JP5734087B2 - 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 - Google Patents
情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 Download PDFInfo
- Publication number
- JP5734087B2 JP5734087B2 JP2011111586A JP2011111586A JP5734087B2 JP 5734087 B2 JP5734087 B2 JP 5734087B2 JP 2011111586 A JP2011111586 A JP 2011111586A JP 2011111586 A JP2011111586 A JP 2011111586A JP 5734087 B2 JP5734087 B2 JP 5734087B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- processing system
- information processing
- sso
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Description
SAMLのSSOではユーザーは、認証サービスを提供する側(Identity Provider、以下 IdP)にも、認証サービスの認証結果を信頼してサービスを提供する側(Service Provider、以下 SP)にもIDを持っている。たとえば、ユーザーがまずIdPにアクセスした場合、ユーザーはIdPで認証を受ける必要がある。ここでユーザーは、自身のIdP用のIDおよびパスワードを使ってIdPで認証を受けられる。
IdPは、認証したユーザーに対し、認証したことの証明であるSAMLアサーションを発行できる。このSAMLアサーションを用いると、SPはIdPの認証結果を信頼して、そのアクセスを認証する。このときIdPで認証を受けたユーザーは、SPにアクセスする際に、自身のSP用のIDやパスワードを用いず、前記SAMLアサーションを用いてSPで認証を受けることができる。以上のようにSSOが実現される。なおユーザーがSPにSSOでアクセスする際は、前述のように自身のSP用のIDをSPに渡していない。そのため、IdPで認証を受けたIdP用のIDと、SPにアクセスする際のSP用のIDとの対応関係を解決する必要がある。
ここでIdP用のIDとSP用のIDの対応関係をシングルサインオンマッピング(以下、SSOマッピング)と呼ぶ。SSOを実現するためには、IDの対応関係を解決するために、適切なSSOマッピングを設定しておく必要がある。
そこで従来、SPのIDをあらかじめ作成してユーザーに割り当てないまま保管しておき、IdPにIDとパスワードを渡して認証に成功すると、前述のSPのアカウントを新規にユーザーに割り当てるSSOマッピングサーバー(特許文献1)があった。この方式では、IdPでユーザーの正当性が確認できた場合にSSOマッピングを実現している。
また、その他の課題は、複数のユーザー企業がサービスを利用するケースを考えたときに起こりえる。サービス上で管理される各企業の情報は互いに独立して分離されている必要がある。このような分離の単位を、以下でテナントと呼ぶ。ここで各企業に対応したテナントの管理者が、テナントに所属する個別のユーザーの代理でSSOマッピングを設定することが考えられる。その場合、各ユーザーのIDおよびパスワードをすべて知らないと代理でのSSOマッピング設定を行えない。これは特に、各企業内で管理されるID数が多く、多数のIDに関するSSOマッピング設定を一括で行う際に問題となる。
また、その他の課題として、SSOマッピングを設定する際に、異なる企業のテナントに含まれるID同士で誤ってSSOマッピングを設定できてしまう問題がある。この場合、特定のサービスで所定のテナントのIDとしての認証を受けたユーザーが、SSOで他のサービスにアクセスした際に、異なるテナントのIDとして認証されてしまい、異なる企業の情報にアクセスできてしまう問題がある。そのユーザーが他のサービスにアクセスした際に、他のテナントにアクセスできる状態はセキュリティ上好ましくない。
本願発明の目的は、上述した課題の内、少なくとも1つを解決することを目的とする。その目的を達成するための1実施形態としてのシステムは、認証されたユーザーが属するテナント内のユーザーの情報を取得することで、適切なSSOマッピングを行う。
本実施の形態に係る権限委譲システムは、図1に示すような構成のネットワーク上に実現される。
101 LAN
200 クライアントPC
300 SSOマッピングサービス
303 第1のIDリスト取得モジュール
304 第2のIDリスト取得モジュール
305 SSOマッピング設定モジュール
400 SSOマッピング対象サービス
Claims (8)
- 第1の情報処理システムと通信可能な第2の情報処理システムであって、
クライアントを操作するユーザーの前記第1の情報処理システムにおける認証情報、および前記ユーザーの前記第2の情報処理システムにおける認証情報と、をクライアントから受信する受信手段と、
受信された前記第1の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第1の情報処理システムにおける他の認証情報を前記第1の情報処理システムから取得し、受信された前記第2の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第2の情報処理システムにおける他の認証情報を前記第2の情報処理システムから取得する取得手段と、
第1の認証情報と、第2の認証情報とを対応させた対応付け情報を前記ユーザーからクライアントを介して受け付ける受付手段と、
取得された前記第1の情報処理システムにおける他の認証情報、および受け付けられた記第1の認証情報が同一であり、かつ取得された前記第2の情報処理システムにおける他の認証情報、および受け付けられた前記第2の認証情報が同一の場合、前記対応付け情報をシングルサインオンの設定情報として設定する設定手段と、を有し、
前記第1の情報処理システムにおいて認証されたユーザーがクライアントを介して前記第2の情報処理システムにアクセスしてきた場合、設定されたシングルサインオンの設定情報を基に、該ユーザーの認証を行うことなくアクセスを許可することを特徴とする第2の情報処理システム。 - 前記取得手段は、前記第1の情報処理システムにおける複数の他の認証情報、および前記第2の情報処理システムにおける複数の他の認証情報を取得し、
前記受付手段は、シングルサインオンの一括設定を要求するユーザーから、前記対応付け情報を含む複数の対応付け情報が記述されたシングルサインオンマッピングテーブルを受け付け、
前記設定手段は、前記シングルサインオンマッピングテーブルに記述されている各対応付け情報中に、取得された複数の前記第1の情報処理システムにおける他の認証情報の内何れか1つの認証情報が含まれ、かつ取得された複数の前記第2の情報処理システムにおける他の認証情報の内何れか1つの認証情報が含まれるかを各対応付け情報毎に確認し、両方の他の認証情報が含まれることを確認したことに応じて、確認された対応付け情報をシングルサインオンの設定情報として設定することを特徴とする請求項1に記載の第2の情報処理システム。 - 前記受信手段により受信された前記第1の情報処理システムにおける認証情報、および前記第2の情報処理システムにおける認証情報は、夫々、前記第1の情報処理システム、および前記第2の情報処理システムにおける管理者権限が設定された認証情報であって、前記取得手段は、受信された第2の情報処理システムにおける認証情報が管理者権限を設定された認証情報である場合にのみ、該管理者権限の範囲で得られる他の認証情報を前記第1の情報処理システムから取得することを特徴とする請求項1または2に記載の第2の情報処理システム。
- 前記設定手段は、前記受付手段により新たな対応付け情報が受け付けられ、該新たな対応付け情報中に、既にシングルサインオンの設定情報に利用された認証情報が含まれている場合、該シングルサインオンの設定情報に利用された認証情報を含む対応付け情報を、該新たな対応付け情報に更新することを特徴とする請求項1乃至3の何れか1項に記載の第2の情報処理システム。
- 前記設定手段は、前記受付手段により新たな対応付け情報が受け付けられ、該新たな対応付け情報中の第1の認証情報に対し第2の認証情報が対応させられていなかった場合、既にシングルサインオンの設定情報に利用された該第1の認証情報を含む対応付け情報を、シングルサインオン設定情報としないように更新することを特徴とする請求項1乃至4の何れか1項に記載の第2の情報処理システム。
- 前記認証情報とは、ユーザーIDであり、前記固有情報とは、該ユーザーIDに対応するユーザーが属するテナントを示すテナント情報であることを特徴とする請求項1乃至5の何れか1項に記載の第2の情報処理システム。
- 第1の情報処理システムと通信可能な第2の情報処理システムを制御する方法であって、
受信手段は、クライアントを操作するユーザーの前記第1の情報処理システムにおける認証情報、および前記ユーザーの前記第2の情報処理システムにおける認証情報と、をクライアントから受信し、
取得手段は、受信された前記第1の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第1の情報処理システムにおける他の認証情報を前記第1の情報処理システムから取得し、受信された前記第2の情報処理システムにおける認証情報を基に、該認証情報に関連付けられた固有情報と同一の固有情報が関連付けられた前記第2の情報処理システムにおける他の認証情報を前記第2の情報処理システムから取得し、
受付手段は、第1の認証情報と、第2の認証情報とを対応させた対応付け情報を前記ユーザーからクライアントを介して受け付け、
設定手段は、取得された前記第1の情報処理システムにおける他の認証情報、および受け付けられた記第1の認証情報が同一であり、かつ取得された前記第2の情報処理システムにおける他の認証情報、および受け付けられた前記第2の認証情報が同一の場合、前記対応付け情報をシングルサインオンの設定情報として設定し、
前記第1の情報処理システムにおいて認証されたユーザーがクライアントを介して前記第2の情報処理システムにアクセスしてきた場合、設定されたシングルサインオンの設定情報を基に、該ユーザーの認証を行うことなくアクセスを許可することを特徴とする制御方法。 - 請求項7に記載の制御方法をコンピュータに実行させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011111586A JP5734087B2 (ja) | 2011-05-18 | 2011-05-18 | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 |
US13/447,479 US9077708B2 (en) | 2011-05-18 | 2012-04-16 | Information processing system, control method for controlling the information processing system, and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011111586A JP5734087B2 (ja) | 2011-05-18 | 2011-05-18 | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012243027A JP2012243027A (ja) | 2012-12-10 |
JP5734087B2 true JP5734087B2 (ja) | 2015-06-10 |
Family
ID=47176003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011111586A Active JP5734087B2 (ja) | 2011-05-18 | 2011-05-18 | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 |
Country Status (2)
Country | Link |
---|---|
US (1) | US9077708B2 (ja) |
JP (1) | JP5734087B2 (ja) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6041537B2 (ja) * | 2012-06-01 | 2016-12-07 | キヤノン株式会社 | システムおよび制御方法およびプログラム |
JP6141076B2 (ja) * | 2013-04-04 | 2017-06-07 | キヤノン株式会社 | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム |
US9270670B1 (en) * | 2014-10-10 | 2016-02-23 | Joseph Fitzgerald | Systems and methods for providing a covert password manager |
US10250584B2 (en) * | 2014-10-15 | 2019-04-02 | Zuora, Inc. | System and method for single sign-on technical support access to tenant accounts and data in a multi-tenant platform |
JP6897155B2 (ja) * | 2017-02-27 | 2021-06-30 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
WO2021232347A1 (en) * | 2020-05-21 | 2021-11-25 | Citrix Systems, Inc. | Cross device single sign-on |
US11671417B2 (en) * | 2020-08-18 | 2023-06-06 | Fujifilm Business Innovation Corp. | Information processing apparatus and non-transitory computer readable medium |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
US7016959B2 (en) * | 2002-04-11 | 2006-03-21 | International Business Machines Corporation | Self service single sign on management system allowing user to amend user directory to include user chosen resource name and resource security data |
US7386672B2 (en) * | 2002-08-29 | 2008-06-10 | International Business Machines Corporation | Apparatus and method for providing global session persistence |
JP2004234329A (ja) | 2003-01-30 | 2004-08-19 | Nippon Telegraph & Telephone East Corp | Idマッピングを利用したシングルサインオンシステム、方法、プログラム並びに記憶媒体 |
US7392536B2 (en) * | 2003-06-18 | 2008-06-24 | Microsoft Corporation | System and method for unified sign-on |
US7251732B2 (en) * | 2003-06-18 | 2007-07-31 | Microsoft Corporation | Password synchronization in a sign-on management system |
JP4413575B2 (ja) * | 2003-10-22 | 2010-02-10 | 株式会社日立製作所 | アカウントサービス情報の統合管理を支援する情報処理装置、アカウントサービス情報の統合管理方法、プログラム、および記録媒体 |
JP4779444B2 (ja) * | 2005-05-26 | 2011-09-28 | 株式会社日立製作所 | シングルサインオン実現方法 |
CN1835438B (zh) * | 2006-03-22 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种在网站间实现单次登录的方法及网站 |
JP2007323340A (ja) * | 2006-05-31 | 2007-12-13 | Toshiba Corp | アカウントリンクシステム,アカウントリンク用コンピュータ,およびアカウントリンク方法 |
EP2055077B1 (en) * | 2006-08-22 | 2017-04-05 | InterDigital Technology Corporation | Method and apparatus for providing trusted single sign-on access to applications and internet-based services |
US8327427B2 (en) * | 2006-09-25 | 2012-12-04 | Rockstar Consortium Us Lp | System and method for transparent single sign-on |
US8327421B2 (en) * | 2007-01-30 | 2012-12-04 | Imprivata, Inc. | System and method for identity consolidation |
JP4897503B2 (ja) * | 2007-01-31 | 2012-03-14 | 日本電信電話株式会社 | アカウントリンキングシステム、アカウントリンキング方法、連携サーバ装置 |
WO2009022568A1 (ja) * | 2007-08-16 | 2009-02-19 | Nec Corporation | 情報配信システム、配信先制御方法、および配信先制御用プログラム |
US20090217367A1 (en) * | 2008-02-25 | 2009-08-27 | Norman James M | Sso in volatile session or shared environment |
US8019863B2 (en) * | 2008-03-28 | 2011-09-13 | Ianywhere Solutions, Inc. | Synchronizing events between mobile devices and servers |
US8141140B2 (en) * | 2008-05-23 | 2012-03-20 | Hsbc Technologies Inc. | Methods and systems for single sign on with dynamic authentication levels |
US8032932B2 (en) * | 2008-08-22 | 2011-10-04 | Citibank, N.A. | Systems and methods for providing security token authentication |
US8650618B2 (en) * | 2009-07-22 | 2014-02-11 | Cisco Technology, Inc. | Integrating service insertion architecture and virtual private network |
US8631477B2 (en) * | 2009-07-23 | 2014-01-14 | International Business Machines Corporation | Lifecycle management of privilege sharing using an identity management system |
US9189615B2 (en) * | 2010-04-28 | 2015-11-17 | Openlane, Inc. | Systems and methods for system login and single sign-on |
US8875269B2 (en) * | 2011-02-23 | 2014-10-28 | International Business Machines Corporation | User initiated and controlled identity federation establishment and revocation mechanism |
US8839395B2 (en) * | 2011-05-13 | 2014-09-16 | Cch Incorporated | Single sign-on between applications |
-
2011
- 2011-05-18 JP JP2011111586A patent/JP5734087B2/ja active Active
-
2012
- 2012-04-16 US US13/447,479 patent/US9077708B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US9077708B2 (en) | 2015-07-07 |
JP2012243027A (ja) | 2012-12-10 |
US20120297472A1 (en) | 2012-11-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5734087B2 (ja) | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 | |
US9071601B2 (en) | Authority delegate system, server system in authority delegate system, and control method for controlling authority delegate system | |
JP6467869B2 (ja) | 情報処理システム及び情報処理方法 | |
JP6675163B2 (ja) | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム | |
EP2490396B1 (en) | Information processing system, method for controlling information processing system, and program | |
WO2013175901A1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
JP5988699B2 (ja) | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 | |
JP5125187B2 (ja) | 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム | |
JP6323994B2 (ja) | コンテンツ管理装置、コンテンツ管理方法及びプログラム | |
JP6248641B2 (ja) | 情報処理システム及び認証方法 | |
JP6815744B2 (ja) | サーバ装置、システム、情報処理方法及びプログラム | |
US20150101025A1 (en) | Image forming apparatus, method of controlling the same, and storage medium | |
EP2076864A1 (en) | Methods, programs and a system of providing remote access | |
US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
JP2017120502A (ja) | クラウドサービスへのIoT機器の登録方法 | |
JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
JP5955106B2 (ja) | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 | |
JP6041537B2 (ja) | システムおよび制御方法およびプログラム | |
JP7163602B2 (ja) | 中継装置及びプログラム | |
US10735399B2 (en) | System, service providing apparatus, control method for system, and storage medium | |
JP6205946B2 (ja) | サービス提供システム、情報収集方法及びプログラム | |
JP2022114837A (ja) | 多要素認証機能を備えた画像形成装置 | |
JP6554201B2 (ja) | 情報処理装置、その制御方法、及びプログラム | |
JP2020154447A (ja) | 情報処理システム及びプログラム | |
US20170214685A1 (en) | System and method for controlling system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140516 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150120 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150302 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150317 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150414 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5734087 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |