JP5955106B2 - マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 - Google Patents
マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 Download PDFInfo
- Publication number
- JP5955106B2 JP5955106B2 JP2012126544A JP2012126544A JP5955106B2 JP 5955106 B2 JP5955106 B2 JP 5955106B2 JP 2012126544 A JP2012126544 A JP 2012126544A JP 2012126544 A JP2012126544 A JP 2012126544A JP 5955106 B2 JP5955106 B2 JP 5955106B2
- Authority
- JP
- Japan
- Prior art keywords
- mapping
- user
- server
- function
- idp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000013507 mapping Methods 0.000 title claims description 338
- 238000000034 method Methods 0.000 title claims description 53
- 238000007781 pre-processing Methods 0.000 claims description 120
- 230000008569 process Effects 0.000 claims description 34
- 238000013475 authorization Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 description 168
- 108010029660 Intrinsically Disordered Proteins Proteins 0.000 description 30
- 102100037845 Isocitrate dehydrogenase [NADP], mitochondrial Human genes 0.000 description 30
- 230000007704 transition Effects 0.000 description 20
- 238000010586 diagram Methods 0.000 description 10
- 239000000284 extract Substances 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000007423 decrease Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000003825 pressing Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- KNMAVSAGTYIFJF-UHFFFAOYSA-N 1-[2-[(2-hydroxy-3-phenoxypropyl)amino]ethylamino]-3-phenoxypropan-2-ol;dihydrochloride Chemical compound Cl.Cl.C=1C=CC=CC=1OCC(O)CNCCNCC(O)COC1=CC=CC=C1 KNMAVSAGTYIFJF-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
上記のようにエンティティIDが単一か複数かは、IDPの構成によって異なる。
前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報と、
前記マッピング機能を実行する前に行うべき前処理を、前記認証サーバーごとに関連付けて登録した前処理機能情報と、
前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段と
を有し、
前記実行手段は、前記前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する。
本発明の目的は、認証を連携させたいサーバー群の間で、それぞれに適切なSSOマッピング機能を提供することである。なお本実施形態及び第2乃至第4の実施形態でいうマッピング機能とは、サーバー(あるいはサービスともいう)間のユーザーIDを関連付けてIDの対応表(あるいはマッピング情報)を構成する機能である。以下、本発明を実施するための最良の形態について図面を用いて説明する。
本実施の形態に係るシングルサインオンシステムは、図1に示すような構成のネットワーク上に実現される。WAN100は、広域ネットワークであり、本実施形態ではたとえばインターネットで、特にHTTPを用いたWorld Wide Web(WWW)システムである。LAN101は各構成要素を接続するローカルエリアネットワークである。クライアントPC200はユーザーが操作するクライアントPCであり、マッピングサーバー300は、エンティティIDごとにIDP用のユーザーIDとSP用のユーザーIDとを関連付けたマッピング情報を有しており、SSOマッピングを実施するとともに、マッピング情報を管理するための機能を提供する。IDP−A400、IDP−B410およびIDP−C420はそれぞれユーザーを認証するアイデンティティプロバイダ。なおここでマッピングサーバーはサービスプロバイダ(SP)であることを想定しているが、マッピングサーバーがアイデンティティプロバイダ(IDP)であり、400、410および420がSPであってもよい。アイデンティティプロバイダは、認証サーバーと呼んでもよいし、サービスプロバイダは、単にサービス或いはサーバーと呼んでもよい。
図2は本実施の形態に係るクライアントPC200の構成を示す図である。またマッピングサーバー300、IDP−A400、IDP−B410、IDP−C420のサーバーコンピューターの構成も同様である。尚、図2に示されるハードウェアブロック図は一般的な情報処理装置のハードウェアブロック図に相当するものとし、本実施形態のクライアントPC200およびサーバーコンピューターには一般的な情報処理装置のハードウェア構成を適用できる。
図3は本実施の形態に係る、マッピングサーバー300のモジュール構成図である。マッピングサーバー300はマッピング機能管理モジュール301、マッピング機能提供モジュール302、利用IDP管理モジュール303を有する。1つのマッピング機能提供モジュール302が複数のIDPに対応したSSOマッピング機能を提供してもよく、またIDPごとに異なるSSOマッピング機能提供モジュール302が存在してもよい。ユーザーがマッピングサーバー300にアクセスすると、利用IDP管理モジュール303が当該ユーザーの利用可能なIDPを返す。またマッピング機能管理モジュール301は、利用IDP管理モジュールが返したIDPごとに、対応したマッピング機能提供モジュール302の機能を提供する画面のURLを返す。
図4A、図4Bは本実施の形態に係る、データ例である。図4Aは本実施の形態に係る、マッピング機能一覧のデータ例である。マッピング機能一覧350は、マッピング機能管理モジュール301が管理するデータである。ここでマッピング機能一覧350は、複数のマッピング機能情報を持つ。個々のマッピング機能情報は、IDPを特定するIDP識別子と、そのIDPとのSSOマッピングに関する設定をマッピングサーバー300が管理するかどうかを示すマッピング管理場所情報を持つ。マッピング管理場所情報は、マッピングサーバー300が管理することを示す「サーバー内」(internal)とマッピングサーバー300が管理しないことを示す「サーバー外」(external)のいずれかの値をとる。さらにマッピングサーバー300がSSOマッピング機能を提供する場合、個々のマッピング機能情報はIDPに対応するマッピング機能提供モジュール302の機能を提供する画面(SSOマッピング画面)のURLを持つ。
