JP6064636B2 - 情報処理システム、情報処理装置、認証方法及びプログラム - Google Patents

情報処理システム、情報処理装置、認証方法及びプログラム Download PDF

Info

Publication number
JP6064636B2
JP6064636B2 JP2013021264A JP2013021264A JP6064636B2 JP 6064636 B2 JP6064636 B2 JP 6064636B2 JP 2013021264 A JP2013021264 A JP 2013021264A JP 2013021264 A JP2013021264 A JP 2013021264A JP 6064636 B2 JP6064636 B2 JP 6064636B2
Authority
JP
Japan
Prior art keywords
authentication
information
service
identification information
external
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013021264A
Other languages
English (en)
Other versions
JP2014153805A (ja
Inventor
佐藤 淳
佐藤  淳
松島 弘幸
弘幸 松島
正登 中島
正登 中島
楽 竹本
楽 竹本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2013021264A priority Critical patent/JP6064636B2/ja
Priority to US14/165,713 priority patent/US9210159B2/en
Publication of JP2014153805A publication Critical patent/JP2014153805A/ja
Application granted granted Critical
Publication of JP6064636B2 publication Critical patent/JP6064636B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は情報処理システム、情報処理装置、認証方法及びプログラムに関する。
近年、注目されているクラウドコンピューティングは、サーバがクライアントにサービスを提供する一形態である。クラウドコンピューティングでは、多くのコンピューティング・リソースを用いてデータ処理を実行し、クライアントからの要求を処理する。このようなクラウドコンピューティングを実現するクラウドコンピューティング環境上にWebサービスを実装し、多種多様なサービスを提供するベンダーも多数存在する(例えば特許文献1参照)。
ユーザは、クラウドコンピューティングにより提供される多種多様なサービスを利用するために、複数の認証を行わなければならない場合がある。なお、ユーザに対する認証の重荷を減らすための技法としてシングルサインオン(SSO)が知られている。シングルサインオンによりユーザはサインオン動作を完了した後、すなわち認証されたあとに別の認証動作を実行する必要がなくなる(例えば特許文献2参照)。
シングルサインオンは複数のサービスで共通の認証基盤を利用し、何れかのサービスで認証を行えば、他のサービスでの認証が省略できる認証方式である。シングルサインオンでは認証・認可の情報を提供するIdP(Identity Provider)と、IdPが発行した認証・認可の情報に応じてクライアントにサービスを提供するSP(Service Provider)との間で、事前に信頼関係を結んでおく必要がある。このようなIdPとSPとの間で結ばれた信頼関係はトラストサークルと呼ばれる。IdPで認証されたユーザは、そのIdPと事前に信頼関係を結んだ(同一のトラストサークルに含まれる)複数のSPへの認証を省略できる。
ところで、クラウドコンピューティングにより提供されるIdPのサービスは複数の組織に利用される場合がある。同一のトラストサークルに含ませるSPは組織によって異なることが想定されるが、従来のIdPにおいては対応が困難であった。
本発明の実施の形態は、上記の点に鑑みなされたもので、認証における信頼関係の設定自由度を向上できる情報処理システム、情報処理装置、認証方法及びプログラムを提供することを目的とする。
上記目的を達成するために本願請求項1は、1以上の情報処理装置を含む情報処理システムであって、外部装置からユーザ識別情報、組織識別情報を受信する受信手段と、組織識別情報に関連付けて1以上のユーザ識別情報を記憶する第1の記憶手段を用いて前記受信手段が受信した前記ユーザ識別情報、組織識別情報に対する認証を実行する認証手段と、を備え、前記認証手段は、認証済みの前記外部装置から外部サービスとの連携認証要求を受信すると、認証に関しての信頼関係を結んだ1以上の外部サービスを前記組織識別情報と関連付けて記憶する第2の記憶手段に、前記外部装置から受信した前記組織識別情報と前記連携認証要求の対象となる外部サービスとが関連付けられていれば、前記外部装置に連携認証応答を送信することを特徴とする。
本発明の実施の形態によれば、認証における信頼関係の設定自由度を向上できる。
第1の実施形態に係る情報処理システムの一例の構成図である。 サービス提供システムの他の例の構成図である。 コンピュータシステムの一例のハードウェア構成図である。 第1の実施形態に係るサービス提供システムの一例の処理ブロック図である。 組織情報の一例のデータ構造図である。 ユーザ情報の一例の構成図である。 機器情報の一例の構成図である。 サービスプロバイダのIDを入力する画面の一例のイメージ図である。 サービスプロバイダ側に設定する情報を表示する画面の一例のイメージ図である。 画面遷移の一例を表した説明図である。 画面遷移の他の例を表した説明図である。 ブラウザからシングルサインオン設定済みの外部サービスにアクセスする処理手順を表した一例のシーケンス図である。 認証・認可部の処理手順を表した一例のフローチャートである。 ポータルサービスアプリの処理手順を表した一例のフローチャートである。 ブラウザからシングルサインオン設定済みの外部サービスにアクセスする処理手順を表した他の例のシーケンス図である。 エラー発生時の処理手順を表した一例のシーケンス図である。 エラー情報を合わせて表示するログイン画面の一例のイメージ図である。 サービスプロバイダURLを高速な記憶装置にキャッシュする処理の一例のフローチャートである。 API連携時の処理手順を表した一例のシーケンス図である。
以下、本発明の実施形態について図面を参照しながら説明する。
[第1の実施形態]
<システム構成>
図1は第1の実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1000は例えばオフィス内ネットワーク等のネットワークN1と、クラウドサービスに代表されるサービス提供システムのネットワークN2と、インターネットなどのネットワークN3とを有する。
ネットワークN1は、ファイヤウォールFWの内側にあるプライベートなネットワークである。ファイヤウォールFWはネットワークN1とネットワークN3との接点に設置され、不正なアクセスを検出及び遮断する。ネットワークN1にはクライアント端末1011、携帯端末1012、複合機などの画像形成装置1013が接続されている。
クライアント端末1011は端末装置の一例である。クライアント端末1011は一般的なOSなどが搭載された情報処理装置によって実現できる。クライアント端末1011は無線による通信の手段または有線による通信の手段を有する。クライアント端末1011は、タブレットPC、ノートPCなど、ユーザが操作可能な端末である。
携帯端末1012は端末装置の一例である。携帯端末1012は、無線による通信の手段または有線による通信の手段を有している。携帯端末1012は、スマートフォンや携帯電話、タブレットPC、ノートPCなど、ユーザが携帯可能な端末である。
画像形成装置1013は複合機などの画像形成機能を有する装置である。画像形成装置1013は無線による通信の手段または有線による通信の手段を有する。画像形成装置1013は複合機、コピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板など、画像形成に係る処理を行う装置である。図1では、一例としてクライアント端末1011、携帯端末1012、画像形成装置1013がそれぞれ一台である例を示しているが複数台であってもよい。
ネットワークN2はアクセス制御装置1021によってネットワークN3に接続されている。ネットワークN2はアクセス制御装置1021によってセキュリティが保護されている。ネットワークN2にはプリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024が接続されている。
図1の情報処理システム1000は、アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024がサービス提供システムを実現している。プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024はプリントサービス、スキャンサービスや他サービスを提供する。
アクセス制御装置1021はプリントサービス提供装置1022が提供するプリントサービスやスキャンサービス提供装置1023が提供するスキャンサービスなどへのログインを制御する。
アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024は、一台以上の情報処理装置によって実現される。
アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024は一台の情報処理装置に統合して実現してもよいし、複数の情報処理装置に分散して実現してもよい。
ネットワークN2側のサービスの一部はネットワークN2以外にあってもよい。携帯端末1012は、オフィス内ネットワーク等のネットワークN1以外にあってもよい。図1の情報処理システム1000では携帯端末1012がネットワークN1と、ネットワークN3とにある例を示している。
ネットワークN3に接続されている外部サービス1031は例えばサービスをオンラインストレージなどのサービスを提供する装置である。なお、外部サービス1031はIdPが発行した認証・認可の情報に応じてクライアントにサービスを提供するSPの一例である。サービス提供システムはIdP及びSPの一例である。
図1のサービス提供システムの構成は一例であって、図2に示すような構成によっても実現できる。図2はサービス提供システムの他の例の構成図である。図2のサービス提供システムはネットワークN2がファイヤウォールFWによってネットワークN3に接続されている。
ネットワークN2にはSaaS(Software as a Service)系のサービス提供装置、共通サービス(Network Service Platform)系のサービス提供装置、ストレージ(Storage)系の記憶装置が接続されている。なお、共通サービス系のサービス提供装置はSaaS系のサービス提供装置が共通で使えるサービスを提供する。
SaaS系のサービス提供装置は、例えばポータルサービス提供装置1051、プリントサービス提供装置1052、スキャンサービス提供装置1053など、提供するサービスに応じたサービス提供装置が含まれる。また、共通サービス系のサービス提供装置は、例えば認証サービス提供装置1061、データ処理サービス提供装置1062、一時データ保存サービス提供装置1063など、提供する共通サービスに応じたサービス提供装置が含まれる。ストレージ系の記憶装置は、例えば認証情報記憶装置1071、ジョブ情報記憶装置1072、一時データ記憶装置1073など、記憶する情報(データ)に応じた記憶装置が含まれる。
図2のサービス提供システムでは、例えばファイヤウォールFW、認証サービス提供装置1061が提供する認証サービスによってセキュリティが保護されている。なお、図2のサービス提供システムの構成も一例であって、他の構成であってもよい。
<ハードウェア構成>
図1のクライアント端末1011、携帯端末1012、アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024は、例えば図3に示すようなハードウェア構成のコンピュータシステムにより実現される。
図2のSaaS系のサービス提供装置、共通サービス系のサービス提供装置、ストレージ系の記憶装置も、例えば図3に示すようなハードウェア構成のコンピュータシステムにより実現される。
図3はコンピュータシステムの一例のハードウェア構成図である。図3のコンピュータシステム1500は、入力装置1501、表示装置1502、外部I/F1503、RAM(Random Access Memory)1504、ROM(Read Only Memory)1505、CPU(Central Processing Unit)1506、通信I/F1507、及びHDD(Hard Disk Drive)1508などを備え、それぞれがバスBで相互に接続されている。
入力装置1501はキーボードやマウス、タッチパネルなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置1502はディスプレイ等を含み、コンピュータシステム1500による処理結果を表示する。
通信I/F1507はコンピュータシステム1500をネットワークN1〜N3に接続するインタフェースである。これにより、コンピュータシステム1500は通信I/F1507を介してデータ通信を行うことができる。
HDD1508はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、例えばコンピュータシステム1500全体を制御する基本ソフトウェアであるOS(Operating System)や、OS上において各種機能を提供するアプリケーションソフトウェアなどがある。
HDD1508は格納しているプログラムやデータを所定のファイルシステム及び/又はDB(データベース)により管理している。外部I/F1503は、外部装置とのインタフェースである。外部装置には、記録媒体1503aなどがある。これにより、コンピュータシステム1500は外部I/F1503を介して記録媒体1503aの読み取り及び/又は書き込みを行うことができる。記録媒体1503aにはフレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、SDメモリカード(SD Memory card)、USBメモリ(Universal Serial Bus memory)などがある。
ROM1505は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM1505には、コンピュータシステム1500の起動時に実行されるBIOS(Basic Input/Output System)、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM1504は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。
CPU1506は、ROM1505やHDD1508などの記憶装置からプログラムやデータをRAM1504上に読み出し、処理を実行することで、コンピュータシステム1500全体の制御や機能を実現する演算装置である。
クライアント端末1011、携帯端末1012、アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024は、コンピュータシステム1500のハードウェア構成により、後述するような各種処理を実現できる。また、図2のSaaS系のサービス提供装置、共通サービス系のサービス提供装置、ストレージ系の記憶装置も、コンピュータシステム1500のハードウェア構成により、後述するような各種処理を実現できる。なお、図1に示した画像形成装置1013、ファイヤウォールFWのハードウェア構成については説明を省略する。
<ソフトウェア構成>
《サービス提供システム》
第1の実施形態に係るサービス提供システムは例えば図4に示す処理ブロックにより実現される。図4は第1の実施形態に係るサービス提供システムの一例の処理ブロック図である。
サービス提供システム1100はプログラムを実行することにより、アプリケーション1101、共通サービス1102、データベース(DB)1103及びプラットフォームAPI(Application Programming Interface)1104を実現している。
アプリケーション1101は、ポータルサービスアプリ1111、スキャンサービスアプリ1112、プリントサービスアプリ1113を一例として有する。
ポータルサービスアプリ1111は、ポータルサービスを提供するアプリケーションである。ポータルサービスは、サービス提供システム1100を利用するための入り口となるサービスを提供する。スキャンサービスアプリ1112はスキャンサービスを提供するアプリケーションである。プリントサービスアプリ1113はプリントサービスを提供するアプリケーションである。アプリケーション1101には、その他のサービスアプリが含まれていてもよい。
プラットフォームAPI1104はポータルサービスアプリ1111、スキャンサービスアプリ1112、プリントサービスアプリ1113などのアプリケーション1101が共通サービス1102を利用するためのインタフェースである。プラットフォームAPI1104はアプリケーション1101からの要求を共通サービス1102が受信するために設けられた予め定義されたインタフェースであり、例えば関数やクラス等により構成される。
プラットフォームAPI1104は、サービス提供システム1100が複数の情報処理装置で構成される場合、ネットワーク経由で利用可能な例えばWeb APIにより実現できる。
共通サービス1102は、認証・認可部1121、組織管理部1122、ユーザ管理部1123、ライセンス管理部1124、機器管理部1125、一時画像保存部1126、画像処理ワークフロー制御部1127、ログ収集部1128を有する。
また、画像処理ワークフロー制御部1127はメッセージキュー1131、1つ以上のワーカー(Worker)1132を有する。ワーカー1132は画像変換や画像送信などの機能を実現する。
認証・認可部1121は、クライアント端末1011や画像形成装置1013などのオフィス機器からのログイン要求に基づいて認証・認可を実行する。オフィス機器はクライアント端末1011、携帯端末1012、画像形成装置1013などの総称である。
認証・認可部1121は、例えば後述するユーザ情報記憶部1143、ライセンス情報記憶部1144などにアクセスしてユーザを認証・認可する。また、認証・認可部1121は例えば後述する組織情報記憶部1142、ライセンス情報記憶部1144、機器情報記憶部1145などにアクセスして画像形成装置1013などを認証する。
組織管理部1122は後述する組織情報記憶部1142に記憶されている組織情報を管理する。ユーザ管理部1123は、後述するユーザ情報記憶部1143に記憶されているユーザ情報を管理する。
ライセンス管理部1124は後述するライセンス情報記憶部1144に記憶されているライセンス情報を管理する。機器管理部1125は後述する機器情報記憶部1145に記憶されている機器情報を管理する。一時画像保存部1126は後述する一時画像記憶部1146への一時画像の保存、一時画像記憶部1146からの一時画像の取得を行う。
画像処理ワークフロー制御部1127はアプリケーション1101からの要求に基づいて画像処理に関するワークフローを制御する。メッセージキュー1131は処理の種類に対応するキューを有する。画像処理ワークフロー制御部1127は処理(ジョブ)に係るリクエストのメッセージを、そのジョブの種類に対応するキューに投入する。
ワーカー1132は対応するキューを監視している。キューにメッセージが投入されるとワーカー1132は、対応するジョブの種類に応じた画像変換や画像送信などの処理を行う。なお、キューに投入されたメッセージはワーカー1132が主体的に読み出す(Pull)ようにしてもよいし、キューからワーカー1132に提供する(Push)ようにしてもよい。
データベース1103は、ログ情報記憶部1141、組織情報記憶部1142、ユーザ情報記憶部1143、ライセンス情報記憶部1144、機器情報記憶部1145、一時画像記憶部1146、ジョブ情報記憶部1147、アプリケーション固有の設定情報記憶部1148を有する。
ログ情報記憶部1141は、ログ情報を記憶する。組織情報記憶部1142は、後述の組織情報を記憶する。ユーザ情報記憶部1143は、後述のユーザ情報を記憶する。ライセンス情報記憶部1144は、ライセンス情報を記憶する。機器情報記憶部1145は後述の機器情報を記憶する。
一時画像記憶部1146は一時画像を記憶する。一時画像は、例えばワーカー1132が処理するスキャン画像などのファイルやデータである。ジョブ情報記憶部1147は処理(ジョブ)に係るリクエストの情報(ジョブ情報)を記憶する。アプリケーション固有の設定情報記憶部1148はアプリケーション1101に固有の設定情報を記憶する。
サービス提供システム1100は、認証・認可や画像処理に関するワークフローなどの共通サービスを提供する統合基盤と、統合基盤の機能を利用してスキャンサービス、プリントサービス、ポータルサービス等のアプリサービスを提供するサービス群と、して機能する。統合基盤は例えば共通サービス1102、DB1103及びプラットフォームAPI1104によって構成される。サービス群は例えばアプリケーション1101によって構成される。
図4に示したサービス提供システム1100はサービス群と統合基盤とを分離した構成により、プラットフォームAPI1104を利用するアプリケーション1101を容易に開発できる。
なお、図4に示したサービス提供システム1100の処理ブロックの分類形態は一例であり、アプリケーション1101、共通サービス1102、DB1103が図4に示されるような階層で分類されていることが必須ではない。第1の実施形態に係るサービス提供システム1100の処理を実施できるのであれば、図4に示される階層関係などは特定のものに限定されない。
図5は組織情報の一例のデータ構造図である。図5の組織情報は組織、トラストサークル、SP、IdPが紐付けられた情報である。図5の組織情報に含まれる組織は、組織ID、組織名表示言語、タイムゾーン、状態、国などを項目として有する。図5の組織情報に含まれるトラストサークルは、トラストサークル名などを項目として有する。図5の組織情報に含まれるサービスプロバイダ(SP)はサービスプロバイダ名、サービスプロバイダURL及びACS(Assertion Consumer Service)などを項目として有する。ACSは後述のSAML(Secure Assertion Markup Language)レスポンスをPOSTする宛先である。また、図5の組織情報に含まれる認証プロバイダ(IdP)は認証プロバイダ名、ログインURL、ログアウトURL、パスワード変更URL、署名鍵などを項目として有する。
なお、組織IDは企業、部署などのグループを特定する情報である。組織IDは組織という言語に限定されるものではなく、例えば契約を識別する情報であってもよい。組織IDは一意である。
組織名表示言語は企業、部署などのグループの名称を表示する言語を表している。タイムゾーンは企業、部署などのグループが利用する標準時を表している。状態は企業、部署などのグループの状態を表している。国は企業、部署などのグループの属する国名を表している。
図5に示すように後述のシングルサインオン設定は組織情報として保管される。図5に示す組織情報により、サービス提供システム1100は組織に紐付くトラストサークルを設定できるので、複数の組織に対応したSAMLベースのシングルサインオンを実現することができる。
図6はユーザ情報の一例の構成図である。ユーザ情報は、項目として組織ID、ユーザ名、パスワード、アドレス情報などを有する。ユーザ名、パスワードはユーザを特定する情報である。したがって、ユーザ名はユーザID等であってもよい。また、パスワードは必須でない。同じ組織IDで管理されるユーザ名、パスワードは一意であるが、組織IDが異なれば重複していてもよい。アドレス情報は、例えばユーザのメールアドレスを表している。
さらに、ユーザ名はユーザが所持する電子媒体(例えばICカード)を識別する情報を用いてもよい。ユーザが所持する電子媒体としてはICカード、携帯電話、タブレット端末、電子書籍端末等を利用できる。電子媒体を識別する情報としては、カードID、シリアルID、携帯電話の電話番号、端末のプロフィール情報などを利用できる。電子媒体を識別する情報は組み合わせて利用してもよい。
図7は機器情報の一例の構成図である。図7の機器情報は項目として組織ID、デバイス認証情報、事業所情報、ケーパビリティなどを有する。デバイス認証情報はオフィス機器が特定の条件を備えていることを判別するデバイス認証のための情報である。デバイス認証情報はオフィス機器に特定のアプリケーションが搭載されていることを示すIDや特定のオフィス機器であることを示す機器番号などであってもよい。事業所情報は例えばオフィス機器が設置されている事業所を表している。ケーパビリティは例えばオフィス機器の能力を表している。
<処理の詳細>
《シングルサインオン設定》
サービス提供システム1100と外部サービス1031などのサービスプロバイダとの間でシングルサインオンを利用する場合は、管理者などがサービス提供システム1100とサービスプロバイダとの間で信頼関係を結んでおく必要がある。例えば管理者は導入時に、サービス提供システム1100のシングルサインオン設定と、外部サービス1031のシングルサインオン設定と、を行う。
まず、サービス提供システム1100のシングルサインオン設定には、外部サービス1031などのサービスプロバイダのIDの入力が必要である。図8はサービスプロバイダのIDを入力する画面の一例のイメージ図である。管理者はシングルサインオンを利用するサービスプロバイダのID(ドメイン名、URLなど)として、例えば外部サービス1031に登録したドメイン名を図8の画面に入力する。図8の画面に入力したドメイン名は外部サービス1031側において、サービス提供システム1100の組織IDと同様な役目を担う。
ポータルサービスアプリ1111はサービスプロバイダ側に設定する情報の一例として外部サービス1031に設定する情報を例えば図9に示すように表示する。図9はサービスプロバイダ側に設定する情報を表示する画面の一例のイメージ図である。サービスプロバイダ側に設定する情報は、例えばログイン、ログアウト及びパスワード変更のためのURL、署名検証用の公開鍵証明書(検証証明書)などである。
なお、図9におけるログインのためのURL(サインインページURL)は後述するSAML連携におけるリダイレクト先のURLである。管理者は外部サービス1031の管理者ページを表示し、外部サービス1031のシングルサインオン設定を行う。管理者は図9に表示されたサービスプロバイダ側に設定する情報を参考にして、外部サービス1031の管理者ページに外部サービス1031のシングルサインオン設定を行う。
このように、外部サービス1031の管理者ページに外部サービス1031のシングルサインオン設定を行うことで、管理者はサービス提供システム1100と外部サービス1031との間で信頼関係を結んでおくことができる。
前述したようなサービス提供システム1100及び外部サービス1031のシングルサインオン設定を行うことにより、ポータルサービスアプリ111は図5に示す組織情報のトラストサークルに、サービスプロバイダの一例としての外部サービス1031を追加できる。
《画面遷移》
図1のオフィス機器に搭載されたブラウザは、例えばアクセス先として外部サービス1031のURLを入力又はブックマークから選択されることにより、図10に示すような遷移により外部サービス1031にアクセスできる。なお、ここではシングルサインオン設定済みの外部サービス1031にアクセスする例を表している。
図10は画面遷移の一例を表した説明図である。図10に示すように、図1のオフィス機器に搭載されたブラウザは、例えばアクセス先として外部サービス1031のURLを入力又はブックマークから選択されると、ポータルサービスアプリ1111のログイン画面2000にリダイレクトされる。
ポータルサービスアプリ1111のログイン画面2000においてログインに成功することにより、図1のオフィス機器に搭載されたブラウザは外部サービス1031のページ2010にリダイレクトされる。
また、図1のオフィス機器に搭載されたブラウザは、例えばアクセス先としてポータルサービスアプリ1111のURLを入力又はブックマークから選択されることにより、図11に示すような遷移により外部サービス1031にアクセスできる。なお、ここではシングルサインオン設定済みの外部サービス1031にアクセスする例を表している。
図11は画面遷移の他の例を表した説明図である。図1のオフィス機器に搭載されたブラウザは、例えばアクセス先としてポータルサービスアプリ1111のURLを入力又はブックマークから選択されると、ポータルサービスアプリ1111のログイン画面2020にリダイレクトされる。
ポータルサービスアプリ1111のログイン画面2020においてログインに成功することにより、図1のオフィス機器に搭載されたブラウザはアプリランチャ画面2030を表示する。ユーザはアプリランチャ画面2030から外部サービス1031のアイコン2031を例えばクリックする。
ログイン画面2020においてログイン済みであるため、図1のオフィス機器に搭載されたブラウザは、ログイン画面2020にリダイレクトされることなく、外部サービス1031のページ2040にリダイレクトされる。
このように、外部サービス1031にアクセスするときの画面遷移はポータルサービスアプリ1111へのログイン済みであるか否かによって異なる。次に、図10又は図11に示した画面遷移が行われるときの情報処理システム1000における処理手順について説明する。
《図10の画面遷移に対応する処理手順》
図12はブラウザからシングルサインオン設定済みの外部サービスにアクセスする処理手順を表した一例のシーケンス図である。
ステップS10において、図1のオフィス機器に搭載されたブラウザ1014はユーザから例えばアクセス先として外部サービス1031のURLを入力又はブックマークから選択されると、外部サービス1031にアクセスする。
ステップS11、S12において、ブラウザ1014はシングルサインオン設定によりログインのためのURLとして設定されたURL(サインインページURL)にリダイレクトされる。リダイレクトにより、ブラウザ1014は認証・認可部1121にSAML連携を要求する。なお、SAML連携にはSAMLリクエスト及びRelayStateが含まれる。RelayStateはSAML標準仕様であり、SAMLレスポンスを送信する先の外部サービスの情報(状態)を表す。ステップS12の処理後、認証・認可部1121は図13に示すような処理を行う。
図13は認証・認可部の処理手順を表した一例のフローチャートである。ステップS51において、認証・認可部1121はステップS12のSAML連携に認証チケットがあるか無いかを確認する。ステップS52において、認証・認可部1121は認証チケットがあると判定すると、ステップS53に進み、SAMLレスポンスを生成する。ステップS52において、認証・認可部1121は認証チケットが無いと判定すると、ステップS54に進み、ブラウザ1014をポータルサービスアプリ1111のログイン画面にリダイレクトさせる。
なお、ステップS54においてリダイレクトさせるポータルサービスアプリ1111のログイン画面のURLは、例えば認証・認可部1121が保持している。ここではポータルサービスアプリ1111のログイン画面にリダイレクトされた例について説明する。
図12のステップS13、S14において、ブラウザ1014はポータルサービスアプリ1111のログイン画面にリダイレクトされる。リダイレクトにより、ブラウザ1014はポータルサービスアプリ1111にログイン画面を要求する。なお、ログイン画面の要求には組織ID、SAMLリクエスト及びRelayStateが含まれる。
ステップS15において、ポータルサービスアプリ1111はSAMLリクエスト及びRelayStateをhiddenタイプのinputタグでHTMLに埋め込んだログイン画面をブラウザ1014に送信する。ブラウザ1014は図10に示したようなログイン画面2000を表示する。
ユーザはログイン画面2000に組織ID、ユーザ名、パスワードを入力してログインボタン2001を押下する。なお、組織IDはログイン画面の要求に含まれるものを利用すればユーザによる入力を省略できる。ログインボタン2001が押下されると、ブラウザ1014はステップS16に進み、ポータルサービスアプリ1111にログインを要求する。なお、ログインの要求には組織ID、ユーザ名、パスワード、SAMLリクエスト及びRelayStateが含まれる。
ステップS17において、ポータルサービスアプリ1111は認証・認可部1121にブラウザ1014からのログインの要求に含まれていた組織ID、ユーザ名、パスワードによるログインを要求する。認証・認可部1121はポータルサービスアプリ1111からのログインの要求に含まれていた組織ID、ユーザ名、パスワードの組みが、図6に示すようなユーザ情報としてユーザ情報記憶部1143に記憶されているか確認する。
ログインの要求に含まれていた組織ID、ユーザ名、パスワードの組みが、ユーザ情報記憶部1143に記憶されていれば、ステップS18において、認証・認可部1121はポータルサービスアプリ1111に認証チケットを返す。ポータルサービスアプリ1111はステップS18の処理後、図14に示すような処理を行う。
図14はポータルサービスアプリの処理手順を表した一例のフローチャートである。ステップS61において、ポータルサービスアプリ1111はステップS16のログインの要求にSAMLリクエストがあるか無いかを確認する。ステップS62において、ポータルサービスアプリ1111はSAMLリクエストがあると判定すると、ステップS63に進み、ブラウザ1014をサインインページURL(SAML連携URL)にリダイレクトさせる。ステップS62において、ポータルサービスアプリ1111はSAMLリクエストが無いと判定すると、ステップS64に進み、ポータル画面を生成する。
ここではブラウザ1014がサインインページURL(SAML連携URL)にリダイレクトされた例について説明する。図12のステップS19、S20において、ブラウザ1014はSAML連携URLにリダイレクトされる。リダイレクトにより、ブラウザ1014は認証・認可部1121にSAML連携を要求する。なお、SAML連携にはSAMLリクエスト及びRelayStateの他、認証チケットが含まれる。
ステップS20の処理後、認証・認可部1121は前述した図13に示すような処理を行う。認証チケットがあるため、認証・認可部1121はステップS53においてSAMLレスポンスを生成する。なお、認証・認可部1121は、同一の組織に紐付くトラストサークルに入っている外部サービス1031からのSAMLリクエストに対して、SAMLレスポンスを生成するものとする。
ここでは認証・認可部1121においてSAMLレスポンスが生成された例について説明する。図12のステップS21において、認証・認可部1121はSAMLレスポンスを生成する。ステップS22、S23において、認証・認可部1121はSAMLレスポンスをPOSTする外部サービスの宛先を指定してブラウザ1014に自動POSTさせる。ステップS24において、外部サービス1031はSAMLレスポンスを確認し、対応するユーザのサービス画面をブラウザ1014に表示させる。
図12のシーケンス図に表した処理によれば、同一の組織に紐付くトラストサークルに入っている外部サービス1031からのSAMLリクエストに対して、SAMLレスポンスを生成できる。したがって、第1の実施形態に係る情報処理システム1000では組織毎にトラストサークルを設定できるので、複数の組織に対応したSAMLベースのシングルサインオンを実現できる。結果として、第1の実施形態に係る情報処理システム1000は認証における信頼関係の設定自由度を向上させることができる。
また、図12のシーケンス図に表した処理によれば、ポータルサービスアプリ1111のログイン画面に未ログインの場合、SAML連携の要求の対し、ブラウザ1014にログイン画面を表示させることができる。
また、図12のシーケンス図に表した処理によれば、ブラウザ1014からのログインの要求に対し、SAMLリクエストか通常のログインの要求かを判断し、SAMLリクエストであればSAMLレスポンスを返すことができる。
《図11の画面遷移に対応する処理手順》
図15はブラウザからシングルサインオン設定済みの外部サービスにアクセスする処理手順を表した他の例のシーケンス図である。
ステップS81において、図1のオフィス機器に搭載されたブラウザはユーザから例えばアクセス先としてポータルサービスアプリ1111のURLを入力又はブックマークから選択されると、ポータルサービスアプリ1111にアクセスする。
ステップS82において、ポータルサービスアプリ1111はログイン画面をブラウザ1014に送信する。ブラウザ1014は図11に示したようなログイン画面2020を表示する。なお、図11に示したログイン画面2020のURLと、図10に示したログイン画面2000のURLとは、異なっている。
ユーザはログイン画面2020に組織ID、ユーザ名、パスワードを入力してログインボタン2021を押下する。組織IDは予め設定しておいたものを利用すれば、ユーザによる入力を省略できる。ログインボタン2021が押下されると、ブラウザ1014はステップS83に進み、ポータルサービスアプリ1111にログインを要求する。ログインの要求には組織ID、ユーザ名、パスワードが含まれる。
ステップS84において、ポータルサービスアプリ1111は認証・認可部1121にブラウザ1014からのログインの要求に含まれていた組織ID、ユーザ名、パスワードによるログインを要求する。認証・認可部1121はポータルサービスアプリ1111からのログインの要求に含まれていた組織ID、ユーザ名、パスワードの組みが、図6に示すようなユーザ情報としてユーザ情報記憶部1143に記憶されているか確認する。
ログインの要求に含まれていた組織ID、ユーザ名、パスワードの組みが、ユーザ情報記憶部1143に記憶されていれば、ステップS85において、認証・認可部1121はポータルサービスアプリ1111に認証チケットを返す。
ポータルサービスアプリ1111はステップS85の処理後、前述した図14に示すような処理を行う。SAMLリクエストが無いため、ポータルサービスアプリ1111はステップS64においてポータル画面を生成する。
ステップS86において、ポータルサービスアプリ1111はポータル画面をブラウザ1014に送信する。ブラウザ1014は図11に示したようなアプリランチャ画面2030を含むポータル画面を表示する。
ユーザはポータル画面のアプリランチャ画面2030から外部サービス1031のアイコン2031を例えばクリックする。ステップS91において、ブラウザ1014は外部サービス1031にアクセスする。
ステップS92、S93において、ブラウザ1014はシングルサインオン設定によりログインのためのURLとして設定されたURL(サインインページURL)にリダイレクトされる。リダイレクトにより、ブラウザ1014は認証・認可部1121にSAML連携を要求する。なお、SAML連携にはSAMLリクエスト及びRelayStateの他、認証チケットが含まれる。
ステップS93の処理後、認証・認可部1121は前述した図13に示すような処理を行う。認証チケットがあるため、認証・認可部1121はステップS53においてSAMLレスポンスを生成する。なお、認証・認可部1121は、同一の組織に紐付くトラストサークルに入っている外部サービス1031からのSAMLリクエストに対して、SAMLレスポンスを生成するものとする。
ステップS95、S96において、認証・認可部1121はステップS94で生成したSAMLレスポンスをPOSTする外部サービスの宛先を指定してブラウザ1014に自動POSTさせる。ステップS97において、外部サービス1031はSAMLレスポンスを確認し、対応するユーザのサービス画面をブラウザ1014に表示させる。
図15のシーケンス図に表した処理によれば、ポータルサービスアプリ1111のログイン画面にログイン済みの場合、SAML連携の要求の対し、ブラウザ1014にログイン画面を表示させずにSAMLレスポンスを返すことができる。
また、図15のシーケンス図に表した処理によれば、ブラウザ1014からのログインの要求に対し、SAMLリクエストか通常のログインの要求かを判断し、通常のログインの要求であればポータル画面を返すことができる。
《エラー発生時の処理手順》
図16はエラー発生時の処理手順を表した一例のシーケンス図である。図16は、図12のステップS21においてエラーが発生したとき、又は、図15のステップS94においてエラーが発生したとき、にエラーが発生したときの処理手順を表している。
ステップS101において、ブラウザ1014はSAML連携URLにリダイレクトされる。リダイレクトによりブラウザ1014は認証・認可部1121にSAML連携を要求する。なお、SAML連携にはSAMLリクエスト及びRelayStateの他、認証チケットが含まれる。
ステップS102において、認証・認可部1121はSAMLレスポンスを生成する際にエラーが発生したものとする。例えばエラーは処理できないSAMLリクエストを受信した場合などに発生する。
ステップS103、S104において、ブラウザ1014はポータルサービスアプリ1111のエラー画面にリダイレクトされる。リダイレクトにより、ブラウザ1014はエラー画面をポータルサービスアプリ1111に要求する。なお、エラー画面の要求にはエラー情報が含まれる。
ステップS105において、ポータルサービスアプリ1111はエラー画面をブラウザ1014に送信する。ブラウザ1014はエラー画面を表示する。エラー画面は専用の画面であってもよいし、図17に示すようにログイン画面にエラー情報を合わせて表示するようにしてもよい。
《ポータル画面のアプリランチャ画面2030》
シングルサインオンに対応した外部サービス1031の中には、非シングルサインオンでアクセスするURLと、シングルサインオンでアクセスするURL(組織IDごとに異なる)とを提供している場合がある。このような非シングルサインオンでアクセスするURL及びシングルサインオンでアクセスするURLを別々に提供する外部サービス1031のアプリランチャ画面2030の生成は、以下のように行う。
例えば図11のアプリランチャ画面2030では外部サービス1031にアクセスするためのリンクをアイコン2031で表している。このような外部サービス1031にアクセスするためのリンクを含むアプリランチャ画面2030を生成するときは、外部サービス1031のシングルサインオン設定の有無を確認し、リンクのURLを変える。
図5の組織情報を参照し、ポータルサービスアプリ1111はリンクの対象となる外部サービス1031を含むトラストサークルが存在するか確認する。存在する場合、ポータルサービスアプリ1111は図5の組織情報のサービスプロバイダに含まれるサービスプロバイダURLを用いる。なお、存在しない場合、ポータルサービスアプリ1111は外部サービス1031が提供する非シングルサインオンでアクセスするURL(固定)を用いる。
このように、ポータルサービスアプリ1111はシングルサインオン設定済みである場合に、ポータル画面のアプリランチャ画面2030に含まれるリンクを、トラストサークルに入っている外部サービス1031のURLに切り替えることができる。
図11のアプリランチャ画面2030を生成するとき、組織情報記憶部1142に記憶されている複雑なデータ構造を辿ってサービスプロバイダURLを取得する為には時間を要する。そこで、外部サービス1031のサービスプロバイダURLを高速な記憶装置にキャッシュすることで、第1の実施形態に係るサービス提供システム1100はページの表示までの時間を短縮する。なお、高速な記憶装置としては、Key−Valueストアやmemcache等がある。
図18はサービスプロバイダURLを高速な記憶装置にキャッシュする処理の一例のフローチャートである。図18は、図8の画面にシングルサインオンを利用するサービスプロバイダのIDが入力されたあとの処理を表している。
ステップS151において、組織管理部1122は組織情報記憶部1142に記憶されている組織情報(データベース)からサービスプロバイダの情報を取得する。ステップS152において、組織管理部1122は高速な記憶装置にキャッシュされているサービスプロバイダの情報を更新する。
ステップS153において、組織管理部1122は管理者により入力されたサービスプロバイダのIDと、現在設定されているサービスプロバイダのIDとが等しいか否かを判定する。等しければ、組織管理部1122は図18の処理を終了する。なお、等しくなければ、組織管理部1122はステップS154において、組織に紐付くトラストサークルを削除する。ステップS155において、組織管理部1122は入力値が空であるか否かを判定する。
入力値が空であれば、組織管理部1122は図18の処理を終了する。なお、入力値が空でなければ、組織管理部1122はステップS156において、図5に示す組織情報のトラストサークルを作成する。ステップS157において、組織管理部1122はサービスプロバイダの情報を更新する。
図18のフローチャートに表した処理によれば、サービスプロバイダの情報を高速な記憶装置にキャッシュすることで、ページの表示までの時間を短縮できる。また、サービスプロバイダの情報が設定済みである場合は設定処理を省略できる。
《API連携》
外部サービス1031は、SAML連携による認証に基づいて利用可能なAPIを提供している場合も考えられる。この場合は、ジョブ実行時にSAMLリクエスト/SAMLレスポンスを生成して、図5の組織情報に含まれるサービスプロバイダのACSのURLにPOSTすることにより、外部サービス1031にログインし、その結果を用いてAPIを実行できる。
図19はAPI連携時の処理手順を表した一例のシーケンス図である。図19は、画像形成装置1013がスキャンしたファイルをサービス提供システム1100が外部サービス1031に登録する処理を一例として表している。ユーザは画像形成装置1013を操作してサービス提供システム1100へのログインを要求する。
ステップS201において、画像形成装置1013はサービス提供システム1100の認証・認可部1121にログインする。ログインは組織ID、ユーザID及びパスワードが利用される。ログインが成功すると、ステップS202において、認証・認可部1121は認証チケットを画像形成装置1013に返す。
ステップS203において、ユーザはスキャンしたファイルを外部サービス1031に登録するジョブの実行を、画像形成装置1013に要求する。画像形成装置1013はステップS203において、スキャンを実行する。ステップS204において、画像形成装置1013は認証チケットを添付して、スキャンサービスアプリ1112に、スキャンしたファイルのアップロードを行う。
ステップS205において、スキャンサービスアプリ1112は認証チケットを添付して外部サービス1031へのログインを認証・認可部1121に要求する。外部サービス1031の指定は例えばサービスプロバイダ名により行う。
認証・認可部1121は、ステップS206においてSAMLリクエストを生成し、ステップS207においてSAMLレスポンスを生成する。ステップS208において、認証・認可部1121はACSにSAMLレスポンスをPOSTする。外部サービス1031はステップS209において外部サービス1031の認証チケットを返す。
ステップS210において、認証・認可部1121はスキャンサービスアプリ1112に外部サービス1031の認証チケットを返す。そして、スキャンサービスアプリ1112はステップS211において、外部サービス1031の認証チケットを添付して、外部サービス1031に、ファイルの登録を行う。ステップS212において、外部サービス1031はファイルの登録結果をスキャンサービスアプリ1112に返す。ステップS213において、画像形成装置1013はスキャンサービスアプリ1112からファイルの登録結果を受け取る。
(まとめ)
第1の実施形態に係るサービス提供システム1100によれば組織毎にトラストサークルを設定できるので、複数の組織に対応したSAMLベースのシングルサインオンを実現できる。したがって、第1の実施形態に係る情報処理システム1000は認証における信頼関係の設定自由度を向上させることができる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
なお、特許請求の範囲に記載した受信手段はポータルサービスアプリ1111に相当する。認証手段は認証・認可部1121に相当する。外部装置はブラウザ1014が搭載されるオフィス機器に相当する。第1の記憶手段はユーザ情報記憶部1143に相当する。第2の記憶手段は組織情報記憶部1142に相当する。
連携認証要求(応答)はSAMLリクエスト(レスポンス)に相当する。認証済みであることを示す認証の情報は認証チケットに相当する。アクセス可能な前記外部サービスの情報を含む画面はポータル画面に相当する。ユーザ識別情報はユーザ名に相当する。組織識別情報は組織IDに相当する。内部サービスはアプリケーション1101に相当する。
1000 情報処理システム
1011 クライアント端末
1012 携帯端末
1013 画像形成装置
1014 ブラウザ
1021 アクセス制御装置
1022 プリントサービス提供装置
1023 スキャンサービス提供装置
1024 他サービス提供装置
1031 外部サービス
1051 ポータルサービス提供装置
1052 プリントサービス提供装置
1053 スキャンサービス提供装置
1061 認証サービス提供装置
1062 データ処理サービス提供装置
1063 一時データ保存サービス提供装置
1071 認証情報記憶装置
1072 ジョブ情報記憶装置
1073 一時データ記憶装置
1100 サービス提供システム
1101 アプリケーション
1102 共通サービス
1103 データベース
1104 プラットフォームAPI(Application Programming Interface)
1111 ポータルサービスアプリ
1112 スキャンサービスアプリ
1113 プリントサービスアプリ
1121 認証・認可部
1122 組織管理部
1123 ユーザ管理部
1124 ライセンス管理部
1125 機器管理部
1126 一時画像保存部
1127 画像処理ワークフロー制御部
1128 ログ収集部
1131 メッセージキュー
1132 ワーカー
1141 ログ情報記憶部
1142 組織情報記憶部
1143 ユーザ情報記憶部
1144 ライセンス情報記憶部
1145 機器情報記憶部
1146 一時画像記憶部
1147 ジョブ情報記憶部
1148 アプリケーション固有の設定情報記憶部
1500 コンピュータシステム
1501 入力装置
1502 表示装置
1503 外部I/F
1503a 記録媒体
1504 RAM
1505 ROM
1506 CPU
1507 通信I/F
1508 HDD
B バス
FW ファイヤウォール
N1〜N3 ネットワーク
特開2012−226700号公報 特開2006−31714号公報

Claims (11)

  1. 1以上の情報処理装置を含む情報処理システムであって、
    外部装置からユーザ識別情報、組織識別情報を受信する受信手段と、
    組織識別情報に関連付けて1以上のユーザ識別情報を記憶する第1の記憶手段を用いて前記受信手段が受信した前記ユーザ識別情報、組織識別情報に対する認証を実行する認証手段と、を備え、
    前記認証手段は、認証済みの前記外部装置から外部サービスとの連携認証要求を受信すると、認証に関しての信頼関係を結んだ1以上の外部サービスを前記組織識別情報と関連付けて記憶する第2の記憶手段に、前記外部装置から受信した前記組織識別情報と前記連携認証要求の対象となる外部サービスとが関連付けられていれば、前記外部装置に連携認証応答を送信する
    ことを特徴とする情報処理システム。
  2. 前記認証手段は、認証済みでない前記外部装置から前記連携認証要求を受信すると、前記連携認証要求の情報を添付した上で、前記受信手段に、前記外部装置からユーザ識別情報、組織識別情報を受信するように要求すること
    を特徴とする請求項1記載の情報処理システム。
  3. 前記受信手段は、前記外部装置から受信した前記ユーザ識別情報、前記組織識別情報に前記連携認証要求の情報が添付されていれば、前記認証手段により認証済みであることを示す認証の情報を前記外部装置に送信し、
    前記認証手段は、前記認証の情報が添付された前記連携認証要求を前記外部装置から受信したときに、認証済みの前記外部装置から外部サービスとの連携認証要求を受信したと判定すること
    を特徴とする請求項2記載の情報処理システム。
  4. 前記受信手段は、前記外部装置から受信した前記ユーザ識別情報、前記組織識別情報に前記連携認証要求の情報が添付されていなければ、アクセス可能な前記外部サービスの情報を含む画面を、前記外部装置に表示させること
    を特徴とする請求項2又は3記載の情報処理システム。
  5. 前記認証手段は、前記連携認証応答の生成にエラーが発生したとき、エラー情報を含む画面を、前記外部装置に表示させるように前記受信手段に要求すること
    を特徴とする請求項1乃至4何れか一項記載の情報処理システム。
  6. 前記受信手段は、前記外部サービスが前記認証に関しての信頼関係を結んだ前記外部装置からのアクセス先と前記外部サービスが前記認証に関しての信頼関係を結んでいない前記外部装置からのアクセス先とを分けて提供している場合に、前記アクセス可能な前記外部サービスの情報を含む画面の前記外部サービスのアクセス先を、前記第2の記憶手段に基づいて切り替えること
    を特徴とする請求項4記載の情報処理システム。
  7. 前記アクセス可能な前記外部サービスの情報を記憶する、前記第2の記憶手段よりも高速な読み出しが可能な第3の記憶手段を更に有し、
    前記受信手段は、前記第3の記憶手段から読み出した前記外部サービスの情報に基づいて前記アクセス可能な前記外部サービスの情報を含む画面を生成すること
    を特徴とする請求項4記載の情報処理システム。
  8. 前記認証手段は、認証済みの前記外部装置から処理の要求を受けた内部サービスから前記外部サービスへのログイン要求を受信すると、前記第2の記憶手段に、前記外部装置から受信した前記組織識別情報と前記ログイン要求の対象となる外部サービスとが関連付けられていれば、前記外部サービスに連携認証応答を送信して取得した前記外部サービスの認証の情報を前記内部サービスに提供し、前記内部サービスに前記外部サービスを利用する前記処理の要求に基づく処理を実行させること
    を特徴とする請求項1記載の情報処理システム。
  9. 外部装置からユーザ識別情報、組織識別情報を受信する受信手段と、
    組織識別情報に関連付けて1以上のユーザ識別情報を記憶する第1の記憶手段を用いて前記受信手段が受信した前記ユーザ識別情報、組織識別情報に対する認証を実行する認証手段と、を備え、
    前記認証手段は、認証済みの前記外部装置から外部サービスとの連携認証要求を受信すると、認証に関しての信頼関係を結んだ1以上の外部サービスを前記組織識別情報と関連付けて記憶する第2の記憶手段に、前記外部装置から受信した前記組織識別情報と前記連携認証要求の対象となる外部サービスとが関連付けられていれば、前記外部装置に連携認証応答を送信する
    ことを特徴とする情報処理装置。
  10. コンピュータを、請求項9記載の情報処理装置として機能させるためのプログラム。
  11. 1以上の情報処理装置を含む情報処理システムが実行する認証方法であって、
    部装置からユーザ識別情報、組織識別情報を受信するステップと、
    織識別情報に関連付けて1以上のユーザ識別情報を記憶する第1の記憶手段を用いて記受信した前記ユーザ識別情報、組織識別情報に対する認証を実行するステップと、
    証済みの前記外部装置から外部サービスとの連携認証要求を受信するステップと、
    証に関しての信頼関係を結んだ1以上の外部サービスを前記組織識別情報と関連付けて記憶する第2の記憶手段に、前記外部装置から受信した前記組織識別情報と前記連携認証要求の対象となる外部サービスとが関連付けられていれば、前記外部装置に連携認証応答を送信するステップと
    を有することを特徴とする認証方法。
JP2013021264A 2013-02-06 2013-02-06 情報処理システム、情報処理装置、認証方法及びプログラム Active JP6064636B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013021264A JP6064636B2 (ja) 2013-02-06 2013-02-06 情報処理システム、情報処理装置、認証方法及びプログラム
US14/165,713 US9210159B2 (en) 2013-02-06 2014-01-28 Information processing system, information processing device, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013021264A JP6064636B2 (ja) 2013-02-06 2013-02-06 情報処理システム、情報処理装置、認証方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2014153805A JP2014153805A (ja) 2014-08-25
JP6064636B2 true JP6064636B2 (ja) 2017-01-25

Family

ID=51260489

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013021264A Active JP6064636B2 (ja) 2013-02-06 2013-02-06 情報処理システム、情報処理装置、認証方法及びプログラム

Country Status (2)

Country Link
US (1) US9210159B2 (ja)
JP (1) JP6064636B2 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2014155548A1 (ja) * 2013-03-27 2017-02-16 日立マクセル株式会社 端末装置、プログラム、データ送受信システム及びデータ送受信方法
JP6248641B2 (ja) 2014-01-15 2017-12-20 株式会社リコー 情報処理システム及び認証方法
US9952882B2 (en) * 2014-10-27 2018-04-24 Google Llc Integrated task items launcher user interface for selecting and presenting a subset of task items based on user activity information
US11171941B2 (en) * 2015-02-24 2021-11-09 Nelson A. Cicchitto Mobile device enabled desktop tethered and tetherless authentication
US9736165B2 (en) 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
JP6582740B2 (ja) * 2015-08-26 2019-10-02 株式会社リコー 情報処理システム、サーバ装置、及びプログラム
CN105791308B (zh) * 2016-04-11 2019-12-31 北京网康科技有限公司 一种主动识别域用户登录事件信息的方法、装置和系统
US10638012B2 (en) 2016-07-14 2020-04-28 Ricoh Company, Ltd. Information processing system, information processing apparatus, and information processing method
JP6972821B2 (ja) * 2017-09-19 2021-11-24 富士フイルムビジネスイノベーション株式会社 認証連携装置、サービス提供装置、認証連携システム及び情報処理プログラム
JP7087581B2 (ja) * 2018-03-30 2022-06-21 株式会社リコー 連携支援システム、連携支援方法、および連携支援プログラム
US11240225B1 (en) * 2020-03-03 2022-02-01 Amazon Technologies, Inc. Single sign-on techniques

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6490620B1 (en) * 1997-09-26 2002-12-03 Worldcom, Inc. Integrated proxy interface for web based broadband telecommunications management
US20060021018A1 (en) 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for enabling trust infrastructure support for federated user lifecycle management
US7957990B2 (en) * 2005-12-30 2011-06-07 Reflexis Systems, Inc. System and method for managing asset installation and evaluation
US8689287B2 (en) * 2006-08-17 2014-04-01 Northrop Grumman Systems Corporation Federated credentialing system and method
US8738575B2 (en) * 2007-09-17 2014-05-27 International Business Machines Corporation Data recovery in a hierarchical data storage system
JP5089307B2 (ja) * 2007-09-20 2012-12-05 シスメックス株式会社 検体分析装置
US8990911B2 (en) * 2008-03-30 2015-03-24 Emc Corporation System and method for single sign-on to resources across a network
JP2010165306A (ja) * 2009-01-19 2010-07-29 Nippon Telegr & Teleph Corp <Ntt> サービス提供方法、サービス提供システム、代理装置、そのプログラム
JP5565040B2 (ja) * 2010-03-30 2014-08-06 富士通株式会社 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム
JP4892093B1 (ja) * 2010-11-09 2012-03-07 株式会社東芝 認証連携システム及びidプロバイダ装置
JP2012226700A (ja) 2011-04-22 2012-11-15 Canon Inc 印刷システム、印刷中継サーバー、印刷中継サーバーを制御する制御方法、およびそのプログラム。
US9647989B2 (en) * 2011-04-27 2017-05-09 Symantec Corporation System and method of data interception and conversion in a proxy
JP2013008140A (ja) * 2011-06-23 2013-01-10 Hitachi Systems Ltd シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム
US9715547B2 (en) * 2011-07-15 2017-07-25 Commonsku Inc. Method and system for providing newsfeed updates
EP2792120A4 (en) * 2011-12-12 2015-10-21 Nokia Technologies Oy METHOD AND APPARATUS FOR REALIZING FEDERATED SERVICE ACCOUNTS
US8869234B2 (en) * 2012-05-03 2014-10-21 Sap Ag System and method for policy based privileged user access management

Also Published As

Publication number Publication date
US9210159B2 (en) 2015-12-08
US20140223532A1 (en) 2014-08-07
JP2014153805A (ja) 2014-08-25

Similar Documents

Publication Publication Date Title
JP6064636B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
US11595392B2 (en) Gateway enrollment for internet of things device management
JP6056384B2 (ja) システム及びサービス提供装置
JP6318940B2 (ja) サービス提供システム、データ提供方法及びプログラム
EP3203709B1 (en) Cloud service server and method for managing cloud service server
JP2017033339A (ja) サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
JP6248641B2 (ja) 情報処理システム及び認証方法
JP6111713B2 (ja) 情報処理システム、情報処理装置、認証情報管理方法及びプログラム
JP6357780B2 (ja) ネットワークシステム及び情報通知方法
JP2016091117A (ja) 情報処理システム、情報処理装置、アクセス制御方法及びプログラム
JP6183035B2 (ja) サービス提供システム、サービス提供方法及びプログラム
US9661184B2 (en) Data processing system and data processing method for authenticating user by utilizing user list obtained from service providing apparatus
JP6102296B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP2015032043A (ja) サービス提供システム、サービス提供方法およびプログラム
JP2017072890A (ja) サービス提供システム、情報処理装置、プログラム及び情報処理システム
JP6927282B2 (ja) 情報処理装置、端末装置、プログラム及び情報処理システム
JP6303312B2 (ja) サービス提供システム及び画像提供方法
JP6447766B2 (ja) サービス提供システム、データ提供方法及びプログラム
JP6237868B2 (ja) クラウドサービス提供システム及びクラウドサービス提供方法
JP2015032042A (ja) サービス提供システム、サービス提供方法およびプログラム
JP6288241B2 (ja) サービス提供方法、サービス提供装置、及び、サービス提供プログラム
JP2015032041A (ja) サービス提供システム、サービス提供方法およびプログラム
JP6299101B2 (ja) サービス提供システム、サービス提供方法及びプログラム
JP2015028740A (ja) サービス提供システム、サービス提供方法及びプログラム
JP2015146147A (ja) サービス提供システム、情報処理装置、画像提供方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160906

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161028

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161205

R151 Written notification of patent or utility model registration

Ref document number: 6064636

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151