JP5644565B2 - 認証システム及び認証方法 - Google Patents
認証システム及び認証方法 Download PDFInfo
- Publication number
- JP5644565B2 JP5644565B2 JP2011024884A JP2011024884A JP5644565B2 JP 5644565 B2 JP5644565 B2 JP 5644565B2 JP 2011024884 A JP2011024884 A JP 2011024884A JP 2011024884 A JP2011024884 A JP 2011024884A JP 5644565 B2 JP5644565 B2 JP 5644565B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- access
- user
- conversion
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明を実施するための実施の形態1に係る認証システムを図1ないし図7を用いて説明する。図1において、認証システム100は企業Aのイントラネット10a、企業Bのイントラネット10b、2つのイントラネット10a、10bを接続するネットワーク11を備え、企業Aのイントラネット10aにはユーザにより利用されるクライアント端末装置1a〜1c、クライアント端末装置からのアクセスを認証する認証サーバ2aすなわち第1の認証装置、ユーザ情報テーブル31aやID変換ログテーブル32を記録したリポジトリ3aすなわち第1の記憶部及び第2の記憶部、認証サーバ2aにより認証されたユーザによる利用が可能な業務アプリケーション部4a、4b(以降、業務アプリ4a、4bと称する)、ユーザIDを検索するID検索サーバ7すなわち検索装置、管理用の管理者端末5aすなわち管理用装置が設けられている。
なお、変換IDはユーザIDから一意に決まるものであって、変換IDからユーザIDを推測したり逆変換してユーザIDを生成したりすることはできない。
なお、ここではID変換部23bは企業Aから企業Bへのアクセスは役職に応じて行うものとして認証連携用トークン(後述)に含まれる役職情報から役職IDを生成しているが、ユーザの他の属性情報に応じてアクセスする場合はアクセスに使用するユーザの属性情報から属性IDを生成する。
(企業A内部における認証処理)
図2は、クライアント端末装置1aが自社の認証サーバAに初めてアクセスする場合のシーケンスを示している。企業AのユーザであるユーザA1(ユーザID:User-A1)が自社の認証サーバ2aにアクセスすると(S1)、認証部21aが認証サーバ2a内のユーザID「User-A1」に対する認証済みクッキーの有無をチェックする(S2)。
図3は、自社の認証サーバ2aに認証されたクライアント端末装置1aが、他社である企業Bの業務アプリ4cにアクセスする場合のシーケンスを示している。
ユーザA1が、クライアント端末装置1aから企業Bの業務アプリ4cのURL(Uniform Resource Locator)へアクセスするために、認証サーバ2bにこのURL情報を含むHTTPリクエストを送信する(S9)。認証サーバ2bはHTTPリクエストを受付け(S10)、認証部21bがこの企業Aからのアクセスに対する認証済みクッキーの有無をチェックする(S11)。
図4は、図2、図3のシーケンスをフローチャートで示したものであり、同一番号を付したステップの動作は共通する。
S2において、クライアント端末装置1aが自社の認証サーバ2aにより認証済みである場合はS8にスキップする。
S19において、認証サーバ2bが受信した認証連携用トークンが自装置内に登録されている認証連携用トークンと一致しないと判断した場合、認証サーバ2bはクライアント端末装置1aに認証エラー画面を返信し(S28)、クライアント端末装置1aは受信した認証エラー画面を表示画面に表示する(S29)。クライアント端末装置1aがリクエストされたHTMLページを表示(S27)、あるいは認証エラー画面を表示すると(S29)、認証連携受入処理Xを終了し全体フローも終了する(S34)。
図7は不正アクセス監査処理のフローチャートである。
アクセス監査処理が始まると(S40)、企業Bの管理用サーバ6は、例えば自装置内に設けた監査用タイマ(図示しない)により監査時間の経過を計測する(S41)。監査用タイマが満了して監査時間が経過したと判断すると、監査用サーバ6はアクセス監査ログテーブル33をチェックする(S42)。
ここで、アクセス監査ログテーブル33のチェックとは、具体的には、予め定めた有効期限内のアクセスであるか否か、管理用サーバ6に登録されている署名を有するものか等、一般的な認証と同様の確認処理のことを示している。
また、検出した不正アクセスIDを企業Aに通知し、企業AではID検索サーバ7が通知された不正アクセスID(変換ID)に基づいてユーザIDを検索し不正アクセスしたユーザを特定することにより、企業A内で不正アクセスを行うユーザの管理が容易になる。
また、企業Aでは企業BのWeb系アプリケーションに不正アクセスしたユーザの情報を管理者端末5aの画面に表示するため、企業Aの管理者は画面を見ることで不正アクセスした自社のユーザ情報を容易に確認できる。
また、監査用タイマの満了時だけでなく、管理者端末5bから管理用サーバ6へ任意のタイミングで監査指示を出せるようにし、監査指示があった場合に管理用サーバ6がS42の処理をするようにしても良い。
また、企業Bは不正アクセスに使用された変換IDを不正アクセスIDとして検出することにより機械的にユーザを特定できる。
また、不正アクセスに使用された変換IDを企業Bから企業Aに通知することにより、企業Aにおいて不正アクセスしたユーザを特定することができ、不正アクセスを行うユーザの管理が容易になる。
また、企業Bの管理用サーバ6は監査用タイマが満了するとアクセス監査ログテーブルを確認することにより、定期的にアクセス監査を実行できる。
また、企業Bの管理者端末5bから任意のタイミングで監査指示を出せるようにしたため、企業Bでの要求に応じたアクセス監査を実施することもできる。
本発明を実施するための実施の形態2に係る認証システムを図8ないし図12を用いて説明する。図8に示す認証システム100aは、実施の形態1に係るイントラネット10bに、業務アプリ4c、4dに対する共通コンポーネントであるサービス9a〜9cすなわち共通コンポーネント部、サービス9a〜9cのインターフェースを業務アプリ4c、4dに提供するためのESB(Enterprise service bus)8すなわち中継装置、及びサービス9a〜9cへのアクセスを登録するアクセス監査ログテーブル33aすなわち第2のアクセスログテーブルを有し監査ログデータベースとして機能するリポジトリ3cを設けた、イントラネット10cを備えたものである。
このようにESB8を設けることにより、システムがSOA(Service Oriented Architecture)化され、共通コンポーネントの再利用が可能となる。
その他の構成は実施の形態1と同じであるため、説明を省略する。
企業A内部における認証処理、及び企業Aから企業Bの業務アプリに始めてアクセスする場合の大まかな処理の流れは実施の形態1と同じであり、認証連携受入処理の一部が異なる。図9に実施の形態2における認証連携受入処理Xのフローチャートを、図10に実施の形態2における認証連携受入処理Yのフローチャートを示す。認証システム100aでは、図5のS24の代わりにS241〜S246の処理を行う。S23〜S246の各ステップの処理について、図11のシーケンス図を用いて順に説明する。
実施の形態2における不正アクセス監査処理について、図12のフローチャートを用いて説明する。
アクセス監査処理が始まると(S60)、企業Bの管理用サーバ6aは、例えば自装置内に設けた監査用タイマ(図示しない)により監査時間の経過を計測する(S61)。監査用タイマが満了して監査時間が経過したと判断すると、監査用サーバ6aはアクセス監査ログテーブル33、33aをチェックする(S62)。
なお、ここではアクセス監査ログテーブル33、33aの監査時間が同じである場合について説明するが、複数の監査用タイマを設けて監査時間を個別に計測できるようにしても良い。
2a、2b 認証サーバ
21a、21b 認証部
22a、22b 認可部
23a、23b ID変換部
24 変換ID記録部
25 特定ID監査記録部
3a〜3c リポジトリ
31a、31b ユーザ情報テーブル
32 ID変換ログテーブル
33、33a アクセス監査ログテーブル
4a〜4d 業務アプリ
5a、5b 管理者端末
6、6a 管理用サーバ
7 ID検索サーバ
71 検索ID登録部
72 ID検索部
73 通知部
8 ESB(Enterprise service bus)
81 サービス用ID監査記録部
9a〜9c サービス
10a〜10c イントラネット
11 ネットワーク
Claims (7)
- ユーザ識別子を有するユーザにより使用されるクライアント端末装置、
前記ユーザのユーザ識別子及び属性情報を有するユーザ情報テーブルを記憶した第1の記憶部、
前記クライアント端末装置からのアクセスを認証する第1の認証装置、
前記第1の認証装置により認証された前記クライアント端末装置からのアクセスを認証する第2の認証装置、および
前記クライアント端末装置から前記第2の認証装置を介してアクセスされるアプリケーション部、
を備えた認証システムにおいて、
前記第1の認証装置は、
前記クライアント端末装置から前記ユーザ識別子を受信する受信部、
前記受信部により受信された前記ユーザ識別子を用いて第1の変換IDを生成する第1のID変換部、および
前記クライアント端末装置から前記アプリケーション部へのアクセスが要求された場合に前記ユーザ情報テーブルから前記ユーザ識別子に対応する前記属性情報を取得し、該属性情報及び前記第1のID変換部により生成された前記第1の変換IDを含む認証連携用トークンを前記第2の認証装置に送信する送信部、を有し、
前記第2の認証装置は、
前記第1の認証装置から受信した認証連携用トークンが自装置内に登録されている認証連携用トークンと一致するか否かの確認を行うことにより前記クライアント端末装置からのアクセスを認証する認証部と、
前記第1の認証装置から受信した認証連携用トークンが前記登録されている認証連携用トークンと一致している場合に当該認証連携用トークンから取得される前記属性情報を用いて前記第2の認証装置にアクセスするための第2の変換IDを生成する第2のID変換部と、
前記認証部により認証された前記クライアント端末装置の前記アプリケーション部へのアクセス情報を前記第1の変換IDと共に第1のアクセスログテーブルに記録する第1の記録部と、を有することを特徴とする認証システム。 - 前記アプリケーション部を複数有する場合に該複数のアプリケーション部に使用される共通コンポーネント部と、
前記アプリケーション部と前記共通コンポーネント部との間に設けられ、前記アプリケーション部から前記共通コンポーネント部への要求、及び前記共通コンポーネント部から前記アプリケーション部への前記要求に対する結果を中継する中継装置と、
前記アプリケーション部から前記共通コンポーネント部へのアクセス情報を前記第1の変換IDと共に第2のアクセスログテーブルに記録する第2の記録部と、を備えたことを特徴とする請求項1に記載の認証システム。 - 前記第1のアクセスログテーブルに所定のアクセス情報以外の情報が記録された場合に不正アクセスと判断し、該不正アクセスに使用された前記第1の変換IDを不正アクセスIDとして検出する監視装置を備えたことを特徴とする請求項1又は請求項2に記載の認証システム。
- 前記ユーザ情報テーブルは前記ユーザ識別子に対応するユーザ名を保持し、
前記認証システムは、
前記ユーザ識別子及び前記第1の変換IDを記録したID変換ログテーブルを有する第2の記憶部と、
前記監視装置により不正アクセスIDとして検出された前記第1の変換IDに対応するユーザ識別子を前記ID変換ログテーブルから検索し、前記検索の結果得られたユーザ識別子に対応する前記ユーザ名を前記ユーザ情報テーブルから取得する検索装置と、
を備えたことを特徴とする請求項3に記載の認証システム。 - 前記第1の認証装置は、前記属性情報と前記第1の変換IDと認証の有効期限情報とを有する認証連携用トークンを前記第2の認証装置に送信し、
前記第2の認証装置は、前記第1のアクセスログテーブルにアクセス情報として前記有効期限情報を記録し、
前記監視装置は、前記第1のアクセスログテーブルに記録された前記有効期限情報が所定の有効期限を超過している場合に不正アクセスと判断することを特徴とする請求項3に記載の認証システム。 - 前記第1の認証装置は、前記属性情報と前記第1の変換IDと前記属性情報に対応する署名とを有する認証連携用トークンを前記第2の認証装置に送信し、
前記第2の認証装置は、前記第1のアクセスログテーブルにアクセス情報として前記署名を記録し、
前記監視装置は、前記第1のアクセスログテーブルに記録された前記署名が自装置内に登録されていない場合に不正アクセスと判断することを特徴とする請求項3に記載の認証システム。 - ユーザ識別子を有するユーザにより使用されるクライアント端末装置、
前記ユーザのユーザ識別子及び属性情報を有するユーザ情報テーブルを記憶した第1の記憶部、
前記クライアント端末装置からのアクセスを認証する第1の認証装置、
前記第1の認証装置により認証された前記クライアント端末装置からのアクセスを認証する第2の認証装置、および
前記クライアント端末装置から前記第2の認証装置を介してアクセスされるアプリケーション部、
を有する認証システムで実行される認証方法において、
前記第1の認証装置が前記クライアント端末装置から前記ユーザ識別子を受信する第1ステップ、
前記第1の認証装置が前記第1ステップにより受信した前記ユーザ識別子を用いて第1の変換IDを生成する第2ステップ、
前記クライアント端末装置から前記アプリケーション部へのアクセスが要求された場合に前記第1の認証装置が、前記ユーザ情報テーブルから前記ユーザ識別子に対応する前記属性情報を取得し、該属性情報及び前記第1の変換IDを含む認証連携用トークンを前記第2の認証装置に送信する第3ステップ、
前記第1の認証装置が、前記第3ステップにより取得した前記属性情報及び前記第2ステップにより生成した前記第1の変換IDを前記第2の認証装置に送信する第4ステップ、
前記第2の認証装置が、前記第1の認証装置から前記属性情報及び前記認証連携用トークンを受信する第5ステップ、
前記第2の認証装置が、前記第5ステップにより受信した前記認証連携用トークンが自装置内に登録されている認証連携用トークンと一致するか否かの確認を行うことにより前記クライアント端末装置からのアクセスを認証する第6ステップ、
前記認証連携用トークンが前記登録されている認証連携用トークンと一致している場合に、前記第2の認証装置が、当該認証連携用トークンから取得される前記属性情報を用いて前記第2の認証装置にアクセスするための第2の変換IDを生成する第7ステップ、および
前記第2の認証装置が、前記第6ステップにより認証した前記クライアント端末装置の前記アプリケーション部へのアクセス情報を前記第1の変換IDと共に第1のアクセスログテーブルに記録する第8ステップ、を備えたことを特徴とする認証方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011024884A JP5644565B2 (ja) | 2011-02-08 | 2011-02-08 | 認証システム及び認証方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011024884A JP5644565B2 (ja) | 2011-02-08 | 2011-02-08 | 認証システム及び認証方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012164191A JP2012164191A (ja) | 2012-08-30 |
JP5644565B2 true JP5644565B2 (ja) | 2014-12-24 |
Family
ID=46843515
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011024884A Expired - Fee Related JP5644565B2 (ja) | 2011-02-08 | 2011-02-08 | 認証システム及び認証方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5644565B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5987021B2 (ja) * | 2014-06-06 | 2016-09-06 | 日本電信電話株式会社 | 分散情報連携システム |
JP2016042327A (ja) * | 2014-08-19 | 2016-03-31 | 株式会社リコー | 情報処理システム及び認証方法 |
JP6053205B2 (ja) * | 2015-02-25 | 2016-12-27 | 日本電信電話株式会社 | 情報流通システム、方法および処理プログラム |
WO2018220693A1 (ja) | 2017-05-30 | 2018-12-06 | 日本電気株式会社 | 情報処理装置、検証装置、情報処理システム、情報処理方法、及び、記録媒体 |
JP7215342B2 (ja) * | 2019-06-06 | 2023-01-31 | 富士通株式会社 | 通信プログラム、通信方法、および、通信装置 |
JP7453179B2 (ja) | 2021-04-20 | 2024-03-19 | トヨタ自動車株式会社 | 認証システム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4068125B2 (ja) * | 2007-02-01 | 2008-03-26 | 株式会社日立製作所 | データアクセス方法および計算機システム |
JP4847483B2 (ja) * | 2008-03-10 | 2011-12-28 | 日本電信電話株式会社 | 個人属性情報提供システムおよび個人属性情報提供方法 |
-
2011
- 2011-02-08 JP JP2011024884A patent/JP5644565B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2012164191A (ja) | 2012-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9021570B2 (en) | System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium | |
CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
US7793095B2 (en) | Distributed hierarchical identity management | |
JP6141076B2 (ja) | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム | |
JP5644565B2 (ja) | 認証システム及び認証方法 | |
US20100077208A1 (en) | Certificate based authentication for online services | |
US20060218625A1 (en) | System and method of locating identity providers in a data network | |
EP2310977B1 (en) | An apparatus for managing user authentication | |
US20090094383A1 (en) | User Enrollment in an E-Community | |
JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
CN101426009A (zh) | 身份管理平台、业务服务器、统一登录系统及方法 | |
WO2006072994A1 (ja) | ネットワークカメラへのログイン認証システム | |
JP2006031064A (ja) | セッション管理システム及び管理方法 | |
JP4932154B2 (ja) | アイデンティティ管理ネットワークにおいてユーザーの認証をメンバーサイトに与える方法及びシステム、アイデンティティ管理ネットワークに属するホームサイトでユーザーの認証を行う方法、コンピュータ読み取り可能な媒体、ならびに、階層的分散アイデンティティ管理のためのシステム | |
JP2016115260A (ja) | 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム | |
JP2012033042A (ja) | シングルサインオンシステム及びシングルサインオン方法 | |
US20100250607A1 (en) | Personal information management apparatus and personal information management method | |
JP6840505B2 (ja) | システム、サービス提供装置、システムの制御方法およびプログラム | |
JP6723804B2 (ja) | システム、中継クライアント、制御方法、及びプログラム | |
JP2018037025A (ja) | プログラム、認証システム及び認証連携システム | |
CA2458257A1 (en) | Distributed hierarchical identity management | |
JP5300794B2 (ja) | コンテンツサーバ及びアクセス制御システム | |
JP2005293161A (ja) | 認証システム、認証方法及びコンピュータプログラム | |
JP2005346571A (ja) | 認証システム及び認証方法 | |
JP2004171524A (ja) | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130930 |
|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20140326 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140620 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140722 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140910 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141007 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141020 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5644565 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |