JP2017107343A - 認証連携システム及び認証連携方法、認可サーバー及びプログラム - Google Patents
認証連携システム及び認証連携方法、認可サーバー及びプログラム Download PDFInfo
- Publication number
- JP2017107343A JP2017107343A JP2015239750A JP2015239750A JP2017107343A JP 2017107343 A JP2017107343 A JP 2017107343A JP 2015239750 A JP2015239750 A JP 2015239750A JP 2015239750 A JP2015239750 A JP 2015239750A JP 2017107343 A JP2017107343 A JP 2017107343A
- Authority
- JP
- Japan
- Prior art keywords
- authorization token
- information
- authorization
- token
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/36—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
- G06Q20/367—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
- G06Q20/3674—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F17/00—Coin-freed apparatus for hiring articles; Coin-freed facilities or services
- G07F17/26—Coin-freed apparatus for hiring articles; Coin-freed facilities or services for printing, stamping, franking, typing or teleprinting apparatus
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
Abstract
【解決手段】クラウドサービスの認可トークン発行時にローカル認証情報を紐付けておくことで、認可トークン利用時に認可トークン情報からローカル認証情報を取得できるようにする。こうすることで、クラウドサービスで認可トークンからローカル認証のユーザーを特定でき、ローカル認証のユーザーを一意のユーザーとして認識することができる。
【選択図】図5
Description
前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納する手段と、
前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答する応答手段と
を有することを特徴とする認可サーバーにある。
前記クライアントデバイスは、
ユーザーが認可操作を行ったことでアプリケーションサーバーを利用する権限が委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として格納し、
前記認可サーバーに対して、ログインしたユーザーのローカルユーザー情報および前記代表トークン情報とともに認可トークン生成リクエストを送信し、
前記認可トークン生成リクエストに応じて第2の認可トークンを受信した場合、前記第2の認可トークンとともに、処理のリクエストをアプリケーションサーバーに送信し、
前記認可サーバーは、
前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに前記認可トークン生成リクエストを受信し、
前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して前記第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納し、
前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答し、
前記アプリケーションサーバーは、
前記クライアントデバイスから前記第2の認可トークンとともに処理のリクエストを受信すると、前記認可サーバーに対して前記認可トークン検証リクエストを送信し、前記認可トークン検証リクエストが成功した応答として、前記第2の認可トークンと関連付けられた前記ローカルユーザー情報を含む前記認可トークン情報を受信し、
前記ローカルユーザー情報で示されるユーザーまたは前記クライアントデバイスに対して前記処理のリクエストを処理することを特徴とする認証連携システムにある。
<システム構成>
図1は、本発明の実施形態に係る認証連携システムを含むモバイル印刷システムの全体構成を示す図である。
図において、クライアント端末102、プリンター103は、ローカルネットワーク101を介して1台又は複数台接続されている。クライアント端末102は、ローカルネットワーク101を介してインターネットワーク100にアクセスし、サーバー104〜109にアクセスすることができる。モバイル端末102は有線または無線LANを介してネットワークに接続する。
図2(a)は、クライアント端末102とサーバー104〜109の各サーバーのハードウェア構成の一例を示す図である。特に断らない限り、本実施形態に係る発明の機能が実行可能であるならば、単体の機器であっても、複数の機器からなるシステムであっても、本実施形態に係る発明が適用できることは言うまでもない。また、特に断らない限り、本実施形態に係る発明の機能が実行可能であるならば、LAN、WAN等のネットワークを介して接続が為され、処理が行われるシステムであっても本実施形態に係る発明を適用できることは言うまでもない。本実施形態ではシステムバス219により各構成要素が接続されているものとして説明する。
図2(b)は、プリンター103のハードウェア構成図である。ハードウェアの各構成要素は、システムバス230に接続されている。CPU231は装置全体の制御を行って、システムバス230に接続される各種デバイスとのアクセスを統括的に制御する。この制御は、ROM232に記憶された制御プログラム等あるいはディスクコントローラ(DKC235)を介して接続された外部メモリ236に記憶された制御プログラムやリソースデータ(資源情報)等に基づく。RAM233は、CPU231の主メモリ、ワークエリア等として機能するRAMで、図示しない増設ポートに接続されるオプションRAMによりメモリ容量を拡張することができるように構成されている。記憶装置240は大容量メモリとして機能する外部記憶装置である。操作パネル(操作部)239は、画面を表示し、また、画面を介したユーザーの操作指示を受け付ける。また、プリンター103の動作モード等の設定やプリンター103の動作状況の表示や、印刷するコンテンツデータを指定する等の操作を行うためのボタンおよび液晶パネル等の表示部も配置される。ネットワークコントローラ234は、ネットワークインターフェースカード(NIC)であり、該インターフェース234を介して外部装置とのデータのやり取りを行う。なお、図2(b)で示したプリントエンジン238は既知の印刷技術を利用するものであり、好適な実施系として例えば電子写真方式(レーザービーム方式)やインクジェット方式、昇華方(熱転写)方式等が挙げられる。ラスタコントローラ237は、PDL言語である印刷データを画像データに変換するコントローラである。機器I/F241は、USB等で接続可能な外部機器との接続I/Fである。本実施形態では、機器I/F241に、ICカードリーダー242が接続されており、ICカードに含まれるユーザー情報等を非接触で読み込み、プリンター103上で動作するアプリケーションプログラムが読み取った情報を利用することができるものである。
次に、本実施例を実施するために必要な図1に図示される各サーバー、プリンターのソフトウェア構成と、夫々が扱う管理情報について説明する。ローカル認証サーバー104は認証I/F1041、認証情報管理部1042、ローカル認証情報300を格納するストレージを含む。各ソフトウェアモジュールは図2(a)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。認証I/F1041はローカル認証サーバー104の各種インターフェースを提供し、受け付けた情報の妥当性の検証を行う。認証情報管理部1042は図9で説明するローカル認証情報300を管理し、認証I/Fが受け付けたリクエストに応じて、ユーザー認証の成否を応答する。 図9に示すローカル認証情報300はローカル認証サーバー104が外部メモリに記憶するデータテーブルである。これらのデータテーブルは、ローカル認証サーバー104のストレージではなく、インターネット100やローカルネットワーク101を介して通信可能に構成された別のサーバーに記憶するように構成することもできる。ローカル認証サーバー104が保持するデータテーブルはローカル認証情報300を含む。ローカル認証情報300は、業務サーバー105にアクセス可能なユーザーのユーザー情報としてドメイン名(ドメイン識別情報)301、ユーザー名(ユーザー識別情報)302、パスワード303を含む。ローカル認証サーバー104は、ローカル認証の対象となるユーザーにより入力されたユーザー認証情報と、ローカル認証情報300として登録されたユーザー認証情報の一致によりユーザーを認証する。ローカル認証情報300は、ローカル認証セキュリティドメイン110内でローカルに通用する認証情報である。
プリンター103は、ログインアプリケーション1031、認可サーバー連携クライアント1032、プルプリントアプリケーション1033を含む。、各ソフトウェアモジュールは、図2で示した記憶装置240に記憶されており、CPU231によってRAM33にロードされ実行される。なお以下の説明ではアプリケーションを「アプリ」と略称する。
ログインアプリ1031は、ローカル認証サーバー104と連携し、ローカルセキュリティドメイン110における認証を行う。ログインアプリ1031は、ICカードリーダー242からのログインするユーザーのユーザー認証情報(ユーザー情報とも呼ぶ。)の入力を受け付ける。そして、ローカル認証サーバー104に対して、ユーザー情報の妥当性の検証すなわちユーザー認証をリクエストする。ログインアプリ1031は、ローカル認証サーバー104からユーザー情報情報の検証が成功した、すなわちユーザー認証に成功したとの応答を受けた場合には、プルプリントアプリ1033に対してログインしたユーザーのユーザー情報を渡す。
認可サーバー連携クライアント1032は、OAuthの仕組みを利用して認可サーバー106と連携することで、プリンター103に対して、帳票サービスセキュリティドメイン111における権限の移譲を行う。本実施形態において、認可サーバー連携クライアント1032は、代表トークン400、認可サーバー情報410を保持し、管理する。代表トークンの例は図9に示す。認可サーバー情報410は、認可サーバー連携クライアント1032が認可サーバー106を特定するための情報であり、例えば認可サーバー106のURLなどである。認可サーバー情報410は、認可サーバー連携クライアント1032に例えばユーザーなどにより設定されている。
プルプリントアプリ1033は、データ変換サーバー108に対して認証印刷に係るリクエストの送信と、ストレージサーバー109からの印刷データの取得、プリントエンジン238への印刷データの転送を行い、印刷を実行する。プルプリントアプリ1033は、認可トークン情報420と、ローカル認証連携情報430を保持し、管理する。ローカル認証連携情報430は、プルプリントアプリ1033が予め保持しており、ローカル認証セキュリティドメイン110との連携をするか否かをtrue/falseで示す。図9(b)代表トークン情報400については、図9(b)に、認可サーバー連携クライアント1032が保持する代表トークン情報400の例を示す。代表トークン情報400は、認可サーバー106のクライアント情報500に登録されているクライアントが発行した認可トークンの情報で、顧客テナントを代表するクライアントに紐づく認可トークンの情報である。認可トークンID401は認可トークンを一意に識別可能な識別子である。クライアントID402、テナントID403それぞれは、当該認可トークンを発行した際の認可サーバー106のクライアント情報500で管理されるクライアントのクライアントID、テナントIDである。
後述の認証印刷フローの中で、プルプリントアプリ1033からのリクエストに従って、認可サーバー連携クライアント1032が代表トークン情報400を使用して認可サーバー106に認可トークン生成リクエストを送信する。認可トークン情報420は、その認可トークン生成リクエストに応じて発行される認可トークンと、ローカル認証セキュリティドメイン110のユーザーとを関連付けた情報である。換言すれば、クラウドサービスのクライアントと、ローカルサービスのユーザーとを紐づけた情報であるともいえる。図9(c)において、認可トークンID421は、認可トークンを一意に識別可能な識別子である。ユーザー名422、ドメイン名423はそれぞれ、ローカル認証サーバー105で管理される、ICカード認証によってログインアプリ1031からプルプリントアプリ1033が受け取ったローカル認証情報300に含まれるユーザー識別情報およびドメイン識別情報である。プルプリントアプリ1033は、認可サーバー連携クライアント1032から取得した認可トークンと、ログインアプ1031リから受け取ったログイン中のユーザー情報とを、トークン情報420によって紐付けて保持する。
認可サーバー106はWebサーバー1061、認可情報管理部1062、クライアント情報500と認可トークン情報510とを格納するストレージを有している。各ソフトウェアモジュールは図2(a)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。Webサーバー1061は認可サーバー106の各種インターフェースを提供し、受け付けた情報の妥当性の検証を行う。認可情報管理部1062はユーザー情報500と認可トークン情報510を管理し、Webサーバー1061が受け付けたリクエストに応じて、認可トークンの発行・スコープ確認・有効期限確認などを行う。
クライアント情報500は、サーバー106〜108にアクセス可能なクライアント情報が登録されている。本実施形態においてクライアント情報500には、プリンター103の情報がクライアントとして登録されている。クライアントIDは、クライアントを一意に識別する識別子である。シークレットは、ユーザーの正当性を判断するためのパスワードである。認可サーバー106は、クライアントから受信したクライアントIDとパスワードの組と、クライアント情報のクライアントID501とシークレット502の組との一致によりクライアントを特定する。スコープ503は、OAuthのスコープであり認可サーバー106が発行する認可トークンでアクセス可能な範囲を示す。本実施形態のスコープの種類はPrintを定義する。Printスコープは、プリンター103がデータ変換サーバー108のインターフェースにアクセスする際に必要なスコープである。テナントID504は、顧客テナントを一意に識別する識別子である。本実施形態では、テナントIDがuser_tenant1である顧客テナントの代表ユーザーとして、IDがuser0001のユーザーが定義し登録されている。
認可トークン情報510は、認可サーバー106により認可トークン生成リクエストを受け付けた際に生成される。1つのリクエストについて1レコードが生成される。認可トークン511は認可トークンを一意に識別可能な識別子である。有効期限512は、認可トークンの有効期限であり認可トークン生成リクエスト受信時間から一定時間後の値が登録される。有効期限を過ぎた認可トークンは無効である。スコープ513は認可トークンが利用可能なスコープであり、認可サーバー106への認可トークン生成リクエストで渡されるスコープが登録される。クライアントID514、テナントID515は夫々、認可サーバー106への認可トークン生成リクエストで渡されるクライアントID、テナントIDが登録される。アプリケーションIDはクライアントが複数アプリケーションで利用される場合に各アプリケーションを識別する識別子である。アプリケーションIDは認可サーバー106への認可トークン生成リクエストでアプリケーションIDが渡された場合に登録される。認可サーバー106への認可トークン生成リクエストでアプリケーションIDが渡されなかった場合は登録されない。本実施形態ではプリンター103から認可サーバー106への認可トークン生成リクエストにおいてアプリケーションIDにローカルユーザー情報(ユーザー名@ドメイン名)が指定され、アプリケーションID515として登録される。なお図3に示されたローカル認証情報からパスワードを除いたユーザー名とドメイン名とを含む情報をローカルユーザー情報と呼ぶことにする。
データ変換サーバー108は、Webサーバー1081、データ変換部1082、データ変換情報管理部1083、文書情報700、データ変換情報710、テナント設定情報720を格納するストレージを有する。各ソフトウェアモジュールは図2(a)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。Webサーバー1081はデータ変換サーバー108の各種インターフェースを提供し、受け付けた情報の妥当性の検証を行う。そして認可サーバー106に対して認可トークン検証リクエストや認可トークン情報取得リクエストを行う。データ変換部1082は、プリンター103からのリクエストに応じて、文書情報700として管理される帳票PDFをプリンター103で解釈可能な印刷データに変換を行う。データ変換情報管理部1083は、帳票サーバー107によってストレージサーバー109に保存された帳票PDFを文書情報700として管理するとともに、データ変換部1082で生成した印刷データをデータ変換情報710として管理する。さらに、データ変換情報管理部1083は、テナント設定情報720を管理し、Webサーバーが受け付けた印刷データ生成リクエストに応じて、データ変換部1081で印刷データを生成する。
データ変換情報710は、データ変換サーバー108により印刷データ生成リクエスト受信時に生成される。1つのリクエストについて1レコードが生成される。データ変換ID711は、データ変換サーバー108が印刷データ生成リクエストを受信した際に発行する、データ変換処理を一意に識別する識別子である。テナントID712、ユーザーID713は、データ変換サーバー108が印刷データ生成リクエスト受信時に生成する、データ変換対象の文書情報700のテナントID701、ユーザーID703とそれぞれ同じ値である。データURLは、データ変換サーバー108が生成する印刷データの保存先であるストレージサーバー109のURLである。なお、データ変換情報710には文書IDのフィールドをさらに含めて、文書情報700との関連付けを行ってもよい。
ストレージサーバー109はWebサーバー1091、ストレージ管理部1092、ファイル情報800を格納するストレージを有する。各ソフトウェアモジュールは図2(b)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。Webサーバー1071はストレージサーバー109の各種インターフェースを提供し、受け付けた情報の妥当性の検証を行う。そして不図示のストレージ認可サーバーに対して認可トークン検証リクエストを行う。ストレージ管理部1092は図8で説明するファイル情報800を管理し、アップロードリクエストされたファイルの入出力を行う。ストレージは図8で説明するストレージサーバー109が保持している情報やストレージサーバー109受信したファイルが格納されている。
ファイル情報800はストレージサーバー109に保存するファイルの情報である。データURLはストレージサーバー109に保存するファイルを一意に特定することができるURLである。ファイルパスはストレージ上のファイルパスでありファイルの格納場所を示す。データURLに対してリクエストすることによりストレージのファイル操作を行うことができる。たとえば、データURLに対してHTTP GETメソッドをリクエストすると対応するファイルがダウンロードできる。データURLに対してHTTP PUTメソッドにファイル添付してリクエストするとファイルをアップロードし保存できる。データURLに対してHTTP DELETEメソッドをリクエストすると対応するファイルを削除できる。
図3は、本実施の形態における、顧客テナントの代表ユーザーの権限のプリンター103への委譲を認可するフローを示した図である。
S3.1において、クライアント端末102のWebブラウザー1021は、プリンター103へ、必要なスコープを指定して、ユーザー認可設定リクエストを送信する。本実施形態では、たとえばプリンター103がデータ変換サーバー108のインターフェースにアクセスする際に必要なスコープであるPrintがスコープとして指定される。
S3.2において、プリンター103の認可サーバー連携クライアント1032は、ユーザー認可設定リクエストを受け付けると、認可設定画面へのリダイレクト指示をWebブラウザー1021に返す。そのリダイレクト指示は、Webブラウザー1021に、プリンター103の情報と必要な権限のスコープとを含む認可リクエストを認可サーバー106へ送信させるための指示である。
S3.3において、Webブラウザー1021は、受け取ったリダイレクト指示に従って認可サーバー106に対して認可設定画面リクエストを送信する。
S3.4において、認可サーバー106はWebサーバーで認可設定画面リクエストを受け取ると、認可設定画面リクエストに認証情報が付加されていない場合、ログイン状態でないと判断し、ログイン画面を返す。認証情報が付加されており、既にログインしている状態と判断した場合、認可サーバー106はクライアント情報500を参照し、ログインユーザーを特定する。
認可サーバー106はログインリクエストを受け付けると、クライアント情報500を参照してリクエストに含まれるテナントID、クライアントID、パスワードを検証する。すなわち、入力された認証情報と一致するレコードがクライアント情報500に含まれているか判定する。検証の結果ログインが成功すると、ログインしたクライアント情報を特定することができ、Webブラウザー1021に認証情報を返す。Webブラウザー1021は、認証情報を各リクエストに付加することで、認証状態を保持することができ、各サーバーは認証情報からログイン中のユーザー情報を特定できる。
S3.5において、Webブラウザー1021は、認可サーバー106から受け取った認可トークンを、代表トークン登録リクエストとともにプリンター103の認可サーバー連携クライアント1032に送信する。プリンター103の認可サーバー連携クライアント1032は代表トークン登録リクエストを受け付けると、代表トークン情報400として、受信した認可トークンの認可トークンID、クライアントID、テナントIDをそれぞれ登録する。
図5は、本実施の形態における、認証プリントを行うフローを示した図である。ここでは、図3のユーザー認可設定フローが済んでおり、認可サーバー106のユーザー情報500で管理されるユーザーによってプリンター103が認可され、代表トークン情報400がプリンター103に登録されているものとする。図5のシーケンスでは、プリンター103がクラウドサービスのクライアントであり、プリンター103をクライアントデバイスとも呼ぶ。図5において、S5.Xはリクエストを示し、S5.XRは、S5.Xのリクエストに対する応答を示す。
S5.1において、プリンター103のログインアプリは、ICカードリーダー242からドメイン名、ユーザー名、パスワードから成るローカル認証情報を受け付けると、S5.2において、ローカル認証サーバー104にユーザー認証リクエストを送信する。
ローカル認証サーバー104は、ローカル認証情報300を参照し、リクエストに含まれるローカル認証情報と照合して結果をプリンターに返す。ローカル認証情報300に該当するレコードがあれば認証は成功である。
プリンター103は、ローカル認証サーバー104から受け取った認証結果が失敗であった場合、エラーとして処理を終了する。認証結果が成功であった場合、プリンター103のログインアプリ1031は、ログインしたユーザーのローカル認証情報をプルプリントアプリ1033に渡す。さらに、プルプリントアプリ1033は、認可サーバー連携クライアント1032に対して、スコープとアプリケーションIDとを含む認可トークン取得リクエストを送る。ここで、プルプリントアプリ1033は、認可トークン生成リスエストに含めるアプリケーションIDとして指定する値をローカル認証連携情報430に応じて決定する。プルプリントアプリ1033は、ローカル認証連携情報430のローカル認証連携モードの値がtrueであった場合、アプリケーションIDとしてローカルユーザー情報(ユーザー名@ドメイン名)を指定する。ローカル認証連携モードの値がfalseの場合にはデフォルトの値を使用する。本実施形態では、デフォルトの値として、プリンター103上で動作しているプルプリントアプリ1033を識別する予め決められたIDとする。しかし、任意の文字列、または、アプリケーションIDを指定しなくてもてもよい。
認可サーバー106は、プリンター103から認可トークン生成リクエストを受け取ると、後述の図6に示す<認可サーバー106の認可トークン発行フロー>によって、認可トークンの発行を行いプリンター103に返す。認可サーバー連携クライアント1032は受け取った認可トークンをプルプリントアプリ1033に渡す。プルプリントアプリ1033は、認可トークンIDと、アプリケーションIDに含まれたローカルユーザー情報とを、認可トークンID421、ユーザー名422、ドメイン名423として認可トークン情報420に保持する。
S5.4において、プルプリントアプリ1033は、データ変換サーバー108に、S5.3で取得した認可トークンを含む文書情報取得リクエストを送信する。データ変換サーバー108は、文書情報取得リクエストを受け付けると、S5.4−1において、後述の<データ変換サーバー108の認可トークン検証フロー>(図6参照)を処理し、認可サーバー106に対して認可トークン検証リクエストを行って、認可トークンが正当なものであれば、当該認可トークンに対応する認可トークン情報510を取得する。認可トークン情報510にはアプリケーションIDが含まれており、それはS5.1でプリンター103にログインしたユーザーのローカルユーザー情報である。その場合データ変換サーバー108は、S5.4で決定したユーザーIDで、文書情報700から該当するレコードを抽出し、S5.4のレスポンスとしてプリンター103に返す。
S5.6において、プリンター103のプルプリントアプリ1033は、S5.5の印刷データ生成リクエストで取得した印刷URLにアクセスすることで印刷データの取得を行い、取得した印刷データをラスタコントローラ237、プリントエンジン238に転送し印刷を実行する。
図6は認可サーバー106が認可トークン生成リクエスト(S5.3)を受信したときの認可トークン発行の処理フローの詳細である。
F601において認可サーバー106は認可トークン生成リクエストを受信する。認可サーバー106は認可トークン生成リクエストのパラメータとして代表認可トークン、スコープ、アプリケーションIDを受け取る。
F602において認可サーバー106は認可トークン情報510からF601で受信した代表認可トークンと一致するレコードを特定する。
F603において認可サーバー106はF602で特定したクライアント情報500のスコープ503が、F601で受信したスコープと一致するか判定する。一致しない場合エラーとする(F605)。
F604において認可サーバー106は認可トークンIDを発行し、F601で受信したクライアントID、スコープ、アプリケーションIDを含むレコードを認可トークン情報510に登録する。本実施形態の前述S5.3のフローにおいては、ローカル認証連携モードがセットされていればアプリケーションIDにローカル認証情報(ユーザー名@ドメイン名)が指定されるが、ローカル認証連携しないクライアントからのリクエストの場合、アプリケーションIDには空または異なる値が登録される。
図7は、データ変換サーバー108が各種リクエスト(S5.4、S5.5)を受信したときの認可トークン検証の処理フローの詳細である。
F701において、データ変換サーバー108はリクエストを受信する。またリクエストのパラメータとして認可トークンを受信する。
F702において、データ変換サーバー108は認可サーバー106に対して認可トークン検証リクエストを行う。認可トークン検証リクエストの結果、認可トークン情報が得られなかった場合エラーとする(F706)。
F703において、データ変換サーバー108は、テナント設定情報720から認可トークン情報のテナントIDと一致するレコードを特定し、そのテナントのローカル認証連携モードが有効(true)であるかを判断する。
F703において、テナントのローカル認証連携モードが有効だった場合、データ変換サーバー108はF704において、認可トークン情報のテナントIDとアプリケーションIDに登録されているローカルユーザー情報300(ユーザー名@ドメイン名)を一意のユーザーとしてリクエストを処理する。
F703において、テナントのローカル認証連携モードが無効だった場合、データ変換サーバー108はF705において、認可トークン情報510のユーザーIDを一意のユーザーとしてリクエストを処理する。
さらに、ローカル認証連携モードの有効/無効をテナント毎の設定として持つことによって、マルチテナント時に特定のテナントのみローカル認証連携を行うことができ、認証・認可において柔軟に顧客ニーズに応えることが出来る。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
Claims (8)
- ユーザーが認可操作を行ったことでアプリケーションサーバーを利用する権限がクライアントデバイスに委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として登録する前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに認可トークン生成リクエストを受信する手段と、
前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納する手段と、
前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答する応答手段と
を有することを特徴とする認可サーバー。 - 前記代表トークン情報には、前記代表クライアントの識別情報と、該代表クライアントのテナントの識別情報とを含み、
前記応答手段は、前記代表クライアントのテナントの識別情報を、前記認可トークン情報の一部として応答することを特徴とする請求項1に記載の認可サーバー。 - 前記ローカルユーザー情報は、ローカル認証サーバーにより認証されたユーザーのアクセス可能なドメインを示す情報と、前記ドメインにおけるユーザー識別情報とを含むことを特徴とする請求項1又は2に記載の認可サーバー。
- 前記認可トークン検証リクエストは、前記認可トークンと共に前記クライアントデバイスから処理のリクエストを受け付けたアプリケーションサーバーから受信され、
前記ローカルユーザー情報は、前記アプリケーションサーバーにより、前記処理のリクエストの要求元のユーザーの識別のために用いられることを特徴とする請求項3に記載の認可サーバー。 - 認可サーバーとアプリケーションサーバーとクライアントデバイスとを含む認証連携システムであって、
前記クライアントデバイスは、
ユーザーが認可操作を行ったことでアプリケーションサーバーを利用する権限が委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として格納し、
前記認可サーバーに対して、ログインしたユーザーのローカルユーザー情報および前記代表トークン情報とともに認可トークン生成リクエストを送信し、
前記認可トークン生成リクエストに応じて第2の認可トークンを受信した場合、前記第2の認可トークンとともに、処理のリクエストをアプリケーションサーバーに送信し、
前記認可サーバーは、
前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに前記認可トークン生成リクエストを受信し、
前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して前記第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納し、
前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答し、
前記アプリケーションサーバーは、
前記クライアントデバイスから前記第2の認可トークンとともに処理のリクエストを受信すると、前記認可サーバーに対して前記認可トークン検証リクエストを送信し、前記認可トークン検証リクエストが成功した応答として、前記第2の認可トークンと関連付けられた前記ローカルユーザー情報を含む前記認可トークン情報を受信し、
前記ローカルユーザー情報で示されるユーザーまたは前記クライアントデバイスに対して前記処理のリクエストを処理する
ことを特徴とする認証連携システム。 - 前記代表トークン情報には、クライアントデバイスの識別情報と、該クライアントデバイスのテナントの識別情報とを含み、
前記認可サーバーは、検証が成功した前記認可トークンの生成を要求したクライアントのテナントの識別情報を、前記認可トークン情報の一部として応答し、
前記アプリケーションサーバーは、前記テナントの識別情報に応じて設定されたローカル認証連携モードがセットされている場合に、前記ローカルユーザー情報で示されるユーザーまたは前記クライアントデバイスに対して前記処理のリクエストを処理することを特徴とする請求項5に記載の認証連携システム。 - コンピュータを、
代表クライアントに対して発行した認可トークンが代表トークン情報として登録された、前記代表クライアントから権限の委譲を受けたクライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに認可トークン生成リクエストを受信する手段と、
前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記認可トークンと関連付けた認可トークン情報を生成して格納する手段と、
認可トークン検証リクエストに応じて前記認可トークン情報に基づいた認可トークンの検証が成功した場合には、検証が成功した前記認可トークンに関連付けられた前記認可トークン情報を応答する応答手段と
して機能させるためのプログラム。 - 認可サーバーとアプリケーションサーバーとクライアントデバイスとを含む認証連携システムにおける認証連携方法であって、
認可サーバーとアプリケーションサーバーとクライアントデバイスとを含む認証連携システムであって、
前記クライアントデバイスが、
ユーザーが認可操作を行ったことでアプリケーションサーバーを利用する権限が委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として格納し、
前記認可サーバーに対して、ログインしたユーザーのローカルユーザー情報および前記代表トークン情報とともに認可トークン生成リクエストを送信し、
前記認可トークン生成リクエストに応じて第2の認可トークンを受信した場合、前記第2の認可トークンとともに、処理のリクエストをアプリケーションサーバーに送信し、
前記認可サーバーが、
前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに前記認可トークン生成リクエストを受信し、
前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して前記第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納し、
前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答し、
前記アプリケーションサーバーが、
前記クライアントデバイスから前記第2の認可トークンとともに処理のリクエストを受信すると、前記認可サーバーに対して前記認可トークン検証リクエストを送信し、前記認可トークン検証リクエストが成功した応答として、前記第2の認可トークンと関連付けられた前記ローカルユーザー情報を含む前記認可トークン情報を受信し、
前記ローカルユーザー情報で示されるユーザーまたは前記クライアントデバイスに対して前記処理のリクエストを処理する
ことを特徴とする認証連携方法。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015239750A JP6682254B2 (ja) | 2015-12-08 | 2015-12-08 | 認証連携システム及び認証連携方法、認可サーバー及びプログラム |
US15/364,916 US9985962B2 (en) | 2015-12-08 | 2016-11-30 | Authorization server, authentication cooperation system, and storage medium storing program |
CN201611101535.3A CN106856476B (zh) | 2015-12-08 | 2016-12-02 | 授权服务器和认证协作系统 |
KR1020160165710A KR102074030B1 (ko) | 2015-12-08 | 2016-12-07 | 인가 서버, 인증 제휴 시스템 및 프로그램을 저장한 저장 매체 |
EP16202820.3A EP3179399B1 (en) | 2015-12-08 | 2016-12-08 | Authorization server, authentication cooperation system, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015239750A JP6682254B2 (ja) | 2015-12-08 | 2015-12-08 | 認証連携システム及び認証連携方法、認可サーバー及びプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2017107343A true JP2017107343A (ja) | 2017-06-15 |
JP2017107343A5 JP2017107343A5 (ja) | 2019-01-24 |
JP6682254B2 JP6682254B2 (ja) | 2020-04-15 |
Family
ID=57708305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015239750A Active JP6682254B2 (ja) | 2015-12-08 | 2015-12-08 | 認証連携システム及び認証連携方法、認可サーバー及びプログラム |
Country Status (5)
Country | Link |
---|---|
US (1) | US9985962B2 (ja) |
EP (1) | EP3179399B1 (ja) |
JP (1) | JP6682254B2 (ja) |
KR (1) | KR102074030B1 (ja) |
CN (1) | CN106856476B (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111176710A (zh) * | 2019-12-30 | 2020-05-19 | 宁波视睿迪光电有限公司 | 一种终端软件管理系统的运行方法及终端软件管理系统 |
KR102146940B1 (ko) * | 2020-03-16 | 2020-08-24 | 주식회사 스태비 | 토큰 위변조 검증 방법 |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130086669A1 (en) | 2011-09-29 | 2013-04-04 | Oracle International Corporation | Mobile application, single sign-on management |
US10425386B2 (en) * | 2016-05-11 | 2019-09-24 | Oracle International Corporation | Policy enforcement point for a multi-tenant identity and data security management cloud service |
US10735394B2 (en) | 2016-08-05 | 2020-08-04 | Oracle International Corporation | Caching framework for a multi-tenant identity and data security management cloud service |
US10516672B2 (en) | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
US20180107531A1 (en) * | 2016-10-19 | 2018-04-19 | Electronics And Telecommunications Research Institute | Service server, user terminal and method of 3d collaborative printing |
JP6949585B2 (ja) * | 2017-06-30 | 2021-10-13 | キヤノン株式会社 | 管理サーバ、サービス提供サーバ、システム、制御方法、および、プログラム |
DE102017221300A1 (de) * | 2017-11-28 | 2019-05-29 | Siemens Mobility GmbH | Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs |
US11153305B2 (en) * | 2018-06-15 | 2021-10-19 | Canon U.S.A., Inc. | Apparatus, system and method for managing authentication with a server |
EP3585084A1 (de) * | 2018-06-18 | 2019-12-25 | Siemens Aktiengesellschaft | Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes |
CN108881232B (zh) * | 2018-06-21 | 2019-07-02 | 北京海泰方圆科技股份有限公司 | 业务系统的登录访问方法、装置、存储介质和处理器 |
CN111277592B (zh) * | 2018-06-27 | 2022-06-10 | 贵州白山云科技股份有限公司 | 一种鉴权方法、装置、存储介质及计算机设备 |
CN109587148A (zh) * | 2018-12-11 | 2019-04-05 | 上海宜延电子商务有限公司 | 一种数据计算客户端、数据计算服务器及数据计算系统 |
JP7324048B2 (ja) * | 2019-05-22 | 2023-08-09 | キヤノン株式会社 | 印刷装置、印刷システム、印刷装置の登録方法、及び、プログラム |
US20200382455A1 (en) * | 2019-06-01 | 2020-12-03 | Apple Inc. | Systems and methods of an anonymous email relay |
US11582229B2 (en) * | 2019-06-01 | 2023-02-14 | Apple Inc. | Systems and methods of application single sign on |
CN110324333B (zh) * | 2019-06-29 | 2021-12-28 | 北京启迪区块链科技发展有限公司 | 一种数据处理方法、装置、终端及存储介质 |
CN111327582B (zh) * | 2019-08-22 | 2022-12-20 | 刘高峰 | 一种基于OAuth协议的授权方法、装置及系统 |
US11770377B1 (en) * | 2020-06-29 | 2023-09-26 | Cyral Inc. | Non-in line data monitoring and security services |
DE102020125570A1 (de) | 2020-09-30 | 2022-03-31 | Novar Gmbh | Verfahren, system und computerprogramm zur authentifikation von brandsteuersystemen |
CN112612770B (zh) * | 2020-12-28 | 2024-05-14 | 深圳市科创思科技有限公司 | 一种分布式文件上传方法及系统 |
CN114499977B (zh) * | 2021-12-28 | 2023-08-08 | 天翼云科技有限公司 | 一种认证方法及装置 |
CN114884724B (zh) * | 2022-05-06 | 2024-03-22 | 杭州联吉技术有限公司 | 一种云服务器交互方法、装置、可读存储介质及终端设备 |
CN115102711B (zh) * | 2022-05-09 | 2024-01-02 | 支付宝(杭州)信息技术有限公司 | 信息授权方法、装置以及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007233705A (ja) * | 2006-03-01 | 2007-09-13 | Nec Corp | トークン譲渡方法、トークン譲渡システム及び権限認証許可サーバ |
JP2014067379A (ja) * | 2012-09-27 | 2014-04-17 | Canon Inc | デバイス装置、その制御方法、およびそのプログラム |
JP2014102561A (ja) * | 2012-11-16 | 2014-06-05 | Canon Inc | 通信装置、通信システム、情報処理方法及びプログラム |
JP2014170458A (ja) * | 2013-03-05 | 2014-09-18 | Fuji Xerox Co Ltd | 中継装置、通信システム及びプログラム |
Family Cites Families (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7324972B1 (en) | 1997-03-07 | 2008-01-29 | Clickshare Service Corporation | Managing transactions on a network: four or more parties |
US6510236B1 (en) | 1998-12-11 | 2003-01-21 | International Business Machines Corporation | Authentication framework for managing authentication requests from multiple authentication devices |
US7221935B2 (en) | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
US7685206B1 (en) * | 2004-02-12 | 2010-03-23 | Microsoft Corporation | Authorization and access control service for distributed network resources |
US7519596B2 (en) * | 2004-03-30 | 2009-04-14 | Microsoft Corporation | Globally trusted credentials leveraged for server access control |
US8010783B1 (en) | 2004-04-15 | 2011-08-30 | Aol Inc. | Service provider invocation |
US10140596B2 (en) | 2004-07-16 | 2018-11-27 | Bryan S. M. Chua | Third party authentication of an electronic transaction |
CN100546245C (zh) * | 2006-01-11 | 2009-09-30 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
US8151116B2 (en) | 2006-06-09 | 2012-04-03 | Brigham Young University | Multi-channel user authentication apparatus system and method |
US8239927B2 (en) | 2008-02-29 | 2012-08-07 | Microsoft Corporation | Authentication ticket validation |
US20090271847A1 (en) | 2008-04-25 | 2009-10-29 | Nokia Corporation | Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On |
CN101399671B (zh) * | 2008-11-18 | 2011-02-02 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
US20100235882A1 (en) | 2009-03-13 | 2010-09-16 | Gidah, Inc. | Method and system for using tokens in a transaction handling system |
US8195819B1 (en) * | 2009-07-13 | 2012-06-05 | Sprint Communications Company L.P. | Application single sign on leveraging virtual local area network identifier |
US8707404B2 (en) | 2009-08-28 | 2014-04-22 | Adobe Systems Incorporated | System and method for transparently authenticating a user to a digital rights management entity |
US8739260B1 (en) | 2011-02-10 | 2014-05-27 | Secsign Technologies Inc. | Systems and methods for authentication via mobile communication device |
US9648006B2 (en) | 2011-05-23 | 2017-05-09 | Twilio, Inc. | System and method for communicating with a client application |
US20140044123A1 (en) | 2011-05-23 | 2014-02-13 | Twilio, Inc. | System and method for real time communicating with a client application |
JP5759305B2 (ja) * | 2011-08-19 | 2015-08-05 | キヤノン株式会社 | アクセス管理システム、アクセス管理方法、アクセス管理サーバ、連携サーバ、およびプログラム |
US10176335B2 (en) | 2012-03-20 | 2019-01-08 | Microsoft Technology Licensing, Llc | Identity services for organizations transparently hosted in the cloud |
US11424930B2 (en) | 2012-05-22 | 2022-08-23 | Barclays Bank Delaware | Systems and methods for providing account information |
US8762731B2 (en) * | 2012-09-14 | 2014-06-24 | Sap Ag | Multi-system security integration |
GB2509895A (en) | 2012-11-22 | 2014-07-23 | Visa Europe Ltd | Activation and Use of a Digital Wallet via Online Banking |
US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US20140245411A1 (en) | 2013-02-22 | 2014-08-28 | Nokia Corporation | Method and apparatus for providing account-less access via an account connector platform |
JP6177020B2 (ja) | 2013-06-18 | 2017-08-09 | キヤノン株式会社 | 認証システム、その制御方法、サービス提供装置およびコンピュータプログラム |
US20150033315A1 (en) * | 2013-07-23 | 2015-01-29 | Salesforce.Com, Inc. | Authentication and diagnostic functions for a database system |
WO2015013548A1 (en) | 2013-07-24 | 2015-01-29 | Visa International Service Association | Systems and methods for interoperable network token processing |
US10496986B2 (en) | 2013-08-08 | 2019-12-03 | Visa International Service Association | Multi-network tokenization processing |
US9106642B1 (en) | 2013-09-11 | 2015-08-11 | Amazon Technologies, Inc. | Synchronizing authentication sessions between applications |
JP6265733B2 (ja) * | 2013-12-25 | 2018-01-24 | キヤノン株式会社 | 権限管理サーバー及び権限管理方法 |
US20150281225A1 (en) | 2014-03-27 | 2015-10-01 | Microsoft Corporation | Techniques to operate a service with machine generated authentication tokens |
US9419962B2 (en) | 2014-06-16 | 2016-08-16 | Adobe Systems Incorporated | Method and apparatus for sharing server resources using a local group |
US20160065552A1 (en) | 2014-08-28 | 2016-03-03 | Drfirst.Com, Inc. | Method and system for interoperable identity and interoperable credentials |
US9420463B2 (en) * | 2014-09-30 | 2016-08-16 | Sap Se | Authorization based on access token |
US10021084B2 (en) * | 2014-10-28 | 2018-07-10 | Open Text Sa Ulc | Systems and methods for credentialing of non-local requestors in decoupled systems utilizing a domain local authenticator |
US9871821B2 (en) * | 2014-11-11 | 2018-01-16 | Oracle International Corporation | Securely operating a process using user-specific and device-specific security constraints |
US9794329B2 (en) * | 2014-11-28 | 2017-10-17 | Sap Se | Cloud application with secure local access |
WO2016092630A1 (ja) * | 2014-12-09 | 2016-06-16 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム |
CN104639562B (zh) * | 2015-02-27 | 2018-03-13 | 飞天诚信科技股份有限公司 | 一种推送认证的系统和设备的工作方法 |
US10148522B2 (en) * | 2015-03-09 | 2018-12-04 | Avaya Inc. | Extension of authorization framework |
US10104084B2 (en) * | 2015-07-30 | 2018-10-16 | Cisco Technology, Inc. | Token scope reduction |
-
2015
- 2015-12-08 JP JP2015239750A patent/JP6682254B2/ja active Active
-
2016
- 2016-11-30 US US15/364,916 patent/US9985962B2/en active Active
- 2016-12-02 CN CN201611101535.3A patent/CN106856476B/zh active Active
- 2016-12-07 KR KR1020160165710A patent/KR102074030B1/ko active IP Right Grant
- 2016-12-08 EP EP16202820.3A patent/EP3179399B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007233705A (ja) * | 2006-03-01 | 2007-09-13 | Nec Corp | トークン譲渡方法、トークン譲渡システム及び権限認証許可サーバ |
JP2014067379A (ja) * | 2012-09-27 | 2014-04-17 | Canon Inc | デバイス装置、その制御方法、およびそのプログラム |
JP2014102561A (ja) * | 2012-11-16 | 2014-06-05 | Canon Inc | 通信装置、通信システム、情報処理方法及びプログラム |
JP2014170458A (ja) * | 2013-03-05 | 2014-09-18 | Fuji Xerox Co Ltd | 中継装置、通信システム及びプログラム |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111176710A (zh) * | 2019-12-30 | 2020-05-19 | 宁波视睿迪光电有限公司 | 一种终端软件管理系统的运行方法及终端软件管理系统 |
CN111176710B (zh) * | 2019-12-30 | 2023-10-03 | 宁波视睿迪光电有限公司 | 一种终端软件管理系统的运行方法及终端软件管理系统 |
KR102146940B1 (ko) * | 2020-03-16 | 2020-08-24 | 주식회사 스태비 | 토큰 위변조 검증 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20170067660A (ko) | 2017-06-16 |
EP3179399B1 (en) | 2019-10-09 |
KR102074030B1 (ko) | 2020-02-05 |
CN106856476A (zh) | 2017-06-16 |
US20170163636A1 (en) | 2017-06-08 |
CN106856476B (zh) | 2020-10-30 |
US9985962B2 (en) | 2018-05-29 |
JP6682254B2 (ja) | 2020-04-15 |
EP3179399A1 (en) | 2017-06-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6682254B2 (ja) | 認証連携システム及び認証連携方法、認可サーバー及びプログラム | |
CN106856475B (zh) | 授权服务器以及认证协作系统 | |
US9230078B2 (en) | Authentication system, control method thereof, service provision device, and storage medium | |
US8879099B2 (en) | Printing system and method including authentication and owner name acquisition | |
CN110138718B (zh) | 信息处理系统及其控制方法 | |
US9455970B2 (en) | Information processing system, information processing apparatus, and authentication method | |
JP5820188B2 (ja) | サーバおよびその制御方法、並びにプログラム | |
JP6056384B2 (ja) | システム及びサービス提供装置 | |
US9185102B2 (en) | Server system and control method | |
JP6318940B2 (ja) | サービス提供システム、データ提供方法及びプログラム | |
JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
US20140007199A1 (en) | Relay device, relay method, and non-transitory computer readable medium | |
JP6248641B2 (ja) | 情報処理システム及び認証方法 | |
US10496342B2 (en) | Printing system, method, and program for implementing service coordination among a plurality of security domains | |
JP2006252418A (ja) | 認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム | |
US9661184B2 (en) | Data processing system and data processing method for authenticating user by utilizing user list obtained from service providing apparatus | |
US10713098B2 (en) | Information processing apparatus and cookie information management method | |
JP2016115260A (ja) | 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム | |
JP6447766B2 (ja) | サービス提供システム、データ提供方法及びプログラム | |
JP2009205223A (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
JP2014142735A (ja) | 印刷システム、方法、及びプログラム | |
JP2017091221A (ja) | 権限委譲システム、その制御方法、認可サーバ及びプログラム | |
JP2016053858A (ja) | サービスプロバイダ装置、サービスプロバイダ装置を制御するための制御方法、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181205 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190925 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191015 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191017 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200325 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6682254 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |