JP5723300B2 - サーバシステム、サービス提供サーバおよび制御方法 - Google Patents
サーバシステム、サービス提供サーバおよび制御方法 Download PDFInfo
- Publication number
- JP5723300B2 JP5723300B2 JP2012000160A JP2012000160A JP5723300B2 JP 5723300 B2 JP5723300 B2 JP 5723300B2 JP 2012000160 A JP2012000160 A JP 2012000160A JP 2012000160 A JP2012000160 A JP 2012000160A JP 5723300 B2 JP5723300 B2 JP 5723300B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- server
- service providing
- ticket
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
図1は、実施の形態1に係るサーバシステム400の全体構成を示す。サーバシステム400は、法人や団体などの業務施設内に導入され、インターネットなどを介して各種サービスをユーザに提供する。
認証チケットの有効期間が認証の有効期間より長いと、認証チケットの有効期限を過ぎたときは必ず認証の有効期限も過ぎているため、仮にユーザが離席等することなく使い続けていたとしても、認証チケットの有効期限を過ぎた後のアクセス要求では必ず再度の認証が必要となってしまう。したがって、認証チケットの有効期間は、認証の有効期間より短いことが望ましい。
(1) 18:00にログイン要求(アクセス要求)をした場合
(2) (1)のログイン後、18:03に次のアクセス要求をした場合
(3) (1)のログイン後、18:06に次のアクセス要求をした場合
(4) (1)のログイン後、18:16に次のアクセス要求をした場合
図5のごとく、サービス提供サーバ200のアクセス制御部210は、ユーザ端末100からのログイン要求(アクセス要求)を受け付けると(S10)、アクセス要求に認証チケットが含まれるか確認する(S20)。ここでは、アクセス要求はログイン要求であり、認証チケットは含まれないため(S30のN)、サービス提供サーバ200のアクセス制御部210は、認証サーバ300に認証要求をする(S80)。認証サーバ300の認証部310は認証要求を受け付けると、正規ユーザ保持部320を参照して、ログイン要求をしたユーザが正規のユーザであるか認証する(S200)。認証結果が成功である場合は(S202のY)、認証部310は、認証チケットを生成する(S204)。認証結果が失敗である場合は(S202のN)は、認証チケットの生成をスキップする。また、認証部310は、認証結果を含むSAMLメッセージをサービス提供サーバ200に送信する(S210)。なお、認証結果が成功である場合のSAMLメッセージには、認証部310が生成した認証チケットが含まれる。そして、認証結果が成功である場合(S120のY)、サービス提供サーバ200の認証チケット発行部240は、受信したSAMLメッセージに含まれる認証チケットをユーザに発行する(S140)。また、サービス提供サーバ200のアクセス制御部210は、ユーザのアクセス要求に応じた処理を実行するよう業務処理部260に指示し(S60)、業務処理部260が実行する(S70)。ここではログイン要求であるため、ユーザ端末100からのログインを許可する。認証結果が失敗である場合は(S120のN)、再度の認証をするためのログイン画面をユーザ端末100に表示する(S150)。
サービス提供サーバ200のアクセス制御部210は、ユーザ端末100からのアクセス要求を受け付けると(S10)、アクセス要求に認証チケットが含まれるか確認する(S20)。ここでは、(1)で一度認証されているため、アクセス要求には認証チケットが含まれる(S30のY)。アクセス制御部210は、その認証チケットの有効期限を確認する(S40)。ここでは、認証チケットの有効期限は18:05であるところ、18:03にアクセス要求をしているため、認証チケットは有効期限内であると判断される(S50のY)。そして、サービス提供サーバ200のアクセス制御部210は、ユーザのアクセス要求に応じた処理を実行するよう業務処理部260に指示し(S60)、業務処理部260が実行する(S70)。こうして、認証サーバ300に認証要求や認証の有効性の問い合わせをすることなく、ユーザは認証済みであり、かつ、その認証はまだ有効であると判断し、ユーザのアクセス要求に対する処理が実行される。
S40までは(2)と同様であるため、S50から説明する。認証チケットの有効期限は18:05であるところ、18:06にアクセス要求をしているため、認証チケットは有効期限外であると判断される(S50のN)。そして、アクセス制御部210は、アクセス要求元のユーザの認証がまだ有効であるか否かを認証サーバ300に問い合わせる(S90)。認証サーバ300の認証状態確認部330はこの問い合わせを受け付けると、認証ユーザ情報保持部340を参照して、アクセス要求をしたユーザの認証がまだ有効であるか確認する(S160)。認証が有効である場合は(S170のY)、認証の有効期限を更新し(S180)、認証したときに送信したのと同様のSAMLメッセージ、すなわち(1)で送信したのと同様のSAMLメッセージをサービス提供サーバ200に送信する(S190)。認証が無効である場合は(S170のN)、無効であることを示す情報を含むSAMLメッセージをサービス提供サーバ200に送信する(S190)。ここでは、認証の有効期限である18:15をまだ過ぎておらず認証は有効であるため(S100のY)、サービス提供サーバ200のアクセス制御部210は、認証チケットの有効期限を更新する(S110)。そして、ユーザのアクセス要求に応じた処理を実行するよう業務処理部260に指示し(S60)、業務処理部260が実行する(S70)。
S190までは(3)と同様であるため、S100から説明する。認証の有効期限が18:15であるところ、18:16にアクセス要求をしている。したがって、認証は無効となっているため(S100のN)、サービス提供サーバ200のアクセス制御部210は、再度の認証をするためのログイン画面をユーザ端末100に表示する(S150)。
図6は、実施の形態2に係るサーバシステム400の全体構成を示す。サーバシステム400は、サービス提供サーバ200a、・・・、200b(これらをまとめて「サービス提供サーバ200」ともいう)、認証サーバ300を含む。実施の形態1とは、サービス提供サーバ200が複数台で構成されている点のみ異なり、サービス提供サーバ200と認証サーバ300の構成は、それぞれ実施の形態1と同様である。実施の形態1と相違する点に主眼を置いて説明する。
認証チケットの有効期間を時間帯ごとに変化させてもよい。例えば、個々のユーザが頻繁にアクセス要求をする時間帯である第1の時間帯と、そうでない時間帯である第2の時間帯があるシステムの場合、第1の時間帯におけるチケットの有効期間は、第2の時間帯におけるチケットの有効期間よりも長くする、言い換えれば、第1の時間帯におけるチケットの有効期間は相対的に長く設定し、第2の時間帯におけるチケットの有効期間は相対的に短く設定する、としてもよい。認証チケットの有効期間を時間帯ごとで最適な値とすることで、認証チケットの有効期間を一定にした場合と比べ、サービス提供サーバ200と認証サーバ300間のトラフィックをより低減できることが期待される。また、認証チケットの有効期間をその時々のアクセス要求の多少に応じて動的に変化させるようにしてもよい。そうすることで、例えば非定期のイベントにより普段とは異なる時間帯に個々のユーザが頻繁にアクセス要求した場合であっても、認証チケットの有効期間を一定にした場合と比べ、サービス提供サーバ200と認証サーバ300間のトラフィックをより低減できることが期待される。
実施の形態では、認証サーバ300側で認証チケットを生成する例を示したが、本発明はこれに限られない。例えば、サービス提供サーバ200側に認証チケット生成部を設け、その認証チケット生成部が認証チケットを生成するようにしてもよい。
Claims (6)
- 認証サーバと、前記認証サーバとネットワークを介して接続されたサービス提供サーバを備え、
前記認証サーバは、
正規ユーザの情報を保持する正規ユーザ保持部と、
前記サービス提供サーバからユーザの認証要求を受け付けたとき、当該ユーザが正規ユーザであるか否か認証する認証部と、を含み、
前記サービス提供サーバは、
ユーザから所定のサービスに対するアクセス要求を受け付けたとき、当該ユーザが正規ユーザであるか否かの認証を前記認証サーバに要求し、前記認証サーバによる認証結果に応じた処理を行うアクセス制御部と、
認証結果が成功である場合に生成される認証チケットと、当該認証チケットの有効期間を示す情報とを対応づけて保持する認証チケット保持部と、
アクセス要求をしたユーザに対して、認証チケットを発行する認証チケット発行部と、を含み、
前記サービス提供サーバの前記アクセス制御部は、
ユーザから受け付けたアクセス要求に認証チケットが含まれ、かつ、当該認証チケットが有効期間内である場合、前記認証サーバに認証要求することなく認証結果が成功である場合の処理を行い、
ユーザから受け付けたアクセス要求に認証チケットが含まれ、かつ、当該認証チケットが有効期間外である場合、アクセス要求をしたユーザに対する認証の有効性を前記認証サーバに問い合わせ、
前記認証サーバは、
認証結果が成功である場合、認証に成功したユーザに関する情報と、その認証の有効期間を示す情報とを対応づけて保持する認証ユーザ情報保持部と、
アクセス要求をしたユーザに対する認証の有効性についての問い合わせを受け付けると前記認証ユーザ情報保持部を参照して認証が有効であるか否かを確認し、認証が有効である場合、その事実を示す情報を前記サービス提供サーバに提供する認証状態確認部と、を更に含み、
前記サービス提供サーバのアクセス制御部は、アクセス要求をしたユーザに対する認証が有効であることを示す情報を取得したとき、アクセス要求に含まれていた認証チケットの有効期間を示す情報を更新することを特徴とするサーバシステム。 - 前記認証状態確認部は、アクセス要求をしたユーザに対する認証が有効である場合、その事実を示す情報を前記サービス提供サーバに提供するとともに、当該ユーザの認証の有効期間を示す情報を更新することを特徴とする請求項1に記載のサーバシステム。
- 前記サービス提供サーバにおける認証チケットの有効期間は、前記認証サーバにおける認証の有効期間より短く設定されることを特徴とする請求項2に記載のサーバシステム。
- 前記サービス提供サーバとは別のサービス提供サーバを更に備え、
前記別のサービス提供サーバは、
前記サービス提供サーバが発行した認証チケットを含む、ユーザからのアクセス要求を受け付けたとき、アクセス要求をしたユーザに対する認証の有効性を前記認証サーバに問い合わせるアクセス制御部を含み、
前記サービス提供サーバからの認証要求によって、アクセス要求をしたユーザに対する認証が既に有効であるとき、
前記認証サーバの認証部は、再度ユーザの認証を行わず、前記認証サーバの認証状態確認部は、アクセス要求をしたユーザに対する認証が有効であることを示す情報を前記別のサービス提供サーバに提供することを特徴とする請求項2または3に記載のサーバシステム。 - ユーザから所定のサービスに対するアクセス要求を受け付けたとき、当該ユーザが正規ユーザであるか否かの認証をネットワークを介して接続された認証サーバに要求し、当該認証サーバによる認証結果に応じた処理を行うアクセス制御部と、
認証結果が成功である場合に生成される認証チケットと、当該認証チケットの有効期間を示す情報とを対応づけて保持する認証チケット保持部と、
アクセス要求をしたユーザに対して、認証チケットを発行する認証チケット発行部と、を備え、
前記アクセス制御部は、
ユーザから受け付けたアクセス要求に認証チケットが含まれ、かつ、当該認証チケットが有効期間内である場合、前記認証サーバに認証要求することなく認証結果が成功である場合の処理を行い、
ユーザから受け付けたアクセス要求に認証チケットが含まれ、かつ、当該認証チケットが有効期間外である場合、アクセス要求をしたユーザに対する認証の有効性を前記認証サーバに問い合わせ、
当該ユーザに対する認証が有効であることを示す情報を取得したとき、当該認証チケットの有効期間を示す情報を更新することを特徴とするサービス提供サーバ。 - 認証サーバと、前記認証サーバとネットワークを介して接続されたサービス提供サーバと、を備えるサーバシステムにおいて実行される方法であって、
前記サービス提供サーバが、ユーザから所定のサービスに対するアクセス要求を受け付けたとき、当該ユーザが正規ユーザであるか否かの認証を前記認証サーバに要求するステップと、
前記認証サーバが、前記サービス提供サーバからユーザの認証要求を受け付けたとき、当該ユーザが正規ユーザであるか否か認証するステップと、
前記認証サーバが、認証結果が成功である場合、認証に成功したユーザに関する情報と、その認証の有効期間を示す情報と、を対応づけた認証ユーザ情報を保持するステップと、
前記サービス提供サーバが、前記認証サーバによる認証結果に応じた処理を行うステップと、
前記サービス提供サーバが、認証結果が成功である場合に生成される認証チケットと、当該認証チケットの有効期間を示す情報とを対応づけて保持するステップと、
前記サービス提供サーバが、アクセス要求をしたユーザに対して、認証チケットを発行するステップと、
前記サービス提供サーバが、ユーザから受け付けたアクセス要求に認証チケットが含まれ、かつ、当該認証チケットが有効期間内である場合、前記認証サーバに認証要求することなく認証結果が成功である場合の処理を行うステップと、
前記サービス提供サーバが、ユーザから受け付けたアクセス要求に認証チケットが含まれ、かつ、当該認証チケットが有効期間外である場合、アクセス要求をしたユーザに対する認証の有効性を前記認証サーバに問い合わせるステップと、
前記認証サーバが、アクセス要求をしたユーザに対する認証の有効性についての問い合わせを受け付けると前記認証ユーザ情報を参照して認証が有効であるか否かを確認し、認証が有効である場合、その事実を示す情報を前記サービス提供サーバに提供するステップと、
前記サービス提供サーバが、アクセス要求をしたユーザに対する認証が有効であることを示す情報を取得したとき、アクセス要求に含まれていた認証チケットの有効期間を示す情報を更新するステップと、を含むことを特徴とする制御方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012000160A JP5723300B2 (ja) | 2012-01-04 | 2012-01-04 | サーバシステム、サービス提供サーバおよび制御方法 |
CN201210088774.5A CN103200162B (zh) | 2012-01-04 | 2012-03-29 | 服务器系统、服务提供服务器及控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012000160A JP5723300B2 (ja) | 2012-01-04 | 2012-01-04 | サーバシステム、サービス提供サーバおよび制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013140480A JP2013140480A (ja) | 2013-07-18 |
JP5723300B2 true JP5723300B2 (ja) | 2015-05-27 |
Family
ID=48741590
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012000160A Active JP5723300B2 (ja) | 2012-01-04 | 2012-01-04 | サーバシステム、サービス提供サーバおよび制御方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP5723300B2 (ja) |
CN (1) | CN103200162B (ja) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106573176B (zh) * | 2014-09-10 | 2019-07-23 | 全球营销企业(Gme)股份公司 | 水上玩具 |
JP6468013B2 (ja) * | 2015-03-16 | 2019-02-13 | 富士ゼロックス株式会社 | 認証システム、サービス提供装置、認証装置、認証方法及びプログラム |
US9692815B2 (en) * | 2015-11-12 | 2017-06-27 | Mx Technologies, Inc. | Distributed, decentralized data aggregation |
JP6857065B2 (ja) * | 2017-03-27 | 2021-04-14 | キヤノン株式会社 | 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム |
JP6720113B2 (ja) * | 2017-06-02 | 2020-07-08 | 日本電信電話株式会社 | 認証システム、サービス提供サーバ、認証方法、及びプログラム |
CN108718324B (zh) * | 2018-07-11 | 2021-09-07 | 北京明朝万达科技股份有限公司 | 一种高效的sip摘要认证方法、系统及装置 |
CN113646751A (zh) * | 2019-04-01 | 2021-11-12 | 宜日网络有限公司 | 通讯系统、信息提供装置、程序及信息提供方法 |
JP7304039B2 (ja) * | 2019-04-01 | 2023-07-06 | e-Janネットワークス株式会社 | 通信システム |
JP7310483B2 (ja) * | 2019-09-19 | 2023-07-19 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置およびプログラム |
JP2021140740A (ja) * | 2020-03-03 | 2021-09-16 | 株式会社野村総合研究所 | 物品収容システム、サーバ、物品収容方法、プログラムおよび情報処理装置 |
JP7070617B2 (ja) * | 2020-08-18 | 2022-05-18 | コニカミノルタ株式会社 | 情報機器管理システム、個人識別装置およびプログラム |
CN112311762B (zh) * | 2020-09-23 | 2023-05-09 | 南方电网数字平台科技(广东)有限公司 | 一种基于jwt的认证方法以及系统 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0784959A (ja) * | 1993-09-14 | 1995-03-31 | Toshiba Corp | ユーザ認証システム |
US6678731B1 (en) * | 1999-07-08 | 2004-01-13 | Microsoft Corporation | Controlling access to a network server using an authentication ticket |
SE0101295D0 (sv) * | 2001-04-10 | 2001-04-10 | Ericsson Telefon Ab L M | A method and network for delivering streaming data |
JP3897041B2 (ja) * | 2004-11-18 | 2007-03-22 | コニカミノルタビジネステクノロジーズ株式会社 | 画像形成システムおよび画像形成装置 |
CN1937501A (zh) * | 2005-09-22 | 2007-03-28 | 富士施乐株式会社 | 认证装置和方法、认证程序的记录介质和计算机数据信号 |
CN101051898B (zh) * | 2006-04-05 | 2010-04-21 | 华为技术有限公司 | 无线网络端到端通信认证方法及其装置 |
JP2008197973A (ja) * | 2007-02-14 | 2008-08-28 | Mitsubishi Electric Corp | ユーザ認証システム |
CN101277234A (zh) * | 2007-03-28 | 2008-10-01 | 华为技术有限公司 | 一种家庭网络及登录方法 |
JP4825728B2 (ja) * | 2007-05-18 | 2011-11-30 | 株式会社日立製作所 | 情報処理装置および情報処理方法 |
JP5305280B2 (ja) * | 2007-10-23 | 2013-10-02 | 野村證券株式会社 | ガジェット提供サーバ |
CN101207482B (zh) * | 2007-12-13 | 2010-07-21 | 深圳市戴文科技有限公司 | 一种实现单点登录的方法及系统 |
CN101540734A (zh) * | 2008-03-21 | 2009-09-23 | 阿里巴巴集团控股有限公司 | 一种跨域名Cookie访问方法、系统及设备 |
CN101286843B (zh) * | 2008-06-03 | 2010-08-18 | 江西省电力信息通讯有限公司 | 点对点模式下单点登录方法 |
CN101902329A (zh) * | 2009-05-31 | 2010-12-01 | 西门子(中国)有限公司 | 用于单点登录的方法和装置 |
JP5359689B2 (ja) * | 2009-08-27 | 2013-12-04 | 富士ゼロックス株式会社 | 情報処理システム、認証発行装置、およびプログラム |
CN101958898B (zh) * | 2010-09-28 | 2013-10-30 | 中国科学院研究生院 | 一种移动WiMAX网络中EAP认证快速切换方法 |
JP5602059B2 (ja) * | 2011-02-28 | 2014-10-08 | 京セラドキュメントソリューションズ株式会社 | モバイルプリンティングシステム |
-
2012
- 2012-01-04 JP JP2012000160A patent/JP5723300B2/ja active Active
- 2012-03-29 CN CN201210088774.5A patent/CN103200162B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013140480A (ja) | 2013-07-18 |
CN103200162A (zh) | 2013-07-10 |
CN103200162B (zh) | 2016-04-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5723300B2 (ja) | サーバシステム、サービス提供サーバおよび制御方法 | |
US11122028B2 (en) | Control method for authentication/authorization server, resource server, and authentication/authorization system | |
US10951618B2 (en) | Refresh token for credential renewal | |
US10154036B2 (en) | Authorization delegation system, control method, authorization server, and storage medium | |
EP3525415B1 (en) | Information processing system and control method therefor | |
CN111416822B (zh) | 访问控制的方法、电子设备和存储介质 | |
US10785204B2 (en) | Authority transfer system, control method therefor, and client | |
US9215232B2 (en) | Certificate renewal | |
US9571494B2 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
JP4782986B2 (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
EP3226506B1 (en) | Sophisitcated preparation of an authorization token | |
US20100100950A1 (en) | Context-based adaptive authentication for data and services access in a network | |
US20130019295A1 (en) | Method and system for open authentication | |
US20100077208A1 (en) | Certificate based authentication for online services | |
US20100077467A1 (en) | Authentication service for seamless application operation | |
CN103460215A (zh) | 为服务应用提供授权访问以便使用最终用户的受保护资源的方法 | |
US11444954B2 (en) | Authentication/authorization server, client, service providing system, access management method, and medium | |
JP2013505497A (ja) | 識別情報の検証のための方法及び装置 | |
US20170310675A1 (en) | Server apparatus, system, information processing method, and storage medium storing computer program | |
JP7096736B2 (ja) | システム、及びデータ処理方法 | |
JP5085605B2 (ja) | ログインを管理するサーバ、方法、およびプログラム | |
US11356261B2 (en) | Apparatus and methods for secure access to remote content | |
KR101824562B1 (ko) | 인증 게이트웨이 및 인증 게이트웨이의 인증 방법 | |
US10592978B1 (en) | Methods and apparatus for risk-based authentication between two servers on behalf of a user | |
JP7230329B2 (ja) | 情報処理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140129 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140930 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141021 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150324 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150327 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5723300 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |