JP2017162129A - アイデンティティ管理装置、認証処理装置、および認証システム - Google Patents
アイデンティティ管理装置、認証処理装置、および認証システム Download PDFInfo
- Publication number
- JP2017162129A JP2017162129A JP2016045105A JP2016045105A JP2017162129A JP 2017162129 A JP2017162129 A JP 2017162129A JP 2016045105 A JP2016045105 A JP 2016045105A JP 2016045105 A JP2016045105 A JP 2016045105A JP 2017162129 A JP2017162129 A JP 2017162129A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- account
- user
- information
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
【課題】 異なる装置間でのアカウント連携処理を行う。【解決手段】 実施形態によれば、アイデンティティ管理装置は、ユーザによって入力されたサービス識別情報が、情報格納部に予め格納されたサービス識別情報と一致する場合、アカウント情報の他装置との連携のための連携属性と、連携属性のステータスを示す連携属性フラグとを生成し、連携属性フラグを無効に設定する。さらに、ユーザが認証されたことを保証する保証情報と、連携属性とを用いて、他装置に対して、アカウント登録を要求する。この要求に応じて他装置によって生成されたアカウント登録応答を検証し、正しく検証された場合、アカウント登録応答に含まれた連携属性に対応するアカウント情報を、情報格納部から検索し、検索されたアカウント情報に対応する連携属性フラグを有効に設定することにより、アカウント情報の他装置との連携を可能とする。【選択図】図1
Description
本発明の実施形態は、ユーザのアイデンティティを管理するアイデンティティ管理装置、ユーザを認証する認証処理装置、およびこれら両装置間のアカウント連携を実現する認証システムに関する。
通常、ユーザが情報システムにおけるサービスを利用することにあたり、サービス側でユーザのアイデンティティを持つ必要がある。なぜなら、ユーザのアイデンティティは、ユーザがだれなのか、どこまでの権限があるのか、どんなプロファイルを持つのか等の情報がサービスにとって欠かせない要素であるからである。
しかし、ユーザが利用するサービスが増加することに伴い、各サービスにアイデンティティを登録するのが、ユーザにとって負担となり、セキュリティの面でも好ましくない状況になってきている。
これに対処するため、ユーザのアイデンティティを集中的に管理し、サービスにアイデンティティを要求される際に適宜提供するようなアイデンティティ管理装置が用いられている。
この種のアイデンティティ管理装置では、ユーザが本人であることを確認する必要があるので、認証機能を持っているが、利用シーンによって要求される認証の確実度が異なる場合がある。例えば、ユーザが口座の情報を単に閲覧するだけの場合、パスワードによる認証で十分であるが、決済を行う場合は、より確実度の高い生体認証が必要である等である。アイデンティティが多い認証方法に対応するのには負担がかかるが、認証機能を外部の認証処理装置に委託することで、柔軟に認証処理をサポートすることができる。
アイデンティティ管理装置が認証処理装置に認証を委託する場合は、ユーザがアイデンティティ管理装置と認証処理装置とに別々にアカウントを登録する必要がある。その際、ユーザが、それぞれの装置にアイデンティティを登録する必要がある。既にユーザがアイデンティティ管理装置にアイデンティティを登録している場合でも、認証処理装置に対してアイデンティティを登録する必要があるため、ユーザにとっては手間がかかる。
認証処理装置側としても、アイデンティティが登録された場合、登録されたアイデンティティの信頼性を確認し、正当かどうか、いわゆる本人確認を行う必要があるため、コストがかかる。
すなわち、従来のアイデンティティ管理装置および認証処理装置には以下のような課題がある。
すなわち、アイデンティティ管理装置と認証処理装置との間において、一方の装置に登録されているアカウントに基づいて、他方の装置に新規アカウントを登録するためには、両装置が信頼関係をもつ必要がある。
これに関しては、特許文献1のように、新規アカウントを登録される装置が、元装置からユーザのログイン情報を取得して、ユーザが本人かどうかを確認する技術もある。しかしながら、このような技術では、ユーザのログイン情報そのものを他システムに渡すことになるので、セキュリティ上、望ましくない。
また、ユーザが認証処理装置に対してアカウントを新規作成する際に、登録処理を行っているユーザが本人であるかを確認する必要がある。
これに関しては、特許文献2のように、予めユーザに紐付けられたIDを記憶したIDカードを配布し、登録時にこのIDカードを用いて本人確認を行う技術がある。しかしながら、ユーザに発行したIDを配布する際に、正しい本人であることを確認する必要がある。
特許文献3のように、ユーザが認証要素を登録する前と後に写真を撮影し、この写真を比較することで、登録された認証要素は本人のものを確認する技術もあるが、写真を2度撮らねばならないという手間が発生してしまう。
一方、認証処理装置は、登録時にユーザの本人確認を行う場合、ユーザのアイデンティティを管理することになる。このアイデンティティ情報はプライバシーに関わる場合が多いため、管理コストがかかる。
このため、アイデンティティ管理装置と認証処理装置との間でのアカウント連携を行うことによって、これら課題を解決する認証システムが求められている。
本発明が解決しようとする課題は、アイデンティティ管理装置(第1の装置)と認証処理装置(第2の装置)との間のアカウント連携を実現する認証システムと、認証システムによるアカウント連携に好適なアイデンティティ管理装置および認証処理装置と、を提供することである。
実施形態のアイデンティティ管理装置は、他装置にアカウントを登録するユーザのためのアイデンティティ情報を管理するアイデンティティ管理装置であって、情報格納部と、認証部と、連携属性生成部と、登録要求部と、検証部と、連携属性フラグ管理部とを備える。
情報格納部は、ユーザのアイデンティティ情報に含まれるアカウント情報と、前記他装置によって提供されるサービスを識別するサービス識別情報とを格納する。
認証部は、格納されたアカウント情報を用いてユーザを認証する。
連携属性生成部は、認証されたユーザによって入力されたサービス識別情報が、格納されたサービス識別情報と一致する場合、アカウント情報の他装置との連携のための連携属性と、連携属性のステータスを示す連携属性フラグとを生成し、連携属性フラグを無効に設定する。
登録要求部は、ユーザが認証されたことを保証する保証情報と、連携属性とを用いて、他装置に対して、ユーザのアカウントの登録を要求する。
検証部は、要求に応じて、他装置によって生成された、連携属性を含むアカウント登録応答を検証する。
連携属性フラグ管理部は、アカウント登録応答が正しく検証された場合、アカウント登録応答に含まれた連携属性に対応するアカウント情報を、情報格納部から検索し、検索されたアカウント情報に対応する連携属性フラグを有効に設定することにより、アカウント情報の他装置との連携を可能とする。
実施形態の認証処理装置は、他装置からのアカウント登録要求に応じてユーザのアカウントを登録するとともに、ユーザを認証する認証処理装置であり、通信部と、アカウント生成部と、情報格納部と、クレデンシャル生成部と、ユーザ認証部と、アカウント登録応答生成部とを備えてなる。
通信部は、ユーザが前記他装置によって認証されたことを保証する保証情報と、ユーザのアカウント情報の前記他装置との連携のための連携属性とが含まれた、アカウント登録要求を受信する。
アカウント生成部は、アカウント登録要求に含まれた連携属性を用いて、ユーザのアカウントを生成する。
情報格納部は、生成されたアカウントに関連付けて、連携属性を格納する。
クレデンシャル生成部は、ユーザを認証する際に利用するクレデンシャルを生成し、前記アカウントに関連付けて、前記情報格納部に格納する。
ユーザ認証部は、クレデンシャルを用いてユーザの認証を行い、認証処理内容を示す認証コンテキストを生成する。
アカウント登録応答生成部は、連携属性と前記認証コンテキストとを含むアカウント登録応答を生成する。
また、実施形態の認証システムは、前述したアイデンティティ管理装置と、認証処理装置とを備えてなる。
以下に、本発明の各実施形態の認証システムを、図面を参照して説明する。
(第1の実施形態)
第1の実施形態の認証システムを図1乃至図10を用いて説明する。
第1の実施形態の認証システムを図1乃至図10を用いて説明する。
図1は、本実施形態の認証システム10の構成例を示すブロック図である。
すなわち、本実施形態の認証システム10は、ネットワーク20を介して互いに接続されたアイデンティティ管理装置200と認証処理装置300とを備えてなる。
ネットワーク20は、イーサネット(登録商標)等のLAN、あるいはインターネットのような公衆回線や、専用の通信回線を介して複数のLANが接続されるWAN等からなり得る。LANの場合には、必要に応じてルータを介した多数のサブネットから構成され得る。また、WANの場合には、公衆回線に接続するためのファイアウォール等を適宜備え得るが、ここではその図示及び詳細説明を省略する。
また、ネットワーク20には、クライアント装置100が接続されている。クライアント装置100は、ユーザからの入力を受け取る機能、入力をアイデンティティ管理装置200や認証処理装置300に送信する機能、アイデンティティ管理装置200や認証処理装置300からの出力を受信する機能、出力を表示する機能を有する。
アイデンティティ管理装置200は、通信部210、ユーザアカウント情報格納部220、ユーザ認証部230、認証サービス管理部240、連携属性生成部250、認証アサーション生成部260、アカウント登録要求生成部270、アサーション検証部280、および連携属性フラグ管理部290を備える。
通信部210は、アイデンティティ管理装置200の内部通信機能と、ネットワーク20を介してクライアント装置100および認証処理装置300と通信する機能と、を有する。
ユーザアカウント情報格納部220は、ユーザのアイデンティティ情報に含まれるアカウント情報の、他のサービスとの連携のための連携情報を格納する機能と、格納した情報を、アイデンティティ管理装置200内の各部位からの要求に応じて、要求元の部位に受け渡す機能と、を有する。
ユーザ認証部230は、クライアント装置100から送られたユーザの認証情報を受け取る機能と、ユーザアカウント情報格納部220からユーザ認証に必要な情報を受け取る機能と、これら受け取った情報を用いてユーザの認証を行う機能と、を有する。なお、ユーザ認証に必要な情報とは、後述するユーザ識別UID1およびクレデンシャルCR1であり、これらは、ユーザアカウント情報格納部220に、予め格納されている。
認証サービス管理部240は、クライアント装置100から送られたユーザの識別情報と、認証サービスの識別情報とを受け取る機能と、同ユーザが持つ認証サービス識別情報をユーザアカウント情報格納部220から取得する機能と、これら情報を用いて同ユーザの認証サービスが既に登録されているかを判定する機能と、を有する。
連携属性生成部250は、ユーザアカウント情報のアイデンティティ管理装置200と認証処理装置300の間の連携に必要な連携属性を生成する機能と、この連携属性をユーザアカウント情報格納部220に登録する機能と、を有する。なお、連携に必要な連携属性とは、たとえばIDや乱数である。
認証アサーション生成部260は、ユーザアカウント情報格納部220からユーザの認証と、アイデンティティ管理装置200と認証処理装置300との間の連携に関する情報を取得する機能と、認証処理装置300にこれらの情報を送る際に、確かにアイデンティティ管理装置が送信した情報であることを確認するためのアサーション情報を生成する機能と、を有する。なお、このアサーション情報は、SAML(Security Assertion Markup Language)の認証アサーションが好適である。SAMLの認証アサーションでは、PKIの電子署名の仕組みが使われ、アサーション発行者の電子署名を付与することで、アサーションの受信側では、その署名を検証することで、アサーションの発行者を確認でき、かつ、情報が改ざんされていないことを確認することが可能である。
アカウント登録要求生成部270は、認証アサーション生成部260から認証アサーションを受け取る機能と、このアサーションを用いて認証処理装置300に対するアカウント登録要求を生成する機能と、を有する。
アサーション検証部280は、認証処理装置300からアカウント登録応答を受け取る機能と、このアカウント登録応答が確かに認証処理装置300が発行したものであることを検証する機能と、を有する。
連携属性フラグ管理部290は、ユーザの連携ステータスを「有効」/「無効」に設定し、ユーザアカウント情報格納部220に書き込む機能、を有する。
認証処理装置300は、通信部310、ユーザアカウント情報格納部320、アサーション検証部330、アイデンティティ保証情報検証部340、ユーザアカウント生成部350、クレデンシャル生成部360、ユーザ認証部370、認証アサーション生成部380、およびアカウント登録応答生成部390を備える。
通信部310は、認証処理装置300の内部通信機能と、ネットワーク20を介してクライアント装置100およびアイデンティティ管理装置200と通信する機能と、を有する。
ユーザアカウント情報格納部320は、ユーザの、アイデンティティ管理装置200と認証処理装置300との間の連携属性、および認証処理に必要なクレデンシャル情報を格納する機能と、認証処理装置300内の各部位からの要求に応じて、要求元の部位に、要求元の部位に受け渡す機能と、を有する。なお、ユーザアカウント情報格納部320は、アイデンティティ管理装置200と認証処理装置300との連携と認証処理に必要な情報以外は持たないことが好適であるが、他のアカウント情報を持っていても良い。
アサーション検証部330は、アイデンティティ管理装置200から取得したアサーション情報の正当性を確認する機能を有する。なお、このアサーションに、SAMLのアサーションが使われた場合、付与された電子署名を検証することで、このアサーションの正当性を確認することができる。
アイデンティティ保証情報検証部340は、アサーション情報の中にアイデンティティ保証情報が含まれているか否かを確認する機能を有する。なお、アイデンティティの保証情報がアカウントの登録に十分かどうかを確認する機能があっても良い。例えば、アイデンティティの保証機関が信頼できる機関であるか等を確認する機能があっても良い。
ユーザアカウント生成部350は、取得したアサーション情報に含まれた連携属性を用いてアカウントを生成する機能と、このアカウントをユーザアカウント情報格納部320に登録する機能と、を有する。
クレデンシャル生成部360は、ユーザアカウント生成部350が生成したアカウントにおいて、ユーザの認証に必要なクレデンシャルを生成する機能と、このクレデンシャルをユーザアカウント情報格納部320に登録する機能と、を有する。なお、クレデンシャルは、例えばパスワードやトークン等であり、内部で生成したものであっても、外部から取得したものであっても、何れでも構わない。
ユーザ認証部370は、ユーザからクレデンシャル等の認証に必要な情報を受け取る機能と、ユーザアカウント情報格納部320から認証に必要な情報を取得する機能と、これらの情報を用いてユーザ認証を行う機能と、どのような認証方法や本人確認がなされたか等の認証コンテキストを出力する機能と、を有する。
認証アサーション生成部380は、ユーザの連携属性とユーザ認証部370が出力した認証コンテキストとを用いてアサーションを生成する機能を有する。なお、このアサーションはSAMLの認証アサーションが好適である。
アカウント登録応答生成部390は、認証アサーション生成部380が生成したアサーションを用いてアカウント登録応答を生成する機能と、このアカウント登録応答をアイデンティティ管理装置200に送信するために通信部310へ送る機能と、を有する。
次に、以上のように構成した本実施形態の認証システム10の動作例を説明する。
図2および図3は、本実施形態の認証システム10による動作例を説明するためのシーケンス図である。
図4は、図2における(ST1−1)乃至(ST1−7)のアイデンティティ管理装置200内の動作例を説明するための模式図である。
図5は、図2および図3における(ST1−8)乃至(ST1−15)の認証処理装置300内の動作例を説明するための模式図である。
図6は、図3における(ST1−16)乃至(ST1−17)のアイデンティティ管理装置200内の動作例を説明するための模式図である。
本実施形態の認証システム10によれば、アイデンティティ管理装置200が持つユーザアイデンティティから、認証処理装置300に対して、ユーザアカウント情報の自動連携が行われる。この自動連携処理について、以下に、図2および図3における各ステップ毎に説明する。また、各ステップにおける動作については、図4乃至図6をあわせて参照されたい。
(ST1−1)
図2および図4に示すように、ユーザは、認証を行うために、クライアント装置100を用いて、ユーザ識別UID1とクレデンシャルCR1を、アイデンティティ管理装置200に送る。また、ユーザは、アカウント自動連携を行いたいサービスを識別するため、クライアント装置100に、認証サービス識別ASID1を入力する。クライアント装置100は、入力された認証サービス識別ASID1をアイデンティティ管理装置200に送信する。
図2および図4に示すように、ユーザは、認証を行うために、クライアント装置100を用いて、ユーザ識別UID1とクレデンシャルCR1を、アイデンティティ管理装置200に送る。また、ユーザは、アカウント自動連携を行いたいサービスを識別するため、クライアント装置100に、認証サービス識別ASID1を入力する。クライアント装置100は、入力された認証サービス識別ASID1をアイデンティティ管理装置200に送信する。
クライアント装置100から送信されたユーザ識別UID1、クレデンシャルCR1、および認証サービス識別ASID1は、アイデンティティ管理装置200の通信部210によって受信される。通信部210は、ユーザ識別UID1およびクレデンシャルCR1をユーザ認証部230に送り、ユーザ識別UID1および認証サービス識別ASID1を認証サービス管理部240に送る。その後、(ST1−2)の処理に進む。
(ST1−2)
ユーザ認証部230が、通信部210から送られたユーザ識別UID1およびクレデンシャルCR1と、ユーザアカウント情報格納部220に予め格納されているユーザ識別UID1およびクレデンシャルCR1との一致を確認することによって、ユーザの認証を行う。そして、認証に成功すると、(ST1−3)の処理に進む。認証に成功しない場合、アカウント自動連携はできない。
ユーザ認証部230が、通信部210から送られたユーザ識別UID1およびクレデンシャルCR1と、ユーザアカウント情報格納部220に予め格納されているユーザ識別UID1およびクレデンシャルCR1との一致を確認することによって、ユーザの認証を行う。そして、認証に成功すると、(ST1−3)の処理に進む。認証に成功しない場合、アカウント自動連携はできない。
(ST1−3)
認証サービス管理部240が、(ST1−1)において通信部210から送られた認証サービス識別ASID1が既にユーザアカウント情報格納部220に登録されているか否かを確認する。そして、登録されていることが確認されると、アイデンティティ保証情報IDP1を生成してユーザアカウント情報格納部220に格納し、(ST1−4)の処理に進む。確認されない場合、アカウント自動連携はできない。
認証サービス管理部240が、(ST1−1)において通信部210から送られた認証サービス識別ASID1が既にユーザアカウント情報格納部220に登録されているか否かを確認する。そして、登録されていることが確認されると、アイデンティティ保証情報IDP1を生成してユーザアカウント情報格納部220に格納し、(ST1−4)の処理に進む。確認されない場合、アカウント自動連携はできない。
(ST1−4)
連携属性生成部250が、認証サービス識別ASID1に対して新規連携を行うために、たとえばIDや乱数を用いて連携属性FA1を生成し、ユーザアカウント情報格納部220に格納する。また、連携属性FA1の有効ステータスを示すフラグである連携属性フラグFAF1を「無効」に設定し、ユーザアカウント情報格納部220に格納する。連携属性フラグFAF1が「無効」であることは、アイデンティティ管理装置200と認証処理装置300とのアカウント連携はまだ未完了であることを示す。その後、(ST1−5)の処理に進む。
連携属性生成部250が、認証サービス識別ASID1に対して新規連携を行うために、たとえばIDや乱数を用いて連携属性FA1を生成し、ユーザアカウント情報格納部220に格納する。また、連携属性FA1の有効ステータスを示すフラグである連携属性フラグFAF1を「無効」に設定し、ユーザアカウント情報格納部220に格納する。連携属性フラグFAF1が「無効」であることは、アイデンティティ管理装置200と認証処理装置300とのアカウント連携はまだ未完了であることを示す。その後、(ST1−5)の処理に進む。
図7は、ユーザアカウント情報格納部220に格納されるユーザアカウント情報の例を説明するための模式図である。
図7に示されるように、ユーザアカウント情報格納部220には、(ST1−3)で生成されたアイデンティティ保証情報IDP1と、(ST1−4)で生成された連携属性FA1および連携属性フラグFAF1が格納されるようになる。特に、連携属性FA1および連携属性フラグFAF1は、ユーザアカウント情報のうちの認証サービスとの連携情報として格納される。なお、ユーザアカウント情報のうちのその他の情報であるユーザ識別UID1およびクレデンシャルCR1と、認証サービスとの連携情報に含まれる認証サービス識別ASID1とは、予め格納されている。
(ST1−5)
認証処理装置300に対して、ユーザがアイデンティティ管理装置200で認証されたことを保証するために、認証アサーション生成部260が、ユーザアカウント情報格納部220に格納された連携属性FA1およびアイデンティティ保証情報IDP1を用いて認証アサーションAA1を生成し、アカウント登録要求生成部270に送る。すなわち、認証アサーション生成部260は、アイデンティティ管理装置200と認証処理装置300間でユーザを識別するための連携属性FA1と、ユーザのアイデンティティを保証するアイデンティティ保証情報IDP1を含めることによって認証アサーションAA1を生成する。なお、認証アサーションAA1を表現するのに、SAMLを利用することが好ましい。SAMLを利用する場合、認証アサーションAA1に格納された情報が確かに、ユーザアカウント情報格納部220が格納していることを保証するため、PKIの電子署名の仕組みが用いられる。
認証処理装置300に対して、ユーザがアイデンティティ管理装置200で認証されたことを保証するために、認証アサーション生成部260が、ユーザアカウント情報格納部220に格納された連携属性FA1およびアイデンティティ保証情報IDP1を用いて認証アサーションAA1を生成し、アカウント登録要求生成部270に送る。すなわち、認証アサーション生成部260は、アイデンティティ管理装置200と認証処理装置300間でユーザを識別するための連携属性FA1と、ユーザのアイデンティティを保証するアイデンティティ保証情報IDP1を含めることによって認証アサーションAA1を生成する。なお、認証アサーションAA1を表現するのに、SAMLを利用することが好ましい。SAMLを利用する場合、認証アサーションAA1に格納された情報が確かに、ユーザアカウント情報格納部220が格納していることを保証するため、PKIの電子署名の仕組みが用いられる。
(ST1−6)
アカウント登録要求生成部270が、(ST1−5)において生成された認証アサーションAA1を、認証アサーション生成部260から受け取る。そして、認証処理装置300に対して、ユーザのアカウントを新規登録することを要求するため、認証アサーションAA1を用いて、アカウント登録要求RQ1を生成し、通信部210へ送る。
アカウント登録要求生成部270が、(ST1−5)において生成された認証アサーションAA1を、認証アサーション生成部260から受け取る。そして、認証処理装置300に対して、ユーザのアカウントを新規登録することを要求するため、認証アサーションAA1を用いて、アカウント登録要求RQ1を生成し、通信部210へ送る。
図8は、アカウント登録要求RQ1に含まれる情報の例を説明するための模式図である。
すなわち、アカウント登録要求RQ1には、認証アサーションAA1が含まれている。そして、認証アサーションAA1には、連携属性FA1と、アイデンティティ保証情報IPD1とが含まれている。なお、前述したように、認証アサーションAA1を表現するのに、SAMLを利用することが好ましい。SAMLが利用された場合、アイデンティティ保証情報IPD1は、アイデンティティステートメントIDS1内の1つの要素として生成される。したがって、図8では、SAMLが利用された場合の例として、アイデンティティステートメントIDS1にアイデンティティ保証情報IPD1が含まれているように示されている。
(ST1−7)
通信部210が、(ST1−6)でアカウント登録要求生成部270から送られたアカウント登録要求RQ1を、ネットワーク20を介して認証処理装置300へ送信する。
通信部210が、(ST1−6)でアカウント登録要求生成部270から送られたアカウント登録要求RQ1を、ネットワーク20を介して認証処理装置300へ送信する。
(ST1−8)
図5に示すように、認証処理装置300が、通信部310において、(ST1−7)において送信されたアカウント登録要求RQ1を受信する。そして、アサーション検証部330において、認証アサーションAA1を検証する。なお、SAMLが利用された場合、アサーション検証部330は、認証アサーションAA1に添付された署名を検証することで、認証アサーションAA1を検証することができる。認証アサーションAA1の検証に成功すると、(ST1−9)の処理に進む。検証に失敗すると、処理が終了し、アカウント自動連携はできない。
図5に示すように、認証処理装置300が、通信部310において、(ST1−7)において送信されたアカウント登録要求RQ1を受信する。そして、アサーション検証部330において、認証アサーションAA1を検証する。なお、SAMLが利用された場合、アサーション検証部330は、認証アサーションAA1に添付された署名を検証することで、認証アサーションAA1を検証することができる。認証アサーションAA1の検証に成功すると、(ST1−9)の処理に進む。検証に失敗すると、処理が終了し、アカウント自動連携はできない。
(ST1−9)
ユーザのアイデンティティが保証されていることを確認するために、アイデンティティ保証情報検証部340が、認証アサーションAA1に含まれるアイデンティティ保証情報IDP1を確認する。確認がなされると、(ST1−10)の処理に進む。確認がなされないと、処理が終了し、アカウント自動連携はできない。
ユーザのアイデンティティが保証されていることを確認するために、アイデンティティ保証情報検証部340が、認証アサーションAA1に含まれるアイデンティティ保証情報IDP1を確認する。確認がなされると、(ST1−10)の処理に進む。確認がなされないと、処理が終了し、アカウント自動連携はできない。
(ST1−10)
ユーザアカウント生成部350が、認証アサーションAA1に含まれる連携属性FA1を用いて、認証処理装置300におけるユーザのアカウントを生成し、ユーザアカウント情報格納部320に、生成されたアカウントに関連付けて連携属性FA1を格納する。その後、(ST1−11)の処理に進む。
ユーザアカウント生成部350が、認証アサーションAA1に含まれる連携属性FA1を用いて、認証処理装置300におけるユーザのアカウントを生成し、ユーザアカウント情報格納部320に、生成されたアカウントに関連付けて連携属性FA1を格納する。その後、(ST1−11)の処理に進む。
(ST1−11)
クレデンシャル生成部360が、アイデンティティ保証情報認証処理装置300においてユーザを認証する際に利用するクレデンシャルCR2を生成し、ユーザアカウント情報格納部320に、対応するアカウントに関連付けて格納する。クレデンシャルCR2は、認証処理装置300の持つ認証方式によって異なるため、クレデンシャル生成部360は、認証方式に沿ったクレデンシャルを生成すると良い。例えば、認証処理装置300がパスワードに用いる認証を採用する場合、クレデンシャルCR2はパスワードが好適である。
クレデンシャル生成部360が、アイデンティティ保証情報認証処理装置300においてユーザを認証する際に利用するクレデンシャルCR2を生成し、ユーザアカウント情報格納部320に、対応するアカウントに関連付けて格納する。クレデンシャルCR2は、認証処理装置300の持つ認証方式によって異なるため、クレデンシャル生成部360は、認証方式に沿ったクレデンシャルを生成すると良い。例えば、認証処理装置300がパスワードに用いる認証を採用する場合、クレデンシャルCR2はパスワードが好適である。
図9は、ユーザアカウント情報格納部320に格納される情報の例を説明するための模式図である。
すなわち、ユーザアカウント情報格納部320には、(ST1−10)および(ST1−11)における処理によって生成された連携属性FA1およびクレデンシャルCR2がユーザアカウント情報として格納される。
クレデンシャルCR2がユーザアカウント情報格納部320に格納されると、(ST−12)の処理に進む。
(ST1−12)
ユーザ認証部370が、(ST1−11)で格納されたクレデンシャルCR2を用いてユーザ認証を行い、認証コンテキストAC2を生成する。認証コンテキストAC2は、認証処理がどう行われたか等を示す情報である。なお、この認証コンテキストAC2は、SAMLの認証コンテキストを利用することが好ましい。その後、(ST1−13)の処理に進む。
ユーザ認証部370が、(ST1−11)で格納されたクレデンシャルCR2を用いてユーザ認証を行い、認証コンテキストAC2を生成する。認証コンテキストAC2は、認証処理がどう行われたか等を示す情報である。なお、この認証コンテキストAC2は、SAMLの認証コンテキストを利用することが好ましい。その後、(ST1−13)の処理に進む。
(ST1−13)
認証アサーション生成部380が、連携属性FA1と認証コンテキストAC2から、認証アサーションAA2を生成する。なお、この認証アサーションAA2を表現するのに、SAMLが好適である。その後、(ST1−14)の処理に進む。
認証アサーション生成部380が、連携属性FA1と認証コンテキストAC2から、認証アサーションAA2を生成する。なお、この認証アサーションAA2を表現するのに、SAMLが好適である。その後、(ST1−14)の処理に進む。
(ST1−14)
アカウント登録応答生成部390が、(ST1−13)で生成された認証アサーションAA2を用いてアカウント登録応答RP1を生成する。その後、(ST1−15)の処理に進む。
アカウント登録応答生成部390が、(ST1−13)で生成された認証アサーションAA2を用いてアカウント登録応答RP1を生成する。その後、(ST1−15)の処理に進む。
図10は、アカウント登録応答RP1に含まれる情報の例を説明するための模式図である。
アカウント登録応答RP1には、認証アサーションAA2が含まれる。そして、認証アサーションAA2には、連携属性FA1と認証コンテキストAC2とが含まれる。なお、前述したように、認証アサーションAA2を表現するのに、SAMLを利用することが好ましい。SAMLが利用された場合、認証コンテキストAC2は、認証ステートメントAS2内の1つの要素として生成される。したがって、図10では、SAMLが利用された場合の例として、認証ステートメントAS2に認証コンテキストAC2が含まれているように示されている。
(ST1−15)
通信部310が、(ST1−14)で生成されたアカウント登録応答RP1を、ネットワーク20を介してアイデンティティ管理装置200に送信する。そして、(ST1−16)の処理に進む。
通信部310が、(ST1−14)で生成されたアカウント登録応答RP1を、ネットワーク20を介してアイデンティティ管理装置200に送信する。そして、(ST1−16)の処理に進む。
(ST1−16)
図6に示すように、(ST1−15)で送信されたアカウント登録応答RP1を、アイデンティティ管理装置200が、通信部210において受信する。通信部210は、受信したアカウント登録応答RP1をアサーション検証部280へ送る。そして、アサーション検証部280は、アカウント登録応答RP1に含まれる認証アサーションAA2を検証する。なお、SAMLが利用された場合、アサーション検証部280は、認証アサーションAA2に添付された署名を検証することで、認証アサーションAA2を検証することができる。認証アサーションAA2の検証に成功すると、(ST1−17)の処理に進む。検証に失敗すると、処理は終了する。
図6に示すように、(ST1−15)で送信されたアカウント登録応答RP1を、アイデンティティ管理装置200が、通信部210において受信する。通信部210は、受信したアカウント登録応答RP1をアサーション検証部280へ送る。そして、アサーション検証部280は、アカウント登録応答RP1に含まれる認証アサーションAA2を検証する。なお、SAMLが利用された場合、アサーション検証部280は、認証アサーションAA2に添付された署名を検証することで、認証アサーションAA2を検証することができる。認証アサーションAA2の検証に成功すると、(ST1−17)の処理に進む。検証に失敗すると、処理は終了する。
(ST1−17)
連携属性フラグ管理部290が、認証アサーションAA2に含まれた連携属性FA1を用いて、ユーザアカウント情報格納部220に格納されているユーザアカウント情報を検索する。そして、該当するユーザアカウント情報の連携属性フラグFAF1を、「有効」に設定し、ユーザアカウント情報格納部220に格納する。これでアイデンティティ管理装置200と認証処理装置300とのアカウント連携処理が完了する。
連携属性フラグ管理部290が、認証アサーションAA2に含まれた連携属性FA1を用いて、ユーザアカウント情報格納部220に格納されているユーザアカウント情報を検索する。そして、該当するユーザアカウント情報の連携属性フラグFAF1を、「有効」に設定し、ユーザアカウント情報格納部220に格納する。これでアイデンティティ管理装置200と認証処理装置300とのアカウント連携処理が完了する。
上述したように、本実施形態の認証システム10によれば、連携属性FA1をアイデンティティ管理装置200と認証処理装置300との間で相互認証することにより、アイデンティティ管理装置200と認証処理装置300との間でのアカウント連携が可能となる。
その結果、認証システム10で新規アカウント登録に利用する情報は、アイデンティティ管理装置200で取り扱っている本人確認されたアイデンティティに対応した連携属性FA1となるため、仮に認証処理装置300が、アイデンティティ管理装置200とは異なるセキュリティドメインにある場合であっても、セキュリティを低下させることなく、新規アカウント登録のためのアカウント情報の、アイデンティティ管理装置200と認証処理装置300との間での連携が可能となる。
また、認証システム10は、アイデンティティ管理装置200で取り扱っている本人確認されたアイデンティティに対応した連携属性FA1を用いて、新規アカウントを登録できるようになるので、登録時に再度本人確認を行う必要性を省くことが可能となる。
さらには、認証システム10は、ユーザのアイデンティティそのものを管理することなく、アイデンティティ管理装置200が取り扱っているアイデンティティに対応付けられた連携属性FA1のみを管理するようになる。連携属性FA1の情報は直接的にはユーザに関係しない、プライバシー情報ではないため、セキュリティを低下させることなく、管理コストを低減することが可能となる。
(第2の実施形態)
第2の実施形態の認証システムをさらに図11乃至図17を用いて説明する。
第2の実施形態の認証システムをさらに図11乃至図17を用いて説明する。
図11は、本実施形態の認証システム10’の構成例を示すブロック図である。
すなわち、本実施形態の認証システム10’は、アイデンティティ管理装置200’と認証処理装置300’とを備えてなる。アイデンティティ管理装置200’は、第1の実施形態におけるアイデンティティ管理装置200に認証要求生成部299を追加したものであり、認証処理装置300’は、第1の実施形態における認証処理装置300に認証応答生成部399を追加したものである。その他の構成要件は、第1の実施形態と同じであるので、以下の説明に用いる図中の符号は、図1と同一部分については同一符号を付して示し、重複説明を避ける。
図12は、本実施形態の認証システム10’による動作例を説明するためのシーケンス図である。
図13は、図12における(ST2−13)までの認証処理装置300内の動作例を説明するための模式図である。
本実施形態の認証システム10’の動作は、図12に示す(ST2−12)よりも前については、第1の実施形態の(ST1−1)乃至(ST1−11)と同様である。したがって、図12では、(ST1−1)乃至(ST1−11)の記載を省略している。また、図13中に示す(ST1−7)乃至(ST1−11)も第1の実施形態と同様である。
よって、以下では、(ST2−12)乃至(ST2−19)について説明する。
(ST2−12)
アカウント登録応答生成部390は、(ST1−11)において図9に示すような連携属性FA1およびクレデンシャルCR2を含むユーザアカウント情報が、ユーザアカウント情報格納部320に格納された後に、ユーザアカウント情報格納部320に格納された連携属性FA1を用いて、ユーザのアカウント登録応答RP1を生成する。
アカウント登録応答生成部390は、(ST1−11)において図9に示すような連携属性FA1およびクレデンシャルCR2を含むユーザアカウント情報が、ユーザアカウント情報格納部320に格納された後に、ユーザアカウント情報格納部320に格納された連携属性FA1を用いて、ユーザのアカウント登録応答RP1を生成する。
図14は、本実施形態におけるアカウント登録応答RP1に含まれる情報の例を示す模式図である。すなわち、本実施形態におけるアカウント登録応答RP1には、連携属性FA1が含まれている。
アカウント登録応答生成部390は、このようなアカウント登録応答RP1を生成すると、通信部310に送る。
図15は、図12における(ST2−14)乃至(ST2−15)のアイデンティティ管理装置200’内の動作例を説明するための模式図である。
(ST2−13)
通信部310は、アカウント登録応答生成部390から送られたアカウント登録応答RP1を受け取る。そして、図15に示すように、ネットワーク20を介してアイデンティティ管理装置200’へ送信する。
通信部310は、アカウント登録応答生成部390から送られたアカウント登録応答RP1を受け取る。そして、図15に示すように、ネットワーク20を介してアイデンティティ管理装置200’へ送信する。
(ST2−14)
アイデンティティ管理装置200’は、(ST2−13)において通信部310から送信されたアカウント登録応答RP1を通信部210において受信する。通信部210は、このアカウント登録応答RP1を認証要求生成部299へ送る。そして、認証要求生成部299は、このアカウント登録応答RP1に含まれる連携属性FA1が、ユーザアカウント情報格納部220に格納されているものと同一であることを確認し、認証要求ARQ1を生成する。そして、認証要求ARQ1を通信部210へ送る。連携属性FA1の同一性が確認されない場合には、認証要求ARQ1は生成されず、処理が終了する。
アイデンティティ管理装置200’は、(ST2−13)において通信部310から送信されたアカウント登録応答RP1を通信部210において受信する。通信部210は、このアカウント登録応答RP1を認証要求生成部299へ送る。そして、認証要求生成部299は、このアカウント登録応答RP1に含まれる連携属性FA1が、ユーザアカウント情報格納部220に格納されているものと同一であることを確認し、認証要求ARQ1を生成する。そして、認証要求ARQ1を通信部210へ送る。連携属性FA1の同一性が確認されない場合には、認証要求ARQ1は生成されず、処理が終了する。
(ST2−15)
通信部210は、(ST2−14)で認証要求生成部299から送られた認証要求ARQ1を、ネットワーク20を介して認証処理装置300’へ送信する。通信部210から送信された認証要求ARQ1を、認証処理装置300’の通信部310が受信する。
通信部210は、(ST2−14)で認証要求生成部299から送られた認証要求ARQ1を、ネットワーク20を介して認証処理装置300’へ送信する。通信部210から送信された認証要求ARQ1を、認証処理装置300’の通信部310が受信する。
(ST2−16)
図16は、(ST2−16)乃至(ST2−17)の認証処理装置300’内の動作例を説明するための模式図である。
図16は、(ST2−16)乃至(ST2−17)の認証処理装置300’内の動作例を説明するための模式図である。
図16に示すように、通信部310は、認証要求ARQ1を受信すると、ユーザ認証部370に送る。すると、ユーザ認証部370が、ユーザアカウント情報格納部320に格納された連携属性FA1を取得し、さらに、指定された認証方法に従って認証要求ARQ1の認証処理を行い、認証コンテキストAC2を生成し、認証アサーション生成部380へ送る。
これを受けて認証アサーション生成部380は、連携属性FA1と認証コンテキストAC2とから、認証アサーションAA2を生成する。したがって、認証アサーションAA2には、連携属性FA1と認証コンテキストAC2とが含まれている。認証アサーション生成部380は、このような認証アサーションAA2を、認証応答生成部399へ送る。
これに応じて認証応答生成部399は、認証アサーションAA2を用いて認証応答ARP1を生成する。したがって、認証応答ARP1には、認証アサーションAA2が含まれている。認証応答生成部399は、このような認証応答ARP1を通信部310へ送る。
(ST2−17)
通信部310は、認証応答生成部399から送られた認証応答ARP1を受け取り、ネットワーク20を介してアイデンティティ管理装置200’へ送信する。
通信部310は、認証応答生成部399から送られた認証応答ARP1を受け取り、ネットワーク20を介してアイデンティティ管理装置200’へ送信する。
図17は、(ST2−18)乃至(ST2−19)のアイデンティティ管理装置200’内の動作例を説明するための模式図である。
(ST2−18)
図17に示すように、通信部210は、通信部310から送信された認証応答ARP1を受信し、アサーション検証部280へ送る。アサーション検証部280は、認証アサーションAA2に含まれている連携属性FA1と認証コンテキストAC2とから、認証アサーションAA2を検証する。これは、たとえば電子署名を検証することによって行う。なお、認証アサーションAA2を表現するのに、SAMLが好適である。その後、検証に成功すると、(ST2−19)の処理に進む。
図17に示すように、通信部210は、通信部310から送信された認証応答ARP1を受信し、アサーション検証部280へ送る。アサーション検証部280は、認証アサーションAA2に含まれている連携属性FA1と認証コンテキストAC2とから、認証アサーションAA2を検証する。これは、たとえば電子署名を検証することによって行う。なお、認証アサーションAA2を表現するのに、SAMLが好適である。その後、検証に成功すると、(ST2−19)の処理に進む。
(ST2−19)
連携属性フラグ管理部290は、認証アサーションAA2に含まれる連携属性FA1を用いて、ユーザアカウント情報格納部220に格納されているユーザアカウント情報を検索する。そして、該当したユーザアカウント情報の連携属性フラグFAF1を、「有効」に設定し、格納する。これでアイデンティティ管理装置200’と認証処理装置300’との間でのアカウント連携が完了となる。
連携属性フラグ管理部290は、認証アサーションAA2に含まれる連携属性FA1を用いて、ユーザアカウント情報格納部220に格納されているユーザアカウント情報を検索する。そして、該当したユーザアカウント情報の連携属性フラグFAF1を、「有効」に設定し、格納する。これでアイデンティティ管理装置200’と認証処理装置300’との間でのアカウント連携が完了となる。
上述したように、本実施形態の認証システム10’によれば、第1の実施形態の認証システム10とは異なり、認証処理装置300’がユーザの連携アカウントを生成する際に、認証アサーションAA2を生成せず、すなわちユーザ認証を行わず、アイデンティティ管理装置200’にアカウント登録応答を通信する。そして、アイデンティティ管理装置200’は、認証処理装置300’に対してユーザ認証を要求し、ユーザ認証処理が行われ、認証処理装置300’から認証成功の応答を取得すると、アカウント連携を「有効」としている。
このような構成によっても、アイデンティティ管理装置200’は認証処理装置300’に対して、認証処理に関する指定をすることが可能となり、もって、第1の実施形態の認証システム10と同じ作用効果を奏することができる。
なお、請求項におけるアイデンティティ管理装置の情報格納部、認証部、連携属性生成部、登録要求部、検証部、連携属性フラグ管理部、および認証要求生成部は、実施形態におけるユーザアカウント情報格納部220、ユーザ認証部230、連携属性生成部250、アカウント登録要求生成部270、アサーション検証部280、連携属性フラグ管理部290、および認証要求生成部299にそれぞれ対応する。
また、請求項における認証処理装置における通信部、アカウント生成部、情報格納部、クレデンシャル生成部、ユーザ認証部、アカウント登録応答生成部、認証アサーション生成部、および認証応答生成部は、実施形態における通信部310、ユーザアカウント生成部350、ユーザアカウント情報格納部320、クレデンシャル生成部360、ユーザ認証部370、アカウント登録応答生成部390、認証アサーション生成部380、および認証応答生成部399にそれぞれ対応する。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
例えば、実施形態では、アイデンティティ管理装置200(200’)とアカウント連携する装置として、認証処理装置300(300’)を例に説明したが、アイデンティティ管理装置200(200’)とアカウント連携する対象となる装置は、認証処理装置300(300’)に限られるものではない。実施形態では、アイデンティティ管理装置200(200’)とアカウント連携する装置の一例として、認証処理装置300(300’)とし、これに応じて、アイデンティティ管理装置200(200’)では、認証処理装置300(300’)によってなされる認証サービスを識別するための識別子として認証サービス識別ASID1を取り扱い、さらに認証サービス識別ASID1を管理するための認証サービス管理部240を設けている。
したがって、当業者であれば、アイデンティティ管理装置200(200’)とアカウント連携する対象となる装置が、認証処理装置300(300’)ではない場合、それに応じたサービス識別情報およびサービス管理部を、認証サービス識別ASID1および認証サービス管理部240の代わりに用いることにより、アイデンティティ管理装置200(200’)は、認証処理装置300(300’)以外の装置とであっても、アカウント連携することが可能となることを理解できるであろう。
10、10’ 本実施形態の認証システム、20 ネットワーク、100 クライアント装置、200、200’ アイデンティティ管理装置、210 通信部、220 ユーザアカウント情報格納部、230 ユーザ認証部、240 認証サービス管理部、250 連携属性生成部、260 認証アサーション生成部、270 アカウント登録要求生成部、280 アサーション検証部、290 連携属性フラグ管理部、299 認証要求生成部、300、300’ 認証処理装置、310 通信部、320 ユーザアカウント情報格納部、330 アサーション検証部、340 アイデンティティ保証情報検証部、350 ユーザアカウント生成部、360 クレデンシャル生成部、370 ユーザ認証部、380 認証アサーション生成部、390 アカウント登録応答生成部、399 認証応答生成部。
Claims (6)
- 他装置にアカウントを登録するユーザのためのアイデンティティ情報を管理するアイデンティティ管理装置であって、
前記ユーザのアイデンティティ情報に含まれるアカウント情報と、前記他装置によって提供されるサービスを識別するサービス識別情報とを格納する情報格納部と、
前記格納されたアカウント情報を用いて前記ユーザを認証する認証部と、
前記認証されたユーザによって入力されたサービス識別情報が、前記格納されたサービス識別情報と一致する場合、前記アカウント情報の前記他装置との連携のための連携属性と、前記連携属性のステータスを示す連携属性フラグとを生成し、前記連携属性フラグを無効に設定する連携属性生成部と、
前記ユーザが認証されたことを保証する保証情報と、前記連携属性とを用いて、前記他装置に対して、前記ユーザのアカウントの登録を要求する登録要求部と、
前記要求に応じて、前記他装置によって生成された、前記連携属性を含むアカウント登録応答を検証する検証部と、
前記アカウント登録応答が正しく検証された場合、前記アカウント登録応答に含まれた連携属性に対応するアカウント情報を、前記情報格納部から検索し、前記検索されたアカウント情報に対応する連携属性フラグを有効に設定することにより、前記アカウント情報の前記他装置との連携を可能とする連携属性フラグ管理部と、
を備えるアイデンティティ管理装置。 - 前記他装置は認証処理装置であって、
前記アカウント登録応答に応じて、前記認証処理装置に対して、前記ユーザの認証を要求する認証要求を生成する認証要求生成部、をさらに備えた請求項1に記載のアイデンティティ管理装置。 - 他装置からのアカウント登録要求に応じてユーザのアカウントを登録するとともに、前記ユーザを認証する認証処理装置であって、
前記ユーザが前記他装置によって認証されたことを保証する保証情報と、前記ユーザのアカウント情報の前記他装置との連携のための連携属性とが含まれた、前記アカウント登録要求を受信する通信部と、
前記アカウント登録要求に含まれた連携属性を用いて、前記ユーザのアカウントを生成するアカウント生成部と、
前記生成されたアカウントに関連付けて、前記連携属性を格納する情報格納部と、
前記ユーザを認証する際に利用するクレデンシャルを生成し、前記アカウントに関連付けて、前記情報格納部に格納するクレデンシャル生成部と、
前記クレデンシャルを用いて前記ユーザの認証を行い、認証処理内容を示す認証コンテキストを生成するユーザ認証部と、
前記連携属性と前記認証コンテキストとを含むアカウント登録応答を生成する、アカウント登録応答生成部と、
を備えた認証処理装置。 - 前記通信部が、前記アカウント登録応答を前記他装置へ送信し、前記アカウント登録応答に応じて、前記他装置によって生成された、前記ユーザの認証を要求する認証要求を受信し、
前記ユーザ認証部が、前記認証要求に対応する連携属性を、前記情報格納部から取得し、さらに、前記認証要求の認証処理を行い、認証コンテキストを生成し、
前記取得された連携属性と、前記生成された認証コンテキストとから、認証アサーションを生成する、認証アサーション生成部と、
前記認証アサーションを用いて認証応答を生成する認証応答生成部と、
をさらに備える請求項3に記載の認証処理装置。 - 第2の装置にアカウントを登録するユーザのためのアイデンティティ情報を管理する第1の装置と、前記第1の装置からのアカウント登録要求に応じてユーザのアカウントを登録する前記第2の装置と、を備えてなる認証システムであって、
前記第1の装置は、
前記ユーザのアイデンティティ情報に含まれるアカウント情報と、前記第2の装置によって提供されるサービスを識別するサービス識別情報とを格納する第1の情報格納部と、
前記格納されたアカウント情報を用いて前記ユーザを認証する認証部と、
前記認証されたユーザによって入力されたサービス識別情報が、前記格納されたサービス識別情報と一致する場合、前記アカウント情報の前記第2の装置との連携のための連携属性と、前記連携属性のステータスを示す連携属性フラグとを生成し、前記連携属性フラグを無効に設定する連携属性生成部と、
前記ユーザが認証されたことを保証する保証情報と、前記連携属性とを用いて、前記第2の装置に対して、前記ユーザのアカウントの登録を要求する登録要求部と、
前記要求に応じて、前記第2の装置によって生成された、前記連携属性を含むアカウント登録応答を検証する検証部と、
前記アカウント登録応答が正しく検証された場合、前記アカウント登録応答に含まれた連携属性に対応するアカウント情報を、前記第1の情報格納部から検索し、前記検索されたアカウント情報に対応する連携属性フラグを有効に設定することにより、前記アカウント情報の前記第2の装置との連携を可能とする連携属性フラグ管理部とを備え、
前記第2の装置は、
前記ユーザが前記第1の装置によって認証されたことを保証する保証情報と、前記ユーザのアカウント情報の前記第1の装置との連携のための連携属性とが含まれた、前記アカウント登録要求を受信する通信部と、
前記アカウント登録要求に含まれた連携属性を用いて、前記ユーザのアカウントを生成するアカウント生成部と、
前記生成されたアカウントに関連付けて、前記連携属性を格納する第2の情報格納部と、
前記ユーザを認証する際に利用するクレデンシャルを生成し、前記アカウントに関連付けて、前記第2の情報格納部に格納するクレデンシャル生成部と、
前記クレデンシャルを用いて前記ユーザの認証を行い、認証処理内容を示す認証コンテキストを生成するユーザ認証部と、
前記連携属性と前記認証コンテキストとを含むアカウント登録応答を生成する、アカウント登録応答生成部とを備えた、認証システム。 - 前記第1の装置は、
前記アカウント登録応答に応じて、前記第2の装置に対して、前記ユーザの認証を要求する認証要求を生成する認証要求生成部をさらに備え、
前記第2の装置は、
前記通信部が、前記アカウント登録応答を前記第1の装置へ送信し、前記アカウント登録応答に応じて、前記第1の装置によって生成された、前記ユーザの認証を要求する認証要求を受信し、
前記ユーザ認証部が、前記認証要求に対応する連携属性を、前記第2の情報格納部から取得し、さらに、前記認証要求の認証処理を行い、認証コンテキストを生成し、
前記第2の装置はさらに、
前記取得された連携属性と、前記生成された認証コンテキストとから、認証アサーションを生成する、認証アサーション生成部と、
前記認証アサーションを用いて認証応答を生成する認証応答生成部とを備える、請求項5に記載の認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016045105A JP6342441B2 (ja) | 2016-03-09 | 2016-03-09 | 認証処理装置および認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016045105A JP6342441B2 (ja) | 2016-03-09 | 2016-03-09 | 認証処理装置および認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017162129A true JP2017162129A (ja) | 2017-09-14 |
| JP6342441B2 JP6342441B2 (ja) | 2018-06-13 |
Family
ID=59853033
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016045105A Active JP6342441B2 (ja) | 2016-03-09 | 2016-03-09 | 認証処理装置および認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6342441B2 (ja) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008523486A (ja) * | 2004-12-10 | 2008-07-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 名前識別子登録プロファイルをセキュアに結合するための方法およびシステム |
| US20090119763A1 (en) * | 2007-11-06 | 2009-05-07 | So-Hee Park | Method and system for providing single sign-on service |
| JP2012527179A (ja) * | 2009-05-14 | 2012-11-01 | マイクロソフト コーポレーション | Httpベースの認証 |
| JP2013125410A (ja) * | 2011-12-14 | 2013-06-24 | Fujitsu Ltd | 認証処理プログラム、認証処理方法、及び認証処理装置 |
| JP2013171349A (ja) * | 2012-02-17 | 2013-09-02 | Toshiba Corp | 認証連携システム、idプロバイダ装置およびプログラム |
| JP2015108903A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 分散情報連携システムとそのデータ操作方法及びプログラム |
| JP2015230713A (ja) * | 2014-06-06 | 2015-12-21 | 日本電信電話株式会社 | 分散情報連携システム |
-
2016
- 2016-03-09 JP JP2016045105A patent/JP6342441B2/ja active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008523486A (ja) * | 2004-12-10 | 2008-07-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 名前識別子登録プロファイルをセキュアに結合するための方法およびシステム |
| US20090119763A1 (en) * | 2007-11-06 | 2009-05-07 | So-Hee Park | Method and system for providing single sign-on service |
| JP2012527179A (ja) * | 2009-05-14 | 2012-11-01 | マイクロソフト コーポレーション | Httpベースの認証 |
| JP2013125410A (ja) * | 2011-12-14 | 2013-06-24 | Fujitsu Ltd | 認証処理プログラム、認証処理方法、及び認証処理装置 |
| JP2013171349A (ja) * | 2012-02-17 | 2013-09-02 | Toshiba Corp | 認証連携システム、idプロバイダ装置およびプログラム |
| JP2015108903A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 分散情報連携システムとそのデータ操作方法及びプログラム |
| JP2015230713A (ja) * | 2014-06-06 | 2015-12-21 | 日本電信電話株式会社 | 分散情報連携システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6342441B2 (ja) | 2018-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9992189B2 (en) | Generation and validation of derived credentials | |
| US11088847B2 (en) | Authority transfer system, control method therefor, and storage medium | |
| US10136315B2 (en) | Password-less authentication system, method and device | |
| KR101666374B1 (ko) | 사용자 인증서 발급과 사용자 인증을 위한 방법, 장치 및 컴퓨터 프로그램 | |
| US20180254909A1 (en) | Virtual Identity Credential Issuance and Verification Using Physical and Virtual Means | |
| EP3208732A1 (en) | Method and system for authentication | |
| CN109428891B (zh) | 权限转移系统及其控制方法和客户端 | |
| RU2434340C2 (ru) | Инфраструктура верификации биометрических учетных данных | |
| JP5759009B2 (ja) | 匿名エンティティ認証方法および装置 | |
| CN109684801B (zh) | 电子证件的生成、签发和验证方法及装置 | |
| JP5759010B2 (ja) | 匿名エンティティ認証方法および装置 | |
| US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
| CN113302894A (zh) | 安全账户访问 | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| MX2012011105A (es) | Autoridad de certificado. | |
| EP3908946B1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
| US11082236B2 (en) | Method for providing secure digital signatures | |
| CN113647080B (zh) | 以密码保护的方式提供数字证书 | |
| JP2015231177A (ja) | 装置認証方法、装置認証システム及び装置認証プログラム | |
| CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
| JP6178112B2 (ja) | 認証サーバ、認証システム及びプログラム | |
| JP6342441B2 (ja) | 認証処理装置および認証システム | |
| US11764964B2 (en) | Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication | |
| JP2019128858A (ja) | 機器認可システム | |
| JP5793593B2 (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20170907 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170908 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171206 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180206 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180409 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180417 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180516 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6342441 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |