iot device to cloud service
JP6459785B2 (en) Information processing system
KR20150116537A (en) Method for user authentication in virtual private cloud system and apparatus for providing virtual private cloud service
US20170339152A1 (en) Computing device configuration change management via guest keys

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181217

R150 Certificate of patent or registration of utility model

Ref document number: 6459785

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350