JP4543322B2 - 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム - Google Patents

仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム Download PDF

Info

Publication number
JP4543322B2
JP4543322B2 JP2005071029A JP2005071029A JP4543322B2 JP 4543322 B2 JP4543322 B2 JP 4543322B2 JP 2005071029 A JP2005071029 A JP 2005071029A JP 2005071029 A JP2005071029 A JP 2005071029A JP 4543322 B2 JP4543322 B2 JP 4543322B2
Authority
JP
Japan
Prior art keywords
authentication
server
client
authentication server
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005071029A
Other languages
English (en)
Other versions
JP2006252418A (ja
Inventor
嗣治 斉藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005071029A priority Critical patent/JP4543322B2/ja
Publication of JP2006252418A publication Critical patent/JP2006252418A/ja
Application granted granted Critical
Publication of JP4543322B2 publication Critical patent/JP4543322B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、認証情報を用いたシングルサインオン連携方法、シングルサインオンシステム、仲介サーバ、その動作方法及び動作プログラムに関する。
コンピュータネットワークでは、通常、ネットワークを通して利用可能なWebサーバによるWebコンテンツ等の複数のリソースへのアクセスやその利用権限をユーザに応じて制限している。このため、ユーザは各リソースへのアクセス時にユーザ名やパスワード等の情報を入力して、その都度認証を得る必要があった。しかし、個々のリソースへアクセスする度にユーザ名やパスワード等の情報を入力する操作は、ユーザにとっては大変煩わしく、またセキュリティ上の理由でリソース毎に異なるパスワードを設定していれば、パスワード数がリソース数に比例して増えるため、必ずしも利便性のよいものではなかった。
そこで、近年、このような複数のリソースにアクセスする際、一度だけ認証を行うことで、同じドメインに属するネットワーク内のアクセス許可されている全てのリソースを利用できる「シングルサインオン(Single Sign-on)」と呼ばれる認証方法が知られている。このシングルサインオン方法を用いたシステム(以下、「シングルサインオンシステム」と呼ぶ)では、例えばクッキー等既存の独自認証識別子を使用した認証情報をクライアント(ユーザ端末)に保管し、同じドメインに属するネットワーク内のWebコンテンツ等のリソースへのアクセス時にサーバ側でその認証情報を用いて認証を行う方式等が知られている。
なお、本発明に関連する先行技術文献としては、次のものがある。
特開2004−355073号公報 特開2004−234329号公報 特開2004−185396号公報 特許第3505058号公報
従来、シングルサインオンを行う為には、クッキー等既存の独自認証識別子を使用する必要があった。クッキー等既存の独自認証識別子は、異なるドメイン間でやりとりすることは難しい上、クッキー等既存の独自認証識別子そのものに互換性が無いために、方式の異なるシングルサインオンシステムを連携させる場合、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要があった。
このように方式の異なるシングルサインオンシステム同士を連携させる場合、シングルサインオンサーバが連携相手となるシングルサインオン方式を理解する必要があったため、認証サーバの置き換えや接続先毎の対応が発生するという問題があった。上述した先行技術文献では、このような方式の異なるシングルサインオンシステム同士を連携させる場合の問題解決を必ずしも意図したものではない。
本発明は、このような従来の事情を考慮してなされたもので、方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要がなく、認証サーバの置き換えや接続先毎の対応が発生しないようにすることを目的とする。
上記目的を達成するため、本発明に係る仲介サーバは、第1の認証サーバがクライアントの認証結果を示すために発行する第1の認証識別子をクライアントの認証処理が可能な認証識別子が異なる第2の認証サーバに仲介する仲介サーバであって、前記第1の認証識別子を前記クライアントより受信し該クライアントが前記第1の認証サーバで認証されていることを確認し、前記確認が行われたことを示す情報を前記第2の認証サーバが処理可能な形式に変換して前記第2の認証サーバへ送付することを特徴とする。
本発明において、前記第1の認証識別子は、httpプロトコルで用いられるクッキーに含まれることにより前記クライアントから前記受信してもよい。
本発明において、前記第2の認証サーバへ送付する際に、前記仲介サーバが前記変換を行ったことを示す情報を含んでもよい。
また、本発明に係る第2の認証サーバは、第1の認証サーバでクライアントが認証されていることを示す情報を受信し、前記第1の認証サーバで生成された前記クライアントの認証識別子を用いて前記クライアントの認証処理が可能な第2の認証識別子を前記情報から作成し、
前記第2の認証識別子を前記クライアント送信することを特徴とする。
本発明において、前記情報は、httpプロトコルで用いられるクッキーに含まれることにより前記クライアントから前記受信してもよい。
本発明において、前記第1の認証サーバと前記第2の認証サーバとが異なるドメインに属することでクッキーに含まれる情報が該第1の認証サーバと該第2の認証サーバでやりとりできなくてもよい。
本発明において、前記認証されていることを示す情報は、前記認証されているクライアントの情報を含んでもよい。
本発明において、前記クライアントの情報は、クライアントを使用しているユーザの識別子を含んでもよい。
また、本発明に係る通信システムは、クライアントと、上記に記載の仲介サーバと、上記に記載の第2の認証サーバとを少なくとも含むことを特徴とする。
本発明に係る仲介サーバの動作方法は、第1の認証サーバがクライアントの認証結果を示すために発行する第1の認証識別子をクライアントの認証処理が可能な認証識別子が異なる第2の認証サーバに仲介する仲介サーバの動作方法であって、前記第1の認証識別子を前記クライアントより受信し該クライアントが前記第1の認証サーバで認証されていることを確認し、前記確認が行われたことを示す情報を前記第2の認証サーバが処理可能な形式に変換して前記第2の認証サーバへ送付することを特徴とする。
本発明に係る第2の認証サーバの動作方法は、第1の認証サーバでクライアントが認証されていることを示す情報を受信し、前記第1の認証サーバで生成された前記クライアントの認証識別子を用いて前記クライアントの認証処理が可能な第2の認証識別子を前記情報から作成し、前記第2の認証識別子を前記クライアント送信することを特徴とする。
本発明によれば、方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要がなく、認証サーバの置き換えや接続先毎の対応が発生しない。
次に、本発明に係る認証情報を用いたシングルサインオン連携方法、シングルサインオンシステム、仲介サーバ、その動作方法及び動作プログラムを実施するための最良の形態について図面を参照して詳細に説明する。
本実施の形態は、方式の異なるシングルサインオンシステムに対して仲介となるサーバを用意するだけで連携することを可能とするものである。即ち、本実施の形態では、既存のシングルサインオンシステムに新たに新方式のシングルサインオンシステムを連携させる場合において、既存のシングルサインオンシステムに、既存のシングルサインオン方式を新しいシングルサインオン方式で解釈できる仲介サーバを追加することで、新方式のシングルサインオンシステムで、既存のシングルサインオンシステムを使用することを可能とする。
図1を参照すると、本実施例によるシングルサインオンシステムは、ドメインの異なるネットワークシステムで構成され且つシングルサインオンによる認証方式が異なるシングルサインオンシステム(以下、シングルサインオンドメイン)を備えている。図1の例では、この方式が異なるシングルサインオンシステムとして、既存のシングルサインオンドメイン(第1のシングルサインオンシステム)1と、既存のシングルサインオンドメイン1に接続させようとする新方式のシングルサインオンドメイン(第2のシングルサインオンシステム)2とを有し、両シングルサインオンドメイン1、2にインターネット31を介してユーザ操作用のクライアント32が接続されている。
既存のシングルサインオンドメイン1は、認証情報としてクッキー等既存の独自認証識別子を使用する既存のシングルサインオンによる認証を行うもので、ユーザの認証を行う認証サーバ(第1の認証サーバ)11と、認証サーバ11によって認証を受けたユーザに対してWebコンテンツを提供するWebサーバ(第1のサーバ)12と、既存のシングルサインオンドメイン1に属する仲介サーバ10とを有している。認証サーバ11、Webサーバ12、及び仲介サーバ10は、ネットワーク13に接続され、そのネットワーク13がインターネット31に接続されている。
新方式のシングルサインオンドメイン2は、認証情報としてクッキー等既存の独自認証識別子を使用せずに所定の認証アサーションを使用する新方式(例えば、既知のSAML(Security Assertion Markup Language)プロトコルに従って認証情報を交換する方式等)のシングルサインオンによる認証を行うもので、ユーザの認証を行う認証サーバ(第2の認証サーバ)21と、認証サーバ21によって認証を受けたユーザに対してWebコンテンツを提供するWebサーバ(第2のサーバ)22と、既存のシングルサインオンドメイン1に属すると共に新方式のシングルサインオンドメイン2に属する仲介サーバ10とを有している。認証サーバ21及びWebサーバ22は、ネットワーク23に接続され、そのネットワーク23がインターネット31に接続されている。
仲介サーバ10は、既存のシングルサインオンドメイン1にも新方式のシングルサインオンドメイン2にも属し、新方式のシングルサインオンドメイン2の認証サーバ21に対して、クライアント32が既存のシングルサインオンドメイン1で認証を受けている場合、それを認証サーバ21に通知する機能を持つ。また、認証サーバ11に対して、クッキー等既存の独自認証識別子の生成要求を行う機能を持つ。図1の例では、Webサーバとしての機能も兼ねている。これらの機能は、仲介サーバ10を構成するコンピュータ機が予め設定された認証プログラム等のプログラムを実行することで実現される。
認証サーバ11は、ユーザの認証とクッキー等既存の独自認証識別子の作成を行う機能を持つ。また、認証サーバ11は、仲介サーバ10からのクッキー等既存の独自認証識別子の生成要求に対し、クッキー等既存の独自認証識別子の作成を行う機能を持つ。これらの機能は、認証サーバ11を構成するコンピュータ機が予め設定された認証プログラム等の動作プログラムを実行することで実現される。
Webサーバ12は、通常のWebサーバが有している既存の機能のほか、認証サーバ11で発行されたクッキー等既存の独自認証識別子を理解することができ、認証されたユーザに対しコンテンツの提供を行う機能を持つ。これらの機能は、Webサーバ12を構成するコンピュータ機が予め設定されたWebサーバソフトウェア等の動作プログラムを実行することで実現される。Webサーバ12は、提供するコンテンツにより複数存在するものとする。
認証サーバ21は、ユーザの認証と認証アサーションの作成を行う機能と、認証アサーションの検証を行う機能とを持つ。認証アサーションは、認証されたことを示す情報で、認証した方式や有効期限などの情報から構成される。これらの機能は、認証サーバ21を構成するコンピュータ機が予め設定された認証プログラム等の動作プログラムを実行することで実現される。なお、認証アサーションの例として、SAMLプロトコルに従い規定されるSAMLアサーションがある。
Webサーバ22は、通常のWebサーバが有している既存の機能のほか、認証サーバ21で発行された認証アサーションの検証を行うことができ、認証されたユーザに対しコンテンツの提供を行う機能を持つ。これらの機能は、Webサーバ22を構成するコンピュータ機が予め設定されたWebサーバソフトウェア等の動作プログラムを実行することで実現される。Webサーバ22は、提供するコンテンツにより複数存在するものとする。
クライアント32は、PC(パーソナルコンピュータ)等のコンピュータ機で構成され、インターネット31を介して両シングルサインオンドメイン1、2とシングルサインオンを行う。本実施例では、既存のシングルサインオンドメイン1で認証済みのユーザ用のクライアント32が、新方式のシングルサインオンドメイン2でシングルサインオンを行う場合を想定している。
なお、上記の各種サーバ10〜12、21〜22及びクライアント32を構成するコンピュータ機内のハードウェア構成(CPU、メモリ(ROM/RAM)及びその他の記録媒体、通信I/F等の各種I/O装置等)の詳細については、既存のマシンがそのまま適用され、本発明とは直接関係しないため、その説明を省略する。
次に、図2及び図2を参照して、本実施例の動作について詳細に説明する。
まず、図2を参照して、既存のシングルサインオンドメイン1でユーザを認証した場合に、新方式のシングルサインオンドメイン2からシングルサインオンを実施する場合を考える。
まず、クライアント32は、既存のシングルサインオンドメイン1に対してユーザID及びパスワード等の情報を用いてシングルサインオン(SSO)を行う。これにより、認証サーバ11は、SSO認証を行い、既存のシングルサインオンドメイン1内で読むことができるクッキー等既存の独自認証識別子を発行する(ステップ11)。この独自認証識別子は、仲介サーバ10から参照することができる。
次に、クライアント32からWebサーバ22に対してアクセスを行う(ステップ12)。アクセスされたWebサーバ22は、クライアント32がまだ認証されていないことを検出する(ステップ103)と、認証サーバ21で認証を行わせるために、リダイレクトをクライアント32に対して返す(ステップ104)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ105)。
認証サーバ21は、クライアント32が認証されていないことを検出する(ステップ106)と、仲介サーバ10に対してクライアント32がシングルサインオンドメイン1で認証を受けているかどうかを問い合わせるために、リダイレクトを発行する(ステップ107)。リダイレクトの結果、クライアント32は、仲介サーバ10に対してアクセスを行う(ステップ108)。このときのアクセス情報には、認証サーバ11で発行された第1のシングルサインオンドメイン1のクッキー等既存の独自認証識別子が含まれる。
次いで、仲介サーバ10は、クライアント32のアクセス情報から認証サーバ11で発行された既存のシングルサインオンドメイン1のクッキー等既存の独自認証識別子を読み出すと、上記ステップ11にて既存のシングルサインオンドメイン1の認証サーバ11により認証されていることを検出する(ステップ109)。
これにより、仲介サーバ10は、既存のシングルサインオンドメイン1で認証されていることを示す認証アサーションを発行し(ステップ110)、発行された認証アサーションとともに、認証サーバ21に戻るようにリダイレクトをかける(ステップ111)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ112)。
認証サーバ21は、クライアント32から、仲介サーバ10により発行された認証アサーションを受け取る(ステップ113)と、認証アサーションの中身を確認し(ステップ114)、受け入れが確認できる場合は、認証サーバ21で新たにシングルサインオンドメイン2の認証アサーションを生成する(ステップ115)。
次いで、認証サーバ21は、発行された認証アサーションとともに、Webサーバ22に戻るようにリダイレクトをかける(ステップ116)。リダイレクトの結果、クライアント32は、Webサーバ22に対してアクセスを行う(ステップ117)。
Webサーバ22は、クライアント32から認証アサーションを受け取り、中身を確認する(ステップ118)。この認証アサーションの確認後、Webサーバ22は、情報を開示する(ステップ119)。
次に、図3を参照して、新方式のシングルサインオンドメイン2でユーザを認証したことを、既存のシングルサインオンドメイン1から利用する場合を考える。
まず、クライアント32(ユーザ)は、新方式のシングルサインオンドメイン2に対してシングルサインオン(SSO)を行うために、Webサーバ22へアクセスする(ステップ21)。
アクセスされたWebサーバ22は、クライアント32が認証されていないことを検出し(ステップ22)、認証サーバ21へリダイレクトを行う(ステップ203)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ204)。
これにより、認証サーバ21は、SSO認証を行い(ステップ205)、認証後、認証アサーションを発行し(ステップ206)、発行された認証アサーションとともに、仲介サーバ10に対してクライアント32が認証されていることを示すためにリダイレクトをかける(ステップ207)。リダイレクトの結果、クライアント32は、仲介サーバ10に対してアクセスを行う(ステップ208)。
仲介サーバ10は、クライアント32から受け取った認証アサーションの中身を確認し(ステップ209)、受け入れが確認できる場合は、認証サーバ11に対してクライアント32のクッキー等既存の独自認証識別子の発行依頼(生成要求)を行う(ステップ210)。
認証サーバ11は、クライアント32に対してSSO認証を行い、クッキー等既存の独自認証識別子を発行する(ステップ211)。認証サーバ11は、仲介サーバ10に対して認証終了を通知する(ステップ212)。
仲介サーバ10は、認証サーバ21に戻るようにリダイレクトをかける(ステップ213)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ214)。
その後、認証サーバ21は、発行された認証アサーションとともに、Webサーバ22に戻るように、リダイレクトをかける(ステップ215)。リダイレクトの結果、クライアント32は、認証アサーションと共に、Webサーバ22に対してアクセスを行う(ステップ216)。
Webサーバ22は、送られた認証アサーションを検証し(ステップ217)、その認証アサーションの中身を確認後、情報開示を行い(ステップ218)、これによりシングルサインオンが成立する。
従って、本実施例によれば、仲介サーバを用いることにより、クッキー等既存の独自認証識別子を使用している既存のシングルサインオンシステムと、クッキー等既存の独自認証識別子を使用することのできない新方式のシングルサインオンシステムとを連携させることが可能となる。
また、本実施例によれば、既存のシングルサインオンドメイン側の修正が不要であり、修正のためのコストがかからない。これは、従来、異なるシングルサインオン方式を連携させるためには、認証サーバで他のシングルサインオン方式で使用されるクッキー等既存の独自認証識別子を理解し、自身が使用する識別子へ変換する必要があったが、本実施例で示した通りこれが不要となる。
なお、上記実施例では、各サーバ間で認証アサーションを直接渡す場合を説明しているが、その他の実施例として、「アーティファクト」と呼ばれる認証アサーションと結びつけられた識別子を渡し、アーティファクトを渡されたサーバがアサーションを取得する方法を採用することもできる。この場合、上記実施例と比べて、認証アサーションを渡す部分が、アーティファクトを渡すこととなり、また、渡されたサーバの処理にアーティファクトからアサーションを取得しにいくという動作が追加されることになる。なお、アーティファクトの例として、SAMLプロトコルに従い規定されるSAMLアーティファクトがある。
また、上記実施例のステップ113を省略することもできる。この場合、Webサーバ22が、仲介サーバ10の認証アサーションを直接検証を行うことで実施することが可能となる。
また、上記実施例では、新方式のシングルサインオンドメイン2でユーザを認証したことを既存のシングルサインオンドメイン1から利用する場合において、仲介サーバを使用しているが、その他の実施例として、仲介サーバを使用しない場合でも適用可能である。この場合、認証サーバ11が、他の認証サーバ(ここでは、認証サーバ21)からの認証受け入れ要求を受け付ける機能を持つ必要がある。認証サーバ21での認証後、ステップ206において、仲介サーバにリダイレクトを行う代わりに、直接認証サーバ11に対して認証受け入れ要求を行う。これにより、認証サーバ11でクッキー等既存の独自認証識別子を発行することで、シングルサインオンの連携を行うことが可能となる。
さらに、上記実施例では、認証サーバ11が、仲介サーバ10からのクッキー等既存の独自認証識別子の生成要求に対し、クッキー等既存の独自認証識別子の作成を行う機能を持っているが、その他の実施例として、この機能を持たない場合でも適用可能である。この場合、上記実施例と比べて、新方式のシングルサインオンドメイン2でユーザを認証したことを、既存のシングルサインオンドメイン1からの利用ができなくなる。つまり、ステップ21以降の実施が不可能となる以外は、上記実施例と同様となる。
本発明の実施例によるシングルサインオンシステムの全体構成を示す図である。 既存のシングルサインオンドメインでユーザを認証した場合に新方式のシングルサインオンドメインからシングルサインオンを実施する場合の動作を説明するシーケンス図である。 新方式のシングルサインオンドメインでユーザを認証したことを既存のシングルサインオンドメインから利用する場合の動作を説明するシーケンス図である。
符号の説明
1 既存のシングルサインオンドメイン
2 新方式のシングルサインオンドメイン
10 仲介サーバ
11、21 認証サーバ
12、22 Webサーバ
13、23 ネットワーク

Claims (17)

  1. 第1の認証サーバがクライアントの認証結果を示すために発行する第1の認証識別子をクライアントの認証処理が可能な認証識別子が異なる第2の認証サーバに仲介する仲介サーバであって、
    前記第1の認証識別子を前記クライアントより受信し該クライアントが前記第1の認証サーバで認証されていることを確認し、前記確認が行われたことを示す情報を前記第2の認証サーバが処理可能な形式に変換して前記第2の認証サーバへ送付することを特徴とする仲介サーバ。
  2. 前記第1の認証識別子は、httpプロトコルで用いられるクッキーに含まれることにより前記クライアントから前記受信することを特徴とする請求項1記載の仲介サーバ。
  3. 前記第2の認証サーバへ送付する際に、前記仲介サーバが前記変換を行ったことを示す情報を含むことを特徴とする請求項1記載の仲介サーバ。
  4. 第1の認証サーバでクライアントが認証されていることを示す情報を受信し、
    前記第1の認証サーバで生成された前記クライアントの認証識別子を用いて前記クライアントの認証処理が可能な第2の認証識別子を前記情報から作成し、
    前記第2の認証識別子を前記クライアント送信することを特徴とする第2の認証サーバ。
  5. 前記情報は、httpプロトコルで用いられるクッキーに含まれることにより前記クライアントから前記受信することを特徴とする請求項4記載の第2の認証サーバ。
  6. 前記第1の認証サーバと前記第2の認証サーバとが異なるドメインに属することでクッキーに含まれる情報が該第1の認証サーバと該第2の認証サーバでやりとりできないことを特徴とする請求項5記載の第2の認証サーバ。
  7. 前記認証されていることを示す情報は、前記認証されているクライアントの情報を含むことを特徴とする請求項4記載の第2の認証サーバ。
  8. 前記クライアントの情報は、クライアントを使用しているユーザの識別子を含むことを特徴とする請求項7記載の第2の認証サーバ。
  9. クライアントと、
    請求項1記載の仲介サーバと、
    請求項4記載の第2の認証サーバと
    を少なくとも含むことを特徴とする通信システム。
  10. 第1の認証サーバがクライアントの認証結果を示すために発行する第1の認証識別子をクライアントの認証処理が可能な認証識別子が異なる第2の認証サーバに仲介する仲介サーバの動作方法であって、
    前記第1の認証識別子を前記クライアントより受信し該クライアントが前記第1の認証サーバで認証されていることを確認し、前記確認が行われたことを示す情報を前記第2の認証サーバが処理可能な形式に変換して前記第2の認証サーバへ送付することを特徴とする仲介サーバの動作方法。
  11. 前記第1の認証識別子は、httpプロトコルで用いられるクッキーに含まれることにより前記クライアントから前記受信することを特徴とする請求項1記載の仲介サーバの動作方法。
  12. 前記第2の認証サーバへ送付する際に、前記仲介サーバが前記変換を行ったことを示す情報を含むことを特徴とする請求項1記載の仲介サーバの動作方法。
  13. 第1の認証サーバでクライアントが認証されていることを示す情報を受信し、
    前記第1の認証サーバで生成された前記クライアントの認証識別子を用いて前記クライアントの認証処理が可能な第2の認証識別子を前記情報から作成し、
    前記第2の認証識別子を前記クライアント送信する、
    ことを特徴とする第2の認証サーバの動作方法。
  14. 前記情報は、httpプロトコルで用いられるクッキーに含まれることにより前記クライアントから前記受信することを特徴とする請求項13記載の第2の認証サーバの動作方法。
  15. 前記第1の認証サーバと前記第2の認証サーバとが異なるドメインに属することでクッキーに含まれる情報が該第1の認証サーバと該第2の認証サーバでやりとりできないことを特徴とする請求項14記載の第2の認証サーバの動作方法。
  16. 前記認証されていることを示す情報は、前記認証されているクライアントの情報を含むことを特徴とする請求項13記載の第2の認証サーバの動作方法。
  17. 前記クライアントの情報は、クライアントを使用しているユーザの識別子を含むことを特徴とする請求項16記載の第2の認証サーバの動作方法。
JP2005071029A 2005-03-14 2005-03-14 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム Active JP4543322B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005071029A JP4543322B2 (ja) 2005-03-14 2005-03-14 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005071029A JP4543322B2 (ja) 2005-03-14 2005-03-14 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム

Publications (2)

Publication Number Publication Date
JP2006252418A JP2006252418A (ja) 2006-09-21
JP4543322B2 true JP4543322B2 (ja) 2010-09-15

Family

ID=37092823

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005071029A Active JP4543322B2 (ja) 2005-03-14 2005-03-14 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム

Country Status (1)

Country Link
JP (1) JP4543322B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4946564B2 (ja) * 2007-03-27 2012-06-06 富士通株式会社 認証処理方法及びシステム
WO2009041319A1 (ja) 2007-09-25 2009-04-02 Nec Corporation 証明書生成配布システム、証明書生成配布方法および証明書生成配布用プログラム
KR100953092B1 (ko) 2007-11-06 2010-04-19 한국전자통신연구원 Sso서비스 방법 및 시스템
JP4847483B2 (ja) * 2008-03-10 2011-12-28 日本電信電話株式会社 個人属性情報提供システムおよび個人属性情報提供方法
EP2267631A4 (en) * 2008-04-17 2016-06-01 Nec Corp DEVICE FOR DISTRIBUTION DISTRIBUTION ID MANAGEMENT, DEVICE FOR DISTRIBUTION DISTRIBUTION ID MANAGEMENT, DISTRIBUTION ID MANAGEMENT SYSTEM, AND METHOD FOR RESPONSE DISTRIBUTION ID MANAGEMENT
JP2011175591A (ja) * 2010-02-25 2011-09-08 Kddi R & D Laboratories Inc ネットワーク認証システム、ネットワーク認証方法およびプログラム
JP2011175590A (ja) * 2010-02-25 2011-09-08 Kddi R & D Laboratories Inc ネットワーク認証システム、ネットワーク認証方法およびプログラム
CN102739603B (zh) 2011-03-31 2015-10-21 国际商业机器公司 单点登录的方法和设备
JP5483746B2 (ja) * 2011-11-30 2014-05-07 日本電信電話株式会社 ネットワークシステム、ゲートウェイサーバ、ユーザ識別子連携方法及びユーザ識別子連携プログラム
JP5626919B2 (ja) * 2012-02-29 2014-11-19 Necソリューションイノベータ株式会社 ネットワークシステム、認証連携装置、認証連携方法、及びプログラム
US8806599B2 (en) * 2012-06-11 2014-08-12 Symantec Corporation Systems and methods for implementing multi-factor authentication
JP6248641B2 (ja) * 2014-01-15 2017-12-20 株式会社リコー 情報処理システム及び認証方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002208965A (ja) * 2001-01-04 2002-07-26 Nec Corp インターネット中継接続方式
JP2002288138A (ja) * 2001-03-27 2002-10-04 Matsushita Electric Works Ltd Wwwサーバ認証連携システム
WO2003073783A1 (en) * 2002-02-28 2003-09-04 Telefonaktiebolaget L M Ericsson System, method and apparatus for federated single sign-on services
JP2004234329A (ja) * 2003-01-30 2004-08-19 Nippon Telegraph & Telephone East Corp Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体
JP2005529392A (ja) * 2002-06-06 2005-09-29 シー. ハルト,ディック 階層的分散アイデンティティ管理
JP2006515447A (ja) * 2002-12-31 2006-05-25 インターナショナル・ビジネス・マシーンズ・コーポレーション 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002208965A (ja) * 2001-01-04 2002-07-26 Nec Corp インターネット中継接続方式
JP2002288138A (ja) * 2001-03-27 2002-10-04 Matsushita Electric Works Ltd Wwwサーバ認証連携システム
WO2003073783A1 (en) * 2002-02-28 2003-09-04 Telefonaktiebolaget L M Ericsson System, method and apparatus for federated single sign-on services
JP2005519501A (ja) * 2002-02-28 2005-06-30 テレフオンアクチーボラゲット エル エム エリクソン(パブル) シングルサインオンサービスのためのシステム、方法、および装置
JP2005529392A (ja) * 2002-06-06 2005-09-29 シー. ハルト,ディック 階層的分散アイデンティティ管理
JP2006515447A (ja) * 2002-12-31 2006-05-25 インターナショナル・ビジネス・マシーンズ・コーポレーション 異機種フェデレーテッド環境におけるネイティブ認証プロトコルのための方法およびシステム
JP2004234329A (ja) * 2003-01-30 2004-08-19 Nippon Telegraph & Telephone East Corp Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体

Also Published As

Publication number Publication date
JP2006252418A (ja) 2006-09-21

Similar Documents

Publication Publication Date Title
JP4543322B2 (ja) 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム
US8879099B2 (en) Printing system and method including authentication and owner name acquisition
JP6682254B2 (ja) 認証連携システム及び認証連携方法、認可サーバー及びプログラム
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
KR100968179B1 (ko) 사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체
JP4108461B2 (ja) 認証システム、認証振り分けサーバ、認証方法およびプログラム
TWI400922B (zh) 在聯盟中主用者之認證
JP4886508B2 (ja) 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム
JP4632315B2 (ja) グリッド・アクセス及びネットワーク・アクセスを提供するシングル・サインオン操作のための方法及びシステム
US6918041B1 (en) System and method of network communication with client-forced authentication
US20060264202A1 (en) System and method for authenticating clients in a client-server environment
CN112468481B (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
JP6141041B2 (ja) 情報処理装置及びプログラム、制御方法
JP2018205840A (ja) システム、その方法およびそのプログラム
WO2013186070A1 (en) A method and a system for providing access to protected resources via an oauth protocol
US8191127B2 (en) Information processing apparatus and method
JP5562143B2 (ja) 権限委譲システム、権限委譲方法、情報処理装置、及びプログラム
JP4670598B2 (ja) ネットワークシステム、プロキシサーバ、セッション管理方法、及びプログラム
JP4873852B2 (ja) 第一の通信装置、情報処理装置、情報処理プログラム、記録媒体
JP5023804B2 (ja) 認証方法及び認証システム
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
JP6582898B2 (ja) 情報提供システム、情報提供プログラム、及び情報提供方法
JP5618883B2 (ja) 認証システム、認証連携装置、認証方法
JP4573559B2 (ja) 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム
JP2012181662A (ja) アカウント情報連携システム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080515

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090821

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100603

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100616

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130709

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4543322

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150