JP4946564B2 - 認証処理方法及びシステム - Google Patents

認証処理方法及びシステム Download PDF

Info

Publication number
JP4946564B2
JP4946564B2 JP2007080532A JP2007080532A JP4946564B2 JP 4946564 B2 JP4946564 B2 JP 4946564B2 JP 2007080532 A JP2007080532 A JP 2007080532A JP 2007080532 A JP2007080532 A JP 2007080532A JP 4946564 B2 JP4946564 B2 JP 4946564B2
Authority
JP
Japan
Prior art keywords
cookie
authentication
authentication server
terminal
setting service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007080532A
Other languages
English (en)
Other versions
JP2008242684A (ja
Inventor
修 針谷
享佳 栗田
博 前山
雅史 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2007080532A priority Critical patent/JP4946564B2/ja
Priority to US12/050,518 priority patent/US8856906B2/en
Publication of JP2008242684A publication Critical patent/JP2008242684A/ja
Application granted granted Critical
Publication of JP4946564B2 publication Critical patent/JP4946564B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、認証処理技術に関する。
複数の認証システムを連係させる標準規約としてSAML(Security Assertion Markup Language)(Ver.2)が存在している。SAMLを用いることによって、一度の認証で複数のウェブ(Web)システム等が利用できるシングルサインオン(Single Sign-On)を実現できる。従来では、認証が必要な複数のWebシステムを利用するには、ユーザはWebシステム毎に認証情報を入力しなければならなかった。これでは手間がかかり、認証データ(ID及びパスワードなど)の管理も面倒である。WebシステムがSAMLに対応していれば、別のWebシステムへ移動したときに、移動元のWebシステムと移動先のWebシステムがSAMLプロトコルで通信し、自動的に認証データが引き継がれる。
SAMLでは、ユーザがどの認証システムで認証を受けるのかという情報(すなわち、認証先システム情報)を認証サーバに提示する必要があり、SAML2.0では、認証先システム情報を、全ての認証サーバが受け取ることができる1つのクッキー(Cookie)に格納して、ユーザ端末に保持させている。具体的には、図1に示したように、ユーザ端末のWebブラウザには、認証サーバ1を示す「Server1」という1つのクッキーを共通のクッキー設定サービスによって設定しておく。このクッキーを認証サーバ1にも認証サーバ2にも通知するためには、認証サーバ1及び2を同一のドメイン(例えば共通ドメインcommon.com)に規定し、当該共通ドメインにおいて各認証サーバに異なるホスト名をDNS(Domain Name Server)に設定していた。
しかしながら、管理元が異なる複数の認証サーバ、図1の例では、server1.a.comとserver2.other.comを共通のドメインに参加させること(例えばserver1.common.comとserver2.common.com)は、DNSの設定及び運用の面で現実的には困難である。
また、特表2005−538434号公報には、クロスドメイン・シングル・サインオン認証機能のための技術が開示されている。具体的には、電子商取引サービス・プロバイダは、クライアントから、制御されたリソースへのアクセス要求を受信し、電子商取引サービス・プロバイダは、そのクライアントのために、制御されたリソースへのアクセスについて判定する際に、複数の認証サービス・プロバイダのうちの1つのプロバイダの指定を、電子商取引サービス・プロバイダによって使用できるようにする。電子商取引サービス・プロバイダは、制御されたリソースへのアクセス要求とともに、クッキーの形であり得る、認証サービス・プロバイダの指定を受信することができる。あるいは、認証サービス・プロバイダが、制御されたリソースへのアクセス要求とともに受信されなかった場合は、電子商取引サービス・プロバイダは、複数の認証サービス・プロバイダのうちの1つのユーザ選択を提供することができる。電子商取引サービス・プロバイダは、複数の認証サービス・プロバイダのうちの1つのユーザ選択を、ユーザに永続的に関連付けるオプションのユーザ選択を提供することもできる。電子商取引サービス・プロバイダは、電子商取引サービス・プロバイダからの認証要求を、指定された認証サービス・プロバイダに送信し、次いで、指定された認証サービス・プロバイダからの認証応答に基づいて、制御されたリソースへのアクセスを提供するかどうか判定する。この技術では、担当する認証サーバが複数設けられて、いずれかで認証を受ければよいという仕組みを採用している。
特表2005−538434号公報
従って、本発明の目的は、異なるドメインに属する複数の認証サーバを連携させてシングル・サインオンを実現するための新規な技術を提供することである。
また、本発明の他の目的は、異なるドメインに属する複数の認証システムを適切に連携させるための技術を提供することである。
本発明に係る認証処理方法は、サービスシステムと当該サービスシステム用の認証サーバとクッキー設定サービスとの組が複数存在するシステムにおいて実行される認証処理方法であって、(A)第1のクッキー設定サービスにより、特定のユーザの端末からの要求に応じて当該第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも第1のクッキー設定サービスを通知範囲とする第1のクッキーを特定のユーザの端末に設定するステップと、(B)第1のクッキー設定サービスから特定のユーザの端末を経由してクッキー設定要求を受信した場合、第2のクッキー設定サービスにより、第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも第2のクッキー設定サービスを通知範囲とする第2のクッキーを特定のユーザの端末に設定するステップとを含む。このように第1及び第2のクッキーを設定することによって、第1のシステムと第2のシステムとを連携させて、特定のユーザが第1の認証サーバで認証を受けるようにすることができる。すなわち、シングル・サインオンが可能となる。
また、本発明において、第1のクッキーの通知範囲に第1の認証サーバが含まれるようにしてもよい。そして、(C)第1の認証サーバが担当する第1のサービスシステムからの認証要求及び特定のユーザの端末からの第1のクッキーを受信した場合には、第1の認証サーバにより、第1のクッキーに応じて認証処理を実施するステップをさらに含むようにしてもよい。第1のクッキーによって自ら認証処理を実施しなければならないことが直ぐに分かる。
さらに、本発明において、第1のクッキーの通知範囲に第1の認証サーバが含まれ、第2のクッキーの通知範囲に第2の認証サーバが含まれるようにしてもよい。そして、(D)第2の認証サーバが担当する第2のサービスシステムからの認証要求及び特定のユーザの端末からの第2のクッキーを受信した場合には、第2の認証サーバにより、第2のクッキーに基づき、特定のユーザの端末を経由させて第1の認証サーバ宛で認証要求を送信するステップと、(E)特定のユーザの端末から第2の認証サーバからの認証要求及び第1のクッキーを受信した場合、第1の認証サーバにより、第1のクッキーに応じて認証処理を実施するステップとをさらに含むようにしてもよい。このように他のシステムを利用する際においても、簡単に認証担当の第1の認証サーバに移行できる。
また、本発明において、第2のクッキーの通知範囲に第2の認証サーバが含まれるようにしてもよい。そして、(F)第2の認証サーバが担当する第2のサービスシステムから特定のユーザの端末を経由して第2のクッキーを含まない認証要求を受信した場合には、第2の認証サーバにより、特定のユーザの端末経由で且つ第2のクッキー設定サービス宛でクッキー設定要求を送信するステップと、(G)第2の認証サーバからのクッキー設定要求を特定のユーザの端末から受信した場合、第2のクッキー設定サービスにより、特定のユーザの端末経由で且つ第1のクッキー設定サービス宛でクッキー確認要求を送信するステップと、(H)特定のユーザの端末から第2のクッキー設定サービスからのクッキー確認要求及び第1のクッキーを受信した場合、第1のクッキー設定サービスにより、第1のクッキーを含む所定の条件を満たしているか判断し、所定の条件を満たしていると判断された場合には特定のユーザの端末経由で且つ第2のクッキー設定サービス宛で特定のユーザの認証担当通知を送信するステップと、(I)特定のユーザの端末から第1のクッキー設定サービスからの認証担当通知を受信した場合、第2のクッキー設定サービスにより、第1の認証サーバを利用することを表し且つ第2のクッキー設定サービス及び第2の認証サーバを通知範囲とする新たな第2のクッキーを特定のユーザの端末に設定するステップとをさらに含むようにしてもよい。例えば第2のクッキーが無くなってしまった場合には、このような処理を行って第2のクッキーを復元して、第1のシステムと第2のシステムとが連携できるようにする。
なお、上で述べた所定の条件が、第2のクッキー設定サービスが予め定められている信頼リストに列挙されているという条件を含むようにしてもよい。信頼できないサービスからの要求に応答しないようにするためである。
上では、クッキーの通知範囲を広くした場合を述べたが、以下ではクッキーの通知範囲を狭めた場合を述べる。
具体的には、(J)第1の認証サーバが担当する第1のサービスシステムから特定のユーザの端末を経由して認証要求を受信した場合には、第1の認証サーバにより、認証システム確認要求を特定のユーザの端末経由で且つ第1のクッキー設定サービス宛で送信するステップと、(K)特定のユーザの端末から第1のクッキー及び第1の認証サーバからの認証システム確認要求を受信した場合、第1のクッキー設定サービスにより、第1のクッキーを確認して、特定のユーザの端末経由で且つ第1の認証サーバ宛に認証実行要求を送信するステップと、(L)特定のユーザの端末から第1のクッキー設定サービスからの認証実行要求を受信した場合、第1の認証サーバにより、認証処理を実施するステップとをさらに含むようにしてもよい。このようにすれば、認証担当の第1の認証サーバにおいて認証処理が実施されるようになる。
また、本発明において、(M)第2の認証サーバが担当する第2のサービスシステムから特定のユーザの端末を経由して認証要求を受信した場合には、第2の認証サーバにより、認証サーバ確認要求を特定のユーザの端末経由で且つ第2のクッキー設定サービス宛で送信するステップと、(N)特定のユーザの端末から第2のクッキー及び第2の認証サーバからの認証サーバ確認要求を受信した場合、第2のクッキー設定サービスにより、第2のクッキーを確認して、特定のユーザの端末経由で且つ第2の認証サーバ宛に第1の認証サーバが担当する旨の通知を送信するステップと、(O)特定のユーザの端末から第2のクッキー設定サービスからの、第1の認証サーバが担当する旨の通知を受信した場合、第2の認証サーバによって、特定のユーザの端末経由で且つ第1の認証サーバ宛で認証要求を送信するステップと、(P)特定のユーザの端末から第2の認証サーバからの認証要求を受信した場合、第1の認証サーバによって、認証処理を実施するステップとをさらに含むようにしてもよい。このようにすれば、他のシステムを利用する際においても、自動的に認証担当の第1の認証サーバに移行できる。すなわち、シングル・サインオンが実現される。
さらに、本発明において、(T)第2の認証サーバが担当する第2のサービスシステムから特定のユーザの端末を経由して認証要求を受信した場合には、第2の認証サーバにより、認証システム確認要求を特定のユーザの端末経由で且つ第2のクッキー設定サービス宛で送信するステップと、(U)特定のユーザの端末から第2の認証サーバからの認証システム確認要求を第2のクッキーなしで受信した場合、第2のクッキー設定サービスにより、クッキー確認要求を特定のユーザの端末経由で且つ第1のクッキー設定サービス宛で送信するステップと、(V)特定のユーザの端末から第1のクッキー及び第2のクッキー設定サービスからのクッキー確認要求を受信した場合、第1のクッキー設定サービスにより、第1のクッキーを含む所定の条件が満たされているか判断し、所定の条件が満たされている場合には特定のユーザの端末経由で且つ第2のクッキー設定サービス宛で特定のユーザの認証担当通知を送信するステップと、(W)特定のユーザの端末を経由して第1のクッキー設定サービスからの認証担当通知を受信した場合、第2のクッキー設定サービスにより、第1の認証サーバを利用することを表し且つ第2のクッキー設定サービスを通知範囲とする新たな第2のクッキーを特定のユーザの端末に設定すると共に、担当認証サーバが第1の認証サーバである旨の通知を特定のユーザの端末経由で且つ第2の認証サーバ宛に送信するステップと、(X)特定のユーザの端末から第2のクッキー設定サービスからの担当認証サーバが第1の認証サーバである旨の通知を受信した場合、第2の認証サーバにより、特定のユーザの端末経由で且つ第1の認証サーバ宛で認証要求を送信するステップとをさらに含むようにしてもよい。このように、第2のクッキーが無くなってしまった場合においても、復元することによって認証担当の第1の認証サーバに移行することができるようになる。
なお、上で述べた所定の条件が、第2のクッキー設定サービスが予め定められている信頼リストに列挙されているという条件を含むようにしてもよい。
なお、本方法を各コンピュータに実行させるためのプログラムを作成することができ、これらのプログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。また、ネットワークなどを介してデジタル信号として配信される場合もある。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
本発明によれば、異なるドメインに属する複数の認証サーバを連携させてシングル・サインオンを実現することができるようになる。
また、本発明の他の側面によれば、異なるドメインに属する複数の認証システムを適切に連携させることができるようになる。
図2に本発明の実施の形態に係るシステム概要を示す。本実施の形態では、2以上のシステムが連携するようになっており、図2の例では、システムA及びシステムBが存在している。各システムは、認証サーバ(認証サーバA及びB)と、Webシステムなどのサービス提供システム(WebシステムA及びB)と、以下で述べる処理を実施するクッキー設定サービス(クッキー設定サービスA及びB)と、クッキー設定サービスによって利用される信頼リスト(信頼リストA及びB)とを含む。クッキー設定サービスは認証サーバやWebシステムのいずれかのサーバに設けられるようにしても良いし、別のサーバに設けられる場合もある。Webシステムも1台のコンピュータではなく複数台のコンピュータによって構成される場合もある。各システム内の各サーバについてもネットワークで接続されており、各システム間についてもネットワークで接続されている。ネットワークには、複数のユーザ端末が接続されており、ユーザ端末には、Webブラウザ11がインストールされている。なお、Webブラウザ11は、以下で説明するシステムA用のクッキーAと、システムB用のクッキーBとを管理している。
[実施の形態1]
図3及び図4に第1の実施の形態におけるシステム構成を示す。まず図3に、第1の実施の形態におけるシステムAの構成を示す。本実施の形態では、WebシステムAのURL(Uniform Resource Locator)は”https://www.a.com/service”であり、認証サーバAのURLは”https://auth.a.com/sys/auth”であり、クッキー設定サービスAのURLは”https://auth.a.com/sys/set”である。そして、認証サーバAは、連携リストAを保持しており、ニックネームsysBとURL”https://auth.b.com/sys/auth”とが登録されている。また、信頼リストAには、ニックネームsysBとURL”https://auth.b.com/sys”と識別情報XXXXとが登録されている。
また図4に、第1の実施の形態におけるシステムBの構成を示す。本実施の形態では、WebシステムBのURL(Uniform Resource Locator)は”https://www.b.com/service”であり、認証サーバBのURLは”https://auth.b.com/sys/auth”であり、クッキー設定サービスBのURLは”https://auth.b.com/sys/set”である。そして、認証サーバBは、連携リストBを保持しており、ニックネームsysAとURL”https://auth.a.com/sys/auth”とが登録されている。また、信頼リストBには、ニックネームsysAとURL”https://auth.a.com/sys”と識別情報YYYYとが登録されている。
このように、認証サーバAは認証サーバBと連携しており、認証サーバBは認証サーバAと連携していることが登録されている。また、認証サーバAとクッキー設定サービスAとは、https://auth.a.com/sys配下に配置されており、認証サーバBとクッキー設定サービスBとは、https://auth.b.com/sys配下に配置されている。そして、信頼リストAには、システムBのhttps://auth.b.com/sys配下のサービス等が登録されており、信頼リストBには、システムAのhttps://auth.a.com/sys配下のサービス等が登録されている。
さらに、図5に、第1の実施の形態におけるユーザ端末に登録されるクッキーの一例を示す。図5の例では、クッキーAが第1行目、クッキーBが第2行目に相当する。クッキーAには、クッキー名「AUTHSYSTEM」と、クッキーの値「LOCAL」(通知範囲自身を示すニックネーム)と、クッキーの通知範囲”https://auth.a.com/sys”とが含まれる。なお、クッキーAの通知範囲には、認証サーバA及びクッキー設定サービスAとが含まれる。また、クッキーBには、クッキー名「AUTHSYSTEM」と、クッキーの値「sysA」(システムAのニックネーム)と、クッキーの通知範囲”https://auth.b.com/sys”とが含まれる。クッキーBの通知範囲には、認証サーバB及びクッキー設定サービスBとが含まれる。
次に、図6及び図7を用いて、クッキー設定サービスによりクッキーをユーザ端末に初期設定する際の処理について説明する。まず、ユーザはユーザ端末のWebブラウザ11に指示して、クッキー設定依頼をクッキー設定サービスAに送信させる(ステップS1)。なお、このユーザは、クッキー設定サービスAに最初にクッキー設定依頼を送信することが予め定められているものとする。クッキー設定サービスAは、ユーザ端末からクッキー設定依頼を受信し(ステップS3)、クッキーAを生成し、メインメモリなどの記憶装置に格納する(ステップS5)。すなわち、図5の第1行目に相当するデータを生成する。クッキーの値には、自らのシステムを表すLOCALが設定され、クッキーの通知範囲には、クッキー設定サービスA及び認証サーバAを含む範囲である”https://auth.a.com/sys”と設定される。
そして、クッキー設定サービスAは、ユーザ端末に設定すべきクッキーAと共にクッキー設定サービスBにリダイレクトさせるクッキー設定依頼メッセージをユーザ端末へ送信する(ステップS7)。ユーザ端末のWebブラウザ11は、クッキー設定サービスAからクッキーAを受信して当該クッキーAを設定すると共に、クッキー設定サービスAから受信したクッキー設定依頼メッセージをクッキー設定サービスBにリダイレクトする(ステップS9)。クッキー設定サービスBは、ユーザ端末から、クッキー設定サービスAからのクッキー設定依頼を受信し(ステップS11)、信頼リストBを参照して、クッキー設定依頼の送信元であるクッキー設定サービスAが信頼できる依頼元であるか判断する(ステップS13)。もし、クッキー設定依頼の送信元が信頼リストBに登録されていない場合には(ステップS13:Noルート)、クッキー非設定通知をユーザ端末に送信する(ステップS15)。なお、クッキー非設定通知についてはクッキー設定依頼の送信元にリダイレクトさせるような設定を行っておいても良い。ユーザ端末のWebブラウザ11は、クッキー設定サービスBからクッキー非設定通知を受信し、表示装置に表示する(ステップS17)。
一方、クッキー設定依頼の送信元が信頼リストBに登録されている場合には(ステップS13:Yesルート)、クッキー設定サービスBは、クッキーBを生成し、例えばメインメモリなどの記憶装置に格納する(ステップS19)。すなわち、図5の第2行目に相当するデータを生成する。クッキーの値には、クッキー設定依頼の送信元システムを表すsysAが設定され、クッキーの通知範囲には、クッキー設定サービスB及び認証サーバBを含む範囲である”https://auth.b.com/sys”と設定される。処理は端子A及びBを介して図7の処理に移行する。
図7の処理の説明に移行して、クッキー設定サービスBは、ユーザ端末に設定すべきクッキーBと共にクッキー設定サービスAにリダイレクトさせる処理完了の通知メッセージをユーザ端末へ送信する(ステップS21)。ユーザ端末は、クッキー設定サービスBからクッキーBを受信して当該クッキーBを設定すると共に、クッキー設定サービスBからの処理完了の通知メッセージをクッキー設定サービスAにリダイレクトする(ステップS23)。クッキー設定サービスAは、ユーザ端末から処理完了の通知メッセージを受信する(ステップS25)。システムAとシステムBが連携すればよい場合には、ユーザ端末に完了通知を送信して処理を終了する場合もある。一方、システムA及びB以外にも連携すべきシステムC等が存在する場合には、クッキー設定サービスAは、ステップS7に戻ってクッキー設定サービスC宛にクッキーAなしでクッキー設定依頼をユーザ端末へ送信する。以下は、同様の処理を実施すればよい。さらにシステムDなども存在する場合には、同様の処理を繰り返せばよい。
以上のような処理を実施すれば、システムAとシステムBの連携の前提が完成する。なお、クッキーAの設定についてはステップS5乃至S9で実施するように示したが、他のクッキー設定サービスについてのクッキー設定の後に行うようにしても良い。すなわち、ステップS25の後に行うようにしても良い。
次に、図8乃至図16を用いて、上記のような前提の下実施される処理について説明する。まず、図8を用いてユーザ端末がシステムAのWebシステムAにアクセスした場合の処理について説明する。最初に、ユーザの指示に応じてユーザ端末のWebブラウザ11はWebシステムAにアクセスする(ステップS31)。そうすると、WebシステムAは、ユーザ端末からのアクセスに応答して、認証サーバAにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS33)。ユーザ端末のWebブラウザ11は、WebシステムAから認証サーバA宛の認証依頼メッセージを受信すると、当該認証依頼メッセージをクッキーAと共に認証サーバAにリダイレクトする(ステップS35)。認証サーバAはクッキーAの通知範囲に入っているので、リダイレクトする際にはクッキーAも送信される。認証サーバAは、ユーザ端末から認証依頼メッセージ及びクッキーAを受信し(ステップS37)、クッキーの内容を確認する(ステップS39)。ここで、クッキーAが認証サーバAによってユーザ端末のユーザを認証すべきであることを示しているか判断する。
クッキーAが認証サーバAによってユーザ端末のユーザを認証すべきであることを示している場合には、認証サーバAは、認証データの要求メッセージをユーザ端末に送信する(ステップS41)。ユーザ端末のWebブラウザ11は、認証サーバAから認証データの要求メッセージを受信し、表示装置に表示する(ステップS43)。ユーザは、表示装置に示される例えばID及びパスワード入力欄に、ID及びパスワードを認証データとして入力する。ユーザ端末のWebブラウザ11は、ユーザからの認証データの入力を受け付け、認証サーバAに送信する(ステップS45)。認証サーバAは、ユーザ端末から認証データを受信し(ステップS47)、例えばメインメモリなどの記憶装置に格納する。そして、認証処理を実施し(ステップS49)、WebシステムAにリダイレクトさせる認証結果をユーザ端末へ送信する(ステップS51)。ユーザ端末のWebブラウザ11は、認証サーバAからWebシステムA宛の認証結果を受信すると、当該認証結果をWebシステムAにリダイレクトする(ステップS53)。WebシステムAは、ユーザ端末から、認証サーバAからの認証結果を受信し(ステップS55)、認証結果に応じたページ・データを生成して、ユーザ端末に返信する(ステップS57)。ユーザ端末のWebブラウザ11は、WebシステムAから認証結果に応じたページ・データを受信し、表示装置に表示する(ステップS59)。以下、通常の処理が進行する。なお、認証結果が認証成功を示している場合には、当該認証結果を別のクッキーとしてユーザ端末のWebブラウザ11に保持させてもよい。
このようにして認証が実施されてユーザはWebシステムAからサービスを受けることができるようになる。
次に、図9及び図10を用いて、ユーザ端末がWebシステムBにアクセスする際の処理について説明する。最初に、ユーザの指示に応じてユーザ端末のWebブラウザ11はWebシステムBにアクセスする(ステップS61)。そうすると、WebシステムBは、ユーザ端末からのアクセスに応答して、認証サーバBにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS63)。ユーザ端末のWebブラウザ11は、WebシステムBから認証サーバB宛の認証依頼メッセージを受信すると、当該認証依頼メッセージをクッキーBと共に認証サーバBにリダイレクトする(ステップS65)。認証サーバBはクッキーBの通知範囲に入っているので、リダイレクトする際にはクッキーBも送信される。認証サーバBは、ユーザ端末から認証依頼メッセージ及びクッキーBを受信し(ステップS67)、クッキーの内容を確認する。ここで、図5の第2行目のようなクッキーが通知された場合には、クッキーBは、認証サーバAによってユーザ端末のユーザを認証すべきであることを示している。連携リストBを参照すれば、認証サーバAのURLを特定することができる。
そして、認証サーバBは、クッキーBの内容に基づき、認証サーバAにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS69)。ユーザ端末のWebブラウザ11は、WebシステムBから認証サーバA宛の認証依頼メッセージを受信すると、当該認証依頼メッセージをクッキーAと共に認証サーバAにリダイレクトする(ステップS71)。認証サーバAはクッキーAの通知範囲に入っているので、リダイレクトする際にはクッキーAも送信される。認証サーバAは、ユーザ端末から認証依頼メッセージ及びクッキーAを受信し(ステップS73)、クッキーの内容を確認する。ここで、クッキーAが認証サーバAによってユーザ端末のユーザを認証すべきであることを示しているか判断する。
クッキーAが認証サーバAによってユーザ端末のユーザを認証すべきであることを示している場合には、認証データの要求メッセージをユーザ端末に送信する(ステップS75)。ユーザ端末のWebブラウザ11は、認証サーバAから認証データの要求メッセージを受信し、表示装置に表示する(ステップS77)。処理は端子C及びDを介して図10の処理に移行する。
図10の処理の説明に移行して、ユーザは、表示装置に示される例えばID及びパスワード入力欄に、ID及びパスワードを認証データとして入力する。ユーザ端末のWebブラウザ11は、ユーザからの認証データの入力を受け付け、認証サーバAに送信する(ステップS79)。認証サーバAは、ユーザ端末から認証データを受信し(ステップS81)、例えばメインメモリなどの記憶装置に格納する。そして、認証処理を実施し(ステップS83)、認証の依頼元である認証サーバBにリダイレクトさせる認証結果をユーザ端末へ送信する(ステップS85)。ユーザ端末のWebブラウザ11は、認証サーバAから認証サーバB宛の認証結果を受信すると、当該認証結果を認証サーバBにリダイレクトする(ステップS87)。認証サーバBは、ユーザ端末から、認証サーバAからの認証結果を受信し(ステップS89)、WebシステムBにリダイレクトさせる認証結果をユーザ端末へ送信する(ステップS91)。ユーザ端末のWebブラウザ11は、認証サーバBからWebシステムB宛の認証結果を受信し、当該認証結果をWebシステムBへリダイレクトする(ステップS93)。WebシステムBは、ユーザ端末から認証結果を受信し(ステップS95)、認証結果に応じたページ・データを生成して、ユーザ端末に返信する(ステップS97)。ユーザ端末のWebブラウザ11は、WebシステムBから認証結果に応じたページ・データを受信し、表示装置に表示する(ステップS99)。以下、通常の処理が進行する。なお、認証結果が認証成功を示している場合には、当該認証結果を別のクッキーとしてユーザ端末のWebブラウザ11に保持させてもよい。
このようにユーザの担当でないWebシステムBにアクセスした場合においても、自動的に認証サーバAに移行して認証を受けさせ、その認証結果を用いてWebシステムBにアクセスできるようになる。
次に、図11乃至図16を用いて、Webブラウザ11のクッキー数がオーバーフローしたなどのためのクッキーBが無くなってしまった場合の処理について説明する。最初に、ユーザの指示に応じてユーザ端末のWebブラウザ11はWebシステムBにアクセスする(ステップS101)。そうすると、WebシステムBは、ユーザ端末からのアクセスに応答して、認証サーバBにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS103)。ユーザ端末のWebブラウザ11は、WebシステムBから認証サーバB宛の認証依頼メッセージを受信すると、当該認証依頼メッセージを認証サーバBにリダイレクトする(ステップS105)。認証サーバBはクッキーBの通知範囲に入っているので、通常であればリダイレクトする際にはクッキーBも送信されるが、ここではクッキーBが無くなってしまっているのでクッキーBは送られない。認証サーバBは、ユーザ端末からクッキーB無しで認証依頼メッセージを受信する(ステップS107)。通常であれば、クッキーBによって担当認証サーバを特定することができるが、クッキーBがないので、認証サーバBは、クッキー設定サービスBにリダイレクトさせるクッキー設定依頼メッセージをユーザ端末へ送信する(ステップS109)。
ユーザ端末のWebブラウザ11は、認証サーバBからクッキー設定サービスB宛のクッキー設定依頼メッセージを受信すると、当該クッキー設定依頼メッセージをクッキー設定サービスBにリダイレクトする(ステップS111)。クッキー設定サービスBは、ユーザ端末からクッキー設定依頼を受信すると(ステップS113)、信頼リストBに基づき、クッキー設定サービスAにリダイレクトさせるクッキー確認依頼メッセージをユーザ端末へ送信する(ステップS115)。ユーザ端末のWebブラウザ11は、クッキー設定サービスBからクッキー設定サービスA宛のクッキー確認依頼メッセージを受信すると、当該クッキー確認依頼メッセージと共にクッキーAをクッキー設定サービスAにリダイレクトする(ステップS117)。クッキー設定サービスAは、クッキーAの通知範囲に含まれるため、ステップS117においてクッキーAがクッキー設定サービスAに送信される。クッキー設定サービスAは、ユーザ端末からクッキーA及びクッキー設定サービスBからのクッキー確認依頼メッセージを受信し、例えばメインメモリなどの記憶装置に格納する(ステップS119)。処理は端子E及びFを介して図12の処理に移行する。
図12の処理の説明に移行して、クッキー設定サービスAは、確認処理を実施する(ステップS121)。確認処理については、図13を用いて説明する。クッキー設定サービスAは、信頼リストAを参照して、クッキー確認依頼の依頼元であるクッキー設定サービスBが信頼できるか判断する(ステップS141)。依頼元が信頼リストAに列挙されていれば、信頼できると判断され、信頼リストAに列挙されていなければ、信頼できないと判断される。信頼できないと判断された場合には、拒否を設定する(ステップS147)。一方、信頼できると判断された場合には、ステップS119でクッキーAを受信したか判断する(ステップS143)。クッキーAを受信していなければステップS147に移行する。クッキーAを受信していれば、当該クッキーAの内容を参照して、自分が担当認証システムであるか判断する(ステップS145)。すなわちクッキーの値が”Local”であってシステムAが担当認証システムであるか判断する。クッキーの値が”Local”以外である場合にはステップS147に移行する。一方、自分が担当認証システムであることを表すクッキーである場合には、担当である旨を設定する(ステップS149)。そして元の処理に戻る。
図12の処理の説明に戻って、クッキー設定サービスAは、自らが担当認証システムであるかを確認処理の結果に基づき判断する(ステップS123)。ステップS149が実行された場合には、「担当」である旨設定されているため端子Hを介して図14の処理に移行する。一方、ステップS147が実行された場合には、「拒否」と設定されているため、クッキー設定サービスBにリダイレクトさせる拒否通知メッセージをユーザ端末へ送信する(ステップS125)。ユーザ端末のWebブラウザ11は、クッキー設定サービスAから、クッキー設定サービスB宛の拒否通知メッセージを受信し、当該拒否通知メッセージをクッキー設定サービスBにリダイレクトする(ステップS127)。クッキー設定サービスBは、ユーザ端末から、クッキー設定サービスAからの拒否通知メッセージを受信すると(ステップS129)、未依頼のクッキー設定サービスが他にも存在するか判断する(ステップS131)。
未依頼のクッキー設定サービスが他に存在する場合には、信頼リストBに基づき、宛先を次の未依頼のクッキー設定サービスに設定して(ステップS133)、端子Gを介してステップS115に戻る。例えばクッキー設定サービスCが存在する場合には、クッキー設定サービスCに対してクッキー確認依頼メッセージを送信するようにする。
一方、全てのクッキー設定サービスについてクッキー確認依頼メッセージを送信したにもかかわらずステップS123で端子H以降の処理に移行しなかった場合には、サービス不能通知をユーザ端末へ送信する(ステップS135)。ユーザ端末のWebブラウザ11は、クッキー設定サービスBからサービス不能通知を受信し、表示装置に表示する(ステップS137)。この場合は、例えば図6及び図7の処理を再度実施する。
次に、図14を用いて端子H以降の処理を説明する。クッキー設定サービスAは、クッキー設定サービスBにリダイレクトさせる担当認証システム通知メッセージをユーザ端末へ送信する(ステップS151)。担当認証システム通知メッセージには、システムAが当該ユーザの認証を担当することを表すデータを含む。ユーザ端末のWebブラウザ11は、クッキー設定サービスAから、クッキー設定サービスB宛の担当認証システム通知メッセージを受信し、当該担当認証システム通知メッセージを、クッキー設定サービスBにリダイレクトする(ステップS153)。クッキー設定サービスBは、ユーザ端末から、クッキー設定サービスAからの担当認証システム通知メッセージを受信し(ステップS155)、当該担当認証システム通知メッセージ及び信頼リストBに基づいて図5の第2の行目に表されているようなクッキーBを再度生成し、当該クッキーBと認証サーバBにリダイレクトさせる通知メッセージをユーザ端末へ送信する(ステップS157)。通知メッセージには、例えば認証サーバAが担当であることを表すデータを含むようにしてもよい。
ユーザ端末のWebブラウザ11は、クッキー設定サービスBからクッキーBを受信して、設定すると共に(ステップS159)、設定されたクッキーBの通知範囲であるため、クッキーBをクッキー設定サービスBからの通知メッセージと共に認証サーバBに送信する(ステップS161)。認証サーバBは、ユーザ端末からクッキーBとクッキー設定サービスBからの通知メッセージを受信する(ステップS163)。そして、クッキーBを基にユーザの担当認証サーバを認証サーバAと特定して(URLは連携リストBで特定)、認証サーバAにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS165)。ユーザ端末のWebブラウザ11は、認証サーバBから認証サーバA宛の認証依頼メッセージを受信すると、当該認証依頼メッセージ及び認証サーバAを通知範囲とするクッキーAを、認証サーバAに送信する(ステップS167)。認証サーバAは、ユーザ端末から、認証サーバBからの認証依頼メッセージ及びクッキーAを受信し、例えばメインメモリなどの記憶装置に格納する(ステップS169)。処理は、端子I及びJを介して図15の処理に移行する。
図15の処理の説明に移行して、認証サーバAは、クッキーAの内容を確認する。すなわち、クッキーAが認証サーバAによってユーザ端末のユーザを認証すべきであることを示しているか判断する。そして、クッキーAが認証サーバAによってユーザ端末のユーザを認証すべきであることを示している場合には、認証データの要求メッセージをユーザ端末に送信する(ステップS171)。ユーザ端末のWebブラウザ11は、認証サーバAから認証データの要求メッセージを受信し、表示装置に表示する(ステップS173)。
ユーザは、表示装置に示される例えばID及びパスワード入力欄に、ID及びパスワードを認証データとして入力する。ユーザ端末のWebブラウザ11は、ユーザからの認証データの入力を受け付け、認証サーバAに送信する(ステップS175)。認証サーバAは、ユーザ端末から認証データを受信し(ステップS177)、例えばメインメモリなどの記憶装置に格納する。そして、認証処理を実施する(ステップS179)。処理は、端子K及びLを介して図16の処理に移行する。
図16の処理の説明に移行して、認証サーバAは、認証の依頼元である認証サーバBにリダイレクトさせる認証結果をユーザ端末へ送信する(ステップS181)。ユーザ端末のWebブラウザ11は、認証サーバAから認証サーバB宛の認証結果を受信すると、当該認証結果を認証サーバBにリダイレクトする(ステップS183)。認証サーバBは、ユーザ端末から、認証サーバAからの認証結果を受信し(ステップS185)、WebシステムBにリダイレクトさせる認証結果をユーザ端末へ送信する(ステップS187)。ユーザ端末のWebブラウザ11は、認証サーバBからWebシステムB宛の認証結果を受信し、当該認証結果をWebシステムBへリダイレクトする(ステップS189)。WebシステムBは、ユーザ端末から認証結果を受信し(ステップS191)、認証が成功したか判断する(ステップS193)。認証失敗であれば、ユーザ端末に認証失敗通知を送信し、ユーザ端末のWebブラウザ11は、当該認証失敗通知を受信し、表示装置に表示する(ステップS195)。
一方、認証成功であれば、WebシステムBは、認証後のページ・データを生成し、ユーザ端末へ送信する(ステップS197)。ユーザ端末のWebブラウザ11は、認証後のページ・データを受信し、表示装置に表示する(ステップS199)。
このような処理を実施することによって、クッキーが無くなってしまうような事態が生じても、それを補う処理を実施することで、認証処理が実施され、Webシステムが利用可能となる。
なお、信頼リストA及び信頼リストBは、クッキー設定サービスが他方のクッキー設定サービス又は認証サーバを特定する又は確認するために適宜用いられるものとする。
[実施の形態2]
図17及び図18に第2の実施の形態におけるシステム構成を示す。まず図17に、第2の実施の形態におけるシステムAの構成を示す。本実施の形態では、WebシステムAのURLは”https://www.a.com/service”であり、認証サーバAのURLは”https://auth.a.com/auth”であり、クッキー設定サービスAのURLは”https://set.a.com/set”である。そして、認証サーバAは、連携リストAを保持しており、ニックネームsysBとURL”https://auth.b.com/auth”とが登録されている。また、信頼リストAには、ニックネームsysBとURL”https://set.b.com/set”と識別情報XXXXとが登録されている。
また図18に、第2の実施の形態におけるシステムBの構成を示す。本実施の形態では、WebシステムBのURLは”https://www.b.com/service”であり、認証サーバBのURLは”https://auth.b.com/auth”であり、クッキー設定サービスBのURLは”https://set.b.com/set”である。そして、認証サーバBは、連携リストBを保持しており、ニックネームsysAとURL”https://auth.a.com/auth”とが登録されている。また、信頼リストBには、ニックネームsysAとURL”https://set.a.com/set”と識別情報YYYYとが登録されている。
このように、認証サーバAは認証サーバBと連携しており、認証サーバBは認証サーバAと連携していることが登録されている。また、認証サーバAとクッキー設定サービスAとには、別々のURLが設定されており、同様に、認証サーバBとクッキー設定サービスBとにも、別々のURLが設定されている。この点が第1の実施の形態とは異なる。また、信頼リストAには、システムBの”https://set.b.com/set”というクッキー設定サービスBが登録されていることになり、信頼リストBには、システムAの”https://set.a.com/set”というクッキー設定サービスAが登録されている。この点も第1の実施の形態とは異なる。
さらに、図19に、第2の実施の形態におけるユーザ端末に登録されるクッキーの一例を示す。図19の例では、クッキーAが第1行目、クッキーBが第2行目に相当する。クッキーAには、クッキー名「AUTHSYSTEM」と、クッキーの値「LOCAL」(通知範囲自身を示すニックネーム)と、クッキーの通知範囲”https://set.a.com/set”とが含まれる。なお、クッキーAの通知範囲は、クッキー設定サービスAのみである。また、クッキーBには、クッキー名「AUTHSYSTEM」と、クッキーの値「sysA」(システムAのニックネーム)と、クッキーの通知範囲”https://set.b.com/set”とが含まれる。クッキーBの通知範囲は、クッキー設定サービスBのみである。
次に、図20乃至図28を用いて、上記のような前提の下実施される処理について説明する。まず、図20を用いてユーザ端末がシステムAのWebシステムAにアクセスした場合の処理について説明する。最初に、ユーザの指示に応じてユーザ端末のWebブラウザ11はWebシステムAにアクセスする(ステップS201)。そうすると、WebシステムAは、ユーザ端末からのアクセスに応答して、認証サーバAにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS203)。ユーザ端末のWebブラウザ11は、WebシステムAから認証サーバA宛の認証依頼メッセージを受信すると、当該認証依頼メッセージを認証サーバAにリダイレクトする(ステップS205)。認証サーバAはクッキーAの通知範囲に入っていないので、本実施の形態ではリダイレクトする際にはクッキーAは送信されない。認証サーバAは、ユーザ端末から認証依頼メッセージを受信し(ステップS207)、クッキー設定サービスAへリダイレクトさせるクッキー確認要求をユーザ端末へ送信する(ステップS209)。ユーザ端末のWebブラウザ11は、認証サーバAから、クッキー設定サービスA宛のクッキー確認要求を受信し、クッキーAと共に当該クッキー確認要求をクッキー設定サービスAにリダイレクトする(ステップS211)。クッキー設定サービスAは、クッキーAの通知範囲に属するため、クッキー確認要求と共に送信される。
クッキー設定サービスAは、クッキーA及び認証サーバAからのクッキー確認要求をユーザ端末から受信し(ステップS213)、クッキーAを確認して、認証サーバAが認証処理を実施すべきか判断する。そして、クッキー設定サービスAは、当該クッキーAに基づき、認証サーバAへリダイレクトさせる認証実行指示を、ユーザ端末へ送信する(ステップS215)。
ユーザ端末のWebブラウザ11は、クッキー設定サービスAから、認証サーバA宛の認証実行指示を受信し、当該認証実行指示を認証サーバAにリダイレクトする(ステップS217)。認証サーバAは、ユーザ端末から、クッキー設定サービスAからの認証実行指示を受信する(ステップS219)。処理は、端子M及びNを介して図21の処理に移行する。
認証サーバAは、認証データの要求メッセージをユーザ端末に送信する(ステップS221)。ユーザ端末のWebブラウザ11は、認証サーバAから認証データの要求メッセージを受信し、表示装置に表示する(ステップS223)。ユーザは、表示装置に示される例えばID及びパスワード入力欄に、ID及びパスワードを認証データとして入力する。ユーザ端末のWebブラウザ11は、ユーザからの認証データの入力を受け付け、認証サーバAに送信する(ステップS225)。認証サーバAは、ユーザ端末から認証データを受信し(ステップS227)、例えばメインメモリなどの記憶装置に格納する。そして、認証処理を実施し(ステップS229)、WebシステムAにリダイレクトさせる認証結果をユーザ端末へ送信する(ステップS231)。ユーザ端末のWebブラウザ11は、認証サーバAからWebシステムA宛の認証結果を受信すると、当該認証結果をWebシステムAにリダイレクトする(ステップS233)。WebシステムAは、ユーザ端末から、認証サーバAからの認証結果を受信し(ステップS235)、認証結果に応じたページ・データを生成して、ユーザ端末に返信する(ステップS237)。ユーザ端末のWebブラウザ11は、WebシステムAから認証結果に応じたページ・データを受信し、表示装置に表示する(ステップS239)。以下、通常の処理が進行する。なお、認証結果が認証成功を示している場合には、当該認証結果を別のクッキーとしてユーザ端末のWebブラウザ11に保持させてもよい。
このようにして認証が実施されてユーザはWebシステムAからサービスを受けることができるようになる。
次に、図22乃至図24を用いて、ユーザ端末がWebシステムBにアクセスする際の処理について説明する。最初に、ユーザの指示に応じてユーザ端末のWebブラウザ11はWebシステムBにアクセスする(ステップS241)。そうすると、WebシステムBは、ユーザ端末からのアクセスに応答して、認証サーバBにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS243)。ユーザ端末のWebブラウザ11は、WebシステムBから認証サーバB宛の認証依頼メッセージを受信すると、当該認証依頼メッセージを認証サーバBにリダイレクトする(ステップS245)。認証サーバBはクッキーBの通知範囲に入っていないので、リダイレクトする際にはクッキーBは送信されない。認証サーバBは、ユーザ端末から認証依頼メッセージを受信する(ステップS247)。そうすると、認証サーバBは、クッキー設定サービスBへリダイレクトさせるクッキー確認要求メッセージをユーザ端末へ送信する(ステップS249)。ユーザ端末のWebブラウザ11は、認証サーバBから、クッキー設定サービスB宛のクッキー確認要求を受信し、当該クッキー確認要求と共にクッキーBをクッキー設定サービスBにリダイレクトする(ステップS251)。クッキー設定サービスBは、ユーザ端末から、クッキーB及び認証サーバBからのクッキー確認要求を受信し(ステップS253)、受信したクッキーBを確認する。
ここで、図19の第2行目のようなクッキーBが通知された場合には、認証サーバAによってユーザ端末のユーザを認証すべきであることを示していることが分かる。連携リストBを参照すれば、認証サーバAのURLを特定することができる。
そして、クッキー設定サービスBは、認証サーバBへリダイレクトさせる担当認証サーバ通知メッセージ(認証サーバAが担当認証サーバである旨通知するメッセージ)を、ユーザ端末に送信する(ステップS255)。ユーザ端末のWebブラウザ11は、クッキー設定サービスBから、認証サーバB宛の担当認証サーバ通知メッセージを受信し、当該担当認証サーバ通知メッセージを、認証サーバBにリダイレクトする(ステップS257)。認証サーバBは、ユーザ端末から、クッキー設定サービスBからの担当認証サーバ通知メッセージを受信する(ステップS259)。この担当認証サーバ通知メッセージによって、認証サーバAに認証依頼を送信すればよいことが分かる。処理は端子O及びPを介して図23の処理に移行する。
そして、認証サーバBは、認証サーバAにリダイレクトされる認証依頼メッセージをユーザ端末へ送信する(ステップS261)。ユーザ端末のWebブラウザ11は、WebシステムBから認証サーバA宛の認証依頼メッセージを受信すると、当該認証依頼メッセージを認証サーバAにリダイレクトする(ステップS263)。認証サーバAは、ユーザ端末から認証依頼メッセージを受信する(ステップS265)。この認証依頼メッセージを受信した場合、例えば信頼リストAに基づき信頼性のある認証サーバであることを判断し、認証サーバAは、認証データの要求メッセージをユーザ端末に送信する(ステップS267)。なお、後にも述べるが、ステップS265とステップS267の間に、クッキーAの存在をクッキー設定サービスAによって確認するような処理を導入する場合もある。ユーザ端末のWebブラウザ11は、認証サーバAから認証データの要求メッセージを受信し、表示装置に表示する(ステップS269)。
ユーザは、表示装置に示される例えばID及びパスワード入力欄に、ID及びパスワードを認証データとして入力する。ユーザ端末のWebブラウザ11は、ユーザからの認証データの入力を受け付け、認証サーバAに送信する(ステップS271)。認証サーバAは、ユーザ端末から認証データを受信し(ステップS273)、例えばメインメモリなどの記憶装置に格納する。そして、認証処理を実施する(ステップS275)。処理は、端子Q及びRを介して図24の処理に移行する。
認証サーバAは、認証の依頼元である認証サーバBにリダイレクトさせる認証結果をユーザ端末へ送信する(ステップS277)。ユーザ端末のWebブラウザ11は、認証サーバAから認証サーバB宛の認証結果を受信すると、当該認証結果を認証サーバBにリダイレクトする(ステップS279)。認証サーバBは、ユーザ端末から、認証サーバAからの認証結果を受信し(ステップS281)、WebシステムBにリダイレクトさせる認証結果をユーザ端末へ送信する(ステップS283)。ユーザ端末のWebブラウザ11は、認証サーバBからWebシステムB宛の認証結果を受信し、当該認証結果をWebシステムBへリダイレクトする(ステップS285)。WebシステムBは、ユーザ端末から認証結果を受信し(ステップS287)、認証結果に応じたページ・データを生成して、ユーザ端末に返信する(ステップS289)。ユーザ端末のWebブラウザ11は、WebシステムBから認証結果に応じたページ・データを受信し、表示装置に表示する(ステップS291)。以下、通常の処理が進行する。なお、認証結果が認証成功を示している場合には、当該認証結果を別のクッキーとしてユーザ端末のWebブラウザ11に保持させてもよい。
このようにユーザの担当でないWebシステムBにアクセスした場合においても、自動的に認証サーバAに移行して認証を受けさせ、その認証結果を用いてWebシステムBにアクセスできるようになる。
次に、図25乃至図28を用いて、Webブラウザ11のクッキー数がオーバーフローしたなどのためのクッキーBが無くなってしまった場合の処理について説明する。最初に、ユーザの指示に応じてユーザ端末のWebブラウザ11はWebシステムBにアクセスする(ステップS301)。そうすると、WebシステムBは、ユーザ端末からのアクセスに応答して、認証サーバBにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS303)。ユーザ端末のWebブラウザ11は、WebシステムBから認証サーバB宛の認証依頼メッセージを受信すると、当該認証依頼メッセージを認証サーバBにリダイレクトする(ステップS305)。認証サーバBは、ユーザ端末から認証依頼メッセージを受信し、クッキー設定サービスBへリダイレクトさせるクッキー確認要求を、ユーザ端末へ送信する(ステップS307)。ユーザ端末のWebブラウザ11は、認証サーバBから、クッキー設定サービスB宛のクッキー確認要求を受信し、当該クッキー確認要求をクッキーB無しでクッキー設定サービスBにリダイレクトする(ステップS309)。クッキー設定サービスBはクッキーBの通知範囲に入っているので、通常であればリダイレクトする際にはクッキーBも送信されるが、ここではクッキーBが無くなってしまっているのでクッキーBは送られない。クッキー設定サービスBは、ユーザ端末から、認証サーバBからのクッキー確認要求を受信する(ステップS311)。通常であれば、クッキーBによって担当認証サーバを特定することができるが、クッキーBがないので、クッキー設定サービスBは、クッキー設定サービスAにリダイレクトさせるクッキー確認依頼メッセージをユーザ端末へ送信する(ステップS313)。
ユーザ端末のWebブラウザ11は、クッキー設定サービスBからクッキー設定サービスA宛のクッキー確認依頼メッセージを受信すると、当該クッキー確認依頼メッセージをクッキーAと共にクッキー設定サービスAにリダイレクトする(ステップS315)。クッキーAの通知範囲に、クッキー設定サービスAが入っているので、ステップS315で送信される。クッキー設定サービスAは、ユーザ端末からクッキー確認依頼を受信する(ステップS317)。処理は、端子Sを介して図26の処理に移行する。
図26の処理の説明に移行して、クッキー設定サービスAは、確認処理を実施する(ステップS319)。確認処理については、図13で説明したものと同じである。クッキー設定サービスAは、自らが担当認証システムであるかを確認処理の結果に基づき判断する(ステップS321)。ステップS149が実行された場合には、「担当」である旨設定されているため端子Uを介して図27の処理に移行する。一方、ステップS147が実行された場合には、「拒否」と設定されているため、クッキー設定サービスBにリダイレクトさせる拒否通知メッセージをユーザ端末へ送信する(ステップS323)。ユーザ端末のWebブラウザ11は、クッキー設定サービスAから、クッキー設定サービスB宛の拒否通知メッセージを受信し、当該拒否通知メッセージをクッキー設定サービスBにリダイレクトする(ステップS325)。クッキー設定サービスBは、ユーザ端末から、クッキー設定サービスAからの拒否通知メッセージを受信すると(ステップS327)、未依頼のクッキー設定サービスが他にも存在するか判断する(ステップS329)。
未依頼のクッキー設定サービスが他に存在する場合には、宛先を次の未依頼のクッキー設定サービスに設定して(ステップS331)、端子Tを介してステップS313に戻る。例えばクッキー設定サービスCが存在する場合には、クッキー設定サービスCに対してクッキー確認依頼メッセージを送信するようにする。
一方、全てのクッキー設定サービスについてクッキー確認依頼メッセージを送信したにもかかわらずステップS321で端子U以降の処理に移行しなかった場合には、サービス不能通知をユーザ端末へ送信する(ステップS333)。ユーザ端末のWebブラウザ11は、クッキー設定サービスBからサービス不能通知を受信し、表示装置に表示する(ステップS335)。
次に、図27を用いて端子U以降の処理を説明する。クッキー設定サービスAは、クッキー設定サービスBにリダイレクトさせる担当認証システム通知メッセージをユーザ端末へ送信する(ステップS337)。担当認証システム通知メッセージには、認証サーバA(又はシステムA)が当該ユーザの認証を担当することを表すデータを含む。ユーザ端末のWebブラウザ11は、クッキー設定サービスAから、クッキー設定サービスB宛の担当認証システム通知メッセージを受信し、当該担当認証システム通知メッセージを、クッキー設定サービスBにリダイレクトする(ステップS339)。クッキー設定サービスBは、ユーザ端末から、クッキー設定サービスAからの担当認証システム通知メッセージを受信し(ステップS341)、当該担当認証システム通知メッセージに基づいて図19の第2の行目に表されているようなクッキーBを再度生成し、当該クッキーBと認証サーバBにリダイレクトさせる担当認証システム通知メッセージをユーザ端末へ送信する(ステップS343)。担当認証サーバ通知メッセージには、認証サーバAが担当であることを表すデータを含む。
ユーザ端末のWebブラウザ11は、クッキー設定サービスBからクッキーBを受信して、設定すると共に(ステップS345)、クッキー設定サービスBからの担当認証システム通知メッセージを認証サーバBに送信する(ステップS347)。認証サーバBは、ユーザ端末からクッキー設定サービスBからの担当認証システム通知メッセージを受信する(ステップS349)。そして、当該担当認証システム通知メッセージに基づき担当認証サーバを認証サーバAと特定して(URLは連携リストBで特定)、認証サーバAにリダイレクトさせる認証依頼メッセージをユーザ端末へ送信する(ステップS351)。ユーザ端末のWebブラウザ11は、認証サーバBから認証サーバA宛の認証依頼メッセージを受信すると、当該認証依頼メッセージを認証サーバAに送信する(ステップS353)。認証サーバAは、ユーザ端末から、認証サーバBからの認証依頼メッセージを受信する(ステップS355)。処理は、端子V及びWを介して図28の処理に移行する。
図28の処理の説明に移行して、認証サーバAは、クッキー設定サービスAにリダイレクトさせる認証サーバの確認要求メッセージをユーザ端末に送信する(ステップS357)。ユーザ端末のWebブラウザ11は、認証サーバAから、クッキー設定サービスA宛の認証サーバの確認要求メッセージを受信し、クッキーAと当該認証サーバの確認要求メッセージをクッキー設定サービスAにリダイレクトする(ステップS359)。クッキー設定サービスAは、ユーザ端末から、クッキーAと認証サーバの確認要求メッセージを受信する(ステップS361)。クッキー設定サービスAは、クッキーAの内容を確認する。すなわち、クッキーAが認証サーバAによってユーザ端末のユーザを認証すべきであることを示しているか判断する。そして、クッキーAが認証サーバAによってユーザ端末のユーザを認証すべきであることを示している場合には、認証サーバAにリダイレクトさせる認証実行指示をユーザ端末に送信する(ステップS363)。
ユーザ端末のWebブラウザ11は、クッキー設定サービスAから、認証サーバA宛の認証実行指示を受信し、当該認証実行指示を認証サーバAにリダイレクトする(ステップS365)。認証サーバAは、ユーザ端末から認証実行指示を受信する(ステップS367)。この認証実行指示に応じて、認証サーバAは、認証データの要求メッセージをユーザ端末に送信する(ステップS369)。ユーザ端末のWebブラウザ11は、認証サーバAから認証データの要求メッセージを受信し、表示装置に表示する(ステップS371)。
ユーザは、表示装置に示される例えばID及びパスワード入力欄に、ID及びパスワードを認証データとして入力する。ユーザ端末のWebブラウザ11は、ユーザからの認証データの入力を受け付け、認証サーバAに送信する(ステップS373)。認証サーバAは、ユーザ端末から認証データを受信し(ステップS375)、例えばメインメモリなどの記憶装置に格納する。そして、認証処理を実施する(ステップS377)。処理は、端子K及びLを介して図16の処理に移行する。図16の処理については、上で述べたので説明を省略する。
このような処理を実施することによって、クッキーが無くなってしまうような事態が生じても、それを補う処理を実施することで、問題なく認証処理が実施され、Webシステムが利用可能となる。
以上述べたように、本発明の実施の形態によれば、異なるドメインに属する複数の認証サーバを連携させてシングル・サインオンを実現できるようになる。また、異なるドメインに属する複数の認証システムを適切に連携させることができるようになる。
以上本発明の実施の形態について説明したが、本発明はこれに限定されるものではない。例えば、クッキー設定サービスについては、各システムのいずれのサーバに設けるようにしても良い。また、クッキーには上で述べたデータ以外のデータが含まれる場合もある。
また、図23のステップS265の後に図28のステップS357乃至S367を実施するようにしても良い。また、図28においてステップS359乃至S367が省略される場合もある。
なお、ユーザ端末、認証サーバ、Webシステム、クッキー設定サービスが実行されるサーバは、例えばコンピュータ装置であって、図29に示すように当該コンピュータ装置においては、メモリ2501(記憶部)とCPU2503(処理部)とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS)及びWebブラウザを含むアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。このようなコンピュータは、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
(付記1)
サービスシステムと当該サービスシステム用の認証サーバとクッキー設定サービスとの組が複数存在するシステムにおいて実行される認証処理方法であって、
第1のクッキー設定サービスにより、特定のユーザの端末からの要求に応じて当該第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも前記第1のクッキー設定サービスを通知範囲とする第1のクッキーを前記特定のユーザの端末に設定するステップと、
前記第1のクッキー設定サービスから前記特定のユーザの端末を経由してクッキー設定要求を受信した場合、第2のクッキー設定サービスにより、前記第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも前記第2のクッキー設定サービスを通知範囲とする第2のクッキーを前記特定のユーザの端末に設定するステップと、
を含む認証処理方法。
(付記2)
前記第1のクッキーの前記通知範囲に前記第1の認証サーバが含まれ、
前記第1の認証サーバが担当する第1のサービスシステムからの認証要求及び前記特定のユーザの端末からの前記第1のクッキーを受信した場合には、前記第1の認証サーバにより、前記第1のクッキーに応じて認証処理を実施するステップ
をさらに含む付記1記載の認証処理方法。
(付記3)
前記第1のクッキーの前記通知範囲に前記第1の認証サーバが含まれ、
前記第2のクッキーの前記通知範囲に前記第2の認証サーバが含まれ、
前記第2の認証サーバが担当する第2のサービスシステムからの認証要求及び前記特定のユーザの端末からの前記第2のクッキーを受信した場合には、前記第2の認証サーバにより、前記第2のクッキーに基づき、前記特定のユーザの端末を経由させて前記第1の認証サーバ宛で認証要求を送信するステップと、
前記特定のユーザの端末から前記第2の認証サーバからの前記認証要求及び前記第1のクッキーを受信した場合、前記第1の認証サーバにより、前記第1のクッキーに応じて認証処理を実施するステップと、
をさらに含む付記1記載の認証処理方法。
(付記4)
前記第2のクッキーの前記通知範囲に前記第2の認証サーバが含まれ、
前記第2の認証サーバが担当する第2のサービスシステムから前記特定のユーザの端末を経由して前記第2のクッキーを含まない認証要求を受信した場合には、前記第2の認証サーバにより、前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛でクッキー設定要求を送信するステップと、
前記第2の認証サーバからの前記クッキー設定要求を前記特定のユーザの端末から受信した場合、前記第2のクッキー設定サービスにより、前記特定のユーザの端末経由で且つ前記第1のクッキー設定サービス宛でクッキー確認要求を送信するステップと、
前記特定のユーザの端末から前記第2のクッキー設定サービスからのクッキー確認要求及び第1のクッキーを受信した場合、前記第1のクッキー設定サービスにより、前記第1のクッキーを含む所定の条件を満たしているか判断し、前記所定の条件を満たしていると判断された場合には前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で前記特定のユーザの認証担当通知を送信するステップと、
前記特定のユーザの端末から前記第1のクッキー設定サービスからの前記認証担当通知を受信した場合、前記第2のクッキー設定サービスにより、前記第1の認証サーバを利用することを表し且つ前記第2のクッキー設定サービス及び前記第2の認証サーバを通知範囲とする新たな第2のクッキーを前記特定のユーザの端末に設定するステップと、
をさらに含む付記1記載の認証処理方法。
(付記5)
前記所定の条件が、前記第2のクッキー設定サービスが予め定められている信頼リストに列挙されているという条件を含む
付記4記載の認証処理方法。
(付記6)
前記第1の認証サーバが担当する第1のサービスシステムから前記特定のユーザの端末を経由して認証要求を受信した場合には、前記第1の認証サーバにより、認証システム確認要求を前記特定のユーザの端末経由で且つ前記第1のクッキー設定サービス宛で送信するステップと、
前記特定のユーザの端末から前記第1のクッキー及び前記第1の認証サーバからの前記認証システム確認要求を受信した場合、前記第1のクッキー設定サービスにより、前記第1のクッキーを確認して、前記特定のユーザの端末経由で且つ前記第1の認証サーバ宛に認証実行要求を送信するステップと、
前記特定のユーザの端末から前記第1のクッキー設定サービスからの前記認証実行要求を受信した場合、前記第1の認証サーバにより、認証処理を実施するステップと、
をさらに含む付記1記載の認証処理方法。
(付記7)
前記第2の認証サーバが担当する第2のサービスシステムから前記特定のユーザの端末を経由して認証要求を受信した場合には、前記第2の認証サーバにより、認証サーバ確認要求を前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で送信するステップと、
前記特定のユーザの端末から前記第2のクッキー及び前記第2の認証サーバからの前記認証サーバ確認要求を受信した場合、前記第2のクッキー設定サービスにより、前記第2のクッキーを確認して、前記特定のユーザの端末経由で且つ前記第2の認証サーバ宛に前記第1の認証サーバが担当する旨の通知を送信するステップと、
前記特定のユーザの端末から前記第2のクッキー設定サービスからの、前記第1の認証サーバが担当する旨の通知を受信した場合、前記第2の認証サーバによって、前記特定のユーザの端末経由で且つ前記第1の認証サーバ宛で認証要求を送信するステップと、
前記特定のユーザの端末から前記第2の認証サーバからの前記認証要求を受信した場合、前記第1の認証サーバによって、認証処理を実施するステップと、
をさらに含む付記1記載の認証処理方法。
(付記8)
前記第2の認証サーバが担当する第2のサービスシステムから前記特定のユーザの端末を経由して認証要求を受信した場合には、前記第2の認証サーバにより、認証システム確認要求を前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で送信するステップと、
前記特定のユーザの端末から前記第2の認証サーバからの前記認証システム確認要求を前記第2のクッキーなしで受信した場合、前記第2のクッキー設定サービスにより、クッキー確認要求を前記特定のユーザの端末経由で且つ前記第1のクッキー設定サービス宛で送信するステップと、
前記特定のユーザの端末から前記第1のクッキー及び前記第2のクッキー設定サービスからの前記クッキー確認要求を受信した場合、前記第1のクッキー設定サービスにより、前記第1のクッキーを含む所定の条件が満たされているか判断し、前記所定の条件が満たされている場合には前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で前記特定のユーザの認証担当通知を送信するステップと、
前記特定のユーザの端末を経由して前記第1のクッキー設定サービスからの前記認証担当通知を受信した場合、前記第2のクッキー設定サービスにより、前記第1の認証サーバを利用することを表し且つ前記第2のクッキー設定サービスを通知範囲とする新たな第2のクッキーを前記特定のユーザの端末に設定すると共に、担当認証サーバが前記第1の認証サーバである旨の通知を前記特定のユーザの端末経由で且つ前記第2の認証サーバ宛に送信するステップと、
前記特定のユーザの端末から前記第2のクッキー設定サービスからの前記担当認証サーバが前記第1の認証サーバである旨の通知を受信した場合、前記第2の認証サーバにより、前記特定のユーザの端末経由で且つ前記第1の認証サーバ宛で認証要求を送信するステップと、
をさらに含む付記1記載の認証処理方法。
(付記9)
前記所定の条件が、前記第2のクッキー設定サービスが予め定められている信頼リストに列挙されているという条件を含む
付記8記載の認証処理方法。
(付記10)
第1のサービスシステム用の第1の認証サーバと、
第1のクッキー設定サービスと、
第2のサービスシステム用の第2の認証サーバと、
第2のクッキー設定サービスと、
を有し、
前記第1のクッキー設定サービスが、特定のユーザの端末からの要求に応じて当該第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも前記第1のクッキー設定サービスを通知範囲とする第1のクッキーを前記特定のユーザの端末に設定し、
前記第1のクッキー設定サービスから前記特定のユーザの端末を経由してクッキー設定要求を受信した場合、第2のクッキー設定サービスが、前記第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも前記第2のクッキー設定サービスを通知範囲とする第2のクッキーを前記特定のユーザの端末に設定する
認証システム。
(付記11)
前記第1のクッキーの前記通知範囲に前記第1の認証サーバが含まれ、
前記第1の認証サーバが担当する第1のサービスシステムからの認証要求及び前記特定のユーザの端末からの前記第1のクッキーを受信した場合には、前記第1の認証サーバが、前記第1のクッキーに応じて認証処理を実施する
付記10記載の認証システム。
(付記12)
前記第1のクッキーの前記通知範囲に前記第1の認証サーバが含まれ、
前記第2のクッキーの前記通知範囲に前記第2の認証サーバが含まれ、
前記第2の認証サーバが担当する第2のサービスシステムからの認証要求及び前記特定のユーザの端末からの前記第2のクッキーを受信した場合には、前記第2の認証サーバが、前記第2のクッキーに基づき、前記特定のユーザの端末を経由させて前記第1の認証サーバ宛で認証要求を送信し、
前記特定のユーザの端末から前記第2の認証サーバからの前記認証要求及び前記第1のクッキーを受信した場合、前記第1の認証サーバが、前記第1のクッキーに応じて認証処理を実施する
付記10記載の認証システム。
(付記13)
前記第2のクッキーの前記通知範囲に前記第2の認証サーバが含まれ、
前記第2の認証サーバが担当する第2のサービスシステムから前記特定のユーザの端末を経由して前記第2のクッキーを含まない認証要求を受信した場合には、前記第2の認証サーバが、前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛でクッキー設定要求を送信し、
前記第2の認証サーバからの前記クッキー設定要求を前記特定のユーザの端末から受信した場合、前記第2のクッキー設定サービスが、前記特定のユーザの端末経由で且つ前記第1のクッキー設定サービス宛でクッキー確認要求を送信し、
前記特定のユーザの端末から前記第2のクッキー設定サービスからのクッキー確認要求及び第1のクッキーを受信した場合、前記第1のクッキー設定サービスが、前記第1のクッキーを含む所定の条件を満たしているか判断し、前記所定の条件を満たしていると判断された場合には前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で前記特定のユーザの認証担当通知を送信し、
前記特定のユーザの端末から前記第1のクッキー設定サービスからの前記認証担当通知を受信した場合、前記第2のクッキー設定サービスが、前記第1の認証サーバを利用することを表し且つ前記第2のクッキー設定サービス及び前記第2の認証サーバを通知範囲とする新たな第2のクッキーを前記特定のユーザの端末に設定する
付記10記載の認証システム。
(付記14)
前記所定の条件が、前記第2のクッキー設定サービスが予め定められている信頼リストに列挙されているという条件を含む
付記13記載の認証システム。
(付記15)
前記第1の認証サーバが担当する第1のサービスシステムから前記特定のユーザの端末を経由して認証要求を受信した場合には、前記第1の認証サーバが、認証システム確認要求を前記特定のユーザの端末経由で且つ前記第1のクッキー設定サービス宛で送信し、
前記特定のユーザの端末から前記第1のクッキー及び前記第1の認証サーバからの前記認証システム確認要求を受信した場合、前記第1のクッキー設定サービスが、前記第1のクッキーを確認して、前記特定のユーザの端末経由で且つ前記第1の認証サーバ宛に認証実行要求を送信し、
前記特定のユーザの端末から前記第1のクッキー設定サービスからの前記認証実行要求を受信した場合、前記第1の認証サーバが、認証処理を実施する、
付記10記載の認証システム。
(付記16)
前記第2の認証サーバが担当する第2のサービスシステムから前記特定のユーザの端末を経由して認証要求を受信した場合には、前記第2の認証サーバが、認証サーバ確認要求を前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で送信し、
前記特定のユーザの端末から前記第2のクッキー及び前記第2の認証サーバからの前記認証サーバ確認要求を受信した場合、前記第2のクッキー設定サービスが、前記第2のクッキーを確認して、前記特定のユーザの端末経由で且つ前記第2の認証サーバ宛に前記第1の認証サーバが担当する旨の通知を送信し、
前記特定のユーザの端末から前記第2のクッキー設定サービスからの、前記第1の認証サーバが担当する旨の通知を受信した場合、前記第2の認証サーバが、前記特定のユーザの端末経由で且つ前記第1の認証サーバ宛で認証要求を送信し、
前記特定のユーザの端末から前記第2の認証サーバからの前記認証要求を受信した場合、前記第1の認証サーバが、認証処理を実施する、
付記10記載の認証システム。
(付記17)
前記第2の認証サーバが担当する第2のサービスシステムから前記特定のユーザの端末を経由して認証要求を受信した場合には、前記第2の認証サーバが、認証システム確認要求を前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で送信し、
前記特定のユーザの端末から前記第2の認証サーバからの前記認証システム確認要求を前記第2のクッキーなしで受信した場合、前記第2のクッキー設定サービスが、クッキー確認要求を前記特定のユーザの端末経由で且つ前記第1のクッキー設定サービス宛で送信し、
前記特定のユーザの端末から前記第1のクッキー及び前記第2のクッキー設定サービスからの前記クッキー確認要求を受信した場合、前記第1のクッキー設定サービスが、前記第1のクッキーを含む所定の条件が満たされているか判断し、前記所定の条件が満たされている場合には前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で前記特定のユーザの認証担当通知を送信し、
前記特定のユーザの端末を経由して前記第1のクッキー設定サービスからの前記認証担当通知を受信した場合、前記第2のクッキー設定サービスが、前記第1の認証サーバを利用することを表し且つ前記第2のクッキー設定サービスを通知範囲とする新たな第2のクッキーを前記特定のユーザの端末に設定すると共に、担当認証サーバが前記第1の認証サーバである旨の通知を前記特定のユーザの端末経由で且つ前記第2の認証サーバ宛に送信し、
前記特定のユーザの端末から前記第2のクッキー設定サービスからの前記担当認証サーバが前記第1の認証サーバである旨の通知を受信した場合、前記第2の認証サーバが、前記特定のユーザの端末経由で且つ前記第1の認証サーバ宛で認証要求を送信する、
付記10記載の認証システム。
(付記18)
前記所定の条件が、前記第2のクッキー設定サービスが予め定められている信頼リストに列挙されているという条件を含む
付記17記載の認証システム。
従来技術における構成を示す図である。 本発明のシステム概要を示す図である。 本発明の第1の実施の形態におけるシステムAの構成を示す図である。 本発明の第1の実施の形態におけるシステムBの構成を示す図である。 本発明の第1の実施の形態におけるユーザ端末のクッキーの構成例を示す図である。 本発明の実施の形態におけるクッキー設定処理の第1の処理フローを示す図である。 本発明の実施の形態におけるクッキー設定処理の第2の処理フローを示す図である。 本発明の第1の実施の形態における第1の処理フローを示す図である。 本発明の第1の実施の形態における第2の処理フローを示す図である。 本発明の第1の実施の形態における第3の処理フローを示す図である。 本発明の第1の実施の形態における第4の処理フローを示す図である。 本発明の第1の実施の形態における第5の処理フローを示す図である。 確認処理の処理フローを示す図である。 本発明の第1の実施の形態における第6の処理フローを示す図である。 本発明の第1の実施の形態における第7の処理フローを示す図である。 本発明の第1の実施の形態における第8の処理フローを示す図である。 本発明の第2の実施の形態におけるシステムAの構成を示す図である。 本発明の第2の実施の形態におけるシステムBの構成を示す図である。 本発明の第2の実施の形態におけるユーザ端末のクッキーの構成例を示す図である。 本発明の第2の実施の形態における第1の処理フローを示す図である。 本発明の第2の実施の形態における第2の処理フローを示す図である。 本発明の第2の実施の形態における第3の処理フローを示す図である。 本発明の第2の実施の形態における第4の処理フローを示す図である。 本発明の第2の実施の形態における第5の処理フローを示す図である。 本発明の第2の実施の形態における第6の処理フローを示す図である。 本発明の第2の実施の形態における第7の処理フローを示す図である。 本発明の第2の実施の形態における第8の処理フローを示す図である。 本発明の第2の実施の形態における第9の処理フローを示す図である。 コンピュータの機能ブロック図である。
符号の説明
11 Webブラウザ

Claims (6)

  1. サービスシステムと当該サービスシステム用の認証サーバとクッキー設定サービスとの組が複数存在するシステムにおいて実行される認証処理方法であって、
    第1のクッキー設定サービスにより、特定のユーザの端末からの要求に応じて当該第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも前記第1のクッキー設定サービスを通知範囲とする第1のクッキーを前記特定のユーザの端末に設定するステップと、
    前記第1のクッキー設定サービスから前記特定のユーザの端末を経由してクッキー設定要求を受信した場合、第2のクッキー設定サービスにより、前記第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも前記第2のクッキー設定サービスを通知範囲とする第2のクッキーを前記特定のユーザの端末に設定するステップと、
    を含む認証処理方法。
  2. 前記第1のクッキーの前記通知範囲に前記第1の認証サーバが含まれ、
    前記第1の認証サーバが担当する第1のサービスシステムからの認証要求及び前記特定のユーザの端末からの前記第1のクッキーを受信した場合には、前記第1の認証サーバにより、前記第1のクッキーに応じて認証処理を実施するステップ
    をさらに含む請求項1記載の認証処理方法。
  3. 前記第1のクッキーの前記通知範囲に前記第1の認証サーバが含まれ、
    前記第2のクッキーの前記通知範囲に前記第2の認証サーバが含まれ、
    前記第2の認証サーバが担当する第2のサービスシステムからの認証要求及び前記特定のユーザの端末からの前記第2のクッキーを受信した場合には、前記第2の認証サーバにより、前記第2のクッキーに基づき、前記特定のユーザの端末を経由させて前記第1の認証サーバ宛で認証要求を送信するステップと、
    前記特定のユーザの端末から前記第2の認証サーバからの前記認証要求及び前記第1のクッキーを受信した場合、前記第1の認証サーバにより、前記第1のクッキーに応じて認証処理を実施するステップと、
    をさらに含む請求項1記載の認証処理方法。
  4. 前記第2のクッキーの前記通知範囲に前記第2の認証サーバが含まれ、
    前記第2の認証サーバが担当する第2のサービスシステムから前記特定のユーザの端末を経由して前記第2のクッキーを含まない認証要求を受信した場合には、前記第2の認証サーバにより、前記特定のユーザの端末を経由して前記第2のクッキー設定サービス宛でクッキー設定要求を送信するステップと、
    前記第2の認証サーバからの前記クッキー設定要求を前記特定のユーザの端末から受信した場合、前記第2のクッキー設定サービスにより、前記特定のユーザの端末経由で且つ前記第1のクッキー設定サービス宛でクッキー確認要求を送信するステップと、
    前記特定のユーザの端末から前記第2のクッキー設定サービスからのクッキー確認要求及び第1のクッキーを受信した場合、前記第1のクッキー設定サービスにより、前記第1のクッキーを含む所定の条件を満たしているか判断し、前記所定の条件を満たしていると判断された場合には前記特定のユーザの端末経由で且つ前記第2のクッキー設定サービス宛で前記特定のユーザの認証担当通知を送信するステップと、
    前記特定のユーザの端末から前記第1のクッキー設定サービスからの前記認証担当通知を受信した場合、前記第2のクッキー設定サービスにより、前記第1の認証サーバを利用することを表し且つ前記第2のクッキー設定サービス及び前記第2の認証サーバを通知範囲とする新たな第2のクッキーを前記特定のユーザの端末に設定するステップと、
    をさらに含む請求項1記載の認証処理方法。
  5. 前記所定の条件が、前記第2のクッキー設定サービスが予め定められている信頼リストに列挙されているという条件を含む
    請求項4記載の認証処理方法。
  6. 第1のサービスシステム用の第1の認証サーバと、
    第1のクッキー設定サービスと、
    第2のサービスシステム用の第2の認証サーバと、
    第2のクッキー設定サービスと、
    を有し、
    前記第1のクッキー設定サービスが、特定のユーザの端末からの要求に応じて当該第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも前記第1のクッキー設定サービスを通知範囲とする第1のクッキーを前記特定のユーザの端末に設定し、
    前記第1のクッキー設定サービスから前記特定のユーザの端末を経由してクッキー設定要求を受信した場合、第2のクッキー設定サービスが、前記第1のクッキー設定サービスと同一の組の第1の認証サーバを利用することを表し且つ少なくとも前記第2のクッキー設定サービスを通知範囲とする第2のクッキーを前記特定のユーザの端末に設定する
    認証システム。
JP2007080532A 2007-03-27 2007-03-27 認証処理方法及びシステム Active JP4946564B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007080532A JP4946564B2 (ja) 2007-03-27 2007-03-27 認証処理方法及びシステム
US12/050,518 US8856906B2 (en) 2007-03-27 2008-03-18 Authentication processing method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007080532A JP4946564B2 (ja) 2007-03-27 2007-03-27 認証処理方法及びシステム

Publications (2)

Publication Number Publication Date
JP2008242684A JP2008242684A (ja) 2008-10-09
JP4946564B2 true JP4946564B2 (ja) 2012-06-06

Family

ID=39796660

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007080532A Active JP4946564B2 (ja) 2007-03-27 2007-03-27 認証処理方法及びシステム

Country Status (2)

Country Link
US (1) US8856906B2 (ja)
JP (1) JP4946564B2 (ja)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8990911B2 (en) * 2008-03-30 2015-03-24 Emc Corporation System and method for single sign-on to resources across a network
TWI364202B (en) * 2008-12-17 2012-05-11 Ind Tech Res Inst Single sign-on method and system for web browser
CN101482882A (zh) 2009-02-17 2009-07-15 阿里巴巴集团控股有限公司 跨域处理cookie的方法及其系统
US8543676B2 (en) * 2009-06-16 2013-09-24 International Business Machines Corporation Delegated resource use in a content based routing environment
US8850554B2 (en) * 2010-02-17 2014-09-30 Nokia Corporation Method and apparatus for providing an authentication context-based session
JP5581820B2 (ja) * 2010-06-04 2014-09-03 富士通株式会社 中継サーバ装置、クッキー制御方法およびクッキー制御プログラム
JP5152539B2 (ja) 2010-10-27 2013-02-27 横河電機株式会社 ユーザ認証システム
US8984616B2 (en) 2010-12-08 2015-03-17 International Business Machines Corporation Efficient routing for reverse proxies and content-based routers
US9930093B2 (en) * 2012-03-14 2018-03-27 International Business Machines Corporation Dynamic web session clean-up
JP5632429B2 (ja) * 2012-08-28 2014-11-26 Kddi株式会社 オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム
JP5279057B1 (ja) * 2012-11-09 2013-09-04 株式会社Kpiソリューションズ 情報処理システム、及び情報処理方法
JP6266153B1 (ja) * 2017-03-17 2018-01-24 ヤフー株式会社 情報処理装置、情報処理システム、情報処理方法、及び情報処理プログラム
US10715513B2 (en) * 2017-06-30 2020-07-14 Microsoft Technology Licensing, Llc Single sign-on mechanism on a rich client
JP6949688B2 (ja) * 2017-11-30 2021-10-13 キヤノン株式会社 システムおよびその制御方法
TWI676115B (zh) * 2018-07-13 2019-11-01 優碩資訊科技股份有限公司 用以管控與雲端服務系統認證之系統及方法
EP4319213A4 (en) * 2021-04-19 2024-05-29 Huawei Technologies Co., Ltd. METHOD AND DEVICE FOR ACCESSING THE SERVICE
JP7453179B2 (ja) 2021-04-20 2024-03-19 トヨタ自動車株式会社 認証システム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
JPH11282804A (ja) * 1998-03-31 1999-10-15 Secom Joho System Kk ユーザ認証機能付き通信システム及びユーザ認証方法
US6339423B1 (en) * 1999-08-23 2002-01-15 Entrust, Inc. Multi-domain access control
AU2001285023A1 (en) * 2000-08-17 2002-02-25 Mobileum, Inc. Method and system for wireless voice channel/data channel integration
CA2327078C (en) * 2000-11-30 2005-01-11 Ibm Canada Limited-Ibm Canada Limitee Secure session management and authentication for web sites
JP2002236662A (ja) * 2001-02-08 2002-08-23 Nec Corp 情報処理システム及び認証サーバプログラム
JP4758575B2 (ja) * 2001-08-09 2011-08-31 ヤフー株式会社 ユーザ認証方法、及び、ユーザ認証システム
US20030037131A1 (en) * 2001-08-17 2003-02-20 International Business Machines Corporation User information coordination across multiple domains
JP4390429B2 (ja) * 2002-05-07 2009-12-24 セイコーエプソン株式会社 シングルサインオンシステム、そのプログラム及びその方法
US20040002878A1 (en) * 2002-06-28 2004-01-01 International Business Machines Corporation Method and system for user-determined authentication in a federated environment
JP2004163999A (ja) * 2002-11-08 2004-06-10 Fujitsu Ltd 中継装置
US7480718B2 (en) * 2004-06-28 2009-01-20 International Business Machines Corporation Method for providing single sign-on user names for Web cookies in a multiple user information directory environment
JP4543322B2 (ja) * 2005-03-14 2010-09-15 日本電気株式会社 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム
JP2008197973A (ja) * 2007-02-14 2008-08-28 Mitsubishi Electric Corp ユーザ認証システム
CN101540734A (zh) * 2008-03-21 2009-09-23 阿里巴巴集团控股有限公司 一种跨域名Cookie访问方法、系统及设备

Also Published As

Publication number Publication date
US20080244719A1 (en) 2008-10-02
US8856906B2 (en) 2014-10-07
JP2008242684A (ja) 2008-10-09

Similar Documents

Publication Publication Date Title
JP4946564B2 (ja) 認証処理方法及びシステム
US9876844B2 (en) Transferring files
KR101113738B1 (ko) 이동통신단말기의 인터넷 접속방법
US7895335B2 (en) Enabling communications of electronic data between an information requestor and a geographically proximate service provider
JPH10177552A (ja) 認証応答方法およびその方法を用いた認証応答装置
JP2005149387A (ja) リアルタイムWeb共有システム
JP2010093585A (ja) ネットワーク接続制御プログラム及び方法、ネットワーク接続プログラム及び方法、認証装置
JP2008072655A (ja) サービス通信制御方法、サービス中継装置およびサービス通信制御システム
JP2002334056A (ja) ログイン代行システム及びログイン代行方法
JP2002189646A (ja) 中継装置
JP5418681B2 (ja) 仲介処理方法、仲介装置及びシステム
JP2003078570A (ja) サービス提供方法、中継装置及びサービス提供装置
JP4716767B2 (ja) ログイン制御システムおよびログイン制御方法
JP5458977B2 (ja) 中継処理方法、プログラム及び装置
JP2003242109A (ja) 認証アクセス制御サーバ装置と、ゲートウェイ装置と、認証アクセス制御方法と、ゲートウェイ制御方法と、認証アクセス制御プログラム及びそのプログラムを記録した記録媒体と、ゲートウェイ制御プログラム及びそのプログラムを記録した記録媒体
JP5585009B2 (ja) 認証補助装置および認証システム
US20170195426A1 (en) Maintaining session across plural providing devices
JP4735113B2 (ja) ユーザ端末判別方法
JP4305146B2 (ja) 通信制御装置、アプリケーションサーバ、およびプログラム
JP2004302869A (ja) アクセス管理サーバ、ネットワーク装置、ネットワークシステム、アクセス管理方法
JP2000172645A (ja) サーバコンピュータ及びサーバコンピュータにおける認証情報管理方法
JP2006209406A (ja) 通信機器
JP2005293088A (ja) 認証システム及び認証方法
JP2008217376A (ja) コンテンツ共有方法及びシステム
KR100881654B1 (ko) 컴퓨터 시스템 및 정보 처리 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120131

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120207

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120220

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150316

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4946564

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150