JP2018151795A - ウェブサービス提供システム、ウェブサービス提供方法、ウェブサーバ、認証サーバ及びコンピュータプログラム - Google Patents

ウェブサービス提供システム、ウェブサービス提供方法、ウェブサーバ、認証サーバ及びコンピュータプログラム Download PDF

Info

Publication number
JP2018151795A
JP2018151795A JP2017046783A JP2017046783A JP2018151795A JP 2018151795 A JP2018151795 A JP 2018151795A JP 2017046783 A JP2017046783 A JP 2017046783A JP 2017046783 A JP2017046783 A JP 2017046783A JP 2018151795 A JP2018151795 A JP 2018151795A
Authority
JP
Japan
Prior art keywords
user
web service
authentication
identification information
service providing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017046783A
Other languages
English (en)
Other versions
JP6560281B2 (ja
Inventor
正之 瀬川
Masayuki Segawa
正之 瀬川
伸 佐分利
Shin Saburi
伸 佐分利
剛 御手洗
Takeshi Mitarai
剛 御手洗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2017046783A priority Critical patent/JP6560281B2/ja
Publication of JP2018151795A publication Critical patent/JP2018151795A/ja
Application granted granted Critical
Publication of JP6560281B2 publication Critical patent/JP6560281B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】より安価にシングルサインオンを実現することができる技術を提供すること。【解決手段】実施形態のウェブサービス提供システムは、認証されたユーザに対してウェブサービスを提供するウェブサービス提供部と、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供部に送信させる認証部と、を備え、前記ウェブサービス提供部は、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する。【選択図】図5

