JP2018018143A - 情報処理システム、情報処理方法、情報処理装置及びプログラム - Google Patents

情報処理システム、情報処理方法、情報処理装置及びプログラム Download PDF

Info

Publication number
JP2018018143A
JP2018018143A JP2016145485A JP2016145485A JP2018018143A JP 2018018143 A JP2018018143 A JP 2018018143A JP 2016145485 A JP2016145485 A JP 2016145485A JP 2016145485 A JP2016145485 A JP 2016145485A JP 2018018143 A JP2018018143 A JP 2018018143A
Authority
JP
Japan
Prior art keywords
authentication
information
user terminal
web
communication service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016145485A
Other languages
English (en)
Other versions
JP6266049B1 (ja
Inventor
真 大貫
Makoto Onuki
真 大貫
祐幸 佐久間
Hiroyuki Sakuma
祐幸 佐久間
田中 哲哉
Tetsuya Tanaka
哲哉 田中
史 徳久
Fumi Tokuhisa
史 徳久
正幸 柴田
Masayuki Shibata
正幸 柴田
浩一 武石
Koichi Takeishi
浩一 武石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsui Knowledge Industry Co Ltd
Original Assignee
Mitsui Knowledge Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsui Knowledge Industry Co Ltd filed Critical Mitsui Knowledge Industry Co Ltd
Priority to JP2016145485A priority Critical patent/JP6266049B1/ja
Application granted granted Critical
Publication of JP6266049B1 publication Critical patent/JP6266049B1/ja
Publication of JP2018018143A publication Critical patent/JP2018018143A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】自動的なシングルサインオン処理を好適に行うこと。【解決手段】本発明の一態様に係る情報処理システムは、ユーザ端末に対して通信サービスを提供する第1の装置と、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置と、データを格納する第3の装置と、第1の装置、第2の装置及び第3の装置と通信する第4の装置と、前記ユーザ端末及び前記第3の装置と通信する第5の装置と、を有する情報処理システムであって、前記第4の装置は、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、前記認証許可情報を前記第3の装置に送信する送信部と、を有し、前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う制御部を有することを特徴とする。【選択図】図4

Description

本発明は、Webサービスの認証に係る情報処理システム、情報処理方法、情報処理装置及びプログラムに関する。
ネットワークを介して提供されるWebサービス(クラウドサービス)が普及してきている。クラウドサービスの一例として、例えば、SaaS(Software as a Service)がある。クラウドサービスの利用により、業務システムなどをWebに移行することができ、ネットワークに接続される通信端末に対して、充実した機能を提供することができる。
クラウドサービスは、通常、許可されたユーザにのみ提供され、ユーザ認証を要する。例えば、適切なユーザ識別子及びパスワードを送信してきた通信端末はユーザ認証をパスすることができる。多くのクラウドサービスを利用するユーザがクラウドサービスごとに認証のための情報(認証情報)を入力するものとすると、利便性に欠ける。
このため、一回のユーザ認証で複数のシステムを利用可能にするシングルサインオン(SSO:Single Sign On)という技術が広く検討されている。SSOの方式としては、リバースプロキシを用いるもの、SAML(Security Assertion Markup Language)に基づくもの、OpenID(登録商標)に基づくもの(OpenID Connect)、などがある。ユーザは認証サーバ(SSOサーバ)に1回ログインするだけで、例えばSAMLに対応するクラウドサービスを利用することができるようになる。
しかしながら、SSOを用いる場合であっても、例えばサービスポータルのシステムにユーザが自らサインオンする必要があるため、更なる利便性の向上が望まれている。例えば、ユーザがユーザ装置のOS(Operating System)認証をするだけでクラウドサービスへのSSOを実現する技術が提案されている(特許文献1)。
特開2013−8140号公報
しかしながら、特許文献1に記載される発明は、SSOサーバと連携するための専用の認証連携装置を有する特定のネットワーク(例えば、社内LAN(Local Area Network))にユーザ装置が接続される必要があるなど、限定的な環境での適用となり、利用の自由度が少ないという課題がある。
本発明はかかる点に鑑みてなされたものであり、自動的なSSO処理を好適に行うことができる情報処理システム、情報処理方法、情報処理装置及びプログラムを提供することを目的の1つとする。
本発明の一態様に係る情報処理システムは、ユーザ端末に対して通信サービスを提供する第1の装置と、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置と、データを格納する第3の装置と、第1の装置、第2の装置及び第3の装置と通信する第4の装置と、前記ユーザ端末及び前記第3の装置と通信する第5の装置と、を有する情報処理システムであって、前記第4の装置は、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、前記認証許可情報を前記第3の装置に送信する送信部と、を有し、前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う制御部を有することを特徴とする。
本発明によれば、自動的なSSO処理を好適に行うことができる。
無線LANサービスの認証方式及びプロトコルの一例を示す図である。 Webサービスの認証方式及びプロトコルの一例を示す図である。 本発明の一実施形態に係る情報処理システムの概略構成の一例を示す図である。 本発明の一実施形態に係る無線LAN及びWebサービスのシングルサインオンのシーケンスの一例を示す図である。 図4のステップS1−S10のより詳細なシーケンスの一例を示す図である。 図4のステップS10−S12のより詳細なシーケンスの一例を示す図である。 本発明の一実施形態に係る認証セッション無効化のシーケンスの一例を示す図である。 本発明の一実施形態に係るサーバの機能構成の一例を示す図である。 本発明の一実施形態に係るサーバ及びデバイスのハードウェア構成の一例を示す図である。
ユーザ端末が接続し得る無線LANやWebシステムの数が増加する中、それぞれのログイン処理に必要な識別子(ID:Identifier)、パスワード(PWD:Password)などの入力の手間や、管理負荷の増大といった課題が生じている。
本発明者らは、無線LANサービスとWebサービスとのSSOを実現することができれば、上記の課題が解決できると考えた。しかしながら、一般的にSSOは、データ通信方式や認証方式が同一であるWebサービス(Webアプリケーション)が対象となっている。このため、従来のSSOを実現する技術では、無線LANサービスとWebサービスとのSSOは、データ通信方式や認証方式などのプロトコルが異なるため、実現することができない。
本発明者らは、Webサービスを利用するためにはネットワークに接続する必要があることに着目し、ネットワーク接続の確立に伴ってSSO処理を自動的に行うことが好ましいことを発見した。例えば接続するネットワークによって、SSO処理によって利用可能となるWebサービス群を切り替えることができれば、利便性が高い。
そこで、本発明者らはまず、ネットワークに接続する認証方式と、Webサービスの認証方式と、の違いを検討した。
図1は、無線LANサービスの認証方式及びプロトコルの一例を示す図である。図1の場合、無線端末及び無線システム(例えば、無線アクセスポイント(AP:Access Point)、無線LANコントローラ(WLC:Wireless LAN Controller)など)間では、下位レイヤにおいてIEEE802.11規格の無線LAN(例えば、IEEE 802.11a)を用いて通信が実現される。なお、このような無線LANは、Wi−Fi(登録商標)とも呼ばれる。
また、無線システム及び認証システム間では、下位レイヤにおいてイーサネット(登録商標)、IP(Internet Protocol)、UDP(User Datagram Protocol)などを用いて通信が実現される。なお、無線システム及び認証システム間が有線により接続される例を示しているが、これに限られない。
無線端末は、まず無線システムにアクセスし、802.1X認証を要求する。認証プロトコルは802.1X認証でサポートされるものであればよく、例えばTLS(Transport Layer Security)、PEAP(Protected Extensible Authentication Protocol)などを用いることができる。認証プロトコルのパケットはEAP(Extensible Authentication Protocol)でラップされ、EAPoL(EAP over LAN)でデータリンク層のパケットとして通信される。
無線システムは、認証システムに対して認証要求を送信する。無線システム及び認証システム間は信用されたネットワークで接続され、EAPoLではなくRADIUS(Remote Authentication Dial In User Service)が用いられる。認証システム(認証サーバ)は、例えばRADIUSサーバとも呼ばれる。
認証システムは、認証要求を受けると、認証応答を返信し、無線システムは当該認証応答に基づく認証結果を無線端末に送信する。
図2は、Webサービスの認証方式及びプロトコルの一例を示す図である。図2の場合、無線端末及び無線システム間では、下位レイヤにおいてIEEE802.11規格の無線LANを用いて通信が実現される。また、無線システム及び認証システム間では、下位レイヤにおいてIEEE802.3規格のイーサネットを用いて通信が実現される。なお、無線システム及び認証システム間が有線により接続される例を示しているが、これに限られない。
各装置間の通信では、IP、TCP(Transmission Control Protocol)、HTTP(Hypertext Transfer Protocol)/HTTPS(HTTP Secure)などを利用する。認証プロトコルは、例えば、フォーム認証、ベーシック認証などであってもよい。無線端末は、無線システムを介してWebサーバに認証要求を送信し、Webサーバから認証応答を受信する。
以上述べたような無線LANサービス及びWebサービスの認証方式を検討し、本発明者らは、無線LANサービスと1つ以上のWebサービスのシングルサインオンを実現することを着想した。具体的には、本発明者らは、ユーザ端末が無線LAN接続の認証に成功した際、当該認証情報に基づいて、Webサービスの認証サーバから認証セッションを取得し、その後認証セッションの橋渡しを行うことを見出した。
これにより、無線LANを利用するユーザは、無線LAN接続時に一度認証を行うだけで、Webサービスやクラウドサービスを、ID及びパスワードの入力なしで利用することが可能となる。
以下、本発明の実施形態について添付図面を参照して詳細に説明する。なお、以下の実施形態では、ユーザ装置(ユーザ端末)の利用するネットワークが無線LANである場合を例に説明するが、これに限られない。例えば、ネットワークに有線LANを用いる場合、電話回線を用いる場合、他のネットワーク構成を用いる場合などであっても、本発明を適用することができる。
(情報処理システム)
まず、本発明が適用される情報処理システムについて説明する。図3は、本発明の一実施形態に係る情報処理システムの概略構成の一例を示す図である。図3に示す情報処理システム1は、ユーザ端末10と、無線システム20と、認証サーバ(RADIUSサーバ)30と、SSOサーバ(IdP(Identity Provider)サーバ)40と、データベース(DB:Database)50と、認証連携サーバ(ポータルサーバ)60と、クラウドサービスプロバイダ(SP:Service Provider)サーバ/SSO保護対象サーバ70(以下では、これらを区別せず単に「SPサーバ70」と表記する)と、を含む。
ユーザ端末10は、例えばユーザの操作によりブラウザなどのアプリケーションを実行し、各種サーバと通信する情報処理装置である。ユーザ端末10は、無線通信機能を有しており、無線システム20との間で無線通信を行う。なお、ユーザ端末10は、携帯電話、スマートフォン、タブレット型端末などの携帯端末(移動通信端末)であってもよいし、パソコン(PC:Personal Computer)などの固定通信端末であってもよい。
無線システム20は、ユーザ端末10との間で無線通信を実現するAP、ユーザ端末10の無線通信に関する制御(例えばAPの制御)を行うWLCなどを含んで構成される。APは例えばルータであってもよいし、WLCは無線LANスイッチなどと呼ばれてもよい。また、AP及びWLCは有線又は無線で接続されてもよい。AP及びWLCは、単一の装置で実現されてもよい。以下、本明細書では無線システム20を単にWLC20とも表す。
WLC20(第1の装置)は、所定の認証方式(例えば、図1で示したような、802.1X認証、RADIUS認証など)に対応した情報処理装置(例えば、無線コントローラ)である。WLC20は、認証に成功したユーザ端末10に対して所定の通信サービス(例えば、無線通信)を提供する。WLC20は、ユーザ端末10と有線で接続される場合には、有線通信サービスを提供するものとしてもよい。
RADIUSサーバ30(第1の装置、第2の装置及び第3の装置と通信する第4の装置)は、ユーザ端末10に対してRADIUS認証を提供する情報処理装置である。RADIUSサーバ30は、SSOサーバ40に対して、ユーザ端末10についてのSSO認証を実施するように要求し、セッション情報を取得することができる。
SSOサーバ40(第2の装置)は、ユーザ端末10に対してWebサービスの認証処理を提供する情報処理装置である。例えば、SSOサーバ40は、SPサーバ70に関するSSO処理を提供する。WebアプリケーションやクラウドサービスへのSSOは、例えばOpenAM(登録商標)を用いて実現することができる。
DB50(第3の装置)は、種々のデータを格納する情報処理装置である。例えば、DB50は、SSO認証済みであることを示すセッション情報を格納する。なお、DB50は、ファイル、ディレクトリ、ユーザストアなどと呼ばれてもよい。
ポータルサーバ60(ユーザ端末10及び第3の装置と通信する第5の装置)は、DB50からユーザ端末10に対応するSSOのセッション情報を取得し、ユーザ端末10に送信する情報処理装置である。また、ポータルサーバ60は、ユーザ端末10にWeb認証を実施させるための情報を通知することができる。
SPサーバ70は、SSO認証済みのユーザ端末10に対して、サービスを提供する情報処理装置である。なお、サインオンが必要なSPサーバ70が1つであったり、SPサーバ70がSSOサーバ40と同一であったりする場合には、SSOサーバ40は、SSOでなくサインオンを行うWebサーバであってもよい。
RADIUSサーバ30などの各装置の機能構成及びハードウェア構成の一例については、後述する。
なお、当該システム構成は一例であり、これに限られない。例えば、各装置は、図1ではそれぞれ1つずつ含まれる構成としたが、各機器の数はこれに限られず、複数存在してもよい。また、情報処理システム1では、所定の装置の機能が複数の装置により実現される構成としてもよい。例えば、SPサーバ70は、複数のサーバから構成されてもよい。
また、複数の装置が1つの装置で実現されてもよい。例えば、RADIUSサーバ30、DB50及びポータルサーバ60の少なくとも2つが、単一の装置(例えば、サーバ)で実現されてもよい。
(情報処理方法)
本発明の実施形態に係る情報処理方法(SSO認証連携方法)について、以下で説明する。各情報処理方法は、上述の情報処理システムに適用されてもよい。
以下、図4を参照して、具体的な処理の流れについて説明する。図4は、本発明の一実施形態に係る無線LAN及びWebサービスのシングルサインオンのシーケンスの一例を示す図である。
ユーザ端末10は、WLC20に対して接続を要求する(ステップS1)。無線LANの場合、802.1X認証が開始される。ユーザが認証情報(例えば、ID、パスワード(PWD)など)をユーザ端末10に入力し、ユーザ端末10は、WLC20に当該認証情報を送信する。
次に、WLC20は、RADIUSサーバ30に対して、認証要求(RADIUS/Access-Request)を送信する(ステップS2)。RADIUSサーバ30は、ユーザ端末10の認証を実施し、認証に成功した場合にステップS3以降を実施する。RADIUSによる認証に失敗した場合は、認証を拒否する旨の認証拒否(RADIUS/Access-Reject)をWLC20に送信する。
RADIUSによる認証(ユーザ端末10の無線LAN接続の認証)に成功したRADIUSサーバ30は、SSOサーバ40に対して、Webサービス認証セッションの発行要求を送信する(ステップS3)。ステップS3は、例えばREST(Representational State Transfer) API(Application Programming Interface)、RESTful APIなどと呼ばれるインターフェースを介して実施されてもよい。具体的には、REST APIでは、HTTP GET及び/又はPOSTを用いて処理要求/応答を通知することができる。
SSOサーバ40は、ユーザ認証に成功した場合、認証許可を示す情報を生成し、RADIUSサーバ30に送信する(ステップS4)。当該情報は、セッション情報、認証許可情報、認証成功情報、トークン、SSOトークン、Webサービストークンなどと呼ばれてもよい。また、ステップS4は、Webサービス認証セッションの発行処理と呼ばれてもよい。
なお、ステップS2−S4は、別の態様で実現されてもよい。例えば、ステップS2の後、RADIUSサーバ30は、RADIUS認証を自ら実施しなくてもよい。この場合、RADIUSサーバ30は、RADIUS認証処理に必要な情報(例えば、ユーザ端末10のID及びPWD)を、SSOサーバ40に対して送信する。当該情報は、Webサービス認証セッションの発行要求と同時に送信されてもよい(ステップS3’)。SSOサーバ40は、RADIUS認証及びWebサービスの認証を実施し、RADIUS認証結果に関する情報(例えば、認証に成功した旨)及びトークンを送信することができる(ステップS4’)。なお、SSOサーバ40は、いずれかの認証に失敗した場合は両方失敗したものと判断してもよい。
SSOトークンを受信したRADIUSサーバ30は、当該SSOトークンをDB50に登録する(ステップS5)。ステップS5は、Webサービス認証セッションの登録処理と呼ばれてもよい。なお、ステップS5は、ステップS6の前又は後に実施してもよいし、ステップS6と同時に実施してもよい。
RADIUSサーバ30は、WLC20に対して、認証に成功した旨の認証応答(RADIUS/Access-Accept)を送信する(ステップS6)。ここでは、RADIUSサーバ30は、Webサービス認証及びRADIUS認証の両方に成功した場合にステップS6の認証応答を送信するものとしたが、ステップS2の後、RADIUS認証が成功した時点で認証応答を送信してもよい。この場合、ステップS3−S5は認証応答の送信後に実施されてもよい。
WLC20は、ユーザ端末10に対して、認証結果が成功であったことを示す応答を通知する(ステップS7)。ユーザ端末10は、ステップS7の完了時点で、WLC20を介した無線通信を実施することが可能となる。
802.1X認証を終えたユーザ端末10がWebアクセス(例えば、HTTPSによるWebアクセス)を開始すると(ステップS8)、WLC20は、当該Webアクセスをポータルサーバ60にリダイレクト(転送)する(ステップS9)。
ユーザ端末10は、ポータルサーバ60から指示された情報(例えば、スクリプト)に従ってWLC20にアクセスし、RADIUSサーバ30との間でWeb認証処理を行い、その後ポータルサーバ60へのリダイレクトが再度行われる(ステップS10)。なお、当該Web認証処理は、後述するようにバックグラウンドで実施させることが好ましい。
ポータルサーバ60は、アクセスしてきたユーザ端末10に対応するWebサービス認証セッション(トークン)を取得する(ステップS11)。
ポータルサーバ60は、取得したトークンをCookie情報(クッキートークンなどと呼ばれてもよい)としてユーザ端末10に送信する(ステップS12)。Cookie情報は、ブラウザに埋め込まれて送信されてもよい。例えば、ポータルサーバ60は、Cookie情報にトークンIDを含めて送信することができる。ステップS11及びS12により、ユーザ端末10がセッション認証済端末かどうかの識別と、ユーザ端末10へのWebサービス認証セッションの受渡しが行われる。
トークンを受信したユーザ端末10がSPサーバ70にアクセスすると(ステップS13)、SPサーバ70はSSOサーバ40へのリダイレクトを実施し、認証問合せを行う(ステップS14)。その際、SSOサーバ40のトークンをCookie情報として送信する。例えばSAML連携を用いる場合、SPサーバ70はSAMLリクエストを付与して、SSOサーバ40にリダイレクトする。
SSOサーバ40は、トークンに基づいて、ユーザ端末10が認証済みであることを確認すると、SPサーバ70へ認証済みであることを通知する(ステップS15)。例えばSAML連携を用いる場合、SSOサーバ40はSAMLアサーションを付与して、SPサーバ70にリダイレクトする。ステップS15の後は、SSOが完了しているため、ユーザ端末10は各クラウドサービスを利用することができる。
また、SPサーバ70が、クラウドサービスを提供するサーバでなく、個別にWebサービスを提供するSSO保護対象サーバ70である場合、ユーザ端末10は、直接SSO保護対象サーバ70に接続し、各Webサービスを利用することができる。また、トークンが所定のWebサービスに関するトークンである場合、ユーザ端末10は、当該Webサービスを提供するWebサーバと直接通信して、当該Webサービスを利用することができる。
図5は、図4のステップS1−S10のより詳細なシーケンスの一例を示す図である。ステップS1において、例えばユーザ端末10は、ユーザID(ID)及びパスワード(PWD)を送信する。
ステップS2において、WLC20は、ユーザ端末10から送信されたID及びPWDに加えて、ユーザ端末10を特定するための特定情報をRADIUSサーバ30に送信する。ここで、特定情報は、例えばユーザ端末10のMAC(Media Access Control)アドレス、ユーザ端末10のシリアル番号、ユーザ端末10を利用するユーザ名などの少なくとも1つであってもよい。以下では特定情報としてMACアドレス(図5では、「ClientMAC」で示される)を利用する場合を例に説明するが、これに限られない。なお、WLC20は、APを介して通信中のユーザ端末10のMACアドレスを容易に取得することができる。
ステップS3では、RADIUSサーバ30はSSOサーバ40に対して、SSO(又はWebサービス)の認証処理に必要な情報(例えば、ログインに必要なID及びPWDなどのアカウント情報)を送信する。ここで、無線LAN用のアカウント(RADIUS認証のアカウント)とSSO用のアカウント(及び/又はWebサービス用のアカウント)が同じである場合には、RADIUSサーバ30は、ユーザ端末10から送信されたID及びPWDを送信することができる。
また、無線LAN用のアカウントとSSO用のアカウントが異なる場合には、RADIUSサーバ30は、ID及びPWDの組、又は特定情報に基づいて、SSO用のアカウントのID及びPWDを取得し、取得されたID及びPWDをSSOサーバ40に送信してもよい。
例えば、RADIUSサーバ30は、無線LAN用のアカウントとSSO用のアカウントとの対応関係に関する情報(例えば、参照テーブル)を保持してもよく、この場合、RADIUSサーバ30は、当該参照テーブルと、ユーザ端末10から受信した無線LAN用アカウントに関する情報(例えば、ID、PWDなど)と、に基づいてSSO用のアカウントに関する情報(例えば、ID、PWDなど)を特定してもよい。
ステップS4にてトークンが発行された後、ステップS5では、RADIUSサーバ30は、受信したトークンを、無線LAN用のアカウント情報(ID及びPWD)及び特定情報の少なくとも1つとともに(関連付けて)登録(Register)する。図3の例では、RADIUSサーバ30は、ID、MACアドレス及びトークン(Token)をDB50に通知して登録させる。
ステップS6では、RADIUSサーバ30は、認証応答とともに、リダイレクト先のポータルサーバ60へのアクセスに必要な情報(例えば、アドレス、URL(Uniform Resource Locator))をWLC20に送信することができる。なお、リダイレクト先のポータルサーバ60のアドレスは、予めWLC20に設定されるものとしてもよいが、RADIUSサーバ30からの通知により更新可能とすることが好ましい。また、RADIUSサーバ30は、ユーザ識別情報(例えば、ID、特定情報など)をWLC20に送信してもよい。
ステップS7で無線接続が確立された後、例えばユーザ端末10のユーザがブラウザを起動しWebアクセスを実施する(ここでは、Webページとして”www.test.com”にアクセスするものとするが、アクセス対象はこれに限られない)。ユーザ端末10はWeb認証にてまだ認証されていないため、WLC20のWeb認証のリダイレクト機能により、ステップS6で指定されたURL(ポータルサーバ60)に強制的にリダイレクトされる(ステップS8−S9)。
この際、ユーザ端末10がポータルサーバ60に送信するHTTP GETリクエストには、例えば、特定情報(client_mac)、ユーザ端末10が接続するAPのMACアドレス(ap_mac)、ユーザの資格情報を記録するコントローラのURL(switch_url(スイッチURL))、認証に成功した後ユーザがリダイレクトされるURL(redirect(リダイレクトURL))、ユーザ端末10が利用するWLANのSSID(Service Set Identifier)(wlan)などが含まれてもよい。これらの情報は、URLクエリ文字列(URLパラメータ)として送信することができる。
ポータルサーバ60は、ユーザ端末10にバックグラウンドでWeb認証処理を行わせるための情報(例えば、スクリプト、パラメータなど)を返す。例えば、スイッチURLにはWeb認証のURLを指定し、リダイレクトURLにはWeb認証後にリダイレクトされるポータルサーバURL(セッションを受け渡すためのURL)を含めてもよい。
ユーザ端末10は、Web認証のため、WLC20にユーザ識別情報(例えば、ID、特定情報など)及びパスワードを送信する(ステップS10)。ここでは、ユーザ識別情報としてユーザ名(uname)及びパスワード(pwd)を送信している。なお、リダイレクトURLを送信してもよい。
Web認証を開始したWLC20は、アカウンティング要求(RADIUS/Accounting-Request)をRADIUSサーバ30に送信する。アカウンティング要求には、アカウンティングステータス(「開始」を示す「START」)、アカウンティング対象のセッションID(Session-ID)及び特定情報(例えば、ユーザ端末10のMACアドレス)を含めて送信してもよい。
RADIUSサーバ30は、ユーザ端末10が既にRADIUS認証に成功したと判断した(Web認証処理に成功した)場合、ユーザ端末10へのアカウンティング開始のステータスを示す情報(例えば、開始フラグ(Acct-Start-flag))をDB50に登録(格納、設定などともいう)する。RADIUSサーバ30は、受信した特定情報に基づいて、開始フラグを登録する対象となるユーザ端末10を判断してもよい。
また、RADIUSサーバ30は、DB50に対して、開始フラグを、セッションID及び/又は特定情報と関連付けて送信(登録)してもよい。登録に成功後、RADIUSサーバ30は、アカウンティング応答(RADIUS/Accounting-Response)をWLC20に送信する。ここで、Web認証処理が完了する(WLC20のステータスが実行中(Run)となる)。
図6は、図4のステップS10−S12のより詳細なシーケンスの一例を示す図である。WLC20は、Web認証処理が完了したため、ポータルサーバ60に再度リダイレクトする(ステップS10)。ポータルサーバ60は、DB50にアクセスして、特定情報に対応する情報を選択し、開始フラグが設定されているか及び/又はSSOステータスを確認する。開始フラグが設定されている場合、SSOステータスを「開始」としてDB50に更新登録するようにしてもよい。また、特定情報に対応するSSOトークンを取得する(ステップS11)。
ポータルサーバ60は、取得したトークンを、Cookie情報としてユーザ端末10に送信する(ステップS12)。トークンを受信したユーザ端末10は、ポータルサーバ60に対して、所定のクラウドサービスのWebページ、WebサービスのWebページ、又はユーザ端末10がアクセス可能なクラウドサービス及び/又はWebサービスなどが列挙されたWebページ(ポータルページ、userhomeなどと呼ばれてもよい)のGETリクエストを送信してもよい。
以上説明した情報処理方法の実施形態によれば、無線LANを利用するユーザは、無線LAN接続時に一度認証を行うだけで、Webサービスやクラウドサービスを、ID及びパスワードの入力なしで利用することが可能となる。
特に、上記実施形態によれば、WLC20のWeb認証のリダイレクト機能を用いてポータルサーバ60からのトークン取得処理を自動的に行うことができる。RADIUSサーバ30がリダイレクト先のポータルサーバ60のアドレス(URLなど)をWLC20に設定することができるため、例えばユーザ端末10を利用するユーザがポータルサーバ60のアドレスを事前に知らない場合であっても、接続する無線LANサービス(WLC20)に応じて適切なポータルサーバ60との通信を行うことができる。
また、一旦SSO連携可能な無線LANに接続し、当該無線LANのアカウント情報を記憶したユーザ端末であれば、ユーザのID/PWDの入力処理を省くことができるため、ユーザのWebサービス利用に係る負担を大きく軽減することができる。
なお、上記図5−6のステップS10−S11により、ユーザ端末10は、ブラウザによる初回Webアクセス時にトークンを取得できることが保証される。しかしながら、ステップS10−S11を省略してもよい。この場合、ステップS9の後、ポータルサーバ60は、ユーザ端末10の特定情報を利用して、DB50からトークンを取得してもよい(ステップS11’)。Web認証処理を省略することで、トークン取得にかかる時間を短縮することができる。
ユーザ端末10の無線接続が切断された場合には、SSOトークンを有効のまま(認証セッションを維持)としてもよいが、SSOトークンを無効とする(認証セッションを破棄する)ことが好ましい。
図7は、本発明の一実施形態に係る認証セッション無効化のシーケンスの一例を示す図である。ステータスが実行中(Run)であるWLC20は、周期的及び/又は任意のタイミングで、ユーザ端末10との無線通信が維持されているか否かを確認する。無線LAN(Wi−Fi)が切断されている場合、WLC20は、これを検知する。
WLC20は、アカウンティング停止(RADIUS/Accounting-Request(Stop))をRADIUSサーバ30に送信する。アカウンティング停止には、HTTPのセッションID(Session-ID)を含めて送信してもよい。
RADIUSサーバ30は、SSOサーバ40に対して、REST APIを介してユーザ端末10に対応するトークンについてのログアウトを指示する。SSOサーバ40は、ログアウトに成功したことをRADIUSサーバ30に通知する。
RADIUSサーバ30は、DB50に対して、セッションIDを削除するように指示する。DB50は、セッションIDの削除に成功したことをRADIUSサーバ30に通知する。
RADIUSサーバ30は、WLC20に対して、アカウンティング返答(RADIUS/Accounting-Response)を送信する。ここで、認証セッションの無効化処理が完了する。なお、図5では、WLC20がユーザ端末10の無線LAN切断を契機に認証セッションの無効化処理を進める例を示したが、これに限られない。例えば、ユーザ端末10が、WLC20に所定の信号を送信することにより、WLC20が当該ユーザ端末10の認証セッションの無効化処理を実施するものとしてもよい。
なお、以上の実施形態では、ユーザ端末10が無線LANを利用するものとしたが、これに限られない。例えば、ユーザ端末が、有線LAN、電話回線、他のネットワーク及び他のアクセス網の少なくとも1つのアカウントにログインする場合に、当該アカウントに基づいてSSO(又はWebサービス)のログイン処理を行うようにしてもよい。他のネットワークとしては、例えば、LTE(Long Term Evolution)、LTE−A(LTE-Advanced)、GSM(登録商標)(Global System for Mobile communications)、WCDMA(登録商標)、CDMA2000、IEEE 802.16(WiMAX(登録商標))、IEEE 802.20、Bluetooth(登録商標)、その他の無線通信方法及び/又はこれらに基づいて拡張された次世代通信方式に、上述のSSO認証連携方法を適用してもよい。
(機器の構成)
図8は、本発明の一実施形態に係るRADIUSサーバ30の機能構成の一例を示す図である。RADIUSサーバ30は、制御部31と、記憶部32と、通信部33と、入力部34と、出力部35と、を有する。なお、本例では、本実施形態における特徴部分の機能ブロックを主に示しており、RADIUSサーバ30は、他の処理に必要な他の機能ブロックも有してもよい。また、一部の機能ブロックを含まない構成としてもよい。
制御部31は、RADIUSサーバ30の制御を実施する。制御部31は、本発明に係る技術分野での共通認識に基づいて説明されるコントローラ、制御回路又は制御装置により構成することができる。
制御部31は、本発明の一実施形態に係る認証処理部などを構成することができる。例えば、制御部31は、WLC20からの通知に基づいて、ユーザ端末10に関する通信サービス(例えば、無線通信)の認証処理を行う認証処理部として機能する制御を行ってもよい。また、当該認証処理部は、ユーザ端末10(WLC20)からの通知に基づいて、当該ユーザ端末10のWeb認証処理を行ってもよい。なお、当該通知は、ポータルサーバ60からユーザ端末10に送信された、Web認証処理を行わせるための情報に基づいてもよい。
記憶部32は、RADIUSサーバ30で利用する情報を記憶(保持)する。例えば、記憶部32は、ユーザ端末10の特定情報や、トークンなどを記憶してもよい。記憶部32は、例えば、本発明に係る技術分野での共通認識に基づいて説明されるメモリ、ストレージ、記憶装置などにより構成することができる。
通信部33は、他の装置との間で種々の情報を通信する。通信部33は、本発明に係る技術分野での共通認識に基づいて説明されるトランスミッター/レシーバー、送受信回路又は送受信装置により構成することができる。なお、通信部33は、送信部及び受信部から構成されてもよい。
例えば通信部33は、ユーザ端末10に関する通信サービスの認証処理に成功した場合、SSOサーバ40に対して、当該ユーザ端末10に関するWebサービス(SSO)の認証処理に必要な情報を送信し、当該必要な情報を用いて取得されたWebサービス(SSO)の認証許可情報を受信してもよい。
通信部33は、Webサービス(SSO)の認証許可情報(トークン)をDB50に送信してもよい。また、通信部33は、DB50に格納されたトークンを取得するために用いられる所定の情報(URLなど)を、WLC20に送信してもよい。
また、通信部33は、WLC20から、ユーザ端末10を特定するための特定情報(例えば、MACアドレス)を受信し、SSOサーバ40から受信したトークンを、当該特定情報と関連付けてDB50に送信してもよい。
また、通信部33は、Web認証処理に成功した場合、ユーザ端末10へのアカウンティング開始のステータスを示す情報を、当該ユーザ端末10の特定情報と関連付けてDB50に送信(登録)してもよい。
入力部34は、ユーザからの操作により入力を受け付ける。また、入力部34は、所定の機器や記憶媒体と接続され、データの入力を受け付けてもよい。入力部34は、入力結果を例えば制御部31に出力してもよい。
入力部34は、本発明に係る技術分野での共通認識に基づいて説明されるキーボード、マウス、ボタンなどの入力装置、入力端子、入力回路などにより構成することができる。また、入力部34は、表示部と一体となった構成(例えば、タッチパネル)としてもよい。
出力部35は、種々の情報をユーザが認識できるように出力する。例えば、出力部35は、画像を表示する表示部、音声を出力する音声出力部などを含んで構成されてもよい。表示部は、例えば、本発明に係る技術分野での共通認識に基づいて説明されるディスプレイ、モニタなどの表示装置により構成することができる。また、音声出力部は、本発明に係る技術分野での共通認識に基づいて説明されるスピーカーなどの出力装置により構成することができる。
出力部35は、例えば、本発明に係る技術分野での共通認識に基づいて説明される演算器、演算回路、演算装置、プレイヤー、画像/映像/音声処理回路、画像/映像/音声処理装置、アンプなどを含んで構成することができる。
ユーザ端末10、WLC20、SSOサーバ40、DB50、ポータルサーバ60、SPサーバ70などについても、図8と同様の構成を有してもよい。例えば、WLC20の制御部は、通信サービスの認証処理に成功したユーザ端末10からのWebアクセスに対して、ポータルサーバ60へのリダイレクトを実施するように制御してもよい。ここで、当該リダイレクトの際は、ユーザ端末10の特定情報をあわせて送信してもよい。また、ポータルサーバ60の制御部は、当該リダイレクトに基づいて、DB50からトークンを取得し、ユーザ端末10に送信するように制御してもよい。
(ハードウェア構成)
なお、上記実施形態の説明に用いたブロック図は、機能単位のブロックを示している。これらの機能ブロック(構成部)は、ハードウェア及び/又はソフトウェアの任意の組み合わせによって実現される。また、各機能ブロックの実現手段は特に限定されない。すなわち、各機能ブロックは、物理的に結合した1つの装置により実現されてもよいし、物理的に分離した2つ以上の装置を有線又は無線で接続し、これら複数の装置により実現されてもよい。
例えば、本発明の一実施形態におけるRADIUSサーバ30などは、本発明の情報通信方法の処理を行うコンピュータとして機能してもよい。図9は、本発明の一実施形態に係るRADIUSサーバ30のハードウェア構成の一例を示す図である。上述のRADIUSサーバ30、SSOサーバ40などは、物理的には、プロセッサ1001、メモリ1002、ストレージ1003、通信装置1004、入力装置1005、出力装置1006、バス1007などを含むコンピュータ装置として構成されてもよい。
なお、以下の説明では、「装置」という文言は、回路、デバイス、ユニットなどに読み替えることができる。RADIUSサーバ30、SSOサーバ40などのハードウェア構成は、図に示した各装置を1つ又は複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。
例えば、プロセッサ1001は1つだけ図示されているが、複数のプロセッサがあってもよい。また、処理は、1のプロセッサで実行されてもよいし、処理が同時に、逐次に、又はその他の手法で、1以上のプロセッサで実行されてもよい。
RADIUSサーバ30、SSOサーバ40などにおける各機能は、プロセッサ1001、メモリ1002などのハードウェア上に所定のソフトウェア(プログラム)を読み込ませることで、プロセッサ1001が演算を行い、通信装置1004による通信や、メモリ1002及びストレージ1003におけるデータの読み出し及び/又は書き込みを制御することで実現される。
プロセッサ1001は、例えば、オペレーティングシステムを動作させてコンピュータ全体を制御する。プロセッサ1001は、周辺装置とのインターフェース、制御装置、演算装置、レジスタなどを含む中央処理装置(CPU:Central Processing Unit)で構成されてもよい。なお、上述の制御部11などの各部は、プロセッサ1001で実現されてもよい。プロセッサ1001は、1以上のチップで実装されてもよい。
また、プロセッサ1001は、プログラム(プログラムコード)、ソフトウェアモジュールやデータを、ストレージ1003及び/又は通信装置1004からメモリ1002に読み出し、これらに従って各種の処理を実行する。プログラムとしては、上述の実施形態で説明した動作の少なくとも一部をコンピュータに実行させるプログラムが用いられる。例えば、制御部11は、メモリ1002に格納され、プロセッサ1001で動作する制御プログラムによって実現されてもよく、他の機能ブロックについても同様に実現されてもよい。
メモリ1002は、コンピュータ読み取り可能な記録媒体であり、例えば、ROM(Read Only Memory)、EPROM(Erasable Programmable ROM)、EEPROM(Electrically EPROM)、RAM(Random Access Memory)、その他の適切な記憶媒体の少なくとも1つで構成されてもよい。メモリ1002は、レジスタ、キャッシュ、メインメモリ(主記憶装置)などと呼ばれてもよい。メモリ1002は、本発明の一実施形態に係る情報処理方法を実施するために実行可能なプログラム(プログラムコード)、ソフトウェアモジュールなどを保存することができる。
ストレージ1003は、コンピュータ読み取り可能な記録媒体であり、例えば、フレキシブルディスク、フロッピー(登録商標)ディスク、光磁気ディスク(例えば、コンパクトディスク(CD−ROM(Compact Disc ROM)など)、デジタル多用途ディスク、Blu−ray(登録商標)ディスク)、リムーバブルディスク、ハードディスクドライブ、スマートカード、フラッシュメモリデバイス(例えば、カード、スティック、キードライブ)、磁気ストライプ、データベース、サーバ、その他の適切な記憶媒体の少なくとも1つで構成されてもよい。ストレージ1003は、補助記憶装置と呼ばれてもよい。なお、上述の記憶部12は、メモリ1002及び/又はストレージ1003で実現されてもよい。
通信装置1004は、有線及び/又は無線ネットワークを介してコンピュータ間の通信を行うためのハードウェア(送受信デバイス)であり、例えばネットワークデバイス、ネットワークコントローラ、ネットワークカード、通信モジュールなどともいう。なお、上述の通信部13は、通信装置1004で実現されてもよい。
入力装置1005は、外部からの入力を受け付ける入力デバイス(例えば、キーボード、マウスなど)である。出力装置1006は、外部への出力を実施する出力デバイス(例えば、ディスプレイ、スピーカーなど)である。なお、入力装置1005及び出力装置1006は、一体となった構成(例えば、タッチパネル)であってもよい。なお、上述の入力部14及び出力部15は、それぞれ入力装置1005及び出力装置1006で実現されてもよい。
また、プロセッサ1001やメモリ1002などの各装置は、情報を通信するためのバス1007で接続される。バス1007は、単一のバスで構成されてもよいし、装置間で異なるバスで構成されてもよい。
また、RADIUSサーバ30、SSOサーバ40などは、マイクロプロセッサ、デジタル信号プロセッサ(DSP:Digital Signal Processor)、ASIC(Application Specific Integrated Circuit)、PLD(Programmable Logic Device)、FPGA(Field Programmable Gate Array)などのハードウェアを含んで構成されてもよく、当該ハードウェアにより、各機能ブロックの一部又は全てが実現されてもよい。例えば、プロセッサ1001は、これらのハードウェアの少なくとも1つで実装されてもよい。
(変形例)
なお、本明細書で説明した用語及び/又は本明細書の理解に必要な用語については、同一の又は類似する意味を有する用語と置き換えてもよい。
本明細書で説明した情報、パラメータなどは、絶対値で表されてもよいし、所定の値からの相対値で表されてもよいし、対応する別の情報で表されてもよい。また、本明細書においてパラメータなどに使用する名称は、いかなる点においても限定的なものではない。
本明細書で説明した情報、信号などは、様々な異なる技術のいずれかを使用して表されてもよい。例えば、上記の説明全体に渡って言及され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、チップなどは、電圧、電流、電磁波、磁界若しくは磁性粒子、光場若しくは光子、又はこれらの任意の組み合わせによって表されてもよい。
情報、信号などは、複数のネットワークノードを介して入出力されてもよい。入出力された情報、信号などは、特定の場所(例えば、メモリ)に保存されてもよいし、テーブルで管理してもよい。入出力される情報、信号などは、上書き、更新又は追記をされ得る。出力された情報、信号などは、削除されてもよい。入力された情報、信号などは、他の装置へ送信されてもよい。
また、所定の情報の通知(例えば、「Xであること」の通知)は、明示的に行うものに限られず、暗示的に(例えば、当該所定の情報の通知を行わないことによって又は別の情報の通知によって)行われてもよい。
ソフトウェアは、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語と呼ばれるか、他の名称で呼ばれるかを問わず、命令、命令セット、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行可能ファイル、実行スレッド、手順、機能などを意味するよう広く解釈されるべきである。
また、ソフトウェア、命令、情報などは、伝送媒体を介して送受信されてもよい。例えば、ソフトウェアが、有線技術(同軸ケーブル、光ファイバケーブル、ツイストペア、デジタル加入者回線(DSL:Digital Subscriber Line)など)及び/又は無線技術(赤外線、マイクロ波など)を使用してウェブサイト、サーバ、又は他のリモートソースから送信される場合、これらの有線技術及び/又は無線技術は、伝送媒体の定義内に含まれる。
本明細書で使用する「システム」及び「ネットワーク」という用語は、互換的に使用される。
本明細書で説明した各態様/実施形態は単独で用いてもよいし、組み合わせて用いてもよいし、実行に伴って切り替えて用いてもよい。また、本明細書で説明した各態様/実施形態の処理手順、シーケンス、フローチャートなどは、矛盾の無い限り、順序を入れ替えてもよい。例えば、本明細書で説明した方法については、例示的な順序で様々なステップの要素を提示しており、提示した特定の順序に限定されない。
本明細書で使用する「に基づいて」という記載は、別段に明記されていない限り、「のみに基づいて」を意味しない。言い換えれば、「に基づいて」という記載は、「のみに基づいて」と「に少なくとも基づいて」の両方を意味する。
以上、本発明について詳細に説明したが、当業者にとっては、本発明が本明細書中に説明した実施形態に限定されるものではないということは明らかである。本発明は、特許請求の範囲の記載により定まる本発明の趣旨及び範囲を逸脱することなく修正及び変更態様として実施することができる。したがって、本明細書の記載は、例示説明を目的とするものであり、本発明に対して何ら制限的な意味を有するものではない。
1 情報処理システム
10 ユーザ端末
20 無線システム(AP/無線LANコントローラ)
30 認証サーバ(RADIUSサーバ)
40 SSOサーバ
50 データベース
60 認証連携サーバ(ポータルサーバ)
70 クラウドサービスプロバイダサーバ/SSO保護対象サーバ
本発明の一態様に係る情報処理システムは、ユーザ端末に対して通信サービスを提供する第1の装置と、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置と、データを格納する第3の装置と、第1の装置、第2の装置及び第3の装置と通信する第4の装置と、前記ユーザ端末及び前記第3の装置と通信する第5の装置と、を有する情報処理システムであって、前記第4の装置は、前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う認証処理部と、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、前記認証許可情報を前記第3の装置に送信する送信部と、を有し、前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う制御部を有し、前記送信部は、前記通信サービスの認証処理に成功した場合、前記第2の装置に対して、前記Webサービスの認証処理に必要な情報を送信し、前記受信部は、前記Webサービスの認証処理に必要な情報を用いて取得された前記認証許可情報を、前記第2の装置から受信することを特徴とする。

Claims (15)

  1. ユーザ端末に対して通信サービスを提供する第1の装置と、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置と、データを格納する第3の装置と、第1の装置、第2の装置及び第3の装置と通信する第4の装置と、前記ユーザ端末及び前記第3の装置と通信する第5の装置と、を有する情報処理システムであって、
    前記第4の装置は、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、
    前記認証許可情報を前記第3の装置に送信する送信部と、を有し、
    前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う制御部を有することを特徴とする情報処理システム。
  2. 前記第4の装置は、前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う認証処理部を有し、
    前記送信部は、前記通信サービスの認証処理に成功した場合、前記第2の装置に対して、前記Webサービスの認証処理に必要な情報を送信し、
    前記受信部は、前記Webサービスの認証処理に必要な情報を用いて取得された前記Webサービスの認証許可情報を、前記第2の装置から受信することを特徴とする請求項1に記載の情報処理システム。
  3. 前記第2の装置は、前記ユーザ端末に関する前記通信サービスの認証処理を行う認証処理部を有し、
    前記送信部は、前記第2の装置に対して、前記通信サービスの認証処理に必要な情報及び前記Webサービスの認証処理に必要な情報を送信し、
    前記受信部は、前記第2の装置において前記通信サービスの認証処理が成功した場合に、前記Webサービスの認証処理に必要な情報を用いて取得された前記Webサービスの認証許可情報を、前記第2の装置から受信することを特徴とする請求項1に記載の情報処理システム。
  4. 前記第1の装置は、前記通信サービスの認証処理に成功した前記ユーザ端末からのWebアクセスに対して、前記第5の装置へのリダイレクトを実施するように制御し、
    前記第5の装置は、前記リダイレクトに基づいて、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信することを特徴とする請求項1から請求項3のいずれかに記載の情報処理システム。
  5. 前記送信部は、前記第3の装置に格納された前記認証許可情報を取得するために用いられる所定の情報を、前記第1の装置に送信することを特徴とする請求項4に記載の情報処理システム。
  6. 前記所定の情報は、前記第5の装置のURL(Uniform Resource Locator)であり、
    前記第1の装置は、前記通信サービスの認証処理に成功した前記ユーザ端末からのWebアクセスを、前記第5の装置のURLにリダイレクトするように制御することを特徴とする請求項5に記載の情報処理システム。
  7. 前記受信部は、前記第1の装置から、前記ユーザ端末を特定するための特定情報を受信し、
    前記送信部は、前記認証許可情報を、前記特定情報と関連付けて前記第3の装置に送信し、
    前記第1の装置は、前記第5の装置へのリダイレクトの際に、前記特定情報を前記第5の装置に送信するように制御し、
    前記第5の装置は、前記特定情報を用いて、前記第3の装置から前記認証許可情報を取得することを特徴とする請求項5又は請求項6に記載の情報処理システム。
  8. 前記第5の装置は、前記ユーザ端末にWeb認証処理を行わせるための情報を送信し、
    前記第4の装置は、当該情報に従って送信された通知に基づいて、前記Web認証処理を行うことを特徴とする請求項7に記載の情報処理システム。
  9. 前記送信部は、前記Web認証処理に成功した場合、前記ユーザ端末へのアカウンティング開始のステータスを示す情報を、前記特定情報と関連付けて前記第3の装置に送信することを特徴とする請求項7又は請求項8に記載の情報処理システム。
  10. 前記特定情報は、前記ユーザ端末のMAC(Media Access Control)アドレスであることを特徴とする請求項7から請求項9のいずれかに記載の情報処理システム。
  11. 前記通信サービスは、無線通信サービスであり、
    当該無線通信サービスの認証処理としてRADIUS(Remote Authentication Dial In User Service)認証が用いられることを特徴とする請求項1から請求項10のいずれかに記載の情報処理システム。
  12. 前記認証許可情報は、複数のWebサービスに関するシングルサインオン(SSO:Single Sign On)のセッション情報であることを特徴とする請求項1から請求項11のいずれかに記載の情報処理システム。
  13. ユーザ端末に対して通信サービスを提供する第1の装置と、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置と、データを格納する第3の装置と、第1の装置、第2の装置及び第3の装置と通信する第4の装置と、前記ユーザ端末及び前記第3の装置と通信する第5の装置と、を用いる情報処理方法であって、
    前記第4の装置は、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する工程と、
    前記認証許可情報を前記第3の装置に送信する工程と、を有し、
    前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う工程を有することを特徴とする情報処理方法。
  14. ユーザ端末に対して通信サービスを提供する第1の装置、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置、及びデータを格納する第3の装置、と通信する情報処理装置であって、
    前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う認証処理部と、
    前記通信サービスの認証処理に成功した場合、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、
    前記認証許可情報を前記第3の装置に送信する送信部と、を有することを特徴とする情報処理装置。
  15. ユーザ端末に対して通信サービスを提供する第1の装置、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置、及びデータを格納する第3の装置、と通信する情報処理装置のコンピュータに、
    前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う手順と、
    前記通信サービスの認証処理に成功した場合、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する手順と、
    前記認証許可情報を前記第3の装置に送信する手順と、を実行させるためのプログラム。

JP2016145485A 2016-07-25 2016-07-25 情報処理システム、情報処理方法、情報処理装置及びプログラム Active JP6266049B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016145485A JP6266049B1 (ja) 2016-07-25 2016-07-25 情報処理システム、情報処理方法、情報処理装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016145485A JP6266049B1 (ja) 2016-07-25 2016-07-25 情報処理システム、情報処理方法、情報処理装置及びプログラム

Publications (2)

Publication Number Publication Date
JP6266049B1 JP6266049B1 (ja) 2018-01-24
JP2018018143A true JP2018018143A (ja) 2018-02-01

Family

ID=61020802

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016145485A Active JP6266049B1 (ja) 2016-07-25 2016-07-25 情報処理システム、情報処理方法、情報処理装置及びプログラム

Country Status (1)

Country Link
JP (1) JP6266049B1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020057363A (ja) * 2018-09-28 2020-04-09 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004133823A (ja) * 2002-10-15 2004-04-30 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続認証に基づくサービス提供システム
JP2005339093A (ja) * 2004-05-26 2005-12-08 Nippon Telegr & Teleph Corp <Ntt> 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体
US20160021097A1 (en) * 2014-07-18 2016-01-21 Avaya Inc. Facilitating network authentication
JP2016118930A (ja) * 2014-12-19 2016-06-30 日立電線ネットワークス株式会社 認証システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004133823A (ja) * 2002-10-15 2004-04-30 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続認証に基づくサービス提供システム
JP2005339093A (ja) * 2004-05-26 2005-12-08 Nippon Telegr & Teleph Corp <Ntt> 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体
US20160021097A1 (en) * 2014-07-18 2016-01-21 Avaya Inc. Facilitating network authentication
JP2016118930A (ja) * 2014-12-19 2016-06-30 日立電線ネットワークス株式会社 認証システム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020057363A (ja) * 2018-09-28 2020-04-09 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム
JP7382753B2 (ja) 2018-09-28 2023-11-17 コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム

Also Published As

Publication number Publication date
JP6266049B1 (ja) 2018-01-24

Similar Documents

Publication Publication Date Title
US10805797B2 (en) Enabling secured wireless access using user-specific access credential for secure SSID
US20200099677A1 (en) Security object creation, validation, and assertion for single sign on authentication
US9432359B2 (en) Registration and network access control
US8776181B1 (en) Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol
US9038138B2 (en) Device token protocol for authorization and persistent authentication shared across applications
EP3120591B1 (en) User identifier based device, identity and activity management system
US9264420B2 (en) Single sign-on for network applications
US9369286B2 (en) System and methods for facilitating authentication of an electronic device accessing plurality of mobile applications
JP2015535984A (ja) モバイルマルチシングルサインオン認証
JP2015535984A5 (ja)
US11924195B2 (en) Onboarding an unauthenticated client device within a secure tunnel
US9787678B2 (en) Multifactor authentication for mail server access
EP2997711B1 (en) Providing single sign-on for wireless devices
JP6266049B1 (ja) 情報処理システム、情報処理方法、情報処理装置及びプログラム
CN114338078B (zh) 一种cs客户端登录方法及装置
JP6347732B2 (ja) 認証システム
WO2015004744A1 (ja) 認証装置、認証方法、およびプログラム
JP2019003317A (ja) 本人認証装置、本人認証システム、本人認証プログラム、および、本人認証方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171205

R150 Certificate of patent or registration of utility model

Ref document number: 6266049

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250