JP5903004B2 - Information processing apparatus and authorization information management method - Google Patents
Information processing apparatus and authorization information management method Download PDFInfo
- Publication number
- JP5903004B2 JP5903004B2 JP2012144424A JP2012144424A JP5903004B2 JP 5903004 B2 JP5903004 B2 JP 5903004B2 JP 2012144424 A JP2012144424 A JP 2012144424A JP 2012144424 A JP2012144424 A JP 2012144424A JP 5903004 B2 JP5903004 B2 JP 5903004B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- authorization information
- information
- access token
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013475 authorization Methods 0.000 title claims description 247
- 238000007726 management method Methods 0.000 title claims description 207
- 230000010365 information processing Effects 0.000 title claims description 24
- 238000003860 storage Methods 0.000 claims description 52
- 238000012790 confirmation Methods 0.000 claims description 12
- 230000005012 migration Effects 0.000 claims description 12
- 238000013508 migration Methods 0.000 claims description 12
- 238000000034 method Methods 0.000 description 89
- 230000008569 process Effects 0.000 description 83
- 230000005540 biological transmission Effects 0.000 description 20
- 238000012546 transfer Methods 0.000 description 19
- 238000012545 processing Methods 0.000 description 17
- 238000012217 deletion Methods 0.000 description 13
- 230000037430 deletion Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 13
- 230000008859 change Effects 0.000 description 10
- 230000007704 transition Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000003825 pressing Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Description
本発明は、認可情報を管理する情報処理装置及び認可情報を管理する方法に関する。 The present invention relates to an information processing apparatus for managing authorization information and a method for managing authorization information.
利用者が各種サイトで公開されているサービスを利用しようとする際に、個々のサイトにおいて、ID(アカウント)を取得し、必要な利用者情報を個別に手動にて入力する必要がある。 When a user tries to use a service published on various sites, it is necessary to acquire an ID (account) in each site and manually input necessary user information individually.
同じ内容の利用者の属性情報(利用者情報)の入力は、その利用者にとって煩雑である。その結果、登録せずに、サービス利用が促進されないことになる。そこで、利用者の情報を巧みに管理・活用する方式が必要となっている。 It is complicated for the user to input attribute information (user information) of the user having the same content. As a result, service use is not promoted without registration. Therefore, a method for skillfully managing and utilizing user information is required.
例えば特許文献1には、各サーバへのログイン情報を一括で保持する認証補助装置が、サーバからログイン画面を取得した場合に、保持しているログイン情報を当該ログイン画面中の入力項目へ埋め込んで端末装置へ返却することについて記載されている。これにより、既に登録済みのログイン情報を利用者が再度入力することなくサーバへログイン可能となる。すなわち、上記認証補助装置は、端末装置の認証操作を容易化することができる。
For example, in
しかしながら、特許文献1の技術は、同一端末装置からの他のサーバに対するアクセス認証を省略する技術であるが、複数の端末装置を利用して、同一のサーバへアクセスがなされた場合のことが考慮されていない。
However, the technique of
よって、過去にログイン情報を入力した端末装置以外の端末装置からサーバへアクセスした場合は、再度ログイン情報を入力する必要がある。特に、過去に複数のサーバへログインしていた場合には、ログインしていた端末装置と異なる端末装置でサーバにアクセスするためには、全てのログイン情報を再度入力する必要がある。よって、利用者にとって、操作が煩雑となるという問題点がある。このことを考慮すると、過去にログインした端末装置と異なる端末装置におけるログイン情報の入力操作を軽減させるためにログイン情報(認可情報)の移行処理ができることが望ましい。 Therefore, when accessing the server from a terminal device other than the terminal device that has previously input the login information, it is necessary to input the login information again. In particular, when logging in to a plurality of servers in the past, it is necessary to input all login information again in order to access the server with a terminal device different from the terminal device that has logged in. Therefore, there is a problem that the operation becomes complicated for the user. In consideration of this, it is desirable to be able to perform login information (authorization information) transfer processing in order to reduce the input operation of login information in a terminal device different from the terminal device that has logged in in the past.
そこで、本発明においては、簡単に端末装置に関連付けられている認可情報を移行することができる情報処理装置を提供することを目的とする。 Therefore, an object of the present invention is to provide an information processing apparatus that can easily transfer authorization information associated with a terminal apparatus.
本発明に係る情報処理装置は、一のユーザに関連付けがなされている第1識別子に対応する一又は複数の認可情報を関連付けて記憶すると共に、前記一のユーザに関連付けがなされている第2識別子に対応する一又は複数の認可情報を関連付けて記憶するユーザ認可情報記憶手段と、第1識別子に関連付けられた認可情報の移行の選択がされると、選択された認可情報および前記第1識別子に関連付いた他の認可情報を、第2識別子に関連付けてユーザ認可情報記憶手段へ記憶させるユーザ認可情報管理手段と、を備える。 The information processing apparatus according to the present invention stores in association with one or more authorization information corresponding to the first identifier is made associated with one user, the second identifier the associated one of the users has been made And a user authorization information storage unit that associates and stores one or a plurality of authorization information corresponding to the first authorization information, and when the transition of authorization information associated with the first identifier is selected, the selected authorization information and the first identifier are User authorization information management means for storing other associated authorization information in the user authorization information storage means in association with the second identifier.
また、本発明に係る認可情報管理方法は、ユーザ認可情報を記憶する記憶手段を備える情報処理装置におけるユーザ認可情報管理方法において、一のユーザに関連付けがなされている第1識別子に対応する一又は複数の認可情報を関連付けて前記記憶手段に記憶すると共に、前記一のユーザに関連付けがなされている第2識別子に対応する一又は複数の認可情報を関連付けて前記記憶手段に記憶するユーザ認可情報記憶ステップと、第1識別子に関連付けられた認可情報の移行の選択がされると、選択された認可情報および前記第1識別子に関連付いた他の認可情報を、前記第2識別子に関連付けて前記記憶手段に記憶させるユーザ認可情報管理ステップと、を含む。 An authorization information management method according to the present invention is a user authorization information management method in an information processing apparatus including a storage unit that stores user authorization information. The authorization information management method corresponds to a first identifier associated with one user or stores in the storage means in association with a plurality of authorization information, the user authorization information storage for storing in the storage means in association with one or more authorization information corresponding to the second identifier the associated one of the users has been made And when the selection of migration of the authorization information associated with the first identifier is selected, the selected authorization information and other authorization information associated with the first identifier are associated with the second identifier and stored. A user authorization information management step stored in the means .
このような情報処理装置及び認可情報管理方法によれば、第1識別子に関連付けられた認可情報について移行の選択がされると、それに伴い、選択された認可情報を含む第1識別子に関連付けられた認可情報を第2識別子に関連付ける。よって、簡単に第1識別子に関連付けられている認可情報の移行をすることができる。 According to the information processing apparatus and the authorization information management method, when the migration information is selected for the authorization information associated with the first identifier, the associated information is associated with the first identifier including the selected authorization information. Associate authorization information with the second identifier. Accordingly, the authorization information associated with the first identifier can be easily transferred.
本発明に係る情報処理装置では、ユーザ認可情報管理手段は、第2識別子によるログインで、第1識別子に関連付いている認可情報を用いたアクセス要求がある場合、当該アクセス要求の対象となる認可情報が、選択された認可情報となるようにしても良い。 In the information processing apparatus according to the present invention, the user authorization information management means, when logging in with the second identifier and there is an access request using the authorization information associated with the first identifier, the authorization subject to the access request. The information may be selected authorization information.
この発明によれば、第1識別子の認可情報が指定されたことを特定しているタイミングで関連付けを行っているので、確実に第1識別子に関連している認可情報を、第2識別子へ関連付けることができる。 According to the present invention, since the association is performed at the timing when the authorization information of the first identifier is specified, the authorization information associated with the first identifier is reliably associated with the second identifier. be able to.
また、本発明に係る情報処理装置では、ユーザ認可情報記憶手段は、各認可情報に対応するサービス種別の情報を記憶しており、第2識別子への関連付け対象の認可情報に対応するサービス種別と同一のサービス種別であり、且つ当該第2識別子への関連付け対象の認可情報とは異なる認可情報が、第2識別子に関連付いている場合、何れかの認可情報を無効化にする認可情報制御手段をさらに備えるようにしても良い。 In the information processing apparatus according to the present invention, the user authorization information storage unit stores information on a service type corresponding to each authorization information, and includes a service type corresponding to the authorization information to be associated with the second identifier, Authorization information control means for invalidating any authorization information when authorization information that is the same service type and is different from the authorization information to be associated with the second identifier is associated with the second identifier May be further provided.
この発明によれば、認可情報の有効/無効を制御することにより、複数のアカウントの同時利用を許容していないWebサービスも適切に利用可能となる。 According to the present invention, by controlling the validity / invalidity of the authorization information, a Web service that does not allow simultaneous use of a plurality of accounts can be appropriately used.
また、第2識別子への関連付け対象となる第1識別子の認可情報の選択確認を受け付ける選択確認手段をさらに備え、ユーザ認可情報管理手段は、選択確認手段を介して選択確認された認可情報を関連付け対象とするようにしても良い。 In addition, a selection confirmation unit that accepts selection confirmation of the authorization information of the first identifier to be associated with the second identifier is provided, and the user authorization information management unit associates the authorization information selected and confirmed through the selection confirmation unit. You may make it object.
この発明によれば、利用者が所望の認可情報のみ関連付けさせることが可能となる。 According to the present invention, the user can associate only desired authorization information.
本発明によれば、第1識別子に関連付けられた認可情報について移行の選択がされると、それに伴い、選択された認可情報を含む第1識別子に関連付けられた認可情報を第2識別子に関連付けることになる。よって、簡単に端末装置に関連付けられている認可情報を移行することができる。 According to the present invention, when migration is selected for the authorization information associated with the first identifier, the authorization information associated with the first identifier including the selected authorization information is associated with the second identifier accordingly. become. Accordingly, the authorization information associated with the terminal device can be easily transferred.
以下、図面を参照しながら、本発明に係る実施形態を説明する。可能な場合には、同一の部分には同一の符号を付して、重複する説明を省略する。 Embodiments according to the present invention will be described below with reference to the drawings. Where possible, the same parts are denoted by the same reference numerals, and redundant description is omitted.
(情報処理システム10の構成)
図1は、本実施形態の情報処理システム10のシステム構成図である。図1に示すように、この情報処理システム10は、認証管理サーバ100、Webサービスサーバ200A、Webサービスサーバ200B、・・・(以降、総称してWebサービスサーバ200とも呼ぶ)と、端末装置300A、端末装置300B、・・・(以降、総称して端末装置300とも呼ぶ)とを含んで構成されている。また、図1に示すように、認証管理サーバ100、端末装置300及びWebサービスサーバ200は、それぞれ互いにネットワーク等により接続されている。
(Configuration of information processing system 10)
FIG. 1 is a system configuration diagram of an
認証管理サーバ100は、端末装置300からのアクセスを認証管理サーバ100で記憶しているIDで識別する(以降、このIDをユーザIDと呼ぶ)。端末装置300から初回のアクセス要求がなされた場合、認証管理サーバ100が、ユーザIDを生成すると共に、ログイン用の情報として、当該ユーザIDに対応するテンポラリIDを端末装置300へ発行する。そして、認証管理サーバ100は、テンポラリIDを用いた端末装置300からの要求に応じて、ユーザIDの管理を行うことができる。
The
また、認証管理サーバ100は、各端末装置300からWebサービスサーバ200への認可情報(各WebサービスにアクセスするためのID/パスワードやアクセストークン)をユーザIDと関連付けて記憶する。ここで、認可情報とは、Webサービスサーバ200が提供するWebサービスを譲受するために必要な認証情報である。また、WebサービスにアクセスするためのIDを以降WebサービスIDと呼ぶ。本実施形態では、認可情報としてアクセストークンを適用した場合について説明する。
Further, the
さらに、認証管理サーバ100は、各端末装置300からWebサービスサーバ200への閲覧要求を受け付けた際には、認証管理サーバ100で記憶しているアクセストークンをWebサービスサーバ200へ送信し、Webサービスサーバ200から閲覧用の情報を取得し、端末装置300へ送信する。
Furthermore, when the
端末装置300は、次回以降のWebサーバ200へのアクセス要求を認証管理サーバ100へ行う際には、テンポラリIDを認証管理サーバ100へ送信する。
The
端末装置300は、PCや携帯端末等の情報機器から構成されており、認証管理サーバ100や、Webサービスサーバ200へ認証要求したり、認証管理サーバ100やWebサービスサーバ200から情報を取得したりする。
The
Webサービスサーバ200は、アクセス認証の情報としてログイン情報を要求したり、各種閲覧情報を提供したりするサーバ装置である。また、各Webサービスサーバ200は、各種Webサービスを提供する。ここでいうWebサービスとは、例えば、SNS(Social Networking Service)等、閲覧等に認証が必要なWebにより提供されるサービスをいう。以降、Webサービスを単にサービスとも呼ぶ。なお、Webサービスサーバ200Aは、サービスAを提供し、Webサービスサーバ200Bは、サービスBを提供し、Webサービスサーバ200Cは、サービスCを提供するものとする。
The
(認証管理サーバ100の構成)
次に、認証管理サーバ100について詳細に説明する。図2は、認証管理サーバ100の機能を示すブロック図である。この認証管理サーバ100は、端末アクセス認証部101、サービス送受信部102、ユーザ認可情報管理部103(ユーザ認可情報管理手段)、関連付け対象選択確認部104(選択確認手段)、認可情報制御部105(認可情報制御手段)、ユーザ管理情報記憶部106及びユーザ認可情報記憶部107(ユーザ認可情報記憶手段)を含んで構成されている。
(Configuration of authentication management server 100)
Next, the
このように構成された認証管理サーバ100は、図3に示されるハードウェアにより構成されている。図2に示される認証管理サーバ100は、物理的には、図3に示すように、CPU11、主記憶装置であるRAM12及びROM13、入力デバイスであるキーボード及びマウス等の入力装置14、ディスプレイ等の出力装置15、ネットワークカード等のデータ送受信デバイスである通信モジュール16、ハードディスクまたは半導体メモリ等の補助記憶装置17などを含むコンピュータシステムとして構成されている。図2における各機能は、図3に示すCPU11、RAM12等のハードウェア上に所定のコンピュータソフトウェアを読み込ませることにより、CPU11の制御のもとで入力装置14、出力装置15、通信モジュール16を動作させるとともに、RAM12や補助記憶装置17におけるデータの読み出し及び書き込みを行うことで実現される。以下、図2に示す機能ブロックに基づいて各機能ブロックを説明する。
The
端末アクセス認証部101は、端末装置300からのWebサービスサーバ200へのアクセス要求を受信した後に、端末装置300から取得したテンポラリIDを用いて、正常な権限を有しているかチェックする。
After receiving the access request to the
サービス送受信部102は、端末装置300からのWebサービスサーバ200へのサービス要求を受け付けたり、Webサービスサーバ200へサービス要求したり、Webサービスサーバ200から情報(アクセストークンや閲覧用情報等)を取得したり、当該Webサービスサーバ200から取得した情報を端末装置300へ送信したりする。
The service transmitting / receiving
ユーザ認可情報管理部103は、テンポラリIDを有しない端末からWebサービスサーバ200へのアクセス要求がなされた場合に、ユーザIDを生成し、当該ユーザIDと、アクセス要求対象のWebサービスサーバ200から取得したアクセストークンと、ユーザ情報とを関連付けた情報であるユーザ認可情報を生成し、当該ユーザ認可情報をユーザ認可情報記憶部107へ記憶する。ここで、ユーザ情報とは、Webサービスサーバ200がアクセス元のユーザを特定するための情報である。
When an access request to the
また、ユーザ認可情報管理部103は、ユーザIDを生成した場合、当該ユーザIDに対応するテンポラリIDを生成し、当該ユーザIDと、テンポラリIDと、端末装置300から取得したユーザ名とを関連付けた情報であるユーザ管理情報をユーザ管理情報記憶部106へ記憶する。
Further, when the user authorization
さらに、ユーザ認可情報管理部103は、ユーザ認可情報の編集(例えば、ユーザ認可情報の追加や、ユーザ認可情報の移行、ユーザ認可情報やユーザ管理情報の削除)の必要性を判断し、編集対象と判断したユーザ認可情報を編集する。
Further, the user authorization
関連付け対象選択確認部104は、関連付け対象とするユーザ認可情報の一覧画面を出力し、端末装置300の利用者から関連付け対象の認可情報の選択を受け付け、選択された認可情報を確認する。
The association target
認可情報制御部105は、アクセストークンの有効状態を制御し、具体的には、各アクセストークンを有効とするか否かを決定する。例えば、同一IDに同一サービスのアクセストークンが複数ある場合に、当該複数のアクセストークンの内、一部を有効状態にし、それ以外を無効状態にする。詳細は、後述する。
The authorization
ユーザ管理情報記憶部106は、ユーザ管理情報を記憶する。ユーザ管理情報のデータ構造を図4(A)に示す。ユーザ管理情報は、ユーザ管理情報は、ユーザIDと、ユーザ名と、テンポラリIDとを有する情報である。ユーザ認可情報記憶部107は、ユーザ認可情報を記憶する。なお、ユーザ認可情報とは、ユーザIDと、認可情報と、ユーザ情報とが対応付けられた情報である。図4(B)にユーザ認可情報のデータ構造を示す。ここで、ユーザ情報とは、Webサービスサーバ200がアクセス元のユーザを特定するための情報である。
The user management
図4(B)に示すように、ユーザ認可情報は、ユーザIDと、当該ユーザIDに対応するアクセストークンと、ユーザ情報とを関連付けた情報である。また、各認可情報には、Webサービスの種別情報を含む。なお、Webサービス種別の情報を認証管理サーバ100が別に保持するようにしても良い。
As shown in FIG. 4B, the user authorization information is information in which a user ID, an access token corresponding to the user ID, and user information are associated with each other. Each authorization information includes Web service type information. Note that the
次に、情報処理システム10の処理について説明する。ここで説明する情報処理システム10の処理には、ユーザ認可情報の管理に関する処理であるアカウント管理処理(初回認証処理、アクセストークン追加処理、アクセストークン削除処理、再ログイン処理、別ユーザID生成処理、別ユーザIDへのアクセストークン移行処理)と、ユーザ認可情報を利用して、Webサービス(Web情報の閲覧等)を譲受する処理(Web閲覧処理)とがある。以下に、それぞれの処理を順に説明する。
Next, processing of the
(初回認証処理)
最初に、初回認証処理について説明する。図5は、本実施形態の情報処理システム10の初回認証処理を示すシーケンス図である。ここでいう初回認証処理とは、最初に認証管理サーバ100を介して、Webサービスサーバ200への認証要求をする処理をいう。以下、各ステップについて説明する。
(Initial authentication process)
First, the initial authentication process will be described. FIG. 5 is a sequence diagram illustrating the initial authentication process of the
まず、前提として、端末装置300が認証管理サーバ100から図6(A)に示すようなWebサービスの一覧と、アクセストークンの登録状況を示したアカウント管理画面を取得し、端末装置300で表示しているものとする。また、端末装置300がユーザ名を認証管理サーバ100へ送信しているものとする。なお、端末装置300の画面は、タッチパネルで構成されるものとするが、これに限るものではない。
First, as a premise, the
そして、端末装置300の利用者の入力操作によって、所定のWebサービス(例えば、サービスA)が選択されると、端末装置300が認証管理サーバ100に対して、Webサービスサーバ200への認証要求を行う(S101)。次に、認証管理サーバ100のサービス送受信部102は、Webサービスサーバ200に対して、リダイレクトする(S102)。そして、Webサービスサーバ200は、端末装置300に対して、図6(B)に示すようなサービスAの認証画面を返却する(S103)。
When a predetermined Web service (for example, service A) is selected by an input operation of the user of the
図6(B)に示すサービスAの認証画面において、Webサービスサーバ200Aにログインするための、WebサービスID及びパスワードが入力されると、端末装置300は、Webサービスサーバ200に対して、当該Webサービスサーバ200が提供しているWebサービスのWebサービスID及びパスワードを通知する(S104)。
When the Web service ID and password for logging in to the
Webサービスサーバ200は、端末装置300から受信したWebサービスID及びパスワードが正しければ、アクセストークンを生成し(S105)、当該アクセストークンを認証管理サーバ100へ送信し、サービス送受信部102は、アクセストークンを取得し、ユーザ情報をさらに取得する(S106)。ここで、Webサービスサーバ200は、アクセストークンとユーザ情報とをまとめて送信しても良いし、一度アクセストークンを送信した後に、認証管理サーバ100からの要求に応じてユーザ情報を送信するようにしても良い(以下、Webサービスサーバ200から認証管理サーバ100へのアクセストークン及びユーザ情報の送信処理についても同様とする)。
If the Web service ID and password received from the
ユーザ認可情報管理部103は、端末装置300からテンポラリIDを取得しておらず、さらに上記ユーザ情報を有するユーザ認可情報もないことを確認し、認証管理サーバ100のユーザ認可情報管理部103は、新たにユーザIDを発行し、当該ユーザIDと、サービス送受信部102が取得したアクセストークンと、サービス送受信部102が取得したユーザ情報とを対応付けた情報をユーザ認可情報として、ユーザ認可情報記憶部107へ記憶する(S108)。
The user authorization
なお、アクセストークンは、同一のWebサービスID及びパスワードに基づいて生成しても、生成する度に異なる場合もある。そこで、認証管理サーバ100は、WebサービスID及びパスワードに対応するユーザ情報をアクセストークンと関連付けてユーザ認可情報として記憶している。これにより、Webサービスサーバ200から取得したユーザ情報を検索キーにして、ユーザ認可情報を検索すれば、ユーザ情報に対応するWebサービスサーバ200を利用者が過去にアクセス要求したか否かを判断することができる。
Even if the access token is generated based on the same Web service ID and password, it may be different each time it is generated. Therefore, the
そして、ユーザ認可情報管理部103は、テンポラリIDを生成し(S109)、ユーザIDと、当該テンポラリIDと、ユーザ名とを関連付けたユーザ管理情報をユーザ管理情報記憶部106へ記憶する(ステップS110)。そして、サービス送受信部102は、当該テンポラリIDを端末装置300へ送信すると共に、アカウント管理画面の更新結果を送信する(S111)。アカウント管理画面の更新結果を図6(C)に示す。図6(C)に示すように、アカウント管理画面のサービスAの箇所に、「F1」のマークが付されており、サービスAについてアクセストークンF1が利用可能であることを示している。
Then, the user authorization
次に、初回認証処理前と初回認証処理後における、ユーザ管理情報とユーザ認可情報とを図7に示す。図7(A)に示すように、初回認証処理を行う前は、ユーザXは、認証管理サーバ100に一度もログインしていない状態であるので、いずれのWebサーバ200のアクセストークンと関連付けられていない状態である。
Next, FIG. 7 shows user management information and user authorization information before the initial authentication process and after the initial authentication process. As shown in FIG. 7A, before the initial authentication process is performed, the user X has never logged in to the
よって、ユーザ管理情報記憶部106及びユーザ認可情報記憶部107には、何ら情報が記憶されていないが、初回認証処理後には、ユーザ認可情報管理部103によって、ユーザ管理情報及びユーザ認可情報が記憶される。初回認証処理において、ユーザ認可情報管理部103が、初回認証処理のステップS108でユーザ認可情報をユーザ認可情報記憶部107に記憶し、ステップS110でユーザ管理情報をユーザ管理情報記憶部106に記憶する。
Therefore, although no information is stored in the user management
この結果、図7(B)に示すように、ステップS107で生成されたユーザID「ID1」と、予め端末装置300から取得したユーザ名「ユーザX」と、ステップS109で生成されたテンポラリID「tmpID1」とが関連付けられたユーザ管理情報がユーザ管理情報記憶部106に記憶される。
As a result, as shown in FIG. 7B, the user ID “ID1” generated in step S107, the user name “user X” acquired in advance from the
そして、ユーザID「ID1」と、アクセストークン「F1」と、ユーザ情報「F_01」とが関連付けられたユーザ認可情報がユーザ認可情報記憶部107に記憶される。
Then, user authorization information in which the user ID “ID1”, the access token “F1”, and the user information “F_01” are associated is stored in the user authorization
このように、ユーザID「ID1」とアクセストークンF1とが関連付けられて、ユーザ名「ユーザX」とユーザID「ID1」とが関連付けられていることにより、ユーザXが、アクセストークンF1に関連付けられることになる。 Thus, the user ID “ID1” and the access token F1 are associated with each other, and the user name “user X” and the user ID “ID1” are associated with each other, so that the user X is associated with the access token F1. It will be.
(アクセストークン追加処理)
続いて、図8に示すアクセストークン追加処理のシーケンス図を用いて、本実施形態の情報処理システム10のアクセストークンの追加処理を説明する。
(Access token addition process)
Next, an access token addition process of the
まず、前提として、端末装置300は、認証管理サーバ100から図9(A)に示すようなWebサービスの一覧と、アクセストークンの登録状況とを示したアカウント管理画面を取得し、端末装置300がアカウント管理画面を表示しているものとする。図9(A)に示すように、サービスAについてのみ、「F1」のマークが付されていることから、サービスAについてのみアクセストークンが登録されていることを示している。
First, as a premise, the
そして、端末装置300の利用者による、アカウント管理画面に対する入力操作によって、所定の未登録状態のWebサービス(例えば、サービスB)が選択されると、端末装置300は、認証管理サーバ100に対して、テンポラリIDを送信すると共に、サービスBのアクセストークンの追加要求を行う(S301)。
Then, when a predetermined unregistered Web service (for example, service B) is selected by an input operation on the account management screen by the user of the
認証管理サーバ100のサービス送受信部102は、テンポラリIDを取得すると共に、当該アクセストークンの追加要求を受け付ける。認証管理サーバ100の端末アクセス認証部101は、端末装置300から取得したテンポラリIDを検索キーにユーザ管理情報を参照して端末装置300のアクセスが適切であるか否かを判断する。なお、端末アクセス認証部101は、当該テンポラリIDに対応するユーザIDにサービスBのアクセストークンが関連づいているか否かを判断し、サービスBのアクセストークンが関連づいていないことを確認しても良い(S302)。
The service transmission /
次に、認証管理サーバ100のサービス送受信部102は、Webサービスサーバ200に対して、リダイレクトする(S303)。そして、Webサービスサーバ200は、端末装置300に対して、図9(B)に示すようなサービスBの認証画面を返却する(S304)。
Next, the service transmission /
図9(B)に示すサービスAの認証画面において、Webサービスサーバ200Bにログインするための、WebサービスID及びパスワードが入力されると、端末装置300は、Webサービスサーバ200に対して、当該Webサービスサーバ200が提供しているWebサービスのWebサービスID及びパスワードを通知する(S305)。
When the Web service ID and password for logging in to the
Webサービスサーバ200は、端末装置300から受信したWebサービスID及びパスワードが正しければ、サービスBに対応するアクセストークンT1を生成し(S306)、当該アクセストークンを認証管理サーバ100へ送信し、サービス送受信部102は、アクセストークンを取得し、ユーザ情報をさらに取得する(S307)。
If the Web service ID and password received from the
端末装置300からの要求がアクセストークンの追加要求であり、同一ユーザ情報を含むユーザ認可情報がユーザ認可情報記憶部107に記憶されていないことを確認すると、認証管理サーバ100のユーザ認可情報管理部103は、端末装置300から取得したテンポラリユーザIDに対応するユーザIDと、サービス送受信部102が取得したアクセストークンと、サービス送受信部102が取得したユーザ情報とを関連付けたユーザ認可情報を登録する(S308)。そして、サービス送受信部102は、アカウント管理画面の更新結果を返却する(S309)。アカウント管理画面の更新結果の例を図9(C)に示す。図9(C)に示すように、アカウント管理画面のサービスBの箇所に、「T1」のマークが付されており、サービスBについてアクセストークンT1が追加登録されたことを示している。
When it is confirmed that the request from the
次に、アクセストークン追加処理前とアクセストークン追加処理後における、ユーザ管理情報とユーザ認可情報とを図10に示す。図10(A)に示すように、アクセストークン追加処理を行う前は、ユーザXには、サービスAのアクセストークンのみが関連づいているので、ユーザ管理情報記憶部106には、ユーザID「ID1」の情報のみが記憶され、ユーザ認可情報記憶部107には、ユーザID「ID1」、アクセストークン「F1」、ユーザ情報「F_01」のユーザ認可情報のみが記憶されている。
Next, FIG. 10 shows user management information and user authorization information before the access token addition process and after the access token addition process. As shown in FIG. 10A, before the access token addition process is performed, only the access token of the service A is associated with the user X, so that the user ID “ID1” is stored in the user management
アクセストークン追加処理のステップS308において、ユーザ認可情報管理部103がユーザ認可情報を登録することにより、アクセストークン追加処理後は、図10(B)に示すように、ユーザ認可情報管理部103によって、ユーザID「ID1」と、アクセストークン「T1」と、ユーザ情報「T_01」が関連付けられたユーザ認可情報がユーザ認可情報記憶部107に追加記憶されることになる。なお、ユーザ管理情報については、更新箇所が無いため、アクセストークン追加処理の前後で、ユーザ管理情報記憶部106に記憶されている情報に変化は無い。
In step S308 of the access token addition process, the user authorization
これにより、ユーザID「ID1」には、アクセストークン「F1」だけでなく、アクセストークン「T1」も関連付けられる。 As a result, not only the access token “F1” but also the access token “T1” is associated with the user ID “ID1”.
このように、認証管理サーバ100は、Webサービスサーバ200から取得したアクセストークンと、既存のユーザIDとを対応付けたユーザ認可情報をユーザ認可情報記憶部107へ追加記憶することにより、1つのユーザIDに、複数のアクセストークンを関連付けることができる。
As described above, the
(アクセストークン削除処理)
続いて、図11及び図12を用いてアクセストークンの削除処理について簡単に説明する。
(Access token deletion process)
Next, the access token deletion process will be briefly described with reference to FIGS. 11 and 12.
まず、図11(A)に示すようなアカウント管理画面が端末装置300の表示画面に出力されているものとする。図11(A)の例では、サービスAに「F1」のマークが付され、サービスBに「T1」のマークが付されていることから、サービスA及びサービスBについて、アクセストークンが登録されていることを示している。
First, it is assumed that an account management screen as illustrated in FIG. 11A is output on the display screen of the
ここで、端末装置300の利用者による、アカウント管理画面に対する入力操作を介して、サービスBが選択されると、端末装置300は、図11(B)に示すようなサービスBのアクセストークン編集画面を出力する。アクセストークン編集画面は、アクセストークンの編集指定のための画面であり、削除ボタン50を押下することにより、登録済みのアクセストークンの削除指定をしたり、新規追加ボタン51を押下することにより、同一サービスのアクセストークンの追加指定をしたりすることが可能である。
Here, when the service B is selected through the input operation on the account management screen by the user of the
そして、端末装置300の利用者の入力操作により、削除ボタンが指定されると、端末装置300は、サービスBのアクセストークンの削除要求を認証管理サーバ100に行う。認証管理サーバ100のユーザ認可情報管理部103は、削除要求対象のサービスに関するアクセストークンに対応する、要求元のユーザIDのユーザ認可情報を削除する。そして、認証管理サーバ100は、図11(C)に示すようなアカウント管理画面の更新結果を送信する。図11(C)に示すように、サービスBの箇所からアクセストークンが有る旨のマークが削除され、サービスBのアクセストークンが削除されたことを示している。
When the delete button is designated by the user's input operation of the
次に、アクセストークン削除処理前とアクセストークン削除処理後における、ユーザ管理情報とユーザ認可情報とを図12に示す。図12(A)に示すように、アクセストークン削除処理を行う前は、ユーザID「ID1」には、サービスAのアクセストークンF1及びサービスBのアクセストークンT1が関連付けられており、ユーザID「ID1」を有するユーザ認可情報が2つ登録されている。 Next, FIG. 12 shows user management information and user authorization information before the access token deletion process and after the access token deletion process. As shown in FIG. 12A, before the access token deletion process is performed, the user ID “ID1” is associated with the access token F1 of the service A and the access token T1 of the service B, and the user ID “ID1”. Two pieces of user authorization information having “” are registered.
アクセストークン「T1」の削除要求があり、当該削除要求に応じてアクセストークン削除処理を行った後は、図12(B)に示すように、ユーザ認可情報管理部103によって、ユーザID「ID1」と、アクセストークン「T1」と、ユーザ情報「T_001」とが関連付けられたユーザ認可情報が削除されることになる。なお、ユーザ管理情報については、更新箇所が無いため、アクセストークン削除処理の前後で、ユーザ管理情報記憶部106に記憶されている情報に変化は無い。
After there is a request to delete the access token “T1” and the access token deletion process is performed in response to the deletion request, the user authorization
これにより、ユーザID「ID1」には、サービスAのアクセストークンF1のみが関連づいている状態になる。 As a result, only the access token F1 of the service A is associated with the user ID “ID1”.
(再ログイン処理)
続いて、図13及び図14を用いて再ログイン処理について簡単に説明する。ここでいう再ログイン処理とは、初回認証処理やアクセストークン追加処理などにより、ユーザ認可情報が登録された後に、ユーザ認証サーバ100に対するログアウト処理後に、再度ログインする処理をいう。
(Re-login process)
Next, the re-login process will be briefly described with reference to FIGS. 13 and 14. The re-login process here refers to a process of logging in again after a logout process to the
まず、図13(A)に示すような、アカウント管理画面が端末装置300の表示画面に出力されているものとする。図13(A)の例では、ログアウトされた状態であるため、いずれのサービスもアクセストークンが無い状態を示している。
First, it is assumed that an account management screen as shown in FIG. 13A is output on the display screen of the
ここで、端末装置300の入力操作を介して、サービスAが選択されると、端末装置300は、Webサービスサーバ200から図13(B)に示すような、サービスAの認証画面を取得し、当該サービスAの認証画面を表示する。
Here, when the service A is selected through the input operation of the
端末装置300の入力操作を介して、図13(B)に示すサービスAの認証画面にWebサービスのID及びパスワードが入力されると、端末装置300は、Webサービスサーバ200Aに対して、WebサービスのWebサービスID及びパスワードを通知する。そして、Webサービスサーバ200Aは、アクセストークン及びユーザ情報を認証管理サーバ100へ送信する。認証管理サーバ100は、当該ユーザ情報を有するユーザ認可情報を検索する。そして、認証管理サーバ100は、検索した結果得られたユーザ認可情報のユーザIDを有するユーザ認可情報を検索し、検索したユーザ認可情報に対応するアクセストークンを反映したアカウント管理画面を端末装置300へ送信する。当該アカウント管理画面の例を図13(C)に示す。
When the Web service ID and password are input to the authentication screen of service A shown in FIG. 13B through the input operation of the
図13(C)では、認証管理サーバ100がWebサービスサーバ200Aから、サービスAのアクセストークンと共に取得したユーザ情報に対応するユーザIDに対して、サービスA及びサービスBのアクセストークンが関連づいていたため、サービスAとサービスBのアクセストークンがある旨のマークが付されている。これにより、アカウント管理画面では、サービスAのアクセストークンF1、及びサービスBのアクセストークンT1が利用可能であることを示している。
In FIG. 13C, since the
次に、再ログイン処理前と再ログイン処理後における、ユーザ管理情報とユーザ認可情報とを図14に示す。再ログイン処理前では、図14(A)に示すように、ユーザ管理情報により、ユーザXとユーザID「ID1」とが関連づいていることを示し、ユーザ認可情報により、ユーザID「ID1」には、アクセストークンF1とアクセストークンT1とが関連づいていることを示しているが、ログアウトしているため、利用者との関連付けがなされていない。これは、図14(A)では、認証管理サーバ100で保持しているユーザXのユーザID「ID1」と、利用者との紐づけがなされていないことを示し、端末装置300及び認証管理サーバ100において、テンポラリIDが破棄されている状態であることを示す。なお、端末装置300及び認証管理サーバ100は、ログアウト時又はログアウト完了後にテンポラリIDを削除するようにしても良いし、ログアウト後もテンポラリIDを保持するようにしても良い。
Next, FIG. 14 shows user management information and user authorization information before and after the re-login process. Before the re-login process, as shown in FIG. 14A, the user management information indicates that the user X is associated with the user ID “ID1”, and the user authorization information indicates the user ID “ID1”. Indicates that the access token F1 and the access token T1 are associated with each other, but is not associated with the user because the user is logged out. In FIG. 14A, this indicates that the user ID “ID1” of the user X held in the
再ログイン処理を行うことにより、認証管理サーバ100は、利用者がユーザXであることを特定する。この結果、図14(B)に示すように、ユーザID「ID1」としてログイン状態になり、認証管理サーバ100によって、テンポラリIDが利用者の端末装置300へ送信される。そして、再ログイン処理では、ユーザ認証情報管理部103がユーザ認可情報の検索処理を行うが、登録・削除等の編集処理を行わないため、図14(A)及び図14(B)に示すように、再ログイン処理前と再ログイン処理後で、情報の変化は無い。
By performing the re-login process, the
なお、Webサービスサーバ200から取得したユーザ情報と同一のユーザ認証情報のアクセストークンが、取得したアクセストークンと異なる場合には、ユーザ認証情報管理部103が、上記ユーザ認証情報の登録済みのアクセストークンから取得したアクセストークンへ上書き処理を行うようにしても良い。
When the access token of the same user authentication information as the user information acquired from the
(別ユーザID生成処理)
続いて、図15及び図16を用いて別ユーザID生成処理について簡単に説明する。ここでいう別ユーザID生成処理とは、既に登録済みのユーザ管理情報のユーザ名と同一のユーザ名のユーザからの認証要求があり、認証管理サーバ100に登録されていないアクセストークンがWebサービスサーバ200から取得した場合に、新規のユーザIDを生成する処理をいう。
(Another user ID generation process)
Next, another user ID generation process will be briefly described with reference to FIGS. 15 and 16. The different user ID generation processing here refers to an authentication request from a user having the same user name as the user name of already registered user management information, and an access token not registered in the
まず、図15(A)に示すような、アカウント管理画面が端末装置300の表示画面に出力されているものとする。図15(A)の例では、ログアウトされた状態であるため、いずれのサービスもアクセストークンが無い状態を示している。
First, it is assumed that an account management screen as shown in FIG. 15A is output on the display screen of the
ここで、端末装置300の入力操作を介して、サービスAが選択されると、端末装置300は、Webサービスサーバ200から図15(B)に示すような、サービスAの認証画面を取得し、当該サービスAの認証画面を表示する。
Here, when the service A is selected through the input operation of the
端末装置300の入力操作を介して、図15(B)に示すサービスAの認証画面にWebサービスのID及びパスワードが入力されると、Webサービスサーバ200Aからアクセストークン及びユーザ情報が認証管理サーバ100へ送信される。認証管理サーバ100は、当該ユーザ情報を有するユーザ認可情報を検索した結果、該当するユーザ認可情報が無い場合、新規にユーザIDを生成し、当該ユーザIDを有するユーザ管理情報を生成・登録し、当該ユーザIDを有するユーザ認可情報を生成・登録する。そして、認証管理サーバ100は、取得したアクセストークンを反映したアカウント管理画面を端末装置300へ送信する。当該アカウント管理画面の例を図15(C)に示す。
When the ID and password of the Web service are input to the authentication screen of service A shown in FIG. 15B through the input operation of the
図15(C)では、アカウント管理画面のサービスAの箇所に、「F2」のマークが付されており、サービスAのアクセストークンF2が新規登録されたことを示している。 In FIG. 15C, the mark “F2” is added to the location of service A on the account management screen, indicating that the access token F2 for service A has been newly registered.
次に、別ユーザID生成処理前と別ユーザID生成処理後における、ユーザ管理情報とユーザ認可情報とを図16に示す。図16(A)に示すように、別ユーザID生成処理を行う前は、再ログイン処理前では、図16(A)に示すように、ユーザ管理情報により、ユーザXとユーザID「ID1」が関連づいていることを示し、ユーザ認可情報により、ユーザID「ID1」には、アクセストークンF1とアクセストークンT1が関連づいていることを示しているが、ログアウトしているため、利用者との関連付けがなされていない。 Next, FIG. 16 shows user management information and user authorization information before another user ID generation process and after another user ID generation process. As shown in FIG. 16A, before performing another user ID generation process, before the re-login process, as shown in FIG. 16A, the user X and the user ID “ID1” are set according to the user management information. The user authorization information indicates that the access token F1 and the access token T1 are associated with the user authorization information, but since the user is logged out, There is no association.
別ユーザID生成処理時に、認証管理サーバ100は、ユーザ認可情報管理部107で記憶したユーザ認可情報には含まれていない新規のユーザ情報を取得したため、別ユーザID生成処理後は、図16(B)に示すように、ユーザ管理情報記憶部106では、ユーザ名「ユーザX」、新たなユーザID「ID2」及びテンポラリID「tmpID2」を有するユーザ管理情報がさらに記憶され、ユーザ認可情報記憶部107では、ユーザID「ID2」、アクセストークン「F2」、及びユーザ情報「F_02」を有するユーザ認可情報がさらに記憶されることになる。そして、ユーザXは、ユーザID「ID2」としてログインされた状態になる。
Since the
(別ユーザIDへのアクセストークン移行処理の概要説明)
ここで、図17を用いて、ユーザ認可情報管理部103が行う、別ユーザIDへのアクセストークン移行処理の概要説明を行う。
(Overview of the access token transfer process to another user ID)
Here, with reference to FIG. 17, an overview of the access token transfer process to another user ID performed by the user authorization
前提として、ユーザXは、ユーザID「ID1」(第1識別子)、ユーザID「ID2」(第2識別子)を利用することが可能である。ユーザID「ID1」では、サービスAのアクセストークンであるアクセストークンF1、サービスBのアクセストークンであるアクセストークンT1、サービスCのアクセストークンであるアクセストークンD1が関連付けられている。 As a premise, the user X can use the user ID “ID1” (first identifier) and the user ID “ID2” (second identifier). The user ID “ID1” is associated with an access token F1 that is an access token of service A, an access token T1 that is an access token of service B, and an access token D1 that is an access token of service C.
よって、ユーザ認可情報記憶部107には、ユーザID「ID1」及びアクセストークンF1が関連付けられたユーザ認可情報と、ユーザID「ID1」及びアクセストークンT1が関連付けられたユーザ認可情報と、ユーザID「ID1」及びアクセストークンD1が関連付けられたユーザ認可情報とが記憶されている。
Therefore, the user authorization
次に、ユーザID「ID2」では、サービスAのアクセストークンであるアクセストークンF2と、サービスBのアクセストークンであるアクセストークンT2とが関連付けられている。 Next, in the user ID “ID2”, an access token F2 that is an access token of the service A and an access token T2 that is an access token of the service B are associated with each other.
よって、ユーザ認可情報記憶部107には、ユーザID「ID2」及びアクセストークンF2が関連付けられたユーザ認可情報と、ユーザID「ID2」及びアクセストークンT2が関連付けられたユーザ認可情報とが記憶されている。
Therefore, the user authorization
上記の状況において、端末装置300がユーザID「ID2」で認証管理サーバ100にログインしている際に(すなわち、ユーザID「ID2」に対応するテンポラリIDを用いてログインしている際)、ユーザID「ID1」に関連づいているアクセストークン(例えば、アクセストークンD1)を利用したアクセス要求がなされた場合の移行処理を以下に説明する。
In the above situation, when the
この場合、アクセストークンD1だけでなく、ユーザID「ID1」に関連づいている全てのアクセストークン(すなわち、アクセストークンF1、アクセストークンT1、及びアクセストークンD1)をユーザID「ID2」に関連付けて、ユーザID「ID1」と、各アクセストークンとの関連付けを削除する。 In this case, not only the access token D1, but also all access tokens associated with the user ID “ID1” (that is, the access token F1, the access token T1, and the access token D1) are associated with the user ID “ID2”. The association between the user ID “ID1” and each access token is deleted.
すなわち、ユーザ認可情報管理部103は、ユーザID「ID1」を含むユーザ認可情報を削除し、ユーザIDが「ID2」であり、アクセストークンがF1、T1、D1であるそれぞれのユーザ認可情報を記憶する。なお、ユーザ認可情報管理部103は、ユーザID「ID1」を含むユーザ認可情報を、ユーザID「ID2」へ変更するようにしても良い。さらに、ユーザ認可情報管理部103は、ユーザID「ID1」を有するユーザ認可情報が無くなったため、ユーザID「ID1」を有するユーザ管理情報も削除する。
That is, the user authorization
上述のように、ユーザ認可情報管理部103が、ユーザ認可情報の関連付け状態を変更することより、移行処理がなされる。
As described above, the migration process is performed by the user authorization
このように、認証管理サーバ100のユーザ認可情報管理部103は、端末装置300がユーザID「ID2」にログインしている状態で、ユーザID「ID1」に対応するアクセストークンを用いたアクセス要求が端末装置300からなされたことを検知した場合に、当該アクセス要求の対象となるアクセストークンをユーザID「ID2」に関連付けている。
As described above, the user authorization
この場合、認証管理サーバ100は、ユーザID「ID1」のアクセストークンが指定されたことを特定しているタイミングで、関連付けを行っているので、確実にユーザID「ID1」に関連しているアクセストークンを、ユーザID「ID2」へ関連付けることができる。
In this case, since the
(別ユーザIDへのアクセストークン移行処理)
続いて、図18に示す別ユーザIDへのアクセストークン移行処理のシーケンス図を用いて、本実施形態の情報処理システム10のWebサービスのアクセストークンの移行処理を説明する。ここでは、移行対象のアクセストークンを、画面を介して選択する場合の処理を説明する。
(Access token transfer processing to another user ID)
Next, the access token transfer process of the Web service of the
まず、前提として、認証管理サーバ100から図19(A)に示すようなWebサービスの一覧と、アクセストークンの登録状況を示したアカウント管理画面を取得し、端末装置300が表示しているものとする。図19(A)では、サービスAのアクセストークンF2とサービスBのアクセストークンT2が利用可能であることを示している。
First, as a premise, a list of Web services as shown in FIG. 19A and an account management screen showing the access token registration status are acquired from the
ここで、端末装置300の入力操作を介して、サービスCが選択されると、端末装置300は、認証管理サーバ100に対して、テンポラリIDを送信すると共に、サービスCのアクセストークンの追加要求を行う。そして、認証管理サーバ100のサービス送受信部102は、テンポラリIDを取得すると共に、当該アクセストークンの追加要求を受け付ける(S401)。認証管理サーバ100の端末アクセス認証部101は、端末装置300から取得したテンポラリIDを参照し、端末装置300のアクセスが適切であるか否かを判断する(S402)。
Here, when the service C is selected through the input operation of the
次に、認証管理サーバ100のサービス送受信部102は、Webサービスサーバ200に対して、リダイレクトする(S403)。そして、Webサービスサーバ200は、端末装置300に対して、図19(B)に示すようなサービスCの認証画面を返却する(S404)。
Next, the service transmission /
端末装置300は、Webサービスサーバ200に対して、当該Webサービスサーバ200が提供しているWebサービスID及びパスワードを通知する(S405)。
The
Webサービスサーバ200は、端末装置300から受信したWebサービスID及びパスワードが正しければ、アクセストークンを生成し(S406)、当該アクセストークン及びユーザ情報を認証管理サーバ100へ送信し、サービス送受信部102は、アクセストークン及びユーザ情報を取得する(S407)。
If the Web service ID and password received from the
取得したユーザ情報を含む他のユーザIDのユーザ認可情報が無い場合(S408;No)、アクセストークンの追加処理になるが、ここでは、処理を省略する。 When there is no user authorization information of another user ID including the acquired user information (S408; No), the access token addition process is performed, but the process is omitted here.
取得したユーザ情報を含む他のユーザIDのユーザ認可情報がある場合、当該ユーザ認可情報のユーザIDに関するアクセストークンの関連付けの必要があるため(S408;Yes)、関連付け対象選択確認部104は、図19(C)に示すような、関連付け対象とするアクセストークンを選択するための選択画面を出力する。ここでは、ユーザID「ID1」に関するアクセストークンの内、サービスC以外のアクセストークンを表示する。 When there is user authorization information of another user ID including the acquired user information, it is necessary to associate an access token related to the user ID of the user authorization information (S408; Yes). A selection screen for selecting an access token to be associated is output, as shown in 19 (C). Here, access tokens other than the service C among the access tokens related to the user ID “ID1” are displayed.
このように、選択画面で端末装置300の利用者に関連付け対象を問い合わせることにより、認証管理サーバ100は、端末装置300の利用者が所望の認可情報のみ関連付けさせることが可能となる。
As described above, by inquiring the user of the
選択画面において、全てのアクセストークンが選択されると、認証管理サーバ100のユーザ認可情報管理部103は、当該ユーザID「ID1」に対応するユーザ認可情報の全てをユーザID「ID1」からユーザID「ID2」に変更する(S409)。サービス送受信部102は、アカウント管理画面の更新結果を端末装置300へ通知する(S410)。アカウント管理画面の更新結果の例を図19(D)に示す。図19(D)に示すように、サービスCの箇所に「D1」のマークが付されるだけでなく、サービスAの箇所に「F2」のマークと、サービスBの箇所に「T2」のマークとが付され、ユーザID「ID1」に関連づいていたアクセストークンが移行されたことを示している。
When all access tokens are selected on the selection screen, the user authorization
次に、別ユーザIDへのアクセストークン移行処理前と別ユーザIDへのアクセストークン移行処理後における、ユーザ管理情報とユーザ認可情報とを図20に示す。図20(A)に示すように、ユーザXは、アクセストークンF1、T1、及びD1に関連付けられたID「ID1」と、アクセストークンF2及びT2に関連付けられたID「ID2」を有している。別ユーザIDへのアクセストークン移行処理を行う前は、ユーザXは、ユーザID「ID2」でログインしている状態である。ユーザID「ID2」でユーザID「ID1」に関連づいているアクセストークンD1に関するログイン操作要求を行い、別ユーザIDへのアクセストークン移行処理が実行された後は、図20(B)に示すように、ステップS409においてユーザ認可情報管理部103によって、ユーザIDが「ID1」のユーザ認可情報は、ユーザID「ID2」に変更されている。そして、ユーザID「ID1」のユーザ認可情報が無くなったので、ステップS409においてユーザ認可情報管理部103によって、ユーザID「ID1」のユーザ管理情報が削除されている。この結果、ユーザID「ID1」に関連づいていたアクセストークンがユーザID「ID2」へ関連付けられることになる。
Next, FIG. 20 shows user management information and user authorization information before an access token transfer process to another user ID and after an access token transfer process to another user ID. As shown in FIG. 20A, the user X has an ID “ID1” associated with the access tokens F1, T1, and D1, and an ID “ID2” associated with the access tokens F2 and T2. . Before the access token transfer process to another user ID is performed, the user X is in a state of logging in with the user ID “ID2”. As shown in FIG. 20B, after a login operation request for the access token D1 associated with the user ID “ID1” is made with the user ID “ID2” and the access token transfer processing to another user ID is executed. In step S409, the user authorization
(閲覧/検索処理)
続いて、ユーザ認可情報を利用して、Webサービス(Web情報の閲覧等)を譲受する処理であるWebサービス情報の閲覧/検索処理を説明する。図21に示すWebサービス情報の閲覧/検索処理のシーケンス図を用いて説明する。
(Browse / Search process)
Next, a Web service information browsing / searching process, which is a process of transferring a Web service (such as browsing of Web information) using user authorization information, will be described. This will be described with reference to the sequence diagram of the Web service information browsing / retrieval process shown in FIG.
まず、前提として、端末装置300から、認証管理サーバ100への認証処理が終了し、認証管理サーバ100へのログイン処理が正常終了しているものとする。
First, as a premise, it is assumed that the authentication process from the
端末装置300は、認証管理サーバ100に対して、テンポラリIDを送信すると共に、端末装置300の利用者の入力操作を介して選択されたWebサービスについて閲覧要求を行うと、認証管理サーバ100のサービス送受信部102は、テンポラリIDを取得すると共に、当該閲覧要求を受け付ける(S501)。認証管理サーバ100の端末アクセス認証部101は、端末装置300から取得したテンポラリIDを用いて、ユーザ管理情報を検索し、端末装置300のアクセスが適切であるか否かを判断する(S502)。そして、ユーザ認可情報管理部103は、上記テンポラリIDを用いて、ユーザ管理情報及びユーザ認可情報を検索し、閲覧要求対象のWebサービスサーバ200のアクセストークンを取得する。そして、サービス送受信部102は、アクセストークンを送信すると共にWebサービスサーバ200に対して、閲覧要求を行う(S503)。
When the
Webサービスサーバ200は、当該閲覧要求を受け付けると、閲覧/検索結果を認証管理サーバ100へ送信し、認証管理サーバ100のサービス送受信部102は、閲覧/検索結果を取得する(S504)。そして、当該サービス送受信部102は、閲覧/検索結果を端末装置300へ送信する(S505)。
When the
このように、認証管理サーバ100で、アクセストークンを管理しているため、端末装置300が認証管理サーバ100へログインしていれば、端末装置300からWebサービスサーバ200へアクセスするための情報を端末装置300の利用者が入力することなく、Webサービスサーバ200が提供するサービスを譲受することができる。
Thus, since the
(認可情報の有効/無効の切り替え)
続いて、移行後のアクセストークンの有効状態の制御について説明する。他のユーザIDのアクセストークンを関連付けた結果、同一のWebサービスのアクセストークンが複数存在することになる場合、認可情報制御部105は、必要に応じて、同一のWebサービスの複数のアクセストークンの内、いずれか1つを有効状態にして、他方を無効状態に設定する。設定方法としては、ユーザ認可情報に有効か否かを示すフラグ情報を追加する等がある。
(Authorization information valid / invalid switching)
Next, control of the valid state of the access token after migration will be described. As a result of associating the access tokens of other user IDs, when there are a plurality of access tokens of the same Web service, the authorization
なお、認可情報制御部105は、同一Webサービスの認可情報について、全て一つのみ有効状態に設定にするようにしても良いし、1利用者に対して1つのWebサービスIDのみ許可しているWebサービスのみ、1つの認可情報を有効状態に設定するようにしても良い。
The authorization
図17に示した移行方法のように、ユーザ認可情報管理部103がユーザID「ID1」に関連付けられていたアクセストークンを全てユーザID「ID2」に関連付けると、Webサービスの種別が重複するアクセストークンがある(サービスA及びサービスBに対応するアクセストークン)。
When the user authorization
このうち、サービスAについては1利用者に対して1つのWebサービスIDのみ許可しているため、図22に示すように認可情報制御部105は、サービスAのアクセストークンの内、ユーザID「ID1」に関連づいていたアクセストークンF1を無効にする。サービスBについては、1利用者に対して複数のWebサービスIDを許可しているため、アクセストークンT1,T2ともに有効にする。
Among these, since only one Web service ID is permitted for one user for the service A, the authorization
図23に、アクセストークンの有効可否のフラグ情報を有するユーザ認可情報の例を示す。図23(A)に示すように、ユーザID、アクセストークン、ユーザ情報に加えて、アクティブ情報を加えている。このアクティブ情報がアクセストークンの有効可否のフラグ情報を意味しており、「TRUE」であれば、有効であり、「FALSE」であれば、無効であることを意味する。 FIG. 23 shows an example of user authorization information having flag information indicating whether or not an access token is valid. As shown in FIG. 23A, in addition to the user ID, access token, and user information, active information is added. This active information means flag information indicating whether or not the access token is valid. If it is “TRUE”, it is valid, and if it is “FALSE”, it is invalid.
図23(A)は、「別ユーザIDへのアクセストークン移行処理」前のユーザ認可情報の例を示し、ユーザID「ID1」にアクセストークンF1,T1、D1が関連付けられており、ユーザID「ID2」にアクセストークンF2、T2が関連付けられている。また、1つのユーザIDで、重複するサービスのアクセストークンを有していないので、アクティブは、全て「TRUE」である。 FIG. 23A shows an example of user authorization information before "access token transfer processing to another user ID", where access tokens F1, T1, and D1 are associated with the user ID "ID1", and the user ID " Access tokens F2 and T2 are associated with “ID2”. In addition, since one user ID does not have an access token for a duplicate service, all of the actives are “TRUE”.
図23(B)は、図22で示した「別ユーザIDへのアクセストークン移行処理」後のユーザ認可情報の状態である。上述のように、認可情報制御部105は、サービスAのアクセストークンの内、ユーザID「ID1」に関連づいていたアクセストークンを無効にする。この結果、ユーザID「ID2」、且つアクセストークンF1のユーザ認可情報のアクティブは、「FALSE」になる。
FIG. 23B shows the state of the user authorization information after the “access token transfer process to another user ID” shown in FIG. As described above, the authorization
アカウント管理画面に利用可能なアクセストークンを提示する際、認証管理サーバ100は、ユーザ認可情報のアクティブが「TRUE」であるアクセストークンについてのみ端末装置300へ通知することにより、利用者に対して、利用可能なアクセストークンのみ提示することができる。
When presenting an available access token on the account management screen, the
Webサービスによっては、複数のアカウントの同時利用を許容していないものもある。移行処理により、同一のWebサービスでアクセストークンが複数になることもあり得るが、上述のように、認可情報制御部105が1つのアクセストークンのみ有効とすることにより、複数のアカウントの同時利用を許容していないWebサービスも適切に利用可能となる。
Some Web services do not allow simultaneous use of multiple accounts. There may be a plurality of access tokens in the same Web service due to the migration process. However, as described above, when the authorization
次に、本実施形態に係る認証管理サーバ100の作用効果について説明する。認証管理サーバ100によれば、ユーザ認可情報記憶107は、ユーザID「ID1」に対応する一又は複数のユーザ認可情報を関連付けて記憶すると共に、ユーザID「ID2」に対応する一又は複数のユーザ認可情報を関連付けて記憶し、ユーザ認可情報管理103は、ユーザID「ID1」に関連付けられたユーザ認可情報の移行の選択がされると、選択されたユーザ認可情報を含むユーザID「ID1」に関連付いたユーザ認可情報を、ユーザID「ID2」に関連付けてユーザ認可情報記憶部107へ記憶させる。
Next, operational effects of the
このように、認証管理サーバ100は、ユーザID「ID1」に関連付けられたユーザ認可情報について移行の選択がされると、それに伴い、選択されたアクセストークンを含むユーザID「ID1」に関連付けられたユーザ認可情報をユーザID「ID2」に関連付ける。よって、簡単にユーザID「ID1」に関連付けられているアクセストークンの移行をすることができる。
As described above, when the migration management is selected for the user authorization information associated with the user ID “ID1”, the
また、ユーザ認可情報管理部103は、ユーザID「ID2」によるログインで、ユーザID「ID1」に関連付いているアクセストークンを用いたアクセス要求がある場合、当該アクセス要求の対象となるアクセストークンを含むユーザID「ID1」に関連付けられたユーザ認可情報をユーザID「ID2」に関連付ける。
In addition, when the user authorization
この場合、認証管理サーバ100は、ユーザID「ID1」のアクセストークンが指定されたことを特定しているタイミングで関連付けを行っているので、確実にユーザID「ID1」に関連しているアクセストークンを、ユーザID「ID2」へ関連付けることができる。
In this case, since the
そして、ユーザ認可情報記憶部107は、各ユーザトークンに対応するサービス種別の情報を記憶しており、ユーザID「ID2」への関連付け対象のアクセストークンに対応するサービス種別と同一のサービス種別であり、且つ当該ユーザID「ID2」への関連付け対象のサービストークンとは異なるサービストークンが、ユーザID「ID2」に関連付いている場合、何れかのサービストークンを無効化にする認可情報制御部105をさらに備えている。
The user authorization
このように、認証管理サーバ100は、アクセストークンの有効/無効を制御することにより、複数のアカウントの同時利用を許容していないWebサービスも適切に利用可能となる。
As described above, the
そして、ユーザID「ID2」への関連付け対象となるユーザID「ID1」のアクセストークンの選択確認を受け付ける関連付け対象選択確認部104をさらに備え、ユーザ認可情報管理部103は、関連付け対象選択確認部104を介して選択確認されたアクセストークンを関連付け対象とする。この場合、認証管理サーバ100は、利用者が所望の認可情報のみ関連付けさせることが可能となる。
The user authorization
(他の実施形態)
上述の実施形態では、認証管理サーバ100が、情報処理装置として機能する場合について述べたが、携帯端末装置等、種々のコンピュータ装置に適用するようにしても良い。
(Other embodiments)
In the above-described embodiment, the case where the
上述の実施形態では、アクセストークンを認可情報として用いる場合について述べたが、他の認可情報(例えば、ログイン情報など)を用いるようにしても良い。 In the above-described embodiment, the case where the access token is used as the authorization information has been described. However, other authorization information (for example, login information) may be used.
100…認証管理サーバ、101…端末アクセス認証部、102…サービス送受信部、103…ユーザ認可情報管理部、104…関連付け対象選択確認部、105…認可情報起動可否制御部、106…ユーザ管理情報記憶部、107…ユーザ認可情報記憶部。
DESCRIPTION OF
Claims (5)
第1識別子に関連付けられた認可情報の移行の選択がされると、選択された認可情報および前記第1識別子に関連付いた他の認可情報を、前記第2識別子に関連付けて前記ユーザ認可情報記憶手段へ記憶させるユーザ認可情報管理手段と、を備えることを特徴とする情報処理装置。 One or more authorization information corresponding to the first identifier associated with one user is stored in association with one or more authorization information corresponding to the second identifier associated with the one user. User authorization information storage means for storing
When the migration of the authorization information associated with the first identifier is selected, the selected authorization information and other authorization information associated with the first identifier are associated with the second identifier and stored in the user authorization information storage An information processing apparatus comprising: user authorization information management means stored in the means.
前記ユーザ認可情報管理手段は、第2識別子への関連付け対象の認可情報に対応するサービス種別と同一のサービス種別であり、且つ当該第2識別子への関連付け対象の認可情報とは異なる認可情報が、第2識別子に関連付いている場合、何れかの認可情報を無効化にする認可情報制御手段をさらに備えることを特徴とする請求項1又は2に記載の情報処理装置。 The user authorization information storage means stores service type information corresponding to each authorization information,
The user authorization information management means has the same service type as the service type corresponding to the authorization information to be associated with the second identifier, and authorization information different from the authorization information to be associated with the second identifier, The information processing apparatus according to claim 1, further comprising: an authorization information control unit that invalidates any authorization information when associated with the second identifier.
前記ユーザ認可情報管理手段は、前記選択確認手段を介して選択確認された認可情報を関連付け対象とすることを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。 A selection confirmation means for accepting selection confirmation of authorization information of the first identifier to be associated with the second identifier;
4. The information processing apparatus according to claim 1, wherein the user authorization information management unit sets the authorization information selected and confirmed through the selection confirmation unit as an association target. 5.
一のユーザに関連付けがなされている第1識別子に対応する一又は複数の認可情報を関連付けて前記記憶手段に記憶すると共に、前記一のユーザに関連付けがなされている第2識別子に対応する一又は複数の認可情報を関連付けて前記記憶手段に記憶するユーザ認可情報記憶ステップと、
第1識別子に関連付けられた認可情報の移行の選択がされると、選択された認可情報および前記第1識別子に関連付いた他の認可情報を、前記第2識別子に関連付けて前記記憶手段に記憶させるユーザ認可情報管理ステップと、を含むことを特徴とするユーザ認可情報管理方法。 In a user authorization information management method in an information processing apparatus provided with storage means for storing user authorization information,
One or more authorization information corresponding to a first identifier associated with one user is associated and stored in the storage means, and one or more corresponding to a second identifier associated with the one user A user authorization information storage step for storing a plurality of authorization information in association with each other in the storage means ;
When the migration of the authorization information associated with the first identifier is selected, the selected authorization information and other authorization information associated with the first identifier are stored in the storage means in association with the second identifier. A user authorization information management method comprising: a user authorization information management step.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012144424A JP5903004B2 (en) | 2012-06-27 | 2012-06-27 | Information processing apparatus and authorization information management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012144424A JP5903004B2 (en) | 2012-06-27 | 2012-06-27 | Information processing apparatus and authorization information management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014010486A JP2014010486A (en) | 2014-01-20 |
JP5903004B2 true JP5903004B2 (en) | 2016-04-13 |
Family
ID=50107192
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012144424A Active JP5903004B2 (en) | 2012-06-27 | 2012-06-27 | Information processing apparatus and authorization information management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5903004B2 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6331684B2 (en) * | 2014-05-20 | 2018-05-30 | 富士ゼロックス株式会社 | Information processing apparatus, communication system, and program |
JP5956623B1 (en) * | 2015-01-30 | 2016-07-27 | 株式会社Pfu | system |
WO2020004494A1 (en) * | 2018-06-26 | 2020-01-02 | 日本通信株式会社 | Online service provision system, ic chip, and application program |
US11617084B2 (en) | 2018-06-26 | 2023-03-28 | Japan Communications Inc. | Online service providing system and application program |
EP3817279A4 (en) * | 2018-06-26 | 2022-03-23 | Japan Communications, Inc. | Online service provision system and application program |
CN113378221B (en) * | 2021-06-11 | 2022-09-23 | 上海妙一生物科技有限公司 | Account information processing method and device |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003233690A (en) * | 2002-02-08 | 2003-08-22 | Dainippon Printing Co Ltd | System and method for managing license |
JP4525609B2 (en) * | 2006-02-22 | 2010-08-18 | 日本電気株式会社 | Authority management server, authority management method, authority management program |
WO2009084601A1 (en) * | 2007-12-27 | 2009-07-09 | Nec Corporation | Access right managing system, access right managing method, and access right managing program |
JP4506837B2 (en) * | 2008-01-15 | 2010-07-21 | 日本電気株式会社 | Authority transfer device, authority transfer system, authority transfer method, and authority transfer program |
-
2012
- 2012-06-27 JP JP2012144424A patent/JP5903004B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014010486A (en) | 2014-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10282522B2 (en) | Cross-application authentication on a content management system | |
EP3235213B1 (en) | No password user account access | |
JP5903004B2 (en) | Information processing apparatus and authorization information management method | |
US10484383B2 (en) | Pre-authorizing a client application to access a user account on a content management system | |
US9781089B2 (en) | Authenticating a user account with a content management system | |
US11394715B2 (en) | Proxy authorization of a network device | |
CN109691057B (en) | Interchangeably retrieving sensitive content via a private content distribution network | |
JP4729651B2 (en) | Authentication apparatus, authentication method, and authentication program implementing the method | |
US9166781B2 (en) | Key change management apparatus and key change management method | |
JP6120650B2 (en) | Content management apparatus, content management method and program | |
JP6323994B2 (en) | Content management apparatus, content management method and program | |
KR20230003228A (en) | Document sharing processing methods, devices, devices, media and systems | |
US11689629B2 (en) | Binding a public cloud user account and a personal cloud user account for a hybrid cloud environment | |
KR20200002680A (en) | Single-sign-on method and system for multi-domain services | |
JP2016051329A (en) | Content management apparatus and control method thereof | |
JP2019101668A (en) | System and control method thereof | |
JP2005346570A (en) | Authentication system, authentication method and computer program | |
JP5552720B2 (en) | Storage system, storage server, user data sharing method, and program | |
JP2011215688A (en) | Database access system and method | |
US20230214508A1 (en) | Systems and Methods to Provide Temporary Document Access for Secure File Sharing | |
JP2014241113A (en) | Content management device, content management system, content management method, and program | |
US10554789B2 (en) | Key based authorization for programmatic clients | |
JP2021117807A (en) | Data access control program, data access control method and authorization server | |
JP7021550B2 (en) | Access control devices, access control systems and programs | |
JP2005293088A (en) | Authentication system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150209 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150925 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151104 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151224 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160301 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160311 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5903004 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |