JP4777758B2 - 認証システム - Google Patents
認証システム Download PDFInfo
- Publication number
- JP4777758B2 JP4777758B2 JP2005348345A JP2005348345A JP4777758B2 JP 4777758 B2 JP4777758 B2 JP 4777758B2 JP 2005348345 A JP2005348345 A JP 2005348345A JP 2005348345 A JP2005348345 A JP 2005348345A JP 4777758 B2 JP4777758 B2 JP 4777758B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- reference item
- information
- management server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000000034 method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、管理サーバ上にユーザが利用可能な資源に対する権限を設定し、又は利用可能な資源を制限するセキュリティシステムやグループウェアにおいて、権限設定にユーザ情報データベースの情報を用いる認証システムに関する。
従来、セキュリティシステムやグループウェアを利用するユーザは、システム管理者により管理サーバに登録されていた。登録に際し、各ユーザの設定は、管理サーバ上で各々のアプリケーション毎のアカウントに対応して個々に設定することにより、各ユーザは利用する権限を有するユーザとして登録されていた。ところが、ユーザ数が多い場合は膨大な作業量となり、ユーザの構成変更などの際には、変更となった個々のユーザに対する再設定が必要となり、システム管理者に過度な負担を強いていた。
そのような過度な負担を軽減するために、例えば、特許文献1では、グループウェアを利用するユーザを登録した専用のユーザ情報データベース(以下、「DB」ともいう)を用意し、ユーザ情報DBに、各ユーザの項目に設定方法を判断するために必要な独自の情報として接続管理情報を登録し、認証の際にこの接続管理情報を参照してユーザの設定を行う技術が開示されている。
そのような過度な負担を軽減するために、例えば、特許文献1では、グループウェアを利用するユーザを登録した専用のユーザ情報データベース(以下、「DB」ともいう)を用意し、ユーザ情報DBに、各ユーザの項目に設定方法を判断するために必要な独自の情報として接続管理情報を登録し、認証の際にこの接続管理情報を参照してユーザの設定を行う技術が開示されている。
しかしながら、上記特許文献1に記載の技術は、グループウェアに専用のユーザ情報DBを用意し、独自の情報を登録して各ユーザの設定を行うため、グループウェアを利用する組織が大きくなると、当該グループウェアのために用意されたユーザ情報DBの規模が大きくなり、全社システムなどにする場合は、人事データベースと同等レベルのものを準備する必要があった。
上記問題点に鑑み、本発明の課題は、特定のシステムのために専用のユーザ情報DB等を用意することなく、組織が所有している既存のユーザ情報DB等を用いて、システム管理者の負担が軽減される認証システムを提供することである。
上記課題を解決するために、本発明は、
クライアント端末からユーザの認証要求を受け付ける管理サーバと、ユーザ毎のパラメータを含むユーザ情報を格納するユーザ情報データベースとして用いられるLDAPサーバとの連携により認証処理を行う認証システムであって、
前記管理サーバが、
前記ユーザ情報に含まれるパラメータを特定するための参照項目を示す参照項目情報を記憶する参照項目情報記憶手段と、
前記パラメータに対応して前記クライアント端末における権限の制限の設定を示す設定情報を記憶する設定情報記憶手段と、
前記クライアント端末から送信されたユーザの認証要求を受け付けたことに応答して、前記LDAPサーバに当該ユーザの認証を要求する認証要求手段と、
前記LDAPサーバによる前記ユーザの認証が成功したことに応答して、前記参照項目情報記憶手段によって記憶されている参照項目情報を前記LDAPサーバに送信する参照項目情報送信手段と、
前記参照項目情報送信手段によって送信された前記参照項目情報に基づいて取得されたパラメータを前記LDAPサーバから受信し、当該受信したパラメータに対応する設定情報を前記設定情報記憶手段から取得し、前記ユーザの認証要求を送信したクライアント端末に当該取得した設定情報を送信する設定情報取得送信手段と、
を備え、
前記LDAPサーバが、
前記管理サーバによってユーザの認証を要求されたことに応答して、当該ユーザの認証を行い、当該ユーザの認証が成功したか否かを前記管理サーバに通知するユーザ認証手段と、
前記ユーザ認証手段による認証が成功したユーザについての前記参照項目情報を前記管理サーバから受信したことに応答して、受信した前記参照項目情報に基づいて前記ユーザ情報に含まれる前記認証が成功したユーザのパラメータを取得し、当該取得したパラメータを前記管理サーバに送信するパラメータ取得送信手段と、
を備える、
ことを特徴とする。
クライアント端末からユーザの認証要求を受け付ける管理サーバと、ユーザ毎のパラメータを含むユーザ情報を格納するユーザ情報データベースとして用いられるLDAPサーバとの連携により認証処理を行う認証システムであって、
前記管理サーバが、
前記ユーザ情報に含まれるパラメータを特定するための参照項目を示す参照項目情報を記憶する参照項目情報記憶手段と、
前記パラメータに対応して前記クライアント端末における権限の制限の設定を示す設定情報を記憶する設定情報記憶手段と、
前記クライアント端末から送信されたユーザの認証要求を受け付けたことに応答して、前記LDAPサーバに当該ユーザの認証を要求する認証要求手段と、
前記LDAPサーバによる前記ユーザの認証が成功したことに応答して、前記参照項目情報記憶手段によって記憶されている参照項目情報を前記LDAPサーバに送信する参照項目情報送信手段と、
前記参照項目情報送信手段によって送信された前記参照項目情報に基づいて取得されたパラメータを前記LDAPサーバから受信し、当該受信したパラメータに対応する設定情報を前記設定情報記憶手段から取得し、前記ユーザの認証要求を送信したクライアント端末に当該取得した設定情報を送信する設定情報取得送信手段と、
を備え、
前記LDAPサーバが、
前記管理サーバによってユーザの認証を要求されたことに応答して、当該ユーザの認証を行い、当該ユーザの認証が成功したか否かを前記管理サーバに通知するユーザ認証手段と、
前記ユーザ認証手段による認証が成功したユーザについての前記参照項目情報を前記管理サーバから受信したことに応答して、受信した前記参照項目情報に基づいて前記ユーザ情報に含まれる前記認証が成功したユーザのパラメータを取得し、当該取得したパラメータを前記管理サーバに送信するパラメータ取得送信手段と、
を備える、
ことを特徴とする。
本発明により、ユーザ情報データベースとしてLDAPサーバを用いて、管理サーバと連携して認証を行うことにより、特定のアプリケーション又はグループウェアを利用するユーザの変更により生ずるユーザ毎の設定作業を、管理サーバ上で行う作業が不要となり、システム管理者の負担が軽減される認証システムを提供することができる。
以下に、本発明を実施するための最良の形態を図面に基づいて説明する。
図1は、本発明の認証システムの実施形態の一例を示す図である。図1に示すように、本認証システムは、ユーザを認証する管理サーバ1と、ユーザが登録されたユーザ情報DBとして用いられるLDAP(Lightweight
Directory Access Protocol)サーバ2と、ユーザが使用するクライアント端末3とからなり、LDAPサーバ2及びクライアント端末3はインターネット、イントラネット等のネットワークを介してサーバ1に接続されている。
Directory Access Protocol)サーバ2と、ユーザが使用するクライアント端末3とからなり、LDAPサーバ2及びクライアント端末3はインターネット、イントラネット等のネットワークを介してサーバ1に接続されている。
本実施形態では、ユーザ情報DBとして、LDAPサーバ2を用いている。ここでは、LDAPサーバ2は、組織の構成員情報等の大量の照会や検索に利用されている既存のものを用い、
LDAPサーバ2内のディレクトリーに保存されている情報をユーザ情報DBとして用いている。
LDAPサーバ2内のディレクトリーに保存されている情報をユーザ情報DBとして用いている。
管理サーバ1は、ユーザの認証時にLDAPサーバ2により認証されたユーザに対する利用可能な資源の権利設定および制限を行う。
また、クライアント端末3は、ユーザが管理サーバ1との認証に関連する処理に成功すると、管理サーバ1より取得した資源に対する権利に基づき、ユーザに対して利用可能な資源を制限する。
また、クライアント端末3は、ユーザが管理サーバ1との認証に関連する処理に成功すると、管理サーバ1より取得した資源に対する権利に基づき、ユーザに対して利用可能な資源を制限する。
図2は、本発明の管理サーバに存在する設定情報を示す図である。LDAPサーバ2内に登録された各ユーザが保持するパラメータ(要素)の値に対する制限設定を設定情報として示したものである。さらに、管理サーバ1には、他に、LDAPサーバ2に登録された各ユーザが有しているパラメータ値のうちどのパラメータ値を参照するのかという情報である参照項目が定義される。具体的には、この参照項目は、param1、param2、param3・・として定義される。本実施例では、param1にパラメータa−1、a−2、a−3・・、param2にパラメータb−1、b−2、b−3・・、param3にパラメータc−1、c−2、c−3・・のいずれかが、ユーザ毎に個別に対応しているものとする(図3参照)。
例えば、図2においてparam1はネットワーク共有フォルダに対するユーザのアクセス権限に関する設定であり、設定Aは「書込み可」、設定Bは「参照のみ可」、設定Cは「アクセス不可」というような定義がなされているものとする。param2、param3では、また別の利用権限(印刷権限、外部媒体へのファイル書込み権限等)に対する定義がなされている。
管理サーバ1では、ユーザ毎にこの参照項目が定義される。そして、管理サーバ1が、LDAPサーバ2にて認証するユーザの参照項目を確認して、当該ユーザの参照項目をLDAPサーバ2へ送信する。そして、LDAPサーバ2は、当該ユーザの参照項目から制限設定に用いるパラメータを抽出して、管理サーバ1へ送信する。
例えば、当該ユーザの参照項目がparam1、param2、param3であって、当該参照項目に対応するパラメータが当該ユーザにとってa−1、b−1、c−1であるとき、LDAPサーバ2は、各参照項目に対応するパラメータa−1、b−1及びc−1の値を抽出して管理サーバ1へ送信する。次に、管理サーバ1は、図2に示すデータから当該ユーザに対応する制限が「設定A+設定E+設定I」の組合せとして、クライアント端末3に送信する。なお、それぞれの設定は各々矛盾しないように定義されているものとするが、もし矛盾する場合には先の設定(設定A)が優先するとか、後の設定(設定I)が優先すると等、適宜定めておいて良い。
これにより、ユーザと制限される設定との対応付けが可能となる。例えば、あるユーザに対しては、「ネットワーク共有フォルダ書込み可、印刷可、外部媒体へのファイル書込み不可」等の組合せが設定される。
これにより、ユーザと制限される設定との対応付けが可能となる。例えば、あるユーザに対しては、「ネットワーク共有フォルダ書込み可、印刷可、外部媒体へのファイル書込み不可」等の組合せが設定される。
図3は、本発明のユーザ情報DBに存在するユーザ情報を示す図である。本発明のユーザ情報DBとして使用するLDAPサーバ2に存在するユーザ情報の内容であり、各ユーザ毎にパラメータを定義したものである。LDAPサーバ2は、認証したユーザのデータの中から、管理サーバ1に定義された参照項目を参照して、パラメータを抽出し、管理サーバ1に通知する。
図4は、本発明で認証時に行われる処理の概略を示す図である。本システムを利用するユーザが管理サーバ1より認証を受ける際の処理概要を示している。認証は、管理サーバ1ではなく、LDAPサーバ2で行う。LDAPサーバ2で認証を行うことにより、全組織レベルの構成員のユーザ情報を有効に利用することができる。ユーザに与える設定(制限)は、管理サーバ1に設定した参照項目を参照して、図3に示すLDAPサーバ2に登録されたユーザ毎の情報からパラメータを取得し、取得したパラメータの値より、図2に示すデータを用いて管理サーバ1上で制限される設定を抽出してクライアント端末3(ユーザ)に通知される。
図5は、図4の処理の詳細を示すフローチャートである。利用するユーザが認証を受けるまでの処理を示している。
まず、ユーザは、クライアント端末3から管理サーバ1へ自身のユーザIDとパスワードを入力し、管理サーバ1より認証を受ける(ステップ501)。次に、管理サーバ1は、前記ユーザIDとパスワードをLDAPサーバ2へ入力して、LDAPサーバ2による認証を要求する(ステップ502)。LDAPによる認証が不成功のときは、認証失敗として処理する(ステップ503)。LDAPによる認証が成功したときは、LDAPサーバ2へ入力する管理サーバ1上の参照項目を確認する(ステップ504)。LADPサーバ2は管理サーバから参照項目を取得する(ステップ505)。取得が失敗したときは、認証失敗として処理する(ステップ506)。取得が成功したときは、図3に示す情報から参照項目に対応するパラメータ値を抽出する(ステップ507)。
まず、ユーザは、クライアント端末3から管理サーバ1へ自身のユーザIDとパスワードを入力し、管理サーバ1より認証を受ける(ステップ501)。次に、管理サーバ1は、前記ユーザIDとパスワードをLDAPサーバ2へ入力して、LDAPサーバ2による認証を要求する(ステップ502)。LDAPによる認証が不成功のときは、認証失敗として処理する(ステップ503)。LDAPによる認証が成功したときは、LDAPサーバ2へ入力する管理サーバ1上の参照項目を確認する(ステップ504)。LADPサーバ2は管理サーバから参照項目を取得する(ステップ505)。取得が失敗したときは、認証失敗として処理する(ステップ506)。取得が成功したときは、図3に示す情報から参照項目に対応するパラメータ値を抽出する(ステップ507)。
次に、管理サーバ1は、LDAPサーバ2から参照項目に対応するパラメータ値を取得する(ステップ508)。取得が失敗したときは、認証失敗として処理する(ステップ509)。取得が成功したときは、管理サーバ1は、図2に 示すパラメータ値に対応する設定を抽出する(ステップ510)。LDAPサーバ2より取得したパラメータ値に対応する設定が管理サーバ上に存在するか確認 する(ステップ511)。存在しないときは、認証失敗として処理する(ステップ512)。存在するときは、クライアント端末3に設定情報を送信して(ス テップ513)、認証が終了する。
以上により、認証をLDAPサーバで行うことにより、特定のアプリケーション又はグループウェアを利用するユーザの変更により生ずるユーザ毎の設定作業を、管理サーバ上で行う作業が不要となるため、システム管理者の負担が軽減される。
1 管理サーバ
2 LDAPサーバ(ユーザ情報データベース)
3 クライアント端末
2 LDAPサーバ(ユーザ情報データベース)
3 クライアント端末
Claims (1)
- クライアント端末からユーザの認証要求を受け付ける管理サーバと、ユーザ毎のパラメータを含むユーザ情報を格納するユーザ情報データベースとして用いられるLDAPサーバとの連携により認証処理を行う認証システムであって、
前記管理サーバが、
前記ユーザ情報に含まれるパラメータを特定するための参照項目を示す参照項目情報を記憶する参照項目情報記憶手段と、
前記パラメータに対応して前記クライアント端末における権限の制限の設定を示す設定情報を記憶する設定情報記憶手段と、
前記クライアント端末から送信されたユーザの認証要求を受け付けたことに応答して、前記LDAPサーバに当該ユーザの認証を要求する認証要求手段と、
前記LDAPサーバによる前記ユーザの認証が成功したことに応答して、前記参照項目情報記憶手段によって記憶されている参照項目情報を前記LDAPサーバに送信する参照項目情報送信手段と、
前記参照項目情報送信手段によって送信された前記参照項目情報に基づいて取得されたパラメータを前記LDAPサーバから受信し、当該受信したパラメータに対応する設定情報を前記設定情報記憶手段から取得し、前記ユーザの認証要求を送信したクライアント端末に当該取得した設定情報を送信する設定情報取得送信手段と、
を備え、
前記LDAPサーバが、
前記管理サーバによってユーザの認証を要求されたことに応答して、当該ユーザの認証を行い、当該ユーザの認証が成功したか否かを前記管理サーバに通知するユーザ認証手段と、
前記ユーザ認証手段による認証が成功したユーザについての前記参照項目情報を前記管理サーバから受信したことに応答して、受信した前記参照項目情報に基づいて前記ユーザ情報に含まれる前記認証が成功したユーザのパラメータを取得し、当該取得したパラメータを前記管理サーバに送信するパラメータ取得送信手段と、
を備える、
ことを特徴とする認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005348345A JP4777758B2 (ja) | 2005-12-01 | 2005-12-01 | 認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005348345A JP4777758B2 (ja) | 2005-12-01 | 2005-12-01 | 認証システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007156644A JP2007156644A (ja) | 2007-06-21 |
| JP4777758B2 true JP4777758B2 (ja) | 2011-09-21 |
Family
ID=38240955
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005348345A Expired - Fee Related JP4777758B2 (ja) | 2005-12-01 | 2005-12-01 | 認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4777758B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4937171B2 (ja) * | 2008-03-26 | 2012-05-23 | みずほ情報総研株式会社 | データ開示システム、アクセス制御設定方法、及びアクセス制御設定プログラム |
| JP4889693B2 (ja) * | 2008-07-11 | 2012-03-07 | 新日鉄ソリューションズ株式会社 | 認可サーバ装置、情報処理方法及びプログラム |
| JP7022306B2 (ja) | 2018-01-15 | 2022-02-18 | セイコーエプソン株式会社 | 電子機器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3497342B2 (ja) * | 1997-02-27 | 2004-02-16 | 株式会社日立製作所 | クライアント・サーバシステム、サーバ、クライアント処理方法及びサーバ処理方法 |
| JP2000010930A (ja) * | 1998-06-24 | 2000-01-14 | Hitachi Ltd | ネットワークシステムでのアクセス制御方法 |
| JP4718662B2 (ja) * | 2000-03-24 | 2011-07-06 | 株式会社東芝 | コンピュータシステム |
| JP2003085141A (ja) * | 2001-09-07 | 2003-03-20 | Fuji Electric Co Ltd | シングルサインオン対応認証装置、ネットワークシステム、及びプログラム |
-
2005
- 2005-12-01 JP JP2005348345A patent/JP4777758B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007156644A (ja) | 2007-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| TWI400922B (zh) | 在聯盟中主用者之認證 | |
| US9311469B2 (en) | Authorization server system, control method thereof, and non-transitory computer-readable medium | |
| JP6177020B2 (ja) | 認証システム、その制御方法、サービス提供装置およびコンピュータプログラム | |
| US8347403B2 (en) | Single point authentication for web service policy definition | |
| JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
| US9166968B2 (en) | Information processing apparatus, control method thereof, storage medium, and image processing apparatus | |
| JP5056124B2 (ja) | サーバ、プログラム及び情報処理システム | |
| US8869258B2 (en) | Facilitating token request troubleshooting | |
| US9053303B2 (en) | Apparatus, authentication system, authentication control method, authentication control program, and computer-readable recording medium having authentication control program | |
| US20100077208A1 (en) | Certificate based authentication for online services | |
| JP2019046059A (ja) | 権限委譲システム、制御方法、およびプログラム | |
| CN105991614B (zh) | 一种开放授权、资源访问的方法及装置、服务器 | |
| JP4543322B2 (ja) | 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム | |
| US20110173688A1 (en) | Information processing apparatus and method | |
| JP6377176B2 (ja) | 印刷システム、方法、およびプログラム | |
| JP2011076377A (ja) | 端末装置及び端末装置におけるアクセス制御ポリシー取得方法 | |
| JP2008257492A (ja) | 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム | |
| US8615560B2 (en) | Document data sharing system and user apparatus | |
| JP2020177537A (ja) | 認証認可サーバー、クライアント、サービス提供システム、アクセス管理方法とプログラム | |
| EP3073365A1 (en) | Networked image forming apparatus, networked image forming system and method of image forming | |
| WO2022010978A1 (en) | Automation of user identity using network protocol providing secure granting or revocation of secured access rights | |
| JP4777758B2 (ja) | 認証システム | |
| JP2011242992A (ja) | 情報処理装置、文書管理装置、印刷出力方法、及びコンピュータプログラム | |
| JP2009205223A (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080627 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110302 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110308 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110428 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110628 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110630 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4777758 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140708 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |