JP5955106B2 - マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 - Google Patents

マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 Download PDF

Info

Publication number
JP5955106B2
JP5955106B2 JP2012126544A JP2012126544A JP5955106B2 JP 5955106 B2 JP5955106 B2 JP 5955106B2 JP 2012126544 A JP2012126544 A JP 2012126544A JP 2012126544 A JP2012126544 A JP 2012126544A JP 5955106 B2 JP5955106 B2 JP 5955106B2
Authority
JP
Japan
Prior art keywords
mapping
user
server
function
idp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012126544A
Other languages
English (en)
Other versions
JP2013250894A (ja
Inventor
存 田村
存 田村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2012126544A priority Critical patent/JP5955106B2/ja
Publication of JP2013250894A publication Critical patent/JP2013250894A/ja
Application granted granted Critical
Publication of JP5955106B2 publication Critical patent/JP5955106B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、たとえばマルチテナント対応したサーバー群の間等でシングルサインオンを実現するための、マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法に関する。
特に、サーバー群から構成されるIDPを複数登録可能なシステムにおいて、各々のIDPに適当なマッピングサーバーとシングルサインオンシステム、マッピング機能提供方法に関する。
従来、異なるドメイン下に存在する複数のサーバー間で認証を連携させる技術として、Security Assertion Markup Language(以下SAMLという)によるシングルサインオン(以下SSOという)の仕組みが知られている。SAMLを実現するシステムは、認証機能を提供するサーバー群(アイデンティティプロバイダ、以下IDPという)を含む。またIDPの認証結果を信頼して機能を提供する少なくとも一つ以上のサーバー群(サービスプロバイダ、以下SPという)も含む。SAMLによるSSOを利用するユーザーは、前述のIDPとSPのそれぞれのドメインにおけるユーザーID等の認証情報を登録している。
ユーザーがSPの機能提供を受ける場合、IDPにアクセスし認証を受ける必要がある。例えば、ユーザーはIDPにて管理されているユーザーIDおよびパスワードを使ってIDPで認証される。そしてIDPは、認証したユーザーに対し、認証したことの証明であるSAMLアサーションをSP向けに発行する。SPは、このSAMLアサーションが、信頼しているIDPで発行されたものかを検証する事でユーザーを認証する。たとえばこの検証は、IDPの証明書を用いた電子署名を検証することで行われる。このとき、ユーザーはSPで管理されている認証情報を入力することなく、SPと連携するサーバー群が提供するサービスを受けることができる。
なお、ユーザーがSPにSSOを利用しアクセスする際は、上述のように自身のSP用のユーザーIDをSPに渡していない。そのため、ユーザーはSSOを利用するのに先立って、IDPで認証を受けるIDP用のユーザーIDと、SPにアクセスする際のSP用のユーザーIDとの対応関係を上述のシステムに保持しておく必要がある。この対応関係を登録する処理をシングルサインオンマッピング(以下、SSOマッピングという)と呼ぶ。
このように、SAMLのSSOは、IDPとSPの信頼関係によって成り立っている。つまりは、SSOを実現する前に、事前にIDPとSPとの間で信頼関係を結んでいる必要がある。この信頼関係は、SAMLプロトコルで規定されたどの方式でSSOを行うのかを記述したメタデータと、アサーションがIDPから発行された事を証明するための電子証明書の交換によって成立する。
前述の通り、SAMLは、ユーザーがIDPによって認証されたこと、またそのIDPがSPから見て信頼できるものであることを検証することで、安全にSSOを提供する。より具体的には、SPは、IDPで発行されたアサーションの署名を事前に設定した電子証明書を用いて検証する事でSSOを実現する。ただし、SAMLの仕組み自体は安全であっても、SAMLの設定、例えばSSOマッピングが間違っていた場合、IDPで認証を受けたユーザーは、意図しないユーザーにマッピングされてSPにアクセスしてしまう。そのユーザーは、SPにおける別のユーザーとして承認されたことになる。このことからも、SAMLの仕組みを安全に利用するためにはSSOの設定も安全に設定してある必要がある。
次に、IDPとSPとの関係を考える。SPから見た場合、IDPは、エンティティID(Entity ID)と呼ばれるIDで識別される。このエンティティIDは事前に交換したメタデータに記載されている。ここでIDPによっては、認証機能を提供するサーバー群として単一のエンティティIDしか持たないものと、複数のエンティティIDを持てるものとがある。エンティティIDが単一か複数かは、IDPの構成によって異なる。
たとえばSAMLはHTTPで実現されるため、エンドポイントはURLで定義される。またアサーションを署名するためにエンティティIDごとに異なる電子証明書が必要となるが、電子証明書はホスト名に紐づけて発行される。結果として、IDPが複数のエンティティIDを持つためにはエンティティIDごとに異なるホスト名も持ち、またそれらのホスト名のIPアドレスが解決できる必要がある。IDPがユーザーの求めに応じ動的にエンティティIDを追加するのであれば、IDPがDNSサーバーを備え、エンティティIDの追加に対応して新しいホスト名とIPアドレスをDNSサーバーに登録するなどの作業が必要になる。よってIDPが複数のエンティティIDを持つには比較的規模の大きなIDPでないと対応が難しい。
一方アプリケーションサービスプロバイダーなど第三者にサービスを提供するケースでは、第三者からのアクセスを特定のURLに限定することで利便性や安全性を向上させることがある。このような場合は、URLが単一になり、エンティティIDが単一になる。
上記のようにエンティティIDが単一か複数かは、IDPの構成によって異なる。
ここで1つのSPに対し、複数のIDPでSSOを可能とする場合を考える。その実現のためには、いずれのIDPともSSOできるようにするため、あらかじめSPにIDPを登録しておく必要がある。
そこで従来、SSO対象のサーバー群を複数登録できるようにする方式があった(特許文献1等参照)。この方式によれば、SSO対象のサーバー群を複数登録できる。またSSO対象のサーバー群の登録を解除する際は、そのサーバー群に対応する画像を表示させることで、意図しないサーバー群の登録を解除することを防いでいる。
特許第4186521号
しかしながら従来の方法には以下の問題があった。すなわち、SSOするためには事前にSSOマッピングの設定が必要であるが、SSO対象のサーバー群であるIDPまたはSPが複数登録されている場合は、それぞれのIDPまたはSPに対して適当な手段でSSOマッピングする必要がある。たとえば複数のユーザー企業が同一のSPを利用するケースを考えると、SP上で管理される各企業の情報は互いに独立して分離されている必要がある。このような分離の単位を、以下でテナントと呼ぶ。ここでひとつのSPに複数IDPを登録する場合を考える。このときIDPのあるユーザーに対し、SPの異なるテナントのユーザーをSSOマッピングできてしまうことは情報漏えいの危険がありセキュリティ上好ましくない。また逆に、1つのSPのテナントに対し、異なるIDPのユーザーをSSOマッピングできてしまうことも、同様に好ましくない。いずれも当該ユーザーの本来の権限を越えた他のユーザーの権限でSPにアクセスし得るためである。よって誤ったSSOマッピングを防ぎ、セキュリティを担保することが必要である。ここでIDPの特性により、セキュリティを担保するためのSSOマッピングの方式が異なるため、登録されたIDPに対して適当な方式でSSOマッピングする必要がある。
さらに、SSOマッピングを実施する際には、そのSSOマッピング行為の妥当性を確認するために、IDPのAPIを呼ぶ場合がある。このとき、IDPのAPIを呼び出すには、IDPの認証や認可が必要になる。そのため、認証や認可を受ける前処理が必要となる。この前処理には、IDPごとのポリシーによって、IDとパスワードとによる認証が求められる場合や、OAuthと呼ばれる認可の仕組みを利用する必要がある場合もある。このように、IDPごとに適当な方式で前処理する必要がある。
また、同一のIDPで複数の前処理が利用可能な場合がある。そのようなケースでは、ユーザーの選択に従い、SSOマッピング時にどの前処理方式を利用するか判断できる必要がある。
本発明は上記従来例に鑑みてなされたもので、情報漏えい等、セキュリティ上の危険を抑制したSSOマッピングを実現できるマッピングサーバーとシングルサインオンシステム、マッピング機能提供方法を提供することを目的とする。
上記目的を達成するために本発明は以下の構成を備える。
認証サーバーがユーザーを認証したことを示すユーザー認証情報を、他のサーバーにおける前記ユーザーのユーザーIDと関連付けて当該サーバーへのアクセスを許すシングルサインオンシステムにおいて、ユーザーIDを関連付けたマッピング情報を提供するマッピングサーバーであって、
前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報と、
前記マッピング機能を実行する前に行うべき前処理を、前記認証サーバーごとに関連付けて登録した前処理機能情報と、
前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段と
を有し、
前記実行手段は、前記前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する。
あるいは、他の側面によれば、本発明は、マッピングサーバーと、認証サーバーと、そのほかのサーバーとを含むシングルサインオンシステムにある。
本発明によれば、ユーザーが利用可能なIDPを一覧表示させるとともに、それぞれのIDPに対して適切なSSOマッピング機能を対応づけることができる。そのため、IDPの特性にあわせて、セキュリティを担保するため適切なSSOマッピング機能を提供することができる。
ネットワーク構成を示す図である。 本発明の実施の形態に係るPCの構成図である。 本実施の形態に係るモジュール構成図である。 本実施の形態に係るデータ例である。 本実施の形態に係るSSOマッピングのためのフローである。 本実施の第2の形態に係るモジュール構成図である。 本実施の第2の形態に係るデータ例である。 本実施の第2の形態に係るSSOマッピングのための前半のフローである。 本実施の第2の形態に係るSSOマッピングのための後半のフローである。 本実施の第2の形態に係るモジュール構成図である。 本実施の第2の形態に係るデータ例である。 本実施の第2の形態に係るSSOマッピングのためのフローである。 本実施の形態に係る画面例である。 本実施の第2の形態に係る画面例である。 本実施の第3の形態に係る画面例である。
[第1実施形態]
本発明の目的は、認証を連携させたいサーバー群の間で、それぞれに適切なSSOマッピング機能を提供することである。なお本実施形態及び第2乃至第4の実施形態でいうマッピング機能とは、サーバー(あるいはサービスともいう)間のユーザーIDを関連付けてIDの対応表(あるいはマッピング情報)を構成する機能である。以下、本発明を実施するための最良の形態について図面を用いて説明する。
<システム構成>
本実施の形態に係るシングルサインオンシステムは、図1に示すような構成のネットワーク上に実現される。WAN100は、広域ネットワークであり、本実施形態ではたとえばインターネットで、特にHTTPを用いたWorld Wide Web(WWW)システムである。LAN101は各構成要素を接続するローカルエリアネットワークである。クライアントPC200はユーザーが操作するクライアントPCであり、マッピングサーバー300は、エンティティIDごとにIDP用のユーザーIDとSP用のユーザーIDとを関連付けたマッピング情報を有しており、SSOマッピングを実施するとともに、マッピング情報を管理するための機能を提供する。IDP−A400、IDP−B410およびIDP−C420はそれぞれユーザーを認証するアイデンティティプロバイダ。なおここでマッピングサーバーはサービスプロバイダ(SP)であることを想定しているが、マッピングサーバーがアイデンティティプロバイダ(IDP)であり、400、410および420がSPであってもよい。アイデンティティプロバイダは、認証サーバーと呼んでもよいし、サービスプロバイダは、単にサービス或いはサーバーと呼んでもよい。
またクライアントPC200、マッピングサーバー300、IDP−A400、IDP−B410、IDP−C420はそれぞれWANネットワーク100およびLAN101を介して接続されている。なおクライアントPC200およびマッピングサーバー300やそれぞれのIDPは、それぞれ個別のLAN上に構成されていてもよいし同一のLAN上に構成されていてもよい。また同一のPCまたはサーバーコンピューター上に構成されていてもよい。例えばIDP−A300が構成されるサーバーコンピューター上に、不図示のIDPであるIDP−A−TRIALが構成されていてもよい。マッピングサーバー300、IDP−A400、IDP−B410、IDP−C420はそれぞれ、後述のサーバーコンピューター上で動作する。
マッピングサーバー300はまずユーザーのログインを受け付ける。次にユーザーが利用可能なIDPの一覧を表示する。そしてマッピングサーバー300はユーザーからのSSOマッピング設定要求を受け付けると、そのSSOマッピング設定要求に対応したIDPに関して適当なSSOマッピングを実施する。
<コンピュータの構成>
図2は本実施の形態に係るクライアントPC200の構成を示す図である。またマッピングサーバー300、IDP−A400、IDP−B410、IDP−C420のサーバーコンピューターの構成も同様である。尚、図2に示されるハードウェアブロック図は一般的な情報処理装置のハードウェアブロック図に相当するものとし、本実施形態のクライアントPC200およびサーバーコンピューターには一般的な情報処理装置のハードウェア構成を適用できる。
図2において、CPU201は、ROM203のプログラム用ROMに記憶された、或いはハードディスク211からRAM202にロードされたOSやアプリケーション等のプログラムを実行する。ここでOSとはコンピュータ上で稼動するオペレーティングシステムの略語である。後述する各フローチャートの処理はこのプログラムの実行により実現できる。RAM202は、CPU201の主メモリ、ワークエリア等として機能する。キーボードコントローラ(KBC)205は、キーボード(KB)209や不図示のポインティングデバイスからのキー入力を制御する。CRTコントローラ(CRTC)206は、CRTディスプレイ210の表示を制御する。ディスクコントローラ(DKC)207は各種データを記憶するハードディスク(HD)211やフロッピー(登録商標)ディスク(FD)等におけるデータアクセスを制御する。NC212はネットワークに接続されて、ネットワークに接続された他の機器との通信制御処理を実行する。
尚、後述の全ての説明においては、特に断りのない限り実行のハード上の主体はCPU201であり、ソフトウェア上の主体はハードディスク(HD)211にインストールされたアプリケーションプログラムである。
<マッピングサーバーのモジュール構成>
図3は本実施の形態に係る、マッピングサーバー300のモジュール構成図である。マッピングサーバー300はマッピング機能管理モジュール301、マッピング機能提供モジュール302、利用IDP管理モジュール303を有する。1つのマッピング機能提供モジュール302が複数のIDPに対応したSSOマッピング機能を提供してもよく、またIDPごとに異なるSSOマッピング機能提供モジュール302が存在してもよい。ユーザーがマッピングサーバー300にアクセスすると、利用IDP管理モジュール303が当該ユーザーの利用可能なIDPを返す。またマッピング機能管理モジュール301は、利用IDP管理モジュールが返したIDPごとに、対応したマッピング機能提供モジュール302の機能を提供する画面のURLを返す。
<マッピングサーバーにより管理されるデータ>
図4A、図4Bは本実施の形態に係る、データ例である。図4Aは本実施の形態に係る、マッピング機能一覧のデータ例である。マッピング機能一覧350は、マッピング機能管理モジュール301が管理するデータである。ここでマッピング機能一覧350は、複数のマッピング機能情報を持つ。個々のマッピング機能情報は、IDPを特定するIDP識別子と、そのIDPとのSSOマッピングに関する設定をマッピングサーバー300が管理するかどうかを示すマッピング管理場所情報を持つ。マッピング管理場所情報は、マッピングサーバー300が管理することを示す「サーバー内」(internal)とマッピングサーバー300が管理しないことを示す「サーバー外」(external)のいずれかの値をとる。さらにマッピングサーバー300がSSOマッピング機能を提供する場合、個々のマッピング機能情報はIDPに対応するマッピング機能提供モジュール302の機能を提供する画面(SSOマッピング画面)のURLを持つ。
図4AではIDP−A400、IDP−A−TRIAL、IDP−B410の3つのIDPが登録されている様子を示す。これらのIDPの内、IDP−A400およびIDP−A−TRIALは、マッピングサーバー300がSSOマッピングを管理していることを示すとともに、対応するSSOマッピング画面のURLも持つ。またIDP−B410はSSOマッピング管理場所がマッピングサーバー300の外部であることを示すとともに、対応するマッピング画面を持たないことを示す。
図4Bは本実施の形態に係る、利用IDP一覧のデータ例である。利用IDP一覧351は、利用IDP管理モジュール303が管理するデータである。ここで利用IDP一覧351は複数の利用IDP情報を持つ。個々の利用IDP情報は、マッピングサーバー300にアクセスしたユーザーを識別するための利用者識別子と、そのユーザーが利用可能なIDPのIDP識別子を持つ。なお利用者識別子はユーザーそのものの識別子でもよく、ユーザーが所属するテナントの識別子であってもよいが、ここでは利用者識別子はテナント識別子であるとする。ここではテナントT001に所属するユーザーであれば、IDP−A400、IDP−A−TRIAL、IDP−B410の3つのIDPが利用可能であることを示す。
<IDP一覧表示処理>
図5A、図5Bはそれぞれ、本実施の形態に係る、SSOマッピングのための機能の一覧表示および各SSOマッピング機能への振り分けフローである。
図5Aは本実施の形態に係る、SSOマッピングのための機能の一覧表示のフローである。ユーザーがマッピングサーバー300にアクセスすると、そのユーザーが利用可能なIDPが、それぞれ対応したSSOマッピング機能の提供画面への遷移ボタンとともに一覧表示される。
ステップS1001でマッピングサーバー300は、利用IDP管理モジュール303から、利用IDP一覧351のうち、ログインしているユーザーの利用者識別子に対応する利用IDP一覧を取得する。ここでユーザーの利用者識別子が、ユーザーが所属するテナントの識別子であるT001であれば、取得できる利用IDP一覧はIDP−A400、IDP−A−TRIAL、IDP−B410の3つのIDPを含むことが図4Bの例からわかる。利用IDP一覧351に含まれるIDPの数が増減すると、それに応じて、後述のフローで処理されるIDPの数が増減する。
ステップS1002でマッピングサーバー300は、ステップS1001で取得した利用IDP一覧(これを対象IDPと呼ぶ)の内、未処理の利用IDP情報があるか判断する。未処理のIDPがあればステップS1003へ遷移する。また未処理のIDPがなければフローを終了する。
ステップS1003でマッピングサーバー300は、ステップS1001で取得した対象IDPの内、未処理のIDPを取り出す、あるいは未処理のIDPに着目する。なお、ステップS1001で取得した対象IDPのうち、ステップS1003で着目したIDPを着目IDPと呼ぶことがある。
ステップS1004でマッピングサーバー300は、ステップS1003で取り出した対象IDPに対応するマッピング機能情報(図4A参照)を、マッピング機能管理モジュール301から取り出す。これを着目マッピング機能情報と呼ぶことがある。
ステップS1005でマッピングサーバー300は、ステップS1004で取り出した着目マッピング機能情報を参照し、マッピングサーバー300がSSOマッピングを管理しているか、すなわちSSOマッピング管理場所情報がサーバー内であるか判断する。判断の結果、マッピングサーバー300がSSOマッピングを管理するのであればステップS1006に遷移する。マッピングサーバー300がSSOマッピングを管理しないのであれば、着目しているIDPに関する処理を終了し、ステップS1002に遷移する。たとえばステップS1004で取り出した着目マッピング機能情報がIDP−A400に関するものであった場合、図4Aに示す通りIDP−A400はマッピングサーバー300がSSOマッピングを管理するため、ステップS1006に遷移する。
ステップS1006でマッピングサーバー300は、ステップS1004で取り出した着目マッピング機能情報から、SSOマッピング機能を提供する画面のURL(図4AのSSOマッピング画面URL)を取り出す。
ステップS1007でマッピングサーバー300は、ステップS1006で取り出したSSOマッピング画面URLを、ステップS1003で取り出した着目IDPの識別子とともに、画面表示させる。以上でそのIDPに関する処理を終了し、ステップS1002に遷移する。
図5Aのフローが完了した際に画面に表示されるのは、例えば図13Aに示されるようなIDP一覧表示画面500である。図13Aに示す通り、ログイン中のユーザーが利用可能なIDP一覧500がユーザーインターフェースに表示され、そこにはIDP識別子に関連付けて、そのIDPに対応するSSOマッピング画面へのリンク(URL)が埋め込まれたオブジェクト、たとえば遷移ボタン1301が表示される。このボタンをユーザーが押下すると、図5Bの処理が開始される。
<マッピング機能提供処理>
図5Bは本実施の形態に係る、各SSOマッピング機能への振り分けフローである。図5Aで表示された、それぞれのIDPに対応したSSOマッピング機能を提供するURLへの遷移ボタン1301をユーザーが押下すると、本フローが開始される。
ステップS1101でマッピングサーバー300は、IDPに対応したSSOマッピング機能を提供するURLへの遷移ボタンの押下を受け付ける。あるいは遷移ボタンが押下されるとS1102から処理が開始される。
ステップS1102でマッピングサーバー300は、遷移ボタンに紐付けられたSSOマッピング画面URLへ、ユーザーをリダイレクトさせる。
ステップS1103でマッピング機能提供モジュール302は、それぞれのIDPに対応したURLで特定されるSSOマッピング画面を通してURLごとに固有のSSOマッピング機能を提供し、フローを終了する。ここで、リダイレクト先のURLで表示される画面は、例えば図13Bに示されるようなマッピング機能提供画面501である。設定ファイルをユーザーが指定して設定ボタンを押下すると、設定ファイルが、マッピングサーバーが保持および管理するマッピング情報として設定される。ただし、設定前に、URLごと、すなわちIDPごとのSSOマッピング機能により、設定ファイルのマッピングに不都合なものがないかチェックする。ここでこのチェック機能の例をいくつか簡単に説明する。たとえばひとつのマッピング機能では、マッピングサーバー300が、IDPとSPのそれぞれから、それらが有するユーザーIDのリストをテナントごとに取得する。そして入力された設定ファイルに定義されたIDP用のユーザーIDとSP用のユーザーIDとの関連付けと照合して、不都合な関連付けがされていないか判定する。不都合な関連付けとは、たとえば、課題の欄で説明したような、IDPまたはSPの相異なる複数のテナントの、他方のひとつのテナントへの関連付けである。この場合には、設定ファイルに定義されたIDP用のユーザーIDとSP用のユーザーIDそれぞれの属するテナントを、取得したテナントごとのユーザーIDのリストを参照して特定する。そしてIDPまたはSPの複数のテナントと関連付けられたSPまたはIDPのひとつのテナントがあれば、その設定ファイルは不都合な可能性があるものと判断される。判断の結果は別の画面でクライアントに送信される。不都合な設定を許すか否かは、たとえばサービスプロバイダによる設定に従う。マッピング情報がIDPのエンティティIDを単位として管理されている場合、たとえばテナントごとにエンティティIDを付与しているIDPに対してはこのようなマッピング機能が適用されるのが望ましい。これに対して、複数のテナントに対して同一のエンティティIDを付与するIDPについては、マッピングサーバーにおいても、複数のテナントをまとめてひとつのマッピング情報で管理するため、マッピング情報で複数のテナントどうしが関連付けられる。したがって上述した方法では不都合な関連付けを判定することが困難である。
そこでこのようなIDPについては、上述したチェックに加えて、さらに以下のような判定を行う。すなわち、たとえばIDPあるテナントからユーザーIDを削除し、それと同一のユーザーIDを他のテナントに追加した場合を考える。上述したようにひとつのテナントがひとつのエンティティIDで管理されている場合、マッピングサーバーでは、エンティティIDすなわちテナントごとにマッピング情報を管理するために、意図しないマッピングが行われることはない。追加されたユーザーIDは、削除されたユーザーIDの属するテナントとは異なるテナントのユーザーとしてマッピング情報においても管理されるためである。ところが複数のテナントを一つのエンティティIDで管理するIDPの場合、上述のようなユーザーIDのテナント間の移動があると、移動後のテナントが、マッピング情報に残っているユーザーID間の関連付けよって関連付けられてしまうことがあり得る。そこで複数のテナントを一つのエンティティIDで管理するIDPについては、IDP用のユーザーIDとSP用のユーザーIDとを直接関連付けず、中間的なIDを介して関連付ける。上記のようなテナント間のユーザーIDの移動があっても、異動後のユーザーIDにはあらたな中間的なIDを割り当てることで、不都合な関連付けを防止できる。このように、設定ファイルに定義されたユーザーIDの関連付けを、中間的なIDを介した関連付けに変換して、マッピング情報として設定する。以上のようにIDPに応じて、マッピング情報の設定は異なるマッピング機能で実現される。IDPとマッピング機能との関連付けはあらかじめ定められ、図4Aに示したようなSSOマッピング機能一覧に定義される。このマッピング機能一覧は、マッピングサーバーにあらかじめ登録され、参照される。そのためにたとえば図3のマッピング機能管理モジュールは、クライアントのブラウザからアクセスに応じて、マッピング機能一覧350を保守できるように構成してもよい。SSOマッピング画面およびそのURLと、そのSSOマッピング画面で指定された設定ファイルをマッピング情報として登録するマッピング機能を実現するプログラムなどは、別途用意しておく必要がある。
図13A、図13Bは本実施の形態に係る、画面例である。図13AはIDP一覧表示画面の例を示す。ここでIDP一覧表示画面500には、IDP−A400、IDP−A−TRIAL、IDP−B410の3つのIDPが表示されている。またそれらのIDPの内で、IDP−A400、IDP−A−TRIALに関しては、マッピング機能を提供するURLへの遷移ボタン1301も表示されている。
図13Bはマッピング機能提供画面の例を示す。ここでマッピング機能提供画面501は、ユーザーから、SSOマッピングの設定に関する設定ファイルのアップロードを受け付ける。またアップロードされた設定ファイルに従いSSOマッピングを実施する。
設定ファイルには、たとえばSSOマッピングされるユーザーIDが関連付けて格納されている。たとえば設定ファイルは、当該ユーザーが当該IDPで認証を受けるためのIDP用ユーザーIDと、SPで認証を受けるためのSP用ユーザーIDとが、互いに関連付けられて格納されたファイルである。ここでIDPごとにマッピング方式を変えたことで、本来関連付けるべきでないテナントどうしのマッピングは防止されている。本来関連付けるべきでないテナントとは、たとえば実体となるユーザや企業などが異なっているテナントである。
マッピング機能提供モジュール302は、IDPごとにあらかじめ定めたマッピング方式で、指定された設定ファイルに基づいてSSOマッピングを実施する。たとえば、設定ファイルにおいて定義されているIDの対応付けに基づいて、所定の形式のマップファイルとして格納する。
SSOの手順自体は公知のものである。ここで簡単にSSOの手順の一例を説明する。まずユーザーは、クライアントPCのブラウザなどを用いて、アイデンティティプロバイダを兼務する第1のサービスプロバイダにアクセス要求する。アイデンティティプロバイダはユーザーに対して認証要求する。ユーザーの認証はたとえばユーザーID(ここではアイデンティティプロバイダ用のユーザーID)とパスワードとを用いる。アイデンティティプロバイダはユーザー認証を行うと、認証したことの証明であるユーザー認証情報(SAMLアサーション)を発行し、それを保持する。これは同時にユーザーが認証されて第1のサービスプロバイダへのアクセス要求が受け付けられることでもある。その後、当該ユーザーが第2のサービスプロバイダへのアクセスを要求すると、第2のサービスプロバイダはアイデンティティプロバイダに対して認証要求する。その認証要求に対してアイデンティティプロバイダは、アクセス要求したユーザーのユーザー認証情報すなわちSAMLアサーションを応答する。SAMLアサーションには、当該ユーザーのアイデンティティプロバイダ用のユーザーIDと電子署名とが含まれている。電子署名を検証してこのSAMLアサーションが信頼しているアイデンティティプロバイダで発行されたものであるか判定し、検証が成功すれば当アイデンティティプロバイダ用ユーザーIDを読んで、対応するサービスプロバイダ用のユーザーIDへの変換をマッチングサーバーに要求する。応答されたユーザーIDの権限で、ユーザーは第2のサービスプロバイダへアクセスする。以上のようにしてSSOを実現している。
本実施の形態によれば、マッピングサーバーは、ユーザーが利用可能なIDPを一覧表示させるとともに、それぞれのIDPに対して適切なSSOマッピング機能を対応づけることができる。そのため、IDPの特性にあわせて、セキュリティを担保するため適切なSSOマッピング機能を提供することができる。
[第2実施形態]
次に、本発明を実施するための第2の形態について図面を用いて説明する。なお第1の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。
図6は本実施の第2の形態に係る、マッピングサーバー300のモジュール構成図である。マッピングサーバー300はマッピング機能管理モジュール301、マッピング機能提供モジュール302、利用IDP管理モジュール303から構成される。また前処理機能管理モジュール311、前処理機能提供モジュール312を持つ。1つの前処理機能提供モジュール312が複数のIDPに対応した前処理機能を提供してもよく、またIDPごとに異なる前処理機能提供モジュール312が存在してもよい。ユーザーがマッピングサーバー300にアクセスすると、利用IDP管理モジュール303がユーザーの利用可能なIDPを返す。また前処理機能管理モジュール311は、利用IDP管理モジュールが返したIDPごとに、対応した前処理機能提供モジュール312の機能を提供するURLを返す。
図7は本実施の第2の形態に係る、データ例である。図7Aは本実施の第2の形態に係る、マッピング機能管理モジュール301が管理するマッピング機能一覧のデータ例である。ここでマッピング機能一覧360は、IDP−C420に関するマッピング機能情報が追加されている。
図7Bは本実施の第2の形態に係る、利用IDP一覧管理モジュール303が管理する利用IDP一覧のデータ例である。ここで利用IDP一覧361は、テナントT001に所属するユーザーが利用可能なIDPとして、IDP−C420が追加されている。
図7Cは本実施の第2の形態に係る、前処理機能一覧のデータ例である。前処理機能一覧362は、前処理機能管理モジュール311が管理するデータであり、複数の前処理機能情報を持つ。個々の前処理機能情報はIDPを特定するIDP識別子と、そのIDPとのSSOマッピングに先立ち必要な前処理機能が提供される前処理URLとを持つ。ここでは、IDP−A400およびIDP−A−TRIALについてはマッピングサーバー300内の画面が前処理機能を持つことを示す。これは例えば、ユーザーがマッピングサーバー300の画面からIDP−A400のIDとパスワードを入力する場合が該当する。このときマッピングサーバー300は、ユーザーの入力にもとづき、IDP−A400が提供するWebServiceなどのAPIを呼び出して認証を受け、認証セッションを受け取る。またここでは、IDP−C420に関してはIDP−C420の画面が前処理機能を持つことを示す。これは例えばOAuthのように、IDP−C420が提供する認可画面に一旦ユーザーをリダイレクトさせ、マッピングサーバー300は、ユーザーが操作するブラウザ経由で、ユーザーが認可した証拠を受け取る場合が該当する。いずれにしても、前処理URLにより前処理機能を持つ装置を指定することができる。
<IDP一覧表示および前処理>
図8は本実施の第2の形態に係る、前処理も含むSSOマッピングのための機能の一覧表示および各SSOマッピング機能への振り分けフローである。
図8Aは本実施の第2の形態に係る、前処理も含むSSOマッピングのための機能の一覧表示のフローである。ユーザーがマッピングサーバー300にアクセスすると、そのユーザーが利用可能なIDPが、それぞれ対応した前処理機能の提供画面への遷移ボタンとともに一覧表示される。
ステップS1001からステップS1004までは、第1の実施の形態と共通のため、説明を省略する。ステップS1004が完了すると、フローはステップS2001に遷移する。
ステップS2001でマッピングサーバー300は、ステップS1004で取り出したマッピング機能情報を確認し、マッピングサーバー300がSSOマッピングを管理しているか判断する。判断の結果、マッピングサーバー300がSSOマッピングを管理するのであればステップS2002に遷移する。マッピングサーバー300がSSOマッピングを管理しないのであれば、そのIDPに関する処理を終了し、ステップS1002に遷移する。たとえばステップS1004で取り出したマッピング機能情報がIDP−A400に関するものであった場合、IDP−A400はマッピングサーバー300がSSOマッピングを管理するため、ステップS2002に遷移する。
ステップS2002でマッピングサーバー300は、前処理機能管理モジュール311から、前処理機能を提供する画面のURLを取り出す。
ステップS2003でマッピングサーバー300は、ステップS2002で取り出したURLを、ステップS1003で取り出したIDPの識別子とともに、画面表示させる。以上でそのIDPに関する処理を終了し、ステップS1002に遷移する。
図8Aのフローが完了した際に画面に表示されるのは、例えば図14Aに示されるようなIDP一覧表示画面510である。
図8Bは本実施の第2の形態に係る、各前処理機能への振り分けフローである。図8Aで表示された、それぞれのIDPに対応した前処理機能を提供するURLへの遷移ボタンをユーザーが押下すると、本フローが開始される。
ステップS2101でマッピングサーバー300は、IDPに対応した前処理機能を提供するURLへの遷移ボタンの押下を受け付ける。
ステップS2102でマッピングサーバー300は、ステップS2101で押下されたボタンに紐付けられたURLが、マッピングサーバー側のURLか、IDP側のURLか判断する。判断の結果、マッピングサーバー側のURLであれば、マッピングサーバー300が前処理機能を提供するためにステップS2103に遷移する。またIDP側のURLであれば、IDPの前処理機能を利用するためにステップS2150に遷移する。
ステップS2103でマッピングサーバー300は、マッピングサーバー側で前処理機能を提供するために、ステップS2101で押下されたボタンに紐付けられたURLにユーザーのアクセスをリダイレクトさせる。
ステップS2104でマッピングサーバー300の前処理機能提供モジュール312は、前処理を実施し、IDPの認証セッションを受け取る。
ステップS2105でマッピングサーバー300は、マッピング機能管理モジュール301から、ステップS2104で前処理を行ったIDPに対応するマッピング機能情報を取り出す。
ステップS2106でマッピングサーバー300は、ステップS2105で取り出したマッピング機能情報から、マッピング機能を提供するURLを取り出す。
ステップS2107でマッピングサーバー300は、ステップS2106で取り出したURLに対して、ユーザーのアクセスをリダイレクトさせる。
ステップS2108でマッピングサーバー300は、ステップS2107のリダイレクトを受け、ステップS2104の前処理で取得した認証セッションを用いて、IDPのAPIを呼び出す。
ステップS2109でマッピングサーバー300のマッピング機能提供モジュール302は、ステップS2108のAPI呼び出しに対して返された値を用いて、SSOマッピングを生成する。その際、図13Bに示されるような画面を表示させ、ユーザーから、SSOマッピングの設定に関するファイルのアップロードを受け付けてもよい。ステップS2109でSSOマッピングの生成が完了すると、フローを終了する。
ステップS2150でマッピングサーバー300は、IDPの前処理機能を利用するために、ステップS2101で押下されたボタンに紐付けられたURLにユーザーのアクセスをリダイレクトさせてフローを終了する。
<前処理手順の例>
図9は本実施の第2の形態に係る、前処理の例およびSSOマッピング機能のフローである。図9Aは本実施の第2の形態に係る、マッピングサーバー300におけるIDPに対応した前処理の例である。このフローは図8BのステップS2104の詳細なフローである。この例で前処理機能提供モジュール312は、ユーザーに、IDPにログインするためのIDとパスワードの入力を求める。またユーザーに入力されたIDとパスワードを用いてIDPの認証を受け、認証セッションを受け取る。
ステップS2201で前処理機能提供モジュール312は、図14Bに示されるような第1の前処理機能提供画面511を表示させ、IDPにログインするためのIDとパスワードの入力を受け付ける。
ステップS2202で前処理機能提供モジュール312は、ステップS2201で受け付けたIDとパスワードを用いて、IDPにアクセスする。
ステップS2203で前処理機能提供モジュール312は、IDPの認証を受け、ステップS2202におけるIDPへのアクセスの応答として認証セッションを受け取る。認証セッションを受け取ると本フローは終了する。
図9Bは本実施の第2の形態に係る、IDP側の前処理の例である。このフローは、IDPが、図8BのステップS2150でリダイレクトされたユーザーのアクセスを受けることで開始される。この例では、リダイレクトを受けるIDPはIDP−C420であるとする。またIDP−C420では、OAuthの認可の仕組みが利用可能であるとする。
ステップS2301でIDP−C420は、マッピングサーバー300からリダイレクトされたユーザーのアクセスを受け付ける。
ステップS2302でIDP−C420は、ステップS2301で受け付けたアクセスの認証を行う。ここで例えば、IDP−C420は、ユーザーに対してIDとパスワードの入力を求めてもよい。
ステップS2303でIDP−C420は、ステップS2302の認証が成功したか判断する。認証に成功していたらステップS2304に遷移する。また認証に失敗していたらステップS2350に遷移する。
ステップS2304でIDP−C420は、マッピングサーバー300によるSSOマッピングの実施を許可するかを問う画面を表示させ、ユーザーの許可を求める。ここで表示される画面は、例えば図14Cに示されるような第2の前処理機能提供画面512であってもよい。
ステップS2305でIDP−C420は、ステップS2304でユーザーの許可を得られたか判断する。ユーザーの許可が得られていた場合にはステップS2306に遷移する。またユーザーの許可が得られていなかった場合にはステップS2350に遷移する。
ステップS2306でIDP−C420は、認可トークンを生成し、ユーザーのアクセスをマッピングサーバー300にリダイレクトさせる。このときリダイレクトは認可トークンを含み、認可トークンはユーザーが操作するクライアントを介してマッピングサーバー300に返される。なおここでリダイレクト先のURLは、マッピングサーバー300がマッピング機能を提供するURLであるとする。ユーザーのアクセスをマッピングサーバー300にリダイレクトさせると本フローは終了する。
ステップS2350でIDP−C420は、ユーザーからのアクセスをマッピングサーバー300にリダイレクトさせる。またこのとき、リダイレクトはユーザーが操作するクライアントを介して行われ、リダイレクトには前処理が失敗したことを示す情報が含まれる。ユーザーのアクセスをマッピングサーバー300にリダイレクトさせると本フローは終了する。
図9Cは本実施の第2の形態に係る、IDP側の前処理後のマッピングサーバー300における処理のフローの例である。このフローはマッピングサーバー300が、図9BのステップS2306でリダイレクトされたユーザーのアクセスを受けることで開始される。
ステップS2401でマッピングサーバー300は、マッピング機能を提供するURLへのリダイレクトを、IDPから受け付ける。
ステップS2402でマッピングサーバー300は、ステップS2401で受け付けたリダイレクトに含まれる認可トークンを取り出す。
ステップS2403でマッピングサーバー300は、ステップS2402で取り出した認可トークンを用いて、IDPのAPIを呼び出す。
ステップS2404でマッピングサーバー300のマッピング機能提供モジュール302は、ステップS2403の応答としてIDPのAPIから返された値を用いて、SSOマッピングを生成する。その際、IDPに対応したマッピング機能情報からSSOマッピング画面URLを取り出し、そのURLで特定される図13Bに示されるような画面を表示させ、ユーザーから、SSOマッピングの設定に関するファイルのアップロードを受け付けてもよい。ステップS2404でSSOマッピングの生成が完了すると、フローを終了する。
<第2実施形態の表示画面の例>
図14は本実施の第2の形態に係る、画面例である。図14AはIDP一覧表示画面の例を示す。ここでIDP一覧表示画面510には、IDP−A400、IDP−A−TRIAL、IDP−B410およびIDP−Cの4つのIDPが表示されている。またそれらのIDPの内で、IDP−A400、IDP−A−TRIALおよびIDP−Cに関しては、SSOマッピングの前処理機能を提供するURLへの遷移ボタンも表示されている。
図14Bは前処理機能提供画面の1つ目の例を示す。ここで第1の前処理機能提供画面511は、ユーザーから、IDPにログインするためのIDおよびパスワードの入力を受け付ける。また入力されたIDおよびパスワードに従い、前処理機能提供モジュール312がIDPの認証受け、認証セッションを受け取る。
図14Cは前処理機能提供画面の2つ目の例を示す。ここで第2の前処理機能提供画面512はOAuthにおける認可の画面であり、ユーザーに対して、マッピングサーバー300によるSSOマッピングを許可するかを問う。ここでユーザーが「許可」ボタンを押下すると、OAuthに従い、認可トークンが発行される。また発行された認可トークンはマッピングサーバー300に渡される。
以上のように、IDPごとに、マッピング機能のみならず前処理についてもあらかじめ定めた処理を実行させることが可能となる。本実施の第2の形態によれば、IDPごとに適当な方式で前処理を実施した上で、SSOマッピングを実施する際にIDPのAPIを呼ぶことが可能となる。そのためIDPごとのポリシーによって、IDとパスワードによる認証が求められる場合や、OAuthの認可の仕組みを利用する場合でも、適切な前処理が実施できる。
[第3の実施形態]
次に、本発明を実施するための第3の形態について図面を用いて説明する。なお第1の実施の形態および第2の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。
図10は本実施の第3の形態に係る、マッピングサーバー300のモジュール構成図である。マッピングサーバー300はマッピング機能管理モジュール301、マッピング機能提供モジュール302、利用IDP管理モジュール303から構成される。また前処理機能提供モジュール312、および第2の前処理機能管理モジュール321を持つ。第2の前処理管理モジュール321は第2の前処理機能一覧370を持ち、1つのIDPに対して複数の前処理URLを記憶することができる。またユーザーに対してそれら複数の前処理URLを提示することで、ユーザーが望む前処理URLを選択および利用できるようにする。
図11は本実施の第3の形態に係る、第2の前処理機能一覧のデータ例である。第2の前処理機能一覧370は第2の前処理機能管理モジュール321が管理するデータである。ここで第2の前処理機能一覧370は複数の第2の前処理機能情報を持つ。また個々の第2の前処理機能情報は、IDPを特定するIDP識別子と、そのIDPとのSSOマッピングに先立ち必要な前処理機能が提供される前処理URLと、さらに前処理の種別を表す前処理種別を持つ。
ここでは、IDP−A400についてはマッピングサーバー300内の画面が前処理機能を持つとともに、IDP−A400の画面が前処理機能を持つことを示す。これは例えば、図14Bに示されるようなIDとパスワードを入力する前処理機能と、図14Cに示されるようなOAuthによる前処理機能とが提供され、ユーザーがいずれかを選択できる場合を示す。
図12は本実施の第3の形態に係る、マッピング機能の一覧表示のフローである。ユーザーがマッピングサーバー300にアクセスすると、そのユーザーが利用可能なIDPが、それぞれ対応した前処理機能の提供画面への遷移ボタンとともに一覧表示される。
ステップS1001からステップS1004までは、第1の実施の形態と共通のため、説明を省略する。ステップS1004が完了すると、フローはステップS3001に遷移する。
ステップS3001でマッピングサーバー300は、ステップS1004で取り出したマッピング機能情報を確認し、マッピングサーバー300がSSOマッピングを管理しているか判断する。判断の結果、マッピングサーバー300がSSOマッピングを管理するのであればステップS3002に遷移する。マッピングサーバー300がSSOマッピングを管理しないのであれば、そのIDPに関する処理を終了し、ステップS1002に遷移する。たとえばステップS1004で取り出したマッピング機能情報がIDP−A400に関するものであった場合、IDP−A400はマッピングサーバー300がSSOマッピングを管理するため、ステップS3002に遷移する。
ステップS3002でマッピングサーバー300は、第2の前処理機能管理モジュール321から、処理中のIDPに対応するすべての第2の前処理機能情報を取り出す。たとえばここで処理中のIDPがIDP−A400であったとすると、取り出される第2の前処理情報は、前処理種別が「ID / Password」のものと「OAuth」のものの2つである。
ステップS3003でマッピングサーバー300は、ステップS3002で取り出したすべての第2の前処理機能情報から、それぞれの前処理機能を提供するURLと前処理種別を取り出す。
ステップS3004でマッピングサーバー300は、ステップS3003で取り出した前処理機能を提供するURLのそれぞれに対し、対応する遷移ボタンを画面表示させる。またそれぞれのボタンは、対応するIDPの識別子と、さらに前処理種別を表す文言とともに表示される。以上でそのIDPに関する処理を終了し、ステップS1002に遷移する。
図12のフローが完了した際に画面に表示されるのは、例えば図15に示されるようなIDP一覧表示画面520である。
図15は本実施の第3の形態に係る、IDP一覧表示画面の例を示す。ここでIDP一覧表示画面520には、IDP−A400、IDP−A−TRIAL、IDP−B410およびIDP−Cの4つのIDPが表示されている。またそれらのIDPの内で、IDP−A400に関しては、IDとパスワードによる前処理機能の画面への遷移ボタンと、OAuthによる前処理機能の画面への遷移ボタンの、2つの遷移ボタンが表示されている。
IDP一覧表示画面520が表示されたときにユーザーは、IDP−Aに対するSSOマッピングを実施する際に、IDとパスワードによる前処理とOAuthによる前処理の、2つの前処理の内で、自らの望む前処理でSSOマッピングを実施することができる。
本実施の第3の形態によれば、同一のIDPで複数の前処理が利用可能な場合に、ユーザーの選択に従い、SSOマッピング時の前処理を実施することができるようになる。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。

Claims (8)

  1. 認証サーバーがユーザーを認証したことを示すユーザー認証情報を、他のサーバーにおける前記ユーザーのユーザーIDと関連付けて当該サーバーへのアクセスを許すシングルサインオンシステムにおいて、ユーザーIDを関連付けたマッピング情報を提供するマッピングサーバーであって、
    前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報と、
    前記マッピング機能を実行する前に行うべき前処理を、前記認証サーバーごとに関連付けて登録した前処理機能情報と、
    前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
    前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段と
    を有し、
    前記実行手段は、前記前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とするマッピングサーバー。
  2. 前記受け付け手段は、前記マッピング機能情報を参照して、前記認証サーバーの識別子と、認証サーバーごとに関連付けられたマッピング機能へのリンクを埋め込んだオブジェクトとを関連付けて、前記マッピングサーバーへアクセスしているクライアントにユーザーインターフェースとして表示させることを特徴とする請求項1に記載のマッピングサーバー。
  3. 前記実行手段は、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、前記認証サーバーにより前処理を実行させ、該前処理の結果を取得して、前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とする請求項1または2に記載のマッピングサーバー。
  4. 前記前処理機能は、前記マッピングサーバーによるマッピングの実行に対するユーザーによる許可を、前記認証サーバーを介して受ける機能であり、前記前処理の結果は、認可トークンとして受け取ることを特徴とする請求項に記載のマッピングサーバー。
  5. 前記マッピング情報はエンティティIDを持つエンティティ単位で管理され、前記ユーザーIDはユーザーが属するテナントごとに管理され、
    前記実行手段は、選択された認証サーバーに応じて、ひとつのエンティティIDについて、関連付けられるユーザーIDが複数のテナントにわたっていないことチェックするマッピング機能と、互いに関連付けられるユーザーIDを、中間的なIDを介して関連付けたマッピング情報を生成するマッピング機能とを含むことを特徴とする請求項1乃至のいずれか一項に記載のマッピングサーバー。
  6. 請求項1乃至のいずれか一項に記載のマッピングサーバーと、前記認証サーバーと、そのほかのサーバーとを含むシングルサインオンシステム。
  7. 認証サーバーがユーザーを認証したことを示すユーザー認証情報を、他のサーバーにおける前記ユーザーのユーザーIDと関連付けて当該サーバーへのアクセスを許すシングルサインオンシステムにおいて、ユーザーIDを関連付けたマッピング情報を提供するマッピングサーバーとしてコンピュータを機能させるためのプログラムであって、
    前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報を格納する手段と、
    前記マッピング機能を実行する前に行うべき前処理を、前記認証サーバーごとに関連付けて登録した前処理機能情報を格納する手段と、
    前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
    前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段と
    してコンピュータを機能させるためのプログラムであって、
    前記実行手段は、前記前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とするプログラム
  8. 認証サーバーがユーザーを認証したことを示すユーザー認証情報を、他のサーバーにおける前記ユーザーのユーザーIDと関連付けて当該サーバーへのアクセスを許すシングルサインオンシステムにおいて、ユーザーIDを関連付けたマッピング情報を提供するマッピングサーバーにより実行されるマッピング機能提供方法であって、
    前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け工程と、
    前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行工程と
    を有し、
    前記実行工程では、前記マッピング機能を実行する前に行うべき前処理を前記認証サーバーごとに関連付けて登録した前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とするマッピング機能提供方法。
JP2012126544A 2012-06-01 2012-06-01 マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 Expired - Fee Related JP5955106B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012126544A JP5955106B2 (ja) 2012-06-01 2012-06-01 マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012126544A JP5955106B2 (ja) 2012-06-01 2012-06-01 マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法

Publications (2)

Publication Number Publication Date
JP2013250894A JP2013250894A (ja) 2013-12-12
JP5955106B2 true JP5955106B2 (ja) 2016-07-20

Family

ID=49849471

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012126544A Expired - Fee Related JP5955106B2 (ja) 2012-06-01 2012-06-01 マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法

Country Status (1)

Country Link
JP (1) JP5955106B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6235972B2 (ja) * 2014-08-21 2017-11-22 日本電信電話株式会社 Idプロバイダリコメンド装置、idリコメンドシステム、および、idプロバイダリコメンド方法
JP6449993B2 (ja) * 2015-04-15 2019-01-09 株式会社日立システムズ シングルサインオンシステムおよびシングルサインオン方法
EP3528454B1 (en) * 2016-09-14 2020-08-26 Oracle International Corporation Single sign-on and single logout functionality for a multi-tenant identity and data security management cloud service

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1835438B (zh) * 2006-03-22 2011-07-27 阿里巴巴集团控股有限公司 一种在网站间实现单次登录的方法及网站
US8489736B2 (en) * 2009-03-24 2013-07-16 Nec Corporation Mediation device, mediation method and mediation system
JP5389702B2 (ja) * 2010-03-12 2014-01-15 株式会社日立製作所 Idブリッジサービスシステム及びその方法
JP5460493B2 (ja) * 2010-07-02 2014-04-02 三菱電機株式会社 認証システム及び認証基盤装置及び認証プログラム

Also Published As

Publication number Publication date
JP2013250894A (ja) 2013-12-12

Similar Documents

Publication Publication Date Title
JP5614340B2 (ja) システム、認証情報管理方法、およびプログラム
JP4551369B2 (ja) サービスシステムおよびサービスシステム制御方法
US7860882B2 (en) Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations
US7860883B2 (en) Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments
KR101804966B1 (ko) 정보처리장치 및 그 제어방법
JP6141076B2 (ja) システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム
US20030226036A1 (en) Method and apparatus for single sign-on authentication
US8522333B2 (en) Client/server system for communicating according to the standard protocol OPC UA and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system
CN111786969B (zh) 单点登录方法、装置及系统
JP5289480B2 (ja) 情報処理システム、情報処理装置の制御方法、およびそのプログラム。
US9077708B2 (en) Information processing system, control method for controlling the information processing system, and storage medium
US20210144138A1 (en) Authority transfer system, server and method of controlling the server, and storage medium
CN112039873A (zh) 一种单点登录访问业务系统的方法
JP5955106B2 (ja) マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法
US9027107B2 (en) Information processing system, control method thereof, and storage medium thereof
JP6041537B2 (ja) システムおよび制御方法およびプログラム
JP2009205223A (ja) シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
JP6305005B2 (ja) 認証サーバーシステム、制御方法、そのプログラム
US10735399B2 (en) System, service providing apparatus, control method for system, and storage medium
JP2015505626A (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
JP3545573B2 (ja) 認証/権限制御システム
US20170214685A1 (en) System and method for controlling system
WO2023160632A1 (zh) 针对飞地实例的云服务访问权限设置方法和云管理平台
Tanmoy Single Sign-On Feature for Customer Life-Cycle Management Application
Jie et al. A guanxi shibboleth based security infrastructure

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150528

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160314

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160415

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160420

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160516

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160614

R151 Written notification of patent or utility model registration

Ref document number: 5955106

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees