JP4667908B2 - Client terminal and single sign-on system - Google Patents
Client terminal and single sign-on system Download PDFInfo
- Publication number
- JP4667908B2 JP4667908B2 JP2005054013A JP2005054013A JP4667908B2 JP 4667908 B2 JP4667908 B2 JP 4667908B2 JP 2005054013 A JP2005054013 A JP 2005054013A JP 2005054013 A JP2005054013 A JP 2005054013A JP 4667908 B2 JP4667908 B2 JP 4667908B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- client terminal
- authentication
- authentication ticket
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
この発明は、一度のログイン処理で複数のWebシステムに対するアクセスを可能にするシングルサインオンを実現するクライアント端末及びシングルサインオンシステムに関するものである。 This invention relates to client terminal end及 beauty single sign-on system for realizing single sign-on that allows access to multiple Web system in a single login process.
近年、Web技術を活用する「Webシステム」が広く利用されるようになっており、社内システムにおいても、様々なシステムがWebシステムとして実現されている。
ここで、Webシステムとは、クライアント端末にWebブラウザを搭載し、そのWebブラウザがWebアプリケーションサーバとデータ通信を行うことで、様々な処理を実現するシステムの総称である。
In recent years, “Web systems” that utilize Web technology have been widely used, and various systems have been realized as Web systems in in-house systems.
Here, the Web system is a general term for systems that implement various processes by mounting a Web browser on a client terminal and performing data communication with the Web application server.
Webシステムでは、通常、利用者を特定するために「ログイン」処理を実施する。即ち、ユーザIDやパスワードなどの個人情報の入力を促し、その個人情報を照合することで個人認証を実施する。
このようなログイン処理は、Webシステム毎に実施されるのが一般的であるが、異なるWebシステムを利用する毎に、ユーザIDやパスワードなどの個人情報の入力を促すのは、利用者にとって煩雑であるため、一度のログイン処理で複数のWebシステムに対するアクセスを実現する「シングルサインオン」の技術が開発されている。
「シングルサインオン」の技術を搭載しているシングルサインオンシステムでは、認証処理装置が認証済みを保証する認証チケット(認証情報)を発行し、クライアント端末のWebブラウザがWebアプリケーションサーバ(Webシステム)とデータ通信を実施する際、その認証チケットを含むデータをWebアプリケーションサーバに送信し、Webアプリケーションサーバがデータに含まれている認証チケットを参照して、ログイン済みであることを確認するようにしている(例えば、特許文献1参照)。
In a Web system, a “login” process is usually performed to identify a user. That is, personal authentication is performed by prompting input of personal information such as a user ID and a password, and collating the personal information.
Such login processing is generally performed for each Web system, but it is complicated for the user to prompt the user to input personal information such as a user ID and password every time a different Web system is used. Therefore, a “single sign-on” technique has been developed that realizes access to a plurality of Web systems by a single login process.
In a single sign-on system equipped with “single sign-on” technology, the authentication processing device issues an authentication ticket (authentication information) that guarantees authentication, and the web browser of the client terminal is a web application server (web system). When data communication is performed, data including the authentication ticket is transmitted to the Web application server, and the Web application server refers to the authentication ticket included in the data and confirms that the user has logged in. (For example, refer to Patent Document 1).
一方、Webブラウザを利用するWebシステムでは、HTMLの制約上、ユーザインタフェースに種々の制約が課せられている。そこで、より複雑なユーザインタフェースを実現するために、「リッチクライアント」技術が開発されている。
ここで、リッチクライアント技術とは、Web技術(例えば、HTTP通信、Cookie)を利用しつつも、一般的なアプリケーション(例えば、ワープロソフト、表計算ソフト)と同等のユーザインタフェースを実現することができる技術のことである。
以下、この明細書では、リッチクライアント技術を搭載しているアプリケーション(Webブラウザ以外のアプリケーション)を「リッチクライアントアプリケーション」と称する。
On the other hand, in a Web system using a Web browser, various restrictions are imposed on the user interface due to restrictions on HTML. Therefore, in order to realize a more complicated user interface, “rich client” technology has been developed.
Here, the rich client technology can realize a user interface equivalent to a general application (eg, word processing software, spreadsheet software) while using a Web technology (eg, HTTP communication, Cookie). It is technology.
Hereinafter, in this specification, an application (application other than a Web browser) equipped with rich client technology is referred to as a “rich client application”.
従来のシングルサインオンシステムは以上のように構成されているので、Webブラウザが一度ログイン処理を実施して認証チケットを獲得すれば、再度、ログイン処理を実施することなく、複数のWebシステムをアクセスすることができる。しかし、Webブラウザとリッチクライアントアプリケーションが認証チケットを共有する技術が確立されていないため、Webブラウザが認証チケットを獲得しても、リッチクライアントアプリケーションがWebシステムをアクセスする際には、ログイン処理を実施しなければならない課題があった。 Since the conventional single sign-on system is configured as described above, once a Web browser performs login processing and obtains an authentication ticket, it accesses a plurality of Web systems without performing login processing again. can do. However, since the technology for sharing the authentication ticket between the Web browser and the rich client application has not been established, even if the Web browser acquires the authentication ticket, the login process is performed when the rich client application accesses the Web system. There was an issue that had to be done.
この発明は上記のような課題を解決するためになされたもので、Webブラウザが認証チケットを獲得すれば、リッチクライアントアプリケーションがWebシステムをアクセスする場合でもログイン処理を実施することなく、Webシステムをアクセスすることができるクライアント端末及びシングルサインオンシステムを得ることを目的とする。
The present invention has been made to solve the above-described problems. If a Web browser acquires an authentication ticket, the Web system can be used without performing login processing even when a rich client application accesses the Web system. An object is to obtain a client terminal and a single sign-on system that can be accessed .
この発明に係るシングルサインオンシステムは、クライアント端末からアクセスを受けたとき、そのクライアント端末から認証チケットを受信すると、アプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末に送信するアプリ起動用ファイル生成装置を設け、クライアント端末がアプリ起動用ファイル生成装置からアプリケーション起動用ファイルを受信すると、そのアプリケーション起動用ファイルに含まれているアプリ情報にしたがってアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットを当該アプリケーションに引き渡すようにしたものである。 When the single sign-on system according to the present invention receives an authentication ticket from the client terminal when receiving an access from the client terminal, it generates an application activation file including application information and an authentication ticket necessary for starting the application, An application start file generation device that transmits the application start file to the client terminal is provided, and when the client terminal receives the application start file from the application start file generation device, the application information included in the application start file The application is started according to the above, and the authentication ticket included in the application start file is delivered to the application.
この発明によれば、クライアント端末からアクセスを受けたとき、そのクライアント端末から認証チケットを受信すると、アプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末に送信するアプリ起動用ファイル生成装置を設け、クライアント端末がアプリ起動用ファイル生成装置からアプリケーション起動用ファイルを受信すると、そのアプリケーション起動用ファイルに含まれているアプリ情報にしたがってアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットを当該アプリケーションに引き渡すように構成したので、Webブラウザが認証チケットを獲得すれば、Webブラウザ以外のアプリケーション(リッチクライアントアプリケーション)がアプリケーションサーバ(Webシステム)をアクセスする場合でもログイン処理を実施することなく、アプリケーションサーバをアクセスすることができる効果がある。 According to the present invention, when an authentication ticket is received from a client terminal when an access is received from the client terminal, an application start file including application information and an authentication ticket necessary for starting the application is generated, and the application start An application startup file generation device that transmits a file to the client terminal is provided, and when the client terminal receives the application startup file from the application startup file generation device, the application is executed according to the application information included in the application startup file. Since the authentication ticket included in the application startup file is delivered to the application, the Web browser acquires the authentication ticket. Without non-browser applications (rich client applications) is to implement a log-in process even if you access the application server (Web system), there is an advantage of being able to access the application server.
実施の形態1.
図1はこの発明の実施の形態1によるシングルサインオンシステムを示す構成図であり、図において、クライアント端末1は例えばインターネットなどのネットワーク5に接続され、クライアント端末1のWebブラウザがアプリ起動用ファイル生成装置3からアプリケーション起動用ファイルを受信するとアプリ起動用アプリケーションを呼び出し、そのアプリ起動用アプリケーションがアプリケーション起動用ファイルに含まれているアプリ情報にしたがってリッチクライアントアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをリッチクライアントアプリケーションに引き渡す処理などを実施する。
FIG. 1 is a block diagram showing a single sign-on system according to
認証処理装置2はネットワーク5に接続され、クライアント端末1から個人情報を受信すると、その個人情報とデータベースに登録されている個人情報を照合し、一致する個人情報がデータベースに登録されていれば、認証済みを保証する認証チケットをクライアント端末1に送信するなどの処理を実施する。
アプリ起動用ファイル生成装置3はネットワーク5に接続され、クライアント端末1からアクセスを受けたとき、そのクライアント端末1から認証チケットを受信すると、リッチクライアントアプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末1に送信するなどの処理を実施する。
アプリケーションサーバ4はネットワーク5に接続され、リッチクライアントアプリケーションを管理しているWebシステムである。
When the
When the application startup
The application server 4 is a Web system that is connected to the
図2はこの発明の実施の形態1によるクライアント端末を示す構成図であり、図において、マンマシンI/F11は例えばキーボードやマウスなどから構成され、ユーザが例えばユーザIDやパスワードなどの個人情報を入力する際に使用される。
認証処理要求部12はユーザがマンマシンI/F11を操作して、ユーザIDやパスワードなどの個人情報を入力すると、ネットワークI/F13を介して、その個人情報を認証処理装置2に送信して認証処理を要求するなどの処理を実施する。
ネットワークI/F13はネットワーク5に接続され、そのネットワーク5に対するデータの入出力処理を実施する。
認証チケット取得部14はネットワークI/F13が認証処理装置2から送信された認証チケットを受信すると、ネットワークI/F13から認証チケットを取得する。
なお、認証処理要求部12、ネットワークI/F13及び認証チケット取得部14から認証チケット取得手段が構成されている。
FIG. 2 is a block diagram showing a client terminal according to
When the user operates the man-machine I /
The network I /
When the network I /
The authentication
認証チケット送信部15はネットワークI/F13を介して、認証チケット取得部14により取得された認証チケットをアプリ起動用ファイル生成装置3に送信する。
起動用ファイル取得部16はネットワークI/F13がアプリ起動用ファイル生成装置3から送信されたアプリケーション起動用ファイルを受信すると、ネットワークI/F13からアプリケーション起動用ファイルを取得する。
なお、ネットワークI/F13、認証チケット送信部15及び起動用ファイル取得部16から起動用ファイル取得手段が構成されている。
The authentication
When the network I / F 13 receives the application startup file transmitted from the application startup
The network I /
アプリダウンロード部17は起動用ファイル取得部16により取得されたアプリケーション起動用ファイルに含まれているアプリ情報を参照して、アプリケーションサーバ4からネットワークI/F13を介してリッチクライアントアプリケーションをダウンロードする。
アプリ起動部18はアプリダウンロード部17によりダウンロードされたリッチクライアントアプリケーションの起動指令をアプリ実行部19に出力するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをアプリ実行部19に出力する。
アプリ実行部19はアプリ起動部18から起動指令を受けると、リッチクライアントアプリケーションの実行を開始させるとともに、その認証チケットをリッチクライアントアプリケーションに引き渡すなどの処理を実施する。
なお、ネットワークI/F13、アプリダウンロード部17、アプリ起動部18及びアプリ実行部19からアプリ起動手段が構成されている。
The application download unit 17 refers to the application information included in the application activation file acquired by the activation
The
When receiving an activation command from the
The network I /
この実施の形態1では、クライアント端末1の構成要素である認証処理要求部12、認証チケット取得部14、認証チケット送信部15、起動用ファイル取得部16、アプリダウンロード部17、アプリ起動部18及びアプリ実行部19が、例えば、CPUやメモリや半導体スイッチなどを実装している半導体集積回路基板などのハードウェアで構成されているものを想定しているが、クライアント端末1がコンピュータである場合、認証処理要求部12、認証チケット取得部14、認証チケット送信部15、起動用ファイル取得部16、アプリダウンロード部17、アプリ起動部18及びアプリ実行部19の処理内容が記述されているプログラムをコンピュータのメモリに格納し、コンピュータのCPUがメモリに格納されているプログラムを実行するようにしてもよい。
この場合、Webブラウザが認証処理要求部12、認証チケット取得部14、認証チケット送信部15及び起動用ファイル取得部16の処理を実施することになる。
In the first embodiment, an authentication
In this case, the Web browser performs the processing of the authentication
図3はこの発明の実施の形態1による認証処理装置を示す構成図であり、図において、ネットワークI/F21はネットワーク5に接続され、そのネットワーク5に対するデータの入出力処理を実施する。
個人情報管理DB22はログインを許可するユーザの個人情報(例えば、ユーザID/パスワード)を管理しているデータベースである。
認証処理部23はネットワークI/F21がクライアント端末1から送信された個人情報を受信すると、その個人情報と個人情報管理DB22に管理されている個人情報を照合し、一致する個人情報が個人情報管理DB22に管理されていれば、ネットワークI/F21を介して、認証済みを保証する認証チケットをクライアント端末1に送信するなどの処理を実施する。
FIG. 3 is a block diagram showing an authentication processing apparatus according to
The personal information management DB 22 is a database that manages personal information (for example, user ID / password) of users who are permitted to log in.
When the network I /
この実施の形態1では、認証処理装置2の構成要素である認証処理部23が、例えば、CPUやメモリや半導体スイッチなどを実装している半導体集積回路基板などのハードウェアで構成されているものを想定しているが、認証処理装置2がコンピュータである場合、認証処理部23の処理内容が記述されているプログラムをコンピュータのメモリに格納し、コンピュータのCPUがメモリに格納されているプログラムを実行するようにしてもよい。
In the first embodiment, the
図4はこの発明の実施の形態1によるアプリ起動用ファイル生成装置を示す構成図であり、図において、ネットワークI/F31はネットワーク5に接続され、そのネットワーク5に対するデータの入出力処理を実施する。
ログイン確認部32はネットワークI/F31がクライアント端末1からアクセスを受けたとき、ネットワークI/F31がクライアント端末1から認証チケットを受信していれば、ログイン済みであると認定し、クライアント端末1から認証チケットを受信していなければ、未ログインであると認定する。
なお、ネットワークI/F31及びログイン確認部32から認証チケット受信手段が構成されている。
FIG. 4 is a block diagram showing an application activation file generation apparatus according to
When the network I /
The network I /
基本設定情報格納部33はリッチクライアントアプリケーションの起動に必要なアプリ情報を生成するための基本設定情報(例えば、リッチクライアントアプリケーションの名称、モジュール名、リッチクライアントアプリケーションが管理されているアプリケーションサーバ4のURL、チケットID)を格納しているメモリである。
起動用ファイル生成部34はログイン確認部32がログイン済みであると認定すると、基本設定情報格納部33に格納されている基本設定情報に基づいてアプリケーション起動用ファイルを生成する。
認証チケット埋込部35はネットワークI/F31により受信された認証チケットを起動用ファイル生成部34により生成されたアプリケーション起動用ファイルに埋め込む処理を実施する。
なお、基本設定情報格納部33、起動用ファイル生成部34及び認証チケット埋込部35から起動用ファイル生成手段が構成されている。
The basic setting
If the
The authentication
The basic setting
起動用ファイル送信部36はネットワークI/F31を介して、認証チケット埋込部35により認証チケットが埋め込まれたアプリケーション起動用ファイルをクライアント端末1に送信する。
なお、ネットワークI/F31及び起動用ファイル送信部36から起動用ファイル送信手段が構成されている。
The activation file transmission unit 36 transmits the application activation file in which the authentication ticket is embedded by the authentication
The network I /
この実施の形態1では、アプリ起動用ファイル生成装置3の構成要素であるログイン確認部32、起動用ファイル生成部34、認証チケット埋込部35及び起動用ファイル送信部36が、例えば、CPUやメモリや半導体スイッチなどを実装している半導体集積回路基板などのハードウェアで構成されているものを想定しているが、アプリ起動用ファイル生成装置3がコンピュータである場合、ログイン確認部32、起動用ファイル生成部34、認証チケット埋込部35及び起動用ファイル送信部36の処理内容が記述されているプログラムをコンピュータのメモリに格納し、コンピュータのCPUがメモリに格納されているプログラムを実行するようにしてもよい。
図5はこの発明の実施の形態1によるシングルサインオンシステムの処理内容を示す処理シーケンス図である。
In the first embodiment, the
FIG. 5 is a processing sequence diagram showing processing contents of the single sign-on system according to
次に動作について説明する。
ユーザがクライアント端末1のマンマシンI/F11を操作して、アプリ起動用ファイル生成装置3のURLを指定すると、クライアント端末1のWebブラウザである認証処理要求部12がネットワークI/F13を介して、ページ取得要求をアプリ起動用ファイル生成装置3に送信する(ステップST1)。
アプリ起動用ファイル生成装置3のログイン確認部32は、ネットワークI/F31がクライアント端末1から送信されたページ取得要求を受信したとき、ネットワークI/F31がクライアント端末1から認証チケットを受信することができたか否かを判定することにより、ログイン済みであるか否かを認定する。
この段階では、クライアント端末1から認証チケットを受信することができないので、未ログインであると認定する。
ログイン確認部32は、未ログインであると認定すると、アプリケーション起動用ファイルを取得するには、認証処理装置2から認証チケットを獲得する必要がある旨を示すメッセージ(認証処理装置2のURLを含むメッセージ)をクライアント端末1に通知する(ステップST2)。
Next, the operation will be described.
When the user operates the man-machine I /
When the network I /
At this stage, since the authentication ticket cannot be received from the
If the
クライアント端末1の認証処理要求部12は、ネットワークI/F13がアプリ起動用ファイル生成装置3から送信されたメッセージを受信すると、そのメッセージから認証処理装置2のURLを抽出して、認証処理装置2をアクセスする(ステップST3)。
認証処理装置2の認証処理部23は、ネットワークI/F21がクライアント端末1からアクセスを受けると、ネットワークI/F21を介して、個人情報(例えば、ユーザIDとパスワード)の入力を促すログイン画面の画面データをクライアント端末1に送信する(ステップST4)。
ここでは、個人情報として、ユーザIDとパスワードの入力を促すものについて示しているが、これに限るものではなく、例えば、指紋やIDカード情報などの入力を促すようにしてもよい。
When the network I /
When the network I /
Here, personal information that prompts the user to input a user ID and password is shown. However, the present invention is not limited to this, and for example, input of a fingerprint, ID card information, or the like may be prompted.
クライアント端末1の認証処理要求部12は、ネットワークI/F13が認証処理装置2から送信されたログイン画面の画面データを受信すると、その画面データにしたがってログイン画面を図示せぬディスプレイに表示する。
認証処理要求部12は、ユーザがマンマシンI/F11を操作して、ユーザID/パスワードなどの個人情報を入力すると、ネットワークI/F13を介して、その個人情報を認証処理装置2に送信して、認証処理を要求する(ステップST5)。
When the network I /
When the user operates the man-machine I /
認証処理装置2の認証処理部23は、ネットワークI/F21がクライアント端末1から送信された個人情報を受信すると、その個人情報と個人情報管理DB22に管理されている個人情報を照合する(ステップST6)。
例えば、個人情報がユーザID/パスワードであれば、そのユーザID/パスワードと一致するユーザID/パスワードが個人情報管理DB22に管理されているか否かを判定し、一致するユーザID/パスワードが個人情報管理DB22に管理されていれば、ログインを許可し、一致するユーザID/パスワードが個人情報管理DB22に管理されていなければ、ログインを拒否する。
認証処理部23は、ログインを許可する場合、ネットワークI/F21を介して、認証済みを保証する認証チケットをクライアント端末1に送信する(ステップST7)。
なお、認証チケットは、例えば、ユーザID、アクセス権限、有効期限などを含む暗号化された認証情報である。
When the network I /
For example, if the personal information is a user ID / password, it is determined whether or not a user ID / password that matches the user ID / password is managed in the personal
If the login is permitted, the
The authentication ticket is encrypted authentication information including, for example, a user ID, access authority, expiration date, and the like.
クライアント端末1のWebブラウザである認証チケット取得部14は、ネットワークI/F13が認証処理装置2から送信された認証チケットを受信すると、ネットワークI/F13から認証チケットを取得する。
クライアント端末1のWebブラウザである認証チケット送信部15は、認証チケット取得部14が認証チケットを取得すると、ネットワークI/F13を介して、その認証チケットをアプリ起動用ファイル生成装置3に送信する。
When the network I /
When the authentication
アプリ起動用ファイル生成装置3のログイン確認部32は、ネットワークI/F31がクライアント端末1から送信された認証チケットを受信すると、その認証チケットの暗号化を解除し、その認証チケットの内容を見てログイン済みであることを確認する。
ログイン確認部32は、ログイン済みであることを確認すると、アプリケーション起動用ファイル生成モジュールである起動用ファイル生成部34の呼び出しを行う(ステップST9)。
アプリ起動用ファイル生成装置3の起動用ファイル生成部34は、ログイン確認部32から呼び出されると、基本設定情報格納部33に格納されている基本設定情報に基づいてアプリケーション起動用ファイルを生成する。
例えば、リッチクライアントアプリケーションの名称、モジュール名、リッチクライアントアプリケーションが管理されているアプリケーションサーバ4のURL、チケットIDなどから構成されているアプリケーション起動用ファイルを生成する。
When the network I /
When confirming that the user has logged in, the
When invoked from the
For example, a file for starting an application including a name of the rich client application, a module name, a URL of the application server 4 that manages the rich client application, a ticket ID, and the like is generated.
アプリ起動用ファイル生成装置3のアプリケーション起動用ファイル生成モジュールである認証チケット埋込部35は、起動用ファイル生成部34がアプリケーション起動用ファイルを生成すると、ネットワークI/F31により受信された認証チケットをアプリケーション起動用ファイルに埋め込む処理を実施する。
アプリ起動用ファイル生成装置3の起動用ファイル送信部36は、認証チケット埋込部35が認証チケットをアプリケーション起動用ファイルに埋め込むと、ネットワークI/F31を介して、そのアプリケーション起動用ファイルをクライアント端末1に送信する(ステップST10,ST11)。
The authentication
When the authentication
クライアント端末1のWebブラウザである起動用ファイル取得部16は、ネットワークI/F13がアプリ起動用ファイル生成装置3から送信されたアプリケーション起動用ファイルを受信すると、ネットワークI/F13からアプリケーション起動用ファイルを取得し、アプリ起動用アプリケーションであるアプリダウンロード部17の呼び出しを行うとともに、そのアプリケーション起動用ファイルをアプリダウンロード部17に出力する(ステップST12)。
When the network I /
クライアント端末1のアプリダウンロード部17は、起動用ファイル取得部16から呼び出されてアプリケーション起動用ファイルを受けると、そのアプリケーション起動用ファイルに含まれているアプリ情報を参照して、リッチクライアントアプリケーションの名称や、リッチクライアントアプリケーションが管理されているアプリケーションサーバ4のURL等を確認し、ネットワークI/F13を介して、リッチクライアントアプリケーションのダウンロードをアプリケーションサーバ4に依頼する(ステップST13)。
なお、アプリダウンロード部17は、リッチクライアントアプリケーションのダウンロードを依頼する際、アプリケーション起動用ファイルに含まれている認証チケットをアプリケーションサーバ4に送信する。
When the application download unit 17 of the
The application download unit 17 transmits the authentication ticket included in the application activation file to the application server 4 when requesting the download of the rich client application.
アプリケーションサーバ4は、クライアント端末1からリッチクライアントアプリケーションのダウンロードの依頼を受けたとき、クライアント端末1から認証チケットを受信すると、その認証チケットの暗号化を解除し、その認証チケットの内容を見てログイン済みであることを確認する。
アプリケーションサーバ4は、ログイン済みであることを確認すると、クライアント端末1により指定されたリッチクライアントアプリケーションをクライアント端末1に送信する(ステップST14)。
クライアント端末1のアプリダウンロード部17は、ネットワークI/F13がアプリケーションサーバ4から送信されたリッチクライアントアプリケーションを受信すると、そのリッチクライアントアプリケーションをダウンロードしてアプリ実行部19に出力する。
When the application server 4 receives the request for downloading the rich client application from the
When confirming that the application server 4 has logged in, the application server 4 transmits the rich client application designated by the
When the network I /
クライアント端末1のアプリ起動用アプリケーションであるアプリ起動部18は、アプリダウンロード部17がリッチクライアントアプリケーションをダウンロードすると、そのリッチクライアントアプリケーションの起動指令をアプリ実行部19に出力するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをアプリ実行部19に出力する。
クライアント端末1のアプリ実行部19は、アプリ起動部18から起動指令を受けると、リッチクライアントアプリケーションの実行を開始させるとともに、その認証チケットをリッチクライアントアプリケーションに引き渡すなどの処理を実施する(ステップST15)。
When the application download unit 17 downloads the rich client application, the
Upon receiving the activation command from the
これにより、リッチクライアントアプリケーションは実行を開始するが、実行中、例えば、アプリケーションサーバ4とデータ通信を実施する必要がある場合、アプリ実行部19から引き渡された認証チケットをアプリケーションサーバ4に送信する(ステップST16)。
アプリケーションサーバ4は、リッチクライアントアプリケーションから認証チケットを受信すると、その認証チケットの暗号化を解除し、その認証チケットの内容を見てログイン済みであることを確認する。
したがって、リッチクライアントアプリケーションは、特にログイン処理を実施することなく、認証チケットをアプリケーションサーバ4に送信するだけで、アプリケーションサーバ4をアクセスすることができる。
As a result, the rich client application starts executing, but during execution, for example, when it is necessary to perform data communication with the application server 4, the authentication ticket delivered from the
When the application server 4 receives the authentication ticket from the rich client application, the application server 4 releases the encryption of the authentication ticket and confirms that the login has been completed by looking at the content of the authentication ticket.
Therefore, the rich client application can access the application server 4 only by transmitting an authentication ticket to the application server 4 without performing a login process.
以上で明らかなように、この実施の形態1によれば、クライアント端末1からアクセスを受けたとき、そのクライアント端末1から認証チケットを受信すると、リッチクライアントアプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末1に送信するアプリ起動用ファイル生成装置3を設け、クライアント端末1がアプリ起動用ファイル生成装置3からアプリケーション起動用ファイルを受信すると、そのアプリケーション起動用ファイルに含まれているアプリ情報にしたがってリッチクライアントアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをリッチクライアントアプリケーションに引き渡すように構成したので、Webブラウザが認証チケットを獲得すれば、リッチクライアントアプリケーションがアプリケーションサーバ4をアクセスする場合でもログイン処理を実施することなく、アプリケーションサーバ4をアクセスすることができる効果を奏する。
As is apparent from the above, according to the first embodiment, when an authentication ticket is received from the
また、この実施の形態1によれば、アプリケーション起動用ファイルに含まれているアプリ情報を参照して、アプリケーションサーバ4からリッチクライアントアプリケーションをダウンロードするように構成したので、リッチクライアントアプリケーションをユーザに普及するに際して、CD−ROMなどの配布による普及を止めることができる。このため、一旦、適正な利用者にCD−ROMが配布されたのち、不適切な利用者にCD−ROMが流通してしまうなどの事態を回避することができる効果を奏する。 Further, according to the first embodiment, the rich client application is downloaded to the user because the rich client application is downloaded from the application server 4 with reference to the application information included in the application startup file. In doing so, the spread of CD-ROM and the like can be stopped. For this reason, once the CD-ROM is distributed to an appropriate user, it is possible to avoid a situation in which the CD-ROM is distributed to an inappropriate user.
また、この実施の形態1によれば、クライアント端末1から送信された認証チケットが受信された場合、リッチクライアントアプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末1に送信するように構成したので、Webブラウザがリッチクライアントアプリケーションを起動して、リッチクライアントアプリケーションに対する認証チケットの引渡しを可能にするアプリケーション起動用ファイルを生成することができる効果を奏する。
Further, according to the first embodiment, when an authentication ticket transmitted from the
1 クライアント端末、2 認証処理装置、3 アプリ起動用ファイル生成装置、4 アプリケーションサーバ、5 ネットワーク、11 マンマシンI/F、12 認証処理要求部(認証チケット取得手段)、13 ネットワークI/F(認証チケット取得手段,起動用ファイル取得手段,アプリ起動手段)、14 認証チケット取得部(認証チケット取得手段)、15 認証チケット送信部(起動用ファイル取得手段)、16 起動用ファイル取得部(起動用ファイル取得手段)、17 アプリダウンロード部(アプリ起動手段)、18 アプリ起動部(アプリ起動手段)、19 アプリ実行部(アプリ起動手段)、21 ネットワークI/F、22 個人情報管理DB、23 認証処理部、31 ネットワークI/F(認証チケット受信手段、起動用ファイル送信手段)、32 ログイン確認部(認証チケット受信手段)、33 基本設定情報格納部(起動用ファイル生成手段)、34 起動用ファイル生成部(起動用ファイル生成手段)、35 認証チケット埋込部(起動用ファイル生成手段)、36 起動用ファイル送信部(起動用ファイル送信手段)。
DESCRIPTION OF
Claims (5)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005054013A JP4667908B2 (en) | 2005-02-28 | 2005-02-28 | Client terminal and single sign-on system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005054013A JP4667908B2 (en) | 2005-02-28 | 2005-02-28 | Client terminal and single sign-on system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006236281A JP2006236281A (en) | 2006-09-07 |
JP4667908B2 true JP4667908B2 (en) | 2011-04-13 |
Family
ID=37043816
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005054013A Expired - Fee Related JP4667908B2 (en) | 2005-02-28 | 2005-02-28 | Client terminal and single sign-on system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4667908B2 (en) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8656472B2 (en) | 2007-04-20 | 2014-02-18 | Microsoft Corporation | Request-specific authentication for accessing web service resources |
US8516136B2 (en) * | 2007-07-09 | 2013-08-20 | Alcatel Lucent | Web-based over-the-air provisioning and activation of mobile terminals |
JP4760842B2 (en) * | 2008-03-10 | 2011-08-31 | Kddi株式会社 | Authentication system |
US8095972B1 (en) | 2008-10-06 | 2012-01-10 | Southern Company Services, Inc. | Secure authentication for web-based applications |
JP5219770B2 (en) * | 2008-12-12 | 2013-06-26 | キヤノンソフトウェア株式会社 | Information processing apparatus, session management method, program, and recording medium |
US8719905B2 (en) * | 2010-04-26 | 2014-05-06 | Authentify Inc. | Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices |
US8756665B2 (en) | 2011-07-08 | 2014-06-17 | International Business Machines Corporation | Authenticating a rich client from within an existing browser session |
JP5929175B2 (en) * | 2011-12-27 | 2016-06-01 | 株式会社リコー | Information processing apparatus, information processing system, and program |
JP6652074B2 (en) * | 2017-01-10 | 2020-02-19 | 京セラドキュメントソリューションズ株式会社 | Authentication system and authentication method |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004234640A (en) * | 2003-01-08 | 2004-08-19 | Ricoh Co Ltd | Information providing device, information providing processing system, image forming apparatus, information providing method and unauthorized utilization preventing method |
-
2005
- 2005-02-28 JP JP2005054013A patent/JP4667908B2/en not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004234640A (en) * | 2003-01-08 | 2004-08-19 | Ricoh Co Ltd | Information providing device, information providing processing system, image forming apparatus, information providing method and unauthorized utilization preventing method |
Also Published As
Publication number | Publication date |
---|---|
JP2006236281A (en) | 2006-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4667908B2 (en) | Client terminal and single sign-on system | |
US10382426B2 (en) | Authentication context transfer for accessing computing resources via single sign-on with single use access tokens | |
JP5534520B2 (en) | System and method for browser-based access to smart cards | |
US8516239B2 (en) | Virtual authentication proxy server and terminal authentication server | |
JP4886508B2 (en) | Method and system for stepping up to certificate-based authentication without interrupting existing SSL sessions | |
US7117243B2 (en) | Methods for distributed program execution with file-type association in a client-server network | |
US9548975B2 (en) | Authentication method, authentication system, and service delivery server | |
US20040088260A1 (en) | Secure user authentication | |
AU2002332001B2 (en) | Methods for distributed program execution with file-type association in a client-server network | |
US9407626B2 (en) | Security token management service hosting in application server | |
US20030069924A1 (en) | Method for distributed program execution with web-based file-type association | |
CN108712372B (en) | Method and system for accessing WEB third party login by client | |
JP5644770B2 (en) | Access control system, server, and access control method | |
AU2002332001A1 (en) | Methods for distributed program execution with file-type association in a client-server network | |
US8490198B2 (en) | Techniques for local personalization of content | |
US8789151B2 (en) | Remote device communication platform | |
JP2004334330A (en) | Terminal appliance, provision server, electronic information use method, electronic information provision method, terminal appliance program, provision server program, intermediation program and storage medium | |
US20190102534A1 (en) | Single sign-on management for multiple independent identity providers | |
US20070299984A1 (en) | Application firewall validation bypass for impromptu components | |
CN107315948B (en) | Data calling method and device | |
US7752438B2 (en) | Secure resource access | |
CN113626840A (en) | Interface authentication method and device, computer equipment and storage medium | |
JP5687455B2 (en) | Server, terminal, program, and service providing method | |
EP3900289B1 (en) | Method to monitor sensitive web embedded code authenticity | |
JP2009223638A (en) | Biometric authentication system and method for web application |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071010 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080128 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080722 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101012 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110104 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110112 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140121 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4667908 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |