JP2022117303A - 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム - Google Patents
認証連携サーバ、認証連携方法、認証連携システムおよびプログラム Download PDFInfo
- Publication number
- JP2022117303A JP2022117303A JP2021013917A JP2021013917A JP2022117303A JP 2022117303 A JP2022117303 A JP 2022117303A JP 2021013917 A JP2021013917 A JP 2021013917A JP 2021013917 A JP2021013917 A JP 2021013917A JP 2022117303 A JP2022117303 A JP 2022117303A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- token
- code
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 5
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 238000012545 processing Methods 0.000 claims description 11
- 238000013475 authorization Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 6
- 230000007704 transition Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
【課題】 本発明は、認証サーバと連携して、ユーザ端末の認証に関して必要な機能を提供することを目的とする【解決手段】 本発明は、ユーザ端末に対するサービスを提供するリソースサーバに対し、認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携サーバあって、前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信手段と、前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信手段と、認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行手段と、前記コードと前記トークンとを対応付けて保存する保存手段と、前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信手段と、を有することを特徴とする。【選択図】 図1
Description
本発明は、認証サーバと連携して、ユーザ端末の認証をするための機能を提供する認証連携サーバに関する。
近年、サーバ装置が提供する様々な機能を、ユーザが使用するユーザ端末からネットワーク経由で利用可能にするサービスが広く展開されている。サービスを提供するサーバ装置(以下、リソースサーバ)は、多くの場合、リソースサーバが保有するリソースへのアクセスをユーザ端末から要求された際に、ユーザIDおよびパスワード等のアカウント情報を用いてユーザを認証することを要求する。
しかし、ユーザ認証を行うためにリソースサーバは自身が提供するサービスのほかにユーザの認証を行うためのサーバ(以下、認証サーバ)を用意する必要がある。そこで、OpenID Connect(OIDC)などに代表されるように、あるクラウドサービスのIDプロバイダが発行するユーザIDを自身のユーザIDとして認証連携可能なサービスが提案され既に知られている。これらの認証サービスを利用することでリソースサーバは認証サービスを自身で用意する必要がなくなるため、自身のサービス開発に注力できる。
特許文献1に開示されている技術では、認証用情報を外部認証システムに送信し、認証成功の場合、認証情報をアドレス情報と関連付けて保存する。そして、所定の画面における外部サービスの利用終了操作に応じて送信された利用終了要求に対する応答を受信すると、該外部サービスのアドレス情報と関連付けられた第1の認証情報を削除する。
利用する認証サービスが提供するOpenID Connectなどの認証連携機能や、認証に要するログイン画面などの機能がリソースサーバの要件を満たせば、特許文献1に開示されている技術を用いて、認証サーバを利用すれば良い。しかしながら、リソースサーバの要件によっては、認証サービスの認証連携機能が十分ではない場合がある。本発明は、上記課題を鑑みてなされたものであり、認証サーバと連携して、ユーザ端末の認証に関して必要な機能を提供することを目的とする。
本発明は、ユーザ端末に対するサービスを提供するリソースサーバに対し、認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携サーバあって、前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信手段と、前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信手段と、認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行手段と、前記コードと前記トークンとを対応付けて保存する保存手段と、前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信手段と、を有することを特徴とする
本発明によれば、認証サーバと連携して、ユーザ端末の認証に関して必要な機能を提供することが出来る。
(実施形態1)
図1は、本発明の実施形態1における認証連携サーバの機能構成を表す図である。同図において、101は、本実施形態における認証連携サーバである。102は、IDを管理し、認証処理およびトークン発行処理を行う認証サーバである。認証連携サーバ101と認証サーバ102とは連携して、認証連携システムとして機能する。103は、ユーザが利用するユーザ端末である。104は、ユーザがユーザ端末を介して利用するサービスを提供するリソースサーバである。リソースサーバ104は、トークンを用いてユーザ端末103のアクセスを管理する。
図1は、本発明の実施形態1における認証連携サーバの機能構成を表す図である。同図において、101は、本実施形態における認証連携サーバである。102は、IDを管理し、認証処理およびトークン発行処理を行う認証サーバである。認証連携サーバ101と認証サーバ102とは連携して、認証連携システムとして機能する。103は、ユーザが利用するユーザ端末である。104は、ユーザがユーザ端末を介して利用するサービスを提供するリソースサーバである。リソースサーバ104は、トークンを用いてユーザ端末103のアクセスを管理する。
105は、認証連携サーバ101がリソースサーバ104からの認証リクエストを受信する認証リクエスト受信部である。106は、認証連携サーバ101がユーザ端末103へ認証画面を提供すると共に認証画面で入力されたユーザの認証情報を処理する認証画面処理部である。107は、認証画面処理部から渡されるユーザの認証情報を認証サーバ102へ送信する認証情報送信部である。
108は、認証成功時に認証サーバからトークンを受信するトークン受信部である。109は、コードを発行し、リソースサーバに送信するコード発行部である。110は、コードとトークンを対応づけて保存する保存部である。111は、トークンリクエストを受信するトークンリクエスト受信部である。112は、トークンリクエストの応答としてトークンを送信するトークン送信部である。113は、トークンを更新するトークン更新部である。
図2は、本実施形態における認証連携サーバのハードウェア構成を表す図である。同図において、201はCPU(中央処理装置)であり、情報処理装置の制御プログラムを実行する。202はROMであり、制御プログラムなどを格納する。203はRAMであり、CPU201のワークエリアを提供するために用いられる。204は装置外のアプリケーションと通信するネットワークIFである。205はハードディスクなどの記憶装置であり、データを格納する。
図3は、本実施形態における認証連携サーバがリソースサーバからのリクエストを受けて認証連携を行うシーケンス図である。
まずステップS301で、ユーザがユーザ端末103よりリソースサーバ104の所定にアクセスする。例えばユーザ端末のブラウザから所定のURLを入力するとリソースサーバにアクセスされる。この時、リソースサーバ104は、リソースサーバとしてのユーザのログイン状態を確認する。ログイン状態の判断は、例えばリソースサーバのドメインに対応するブラウザのクッキー情報に有効なトークンがあるか否かで判断する。リソースサーバがログイン状態ではないと判断すると、ステップS302で認証連携サーバ101に遷移させる。認証連携サーバ101の遷移先としては、認証リクエスト受信部105に相当する。本実施形態は認証連携サーバ101がOpenID Connectに則った認証連携機能を提供するとして説明する。この場合、認証リクエスト受信部105はOpenID Connectの仕様に含む認可エンドポイントに相当する。この時、認可エンドポイントに遷移させる時の仕様として、クライアントID、スコープ、レスポンスタイプ、リダイレクトURIなどを認可エンドポイントへのリクエストパラメータに付与する。しかしながら、本発明はこれに限るものではなく、リソースサーバから認証連携の遷移先を提供できればどのような仕様であっても良い。
次に、ステップS303で、認証画面処理部106が、認証画面をユーザ端末103へ提供する。
ユーザはステップS304で、認証画面に対して認証情報を入力する。認証情報は代表的なものはIDとパスワードだが、生体認証情報などどのような情報でも良い。
ユーザが認証情報を入力すると、ステップS305でユーザ端末103が認証情報を認証連携サーバ101へ送信する。認証連携サーバ101では、ステップS306で、認証情報送信部107により、認証サーバ102へ認証情報を送信する。
認証サーバ102では、ステップS307において認証情報を検証し、認証する。認証情報が一致せず認証に失敗すれば失敗レスポンスを認証連携サーバ101に返却し、認証連携サーバ101はユーザ端末103へ失敗レスポンスを返却する。ユーザ端末では認証画面にて認証失敗のエラー表示を行う。一方、ステップS307にて認証サーバ102で認証に成功すると、認証サーバはステップS308においてトークンを発行し、認証連携サーバ101に認証の成功レスポンスと共にトークンを返却する。認証連携サーバ101は発行されたトークンをトークン受信部108で受信する。本実施形態ではここで発行するトークンをOpenID Connect仕様に準ずるIDトークンおよびリフレッシュトークンのペアとして説明する。
図4はIDトークンに含まれるクレームの一例である。issはトークンの発行元であり、認証サーバ102を表す。subは認証サーバ102で認証したIDを一意に特定する値である。audはIDトークンの発行先のクライアントのIDをあらわし、リソースサーバ104に相当する。 iatはIDトークンの発行時刻をあらわす。expはIDトークンの有効期間をあらわす。auth_timeは認証サーバ102が認証した時刻を表す。preferred_usernameは認証情報のIDのユーザ名をあらわす。emailは認証情報に紐づくメールアドレスをあらわす。しかしながらこれはトークンの一例にすぎず、本発明はこれに限るものではない。
次に、認証連携サーバ101がトークンと認証成功レスポンスを受信すると、ステップS309においてコード発行部109がコードを発行する。コードはUUIDなど、認証成功したレスポンスを識別できる情報であれば、どのようなものでも良い。
次に、ステップS310において、保存部110が、コードとトークンを対応づけて保存する。図5は保存部110がコードとトークンを対応付けて保存するデータベースの一例である。同図において、501はコードである。502は、認証サーバ102が発行したIDトークンである。503は、認証サーバ102がIDトークンと共に発行するリフレッシュトークンである。504は、リソースサーバ104がステップS302で認証連携サーバの認可エンドポイントへ遷移させる際に渡すクライアントIDである。505は、リソースサーバ104がステップS302で認証連携サーバの認可エンドポイントへ遷移させる際に渡すリダイレクトURIであり、後述するトークンエンドポイントでのリクエストパラメータ検証に用いる。506はコードの有効期間であり、この有効期間を超えたコードを使って後述するトークンリクエストが来た場合にはそのリクエストを無効とする。
しかし本発明で保存部110が保存するデータはこれに限るものではなく、認証連携サーバ101が発行するコードと、認証サーバ102が発行するトークンとを対応付けて保存すれば本発明は適用できる。
本発明は、認証連携サーバ101と異なる認証サーバで発行したトークンをステップS309で受信し、ステップS310で一度コードに対応付けて保存して後述するステップで利用することに特徴の一つがある。
次に、ステップS311で、コード発行部109は、発行したコードをリソースサーバ104に送信する。OpenID Connectの認可コードフローに則れば、このコードは認可エンドポイントの認可コードになる。ステップS302での認証連携サーバの認可エンドポイントへの遷移に対して、認可エンドポイントに渡されたリダイレクトURIへコードをつけて遷移させることに相当する。
次に、ステップS312で、リソースサーバ104が認証連携サーバ101へトークンをリクエストする。認証連携サーバ101はこのトークンリクエストをトークンリクエスト受信部111で受信する。OpenID Connect仕様の認可コードフローに則れば、このトークンリクエストは認可エンドポイントで発行した認可コードを使いトークンエンドポイントへIDトークンをリクエストすることに相当する。またこの場合、クライアントIDに対する認証情報や認可エンドポイントへの遷移時に指定したリダイレクトURIをリクエストパラメータとして渡す。トークンリクエスト受信部111はトークンリクエストのリクエストパラメータを検証する。しかし本発明はOpenID Connect仕様に限るものではない。
トークンリクエスト受信部111がトークンを返却して良いと判断すると、ステップS313で、トークン送信部112がトークンリクエストに含むコードに対応するトークンを保存部110から取得し、リソースサーバ104へ送信する。
リソースサーバ104はステップS314において、認証連携サーバから受け取ったトークンが認証サーバ102から発行された適切なトークンであるかを検証する。例えばトークンがIDトークンの場合、JWT(Json Web Token)形式のトークンであるため、公開鍵を認証サーバ102から取得し、トークンの署名を検証するとともに、図4のクレームが適切かを検証する。
トークンの検証に成功すれば、リソースサーバ104はステップS315において、リソースサーバとしてのログイン状態を管理し、ユーザ端末103にサービスを提供する。
以上の構成およびシーケンスにより、本実施形態における認証連携サーバは、認証画面から認証情報を認証サーバに送信し、認証成功時に受信したトークンを、認証連携サーバで発行するコードと対応付けて保存する。
これにより、認証サーバ102の認証機能やトークン発行機能、トークンの検証に要する公開鍵の提供機能などを利用しながらOpenID Connectなどの認証連携機能や認証連携サーバ独自の認証画面を提供することができる。
(実施形態2)
実施形態1では、ステップS308で認証サーバが発行したトークンを保存部110がコードに対応づけて保存し、リソースサーバからトークンリクエストが来た時点でトークン送信部112が保存していたトークンをステップS313で送信している。したがって、図4で示したIDトークンのトークン発行時刻(iatクレーム)は、厳密にはステップS313相当の時刻にはならず、ステップS308相当の時刻になる。また、トークン有効期限(expクレーム)も、ステップS308相当の時刻から決定される。従って、ステップS308とステップS313の時間の異なりでリソースサーバ側の処理や仕様の厳密性に影響が出る場合があり得る。
実施形態1では、ステップS308で認証サーバが発行したトークンを保存部110がコードに対応づけて保存し、リソースサーバからトークンリクエストが来た時点でトークン送信部112が保存していたトークンをステップS313で送信している。したがって、図4で示したIDトークンのトークン発行時刻(iatクレーム)は、厳密にはステップS313相当の時刻にはならず、ステップS308相当の時刻になる。また、トークン有効期限(expクレーム)も、ステップS308相当の時刻から決定される。従って、ステップS308とステップS313の時間の異なりでリソースサーバ側の処理や仕様の厳密性に影響が出る場合があり得る。
これを解決する本実施形態のフローを図6に示す。なお、実施形態1ではトークンの種類は任意であり、リフレッシュトークンは必須構成ではなかったが、本実施形態においてはリフレッシュトークンが必要となる。
図6において、ステップS301からステップS307までは実施形態1の図3のフローと同じである。認証サーバ102がステップS307で認証すると、ステップS601でトークンとリフレッシュトークンを発行する。認証連携サーバ101では、ステップS309で前記実施形態と同様にコード発行部109はコードを発行する。
次に、ステップS602で、保存部110は、コードとリフレッシュトークンとを対応付けて保存する。この際、認証サーバ102がステップS601で発行したトークンは保存しても良いし、本実施形態では保存せずに捨てても構わない。リフレッシュトークンがコードと共に保存されれば良い。
ステップS311、S312は実施形態1と同様である。トークンリクエスト受信部111がトークンリクエストを受信すると、トークン更新部113は保存部110からコードに対応するリフレッシュトークンを取得し、ステップS603で認証サーバ102に送信してトークン更新をリクエストする。認証サーバ102は、ステップS604で、トークン更新リクエストに応答して更新したトークンを発行する。そしてステップS605で、トークン送信部112は、更新されたトークンをリソースサーバ104に送信する。この時、トークン更新に利用したリフレッシュトークンもトークンと一緒にリソースサーバ104に提供しても良い。
以上のシーケンスにより、本実施形態における認証連携サーバは、ステップS308で発行されるリフレッシュトークンを用い、ステップS312のトークンリクエスト受信時にトークンを更新する。これによりトークンに含まれるトークン発行時刻および有効期限はステップS604で更新された時刻に基づいて設定されるため、認証連携サーバの返すトークンとしてより適切な時刻を設定できる。
(実施形態3)
実施形態1、2ではOpenID Connectの認可コードフローに基づいて説明し、認証サーバ102が発行するトークンもIDトークンとして説明したが、本発明はこれに限るものではない。例えばトークンが単なるUUIDなど、IDトークンではないフォーマットのものであっても良い。また、認証リクエスト受信部105がステップS302で遷移するエンドポイントがOpenID Connectの認可エンドポイントに準じていなくとも良い。また、トークンリクエスト受信部111がステップS312で受信するエンドポイントがOpenID Connectのトークンエンドポイントに準じていなくとも良い。認証サーバ102で発行したトークンを、認証連携サーバ101で発行したコードに対応付けて保存し、リソースサーバがそのコードでトークンをリクエストした時にコードに対応付けたトークンを返却しても良い。
実施形態1、2ではOpenID Connectの認可コードフローに基づいて説明し、認証サーバ102が発行するトークンもIDトークンとして説明したが、本発明はこれに限るものではない。例えばトークンが単なるUUIDなど、IDトークンではないフォーマットのものであっても良い。また、認証リクエスト受信部105がステップS302で遷移するエンドポイントがOpenID Connectの認可エンドポイントに準じていなくとも良い。また、トークンリクエスト受信部111がステップS312で受信するエンドポイントがOpenID Connectのトークンエンドポイントに準じていなくとも良い。認証サーバ102で発行したトークンを、認証連携サーバ101で発行したコードに対応付けて保存し、リソースサーバがそのコードでトークンをリクエストした時にコードに対応付けたトークンを返却しても良い。
(実施形態4)
実施形態1から3においては認証連携サーバ101、認証サーバ102、リソースサーバ104の三種のサーバがあるが、これらは別々の装置で構成されるとは限らない。例えば、認証連携サーバ101とリソースサーバ104とが同じ装置で構成されていて、ステップS302、S311、S312、S313が同装置内で動作する機能間の通信でも良い。
実施形態1から3においては認証連携サーバ101、認証サーバ102、リソースサーバ104の三種のサーバがあるが、これらは別々の装置で構成されるとは限らない。例えば、認証連携サーバ101とリソースサーバ104とが同じ装置で構成されていて、ステップS302、S311、S312、S313が同装置内で動作する機能間の通信でも良い。
一方、認証連携サーバ101と認証サーバ102の機能を同じ装置で構成するのであれば、本来はステップS308のトークン発行をステップS307の認証直後に行わず、ステップS312の直後に行えば保存部110は不要になる。その場合、認証連携サーバ101、認証サーバ102のソフトウェアを同一装置内で動かす構成にした方が望ましい。
(その他の実施形態)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
101 認証連携サーバ
102 認証サーバ
103 ユーザ端末
104 リソースサーバ
105 認証リクエスト受信部
106 認証画面処理部
107 認証情報送信部
108 トークン受信部
109 コード発行部
110 保存部
111 トークンリクエスト受信部
112 トークン送信部
113 トークン更新部
102 認証サーバ
103 ユーザ端末
104 リソースサーバ
105 認証リクエスト受信部
106 認証画面処理部
107 認証情報送信部
108 トークン受信部
109 コード発行部
110 保存部
111 トークンリクエスト受信部
112 トークン送信部
113 トークン更新部
Claims (9)
- ユーザ端末に対するサービスを提供するリソースサーバに対し、認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携サーバあって、
前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信手段と、
前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信手段と、
認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行手段と、
前記コードと前記トークンとを対応付けて保存する保存手段と、
前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信手段と、
を有することを特徴とする認証連携サーバ。 - 前記ユーザ端末で前記認証情報を入力するための認証画面を、前記ユーザ端末に提供する処理手段をさらに有することを特徴とする請求項1に記載の認証連携サーバ。
- 前記リソースサーバからの認証リクエストを受信するリクエスト受信手段をさらに有し、
前記処理手段は、前記認証リクエストに基づいて前記認証画面を提供し、
前記コード発行手段は、前記認証リクエストの応答として前記コードを前記リソースサーバに送信することを特徴とする請求項2に記載の認証連携サーバ。 - 前記コード発行手段は、OpenID Connectに準じて前記コードを送信し、前記トークン送信手段は、OpenID Connectに準じて前記トークンを送信することを特徴とする請求項1に記載の認証連携サーバ。
- 前記トークンには、IDトークンもしくはリフレッシュトークンが含まれることを特徴とする請求項1に記載の認証連携サーバ。
- 前記コードに対応するトークンを更新するリクエストを前記認証サーバに送信し、前記認証サーバから更新したトークンを受信するトークン更新手段をさらに有し、
前記トークン送信手段は、前記トークン更新手段によって更新したトークンを前記リソースサーバへ送信することを特徴とする請求項1に記載の認証連携サーバ。 - ユーザ端末に対するサービスを提供するリソースサーバに対し、認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携方法あって、
前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信工程と、
前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信工程と、
認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行工程と、
前記コードと前記トークンとを対応付けて保存する保存工程と、
前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信工程と、
を有することを特徴とする認証連携方法。 - コンピュータを、
ユーザ端末に対するサービスを提供するリソースサーバに対し、認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携サーバあって、
前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信手段と、
前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信手段と、
認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行手段と、
前記コードと前記トークンとを対応付けて保存する保存手段と、
前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信手段と、
を有することを特徴とする認証連携サーバとして機能させるためのプログラム。 - 認証サーバと、
ユーザ端末に対するサービスを提供するリソースサーバに対して、前記認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携サーバあって、
前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信手段と、
前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信手段と、
認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行手段と、
前記コードと前記トークンとを対応付けて保存する保存手段と、
前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信手段と、
を有することを特徴とする認証連携サーバとを有することを特徴とする認証連携システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021013917A JP7543154B2 (ja) | 2021-01-29 | 2021-01-29 | 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム |
| US17/579,116 US20220247745A1 (en) | 2021-01-29 | 2022-01-19 | Federated authentication server, federated authentication method, federated authentication system, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021013917A JP7543154B2 (ja) | 2021-01-29 | 2021-01-29 | 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022117303A true JP2022117303A (ja) | 2022-08-10 |
| JP7543154B2 JP7543154B2 (ja) | 2024-09-02 |
Family
ID=82611856
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021013917A Active JP7543154B2 (ja) | 2021-01-29 | 2021-01-29 | 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20220247745A1 (ja) |
| JP (1) | JP7543154B2 (ja) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6675163B2 (ja) | 2015-07-24 | 2020-04-01 | キヤノン株式会社 | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム |
| JP6266049B1 (ja) | 2016-07-25 | 2018-01-24 | 三井情報株式会社 | 情報処理システム、情報処理方法、情報処理装置及びプログラム |
| JP6626466B2 (ja) | 2017-02-17 | 2019-12-25 | 日本電信電話株式会社 | Api提供装置及びapi使用権委譲の同意方法 |
-
2021
- 2021-01-29 JP JP2021013917A patent/JP7543154B2/ja active Active
-
2022
- 2022-01-19 US US17/579,116 patent/US20220247745A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20220247745A1 (en) | 2022-08-04 |
| JP7543154B2 (ja) | 2024-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11431501B2 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
| EP3451617B1 (en) | Authority transfer system, control method therefor, computer program and storage medium | |
| JP5662507B2 (ja) | 認証方法、認証システム、および、サービス提供サーバ | |
| US9143502B2 (en) | Method and system for secure binding register name identifier profile | |
| US9154504B2 (en) | Device apparatus, control method, and relating storage medium | |
| JP2019046059A (ja) | 権限委譲システム、制御方法、およびプログラム | |
| US20090205014A1 (en) | System and method for application-integrated information card selection | |
| KR960035299A (ko) | 원격 사용자와 응용 서버간의 통신 관리 방법, 원격 사용자의 주체 인증 방법, 분산 컴퓨터 환경을 제공하는 네트워크 및 프로그램 저장 장치 | |
| US20200153814A1 (en) | Method for authentication with identity providers | |
| US11165768B2 (en) | Technique for connecting to a service | |
| KR20110055542A (ko) | 유저 인증을 관리하기 위한 장치 | |
| JP2006031064A (ja) | セッション管理システム及び管理方法 | |
| JP5727661B2 (ja) | 認証方法、認証システム、サービス提供サーバ、および認証サーバ | |
| JP2016115260A (ja) | 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム | |
| JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
| JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
| JP6833658B2 (ja) | サーバ装置、機器、証明書発行方法、証明書要求方法、証明書発行プログラム及び証明書要求プログラム | |
| JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
| JP7414792B2 (ja) | ユーザプロフィール提供方法及び装置 | |
| JP7543154B2 (ja) | 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム | |
| Catuogno et al. | Achieving interoperability between federated identity management systems: A case of study | |
| KR20150095255A (ko) | 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법 | |
| JP5793593B2 (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 | |
| JP2018041347A (ja) | 認証システム | |
| Baker | OAuth2 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20231213 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240126 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240619 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240723 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240821 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7543154 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |