JP2022165032A - Relay server and access control system - Google Patents
Relay server and access control system Download PDFInfo
- Publication number
- JP2022165032A JP2022165032A JP2021070204A JP2021070204A JP2022165032A JP 2022165032 A JP2022165032 A JP 2022165032A JP 2021070204 A JP2021070204 A JP 2021070204A JP 2021070204 A JP2021070204 A JP 2021070204A JP 2022165032 A JP2022165032 A JP 2022165032A
- Authority
- JP
- Japan
- Prior art keywords
- user
- server
- information
- terminal
- relay server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 22
- 238000012545 processing Methods 0.000 claims description 48
- 238000000034 method Methods 0.000 description 19
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000010365 information processing Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- QIVUCLWGARAQIO-OLIXTKCUSA-N (3s)-n-[(3s,5s,6r)-6-methyl-2-oxo-1-(2,2,2-trifluoroethyl)-5-(2,3,6-trifluorophenyl)piperidin-3-yl]-2-oxospiro[1h-pyrrolo[2,3-b]pyridine-3,6'-5,7-dihydrocyclopenta[b]pyridine]-3'-carboxamide Chemical compound C1([C@H]2[C@H](N(C(=O)[C@@H](NC(=O)C=3C=C4C[C@]5(CC4=NC=3)C3=CC=CN=C3NC5=O)C2)CC(F)(F)F)C)=C(F)C=CC(F)=C1F QIVUCLWGARAQIO-OLIXTKCUSA-N 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 210000003462 vein Anatomy 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、中継サーバ及びアクセス制御システムに関する。 The present invention relates to relay servers and access control systems.
近年、クラウドコンピューティングと呼ばれるシステムによって、インターネットを介してユーザが何処からでもアクセスできるようになり、ユーザの利便性を図れるようになってきている。 In recent years, a system called cloud computing has made it possible for users to access from anywhere via the Internet, thereby improving user convenience.
一方、セキュリティの観点からユーザ環境内(例えば、会社内)に配置された装置内の情報を読み取るいわゆるオンプレミスでのシステム運用を望むユーザも少なくない。オンプレミスでのシステムは、外部から攻撃を受ける可能性が低く、情報漏洩のリスクが低いと言われている。 On the other hand, from the viewpoint of security, there are many users who desire so-called on-premises system operation that reads information in devices placed in the user environment (for example, in the company). On-premise systems are said to be less likely to be attacked from the outside and have a lower risk of information leakage.
また、従来技術では、VPN(Virtual Private Network)と呼ばれるインターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用のネットワークを確立し、インターネットに接続された端末とオンプレミスとの間で相互通信を行う技術が存在する。また、クラウド(オフプレミスプラットフォーム)と、オンプレミスプラットフォームとの環境間で、相互認証されるTLS(Transport Layer Security)トンネルを接続し、データを転送する技術も存在する(特許文献1の0032段落参照)。 Also, in the conventional technology, a virtual private line is set up on the Internet called a VPN (Virtual Private Network), a dedicated network that can be used only by a specific person is established, and a connection between a terminal connected to the Internet and an on-premises network is established. There are technologies for intercommunicating with There is also a technology that connects mutually authenticated TLS (Transport Layer Security) tunnels between cloud (off-premises platform) and on-premises platform environments to transfer data (see paragraph 0032 of Patent Document 1). .
また、インターネットを介して接続されているユーザの端末が、オンプレミスにもアクセスできれば、ユーザにとっての利便性が高まるが、当該端末は、インターネットを介して接続されているため、情報漏洩のリスクも存在する。 Also, if a user's terminal connected via the Internet can access the on-premises, convenience for the user will increase, but since the terminal is connected via the Internet, there is a risk of information leakage. do.
また、ユーザの端末がオンプレミスにもアクセスする手法としてVPNが考えられるが、導入コストがかかりユーザの負担が大きいという問題がある。また、VPNは、オンプレミスのサーバに侵入されてしまうと、LAN領域の中の他のサービスや他のサーバに容易にアクセスされてしまうという問題点や、接続が切れた後に、もう一度ログイン作業が必要なるという不便さ、輻輳により通信速度が遅くなるという問題もある。 Also, VPN is conceivable as a method for allowing a user's terminal to access on-premises, but there is a problem that the introduction cost is high and the burden on the user is heavy. Another problem with VPN is that if an on-premises server is compromised, other services and other servers within the LAN area can be accessed easily, and it is necessary to log in again after the connection is disconnected. There is also the problem that the communication speed slows down due to congestion.
本発明は、上述した課題に鑑みたものでありその目的は、インターネット上のユーザの端末が、オンプレミスのサーバへのアクセスに関して、ユーザにとって利便性が高くセキュリティを向上した中継サーバ及びアクセス制御システムを提供することにある。 The present invention has been made in view of the above-mentioned problems, and its object is to provide a relay server and an access control system that are highly convenient for users and have improved security when user terminals on the Internet access to on-premise servers. to provide.
(1)本発明は、
ユーザの端末とオンプレミスのサーバとがインターネットを介して接続され、当該端末及び当該オンプレミスのサーバそれぞれとインターネットを介して接続される中継サーバであって、
オンプレミスのサーバの情報に基づいて、前記オンプレミスのサーバに対してアクセス
可能な固有の照会情報を生成する照会情報生成部と、
ユーザのユーザ情報を管理するユーザ制御部と、
ユーザの端末からアクセスを受け付けた場合に当該ユーザの認証の許否を判定する認証処理部と、
前記ユーザの認証が許可された場合に、前記照会情報を前記ユーザの端末に提示する提示部と、
認証が許可された前記ユーザの端末と、前記オンプレミスのサーバとの通信を中継する中継処理部と、
を含む中継サーバに関する。
(1) The present invention is
A relay server in which a user's terminal and an on-premise server are connected via the Internet, and each of the terminal and the on-premise server is connected via the Internet,
a query information generation unit that generates unique query information accessible to the on-premises server based on the information of the on-premises server;
a user control unit that manages user information of a user;
an authentication processing unit that determines whether or not to allow authentication of the user when access is received from the user's terminal;
a presentation unit that presents the inquiry information to the terminal of the user when the authentication of the user is permitted;
a relay processing unit that relays communication between the authenticated user terminal and the on-premises server;
relating to a relay server including
なお、本発明は、上記中継サーバの各部として、コンピュータを機能させることを特徴とするプログラムに関する。また、本発明は、上記プログラムが記憶された情報記憶媒体に関する。 The present invention also relates to a program that causes a computer to function as each part of the relay server. The present invention also relates to an information storage medium storing the above program.
本発明によれば、ユーザの認証が許可された場合に、オンプレミスのサーバに対してアクセス可能な固有の照会情報をユーザの端末に提示し、認証が許可されたユーザの端末と、オンプレミスのサーバとの通信を中継するので、不正なユーザからのオンプレミスのサーバへのアクセスを防止し、セキュリティを向上させることができる。 According to the present invention, when user authentication is permitted, unique inquiry information that can access an on-premises server is presented to the user's terminal, and the authentication-permitted user's terminal and the on-premises server By relaying communication with the server, it is possible to prevent unauthorized users from accessing the on-premises server and improve security.
(2)また本発明のサーバ、プログラム及び情報記憶媒体は、
前記照会情報生成部は、
オンプレミスのサーバ毎に異なる照会情報を生成するようにしてもよい。
(2) The server, program and information storage medium of the present invention are
The inquiry information generation unit
Different inquiry information may be generated for each on-premises server.
本発明によれば、複数のオンプレミスのサーバが存在する場合に、オンプレミスのサーバ毎に異なる照会情報を生成するので、複数のオンプレミスのサーバそれぞれを適切に管理し、通信を中継することができる。 According to the present invention, when there are a plurality of on-premises servers, different inquiry information is generated for each on-premises server, so each of the plurality of on-premises servers can be appropriately managed and communication can be relayed.
(3)また本発明のサーバ、プログラム及び情報記憶媒体は、
前記照会情報生成部は、
サービス毎に異なる照会情報を生成するようにしてもよい。
(3) The server, program and information storage medium of the present invention are
The inquiry information generation unit
Different inquiry information may be generated for each service.
本発明によれば、オンプレミスのサーバにおいて複数のサービスを提供している場合に、サービス毎に異なる照会情報を生成するので、複数のサービスそれぞれを適切に管理し、通信を中継することができる。 According to the present invention, when a plurality of services are provided by an on-premises server, different inquiry information is generated for each service, so each of the plurality of services can be appropriately managed and communication can be relayed.
(4)また本発明のサーバ、プログラム及び情報記憶媒体は、
前記ユーザ制御部は、
ユーザ毎に、ユーザのユーザ情報に基づいて、各照会情報に対する当該ユーザのアクセス可否を判定し、
前記提示部は、
ユーザ毎に、当該ユーザがアクセス可能な照会情報を、当該ユーザの端末に提示するようにしてもよい。
(4) The server, program and information storage medium of the present invention are
The user control unit
For each user, based on the user's user information, determine whether the user can access each inquiry information,
The presentation unit
For each user, inquiry information accessible by the user may be presented on the terminal of the user.
本発明によれば、ユーザ毎に、ユーザのユーザ情報に基づいて、各照会情報に対する当該ユーザのアクセス可否を判定するので、特定のユーザに対して照会情報をアクセス可能とし、その他のユーザに対して照会情報をアクセス不可にする、という制御が可能になり、利便性とセキュリティの両方を考慮した制御を行うことができる。 According to the present invention, whether or not the user can access each item of inquiry information is determined for each user based on the user information of the user. In this way, it is possible to control access to the inquiry information by using the access control, and control can be performed considering both convenience and security.
(5)本発明は、
ユーザの端末と、オンプレミスのサーバと、中継サーバとがそれぞれインターネットを
介して接続されるアクセス制御システムであって、
前記中継サーバは、
オンプレミスのサーバの情報に基づいて、前記オンプレミスのサーバに対してアクセス可能な固有の照会情報を生成する照会情報生成部と、
ユーザのユーザ情報を管理するユーザ制御部と、
ユーザの端末からアクセスを受け付けた場合に当該ユーザの認証の許否を判定する認証処理部と、
前記ユーザの認証が許可された場合に、前記照会情報を前記ユーザの端末に提示する提示部と、
認証が許可された前記ユーザの端末と、前記オンプレミスのサーバとの通信を中継する中継処理部と、を含み、
前記オンプレミスのサーバは、
認証が許可された前記ユーザの端末から、前記中継サーバを経由して前記照会情報によるアクセスを受け付けた場合に、前記照会情報に示される情報を、前記中継サーバを経由して前記ユーザの端末に提示するアクセス制御システムに関する。
(5) The present invention is
An access control system in which a user terminal, an on-premise server, and a relay server are connected via the Internet,
The relay server
a query information generation unit that generates unique query information accessible to the on-premises server based on the information of the on-premises server;
a user control unit that manages user information of a user;
an authentication processing unit that determines whether or not to allow authentication of the user when access is received from the user's terminal;
a presentation unit that presents the inquiry information to the terminal of the user when the authentication of the user is permitted;
a terminal of the user whose authentication is permitted, and a relay processing unit that relays communication with the on-premises server;
The on-premise server is
When access by the inquiry information is accepted from the terminal of the authenticated user via the relay server, the information indicated in the inquiry information is sent to the terminal of the user via the relay server. It relates to the presented access control system.
本発明によれば、ユーザの認証が許可された場合に、オンプレミスのサーバに対してアクセス可能な固有の照会情報をユーザの端末に提示し、認証が許可されたユーザの端末と、オンプレミスのサーバとの通信を中継するので、不正なユーザからのオンプレミスのサーバへのアクセスを防止し、セキュリティを向上させることができる。 According to the present invention, when user authentication is permitted, unique inquiry information that can access an on-premises server is presented to the user's terminal, and the authentication-permitted user's terminal and the on-premises server By relaying communication with the server, it is possible to prevent unauthorized users from accessing the on-premises server and improve security.
以下、本実施形態について説明する。なお、以下に説明する本実施形態は、特許請求の範囲に記載された本発明の内容を不当に限定するものではない。また本実施形態で説明される構成の全てが、本発明の必須構成要件であるとは限らない。 The present embodiment will be described below. It should be noted that the embodiments described below do not unduly limit the content of the present invention described in the claims. Moreover, not all the configurations described in the present embodiment are essential constituent elements of the present invention.
[1]ネットワーク
図1は、アクセス制御システムのネットワーク図の一例を示す。本実施形態のアクセス制御システムは、中継サーバ10と、ユーザの端末20と、オンプレミスのサーバ30とが、それぞれネットワーク(インターネット)を介して接続される。
[1] Network FIG. 1 shows an example of a network diagram of an access control system. In the access control system of this embodiment, a
つまり、本実施形態の中継サーバ10は、ユーザの端末20及びオンプレミスのサーバ30それぞれとインターネットを介して接続され、端末20とサーバ30との通信を中継することを目的に設定されたサーバである。
In other words, the
本実施形態の中継サーバ10は、ユーザ情報を管理し、ユーザの認証処理を行う情報処理装置である。
The
端末20は、クライアント装置であり、スマートフォン、携帯電話、PHS、コンピュータ、ゲーム装置、PDA、画像生成装置などの情報処理装置であり、インターネット(WAN)、LANなどのネットワークを介して中継サーバ10に接続可能な装置である。
The terminal 20 is a client device, and is an information processing device such as a smart phone, a mobile phone, a PHS, a computer, a game device, a PDA, or an image generation device, and communicates with the
オンプレミス(On-Premise)のサーバ30は、使用者側(例えば、企業側)が構築し運用するサーバであり、使用者側が管理する設備内に設置される情報処理装置である。
The on-
オンプレミスのサーバ30は、基本的に外部(インターネット)に対して非公開にするサービス(例えば、自社やグループ内でのみ使用するサービス、機密情報などのサービス、社内用メールサーバ、社内会議システム)を運用するが、以下に説明するように、本実施形態では、認証許可された一部のユーザの端末20から、中継サーバ10を介して、オンプレミスのサーバ30にアクセスを可能となるように制御している。
The on-
[2]構成
図2は、本実施形態の中継サーバ10の機能ブロック図の一例である。なお本実施形態の中継サーバ10は、図2の各部を全て含む必要はなく、その一部を省略した構成としてもよい。
[2] Configuration FIG. 2 is an example of a functional block diagram of the
記憶部170は、処理部100の各部としてコンピュータを機能させるためのプログラムや各種データを記憶するとともに、処理部100の記憶領域として機能する。
The
記憶部170は、一時的な記憶領域や、ストレージを含む。ストレージとは、ハードディスク、光学ディスク、フラッシュメモリ、磁気テープ等であり、データを永続的に記憶する装置のことをいう。また、記憶部170は、情報記憶媒体180に格納されているプログラムやデータを記憶してもよい。
そして、本実施形態の記憶部170は、ワーク領域として使用される主記憶部171、ユーザ情報記憶部172、照会情報記憶部173を含む。なお、これらの一部を省略する構成としてもよい。
The
主記憶部171は、RAMなどにより実現できる。主記憶部171は、本実施形態の処理において使用される記憶領域である。
The
ユーザ情報記憶部172は、ユーザ情報(ユーザのアカウント、パスワード、メールアドレス等)が記憶される。ユーザ情報記憶部172は、DB(DBはデータベースの略、以下同様。)によって構成されていてもよい。
The user
照会情報記憶部173は、照会情報(URL)を記憶する。なお、照会情報記憶部173は、DBによって構成されていてもよい。
The inquiry
情報記憶媒体180(コンピュータにより読み取り可能な媒体)は、プログラムやデータなどを格納するものであり、その機能は、光ディスク(CD、DVD)、光磁気ディスク(MO)、磁気ディスク、ハードディスク、磁気テープ、或いはメモリ(ROM)などのストレージにより実現できる。 The information storage medium 180 (computer-readable medium) stores programs and data, and its functions include optical discs (CD, DVD), magneto-optical discs (MO), magnetic discs, hard disks, and magnetic tapes. , or a storage such as a memory (ROM).
通信部196は外部(例えば、端末、他のサーバや他のネットワークシステム)との間で通信を行うための各種制御を行うものであり、その機能は、各種プロセッサ又は通信用ASICなどのハードウェアや、プログラムなどにより実現できる。
The
処理部100は、記憶部170又は情報記憶媒体180に格納されるプログラム(データ)に基づいて本実施形態の種々の処理を行う。
The processing unit 100 performs various processes of this embodiment based on programs (data) stored in the
処理部100(プロセッサ)は、記憶部170内の主記憶部171をワーク領域として
各種処理を行う。処理部100の機能は各種プロセッサ(CPU、DSP等)などのハードウェアや、プログラムにより実現できる。
The processing unit 100 (processor) performs various processes using the
処理部100は、ユーザ制御部111、認証処理部112、照会情報生成部113、提示部114、中継処理部115、Web処理部120を含む。
The processing unit 100 includes a
ユーザ制御部111は、ユーザのユーザ情報を管理する。また、ユーザ制御部111は、ユーザ毎に、ユーザのユーザ情報に基づいて、各照会情報(各URL)に対する当該ユーザのアクセス可否を判定してもよい。
The
認証処理部112は、ユーザの端末からアクセスを受け付けた場合に当該ユーザの認証の許否を判定する。
The
照会情報生成部113は、オンプレミスのサーバ30の情報に基づいて、オンプレミスのサーバ30に対してアクセス可能な固有の照会情報(例えば、URL)を生成する。
The inquiry
例えば、照会情報生成部113は、オンプレミスのサーバ30が複数存在する場合、オンプレミスのサーバ30毎に異なる照会情報を生成するようにしてもよい。また、照会情報生成部113は、複数のサービスが存在する場合、サービス毎に異なる照会情報を生成するようにしてもよい。
For example, if there are a plurality of on-
提示部114は、ユーザの認証が許可された場合に、照会情報をユーザの端末20に提示する。
The
中継処理部115は、認証が許可されたユーザの端末20と、オンプレミスのサーバ30との通信を中継する。
The
Web処理部120は、HTTP(Hypertext Transfer Protocol)を通じて、端末20にインストールされているWebブラウザなどのクライアントソフトウエアの要求に応じてHTML(Hyper Text Markup Language)文書や画像などのデータを送信(提供)する処理、端末のWebブラウザにおいて受け付けたデータを受信する処理を行う。そして、サーバは、管理者やユーザの各端末から受信した情報に基づき、メールの処理、DBの更新処理等を行う。
The
Web処理部120は、管理者の端末20のWebブラウザからのアクセス要求に応じて管理設定用のデータ等を管理者の端末20に送信(提供)する処理を行い、当該管理者の端末20から情報を受信する処理を行うようにしてもよい。
The
つまり、Web処理部120は、管理者からの入力に基づいて、各データをDBへ追加、削除、更新処理等を行うようにしてもよい。なお、管理者用のWebページ(URL)へのアクセスは、管理者のみに権限が与えられる。
In other words, the
また、Web処理部120は、ログイン処理や、端末20のWebブラウザからの要求に応じて、ログインしたユーザに関連する情報のWebページを閲覧可能に制御する処理を行う。
The
なお、処理部100の一部又は全部の処理は、及び、記憶部170は1つの装置で実行させてもよいし、処理の用途に応じて異なる装置に分散して各処理を実行させるようにしてもよい。
Part or all of the processing of the processing unit 100 and the
[3]エージェントの説明
図3に示すように、オンプレミスのネットワーク内(LAN内)に存在するオンプレミス側の所与の装置には、エージェントプログラムがインストールされる。すなわち、エージェントプログラムがインストールされたオンプレミス側の装置は、エージェント(エージェント装置)と言い換えることができる。
[3] Description of Agent As shown in FIG. 3, an agent program is installed in a given device on the on-premise side that exists within the on-premise network (LAN). In other words, the on-premise device in which the agent program is installed can be rephrased as an agent (agent device).
例えば、オンプレミス側の装置は、オンプレミスのサーバ30(サーバ30Aやサーバ30B)でもよいし、図示していないが、オンプレミスのサーバ30(サーバ30Aやサーバ30B)に接続される端末20Xでもよい。端末20Xは、オンプレミスのサーバ30と同じネットワーク環境内(LAN内)に存在する情報処理装置である。
For example, the on-premise device may be the on-premise server 30 (server 30A or server 30B) or, although not shown, a terminal 20X connected to the on-premise server 30 (server 30A or server 30B). The terminal 20X is an information processing device that exists within the same network environment (within the LAN) as the on-
エージェントは、エージェントの記憶部に、予めオンプレミスのサーバ30のIPアドレス、ホスト名、各サービスの情報(各ポート番号)を含む「オンプレミスのサーバ30の情報」を記憶する。
The agent stores "on-
ここで、「サービス」とは、TCP/IPネットワークプロトコルに対するサービスを示す。また「サービス」は、サービスを識別するためのポート番号と解釈してもよい。 Here, "service" indicates a service for the TCP/IP network protocol. Also, "service" may be interpreted as a port number for identifying a service.
例えば、オンプレミスのサーバ30にエージェントがインストールされた場合、当該オンプレミスのサーバ30の記憶部に「オンプレミスのサーバ30の情報」を記憶する。また、端末20Xに、エージェントがインストールされた場合、端末20Xの記憶部に「オンプレミスのサーバ30の情報」を記憶する。
For example, when an agent is installed on the on-
エージェントは、複数のオンプレミスのサーバ30(例えば、サーバ30A及びサーバ30B)を管理してもよい。また、エージェントは、1つのオンプレミスのサーバ30(例えば、サーバ30A)のみを管理してもよい。かかる場合、1つのオンプレミスのサーバ30に対応する1つのエージェントが存在することになる。
An agent may manage multiple on-premises servers 30 (eg, server 30A and server 30B). Also, an agent may manage only one on-premises server 30 (for example, server 30A). In such a case, there will be one agent corresponding to one on-
また、エージェントは、オンプレミスのサーバ30の複数のサービス(例えば、サービスSA及びサービスSB)を管理してもよい。また、エージェントは、オンプレミスのサーバ30の1つのサービス(例えば、サービスSA)のみを管理してもよい。かかる場合、1つのサービスに対応する1つのエージェントが存在することになる。
Also, the agent may manage multiple services of the on-premises server 30 (for example, service SA and service SB). Also, the agent may manage only one service (for example, service SA) of the on-
また、エージェントは、エージェントが管理するオンプレミスのサーバ30のサービスの起動(有効)や停止(無効)の制御を行う。例えば、エージェントは、アクセス制御システムの管理者の入力情報に基づいて、オンプレミスのサーバ30のサービスを起動又は停止に制御することができる。
In addition, the agent controls activation (validation) and termination (invalidation) of services of the on-
[4]照会情報の生成に関する説明
中継サーバ10は、オンプレミスのサーバ30の情報に基づいて、オンプレミスのサーバ30に対してアクセス可能な固有の照会情報を生成する。
[4] Description of Generating Inquiry Information Based on the information of the on-
照会情報は、中継サーバ10が、認証が許可されたユーザに対して公開するグローバルなURLである。例えば、インターネット上などの外部(組織外、社外)に存在するユーザの端末20が、組織内(例えば、社内)のネットワークにアクセスするためのURLである。
The inquiry information is a global URL disclosed by the
ここで「照会情報」とは、例えば、HTTP(Hyper Text Transfer Protocol)やHTTPS(Hyper Text Transfer Protocol Secure)等のプロトコルでインターネット上のウェブページを一意
に指定するためのURLとすることができる。なお、照会情報は、FTP(File Transfer Protocol)等、他の通信プロトコルによってデータを送受信可能なサーバの情報であってもよい。例えば、照会情報がURLの場合、所定のURLの形式に従って照会情報を生成する。
Here, the “inquiry information” can be, for example, a URL for uniquely specifying a web page on the Internet using a protocol such as HTTP (Hyper Text Transfer Protocol) or HTTPS (Hyper Text Transfer Protocol Secure). Note that the inquiry information may be information about a server capable of transmitting and receiving data using another communication protocol such as FTP (File Transfer Protocol). For example, if the inquiry information is a URL, the inquiry information is generated according to a predetermined URL format.
エージェントは、サービスを起動させると、中継サーバ10に対してTCPのコネクション(例えば、Long-Lived TCP Connection)を張り、中継サーバ10に対して照会情報の生成依頼情報を送信する。そして、中継サーバ10は、エージェントから照会情報の生成依頼情報を受信したタイミングで、当該エージェントが管理するサーバのサービスに対応する照会情報を生成する。なお、コネクションはトンネルと言い換えてもよい。
When the agent activates the service, it establishes a TCP connection (for example, Long-Lived TCP Connection) to the
例えば、エージェントが、オンプレミスのサーバ30AのサービスSA(例えば、ポート80番のWebサービス)を起動させると、サービスSAと中継サーバ10とにおいてTCPのコネクションを張り、中継サーバ10に対して、サービスSAの照会情報の生成依頼情報を送信する。そして、中継サーバ10は、当該エージェントから照会情報の生成依頼情報を受信したタイミングで、当該サービスSAに対応する照会情報L1(例えば、「https://example1.com.hennge.io/」)を生成する。このコネクションと照会情報L1とは対応関係にある。
For example, when the agent activates the service SA of the on-premises server 30A (for example, a Web service on port 80), a TCP connection is established between the service SA and the
具体的には、中継サーバ10は、トンネリングツールであるアプリケーションプログラムを実行してURLを生成する。このアプリケーションプログラムは、ローカル環境上で実行しているサービスをインターネットからアクセスすることができるように外部公開できる処理を行うものである。
Specifically,
例えば、中継サーバ10は、当該エージェントに記憶されたオンプレミスのサーバ30AのサービスSAの情報(例えば、オンプレミスのサーバ30Aのホスト名、IPアドレス、サービスSAのポート番号「80」等)に基づいて、当該アプリケーションプログラムを実行して、外部公開できるURL(例えば、「https://xxxx.xxxx.io/」)を取得する。取得した当該URLを、照会情報そのものとしてもよいが、本実施形態では、管理者の入力情報に基づくDNS(ドメインネームサーバ)の設定により、取得した当該URLのドメインを、中継サーバ10のドメインに変更したURL(例えば、「https://example1.com.hennge.io/」)を、照会情報L1とする。
For example, the
また、エージェントが、オンプレミスのサーバ30AのサービスSB、オンプレミスのサーバ30BのサービスSC、サービスSDを起動させた場合も、サービスSAを起動させたときと同様に、中継サーバ10が、各サービスに対応する照会情報を生成する。
Also, when the agent activates the service SB of the on-premises server 30A, the service SC, and the service SD of the on-premises server 30B, the
つまり、エージェントが、オンプレミスのサーバ30AのサービスSB(例えば、ポート443番のHTTPSサービス)を起動させると、サービスSBと中継サーバ10とにおいてTCPのコネクションを張り、中継サーバ10に対して、サービスSBの照会情報の生成依頼情報を送信する。そして、中継サーバ10は、当該エージェントから照会情報の生成依頼情報を受信したタイミングで、当該サービスSBに対応する照会情報L2(例えば、「https://example2.com.hennge.io/」)を生成する。なお、中継サーバ10は、当該エージェントに記憶されたオンプレミスのサーバ30AのサービスSBの情報(例えば、オンプレミスのサーバ30Aのホスト名、IPアドレス、サービスSBのポート番号「443」等)に基づいて、照会情報L2を生成する。
That is, when the agent activates the service SB of the on-premises server 30A (for example, the HTTPS service of port 443), a TCP connection is established between the service SB and the
また、エージェントが、オンプレミスのサーバ30BのサービスSC(例えば、ポート
80番のWebサービス)を起動させると、サービスSCと中継サーバ10とにおいてTCPのコネクションを張り、中継サーバ10に対して、サービスSBの照会情報の生成依頼情報を送信する。そして、中継サーバ10は、当該エージェントから照会情報の生成依頼情報を受信したタイミングで、当該サービスSCに対応する照会情報L3(例えば、「https://example3.com.hennge.io/」)を生成する。なお、中継サーバ10は、当該エージェントに記憶されたオンプレミスのサーバ30BのサービスSCの情報(例えば、オンプレミスのサーバ30Bのホスト名、IPアドレス、サービスSCのポート番号「80」等)に基づいて、照会情報L3を生成する。
Also, when the agent activates the service SC (for example, a web service on port 80) of the on-premises server 30B, a TCP connection is established between the service SC and the
また、エージェントが、オンプレミスのサーバ30BのサービスSD(例えば、ポート443番のHTTPSサービス)を起動させると、サービスSDと中継サーバ10とにおいてTCPのコネクションを張り、中継サーバ10に対して、サービスSDの照会情報の生成依頼情報を送信する。そして、中継サーバ10は、当該エージェントから照会情報の生成依頼情報を受信したタイミングで、当該サービスSDに対応する照会情報L4(例えば、「https://example4.com.hennge.io/」)を生成する。なお、中継サーバ10は、当該エージェントに記憶されたオンプレミスのサーバ30BのサービスSDの情報(例えば、オンプレミスのサーバ30Bのホスト名、IPアドレス、サービスSDのポート番号「443」等)に基づいて、照会情報L4を生成する。
Also, when the agent activates the service SD of the on-premise server 30B (for example, the HTTPS service of port 443), a TCP connection is established between the service SD and the
つまり、中継サーバ10は、オンプレミスのサーバ30が複数存在する場合、オンプレミスのサーバ30毎に異なる照会情報を生成する。これにより、本実施形態では、オンプレミスのサーバ単位で細かくアクセス制御することができる。
That is, when there are a plurality of on-
また、中継サーバ10は、複数のサービスが存在する場合、サービス毎に異なる照会情報を生成する。つまり、本実施形態では、サービス単位(ポート単位)で細かくアクセス制御することができる。
Also, when there are a plurality of services, the
[5]ユーザ情報に関する説明
中継サーバ10は、ユーザのユーザ情報を管理する。特に、本実施形態の中継サーバ10は、ユーザ毎に、ユーザのユーザ情報に基づいて、各照会情報(各URL)に対する当該ユーザのアクセス可否を判定する。
[5] Description of User Information The
例えば、中継サーバ10は、各照会情報に対応するオンプレミスのサーバ30の各種情報(サーバのホスト名やサービス)に基づいて、各照会情報のアクセス可否を判定するようにしてもよい。また、ユーザ情報には、ユーザが属する属性(グループ名、部署名、役職、等)の情報を含む。中継サーバ10は、ユーザの属性に基づいて、各照会情報のアクセス可否を判定するようにしてもよい。
For example, the
例えば、図4に示すように、ユーザ毎のユーザIDに対応付けて、各照会情報のアクセス可否フラグを設定する。アクセス可能な場合は「1」を設定し、アクセス不可(アクセス禁止)の場合は「0」を設定する。中継サーバ10は、ユーザ毎に、ユーザIDに対応付けられた各照会情報のアクセス可否フラグを、照会情報記憶部173に記憶するようにしてもよい。
For example, as shown in FIG. 4, an access enable/disable flag for each piece of inquiry information is set in association with the user ID of each user. "1" is set when accessible, and "0" is set when inaccessible (access prohibited).
例えば、ユーザA(ユーザID=A)は、照会情報L1、L2、L3にアクセス可能である。ユーザB(ユーザID=B)は、照会情報L2のみにアクセス可能である。また、ユーザC(ユーザID=C)は、照会情報L1、L3、L4にアクセス可能である。また、ユーザD(ユーザID=D)は、照会情報L4のみにアクセス可能である。 For example, user A (user ID=A) can access query information L1, L2, and L3. User B (user ID=B) can access only inquiry information L2. Also, user C (user ID=C) can access inquiry information L1, L3, and L4. User D (user ID=D) can access only inquiry information L4.
このように、本実施形態では、ユーザ毎に、アクセスできるオンプレミスのサーバ30
を決めることができる。また、本実施形態では、ユーザ毎に、オンプレミスのサーバ30でアクセスできるサービスを決めることができる。このようにすれば、必要なユーザに必要な情報を最小限で情報を開示することができる。また、サービスに関連するネットワーク上のトラフィックを必要最小限に抑えることができる。
Thus, in this embodiment, each user can access the on-
can decide. Further, in the present embodiment, services that can be accessed by the on-
なお、中継サーバ10は、組織毎(例えば、企業毎、グループ毎、学校毎、部署毎)にユーザ情報を管理するようにしてもよい。
Note that the
[6]認証処理に関する説明
中継サーバ10は、ユーザからアクセスを受け付けると、ユーザの認証の許否を判定する。本実施形態では、以下の複数の手法(A)~(H)のうち少なくとも1つについてユーザの正当性があると判定された場合に、ユーザの認証を許可すると判定する。一方、いずれの手法においても正当性がないと判定された場合に、ユーザの認証を拒否すると判定する。
[6] Description of Authentication Processing Upon receiving access from a user, the
なお、多要素認証の方がセキュリティを向上させることができるので、複数の手法(A)~(H)のうち少なくとも2つ(例えば、(A)及び(B))の正当性があると判定された場合に、ユーザの認証を許可すると判定してもよい。 Since multi-factor authentication can improve security, it is determined that at least two of the multiple methods (A) to (H) (for example, (A) and (B)) are valid. If so, it may be determined that the user's authentication is permitted.
(A)パスワード認証
認証手法は種々の手法が考えられる。例えば、ユーザ毎にアカウント(ユーザID)とパスワードとを予め定義し、ユーザがアカウントとパスワードを入力し、当該ユーザの端末20がアカウントとパスワードとを中継サーバ10に送信する。中継サーバ10は、ユーザの端末20から受信したユーザのアカウントとパスワードと、中継サーバ10で登録されている当該ユーザのアカウントとパスワードとが一致した場合に、ユーザに正当性があると判定する。
(A) Password Authentication Various authentication methods are conceivable. For example, an account (user ID) and password are defined in advance for each user, the user inputs the account and password, and the terminal 20 of the user transmits the account and password to the
また、パスワードは1回限り有効なワンタイムパスワードとしてもよい。例えば、端末20に予め中継サーバ10とアルゴリズムが同じワンタイムパスワードを生成するワンタイムパスワード生成プログラムをインストールし、ワンタイムパスワードを用いた認証を行う。例えば、端末20にインストールされたワンタイムパスワード生成プログラムと、中継サーバ10にインストールされたワンタイムパスワード生成プログラムにおいて、アルゴリズム及び種番号は一致しており、その結果、端末側で生成されたワンタイムパスワードと、中継サーバ10で生成されたパスワードとが一致していることになる。例えば、ワンタイムパスワード生成プログラムでは、所定周期(例えば、30秒毎)に、時刻と種番号とに基づいてワンタイムパスワードを生成する処理を行う。
Also, the password may be a one-time password that is effective only once. For example, a one-time password generation program that generates a one-time password having the same algorithm as that of the
(B)外部認証
中継サーバ10は、ユーザからアクセスを受け付けた場合に、外部の認証サーバ上(認証機関)で当該ユーザの認証を委任する。
(B) External Authentication When receiving access from a user, the
例えば、中継サーバ10は、外部の認証サーバ(認証機関)によってユーザの認証を判定し、認証サーバから受信する情報に基づいて、ユーザに正当性を判定する。認証サーバから受信する情報にユーザ情報(例えば、メールアドレス)が含まれる場合、当該ユーザ情報が、中継サーバ10が管理するユーザ情報と一致する場合、当該ユーザに正当性があると判定する。
For example, the
なお、本実施形態では、ユーザは、外部の認証サーバにおいて、予め宛先のユーザに対応するユーザ情報(例えば、アカウント及びパスワード等)を登録する必要がある。 In this embodiment, the user needs to register user information (for example, account and password) corresponding to the destination user in advance in the external authentication server.
また、認証サーバは、Google(登録商標)、Amazon(登録商標)、Facebook(登録商標)など複数種類あってもよく、ユーザから、一の認証サーバの選択の指示を受け付けてもよい。そして、中継サーバ10は、選択された認証サーバに認証を委任するようにする。
Further, there may be multiple types of authentication servers such as Google (registered trademark), Amazon (registered trademark), and Facebook (registered trademark), and an instruction to select one authentication server may be received from the user. Then, the
(C)生体認証
例えば、ユーザ毎に生体情報(顔、指紋、静脈)を予め中継サーバ10に登録し、ユーザが生体情報を入力して中継サーバ10に送信し、ユーザの端末20から受信したユーザの生体情報と、中継サーバ10で登録されている当該ユーザの生体情報とが一致した場合に、ユーザに正当性があると判定する。
(C) Biometric Authentication For example, biometric information (face, fingerprint, vein) for each user is registered in the
(D)第2の端末(スマートフォン等)を用いた認証
例えば、中継サーバ10は、所与の手法で、ユーザのアカウントに対応付けて、予め第2の端末の端末識別情報を登録する。そして、第2の端末の端末識別情報を用いて、ユーザの正当性を判定してもよい。
(D) Authentication using second terminal (smartphone, etc.) For example, the
(E)電話番号認証
例えば、中継サーバ10は、所与の手法で、ユーザの電話番号を登録し、当該ユーザの電話番号を用いて、ユーザの正当性を判定してもよい。
(E) Phone number authentication For example, the
(F)SSLクライアント証明書
中継サーバ10は、端末20から送信されるSSL(Secure Socket Layer)クライアント証明書が正当であるか否かを判断し、SSLクライアント証明書が正当である場合、ユーザに正当性が有ると判定してもよい。
(F) SSL Client Certificate The
(G)パスワードを使わずにユーザ認証を行う処理
中継サーバ10は、パスワードを使わずにユーザ認証を行う処理(公開鍵ベースのユーザ認証処理)を実行してもよい。例えば、中継サーバ10は、FIDO(登録商標)、FIDO2の認証処理を用いて、ユーザの正当性の有無を判定してもよい。例えば、FIDO2は、CTAP(Client To Authenticator Protocol)とWebAuthn(Web Authentication API)で構成されており、端末20のWebブラウザを介したユーザ認証が可能となる。
(G) Processing for user authentication without using a password The
(H)その他のユーザの認証処理
中継サーバ10は、上記以外の種々の認証処理を用いて、ユーザの正当性の有無を判定してもよい。
(H) Other User Authentication Process The
[7]照会情報の提示に関する説明
中継サーバ10は、ユーザの認証が許可された場合に、照会情報をユーザの端末20に提示する。ここで「提示」とは、Webページによって通知、表示することである。また「提示」とは、中継サーバ10がユーザの端末20に提示可能にすることを意味するものでもよい。
[7] Description of presentation of inquiry
なお、「提示」とは、中継サーバ10が端末20に対して、SMTPによる送受信される電子メール(メールマガジン等でもよい)で送信すること、SMTPに限らず、所与のプロトコルにより送信すること、プッシュ通知をすること(端末(スマートフォン)の画面の一部領域(上端など)にメッセージウィンドウを表示させること)、所定のアプリケーションの所定画面(バナー表示画面、お知らせ画面、ポップアップ画面等)を提示(表示、閲覧可能に制御)することであってもよい。
"Presentation" means that the
なお、中継サーバ10は、ユーザの端末20からの要求に応じて、要求のあった当該端末20に情報を送信することも「提示」の一態様としてもよい。
In addition, the
そして、オンプレミスのサーバ30は、認証が許可されたユーザの端末20から、中継サーバを経由して照会情報によるアクセスを受け付けた場合に、照会情報に示される情報を、中継サーバ10を経由して当該ユーザの端末20に提示する。
Then, when the on-
例えば、ユーザAを例にとり説明すると、中継サーバ10は、ユーザAの端末20Aからアクセスを受け付けると、まず、認証画面を提示する。そして、ユーザAの認証が許可されると、図5に示すように、中継サーバ10は、ユーザAの端末20Aに、ユーザAがアクセス可能な照会情報を提示した画面Sc1(照会情報一覧画面)を提示する。
For example, taking User A as an example, when the
例えば、図4に示すように、ユーザAは、照会情報L1、L2、L3にアクセスできる。したがって、図5に示すように、当該オンプレミスの情報画面Sc1では、照会情報L1、L2、L3が提示される。なお、図5に示すように、中継サーバ10は、各照会情報L1、L2、L3それぞれに対応するオンプレミスのサーバの情報を提示するようにしてもよい。なお、画面Sc1に表示する照会情報は、説明の便宜上、URLの形式で表示しているが、照会情報へのリンク(ハイパーリンク)を表示するようにしてもよい。
For example, as shown in FIG. 4, User A has access to query information L1, L2, L3. Therefore, as shown in FIG. 5, inquiry information L1, L2, and L3 are presented on the on-premises information screen Sc1. Incidentally, as shown in FIG. 5, the
ユーザAは、オンプレミスのサーバ30AのサービスSAにアクセスしたい場合、ユーザAは照会情報L1のワンクリックで、オンプレミスのサーバ30AのサービスSAに容易にアクセスできる。例えば、中継サーバ10は、ユーザAの端末20Aから照会情報L1のアクセスを受け付けると、オンプレミスのサーバ30Aから照会情報L1に応じた情報(例えば、照会情報L1のWebページの情報)を受信して、ユーザ端末20に送信する。
When user A wants to access service SA of on-premises server 30A, user A can easily access service SA of on-premises server 30A with one click on inquiry information L1. For example, when
[8]中継処理の説明
次に、中継サーバ10が行う中継処理について、図3を用いて具体的に説明する。例えば、図3に示すように、オンプレミスのサーバ30AのサービスSA及びサービスSB、オンプレミスのサーバ30BのサービスSC及びサービスSDは、サービスに対応するエージェントによって起動され、中継サーバ10に対して、TCPのコネクションが張られているとする。
[8] Description of Relay Processing Next, the relay processing performed by the
例えば、中継サーバ10が、ユーザAの端末20Aと、オンプレミスのサーバ30AのサービスSAとの通信を中継する例について説明する。
For example, an example in which the
まず、中継サーバ10は、ユーザAの端末20Aから照会情報L1へのアクセスを受け付けると、ユーザAの認証の許否を判定する。なお、中継サーバ10は、ユーザAの認証を許可した時点から所定期間内(例えば、ユーザAの認証を許可した時点から10分間の期間内)である場合、ユーザAの認証の許否判定の処理を省略してもよい。
First, when the
また、中継サーバ10が、端末20Aから照会情報である「https://example1.com.hennge.io/」を受け付けた場合とは、端末20Aから照会情報(例えば、URL)によって指定されるプロトコル(例えば、HTTPSのプロトコル)を通じて、中継サーバ10のWebサーバ「example1.com.hennge.io」にアクセスを受け付けたことを意味する。
Also, when
そして、中継サーバ10は、ユーザAの認証が許可されると、当該照会情報L1へのアクセスはオンプレミスのサーバ30AのサービスSAへのアクセスと判定できるので、予め張られているサービスSAのコネクションを使用して、サービスSAと端末20Aとの
間での通信を中継する。
Then, when the authentication of user A is permitted, the
なお、サービスSAに対応するエージェントは、当該コネクションで伝わってきた情報は、オンプレミスのサーバ30のサービスSA(80番ポート)であると判定し、当該サービスSA(80番ポート)に送信(伝達)することになる。
The agent corresponding to the service SA determines that the information transmitted through the connection is the service SA (port 80) of the on-
その結果、端末20Aは、オンプレミスのサーバ30Aに外部から中継サーバ10を介してアクセスできるようになる。
As a result, the
なお、中継サーバ10は、エージェントがサービスSAの起動中に限り、認証が許可されたユーザの端末20と、サービスSA間の通信を中継する。つまり、中継サーバ10は、サービスSAが停止している場合、認証が許可されたユーザの端末20と、サービスSA間の通信は不可となる。
The
また、エージェントは、複数のサービスを管理可能であり、サービス毎に中継サーバ10とコネクションを張ることになる。したがって、例えば、エージェントが、サービスSA及びサービスSBを管理している場合、中継サーバ10は、認証許可された端末20Aから照会情報L1のアクセスがあったときは、照会情報L1に対応するサービスSAのコネクションを利用する。また、中継サーバ10は、認証許可された端末20Aから照会情報L2のアクセスがあったときは、照会情報L2に対応するサービスSBのコネクションを利用する。
Also, the agent can manage a plurality of services, and establishes a connection with the
そして、端末20Aが中継サーバ10を介して送信した情報を、オンプレミスのサーバ30Aのうち、どのサービス(どのポート)に到達するかはエージェントが判断する。例えば、エージェントが、受信した情報がサービスSAのコネクションで伝わってきた情報である場合、オンプレミスのサーバ30AのサービスSA(ポート80番)に当該情報を送信し、受信した情報がサービスSBのコネクションで伝わってきた情報である場合、サーバ30AのサービスSB(ポート443番)に当該情報を送信する。
Then, the agent determines which service (which port) of the on-premise server 30A the information transmitted from the terminal 20A via the
以上のように、本実施形態では、端末20Aが中継サーバ10を介さずに直接オンプレミスのサーバ30Aにアクセスすることはないので、安全なネットワーク環境を実現できる。また、本実施形態では、ユーザの認証の許可が、オンプレミスのサーバへのアクセスするための条件となるので、不正アクセスを防止することができる。
As described above, in this embodiment, the
また、本実施形態では、端末20が中継サーバ10を介してオンプレミスのサーバ30と通信を行う場合、SSLやTLSを用いてデータの暗号化を行うようにしてもよい。
Further, in this embodiment, when the terminal 20 communicates with the on-
[9]フローチャート
図6を用いて、本実施形態の中継サーバの処理の流れを説明する。説明の便宜上、ユーザAに関する処理について説明する。まず、オンプレミスのサーバ30の情報に基づいて、オンプレミスのサーバ30に対してアクセス可能な照会情報を生成する(ステップS1)。
[9] Flowchart The processing flow of the relay server of this embodiment will be described with reference to FIG. For convenience of explanation, the processing for user A will be explained. First, based on the information of the on-
そして、ユーザAの端末20Aからアクセスを受け付けたか否かを判断する(ステップS2)。ユーザAの端末20Aからアクセスを受け付けた場合(ステップS2のY)、ユーザAの認証を許可するか否か(許否)を判定する(ステップS3)。 Then, it is determined whether or not access has been received from terminal 20A of user A (step S2). When access is accepted from the terminal 20A of the user A (Y in step S2), it is determined whether or not to permit the authentication of the user A (permission/denial) (step S3).
ユーザAの認証が許可された場合に(ステップS3のY)、照会情報をユーザAの端末20Aに提示する(ステップS4)。一方、ユーザAの認証が不許可(拒否)された場合に(ステップS3のN)、処理を終了する。
If the authentication of user A is permitted (Y of step S3), the inquiry information is presented to user A's
そして、ユーザAの端末20Aから照会情報のアクセスを受け付けたか否かを判断する(ステップS5)。ユーザAの端末20Aから照会情報のアクセスを受け付けた場合(ステップS5のY)、ユーザAの端末20Aとオンプレミスのサーバ30との通信を中継する(ステップS6)。例えば、中継サーバ10は、端末20Aからの情報を受信して、オンプレミスのサーバ30に送信し、オンプレミスのサーバ30から照会情報に応じた情報を受信して、端末20Aに送信する。以上で処理を終了する。
Then, it is determined whether or not access to the inquiry information has been received from the terminal 20A of the user A (step S5). When access to the inquiry information is received from the terminal 20A of user A (Y in step S5), communication between the terminal 20A of user A and the on-
[10]オンプレミス側の装置の認証
また、中継サーバ10は、ユーザの認証を許可した後、更に、オンプレミス側の装置(例えば、エージェント)に対して認証を委任してもよい。つまり、中継サーバ10は、最終的にオンプレミス側の装置での認証が許可された場合に、端末20とオンプレミスのサーバ30との通信を可能となるように制御してもよい。
[10] Authentication of on-premise device After permitting user authentication, the
[11]クラウドサービスとシングルサインオンについて
また、中継サーバ10は、インターネットを介して通信接続された端末20に、所与のクラウドサービスへのセキュアなアクセスと認証を行うことが可能な情報処理装置であってもよい。クラウドサービスとは、例えば、Microsoft365(登録商標)、Google(登録商標)、Slack(登録商標)、Zoom(登録商標)などの種々のサービスが存在する。そして、中継サーバ10は、ユーザの認証を許可したユーザに対してクラウドサービスを提供可能になるように制御する。
[11] Cloud services and single sign-on In addition, the
例えば、中継サーバ10は、SAML(Security Assertion Markup Language)によって、シングルサインオンで複数のクラウドサービスに対して一括でユーザが利用可能となるように制御することができるようにしてもよい。
For example, the
[12]その他
本発明は、上記実施形態で説明したものに限らず、種々の変形実施が可能である。例えば、明細書又は図面中の記載において広義や同義な用語として引用された用語は、明細書又は図面中の他の記載においても広義や同義な用語に置き換えることができる。
[12] Others The present invention is not limited to those described in the above embodiments, and various modifications are possible. For example, a term cited as a broad definition or a synonymous term in the description in the specification or drawings can be replaced with a broad definition or a synonymous term in other descriptions in the specification or drawings.
10 サーバ、20 端末、30 オンプレミスのサーバ、
100 処理部、111 ユーザ制御部、112 認証処理部、113 照会情報生成部、114 提示部、115 中継処理部、120 Web処理部、170 記憶部、171 主記憶部、172 ユーザ情報記憶部、173 照会情報記憶部、180 情報記憶媒体、196 通信部
10 servers, 20 terminals, 30 on-premise servers,
100
Claims (5)
オンプレミスのサーバの情報に基づいて、前記オンプレミスのサーバに対してアクセス可能な固有の照会情報を生成する照会情報生成部と、
ユーザのユーザ情報を管理するユーザ制御部と、
ユーザの端末からアクセスを受け付けた場合に当該ユーザの認証の許否を判定する認証処理部と、
前記ユーザの認証が許可された場合に、前記照会情報を前記ユーザの端末に提示する提示部と、
認証が許可された前記ユーザの端末と、前記オンプレミスのサーバとの通信を中継する中継処理部と、
を含むことを特徴とする中継サーバ。 A relay server in which a user's terminal and an on-premise server are connected via the Internet, and each of the terminal and the on-premise server is connected via the Internet,
a query information generation unit that generates unique query information accessible to the on-premises server based on the information of the on-premises server;
a user control unit that manages user information of a user;
an authentication processing unit that determines whether or not to allow authentication of the user when access is received from the user's terminal;
a presentation unit that presents the inquiry information to the terminal of the user when the authentication of the user is permitted;
a relay processing unit that relays communication between the authenticated user terminal and the on-premises server;
A relay server characterized by comprising:
前記照会情報生成部は、
オンプレミスのサーバ毎に異なる照会情報を生成することを特徴とする中継サーバ。 In claim 1,
The inquiry information generation unit
A relay server characterized by generating different inquiry information for each on-premises server.
前記照会情報生成部は、
サービス毎に異なる照会情報を生成することを特徴とする中継サーバ。 In claim 1 or 2,
The inquiry information generation unit
A relay server characterized by generating different inquiry information for each service.
前記ユーザ制御部は、
ユーザ毎に、ユーザのユーザ情報に基づいて、各照会情報に対する当該ユーザのアクセス可否を判定し、
前記提示部は、
ユーザ毎に、当該ユーザがアクセス可能な照会情報を、当該ユーザの端末に提示することを特徴とする中継サーバ。 In any one of claims 1 to 3,
The user control unit
For each user, based on the user's user information, determine whether the user can access each inquiry information,
The presentation unit
A relay server that presents, for each user, inquiry information that can be accessed by the user on a terminal of the user.
前記中継サーバは、
オンプレミスのサーバの情報に基づいて、前記オンプレミスのサーバに対してアクセス可能な固有の照会情報を生成する照会情報生成部と、
ユーザのユーザ情報を管理するユーザ制御部と、
ユーザの端末からアクセスを受け付けた場合に当該ユーザの認証の許否を判定する認証処理部と、
前記ユーザの認証が許可された場合に、前記照会情報を前記ユーザの端末に提示する提示部と、
認証が許可された前記ユーザの端末と、前記オンプレミスのサーバとの通信を中継する中継処理部と、を含み、
前記オンプレミスのサーバは、
認証が許可された前記ユーザの端末から、前記中継サーバを経由して前記照会情報によるアクセスを受け付けた場合に、前記照会情報に示される情報を、前記中継サーバを経由して前記ユーザの端末に提示することを特徴とするアクセス制御システム。 An access control system in which a user terminal, an on-premise server, and a relay server are connected via the Internet,
The relay server
a query information generation unit that generates unique query information accessible to the on-premises server based on the information of the on-premises server;
a user control unit that manages user information of a user;
an authentication processing unit that determines whether or not to allow authentication of the user when access is received from the user's terminal;
a presentation unit that presents the inquiry information to the terminal of the user when the authentication of the user is permitted;
a terminal of the user whose authentication is permitted, and a relay processing unit that relays communication with the on-premise server;
The on-premise server is
When access by the inquiry information is accepted from the terminal of the authenticated user via the relay server, the information indicated in the inquiry information is sent to the terminal of the user via the relay server. An access control system characterized by:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021070204A JP2022165032A (en) | 2021-04-19 | 2021-04-19 | Relay server and access control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021070204A JP2022165032A (en) | 2021-04-19 | 2021-04-19 | Relay server and access control system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022165032A true JP2022165032A (en) | 2022-10-31 |
JP2022165032A5 JP2022165032A5 (en) | 2023-11-13 |
Family
ID=83845607
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021070204A Pending JP2022165032A (en) | 2021-04-19 | 2021-04-19 | Relay server and access control system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2022165032A (en) |
-
2021
- 2021-04-19 JP JP2021070204A patent/JP2022165032A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11637828B2 (en) | Hybrid authentication systems and methods | |
US11695744B2 (en) | Using credentials stored in different directories to access a common endpoint | |
KR102313859B1 (en) | Authority transfer system, control method therefor, and client | |
US9344426B2 (en) | Accessing enterprise resources while providing denial-of-service attack protection | |
CN113316783A (en) | Two-factor identity authentication using a combination of active directory and one-time password token | |
CN111416822B (en) | Method for access control, electronic device and storage medium | |
JP2020536304A (en) | Enable multi-tenant data access on a single industrial network | |
US20190166112A1 (en) | Protecting against malicious discovery of account existence | |
US20180375648A1 (en) | Systems and methods for data encryption for cloud services | |
US20100031317A1 (en) | Secure access | |
US11233776B1 (en) | Providing content including sensitive data | |
US20230412596A1 (en) | Transparently using origin isolation to protect access tokens | |
CN113906425A (en) | System and method for protecting offline data | |
US20240171576A1 (en) | Identity proxy and access gateway | |
US11451517B2 (en) | Secure and auditable proxy technology using trusted execution environments | |
US9894057B2 (en) | Method and system for managing secure custom domains | |
US11803635B2 (en) | Passing local credentials to a secure browser session | |
US11811928B2 (en) | System and method for secure access to legacy data via a single sign-on infrastructure | |
JP2022165032A (en) | Relay server and access control system | |
US20130061302A1 (en) | Method and Apparatus for the Protection of Computer System Account Credentials | |
US11477189B2 (en) | Primary domain and secondary domain authentication | |
US20230164140A1 (en) | Enforcement of enterprise browser use | |
Olmsted | Secure autonomous process communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231102 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231102 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20231102 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240122 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20240409 |