JP2017059149A - Authentication system and authentication method - Google Patents

Authentication system and authentication method Download PDF

Info

Publication number
JP2017059149A
JP2017059149A JP2015185414A JP2015185414A JP2017059149A JP 2017059149 A JP2017059149 A JP 2017059149A JP 2015185414 A JP2015185414 A JP 2015185414A JP 2015185414 A JP2015185414 A JP 2015185414A JP 2017059149 A JP2017059149 A JP 2017059149A
Authority
JP
Japan
Prior art keywords
authentication
web browser
web
server
client terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015185414A
Other languages
Japanese (ja)
Inventor
哲郎 五月女
Tetsuo Saotome
哲郎 五月女
幸三 大塚
Kozo Otsuka
幸三 大塚
昇 奥村
Noboru Okumura
昇 奥村
智之 上條
Tomoyuki Kamijo
智之 上條
憲司 村上
Kenji Murakami
憲司 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Axio Corp
Original Assignee
Axio Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axio Corp filed Critical Axio Corp
Priority to JP2015185414A priority Critical patent/JP2017059149A/en
Publication of JP2017059149A publication Critical patent/JP2017059149A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an authentication system and authentication method that can resolve defects occurring upon authenticating a web service having access restricted thanks to an SSO using account information without greatly changing an existing system infrastructure environment.SOLUTION: An authentication system comprises: a first authentication device that conducts authentication according to OS account information on a client terminal; a second authentication device that conducts authentication according to Form authentication information input in a login form in a web browser; and an allocation server that discriminates a category of the web browser, and performs control so that when the web browser is a prescribed web browser, the authentication is conducted by the first authentication device and when the web browser is not the prescribed web browser, the authentication is conducted by the second authentication device.SELECTED DRAWING: Figure 2

Description

本発明は、アクセス制限されたwebサービスの認証をシングルサインオンにより行う認証システム及び認証方法に関する。   The present invention relates to an authentication system and an authentication method for performing authentication of an access-restricted web service by single sign-on.

近年、シングルサインオン(SSO:Single Sign-On)と呼ばれる統合認証技術が普及している(例えば特許文献1)。SSOによれば、個別に認証処理が必要な複数のwebサービス(例えばグループウェアのアプリケーション)を、一度のログイン操作によるユーザー認証だけで利用できるようになる。SSOにより連携しているwebサービスを「SSO連携サービス」と称する。   In recent years, an integrated authentication technique called Single Sign-On (SSO) has become widespread (for example, Patent Document 1). According to SSO, a plurality of web services (for example, groupware applications) that require individual authentication processing can be used only by user authentication by a single login operation. The web service linked by SSO is referred to as “SSO linked service”.

特に、windows(登録商標)の標準ブラウザーであるインターネットエクスプローラー(登録商標、以下「IE」と称する)の場合、個別に認証処理が必要な複数のwebサービスにアクセスする場合には、マイクロソフト社製のアクティブディレクトリに参加することで、統合windows認証を利用することができる(例えば特許文献2)。統合windows認証では、オペレーティングシステム(以下「OS」と称する)にログインする際のアカウント情報(ユーザーID及びパスワード、以下「OSアカウント情報」と称する)によって、初回アクセス時の認証が行われる。   In particular, in the case of Internet Explorer (registered trademark, hereinafter referred to as “IE”), which is a standard browser of Windows (registered trademark), when accessing a plurality of web services that require individual authentication processing, By participating in the active directory, integrated windows authentication can be used (for example, Patent Document 2). In integrated Windows authentication, authentication at the first access is performed by account information (user ID and password, hereinafter referred to as “OS account information”) when logging in to an operating system (hereinafter referred to as “OS”).

図1は、統合windows認証を利用してシングルサインオンを行う、従来の認証システム60の一例を示す図である。図1に示すように、認証システム60は、例えばLAN(Local Area Network)等の企業内ネットワークN1に接続された、認証処理が必要な複数のwebサーバー20が提供するwebサービスを利用する際の認証を行う。この認証には、企業内ネットワークN1内に存在しているクライアント端末53が、アクティブディレクトリ40に参加することで、統合windows認証を利用することができる。また、インターネットN2からVPNサーバー55(VPN:Virtual Private Network)を介して、外部のクライアント端末51もアクティブディレクトリ40に参加することで、同様に統合windows認証を利用することができる。   FIG. 1 is a diagram illustrating an example of a conventional authentication system 60 that performs single sign-on using integrated windows authentication. As shown in FIG. 1, the authentication system 60 uses a web service provided by a plurality of web servers 20 that require authentication processing and are connected to a corporate network N1 such as a LAN (Local Area Network). Authenticate. For this authentication, the client terminal 53 existing in the corporate network N1 can participate in the active directory 40 to use integrated windows authentication. Further, by joining the external client terminal 51 to the active directory 40 via the VPN server 55 (VPN: Virtual Private Network) from the Internet N2, integrated Windows authentication can be similarly used.

認証システム60は、統合windows認証を実現する統合windows認証環境であり、リバースプロキシサーバー61及びSSOサーバー62を有する。リバースプロキシサーバー61とSSOサーバー62が協働して統合windows認証による認証処理を行う。以下に、webサーバー20への初回アクセス時の認証処理について説明する。   The authentication system 60 is an integrated Windows authentication environment that realizes integrated Windows authentication, and includes a reverse proxy server 61 and an SSO server 62. The reverse proxy server 61 and the SSO server 62 cooperate to perform authentication processing by integrated windows authentication. Below, the authentication process at the time of the first access to the web server 20 is demonstrated.

なお、クライアント端末50によってwebサーバー20が提供するwebサービスのURLへのアクセス要求があった場合、DNSサーバー54によって、リバースプロキシサーバー61に接続されるようになっている。   When the client terminal 50 requests access to the URL of the web service provided by the web server 20, the DNS server 54 connects to the reverse proxy server 61.

クライアント端末53がOSにログインした時、アクティブディレクトリ40からTGT(Ticket Granting Ticket)と呼ばれる認証チケットが発行される。この状態でクライアント端末53のIEが、webサーバー20が提供するwebサービスへのアクセスを要求すると、リバースプロキシサーバー61は、クライアント端末53がSSOサーバー62に認証されているかを判断する。   When the client terminal 53 logs in to the OS, an authentication ticket called TGT (Ticket Granting Ticket) is issued from the active directory 40. In this state, when the IE of the client terminal 53 requests access to the web service provided by the web server 20, the reverse proxy server 61 determines whether the client terminal 53 is authenticated by the SSO server 62.

ユーザーが未認証であることが確認されると、SSOサーバー62は認証エラー(401エラー)で応答する。クライアント端末53のIEは401エラーを受け取るとSSOサーバー62に対し、認証チケットの情報とアクティブディレクトリ40に登録されているOSアカウント情報の照合を要求する。この要求を受けたSSOサーバー62は認証チケットの情報とアクティブディレクトリ40に登録されているOSアカウント情報の照合を行い、照合が成立すると、クライアント端末53のIEに対してSSOサーバー62の認証Cookieを発行する。   If it is confirmed that the user is not authenticated, the SSO server 62 responds with an authentication error (401 error). When receiving the 401 error, the IE of the client terminal 53 requests the SSO server 62 to collate the authentication ticket information with the OS account information registered in the active directory 40. Upon receiving this request, the SSO server 62 collates the authentication ticket information with the OS account information registered in the active directory 40. When the collation is established, the authentication cookie of the SSO server 62 is sent to the IE of the client terminal 53. Issue.

これにより、統合windows認証が成立するため、クライアント端末53は、この認証Cookieを利用してwebサーバー20が提供するwebサービスを含むSSO連携サービスを利用できるようになる。つまり、SSO連携サービスを利用する際に、その都度、ログイン操作を行うことなく、認証Cookieを所有していることをもってアクセスが許可される。   Accordingly, since integrated windows authentication is established, the client terminal 53 can use the SSO cooperation service including the web service provided by the web server 20 by using this authentication cookie. In other words, each time the SSO cooperation service is used, access is permitted by having an authentication cookie without performing a login operation.

一方、クライアント端末52がiPhone(登録商標)やiPad(登録商標)などであり、IE以外のwebブラウザー(例えばiOSの標準ブラウザーであるSafari(登録商標))から、webサーバー20が提供するwebサービスへアクセスを要求した場合、認証システム60において統合windows認証は行われない。統合windows認証においては、IEの使用が前提となっており、IE以外のwebブラウザーはサポートされていないためである。   On the other hand, the client terminal 52 is iPhone (registered trademark), iPad (registered trademark), or the like, and a web service provided by the web server 20 from a web browser other than IE (for example, Safari (registered trademark) which is a standard browser of iOS). When access is requested to the user, the authentication system 60 does not perform integrated windows authentication. This is because in the integrated windows authentication, the use of IE is assumed, and a web browser other than IE is not supported.

この場合、Safariは、認証エラー(401エラー)を無視して、SSOサーバー62に対して、認証を行うためのログインIDおよびログインパスワードを入力するログイン画面を要求する。このログイン画面を利用してSSOサーバー62へ認証を成立させる行為を「Form認証」と称する。ユーザーがForm認証を行うことにより、SSOサーバー62で入力されたログインIDおよびログインパスワードの照合が成立すると、クライアント端末52のSafariに対して認証Cookieが発行される。   In this case, Safari ignores the authentication error (401 error) and requests the SSO server 62 for a login screen for inputting a login ID and a login password for authentication. The act of establishing authentication with the SSO server 62 using this login screen is referred to as “Form authentication”. When the user performs form authentication and the verification of the login ID and the login password input by the SSO server 62 is established, an authentication cookie is issued to Safari of the client terminal 52.

特許第4652350号公報Japanese Patent No. 4652350 特開2013−8140号公報JP2013-8140A

上述したように、IE以外のwebブラウザーでは、統合windows認証による認証は行われず、Form認証による認証が行われる。しかしながら、使用するwebブラウザーによっては、認証エラーを解釈できずに、Form認証すらできなくなる場合がある。例えば、iOS7.0以降のバージョンにおいては、Safariで統合windows認証を利用しようとすると、通信エラーが発生し、Safariがハングアップしてしまう。このような問題の解決策としては、以下の3つの手法が一般的である。   As described above, web browsers other than IE do not perform authentication by integrated windows authentication, but perform authentication by form authentication. However, depending on the web browser to be used, an authentication error cannot be interpreted, and even form authentication may not be possible. For example, in the version after iOS 7.0, when attempting to use integrated windows authentication with Safari, a communication error occurs and Safari hangs up. As a solution for such a problem, the following three methods are generally used.

第一に、iOS7.0以降のバージョンは、エンタープライズシングルサインオン機能を有しているので、iOSの構成プロファイルを変更し、統合windows認証による認証を利用可能とすることが考えられる。しかしながら、本来的にアクセス権限のある全てのクライアント端末の管理が必要となる上、iOSは自動的にアップデートされるため、突然の動作不良などが生じる虞がある。   First, since the version of iOS 7.0 or later has an enterprise single sign-on function, it is conceivable that the configuration profile of iOS can be changed to use authentication by integrated windows authentication. However, it is necessary to manage all client terminals that have an access right inherently, and since the iOS is automatically updated, there is a possibility that a sudden malfunction or the like may occur.

第二に、SSO環境を導入する場合に設置されるロードバランサーの機能を利用して、認証時にアクセス元のwebブラウザーの種類を判別し、判別結果に基づいてアクセス先の認証環境(統合windows認証用の認証環境又はForm認証用の認証環境)を振り分けることが考えられる。しかしながら、webブラウザーの種類を判別する機能はロードバランサーに必須の機能ではなく、当該機能を有していないロードバランサーもあるため、標準的な解決策にはならない。   Second, using the load balancer function that is installed when the SSO environment is introduced, the type of the web browser of the access source is determined at the time of authentication, and the authentication environment of the access destination (for integrated windows authentication) is determined based on the determination result. Or an authentication environment for form authentication). However, the function of discriminating the type of web browser is not an essential function for a load balancer, and there is a load balancer that does not have the function, so it is not a standard solution.

第三に、IEがアクセスするDNSサーバーと、IE以外のwebブラウザーがアクセスするDNSサーバーを設置し、DNSサーバーによってアクセス先の認証環境を振り分けることが考えられる。しかしながら、クライアント端末やwebブラウザーごとにDNSサーバーを変えるというのは一般的な運用ではないため、多くの場合、システム基盤環境の再構築が必要となる。   Third, it is conceivable that a DNS server accessed by the IE and a DNS server accessed by a web browser other than the IE are installed, and the authentication environment of the access destination is distributed by the DNS server. However, since changing the DNS server for each client terminal or web browser is not a general operation, it is often necessary to reconstruct the system infrastructure.

本発明の目的は、OSアカウント情報を利用したSSOにより、アクセス制限されたwebサービスの認証を行う場合に生じる不具合を、既存のシステム基盤環境を大幅に変更することなく解消できる認証システム及び認証方法を提供することである。   SUMMARY OF THE INVENTION An object of the present invention is to provide an authentication system and an authentication method capable of eliminating problems that occur when authentication of a web service with access restriction is performed by SSO using OS account information without significantly changing an existing system infrastructure. Is to provide.

本発明に係る認証システムは、アクセス制限されたwebサービスに対してクライアント端末のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証システムであって、
前記クライアント端末のOSアカウント情報により認証を行う第1の認証装置と、
前記webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う第2の認証装置と、
前記webブラウザーの種類を判別し、当該webブラウザーが所定のwebブラウザーである場合に前記第1の認証装置で認証が行われるように制御する一方、当該webブラウザーが前記所定のwebブラウザーでない場合に前記第2の認証装置で認証が行われるように制御する振分けサーバーと、を備える。 An authentication system according to the present invention is an authentication system that performs authentication by SSO when an access request is made from a web browser of a client terminal to an access-restricted web service,
A first authentication device that performs authentication based on OS account information of the client terminal;
A second authentication device that performs authentication based on form authentication information input in a login form in the web browser;
When the type of the web browser is determined and control is performed so that authentication is performed by the first authentication device when the web browser is a predetermined web browser, while the web browser is not the predetermined web browser A distribution server that controls the second authentication apparatus to perform authentication.

本発明に係る認証方法は、アクセス制限されたwebサービスに対してクライアント端末のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証方法であって、
(A)前記webブラウザーの種類を判別する工程と、
(B)前記工程Aで判別されたwebブラウザーが所定のwebブラウザーである場合に、前記クライアント端末のOSアカウント情報により認証を行う工程と、
(C)前記工程Aで判別されたwebブラウザーが前記所定のwebブラウザーでない場合に、前記webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う工程と、を備えることを特徴とする。 An authentication method according to the present invention is an authentication method for performing authentication by SSO when an access request is made from a web browser of a client terminal to an access-restricted web service,
(A) determining the type of the web browser;
(B) when the web browser determined in the step A is a predetermined web browser, authenticating with the OS account information of the client terminal;
(C) when the web browser determined in the step A is not the predetermined web browser, the web browser performs authentication based on the form authentication information input in the login form.

本発明によれば、予めwebブラウザーに対応付けられた認証装置が当該webブラウザーに適した認証処理を行うので、OSアカウント情報を利用したSSOにより、アクセス制限されたwebサービスの認証を行う場合に生じる不具合を、既存のシステム基盤環境を大幅に変更することなく解消することができる。   According to the present invention, since the authentication device associated with the web browser in advance performs authentication processing suitable for the web browser, when authenticating the access-restricted web service by SSO using OS account information. Problems that arise can be resolved without significantly changing the existing system infrastructure.

統合windows認証を利用してシングルサインオンを行う、従来の認証システムの一例を示す図である。It is a figure which shows an example of the conventional authentication system which performs single sign-on using integrated windows authentication. 本発明の一実施の形態に係る認証システムの一例を示す図である。It is a figure which shows an example of the authentication system which concerns on one embodiment of this invention. 本実施の形態の認証システムを利用した初回アクセス時の認証処理の一例を示す図である。It is a figure which shows an example of the authentication process at the time of the first access using the authentication system of this Embodiment. 本実施の形態の認証システムを利用した初回アクセス時の認証処理の他の一例を示す図である。It is a figure which shows another example of the authentication process at the time of the first access using the authentication system of this Embodiment.

以下、本発明の実施の形態を、図面を参照して詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図2は、本発明の一実施の形態に係る認証システム10を示す図である。図2に示すように、認証システム10、webサーバー20、振分けサーバー30、及びアクティブディレクトリ40は、例えばLAN等の企業内ネットワークN1に接続される。   FIG. 2 is a diagram showing an authentication system 10 according to an embodiment of the present invention. As shown in FIG. 2, the authentication system 10, the web server 20, the distribution server 30, and the active directory 40 are connected to a corporate network N1, such as a LAN.

認証システム10は、クライアント端末50が、webサーバー20が提供するアクセス制限されたwebサービスを利用する際のシングルサインオンを実現する。認証システム10によって初回アクセス時の認証が行われ、認証Cookieが発行されると、webサーバー20が提供するwebサービスを含むSSO連携サービスを個別に認証処理することなく利用することができる。   The authentication system 10 realizes single sign-on when the client terminal 50 uses a web service with access restriction provided by the web server 20. When authentication at the time of the first access is performed by the authentication system 10 and an authentication cookie is issued, the SSO cooperation service including the web service provided by the web server 20 can be used without performing individual authentication processing.

webサーバー20が提供するwebサービスには、企業内ネットワークN1内に存在し、アクティブディレクトリ40に参加しているクライアント端末53だけでなく、インターネットN2から、VPNサーバー55を介して、外部のクライアント端末51、52もアクセスできる。   The web service provided by the web server 20 includes an external client terminal from the Internet N2 via the VPN server 55 as well as the client terminal 53 that exists in the corporate network N1 and participates in the active directory 40. 51 and 52 are also accessible.

クライアント端末51、53は、OSがwindowsであり、windowsの標準ブラウザーであるIEでwebサービスを利用する場合、統合windows認証環境によるSSOがサポートされる。クライアント端末52は、OSがiOSであり、iOSの標準ブラウザーであるSafariでwebサービスを利用する場合、iOSの構成ファイルを変更するなどしない限り、初期設定では、統合windows認証環境によるSSOはサポートされない。   In the client terminals 51 and 53, when the OS is Windows and the web service is used by the IE which is a standard browser of Windows, SSO using an integrated Windows authentication environment is supported. When the OS is iOS and the web service is used in Safari, which is the standard browser of iOS, the client terminal 52 does not support SSO with an integrated Windows authentication environment by default unless the configuration file of the iOS is changed. .

認証システム10は、第1の認証装置11、第2の認証装置12、及びwebブラウザーの種類を判別し、判別結果に基づいて認証装置先を制御する振分けサーバー30を備える。   The authentication system 10 includes a distribution server 30 that determines the types of the first authentication device 11, the second authentication device 12, and the web browser, and controls the authentication device destination based on the determination result.

第1の認証装置11は、統合windows認証を実現する認証環境であり、リバースプロキシサーバー111及びSSOサーバー112を有する。webサーバー20が提供するwebサービスへの初回アクセス時に、リバースプロキシサーバー111とSSOサーバー112が協働して、統合windows認証による認証処理を行う。   The first authentication device 11 is an authentication environment that realizes integrated Windows authentication, and includes a reverse proxy server 111 and an SSO server 112. When the web service provided by the web server 20 is accessed for the first time, the reverse proxy server 111 and the SSO server 112 cooperate to perform authentication processing using integrated windows authentication.

第2の認証装置12は、Form認証を実現する認証環境であり、リバースプロキシサーバー121及びSSOサーバー122を有する。webサーバー20が提供するwebサービスへの初回アクセス時に、リバースプロキシサーバー121とSSOサーバー122が協働して、Form認証による認証処理を行う。   The second authentication device 12 is an authentication environment that realizes form authentication, and includes a reverse proxy server 121 and an SSO server 122. When the web service provided by the web server 20 is accessed for the first time, the reverse proxy server 121 and the SSO server 122 cooperate to perform an authentication process using form authentication.

アクティブディレクトリ40には、企業内ネットワークN1の正規ユーザーOSアカウント情報が登録される。   In the active directory 40, regular user OS account information of the corporate network N1 is registered.

振分けサーバー30は、インターネットN2に接続するクライアント端末51、52が、VPNサーバー55を介して、webサーバー20が提供するサービスへのアクセス要求を行った場合に、クライアント端末51、52のwebブラウザーの種類を判別し、アクセス先を決定する。具体的には、振分けサーバー30は、アクセス元のwebブラウザーの種類を判別し、当該webブラウザーがIEである場合に第1の認証装置11で認証が行われるように制御する一方、当該webブラウザーがIEでない場合に第2の認証装置12で認証が行われるように制御する。   When the client terminal 51, 52 connected to the Internet N2 makes an access request to the service provided by the web server 20 via the VPN server 55, the distribution server 30 is connected to the web browser of the client terminal 51, 52. Determine the type and determine the access destination. Specifically, the distribution server 30 determines the type of the web browser that is the access source, and controls the first authentication device 11 to perform authentication when the web browser is an IE, while the web browser Control is performed so that authentication is performed by the second authentication device 12 when is not IE.