Description

本発明は、シングルサインオン技術に関する。
複数サイトの認証を統合する技術としてシングルサイオンが知られている。シングルサインオンは、複数サイト間で認証情報を共有することにより認証の統合を実現する技術である。シングルサインオンの実現方式としては、リバースプロキシ型及びエージェント型が代表的である。例えば、特許文献1にはエージェント型のシングルサインオンを実現する認証システムについて記載されている。
特開2005−293088号公報
しかしながら、従来方式でシングルサインオンを実現しようとした場合、リバースプロキシ型及びエージェント型のいずれの方式においても、各サイトの認証を統合して管理するSSO(Single Sign-On)サーバが必要となる。そのため、シングルサインオンの実現には多額の費用がかかり、経済的な負荷を理由に実現が困難な場合があるという課題があった。
上記事情に鑑み、本発明は、より安価にシングルサインオンを実現することができる技術を提供することを目的としている。
本発明の一態様は、認証されたユーザに対してウェブサービスを提供するウェブサービス提供部と、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供部に送信させる認証部と、を備え、前記ウェブサービス提供部は、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、ウェブサービス提供システムである。
本発明の一態様は、上記のウェブサービス提供システムであって、前記ウェブサービス提供部は、前記ユーザ端末から受信された前記識別情報を前記認証部に送信し、送信した前記識別情報に対する応答として、前記認証部から前記ユーザの認証状態を示す情報を取得することにより前記ユーザの認証状態を識別する。
本発明の一態様は、上記のウェブサービス提供システムであって、前記認証部は、前記ユーザに付与した前記識別情報を記憶するための記憶部を有し、前記ウェブサービス提供部から受信した前記識別情報が前記記憶部に記憶されている識別情報に一致する場合に、前記識別情報に対応づけられたユーザが認証済みであることを前記ウェブサービス提供部に応答する。
本発明の一態様は、上記のウェブサービス提供システムであって、前記識別情報は、前記ユーザごとに異なるハッシュ値を出力するハッシュ関数を用いて生成される。
本発明の一態様は、上記のウェブサービス提供システムであって、前記認証部は、認証が完了したユーザに前記識別情報を付与する際、前記識別情報に有効期限を設定し、有効期限内の識別情報が付与されているユーザの認証状態を認証済みと識別し、有効期限を満了した識別情報が付与されているユーザの認証状態を未認証と識別する。
本発明の一態様は、認証されたユーザに対してウェブサービスを提供するウェブサービス提供ステップと、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供部に送信させる認証ステップと、を有し、前記ウェブサービス提供ステップでは、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、ウェブサービス提供方法である。
本発明の一態様は、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供サーバに送信させる認証サーバと通信するための通信部と、認証されたユーザに対してウェブサービスを提供するウェブサービス提供部と、を備え、前記ウェブサービス提供部は、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、サーバである。
本発明の一態様は、認証されたユーザに対してウェブサービスを提供するウェブサービス提供サーバであって、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末から受信される識別情報を用いて前記ユーザの認証状態を識別するウェブサービス提供サーバと通信する通信部と、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供サーバに送信させる認証部と、を備えるサーバである。
本発明の一態様は、上記のサーバとしてコンピュータを機能させるためのコンピュータプログラムである。
本発明により、より安価にシングルサインオンを実現することが可能となる。
実施形態におけるウェブサービス提供システム100のシステム構成の概略を示す図である。 実施形態における代表サーバ1の機能構成の具体例を示すブロック図である。 記憶部13に記憶される認証情報、サーバ間ユーザ識別子及び認証状態管理情報の具体例を示す図である。 実施形態における外部サーバ2の機能構成の具体例を示すブロック図である。 実施形態のウェブサービス提供システム100におけるユーザ認証の流れを示すシーケンス図である。
図1は、実施形態におけるウェブサービス提供システム100のシステム構成の概略を示す図である。ウェブサービス提供システム100は、ユーザ端末3に対してウェブサービスを提供するシステムである。ウェブサービス提供システム100は、代表サーバ1、及び一以上の外部サーバ2を備える。代表サーバ1は、第1ネットワーク41を介してユーザ端末3と通信可能であり、第2ネットワーク42を介して各外部サーバ2と通信可能である。なお、ウェブサービス提供システム100のネットワーク構成は、代表サーバ1が各外部サーバ2及びユーザ端末3と通信可能であれば図1と異なる構成であってもよい。例えば、第1ネットワーク41及び第2ネットワーク42は、有線通信で実現されてもよいし無線通信で実現されてもよい。また、第1ネットワーク41及び第2ネットワーク42は、同一ネットワークとして構成されてもよい。また、第2ネットワーク42は、外部サーバ2ごとに異なる複数のネットワークとして構成されてもよい。
代表サーバ1は、外部サーバ2とユーザ端末3との間に介在し、ユーザ端末3に対する各外部サーバ2の認証を一元管理することによりシングルサインオンを実現する。
外部サーバ2は、ウェブサービスの提供要求(以下「ウェブサービスリクエスト」という。)を受け付け、要求されたウェブサービスに対応する所定の処理を実行する。外部サーバ2が提供するウェブサービスはどのようなものであってもよい。外部サーバ2は、認証されたユーザのウェブサービスリクエストのみを受け付ける。
ユーザ端末3は、外部サーバ2に対してウェブサービスリクエストを送信する端末である。例えば、ユーザ端末3は、ウェブブラウザがインストールされたPC(Personal Computer)やスマートフォン、タブレット等の端末装置である。上述のとおり、ユーザ端末3のウェブサービスリクエストは、ユーザが認証されていることを条件として外部サーバ2に受け付けられる。ユーザ端末3は、ユーザが所望するウェブサービスを代表サーバ1に通知することで、そのウェブサービスを提供する外部サーバ2の認証を受けることが可能である。
図2は、実施形態における代表サーバ1の機能構成の具体例を示すブロック図である。代表サーバ1は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、プログラムを実行する。代表サーバ1は、プログラムの実行によって第1通信部11、第2通信部12、記憶部13及び認証部14を備える装置として機能する。なお、代表サーバ1の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されてもよい。プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。プログラムは、電気通信回線を介して送信されてもよい。
第1通信部11は、自装置を第1ネットワーク41に接続するための通信インタフェースを含んで構成される。第1通信部11は、第1ネットワーク41を介してユーザ端末3と通信する。また、第2通信部12は、自装置を第2ネットワーク42に接続するための通信インタフェースを含んで構成される。第2通信部12は、第2ネットワーク42を介して各外部サーバ2と通信する。
記憶部13は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。記憶部13は、認証情報、サーバ間ユーザ識別子及び認証状態管理情報を記憶する。認証情報は、ユーザの認証に必要な情報であり、ユーザの識別情報と資格情報とを含む。サーバ間ユーザ識別子は、代表サーバ1が外部サーバ2との間で同じユーザを識別するために用いるユーザの識別情報である。サーバ間ユーザ識別子は、認証情報に含まれる各ユーザの識別情報のそれぞれに一意な値として設定される。認証状態管理情報は、代表サーバ1が各ユーザの認証状態(認証済み又は未認証)を管理するための情報である。記憶部13には、認証情報及びサーバ間ユーザ識別子が予め記憶される一方で、認証状態管理情報は認証状態の変化に応じて登録又は更新される。
認証部14は、ウェブサービス提供システム100に対するユーザの認証要求を受け付けるとともに、認証結果を要求元のユーザ端末3に応答する。認証部14は、認証の完了に応じて当該ユーザに関する認証状態管理情報を生成し、生成した認証状態管理情報に基づいて認証済みのユーザの認証状態を管理する。一方で、認証部14は、外部サーバ2の要求に応じて、所定ユーザの認証状態を応答する機能をさらに有する。
図3は、記憶部13に記憶される認証情報、サーバ間ユーザ識別子及び認証状態管理情報の具体例を示す図である。例えば、実施形態の認証情報、サーバ間ユーザ識別子及び認証状態管理情報は、図3に示すテーブルM1として記憶される。テーブルM1は、ユーザIDごとのレコードを有し、各レコードはユーザID、パスワード、エイリアスID、ハッシュ値及び有効期限の各値を有する。ユーザID及びパスワードは、ウェブサービス提供システム100を利用可能なユーザの識別情報及び資格情報であり、各ユーザの認証情報の一例である。エイリアスIDは、各ユーザIDに対して一意に定められた値であって、かつ対応するユーザIDとは異なる値を示す情報である。その意味で、エイリアスIDは、ユーザIDの別名(エイリアス)ということができる。このエイリアスIDは、サーバ間ユーザ識別子の一具体例であり、外部サーバ2との間でユーザIDの代わりに送受信される。このように、ユーザIDを間接的に示すエイリアスIDを送受信することによって、セキュリティをより強固なものにすることができる。セキュリティの観点では、エイリアスIDは、その値からユーザIDを取得又は推測することができないように設定されることが望ましい。
また、ハッシュ値は、所定のハッシュ関数に基づいて、少なくともユーザごとに異なる値として算出される値である。ハッシュ関数は、同じデータの入力に対して同じハッシュ値を出力し、異なるデータの入力に対して異なるハッシュ値を出力する性質を有する。また、ハッシュ値から元のデータを復元することは不可能である。このような性質を利用し、代表サーバ1は、認証が完了したユーザについてハッシュ値を生成し、その有効期限と対応づけてテーブルM1に登録する。このハッシュ値と有効期限との組み合わせは、代表サーバ1において、認証済みのユーザの認証状態を管理するために参照又は更新される。このようなハッシュ値及び有効期限は、本実施形態における認証状態管理情報の一具体例である。
図4は、実施形態における外部サーバ2の機能構成の具体例を示すブロック図である。外部サーバ2は、バスで接続されたCPUやメモリや補助記憶装置などを備え、プログラムを実行する。外部サーバ2は、プログラムの実行によって通信部21、リクエスト処理部22及び認証状態確認部23を備える装置として機能する。なお、外部サーバ2の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されてもよい。プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。プログラムは、電気通信回線を介して送信されてもよい。
通信部21は、自装置を第2ネットワーク42に接続するための通信インタフェースを含んで構成される。通信部21は、第2ネットワーク42を介して代表サーバ1と通信する。
リクエスト処理部22は、自装置に対するウェブサービスリクエストを受け付け、受け付けたリクエストに応じた処理を実行する。具体的には、リクエスト処理部22は、ウェブサービスリクエストが受信されると、そのリクエストを送信したユーザの認証状態を、認証状態確認部23を介して代表サーバ1に確認する。リクエスト処理部22は、代表サーバ1から当該ユーザが認証済みであることが応答された場合にのみ、当該リクエストを受け付ける。
認証状態確認部23は、リクエスト処理部22の要求に応じて、指定されたユーザの認証状態を代表サーバ1に問い合わせる。認証状態確認部23は、問い合わせの結果(認証済み又は未認証)をリクエスト処理部22に応答する。
なお、外部サーバ2は、上記問い合わせの結果を記憶する記憶部を備えても良い。例えば、問い合わせの結果として、各ユーザの有効期限を取得可能である場合、認証状態確認部23は、認証済みのユーザの有効期限を識別情報に対応づけた情報(以下「認証済みユーザ情報」という。)を記憶部に記憶させてもよい。この場合、リクエスト処理部22は、認証済みユーザ情報を参照することでユーザの認証状態を識別し、認証済みユーザ情報に登録されていないユーザの認証状態を代表サーバ1に問い合わせるように構成されてもよい。
図5は、実施形態のウェブサービス提供システム100におけるユーザ認証の流れを示すシーケンス図である。まず、ユーザ端末3において、代表URL(Uniform Resource Locater)にアクセスする操作が入力される(イベントE1)。この操作に応じて、ユーザ端末3は、代表URLへのアクセスを実行する。ここで、代表URLは、代表サーバ1が提供するウェブサイトのURLであり、アクセスには代表サーバ1によるユーザ認証が必要となる。ユーザ端末3は、代表URLにアクセスする際、ユーザID及びパスワードを取得して代表サーバ1に送信する(ステップS101)。ユーザ認証が完了すると、ユーザ端末3には、各外部サーバ2が提供するウェブサービスを要求するためのリンクが記載された代表画面が表示される。
具体的には、代表サーバ1の認証部14は、ユーザ端末3から代表URLへのアクセス要求を受けると、まず、送信された認証情報(ユーザID及びパスワード)を用いて当該ユーザの認証処理を行う(ステップS102)。認証処理は、送信された認証情報と、記憶部13に予め記憶されている当該ユーザの認証情報との比較によって行われる。
認証部14は、ユーザの認証が完了すると、当該ユーザの認証状態管理情報を生成して記憶部13に記憶させる。具体的には、認証部14は、当該ユーザに固有のハッシュ値を生成する(ステップS103)。例えば、ハッシュ値は、ユーザIDに基づいて生成されてもよいし、エイリアスIDに基づいて生成されてもよい。認証部14は、生成したハッシュ値をその有効期限とともにテーブルM1に登録する。一方で、認証部14は、ユーザ端末3のアクセス要求に対する応答として、代表画面を表示させるためのデータ(以下「代表画面データ」という。)と、生成したハッシュ値とをユーザ端末3に送信する(ステップS104)。
ユーザ端末3は、代表サーバ1から送信された代表画面データに基づいて代表画面を表示する(ステップS105)。上述したとおり、代表画面には各外部サーバ2が提供するウェブサービスを要求するためのリンクが記載されており、このリンクには、自装置のアクセス要求に応じて代表サーバ1が生成したハッシュ値がパラメータとして付加される。例えば、ユーザが所望するウェブサービスが“https://xxxxx”というURLで公開されており、生成されたハッシュ値が“yyyyy”である場合、そのウェブサービスのリンクは“https://xxxxx?hash=yyyyy”と記載される。そして、このリンクを選択する操作が入力される(イベントE2)と、ユーザ端末3は当該ウェブサービスを提供する外部サーバ2に対して、ウェブサービスリクエストをハッシュ値とともに送信する(ステップS106)。
外部サーバ2は、ユーザ端末3から送信されたウェブサービスリクエストを受けると、そのリクエストが示すハッシュ値に基づいて、当該リクエストを送信したユーザの認証状態を確認する。具体的には、外部サーバ2のリクエスト処理部22が、ユーザ端末3からウェブサービスリクエストを受信する。リクエスト処理部22は、受信したウェブサービスリクエストが示すハッシュ値を認証状態確認部23に出力する。認証状態確認部23は、リクエスト処理部22から出力されたハッシュ値を代表サーバ1に送信し、代表サーバ1に対して当該リクエストを送信したユーザの認証状態を問い合わせる(ステップS107)。この問い合わせに応じて、代表サーバ1の認証部14は、記憶部13に記憶している認証状態管理情報を参照し、受信したハッシュ値が登録済みであるか否かを判定する(ステップS108)。すなわち、受信したハッシュ値がテーブルM1に登録済みである場合、当該ユーザは認証済みの状態であると判定され(ステップS109)、未登録の場合、当該ユーザは未認証の状態であると判定される(ステップS110)。認証部14は、判定結果を認証状態確認部23に応答し(ステップS111)、認証状態確認部23は、認証部14から応答されたユーザの認証状態をリクエスト処理部22に出力する。
リクエスト処理部22は、認証部14から応答された判定結果に基づいて、リクエストを送信したユーザが認証済みであるか否かを判定する(ステップS112)。ユーザが認証済みである場合(ステップS112−YES)、リクエスト処理部22は、送信元のユーザ端末3に対して、自サーバが提供するウェブサービスを利用させるための画面(以下「サービス画面」という。)を表示させるサービス画面データを送信する(ステップS113)。ユーザ端末3は、外部サーバ2から受信されたサービス画面データに基づいて、サービス画面を表示する(ステップS114)。ユーザは、表示されたサービス画面を操作することにより、所望するウェブサービスの提供を外部サーバ2に要求することが可能となる。一方で、ユーザが未認証である場合、リクエスト処理部22は、受信したウェブサービスリクエスト受け付けない。この場合、リクエスト処理部22は、ユーザ端末3に対してエラーを通知してもよいし、ユーザ端末3の画面を代表画面に遷移させてもよい(ステップS115)。
なお、ステップS113において、リクエスト処理部22は、認証済みのユーザ端末3に対してユーザに応じたデータを送信するように構成されてもよい。例えば、リクエスト処理部22は、認証済みのユーザ端末3に対してユーザごとに異なる専用のサービス画面を表示させるサービス画面データを送信してもよい。この場合、外部サーバ2には、ユーザごとの認証情報及びサーバ間ユーザ識別子が予め記憶される。また、代表サーバ1は、前段のステップS111において、判定結果を示す情報とともに、当該ユーザのサーバ間ユーザ識別子を外部サーバ2に送信する。リクエスト処理部22は、代表サーバ1から受信されたサーバ間ユーザ識別子に基づいて認証されたユーザを識別し、識別されたユーザに専用のサービス画面データを取得又は生成する。
このように構成された実施形態のウェブサービス提供システム100は、ユーザ端末3が各外部サーバ2にアクセスする際の起点となり、ユーザ認証及び認証状態の管理を行う代表サーバ1を備えることにより、SSOサーバを必要とせずにSSO機能を実現することができる。そのため、実施形態のウェブサービス提供システム100によれば、より安価にシングルサインオンを実現することが可能となる。
また、実施形態のウェブサービス提供システム100では、代表サーバ1と外部サーバ2との間でユーザの認証情報が送信されることはない。代表サーバ1と外部サーバ2との間では、ユーザの認証情報に代えて、ユーザを間接的に識別可能にするサーバ間ユーザ識別子が送受信される。このような構成を備えることにより、実施形態のウェブサービス提供システム100は、より安価に、かつセキュリティ性の高いシングルサインオンを実現することが可能となる。
<変形例>
上記の実施形態では、代表サーバ1におけるユーザ認証(すなわち代表サーバ1へのログインに相当する)に応じて、認証部14が認証状態管理情報を生成する構成について説明したが、認証部14は所定のタイミングで認証状態管理情報を更新又は削除してもよい。例えば、認証部14は、定期的にテーブルM1を確認し、有効期限が切れた認証状態管理情報を削除してもよい。また、認証部14は、ユーザがウェブサービスの利用を終了した(例えば、ログアウトした)ことに応じて、当該ユーザの認証状態管理情報を削除してもよい。
上述した実施形態における代表サーバ1又は外部サーバ2をコンピュータで実現するようにしてもよい。その場合、この機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現してもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよく、FPGA(Field Programmable Gate Array)等のプログラマブルロジックデバイスを用いて実現されるものであってもよい。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
本発明は、ユーザ認証を行うシステムに適用可能である。
100…ウェブサービス提供システム、 1…代表サーバ、 11…第1通信部、 12…第2通信部、 13…記憶部、 14…認証部、 2…外部サーバ、 21…通信部、 22…リクエスト処理部、 23…認証状態確認部、 3…ユーザ端末、 41…第1ネットワーク、 42…第2ネットワーク

Claims (9)

  1. 認証されたユーザに対してウェブサービスを提供するウェブサービス提供部と、
    ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供部に送信させる認証部と、
    を備え、
    前記ウェブサービス提供部は、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、
    ウェブサービス提供システム。
  2. 前記ウェブサービス提供部は、前記ユーザ端末から受信された前記識別情報を前記認証部に送信し、送信した前記識別情報に対する応答として、前記認証部から前記ユーザの認証状態を示す情報を取得することにより前記ユーザの認証状態を識別する、
    請求項1に記載のウェブサービス提供システム。
  3. 前記認証部は、前記ユーザに付与した前記識別情報を記憶するための記憶部を有し、前記ウェブサービス提供部から受信した前記識別情報が前記記憶部に記憶されている識別情報に一致する場合に、前記識別情報に対応づけられたユーザが認証済みであることを前記ウェブサービス提供部に応答する、
    請求項2に記載のウェブサービス提供システム。
  4. 前記識別情報は、前記ユーザごとに異なるハッシュ値を出力するハッシュ関数を用いて生成される、
    請求項1から3のいずれか一項に記載のウェブサービス提供システム。
  5. 前記認証部は、認証が完了したユーザに前記識別情報を付与する際、前記識別情報に有効期限を設定し、有効期限内の識別情報が付与されているユーザの認証状態を認証済みと識別し、有効期限を満了した識別情報が付与されているユーザの認証状態を未認証と識別する、
    請求項1から4のいずれか一項に記載のウェブサービス提供システム。
  6. 認証されたユーザに対してウェブサービスを提供するウェブサービス提供ステップと、
    ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供部に送信させる認証ステップと、
    を有し、
    前記ウェブサービス提供ステップでは、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、
    ウェブサービス提供方法。
  7. ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供サーバに送信させる認証サーバと通信するための通信部と、
    認証されたユーザに対してウェブサービスを提供するウェブサービス提供部と、
    を備え、
    前記ウェブサービス提供部は、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、
    サーバ。
  8. 認証されたユーザに対してウェブサービスを提供するウェブサービス提供サーバであって、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末から受信される識別情報を用いて前記ユーザの認証状態を識別するウェブサービス提供サーバと通信する通信部と、
    ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供サーバに送信させる認証部と、
    を備えるサーバ。
  9. 請求項7又は8に記載のサーバとしてコンピュータを機能させるためのコンピュータプログラム。
JP2017046783A 2017-03-10 2017-03-10 ウェブサービス提供システム、ウェブサービス提供方法、ウェブサーバ、認証サーバ及びコンピュータプログラム Active JP6560281B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017046783A JP6560281B2 (ja) 2017-03-10 2017-03-10 ウェブサービス提供システム、ウェブサービス提供方法、ウェブサーバ、認証サーバ及びコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017046783A JP6560281B2 (ja) 2017-03-10 2017-03-10 ウェブサービス提供システム、ウェブサービス提供方法、ウェブサーバ、認証サーバ及びコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2018151795A true JP2018151795A (ja) 2018-09-27
JP6560281B2 JP6560281B2 (ja) 2019-08-14

Family

ID=63681660

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017046783A Active JP6560281B2 (ja) 2017-03-10 2017-03-10 ウェブサービス提供システム、ウェブサービス提供方法、ウェブサーバ、認証サーバ及びコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP6560281B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012128726A (ja) * 2010-12-16 2012-07-05 Kddi Corp ネットワーク認証システム、ネットワーク認証方法およびプログラム
JP2015053069A (ja) * 2014-10-30 2015-03-19 株式会社 ディー・エヌ・エー 認証方法、認証システム、サービス提供サーバ、および認証サーバ
JP2017004133A (ja) * 2015-06-08 2017-01-05 株式会社リコー サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012128726A (ja) * 2010-12-16 2012-07-05 Kddi Corp ネットワーク認証システム、ネットワーク認証方法およびプログラム
JP2015053069A (ja) * 2014-10-30 2015-03-19 株式会社 ディー・エヌ・エー 認証方法、認証システム、サービス提供サーバ、および認証サーバ
JP2017004133A (ja) * 2015-06-08 2017-01-05 株式会社リコー サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム

Also Published As

Publication number Publication date
JP6560281B2 (ja) 2019-08-14

Similar Documents

Publication Publication Date Title
JP6857065B2 (ja) 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム
US10686794B2 (en) System in which redirect URL is set for each access range of resource, method for the system, and storage medium for the method
US9288213B2 (en) System and service providing apparatus
CN111416822B (zh) 访问控制的方法、电子设备和存储介质
US8635679B2 (en) Networked identity framework
CN106341234B (zh) 一种授权方法及装置
JP6675163B2 (ja) 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム
CN110138718A (zh) 信息处理系统及其控制方法
US20130212653A1 (en) Systems and methods for password-free authentication
US10193871B2 (en) Information processing apparatus, control method, and program
US11165768B2 (en) Technique for connecting to a service
US20200035339A1 (en) Blockchain security system for secure record access across multiple computer systems
EP3438862A1 (en) Device management with challenge response and biometric user authentication
JP2022519221A (ja) マルチアプリコミュニケーションシステムにおける向上した多要素認証のための方法、システム、および装置
KR20170135332A (ko) 공인기관에 의한 의료기록 관리 및 전송 시스템 및 방법
US10277579B2 (en) Information processing system that provides a resource to an application of a terminal through a network
JP2006031064A (ja) セッション管理システム及び管理方法
KR101803535B1 (ko) 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법
JP2009217522A (ja) 個人属性情報提供システムおよび個人属性情報提供方法
JP6848275B2 (ja) プログラム、認証システム及び認証連携システム
JP6560281B2 (ja) ウェブサービス提供システム、ウェブサービス提供方法、ウェブサーバ、認証サーバ及びコンピュータプログラム
JP6626466B2 (ja) Api提供装置及びapi使用権委譲の同意方法
JP6723804B2 (ja) システム、中継クライアント、制御方法、及びプログラム
CN110945503A (zh) 用户认证服务提供方法、网页服务器及用户终端
JP4846624B2 (ja) 認証代理装置、認証代理方法、及び認証代理プログラム

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181016

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20181024

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20181130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190718

R150 Certificate of patent or registration of utility model

Ref document number: 6560281

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250