JP5734087B2 - 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 - Google Patents
情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 Download PDFInfo
- Publication number
- JP5734087B2 JP5734087B2 JP2011111586A JP2011111586A JP5734087B2 JP 5734087 B2 JP5734087 B2 JP 5734087B2 JP 2011111586 A JP2011111586 A JP 2011111586A JP 2011111586 A JP2011111586 A JP 2011111586A JP 5734087 B2 JP5734087 B2 JP 5734087B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- processing system
- information processing
- sso
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Description
本発明は、シングルサインオンに対応した情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラムに関する。
従来複数のサービス間で認証を連携させる技術として、Security Assertion Markup Language(以下SAML)によるシングルサインオン (以下SSO) の仕組みがある。
SAMLのSSOではユーザーは、認証サービスを提供する側(Identity Provider、以下 IdP)にも、認証サービスの認証結果を信頼してサービスを提供する側(Service Provider、以下 SP)にもIDを持っている。たとえば、ユーザーがまずIdPにアクセスした場合、ユーザーはIdPで認証を受ける必要がある。ここでユーザーは、自身のIdP用のIDおよびパスワードを使ってIdPで認証を受けられる。
IdPは、認証したユーザーに対し、認証したことの証明であるSAMLアサーションを発行できる。このSAMLアサーションを用いると、SPはIdPの認証結果を信頼して、そのアクセスを認証する。このときIdPで認証を受けたユーザーは、SPにアクセスする際に、自身のSP用のIDやパスワードを用いず、前記SAMLアサーションを用いてSPで認証を受けることができる。以上のようにSSOが実現される。なおユーザーがSPにSSOでアクセスする際は、前述のように自身のSP用のIDをSPに渡していない。そのため、IdPで認証を受けたIdP用のIDと、SPにアクセスする際のSP用のIDとの対応関係を解決する必要がある。
ここでIdP用のIDとSP用のIDの対応関係をシングルサインオンマッピング(以下、SSOマッピング)と呼ぶ。SSOを実現するためには、IDの対応関係を解決するために、適切なSSOマッピングを設定しておく必要がある。
そこで従来、SPのIDをあらかじめ作成してユーザーに割り当てないまま保管しておき、IdPにIDとパスワードを渡して認証に成功すると、前述のSPのアカウントを新規にユーザーに割り当てるSSOマッピングサーバー(特許文献1)があった。この方式では、IdPでユーザーの正当性が確認できた場合にSSOマッピングを実現している。
SAMLのSSOではユーザーは、認証サービスを提供する側(Identity Provider、以下 IdP)にも、認証サービスの認証結果を信頼してサービスを提供する側(Service Provider、以下 SP)にもIDを持っている。たとえば、ユーザーがまずIdPにアクセスした場合、ユーザーはIdPで認証を受ける必要がある。ここでユーザーは、自身のIdP用のIDおよびパスワードを使ってIdPで認証を受けられる。
IdPは、認証したユーザーに対し、認証したことの証明であるSAMLアサーションを発行できる。このSAMLアサーションを用いると、SPはIdPの認証結果を信頼して、そのアクセスを認証する。このときIdPで認証を受けたユーザーは、SPにアクセスする際に、自身のSP用のIDやパスワードを用いず、前記SAMLアサーションを用いてSPで認証を受けることができる。以上のようにSSOが実現される。なおユーザーがSPにSSOでアクセスする際は、前述のように自身のSP用のIDをSPに渡していない。そのため、IdPで認証を受けたIdP用のIDと、SPにアクセスする際のSP用のIDとの対応関係を解決する必要がある。
ここでIdP用のIDとSP用のIDの対応関係をシングルサインオンマッピング(以下、SSOマッピング)と呼ぶ。SSOを実現するためには、IDの対応関係を解決するために、適切なSSOマッピングを設定しておく必要がある。
そこで従来、SPのIDをあらかじめ作成してユーザーに割り当てないまま保管しておき、IdPにIDとパスワードを渡して認証に成功すると、前述のSPのアカウントを新規にユーザーに割り当てるSSOマッピングサーバー(特許文献1)があった。この方式では、IdPでユーザーの正当性が確認できた場合にSSOマッピングを実現している。
しかしながら従来の方法には以下の問題があった。すなわち、ユーザーは既にSP用のIDを持っていたとしても、SSOする際にはIdPのIDに対応してSSOマッピングサーバーに自動的に割り当てられたSP用のIDを使うことを余儀なくされる。
また、その他の課題は、複数のユーザー企業がサービスを利用するケースを考えたときに起こりえる。サービス上で管理される各企業の情報は互いに独立して分離されている必要がある。このような分離の単位を、以下でテナントと呼ぶ。ここで各企業に対応したテナントの管理者が、テナントに所属する個別のユーザーの代理でSSOマッピングを設定することが考えられる。その場合、各ユーザーのIDおよびパスワードをすべて知らないと代理でのSSOマッピング設定を行えない。これは特に、各企業内で管理されるID数が多く、多数のIDに関するSSOマッピング設定を一括で行う際に問題となる。
また、その他の課題として、SSOマッピングを設定する際に、異なる企業のテナントに含まれるID同士で誤ってSSOマッピングを設定できてしまう問題がある。この場合、特定のサービスで所定のテナントのIDとしての認証を受けたユーザーが、SSOで他のサービスにアクセスした際に、異なるテナントのIDとして認証されてしまい、異なる企業の情報にアクセスできてしまう問題がある。そのユーザーが他のサービスにアクセスした際に、他のテナントにアクセスできる状態はセキュリティ上好ましくない。
本願発明の目的は、上述した課題の内、少なくとも1つを解決することを目的とする。その目的を達成するための1実施形態としてのシステムは、認証されたユーザーが属するテナント内のユーザーの情報を取得することで、適切なSSOマッピングを行う。
また、その他の課題は、複数のユーザー企業がサービスを利用するケースを考えたときに起こりえる。サービス上で管理される各企業の情報は互いに独立して分離されている必要がある。このような分離の単位を、以下でテナントと呼ぶ。ここで各企業に対応したテナントの管理者が、テナントに所属する個別のユーザーの代理でSSOマッピングを設定することが考えられる。その場合、各ユーザーのIDおよびパスワードをすべて知らないと代理でのSSOマッピング設定を行えない。これは特に、各企業内で管理されるID数が多く、多数のIDに関するSSOマッピング設定を一括で行う際に問題となる。
また、その他の課題として、SSOマッピングを設定する際に、異なる企業のテナントに含まれるID同士で誤ってSSOマッピングを設定できてしまう問題がある。この場合、特定のサービスで所定のテナントのIDとしての認証を受けたユーザーが、SSOで他のサービスにアクセスした際に、異なるテナントのIDとして認証されてしまい、異なる企業の情報にアクセスできてしまう問題がある。そのユーザーが他のサービスにアクセスした際に、他のテナントにアクセスできる状態はセキュリティ上好ましくない。
本願発明の目的は、上述した課題の内、少なくとも1つを解決することを目的とする。その目的を達成するための1実施形態としてのシステムは、認証されたユーザーが属するテナント内のユーザーの情報を取得することで、適切なSSOマッピングを行う。
本発明の一実施形態に係る画像形成装置は、第1の情報処理システムと通信可能な第2の情報処理システムであって、クライアントを操作するユーザーの前記第1の情報処理システムにおける認証情報、および前記ユーザーの前記第2の情報処理システムにおける認証情報と、をクライアントから受信する受信手段と、受信された前記第1の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第1の情報処理システムにおける他の認証情報を前記第1の情報処理システムから取得し、受信された前記第2の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第2の情報処理システムにおける他の認証情報を前記第2の情報処理システムから取得する取得手段と、第1の認証情報と、第2の認証情報とを対応させた対応付け情報を前記ユーザーからクライアントを介して受け付ける受付手段と、取得された前記第1の情報処理システムにおける他の認証情報、および受け付けられた記第1の認証情報が同一であり、かつ取得された前記第2の情報処理システムにおける他の認証情報、および受け付けられた前記第2の認証情報が同一の場合、前記対応付け情報をシングルサインオンの設定情報として設定する設定手段と、を有し、前記第1の情報処理システムにおいて認証されたユーザーがクライアントを介して前記第2の情報処理システムにアクセスしてきた場合、設定されたシングルサインオンの設定情報を基に、該ユーザーの認証を行うことなくアクセスを許可することを特徴とする。
本発明によれば、SSOマッピングを設定する際、異なる企業のテナントに含まれるID同士で誤ってSSOマッピングを設定することを未然に防ぐことが可能になる。
本発明の目的は、認証を連携させたいサービス間において、適切なID同士でSSOマッピング設定を行うことである。
以下、本発明を実施するための最良の形態について図面を用いて説明する。
本実施の形態に係る権限委譲システムは、図1に示すような構成のネットワーク上に実現される。
本実施の形態に係る権限委譲システムは、図1に示すような構成のネットワーク上に実現される。
100は、Wide Area Network(WAN100)であり、本発明ではWorld Wide Web(WWW)システムが構築されている。101は各構成要素を接続するLocal Area Network(LAN101)である。これにより、各装置、各システムは通信可能になる。
200はユーザーが操作するクライアントPCであり、300および400はユーザーを認証するとサービスを提供するサービスAおよびサービスBである。
またクライアントPC200、サービスA300、サービスB400はそれぞれWANネットワーク100およびLAN101を介して接続されている。なおクライアントPC200およびそれぞれのサービスはそれぞれ個別のLAN上に構成されていてもよいし同一のLAN上に構成されていてもよい。また同一のPC上に構成されていてもよい。サービスA300、サービスB400は、夫々、サーバーA300、サーバーB400と同義であり、夫々のサーバー上で提供されるサービスは、後述のサーバーコンピューターにより提供される。提供されるサービスとは、例えば、データベースに蓄積されたユーザー情報の提供サービス、または印刷サービス等が考えられる。サービスA300は第2の情報処理システム、サービスB400は第1の情報処理システムに相当する。なお、サービスA300、およびサービスB400は、夫々1台ずつであっても、複数台から構成されるサーバー群であっても良い。
サービスA300はまずユーザーのログインを受け付ける。次にサービスA300はユーザーからのSSOマッピング設定要求を受け付けると、SSOマッピング設定要求に含まれるサービスBの認証情報を用いてサービスB400にアクセスする。サービスB400は前記認証情報が正しければ、前記認証情報で特定されるユーザーの権限で取得可能な第2のIDリスト460をサービスA300に返す。実施例1では、サービスA300、およびサービスB400において管理者権限を有する所定テナントのユーザーがサービスA300にアクセスし、サービスB400からIDのリストを取得する。サービスA300が第2のIDリスト460を取得する際、サービスA300はサービスB400が公開しているAPI(Application Programming Interface)を用いて、第2のIDリスト460を取得する。サービスA300はさらに、ログインしているユーザーの権限で取得可能な第1のIDリスト360を取得する。そしてサービスA300は第1のIDリスト360、第2のIDリスト460およびSSOマッピング設定要求に含まれるSSOマッピング設定情報500を用いてSSOマッピング設定を行う。なお、クライアントから受信した認証情報には少なくともユーザーのIDが含まれており、この認証情報を基に他のサービスからIDリストを取得する。IDリストにもユーザーのIDが含まれることから、クライアントから受信した認証情報を基に、他のサービスから複数の認証情報を取得する構成と言える。実施例1における受信した認証情報にはユーザーID、パスワードが含まれており、他のサービスから取得した認証情報にはユーザーIDのみ含まれている。しかしながら、受信する認証情報、および取得する認証情報の形態に制限はない。
図2は本実施の形態に係るクライアントPC200の構成を示す図である。またサービスA300、サービスB400を提供するサーバーコンピューターの構成も同様である。尚、図2に示されるハードウェアブロック図は一般的な情報処理装置のハードウェアブロック図に相当するものとし、本実施形態のクライアントPC200およびサーバーコンピューターには一般的な情報処理装置のハードウェア構成を適用できる。
図2において、CPU201は、ROM203のプログラム用ROMに記憶された、或いはハードディスク211からRAM202にロードされたOSやアプリケーション等のプログラムを実行する。ここでOSとはコンピュータ上で稼動するオペレーティングシステムの略語であり、以下オペレーティングシステムのことをOSと呼ぶ。後述する各フローチャートの処理はこのプログラムの実行により実現できる。RAM202は、CPU201の主メモリ、ワークエリア等として機能する。キーボードコントローラ(KBC)205は、キーボード(KB)209や不図示のポインティングデバイスからのキー入力を制御する。CRTコントローラ(CRTC)206は、CRTディスプレイ210の表示を制御する。ディスクコントローラ(DKC)207は各種データを記憶するハードディスク(HD)211やフロッピー(登録商標)ディスク(FD)等におけるデータアクセスを制御する。NC212はネットワークに接続されて、ネットワークに接続された他の機器との通信制御処理を実行する。
尚、後述の全ての説明においては、特に断りのない限り実行のハード上の主体はCPU201であり、ソフトウェア上の主体はハードディスク(HD)211にインストールされたアプリケーションプログラムである。
図3はSSOマッピング設定を利用した一般的なSSOのログインフローである。以下に、サービスB400がIdPとして、サービスA300がSPとして動作する例を示す。なおサービスA300がIdP、サービスB400がSPであってもよい。サービスB400がIdPの場合、ユーザーはサービスB400で認証を受ければ、サービスA300において認証を行うことなくアクセスが許可されるので、サービスA300に対し認証情報を送信することなくサービスの提供を受けることが可能となる。
以下の例では、ユーザーがまずサービスB400で認証を受け、その後、SSOによってサービスA300のサービスを受ける場合のフローを説明する。なおユーザーがサービスA300にアクセスしたあとサービスB400にリダイレクトされ、サービスB400で認証を受けたあとでサービスA300のサービスを受けるフローであってもよい。
図3(A)は一般的なSSOのログインフローの、IdP側でのフローである。なおここではサービスB400がIdPとしている。ステップS1でサービスB400は、サービスA300のサービスを受けることを望むユーザーからの認証要求を受け付ける。ここでサービスB400はユーザーからサービスBで認証を受けるためのサービスBのIDとパスワードを受信する。
ステップS2でサービスB400は、ステップS1でユーザーから受け付けたサービスBのIDとパスワードの組み合わせが正しいか確認する。組み合わせが正しければステップS3に遷移する。また組み合わせが正しくなければフローを終了する。ステップS3でサービスB400は、ユーザーを認証し、ユーザーからのアクセスをサービスA300にリダイレクトさせる。またその際、リダイレクトさせた際に渡したアクセス情報には、サービスB400が認証したユーザーのIDを含める。サービスB400によるリダイレクトが済むとフローを終了する。アクセス情報とは、認証トークンに相当する。
図3(B)は一般的なSSOのログインフローの、SP側でのフローである。なおここではサービスA300がIdPとしている。
ステップS4でサービスA300は、サービスB400からリダイレクトされたユーザーのアクセスを受け付ける。ステップS5でサービスA300は、ステップS4で受け付けたアクセス情報から、サービスBで認証を受けたユーザーのIDを取り出す。ステップS6でサービスA300は、ステップS5で取り出したユーザーのIDに関するSSOマッピング設定を取り出す。ステップS7でサービスA300は、ステップS6でSSOマッピング設定が見つかったか判断する。見つかっていればステップS8に遷移し、見つかっていなければフローを終了する。ステップS8でサービスA300は、ステップS6で見つかったSSOマッピング設定で示されるサービスAのIDとしてユーザーを認証する。そしてステップS4で受け付けたアクセスを許可し、サービスを提供し、フローを終了する。
前述のように、ユーザーSSOマッピングが設定されているとユーザーは、サービスB400にサービスB400のIDとパスワードを渡すことで、サービスA300が提供するサービスを受けることができる。
図4は本発明の実施の形態に係るモジュール構成図である。なおここではサービスA300がSSOマッピングサービスであり、サービスB400がSSOマッピング対象サービスであるとしているが、サービスの対応関係は前述の関係に限定されるものではない。なお、上述の通り、図4に記載の各モジュールはHDDに保存されており、メモリにロードされてCPUにより実行されることで実現する。
図4(A)は本発明の実施の形態に係るSSOマッピングサービス300のモジュール構成図である。SSOマッピングサービス300は第1の認証モジュール301、SSO設定情報受付モジュール302、第1のIDリスト取得モジュール303、第2のIDリスト取得モジュール304、SSOマッピング設定モジュール305から構成される。SSOマッピング設定モジュール305は、第1のIDリスト360、およびSSOマッピング設定情報500に含まれる第1の認証情報を比較し、かつ第2のIDリスト460、およびSSOマッピング設定情報500に含まれる第2の認証情報を比較して、SSOマッピング設定を行う。SSOマッピング設定情報の詳細については後述する。なお、SSOマッピング設定情報は、シングルサインオンマッピングテーブルに相当する。
図4(B)は本発明の実施の形態に係るSSOマッピング対象サービス400のモジュール構成図である。SSOマッピング対象サービス400は第2の認証モジュール401、第2のIDリスト生成モジュール402から構成される。第2のIDリスト生成モジュール402は、IDリストの生成要求に対応して第2のIDリスト460を返すAPIを持つ。第2のIDリスト生成モジュール402はSSOマッピングサービス300からIDリストの生成要求を受け付けると、第2の認証モジュール401で認証されたユーザーの権限で取得可能なIDのリストとして第2のIDリスト460を生成して返す。
図5は本発明の実施の形態に係るテナント別ユーザーリストデータ例である。図5(A)の350はSSOマッピングサービスが管理するテナント別ユーザーリストデータを示している。図5(B)の450はSSOマッピング対象サービスが管理するテナント別ユーザーリストデータを示している。ここではSSOマッピングサービス300にTAXおよびTAYの2つのテナントがあり、テナントTAXにはユーザーAX001、AX002、AX003が、テナントTAYにはユーザーAY099が所属している場合のデータ例を示している。またSSOマッピング対象サービス400にTBXおよびTBYの2つのテナントがあり、テナントTBXにはユーザーBX001、BX002、BX003が、テナントTBYにはユーザーBY099が所属している場合のデータ例を示している。実施例1では、所定テナントにおける管理者であるユーザーが、自身が所属するテナント内の一般ユーザーのシングルサインオン設定を一括で行うことを想定している。このように、各認証情報、即ちユーザーIDには固有情報が関連付けられている。固有情報とは、テナント情報である。管理者権限を有するユーザーは、その権限の範囲で、同一の固有情報が関連付けられた他の認証情報を取得できる。
図6は本発明の実施の形態に係る第1の認証情報(IDリスト)、および第2の認証情報(IDリスト)、およびSSOマッピング設定情報を示す図である。第1のIDリスト360は、第1のIDリスト取得モジュール303がテナントTAXに所属するユーザーAX001の権限で取得したユーザーIDリストである。また第2のIDリスト460は、第2のIDリスト取得モジュール304がテナントTBXに所属するユーザーBX001の権限で取得したユーザーIDリストである。またSSOマッピング設定情報500は、AX001とBX001、AX002とBX002の夫々をシングルサインオン設定するためのSSOマッピング設定情報である。
図7は本発明の実施の形態に係るSSOマッピングの設定フローである。図7(A)および図7(B)はSSOマッピングサービス300におけるフローを、図7(C)はSSOマッピング対象サービス400におけるフローを、それぞれ示している。
図7(A)は本発明の実施の形態に係る、SSOマッピングサービス300におけるSSOマッピングの設定フローである。本フローは、SSOマッピングサービス300が、SSOマッピングを設定したいユーザーにアクセスされることによって始まる。
ステップS1001で第1の認証モジュール301は、SSOマッピングサービス300にアクセスしたユーザーから、SSOマッピングサービス300で認証を受けるための第1のIDと第1のパスワードを受け付ける。ステップS1002で第1の認証モジュール301は、ステップS1001で受け付けた第1のIDと第1のパスワードの組み合わせが正しいか判断する。組み合わせが正しければステップS1003に遷移する。また組み合わせが正しくなければユーザーのアクセスを拒否してフローを終了する。
ステップS1003で第1の認証モジュール301は、ユーザーから受け付けた第1のIDとしてSSOマッピングサービス300へのログインを許可する。なおここでは、ユーザーのIDがAX001であった場合を考える。ステップS1004でSSO設定情報受付モジュール302は、ユーザーから第2のIDおよび第2のパスワードを受け付ける。なお第2のIDおよび第2のパスワードをユーザーに入力させる画面は、例えば図15(A)に示すような画面である。
ステップS1005でSSO設定情報受付モジュール302は、ユーザーからSSOマッピング設定情報500を受け付ける。なおSSOマッピング設定情報500をユーザーに入力させる画面は、例えば図15(A)に示すような画面である。ここではSSOマッピング設定情報500として、AX001とBX001、AX002とBX002のそれぞれの組み合わせにSSOマッピング設定させる情報が記述されていた場合を考える。
ステップS1006で第2のIDリスト取得モジュール304は、ステップS1004でユーザーから受け付けた第2のIDおよび第2のパスワードを用いて、SSOマッピング対象サービス400が公開する第2のIDリスト生成のAPIに対しIDリストの生成要求を行う。その応答として第2のIDリスト取得モジュール304は、SSOマッピング対象サービス400から第2のIDリスト460を受信する。なおここで取得される第2のIDリスト460は、第2のIDで示されるユーザーの権限で取得可能な範囲のIDリストである。実施例1の場合、管理者権限の範囲で得られるIDリストであり、第2のIDとしてBX001を用いて第2のIDリスト460を取得した場合を考える。また、得られた第2のIDリストにはBX001、BX002、BX003が含まれていたとする。
ステップS1007で第1のIDリスト取得モジュール303は、第1のIDリスト360を取得する。なおここで取得される第1のIDリスト360は、ステップS1003で認証を受けた第1のIDの権限で取得可能な範囲のIDリストである。ここでは第1のIDとしてAX001を用いて第1のIDリスト360を取得した場合を考える。この場合AX001と同じテナントに所属するIDリストが取得でき、第1のIDリスト360としてAX001、AX002、AX003が得られたとする。
ステップS1008でSSOマッピング設定モジュール305は、第1のIDリスト360、第2のIDリスト460、SSOマッピング設定情報500を用いて、SSOマッピングの設定を行い、SSOマッピングの設定フローを終了する。
図7(B)は本発明の実施の形態に係る、SSOマッピング設定モジュール305におけるSSOマッピング設定の詳細フローである。本フローは、SSOマッピングサービス300のSSOマッピング設定フローのステップS1008における処理を詳細化したフローである。
ステップS1101でSSOマッピング設定モジュール305は、ステップS1005で取得したSSOマッピング設定情報500に、未処理の組み合わせがあるか判断する。未処理の組み合わせが残っていなければSSOマッピング設定の詳細フローを終了する。また未処理の組み合わせが残っていればステップS1102に遷移する。
ステップS1102でSSOマッピング設定モジュール305は、SSOマッピング設定情報500から、紐付けられた第1のIDと第2のIDの組み合わせを1つ取り出す。ここではAX001とBX001の組み合わせが取り出された場合を考える。なお、この組み合わせが対応付け情報に相当する。対応付け情報が複数記載されたシングルサインオンマッピングテーブルが、SSOマッピング設定情報500である。
ステップS1103でSSOマッピング設定モジュール305は、ステップS1102で取り出した組み合わせに含まれる第1のIDが、ステップS1007で取得した第1のIDリスト360に含まれるか判断する。含まれると判断した場合、即ち、同一のIDが含まれると判断された場合はステップS1104に遷移する。また含まれないと判断した場合、即ち、対応付け情報に同一のIDが含まれていないと判断された場合は、ステップS1102で取り出した組み合わせに関するSSOマッピング設定を行わず、ステップS1101に遷移する。ここで、ステップS1102で取り出した組み合わせに含まれるAX001は、第1のIDリスト360にも含まれるため、ステップS1104に遷移する。
ステップS1104でSSOマッピング設定モジュール305は、ステップS1102で取り出した組み合わせに含まれる第2のIDが、ステップS1006で取得した第2のIDリスト460に含まれるか判断する。含まれると判断した場合はステップS1105に遷移する。また含まれないと判断した場合は、ステップS1102で取り出した組み合わせに関するSSOマッピング設定を行わず、ステップS1101に遷移する。ここで、ステップS1102で取り出した組み合わせに含まれるBX001は、第2のIDリスト460にも含まれるため、ステップS1105に遷移する。
ステップS1105でSSOマッピング設定モジュール305は、ステップS1102で取り出した第1のIDと第2のID組み合わせに対しSSOマッピングを設定して、ステップS1101に遷移する。ここではAX001とBX001の組み合わせに対しSSOマッピングが設定される。このように、クライアントから受信した認証情報を基に取得した認証情報(ユーザーID)と、シングルサインオンマッピングテーブル内に記述された認証情報の内何れか1つの認証情報とが同一であるか否かを各対応付け情報毎に確認する。この確認に基づき、シングルサインオンマッピングテーブル内の対応付け情報をシングルサインオンの設定情報として設定するか否かを決定する。
図7(C)は本発明の実施の形態に係る、SSOマッピング対象サービス400における第2のIDリストの生成フローである。本フローは、SSOマッピング対象サービス400が、SSOマッピングサービス300から第2のIDリスト生成要求を受けることで始まる。ステップS2001でSSOマッピング対象サービス400の第2の認証モジュール401は、SSOマッピングサービス300から第2のIDリスト生成要求を受け付ける。ステップ2002で第2の認証モジュール401は、第2のIDリスト生成要求に含まれる第2のIDと第2のパスワードの組み合わせが正しいか判断する。組み合わせが正しいと判断されればステップS2003に遷移し、正しくないと判断されれば第2のIDリストをSSOマッピングサービス300に返さずにフローを終了する。
ステップS2003で第2のIDリスト生成モジュールは、第2のIDリスト460を生成する。なおここで生成される第2のIDリスト460はステップS2002で認証された第2のIDの権限で取得可能な範囲のIDリストである。ここでは第2のIDとしてBX001を用いて第2のIDリスト460を取得した場合を考える。この場合BX001と同じテナントに所属するIDリストが取得でき、第2のIDリスト460としてBX001、BX002、BX003が生成されたとする。ステップS2004で第2のIDリスト生成モジュールは、ステップS2003で生成した第2のIDリスト460をSSOマッピングサービス300に返却して、フローを終了する。
図8は本発明の実施の形態に係るSSOマッピングの設定状況を示した図である。SSOマッピングサービスであるサービスA300にはテナントTAX310とテナントTAY320があり、テナントTAX310にはユーザーIDとしてAX001、AX002、AX003が含まれている。またテナントTAY320にはユーザーIDとしてAY099が含まれている。SSOマッピング対象サービスであるSSOマッピング対象サービス400にはテナントTBX410とテナントTBY420があり、テナントTBX410にはユーザーIDとしてBX001、BX002、BX003が含まれている。またテナントTBY420にはユーザーIDとしてBY099が含まれている。601はサービスA300およびサービスBに存在する企業Xのテナント群を表す。また602はサービスA300およびサービスBに存在する企業Yのテナント群を表す。
ここで図7のフローを実施することで、AX001とBX001の間でSSOマッピング設定501が設定され、またAX002とBX002の間でSSOマッピング設定502が設定されている。これらのSSOマッピング設定は、企業Xのテナント群601内でのSSOマッピングであるため、適切なSSOマッピング設定である。一方、AX003とBY099のように、企業Xのテナント群601と企業Yのテナント群602の間でのSSOマッピング599については、適切でないSSOマッピング設定であり、図7のフローではこのようなSSOマッピングが設定されることを未然に防ぐことが可能になる。
本実施の形態によれば、ユーザーが既に持っているSP用のIDに対してSSOマッピングを設定することができる。また企業のテナント内で管理者が代理でSSOマッピングを設定しようとした場合、各ユーザーのパスワードを知らなくても代理でのSSOマッピング設定を行える。さらにSSOマッピングを設定する際、異なる企業のテナントに含まれるID同士で誤ってSSOマッピングを設定することもない。
次に、本発明を実施するための第2の形態について図面を用いて説明する。
なお第1の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。図9は本発明の実施の第2の形態に係るSSOマッピングサービス300のモジュール構成図である。SSOマッピングサービス300は第1の認証モジュール301、SSO設定情報受付モジュール302、第1のIDリスト取得モジュール303、第2のIDリスト取得モジュール304、第2のSSOマッピング設定モジュール306から構成される。第2のSSOマッピング設定モジュール306はSSOマッピング設定を行う際、同一のIDに関するSSOマッピング設定が設定済みの場合、新たなSSOマッピング設定で古い設定を上書き、シングルサインオンの設定を更新する。
図10は本発明の実施の形態に係る、第2のSSOマッピング設定モジュール306におけるSSOマッピング設定の詳細フローである。本フローは、SSOマッピングサービス300のSSOマッピング設定フローのステップS1008における処理を詳細化したフローである。
ステップS1201で第2のSSOマッピング設定モジュール306は、ステップS1005で取得したSSOマッピング設定情報500に、未処理の組み合わせがあるか判断する。未処理の組み合わせが残っていなければSSOマッピング設定の詳細フローを終了する。また未処理の組み合わせが残っていればステップS1202に遷移する。
ステップS1202で第2のSSOマッピング設定モジュール306は、SSOマッピング設定情報500から、紐付けられた第1のIDと第2のIDの組み合わせを1つ取り出す。ここではAX001とBX001の組み合わせが取り出された場合を考える。
ステップS1203で第2のSSOマッピング設定モジュール306は、ステップS1202で取り出した組み合わせに含まれる第1のIDが、ステップS1007で取得した第1のIDリスト360に含まれるか判断する。含まれると判断した場合はステップS1204に遷移する。また含まれないと判断した場合は、ステップS1202で取り出した組み合わせに関するSSOマッピング設定を行わず、ステップS1201に遷移する。ここでステップS1202で取り出した組み合わせに含まれるAX001は、第1のIDリスト360にも含まれるため、ステップS1204に遷移する。
ステップS1204で第2のSSOマッピング設定モジュール306は、ステップS1202で取り出した組み合わせに含まれる第2のIDが、ステップS1006で取得した第2のIDリスト460に含まれるか判断する。含まれると判断した場合はステップS1205に遷移する。また含まれないと判断した場合は、ステップS1202で取り出した組み合わせに関するSSOマッピング設定を行わず、ステップS1201に遷移する。ここでステップS1202で取り出した組み合わせに含まれるBX001は、第2のIDリスト460にも含まれるため、ステップS1205に遷移する。
ステップS1205で第2のSSOマッピング設定モジュール306は、ステップS1202で取り出した第1のIDと第2のID組み合わせに関するSSOマッピングが設定されているか判断する。即ち、新たな対応付け情報中に、既にシングルサインオンの設定情報に利用された認証情報が含まれているかの確認を行う。判断の結果SSOマッピングが設定されていなければステップS1206に遷移する。またSSOマッピングが設定されていた場合はステップS1210に遷移する。なおここでは第1のIDに関するSSOマッピングが設定済みか確認し、設定済みの場合は新しい設定で上書きすることを考えている。しかしSSOマッピングが設定済みか確認するのに用いるIDは第1のIDに限定されるものでない。第2のIDで確認してもよく、第1のIDと第2のIDの双方で確認してもよい。
ステップS1206で第2のSSOマッピング設定モジュール306は、ステップS1202で取り出した第1のIDと第2のID組み合わせに対し新規にSSOマッピングを設定して、ステップS1201に遷移する。ここではAX001とBX001の組み合わせに対しSSOマッピングが設定される。
ステップS1210で第2のSSOマッピング設定モジュール306は、ステップS1205で設定済みと判断されたSSOマッピング設定を、ステップS1202で取り出した第1のIDと第2のID組み合わせで上書く。設定が終了するとステップS1201に遷移する。ここでステップS1205でAX001とBX003がSSOマッピング設定されていた場合を考える。ステップS1202ではAX001とBX001の組み合わせに関するSSOマッピング設定情報500を取得しているため、第2のSSOマッピング設定モジュール306は、AX001とBX003のSSOマッピングを解除する。また代わりにAX001とBX001の組み合わせに対しSSOマッピングを設定する。
本実施の形態によれば、設定済みのSSOマッピング設定を、新たなSSOマッピング設定で上書きすることができる。これは企業のテナント内で管理者がSSOマッピングを一括設定する際に、既存のSSOマッピング設定を意識せず新たなSSOマッピング設定を行えるため、利便性が向上する。また、一括でSSOマッピングを上書きする際にも、容易に上書きが可能になる。
次に、本発明を実施するための第3の形態について図面を用いて説明する。なお第1の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。図11は本発明の実施の第3の形態に係るSSOマッピングサービス300のモジュール構成図である。SSOマッピングサービス300は第1の認証モジュール301、SSO設定情報受付モジュール302、第1のIDリスト取得モジュール303、第2のIDリスト取得モジュール304、第3のSSOマッピング設定モジュール307から構成される。第3のSSOマッピング設定モジュール307はSSOマッピング設定を行う際、SSOマッピング設定情報500に記述された第1のIDと第2のIDのペアの内、一方が記述されていなければ、他方に関するSSOマッピング設定を解除する。
図12は本発明の実施の形態に係る、第3のSSOマッピング設定モジュール307におけるSSOマッピング設定の詳細フローである。本フローは、SSOマッピングサービス300のSSOマッピング設定フローのステップS1008における処理を詳細化したフローである。
ステップS1301で第3のSSOマッピング設定モジュール307は、ステップS1005で取得したSSOマッピング設定情報500に、未処理の組み合わせがあるか判断する。未処理の組み合わせが残っていなければSSOマッピング設定の詳細フローを終了する。また未処理の組み合わせが残っていればステップS1302に遷移する。
ステップS1302で第3のSSOマッピング設定モジュール307は、SSOマッピング設定情報500から、紐付けられた第1のIDと第2のIDの組み合わせを1つ取り出す。ここではAX001とBX001の組み合わせが取り出された場合を考える。
ステップS1303で第3のSSOマッピング設定モジュール307は、ステップS1302で取り出した組み合わせに第1のIDと第2のIDの両方が含まれているか判断する。両方が含まれていた場合はステップS1304に遷移し、一方のみ含まれていた場合はステップS1310に遷移する。一方のみ含まれていた場合とは、第1の認証情報、または第2の認証情報のペアとなる情報が記載されておらず、空白であることである。また、一方のみ含まれていた場合とは、新たな対応付け情報中の第1の認証情報に対して第2の認証情報が対応させられていなかった場合を指す。無論、第2の認証情報に対して第1の認証情報が対応させられていなかった場合であっても良い。
ステップS1304で第3のSSOマッピング設定モジュール307は、ステップS1302で取り出した組み合わせに含まれる第1のIDが、ステップS1007で取得した第1のIDリスト360に含まれるか判断する。含まれると判断した場合はステップS1305に遷移する。また含まれないと判断した場合は、ステップS1302で取り出した組み合わせに関するSSOマッピング設定を行わず、ステップS1301に遷移する。ここでステップS1302で取り出した組み合わせに含まれるAX001は、第1のIDリスト360にも含まれるため、ステップS1305に遷移する。
ステップS1305で第3のSSOマッピング設定モジュール307は、ステップS1302で取り出した組み合わせに含まれる第2のIDが、ステップS1006で取得した第2のIDリスト460に含まれるか判断する。含まれると判断した場合はステップS1306に遷移する。また含まれないと判断した場合は、ステップS1302で取り出した組み合わせに関するSSOマッピング設定を行わず、ステップS1301に遷移する。ここでステップS1302で取り出した組み合わせに含まれるBX001は、第2のIDリスト460にも含まれるため、ステップS1306に遷移する。
ステップS1306で第3のSSOマッピング設定モジュール307は、ステップS1302で取り出した第1のIDと第2のID組み合わせに対しSSOマッピングを設定して、ステップS1301に遷移する。ここではAX001とBX001の組み合わせに対しSSOマッピングが設定される。
ステップS1310で第3のSSOマッピング設定モジュール307は、ステップS1302で取り出したIDが、第1のIDリスト360または第2のIDリスト460のうち対応する方に含まれているか判断する。たとえばステップS1302で取り出したIDが第1のIDであれば、第1のID360リストに含まれているか判断する。またステップS1302で取り出したIDが第2のIDであれば、第2のIDリスト460に含まれているか判断する。含まれていると判断された場合はステップS1311に遷移し、含まれていないと判断された場合はなにもせずステップS1301に遷移する。
ステップS1311で第3のSSOマッピング設定モジュール307は、ステップS1302で取り出した組み合わせの第1のIDまたは第2のIDのうちで記述されているものに関して、設定されているSSOマッピング設定を解除する。設定を解除するとステップS1301に遷移する。設定を解除するとは、既にシングルサインオンの設定情報に利用された対応付け情報を、シングルサインオン設定情報としないように更新することを指す。
本実施の形態によれば、設定済みのSSOマッピング設定を解除する際に、SSO設定している一方のIDさえわかれば設定解除できる。これはSSOマッピング設定されているIDのうち一方が削除済みで、どのIDを使っていたか分からない状況であっても、残っている一方のIDを指定してSSOマッピングを解除できるため、利便性が向上する。
次に、本発明を実施するための第4の形態について図面を用いて説明する。なお第1の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。図13は本発明の第4の実施の形態に係るモジュール構成図である。SSOマッピングサービス300は第1の認証モジュール301、第2のSSO設定情報受付モジュール308、第4のSSOマッピング設定モジュール309から構成される。第2のSSO設定情報受付モジュール308はログイン中のユーザーからSSOマッピング対象サービス400の認証情報を受け取り、SSOマッピング対象サービス400で認証を受ける。認証を受けられると第4のSSOマッピング設定モジュール309が、SSOマッピングサービス300にログイン中のユーザーのIDと、第2のSSO設定情報受付モジュール308が受け取ったSSOマッピング対象サービスのIDとの間でSSOマッピングを設定する。
図14(A)は本発明の第4の実施の形態に係るSSOマッピングの設定フローである。本フローは、SSOマッピングサービス300が、SSOマッピングを設定したいユーザーにアクセスされることによって始まる。ステップS1003でユーザーへのログインを許可すると、ステップS1401に遷移する。なおここでは、ユーザーのIDがAX001であった場合を考える。ステップS1401で第2のSSO設定情報受付モジュール308は、ユーザーから第2のIDおよび第2のパスワードを受け付ける。なお第2のIDおよび第2のパスワードをユーザーに入力させる画面は、例えば図15(B)に示すような画面である。ステップS1402で第4のSSOマッピング設定モジュール309は、ステップS1401で受け付けた第2のIDおよび第2のパスワードを用いて、SSOマッピング対象サービス400に認証要求を行う。
ステップS1403で第4のSSOマッピング設定モジュール309は、ステップS1402でSSOマッピング対象サービス400の認証に成功したか判断する。判断の結果、認証に成功していればステップS1404に遷移する。また認証に失敗していたらSSOマッピング設定を行わずフローを終了する。ステップS1404で第4のSSOマッピング設定モジュール309は、ステップS1001で受け付けた第1のIDと、ステップS1401で受け付けた第2のIDとの間にSSOマッピングを設定する。設定が完了するとフローを終了する。
図14(B)は本発明の実施の第4の形態に係る、SSOマッピング対象サービス400における認証フローである。本フローは、SSOマッピング対象サービス400が、SSOマッピングサービス300から認証要求を受けることで始まる。ステップ2401で第2の認証モジュール401は、認証要求に含まれる第2のIDと第2のパスワードの組み合わせで認証を行う。ステップS2402で第2の認証モジュール401は、ステップS2401の認証結果をSSOマッピングサービス300に返してフローを終了する。
本実施の形態によれば、管理権限を持っていないユーザーであっても、自分自身の既存のアカウントに対してSSOマッピングを設定することができる。そのため管理者の負荷を軽減することができる。
図15は本発明の実施の形態に係るSSOマッピング設定用の画面例である。図15(A)は第2のIDおよび第2のパスワードを入力するコントロールと、SSOマッピング設定情報500が記述されたファイルを選択するためのコントロールを備える。なおここでSSOマッピング対象サービスがIdPであることを想定したため画面例にもIdPと記載しているが、SSOマッピング対象サービスはIdPであることに限定されない。またSSOマッピング設定情報500も、ファイル以外の形態で指定されてもよい。また図15(B)は第2のIDおよび第2のパスワードを入力するコントロールを備えた画面例である。
なお、各実施例を個別に説明したが、各実施例の処理を1つのシステムに実行させる形態であっても良い。例えば、実施例1乃至5の処理を全て実施しても良いし、実施例1、2、3のように部分的に実施しても良い。このような場合であっても、各処理が競合する可能性は低いため問題ない。
本発明の目的は、以下の処理を実行することによっても達成される。即ち、上述した実施形態の機能を実現するソフトウェアのプログラムコードを記録した記憶媒体を、システム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納されたプログラムコードを読み出す処理である。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施の形態の機能を実現することになり、そのプログラムコード及び該プログラムコードを記憶した記憶媒体は本発明を構成することになる。該プログラムコードを実行することにより、情報処理装置はプログラムコードの記述通りに制御される。
100 WAN
101 LAN
200 クライアントPC
300 SSOマッピングサービス
303 第1のIDリスト取得モジュール
304 第2のIDリスト取得モジュール
305 SSOマッピング設定モジュール
400 SSOマッピング対象サービス
101 LAN
200 クライアントPC
300 SSOマッピングサービス
303 第1のIDリスト取得モジュール
304 第2のIDリスト取得モジュール
305 SSOマッピング設定モジュール
400 SSOマッピング対象サービス
Claims (8)
- 第1の情報処理システムと通信可能な第2の情報処理システムであって、
クライアントを操作するユーザーの前記第1の情報処理システムにおける認証情報、および前記ユーザーの前記第2の情報処理システムにおける認証情報と、をクライアントから受信する受信手段と、
受信された前記第1の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第1の情報処理システムにおける他の認証情報を前記第1の情報処理システムから取得し、受信された前記第2の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第2の情報処理システムにおける他の認証情報を前記第2の情報処理システムから取得する取得手段と、
第1の認証情報と、第2の認証情報とを対応させた対応付け情報を前記ユーザーからクライアントを介して受け付ける受付手段と、
取得された前記第1の情報処理システムにおける他の認証情報、および受け付けられた記第1の認証情報が同一であり、かつ取得された前記第2の情報処理システムにおける他の認証情報、および受け付けられた前記第2の認証情報が同一の場合、前記対応付け情報をシングルサインオンの設定情報として設定する設定手段と、を有し、
前記第1の情報処理システムにおいて認証されたユーザーがクライアントを介して前記第2の情報処理システムにアクセスしてきた場合、設定されたシングルサインオンの設定情報を基に、該ユーザーの認証を行うことなくアクセスを許可することを特徴とする第2の情報処理システム。 - 前記取得手段は、前記第1の情報処理システムにおける複数の他の認証情報、および前記第2の情報処理システムにおける複数の他の認証情報を取得し、
前記受付手段は、シングルサインオンの一括設定を要求するユーザーから、前記対応付け情報を含む複数の対応付け情報が記述されたシングルサインオンマッピングテーブルを受け付け、
前記設定手段は、前記シングルサインオンマッピングテーブルに記述されている各対応付け情報中に、取得された複数の前記第1の情報処理システムにおける他の認証情報の内何れか1つの認証情報が含まれ、かつ取得された複数の前記第2の情報処理システムにおける他の認証情報の内何れか1つの認証情報が含まれるかを各対応付け情報毎に確認し、両方の他の認証情報が含まれることを確認したことに応じて、確認された対応付け情報をシングルサインオンの設定情報として設定することを特徴とする請求項1に記載の第2の情報処理システム。 - 前記受信手段により受信された前記第1の情報処理システムにおける認証情報、および前記第2の情報処理システムにおける認証情報は、夫々、前記第1の情報処理システム、および前記第2の情報処理システムにおける管理者権限が設定された認証情報であって、前記取得手段は、受信された第2の情報処理システムにおける認証情報が管理者権限を設定された認証情報である場合にのみ、該管理者権限の範囲で得られる他の認証情報を前記第1の情報処理システムから取得することを特徴とする請求項1または2に記載の第2の情報処理システム。
- 前記設定手段は、前記受付手段により新たな対応付け情報が受け付けられ、該新たな対応付け情報中に、既にシングルサインオンの設定情報に利用された認証情報が含まれている場合、該シングルサインオンの設定情報に利用された認証情報を含む対応付け情報を、該新たな対応付け情報に更新することを特徴とする請求項1乃至3の何れか1項に記載の第2の情報処理システム。
- 前記設定手段は、前記受付手段により新たな対応付け情報が受け付けられ、該新たな対応付け情報中の第1の認証情報に対し第2の認証情報が対応させられていなかった場合、既にシングルサインオンの設定情報に利用された該第1の認証情報を含む対応付け情報を、シングルサインオン設定情報としないように更新することを特徴とする請求項1乃至4の何れか1項に記載の第2の情報処理システム。
- 前記認証情報とは、ユーザーIDであり、前記固有情報とは、該ユーザーIDに対応するユーザーが属するテナントを示すテナント情報であることを特徴とする請求項1乃至5の何れか1項に記載の第2の情報処理システム。
- 第1の情報処理システムと通信可能な第2の情報処理システムを制御する方法であって、
受信手段は、クライアントを操作するユーザーの前記第1の情報処理システムにおける認証情報、および前記ユーザーの前記第2の情報処理システムにおける認証情報と、をクライアントから受信し、
取得手段は、受信された前記第1の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第1の情報処理システムにおける他の認証情報を前記第1の情報処理システムから取得し、受信された前記第2の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第2の情報処理システムにおける他の認証情報を前記第2の情報処理システムから取得し、
受付手段は、第1の認証情報と、第2の認証情報とを対応させた対応付け情報を前記ユーザーからクライアントを介して受け付け、
設定手段は、取得された前記第1の情報処理システムにおける他の認証情報、および受け付けられた記第1の認証情報が同一であり、かつ取得された前記第2の情報処理システムにおける他の認証情報、および受け付けられた前記第2の認証情報が同一の場合、前記対応付け情報をシングルサインオンの設定情報として設定し、
前記第1の情報処理システムにおいて認証されたユーザーがクライアントを介して前記第2の情報処理システムにアクセスしてきた場合、設定されたシングルサインオンの設定情報を基に、該ユーザーの認証を行うことなくアクセスを許可することを特徴とする制御方法。 - 請求項7に記載の制御方法をコンピュータに実行させるためのプログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011111586A JP5734087B2 (ja) | 2011-05-18 | 2011-05-18 | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 |
| US13/447,479 US9077708B2 (en) | 2011-05-18 | 2012-04-16 | Information processing system, control method for controlling the information processing system, and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011111586A JP5734087B2 (ja) | 2011-05-18 | 2011-05-18 | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012243027A JP2012243027A (ja) | 2012-12-10 |
| JP5734087B2 true JP5734087B2 (ja) | 2015-06-10 |
Family
ID=47176003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011111586A Active JP5734087B2 (ja) | 2011-05-18 | 2011-05-18 | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9077708B2 (ja) |
| JP (1) | JP5734087B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6041537B2 (ja) * | 2012-06-01 | 2016-12-07 | キヤノン株式会社 | システムおよび制御方法およびプログラム |
| JP6141076B2 (ja) * | 2013-04-04 | 2017-06-07 | キヤノン株式会社 | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム |
| US9270670B1 (en) * | 2014-10-10 | 2016-02-23 | Joseph Fitzgerald | Systems and methods for providing a covert password manager |
| US10250584B2 (en) * | 2014-10-15 | 2019-04-02 | Zuora, Inc. | System and method for single sign-on technical support access to tenant accounts and data in a multi-tenant platform |
| JP6897155B2 (ja) * | 2017-02-27 | 2021-06-30 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
| WO2021232347A1 (en) * | 2020-05-21 | 2021-11-25 | Citrix Systems, Inc. | Cross device single sign-on |
| US11671417B2 (en) * | 2020-08-18 | 2023-06-06 | Fujifilm Business Innovation Corp. | Information processing apparatus and non-transitory computer readable medium |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US7016959B2 (en) * | 2002-04-11 | 2006-03-21 | International Business Machines Corporation | Self service single sign on management system allowing user to amend user directory to include user chosen resource name and resource security data |
| US7386672B2 (en) * | 2002-08-29 | 2008-06-10 | International Business Machines Corporation | Apparatus and method for providing global session persistence |
| JP2004234329A (ja) | 2003-01-30 | 2004-08-19 | Nippon Telegraph & Telephone East Corp | Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体 |
| US7392536B2 (en) * | 2003-06-18 | 2008-06-24 | Microsoft Corporation | System and method for unified sign-on |
| US7251732B2 (en) * | 2003-06-18 | 2007-07-31 | Microsoft Corporation | Password synchronization in a sign-on management system |
| JP4413575B2 (ja) * | 2003-10-22 | 2010-02-10 | 株式会社日立製作所 | アカウントサービス情報の統合管理を支援する情報処理装置、アカウントサービス情報の統合管理方法、プログラム、および記録媒体 |
| JP4779444B2 (ja) * | 2005-05-26 | 2011-09-28 | 株式会社日立製作所 | シングルサインオン実現方法 |
| CN1835438B (zh) * | 2006-03-22 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种在网站间实现单次登录的方法及网站 |
| JP2007323340A (ja) * | 2006-05-31 | 2007-12-13 | Toshiba Corp | アカウントリンクシステム,アカウントリンク用コンピュータ,およびアカウントリンク方法 |
| EP2055077B1 (en) * | 2006-08-22 | 2017-04-05 | InterDigital Technology Corporation | Method and apparatus for providing trusted single sign-on access to applications and internet-based services |
| US8327427B2 (en) * | 2006-09-25 | 2012-12-04 | Rockstar Consortium Us Lp | System and method for transparent single sign-on |
| US8327421B2 (en) * | 2007-01-30 | 2012-12-04 | Imprivata, Inc. | System and method for identity consolidation |
| JP4897503B2 (ja) * | 2007-01-31 | 2012-03-14 | 日本電信電話株式会社 | アカウントリンキングシステム、アカウントリンキング方法、連携サーバ装置 |
| WO2009022568A1 (ja) * | 2007-08-16 | 2009-02-19 | Nec Corporation | 情報配信システム、配信先制御方法、および配信先制御用プログラム |
| US20090217367A1 (en) * | 2008-02-25 | 2009-08-27 | Norman James M | Sso in volatile session or shared environment |
| US8019863B2 (en) * | 2008-03-28 | 2011-09-13 | Ianywhere Solutions, Inc. | Synchronizing events between mobile devices and servers |
| US8141140B2 (en) * | 2008-05-23 | 2012-03-20 | Hsbc Technologies Inc. | Methods and systems for single sign on with dynamic authentication levels |
| US8032932B2 (en) * | 2008-08-22 | 2011-10-04 | Citibank, N.A. | Systems and methods for providing security token authentication |
| US8650618B2 (en) * | 2009-07-22 | 2014-02-11 | Cisco Technology, Inc. | Integrating service insertion architecture and virtual private network |
| US8631477B2 (en) * | 2009-07-23 | 2014-01-14 | International Business Machines Corporation | Lifecycle management of privilege sharing using an identity management system |
| US9189615B2 (en) * | 2010-04-28 | 2015-11-17 | Openlane, Inc. | Systems and methods for system login and single sign-on |
| US8875269B2 (en) * | 2011-02-23 | 2014-10-28 | International Business Machines Corporation | User initiated and controlled identity federation establishment and revocation mechanism |
| US8839395B2 (en) * | 2011-05-13 | 2014-09-16 | Cch Incorporated | Single sign-on between applications |
-
2011
- 2011-05-18 JP JP2011111586A patent/JP5734087B2/ja active Active
-
2012
- 2012-04-16 US US13/447,479 patent/US9077708B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US9077708B2 (en) | 2015-07-07 |
| JP2012243027A (ja) | 2012-12-10 |
| US20120297472A1 (en) | 2012-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5734087B2 (ja) | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 | |
| US9071601B2 (en) | Authority delegate system, server system in authority delegate system, and control method for controlling authority delegate system | |
| JP6467869B2 (ja) | 情報処理システム及び情報処理方法 | |
| JP6675163B2 (ja) | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム | |
| EP2490396B1 (en) | Information processing system, method for controlling information processing system, and program | |
| WO2013175901A1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
| JP5988699B2 (ja) | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 | |
| JP5125187B2 (ja) | 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム | |
| JP6323994B2 (ja) | コンテンツ管理装置、コンテンツ管理方法及びプログラム | |
| JP6248641B2 (ja) | 情報処理システム及び認証方法 | |
| JP6815744B2 (ja) | サーバ装置、システム、情報処理方法及びプログラム | |
| US20150101025A1 (en) | Image forming apparatus, method of controlling the same, and storage medium | |
| EP2076864A1 (en) | Methods, programs and a system of providing remote access | |
| US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
| JP2017120502A (ja) | クラウドサービスへのIoT機器の登録方法 | |
| JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
| JP5955106B2 (ja) | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 | |
| JP6041537B2 (ja) | システムおよび制御方法およびプログラム | |
| JP7163602B2 (ja) | 中継装置及びプログラム | |
| US10735399B2 (en) | System, service providing apparatus, control method for system, and storage medium | |
| JP6205946B2 (ja) | サービス提供システム、情報収集方法及びプログラム | |
| JP2022114837A (ja) | 多要素認証機能を備えた画像形成装置 | |
| JP6554201B2 (ja) | 情報処理装置、その制御方法、及びプログラム | |
| JP2020154447A (ja) | 情報処理システム及びプログラム | |
| US20170214685A1 (en) | System and method for controlling system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140516 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150120 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150302 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150317 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150414 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5734087 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |