JP2020053100A5 - - Google Patents

Download PDF

Info

Publication number
JP2020053100A5
JP2020053100A5 JP2019238008A JP2019238008A JP2020053100A5 JP 2020053100 A5 JP2020053100 A5 JP 2020053100A5 JP 2019238008 A JP2019238008 A JP 2019238008A JP 2019238008 A JP2019238008 A JP 2019238008A JP 2020053100 A5 JP2020053100 A5 JP 2020053100A5
Authority
JP
Japan
Prior art keywords
authorization
information
server
information processing
processing system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019238008A
Other languages
Japanese (ja)
Other versions
JP2020053100A (en
JP7043480B2 (en
Filing date
Publication date
Application filed filed Critical
Priority to JP2019238008A priority Critical patent/JP7043480B2/en
Priority claimed from JP2019238008A external-priority patent/JP7043480B2/en
Publication of JP2020053100A publication Critical patent/JP2020053100A/en
Publication of JP2020053100A5 publication Critical patent/JP2020053100A5/ja
Application granted granted Critical
Publication of JP7043480B2 publication Critical patent/JP7043480B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

クライアントとウェブブラウザと複数の認可サーバーと、を含む情報処理システムであって、前記複数の認可サーバーは、前記クライアントがリソースサーバーにアクセスすることを、前記ウェブブラウザを介して許可するユーザーのユーザー情報を管理する第一の認可サーバーであって、前記複数の認可サーバーに含まれる第一の認可サーバーを特定する特定手段を有し、前記複数の認可サーバーに含まれる認可サーバーは、前記クライアントから認可リクエストを受信したことに応じて、前記特定手段によって前記第一の認可サーバーを特定し、特定された前記第一の認可サーバーに対し前記ユーザーを認証する認証リクエストをリダイレクトし、前記第一の認可サーバーは、リダイレクトされた前記認証リクエストを受信したことに応じて前記ユーザーを認証し、認証された前記ユーザーが前記アクセスを許可すると認可レスポンスとして認可トークンを前記クライアントに送信することを特徴とする。 An information processing system including a client, a web browser, and a plurality of authorization servers, wherein the plurality of authorization servers are user information of a user who permits the client to access the resource server through the web browser. Is a first authorization server that manages the above, and has a specific means for identifying the first authorization server included in the plurality of authorization servers, and the authorization server included in the plurality of authorization servers is authorized by the client. In response to receiving the request, the first authorization server is identified by the identification means, the authentication request for authenticating the user is redirected to the identified first authorization server, and the first authorization is performed. The server authenticates the user in response to receiving the redirected authentication request, and sends an authorization token to the client as an authorization response when the authenticated user grants the access.

Claims (10)

クライアントとウェブブラウザと複数の認可サーバーと、を含む情報処理システムであって、
前記複数の認可サーバーは、
前記クライアントがリソースサーバーにアクセスすることを、前記ウェブブラウザを介して許可するユーザーのユーザー情報を管理する第一の認可サーバーであって、前記複数の認可サーバーに含まれる第一の認可サーバーを特定する特定手段を有し、
前記複数の認可サーバーに含まれる認可サーバーは、
前記クライアントから認可リクエストを受信したことに応じて、前記特定手段によって前記第一の認可サーバーを特定し、特定された前記第一の認可サーバーに対し前記ユーザーを認証する認証リクエストをリダイレクトし、
前記第一の認可サーバーは、
リダイレクトされた前記認証リクエストを受信したことに応じて前記ユーザーを認証し、認証された前記ユーザーが前記アクセスを許可すると認可レスポンスとして認可トークンを前記クライアントに送信することを特徴とする情報処理システム。 An information processing system that includes a client, a web browser, and multiple authorization servers.
The plurality of authorization servers
The first authorization server that manages the user information of the user who permits the client to access the resource server through the web browser, and identifies the first authorization server included in the plurality of authorization servers. Have specific means to
The authorization server included in the plurality of authorization servers is
In response to receiving the authorization request from the client, the first authorization server is identified by the identification means, and the authentication request for authenticating the user is redirected to the identified first authorization server.
The first authorization server is
An information processing system characterized in that the user is authenticated in response to receiving the redirected authentication request, and when the authenticated user permits the access, an authorization token is transmitted to the client as an authorization response. 前記第一の認可サーバーは、
前記クライアントから前記認可トークンを受信すると、前記クライアントが前記リソースサーバーにアクセスするためのアクセストークンを発行することを特徴とする請求項1に記載の情報処理システム。 The first authorization server is
The information processing system according to claim 1, wherein when the client receives the authorization token, the client issues an access token for accessing the resource server. 前記クライアントから前記認可リクエストを受信する認可サーバーは、
前記クライアントのIPアドレスに基づいてDNSサーバーによって特定される認可サーバーであることを特徴とする請求項1または2に記載の情報処理システム。 The authorization server that receives the authorization request from the client
The information processing system according to claim 1 or 2, wherein the information processing system is an authorization server specified by a DNS server based on the IP address of the client. 前記情報処理システムは、
前記ユーザー情報に基づいて生成された情報と、前記ユーザー情報を管理する前記第一の認可サーバーに関する情報とを管理する第一の管理手段を更に有し、
前記特定手段は、
前記第一の管理手段によって管理された情報に基づいて前記第一の認可サーバーを特定することを特徴とする請求項1乃至3のいずれか一項に記載の情報処理システム。 The information processing system
Further having a first management means for managing the information generated based on the user information and the information regarding the first authorization server that manages the user information.
The specific means
The information processing system according to any one of claims 1 to 3, wherein the first authorization server is specified based on the information managed by the first management means. 前記ユーザー情報に基づいて生成された情報とはハッシュ値であって、前記第一の認可サーバーに関する情報とは前記第一の認可サーバーのリージョン情報であることを特徴とする請求項4に記載の情報処理システム。 The fourth aspect of claim 4, wherein the information generated based on the user information is a hash value, and the information about the first authorization server is the region information of the first authorization server. Information processing system. 前記認可レスポンスは、
前記第一の認可サーバーを宛先として示す情報と、前記第一の認可サーバーを宛先として示す情報の署名情報とを含むことを特徴とする請求項1乃至5のいずれか一項に記載の情報処理システム。 The authorization response is
The information processing according to any one of claims 1 to 5, wherein the information processing indicating the first authorization server as a destination and the signature information of the information indicating the first authorization server as a destination are included. system. 前記第一の認可サーバーは、
前記認可レスポンスに対して前記署名情報を付与するための暗号鍵と、前記署名情報を検証するための復号鍵とを管理する第二の管理手段を更に有する請求項6に記載の情報処理システム。 The first authorization server is
The information processing system according to claim 6, further comprising a second management means for managing an encryption key for imparting the signature information to the authorization response and a decryption key for verifying the signature information. 前記クライアントは、
前記認可リクエストに署名情報を付与するための暗号鍵を管理する第三の管理手段と、
前記第一の認可サーバーは、
前記認可リクエストに付与された署名情報を検証するための復号鍵を管理する第四の管理手段と、を更に有し、
前記第三の管理手段によって管理される暗号鍵は、
前記認可トークンを取得するための前記トークン要求に署名情報を付与し、
前記第四の管理手段によって管理された復号鍵は、
前記トークン要求に付与された署名情報を検証する請求項1乃至7のいずれか一項に記載の情報処理システム。 The client
A third management means for managing the encryption key for imparting signature information to the authorization request,
The first authorization server is
It further has a fourth management means for managing the decryption key for verifying the signature information given to the authorization request.
The encryption key managed by the third management means is
The signature information is given to the token request for obtaining the authorization token, and the signature information is given.
The decryption key managed by the fourth management means is
The information processing system according to any one of claims 1 to 7, which verifies the signature information given to the token request. 前記第四の管理手段によって管理された復号鍵は、
前記互いに異なるリージョンに存在する2つ以上の認可サーバーにおいて共有されることを特徴とする請求項8に記載の情報処理システム。 The decryption key managed by the fourth management means is
The information processing system according to claim 8, wherein the information processing system is shared by two or more authorization servers existing in different regions. クライアントとウェブブラウザと複数の認可サーバーと、を含む情報処理システムの制御方法であって、
前記複数の認可サーバーは、
前記クライアントがリソースサーバーにアクセスすることを、前記ウェブブラウザを介して許可するユーザーのユーザー情報を管理する第一の認可サーバーであって、前記複数の認可サーバーに含まれる第一の認可サーバーを特定する特定ステップを有し、
前記複数の認可サーバーに含まれる認可サーバーは、
前記クライアントから認可リクエストを受信したことに応じて、前記特定ステップによって前記第一の認可サーバーを特定し、特定された前記第一の認可サーバーに対し前記ユーザーを認証する認証リクエストをリダイレクトし、
前記第一の認可サーバーは、
リダイレクトされた前記認証リクエストを受信したことに応じて前記ユーザーを認証し、認証された前記ユーザーが前記アクセスを許可すると認可レスポンスとして認可トークンを前記クライアントに送信することを特徴とする情報処理システムの制御方法。 A method of controlling an information processing system that includes a client, a web browser, and multiple authorization servers.
The plurality of authorization servers
The first authorization server that manages the user information of the user who permits the client to access the resource server through the web browser, and identifies the first authorization server included in the plurality of authorization servers. Have a specific step to
The authorization server included in the plurality of authorization servers is
In response to receiving the authorization request from the client, the first authorization server is identified by the identification step, and the authentication request for authenticating the user is redirected to the identified first authorization server.
The first authorization server is
An information processing system characterized in that the user is authenticated in response to receiving the redirected authentication request, and when the authenticated user permits the access, an authorization token is sent to the client as an authorization response. Control method.
JP2019238008A 2019-12-27 2019-12-27 Information processing system and its control method and program Active JP7043480B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019238008A JP7043480B2 (en) 2019-12-27 2019-12-27 Information processing system and its control method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019238008A JP7043480B2 (en) 2019-12-27 2019-12-27 Information processing system and its control method and program

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2018022405A Division JP6643373B2 (en) 2018-02-09 2018-02-09 Information processing system, control method and program therefor

Publications (3)

Publication Number Publication Date
JP2020053100A JP2020053100A (en) 2020-04-02
JP2020053100A5 true JP2020053100A5 (en) 2020-12-10
JP7043480B2 JP7043480B2 (en) 2022-03-29

Family

ID=69997490

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019238008A Active JP7043480B2 (en) 2019-12-27 2019-12-27 Information processing system and its control method and program

Country Status (1)

Country Link
JP (1) JP7043480B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112021001788T5 (en) 2020-03-24 2023-01-12 Honda Motor Co., Ltd. vehicle

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6335657B2 (en) * 2014-05-30 2018-05-30 キヤノン株式会社 Authority delegation system, method, authentication server system, and program
JP2016009299A (en) * 2014-06-24 2016-01-18 キヤノン株式会社 Single sign-on system, terminal device, control method and computer program
JP6561441B2 (en) * 2014-09-05 2019-08-21 株式会社リコー Information processing apparatus, access control method, communication system, and program
US9537865B1 (en) * 2015-12-03 2017-01-03 International Business Machines Corporation Access control using tokens and black lists
JP2018032085A (en) * 2016-08-22 2018-03-01 キヤノン株式会社 Information processor, information processing method and program
JP2019096076A (en) * 2017-11-22 2019-06-20 キヤノン株式会社 Access control system, method for controlling of the same, and program

Similar Documents

Publication Publication Date Title
JP7175269B2 (en) Internet-of-Things Device Record Verification Method and Apparatus, and ID Authentication Method and Apparatus
EP1914658B1 (en) Identity controlled data center
US8631481B2 (en) Access to a network for distributing digital content
US20210344482A1 (en) Method of data transfer, a method of controlling use of data and cryptographic device
US20170134354A1 (en) Hardware-Based Credential Distribution
JP6643373B2 (en) Information processing system, control method and program therefor
KR102313859B1 (en) Authority transfer system, control method therefor, and client
JP6904857B2 (en) Delegation system, control method, and program
US9560038B2 (en) Method and apparatus for verifying an application to authorize content repository access using SSL certificates
US20190306148A1 (en) Method for oauth service through blockchain network, and terminal and server using the same
JP6810334B2 (en) Profile data distribution control device, profile data distribution control method, and profile data distribution control program
JP6963609B2 (en) Transparency Multi-Factor Authentication and Security Initiatives Systems and Methods for Posture Checks
CN106559408B (en) SDN authentication method based on trust management
JP7196174B2 (en) Authentication methods, systems and programs using delegated identities
JP2014174560A5 (en)
US11526596B2 (en) Remote processing of credential requests
CN109842626B (en) Method and apparatus for distributing secure enclave access credentials
JP2020053100A5 (en)
US9118660B2 (en) Method and system for providing access to encrypted data files for multiple federated authentication providers and verified identities
JP2020053100A (en) Information processing system, control method thereof and program
US20210288804A1 (en) Protection of Authentication Tokens
Jang System Access Control Technique for Secure Cloud Computing
WO2022132345A1 (en) Integration of legacy authentication with cloud-based authentication
CN114021094A (en) Remote server login method, electronic device and storage medium
AU2007101199A4 (en) Method of adding two-factor authentication support to a username and password authentication system