JP5858878B2 - 認証システムおよび認証方法 - Google Patents

認証システムおよび認証方法 Download PDF

Info

Publication number
JP5858878B2
JP5858878B2 JP2012152134A JP2012152134A JP5858878B2 JP 5858878 B2 JP5858878 B2 JP 5858878B2 JP 2012152134 A JP2012152134 A JP 2012152134A JP 2012152134 A JP2012152134 A JP 2012152134A JP 5858878 B2 JP5858878 B2 JP 5858878B2
Authority
JP
Japan
Prior art keywords
unit
authentication
input
condition
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012152134A
Other languages
English (en)
Other versions
JP2014016697A (ja
Inventor
祐輔 石川
祐輔 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2012152134A priority Critical patent/JP5858878B2/ja
Publication of JP2014016697A publication Critical patent/JP2014016697A/ja
Application granted granted Critical
Publication of JP5858878B2 publication Critical patent/JP5858878B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、例えば、業務システムを相互利用する企業(組織)間で相手方の企業の利用者を認証するための権利ID付与装置、認証システム、権利ID付与方法、権利ID付与プログラムおよび認証方法に関するものである。
従来、グループ企業間で業務システムの相互利用を行う場合、利用者の情報は個人情報に値するため、各企業内で管理し、通常は同期されることがない。
そのため、企業Aが企業Bの業務システムを利用する場合、「企業Aでの権限に応じて企業Bの特定IDに集約する」もしくは、「企業Aの利用者を企業Bのシステムに登録する」いずれかの方法が取られている。
後者の方法は、企業Bの利用者IDに加え、企業Aの利用者IDも登録しなければならない。このため、運用負荷の増大やアカウントの消し忘れ等が発生する。
前者の方法は、利用者のアクセス制御を実施しなければならない。例えば、利用者情報、組織情報、ロール情報をテーブル化して持ち、利用者情報内の所属部門や役職を元にロール情報を照合し、利用者に対してアクセス権限を付与する(例えば、特許文献1)。
また、業務システムを相互利用のために企業間で連携して認証を行う場合、企業Aの認証システムが企業Aの利用者を認証後に利用者IDを格納した認証アサーションを企業Bの認証システムに送付することにより、認証アサーションに格納された利用者IDで企業Bの業務システムに対するアクセスが可能となる(例えば、特許文献2および特許文献3)。
業務システムの相互利用では、一般的な共有ポータルの他に、幹部情報や人事情報などの共有も行われるため、利用者の持つ属性に応じてアクセスできる業務システムを制限する必要がある。これを実現するためには、利用者の持つ属性に応じて適切なアクセス権限を利用者に付与しなければならない。
特開2009−238191号公報 特表2006−515447号公報 特開2003−58503号公報
従来、企業間で連携して認証を行う際、「企業Aでの権限に応じて企業Bの特定IDに集約する」方法が採用される場合が多く、適切なアクセス制御を実現するには所属(部店、部門、課)、役職、プロジェクト、資格などの70〜100の属性に基づく条件により利用者に権限を付与する必要がある。
しかし、利用者の持つ属性のうち役職のみに基づいて利用者に権限が付与されることが一般的であり、適切なアクセス制御ができていない。
本発明は、例えば、業務システムを相互利用する企業間で相手方の企業の利用者を適切に認証できるようにすることを目的とする。
本発明の権利ID付与装置は、
ID(IDentification)が入力IDとして入力される入力ID入力部と、
利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得する利用者属性取得部と、
対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定する権利ID条件判定部と、
前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力する権利ID出力部とを備える。
本発明によれば、例えば、業務システムを相互利用する企業間で相手方の企業の利用者を認証する際、権利ID付与装置によって利用者属性に応じた権利IDが利用者に付与されることにより、権利IDに基づいて利用者を適切に認証することができる。
実施の形態1におけるアクセス権限集約型認証連携システム100の構成図。 実施の形態1における認証サーバA200の機能構成図。 実施の形態1における認証サーバB300の機能構成図。 実施の形態1における利用者情報テーブル291の構成図。 実施の形態1における利用者管理テーブル292の構成図。 実施の形態1における権利ID条件式テーブル294の構成図。 実施の形態1における権利IDテーブル293の構成図。 実施の形態1におけるURL−IDテーブル295の構成図。 実施の形態1における権利IDアクセス許可テーブル391の構成図。 実施の形態1におけるアクセス権限集約型認証連携システム100の認証連携方法を示すフローチャート。 実施の形態1における認証連携用トークン生成処理(S200)を示すフローチャート。 実施の形態1における認証連携受入処理(S300)を示すフローチャート。 実施の形態1におけるアクセス制御処理(S400)を示すフローチャート。 実施の形態1における認証サーバA200・認証サーバB300のハードウェア資源の一例を示す図。 実施の形態2における認証サーバA200の機能構成図。 実施の形態2における認証サーバB300の機能構成図。 実施の形態2におけるID変換ログテーブル296の構成図。 実施の形態2におけるアクセス監査ログテーブル392の構成図。 実施の形態2における認証連携用トークン生成処理(S200)を示すフローチャート。 実施の形態2における認証連携受入処理(S300)を示すフローチャート。 実施の形態2におけるアクセス制御処理(S400)を示すフローチャート。 実施の形態3におけるアクセス権限集約型認証連携システム100の構成図。 実施の形態3におけるアクセス権限集約型認証連携システム100の構成図。 実施の形態3におけるアクセス権限集約型認証連携システム100の連携監査作業を示すフローチャート。 実施の形態4における認証サーバB300の機能構成図。 実施の形態4における認証連携受入処理(S300)を示すフローチャート。 実施の形態4におけるアクセス制御処理(S400)を示すフローチャート。 実施の形態5における認証サーバB300の機能構成図。 実施の形態5におけるアクセスカウンタテーブル393の構成図。 実施の形態5における認証連携受入処理(S300)を示すフローチャート。 実施の形態5におけるアクセス制御処理(S400)を示すフローチャート。 実施の形態6における認証サーバB300の機能構成図。 実施の形態7における認証サーバA200の機能構成図。 実施の形態7における認証連携用トークン生成処理(S200)を示すフローチャート。 実施の形態7におけるアクセス制御処理(S400)を示すフローチャート。 実施の形態8における認証サーバA200の機能構成図。 実施の形態8における認証連携用トークン生成処理(S200)を示すフローチャート。 実施の形態8におけるアクセス制御処理(S400)を示すフローチャート。
実施の形態1.
業務システムを相互利用する企業間で相手方の企業の利用者を適切に認証できるようにする形態について説明する。
図1は、実施の形態1におけるアクセス権限集約型認証連携システム100の構成図である。
実施の形態1におけるアクセス権限集約型認証連携システム100の構成について、図1に基づいて説明する。
アクセス権限集約型認証連携システム100(認証システムの一例)は、企業Aのコンピュータシステム(以下、「企業内システムA110」という)と、企業Bのコンピュータシステム(以下、「企業内システムB120」という)とをネットワークで接続したシステムである。
企業内システムA110は、クライアント端末A111と、認証サーバA200(権利ID付与装置の一例)と、業務システムA112とを備える。クライアント端末A111、認証サーバA200および業務システムA112はネットワークで接続している。クライアント端末A111や業務システムA112は1つ又は複数存在する。
クライアント端末A111は、企業Aの社員(または社員以外で企業内システムA110の利用が許可されている者。以下同様)が使用するコンピュータである。
業務システムA112は、企業Aの業務を処理するための情報処理システムである。情報処理システムは1つ又は複数のコンピュータを備える。
認証サーバA200は、クライアント端末A111の利用者が企業Aの社員であることを認証するコンピュータである。
同様に、企業内システムB120は、クライアント端末B121と、認証サーバB300(認証装置の一例)と、業務システムB122とを備える。
企業内システムA110において、企業Aの社員はクライアント端末A111を用いて認証サーバA200にアクセスし、業務システムA112を利用するための認証を受ける。認証サーバA200から認証を受けた企業Aの社員は、クライアント端末A111を用いて業務システムA112を利用することができる。
また、企業Aの社員は、企業Bの業務システムB122を利用する際にも、クライアント端末A111を用いて企業Aの認証サーバA200から認証を受ける。この際、企業Aの認証サーバA200は、企業Bの認証サーバB300と連携して企業Aの社員の認証を行う。企業Aの認証サーバA200および企業Bの認証サーバB300の認証を受けた企業Aの社員は、クライアント端末A111を用いて企業Bの業務システムB122を利用することができる。
図2は、実施の形態1における認証サーバA200の機能構成図である。
実施の形態1における認証サーバA200の機能構成について、図2に基づいて説明する。
認証サーバA200(権利ID付与装置の一例)は、認証部A210(入力ID入力部の一例)と、権利ID生成部220(利用者属性取得部、権利ID条件判定部の一例)、認可部A230(権利ID出力部の一例)とを備える。さらに、認証サーバA200は、認証サーバA200で使用するデータを記憶するための記憶部(図示省略)を備える。
また、認証サーバA200はリポジトリA290と接続する。但し、認証サーバA200がリポジトリA290を備えても構わない。
認証部A210は、クライアント端末A111を使用する利用者が企業Aの社員であることを認証する。
権利ID生成部220は、企業Aの社員に対して企業Bの業務システムB122を利用するための権利IDの付与(発行)を行う。権利IDは、企業Aの社員が企業Bの業務システムB122を利用する際に自己のID(利用者ID)の代わりに用いるIDである。
認可部A230は、権利IDが付与された企業Aの社員が使用するクライアント端末A111と企業Bの業務システムB122との通信を中継する。
各構成の詳細については後述する。
リポジトリA290は、企業内システムA110で使用するデータを記憶する記憶部である。リポジトリA290は、複数の記憶部として構成してもよい。
例えば、リポジトリA290は、利用者情報テーブル291(利用者属性記憶部の一例)、利用者管理テーブル292(利用者属性記憶部の一例)、権利IDテーブル293、権利ID条件式テーブル294(権利ID条件記憶部の一例)およびURL−IDテーブル295を記憶する。
利用者情報テーブル291は、クライアント端末A111を使用している利用者が企業Aの社員であることを認証するための情報を含んだデータである。
利用者管理テーブル292は、企業Aの社員の個人情報(人事情報)を管理するためのデータであり、企業Bの業務システムB122を利用するための権利IDを当該社員に付与するために用いる。
権利IDテーブル293は、企業Aの社員に付与した権利IDを管理するためのデータである。
権利ID条件式テーブル294は、権利IDを付与する際の条件を管理するためのデータである。
URL−IDテーブル295は、業務システムB122のURL(Uniform Resource Locator)を識別するURL−IDを管理するためのデータである。
各テーブルの詳細については後述する。
図3は、実施の形態1における認証サーバB300の機能構成図である。
実施の形態1における認証サーバB300の機能構成について、図3に基づいて説明する。
認証サーバB300(認証装置の一例)は、認証部B310と認可部B320とを備える。さらに、認証サーバB300は、認証サーバB300で使用するデータを記憶するための記憶部(図示省略)を備える。
また、認証サーバB300はリポジトリB390と接続する。但し、認証サーバB300がリポジトリB390を備えても構わない。
認証部B310は、利用者が企業内システムB120を利用することを許可されている者であることを認証する。例えば、認証部B310は、業務システムA112を利用しようとする企業Aの社員が権利IDを付与された者であることを認証する。
認可部B320は、権利IDが付与された企業Aの社員が使用するクライアント端末A111と企業Bの業務システムB122との通信を中継する。
各構成の詳細については後述する。
リポジトリB390は、企業内システムB120で使用するデータを記憶する記憶部である。リポジトリB390は、複数の記憶部として構成してもよい。
例えば、リポジトリB390は、権利IDアクセス許可テーブル391を記憶する。
権利IDアクセス許可テーブル391は、企業Bの業務システムB122を利用するための権利IDを管理するためのデータである。
権利IDアクセス許可テーブル391の詳細については後述する。
次に、企業内システムA110または企業内システムB120で使用する各テーブルの詳細について説明する。
図4は、実施の形態1における利用者情報テーブル291の構成図である。
実施の形態1における利用者情報テーブル291について、図4に基づいて説明する。
利用者情報テーブル291は、クライアント端末A111を使用している利用者が企業Aの社員であることを認証するための情報を含んだデータである。利用者情報テーブル291は、予め生成され、リポジトリA290に記憶される。
利用者情報テーブル291は、「利用者ID」「名前」「部」「課」「役職」および「パスワード」を対応付けて含んでいる。但し、利用者情報テーブル291は、これら情報の一部を含んでいなくてもよいし、他の情報を含んでいてもよい。
「利用者ID」は、当該社員を識別する識別子を示す。
「名前」は、当該社員の名前を示す。
「部」「課」は、当該社員が所属する部署(部または課)の名称を示す。
「役職」は、当該社員の役職名を示す。
「パスワード」は、当該社員用に決められたパスワードを示す。
図5は、実施の形態1における利用者管理テーブル292の構成図である。
実施の形態1における利用者管理テーブル292について、図5に基づいて説明する。
利用者管理テーブル292は、企業Aの社員の個人情報(人事情報)を管理するためのデータであり、当該社員に権利IDを付与するために用いる。利用者管理テーブル292は、予め生成され、リポジトリA290に記憶される。
利用者管理テーブル292は、「利用者ID」「部店」「部門」「部」「役職」「兼務1」などを対応付けて含んでいる。但し、利用者管理テーブル292は、これらの情報の一部を含んでいなくてもよい。
「利用者ID」は、当該社員を識別する識別子を示す。
「部店」「部門」「部」は、当該社員が所属する部署(部店、部門または部)の名称を示す。
「役職」は、当該社員の役職名を示す。
「兼務1」は、当該社員が参加するプロジェクトの名称を示す。
図6は、実施の形態1における権利ID条件式テーブル294の構成図である。
実施の形態1における権利ID条件式テーブル294について、図6に基づいて説明する。
権利ID条件式テーブル294は、権利IDを付与する際の条件を管理するためのデータである。権利ID条件式テーブル294は、予め生成され、リポジトリA290に記憶される。
権利ID条件式テーブル294は、「権利ID」「条件式」および「URL」を対応付けて含んでいる。
「権利ID」は、権利IDを識別する識別子を示す。
「条件式」は、権利IDを付与するための個人情報の条件を示す。
「URL」は、権利IDを用いて利用することができる業務システムB122のアドレス(URL)を示す。
図7は、実施の形態1における権利IDテーブル293の構成図である。
実施の形態1における権利IDテーブル293について、図7に基づいて説明する。
権利IDテーブル293は、企業Aの社員に付与した権利IDを管理するためのデータである。権利IDが付与される毎に権利IDテーブル293にレコードが追加される。
権利IDテーブル293は、「権利ID」「利用者ID」「URL−ID」および「条件式」を対応付けて含んでいる。
「権利ID」は、権利IDを識別する識別子を示す。
「利用者ID」は、権利IDが付与された社員を識別する識別子を示す。
「URL−ID」は、権利IDを用いて利用することができる業務システムB122のアドレスを識別する識別子を示す。
「条件式」は、権利IDが付与された際の個人情報の条件を示す。
図8は、実施の形態1におけるURL−IDテーブル295の構成図である。
実施の形態1におけるURL−IDテーブル295の構成について、図8に基づいて説明する。
URL−IDテーブル295は、URL−IDを管理するためのデータである。URL−IDテーブル295は、予め生成され、リポジトリA290に記憶される。
URL−IDテーブル295は、「URL」と「URL−ID」とを対応付けて含んでいる。
「URL」は、業務システムB122のアドレス(URL)を示す。
「URL−ID」は、URLを識別する識別子を示す。
図9は、実施の形態1における権利IDアクセス許可テーブル391の構成図である。
実施の形態1における権利IDアクセス許可テーブル391について、図9に基づいて説明する。
権利IDアクセス許可テーブル391は、業務システムB122を利用するための権利IDを管理するためのデータである。権利IDアクセス許可テーブル391は、予め生成され、リポジトリB390に記憶される。
権利IDアクセス許可テーブル391は、「権利ID」「URL」および「業務システム名」を対応付けて含んでいる。
「権利ID」は、権利IDを識別する識別子を示す。
「URL」は、権利IDが付与された企業Aの社員が利用することができる業務システムB122のアドレス(URL)を示す。
「業務システム名」は、当該業務システムB122の名称を示す。
次に、アクセス権限集約型認証連携システム100の動作について説明する。
図10は、実施の形態1におけるアクセス権限集約型認証連携システム100の認証連携方法を示すフローチャートである。
実施の形態1におけるアクセス権限集約型認証連携システム100の認証連携方法について、図10に基づいて説明する。
S110において、企業内システムA110の利用者A(例えば、企業Aの社員)は、企業内システムA110のネットワークに接続するクライアント端末A111を操作し、企業Aの認証サーバA200にアクセスする。認証サーバA200にアクセスするためのアドレス(IPアドレスやURL)はクライアント端末A111に予め記憶しておくか、または利用者Aがクライアント端末A111に入力する。
このとき、所定の有効期限内に利用者Aがクライアント端末A111から認証サーバA200にアクセスして認証済みである場合、クライアント端末A111は、認証時に認証サーバA200から発行される認証済みクッキー(認証情報)を認証サーバA200へ送信する。
S110の後、S111に進む。
S111において、企業Aの認証サーバA200の認証部A210は、S110でクライアント端末A111からアクセスがあった際、利用者Aを認証済みであるか否かを判定する。
S110で認証済みクッキーが送信された場合、つまり、クライアント端末A111に対して認証済みクッキーが発行されている場合、認証部A210は利用者Aを認証済みと判定し、そうでない場合、認証部A210は利用者Aを認証済みでないと判定する。
利用者Aを認証済みであると判定した場合(YES)、S120に進む。
利用者Aを認証済みでないと判定した場合(NO)、S112に進む。
S112において、認証サーバA200の認証部A210は、ログイン画面(例えば、ウェブページ)のデータをクライアント端末A111へ送信する。ログイン画面のデータは予め認証サーバA200に記憶しておく。
クライアント端末A111は、ログイン画面のデータを受信し、ログイン画面をディスプレイに表示する。
利用者Aは、クライアント端末A111を操作し、表示されたログイン画面に利用者IDおよびパスワードを入力する。
クライアント端末A111は、入力された利用者IDおよびパスワードを認証サーバA200へ送信する。
S112の後、S113に進む。
S113において、認証サーバA200の認証部A210は、S112で送信された利用者IDおよびパスワードを受信し、利用者Aを企業内システムA110の利用が許可されている者として認証するか否かを判定する。
このとき、受信した利用者IDおよびパスワードと同じ組み合わせが利用者情報テーブル291(図4参照)に登録されている場合、認証部A210は利用者Aを認証し、そうでない場合、認証部A210は利用者Aを認証しない。
利用者Aを認証する場合(YES)、S114に進む。
利用者Aを認証しない場合(NO)、認証部A210が利用者Aを認証しない旨を示す認証エラー画面(例えば、ウェブページ)のデータをクライアント端末A111へ送信し、クライアント端末A111が認証エラー画面をディスプレイに表示し、認証連携方法の処理は終了する。この場合、利用者Aは、企業Aの業務システムA112および企業Bの業務システムB122を利用することができない。
上記のS113において利用者Aを認証しない場合、ただちに認証連携方法の処理を終了せずに、S112に処理を戻して利用者IDおよびパスワードの再度の入力を促すようにしてもよい。この場合、利用者Aを認証しないものとする判定が所定のエラー回数だけ繰り返されたときに、認証エラー画面の表示の後、認証連携方法の処理を終了する。
S114において、認証部A210は、利用者Aを認証したことを証明する認証済みクッキーを発行する。
例えば、認証部A210は、ログイン時の利用者ID、ログイン時刻、当該クッキーの有効期限などの情報を含む認証済みクッキーを生成し、生成した認証済みクッキーをクライアント端末A111へ送信する。クライアント端末A111は、認証済みクッキーを受信し、受信した認証済みクッキーを記憶する。但し、この認証済みクッキーは、企業Bの業務システムB122を利用するための権利IDを含まないものである。認証済みクッキーは、認証サーバA200に対して所定のログアウト処理が行われたときや、有効期限を過ぎたときにクライアント端末A111または認証サーバA200によって削除される。
S114の後、S120に進む。
S120において、認証サーバA200の認証部A210は、利用するシステムを選択するためのメニュー画面(例えば、ウェブページ)のデータをクライアント端末A111へ送信する。メニュー画面のデータは、各システムへのリンク情報(URL)を含み、予め認証サーバA200に記憶しておく。
クライアント端末A111は、メニュー画面のデータを受信し、メニュー画面をディスプレイに表示する。
利用者Aは、クライアント端末A111を操作し、メニュー画面から利用したいシステムを選択する。
以下、メニュー画面から企業Bの業務システムB122が選択された場合について説明する。
クライアント端末A111は、選択された業務システムB122のURLを用いて業務システムB122の操作画面を要求するHTTPリクエストを生成し、生成したHTTPリクエストと、企業Aの認証サーバA200によって発行された認証済みクッキー(S114参照)とを企業Bの認証サーバB300へ送信する。
S120の後、S121に進む。
S121において、認証サーバB300の認証部B310は、S120で送信されたHTTPリクエストおよび認証済みクッキーを受信し、業務システムB122を利用するための権利IDが利用者Aに付与されているか否かを判定する。
認証済みクッキーに権利IDが含まれる場合、認証部B310は、利用者Aに権利IDが付与されていると判定する。そうでない場合、認証部B310は、利用者Aに権利IDが付与されていないと判定する。
利用者Aに権利IDが付与されている場合(YES)、処理はアクセス制御処理(S400)に進み、利用者Aは企業Aのクライアント端末A111を用いて企業Bの業務システムB122にアクセスする。アクセス制御処理(S400)の詳細については別途説明する。
利用者Aに権利IDが付与されていない場合(NO)、S122に進む。
S122において、認証サーバB300の認証部B310は、利用者Aに付与する権利IDを含んだデータ(以下、「認証連携用トークン」という)を認証サーバA200の認可部A230に対して要求するためのリダイレクトページ(ウェブページ)を、クライアント端末A111へ送信する。
クライアント端末A111は、このリダイレクトページを受信し、受信したリダイレクトページに従って認証サーバA200の認可部A230に認証連携用トークンを要求する。
つまり、認証サーバB300の認証部B310は、クライアント端末A111を介して、認証サーバA200の認可部A230に対して認証連携用トークンを要求する。
S122の後、認証連携用トークン生成処理(S200)に進む。
S200において、認証サーバA200の権利ID生成部220は、利用者Aに付与される権利IDを含んだ認証連携用トークンを生成する。
S200の後、S123に進む。但し、利用者Aに権利IDを付与して認証連携用トークンを生成することができない場合、認証連携方法の処理は終了する。この場合、利用者Aは業務システムB122を利用することができない。
認証連携用トークン生成処理(S200)の詳細については別途説明する。
S123において、認証サーバA200の認可部A230は、S200で生成された認証連携用トークン(権利IDを含む)を認証サーバB300の認証部B310に対して応答するためのリダイレクトページを、クライアント端末A111へ送信する。
クライアント端末A111は、このリダイレクトページを受信し、受信したリダイレクトページに従って認証連携用トークンを認証サーバB300の認証部B310へ応答する。
つまり、認証サーバA200の認可部A230は、クライアント端末A111を介して、認証サーバB300の認証部B310に対して認証連携用トークンを応答する。
S123の後、認証連携受入処理(S300)に進む。
S300において、利用者Aは、企業Aのクライアント端末A111を用いて企業Bの業務システムB122にアクセスする。
認証連携受入処理(S300)の詳細については別途説明する。
S300により、認証連携方法の処理は終了する。
図11は、実施の形態1における認証連携用トークン生成処理(S200)を示すフローチャートである。
実施の形態1における認証連携用トークン生成処理(S200)について、図11に基づいて説明する。
S210において、認証サーバA200の権利ID生成部220は、企業内システムA110にログインした利用者Aの利用者ID(認証済みクッキーに含まれる利用者ID)と、利用者Aによって選択された業務システムB122のURL(図10のS120参照)との同じ組み合わせに対応付けられたURL−IDをURL−IDテーブル295(図8参照)から取得する。
S210の後、S220に進む。但し、当該URL−IDがURL−IDテーブル295に登録されていない場合、認証部A210が認証エラー画面のデータをクライアント端末A111へ送信し、クライアント端末A111が認証エラー画面を表示し、認証連携用トークン生成処理(S200)および認証連携方法の処理が終了する。
S220において、権利ID生成部220は、利用者Aの利用者IDとS210で取得したURL−IDとの同じ組み合わせに対応付けられた権利IDが権利IDテーブル293に登録されているか否かを判定する。
権利IDテーブル293に当該権利IDが登録されている場合(YES)、S230に進む。
権利IDテーブル293に当該権利IDが登録されていない場合(NO)、S221に進む。
S221において、権利ID生成部220は、業務システムB122のURLと同じURLに対応付けられた条件式を権利ID条件式テーブル294(図6参照)から取得する。
S221の後、S222に進む。但し、当該条件式が権利ID条件式テーブル294に登録されていない場合、認証部A210が認証エラー画面のデータをクライアント端末A111へ送信し、クライアント端末A111が認証エラー画面を表示し、認証連携用トークン生成処理(S200)および認証連携方法の処理が終了する。
S222において、権利ID生成部220は、利用者Aの利用者IDに基づいて利用者Aの個人情報(属性)を利用者管理テーブル292(図5参照)から取得する。さらに、権利ID生成部220は、利用者Aの個人情報を利用者情報テーブル291(図4参照)から取得しても構わない。
S222の後、S223に進む。
S223において、権利ID生成部220は、S222で取得した個人情報がS221で取得した条件式を満たすか否かを判定する。
個人情報が条件式を満たす場合(YES)、S224に進む。
個人情報が条件式を満たさない場合(NO)、認証部A210が認証エラー画面のデータをクライアント端末A111へ送信し、クライアント端末A111が認証エラー画面を表示し、認証連携用トークン生成処理(S200)および認証連携方法の処理が終了する。
S224において、権利ID生成部220は、S221で取得した条件式に対応付けられた権利IDを権利ID条件式テーブル294(図6参照)から取得する。
そして、権利ID生成部220は、権利IDと利用者Aの利用者IDと業務システムB122のURL−IDと条件式とを対応付けて権利IDテーブル293(図7参照)のレコードを生成し、生成したレコードを権利IDテーブル293に登録する。
S224の後、S230に進む。
S230において、権利ID生成部220は、S220で登録済みであった権利IDまたはS224で登録した権利IDを権利IDテーブル293(図7参照)から取得し、取得した権利IDを含む認証連携用トークンを生成する。
S230により、認証連携用トークン生成処理(S200)は終了する。
図12は、実施の形態1における認証連携受入処理(S300)を示すフローチャートである。
実施の形態1における認証連携受入処理(S300)について、図12に基づいて説明する。
S310において、認証サーバB300の認証部B310は、クライアント端末A111を介して、認証サーバA200の認可部A230から認証連携用トークン(権利IDを含む)を受信する。
S310の後、S320に進む。
S320において、認証部B310は、S310で受信した認証連携用トークンが正当なトークンであるか否かを判定する。
例えば、認証連携用トークンが所定のデータ形式と異なる場合や、認証連携用トークンに含まれる権利IDが権利IDアクセス許可テーブル391(図9参照)に登録されていない権利IDである場合、認証部B310は、認証連携用トークンが不当なトークンであると判定する。
認証連携用トークンが正当なトークンであると判定した場合(YES)、S330に進む。
認証連携用トークンが不当なトークンであると判定した場合(NO)、認証部B310が認証エラー画面のデータをクライアント端末A111へ送信し、クライアント端末A111が認証エラー画面を表示し、認証連携受入処理(S300)が終了する。
S330において、認証部B310は、S310で受信した認証連携用トークンから権利IDを取得し、取得した権利IDを利用者IDの代わりに用いて利用者Aに対するログイン処理を行う。
ログイン処理は、企業Bの社員がクライアント端末B121を用いて企業内システムB120にログインしたときに行う処理と同様の処理である。例えば、認証部B310は、ログイン処理として、利用者ID(権利ID)やログイン時刻を記録する。
S330の後、S340に進む。
S340において、認証部B310は、クライアント端末A111と通信し、クライアント端末A111が記憶している認証済みクッキーにS330で取得した権利IDを設定する。
S340の後、S350に進む。
S350において、認可部B320は、業務システムB122を操作するための操作画面のウェブページ(以下、「操作ページ」という)を要求するHTTPリクエストを業務システムB122へ送信する。
業務システムB122は、このHTTPリクエストを受信し、操作ページを認可部B320に応答する。
認可部B320は、操作ページを受信し、受信した操作ページをクライアント端末A111へ送信する。
クライアント端末A111は、操作ページを受信し、受信した操作ページをディスプレイに表示する。
S350により、認証連携受入処理(S300)は終了する。以後、利用者Aは、クライアント端末A111を用いて業務システムB122にアクセスし、業務システムB122を利用することができる。
図13は、実施の形態1におけるアクセス制御処理(S400)を示すフローチャートである。
実施の形態1におけるアクセス制御処理(S400)について、図13に基づいて説明する。
S410において、認可部B320は、業務システムB122の操作ページ(業務システムB122を操作するための操作画面のウェブページ)を要求するHTTPリクエストを業務システムB122へ送信する。
業務システムB122は、このHTTPリクエストを受信し、操作ページを認可部B320に応答する。
認可部B320は、操作ページを受信し、受信した操作ページをクライアント端末A111へ送信する。
S410の後、S420に進む。
S420において、クライアント端末A111は、操作ページを受信し、受信した操作ページをディスプレイに表示する。
S420により、アクセス制御処理(S400)は終了する。以後、利用者Aは、クライアント端末A111を用いて業務システムB122にアクセスし、業務システムB122を利用することができる。
以上のように、アクセス権限集約型認証連携システム100は、企業A・B間で認証連携する際、企業A側で権利IDの条件式と利用者の属性とを比較して権利IDを発行し、企業A側から企業B側へ認証済み情報として権利IDを受け渡し、企業B側で権利IDを用いてログインを行う。
これにより、企業間で業務システムを相互利用する際に、相手側の利用者にアクセス権限を付与することが可能となる。また、相手側の利用者の属性に基づくきめ細かいアクセス制御が可能となる。
図14は、実施の形態1における認証サーバA200・認証サーバB300のハードウェア資源の一例を示す図である。
図14において、認証サーバA200・認証サーバB300(それぞれコンピュータの一例)は、CPU901(Central Processing Unit)を備えている。CPU901は、バス902を介してROM903、RAM904、通信ボード905(通信装置)、ディスプレイ911(表示装置)、キーボード912、マウス913、ドライブ914、磁気ディスク装置920などのハードウェアデバイスと接続され、これらのハードウェアデバイスを制御する。ドライブ914は、FD(Flexible Disk)、CD(Compact Disc)、DVD(Digital Versatile Disc)などの記憶媒体を読み書きする装置である。
ROM903、RAM904、磁気ディスク装置920およびドライブ914は記憶装置の一例である。キーボード912、マウス913および通信ボード905は入力装置の一例である。ディスプレイ911および通信ボード905は出力装置の一例である。
通信ボード905は、有線または無線で、LAN(Local Area Network)、インターネット、電話回線などの通信網に接続している。
磁気ディスク装置920には、OS921(オペレーティングシステム)、プログラム群922、ファイル群923が記憶されている。
プログラム群922には、実施の形態において「〜部」として説明する機能を実行するプログラムが含まれる。プログラム(例えば、権利ID付与プログラム)は、CPU901により読み出され実行される。すなわち、プログラムは、「〜部」としてコンピュータを機能させるものであり、また「〜部」の手順や方法をコンピュータに実行させるものである。
ファイル群923には、実施の形態において説明する「〜部」で使用される各種データ(入力、出力、判定結果、計算結果、処理結果など)が含まれる。
実施の形態において構成図およびフローチャートに含まれている矢印は主としてデータや信号の入出力を示す。
フローチャートなどに基づいて説明する実施の形態の処理はCPU901、記憶装置、入力装置、出力装置などのハードウェアを用いて実行される。
実施の形態において「〜部」として説明するものは「〜回路」、「〜装置」、「〜機器」であってもよく、また「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ファームウェア、ソフトウェア、ハードウェアまたはこれらの組み合わせのいずれで実装されても構わない。
実施の形態1では、企業Aの社員が企業Bの業務システムB122を利用する場合について説明した。但し、企業Bの認証サーバB300が実施の形態1で説明した企業Aの認証サーバA200の機能を備えると共に、企業Aの認証サーバA200が実施の形態1で説明した企業Bの認証サーバB300の機能を備え、企業Bの社員が企業Aの業務システムA112を利用できるようにしても構わない。つまり、企業内システムA110と企業内システムB120とで相互に利用者を認証しても構わない。
実施の形態1により、例えば、以下のような効果を奏することができる。
企業Aの認証サーバA200は、企業Aの社員の個人情報に応じて権利IDを付与し、企業Aの社員はこの権利IDを用いて企業Bの認証サーバB300の認証を受ける。つまり、企業Aの社員の個人情報を企業Bの認証サーバB300に送信する必要がない。
これにより、企業Aの社員の個人情報を保護することができる。また、企業Bの認証サーバB300に対する通信負荷を軽減することができる。
実施の形態1において、例えば、以下のような権利ID付与装置(認証サーバA200)について説明した。括弧内に実施の形態で用いた符号および名称を記す。
権利ID付与装置は、入力ID入力部(認証部A210)と、利用者属性取得部(権利ID生成部220)と、権利ID条件判定部(権利ID生成部220)と、権利ID出力部(認可部A230)とを備える。
入力ID入力部は、ID(IDentification)を入力ID(利用者ID)として入力する。
利用者属性取得部は、利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部(利用者管理テーブル292、利用者情報テーブル291)から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得する。
権利ID条件判定部は、対象システム(企業Bの業務システムB122)を利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部(権利ID条件式テーブル294)を参照する。権利ID条件判定部は、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定する。
権利ID出力部は、前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得する。権利ID出力部は、取得した前記権利ID(を含む認証連携用トークン)を出力する。
実施の形態1において、例えば、以下のような認証システム(アクセス権限集約型認証連携システム100)について説明した。括弧内に実施の形態1で用いた符号および名称を記す。
認証システムは、権利ID付与装置(企業Aの認証サーバA200)と、認証装置(企業Bの認証サーバB300)とを備える。
前記認証装置は、権利ID入力部(認証部B310)と、認証部(認証部B310)とを備える。
権利ID入力部は、前記権利ID付与装置によって出力された前記権利ID(を含む認証連携用トークン)を入力する。
認証部は、前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部(権利IDアクセス許可テーブル391)を参照する。認証部は、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定する。認証部は、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システム(企業Bの業務システムB122)の利用を許可する。
実施の形態2.
同じ権利IDが付与された複数の利用者(企業Aの社員)の中から、特定の時刻に企業Bの業務システムB122にアクセスした利用者を、特定できるようにする形態について説明する。
以下、実施の形態1と異なる事項について主に説明する。説明を省略する事項については実施の形態1と同様である。
アクセス権限集約型認証連携システム100の構成は、実施の形態1と同様である(図1参照)。但し、認証サーバA200および認証サーバB300の機能構成の一部が実施の形態1と異なる。
図15は、実施の形態2における認証サーバA200の機能構成図である。
実施の形態2における認証サーバA200の機能構成について、図15に基づいて説明する。
認証サーバA200は、実施の形態1で説明した構成(図2参照)に加えて、利用者ID変換部240と変換ID記録部250とを備える(それぞれ変換ID生成部の一例)。
また、リポジトリA290は、実施の形態1で説明したテーブル(図2参照)に加えて、ID変換ログテーブル296を記憶する。ID変換ログテーブル296の内容については後述する。
利用者ID変換部240は、利用者ID毎に利用者IDに対応付ける一意なID(以下、「変換ID」という)を生成する。
変換ID記録部250は、利用者ID変換部240によって生成された変換IDを利用者IDに対応付けてID変換ログテーブル296に記録する。
各構成の詳細については後述する。
図16は、実施の形態2における認証サーバB300の機能構成図である。
実施の形態2における認証サーバB300の機能構成について、図16に基づいて説明する。
認証サーバB300は、実施の形態1で説明した構成(図3参照)に加えて、特定ID監査記録部330を備える。
また、リポジトリB390は、実施の形態1で説明したテーブル(図3参照)に加えて、アクセス監査ログテーブル392を記憶する。
特定ID監査記録部330は、利用者A(企業Aの社員)がクライアント端末A111から企業Bの業務システムB122にアクセスする毎にアクセス監査ログテーブル392にアクセス履歴(アクセス監査ログ)を記録する。特定ID監査記録部330の詳細については後述する。
図17は、実施の形態2におけるID変換ログテーブル296の構成図である。
実施の形態2におけるID変換ログテーブル296について、図17に基づいて説明する。
ID変換ログテーブル296は、利用者IDに対応付けた変換IDの記録を管理するためのデータである。
ID変換ログテーブル296は、「変換日時」「利用者ID」および「変換ID」を対応付けて含んでいる。
「変換日時」は、変換IDが生成された日時を示す。
「利用者ID」は、利用者IDを示す。
「変換ID」は、利用者IDに対応付ける変換IDを示す。
図18は、実施の形態2におけるアクセス監査ログテーブル392の構成図である。
実施の形態2におけるアクセス監査ログテーブル392について、図18に基づいて説明する。
アクセス監査ログテーブル392は、企業Bの業務システムB122に対するアクセスの履歴(アクセス監査ログ)を記録するためのデータである。
アクセス監査ログテーブル392は、「アクセス日時」「利用者ID」「アクセス業務」および「変換ID」を対応付けて含んでいる。
「アクセス日時」は、アクセスがあった日時を示す。
「利用者ID」は、アクセスした利用者の利用者ID(権利ID)を示す。
「アクセス業務」は、アクセスされた業務システムB122の業務処理を識別する業務名を示す。
「変換ID」は、権利IDが付与された利用者の利用者IDに対応付けられた変換IDを示す。
次に、アクセス権限集約型認証連携システム100の認証連携方法の処理について説明する。
アクセス権限集約型認証連携システム100の認証連携方法の処理の流れは、実施の形態1と同様である(図10参照)。
但し、認証連携用トークン生成処理(S200)、認証連携受入処理(S300)およびアクセス制御処理(S400)の一部が実施の形態1と異なる。以下に、各処理について説明する。
図19は、実施の形態2における認証連携用トークン生成処理(S200)を示すフローチャートである。
実施の形態2における認証連携用トークン生成処理(S200)について、図19に基づいて説明する。
認証連携用トークン生成処理(S200)は、実施の形態1で説明した処理(図11参照)に加えてS201を備え、実施の形態1で説明したS230の代わりにS231を備える。
以下、S201およびS231について主に説明する。
S201において、利用者ID変換部240は利用者IDに対応付ける変換IDを生成し、変換ID記録部250は利用者IDと変換IDと変換IDを生成した日時(変換日時)とを対応付けてID変換ログテーブル296(図17参照)に記録する。
変換IDは一意なIDであり、利用者ID毎に異なる。例えば、権利ID生成部220は、利用者IDを用いて変換IDを生成してもよいし、予め用意された複数の変換IDから未使用の変換IDを選択してもよい。
S201の後、S210からS224が実行され、その後、S231に進む。
S231において、権利ID生成部220は、実施の形態1のS230と同様に権利IDを権利IDテーブル293から取得する。
さらに、権利ID生成部220は、S201で登録した変換IDをID変換ログテーブル296から取得する。
そして、権利ID生成部220は、権利IDに加えて変換IDを含む認証連携用トークンを生成する。
S231により、認証連携用トークン生成処理(S200)は終了する。
図20は、実施の形態2における認証連携受入処理(S300)を示すフローチャートである。
実施の形態2における認証連携受入処理(S300)について、図20に基づいて説明する。
認証連携受入処理(S300)は、実施の形態1(図12参照)で説明したS340の代わりにS341を備え、さらに、S351を備える。
以下、S341およびS351について主に説明する。
S341において、認証部B310は、クライアント端末A111と通信し、クライアント端末A111が記憶している認証済みクッキーに対して認証連携用トークンに含まれる権利IDおよび変換IDを設定する。
S341の後、S350に進み、認可部B320は業務システムB122から取得した操作ページをクライアント端末A111へ送信する(実施の形態1の説明参照)。その後、S351に進む。
S351において、特定ID監査記録部330は、業務システムB122から操作ページを取得した時刻(アクセス日時)と権利ID(利用者ID)と変換IDとアクセス業務とを対応付けたアクセス監査ログをアクセス監査ログテーブル392に記録する。
アクセス業務とは、S120(図10参照)において選択された業務処理(アプリケーション)を識別する名称である。S120において、利用者Aは、業務システムB122だけでなく業務システムB122が提供する業務処理の選択も行うものとする。
S351により、認証連携受入処理(S300)は終了する。
以後、利用者Aが業務システムB122を利用(操作)する毎に、認可部B320はS351と同様にアクセス監査ログテーブル392にアクセス監査ログを記録する。
図21は、実施の形態2におけるアクセス制御処理(S400)を示すフローチャートである。
実施の形態2におけるアクセス制御処理(S400)について、図21に基づいて説明する。
アクセス制御処理(S400)は、実施の形態1で説明した処理(図13参照)に加えて、S411を備える。
S411は、上記のS351(図20参照)と同じ処理であり、特定ID監査記録部330は、業務システムB122から操作ページを取得した時刻(アクセス日時)と、認証済みクッキーに含まれる権利ID(利用者ID)・変換IDと、アクセス業務とを対応付けてアクセス監査ログテーブル392に記録する。
以後、利用者Aが業務システムB122を利用(操作)する毎に、認可部B320はS411と同様にアクセス監査ログテーブル392にアクセス監査ログを記録する。
実施の形態2により、例えば、以下のような効果を奏する。
企業Aの社員に権利IDを付与することにより、企業Bの業務システムB122に対して不適切な利用が行われる可能性がある。
企業Bの業務システムB122の利用状況を監査した際に企業Aの社員による不適切な利用が判明した場合、企業Bの管理者は、当該利用者の変換IDを用いて、変換IDに対応する利用者IDで識別される企業Aの社員について企業Aの管理者に問い合わせることができる。
実施の形態2において、例えば、以下のような認証システム(アクセス権限集約型認証連携システム100)について説明した。括弧内に実施の形態で用いた符号および名称を記す。
前記権利ID付与装置(認証サーバA200)は、変換ID生成部(利用者ID変換部240、変換ID記録部250)を備える。
変換ID生成部は、前記入力ID(利用者ID)を識別するIDとして変換IDを生成し、生成した前記変換IDと前記入力IDとを対応付けて変換ID記憶部(ID変換ログテーブル296)に記憶する。
実施の形態3.
同じ権利IDが付与された複数の利用者(企業Aの社員)の中から、特定の時刻に企業Bの業務システムB122にアクセスした利用者を、ワークフロー(ネットワーク)を介して特定できるようにする形態について説明する。
以下、実施の形態1、2と異なる事項について主に説明する。説明を省略する事項については実施の形態1、2と同様である。
図22、図23は、実施の形態3におけるアクセス権限集約型認証連携システム100の構成図である。
実施の形態3におけるアクセス権限集約型認証連携システム100の構成について、図22および図23に基づいて説明する。
図22において、アクセス権限集約型認証連携システム100は、ワークフローサーバ130を備える。
ワークフローサーバ130は、企業内システムA110と企業内システムB120とによって実行する作業をワークフローとして管理するためのコンピュータである。
例えば、ワークフローサーバ130は、業務システムB122に対するアクセスの監査時に企業Bの管理者Bが業務システムB122を利用した企業Aの社員の個人情報(利用情報)を企業内システムA110から取得する連携監査作業を管理する。
また、企業内システムA110は、実施の形態1で説明した構成(図1参照)に加えて、管理者端末A113および利用者情報検索サーバ114(利用者属性検索装置の一例)を備える。
管理者端末A113は、企業Aの社員の個人情報を管理者Aが使用するコンピュータである。
利用者情報検索サーバ114は、利用者情報を検索するためのコンピュータである。
利用者情報検索サーバ114は、利用者ID検索部115(変換ID入力部、利用者ID検索部の一例)と、利用者情報検索部116(利用者属性出力部の一例)とを備える。さらに、利用者情報検索サーバ114は、利用者情報検索サーバ114で使用するデータを記憶する記憶部(図示省略)を備える。また、利用者情報検索サーバ114は、認証サーバA200と同様に各種ハードウェアを備える(図14参照)。
利用者ID検索部115は利用者IDを検索し、利用者情報検索部116は利用者IDで識別される利用者の利用者情報(企業Aの社員の個人情報)を検索する。
図23において、企業内システムB120は、実施の形態1で説明した構成(図1参照)に加えて、管理者端末B123および監査ログ検索サーバ124を備える。
管理者端末B123は、業務システムB122のアクセス監査ログを管理する管理者Bが使用するコンピュータである。
監査ログ検索サーバ124は、アクセス監査ログを検索するためのコンピュータである。
監査ログ検索サーバ124は、監査ログ検索部125を備える。さらに、監査ログ検索サーバ124は、監査ログ検索サーバ124で使用するデータを記憶する記憶部(図示省略)を備える。また、監査ログ検索サーバ124は、認証サーバB300と同様に各種ハードウェアを備える(図14参照)。
監査ログ検索部125は、アクセス監査ログテーブル392(図18参照)から変換IDを検索する。
認証サーバA200および認証サーバB300の機能構成は実施の形態2と同じである(図15、図16参照)。
アクセス権限集約型認証連携システム100の認証連携方法は、実施の形態2と同じである(図10および図19から図21参照)。
図24は、実施の形態3におけるアクセス権限集約型認証連携システム100の連携監査作業を示すフローチャートである。
実施の形態3におけるアクセス権限集約型認証連携システム100の連携監査作業について、図24に基づいて説明する。
S510において、企業Bの管理者Bは、個人情報を取得したい利用者Aが業務システムB122にアクセスしたアクセス日時および利用者Aに付与されていた権利ID(またはそのいずれか。以下同様)を管理者端末B123に入力する。
管理者端末B123は、入力されたアクセス日時および権利IDを含んだ検索要求を監査ログ検索サーバ124に送信する。この検索要求は、アクセス日時および権利IDに該当する変更IDを要求するものである。
S510の後、S520に進む。
S520において、監査ログ検索サーバ124の監査ログ検索部125は、S510で送信された検索要求を受信し、受信した検索要求に含まれるアクセス日時および検索IDに対応付けられた変換IDをアクセス監査ログテーブル392(図18参照)から取得する。
監査ログ検索部125は、アクセス監査ログテーブル392から取得した変換IDを含んだ検索結果を管理者端末B123へ送信する。
S520の後、S530に進む。
S530において、管理者端末B123は、S520で送信された検索結果を受信し、受信した検索結果に含まれる変換IDをディスプレイに表示する。
企業Bの管理者Bは、管理者端末B123を用いてワークフローサーバ130にアクセスし、変換IDで識別される利用者Aの個人情報を要求するためのワークフローを生成する。このとき、管理者端末B123は、管理者Bの操作に従って、ワークフローサーバ130にアクセスし、変換IDを設定したワークフローを生成する。
S530の後、S540に進む。
S540において、企業Aの管理者Aは、管理者端末A113を用いてワークフローサーバ130にアクセスし、S530で生成されたワークフローを参照する。そして、管理者Aは、ワークフローに設定された変換IDを管理者端末A113に指定する。
管理者端末A113は、指定された変換IDを含んだ検索要求を利用者情報検索サーバ114に送信する。この検索要求は、変換IDで識別される利用者Aの個人情報を要求するものである。
S540の後、S550に進む。
S550において、利用者情報検索サーバ114の利用者ID検索部115は、S540で送信された検索要求を受信し、受信した検索要求に含まれる変換IDに対応付けられた利用者IDをID変換ログテーブル296(図17参照)から取得する。
S550の後、S560に進む。
S560において、利用者情報検索サーバ114の利用者情報検索部116は、S550で取得された利用者IDに対応付けられた個人情報(名前、部店、部、課、役職など)を利用者管理テーブル292(図5参照)および利用者情報テーブル291(図4参照)から取得する。
利用者情報検索部116は、取得した個人情報を利用者Aの個人情報として含んだ検索結果を管理者端末A113へ送信する。
S560の後、S570に進む。
S570において、管理者端末A113は、S560で送信された検索結果を受信し、受信した検索結果に含まれる利用者Aの個人情報をディスプレイに表示する。
企業Aの管理者Aは、管理者端末A113を用いてワークフローサーバ130にアクセスし、利用者Aの個人情報をワークフローに設定する。このとき、管理者端末A113は、管理者Aの操作に従ってワークフローサーバ130にアクセスし、利用者Aの個人情報をワークフローに設定する。
S570の後、S580に進む。
S580において、企業Bの管理者Bは、管理者端末B123を用いてワークフローサーバ130にアクセスし、ワークフローを指定する。
管理者端末B123は、指定されたワークフローおよびワークフローに設定された利用者Aの個人情報をディスプレイに表示する。
これにより、管理者Bは、利用者Aの個人情報を取得することができる。
S580により、連携監査作業の処理は終了する。
実施の形態3により、企業Aの社員についての問い合わせをワークフロー(ネットワーク)を介して行うことができる。
実施の形態3において、例えば、以下のような認証システム(アクセス権限集約型認証連携システム100)について説明した。括弧内に実施の形態で用いた符号および名称を記す。
前記権利ID付与装置(認証サーバA200)は、さらに、変換ID生成部(利用者ID変換部240、変換ID記録部250)を備える。
変換ID生成部は、前記入力IDを識別するIDとして変換IDを生成し、生成した前記変換IDと前記入力IDとを対応付けて変換ID記憶部に記憶する。
前記認証システムは、さらに、利用者属性検索装置(利用者情報検索サーバ114)を備える。
前記利用者属性検索装置は、変換ID入力部(利用者ID検索部115)と、入力ID取得部(利用者ID検索部115)と、利用者属性出力部(利用者情報検索部116)とを備える。
変換ID入力部は、前記変換ID生成部によって生成された変換IDを入力する。
入力ID取得部は、前記変換ID入力部に入力された前記変換IDに対応付けられた前記入力IDを前記変換ID記憶部から取得する。
利用者属性出力部は、前記入力ID取得部によって取得された前記入力IDと同じ利用者IDに対応付けられた利用者属性を前記利用者属性記憶部から取得し、取得した前記利用者属性を出力する。
実施の形態4.
権利IDの有効期限を設ける形態について説明する。
以下、実施の形態1から3と異なる事項について主に説明する。説明を省略する事項については実施の形態1から3と同様である。
アクセス権限集約型認証連携システム100の構成は、実施の形態1から3と同様である。
認証サーバA200の機能構成は、実施の形態1から3と同様である。
図25は、実施の形態4における認証サーバB300の機能構成図である。
実施の形態4における認証サーバB300の機能構成について、図25に基づいて説明する。
認証サーバB300は、実施の形態2で説明した構成(図16参照)に加えて、セッションタイマー部340(経過時間監視部の一例)を備える。
セッションタイマー部340は、権利IDの有効期限(セッション期限)をタイマー機能を用いて管理する。セッションタイマー部340の詳細については後述する。
次に、アクセス権限集約型認証連携システム100の動作について説明する。
アクセス権限集約型認証連携システム100の認証連携方法は、実施の形態1から3と同様である(図10参照)。また、認証連携用トークン生成処理(S200)は、実施の形態2と同様である(図19参照)。
但し、認証連携受入処理(S300)およびアクセス制御処理(S400)の一部が以下のように異なる。
図26は、実施の形態4における認証連携受入処理(S300)を示すフローチャートである。
実施の形態4における認証連携受入処理(S300)について、図26に基づいて説明する。
認証連携受入処理(S300)は、実施の形態2で説明した処理(図20参照)に加えて、S342を備える。
S342において、セッションタイマー部340は、権利ID、変換IDおよび所定のセッション有効時間を設定したセッションタイマーを登録する。セッションタイマーは、設定されたセッション有効時間が経過したときにタイムアウトを通知する機能である。
S342の後、S350に進む。
図27は、実施の形態4におけるアクセス制御処理(S400)を示すフローチャートである。
実施の形態4におけるアクセス制御処理(S400)について、図27に基づいて説明する。
アクセス制御処理(S400)は、実施の形態2で説明した処理(図21参照)に加えて、S401を備える。
S401において、セッションタイマー部340は、クライアント端末A111の認証済みクッキーに含まれる権利IDおよび変換IDが設定されたセッションタイマーが既にタイムアウトしているか否か、つまり、権利IDおよび変換IDのセッション期限を過ぎたか否かを判定する。
セッションタイマーが既にタイムアウトしていると判定した場合(YES)、セッションタイマー部340はクライアント端末A111と通信して認証済みクッキーから権利IDおよび変換IDを削除し、処理はS122(図10参照)に戻る。つまり、業務システムB122に対するアクセスは一旦、強制終了する。
セッションタイマーがまだタイムアウトしていないと判定した場合(NO)、S410に進む。
実施の形態4により、権利IDに有効期限を設け、権利IDが付与された場合に無期限でシステムが利用されることを防ぎ、システムのセキュリティを高めることができる。
実施の形態4において、セッションタイマー部340は、セッションタイマーを登録する代わりにセッション開始日時やセッション期限日時を権利IDおよび変換IDに対応付けてテーブルなどに記憶し(図26のS342)、セッション期限日時(セッション開始日時から所定のセッション有効時間が経過した日時)を過ぎたか否かを判定してもよい(図27のS401)。
実施の形態4において、例えば、以下のような認証システム(アクセス権限集約型認証連携システム100)について説明した。括弧内に実施の形態で用いた符号および名称を記す。
前記認証装置(認証サーバB300)は、さらに、経過時間監視部(セッションタイマー部)を備える。
経過時間監視部は、前記対象システム(業務システムB122)の利用が許可されてから経過した経過時間と所定の有効時間とを比較し、比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する。
実施の形態5.
アクセス回数によって権利IDの有効期限を管理する形態について説明する。
以下、実施の形態1から3と異なる事項について主に説明する。説明を省略する事項については実施の形態1から3と同様である。
アクセス権限集約型認証連携システム100の構成は、実施の形態1から3と同様である。
認証サーバA200の機能構成は、実施の形態1から3と同様である。
図28は、実施の形態5における認証サーバB300の機能構成図である。
実施の形態5における認証サーバB300の機能構成について、図28に基づいて説明する。
認証サーバB300は、実施の形態2で説明した構成(図16参照)に加えて、アクセスカウンタ部350(利用回数監視部の一例)を備える。
リポジトリB390は、実施の形態2で説明したテーブル(図16参照)に加えて、アクセスカウンタテーブル393を記憶する。
アクセスカウンタ部350は、権利IDの有効期限(セッション期限)をカウンタ機能を用いて管理する。アクセスカウンタ部350の詳細については後述する。
図29は、実施の形態5におけるアクセスカウンタテーブル393の構成図である。
実施の形態5におけるアクセスカウンタテーブル393について、図29に基づいて説明する。
アクセスカウンタテーブル393は、権限IDを用いたアクセス回数を管理するためのデータである。
アクセスカウンタテーブル393は、「利用者ID」「変換ID」および「アクセス回数」を対応付けて含んでいる。
「利用者ID」は、業務システムB122にアクセスした利用者の利用者ID(権利ID)を示す。
「変換ID」は、権利IDが付与された利用者の利用者IDに対応付けられた変換IDを示す。
「アクセス回数」は、業務システムB122にアクセスした回数を示す。
次に、アクセス権限集約型認証連携システム100の動作について説明する。
アクセス権限集約型認証連携システム100の認証連携方法は、実施の形態1から3と同様である(図10参照)。また、認証連携用トークン生成処理(S200)は、実施の形態2と同様である(図19参照)。
但し、認証連携受入処理(S300)およびアクセス制御処理(S400)の一部が以下のように異なる。
図30は、実施の形態5における認証連携受入処理(S300)を示すフローチャートである。
実施の形態5における認証連携受入処理(S300)について、図30に基づいて説明する。
認証連携受入処理(S300)は、実施の形態2で説明した処理(図20参照)に加えて、S343を備える。
S343において、アクセスカウンタ部350は、利用者ID(権利ID)と変換IDとアクセス回数(初期値「1」)とを対応付けたレコードをアクセスカウンタテーブル393(図29参照)に登録する。
S343の後、S350に進む。
以後、利用者Aが業務システムB122にアクセスする毎(例えば、図10のS120において業務システムB122が選択される毎)に、アクセスカウンタ部350はアクセスカウンタテーブル393のアクセス回数(利用者Aの権利IDおよび変換Iに対応付けられたもの)をカウントアップする。
図31は、実施の形態5におけるアクセス制御処理(S400)を示すフローチャートである。
実施の形態5におけるアクセス制御処理(S400)について、図31に基づいて説明する。
アクセス制御処理(S400)は、実施の形態2で説明した処理(図21参照)に加えて、S402を備える。
S402において、アクセスカウンタ部350は、クライアント端末A111の認証済みクッキーに含まれる権利ID(利用者ID)および変換IDに対応付けられたアクセス回数をアクセスカウンタテーブル393(S29参照)から取得する。
そして、アクセスカウンタ部350は、アクセス回数と所定のアクセス有効回数とを比較し、アクセス回数がアクセス有効回数を超えているか否か、つまり、権利IDおよび変換IDのセッション期限を過ぎたか否かを判定する。
アクセス有効回数とは、付与された権限IDを用いて業務システムB122にアクセスすることが許可される最大回数である。アクセス有効回数は、全ての権利IDで共通の回数であってもよいし、権利ID毎に異なる回数であってもよい。例えば、権利IDアクセス許可テーブル391(図9参照)に権利ID毎のアクセス有効回数を定義してもよい。
アクセス回数がアクセス有効回数を超えていると判定した場合(YES)、アクセスカウンタ部350はアクセスカウンタテーブル393から当該レコードを削除すると共に、クライアント端末A111と通信して認証済みクッキーから権利IDおよび変換IDを削除する。そして、処理はS122(図10参照)に戻る。つまり、業務システムB122に対するアクセスは一旦、強制終了する。
アクセス回数がアクセス制御回数を超えていないと判定した場合(NO)、S410に進む。
実施の形態5により、権利IDに有効期限を設け、権利IDが付与された場合に無期限でシステムが利用されることを防ぎ、システムのセキュリティを高めることができる。
実施の形態5において、例えば、以下のような認証システム(アクセス権限集約型認証連携システム100)について説明した。括弧内に実施の形態で用いた符号および名称を記す。
前記認証装置(認証サーバB300)は、さらに、利用回数監視部(アクセスカウンタ部350)を備える。
利用回数監視部は、前記対象システム(業務システムB122)が利用された利用回数と所定の有効回数とを比較し、比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する。
実施の形態6.
ログアウト機能によって権利IDの有効期限を管理する形態について説明する。
以下、実施の形態1から3と異なる事項について主に説明する。説明を省略する事項については実施の形態1から3と同様である。
アクセス権限集約型認証連携システム100の構成は、実施の形態1から3と同様である。
認証サーバA200の機能構成は、実施の形態1から3と同様である。
図32は、実施の形態6における認証サーバB300の機能構成図である。
実施の形態6における認証サーバB300の機能構成について、図32に基づいて説明する。
認証サーバB300は、実施の形態2で説明した構成(図16参照)に加えて、ログアウト制御部360(ログアウト制御部の一例)を備える。
ログアウト制御部360は、ログアウトの有無によって権利IDの有効期限(セッション期限)を管理する。ログアウト制御部360の詳細については後述する。
アクセス権限集約型認証連携システム100の認証連携方法は、実施の形態1から3と同様である(図10参照)。
認証連携方法によって企業Aの利用者Aが企業Bの業務システムB122を利用し始めた場合、利用者Aは、所定のログアウト操作によって業務システムB122からログアウトすることができる。
例えば、業務システムB122の操作ページはログアウトのボタンを含み、利用者Aはクライアント端末A111を操作してこのボタンを押下することにより、業務システムB122からログアウトすることができる。ログアウトのボタンが押下された場合、クライアント端末A111はログアウト要求を認証サーバB300へ送信し、認証サーバB300のログアウト制御部360はログアウト要求を受信する。ログアウト要求を受信した場合、ログアウト制御部360はクライアント端末A111の認証済みクッキーから権利IDおよび変換IDを削除し、その他の所定のログアウト処理(例えば、ログイン処理時に記憶したデータの削除)を実行する。
ログアウト制御部360は、企業B側の認証サーバB300ではなく、企業A側の認証サーバA200に設けても構わない。
実施の形態6により、企業Aの社員は、企業Bのシステムの利用を終了するときにログアウトを行い、クライアント端末A111から企業Bのシステムを利用できない状態にすることができる。つまり、クライアント端末A111の不正使用を防ぎ、システムのセキュリティを高めることができる。
実施の形態6において、例えば、以下のような認証システム(アクセス権限集約型認証連携システム100)について説明した。括弧内に実施の形態で用いた符号および名称を記す。
前記認証装置(認証サーバB300)の前記認証部(認証部B310)は、前記対象システム(業務システムB122)の利用を許可した場合、前記対象システムの利用を開始する際の所定のログイン処理を行う。
前記認証装置は、さらに、ログアウト制御部(ログアウト制御部360)を備える。
ログアウト制御部は、前記対象システムの利用の終了が通知された場合、前記対象システムの利用を終了する際の所定のログアウト処理を行う。
実施の形態7.
企業A側の認証サーバA200にセッションタイマー機能を設けて権利IDの有効期限を管理する形態について説明する。
以下、実施の形態1から3と異なる事項について主に説明する。説明を省略する事項については実施の形態1から3と同様である。
アクセス権限集約型認証連携システム100の構成は、実施の形態1から3と同様である。
認証サーバB300の機能構成は、実施の形態1から3と同様である。
図33は、実施の形態7における認証サーバA200の機能構成図である。
実施の形態7における認証サーバA200の機能構成について、図33に基づいて説明する。
認証サーバA200は、実施の形態2で説明した構成(図15参照)に加えて、セッションタイマー部260(経過時間監視部の一例)を備える。
セッションタイマー部260は、権利IDの有効期限(セッション期限)をタイマー機能を用いて管理する。セッションタイマー部260の詳細については後述する。
次に、アクセス権限集約型認証連携システム100の動作について説明する。
アクセス権限集約型認証連携システム100の認証連携方法は、実施の形態1から3と同様である(図10参照)。また、認証連携受入処理(S300)は、実施の形態2と同様である(図20参照)。
但し、認証連携用トークン生成処理(S200)およびアクセス制御処理(S400)の一部が以下のように異なる。
図34は、実施の形態7における認証連携用トークン生成処理(S200)を示すフローチャートである。
実施の形態7における認証連携用トークン生成処理(S200)について、図34に基づいて説明する。
認証連携用トークン生成処理(S200)は、実施の形態2で説明した処理(図19参照)に加えて、S232を備える。
S232において、セッションタイマー部260は、権利ID、変換および所定のセッション有効時間を設定したセッションタイマーを登録する。セッションタイマーは、設定されたセッション有効時間が経過したときにタイムアウトを通知する機能である。
S232により、認証連携用トークン生成処理(S200)は終了する。
S232で登録したセッションタイマーがタイムアウトを通知した場合、セッションタイマー部260は、タイムアウトしたセッションタイマーと同じ権利IDおよび変換IDを含んだ認証済みクッキーにタイムアウト情報(タイムアウトしたことを示す情報)を設定する。
図35は、実施の形態7におけるアクセス制御処理(S400)を示すフローチャートである。
実施の形態7におけるアクセス制御処理(S400)について、図35に基づいて説明する。
アクセス制御処理(S400)は、実施の形態2で説明した処理(図21参照)に加えて、S403を備える。
S403において、認証サーバB300の認可部B320は、クライアント端末A111の認証済みクッキーにタイムアウト情報が設定されているか否か、つまり、セッションタイマーが既にタイムアウトしているか否かを判定する。
セッションタイマーが既にタイムアウトしていると判定した場合(YES)、認可部B320はクライアント端末A111と通信して認証済みクッキーから権利IDおよび変換IDを削除し、処理はS122(図10参照)に戻る。つまり、業務システムB122に対するアクセスは一旦、強制終了する。
セッションタイマーがまだタイムアウトしていないと判定した場合(NO)、S410に進む。
実施の形態7により、権利IDに有効期限を設け、権利IDが付与された場合に無期限でシステムが利用されることを防ぎ、システムのセキュリティを高めることができる。
実施の形態7において、セッションタイマー部260は、セッションタイマーを登録する代わりにセッション開始日時やセッション期限日時を権利IDおよび変換IDに対応付けてテーブルなどに記憶し(図34のS232)、セッション期限日時(セッション開始日時から所定のセッション有効時間が経過した日時)を過ぎたか否かを特定のタイミング(例えば、定期的や、認証サーバB300からの問い合わせ時(図35のS403))に判定してもよい。
実施の形態7において、例えば、以下のような認証システム(アクセス権限集約型認証連携システム100)について説明した。括弧内に実施の形態で用いた符号および名称を記す。
前記権利ID付与装置(認証サーバA200)は、さらに、経過時間監視部(セッションタイマー部260)を備える。
経過時間監視部は、前記対象システム(業務システムB122)の利用が許可されてから経過した経過時間と所定の有効時間とを比較する。
前記認証装置(認証サーバB300)の前記認証部(認可部B320)は、前記経過時間監視部による比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する。
実施の形態8.
企業A側の認証サーバA200にアクセスカウンタ機能を設けて権利IDの有効期限を管理する形態について説明する。
以下、実施の形態1から4と異なる事項について主に説明する。説明を省略する事項については実施の形態1から4と同様である。
アクセス権限集約型認証連携システム100の構成は、実施の形態1から3と同様である。
認証サーバB300の機能構成は、実施の形態1から3と同様である。
図36は、実施の形態8における認証サーバA200の機能構成図である。
実施の形態8における認証サーバA200の機能構成について、図36に基づいて説明する。
認証サーバA200は、実施の形態2で説明した構成(図15参照)に加えて、アクセスカウンタ部270(利用回数監視部の一例)を備える。
リポジトリA290は、実施の形態2で説明したテーブル(図15参照)に加えて、アクセスカウンタテーブル297を記憶する。アクセスカウンタテーブル297は、実施の形態5で説明したテーブル(図29参照)と同様のテーブルである。
アクセスカウンタ部270は、権利IDの有効期限(セッション期限)をカウンタ機能を用いて管理する。アクセスカウンタ部270の詳細については後述する。
次に、アクセス権限集約型認証連携システム100の動作について説明する。
アクセス権限集約型認証連携システム100の認証連携方法は、実施の形態1から3と同様である(図10参照)。また、認証連携受入処理(S300)は、実施の形態2と同様である(図20参照)。
但し、認証連携用トークン生成処理(S200)およびアクセス制御処理(S400)の一部が以下のように異なる。
図37は、実施の形態8における認証連携用トークン生成処理(S200)を示すフローチャートである。
実施の形態8における認証連携用トークン生成処理(S200)について、図37に基づいて説明する。
認証連携用トークン生成処理(S200)は、実施の形態2で説明した処理(図19参照)に加えて、S233を備える。
S233において、アクセスカウンタ部270は、権利IDと変換IDとアクセス回数(初期値「1」)とを対応付けたレコードをアクセスカウンタテーブル297(図29と同様のテーブル)に登録する。
S233により、認証連携用トークン生成処理(S200)は終了する。
以後、利用者Aが業務システムB122にアクセスする毎(例えば、図10のS120において業務システムB122が選択される毎)に、アクセスカウンタ部270はアクセスカウンタテーブル297のアクセス回数(利用者Aの権利IDおよび変換Iに対応付けられたもの)をカウントアップする。
図38は、実施の形態8におけるアクセス制御処理(S400)を示すフローチャートである。
実施の形態8におけるアクセス制御処理(S400)について、図38に基づいて説明する。
アクセス制御処理(S400)は、実施の形態2で説明した処理(図21参照)に加えて、S404を備える。
S404において、認証サーバB300の認可部B320は、クライアント端末A111の認証済みクッキーに含まれる権利IDおよび変換IDを含むアクセス回数要求をクライアント端末A111へ送信する。
クライアント端末A111のアクセスカウンタ部270は、アクセス回数要求を受信し、受信したアクセス回数要求に含まれるものと同じ権利IDおよび変換IDに対応付けられたアクセス回数をアクセスカウンタテーブル297(図29と同様のテーブル)から取得し、取得したアクセス回数を含んだアクセス回答応答を認証サーバB300へ送信する。
認証サーバB300の認可部B320は、アクセス回答応答を受信し、受信したアクセス回答応答に含まれるアクセス回数と所定のアクセス有効回数とを比較し、アクセス回数がアクセス有効回数を超えているか否かを判定する。
アクセス有効回数とは、付与された権限IDを用いて業務システムB122にアクセスすることが許可される最大回数である。アクセス有効回数は、全ての権利IDで共通の回数であってもよいし、権利ID毎に異なる回数であってもよい。例えば、権利IDアクセス許可テーブル391(図9参照)に権利ID毎のアクセス有効回数を定義してもよい。
アクセス回数がアクセス有効回数を超えていると判定した場合(YES)、認可部B320はクライアント端末A111のアクセスカウンタ部270と通信してアクセスカウンタテーブル297から当該レコードを削除すると共に認証済みクッキーから権利IDおよび変換IDを削除する。そして、処理はS122(図10参照)に戻る。つまり、業務システムB122に対するアクセスは一旦、強制終了する。
アクセス回数がアクセス制御回数を超えていないと判定した場合(NO)、S410に進む。
実施の形態8により、権利IDに有効期限を設け、権利IDが付与された場合に無期限でシステムが利用されることを防ぎ、システムのセキュリティを高めることができる。
実施の形態8において、例えば、以下のような認証システム(アクセス権限集約型認証連携システム100)について説明した。括弧内に実施の形態で用いた符号および名称を記す。
前記権利ID付与装置(認証サーバA200)は、さらに、利用回数監視部(アクセスカウンタ部270)を備える。
利用回数監視部は、前記対象システム(業務システムB122)が利用された利用回数と所定の有効回数とを比較する。
前記認証装置(認証サーバB300)の前記認証部(認可部B320)は、前記利用回数監視部の比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する。
各実施の形態は、矛盾の無い範囲で形態の一部または全部を適宜に組み合わせても構わない。例えば、実施の形態1から3に、実施の形態4から6の少なくともいずれか、又は実施の形態7、8の少なくともいずれかを組み合わせても構わない。
100 アクセス権限集約型認証連携システム、110 企業内システムA、111 クライアント端末A、112 業務システムA、113 管理者端末A、114 利用者情報検索サーバ、115 利用者ID検索部、116 利用者情報検索部、120 企業内システムB、121 クライアント端末B、122 業務システムB、123 管理者端末B、124 監査ログ検索サーバ、125 監査ログ検索部、130 ワークフローサーバ、200 認証サーバA、210 認証部A、220 権利ID生成部、230 認可部A、240 利用者ID変換部、250 変換ID記録部、260 セッションタイマー部、270 アクセスカウンタ部、290 リポジトリA、291 利用者情報テーブル、292 利用者管理テーブル、293 権利IDテーブル、294 権利ID条件式テーブル、295 URL−IDテーブル、296 ID変換ログテーブル、297 アクセスカウンタテーブル、300 認証サーバB、310 認証部B、320 認可部B、330 特定ID監査記録部、340 セッションタイマー部、350 アクセスカウンタ部、360 ログアウト制御部、390 リポジトリB、391 権利IDアクセス許可テーブル、392 アクセス監査ログテーブル、393 アクセスカウンタテーブル、901 CPU、902 バス、903 ROM、904 RAM、905 通信ボード、911 ディスプレイ、912 キーボード、913 マウス、914 ドライブ、920 磁気ディスク装置、921 OS、922 プログラム群、923 ファイル群。

Claims (12)

  1. 権利ID付与装置と、認証装置と、利用者属性検索装置とを備える認証システムであって、
    前記権利ID付与装置は、
    ID(IDentification)が入力IDとして入力される入力ID入力部と、
    利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得する利用者属性取得部と、
    対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定する権利ID条件判定部と、
    前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力する権利ID出力部とを備え、
    前記認証装置は、
    前記権利ID付与装置によって出力された前記権利IDが入力される権利ID入力部と、
    前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可する認証部とを備え
    前記権利ID付与装置は、さらに、
    前記入力IDを識別するIDとして変換IDを生成し、生成した前記変換IDと前記入力IDとを対応付けて変換ID記憶部に記憶する変換ID生成部を備え
    記利用者属性検索装置は、
    前記変換ID生成部によって生成された変換IDが入力される変換ID入力部と、
    前記変換ID入力部に入力された前記変換IDに対応付けられた前記入力IDを前記変換ID記憶部から取得する入力ID取得部と、
    前記入力ID取得部によって取得された前記入力IDと同じ利用者IDに対応付けられた利用者属性を前記利用者属性記憶部から取得し、取得した前記利用者属性を出力する利用者属性出力部とを備える
    ことを特徴とする認証システム。
  2. 権利ID付与装置と、認証装置とを備える認証システムであって、
    前記権利ID付与装置は、
    ID(IDentification)が入力IDとして入力される入力ID入力部と、
    利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得する利用者属性取得部と、
    対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定する権利ID条件判定部と、
    前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力する権利ID出力部とを備え、
    前記認証装置は、
    前記権利ID付与装置によって出力された前記権利IDが入力される権利ID入力部と、
    前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可する認証部と
    前記対象システムの利用を許可してから経過した経過時間と所定の有効時間とを比較し、比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する経過時間監視部を備える
    ことを特徴とする認証システム。
  3. 権利ID付与装置と、認証装置とを備える認証システムであって、
    前記権利ID付与装置は、
    ID(IDentification)が入力IDとして入力される入力ID入力部と、
    利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得する利用者属性取得部と、
    対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定する権利ID条件判定部と、
    前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力する権利ID出力部とを備え、
    前記認証装置は、
    前記権利ID付与装置によって出力された前記権利IDが入力される権利ID入力部と、
    前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可する認証部と
    前記対象システムが利用された利用回数と所定の有効回数とを比較し、比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する利用回数監視部を備える
    ことを特徴とする認証システム。
  4. 権利ID付与装置と、認証装置とを備える認証システムであって、
    前記権利ID付与装置は、
    ID(IDentification)が入力IDとして入力される入力ID入力部と、
    利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得する利用者属性取得部と、
    対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定する権利ID条件判定部と、
    前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力する権利ID出力部とを備え、
    前記認証装置は、
    前記権利ID付与装置によって出力された前記権利IDが入力される権利ID入力部と、
    前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可する認証部とを備え
    前記認証装置の前記認証部は、前記対象システムの利用を許可した場合、前記対象システムの利用を開始する際の所定のログイン処理を行い、
    前記認証装置は、さらに、
    前記対象システムの利用の終了が通知された場合、前記対象システムの利用を終了する際の所定のログアウト処理を行うログアウト制御部を備える
    ことを特徴とする認証システム。
  5. 権利ID付与装置と、認証装置とを備える認証システムであって、
    前記権利ID付与装置は、
    ID(IDentification)が入力IDとして入力される入力ID入力部と、
    利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得する利用者属性取得部と、
    対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定する権利ID条件判定部と、
    前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力する権利ID出力部とを備え、
    前記認証装置は、
    前記権利ID付与装置によって出力された前記権利IDが入力される権利ID入力部と、
    前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可する認証部とを備え
    前記権利ID付与装置は、さらに、
    前記対象システムの利用が許可されてから経過した経過時間と所定の有効時間とを比較する経過時間監視部を備え、
    前記認証装置の前記認証部は、前記経過時間監視部による比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する
    ことを特徴とする認証システム。
  6. 権利ID付与装置と、認証装置とを備える認証システムであって、
    前記権利ID付与装置は、
    ID(IDentification)が入力IDとして入力される入力ID入力部と、
    利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得する利用者属性取得部と、
    対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定する権利ID条件判定部と、
    前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力する権利ID出力部とを備え、
    前記認証装置は、
    前記権利ID付与装置によって出力された前記権利IDが入力される権利ID入力部と、
    前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可する認証部とを備え
    前記権利ID付与装置は、さらに、
    前記対象システムが利用された利用回数と所定の有効回数とを比較する利用回数監視部を備え、
    前記認証装置の前記認証部は、前記利用回数監視部の比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する
    ことを特徴とする認証システム。
  7. 入力ID入力部と利用者属性取得部と権利ID条件判定部と権利ID出力部と変換ID生成部とを備える権利ID付与装置と、権利ID入力部と認証部とを備える認証装置と、変換ID入力部と入力ID取得部と利用者属性出力部とを備える利用者属性検索装置とを備える認証システムを用いる認証方法であって、
    前記入力ID入力部が、ID(IDentification)を入力IDとして入力し、
    前記利用者属性取得部が、利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得し、
    前記権利ID条件判定部が、対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定し、
    前記権利ID出力部が、前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力し、
    前記権利ID入力部が、前記権利ID出力部によって出力された前記権利IDを入力し、
    前記認証部が、前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可し、
    前記変換ID生成部が、前記入力IDを識別するIDとして変換IDを生成し、生成した前記変換IDと前記入力IDとを対応付けて変換ID記憶部に記憶し、
    前記変換ID入力部が、前記変換ID生成部によって生成された変換IDを入力し、
    前記入力ID取得部が、前記変換ID入力部に入力された前記変換IDに対応付けられた前記入力IDを前記変換ID記憶部から取得し、
    前記利用者属性出力部が、前記入力ID取得部によって取得された前記入力IDと同じ利用者IDに対応付けられた利用者属性を前記利用者属性記憶部から取得し、取得した前記利用者属性を出力する
    ことを特徴とする認証方法。
  8. 入力ID入力部と利用者属性取得部と権利ID条件判定部と権利ID出力部とを備える権利ID付与装置と、権利ID入力部と認証部と経過時間監視部とを備える認証装置とを備える認証システムを用いる認証方法であって、
    前記入力ID入力部が、ID(IDentification)を入力IDとして入力し、
    前記利用者属性取得部が、利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得し、
    前記権利ID条件判定部が、対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定し、
    前記権利ID出力部が、前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力し、
    前記権利ID入力部が、前記権利ID出力部によって出力された前記権利IDを入力し、
    前記認証部が、前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可し、
    前記経過時間監視部が、前記対象システムの利用を許可してから経過した経過時間と所定の有効時間とを比較し、比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する
    ことを特徴とする認証方法。
  9. 入力ID入力部と利用者属性取得部と権利ID条件判定部と権利ID出力部とを備える権利ID付与装置と、権利ID入力部と認証部と利用回数監視部とを備える認証装置とを備える認証システムを用いる認証方法であって、
    前記入力ID入力部が、ID(IDentification)を入力IDとして入力し、
    前記利用者属性取得部が、利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得し、
    前記権利ID条件判定部が、対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定し、
    前記権利ID出力部が、前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力し、
    前記権利ID入力部が、前記権利ID出力部によって出力された前記権利IDを入力し、
    前記認証部が、前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可し、
    前記利用回数監視部が、前記対象システムが利用された利用回数と所定の有効回数とを比較し、比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する
    ことを特徴とする認証方法。
  10. 入力ID入力部と利用者属性取得部と権利ID条件判定部と権利ID出力部とを備える権利ID付与装置と、権利ID入力部と認証部とログアウト制御部とを備える認証装置とを備える認証システムを用いる認証方法であって、
    前記入力ID入力部が、ID(IDentification)を入力IDとして入力し、
    前記利用者属性取得部が、利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得し、
    前記権利ID条件判定部が、対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定し、
    前記権利ID出力部が、前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力し、
    前記権利ID入力部が、前記権利ID出力部によって出力された前記権利IDを入力し、
    前記認証部が、前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可し、
    前記認証部が、前記対象システムの利用を許可した場合、前記対象システムの利用を開始する際の所定のログイン処理を行い、
    前記ログアウト制御部が、前記対象システムの利用の終了が通知された場合、前記対象システムの利用を終了する際の所定のログアウト処理を行う
    ことを特徴とする認証方法。
  11. 入力ID入力部と利用者属性取得部と権利ID条件判定部と権利ID出力部と経過時間監視部とを備える権利ID付与装置と、権利ID入力部と認証部とを備える認証装置とを備える認証システムを用いる認証方法であって、
    前記入力ID入力部が、ID(IDentification)を入力IDとして入力し、
    前記利用者属性取得部が、利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得し、
    前記権利ID条件判定部が、対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定し、
    前記権利ID出力部が、前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力し、
    前記権利ID入力部が、前記権利ID出力部によって出力された前記権利IDを入力し、
    前記認証部が、前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可し、
    前記経過時間監視部が、前記対象システムの利用が許可されてから経過した経過時間と所定の有効時間とを比較し、
    前記認証部が、前記経過時間監視部による比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する
    ことを特徴とする認証方法。
  12. 入力ID入力部と利用者属性取得部と権利ID条件判定部と権利ID出力部と利用回数監視部とを備える権利ID付与装置と、権利ID入力部と認証部とを備える認証装置とを備える認証システムを用いる認証方法であって、
    前記入力ID入力部が、ID(IDentification)を入力IDとして入力し、
    前記利用者属性取得部が、利用者を識別する利用者IDと利用者に関する利用者属性とを対応付けて記憶する利用者属性記憶部から、前記入力ID入力部に入力された前記入力IDと同じ利用者IDに対応付けられた利用者属性を取得し、
    前記権利ID条件判定部が、対象システムを利用するためのIDとして予め定義された権利IDと前記対象システムを利用するための利用者属性の条件を表す権利ID条件とを対応付けて記憶する権利ID条件記憶部を参照し、前記利用者属性取得部によって取得された前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されているか否かを判定し、
    前記権利ID出力部が、前記権利ID条件判定部によって前記利用者属性が満たす権利ID条件が前記権利ID条件記憶部に記憶されていると判定された場合、当該権利ID条件に対応付けられた権利IDを前記権利ID条件記憶部から取得し、取得した前記権利IDを出力し、
    前記権利ID入力部が、前記権利ID出力部によって出力された前記権利IDを入力し、
    前記認証部が、前記対象システムの利用が許可される利用者のIDとして予め定義された認証IDを記憶する認証ID記憶部を参照し、前記権利ID入力部に入力された前記権利IDと同じ認証IDが前記認証ID記憶部に記憶されているか否かを判定し、当該認証IDが前記認証ID記憶部に記憶されている場合、前記対象システムの利用を許可し、
    前記利用回数監視部が、前記対象システムが利用された利用回数と所定の有効回数とを比較し、
    前記認証部が、前記利用回数監視部の比較結果に基づいて以後の前記対象システムの利用を許可するか否かを判定する
    ことを特徴とする認証方法。
JP2012152134A 2012-07-06 2012-07-06 認証システムおよび認証方法 Expired - Fee Related JP5858878B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012152134A JP5858878B2 (ja) 2012-07-06 2012-07-06 認証システムおよび認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012152134A JP5858878B2 (ja) 2012-07-06 2012-07-06 認証システムおよび認証方法

Publications (2)

Publication Number Publication Date
JP2014016697A JP2014016697A (ja) 2014-01-30
JP5858878B2 true JP5858878B2 (ja) 2016-02-10

Family

ID=50111354

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012152134A Expired - Fee Related JP5858878B2 (ja) 2012-07-06 2012-07-06 認証システムおよび認証方法

Country Status (1)

Country Link
JP (1) JP5858878B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6221803B2 (ja) * 2014-02-13 2017-11-01 富士通株式会社 情報処理装置、接続制御方法、及びプログラム
JP6358819B2 (ja) * 2014-03-10 2018-07-18 三菱電機株式会社 ワークフロー統合システム
JP6835890B2 (ja) * 2019-02-28 2021-02-24 株式会社メディア4u 情報処理装置、情報処理方法、及びプログラム
JP7338360B2 (ja) * 2019-09-25 2023-09-05 富士フイルムビジネスイノベーション株式会社 情報処理装置およびプログラム
JP7070617B2 (ja) * 2020-08-18 2022-05-18 コニカミノルタ株式会社 情報機器管理システム、個人識別装置およびプログラム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000250409A (ja) * 1999-03-04 2000-09-14 Nippon Telegr & Teleph Corp <Ntt> 情報利用・提供方法、そのシステム、装置及びプログラム記録媒体
JP4758575B2 (ja) * 2001-08-09 2011-08-31 ヤフー株式会社 ユーザ認証方法、及び、ユーザ認証システム
JP2003280990A (ja) * 2002-03-22 2003-10-03 Ricoh Co Ltd 文書処理装置及び文書を管理するためのコンピュータプログラム
US20040128542A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for native authentication protocols in a heterogeneous federated environment
JP2006127376A (ja) * 2004-11-01 2006-05-18 Canon Inc 不正アクセスへの対処を備えたhttpサーバ
JP2009238191A (ja) * 2008-03-28 2009-10-15 Mitsubishi Electric Corp Webアプリケーションシステム
JP5409435B2 (ja) * 2010-02-24 2014-02-05 三菱電機株式会社 アクセス制御連携システム及びアクセス制御連携方法
JP5513270B2 (ja) * 2010-06-14 2014-06-04 日本電信電話株式会社 メッセージ共有装置、方法、およびプログラム

Also Published As

Publication number Publication date
JP2014016697A (ja) 2014-01-30

Similar Documents

Publication Publication Date Title
US9608972B2 (en) Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output
US9288213B2 (en) System and service providing apparatus
US8763145B2 (en) Cloud system, license management method for cloud service
JP6932175B2 (ja) 個人番号管理装置、個人番号管理方法、および個人番号管理プログラム
US9189187B2 (en) Service providing system and service providing method for providing a service to a service usage device connected via a network
US9659154B2 (en) Information processing system, information processing apparatus, method of administrating license, and program
US9537849B2 (en) Service provision system, service provision method, and computer program product
US20140173755A1 (en) Orchestrated interaction in access control evaluation
JP2007249912A (ja) 共用資源管理システム、共用資源管理方法、およびコンピュータプログラム
JP5858878B2 (ja) 認証システムおよび認証方法
JP5383838B2 (ja) 認証連携システム、idプロバイダ装置およびプログラム
JP2007164661A (ja) ユーザ認証プログラム、ユーザ認証装置、ユーザ認証方法
JP6111713B2 (ja) 情報処理システム、情報処理装置、認証情報管理方法及びプログラム
JP2018190311A (ja) 権限付与装置および権限付与装置の制御プログラム
JP2014153805A (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP2008299702A (ja) 情報処理プログラム及び情報処理システム
JP6183035B2 (ja) サービス提供システム、サービス提供方法及びプログラム
JP2015032043A (ja) サービス提供システム、サービス提供方法およびプログラム
US20160342813A1 (en) Information processing apparatus, information processing method, and information processing system
JP2012137995A (ja) リソース提供システム、アクセス制御プログラム及びアクセス制御方法
JP6351061B2 (ja) 管理システム、管理方法、プログラム、および利用者端末
JP2023128540A (ja) サーバ、および、コンピュータプログラム
JP2015032042A (ja) サービス提供システム、サービス提供方法およびプログラム
JP7119797B2 (ja) 情報処理装置及び情報処理プログラム
JP6303317B2 (ja) サービス提供システム、サービス提供方法およびプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150820

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151117

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20151215

R150 Certificate of patent or registration of utility model

Ref document number: 5858878

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees