本開示の実施の形態の説明に先立って、本開示の概要を説明する。図1は、本開示の例示的なシステム操作ロック解除システムを示す。システム操作ロック解除システム10は、複数の認証対象機器20、複数の検知手段30、複数の操作ロック連携エージェント40、及び操作ロック連携サーバ50を有する。認証対象機器20は、認証手段21を有する初段の認証対象機器と、認証手段21における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む。
検知手段30は、複数の認証対象機器20に対応して配置され、各認証対象機器20が認証が必要な状態(要認証状態)であるか否かを検知する。操作ロック連携エージェント40は、各認証対象機器20が要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器20における認証結果を含む操作ロック情報を生成する。操作ロック連携エージェント40は、シングルサインオンにおいて認証対象機器20の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を生成する。操作ロック連携エージェント40は、検知手段30が要認証状態を検知した場合、認証対象機器20が要認証状態である旨を示す要認証状態情報を含む操作ロック情報を生成する。操作ロック連携エージェント40は、操作ロック情報を操作ロック連携サーバ50に送信する。
操作ロック連携サーバ50は、操作ロック連携エージェント40から操作ロック情報を受信する。操作ロック連携サーバ50は、複数の認証対象機器20のそれぞれに対応する操作ロック連携エージェント40から受信した操作ロック情報を結合した連携データを生成する。操作ロック連携サーバ50は、連携データを操作ロック連携エージェント40に送信する。操作ロック連携サーバ50は、何れかの操作ロック連携エージェント40から要認証状態を示す要認証状態情報を含む操作ロック情報を受信した場合、その操作ロック情報を含む連携データを、操作ロック連携エージェント40に送信する。
初段の認証対象機器20に対応する操作ロック連携エージェント40は、要認証状態を示す要認証状態情報を含む操作ロック情報が含まれる連携データを受信した場合、認証手段21に認証の実施を促す。認証手段21における認証が正常に行われた場合、シングルサインオンの仕組みを用いて、要認証状態が検知された認証対象機器20の認証が実施される。
ここで、認証対象機器20は、例えば無操作状態が続いた場合、及び/又は接続タイムアウトが発生した場合、操作ロックが掛かり、再度の認証が必要な状態となる。本実施形態では、認証手段21を用いて認証される初段の認証対象機器の後段にある認証対象機器20が認証を必要とする場合、その認証対象機器の認証を、認証手段21での認証結果を用いて実施することができる。このようにすることで、ユーザは、後段の認証対象機器20の認証に用いられるパスワードなどを知らなくても、認証手段21における認証により、認証対象機器20の認証を実施できる。このため、ユーザは、安全に後段の認証対象機器を使用することができ、セキュリティを維持しつつ、ユーザの利便性を向上できる。
以下、図面を参照しつつ、本開示の実施の形態を詳細に説明する。図2は、本開示の一実施形態に係るシステム操作ロック解除システム及びシングルサインオンシステムを示す。システム操作ロック解除システムは、シングルサインオンシステムに連携して動作する。システム操作ロック解除システム100は、操作ロック連携サーバ101、及びそれぞれが操作ロック連携エージェント含む複数の装置又はシステムを有する。図2の例では、操作ロック連携エージェント含む複数の装置又はシステムとして、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500が示されている。
情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500において、操作ロック連携エージェントは、利用に際して認証を必要とする機器又はシステムを監視する。操作ロック連携サーバ101と、各機器又はシステムの操作ロック連携エージェントとは通信可能に接続される。操作ロック連携サーバ101は、図1の操作ロック連携サーバ50に対応する。情報端末200、仮想デスクトップ端末400、業務システム500、及び、VPN装置600は、図1の認証対象機器20に対応する。
情報端末200は、顔認証システム201、VPNクライアント202、操作ロック連携エージェント203、MAC(Media Access Control)アドレス取得部204、IP(Internet Protocol)アドレス取得部205、操作ロック検知部206、及びローカルストレージ207を有する。顔認証システム201は、図1の認証手段21に対応する。操作ロック連携エージェント203は、図1の操作ロック連携エージェント40に対応する。操作ロック検知部206は、図1の検知手段30に対応する。
VPN装置600は、VPN認証部601を有する。操作ロック連携エージェント装置300は、VPN装置600を監視する。操作ロック連携エージェント装置300は、例えばVPN装置600のミラーポートに接続し、VPN装置600を監視する。操作ロック連携エージェント装置300は、操作ロック連携エージェント301、IPアドレス取得部302、タイムアウト検知部303、及びローカルストレージ304を有する。操作ロック連携エージェント301は、図1の操作ロック連携エージェント40に対応する。タイムアウト検知部303は、図1の検知手段30に対応する。なお、操作ロック連携エージェント装置300は、VPN装置600の一部であってもよい。
仮想デスクトップ端末400は、ログイン認証部401、業務システムクライアント402、操作ロック連携エージェント403、IPアドレス取得部404、操作ロック検知部405、及びローカルストレージ406を有する。操作ロック連携エージェント403は、図1の操作ロック連携エージェント40に対応する。操作ロック検知部405は、図1の検知手段30に対応する。業務システム500は、ログイン認証部501、操作ロック連携エージェント502、IPアドレス取得部503、タイムアウト検知部504、及びローカルストレージ505を有する。操作ロック連携エージェント502は、図1の操作ロック連携エージェント40に対応する。タイムアウト検知部504は、図1の検知手段30に対応する。
システム操作ロック解除システム100において、シングルサインオンは、例えば下記のように構成されている。情報端末200の顔認証システム201は、情報端末200に接続された、又は情報端末200に内蔵されるカメラ208を用いて、ユーザを顔認証する。ユーザは、顔認証システム201を用いて、情報端末200に顔認証でログインする。ユーザのログイン後、情報端末200は、VPNクライアント(ソフトウェア)202を起動する。VPNクライアント202は、VPN接続のためのユーザID及びパスワードを記憶している。VPNクライアント202は、情報端末200へログインしたユーザに応じたユーザID及びパスワードをVPN装置600に送信する。
VPN装置600のVPN認証部601は、VPNクライアント202から送信されたユーザID及びパスワードを用いて認証を行う。VPN装置600へのログインが正常に行われた場合、VPNクライアント202は、情報端末200とVPN装置600との間の通信をVPN化する。
その後、ユーザは、図示しない仮想デスクトップ端末接続ソフトウェアを起動し、情報端末200から仮想デスクトップ端末400に接続する。仮想デスクトップ端末接続ソフトウェアは、仮想デスクトップ接続のためのユーザID及びパスワードを記憶している。仮想デスクトップ端末接続ソフトウェアは、VPN装置600にログインしたユーザに応じたユーザID及びパスワードを仮想デスクトップ端末400に送信する。仮想デスクトップ端末400のログイン認証部401は、仮想デスクトップ端末接続ソフトウェアから送信されたユーザID及びパスワードを用いて認証を行う。
ユーザは、仮想デスクトップ端末400へのログイン後、仮想デスクトップ端末400上の業務システムクライアント402から業務システム500に接続し、業務を開始する。仮想デスクトップ端末400は、業務システム500を利用するためのユーザID及びパスワードを記憶している。仮想デスクトップ端末400は、ログインしたユーザに応じたユーザID及びパスワードを業務システム500に送信する。業務システム500のログイン認証部501は、仮想デスクトップ端末400から受信したユーザID及びパスワードを用いて認証を行う。情報端末200における顔認証システム201及びVPNクライアント202、並びにVPN装置600におけるVPN認証部601には、既存のものを用いることができる。また、仮想デスクトップ端末におけるログイン認証部401及び業務システムクライアント402、並びに業務システム500におけるログイン認証部501にも、既存のものを用いることができる。
なお、上記したシングルサインオンの構成は、一例であり、本開示は、上記以外のシングルサインオン構成においても利用可能である。例えば、シングルサインオン構成は、各機器やシステムにログインするためのユーザID及びパスワードを保持するID管理サーバを有していてもよい。ID管理サーバは、シングルサインオン対象機器又はシステムへのアクセスが発生した場合、ユーザID及びパスワードを対象機器又はシステムに供給し、自動ログインを実現する。本開示は、別のID管理サーバが用いられる構成にも、適用可能である。
図3は、操作ロック連携エージェントの構成例を示す。操作ロック連携エージェント150は、操作ロック情報生成手段151、操作ロック情報送信手段152、連携データ受信手段153、及び認証要求手段154を有する。操作ロック連携エージェント150は、図2の操作ロック連携エージェント203、301、403、及び502として用いられる。
操作ロック情報生成手段151は、監視対象の機器又はシステムが要認証状態であるか否かを示す要認証状態情報、及び監視対象の機器又はシステムにおける認証の結果を含む操作ロック情報を生成する。操作ロック情報生成手段151は、認証が実施された場合、その結果を含む操作ロック情報を生成する。操作ロック情報生成手段151は、監視対象の認証対象機器において要認証状態が検知された場合、監視対象の認証対象機器が要認証状態である旨を示す要認証状態情報を含む操作ロック情報を生成する。操作ロック情報送信手段152は、操作ロック情報を、操作ロック連携サーバ101(図2を参照)に送信する。
操作ロック連携サーバ101は、シングルサインオンで認証される複数の機器又はシステムについての操作ロック情報を受信し、受信した操作ロック情報を結合した連携データ(操作ロック情報連携データ)を生成する。連携データ受信手段153は、操作ロック連携サーバ101から連携データを受信する。認証要求手段154は、連携データに、要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ監視対象機器が情報端末200である場合、顔認証システム201に顔認証の実施を促す。何れかの監視対象の認証対象機器において要認証状態が検知された後、顔認証が正常に行われた場合、シングルサインオンの仕組みを用いて、要認証状態が検知された認証対象機器の認証が実施される。
以下、個々の認証対象機器における動作を説明する。情報端末200において、操作ロック検知部206は、情報端末200へのユーザログイン(認証実行)を検知する。操作ロック検知部206は、ユーザログインを操作ロック連携エージェント203に通知する。MACアドレス取得部204は、情報端末200のMACアドレスを取得する。IPアドレス取得部205は、情報端末200のIPアドレスを取得する。操作ロック連携エージェント203は、MACアドレス取得部204からMACアドレスを取得し、IPアドレス取得部205からIPアドレスを取得する。操作ロック連携エージェント203は、情報端末200のMACアドレス及びIPアドレスを含む情報端末に関する操作ロック情報(情報端末操作ロック情報)を生成する。
図4は、情報端末操作ロック情報の一例を示す。情報端末操作ロック情報は、情報端末のMACアドレス、情報端末のIPアドレス、ログインユーザID、認証結果、操作ロック状態、更新時刻、発行ID、及びチェーンオーダーを含む。操作ロック連携エージェントは、「MACアドレス」に、MACアドレス取得部204から取得したMACアドレスを格納する。また、操作ロック連携エージェント203は、「IPアドレス」に、IPアドレス取得部205から取得したIPアドレスを格納する。
操作ロック連携エージェント203は、「ログインユーザID」に、情報端末200にログインしているユーザのIDを格納する。操作ロック連携エージェント203は、例えば顔認証システム201からユーザのIDを取得できる。操作ロック連携エージェント203は、「認証結果」に、顔認証ログインの結果を格納する。操作ロック連携エージェント203は、ユーザが情報端末200にログインできた場合は、“成功”を示す値を、「認証結果」に格納する。
操作ロック連携エージェント203は、「操作ロック状態」に、情報端末200が操作ロック状態であるか否かを示す値を格納する。操作ロック連携エージェント203は、「更新時刻」に、情報端末操作ロック情報を生成した時刻、又は更新した時刻を格納する。操作ロック連携エージェント203は、「発行ID」に、情報端末操作ロック情報を識別するためのIDを格納する。操作ロック連携エージェント203は、例えば情報端末操作ロック情報に対してUUID(Universally Unique Identifier)を生成し、その値を「発行ID」に格納する。操作ロック連携エージェント203は、「チェーンオーダー」は空値とする。「チェーンオーダー」には、後述するように操作ロック連携サーバ101が生成する値が格納される。
操作ロック連携エージェント203は、生成した操作ロック情報を、操作ロック連携サーバ101に送信する。また、操作ロック連携エージェント203は、生成した操作ロック情報を、ローカルストレージ207に記憶する。
情報端末200は、無操作の状態が所定時間継続した場合、操作ロック状態に移行する。ユーザは、情報端末200が操作ロック状態に移行した場合、認証を再度実施しなければ、情報端末200を使用することができない。操作ロック検知部206は、情報端末200が操作ロック状態へ移行した場合、操作ロック状態を検知する。操作ロック連携エージェント203は、上記と同様な動作で、操作ロック情報を生成する。このとき、操作ロック連携エージェント203は、「操作ロック状態」に、操作ロック状態である旨を示す値を格納する。また、操作ロック連携エージェント203は、「更新時刻」を更新する。操作ロック連携エージェント203は、生成した操作ロック情報を操作ロック連携サーバ101に送信する。
情報端末200へのログイン後、ユーザは、情報端末200にてVPNクライアント202を起動し、情報端末200とVPN装置600との間の通信をVPN化する。VPNクライアント202は、VPN認証部601にユーザIDとパスワードとを送信し、VPN装置600にログインする。操作ロック連携エージェント装置300のタイムアウト検知部303は、VPN装置600へのユーザログイン(認証実行)を検知する。タイムアウト検知部303は、ユーザログインを検知すると、その旨を操作ロック連携エージェント301に通知する。
IPアドレス取得部302は、VPN装置600が情報端末200に払い出したIPアドレスと、情報端末200のIPアドレスとを取得する。操作ロック連携エージェント301は、IPアドレス取得部302から、情報端末200に払い出されたIPアドレスと、情報端末200のIPアドレスとを取得する。操作ロック連携エージェント301は、情報端末200に払い出されたIPアドレスと、情報端末200のIPアドレスとを含むVPNに関する操作ロック情報(VPN操作ロック情報)を生成する。
図5は、VPN操作ロック情報の一例を示す。VPN操作ロック情報は、接続元MACアドレス、接続元IPアドレス、VPN払出IPアドレス、認証結果、タイムアウト状態、更新時刻、発行ID、及びチェーンオーダーを含む。操作ロック連携エージェント301は、「接続元IPアドレス」及び「VPN払出IPアドレス」に、IPアドレス取得部302から取得したIPアドレスを格納する。
操作ロック連携エージェント301は、「認証結果」に、VPN接続確立の結果を格納する。操作ロック連携エージェント301は、VPN認証部601における認証が正常に行われた場合は、「認証結果」に“成功”を示す値を格納する。操作ロック連携エージェント301は、「タイムアウト状態」に、確立されたVPN接続がタイムアウトしたか否かを示す値を格納する。操作ロック連携エージェント301は、「更新時刻」に、VPN操作ロックを生成した時刻、又は更新した時刻を格納する。
操作ロック連携エージェント301は、「発行ID」に、VPN操作ロック情報を識別するためのIDを格納する。操作ロック連携エージェント301は、例えばVPN操作ロック情報に対してUUIDを生成し、その値を「発行ID」に格納する。操作ロック連携エージェント301は、「チェーンオーダー」は空値とする。操作ロック連携エージェント301は、生成したVPN操作ロック情報を、操作ロック連携サーバ101に送信する。また、操作ロック連携エージェント301は、生成したVPN操作ロック情報を、ローカルストレージ304に記憶する。
VPN装置600は、所定時間継続して情報端末200からの接続がない場合、タイムアウト状態に移行する。ユーザは、VPN装置600がタイムアウト状態に移行した場合、認証を再度実施しなければ、VPN通信を実施することができない。タイムアウト検知部303は、VPN装置600がタイムアウト状態へ移行した場合、接続タイムアウトを検知する。操作ロック連携エージェント301は、ローカルストレージ304に記憶される操作ロック情報を更新する。このとき、操作ロック連携エージェント301は、「タイムアウト状態」に、タイムアウト状態である旨を示す値を格納する。また、操作ロック連携エージェント301は、「更新時刻」を更新する。操作ロック連携エージェント301は、生成した操作ロック情報を操作ロック連携サーバ101に送信する。
ユーザは、情報端末200にて仮想デスクトップ端末接続ソフトウェアを起動し、情報端末200から仮想デスクトップ端末400にログインする。仮想デスクトップ端末接続ソフトウェアは、ログイン認証部401にユーザID及びパスワードを送信し、仮想デスクトップ端末400にログインする。仮想デスクトップ端末400の操作ロック検知部405は、仮想デスクトップ端末400へのユーザログインを検知する。操作ロック検知部405は、ユーザログイン(認証実行)を検知すると、操作ロック連携エージェント403にその旨を通知する。
IPアドレス取得部404は、仮想デスクトップ端末400のローカルIPアドレスと、仮想デスクトップ端末400への接続元IPアドレスとを取得する。操作ロック連携エージェント403は、IPアドレス取得部404から、ローカルIPアドレスと接続元IPアドレスとを取得する。操作ロック連携エージェント403は、ローカルIPアドレスと接続元IPアドレスとを含む仮想デスクトップに関する操作ロック情報(仮想デスクトップ操作ロック情報)を生成する。
図6は、仮想デスクトップ端末操作ロック情報の一例を示す。仮想デスクトップ操作ロック情報は、接続元IPアドレス、ローカルIPアドレス、ログインユーザ名、認証結果、操作ロック状態、更新時刻、発行ID、及びチェーンオーダーを含む。操作ロック連携エージェント403は、「接続元IPアドレス」及び「ローカルIPアドレス」に、IPアドレス取得部404から取得したIPアドレスを格納する。
操作ロック連携エージェント403は、「ログインユーザID」に、仮想デスクトップ端末400へログインしているユーザのユーザIDを格納する。操作ロック連携エージェント403は、「認証結果」に、仮想デスクトップ端末400へのログインの結果を格納する。操作ロック連携エージェント403は、ログイン認証部401における認証が正常に行われた場合は、「認証結果」に“成功”を示す値を格納する。操作ロック連携エージェント403は、「操作ロック状態」に、仮想デスクトップ端末400が操作ロック状態にあるか否かを示す値を格納する。操作ロック連携エージェント403は、「更新時刻」に、仮想デスクトップ端末操作ロック情報を生成した時刻、又は更新した時刻を格納する。
操作ロック連携エージェント403は、「発行ID」に、仮想デスクトップ端末操作ロック情報を識別するためのIDを格納する。操作ロック連携エージェント403は、例えば仮想デスクトップ端末操作ロック情報に対してUUIDを生成し、その値を「発行ID」に格納する。操作ロック連携エージェント403は、「チェーンオーダー」は空値とする。操作ロック連携エージェント403は、生成した仮想デスクトップ端末操作ロック情報を、操作ロック連携サーバ101に送信する。また、操作ロック連携エージェント403は、生成した仮想デスクトップ端末操作ロック情報を、ローカルストレージ406に記憶する。
仮想デスクトップ端末400は、無操作の状態が所定時間継続した場合、操作ロック状態に移行する。ユーザは、仮想デスクトップ端末400が操作ロック状態に移行した場合、認証を再度実施しなければ、仮想デスクトップ端末400を使用することができない。操作ロック検知部405は、仮想デスクトップ端末400が操作ロック状態へ移行した場合、操作ロック状態を検知する。操作ロック連携エージェント403は、ローカルストレージ406に記憶される操作ロック情報を更新する。このとき、操作ロック連携エージェント403は、「操作ロック状態」に、操作ロック状態である旨を示す値を格納する。また、操作ロック連携エージェント403は、「更新時刻」を更新する。操作ロック連携エージェント403は、生成した操作ロック情報を操作ロック連携サーバ101に送信する。
ユーザは、仮想デスクトップ端末400にて業務システムクライアント402を起動し、仮想デスクトップ端末400から業務システム500にログインする。仮想デスクトップ端末400は、ログイン認証部501にユーザID及びパスワードを送信し、業務システム500にログインする。業務システム500のタイムアウト検知部504は、業務システム500へのユーザログイン(認証実行)を検知し、操作ロック連携エージェント502に通知する。
IPアドレス取得部503は、業務システム500に接続する接続元のIPアドレス(接続元IPアドレス)を取得する。操作ロック連携エージェント502は、IPアドレス取得部503から接続元IPアドレスを取得する。操作ロック連携エージェント502は、接続元IPアドレスを含む業務システムに関する操作ロック情報(業務システム操作ロック情報)を生成する。
図7は、業務システム操作ロック情報の一例を示す。業務システム操作ロック情報は、接続元IPアドレス、認証結果、タイムアウト状態、更新時刻、発行ID、及びチェーンオーダーを含む。操作ロック連携エージェント502は、「接続元IPアドレス」に、IPアドレス取得部503から取得したIPアドレスを格納する。
操作ロック連携エージェント502は、「認証結果」に、業務システム500へのログイン結果を格納する。操作ロック連携エージェント502は、ログイン認証部501における認証が正常に行われた場合は、「認証結果」に“成功”を示す値を格納する。操作ロック連携エージェント502は、「タイムアウト状態」に、業務システムがタイムアウト状態であるか否かを示す値を格納する。操作ロック連携エージェント502は、「更新時刻」に、業務システム操作ロック情報を生成した時刻、又は更新した時刻を格納する。
操作ロック連携エージェント502は、「発行ID」に、業務システム操作ロック情報を識別するためのIDを格納する。操作ロック連携エージェント502は、例えば業務システム操作ロック情報に対してUUIDを生成し、その値を「発行ID」に格納する。操作ロック連携エージェント502は、「チェーンオーダー」は空値とする。操作ロック連携エージェント502は、生成した業務システム操作ロック情報を、操作ロック連携サーバ101に送信する。また、操作ロック連携エージェント502は、生成した業務システム操作ロック情報を、ローカルストレージ505に記憶する。
業務システム500は、所定時間継続して仮想デスクトップ端末400からの接続がない場合、タイムアウト状態に移行する。ユーザは、業務システム500がタイムアウト状態に移行した場合、認証を再度実施しなければ、業務システム500を利用することができない。タイムアウト検知部504は、業務システム500がタイムアウト状態へ移行した場合、接続タイムアウトを検知する。操作ロック連携エージェント502は、ローカルストレージ505に記憶される操作ロック情報を更新する。このとき、操作ロック連携エージェント502は、「タイムアウト状態」に、タイムアウト状態である旨を示す値を格納する。また、操作ロック連携エージェント502は、「更新時刻」を更新する。操作ロック連携エージェント502は、生成した操作ロック情報を操作ロック連携サーバ101に送信する。
操作ロック連携サーバ101は、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500のそれぞれから、操作ロック情報を受信する。操作ロック連携サーバ101は、操作ロック情報を結合することで、操作ロック情報連携データを生成する。操作ロック連携サーバ101は、操作ロック情報連携データを、操作ロック連携データベース102に記憶する。操作ロック連携サーバ101と操作ロック連携データベース102との接続形態は特に問われない。操作ロック連携サーバ101と操作ロック連携データベース102とは、互いのハードウェアが直接に接続されている形態でもよいし、ネットワークを介して接続されている形態でもよい。
図8は、操作ロック連携サーバ101の構成例を示す。操作ロック連携サーバ101は、操作ロック情報受信手段111、連携データ生成手段112、連携データ送信手段113を有する。操作ロック情報受信手段111は、操作ロック連携エージェント203、301、403、及び502から操作ロック情報を受信する。連携データ生成手段112は、操作ロック情報受信手段111が受信した操作ロック情報を、例えばチェーン構造で結合し、操作ロック情報連携データを生成する。連携データ送信手段113は、操作ロック情報連携データを、それに含まれる操作ロック情報の送信元の操作ロック情報連携エージェントに送信する。
連携データ生成手段112は、操作ロック情報の結合では、受信した操作ロック情報に含まれるIPアドレス及びMACアドレスの少なくとも一方が、既に受信した操作ロック情報に含まれるアドレスと一致するか否かを判断する。連携データ生成手段112は、一致しないと判断した場合は、操作ロック情報を、新たな操作ロック情報連携データとして操作ロック連携データベース102に記憶する。このとき、連携データ生成手段112は、操作ロック情報連携データの「チェーンオーダー」に「1」を格納する。連携データ送信手段113は、操作ロック情報連携データの送信元に、「チェーンオーダー」に「1」を格納した操作ロック情報連携データを送信する。
連携データ生成手段112は、アドレスが一致すると判断した場合、受信した操作ロック情報と、受信済みの操作ロック情報(その連携データ)とを結合する。このとき、連携データ生成手段112は、「チェーンオーダー」の値を、受信済みの操作ロック情報における「チェーンオーダー」の最大値の次の値にする。連携データ生成手段112は、生成した操作ロック情報連携データを、操作ロック連携データベース102に記憶する。連携データ送信手段113は、いくつかの操作ロック情報が結合された操作ロック情報連携データを、それに含まれる操作ロック情報の送信元の操作ロック連携エージェントのそれぞれに送信する。
例えば、操作ロック連携サーバ101は、情報端末200の操作ロック連携エージェント203から、情報端末操作ロック情報(図4を参照)を受信する。操作ロック連携サーバ101は、操作ロック連携データベース102を検索し、情報端末操作ロック情報に含まれるMACアドレス及びIPアドレスに一致するアドレスを含む操作ロック情報の有無を調べる。操作ロック連携サーバ101は、検索の結果、ヒットしない場合は、情報端末操作ロック情報の「チェーンオーダー」に「1」を格納する。操作ロック連携サーバ101は、「チェーンオーダー」に「1」が格納された情報端末操作ロック情報を、操作ロック情報連携データとして操作ロック連携データベース102に記憶する。また、操作ロック連携サーバ101は、「チェーンオーダー」に「1」が格納された操作ロック情報連携データを、情報端末200に送信する。
情報端末200の操作ロック連携エージェント203は、操作ロック連携サーバ101から操作ロック情報連携データを受信する。操作ロック連携エージェント203は、操作ロック情報連携データを受信した場合、ローカルストレージ207を検索し、発行IDが、受信した操作ロック情報連携データに含まれる発行IDと同一の操作ロック情報(又はその連携データ)の有無を調べる。操作ロック連携エージェント203は、発行IDが同じ操作ロック情報がローカルストレージ207に記憶されている場合は、ローカルストレージ207のデータを、受信したデータで上書きする。
操作ロック連携サーバ101は、操作ロック連携エージェント装置300の操作ロック連携エージェント301から、VPN操作ロック情報(図5を参照)を受信する。操作ロック連携サーバ101は、操作ロック連携データベース102を検索し、VPN操作ロック情報に含まれるMACアドレス及びIPアドレスに一致するアドレスを含む操作ロック情報連携データの有無を調べる。操作ロック連携サーバ101は、検索の結果、操作ロック情報連携データにおけるアドレスと、VPN操作ロック情報連携データにおけるアドレスとが一致すると判断する。この場合、操作ロック連携サーバ101は、記憶済みの操作ロック情報連携データと、VPN操作ロック情報連携データとを結合する。
図9は、情報端末操作ロック情報と、VPN操作ロック情報との結合を示す。操作ロック連携サーバ101は、情報端末操作ロック情報における「MACアドレス」と、VPN操作ロック情報における「接続元MACアドレス」とを比較する。また、操作ロック連携サーバ101は、情報端末操作ロック情報における「IPアドレス」と、VPN操作ロック情報における「接続元IPアドレス」とを比較する。操作ロック連携サーバ101は、アドレス同士が一致する場合、情報端末操作ロック情報とVPN操作ロック情報とを結合する。また、操作ロック連携サーバ101は、VPN操作ロック情報の「チェーンオーダー」に、情報端末操作ロック情報の「チェーンオーダー」の次の値「2」を格納する。
操作ロック連携サーバ101は、VPN操作ロック情報が結合された操作ロック情報連携データを、操作ロック連携データベース102に記憶する。このとき、操作ロック連携サーバ101は、既に記憶している操作ロック情報連携データを更新する形で、VPN操作ロック情報が結合された操作ロック情報連携データを記憶する。操作ロック連携サーバ101は、情報端末200と操作ロック連携エージェント装置300のそれぞれに、操作ロック情報連携データを送信する。
操作ロック連携エージェント装置300の操作ロック連携エージェント301は、操作ロック連携サーバ101から操作ロック情報連携データを受信する。操作ロック連携エージェント301は、操作ロック情報連携データを受信した場合、ローカルストレージ304を検索し、発行IDが、受信した操作ロック情報連携データに含まれる発行IDと同一の操作ロック情報(又はその連携データ)の有無を調べる。操作ロック連携エージェント301は、発行IDが同じ操作ロック情報連携データがローカルストレージ304に格納されている場合は、ローカルストレージ304のデータを、受信したデータで上書きする。
情報端末200の操作ロック連携エージェント203も、同様に、ローカルストレージ207を検索し、受信した操作ロック情報連携データに含まれる発行IDと同じ発行IDを含む操作ロック情報連携データの有無を調べる。同じ発行IDを含む操作ロック情報連携データがある場合、操作ロック連携エージェント203は、ローカルストレージ207上の操作ロック情報連携データを、操作ロック連携サーバ101から新たに受信した操作ロック情報連携データで上書きする。
操作ロック連携サーバ101は、仮想デスクトップ端末400の操作ロック連携エージェント403から、仮想デスクトップ端末操作ロック情報(図6を参照)を受信する。操作ロック連携サーバ101は、操作ロック連携データベース102を検索し、仮想デスクトップ端末操作ロック情報に含まれるIPアドレスに一致するアドレスを含む操作ロック情報連携データの有無を調べる。操作ロック連携サーバ101は、検索の結果、操作ロック情報連携データにおけるアドレスと、仮想デスクトップ端末操作ロック情報におけるアドレスとが一致すると判断する。この場合、操作ロック連携サーバ101は、情報端末操作ロック情報とVPN操作ロック情報とが結合された操作ロック情報連携データに、仮想デスクトップ端末操作ロック情報を更に結合する。
図10は、仮想デスクトップ端末操作ロック情報の結合を示す。操作ロック連携サーバ101は、VPN操作ロック情報における「VPN払出IPアドレス」と、仮想デスクトップ端末操作ロック情報における「接続元IPアドレス」とを比較する。操作ロック連携サーバ101は、アドレス同士が一致する場合、操作ロック情報連携データに、仮想デスクトップ端末操作ロック情報を更に結合する。また、操作ロック連携サーバ101は、仮想デスクトップ端末操作ロック情報連携データの「チェーンオーダー」に、VPN操作ロック情報連携データの「チェーンオーダー」の次の値「3」を格納する。
操作ロック連携サーバ101は、VPN操作ロック情報の結合後、操作ロック情報連携データを、操作ロック連携データベース102に記憶する。このとき、操作ロック連携サーバ101は、既に記憶している操作ロック情報連携データを更新する形で、VPN操作ロック情報が結合された操作ロック情報連携データを格納する。操作ロック連携サーバ101は、情報端末200、操作ロック連携エージェント装置300、及び仮想デスクトップ端末400のそれぞれに、操作ロック情報連携データを送信する。
仮想デスクトップ端末400の操作ロック連携エージェント403は、操作ロック連携サーバ101から操作ロック情報連携データを受信する。操作ロック連携エージェント403は、操作ロック情報連携データを受信した場合、ローカルストレージ406を検索し、発行IDが、受信した操作ロック情報連携データに含まれる発行IDと同一の操作ロック情報(その連携データ)の有無を調べる。操作ロック連携エージェント403は、発行IDが同じ操作ロック情報がローカルストレージ406に記憶されている場合は、ローカルストレージ406のデータを、受信したデータで上書きする。
情報端末200の操作ロック連携エージェント203及び操作ロック連携エージェント装置300の操作ロック連携エージェント301も、同様に、それぞれローカルストレージ207及び304を検索する。操作ロック連携エージェント203は、発行IDが同じ操作ロック情報連携データがある場合、ローカルストレージ207上の操作ロック情報連携データを、操作ロック連携サーバ101から新たに受信した操作ロック情報連携データで上書きする。また、操作ロック連携エージェント301は、発行IDが同じ操作ロック情報連携データがある場合、ローカルストレージ304上の操作ロック情報連携データを、操作ロック連携サーバ101から新たに受信した操作ロック情報連携データで上書きする。
操作ロック連携サーバ101は、業務システム500の操作ロック連携エージェント502から、業務システム操作ロック情報(図7を参照)を受信する。操作ロック連携サーバ101は、操作ロック連携データベース102を検索し、仮想デスクトップ端末操作ロック情報に含まれるIPアドレスに一致するアドレスを含む操作ロック情報連携データの有無を調べる。操作ロック連携サーバ101は、検索の結果、操作ロック情報連携データにおけるアドレスと、業務システム操作ロック情報におけるアドレスとが一致すると判断する。この場合、操作ロック連携サーバ101は、情報端末操作ロック情報とVPN操作ロック情報と仮想デスクトップ端末操作ロック情報とが結合された操作ロック情報連携データに、業務システム操作ロック情報を更に結合する。
図11は、業務システム操作ロック情報の結合を示す。操作ロック連携サーバ101は、仮想デスクトップ端末操作ロック情報における「ローカルIPアドレス」と、業務システム操作ロック情報における「接続元IPアドレス」とを比較する。操作ロック連携サーバ101は、アドレス同士が一致する場合、操作ロック情報連携データに、業務システム操作ロック情報を更に結合する。また、操作ロック連携サーバ101は、業務システム操作ロック情報の「チェーンオーダー」に、仮想デスクトップ端末操作ロック情報の「チェーンオーダー」の次の値「4」を格納する。
操作ロック連携サーバ101は、操作ロック情報連携データを、操作ロック連携データベース102に記憶する。このとき、操作ロック連携サーバ101は、既に格納している操作ロック情報連携データを更新する形で、業務システム操作ロック情報が結合された操作ロック情報連携データを記憶する。操作ロック連携サーバ101は、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500のそれぞれに、操作ロック情報連携データを送信する。
業務システム500の操作ロック連携エージェント502は、操作ロック連携サーバ101から操作ロック情報連携データを受信する。操作ロック連携エージェント502は、操作ロック情報連携データを受信した場合、ローカルストレージ505を検索し、発行IDが、受信した操作ロック情報連携データに含まれる発行IDと同一の操作ロック情報(又はその連携データ)の有無を調べる。操作ロック連携エージェント502は、発行IDが同じ操作ロック情報連携データがローカルストレージ505に記憶されている場合は、ローカルストレージ505のデータを、受信したデータで上書きする。
情報端末200の操作ロック連携エージェント203、操作ロック連携エージェント装置300の操作ロック連携エージェント301、及び仮想デスクトップ端末400の操作ロック連携エージェント403も、同様に、それぞれローカルストレージ207、304、及び406を検索する。操作ロック連携エージェント203、301、及び403は、それぞれ、発行IDが同じ操作ロック情報連携データがある場合、ローカルストレージ207、304、及び406上の操作ロック情報連携データを、操作ロック連携サーバ101から受信した操作ロック情報連携データで上書きする。以上の操作を経て、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500のそれぞれのローカルストレージ207、304、406、及び505に、図11に示される操作ロック情報連携データが格納される。
続いて、操作ロック連携エージェントの動作手順を説明する。図12は、操作ロック連携エージェントの動作手順を示す。ここでは、操作ロック連携エージェント403の動作手順を説明する。しかしながら、操作ロック連携エージェント203、301、及び502における動作手順も、取得する情報が一部変更になる点などを除けば、操作ロック連携エージェント403の動作手順と同様でよい。操作ロック連携エージェント403は、イベントの発生を待機する(ステップA1)。操作ロック連携エージェント403は、操作ロック検知部405における認証実行の検知、又は操作ロック連携サーバ101から送信される連携データを待機する。
操作ロック連携エージェント403は、操作ロック検知部405が認証実行を検知したか否かを判断する(ステップA2)。操作ロック連携エージェント403は、認証実行が検知されたと判断した場合、仮想デスクトップ端末400に関連するアドレス情報を取得する(ステップA3)。操作ロック連携エージェント403は、ステップA3では、IPアドレス取得部404から、接続元IPアドレス及びローカルIPアドレスを取得する。ステップA2で認証実行が検知されていないと判断した場合、ステップA1に戻り、操作ロック連携エージェント403は次のイベントの発生を待機する。
操作ロック連携エージェント403は、操作ロック情報を生成し、生成した操作ロック情報を操作ロック連携サーバ101に送信する(ステップA4)。操作ロック連携エージェント403は、ステップA4では、操作ロック情報(図6を参照)の「接続元IPアドレス」に、IPアドレス取得部404から取得した接続元IPアドレスを格納する。また、操作ロック連携エージェント403は、「ローカルIPアドレス」に、IPアドレス取得部404から取得したローカルIPアドレスを格納する。操作ロック連携エージェント403は、「ログインユーザID」に、仮想デスクトップ端末400にログインしているユーザのIDを格納する。
操作ロック連携エージェント403は、「認証結果」に、ログイン認証部501の認証結果(ログイン結果)を格納する。操作ロック連携エージェント403は、ユーザが仮想デスクトップ端末400にログインできた場合は、“成功”を示す値を「認証結果」に格納する。操作ロック連携エージェント403は、ログインに失敗した場合は、“失敗”を示す値を「認証結果」に格納する。
操作ロック連携エージェント403は、「操作ロック状態」に、仮想デスクトップ端末400が操作ロック状態であるか否かを示す値を格納する。操作ロック連携エージェント403は、仮想デスクトップ端末400が操作ロック状態でない場合は、その旨を示す値を「操作ロック状態」に格納する。操作ロック連携エージェント403は、操作ロック検知部405が仮想デスクトップ端末400が操作ロック状態に移行した旨を検知した場合は、操作ロック状態である旨を示す値を「操作ロック状態」に格納する。
操作ロック連携エージェント403は、「更新時刻」に、操作ロック情報を生成した時刻、又は更新した時刻を格納する。操作ロック連携エージェント403は、操作ロック情報にIDを発行し、そのIDを「発行ID」に格納する。操作ロック連携エージェント403は、「チェーンオーダー」は空値とする。操作ロック連携エージェント403は、生成した操作ロック情報を、操作ロック連携サーバ101に送信する。操作ロック情報の生成後、操作ロック連携エージェント403は、操作ロック情報をローカルストレージ406に記憶する(ステップA5)。その後、処理はステップA1に戻り、操作ロック連携エージェント403は、次のイベントの発生を待機する。
操作ロック連携エージェント403は、操作ロック連携サーバ101から、操作ロック情報連携データを受信したか否かを判断する(ステップA6)。操作ロック連携エージェント403は、ステップA6では、例えば図10又は図11に示される操作ロック情報連携データを受信する。操作ロック連携エージェント403は、操作ロック情報連携データを受信したと判断した場合、受信した操作ロック連携データを、ローカルストレージ406に記憶する(ステップA7)。操作ロック連携エージェント403は、ステップA6で操作ロック情報連携データを受信していないと判断した場合、ステップA1に戻り、次のイベントの発生を待機する。
操作ロック連携エージェント403は、受信した操作ロック情報連携データに存在する発行IDと同じIDを持つ操作ロック情報がローカルストレージ406に存在するかどうかを確認する(ステップA8)。操作ロック連携エージェント403は、同じIDを持つ操作ロック情報が存在するか否かを判断する(ステップA9)。操作ロック連携エージェント403は、同じIDを持つ操作ロック情報が存在すると判断した場合、その操作ロック情報と、受信した操作ロック情報連携データとを比較する(ステップA10)。操作ロック連携エージェント403は、ステップA9で同じIDを持つ操作ロック情報が存在しないと判断した場合、ステップA1に戻り、次のイベントの発生を待機する。
操作ロック連携エージェント403は、監視対象である仮想デスクトップ端末400の1つ後ろのチェーンオーダーを持つ業務システム500において接続タイムアウトが発生しているかどうかを調べる(ステップA11)。操作ロック連携エージェント403は、ステップA11では、例えば、業務システム操作ロック情報における「タイムアウト状態」が、接続タイムアウトを示す値に変化したか否かを判断する。操作ロック連携エージェント403は、ステップA11において業務システム500にて接続タイムアウトが発生していないと判断した場合、ステップA1に戻り、次のイベントの発生を待機する。
操作ロック連携エージェント403は、ステップA11において、業務システム500にて接続タイムアウトが発生していると判断した場合、新たに顔認証が実施され、かつ認証されたか否かを判断する(ステップA12)。操作ロック連携エージェント403は、ステップA11では、操作ロック情報連携データにおいて、チェーンオーダーが最も若い操作ロック情報、すなわち情報端末操作ロック情報を参照する。操作ロック連携エージェント403は、情報端末操作ロック情報の「更新時刻」が新しく、かつ「認証結果」が“成功”を示す値であるか否かを判断する。情報端末操作ロック情報の「更新時刻」が、業務システム操作ロック情報における「更新時刻」よりも後の時刻である場合、顔認証は、業務システム500において接続タイムアウトが発生した後に実施されている。更新時刻が新しく、かつ認証結果が“成功”である場合、操作ロック連携エージェント403は、監視対象機器である仮想デスクトップ端末400のシングルサインオン機構に、後段機器である業務システム500の認証実施を促す(ステップA13)。操作ロック連携エージェント403は、更新時刻が業務システム500の接続タイムアウト前の時刻であるか、又は認証結果が“成功”を示す値ではない場合、ステップA1に戻り、次のイベントの発生を待機する。
続いて、操作ロック連携サーバにおける動作手順を説明する。図13は、操作ロック連携サーバ101の動作手順を示す。操作ロック連携サーバ101は、操作ロック連携エージェント203、301、403、又は502からの通知を待機する(ステップB1)。操作ロック連携サーバ101は、操作ロック連携エージェントから通知があったか否かを判断する(ステップB2)。操作ロック連携サーバ101は、操作ロック連携エージェントから通知がない場合は、ステップB1に戻り、通知を待機する。
操作ロック連携サーバ101は、操作ロック連携エージェントから操作ロック情報を受信する(ステップB3)。操作ロック連携サーバ101は、操作ロック連携データベース102において、受信した操作ロック情報に含まれるアドレス情報と同じアドレス情報を持つ操作ロック連携情報を検索する(ステップB4)。操作ロック連携サーバ101は、検索の結果、該当する操作ロック情報が存在したか否かを判断する(ステップB5)。操作ロック連携サーバ101は、該当する情報が存在しないと判断した場合、受信した操作ロック情報を、新規な操作ロック情報連携データとして操作ロック連携データベース102に記憶する(ステップB6)。このとき、操作ロック連携サーバ101は、操作ロック情報の「チェーンオーダー」に「1」を格納する。
操作ロック連携サーバ101は、ステップB4で該当する情報が存在すると判断した場合、ステップB3で受信した操作ロック情報を、記憶済みの操作ロック情報連携データに結合する(ステップB7)。このとき、操作ロック連携サーバ101は、ステップB3で受信した操作ロック情報の「チェーンオーダー」に、記憶済みの操作ロック情報連携データに含まれる操作ロック情報の「チェーンオーダー」の最大値の次の値を格納する。操作ロック連携サーバ101は、ステップB3で受信した操作ロック情報を結合した操作ロック情報連結データを、操作ロック連携データベース102に記憶する(ステップB8)。
操作ロック連携サーバ101は、操作ロック連携データベース102に記憶した操作ロック情報連携データを、操作ロック情報の送信元の操作ロック連携エージェントに送信する(ステップB9)。操作ロック連携サーバ101は、ステップB9では、操作ロック情報連携データに含まれる操作ロック情報を送信した操作ロック連携エージェントを特定する。例えば、操作ロック情報連携データが、情報端末操作ロック情報とVPN操作ロック情報と仮想デスクトップ端末操作ロック情報とを結合したデータである場合を考える。この場合、操作ロック連携サーバ101は、操作ロック連携エージェント203、301、及び403を、操作ロック情報の送信元の操作ロック連携エージェントとして特定する。操作ロック連携サーバ101は、特定した操作ロック連携エージェントに、操作ロック情報連携データを送信する。
図14は、各機器又はシステムにおける操作ロック情報連携データの更新の概略的な動作を示す。操作ロック連携サーバ101は、操作ロック連携データベース102の更新を待機する(ステップS11)。別の言い方をすると、操作ロック連携サーバ101は、操作ロック連携エージェントから操作ロック情報が送信されるのを待機する。操作ロック連携サーバ101は、操作ロック情報を受信すると、操作ロック情報連携データを操作ロック連携データベース102に記憶し、データベースを更新する(ステップS12)。操作ロック連携サーバ101は、操作ロック連携データベース102を更新すると、操作ロック情報連携データに関連する操作ロック連携エージェントに、操作ロック連携データを送信する(ステップS13)。
情報端末200の操作ロック連携エージェント203は、操作ロック連携サーバ101からの通知を待機する(ステップS21)。操作ロック連携エージェント203は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS22)。操作ロック連携エージェント203は、ローカルストレージ207に受信した操作ロック情報連携データを記憶し、情報端末200内の情報を更新する(ステップS23)。
操作ロック連携エージェント装置300の操作ロック連携エージェント301は、操作ロック連携サーバ101からの通知を待機する(ステップS31)。操作ロック連携エージェント301は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS32)。操作ロック連携エージェント301は、ローカルストレージ304に受信した操作ロック情報連携データを記憶し、操作ロック連携エージェント装置300内の情報を更新する(ステップS33)。
仮想デスクトップ端末400の操作ロック連携エージェント403は、操作ロック連携サーバ101からの通知を待機する(ステップS41)。操作ロック連携エージェント403は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS42)。操作ロック連携エージェント403は、ローカルストレージ406に受信した操作ロック情報連携データを記憶し、仮想デスクトップ端末400内の情報を更新する(ステップS43)。
業務システム500の操作ロック連携エージェント502は、操作ロック連携サーバ101からの通知を待機する(ステップS51)。操作ロック連携エージェント502は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS52)。操作ロック連携エージェント502は、ローカルストレージ505に受信した操作ロック情報連携データを記憶し、業務システム500内の情報を更新する(ステップS53)。
次に、例として、業務システム500において接続タイムアウトが発生した場合の動作を説明する。図15は、業務システム500において接続タイムアウトが発生した場合の概略的な動作を示す。仮想デスクトップ端末400から接続している業務システム500において、接続タイムアウトが発生し、業務継続のためには再認証が必要な状態となったとする。業務システム500のタイムアウト検知部504は、仮想デスクトップ端末400からの業務システム利用における接続タイムアウトを検知する(ステップS55)。タイムアウト検知部504は、タイムアウト検知を操作ロック連携エージェント502に通知する。
操作ロック連携エージェント502は、ローカルストレージ505に記憶される操作ロック連係情報を更新する(ステップS56)。操作ロック連携エージェント502は、ステップS56では、例えば、ローカルストレージ505から操作ロック情報連携データ(図11を参照)を読み出す。操作ロック連携エージェント502は、読み出した操作ロック情報連携データにおける業務システム操作ロック情報部分の「タイムアウト状態」にタイムアウトを示す値を格納する。また、操作ロック連携エージェント502は、「更新時刻」を現時刻に変更する。操作ロック連携エージェント502は、更新した操作ロック連携データをローカルストレージ505に記憶する。操作ロック連携エージェント502は、ステップS56で更新した操作ロック情報連携データ(操作ロック情報)を操作ロック連携サーバ101に送信する(ステップS57)。
操作ロック連携サーバ101は、操作ロック連携データベース102の更新を待機する(ステップS11)。操作ロック連携サーバ101は、操作ロック情報を受信すると、操作ロック情報連携データを操作ロック連携データベース102に記憶し、データベースを更新する(ステップS12)。操作ロック連携サーバ101は、操作ロック連携データベース102を更新すると、操作ロック情報連携データに関連する操作ロック連携エージェントに、操作ロック連携データを送信する(ステップS13)。
情報端末200の操作ロック連携エージェント203は、操作ロック連携サーバ101からの通知を待機する(ステップS21)。操作ロック連携エージェント203は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS22)。操作ロック連携エージェント203は、ローカルストレージ207に受信した操作ロック情報連携データを記憶し、情報端末200内の情報を更新する(ステップS23)。
操作ロック連携エージェント装置300の操作ロック連携エージェント301は、操作ロック連携サーバ101からの通知を待機する(ステップS31)。操作ロック連携エージェント301は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS32)。操作ロック連携エージェント301は、ローカルストレージ304に受信した操作ロック情報連携データを記憶し、操作ロック連携エージェント装置300内の情報を更新する(ステップS33)。
仮想デスクトップ端末400の操作ロック連携エージェント403は、操作ロック連携サーバ101からの通知を待機する(ステップS41)。操作ロック連携エージェント403は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS42)。操作ロック連携エージェント403は、ローカルストレージ406に受信した操作ロック情報連携データを記憶し、仮想デスクトップ端末400内の情報を更新する(ステップS43)。なお、図15では図示を省略しているが、業務システム500の操作ロック連携エージェント502も、操作ロック連携サーバ101から操作ロック情報連携データを受信し、ローカルストレージ505に記憶する。
操作ロック連携エージェント203、301、403、及び502は、それぞれ、操作ロック情報連携データを参照し、チェーンオーダーが「4」の箇所において、接続タイムアウトが発生したことを認識する。別の言い方をすると、操作ロック連携エージェント203、301、403、及び502は、それぞれ、業務システム操作ロック情報における「タイムアウト状態」がタイムアウトを示す値に変わったことで、業務システム500において再認証が必要であることを認識する。
操作ロック連携エージェント203、301、403、及び502は、それぞれ、自身が発行した操作ロック情報の「チェーンオーダー」が、タイムアウトが発生した箇所のチェーンオーダーよりも若い値であるか否かを調べる。操作ロック連携エージェント203は、情報端末操作ロック情報のチェーンオーダーが最も若い値「1」であるため、情報端末200の認証機構である顔認証システム201に顔認証の実施を促す(ステップS24)。顔認証システム201は、顔認証画面を表示し、ユーザに顔認証を促す。
図16は、情報端末200にて顔認証が実施された場合の概略的な動作を示す。情報端末200の操作ロック連携エージェント203は、顔認証の実施を待機する(ステップS25)。操作ロック検知部206は、顔認証の成功を検出し、操作ロック連携エージェント203に通知する。操作ロック連携エージェント203は、顔認証が実施された場合、操作ロック情報連携データにおける情報端末操作ロック情報の部分を更新する(ステップS26)。操作ロック連携エージェント203は、ステップS26では、ローカルストレージ207から、操作ロック情報連携データを読み出す。操作ロック連携エージェント203は、読み出した操作ロック情報連携データにおける情報端末操作ロック情報部分の「認証結果」に顔認証の結果を格納し、「更新時刻」に現時刻を格納する。操作ロック連携エージェント203は、ユーザが正常に顔認証された場合、「認証結果」に“成功”を示す値を格納する。操作ロック連携エージェント203は、更新した操作ロック情報連携データをローカルストレージ207に記憶(上書き)する。また、操作ロック連携エージェント203は、更新した操作ロック情報連携データを、操作ロック連携サーバ101に送信する(ステップS27)。
操作ロック連携サーバ101は、操作ロック連携サーバ101は、操作ロック連携データベース102の更新を待機する(ステップS11)。操作ロック連携サーバ101は、操作ロック連携エージェント203から、ステップS27で送信された操作ロック情報連携データを受信する。操作ロック連携サーバ101は、受信した操作ロック情報連携データを操作ロック連携データベース102に記憶し、データベースを更新する(ステップS12)。また、操作ロック連携サーバ101は、操作ロック情報連携データに関連する操作ロック連携エージェントに、操作ロック連携データを送信する(ステップS13)。操作ロック連携サーバ101は、ステップS13では、操作ロック連携エージェント203、301、403、及び502に操作ロック情報連携データを送信する。
操作ロック連携エージェント装置300の操作ロック連携エージェント301は、操作ロック連携サーバ101からの通知を待機する(ステップS31)。操作ロック連携エージェント301は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS32)。操作ロック連携エージェント301は、ローカルストレージ304に受信した操作ロック情報連携データを記憶し、操作ロック連携エージェント装置300内の情報を更新する(ステップS33)。
仮想デスクトップ端末400の操作ロック連携エージェント403は、操作ロック連携サーバ101からの通知を待機する(ステップS41)。操作ロック連携エージェント403は、操作ロック連携サーバ101から、操作ロック情報連携データを含む通知を受信する(ステップS42)。操作ロック連携エージェント403は、ローカルストレージ406に受信した操作ロック情報連携データを記憶し、仮想デスクトップ端末400内の情報を更新する(ステップS43)。なお、図16では図示を省略しているが、情報端末200の操作ロック連携エージェント203も、操作ロック連携サーバ101から操作ロック情報連携データを受信し、ローカルストレージ207に記憶する。また、業務システム500の操作ロック連携エージェント502も、操作ロック連携サーバ101から操作ロック情報連携データを受信し、ローカルストレージ505に記憶する。
操作ロック連携エージェント301、403、及び502は、それぞれ、ローカルストレージ304、406、及び505に記憶した操作ロック情報連携データを参照し、チェーンオーダーが「1」の操作ロック情報において、「認証結果」が認証に成功した旨を示す値であることを認識する。また、操作ロック連携エージェント301、403、及び502は、それぞれ、チェーンオーダーが「1」の操作ロック情報において、「更新時刻」が記憶済みの操作ロック情報連携データにおける更新時刻より新しいことを認識する。
また、操作ロック連携エージェント203、301、403、及び502は、それぞれ、自身が生成した操作ロック情報の「チェーンオーダー」の値が、業務システム操作ロック情報の「チェーンオーダー」の値よりも1つ若い値である否かを調べる。ここでは、操作ロック連携エージェント403が、自身が発行した操作ロック情報のチェーンオーダーの値が、業務システム操作ロック情報のチェーンオーダー「4」より1つ若い値であると認識する。操作ロック連携エージェント403は、仮想デスクトップ端末400の業務システムクライアント402に再度、業務システム500への接続と認証を行うように働きかける。業務システムクライアント402は、業務システム500への接続と認証を実施する。その結果、業務システム500のタイムアウト状態は解消される。
業務システム500のタイムアウト検知部504は、仮想デスクトップ端末400からの業務システム500へのログインを検知して、操作ロック連携エージェント502に通知する(ステップS61)。操作ロック連携エージェント502は、操作ロック情報連携データにおける業務システム操作ロック情報の部分を更新する(ステップS62)。操作ロック連携エージェント502は、操作ロック連携サーバ101に操作ロック情報連携データを送信する。その後、図14を参照して説明した動作を通じて、操作ロック情報連携データが、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500に記憶される。
本実施形態では、利用に際し認証を必要とする各機器又はシステムを監視する操作ロック連携エージェントが用いられる。本実施形態において、情報端末200のMACアドレス取得部204、IPアドレス取得部205、及び操作ロック検知部206は、操作ロック連携エージェント203の動作を補佐するために使用される。また、操作ロック連携エージェント装置300において、IPアドレス取得部302及びタイムアウト検知部303は、操作ロック連携エージェント301の動作を補佐するために使用される。仮想デスクトップ端末400において、IPアドレス取得部404及び操作ロック検知部405は、操作ロック連携エージェント403の動作を補佐するために使用される。業務システム500において、IPアドレス取得部503及びタイムアウト検知部504は、操作ロック連携エージェント502の動作を補佐するために使用される。
操作ロック連携エージェント203、301、403、及び502は、認証が必要な各機器の認証通過時に得られたアドレス情報などを、操作ロック情報に記録する。また、操作ロック連携エージェント203、301、403、及び502は、操作ロック情報の生成時に、操作ロック情報に発行IDと更新日時とを付与する。
操作ロック連携エージェント203、301、403、及び502は、生成した操作ロック情報(その連携データ)を操作ロック連携サーバ101に送信する。操作ロック連携サーバ101は、受信した操作ロック情報をもとに、関係する操作ロック情報連携データを操作ロック連携データベース102から検索する。操作ロック連携サーバ101は、IPアドレスやMACアドレスに基づいて関係性を認めた操作ロック情報を例えばチェーン構造で結合し、チェーン化した操作ロック情報連携データを生成する。操作ロック連携サーバ101は、操作ロック情報連携データを操作ロック連携エージェント203、301、403、及び502に送信する。操作ロック連携エージェント203、301、403、及び502は、操作ロック情報連携データを保持する。操作ロック連携エージェント203、301、403、及び502は、自身が保持する操作ロック情報連携データの発行IDと同じ発行IDを持つ操作ロック情報連携データを操作ロック連携サーバ101から受信した場合、古い更新日時を持つ操作ロック情報連携データを削除する。
本実施形態において、操作ロック検知部206及び405、並びにタイムアウト検知部303及び504は、機器の操作ロック状態又はタイムアウト状態を検知し、操作ロック連携エージェント203、301、403、及び502に通知する。情報端末200の操作ロック連携エージェント203は、操作ロック情報連携データに基づいて、何れかの機器において操作ロック又はタイムアウトが発生したことを認識する。その場合、操作ロック連携エージェント203は、顔認証システム201と連携し、ユーザに顔認証の実施を促す。ユーザが顔認証を実施すると、各機器の操作ロック連携エージェントに連携され、操作ロックなどが発生した機器の前段にある機器が有するシングルサインオン技術を用いて、操作ロックなどが発生した機器の操作ロック解除操作がなされる。
本実施形態では、各機器の操作ロック検知部又はタイムアウト検知部が機器の操作ロック又はタイムアウトを検知し、操作ロック連携エージェントに通知する。操作ロック連携エージェントは、操作ロック又はタイムアウトの発生を、操作ロック連携サーバに通知する。本実施形態では、図11に示されるように、情報端末200から業務システム500までの認証経路が操作ロック情報連携データ構造により明確化される。このため、操作ロック連携サーバ101は、シングルサインオンの基点となる情報端末200に、操作ロック又はタイムアウトの発生を通知することができる。通知を受けた情報端末200の操作ロック連携エージェント203は顔認証システム201を起動することを要求する。ユーザが顔認証を実施した場合、操作ロック連携エージェント203は、操作ロック連携サーバ101に顔認証の実施を通知する。通知を受けた操作ロック連携サーバ101は操作ロック又はタイムアウトが発生している機器の前段機器にある操作ロック連携エージェントに通知を行う。この通知を受けた操作ロック連携エージェントは、操作ロック又はタイムアウトが発生している機器に対し認証行為を要求する。このようにすることで、情報端末200における認証結果を用いて、操作ロック解除又はタイムアウト解除(再接続)が可能となる。
本実施形態では、情報端末200の後段にあるVPN装置600、仮想デスクトップ端末400、及び業務システム500の操作ロック又はタイムアウトを、情報端末200での顔認証に基づいて解除することができる。このようにすることで、ユーザに各機器の操作ロック又はタイムアウト解除用のユーザIDとパスワードを通知しなくても、各機器の操作ロック又はタイムアウトを解除できる。本実施形態では、シングルサインオンの基点に顔認証を使用しており、操作ロック又はタイムアウトを、本人のみが顔情報を用いて安全に解除することができる。本実施形態では、ユーザは、後段の認証に必要なIDやパスワードなどを記憶する必要がなく、従って、セキュリティを維持しつつ、ユーザの利便性を向上できる。
なお、上記実施形態では、情報端末200において顔認証が実施される例を説明したが、本開示はこれには限定されない。シングルサインオンの基点となる認証は、顔認証には限定されない。シングルサインオンの基点となる認証には、例えば、他の生体認証、所持に基づく認証、或いは記憶に基づく認証などの種々の認証を用いることができる。生体認証の例としては、例えば、指紋認証、掌紋認証、静脈認証、虹彩認証、又は耳音響認証などが挙げられる。所持に基づく認証の例としては、例えばIC(Integrated Circuit)カード認証、或いは携帯端末認証などが挙げられる。記憶に基づく認証の例としては、例えばパターン認証などが挙げられる
上記実施形態では、操作ロック情報連携データにおいて、操作ロック情報がチェーン構造で結合される例を説明したが、本開示はこれには限定されない。上記実施形態において、操作ロック情報連携データのデータ構造は特に限定されない。例えば、操作ロック情報連携データは、リレーショナルデータベースにおける主キー及び外部キーの関係で操作ロック情報が結合されたデータ構造であってもよい。上記実施形態において、情報端末200、VPN装置600、仮想デスクトップ端末400、及び業務システム500の全てが、直接IP通信可能なネットワーク構成を採用することもできる。その場合、全ての操作ロック情報連携データを各操作ロック連携エージェントに保持させ、操作ロック連携サーバ101と操作ロック連携データベース102を不要とする構成も可能である。
上記実施形態において、情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500は、典型的にプロセッサとメモリとを含む。情報端末200、操作ロック連携エージェント装置300、仮想デスクトップ端末400、及び業務システム500内の機能は、プロセッサがメモリに格納されたプログラムを読み出して実行することで実現されてもよい。また、操作ロック連携サーバ101も、典型的にはプロセッサとメモリとを含む。操作ロック連携サーバ101の機能は、プロセッサがメモリに格納されたプログラムを読み出して実行することで実現されてもよい。
上記プログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記憶媒体を含む。非一時的なコンピュータ可読媒体の例は、例えばフレキシブルディスク、磁気テープ、又はハードディスクなどの磁気記録媒体、例えば光磁気ディスクなどの光磁気記録媒体、CD(compact disc)、又はDVD(digital versatile disk)などの光ディスク媒体、及び、マスクROM(read only memory)、PROM(programmable ROM)、EPROM(erasable PROM)、フラッシュROM、又はRAM(random access memory)などの半導体メモリを含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体を用いてコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバなどの有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
以上、本開示の実施形態を詳細に説明したが、本開示は、上記した実施形態に限定されるものではなく、本開示の趣旨を逸脱しない範囲で上記実施形態に対して変更や修正を加えたものも、本開示に含まれる。
例えば、上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器と、
前記複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを検知する検知手段と、
前記複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が前記要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントと、
前記操作ロック連携エージェントから前記操作ロック情報を受信し、前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合した連携データを生成し、該連携データを前記操作ロック連携エージェントに送信する操作ロック連携サーバとを備え、
前記操作ロック連携エージェントは、前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を前記操作ロック連携サーバに送信し、
前記操作ロック連携エージェントは、前記検知手段が要認証状態を検知した場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を前記操作ロック連携サーバに送信し、
前記操作ロック連携サーバは、前記要認証状態である旨を示す操作ロック情報を含む連携データを生成して前記操作ロック連携エージェントに送信し、
前記初段の認証対象機器に対応する操作ロック連携エージェントは前記認証手段に認証の実施を促し、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるシステム操作ロック解除システム。
[付記2]
前記操作ロック連携エージェントは、前記認証対象機器の初回認証時に、前記認証対象機器に関連するアドレス情報を取得し、該取得したアドレス情報を更に含む操作ロック情報を生成して前記操作ロック連携サーバに送信する付記1に記載のシステム操作ロック解除システム。
[付記3]
前記操作ロック連携サーバは、前記操作ロック情報に含まれるアドレス情報に基づいて、前記複数の認証対象機器のそれぞれに対応する操作ロック連携エージェントから受信した操作ロック情報を結合する付記2に記載のシステム操作ロック解除システム。
[付記4]
前記操作ロック連携サーバは、各操作ロック連携エージェントから送信された操作ロック情報に、前記シングルサインオンで認証が行われた順にチェーンオーダーを付与する付記1から3何れか1つに記載のシステム操作ロック解除システム。
[付記5]
前記操作ロック連携エージェントは、前記認証対象機器の初回認証時に、前記操作ロック情報を識別するためのIDを発行し、該発行したIDを更に含む操作ロック情報を生成して前記操作ロック連携サーバに送信し、
前記操作ロック連携エージェントは、前記操作ロック連携サーバから前記連携データを受信した場合で、かつ該受信した連携データに前記発行したIDが含まれる場合、前記受信した連携データを記憶する付記1から4何れか1つに記載のシステム操作ロック解除システム。
[付記6]
前記初段の認証対象機器に対応した操作ロック連携エージェントは、何れかの認証対象機器に対応した操作ロック連携エージェントから送信された操作ロック情報に含まれる要認証状態情報が要認証状態を示す場合、認証手段に認証を促す付記1から5何れか1つに記載のシステム操作ロック解除システム。
[付記7]
前記操作ロック情報は前記操作ロック情報の更新時刻を更に含み、
前記連携データにおいて、前記初段の認証対象機器に対応する操作ロック連携エージェントから送信された操作ロック情報に含まれる認証結果が認証成功を示し、かつ前記更新時刻が、前記要認証状態が検知された認証対象機器の操作ロック連携エージェントから送信された操作ロック情報に含まれる更新時刻よりも後の時刻である場合、前記要認証状態が検知された認証対象機器の認証が実施される付記1から6何れか1つに記載のシステム操作ロック解除システム。
[付記8]
前記認証手段は、ユーザの生体情報を用いて認証を行う付記1から7何れか1つに記載のシステム操作ロック解除システム。
[付記9]
前記検知手段は、各認証対象機器において、無操作状態が所定時間以上継続した場合、又は接続がタイムアウトした場合、前記要認証状態を検知する付記1から8何れか1つに記載のシステム操作ロック解除システム。
[付記10]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成する操作ロック情報生成手段と、
前記操作ロック情報を、前記複数の認証対象機器についての前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信する操作ロック情報送信手段と、
前記操作ロック連携サーバから前記連携データを受信する連携データ受信手段と、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促す認証要求手段とを備え、
前記操作ロック情報生成手段は、前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報を生成し、
前記操作ロック情報生成手段は、前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を生成し、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データの受信後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証を実施させる操作ロック連携エージェント。
[付記11]
前記操作ロック情報生成手段は、前記認証対象機器の初回認証時に、前記認証対象機器のアドレス情報を取得し、該取得したアドレス情報を更に含む操作ロック情報を生成する付記10に記載の操作ロック連携エージェント。
[付記12]
前記操作ロック情報生成手段は、前記認証対象機器の初回認証時に、前記操作ロック情報を識別するためのIDを発行し、該発行したIDを更に含む操作ロック情報を生成し、
前記連携データ受信手段は、前記操作ロック連携サーバから受信した連携データに操作ロック情報生成手段が発行したIDを含む操作ロック情報が含まれる場合、前記受信した連携データを記憶する付記10又は11に記載の操作ロック連携エージェント。
[付記13]
前記認証要求手段は、前記後段の認証対象機器を監視対象の認証対象機器とする操作ロック連携エージェントから送信された操作ロック情報に含まれる要認証状態情報が要認証状態を示す場合、認証手段に認証を促す付記10から12何れか1つに記載の操作ロック連携エージェント。
[付記14]
前記操作ロック情報は前記操作ロック情報の更新時刻を更に含み、
前記連携データにおいて、前記初段の認証対象機器を監視対象の認証対象機器とする操作ロック連携エージェントから送信された操作ロック情報に含まれる認証結果が認証成功を示し、かつ前記更新時刻が、前記要認証状態が検知された認証対象機器を監視対象の認証対象機器とする操作ロック連携エージェントから送信された操作ロック情報に含まれる更新時刻よりも後の時刻である場合、前記要認証状態が検知された認証対象機器の認証が実施される付記10から13何れか1つに記載の操作ロック連携エージェント。
[付記15]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントから前記操作ロック情報を受信する操作ロック情報受信手段と、
前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合して連携データを生成する連携データ生成手段と、
前記連携データを前記操作ロック連携エージェントに送信する連携データ送信手段とを備え、
前記操作ロック情報受信手段は、前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報を前記操作ロック連携エージェントから受信し、
前記操作ロック情報受信手段は、各認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報を前記操作ロック連携エージェントから受信し、
前記連携データ送信手段は、前記要認証状態である旨を示す操作ロック情報を含む連携データを前記操作ロック連携エージェントに送信し、
前記認証手段は、前記初段の認証対象機器に対応する操作ロック連携エージェントから認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携サーバ。
[付記16]
前記操作ロック情報受信手段は、前記認証対象機器の初回認証時に、前記認証対象機器のアドレス情報を更に含む操作ロック情報を操作ロック連携エージェントから受信する付記15に記載の操作ロック連携サーバ。
[付記17]
前記連携データ生成手段は、前記操作ロック情報に含まれるアドレス情報に基づいて、前記複数の認証対象機器のそれぞれに対応する操作ロック連携エージェントから受信した操作ロック情報を結合する付記16に記載の操作ロック連携サーバ。
[付記18]
前記連携データ生成手段は、各操作ロック連携エージェントから送信された操作ロック情報に、前記シングルサインオンで認証が行われた順にチェーンオーダーを付与する付記15から17何れか1つに記載の操作ロック連携サーバ。
[付記19]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置される操作ロック連携エージェントから、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を操作ロック連携サーバに送信し、
操作ロック連携サーバにおいて、前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合した連携データを生成し、該連携データを前記操作ロック連携エージェントに送信することを有し、
前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報が前記操作ロック連携エージェントから前記操作ロック連携サーバに送信され、
前記認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が前記操作ロック連携エージェントから前記操作ロック連携サーバに送信され、
前記要認証状態である旨を示す操作ロック情報を含む連携データが前記操作ロック連携サーバから前記操作ロック連携エージェントに送信され、
前記初段の認証対象機器において前記認証手段に認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携方法。
[付記20]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成し、
前記操作ロック情報を、前記複数の認証対象機器についての前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信し、
前記操作ロック連携サーバから前記連携データを受信し、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促すことを有し、
前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報が生成され、
前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が生成され、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データが受信された後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携方法。
[付記21]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントから前記操作ロック情報を受信し、
前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合して連携データを生成し、
前記連携データを前記操作ロック連携エージェントに送信することを有し、
前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報が前記操作ロック連携エージェントから受信され、
各認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が前記操作ロック連携エージェントから受信され、
前記要認証状態である旨を示す操作ロック情報を含む連携データが前記操作ロック連携エージェントに送信され、
前記初段の認証対象機器に対応する操作ロック連携エージェントから前記認証手段に認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施される操作ロック連携方法。
[付記22]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のうち監視対象の認証対象機器について、該監視対象の認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び前記監視対象の認証対象機器における認証の結果を含む操作ロック情報を生成し、
前記操作ロック情報を、前記複数の認証対象機器について前記操作ロック情報を受信し、該受信した前記操作ロック情報を結合した連携データを生成する操作ロック連携サーバに送信し、
前記操作ロック連携サーバから前記連携データを受信し、
前記連携データに前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる場合で、かつ、前記監視対象の認証対象機器が前記初段の認証対象機器である場合、前記認証手段に認証の実施を促す処理をコンピュータに実行させるためのプログラムであり、
前記監視対象の認証対象機器において認証が実施された場合、該認証の結果を含む操作ロック情報が生成され、
前記監視対象の認証対象機器において前記要認証状態が検知された場合、前記監視対象の認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が生成され、
前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が含まれる前記連携データが受信された後、前記認証手段において認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるプログラム。
[付記23]
認証手段を用いて認証される初段の認証対象機器と、前記認証手段における認証結果を用いてシングルサインオンで認証される1以上の後段の認証対象機器を含む複数の認証対象機器のそれぞれに対応して配置され、各認証対象機器が認証が必要な状態である要認証状態であるか否かを示す要認証状態情報、及び各認証対象機器における認証結果を含む操作ロック情報を生成する操作ロック連携エージェントから前記操作ロック情報を受信し、
前記複数の認証対象機器のそれぞれに対応する前記操作ロック連携エージェントから受信した前記操作ロック情報を結合して連携データを生成し、
前記連携データを前記操作ロック連携エージェントに送信する処理をコンピュータに実行させるためのプログラムであり、
前記シングルサインオンにおいて前記認証対象機器の認証が実施された場合、認証成功を示す認証結果を含む操作ロック情報が前記操作ロック連携エージェントから受信され、
各認証対象機器において前記要認証状態が検知された場合、認証対象機器が前記要認証状態である旨を示す要認証状態情報を含む操作ロック情報が前記操作ロック連携エージェントから受信され、
前記要認証状態である旨を示す操作ロック情報を含む連携データが前記操作ロック連携エージェントに送信され、
前記初段の認証対象機器に対応する操作ロック連携エージェントから前記認証手段に認証の実施が促され、
前記認証手段における認証が正常に行われた場合、前記シングルサインオンの仕組みを用いて、前記要認証状態が検知された認証対象機器の認証が実施されるプログラム。