JP2022117303A - 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム - Google Patents
認証連携サーバ、認証連携方法、認証連携システムおよびプログラム Download PDFInfo
- Publication number
- JP2022117303A JP2022117303A JP2021013917A JP2021013917A JP2022117303A JP 2022117303 A JP2022117303 A JP 2022117303A JP 2021013917 A JP2021013917 A JP 2021013917A JP 2021013917 A JP2021013917 A JP 2021013917A JP 2022117303 A JP2022117303 A JP 2022117303A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- token
- code
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 5
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 238000012545 processing Methods 0.000 claims description 11
- 238000013475 authorization Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 6
- 230000007704 transition Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
Description
図1は、本発明の実施形態1における認証連携サーバの機能構成を表す図である。同図において、101は、本実施形態における認証連携サーバである。102は、IDを管理し、認証処理およびトークン発行処理を行う認証サーバである。認証連携サーバ101と認証サーバ102とは連携して、認証連携システムとして機能する。103は、ユーザが利用するユーザ端末である。104は、ユーザがユーザ端末を介して利用するサービスを提供するリソースサーバである。リソースサーバ104は、トークンを用いてユーザ端末103のアクセスを管理する。
実施形態1では、ステップS308で認証サーバが発行したトークンを保存部110がコードに対応づけて保存し、リソースサーバからトークンリクエストが来た時点でトークン送信部112が保存していたトークンをステップS313で送信している。したがって、図4で示したIDトークンのトークン発行時刻(iatクレーム)は、厳密にはステップS313相当の時刻にはならず、ステップS308相当の時刻になる。また、トークン有効期限(expクレーム)も、ステップS308相当の時刻から決定される。従って、ステップS308とステップS313の時間の異なりでリソースサーバ側の処理や仕様の厳密性に影響が出る場合があり得る。
実施形態1、2ではOpenID Connectの認可コードフローに基づいて説明し、認証サーバ102が発行するトークンもIDトークンとして説明したが、本発明はこれに限るものではない。例えばトークンが単なるUUIDなど、IDトークンではないフォーマットのものであっても良い。また、認証リクエスト受信部105がステップS302で遷移するエンドポイントがOpenID Connectの認可エンドポイントに準じていなくとも良い。また、トークンリクエスト受信部111がステップS312で受信するエンドポイントがOpenID Connectのトークンエンドポイントに準じていなくとも良い。認証サーバ102で発行したトークンを、認証連携サーバ101で発行したコードに対応付けて保存し、リソースサーバがそのコードでトークンをリクエストした時にコードに対応付けたトークンを返却しても良い。
実施形態1から3においては認証連携サーバ101、認証サーバ102、リソースサーバ104の三種のサーバがあるが、これらは別々の装置で構成されるとは限らない。例えば、認証連携サーバ101とリソースサーバ104とが同じ装置で構成されていて、ステップS302、S311、S312、S313が同装置内で動作する機能間の通信でも良い。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
102 認証サーバ
103 ユーザ端末
104 リソースサーバ
105 認証リクエスト受信部
106 認証画面処理部
107 認証情報送信部
108 トークン受信部
109 コード発行部
110 保存部
111 トークンリクエスト受信部
112 トークン送信部
113 トークン更新部
Claims (9)
- ユーザ端末に対するサービスを提供するリソースサーバに対し、認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携サーバあって、
前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信手段と、
前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信手段と、
認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行手段と、
前記コードと前記トークンとを対応付けて保存する保存手段と、
前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信手段と、
を有することを特徴とする認証連携サーバ。 - 前記ユーザ端末で前記認証情報を入力するための認証画面を、前記ユーザ端末に提供する処理手段をさらに有することを特徴とする請求項1に記載の認証連携サーバ。
- 前記リソースサーバからの認証リクエストを受信するリクエスト受信手段をさらに有し、
前記処理手段は、前記認証リクエストに基づいて前記認証画面を提供し、
前記コード発行手段は、前記認証リクエストの応答として前記コードを前記リソースサーバに送信することを特徴とする請求項2に記載の認証連携サーバ。 - 前記コード発行手段は、OpenID Connectに準じて前記コードを送信し、前記トークン送信手段は、OpenID Connectに準じて前記トークンを送信することを特徴とする請求項1に記載の認証連携サーバ。
- 前記トークンには、IDトークンもしくはリフレッシュトークンが含まれることを特徴とする請求項1に記載の認証連携サーバ。
- 前記コードに対応するトークンを更新するリクエストを前記認証サーバに送信し、前記認証サーバから更新したトークンを受信するトークン更新手段をさらに有し、
前記トークン送信手段は、前記トークン更新手段によって更新したトークンを前記リソースサーバへ送信することを特徴とする請求項1に記載の認証連携サーバ。 - ユーザ端末に対するサービスを提供するリソースサーバに対し、認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携方法あって、
前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信工程と、
前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信工程と、
認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行工程と、
前記コードと前記トークンとを対応付けて保存する保存工程と、
前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信工程と、
を有することを特徴とする認証連携方法。 - コンピュータを、
ユーザ端末に対するサービスを提供するリソースサーバに対し、認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携サーバあって、
前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信手段と、
前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信手段と、
認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行手段と、
前記コードと前記トークンとを対応付けて保存する保存手段と、
前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信手段と、
を有することを特徴とする認証連携サーバとして機能させるためのプログラム。 - 認証サーバと、
ユーザ端末に対するサービスを提供するリソースサーバに対して、前記認証サーバと連携して、前記ユーザ端末の認証をするための機能を提供する認証連携サーバあって、
前記ユーザ端末の認証情報を前記認証サーバへ送信する認証情報送信手段と、
前記認証サーバから、前記ユーザ端末が前記リソースサーバにアクセスするために用いられるトークンを受信するトークン受信手段と、
認証成功したレスポンスを識別するためのコードを発行して前記リソースサーバに送信するコード発行手段と、
前記コードと前記トークンとを対応付けて保存する保存手段と、
前記リソースサーバから前記コードを送信された場合、当該コードに対応する前記トークンを前記リソースサーバへ送信するトークン送信手段と、
を有することを特徴とする認証連携サーバとを有することを特徴とする認証連携システム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021013917A JP7543154B2 (ja) | 2021-01-29 | 2021-01-29 | 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム |
US17/579,116 US20220247745A1 (en) | 2021-01-29 | 2022-01-19 | Federated authentication server, federated authentication method, federated authentication system, and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021013917A JP7543154B2 (ja) | 2021-01-29 | 2021-01-29 | 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022117303A true JP2022117303A (ja) | 2022-08-10 |
JP7543154B2 JP7543154B2 (ja) | 2024-09-02 |
Family
ID=82611856
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021013917A Active JP7543154B2 (ja) | 2021-01-29 | 2021-01-29 | 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20220247745A1 (ja) |
JP (1) | JP7543154B2 (ja) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6675163B2 (ja) | 2015-07-24 | 2020-04-01 | キヤノン株式会社 | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム |
JP6266049B1 (ja) | 2016-07-25 | 2018-01-24 | 三井情報株式会社 | 情報処理システム、情報処理方法、情報処理装置及びプログラム |
JP6626466B2 (ja) | 2017-02-17 | 2019-12-25 | 日本電信電話株式会社 | Api提供装置及びapi使用権委譲の同意方法 |
-
2021
- 2021-01-29 JP JP2021013917A patent/JP7543154B2/ja active Active
-
2022
- 2022-01-19 US US17/579,116 patent/US20220247745A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US20220247745A1 (en) | 2022-08-04 |
JP7543154B2 (ja) | 2024-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11431501B2 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
EP3451617B1 (en) | Authority transfer system, control method therefor, computer program and storage medium | |
JP5662507B2 (ja) | 認証方法、認証システム、および、サービス提供サーバ | |
US9143502B2 (en) | Method and system for secure binding register name identifier profile | |
US9154504B2 (en) | Device apparatus, control method, and relating storage medium | |
JP2019046059A (ja) | 権限委譲システム、制御方法、およびプログラム | |
US20090205014A1 (en) | System and method for application-integrated information card selection | |
KR960035299A (ko) | 원격 사용자와 응용 서버간의 통신 관리 방법, 원격 사용자의 주체 인증 방법, 분산 컴퓨터 환경을 제공하는 네트워크 및 프로그램 저장 장치 | |
US20200153814A1 (en) | Method for authentication with identity providers | |
US11165768B2 (en) | Technique for connecting to a service | |
KR20110055542A (ko) | 유저 인증을 관리하기 위한 장치 | |
JP2006031064A (ja) | セッション管理システム及び管理方法 | |
JP5727661B2 (ja) | 認証方法、認証システム、サービス提供サーバ、および認証サーバ | |
JP2016115260A (ja) | 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム | |
JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
JP6833658B2 (ja) | サーバ装置、機器、証明書発行方法、証明書要求方法、証明書発行プログラム及び証明書要求プログラム | |
JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
JP7414792B2 (ja) | ユーザプロフィール提供方法及び装置 | |
JP7543154B2 (ja) | 認証連携サーバ、認証連携方法、認証連携システムおよびプログラム | |
Catuogno et al. | Achieving interoperability between federated identity management systems: A case of study | |
KR20150095255A (ko) | 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법 | |
JP5793593B2 (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 | |
JP2018041347A (ja) | 認証システム | |
Baker | OAuth2 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20231213 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240126 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240619 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240723 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240821 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7543154 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |