JP4573559B2 - 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム - Google Patents
分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム Download PDFInfo
- Publication number
- JP4573559B2 JP4573559B2 JP2004113221A JP2004113221A JP4573559B2 JP 4573559 B2 JP4573559 B2 JP 4573559B2 JP 2004113221 A JP2004113221 A JP 2004113221A JP 2004113221 A JP2004113221 A JP 2004113221A JP 4573559 B2 JP4573559 B2 JP 4573559B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- information
- distributed
- authenticated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 claims description 35
- 238000012545 processing Methods 0.000 claims description 35
- 230000004044 response Effects 0.000 claims description 21
- 238000012790 confirmation Methods 0.000 claims 3
- 238000004891 communication Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 10
- 229920001690 polydopamine Polymers 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Multi Processors (AREA)
Description
本発明は、SAML(Security Assertion Mark-up Language)を用いたシングルサインオン(Single Sign-On;以下、SSOと記載する)技術に関し、さらに詳しくは、SSOのPullモデルにおける分散認証システム、分散認証システムに用いられる負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラムに関する。
通常、認証の必要な複数のWebサイトを利用するには、Webユーザはサイトごとに認証情報を入力しなければならない。しかしながら、これでは手間がかかり、認証情報(IDやパスワードなど)の管理も面倒である。そのため、最近では、一度の認証で複数のWebサイトの利用が可能となるSSOの需要が高まっている。例えば、SAMLを用いたSSOにおいては、WebサイトがSAMLに対応していれば、別のサイトへ移動したときに、移動元のサイトと移動先のサイトがSAMLプロトコルで通信し、自動的に認証情報が引き継がれるようになっている。
図7は、SSOの概念を示す図である。Webユーザuは、最初にソースWebサイト(認証サイト)SWSで認証を受けると、後にこの認証情報を用いて他のWebサイト(目的サイト)DWSに再度認証することなくアクセスできるようになっている。
ここで、SSOにはSAMLを用いると以下の2つのモデルが考えられる。1つは、Pullモデルと呼ばれるもので、アクセス要求を受けた目的WebサイトDWSがWebユーザuの認証情報をソースWebサイトSWSに問い合わせて、認証情報を引き出す(PULL)モデルである。図8を用いてPullモデルにおけるSSO認証の手順を説明する。
まず、WebユーザuがソースWebサイトSWSで認証を受ける(ステップS1)。次に、Webユーザuは、目的WebサイトDWSへのリンクを要求する(ステップS2)。これにより、ソースWebサイトSWSは、認証の参照先(例えば、ソースWebサイトSWSのURLなど;後述するSAMLアサーションのハンドルであり、チケット発行証明ともいう)d1をWebユーザuに提供し、Webユーザuを目的WebサイトDWSへリダイレクトさせる(ステップS3)。この結果、Webユーザuは、認証の参照先d1を目的WebサイトDWSへ提供し、目的WebサイトDWSの資源を要求する(ステップS4)。
目的WebサイトDWSは、認証の参照先d1に従って、Webユーザuの認証情報をソースWebサイトSWSに問い合わせる(ステップS5)。これは、SAMLアサーション(以下、認証済チケットともいう)d2をソースWebサイトSWSに対して要求するものである。尚、SAMLアサーションd2は、Webユーザuの認証に関する問い合わせに対してその内容を証明するステートメントである。これに対して、ソースWebサイトSWSは、この要求を確認すると、SAMLアサーションd2を発行し、目的WebサイトDWSに提供する(ステップS6)。これにより、目的WebサイトDWSは、Webユーザuに資源を提供し、Webユーザuは、目的WebサイトDWSの資源を利用できるようになる(ステップS7)。
もう1つは、Pushモデルと呼ばれるもので、Webユーザuの要求により、ソースWebサイトSWSが目的WebサイトDWSに認証情報を出す(Push)モデルである。図9を用いてPushモデルにおけるSSO認証の手順を説明する。
まず、WebユーザuがソースWebサイトSWSで認証を受ける(ステップS11)。次に、Webユーザuは、目的WebサイトDWSへのリンクを要求する(ステップS12)。これにより、ソースWebサイトSWSは、目的WebサイトDWSの資源を使用する要求を送信する(ステップS13)。これは、アクセス権限を証明するSAMLアサーションd2を目的WebサイトDWSに提供するものである。目的WebサイトDWSは、アクセスを許可したソースWebサイトSWSにアクセス決定の参照先(例えば、ソースWebサイトSWSのURLなど)を提供する(ステップS14)。
ソースWebサイトSWSは、Webユーザuに決定の参照先を含んだSAMLアサーションd2を提供し、Webユーザuを目的Webサイトへリダイレクトさせる(ステップS15)。この結果、Webユーザuは、決定の参照先を提示し、目的WebサイトDWSの資源を要求する(ステップS15)。これに対して、目的WebサイトDWSは、Webユーザuに資源を提供し、Webユーザuは、目的WebサイトDWSの資源を利用できるようになる(ステップS17)。
尚、この出願に関連する先行技術文献情報としては、次のものがある。
鈴木 優一、 "(連載)Webサービスのセキュリティ 第4回強力なSSOを実現するXML認証・認可サービス(SAML)"、[online]、[平成16年3月25日検索]、株式会社アットマーク・アイティ、インターネット<URL:http://www.atmarkit.co.jp/fsecurity/rensai/webserv04/webserv02.html> 上田 隆司、"SAML技術解説"、[online]、[平成16年3月25日検索]、XMLコンソーシアム、インターネット<URL:http://www.xmlconsortium.org/websv/kaisetsu/C10/main.html>
鈴木 優一、 "(連載)Webサービスのセキュリティ 第4回強力なSSOを実現するXML認証・認可サービス(SAML)"、[online]、[平成16年3月25日検索]、株式会社アットマーク・アイティ、インターネット<URL:http://www.atmarkit.co.jp/fsecurity/rensai/webserv04/webserv02.html> 上田 隆司、"SAML技術解説"、[online]、[平成16年3月25日検索]、XMLコンソーシアム、インターネット<URL:http://www.xmlconsortium.org/websv/kaisetsu/C10/main.html>
ところで、上述したSSOはその需要の高まりから大量の認証要求が発生することが予想され、認証サイト(ソースWebサイト)SWSにおいては、認証処理を行う認証サーバを複数備えたシステム構成が考えられる。しかしながら、上述したPullモデルにおいては、認証の参照先には、どこのサイトで認証されたかという情報(例えば、URLに関する情報)しかないので、認証サイトSWSが発行したチケット発行証明d1をWebユーザuが目的WebサイトDWSに送信し、該目的WebサイトDWSがチケット発行証明d1を認証サイトSWSに送信して、認証済チケットd2を得る場合(図8のステップS4〜S6)、サーバ間通信がエラーとなる可能性がある。これは、チケット発行証明d1を受け取った認証サイトSWSにおいては、チケット発行証明d1を発行した認証サーバがどれであるか認識できないので、負荷分散装置がどの認証サーバにチケット発行証明d1を振り分けてよいかわからないという問題に起因する。即ち、ソースWebサイトSWSがSAML要求を出しても、確実にSAMLアサーション(認証済チケット)d2を受け取ることができるとは限らないという問題がある。
これに対して、Pushモデルにおいては、認証サイトSWSが複数の認証サーバを備えるシステム構成となっても、WebユーザuにSAMLアサーション(認証済チケット)d2を提供するとともに、PullモデルにおけるステップS5およびS6に示すようなサーバ間通信はないので、上述した問題は発生しない。
本発明は、上記の事情を鑑みてなされたものであり、SSOのPullモデルにおいて、認証サイトが認証サーバを複数備えて負荷を分散させるシステム構成を採用しても、確実に認証を行うことができる分散認証システム、分散認証システムに用いられる負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラムを提供することを目的とする。
上記目的を達成するため、請求項1記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備え、前記負荷分散装置は、前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶手段と、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分け手段と、を有することを特徴とする。
請求項2記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置であって、前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶手段と、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶手段に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分け手段と、を有することを特徴とする。
請求項3記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備え、前記複数の認証サーバそれぞれは、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶手段と、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、前記認証済情報を発行する認証確認手段と、を有することを特徴とする。
請求項4記載の本発明は、Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備えて利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバであって、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶手段と、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、認証済情報を発行する認証確認手段と、を有することを特徴とする。
請求項5記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備え、前記複数の認証サーバそれぞれは、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成して、前記利用者に送信し、前記負荷分散装置は、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けることを特徴とする。
請求項6記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置であって、前記分散認証システムが前記利用者を認証して、該利用者に、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を送信した後に、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けることを特徴とする。
請求項7記載の本発明は、Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備えて、利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバであって、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成し、前記利用者に送信することを特徴とする。
請求項8記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置が読み取り可能な負荷分散プログラムであって、前記負荷分散装置に、前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶ステップと、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶手段に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分けステップと、を実行させるための負荷分散プログラムである。
請求項9記載の本発明は、Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備えて利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバが読み取り可能な認証プログラムであって、前記認証サーバに、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶ステップと、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、認証済情報を発行する認証確認ステップと、を実行させるための認証プログラムである。
請求項10記載の本発明は、Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置が読み取り可能な負荷分散プログラムであって、前記負荷分散装置に、前記分散認証システムが前記利用者を認証して、該利用者に、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を送信した後に、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける手段、として機能させるための負荷分散プログラムである。
請求項11記載の本発明は、Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備えて、利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバが読み取り可能な認証プログラムであって、前記認証サーバに、前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成し、前記利用者に送信する手段、として機能させるための認証プログラムである。
本発明によれば、SSOのPullモデルにおいて、認証サイトが認証サーバを複数備えて負荷を分散させるシステム構成を採用しても、確実に認証を行うことができる分散認証システム、分散認証システムに用いられる負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラムを提供することができる。
この結果、SSOに対する需要が増え、大量の認証要求が発生したとしても、大量の認証要求に応えることが可能である。また、SSOのPullモデルにおいては、Pushモデルに比べて利用者が利用する利用者端末の種類に依存しないので、利用者の利便性を向上させることができる。
詳しくは、本発明は、負荷分散装置が仮認証情報と認証サーバの識別情報とを対応させて記憶するので、負荷分散装置が的確に仮認証情報を発行した認証サーバを特定することができ、確実に認証済情報を発行することができるという効果がある。
また、本発明は、各認証サーバが共有可能な記憶装置を備えて、該記憶装置に仮認証情報を記憶するので、どの認証サーバが認証済情報を要求されても、確実に認証済情報を発行することができるという効果がある。
さらに、本発明は、認証した認証サーバの識別情報を含めて仮認証情報としているので、負荷分散装置は、的確に仮認証情報を発行した認証サーバを特定することができ、確実に認証済情報を発行することができるという効果がある。
以下、本発明の実施の形態を図面を用いて説明する。
<第1の実施の形態>
図1は、本発明の第1の実施の形態に係る分散認証システム10が適用されるSSOシステム100の概略構成図である。図1に示すSSOシステム100は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム10、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末3を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAP(Simple Object Access Protocol)で交換するようになっている。
図1は、本発明の第1の実施の形態に係る分散認証システム10が適用されるSSOシステム100の概略構成図である。図1に示すSSOシステム100は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム10、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末3を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAP(Simple Object Access Protocol)で交換するようになっている。
ここで、分散認証システム10は、Webユーザuの認証を行う複数の認証サーバ11i(i=a,b,…,n)、及びWebユーザuからの認証要求を認証サーバ11iのいずれかに振り分ける負荷分散装置12を具備する構成となっている。また、利用者端末2は、ブラウザ機能を備えているものである。
尚、上述した分散認証システム10を構成する認証サーバ11i及び負荷分散装置122、サービスサーバ1、並びに利用者端末3は、少なくとも演算機能および制御機能を備えた中央演算装置(CPU)、プログラムやデータを格納する機能を有するRAM等からなる主記憶装置(メモリ)を有する電子的な装置から構成されているものである。また、これらの装置は、主記憶装置の他、ハードディスクなどの補助記憶装置を具備していてもよい。さらに、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置またはハードディスクに格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。
次に、本実施の形態に係る分散認証システム10が適用されるSSOシステム100の動作を図2を用いて説明する。ここで、図2は、Webユーザu、認証サイトS1、及びサービスサイトS2間の通信のやりとりを示すシーケンス図である。尚、本実施の形態におけるSSOシステム100の動作は、図8に示すPullモデルにおいて、ソースWebサイトSWSを認証サイトS1、目的WebサイトDWSをサービスサイトS2と置き換えたものとほぼ同一であるが、Webユーザuの最初のアクセス先において相違がある。即ち、本実施の形態においては、後述するようにまず、サービスサイトS2にアクセスするのに対し、図8に示すPullモデルにおいては、ソースWebサイトSWS(認証サイトS1)にアクセスするが、Pullモデルに基づく動作は実質的に同一である。
まず、Webユーザuは、利用者端末2からサービスサイトS2にアクセスする(ステップS110)。サービスサイトS2においては、Webユーザuが未認証であるため、Webユーザuを認証サイトS1にリダイレクトさせる(ステップS120)。これにより、Webユーザuは、認証サイトS1にアクセスする(ステップS130)。
認証サイトS1においては、Webユーザuからの認証要求がくると、負荷分散装置12がランダムにこの認証要求を振り分けて、認証サーバ11iのいずれかに認証要求を送信する(ステップS140)。認証要求を受信した認証サーバ11iは、Webユーザuとの間で認証処理を行い(例えば、ID、パスワードをWebユーザuに入力させ、認証する)、認証済みとなると、チケット発行証明d1を生成する(ステップS150,S160)。ここで、チケット発行証明d1は、上述したように認証済チケットd2を得るためのチケットであり、具体的には、セッションID、認証の参照先に関する情報(どこの認証サイトが認証したかという情報)を含む情報となっている。
次いで、認証サーバ11iは、チケット発行証明d1をWebユーザuに負荷分散装置12を介して送信するとともに、WebユーザuをサービスサイトS2にリダイレクトさせる(ステップS170)。この際、負荷分散装置12は、このチケット発行証明d1とチケット発行証明d1を発行した認証サーバ11iのIPアドレスを対応付けて、所定の記憶部に記憶させる(ステップS180)。
Webユーザuは、受信したチケット発行証明d1を持って、サービスサイトS2にアクセスする(ステップS190)。サービスサイトS2においては、Webユーザuからのチケット発行証明d1を受け取ると、このチケット発行証明d1を含んだSAML認証要求、即ち、認証済チケットd2を求める要求を認証サイトS1に行う(ステップS200)。
認証サイトS1の負荷分散装置12は、サービスサイトS2からSAML認証要求を受けると、所定の記憶部に記憶されたチケット発行証明d1と認証サーバ11iのIPアドレスの対応表から、SAML認証要求に含まれるチケット発行証明d1に該当する対応情報を取得し、該対応情報のIPアドレスに従って、チケット発行証明d1を発行した認証サーバ11iを特定し、該認証サーバ11iにSAML認証要求を転送する(ステップS210)。
これにより、認証サーバ11iは、自己が発行したチケット発行証明d1に対するSAML要求を確実に受信することができるので、チケット発行証明d1の確認をして、認証済チケットd2を発行し、サービスサイトS2にこの認証済チケットd2をSAML認証応答として送信する(ステップS220)。
サービスサイトS2は、認証済チケットd2を受け取ると、Webユーザuは認証済のユーザであることを確認できるので、所定のサービスをWebユーザuに提供する(ステップS230,S240)。
従って、本実施の形態によるSSOシステム100によれば、SSOのPullモデルにおいて、認証サイトS1が認証サーバ11iを複数備えて負荷を分散させるシステム構成を採用しても、負荷分散装置12が、チケット発行証明d1とチケット発行証明d1を発行した認証サーバ11iのIPアドレスとを対応付けて記憶するので、サービスサイトS2からのSAML認証要求をWebユーザuを認証した認証サーバ11iに正確に振り分けることができる。
この結果、認証サイトS1は、Webユーザuから大量の認証要求が発生したとしても、確実に認証処理を行って、認証済チケットd2をサービスサイトS2に発行することができる。
また、本実施の形態によれば、分散サーバ11i及びサービスサーバ1には何らシステム改修は発生しないので、既存の分散サーバ11i及びサービスサーバ1を用いてSSOシステム100を構築することができる。
さらに、SSOのPullモデルは、Pushモデルに比べて利用者端末2の種類の制限を受けないので、携帯電話やPDAなどの幅広い利用者端末2を対象に本発明を適用することができる。
<第2の実施の形態>
図3は、本発明の第2の実施の形態に係る分散認証システム20が適用されるSSOシステム200の概略構成図である。図3に示すSSOシステム200は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム20、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末2を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAPで交換するようになっている。尚、本実施の形態においては、第1の実施の形態と異なる構成及び機能のみ説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する。
図3は、本発明の第2の実施の形態に係る分散認証システム20が適用されるSSOシステム200の概略構成図である。図3に示すSSOシステム200は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム20、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末2を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAPで交換するようになっている。尚、本実施の形態においては、第1の実施の形態と異なる構成及び機能のみ説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する。
ここで、分散認証システム20は、利用者uの認証を行う複数の認証サーバ21i(i=a,b,…,n)、Webユーザuからの認証要求を認証サーバ21iのいずれかに振り分ける負荷分散装置22、及び各認証サーバ21iがアクセス可能な共有メモリ23を具備する構成となっている。尚、共有メモリ23は、認証サーバ21iと物理的に別個のハードウェアであってもよいし、物理的に別個のハードウェアではないが、認証サーバ21iが備えるハードウェアを論理的に共有させて、該ハードウェアを共有メモリ23としてもよいものである。
尚、上述した分散認証システム20を構成する認証サーバ21i及び負荷分散装置222は、少なくとも演算機能および制御機能を備えた中央演算装置(CPU)、プログラムやデータを格納する機能を有するRAM等からなる主記憶装置(メモリ)を有する電子的な装置から構成されているものであり、また、共有メモリ23は、主記憶装置の機能を備えているものである。また、これらの装置は、主記憶装置の他、ハードディスクなどの補助記憶装置を具備していてもよい。さらに、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置またはハードディスクに格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。
次に、本実施の形態に係る分散認証システム20が適用されるSSOシステム200の動作を図4を用いて説明する。ここで、図4は、Webユーザu、認証サイトS1、及びサービスサイトS2間の通信のやりとりを示すシーケンス図である。尚、本実施の形態におけるSSOシステム200の動作は、第1の実施の形態と同様、図8に示すPullモデルにおいて、ソースWebサイトSWSを認証サイトS1、目的WebサイトDWSをサービスサイトS2と置き換えたものとほぼ同一であるが、Webユーザuの最初のアクセス先に相違がある。即ち、本実施の形態においては、後述するようにまず、サービスサイトS2にアクセスするのに対し、図8に示すPullモデルにおいては、ソースWebサイトSWS(認証サイトS1)にアクセスするが、Pullモデルに基づく動作は実質的に同一である。
まず、Webユーザuは、利用者端末2からサービスサイトS2にアクセスする(ステップS310)。サービスサイトS2においては、Webユーザuが未認証であるため、Webユーザuを認証サイトS1にリダイレクトさせる(ステップS320)。これにより、Webユーザuは、認証サイトS1にアクセスする(ステップS330)。
認証サイトS1においては、Webユーザuからの認証要求がくると、負荷分散装置22がランダムにこの認証要求を振り分けて、認証サーバ21iのいずれかに該認証要求を送信する(ステップS340)。認証要求を受信した認証サーバ21iは、Webユーザuとの間で認証処理を行い(例えば、ID、パスワードをWebユーザuに入力させ、認証するなど)、認証済みとなると、チケット発行証明d1を生成し、該チケット発行証明d1を共有メモリ23に記憶させる(ステップS350,S360,S370)。
次いで、認証サーバ21iは、チケット発行証明d1をWebユーザuに送信するとともに、WebユーザuをサービスサイトS2にリダイレクトさせる(ステップS380)。
Webユーザuは、受信したチケット発行証明d1を持って、サービスサイトS2にアクセスする(ステップS390)。サービスサイトS2においては、Webユーザuからのチケット発行証明d1を受け取ると、このチケット発行証明d1を含んだSAML認証要求、即ち、認証済チケットd2を求める要求を認証サイトS1に行う(ステップS400)。
認証サイトS1の負荷分散装置22は、サービスサイトS2からSAML認証要求を受けると、このSAML認証要求をランダムにいずれかの認証サーバ21iに転送する(ステップS410)。
これにより、認証サーバ21iは、SAML認証要求を受け取ると、共有メモリ23を参照して、SAML認証要求に含まれるチケット発行証明d1を確認し、認証済チケットd2を発行し、サービスサイトS2にこの認証済チケットd2をSAML認証応答として送信する(ステップS420)
サービスサイトS2は、認証済チケットd2を受け取ると、Webユーザuは認証済のユーザであることを確認できるので、所定のサービスをWebユーザuに提供する(ステップS430,S440)。
サービスサイトS2は、認証済チケットd2を受け取ると、Webユーザuは認証済のユーザであることを確認できるので、所定のサービスをWebユーザuに提供する(ステップS430,S440)。
従って、本実施の形態によるSSOシステム200によれば、SSOのPullモデルにおいて、認証サイトS1が認証サーバ11iを複数備えて負荷を分散させるシステム構成を採用しても、各認証サーバ21iがアクセス可能な共有メモリ23を備えて、チケット発行証明d1を共有メモリ23に記憶させるので、サービスサイトS2からのSAML認証要求がチケット発行証明d1を発行した認証サーバ21iに振られなくても、確実に認証処理をすることができ、認証済チケットd2をサービスサイトS2に発行することができる。
また、SSOのPullモデルは、Pushモデルに比べて利用者端末2の種類の制限を受けないので、携帯電話やPDAなどの幅広い利用者端末2を対象に本発明を適用することができる。
<第3の実施の形態>
図5は、本発明の第3の実施の形態に係る分散認証システム30が適用されるSSOシステム300の概略構成図である。図3に示すSSOシステム300は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム30、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末3を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAPで交換するようになっている。尚、本実施の形態においては、上記実施の形態と異なる構成及び機能のみ説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する。
図5は、本発明の第3の実施の形態に係る分散認証システム30が適用されるSSOシステム300の概略構成図である。図3に示すSSOシステム300は、SAMLを用いたPullモデルのSSOシステムであり、認証サイトS1に構築された分散認証システム30、サービスサイトS2に設けられ、所定のサービスを提供するサービスサーバ1、Webユーザuが利用する利用者端末2、並びに認証サイトS1、サービスサイトS2及び利用者端末3を相互に通信可能とする通信ネットワーク3を有するシステム構成となっている。そして、このようなシステム構成のもと、認証サイトS1の後述する認証サーバ及びサービスサイトS2のサービスサーバ1間においては、SAMLプロトコルを用いた通信が可能となっており、SAMLのメッセージである認証情報をSOAPで交換するようになっている。尚、本実施の形態においては、上記実施の形態と異なる構成及び機能のみ説明し、その他の構成及び機能に関しては同一部分には同一符号を付して説明を省略する。
ここで、分散認証システム30は、利用者uの認証を行う複数の認証サーバ31i(i=a,b,…,n)、及びWebユーザuからの認証要求を認証サーバ31iのいずれかに振り分ける負荷分散装置32を具備する構成となっている。
尚、上述した分散認証システム30を構成する認証サーバ31i及び負荷分散装置32は、少なくとも演算機能および制御機能を備えた中央演算装置(CPU)、プログラムやデータを格納する機能を有するRAM等からなる主記憶装置(メモリ)を有する電子的な装置から構成されているものである。また、これらの装置は、主記憶装置の他、ハードディスクなどの補助記憶装置を具備していてもよい。さらに、本実施の形態に係る各種処理を実行するプログラムは、前述した主記憶装置またはハードディスクに格納されているものである。そして、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読み取り可能な記録媒体に記録することも、通信ネットワークを介して配信することも可能である。
次に、本実施の形態に係る分散認証システム30が適用されるSSOシステム300の動作を図6を用いて説明する。ここで、図6は、Webユーザu、認証サイトS1、及びサービスサイトS2間の通信のやりとりを示すシーケンス図である。尚、本実施の形態におけるSSOシステム300の動作は、上記実施の形態と同様、図8に示すPullモデルにおいて、ソースWebサイトSWSを認証サイトS1、目的WebサイトDWSをサービスサイトS2と置き換えたものとほぼ同一であるが、Webユーザuの最初のアクセス先に相違がある。即ち、本実施の形態においては、後述するようにまず、サービスサイトS2にアクセスするのに対し、図8に示すPullモデルにおいては、ソースWebサイトSWS(認証サイトS1)にアクセスするが、Pullモデルに基づく動作は実質的に同一である。
まず、Webユーザuは、利用者端末2からサービスサイトS1にアクセスする(ステップS510)。サービスサイトS2においては、Webユーザuが未認証であるため、Webユーザuを認証サイトS1にリダイレクトさせる(ステップS520)。これにより、Webユーザuは、認証サイトS1にアクセスする(ステップS530)。
認証サイトS1においては、Webユーザuからの認証要求がくると、負荷分散装置32がランダムにこの認証要求を振り分けて、認証サーバ31iのいずれかに該認証要求を送信する(ステップS540)。認証要求を受信した認証サーバ31iは、Webユーザuとの間で認証処理を行い(例えば、ID、パスワードをWebユーザuに入力させ、認証するなど)、認証済みとなると、チケット発行証明d1’を生成する(ステップS550,S560)。ここで、チケット発行証明d1’は、上記実施の形態におけるチケット発行証明d1に認証した認証サーバ31iのIPアドレスを付加したものであり、具体的には、セッションID、認証の参照先に関する情報(どこの認証サイトが認証したかという情報)、認証サーバ31iのIPアドレスを含む情報となっている。
次いで、認証サーバ31iは、チケット発行証明d1’をWebユーザuに送信するとともに、WebユーザuをサービスサイトS2にリダイレクトさせる(ステップS570)。
Webユーザuは、受信したチケット発行証明d1’を持って、サービスサイトS2にアクセスする(ステップS580)。サービスサイトS2においては、Webユーザuからのチケット発行証明d1’を受け取ると、このチケット発行証明d1’を含んだSAML認証要求、即ち、認証済チケットd2を求める要求を認証サイトS1に行う(ステップS590)。
認証サイトS1の負荷分散装置32は、サービスサイトS2からSAML認証要求を受けると、このSAML認証要求に含まれる認証サーバ31iのIPアドレスに関する情報を抽出して、認証サーバ31iを特定し、特定した認証サーバ31iにSAML認証要求を転送する(ステップS600)。
これにより、認証サーバ31iは、自己が発行したチケット発行証明d1’に対するSAML要求を確実に受信することができるので、チケット発行証明d1’の確認をして、認証済チケットd2を発行し、サービスサイトS2にこの認証済チケットd2をSAML認証応答として送信する(ステップS610)。
サービスサイトS2は、認証済チケットd2を受け取ると、Webユーザuは認証済のユーザであることを確認できるので、所定のサービスをWebユーザuに提供する(ステップS620,S630)。
従って、本実施の形態によるSSOシステム300によれば、SSOのPullモデルにおいて、認証サイトS1が認証サーバ31iを複数備えて負荷を分散させるシステム構成を採用しても、認証サーバ31iは、認証サーバ31iのIPアドレスを付加したチケット発行証明d1’を生成するので、負荷分散装置32は、チケット発行証明d1’を参照することで、サービスサイトS2からのSAML認証要求をWebユーザuを認証した認証サーバ11iに正確に振り分けることができる。
この結果、認証サイトS1は、Webユーザuから大量の認証要求が発生したとしても、確実に認証処理を行って、認証済チケットd2をサービスサイトS2に発行することができる。
また、SSOのPullモデルは、Pushモデルに比べて利用者端末2の種類の制限を受けないので、携帯電話やPDAなどの幅広い利用者端末2を対象に本発明を適用することができる。
尚、認証サーバ31iにプライベートIPアドレスが割り当てられているシステム環境では、認証サーバ31iのIPアドレスを付加したチケット発行証明d1’が発行されたとしても、サービスサーバ1はSAML認証要求をチケット発行証明d1’を発行した認証サーバ31iに直接送信することはできないので、本実施の形態に係るSSOシステム300はこのような場合に好適に適用できるものである。
1 サービスサーバ
3 利用者端末
4 通信ネットワーク
10,20,30 分散認証システム
11i,21i,31i 認証サーバ
12,22,32 負荷分散装置
23 共有メモリ
100,200,300 SSOシステム
u Webユーザ
S1 認証サイト
S2 サービスサイト
SWS ソースWebサイト
DWS 目的Webサイト
d1 チケット発行証明(仮認証情報の一例)
d2 認証済チケット(認証済情報の一例)
3 利用者端末
4 通信ネットワーク
10,20,30 分散認証システム
11i,21i,31i 認証サーバ
12,22,32 負荷分散装置
23 共有メモリ
100,200,300 SSOシステム
u Webユーザ
S1 認証サイト
S2 サービスサイト
SWS ソースWebサイト
DWS 目的Webサイト
d1 チケット発行証明(仮認証情報の一例)
d2 認証済チケット(認証済情報の一例)
Claims (11)
- Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、
複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備え、
前記負荷分散装置は、
前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶手段と、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分け手段と、
を有することを特徴とする分散認証システム。 - Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置であって、
前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶手段と、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶手段に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分け手段と、
を有することを特徴とする負荷分散装置。 - Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、
複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備え、
前記複数の認証サーバそれぞれは、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶手段と、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、前記認証済情報を発行する認証確認手段と、
を有することを特徴とする分散認証システム。 - Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備えて利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバであって、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶手段と、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、認証済情報を発行する認証確認手段と、
を有することを特徴とする認証サーバ。 - Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムであって、
複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備え、
前記複数の認証サーバそれぞれは、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成して、前記利用者に送信し、
前記負荷分散装置は、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けることを特徴とする分散認証システム。 - Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置であって、
前記分散認証システムが前記利用者を認証して、該利用者に、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を送信した後に、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分けることを特徴とする負荷分散装置。 - Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備えて、利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバであって、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成し、前記利用者に送信することを特徴とする認証サーバ。 - Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置が読み取り可能な負荷分散プログラムであって、
前記負荷分散装置に、
前記複数の認証サーバのいずれかが前記利用者を認証後、該利用者に前記負荷分散装置を介して認証の参照先を示す仮認証情報を送信するときに、該仮認証情報と、認証した認証サーバを特定可能な識別情報とを対応付けて記憶する識別情報記憶ステップと、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報及び前記識別情報記憶手段に記憶された情報に基づいて、前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける要求振り分けステップと、
を実行させるための負荷分散プログラム。 - Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、前記複数の認証サーバが共有可能な記憶装置と、を備えて利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバが読み取り可能な認証プログラムであって、
前記認証サーバに、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、発行した認証の参照先を示す仮認証情報を前記記憶装置に記憶させる仮認証情報記憶ステップと、
前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をし、該要求を前記負荷分散装置から振り分けられたときは、受け取った仮認証情報を前記記憶装置に記憶された情報に基づいて確認し、認証済情報を発行する認証確認ステップと、
を実行させるための認証プログラム。 - Pull型のシングルサインオン方式のもと、利用者からの認証要求に対して認証を行う分散認証システムにおいて複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置が読み取り可能な負荷分散プログラムであって、
前記負荷分散装置に、
前記分散認証システムが前記利用者を認証して、該利用者に、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を送信した後に、前記利用者が接続要求した所定のサイトが、認証済情報を求めて前記分散認証システムに前記仮認証情報を含んだ要求をしたときは、受け取った仮認証情報に付加された識別情報から前記利用者を認証した認証サーバを特定し、特定した認証サーバに受け取った要求を振り分ける手段、
として機能させるための負荷分散プログラム。 - Pull型のシングルサインオン方式のもと、複数の認証サーバと、該複数の認証サーバのいずれかに認証処理を振り分ける負荷分散装置と、を備えて、利用者からの認証要求に対して認証を行う分散認証システムにおける前記認証サーバが読み取り可能な認証プログラムであって、
前記認証サーバに、
前記負荷分散装置から認証処理を振り分けられ、前記利用者を認証したときは、認証した認証サーバを特定可能な識別情報が付加された、認証の参照先を示す仮認証情報を作成し、前記利用者に送信する手段、
として機能させるための認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004113221A JP4573559B2 (ja) | 2004-04-07 | 2004-04-07 | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004113221A JP4573559B2 (ja) | 2004-04-07 | 2004-04-07 | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005301424A JP2005301424A (ja) | 2005-10-27 |
| JP4573559B2 true JP4573559B2 (ja) | 2010-11-04 |
Family
ID=35332920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004113221A Expired - Lifetime JP4573559B2 (ja) | 2004-04-07 | 2004-04-07 | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4573559B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100755006B1 (ko) | 2005-11-14 | 2007-09-04 | 주식회사 유베이션 | 분산 네트워크 시스템의 파일 확인/인증 시스템 및 그제공방법 |
| JP4906068B2 (ja) * | 2006-04-13 | 2012-03-28 | キヤノン株式会社 | 印刷システム、その制御方法、及びコンピュータプログラム |
| US8656472B2 (en) | 2007-04-20 | 2014-02-18 | Microsoft Corporation | Request-specific authentication for accessing web service resources |
| JP5268785B2 (ja) * | 2009-06-03 | 2013-08-21 | 株式会社野村総合研究所 | Webサーバシステムへのログイン制限方法 |
| JP5645891B2 (ja) * | 2012-07-30 | 2014-12-24 | ビッグローブ株式会社 | ソフトウェア提供システム、ポータルサーバ、提供サーバ、認証方法、提供方法およびプログラム |
| WO2014038034A1 (ja) * | 2012-09-06 | 2014-03-13 | 富士通株式会社 | 情報処理システム,情報処理方法,プログラム |
| JP6561441B2 (ja) | 2014-09-05 | 2019-08-21 | 株式会社リコー | 情報処理装置、アクセス制御方法、通信システム、及びプログラム |
| JP2017134535A (ja) | 2016-01-26 | 2017-08-03 | キヤノン株式会社 | システム、及びシステムの制御方法 |
| JP6840505B2 (ja) | 2016-10-13 | 2021-03-10 | キヤノン株式会社 | システム、サービス提供装置、システムの制御方法およびプログラム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000311138A (ja) * | 1999-04-28 | 2000-11-07 | Nec Corp | サーバの分散認証システム及び方法 |
-
2004
- 2004-04-07 JP JP2004113221A patent/JP4573559B2/ja not_active Expired - Lifetime
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000311138A (ja) * | 1999-04-28 | 2000-11-07 | Nec Corp | サーバの分散認証システム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005301424A (ja) | 2005-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110138718B (zh) | 信息处理系统及其控制方法 | |
| JP6904857B2 (ja) | 権限委譲システム、制御方法、およびプログラム | |
| JP5357246B2 (ja) | 統合認証のためのシステム、方法およびプログラム製品 | |
| JP6198477B2 (ja) | 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム | |
| TWI400922B (zh) | 在聯盟中主用者之認證 | |
| JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
| JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
| JP4867486B2 (ja) | 制御プログラムおよび通信システム | |
| CN109428891A (zh) | 权限转移系统及其控制方法和客户端 | |
| US9419974B2 (en) | Apparatus and method for performing user authentication by proxy in wireless communication system | |
| US9686257B2 (en) | Authorization server system, control method thereof, and storage medium | |
| WO2005006703A2 (en) | System and method for authenticating clients in a client-server environment | |
| JP2008523486A (ja) | 名前識別子登録プロファイルをセキュアに結合するための方法およびシステム | |
| JP6044299B2 (ja) | データ参照システムおよびアプリケーション認証方法 | |
| JP2020042691A (ja) | 情報処理装置、リソース提供装置、情報処理方法、情報処理プログラム、リソース提供方法、リソース提供プログラム | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| JP2020035079A (ja) | システム、及びデータ処理方法 | |
| JP4729365B2 (ja) | アクセス制御システム、認証サーバ、アクセス制御方法およびアクセス制御プログラム | |
| JP4573559B2 (ja) | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム | |
| KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
| JP2007272689A (ja) | オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム | |
| JP2006260002A (ja) | シングルサインオンシステム、サーバ装置、シングルサインオン方法及びプログラム | |
| JP2005346571A (ja) | 認証システム及び認証方法 | |
| JP5402301B2 (ja) | 認証用プログラム、認証システム、および認証方法 | |
| JP5460493B2 (ja) | 認証システム及び認証基盤装置及び認証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070319 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100525 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100723 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100810 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100817 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4573559 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130827 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140827 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |