JP2017199145A - サーバ装置、システム、情報処理方法及びプログラム - Google Patents
サーバ装置、システム、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP2017199145A JP2017199145A JP2016088411A JP2016088411A JP2017199145A JP 2017199145 A JP2017199145 A JP 2017199145A JP 2016088411 A JP2016088411 A JP 2016088411A JP 2016088411 A JP2016088411 A JP 2016088411A JP 2017199145 A JP2017199145 A JP 2017199145A
- Authority
- JP
- Japan
- Prior art keywords
- client device
- client
- authorization token
- authorization
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
また、認証されたユーザが、自身が有する権限をクライアント103に委譲することで、クライアントが権限を獲得して処理を実行するようなことも行われている。ここで、クライアントとは、サービスが保有するリソースを使用するアプリケーションが動作するサーバ装置やモバイル端末等である。クライアントは、権限を委譲される対象としてサービスに登録される。権限を委譲する方法として、例えば、OAuth2.0(非特許文献1)等が広く用いられている。この方法においては、認証されたユーザに、クライアントに対して指定された権限を許可するか否かの判定を依頼する許可画面が提示される。ユーザが許可を選択すると、クライアントにリソースにアクセスするための権限を示す認可トークンが発行される。そのため、ユーザは自分自身の認証情報をクライアントに入力することなく、リソースにアクセスするための権限を委譲することができる。
このような問題を解決する手段として、ユーザの許可操作を簡易化する方法が開示されている。
例えば、特許文献1では、Web情報の所有者であるユーザが設定したポリシー情報を認可サーバに事前に登録し、被譲渡者が使用するクライアントからアクセス要求が発生した場合に、ポリシー情報をもとに認可トークンを発行する。これによって、ユーザが事前に設定した条件で、クライアントに権限を委譲でき、セキュリティを高めつつユーザの操作負荷を軽減できる。
また、特許文献2では、まず、ユーザの許可操作によって、デバイス装置に第一の認可トークンを発行する。次に、第一の認可トークンを使うことによって、デバイス装置にインストールされている各アプリケーションにユーザの許可操作なしで第二の認可トークンを発行する。これによって、デバイス装置にインストールされている複数のアプリケーションが権限委譲の対象となる場合に、ユーザの操作負荷を軽減できる。
これらの技術によって、クライアントが複数存在する場合に、ユーザの許可操作の負荷を軽減できる。
また、デバイス装置に発行された認可トークンに基づいて各アプリケーションに認可トークンを発行する方法では、権限委譲の対象となるアプリケーションごとの権限をユーザに提示して許可の判定を依頼することができない。そのため、権限委譲の対象に応じて適切な権限の許可を判定することが難しい。
本発明は、事前にポリシー情報を登録することなく、権限委譲の対象ごとの権限を考慮したうえで、権限を委譲する際のユーザの操作負荷を軽減する技術を提供することを目的とする。
まず、本実施形態に係る認可システムの構成例について、図1を用いて説明する。
認可システムは、認可サーバ101、リソースサーバ102、クライアント103、ユーザ端末104から構成される。認可サーバ101、リソースサーバ102、クライアント103、ユーザ端末104は、ネットワーク105を介して互いに通信が可能である。ネットワーク105は、LAN等の同一のネットワークとして接続されていてもよいし、インターネット等の外部ネットワークとして接続されていてもよいし、それらの混合であってもよい。また、認可サーバ101、リソースサーバ102、クライアント103は、それぞれ複数の台数、認可システムに含まれてもよい。
認可サーバ101は、リソースサーバ102が保有するリソースをユーザやクライアント103がアクセスするための権限を管理する。認可サーバ101は、リソースサーバ102にリソースを保有するユーザのユーザ情報を保有している。また、認可サーバ101は、リソースサーバ102が保有しているリソースにアクセスするクライアント103のクライアント情報を保有している。更に、認可サーバ101は、クライアント103からの要求に応じて認可トークンを発行したり、リソースサーバ102からの要求に応じて認可トークンの有効性を検証したりする。ここで、認可トークンとは、認証されたユーザに対して与えられる権限情報、又は認証されたユーザがクライアント103に対して委譲した権限情報が記述されたデータのことである。認可トークンは、例えば、OAuth2.0におけるアクセストークンである。クライアント103は、リソースサーバ102にリソースへのアクセスを要求する際に、認可トークンを取得してリソースアクセス要求と共に送信する。リソースサーバ102は、受信した認可トークンの有効性を検証し、要求の可否を決定する。
リソースサーバ102は、ユーザのリソースを保有する。ここで、リソースとは、Webでアクセス可能なあらゆるデータや処理のことである。データとしては、ユーザのパーソナルデータ、画像データ、文書データ等、様々なものがある。また、リソースサーバ102は、クライアント103からのリソースアクセス要求に応じてリソースを提供する。
クライアント103は、ユーザ端末104からの処理要求に応じて、各種処理を行うアプリケーションが動作するサーバやモバイル端末等である。クライアント103は、権限委譲の対象として認可サーバ101に登録される。クライアント103は、処理を実行する際には、リソースサーバ102に処理に必要なリソースへのアクセスを要求する。また、クライアント103は、リソースサーバ102にリソースへのアクセスを要求するために、認可サーバ101に認可トークンの取得を要求する。
ユーザ端末104は、ユーザが操作する端末であり、パーソナルコンピュータやモバイル端末等である。
認可サーバ101は、CPU201、RAM202、ROM203、ネットワークインタフェース204、外部記憶装置205、表示装置206、入力装置207を少なくとも備えている。
CPU201は、認可サーバ101を構成する各部の動作制御を行うと共に、認可サーバ101が行うものとして後述する各種の処理を実行する主体となる。
RAM202は、データや制御情報を一時的に格納するメモリであり、CPU201が各種の処理を実行する際に用いるワークエリアとなる。
ROM203には、認可サーバ101の固定の動作パラメータやプログラム等が格納される。
ネットワークインタフェース204は、ネットワーク105に接続して通信するための機能を提供するものである。認可サーバ101は、このネットワークインタフェース204によって、外部装置とデータの送受信を行うことができる。
外部記憶装置205は、データを記憶する装置であり、データの読み書きを行うためのI/Oコマンドを受け付けるインタフェースを持つ。外部記憶装置205は、ハードディスクドライブ(HDD)、ソリッドステートドライブ(SSD)、光ディスクドライブ、半導体記憶装置又はその他の記憶装置であってもよい。外部記憶装置205には、プログラムやデータが格納されている。
表示装置206は、例えば、LCD(Liquid Crystal Display)等であり、ユーザに必要な情報を表示する。
入力装置207は、例えば、キーボードやマウス、タッチパネル等であり、ユーザから必要な入力を受け付ける。
同様にリソースサーバ102のCPU201が、リソースサーバ102のROM203又は外部記憶装置205に記憶されているプログラムに基づき処理を実行することによって、後述する図3のリソースサーバ102の機能構成が実現される。またリソースサーバ102のCPU201が、リソースサーバ102のROM203又は外部記憶装置205に記憶されているプログラムに基づき処理を実行することによって、後述する図6、図12のうちリソースサーバ102のフローチャートの処理が実現される。
同様にユーザ端末104のCPU201が、ユーザ端末104のROM203又は外部記憶装置205に記憶されているプログラムに基づき処理を実行することによって、後述する図3のユーザ端末104の機能構成が実現される。またユーザ端末104のCPU201が、ユーザ端末104のROM203又は外部記憶装置205に記憶されているプログラムに基づき処理を実行することによって、後述する図6、図7のうちユーザ端末104のフローチャートの処理が実現される。
同様にクライアント103のCPU201が、クライアント103のROM203又は外部記憶装置205に記憶されているプログラムに基づき処理を実行することによって、後述する図3のクライアント103の機能構成が実現される。またクライアント103のCPU201が、クライアント103のROM203又は外部記憶装置205に記憶されているプログラムに基づき処理を実行することによって、後述する図6、図7のうちクライアント103のフローチャートの処理が実現される。
認可サーバ101は、認証部302、認可部307、ユーザ情報格納部301、認証トークン格納部305、クライアント情報格納部306、認可トークン格納部311を備える。認証部302は、認証トークン発行部303、認証トークン検証部304を備える。認可部307は、認可トークン発行部308、認可トークン検証部309、認可トークン破棄部310を備える。
ユーザ情報格納部301には、ユーザを認証するためのユーザ情報が格納されている。
ユーザ情報格納部301に格納されているユーザ情報の一例を図4(a)に示す。ユーザID401に関連付けて、パスワード402が格納されている。ユーザID401は、リソースサーバ102にリソースを保有するユーザを一意に識別するIDである。パスワード402は、ユーザが本人であることを検証するための文字列である。ここでは、ユーザを認証するためにパスワード402を用いているが、他の認証情報を用いてもよい。
認証トークン発行部303は、外部装置から認証トークン発行要求を受信した際に、ユーザ情報格納部301に格納されているユーザ情報に基づいてユーザを認証し、認証トークンを発行する。発行された認証トークンは認証トークン格納部305に格納される。
認証トークン格納部305に格納されている認証トークン情報の一例を図5(a)に示す。認証トークンID501に関連付けて、ユーザID502と有効期限503とが格納されている。ユーザID502は、認証されたユーザを表している。有効期限503は、認証トークンの有効期限であり、期限を過ぎた認証トークンは無効となる。
認証トークン検証部304は、認証トークン格納部305に格納されている認証トークン情報に基づいて認証トークンの正当性を検証する。
クライアント情報格納部306に格納されているクライアント情報の一例を図4(b)に示す。クライアントID403に関連付けて、パスワード404、権限スコープ405、デフォルトグループ406が格納されている。クライアントID403は、クライアント103を一意に識別するIDである。パスワード404は、クライアント103を認証するための文字列である。ここでは、クライアント103を認証するための情報としてパスワードを用いているが、他の認証情報を用いてもよい。権限スコープ405は、クライアント103が有する権限の適用範囲を表している。デフォルトグループ406は、クライアント103が所属するグループの初期設定値を表している。
クライアント情報格納部306に格納されているクライアント103のグループ情報の一例を図4(c)に示す。グループID407に関連付けて、所属クライアント408が格納されている。グループID407は、クライアント103のグループを一意に識別するIDである。所属クライアント408は、そのグループに所属しているクライアント103のクライアントIDを表している。
認可トークン検証部309は、外部装置から認可トークン検証要求を受信した際に、認可トークン格納部311に格納されている認可トークン情報に基づいて認可トークンの正当性を検証する。
認可トークン破棄部310は、外部装置から認可トークン破棄要求を受信した際に、認可トークン格納部311に格納されている認可トークンを破棄する。
リソース格納部313には、ユーザが保有するリソースが格納されている。リソース提供部312は、外部装置からリソース取得要求を受信した際に、リソース格納部313に格納されているリソースを提供する。このとき、リソース提供部312は、リソース取得要求に付加されている認可トークンが、リソースに対する権限を保有しているか否かを、認可サーバの認可トークン検証部309に問い合わせて検証する。
クライアント103は、要求処理部314を備える。
要求処理部314は、ユーザ端末からの処理要求に応じて、リソースサーバ102にリソース提供要求を送信して、処理に必要なリソースを取得する。要求処理部314は、リソース提供要求には、認可サーバの認可トークン発行部308から取得した認可トークンを付与する。
ユーザ端末は、ユーザエージェント315を備える。
ユーザエージェント315は、Webブラウザ等、ユーザがWebサイトにアクセスするための機能を提供する。
図6は、本実施形態に係る認可システムの情報処理の一例を示すフローチャートである。なお、本実施形態では、クライアント103としてウェブアプリケーションを提供するサーバを想定して記載するが、クライアント103はモバイル端末のアプリケーション等、他の形態であってもよい。
まず、ユーザ端末のユーザエージェント315は、ユーザ操作に応じて、クライアント103に対する処理要求を受け取ると、クライアント103に処理要求を送信する(S601)。クライアント103の要求処理部314は、処理要求を受信する(S602)。要求処理部314は、処理の実行にリソースサーバ102が保有するリソースが必要な場合には、認可サーバから認可トークンを取得する(S603)。認可トークンの取得処理については、図7を用いて後述する。認可トークンが取得できた場合、要求処理部314は、認可トークンを付加したリソース取得要求をリソースサーバ102に送信する(S604)。リソースサーバ102のリソース提供部312は、リソース取得要求を受信する(S605)。リソース提供部312は、リソース提供要求に付加されている認可トークンが有効なものであるか否かを検証する(S605)。認可トークンの検証処理については、図12を用いて後述する。認可トークンが有効なものである場合、リソース提供部312は、リソースをクライアント103に送信する(S608)。クライアント103の要求処理部314は、送信されたリソースを受信する(S608)。要求処理部314は、受信したリソースを使用して処理要求に対応した処理を実行し、処理結果をユーザ端末に送信する(S609)。ユーザ端末のユーザエージェント315は、処理結果を受信し、ユーザ端末の表示装置206に表示することでユーザに提示する(S610)。
まず、クライアント103の要求処理部314は、認可サーバ101に認可トークン取得要求を送信する(S701)。認可トークン取得要求は、実際には、ユーザ端末を経由してクライアント103から認可サーバに送信される。
認可トークン取得要求のメッセージの一例を図8(a)に示す。図8(a)は、HTTP(Hypertext Transfer Protocol)のプロトコルに従った構文によってメッセージが形成されている。URL(Uniform Resource Locator)部1201に要求の宛先が指定され、末尾にURLパラメータとして、クライアント103のクライアントIDが指定されている。これによって、認可サーバ101では、どのクライアント103が認可トークン取得要求を行っているのかを特定することができる。また、URLパラメータとして、クライアントのグループIDが指定されている。これによって、認可サーバでは、どのグループのクライアント103に対して一括して許可判定を依頼し、認可トークンを生成するかを特定することができる。ヘッダ部1202には、許可判定の依頼を行うユーザの認証情報が指定されている。
認可サーバ101の認可トークン発行部308は、クライアント103から送信された認可トークン取得要求を受信する(S702)。認可トークン発行部308は、認可トークンを発行するために許可を行うユーザが認証済みか否かを判定する(S703)。認可トークン発行部308は、認可トークン取得要求に認証トークンが付加されているか、付加されている認証トークンが有効かによって認証済みか否かを判定する。認証済みでないと判定した場合(S703においてNo)、認可トークン発行部308は、ユーザに認証を要求するための認証画面をユーザ端末に送信する(S704)。
ユーザ端末のユーザエージェント315は、認可サーバ101から送信された認証画面を受信し、表示装置206に表示する(S705)。ユーザエージェント315は、入力装置207を介してユーザによって入力された認証情報を受け取ると(S706)、認証情報を認可サーバ101に送信する。認可サーバ101の認証トークン発行部303は、認証情報を受信する(S707)。認証トークン発行部303は、受信された認証情報で認証が成功すると、認証トークンを発行する(S708)。認証トークン発行部303は、発行した認証トークンを認可トークン取得要求に付加して、認可トークン発行部308に渡す。すると、認可トークン発行部308は、認証済みのユーザに許可判定を依頼するための許可画面を生成する(S710)。許可画面の生成処理については、図10を用いて後述する。認可トークン発行部308は、生成した許可画面をユーザ端末に送信する(S711)。一方、認証済みであると判定した場合(S703においてYes)、認可トークン発行部308は、認証トークンに関連付けられている送信待ちの認可トークンが存在するか否かを検証する(S709)。送信待ちの認可トークンが存在しない場合(S709においてNo)、認可トークン発行部308は、S710にて同様に許可画面を生成する。ユーザ端末のユーザエージェント315は、認可サーバ101から送信された許可画面を受信し、表示装置206に表示する(S712)。ユーザエージェント315は、入力装置207を介したユーザ操作に応じて、許可指示の入力を受け付けると、許可判定情報を認可サーバ101に送信する(S713)。認可サーバ101の認可トークン発行部308は、許可判定情報を受信する(S714)。認可トークン発行部308は、許可判定情報に基づいて、認可トークンを生成する(S715)。認可トークンの生成処理については、図11を用いて後述する。
認可結果のメッセージの一例を図8(b)に示す。図8(b)には、HTTPのレスポンスとしてメッセージが形成されている。ステータス部1203には、認可要求の結果を示すステータスがセットされている。また、ヘッダ部1204には、一時的認可情報が含まれている。一時的認可情報は、クライアント103が認可トークンを取得するために使用される。
クライアント103に送信される認可トークンのメッセージの一例を図8(d)に示す。図8(d)は、HTTPのレスポンスとして、メッセージが形成されている。ステータス部1208には、認可トークン取得要求が成功したことを示すステータスがセットされている。ボディ部1209には、認可トークンと、認可トークンの有効期限等がセットされている。
このように、本実施形態に係る認可トークンの取得処理では、認可サーバ101は、認証されたユーザに許可判定を依頼し、ユーザの許可判定に基づいて、譲渡された権限を表す認可トークンを生成し、クライアント103に送信する。また、認可サーバ101は、事前に認可トークンが生成済みの場合には、ユーザに許可判定の依頼をすることなく認可トークンをクライアント103に送信する。
まず、認可トークン発行部308は、認可トークン取得要求で指定されたクライアントを第一のクライアントとして抽出する(S801)。認可トークン発行部308は、第一のクライアントが正当であるか否かをクライアント情報格納部306に格納されているクライアント情報を使用して検証する(S802)。認可トークン発行部308は、正当なクライアントである場合、第一のクライアントを権限委譲の対象として判定する(S803)。次に、認可トークン発行部308は、第一のクライアントと同一のグループに属する第二のクライアントが存在するか否かを、クライアント情報格納部306に格納されているクライアントのグループ情報を使用して検証する(S804)。認可トークン発行部308は、対象のグループを認可トークン発行要求で指定されているグループIDから判定する。認証トークン発行要求にグループIDが含まれていない場合(S804においてNo)、認可トークン発行部308は、第一のクライアント情報にセットされているデフォルトグループIDを使用する。グループIDが含まれている場合(S804においてYes)、認可トークン発行部308は、第二のクライアントを権限委譲の対象として判定する(S805)。ここでは第二のクライアントは一つとして記載しているが、認可トークン発行部308は、同一のグループに属するすべてのクライアント103を第二のクライアントとして判定する。この際、認可トークン発行部308は、同一のユーザ及び権限スコープの認可トークンが存在しているクライアント103については、第二のクライアントから除外してもよい。最後に、認可トークン発行部308は、権限委譲の対象として判定されたクライアントへの許可判定を依頼する許可画面を生成する(S806)。
許可画面の一例を図9(b)に示す。許可画面1104は、第一のクライアントに対して委譲する権限スコープの一覧1105と、第二のクライアントに対して委譲する権限スコープの一覧1106と、許可するか否かを確定するためのボタン1107と、から構成されている。
このように、本実施形態に係る認可画面の生成処理では、認可サーバ101は、認可トークン取得要求で指定された第一のクライアントだけでなく、第一のクライアントと同一のグループに属する第二のクライアントに対する許可判定を一括してユーザに依頼する。
まず、認可トークン発行部308は、ユーザ端末から受信した許可判定情報が、第一のクライアントを許可しているか否かを判定する(S901)。許可されている場合(S901においてYes)、認可トークン発行部308は、第一のクライアントに対して第一の認可トークンを生成する(S902)。発行された第一の認可トークンは認可トークン格納部311に格納される。この際、第一の認可トークンの送信状態は"送信待ち"にセットされる。一方、許可されていない場合(S901においてNo)、認可トークン発行部308は、S903に処理を進める。認可トークン発行部308は、許可指示が第二のクライアントを許可しているか否かを判定する(S903)。許可されている場合(S903においてYes)、認可トークン発行部308は、第二のクライアントに対して第二の認可トークンを生成する(S904)。発行された第二の認可トークンは、許可判定情報に付加されている認証トークン、及び第一の認可トークンに関連付けられて認可トークン格納部311に格納される。この際、第二の認可トークンの送信状態は"送信待ち"にセットされる。許可されていない場合(S903においてNo)、認可トークン発行部308は、図11に示す処理を終了する。
本実施形態に係る認可トークンの生成処理では、ユーザ端末から受信した許可判定情報に基づいて、認可トークン取得要求で指定された第一のクライアントだけでなく、第一のクライアントと同一のグループに属する第二のクライアントに対する認可トークンを一括して生成する。
まず、リソースサーバ102のリソース提供部312は、認可サーバ101に認可トークン検証要求を送信する(S1001)。認可サーバ101の認可トークン検証部309は、認可トークン検証要求を受信する(S1002)。認可トークン検証部309は、認可トークン検証要求に付加されている認可トークンが正規のものであるか否かを判定する(S1003)。認可トークン検証部309は、正規のものであるか否かを、認可トークン格納部311に格納されているか否かによって判定する。認可トークンが正規のものでないと判定した場合(S1003においてNo)、認可トークン検証部309は、認可トークンは無効であると判定する(S1004)。認可トークンが正規のものであると判定した場合(S1003においてYes)、認可トークン検証部309は、認可トークンが有効期限内であるか否かを判定する(S1005)。有効期限を過ぎていると判定した場合(S1005においてNo)、認可トークン検証部309は、認可トークンは無効であると判定する(S1004)。有効期限内であると判定した場合(S1005においてYes)、認可トークン検証部309は、認可トークン検証要求で指定された権限スコープが正当であるか否かを判定する(S1006)。認可トークン検証部309は、権限スコープが正当であるか否かの判定を、認可トークン格納部311において、権限スコープが認可トークンに関連付けられているか否かによって判定する。権限スコープが正当でないと判定された場合(S1006においてNo)、認可トークン検証部309は、認可トークンは無効であると判定する(S1004)。権限スコープが正当であると判定した場合(S1006においてYes)、認可トークン検証部309は、認可トークンが有効であると判定する(S1007)。認可トークン検証部309は、検証結果を、リソースサーバ102に送信する(S1008)。リソースサーバ102のリソース提供部312は、検証結果を受信する(S1009)。
まず、認可トークン破棄部310は、破棄対象の認可トークンを認可トークン格納部311から削除する(S1501)。破棄対象の認可トークンとは、認可トークン破棄要求で指定された認可トークンや、バッチ処理で有効期限切れと判定された認可トークンである。次に、認可トークン破棄部310は、破棄対象の認可トークンを関連認可トークンとしている他の認可トークンのうち、送信状態が"送信待ち"となっているものが存在するか否かを検証する(S1502)。存在する場合(S1502においてYes)、認可トークン破棄部310は、その認可トークンを認可トークン格納部311から削除する(S1503)。存在しない場合(S1502においてNo)、認可トークン破棄部310は、図13(a)に示す処理を終了する。
このように、本実施形態に係る認可トークンの破棄処理では、第一の認可トークンを破棄する際に、同時に生成された第二の認可トークンが"送信待ち"の場合には第二の認可トークンも破棄する。
ここでは、送信状態が"送信待ち"の場合に第二の認可トークンを破棄する例を示したが、送信状態に関わらず第二の認可トークンを破棄してもよい。
本実施形態に係る認可システムによれば、同一のグループに属するクライアントに対する許可判定の依頼と、認可トークンの生成とを一括して行うことができる。そのため、クライアント各々の対する権限の許可を考慮した方法で、ユーザの許可操作の負荷を軽減することができる。
実施形態1では、許可画面の生成処理において、第一のクライアント及び第二のクライアントに対する許可判定の依頼を一括して行う例を示した。本実施形態では、許可判定の依頼を一括して行う際に、どのクライアントにどの権限を許可するかの選択を可能にする例を示す。
本実施形態に係る認可サーバの認可トークン発行部308が生成する許可画面の一例を図14に示す。許可画面1301は、第一のクライアントに対して委譲する権限スコープの一覧1302と、第二のクライアントに対して委譲する権限スコープの一覧1303と、許可判定を確定するためのボタン1304とから構成されている。権限スコープの一覧1302と1303とでは、各クライアントを許可するのか、各クライアントにどの権限スコープを許可するのかをチェックボックスで選択可能になっている。チェックボックスは、権限スコープを許可するか否かを選択可能なオブジェクトの一例である。
このように、本実施形態に係る認可画面の生成処理では、第一のクライアント及び第二のクライアントに対する許可判定を一括して行う際に、許可するクライアント及び権限が選択可能である。そのため、ユーザがより柔軟に一括した許可判定を行うことができる。
実施形態1では、許可画面の生成処理において、同一のグループに属するクライアント103を第二のクライアントと判定して、一括して許可判定の依頼を行う例を示した。本実施形態では、予め設定されたワークフロー情報に基づいて、第二のクライアントを判定する例を示す。
本実施形態に係る認可サーバのクライアント情報格納部306に格納されているワークフロー情報の一例を図15(a)に示す。ワークフロー情報1401には、ワークフローIDに関連づけて、どの順番でどのクライアントを実行するか、またその際に必要な権限スコープは何かが定義されている。クライアント103は、対象となるワークフローIDを指定して認証トークン取得要求を送信する。認可サーバの認可トークン発行部308は、指定されたワークフローに定義されているクライアントを第二のクライアントと判定して、許可画面を生成する。
このように、本実施形態に係る許可画面の生成処理では、ワークフローに基づいて第二のクライアントを判定する。そのため、クライアント同士の連携を考慮した上で、一括して許可判定の依頼を行うことができる。
実施形態1では、許可画面の生成処理において、同一のグループに属するクライアント103を第二のクライアントと判定して、一括して許可判定の依頼を行う例を示した。本実施形態では、ユーザに関連付けられているクライアント103を、第二のクライアントとして判定する例を示す。
本実施形態に係る認可サーバのクライアント情報格納部306に格納されている登録クライアント情報を図15(b)に示す。ユーザID1402に関連づけて、登録クライアント1403が格納されている。認可部307は、入力装置207等を介したユーザ操作に基づいて登録クライアントを登録してもよいし、ユーザのクライアントへのアクセス履歴に基づいて登録してもよい。認可サーバの認可トークン発行部308は、登録クライアントとして登録されているクライアントを第二のクライアントとして判定して、許可画面を生成する。
このように、本実施形態に係る許可画面の生成処理では、ユーザに関連付けられているクライアントを、第二のクライアントとして判定する。そのため、ユーザの特性を考慮した上で、一括して許可判定の依頼を行うことができる。
実施形態1では、認可トークンの破棄処理において、第一の認可トークンを破棄する際に、同時に生成された第二の認可トークンも破棄する例を示した。本実施形態では、認可トークンを破棄する際に、当該認可トークンがどのユーザの許可に基づいているのかを判定し、当該ユーザに関連付けられている他の認可トークンも破棄する例を示す。
本実施形態に係る認可サーバが行う認可トークンの破棄処理について、同処理のフローチャートを示す図13(b)を用いて説明する。まず、認可トークン破棄部310は、破棄対象の認可トークンを認可トークン格納部311から削除する(S1504)。次に、認可トークン破棄部310は、破棄対象の認可トークンがどのユーザに関連付けられているかを判定する(S1505)。認可トークン破棄部310は、認可トークン格納部311に格納されている関連認証トークンID508で関連する認証トークンを特定し、認証トークン格納部305に格納されているユーザID502でユーザを特定することによって判定する。次に、認可トークン破棄部310は、当該ユーザに関連付けられている認可トークンが存在するか否かを検証する(S1506)。当該ユーザに関連付けられている認可トークンが存在する場合(S1506においてYes)、認可トークン破棄部310は、その認可トークンを認可トークン格納部311から削除する(S1507)。一方、当該ユーザに関連付けられている認可トークンが存在しない場合等(S1506においてNo)、認可トークン破棄部310は、図13(b)に示す処理を終了する。
このように、本実施形態に係る認可トークンの破棄処理では、認可トークンを破棄する際に、同一のユーザに関連付けられている他の認可トークンも破棄する。そのため、ユーザに関連付けられている認可トークンを一括して破棄することができる。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給する。そして、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
104 ユーザ端末
201 CPU
Claims (17)
- 第一のクライアント装置を権限委譲の対象のクライアント装置と決定した際に、前記第一のクライアント装置と関連する第二のクライアント装置が存在する場合、前記第二のクライアント装置を更に前記権限委譲の対象のクライアント装置と決定する決定手段と、
前記決定手段により前記権限委譲の対象のクライアント装置と決定されたクライアント装置に対応する許可画面を生成する生成手段と、
前記生成手段により生成された前記許可画面を送信する第1の送信手段と、
を有するサーバ装置。 - 認可トークン取得要求をクライアント装置より受信する受信手段を更に有し、
前記決定手段は、前記受信手段により受信された前記認可トークン取得要求に含まれる前記クライアント装置のクライアントの情報に基づき前記第一のクライアント装置を権限委譲の対象のクライアント装置と決定した際に、前記第一のクライアント装置と関連する第二のクライアント装置が存在する場合、前記第二のクライアント装置を更に前記権限委譲の対象のクライアント装置と決定する請求項1記載のサーバ装置。 - 前記第一のクライアント装置と関連する第二のクライアント装置が存在するか否かを判定する判定手段を更に有し、
前記判定手段により前記第一のクライアント装置と関連する第二のクライアント装置が存在すると判定された場合、前記決定手段は、前記第二のクライアント装置を更に前記権限委譲の対象のクライアント装置と決定する請求項1又は2記載のサーバ装置。 - 前記判定手段は、前記第一のクライアント装置と同一のグループに属するクライアント装置が存在する場合、前記第一のクライアント装置と関連する第二のクライアント装置が存在すると判定する請求項3記載のサーバ装置。
- 前記判定手段は、前記第一のクライアント装置の次に処理するクライアント装置がワークフロー情報で定義されている場合、前記第一のクライアント装置と関連する第二のクライアント装置が存在すると判定する請求項3記載のサーバ装置。
- 前記判定手段は、前記第一のクライアント装置と同一のユーザのクライアント装置が存在する場合、前記第一のクライアント装置と関連する第二のクライアント装置が存在すると判定する請求項3記載のサーバ装置。
- 前記許可画面には、前記第一のクライアント装置に対して委譲する権限スコープと前記第二のクライアント装置に対して委譲する権限スコープとが含まれる請求項1乃至6何れか1項記載のサーバ装置。
- 前記許可画面には、更に、各権限スコープを許可するか否かを選択可能なオブジェクトが含まれる請求項7記載のサーバ装置。
- 前記第1の送信手段は、前記許可画面をユーザ端末装置に送信する請求項1乃至8何れか1項記載のサーバ装置。
- 前記許可画面を介して許可指示を受け取った場合、前記第一のクライアント装置の認可トークンと前記第二のクライアント装置の認可トークンとを発行する発行手段と、
前記発行手段により発行された前記第一のクライアント装置の認可トークンと前記第二のクライアント装置の認可トークンとを送信する第2の送信手段と、
を更に有する請求項1乃至9何れか1項記載のサーバ装置。 - 前記発行手段により発行された前記第一のクライアント装置の認可トークンと前記第二のクライアント装置の認可トークンとを関連付けて格納する格納手段を更に有する請求項10記載のサーバ装置。
- 認可トークンを削除する際に、前記格納手段により前記認可トークンと関連付けられて格納された認可トークンのうち送信待ちの状態の認可トークンが存在する場合、前記認可トークンも削除する削除手段を更に有する請求項11記載のサーバ装置。
- 認可トークンを削除する際に、前記格納手段により格納された認可トークンのうち削除する認可トークンに関するユーザの認可トークンが存在する場合、前記認可トークンも削除する削除手段を更に有する請求項11記載のサーバ装置。
- クライアント装置と、サーバ装置と、ユーザ端末装置と、を含むシステムであって、
前記クライアント装置は、
前記サーバ装置に認可トークン取得要求を送信する第1の送信手段を有し、
前記サーバ装置は、
前記認可トークン取得要求を前記クライアント装置より受信する第1の受信手段と、
前記第1の受信手段により受信された前記認可トークン取得要求に含まれる前記クライアント装置のクライアント情報に基づき第一のクライアント装置を権限委譲の対象のクライアント装置と決定した際に、前記第一のクライアント装置と関連する第二のクライアント装置が存在する場合、前記第二のクライアント装置を更に前記権限委譲の対象のクライアント装置と決定する決定手段と、
前記決定手段により前記権限委譲の対象のクライアント装置と決定されたクライアント装置に対応する許可画面を生成する生成手段と、
前記生成手段により生成された前記許可画面を前記ユーザ端末装置に送信する第2の送信手段と、
を有し、
前記ユーザ端末装置は、
前記許可画面を前記サーバ装置より受信する第2の受信手段と、
前記第2の受信手段により受信された前記許可画面を表示する表示手段と、
を有するシステム。 - サーバ装置が実行する情報処理方法であって、
第一のクライアント装置を権限委譲の対象のクライアント装置と決定した際に、前記第一のクライアント装置と関連する第二のクライアント装置が存在する場合、前記第二のクライアント装置を更に前記権限委譲の対象のクライアント装置と決定する決定ステップと、
前記決定ステップにより前記権限委譲の対象のクライアント装置と決定されたクライアント装置に対応する許可画面を生成する生成ステップと、
前記生成ステップにより生成された前記許可画面を送信する送信ステップと、
を含む情報処理方法。 - クライアント装置と、サーバ装置と、ユーザ端末装置と、を含むシステムにおける情報処理方法であって、
前記クライアント装置が、前記サーバ装置に認可トークン取得要求を送信する第1の送信ステップと
前記サーバ装置が、前記認可トークン取得要求を前記クライアント装置より受信する第1の受信ステップと、
前記サーバ装置が、前記第1の受信ステップにより受信された前記認可トークン取得要求に含まれる前記クライアント装置のクライアント情報に基づき第一のクライアント装置を権限委譲の対象のクライアント装置と決定した際に、前記第一のクライアント装置と関連する第二のクライアント装置が存在する場合、前記第二のクライアント装置を更に前記権限委譲の対象のクライアント装置と決定する決定ステップと、
前記サーバ装置が、前記決定ステップにより前記権限委譲の対象のクライアント装置と決定されたクライアント装置に対応する許可画面を生成する生成ステップと、
前記サーバ装置が、前記生成ステップにより生成された前記許可画面を前記ユーザ端末装置に送信する第2の送信ステップと、
前記ユーザ端末装置が、前記許可画面を前記サーバ装置より受信する第2の受信ステップと、
前記ユーザ端末装置が、前記第2の受信ステップにより受信された前記許可画面を表示する表示ステップと、
を含む情報処理方法。 - コンピュータを、請求項1乃至13何れか1項記載のサーバ装置の各手段として機能させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016088411A JP6815744B2 (ja) | 2016-04-26 | 2016-04-26 | サーバ装置、システム、情報処理方法及びプログラム |
US15/494,269 US20170310675A1 (en) | 2016-04-26 | 2017-04-21 | Server apparatus, system, information processing method, and storage medium storing computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016088411A JP6815744B2 (ja) | 2016-04-26 | 2016-04-26 | サーバ装置、システム、情報処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017199145A true JP2017199145A (ja) | 2017-11-02 |
JP6815744B2 JP6815744B2 (ja) | 2021-01-20 |
Family
ID=60090471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016088411A Active JP6815744B2 (ja) | 2016-04-26 | 2016-04-26 | サーバ装置、システム、情報処理方法及びプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20170310675A1 (ja) |
JP (1) | JP6815744B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020155053A (ja) * | 2019-03-22 | 2020-09-24 | 富士ゼロックス株式会社 | トークン管理装置及びトークン管理プログラム |
JP2021051461A (ja) * | 2019-09-24 | 2021-04-01 | 株式会社日立製作所 | システム実行支援方法および装置 |
JP7400505B2 (ja) | 2020-01-31 | 2023-12-19 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システム、及び情報処理プログラム |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3987417A1 (en) * | 2019-06-24 | 2022-04-27 | Nokia Technologies Oy | Apparatuses and methods relating to authorisation of network functions |
CN112200396B (zh) * | 2019-07-08 | 2024-02-09 | 钉钉控股(开曼)有限公司 | 资源转移及分配方法、装置 |
US11531467B1 (en) * | 2021-01-29 | 2022-12-20 | Pure Storage, Inc. | Controlling public access of resources in a secure distributed storage system |
CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
US11811783B1 (en) * | 2021-06-24 | 2023-11-07 | Amazon Technologies, Inc. | Portable entitlement |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014146132A (ja) * | 2013-01-28 | 2014-08-14 | Nippon Telegr & Teleph Corp <Ntt> | アクセス許可管理システム及びアクセス許可管理方法 |
JP2017091207A (ja) * | 2015-11-10 | 2017-05-25 | 富士通株式会社 | 情報提供システム、情報提供プログラム、及び情報提供方法 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008085207A2 (en) * | 2006-12-29 | 2008-07-17 | Prodea Systems, Inc. | Multi-services application gateway |
US9557889B2 (en) * | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US9571559B2 (en) * | 2009-01-28 | 2017-02-14 | Headwater Partners I Llc | Enhanced curfew and protection associated with a device group |
JP5305999B2 (ja) * | 2009-03-16 | 2013-10-02 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
ES2853200T3 (es) * | 2009-05-29 | 2021-09-15 | Alcatel Lucent | Sistema y procedimiento para acceder a contenido digital privado |
US20110093329A1 (en) * | 2009-10-13 | 2011-04-21 | Robert Bodor | Media preference consolidation and reconciliation |
EP2315149B1 (en) * | 2009-10-26 | 2019-11-20 | Alcatel Lucent | System and method for accessing private digital content |
JP5658574B2 (ja) * | 2011-01-25 | 2015-01-28 | キヤノン株式会社 | 画像形成装置及びその制御方法、並びにプログラム |
CN103460215B (zh) * | 2011-03-08 | 2016-10-26 | 电话有限公司 | 为服务应用提供授权访问以便使用最终用户的受保护资源的方法 |
JP6124687B2 (ja) * | 2013-05-29 | 2017-05-10 | キヤノン株式会社 | 画像形成装置、サーバー装置、情報処理方法及びプログラム |
JP6198507B2 (ja) * | 2013-07-29 | 2017-09-20 | キヤノン株式会社 | 画像形成装置及びその制御方法、並びにプログラム |
US9172705B1 (en) * | 2014-07-10 | 2015-10-27 | Forcefield Online, Inc | System and method for remote, interactive network and browsing supervision, monitoring, and approval |
US10122723B1 (en) * | 2014-11-06 | 2018-11-06 | Google Llc | Supervised contact list for user accounts |
-
2016
- 2016-04-26 JP JP2016088411A patent/JP6815744B2/ja active Active
-
2017
- 2017-04-21 US US15/494,269 patent/US20170310675A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014146132A (ja) * | 2013-01-28 | 2014-08-14 | Nippon Telegr & Teleph Corp <Ntt> | アクセス許可管理システム及びアクセス許可管理方法 |
JP2017091207A (ja) * | 2015-11-10 | 2017-05-25 | 富士通株式会社 | 情報提供システム、情報提供プログラム、及び情報提供方法 |
Non-Patent Citations (1)
Title |
---|
小倉 孝夫: "マルチサービス連携における同意制御方式の提案", SCIS2016, JPN6020006589, 19 January 2016 (2016-01-19), pages 1 - 7, ISSN: 0004218474 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020155053A (ja) * | 2019-03-22 | 2020-09-24 | 富士ゼロックス株式会社 | トークン管理装置及びトークン管理プログラム |
JP7247692B2 (ja) | 2019-03-22 | 2023-03-29 | 富士フイルムビジネスイノベーション株式会社 | トークン管理装置及びトークン管理プログラム |
JP2021051461A (ja) * | 2019-09-24 | 2021-04-01 | 株式会社日立製作所 | システム実行支援方法および装置 |
JP7159136B2 (ja) | 2019-09-24 | 2022-10-24 | 株式会社日立製作所 | システム実行支援方法および装置 |
JP7400505B2 (ja) | 2020-01-31 | 2023-12-19 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システム、及び情報処理プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6815744B2 (ja) | 2021-01-20 |
US20170310675A1 (en) | 2017-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6815744B2 (ja) | サーバ装置、システム、情報処理方法及びプログラム | |
CN110138718B (zh) | 信息处理系统及其控制方法 | |
JP6166596B2 (ja) | 認可サーバーシステムおよびその制御方法、並びにプログラム | |
JP6857065B2 (ja) | 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム | |
JP6727799B2 (ja) | 権限委譲システム、情報処理装置、認可サーバ、制御方法およびプログラム | |
JP6056384B2 (ja) | システム及びサービス提供装置 | |
US9571494B2 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
JP6141076B2 (ja) | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム | |
JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
JP6675163B2 (ja) | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム | |
US20100251353A1 (en) | User-authorized information card delegation | |
KR20170067660A (ko) | 인가 서버, 인증 제휴 시스템 및 프로그램을 저장한 저장 매체 | |
CN111459420B (zh) | 支持云打印服务的打印设备及其控制方法和存储介质 | |
JP2020035079A (ja) | システム、及びデータ処理方法 | |
JP7030476B2 (ja) | 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法 | |
JP4729365B2 (ja) | アクセス制御システム、認証サーバ、アクセス制御方法およびアクセス制御プログラム | |
JP2006031064A (ja) | セッション管理システム及び管理方法 | |
JP2009205223A (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
JP7043480B2 (ja) | 情報処理システムと、その制御方法とプログラム | |
JP2022047948A (ja) | 認可サーバ、認可サーバの制御方法 | |
JP2016057737A (ja) | サービス提供システム及びこれに用いる管理サーバー及び管理方法 | |
JP2020014071A (ja) | 認可サーバ装置、クライアント装置、ユーザ端末、情報処理方法及びプログラム | |
JP2023175442A (ja) | ネットワークシステムとその制御方法、並びにプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190419 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200130 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200225 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20200403 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200624 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201124 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20201223 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6815744 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |