JP2023115743A - Network system and single sign-on processing method - Google Patents
Network system and single sign-on processing method Download PDFInfo
- Publication number
- JP2023115743A JP2023115743A JP2022018136A JP2022018136A JP2023115743A JP 2023115743 A JP2023115743 A JP 2023115743A JP 2022018136 A JP2022018136 A JP 2022018136A JP 2022018136 A JP2022018136 A JP 2022018136A JP 2023115743 A JP2023115743 A JP 2023115743A
- Authority
- JP
- Japan
- Prior art keywords
- login
- authentication
- server
- account
- single sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 15
- 230000004044 response Effects 0.000 claims description 69
- 230000015654 memory Effects 0.000 claims description 15
- 238000010586 diagram Methods 0.000 description 16
- 230000005540 biological transmission Effects 0.000 description 13
- 101000734214 Homo sapiens Unconventional prefoldin RPB5 interactor 1 Proteins 0.000 description 12
- 102100033622 Unconventional prefoldin RPB5 interactor 1 Human genes 0.000 description 12
- 238000000034 method Methods 0.000 description 11
- 101100001093 Arabidopsis thaliana AAE7 gene Proteins 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Abstract
Description
本発明は、ネットワークシステムおよびシングルサインオン(明細書ではSSOと略す)の処理方法に関する。 The present invention relates to a network system and a single sign-on (abbreviated as SSO in this specification) processing method.
特許文献1には、SSO後に、SSO前の情報に応じたサービスを、サービス利用者へ提供することが可能な認証システムが示される。具体的には、SP(Service Provider)サーバは、ユーザ端末からSSOのアクセスを受けた場合、ユーザ端末のSSO前の通信セッション情報をSSO前情報として情報保持部に保存し、ユーザ端末をIdP(Identify Provider)サーバへリダイレクトさせる。IdPサーバは、ユーザ端末から入力された認証情報を用いて、SSO認証DBを参照してSSO認証を行い、SSO認証の成功の場合、ユーザ端末をSPサーバへリダイレクトさせる。SPサーバは、SSO認証の成功後、SSO前情報を情報保持部から取得し、SSO前情報の内容に応じたサービスをユーザ端末へ提供する。
例えば、特許文献1に記載されるようなSSOの技術が知れている。SSOの実現方式には、特許文献1に示されるような方式の他に様々な方式が存在する。その一つとして、例えば、複数のサーバ装置への各ログインアカウントをクライアント装置のWebブラウザに保持させ、個々のサーバ装置へログインする際に、対応するログインアカウントを、Webブラウザに自動で入力させるような方式が挙げられる。
For example, SSO technology as described in
このような方式を用いて個々のサーバ装置へログインする場合、クライアント装置は、サーバ装置に対して、ログインID(IDentifier)およびログインパスワード(明細書ではパスワードをPWと略す)を含んだログインアカウントを自動で送信する。また、LDAP(Lightweight Directory Access Protocol)サーバ等のリソースサーバが設けられる場合、サーバ装置は、クライアント装置からのログインアカウントをリソースサーバに送信することで、リソースサーバにログイン許可/ログイン拒否を判定させる。 When logging into an individual server device using such a method, the client device provides a login account including a login ID (IDentifier) and a login password (the password is abbreviated as PW in the specification) to the server device. Send automatically. In addition, when a resource server such as an LDAP (Lightweight Directory Access Protocol) server is provided, the server device transmits the login account from the client device to the resource server, thereby allowing the resource server to determine login permission/login refusal.
しかしながら、この場合、クライアント装置とサーバ装置との間の通信経路、または、サーバ装置とリソースサーバとの間に通信経路で、ログインアカウントが漏洩するおそれがある。そして、漏洩したログインアカウントが不正に使用されることで、セキュリティの低下を招くおそれがあった。なお、セキュリティを向上させる方式として、ワンタイムパスワードを用いる方式が知られている。ただし、この場合、サーバ装置またはリソースサーバが、ワンタイムパスワードを取り扱う仕組みを備えている必要がある。 However, in this case, the login account may be leaked on the communication path between the client device and the server device or on the communication path between the server device and the resource server. Unauthorized use of the leaked login account may lead to deterioration of security. As a method for improving security, a method using a one-time password is known. However, in this case, the server device or resource server must have a mechanism for handling one-time passwords.
本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、高いセキュリティでシングルサインオンを実現することが可能なネットワークシステムおよびシングルサインオンの処理方法を提供することにある。 The present invention has been made in view of the above, and one of its objects is to provide a network system and a single sign-on processing method capable of realizing single sign-on with high security. It is in.
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。 The above and other objects and novel features of the present invention will become apparent from the description of the specification and the accompanying drawings.
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。 A brief outline of representative embodiments of the invention disclosed in the present application is as follows.
一実施の形態によるネットワークシステムは、クライアント装置と、サーバ装置と、リソースサーバと、SSO認証サーバと、を有する。クライアント装置は、クライアントによって使用される。サーバ装置は、ログインPWを含むログインアカウントがログイン許可の場合に、クライアントに所定のサービスを提供する。リソースサーバは、サーバ装置へのログインを許可するログインアカウントが登録されたログインデータベースを保持し、サーバ装置からの、ログインアカウントを含んだログイン判定要求に応じて、ログインデータベースと照合することでログイン許可またはログイン拒否を判定する。SSO認証サーバは、クライアント装置からのSSO用の認証アカウントの認証要求を受け、認証許可と判定した場合に、クライアント装置およびリソースサーバと連携してSSOを実現する。ここで、クライアント装置は、サーバ装置からのログインアカウントの入力要求に応じて、SSO認証サーバに、ワンタイムPWの生成要求を送信し、SSO認証サーバから取得したワンタイムPWをログインPWとしてサーバ装置に送信する。SSO認証サーバは、クライアント装置からのワンタイムPWの生成要求に応じて、ワンタイムPWを生成し、生成したワンタイムPWでリソースサーバのログインデータベースに登録されたログインPWを更新し、生成したワンタイムPWをクライアント装置に送信する。 A network system according to one embodiment has a client device, a server device, a resource server, and an SSO authentication server. A client device is used by a client. The server device provides a predetermined service to the client when the login account including the login PW permits login. The resource server maintains a login database in which login accounts permitting login to the server device are registered, and in response to a login judgment request including the login account from the server device, the login is permitted by checking with the login database. Or, determine login refusal. When the SSO authentication server receives an authentication request for an authentication account for SSO from the client device and determines that the authentication is permitted, the SSO authentication server implements SSO in cooperation with the client device and the resource server. Here, the client device transmits a one-time PW generation request to the SSO authentication server in response to a login account input request from the server device, and the server device uses the one-time PW acquired from the SSO authentication server as the login PW. Send to The SSO authentication server generates a one-time PW in response to a one-time PW generation request from the client device, updates the login PW registered in the login database of the resource server with the generated one-time PW, and generates the generated one-time PW. Send the time PW to the client device.
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、高いセキュリティでシングルサインオンを実現することが可能になる。 Briefly describing the effects obtained by representative embodiments of the invention disclosed in the present application, it is possible to achieve single sign-on with high security.
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。 BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. In principle, the same members are denoted by the same reference numerals in all the drawings for describing the embodiments, and repeated description thereof will be omitted.
<ネットワークシステムの概略>
図1は、実施の形態1によるネットワークシステムの構成例および前提となる動作例を示す概略図である。図1に示されるネットワークシステムは、互いにネットワーク15を介して接続される、SSO認証サーバ10、リソースサーバ11、複数のWebサーバ12[1],12[2]およびレイヤ2(L2)スイッチ13と、クライアント装置14とを備える。クライアント装置14は、ここでは、SSO用の認証アカウント“ACN1”を有するクライアント16によって使用される。クライアント装置14は、L2スイッチ13を介してネットワーク15に接続される。
<Outline of network system>
FIG. 1 is a schematic diagram showing a configuration example and a prerequisite operation example of a network system according to a first embodiment. A network system shown in FIG. , and a
Webサーバ12[1],12[2]は、HTTP(Hypertext Transfer Protocol)の処理機能を搭載したサーバである。各Webサーバ12[1],12[2]は、ログインID(LID)およびログインPW(LPW)を含むログインアカウントLCNがログイン許可の場合に、クライアント16に所定のサービスを提供する。ここでは、Webサーバ12[1],12[2]のURI(Uniform Resource Identifier)は、それぞれ、“URI1”,“URI2”である。 The Web servers 12[1] and 12[2] are servers equipped with HTTP (Hypertext Transfer Protocol) processing functions. Each of the web servers 12[1] and 12[2] provides a predetermined service to the client 16 when the login account LCN including the login ID (LID) and login PW (LPW) permits login. Here, the URIs (Uniform Resource Identifiers) of the Web servers 12[1] and 12[2] are respectively "URI1" and "URI2".
なお、Webサーバ12[1],12[2]は、例えば、アプリケーションサーバやファイルサーバ等の他のサーバ装置であってもよい。すなわち、サーバ装置は、Webサーバに限らず、ログインアカウントLCNがログイン許可の場合に、クライアント16に所定のサービスを提供するものであればよい。 Note that the Web servers 12[1] and 12[2] may be other server devices such as application servers and file servers. That is, the server device is not limited to a web server, and may be any device that provides a predetermined service to the client 16 when the login account LCN permits login.
リソースサーバ11は、LDAPサーバ等のディレクトサーバであり、Webサーバ(サーバ装置)12[1],12[2]へのログインを管理するサーバである。リソースサーバ11は、メモリ25を備え、Webサーバ12[1],12[2]へのログインを許可するログインアカウントLCNが登録されたログインデータベース(明細書ではデータベースをDBと略す)26を、メモリ25に保持する。この例では、ログインDB26には、“URI1”を有するWebサーバ12[1]を対象に、ログインを許可するログインID(LID)およびログインPW(LPW)として、それぞれ、“LID11”および“LPW11”が登録される。
The
同様に、ログインDB26には、“URI2”を有するWebサーバ12[2]を対象に、“LID12”および“LPW12”が登録される。なお、“LID12”および“LPW12”は、それぞれ、“LID11”および“LPW11”と同一であってもよい。リソースサーバ11は、Webサーバ12[1],12[2]からの、ログインアカウントLCNを含んだログイン判定要求に応じて、ログインDB26と照合することでログイン許可またはログイン拒否を判定する。
Similarly, "LID12" and "LPW12" are registered in the
SSO認証サーバ10は、SSO機能を提供する装置である。SSO認証サーバ10は、メモリ20を備え、SSO認証を許可する認証アカウントACNとWebサーバ12[1],12[2]へのログインアカウントLCNとの対応関係を表す認証DB21を、メモリ20に保持する。
The
この例では、認証DB21には、SSO認証を許可する認証アカウントACNとして、“ACN1”が登録される。認証アカウントACNは、詳細には、例えば、ログインアカウントLCNの場合と同様に、認証IDおよび認証PWを含んでもよいが、特に、これに限らない。また、認証DB21には、“ACN1”に対応する“URI1”、すなわちWebサーバ12[1]へのログインID(LID)およびログインPW(LPW)として、それぞれ、“LID11”および“LPW11”が登録される。
In this example, "ACN1" is registered in the
同様に、認証DB21には、“ACN1”に対応する“URI2”、すなわちWebサーバ12[2]へのログインID(LID)およびログインPW(LPW)として、それぞれ、“LID12”および“LPW12”が登録される。認証DB21における“URI1”,“URI2”,…は、SSOの適用先となるサーバ装置のURIを定めた適用先一覧データ22となる。SSO認証サーバ10は、クライアント装置14からの認証アカウントACNの認証要求に応じて、認証DB21に基づいて認証許可または認証拒否を判定する。そして、SSO認証サーバ10は、認証許可と判定した場合には、以下に述べるように、クライアント装置14等と連携してSSOを実現する。
Similarly, in the
次に、図1に示されるネットワークシステムにおいて、前提となるSSOの処理方法の一例について説明する。クライアント16は、クライアント装置14を介して、SSO認証サーバ10にSSO用の認証アカウント“ACN1”を認証させる(ステップS101,S102)。具体的には、クライアント装置14は、認証アカウント“ACN1”の認証要求をSSO認証サーバ10に送信する(ステップS101)。SSO認証サーバ10は、認証DB21に基づいて認証アカウント“ACN1”の認証許可または認証拒否を判定し、この例では認証許可と判定する。SSO認証サーバ10は、クライアント装置14に、認証許可/認証拒否、この例では認証許可を表す認証応答を送信する(ステップS102)。
Next, in the network system shown in FIG. 1, an example of the SSO processing method, which is a prerequisite, will be described. The client 16 causes the
続いて、クライアント16は、クライアント装置14のWebブラウザを介して、Webサーバ12[1]に初回アクセスを行う(ステップS103)。これに応じて、Webサーバ12[1]は、クライアント装置14に、ログインアカウントLCNの入力要求を送信する(ステップS104)。図2は、図1のネットワークシステムにおいて、クライアント装置に表示されるログインアカウント入力画面の一例を示す図である。ステップS104に応じて、クライアント装置14のWebブラウザには、例えば、図2に示されるように、ログインID(LID)およびログインPW(LPW)の入力を要求するログインアカウント入力画面18が表示される。
Subsequently, the client 16 accesses the web server 12[1] for the first time via the web browser of the client device 14 (step S103). In response, the web server 12[1] transmits a login account LCN input request to the client device 14 (step S104). FIG. 2 is a diagram showing an example of a login account input screen displayed on a client device in the network system of FIG. In response to step S104, the web browser of the
クライアント装置14は、ステップS104におけるWebサーバ12[1]からログインアカウントLCNの入力要求に応じて、SSO認証サーバ10に、ログインアカウントLCNの取得要求を送信する(ステップS105)。当該ログインアカウントLCNの取得要求には、例えば、認証アカウント“ACN1”の情報と、Webサーバ12[1]の“URI1”の情報とが含まれる。SSO認証サーバ10は、認証DB21に基づいて、“ACN1”および“URI1”に対応するログインID“LID11”およびログインPW“LPW11”を決定し、“LID11”および“LPW11”を含むログインアカウントLCNの取得応答をクライアント装置14に送信する(ステップS106)。
The
クライアント装置14は、ステップS106でのSSO認証サーバ10からのログインアカウントLCNの取得応答を受け、当該ログインアカウントLCN、すなわちログインID“LID11”およびログインPW“LPW11”のログイン要求をWebサーバ12[1]に送信する(ステップS107)。詳細には、クライアント装置14は、例えば、図2に示したようなログインアカウント入力画面18に、SSO認証サーバ10から取得したログインアカウントLCNを自動入力することで、Webサーバ12[1]にログイン要求を送信する。
The
Webサーバ12[1]は、クライアント装置14からのログインアカウントLCNのログイン要求に応じて、当該ログインアカウントLCN、すなわちログインID“LID11”およびログインPW“LPW11”のログイン判定要求をリソースサーバ11に送信する(ステップS108)。リソースサーバ11は、ログインアカウントLCNをログインDB26と照合することで、“LID11”および“LPW11”のログイン許可またはログイン拒否、この例ではログイン許可を判定する。そして、リソースサーバ11は、Webサーバ12[1]に、ログイン許可を表すログイン判定結果を含んだログイン判定応答を送信する(ステップS109)。
In response to the login request for the login account LCN from the
その結果、クライアント装置14は、Webサーバ12[1]に対してログイン状態となり、Webサーバ12[1]によって提供されるサービスを利用することが可能になる。また、その後、クライアント装置14がWebサーバ12[2]に対して初回アクセスを行った場合にも、ステップS103~S109の場合と同様の処理が行われる。その結果、クライアント装置14は、Webサーバ12[2]に対してログイン状態となり、Webサーバ12[2]によって提供されるサービスを利用することが可能になる。このように、クライアント16は、ステップS101,S102においてSSO認証サーバ10から認証許可を受けることで、その後は、SSOの適用先のWebサーバ12[1],12[2]に対して、個々にログインアカウントLCNの入力作業を行う必要性が無くなる。
As a result, the
ただし、このような方式では、ログインアカウントの漏洩が生じ得る。、例えば、ステップS107でのログイン要求の際や、ステップS108でのログイン判定要求の際等で、ログインアカウントLCNが漏洩し得る。ログインアカウントLCNが漏洩すると、当該漏洩したログインアカウントLCNを用いてWebサーバ12[1],12[2]への不正アクセスが行われるおそれがある。そして、このような不正アクセスが行われた結果として、セキュリティの低下が生じる恐れがあった。そこで、以下に述べるようなSSOの処理方法を用いることが有益となる。 However, in such a method, the login account may be leaked. For example, the login account LCN may be leaked when the login is requested in step S107 or when the login determination is requested in step S108. If the login account LCN is leaked, there is a risk of unauthorized access to the Web servers 12[1] and 12[2] using the leaked login account LCN. As a result of such unauthorized access, there is a risk that security will be lowered. Therefore, it is beneficial to use the SSO processing method described below.
<SSOの処理方法(実施の形態)>
図3Aは、図1に示されるネットワークシステムにおいて、SSOの処理方法の一例を示すシーケンス図であり、図3Bは、図3Aに続く処理方法の一例を示すシーケンス図である。図3Aに示されるステップS101,S101-1,S102,S102-1(認証ステップ)において、クライアント装置14は、SSO認証サーバ10にSSO用の認証アカウントACNを認証させる。
<SSO Processing Method (Embodiment)>
3A is a sequence diagram showing an example of the SSO processing method in the network system shown in FIG. 1, and FIG. 3B is a sequence diagram showing an example of the processing method following FIG. 3A. In steps S101, S101-1, S102, and S102-1 (authentication step) shown in FIG. 3A, the
詳細には、図1で述べたように、クライアント装置14は、SSO認証サーバ10に、認証アカウントACNの認証要求を送信する(ステップS101)。これに応じて、SSO認証サーバ10は、認証DB21に基づいて認証許可または認証拒否を判定し(ステップS101-1)、この例では、認証許可を表す認証応答をクライアント装置14に送信する(ステップS102)。さらに、SSO認証サーバ10は、ステップS101-1で認証許可と判定した場合には、クライアント装置14に、例えば、SSOの適用先となるサーバ装置のURIを定めた適用先一覧データ22を送信する(ステップS102-1)。クライアント装置14は、当該適用先一覧データ22をメモリに保存する。
Specifically, as described in FIG. 1, the
その後、クライアント装置14は、図1で述べたように、Webサーバ12に初回アクセスを行い(ステップS103)、Webサーバ12からログインアカウントLCNの入力要求を受信する(ステップS104)。これに応じて、クライアント装置14は、ステップS104-1,S105a(アカウント取得要求ステップ)の処理を実行する。
After that, as described with reference to FIG. 1, the
具体的には、クライアント装置14は、ステップS104でログインアカウントLCNの入力要求を送信したWebサーバ12が適用先であるか否かを、ステップS102-1で得られた適用先一覧データ22に基づいて判定する(ステップS104-1)。そして、クライアント装置14は、適用先と判定した場合には、SSO認証サーバ10に、ワンタイムPW(OPW)の生成要求を含んだログインアカウントLCNの取得要求を送信する(ステップS105a)。ログインアカウントLCNの取得要求には、認証アカウントACNの情報や、Webサーバ12のURIの情報も含まれる。一方、クライアント装置14は、ステップS104-1で非適用先と判定した場合には、SSO認証サーバ10に、当該取得要求を送信しない。
Specifically, the
SSO認証サーバ10は、クライアント装置14からのログインアカウントLCNの取得要求に応じて、ステップS201,S202(アカウント決定ステップ)の処理と、ステップS203(ログインDB更新ステップ)の処理と、ステップS106a(アカウント取得応答ステップ)の処理とを実行する。具体的には、SSO認証サーバ10は、ステップS201において、ログインアカウントLCNの取得要求に含まれる認証アカウントACNが認証済みか否か、すなわちステップ101-1で認証許可と判定した認証アカウントACNであるか否かを確認する。
In response to the login account LCN acquisition request from the
ステップS201で認証アカウントACNが認証済みである場合、SSO認証サーバ10は、ワンタイムPW(OPW)を生成し、認証DB21に基づいて得られるログインID(LID)に対応するログインPW(LPW)を、生成したワンタイムPW(OPW)に定める(ステップS202)。例えば、SSO認証サーバ10は、ログインアカウントLCNの取得要求の中に認証アカウント“ACN1”の情報および“URI1”の情報が含まれる場合、ログインID“LID11”に対応するログインPW(LPW)を、生成したワンタイムPW(“OPW11”とする)に定める。
When the authentication account ACN has been authenticated in step S201, the
続いて、SSO認証サーバ10は、リソースサーバ11にPW更新命令を送信することで、リソースサーバ11のログインDB26を、ステップS202で決定されたログインID(例えば“LID11”)およびワンタイムPW(例えば、“OPW11”)で更新する(ステップS203)。詳細には、リソースサーバ11は、例えば、“LID11”および“OPW11”を含んだPW更新命令に応じて、ログインDB26内の“LID11”に対応するログインPW(LPW)を、“OPW11”に更新する(ステップS204)。
Subsequently, the
リソースサーバ11は、PWの更新が完了すると、SSO認証サーバ10にPW更新完了通知を送信する(ステップS205)。次いで、SSO認証サーバ10は、図1の場合と同様に、ステップS202で決定されたログインID(LID)およびワンタイムPW(OPW)を、ステップS105aでの取得要求に対する取得応答として、クライアント装置14に送信する(ステップS106a)。ただし、図1の場合とは、ログインPW(LPW)がワンタイムPW(OPW)である点が異なっている。
When the PW update is completed, the
その後は、図1で述べたように、クライアント装置14は、ステップS106aで取得されたログインID(LID)およびワンタイムPW(OPW)を含むログイン要求を、ステップS104での入力要求に対する応答としてWebサーバ12に送信する(ステップS107(ログイン処理ステップ))。これに応じて、図3Bに示されるように、Webサーバ12は、リソースサーバ11に、ログインID(LID)およびワンタイムPW(OPW)を含むログインアカウントLCNのログイン判定要求を送信する(ステップS108)。
Thereafter, as described with reference to FIG. 1, the
リソースサーバ11は、ログイン判定要求に応じて、ログインアカウントLCNをログインDB26と照合することでログイン許可またはログイン拒否を判定する(ステップS108-1)。この際には、ステップS204において、ログインDB26内の所定のログインPW(LPW)は、ワンタイムPW(OPW)で既に更新されているため、ステップS108-1では、ログイン許可と判定される。
In response to the login determination request, the
リソースサーバ11は、Webサーバ12に、ログイン許可を表すログイン判定応答を送信する(ステップS109)。これに応じて、Webサーバ12も、クライアント装置14に、ログイン許可を表すログイン応答を送信する(ステップS110)。これによって、クライアント16およびクライアント装置14は、ログイン状態となり、Webサーバ12から提供されるサービスを利用することが可能になる(ステップS111)。
The
ここで、ステップS202で生成されたワンタイムPW(OPW)には、有効期限が設定される。SSO認証サーバ10は、ステップS301,S302(PW無効化ステップ)において、有効期限切れのワンタイムPW(OPW)を無効化する。具体的には、SSO認証サーバ10は、ワンタイムPW(OPW)の有効期限を監視する。そして、SSO認証サーバ10は、ワンタイムPW(OPW)の有効期限切れを検出した場合(ステップS301)には、リソースサーバ11にPW無効命令を送信することで(ステップS302)、有効期限切れのワンタイムPW(OPW)をログインDB26上で無効化する。
Here, an expiration date is set in the one-time PW (OPW) generated in step S202. The
詳細には、リソースサーバ11は、例えば、対象のログインID(LID)およびワンタイムPW(OPW)を含んだPW無効命令に応じて、ログインDB26内の当該ログインID(LID)に対応するログインPW(LPW)を無効化する(ステップS303)。この際に、PW無効命令は、ステップS203の場合と同様のPW更新命令であってもよい。すなわち、リソースサーバ11がPWを無効化する機能を有しない場合、ステップS302において、SSO認証サーバ10は、新たなワンタイムPW(OPW)を生成し、当該新たなワンタイムPW(OPW)を含んだPW更新命令をリソースサーバ11に送信すればよい。
Specifically, the
このように、ワンタイムPW(OPW)の有効期限が切れた時点で、当該ワンタイムPW(OPW)を、リソースサーバ11上で無効化しておくことで、ワンタイムPW(OPW)の有効期限を正しく管理することが可能になる。すなわち、リソースサーバ11は、例えば、有効期限切れのワンタイムPW(OPW)を含んだログイン判定要求を受信した場合には、ログイン拒否と判定することができる。これにより、有効期限切れのワンタイムPW(OPW)では、ログインできない環境を構築することが可能になる。
In this way, when the one-time PW (OPW) expires, the one-time PW (OPW) is invalidated on the
その結果、例えば、ステップS107でのログイン要求やステップS108でのログイン判定要求等を傍受することで、ログインアカウントLCNが不正に取得された場合でも、当該ログインアカウントLCNでログインできる期間は、ワンタイムPW(OPW)の有効期限に限定される。この観点で、ワンタイムPW(OPW)の有効期限は、十分に短い方が望ましい。具体的には、ワンタイムPW(OPW)の有効期限は、少なくともステップS202でワンタイムPW(OPW)が生成されてから、ステップS108-1でリソースサーバ11がログイン判定を行うまでに要する期間だけ確保されればよく、この期間に基づいて、例えば、数秒~数十秒といった短い時間であってもよい。
As a result, for example, even if the login account LCN is illegally obtained by intercepting the login request in step S107 or the login determination request in step S108, the period during which login is possible with the login account LCN is limited to one time. Limited to the PW (OPW) expiration date. From this point of view, it is desirable that the expiration date of the one-time PW (OPW) is sufficiently short. Specifically, the validity period of the one-time PW (OPW) is at least the period from when the one-time PW (OPW) is generated in step S202 to when the
また、クライアント16が、クライアント装置14を介して、利用中のWebサーバ12にログアウト要求を送信すると(ステップS401)、Webサーバ12は、クライアント装置14にログアウト応答を送信する(ステップS402)。これにより、ログインアカウントLCNは、ログアウト状態となる。その結果、クライアント16は、クライアント装置14を介して、Webサーバ12から提供されるサービスを利用することが不可能になる(ステップS403)。
When the client 16 transmits a logout request to the
その後、クライアント16がWebサーバ12に再度アクセスすると、ステップS103に移行し、その後のステップS202で新たに生成されたワンタイムPW(OPW)を用いてWebサーバ12へのログインが行われることになる。なお、Webサーバ12からのログアウトは、ステップS401のようにログアウト要求が送信された場合の他に、例えば、クライアント16がWebブラウザを閉じた場合や、セッションの有効期限またはセッション管理用クッキーの有効期限が過ぎた場合等でも生じ得る。
After that, when the client 16 accesses the
以上のように、SSO認証サーバ10は、クライアント装置14からのSSO用の認証アカウントACNの認証要求を受け、認証許可と判定した場合に、クライアント装置14およびリソースサーバ11と連携して、ワンタイムPW(OPW)を用いたSSOを実現する。概略的には、クライアント装置14は、Webサーバ12からのログインアカウントLCNの入力要求に応じて、SSO認証サーバ10に、ワンタイムPW(OPW)の生成要求を送信する(ステップS104,S105a)。そして、クライアント装置14は、SSO認証サーバ10から取得したワンタイムPW(OPW)をWebサーバ12に送信する(ステップS106a,S107)。
As described above, when the
一方、SSO認証サーバ10は、クライアント装置14からのワンタイムPW(OPW)の生成要求に応じて、ワンタイムPW(OPW)を生成する(ステップS105a,S202)。そして、SSO認証サーバ10は、生成したワンタイムPW(OPW)でリソースサーバ11のログインDB26に登録されたログインPW(LPW)を更新し(ステップS203)、生成したワンタイムPW(OPW)をクライアント装置14に送信する(ステップS106a)。
On the other hand, the
このようなワンタイムPW(OPW)の仕組みを設けることで、セキュリティの向上が実現可能になる。具体的には、このようなワンタイムPW(OPW)の仕組みによって、少なくとも、Webサーバ12へログインする毎に、ログインPW(LPW)が逐次変更される。このため、仮に、ログインPW(LPW)が漏洩した場合であっても、当該ログインPW(LPW)を使用できる期間は、限定される。
By providing such a one-time PW (OPW) mechanism, it becomes possible to improve security. Specifically, by such a one-time PW (OPW) mechanism, the login PW (LPW) is successively changed at least each time the user logs into the
さらに、SSO認証サーバ10は、ステップS202で生成したワンタイムPW(OPW)の有効期限が切れた場合には、当該リソースサーバ11のログインDB26上で、当該有効期限切れのワンタイムPW(OPW)を無効化する(ステップS301,S302)。このように、ワンタイムPW(OPW)の有効期限を正しく管理することで、仮に、ログインPW(LPW)が漏洩した場合であっても、当該ログインPW(LPW)を使用できる期間が更に短い期間に限定されるため、セキュリティの更なる向上が実現可能になる。
Furthermore, when the one-time PW (OPW) generated in step S202 expires, the
なお、図1に示したように、複数のWebサーバ12[1],12[2]が設けられる場合には、各Webサーバに対する初回アクセスが生じる度に、ステップS103以降の処理が行われることになる。これに伴い、リソースサーバ11は、Webサーバ12[1]への初回アクセスが生じた場合には、ログインDB26上の“URI1”に対応するログインPW(LPW)をワンタイムPW(OPW)で更新する(ステップS204)。同様に、リソースサーバ11は、Webサーバ12[2]への初回アクセスが生じた場合には、ログインDB26上の“URI2”に対応するログインPW(LPW)をワンタイムPW(OPW)で更新する(ステップS204)。
As shown in FIG. 1, when a plurality of web servers 12[1] and 12[2] are provided, each time each web server is accessed for the first time, the processing after step S103 is performed. become. Along with this, the
ただし、Webサーバ12[1]とWebサーバ12[2]とで、共通のログインアカウントLCN、すなわち共通のログインID(LID)およびログインPW(LPW)を用いてもよい。例えば、クライアント装置14が、Webサーバ12[1]に共通のログインアカウントLCNを用いてログインしている状態でWebサーバ12[2]に初回アクセスを行った場合を想定する。この場合、共通のログインPW(LPW)がワンタイムPW(OPW)で更新されたのちに、Webサーバ12[2]へのログインが許可される。一方、Webサーバ12[1]にログインしている状態は、例えば、Webサーバ12[1]に対するセッションの有効期限等が切れるまで維持される。
However, the web server 12[1] and the web server 12[2] may use a common login account LCN, that is, a common login ID (LID) and login PW (LPW). For example, assume that the
<クライアント装置の詳細>
図4は、図1におけるクライアント装置の主要部の構成例を示す概略図である。図4に示すクライアント装置14は、例えば、入力装置30、表示装置31、プロセッサ32、ネットワークインタフェース(ネットワークIF)33、およびメモリ34等を備える。入力装置30は、キーボードやマウス等であり、表示装置31は、液晶ディスプレイ等である。ネットワークIF33は、イーサネット(登録商標)のネットワークカード等であり、L2スイッチ13へのコネクタを備える。
<Details of the client device>
FIG. 4 is a schematic diagram showing a configuration example of the main part of the client device in FIG. The
メモリ34は、RAM(Random Access Memory)、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等の組合せで構成され、OS(Operating System)35、Webブラウザ36およびSSO処理プログラム37等を保持する。プロセッサ32は、メモリ34に保持されるSSO処理プログラム37を実行することで、後述するSSO処理部として機能する。
The
図5は、図4に示されるクライアント装置において、プロセッサがSSO処理プログラムを実行することで実現されるSSO処理部の構成例を示す概略図である。図5に示されるSSO処理部37aは、認証要求部45と、ログイン処理部46と、ログインアカウント取得要求部47とを備える。この内、ログイン処理部46およびログインアカウント取得要求部47は、例えば、図4に示したWebブラウザ36に対するアドオン機能(プラグイン機能またはエクステンション機能とも呼ばれる)を担うアドオンプログラムによって実現される。
FIG. 5 is a schematic diagram showing a configuration example of an SSO processing unit implemented by a processor executing an SSO processing program in the client device shown in FIG. The
認証要求部45は、主に、図3AにおけるステップS101,S102,S102-1に関する処理を担う。具体的には、認証要求部45は、クライアント16からのSSO用の認証アカウントACNの入力に応じて、SSO認証サーバ10に認証要求を送信する。また、認証要求部45は、SSO認証サーバ10からの認証応答を受信する。さらに、認証要求部45は、SSO認証サーバ10から認証許可を表す認証応答を受信した場合には、適用先一覧データ22も受信する。認証要求部45は、受信した適用先一覧データ22をメモリ34に保存する。
The
ログイン処理部46は、主に、図3AにおけるステップS104,S107に関する処理を担う。具体的には、ログイン処理部46は、Webサーバ12からのログインアカウントLCNの入力要求に応じて、ログインアカウント取得要求部47にログインアカウントLCNを取得させる。そして、ログイン処理部46は、ログインアカウント取得要求部47によって取得されたログインアカウントLCN、すなわちログインID(LID)およびワンタイムPW(OPW)を含んだログイン要求をWebサーバ12に送信する。
The
ログインアカウント取得要求部47は、主に、図3AにおけるS104-1,S105a,S106aに関する処理を担う。具体的には、ログインアカウント取得要求部47は、Webサーバ12からのログインアカウントLCNの入力要求、詳細にはログイン処理部46からの指示に応じて、SSO認証サーバ10に、ワンタイムPW(OPW)の生成要求を含んだログインアカウントLCNの取得要求を送信する。
The login account
また、この際に、ログインアカウント取得要求部47は、ログインアカウントLCNの入力要求を送信したWebサーバ12が適用先であるか否かを、メモリ34に保持される適用先一覧データ22に基づいて判定する。そして、ログインアカウント取得要求部47は、適用先と判定した場合に、SSO認証サーバ10に、ログインアカウントLCNの取得要求を送信し、非適用先と判定した場合には、当該取得要求を送信せず、その旨をログイン処理部46へ通知する。ログインアカウント取得要求部47は、ログインアカウントLCNの取得要求を送信した場合、SSO認証サーバ10からの取得応答によって、ログインID(LID)およびワンタイムPW(OPW)を取得する。
Also, at this time, the login account
<SSO認証サーバの詳細>
図6は、図1におけるSSO認証サーバの主要部の構成例を示す概略図である。図7は、図6における認証データベースの構成例を示す概略図である。図6に示されるSSO認証サーバ10は、例えば、図4の場合と同様に、プロセッサがメモリ20内のプログラムを実行することで実現される認証判定部50、ログインアカウント取得応答部51、ログインアカウント決定部52およびログインDB更新指示部53を備える。
<Details of SSO authentication server>
FIG. 6 is a schematic diagram showing a configuration example of the main part of the SSO authentication server in FIG. FIG. 7 is a schematic diagram showing a configuration example of the authentication database in FIG. The
認証判定部50は、主に、図3AにおけるステップS101,S101-1,S102,S102-1の処理を担う。具体的には、認証判定部50は、クライアント装置14からのSSO用の認証アカウントACNの認証要求を受けて、メモリ20に保持される認証DB21aに基づいて認証許可または認証拒否を判定する。そして、認証判定部50は、当該認証判定結果を含む認証応答をクライアント装置14に送信する。また、認証判定部50は、認証許可と判定した場合には、メモリ20に保持される適用先一覧データ22をクライアント装置14に送信する。
The
ログインアカウント取得応答部51は、主に、図3AにおけるステップS105a,S106aの処理を担う。具体的には、ログインアカウント取得応答部51は、クライアント装置14からのログインアカウントLCNの取得要求に応じて、ログインアカウント決定部52にログインアカウントLCNを決定させる。また、ログインアカウント取得応答部51は、ログインアカウント決定部52で決定されたログインアカウントLCN、すなわちログインID(LID)およびワンタイムPW(OPW)を、ログインアカウントLCNの取得要求に対する取得応答としてクライアント装置14に送信する。
The login account
ログインアカウント決定部52は、主に、図3AにおけるステップS201,S202の処理を担う。具体的には、ログインアカウント決定部52は、クライアント装置14からのログインアカウントLCNの取得要求、詳細にはログインアカウント取得応答部51からの通知に応じて、当該取得要求に含まれる認証アカウントACNが認証済みか否かを、例えば、認証DB21aに基づいて確認する。
The login
認証DB21aは、例えば、図7に示されるような構成を備える。図7に示される認証DB21aは、図1に示した認証DB21と比較して、次の3点が異なっている。1点目の相違点として、例えば、認証アカウントACN毎に有効期限23aが設けられる。当該有効期限23aは、例えば、認証判定部50で認証許可と判定された際に認証判定部50によって設定される。有効期限23aが設定されていない場合、その認証アカウントACNは、認証済みでない、すなわち認証許可と判定されていないことを意味する。
The
2点目の相違点として、ログインPW(LPW)が、ワンタイムPW(OPW)になっている。この例では、“URI1”に対応するログインPW(LPW)は、“OPW11”であり、“URI2”に対応するログインPW(LPW)は、“OPW12”である。3点目の相違点として、ワンタイムPW(OPW)毎に有効期限23bが設定される。
A second difference is that the login PW (LPW) is a one-time PW (OPW). In this example, the login PW (LPW) corresponding to "URI1" is "OPW11", and the login PW (LPW) corresponding to "URI2" is "OPW12". As a third point of difference, an
図6に戻り、ログインアカウント決定部52は、例えば、このような認証DB21aの有効期限23aに基づいて、ログインアカウントLCNの取得要求に含まれる認証アカウントACNが認証済みか否かを確認する。また、ログインアカウント決定部52は、ワンタイムPW生成部55を備える。ログインアカウント決定部52は、クライアント装置14からのログインアカウントLCNの取得要求に応じて、当該取得要求に含まれる認証アカウントACNが認証済みである場合には、ワンタイムPW生成部55を用いてワンタイムPW(OPW)を生成する。
Returning to FIG. 6, the login
また、ログインアカウント決定部52は、ログインアカウントLCNの取得要求に含まれる認証アカウントACNの情報およびWebサーバ12のURIの情報を用いて認証DB21aを参照する。そして、ログインアカウント決定部52は、認証DB21aに基づいて得られるログインID(LID)に対応するログインPW(LPW)を、ワンタイムPW生成部55で生成したワンタイムPW(OPW)に定めることでログインアカウントLCNを決定する。ログインアカウント決定部52は、当該生成したワンタイムPW(OPW)を認証DB21aに登録すると共に、有効期限23bも設定する。
Further, the login
そして、ログインアカウント決定部52は、決定したログインアカウントLCNを、ログインDB更新指示部53と、ログインアカウント取得応答部51とに送信する。なお、図示は省略されるが、ログインアカウント取得応答部51への送信は、例えば、図3Aに示したように、ステップS205でのPW更新完了通知を受信した後で行われる。または、ログインアカウント取得応答部51は、ログインアカウントLCNの取得応答の送信を、PW更新完了通知を受信するまで待つ。
The login
ログインDB更新指示部53は、主に、図3AにおけるステップS203,S205および図3BにおけるステップS301,S302の処理を担う。具体的には、ログインDB更新指示部53は、更新命令送信部56と、無効命令送信部57とを備える。更新命令送信部56は、リソースサーバ11に、ログインアカウント決定部52からのログインアカウントLCNを含んだPW更新命令を送信する。
The login DB update
更新命令送信部56は、PW更新命令を送信することにより、リソースサーバ11のログインDB26を、ログインアカウント決定部52で決定されたログインID(LID)およびワンタイムPW(OPW)で更新する。また、図示は省略されるが、更新命令送信部56は、PW更新命令に応じたリソースサーバ11からのPW更新完了通知を受信する。
The update
無効命令送信部57は、図7に示した認証DB21a内の有効期限23bに基づいて、ログインアカウント決定部52で決定されたワンタイムPW(OPW)の有効期限を監視する。そして、無効命令送信部57は、有効期限切れを検出した場合には、リソースサーバ11に、有効期限切れのワンタイムPW(OPW)と、対応するログインID(LID)とを含んだPW無効命令を送信する。これにより、無効命令送信部57は、有効期限切れのワンタイムPW(OPW)をログインDB26上で無効化する。なお、前述したように、無効命令送信部57は、PW無効命令の一つとして、ワンタイムPW生成部55に生成させた新たなワンタイムPW(OPW)を含んだPW更新命令を送信してもよい。
The invalidation
<SSO用の認証アカウントについて>
SSO認証サーバ10は、通常、高いセキュリティを有するため、例えば、図3Aにおける認証要求(ステップS101)の際に、SSO用の認証アカウントACNの傍受は生じ難い。ただし、クライアント装置14の入力装置30に対して、キーロガーが仕組まれたような場合には、認証アカウントACNの漏洩が生じ得る。そこで、キーロガー対策のため、SSO用の認証アカウントACNは、認証IDおよび認証PWに限らず、生体認証等であってもよい。また、SSO認証サーバ10は、認証PWに対して、例えば、チャレンジレスポンス方式によるワンタイムPW(OPW)等を適用してもよい。
<Regarding authentication account for SSO>
Since the
<実施の形態の主要な効果>
以上、実施の形態の方式を用いると、SSO認証サーバ10とクライアント装置14との連携によって、高いセキュリティでシングルサインオンを実現することが可能になる。また、SSO認証サーバ10にワンタイムPW(OPW)を生成させ、SSO認証サーバ10とリソースサーバ11とを連携させることで、サーバ装置へのログインにワンタイムPW(OPW)を適用することが可能になる。さらに、ワンタイムPW(OPW)の有効期限を正しく管理することで、通信傍受への耐性に加えて、キーロガーへの耐性も得られる。これらの結果、セキュリティの向上が実現可能になる。
<Main effects of the embodiment>
As described above, when the method of the embodiment is used, the cooperation between the
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 Although the invention made by the present inventor has been specifically described based on the embodiment, the invention is not limited to the embodiment, and can be variously modified without departing from the gist of the invention. For example, the embodiments described above have been described in detail in order to explain the present invention in an easy-to-understand manner, and are not necessarily limited to those having all the configurations described. Also, part of the configuration of one embodiment can be replaced with the configuration of another embodiment, and the configuration of another embodiment can be added to the configuration of one embodiment. . Moreover, it is possible to add, delete, or replace a part of the configuration of each embodiment with another configuration.
例えば、前述した各種プログラムは、非一時的な有形のコンピュータ可読記録媒体に格納された上で、コンピュータ装置に供給され得る。このような記録媒体として、例えば、ハードディスクドライブ等を代表とする磁気記録媒体、DVD(Digital Versatile Disc)やブルーレイディスク等を代表とする光記録媒体、フラッシュメモリ等を代表とする半導体メモリ等が挙げられる。 For example, the various programs described above may be stored in a non-temporary tangible computer-readable recording medium and then supplied to the computer device. Examples of such recording media include magnetic recording media such as hard disk drives, optical recording media such as DVDs (Digital Versatile Discs) and Blu-ray discs, and semiconductor memories such as flash memories. be done.
10…SSO認証サーバ、11…リソースサーバ、12…Webサーバ(サーバ装置)、13…L2スイッチ、14…クライアント装置、15…ネットワーク、16…クライアント、18…ログインアカウント入力画面、20,25,34…メモリ、21,21a…認証DB、22…適用先一覧データ、23a,23b…有効期限、26…ログインDB、30…入力装置、31…表示装置、32…プロセッサ、33…ネットワークインタフェース、35…OS、36…Webブラウザ、37…SSO処理プログラム、37a…SSO処理部、45…認証要求部、46…ログイン処理部、47…ログインアカウント取得要求部、50…認証判定部、51…ログインアカウント取得応答部、52…ログインアカウント決定部、53…ログインDB更新指示部、55…ワンタイムPW生成部、56…更新命令送信部、57…無効命令送信部、ACN…認証アカウント、LCN…ログインアカウント、LID…ログインID、LPW…ログインパスワード、OPW…ワンタイムパスワード
10... SSO authentication server, 11... resource server, 12... Web server (server device), 13... L2 switch, 14... client device, 15... network, 16... client, 18... login account input screen, 20, 25, 34
Claims (9)
ログインパスワードを含んだログインアカウントがログイン許可の場合に、前記クライアントに所定のサービスを提供するサーバ装置と、
前記サーバ装置へのログインを許可する前記ログインアカウントが登録されたログインデータベースを保持し、前記サーバ装置からの、前記ログインアカウントを含んだログイン判定要求に応じて、前記ログインデータベースと照合することでログイン許可またはログイン拒否を判定するリソースサーバと、
前記クライアント装置からのシングルサインオン用の認証アカウントの認証要求を受け、認証許可と判定した場合に、前記クライアント装置および前記リソースサーバと連携してシングルサインオンを実現するシングルサインオン認証サーバと、
を有し、
前記クライアント装置は、前記サーバ装置からの前記ログインアカウントの入力要求に応じて、前記シングルサインオン認証サーバに、ワンタイムパスワードの生成要求を送信し、前記シングルサインオン認証サーバから取得した前記ワンタイムパスワードを、前記ログインパスワードとして前記サーバ装置に送信し、
前記シングルサインオン認証サーバは、前記クライアント装置からの前記ワンタイムパスワードの前記生成要求に応じて、前記ワンタイムパスワードを生成し、生成した前記ワンタイムパスワードで、前記リソースサーバの前記ログインデータベースに登録された前記ログインパスワードを更新し、生成した前記ワンタイムパスワードを前記クライアント装置に送信する、
ネットワークシステム。 a client device used by a client;
a server device that provides a predetermined service to the client when a login account including a login password permits login;
A login database in which the login account that permits login to the server device is registered is held, and login is performed by checking the login database in response to a login determination request including the login account from the server device. a resource server that determines permission or login denial;
a single sign-on authentication server that realizes single sign-on in cooperation with the client device and the resource server when an authentication request for an authentication account for single sign-on is received from the client device and authentication is determined to be permitted;
has
The client device transmits a one-time password generation request to the single sign-on authentication server in response to the login account input request from the server device, and the one-time password acquired from the single sign-on authentication server. sending a password to the server device as the login password;
The single sign-on authentication server generates the one-time password in response to the one-time password generation request from the client device, and registers the generated one-time password in the login database of the resource server. updating the generated login password and transmitting the generated one-time password to the client device;
network system.
前記ログインアカウントは、前記ログインパスワードとログインIDとを含み、
前記クライアント装置は、
前記サーバ装置からの前記ログインアカウントの前記入力要求に応じて、前記シングルサインオン認証サーバに、前記ワンタイムパスワードの前記生成要求を含んだ前記ログインアカウントの取得要求を送信し、前記シングルサインオン認証サーバから前記ログインIDおよび前記ワンタイムパスワードを取得するログインアカウント取得要求部と、
前記ログインアカウント取得要求部で取得された前記ログインIDおよび前記ワンタイムパスワードを含んだログイン要求を、前記サーバ装置からの前記ログインアカウントの前記入力要求に対する応答として前記サーバ装置に送信するログイン処理部と、
を備え、
前記シングルサインオン認証サーバは、
シングルサインオン認証を許可する前記認証アカウントと前記サーバ装置への前記ログインIDとの対応関係を表す認証データベースを保持するメモリと、
前記クライアント装置からの前記認証アカウントの前記認証要求に応じて前記認証データベースに基づいて前記認証許可または認証拒否を判定する認証判定部と、
前記クライアント装置からの前記ログインアカウントの前記取得要求に応じて、前記ワンタイムパスワードを生成し、前記認証データベースに基づいて得られる前記ログインIDに対応する前記ログインパスワードを、生成した前記ワンタイムパスワードに定めることで前記ログインアカウントを決定するログインアカウント決定部と、
前記リソースサーバにパスワード更新命令を送信することで、前記リソースサーバの前記ログインデータベースを、前記ログインアカウント決定部で決定された前記ログインIDおよび前記ワンタイムパスワードで更新するログインデータベース更新指示部と、
前記ログインアカウント決定部で決定された前記ログインIDおよび前記ワンタイムパスワードを、前記ログインアカウントの前記取得要求に対する取得応答として前記クライアント装置に送信するログインアカウント取得応答部と、
を備える、
ネットワークシステム。 The network system according to claim 1,
The login account includes the login password and login ID,
The client device
transmitting a login account acquisition request including the one-time password generation request to the single sign-on authentication server in response to the login account input request from the server device, and performing the single sign-on authentication a login account acquisition request unit that acquires the login ID and the one-time password from a server;
a login processing unit that transmits a login request including the login ID and the one-time password acquired by the login account acquisition request unit to the server device as a response to the login account input request from the server device; ,
with
The single sign-on authentication server,
a memory holding an authentication database representing a correspondence relationship between the authentication account that permits single sign-on authentication and the login ID to the server device;
an authentication determination unit that determines whether the authentication is permitted or rejected based on the authentication database in response to the authentication request for the authentication account from the client device;
generating the one-time password in response to the acquisition request for the login account from the client device, and replacing the login password corresponding to the login ID obtained based on the authentication database with the generated one-time password a login account determining unit that determines the login account by determining;
a login database update instruction unit that updates the login database of the resource server with the login ID and the one-time password determined by the login account determination unit by transmitting a password update instruction to the resource server;
a login account acquisition response unit that transmits the login ID and the one-time password determined by the login account determination unit to the client device as an acquisition response to the acquisition request for the login account;
comprising
network system.
前記シングルサインオン認証サーバは、シングルサインオンの適用先となる前記サーバ装置のURI(Uniform Resource Identifier)を定めた適用先一覧データを保持し、前記クライアント装置からの前記認証アカウントの前記認証要求に応じて前記認証許可と判定した場合には、前記クライアント装置に、前記適用先一覧データを送信し、
前記クライアント装置の前記ログインアカウント取得要求部は、前記ログインアカウントの前記入力要求を送信した前記サーバ装置が適用先であるか否かを前記適用先一覧データに基づいて判定し、適用先と判定した場合には、前記シングルサインオン認証サーバに、前記ログインアカウントの前記取得要求を送信し、非適用先と判定した場合には、前記ログインアカウントの前記取得要求を送信しない、
ネットワークシステム。 In the network system according to claim 2,
The single sign-on authentication server holds application destination list data that defines the URI (Uniform Resource Identifier) of the server device to which single sign-on is applied, and responds to the authentication request for the authentication account from the client device If it is determined that the authentication is permitted according to the above, the destination list data is transmitted to the client device,
The login account acquisition request unit of the client device determines whether or not the server device that has transmitted the input request for the login account is an application destination based on the application destination list data, and determines that it is an application destination. In this case, the acquisition request for the login account is transmitted to the single sign-on authentication server, and if it is determined to be a non-applicable destination, the acquisition request for the login account is not transmitted.
network system.
前記シングルサインオン認証サーバの前記ログインデータベース更新指示部は、前記ログインアカウント決定部で決定された前記ワンタイムパスワードの有効期限を監視し、有効期限切れを検出した場合には、前記リソースサーバにパスワード無効命令を送信することで、前記有効期限切れの前記ワンタイムパスワードを前記ログインデータベース上で無効化する、
ネットワークシステム。 In the network system according to claim 2,
The login database update instruction unit of the single sign-on authentication server monitors the expiration date of the one-time password determined by the login account determination unit, and if the expiration date is detected, the password is invalidated by the resource server. invalidate the expired one-time password on the login database by sending an instruction;
network system.
前記サーバ装置は、HTTP(Hypertext Transfer Protocol)のプロトコル処理を実行可能なWebサーバであり、
前記クライアント装置の前記ログインアカウント取得要求部および前記ログイン処理部は、前記クライアント装置のWebブラウザのアドオンプログラムによって実現される、
ネットワークシステム。 In the network system according to claim 2,
The server device is a web server capable of executing HTTP (Hypertext Transfer Protocol) protocol processing,
The login account acquisition request unit and the login processing unit of the client device are realized by an add-on program of the web browser of the client device,
network system.
ログインIDおよびログインパスワードを含むログインアカウントがログイン許可の場合に、前記クライアントに所定のサービスを提供するサーバ装置と、
前記サーバ装置へのログインを許可する前記ログインアカウントが登録されたログインデータベースを保持し、前記サーバ装置からの、前記ログインアカウントを含んだログイン判定要求に応じて、前記ログインデータベースと照合することでログイン許可またはログイン拒否を判定するリソースサーバと、
シングルサインオン認証を許可する認証アカウントと前記サーバ装置への前記ログインIDとの対応関係を表す認証データベースを保持し、前記クライアント装置からの前記認証アカウントの認証要求に応じて前記認証データベースに基づいて認証許可または認証拒否を判定し、前記認証許可と判定した場合に、前記クライアント装置および前記リソースサーバと連携してシングルサインオンを実現するシングルサインオン認証サーバと、
を有するネットワークシステムにおけるシングルサインオンの処理方法であって、
前記クライアント装置が前記シングルサインオン認証サーバに前記認証アカウントを認証させる認証ステップと、
前記クライアント装置が、前記サーバ装置からの前記ログインアカウントの入力要求に応じて、前記シングルサインオン認証サーバに、ワンタイムパスワードの生成要求を含んだ前記ログインアカウントの取得要求を送信するアカウント取得要求ステップと、
前記シングルサインオン認証サーバが、前記ログインアカウントの前記取得要求に応じてワンタイムパスワードを生成し、前記認証データベースに基づいて得られる前記ログインIDに対応する前記ログインパスワードを、生成した前記ワンタイムパスワードに定めるアカウント決定ステップと、
前記シングルサインオン認証サーバが、前記リソースサーバにパスワード更新命令を送信することで、前記リソースサーバの前記ログインデータベースを、前記アカウント決定ステップで決定された前記ログインIDおよび前記ワンタイムパスワードで更新するログインデータベース更新ステップと、
前記シングルサインオン認証サーバが、前記アカウント決定ステップで決定された前記ログインIDおよび前記ワンタイムパスワードを、前記ログインアカウントの前記アカウント取得要求ステップに対する取得応答として前記クライアント装置に送信するアカウント取得応答ステップと、
前記クライアント装置が、前記アカウント取得応答ステップで取得された前記ログインIDおよび前記ワンタイムパスワードを含んだログイン要求を、前記サーバ装置からの前記ログインアカウントの前記入力要求に対する応答として前記サーバ装置に送信するログイン処理ステップと、を備える、
シングルサインオンの処理方法。 a client device used by a client;
a server device that provides a predetermined service to the client when a login account including a login ID and a login password permits login;
A login database in which the login account that permits login to the server device is registered is held, and login is performed by checking the login database in response to a login determination request including the login account from the server device. a resource server that determines permission or login denial;
holding an authentication database representing a correspondence relationship between an authentication account that permits single sign-on authentication and the login ID to the server device, and based on the authentication database in response to an authentication request for the authentication account from the client device a single sign-on authentication server that determines authentication permission or authentication refusal, and realizes single sign-on in cooperation with the client device and the resource server when it is determined that the authentication is permitted;
A single sign-on processing method in a network system comprising:
an authentication step in which the client device authenticates the authentication account with the single sign-on authentication server;
an account acquisition request step in which the client device transmits a login account acquisition request including a one-time password generation request to the single sign-on authentication server in response to the login account input request from the server device; and,
The single sign-on authentication server generates a one-time password in response to the acquisition request for the login account, and generates the login password corresponding to the login ID obtained based on the authentication database. an account determination step set forth in
A login in which the single sign-on authentication server sends a password update command to the resource server to update the login database of the resource server with the login ID and the one-time password determined in the account determination step. a database update step;
an account acquisition response step in which the single sign-on authentication server transmits the login ID and the one-time password determined in the account determination step to the client device as an acquisition response to the account acquisition request step of the login account; ,
The client device transmits a login request including the login ID and the one-time password acquired in the account acquisition response step to the server device as a response to the login account input request from the server device. a login processing step;
How to handle single sign-on.
前記シングルサインオン認証サーバは、シングルサインオンの適用先となる前記サーバ装置のURI(Uniform Resource Identifier)を定めた適用先一覧データを保持し、前記認証ステップにおいて、前記クライアント装置からの前記認証要求に応じて前記認証許可と判定した場合には、前記クライアント装置に、前記適用先一覧データを送信し、
前記クライアント装置は、前記アカウント取得要求ステップにおいて、前記ログインアカウントの前記入力要求を送信した前記サーバ装置が適用先であるか否かを前記適用先一覧データに基づいて判定し、適用先と判定した場合には、前記シングルサインオン認証サーバに、前記ログインアカウントの前記取得要求を送信し、非適用先と判定した場合には、前記ログインアカウントの前記取得要求を送信しない、
シングルサインオンの処理方法。 The single sign-on processing method according to claim 6,
The single sign-on authentication server holds application destination list data defining URIs (Uniform Resource Identifiers) of the server devices to which single sign-on is applied, and in the authentication step, the authentication request from the client device. if it is determined that the authentication is permitted according to the above, the destination list data is transmitted to the client device,
In the account acquisition request step, the client device determines whether or not the server device that has transmitted the input request for the login account is an application destination based on the application destination list data, and determines that the application destination is In this case, the acquisition request for the login account is transmitted to the single sign-on authentication server, and if it is determined to be a non-applicable destination, the acquisition request for the login account is not transmitted.
How to handle single sign-on.
前記シングルサインオン認証サーバが、前記アカウント決定ステップで決定された前記ワンタイムパスワードの有効期限を監視し、有効期限切れを検出した場合には、前記リソースサーバにパスワード無効命令を送信することで、前記有効期限切れの前記ワンタイムパスワードを前記ログインデータベース上で無効化するパスワード無効化ステップを更に備える、
シングルサインオンの処理方法。 The single sign-on processing method according to claim 6,
The single sign-on authentication server monitors the expiration date of the one-time password determined in the account determination step, and when the expiration date is detected, sends a password invalidation instruction to the resource server. further comprising a password invalidation step of invalidating the expired one-time password on the login database;
How to handle single sign-on.
前記ワンタイムパスワードの前記有効期限は、前記アカウント決定ステップで前記ワンタイムパスワードが生成されてから、前記ログイン処理ステップに応じて前記リソースサーバが前記ログイン許可または前記ログイン拒否を判定するまでに要する期間に基づいて定められる、
シングルサインオンの処理方法。 The single sign-on processing method according to claim 8,
The expiration date of the one-time password is the period required from the generation of the one-time password in the account determination step until the resource server determines the login permission or the login refusal according to the login processing step. determined based on
How to handle single sign-on.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022018136A JP2023115743A (en) | 2022-02-08 | 2022-02-08 | Network system and single sign-on processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022018136A JP2023115743A (en) | 2022-02-08 | 2022-02-08 | Network system and single sign-on processing method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023115743A true JP2023115743A (en) | 2023-08-21 |
Family
ID=87576501
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022018136A Pending JP2023115743A (en) | 2022-02-08 | 2022-02-08 | Network system and single sign-on processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2023115743A (en) |
-
2022
- 2022-02-08 JP JP2022018136A patent/JP2023115743A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105007280B (en) | A kind of application login method and device | |
US8490165B2 (en) | Restoring secure sessions | |
US8572268B2 (en) | Managing secure sessions | |
JP6643373B2 (en) | Information processing system, control method and program therefor | |
US10484385B2 (en) | Accessing an application through application clients and web browsers | |
CN110582768B (en) | Apparatus and method for providing secure database access | |
JP5205380B2 (en) | Method and apparatus for providing trusted single sign-on access to applications and Internet-based services | |
KR102313859B1 (en) | Authority transfer system, control method therefor, and client | |
JP5926441B2 (en) | Secure authentication in multi-party systems | |
US9401909B2 (en) | System for and method of providing single sign-on (SSO) capability in an application publishing environment | |
EP2149102B1 (en) | Request-specific authentication for accessing web service resources | |
CN112597472B (en) | Single sign-on method, device and storage medium | |
US9147062B2 (en) | Renewal of user identification information | |
US20090094383A1 (en) | User Enrollment in an E-Community | |
US20080276098A1 (en) | One-time password access to password-protected accounts | |
CN105049427B (en) | The management method and device of application system login account | |
US9065818B2 (en) | Toggle between accounts | |
US20150006882A1 (en) | Self-service portal for provisioning passwordless access | |
CN105991614A (en) | Open authorization, resource access method and device, and a server | |
WO2009129753A1 (en) | A method and apparatus for enhancing the security of the network identity authentication | |
KR101803535B1 (en) | Single Sign-On Service Authentication Method Using One-Time-Token | |
KR102062851B1 (en) | Single sign on service authentication method and system using token management demon | |
KR101637155B1 (en) | A system providing trusted identity management service using trust service device and its methods of operation | |
CN112929388B (en) | Network identity cross-device application rapid authentication method and system, and user agent device | |
JP2023115743A (en) | Network system and single sign-on processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230906 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240327 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240402 |