振分けサーバー30には、例えば「Apache HTTP Server」(以下「Apache」と称する)を適用する。Apacheの設定により、アクセス要求に含まれるUser-Agent HTTPヘッダーに基づいて、アクセス元のwebブラウザーの種類を判別し、第1の認証装置11又は第2の認証装置12に振り替える。   For example, “Apache HTTP Server” (hereinafter referred to as “Apache”) is applied to the distribution server 30. Based on the setting of Apache, the type of the web browser of the access source is determined based on the User-Agent HTTP header included in the access request, and is transferred to the first authentication device 11 or the second authentication device 12.

なお、クライアント端末51、52によってwebサーバー20が提供するwebサービスのURLへのアクセス要求があった場合、DNSサーバー54によって、振分けサーバー30に接続されるようになっている。   When there is an access request to the URL of the web service provided by the web server 20 from the client terminals 51 and 52, the DNS server 54 is connected to the distribution server 30.

以下に、webサーバー20が提供するwebサービスへの初回アクセス時の認証処理について説明する。   Below, the authentication process at the time of the first access to the web service which the web server 20 provides is demonstrated.

図3は、本実施の形態の認証システム10を利用した初回アクセス時の認証処理の一例を示す図である。図3は、webブラウザーがIEであるクライアント端末51からアクセス要求が行われる場合の処理フローを示す。   FIG. 3 is a diagram illustrating an example of authentication processing at the time of first access using the authentication system 10 of the present embodiment. FIG. 3 shows a processing flow when an access request is made from the client terminal 51 whose web browser is IE.

ステップS101において、クライアント端末51のIEは、webサーバー20が提供するwebサービスへのアクセス要求を行う。当該webサービスのURLは、例えば「http://test-web.com」である。DNSサーバー54によって、「http://test-web.com」に関連づけられているIPアドレスが判明し、アクセス要求は振分けサーバー30に送信される。   In step S <b> 101, the IE of the client terminal 51 makes an access request to the web service provided by the web server 20. The URL of the web service is, for example, “http://test-web.com”. The DNS server 54 determines the IP address associated with “http://test-web.com”, and transmits the access request to the distribution server 30.

ステップS102において、振分けサーバー30は、アクセス要求を行ったwebブラウザーの種類を判別する。ここでは、アクセス要求を行ったwebブラウザーはIEである。   In step S102, the distribution server 30 determines the type of the web browser that has made the access request. Here, the web browser that made the access request is IE.

ステップS103、S104において、振分けサーバー30は、IEに対応するSSO環境である第1の認証装置11にアクセスするようにwebブラウザーに対して回答を行う。回答内容である第1の認証装置11のURLは、振分けサーバー30で管理される設定ファイルに基づき、例えば「http://test-web-win.com」となる。   In steps S103 and S104, the distribution server 30 makes a response to the web browser so as to access the first authentication device 11 which is an SSO environment corresponding to the IE. The URL of the first authentication device 11 that is the reply content is, for example, “http://test-web-win.com” based on the setting file managed by the distribution server 30.

ステップS105において、第1の認証装置11は、統合windows認証により、認証を行う。具体的には、SSOサーバー112は、クライアント端末51の認証チケットの情報とアクティブディレクトリ40に登録されているOSアカウント情報による照合を行い、照合が成立すると、クライアント端末51のIEに対して認証Cookieを発行する。   In step S <b> 105, the first authentication device 11 performs authentication by integrated windows authentication. Specifically, the SSO server 112 compares the authentication ticket information of the client terminal 51 with the OS account information registered in the active directory 40. When the verification is established, the SSO server 112 authenticates the IE of the client terminal 51 with an authentication cookie. Issue.

ステップS106において、第1の認証装置11は、webサーバー20に対して、クライアント端末51によるwebサービスの利用を許可する。このとき、アクセス先のURLを本来のアクセス先である「http://test-web.com」に変換する。アクセス先のURLが、第1の認証装置11のURL「http://test-web-win.com」のままだと、webサービスにおいて誤動作が生じる虞があるためである。アクセス先のURLを変換することにより、webサービスを正常に動作させることができる。   In step S <b> 106, the first authentication device 11 permits the web server 20 to use the web service by the client terminal 51. At this time, the URL of the access destination is converted to “http://test-web.com” which is the original access destination. This is because if the URL of the access destination is the URL “http://test-web-win.com” of the first authentication device 11, malfunction may occur in the web service. By converting the URL of the access destination, the web service can be operated normally.

ステップS107において、webサーバー20は、クライアント端末51に対して、アクセス要求されたwebサービスを提供する。なお、クライアント端末51は、第1の認証装置11によって発行された認証Cookieを利用して、webサーバー20が提供するwebサービスを含むSSO連携サービスを個別に認証処理することなく利用することができる。   In step S <b> 107, the web server 20 provides the access requested web service to the client terminal 51. The client terminal 51 can use the SSO cooperation service including the web service provided by the web server 20 without performing individual authentication processing by using the authentication cookie issued by the first authentication device 11. .

図4は、本実施の形態の認証システムを利用した初回アクセス時の認証処理の一例を示すフローチャートである。図4は、webブラウザーがSafariであるクライアント端末52からアクセス要求が行われる場合の処理フローを示す。   FIG. 4 is a flowchart showing an example of authentication processing at the time of first access using the authentication system of the present embodiment. FIG. 4 shows a processing flow when an access request is made from the client terminal 52 whose web browser is Safari.

ステップS201において、クライアント端末52のSafariは、webサーバー20が提供するwebサービスへのアクセス要求を行う。当該webサービスのURLは、例えば「http://test-web.com」である。DNSサーバー54によって、「http://test-web.com」に関連づけられているIPアドレスが判明し、アクセス要求は振分けサーバー30に送信される。   In step S <b> 201, the Safari of the client terminal 52 makes an access request to the web service provided by the web server 20. The URL of the web service is, for example, “http://test-web.com”. The DNS server 54 determines the IP address associated with “http://test-web.com”, and transmits the access request to the distribution server 30.

ステップS202において、振分けサーバー30は、アクセス要求を行ったwebブラウザーの種類を判別する。ここでは、アクセス要求を行ったwebブラウザーはSafariである。   In step S202, the distribution server 30 determines the type of the web browser that has made the access request. Here, the web browser that made the access request is Safari.

ステップS203、S204において、振分けサーバー30は、Safariに対応するSSO環境である第2の認証装置12にアクセスするようにwebブラウザーに対して回答を行う。回答内容である第2の認証装置12のURLは、振分けサーバー30で管理される設定ファイルに基づき、例えば「http://test-web-form.com」となる。   In steps S <b> 203 and S <b> 204, the distribution server 30 replies to the web browser so as to access the second authentication device 12 that is an SSO environment corresponding to Safari. The URL of the second authentication device 12 as the response content is, for example, “http://test-web-form.com” based on the setting file managed by the distribution server 30.

ステップS205において、第2の認証装置12は、Form認証により認証を行う。具体的には、SSOサーバー122は、クライアント端末52のSafariにForm認証用のログインフォーム画面を表示する。ユーザーがForm認証情報(ログインID及びログインパスワード)を入力して送信することに伴い、第2の認証装置12は、入力されたログインID及びログインパスワード情報とOSアカウント情報による照合を行い、照合が成立すると、クライアント端末52のIEに対して認証Cookieを発行する。   In step S205, the second authentication device 12 performs authentication by form authentication. Specifically, the SSO server 122 displays a login form screen for form authentication on Safari of the client terminal 52. As the user inputs and transmits the form authentication information (login ID and login password), the second authentication device 12 collates the input login ID and login password information with the OS account information. If established, an authentication cookie is issued to the IE of the client terminal 52.

ステップS206において、第2の認証装置12は、webサーバー20に対して、クライアント端末52によるwebサービスの利用を許可する。このとき、アクセス先のURLを本来のアクセス先である「http://test-web.com」に変換する。アクセス先のURLが、第2の認証装置12のURL「http://test-web-form.com」のままだと、webサービスにおいて誤動作が生じる虞があるためである。アクセス先のURLを変換することにより、webサービスを正常に動作させることができる。   In step S <b> 206, the second authentication device 12 permits the web server 20 to use the web service by the client terminal 52. At this time, the URL of the access destination is converted to “http://test-web.com” which is the original access destination. This is because if the URL of the access destination is the URL “http://test-web-form.com” of the second authentication device 12, malfunction may occur in the web service. By converting the URL of the access destination, the web service can be operated normally.

ステップS207において、webサーバー20は、クライアント端末52に対して、アクセス要求されたwebサービスを提供する。なお、クライアント端末52は、第2の認証装置12によって発行された認証Cookieを利用して、webサーバー20が提供するwebサービスを含むSSO連携サービスを個別に認証処理することなく利用することができる。   In step S <b> 207, the web server 20 provides the access requested web service to the client terminal 52. The client terminal 52 can use the SSO cooperation service including the web service provided by the web server 20 without performing individual authentication processing by using the authentication cookie issued by the second authentication device 12. .

実施の形態に係る認証システム10は、アクセス制限されたwebサービスに対してクライアント端末50のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証システムであって、クライアント端末50のOSアカウント情報により認証を行う第1の認証装置11と、webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う第2の認証装置12と、webブラウザーの種類を判別し、当該webブラウザーがIE(所定のwebブラウザー)である場合に第1の認証装置11で認証が行われるように制御する一方、当該webブラウザーがIEでない場合に第2の認証装置12で認証が行われるように制御する振分けサーバー30と、を備える。   The authentication system 10 according to the embodiment is an authentication system that performs authentication by SSO when there is an access request from a web browser of the client terminal 50 for a web service with access restriction. The first authentication device 11 that performs authentication based on the account information, the second authentication device 12 that performs authentication based on the form authentication information input in the login form in the web browser, and the type of the web browser are determined. When the IE (predetermined web browser) is used, control is performed so that authentication is performed by the first authentication device 11, while when the web browser is not IE, control is performed so that authentication is performed by the second authentication device 12. And a distribution server 30 that performs distribution.

また、本実施の形態に係る認証方法は、アクセス制限されたwebサービスに対してクライアント端末50のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証方法であって、(A)webブラウザーの種類を判別する工程と、(B)工程Aで判別されたwebブラウザーがIE(所定のwebブラウザー)である場合に、クライアント端末50のOSアカウント情報により認証を行う工程と、(C)工程Aで判別されたwebブラウザーがIEでない場合に、webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う工程と、を備える。   The authentication method according to the present embodiment is an authentication method in which authentication is performed by SSO when an access request is made from a web browser of the client terminal 50 to an access-restricted web service. a step of discriminating the type of the web browser, a step of (B) authenticating with OS account information of the client terminal 50 when the web browser discriminated in step A is IE (predetermined web browser), and (C And when the web browser determined in step A is not IE, the web browser performs authentication using the form authentication information entered in the login form.

実施の形態に係る認証システム10及び認証方法によれば、予めwebブラウザーに対応付けられた第1の認証装置11又は第2の認証装置12が当該webブラウザーに適した認証処理を行う。したがって、OSアカウント情報を利用したSSOにより、アクセス制限されたwebサービスの認証を行う場合に生じる不具合(SSO環境でサポートされていないwebブラウザーのハングアップ等)を、振分けサーバー30を設けるだけで、既存のシステム基盤環境を大幅に変更することなく解消することができる。すなわち、ユーザーがwebブラウザーによる統合windows認証の可否を意識する必要のない、webブラウザーに依存しないSSO環境を構築することができる。   According to the authentication system 10 and the authentication method according to the embodiment, the first authentication device 11 or the second authentication device 12 associated in advance with a web browser performs an authentication process suitable for the web browser. Therefore, the trouble that occurs when the web service with restricted access is authenticated by SSO using OS account information (such as hang-up of a web browser that is not supported in the SSO environment) can be obtained simply by providing the distribution server 30. The existing system infrastructure can be resolved without drastically changing. In other words, it is possible to construct an SSO environment that does not depend on a web browser and does not require the user to be aware of whether or not integrated windows authentication is possible using the web browser.

また、ネットワーク管理者は、本来的にアクセス権限のある全てのクライアント端末の構成ファイルを変更する必要はなく、さらにはiOSが自動的にアップデートされても、それによる動作不良は生じない。   In addition, the network administrator does not need to change the configuration file of all the client terminals that are inherently authorized to access, and even if the iOS is automatically updated, no malfunction occurs.

以上、本発明者によってなされた発明を実施の形態に基づいて具体的に説明したが、本発明は上記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で変更可能である。   As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the present invention is not limited to the above embodiment, and can be changed without departing from the gist thereof.

例えば、本発明はwebブラウザーの種別に限定されないため、IE以外のwebブラウザーである、Safariや、FireFox、GoogleChromeなどに、振分けサーバー30で管理される設定ファイルを編集するだけで対応できる。   For example, since the present invention is not limited to the type of web browser, it is possible to cope with Safari, FireFox, GoogleChrome, and the like, which are web browsers other than IE, simply by editing the setting file managed by the distribution server 30.

また、同一のwebブラウザーにおいて、バージョンごとに認証方式を振分ける必要がある場合に、振分けサーバー30で管理される設定ファイルを編集するだけで対応できる。   Further, when it is necessary to distribute the authentication method for each version in the same web browser, it is possible to cope with it by simply editing the setting file managed by the distribution server 30.

将来的に新しいwebブラウザーが利用される場合においても、振分けサーバー30で管理される設定ファイルを編集するだけで対応できる。   Even when a new web browser is used in the future, it can be dealt with only by editing the setting file managed by the distribution server 30.

さらには、本発明を応用することにより、クライアント端末50のIPアドレスやwebブラウザーの言語情報によって認証方式を振分けることが考えられ、この場合も振分けサーバー30で管理される設定ファイルを編集するだけで対応できる。   Furthermore, by applying the present invention, it is conceivable that the authentication method is distributed according to the IP address of the client terminal 50 or the language information of the web browser. In this case, too, only the setting file managed by the distribution server 30 is edited. It can respond.

また、リバースプロキシサーバー111、121をそれぞれ複数台用意し、それぞれの前段にロードバランサーを備えるようにしてもよい。これにより、クライアント端末50からの処理要求を分散させ、一台当たりの負荷を低減することができる。   Alternatively, a plurality of reverse proxy servers 111 and 121 may be prepared, and a load balancer may be provided at each preceding stage. Thereby, the processing request from the client terminal 50 can be distributed, and the load per unit can be reduced.

今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。   The embodiment disclosed this time should be considered as illustrative in all points and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.

10 認証システム
11 第1の認証装置
12 第2の認証装置
111、121 リバースプロキシサーバー
112、122 SSOサーバー
20 webサーバー
30 振分けサーバー
40 アクティブディレクトリ
50、51〜53 クライアント端末
54 DNSサーバー
55 VPNサーバー DESCRIPTION OF SYMBOLS 10 Authentication system 11 1st authentication apparatus 12 2nd authentication apparatus 111, 121 Reverse proxy server 112, 122 SSO server 20 web server 30 Distribution server 40 Active directory 50, 51-53 Client terminal 54 DNS server 55 VPN server

Claims (4)

アクセス制限されたwebサービスに対してクライアント端末のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証システムであって、
前記クライアント端末のOSアカウント情報により認証を行う第1の認証装置と、
前記webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う第2の認証装置と、
前記webブラウザーの種類を判別し、当該webブラウザーが所定のwebブラウザーである場合に前記第1の認証装置で認証が行われるように制御する一方、当該webブラウザーが前記所定のwebブラウザーでない場合に前記第2の認証装置で認証が行われるように制御する振分けサーバーと、を備えることを特徴とする認証システム。 An authentication system that performs authentication by SSO when an access request is made from a web browser of a client terminal to an access-restricted web service,
A first authentication device that performs authentication based on OS account information of the client terminal;
A second authentication device that performs authentication based on form authentication information input in a login form in the web browser;
When the type of the web browser is determined and control is performed so that authentication is performed by the first authentication device when the web browser is a predetermined web browser, while the web browser is not the predetermined web browser An authentication system comprising: a distribution server that performs control so that authentication is performed by the second authentication device. 前記所定のwebブラウザーはwindows(登録商標)の標準ブラウザーであり、
前記第1の認証装置は、統合windows認証により認証を行うことを特徴とする請求項1に記載の認証システム。 The predetermined web browser is a standard browser of Windows (registered trademark),
The authentication system according to claim 1, wherein the first authentication device performs authentication by integrated windows authentication. 前記webブラウザーは、インターネットから、VPNサーバーを介して、前記webサービスにアクセスすることを特徴とする請求項1又は2に記載の認証システム。   The authentication system according to claim 1, wherein the web browser accesses the web service from the Internet via a VPN server. アクセス制限されたwebサービスに対してクライアント端末のwebブラウザーからアクセス要求があった場合に、SSOにより認証を行う認証方法であって、
(A)前記webブラウザーの種類を判別する工程と、
(B)前記工程Aで判別されたwebブラウザーが所定のwebブラウザーである場合に、前記クライアント端末のOSアカウント情報により認証を行う工程と、
(C)前記工程Aで判別されたwebブラウザーが前記所定のwebブラウザーでない場合に、前記webブラウザーにおいてログインフォームに入力されたForm認証情報により認証を行う工程と、を備えることを特徴とする認証方法。 An authentication method for performing authentication by SSO when there is an access request from a web browser of a client terminal to an access-restricted web service,
(A) determining the type of the web browser;
(B) when the web browser determined in the step A is a predetermined web browser, authenticating with the OS account information of the client terminal;
(C) when the web browser determined in the step A is not the predetermined web browser, the web browser performs authentication using form authentication information input in a login form. Method.
JP2015185414A 2015-09-18 2015-09-18 Authentication system and authentication method Pending JP2017059149A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015185414A JP2017059149A (en) 2015-09-18 2015-09-18 Authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015185414A JP2017059149A (en) 2015-09-18 2015-09-18 Authentication system and authentication method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2018025870A Division JP6710230B2 (en) 2018-02-16 2018-02-16 Authentication system and authentication method

Publications (1)

Publication Number Publication Date
JP2017059149A true JP2017059149A (en) 2017-03-23

Family

ID=58390602

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015185414A Pending JP2017059149A (en) 2015-09-18 2015-09-18 Authentication system and authentication method

Country Status (1)

Country Link
JP (1) JP2017059149A (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003157234A (en) * 2001-11-19 2003-05-30 Fujitsu Ltd Program for authenticating user terminal
JP2003179699A (en) * 2001-12-12 2003-06-27 Matsushita Electric Ind Co Ltd Household electric appliance remote control system via network, method for the same and authentication system
JP2005321970A (en) * 2004-05-07 2005-11-17 Hitachi Ltd Computer system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003157234A (en) * 2001-11-19 2003-05-30 Fujitsu Ltd Program for authenticating user terminal
JP2003179699A (en) * 2001-12-12 2003-06-27 Matsushita Electric Ind Co Ltd Household electric appliance remote control system via network, method for the same and authentication system
JP2005321970A (en) * 2004-05-07 2005-11-17 Hitachi Ltd Computer system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
山本 哲史: "根本から理解する Windowsセキュリティ", 日経WINDOWSプロ, vol. 第101号, JPN6017005714, 1 August 2005 (2005-08-01), JP, pages 52 - 67, ISSN: 0003503394 *

Similar Documents

Publication Publication Date Title
CN110999213B (en) Hybrid authentication system and method
CN109417557B (en) Method, system, and computer readable medium for authenticating a client accessing a hosted application
US9118657B1 (en) Extending secure single sign on to legacy applications
US9923897B2 (en) Edge server selection for enhanced services network
TWI400922B (en) Authentication of a principal in a federation
US8171538B2 (en) Authentication and authorization of extranet clients to a secure intranet business application in a perimeter network topology
TWI467982B (en) System and method for combining an access control system with a traffic management system
US8627410B2 (en) Dynamic radius
US9338007B1 (en) Secure delegated authentication for applications
US11418498B2 (en) Single sign on proxy for regulating access to a cloud service
KR20170063795A (en) Systems and methods for protecting network devices
CN107534557A (en) The Identity Proxy of access control and single-sign-on is provided
US10681023B2 (en) Self-service portal for provisioning passwordless access
KR20080053298A (en) Creating secure interactive connections with remote resources
JP2010176685A (en) System and method for secure network connectivity
WO2022247751A1 (en) Method, system and apparatus for remotely accessing application, device, and storage medium
JP2007310512A (en) Communication system, service providing server, and user authentication server
US20220345491A1 (en) Systems and methods for scalable zero trust security processing
WO2013170158A1 (en) Computer readable storage media for selective proxification of applications and method and systems utilizing same
CN105873053B (en) Method and system for embedding access authentication page into webpage and wireless access point
US9787679B2 (en) Teleconference system and storage medium storing program for teleconference
TWI569167B (en) Secure unified cloud storage
CN111108736A (en) Automatic address failover for receivers and browsers using cloud services
US11729334B2 (en) Communication system, device, and recording medium for remote access to electronic device through relaying device and converter
JP6710230B2 (en) Authentication system and authentication method

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170228

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171121