図5A、図5Bはそれぞれ、本実施の形態に係る、SSOマッピングのための機能の一覧表示および各SSOマッピング機能への振り分けフローである。
図5Bは本実施の形態に係る、各SSOマッピング機能への振り分けフローである。図5Aで表示された、それぞれのIDPに対応したSSOマッピング機能を提供するURLへの遷移ボタン1301をユーザーが押下すると、本フローが開始される。
次に、本発明を実施するための第2の形態について図面を用いて説明する。なお第1の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。
図8は本実施の第2の形態に係る、前処理も含むSSOマッピングのための機能の一覧表示および各SSOマッピング機能への振り分けフローである。
図9は本実施の第2の形態に係る、前処理の例およびSSOマッピング機能のフローである。図9Aは本実施の第2の形態に係る、マッピングサーバー300におけるIDPに対応した前処理の例である。このフローは図8BのステップS2104の詳細なフローである。この例で前処理機能提供モジュール312は、ユーザーに、IDPにログインするためのIDとパスワードの入力を求める。またユーザーに入力されたIDとパスワードを用いてIDPの認証を受け、認証セッションを受け取る。
図14は本実施の第2の形態に係る、画面例である。図14AはIDP一覧表示画面の例を示す。ここでIDP一覧表示画面510には、IDP−A400、IDP−A−TRIAL、IDP−B410およびIDP−Cの4つのIDPが表示されている。またそれらのIDPの内で、IDP−A400、IDP−A−TRIALおよびIDP−Cに関しては、SSOマッピングの前処理機能を提供するURLへの遷移ボタンも表示されている。
次に、本発明を実施するための第3の形態について図面を用いて説明する。なお第1の実施の形態および第2の実施の形態と共通の部分については説明を省略し、以下では差異部分のみ説明する。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (8)
- 認証サーバーがユーザーを認証したことを示すユーザー認証情報を、他のサーバーにおける前記ユーザーのユーザーIDと関連付けて当該サーバーへのアクセスを許すシングルサインオンシステムにおいて、ユーザーIDを関連付けたマッピング情報を提供するマッピングサーバーであって、
前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報と、
前記マッピング機能を実行する前に行うべき前処理を、前記認証サーバーごとに関連付けて登録した前処理機能情報と、
前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段と
を有し、
前記実行手段は、前記前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とするマッピングサーバー。 - 前記受け付け手段は、前記マッピング機能情報を参照して、前記認証サーバーの識別子と、認証サーバーごとに関連付けられたマッピング機能へのリンクを埋め込んだオブジェクトとを関連付けて、前記マッピングサーバーへアクセスしているクライアントにユーザーインターフェースとして表示させることを特徴とする請求項1に記載のマッピングサーバー。
- 前記実行手段は、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、前記認証サーバーにより前処理を実行させ、該前処理の結果を取得して、前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とする請求項1または2に記載のマッピングサーバー。
- 前記前処理機能は、前記マッピングサーバーによるマッピングの実行に対するユーザーによる許可を、前記認証サーバーを介して受ける機能であり、前記前処理の結果は、認可トークンとして受け取ることを特徴とする請求項3に記載のマッピングサーバー。
- 前記マッピング情報はエンティティIDを持つエンティティ単位で管理され、前記ユーザーIDはユーザーが属するテナントごとに管理され、
前記実行手段は、選択された認証サーバーに応じて、ひとつのエンティティIDについて、関連付けられるユーザーIDが複数のテナントにわたっていないことチェックするマッピング機能と、互いに関連付けられるユーザーIDを、中間的なIDを介して関連付けたマッピング情報を生成するマッピング機能とを含むことを特徴とする請求項1乃至4のいずれか一項に記載のマッピングサーバー。 - 請求項1乃至5のいずれか一項に記載のマッピングサーバーと、前記認証サーバーと、そのほかのサーバーとを含むシングルサインオンシステム。
- 認証サーバーがユーザーを認証したことを示すユーザー認証情報を、他のサーバーにおける前記ユーザーのユーザーIDと関連付けて当該サーバーへのアクセスを許すシングルサインオンシステムにおいて、ユーザーIDを関連付けたマッピング情報を提供するマッピングサーバーとしてコンピュータを機能させるためのプログラムであって、
前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報を格納する手段と、
前記マッピング機能を実行する前に行うべき前処理を、前記認証サーバーごとに関連付けて登録した前処理機能情報を格納する手段と、
前記マッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け手段と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行手段と
してコンピュータを機能させるためのプログラムであって、
前記実行手段は、前記前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とするプログラム。 - 認証サーバーがユーザーを認証したことを示すユーザー認証情報を、他のサーバーにおける前記ユーザーのユーザーIDと関連付けて当該サーバーへのアクセスを許すシングルサインオンシステムにおいて、ユーザーIDを関連付けたマッピング情報を提供するマッピングサーバーにより実行されるマッピング機能提供方法であって、
前記ユーザーIDの関連付けを行うマッピング機能を、各認証サーバーに関連付けて登録したマッピング機能情報を参照して、前記マッピング機能に関連付けられた認証サーバーの選択を受け付ける受け付け工程と、
前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成する実行工程と
を有し、
前記実行工程では、前記マッピング機能を実行する前に行うべき前処理を前記認証サーバーごとに関連付けて登録した前処理機能情報を参照して、前記選択された認証サーバーに関連付けられた前処理機能が前記認証サーバーにより実行される場合には、当該前処理機能を実行し、さらに前記選択された認証サーバーに関連付けられたマッピング機能に応じた処理を実行して前記マッピング情報を構成することを特徴とするマッピング機能提供方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012126544A JP5955106B2 (ja) | 2012-06-01 | 2012-06-01 | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012126544A JP5955106B2 (ja) | 2012-06-01 | 2012-06-01 | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013250894A JP2013250894A (ja) | 2013-12-12 |
JP5955106B2 true JP5955106B2 (ja) | 2016-07-20 |
Family
ID=49849471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012126544A Expired - Fee Related JP5955106B2 (ja) | 2012-06-01 | 2012-06-01 | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5955106B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6235972B2 (ja) * | 2014-08-21 | 2017-11-22 | 日本電信電話株式会社 | Idプロバイダリコメンド装置、idリコメンドシステム、および、idプロバイダリコメンド方法 |
JP6449993B2 (ja) * | 2015-04-15 | 2019-01-09 | 株式会社日立システムズ | シングルサインオンシステムおよびシングルサインオン方法 |
EP3528454B1 (en) * | 2016-09-14 | 2020-08-26 | Oracle International Corporation | Single sign-on and single logout functionality for a multi-tenant identity and data security management cloud service |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1835438B (zh) * | 2006-03-22 | 2011-07-27 | 阿里巴巴集团控股有限公司 | 一种在网站间实现单次登录的方法及网站 |
US8489736B2 (en) * | 2009-03-24 | 2013-07-16 | Nec Corporation | Mediation device, mediation method and mediation system |
JP5389702B2 (ja) * | 2010-03-12 | 2014-01-15 | 株式会社日立製作所 | Idブリッジサービスシステム及びその方法 |
JP5460493B2 (ja) * | 2010-07-02 | 2014-04-02 | 三菱電機株式会社 | 認証システム及び認証基盤装置及び認証プログラム |
-
2012
- 2012-06-01 JP JP2012126544A patent/JP5955106B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013250894A (ja) | 2013-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5614340B2 (ja) | システム、認証情報管理方法、およびプログラム | |
JP4551369B2 (ja) | サービスシステムおよびサービスシステム制御方法 | |
US7860882B2 (en) | Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations | |
US7860883B2 (en) | Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments | |
KR101804966B1 (ko) | 정보처리장치 및 그 제어방법 | |
JP6141076B2 (ja) | システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム | |
US20030226036A1 (en) | Method and apparatus for single sign-on authentication | |
US8522333B2 (en) | Client/server system for communicating according to the standard protocol OPC UA and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system | |
CN111786969B (zh) | 单点登录方法、装置及系统 | |
JP5289480B2 (ja) | 情報処理システム、情報処理装置の制御方法、およびそのプログラム。 | |
US9077708B2 (en) | Information processing system, control method for controlling the information processing system, and storage medium | |
US20210144138A1 (en) | Authority transfer system, server and method of controlling the server, and storage medium | |
CN112039873A (zh) | 一种单点登录访问业务系统的方法 | |
JP5955106B2 (ja) | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 | |
US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
JP6041537B2 (ja) | システムおよび制御方法およびプログラム | |
JP2009205223A (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
JP6305005B2 (ja) | 認証サーバーシステム、制御方法、そのプログラム | |
US10735399B2 (en) | System, service providing apparatus, control method for system, and storage medium | |
JP2015505626A (ja) | サーバー・アプリケーションと多数の認証プロバイダーとの統合 | |
JP3545573B2 (ja) | 認証/権限制御システム | |
US20170214685A1 (en) | System and method for controlling system | |
WO2023160632A1 (zh) | 针对飞地实例的云服务访问权限设置方法和云管理平台 | |
Tanmoy | Single Sign-On Feature for Customer Life-Cycle Management Application | |
Jie et al. | A guanxi shibboleth based security infrastructure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150528 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160314 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160415 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160420 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160516 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160614 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5955106 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
LAPS | Cancellation because of no payment of annual fees |