JP6091450B2 - 情報処理装置及び情報処理方法及びプログラム - Google Patents
情報処理装置及び情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP6091450B2 JP6091450B2 JP2014027959A JP2014027959A JP6091450B2 JP 6091450 B2 JP6091450 B2 JP 6091450B2 JP 2014027959 A JP2014027959 A JP 2014027959A JP 2014027959 A JP2014027959 A JP 2014027959A JP 6091450 B2 JP6091450 B2 JP 6091450B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- identification information
- user identification
- country
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
なお、以下では、ユーザ識別情報をユーザID(Identifier)又は単にIDともいう。
また、人事情報のメンテナンスは各国各拠点のメンテナンスレベルに依存しており、提供される情報を信頼する前提で連携するしかないのが現状である。
上記の例として、海外拠点への異動時、該当ユーザのIDは異動先拠点で本邦とは別に発行され、本邦で使用していたIDは消去されず(本所属は本邦であるため)、IDの多重管理となる。
また、再度本邦に異動となった際、ある海外拠点では申請が紙媒体ベースであることや、人事情報のメンテナンスは基本的に手作業で実施されるといった理由から、異動先で使用していたIDの削除漏れが発生する可能性がある。
さらに当該セキュリティリスクを回避するために2つ以上のネットワークから同じIDへの重複ログインが確認されたとき、IDの資格情報とログイン実行者またはその端末の資格情報を比較し、合致しないユーザをロックするといった技術も存在する(例えば、特許文献2)。
IDを複数管理しなければならない場合、ログイン用途の主IDとシステム利用用途の副IDを持たせ、ID内のある情報を相互管理することで別ID同士の整合を取り、ID管理を行う手法も存在する(例えば、特許文献3)。
企業内ID管理システムにおいて、異なるポリシーを持つ拠点同士が連携するためには、「IDの多重管理の防止」と「拠点移動に伴うIDの削除漏れの回避」といった2つの機能を実現する必要がある。
また、拠点毎のID管理同士を連携する場合、提供される人事情報は手作業により管理され、かつメンテナンスレベルが拠点に依存することから削除漏れによる不正アクセス等のセキュリティリスクの危険性を孕むという課題がある。
ユーザのログイン先が第1の情報システムから第2の情報システムに変更になることが通知されるログイン先変更通知を受信するログイン先変更通知受信部と、
前記ログイン先変更通知受信部により前記ログイン先変更通知が受信された後に前記ユーザにより前記第2の情報システムへのログインが行われた場合に、前記ユーザにより前記第2の情報システムへのログインが行われたことを通知するログイン実施通知を受信するログイン実施通知受信部と、
前記ログイン実施通知受信部により前記ログイン実施通知が受信された場合に、前記第1の情報システムで使用される、前記ユーザのユーザ識別情報である第1のユーザ識別情報を無効にする設定を行うとともに、前記第2の情報システムで使用される、前記ユーザのユーザ識別情報である第2のユーザ識別情報を有効にする設定を行うユーザ識別情報管理部とを有することを特徴とする。
図1は、本実施の形態に係るシステム構成例を示す。
図1では、企業等の拠点がA国とB国にある例を示している。
A国は、当該企業等の本部(本社)が存在する国であり、B国は当該企業の支部(支社)が存在する国である。
マスタ認証サーバ(5)は、認証機能(7−1)と認可機能(8−1)とを有する。
A国はID管理のプライマリとなるため、A国ID管理サーバ(4−1)及びA国ID管理DB(11−1)以外に、マスタID管理サーバ(9)及びマスタID管理DB(10)が存在する。
また、A国には、ユーザXがA国で使用する端末装置であるA国ユーザX使用端末(1−1)、ユーザXのA国での上長が使用するA国上長端末(2−1)が所在している。
なお、マスタID管理サーバ(9)は情報処理装置の例に相当する。
B国認証サーバ(6)は、認証機能(7−2)と認可機能(8−2)とを有する。
また、B国には、ユーザXがB国で使用する端末装置であるB国ユーザX使用端末(1−2)、ユーザXのB国での上長が使用するB国上長端末(2−2)が所在している。
つまり、マスタID(12)にA国サブID(13−1)、B国サブID(13−2)が従属している。
マスタID(12)は、ユーザが使用する全てのサブIDのベースとなる識別情報である。
A国サブID(13−1)は、A国内のシステムにログインする際に使用される識別情報である。
B国サブID(13−2)は、B国内のシステムにログインする際に使用される識別情報である。
マスタID管理DB(10)では、ユーザごとに、マスタID(12)、A国サブID(13−1)、B国サブID(13−2)の関係を管理している。
マスタID管理DB(10)は、例えば、図2に示すようにマスタIDに対して、サブIDを管理している。
図2はマスタID(12)に関する構成を示すテーブルまたはLDAP(Lightweight Directory Access Protocol)情報である。
マスタID管理DB(10)はマスタユーザIDを主キーとし、複数のサブID情報とそのサブIDの使用可能フラグを管理している。
つまり、マスタID管理DB(10)は、マスタID(master_uid001等)に対して、A国のサブID(serverA_uid001等)、B国のサブID(serverB_uid001等)、C国のサブID(serverC_uid001等)を管理している。
また、マスタID管理DB(10)では、サブIDごとに使用可能フラグが設けられている。
使用可能フラグは、サブIDとそれに基づくアカウントの有効/無効を切替えるためのフラグである。
図2の例では使用可能フラグが○であれば、対象のサブIDおよびそれに基づくアカウントを有効(使用可能)とし、使用可能フラグが×であれば、対象のサブIDおよびそれに基づくアカウントを無効(使用不可)とする。
図3はA国サブID(13−1)に関する構成を示すテーブルまたはLDAP情報である。
A国ID管理DB(11−1)は、例えば、図3に示すように、A国サブID(13−1)(serverA_uid001等)を主キーとし、ユーザの属性値(Auser_0001、固有属性XXX、固有属性123等)とユーザのA国におけるメールアドレスを格納している。
固有属性XXX、固有属性123等は、例えば、ユーザのパスワードである。
図4はB国サブID(13−2)に関する構成を示すテーブルまたはLDAP情報である。
B国ID管理DB(11−2)は、例えば、図4に示すように、B国サブID(13−2)(serverB_uid001等)に対して、ユーザの属性値(B_001_user、code_00X、1234567890a等)とユーザのB国におけるメールアドレスを格納している。
code_00X、1234567890a等は、例えば、ユーザのパスワードである。
B国仮サブIDの発行、サブID本登録処理の詳細は、後述する。
ここでは、ユーザXがA国からB国に異動する例を説明する。
なお、この例では、A国が第1の拠点の例に相当し、B国が第2の拠点の例に相当する。
このため、A国の情報システム(A国異動申請システム(3−1)、A国ID管理サーバ(4−1)、マスタ認証サーバ(5)、認可機能(8−1)、A国ID管理DB(11−1)の他、A国のユーザが利用できるサーバ、DB等が含まれる情報システム)が第1の情報システムの例に相当し、B国の情報システム(B国異動申請システム(3−2)、B国ID管理サーバ(4−2)、B国認証サーバ(6)、B国ID管理DB(11−2)の他、B国のユーザが利用できるサーバ、DB等が含まれる情報システム)が第2の情報システムの例に相当する。
更に、A国サブID(13−1)は第1のユーザ識別情報の例に相当し、B国サブID(13−2)は第2のユーザ識別情報の例に相当する。
マスタID管理サーバ(9)は、所属先変更通知を受信すると、ユーザXにB国用のサブIDが存在するか否かを判定する。
ここでは、ユーザXにB国用のサブIDが存在しないと仮定する。
マスタID管理サーバ(9)は、B国ID管理サーバ(4−2)に、ユーザXのB国仮サブIDを生成させる。
また、マスタID管理サーバ(9)がユーザXのB国仮サブIDを生成してもよい。
この段階では、B国仮サブIDは、B国ID管理サーバ(4−2)では登録されるが、マスタID管理サーバ(9)では登録されない。
また、ユーザXに、B国仮サブIDが通知される。
その後、ユーザXがB国へ異動する。
B国認証サーバ(6)は、ユーザXによる最初のログインであると判断し、仮サブID登録リクエストをマスタ認証サーバ(5)を介してマスタID管理サーバ(9)に送信する。
この仮サブID登録リクエストは、ユーザXによりB国認証サーバ(6)へのログインが行われたことを通知するとともに、B国仮サブIDの登録を要求するものある。
マスタID管理サーバ(9)は、仮サブID登録リクエストを受信すると、ユーザXのB国仮サブIDをB国サブID(13−2)として本登録し、B国サブID(13−2)を有効にする設定を行うとともに、ユーザXのA国サブID(13−1)を無効にする設定を行う。
これにより、A国ID管理サーバ(4−1)ではA国サブID(13−1)を使用することができなくなる一方で、B国ID管理サーバ(4−2)ではB国サブID(13−2)の使用を開始することができる。
例えば、通信部(91)は、A国ユーザX使用端末(1−1)から、所属先変更通知を受信する。
また、通信部(91)は、B国認証サーバ(6)からの仮サブID登録リクエストを受信する。
所属先変更通知は、ユーザXのログイン先のシステムがB国の情報システムに変更になることを通知するものであり、ログイン先変更通知の例に相当する。
このため、通信部(91)は、ログイン先変更通知受信部の例に相当する。
また、仮サブID登録リクエストは、ユーザXがB国の情報システムに初めてログインしたことを通知するものであり、ログイン実施通知の例に相当する。
このため、通信部(91)は、ログイン実施通知受信部の例にも相当する。
また、DB管理部(92)は、マスタID管理DB(10)に格納されているレコードの更新を行う。
例えば、ユーザXから所属先がB国に変更になる旨の所属先変更通知があった場合に、サブID生成部(93)は、B国ID管理サーバ(4−2)に、ユーザXのB国での仮サブIDを生成させる。
また、サブID生成部(93)は、B国ID管理サーバ(4−2)との協働により、ユーザXのB国での仮サブIDを生成するようにしてもよい。
サブID生成部(93)は、後述の使用可能フラグ変更処理部(94)及びID・アカウントロック処理部(95)とともに、ユーザID管理部の例に相当する。
例えば、ユーザXがB国に異動し、B国認証サーバ(6)からユーザXについての仮サブID登録リクエストがあった場合に、使用可能フラグ変更処理部(94)は、ユーザXのA国サブID(13−1)の使用可能フラグを使用不可(X)にするとともに、B国サブID(13−2)の使用可能フラグを使用可能(○)にする。
使用可能フラグ変更処理部(94)は、サブID生成部(93)及びID・アカウントロック処理部(95)とともに、ユーザ識別情報管理部の例に相当する。
ID・アカウントロック処理部(95)によりロックされたアカウントは無効(使用不可)になり、ID・アカウントロック処理部(95)によりロックが解除されたアカウントは有効(使用可能)となる。
例えば、使用可能フラグ変更処理部(94)によりユーザXのA国サブID(13−1)の使用可能フラグが使用不可(X)に設定された場合は、A国ID管理DB(11−1)のユーザXのアカウントが無効になり、A国ID管理サーバ(4−1)はユーザXのアカウントを使用することができない。
一方、使用可能フラグ変更処理部(94)によりユーザXのB国サブID(13−2)の使用可能フラグが使用可能(○)に設定された場合は、B国ID管理DB(11−2)のユーザXのアカウントが有効になり、B国ID管理サーバ(4−2)はユーザXのアカウントを使用することができるようになる。
ID・アカウントロック処理部(95)は、サブID生成部(93)及び使用可能フラグ変更処理部(94)とともにユーザ識別情報管理部の例に相当する。
図5、図6、図7、図8、図9、図10がA国からB国への異動フローを示す図である。
ログインによる認証が未実施の場合、認証機能(7−1)が、A国ユーザX使用端末(1−1)に対してログイン画面を表示する(S3)。
ユーザXはS3にて表示されたログイン画面に対し、A国サブID(13−1)とそのパスワードを入力し、マスタ認証サーバ(5)にリクエストを送信する(S4)。
リクエストを受信したマスタ認証サーバ(5)の認証機能(7−1)は、ユーザXにて入力されたA国サブID(13−1)およびパスワードとA国ID管理DB(11−1)に格納される情報とを比較し、認証処理を実施する(S5)。
認証に失敗した場合、認証機能(7−1)は、失敗回数チェック(S6)を行い、一定回数以下の場合はS3に処理を戻す。
一定回数を超過した場合は、認証機能(7−1)は、認証エラー画面を表示し処理を終了する(S21)。
A国ユーザX使用端末(1−1)は、S7にて表示した画面のリンク等からA国異動申請システム(3−1)へアクセスする(S8)。
A国異動申請画面が表示されたら(S9)、A国ユーザX使用端末(1−1)は、B国への異動申請を行い(S10)、A国異動申請システム(3−1)がA国上長端末(2−1)にユーザXの異動申請に対する承認依頼を送信する(S11)。
申請内容の不備等から否認(S12)となった場合、A国ユーザX使用端末(1−1)は、再度S10から異動申請を実施する。
承認(S12)となった場合は、A国ユーザX使用端末(1−1)は、所属先変更通知をマスタID管理サーバ(9)に送信し、マスタID管理サーバ(9)に異動先(本動作ではB国)用サブIDの有無チェックを促す(S13)。
マスタID管理サーバ(9)では、通信部(91)が所属先変更通知を受信し、DB管理部(92)がマスタID管理DB(10)を検索して、異動先にサブIDが存在するか否かを確認する。
異動先にサブIDが存在する場合の処理(S20)については後ほど説明する。
マスタID管理サーバ(9)では、通信部(91)がリクエストを送信し、サブID生成部(93)がB国ID管理サーバ(4−2)に対して、B国仮サブIDを生成する(S15)。
つまり、サブID生成部(93)がユーザXのB国サブID(13−2)の生成をB国ID管理サーバ(4−2)に指示する。
または、サブID生成部(93)がユーザXのB国サブID(13−2)を生成し、通信部(91)がユーザXのB国サブID(13−2)をB国ID管理サーバ(4−2)に送信する。
なお、この時点では、ユーザXのB国サブID(13−2)は、マスタID管理DB(10)には登録されない。
次に、マスタID管理サーバ(9)は、メーラ(96)と通信部(91)により、ユーザXに対し、B国仮サブID情報と生成完了の旨を記載したメールをA国メールアドレスへメール送信し(S16)、同時にB国上長へユーザXのB国仮サブID情報をメール送信する(S17)。
その後、ユーザが異動先であるB国へ異動する(S18)。
処理フローは図7、図8である。
初回ログインでない場合はB国システムログイン処理(S40)へ進む。
初回ログインである場合、B国認証サーバ(6)は、B国ユーザX使用端末(1−2)に初回ログイン画面を返す(S25)。
ユーザXは初回ログイン画面からB国仮サブIDにてログイン承認依頼をB国上長に送信する(S26)。
入力情報に不備があるなどして、否認(S27)された場合、S25の処理に戻る。
承認(S27)された場合、B国認証サーバ(6)は、B国ユーザX使用端末(1−2)に通常ログイン画面を返す(S28)。
ユーザXは通常ログイン画面にB国仮サブIDとパスワードを入力し、B国認証サーバ(6)へアクセスする(S29)。
B国認証サーバ(6)は送信されたユーザXのB国仮サブIDおよびパスワードとB国ID管理DB(11−2)に格納される情報を比較し、認証処理を実施する(S30)。
認証に失敗した場合、B国認証サーバ(6)は、失敗回数チェック(S31)を行い、一定回数以下の場合はS28に処理を戻す。
一定回数を超過した場合、B国認証サーバ(6)は、認証エラー画面を表示し処理を終了する(S41)。
認証が成功した場合、B国認証サーバ(6)にて認証済みクッキーを発行する(S32)。
B国認証サーバ(6)は、発行された認証済みクッキーが含まれるリクエストを仮サブID登録リクエストとしてマスタ認証サーバ(5)へ送信する(S33)。
仮サブID登録リクエストには、認証済みクッキーの他、ユーザXのB国仮サブIDと、ユーザXのマスタID(12)を識別可能な情報(ユーザXの氏名等)が含まれている。
失敗した場合、認証機能(7−1)は、認証エラーをB国ユーザX使用端末(1−2)に表示し(S41)、処理を終了する。
成功した場合、マスタID管理サーバ(9)の通信部(91)が、マスタ認証サーバ(5)から認証済みクッキーのチェック成功のリクエストを受信する。
マスタ認証サーバ(5)からのリクエストには、仮サブID登録リクエストのうちの認証済みクッキーを除く内容、すなわち、ユーザXのB国仮サブIDと、ユーザXのマスタID(12)を識別可能な情報(ユーザXの氏名等)が含まれている。
マスタID管理サーバ(9)のDB管理部(92)が、マスタID管理DB(10)に格納されるユーザXのマスタID(12)に対して、B国サブID(13−2)情報を登録する(S36)。
つまり、B国仮サブIDを、B国サブID(13−2)として本登録する。
このとき、使用可能フラグ変更処理部(94)が、B国サブID(13−2)の使用可能フラグを使用可能にする。
更に、ID・アカウントロック処理部(95)が、B国サブID(13−2)のアカウントを使用可能にする。
また、マスタID管理サーバ(9)の通信部(91)がマスタ認証サーバ(5)からの使用可能フラグ変更リクエストを受信し、使用可能フラグ変更処理部(94)が、ユーザXのマスタID(12)に登録されているB国サブID以外のサブID(例えば、A国サブID(13−1))に対する使用可能フラグを使用不可に変更する(S37)。
使用可能フラグが使用不可となったため、マスタID管理サーバ(9)のID・アカウントロック処理部(95)はユーザXのマスタIDに登録されているB国サブID以外のサブIDをロックする(S38)。
マスタID管理サーバ(9)のメーラ(96)は、ユーザXのB国メールアドレスに対し、サブID本登録完了についてメール送信する(S39)。
このB国システムログイン処理は、ユーザがB国の情報システムを利用する際に日常的に行われるログイン処理である。
処理フローは図10である。
B国認証サーバ(6)の認可機能(8−2)からリバースプロキシされ、認証機能(7−2)が認証済みかどうかのチェック(認証済みクッキーの有無)を行う(S55)。
認証済みの場合、S60へ進む。
認証が未実施の場合、認証機能(7−2)がB国ユーザX使用端末(1−2)にログイン画面を返し(S56)、ユーザXはB国サブID(13−2)とパスワードを入力し、B国認証サーバ(6)へリクエストを送信する(S57)。
B国認証サーバ(6)は入力されたB国サブID(13−2)およびパスワードとB国ID管理DB(11−2)に格納される情報を比較し、認証処理を実施する(S58)。
認証に失敗した場合、失敗回数チェック(S59)を行い、一定回数以下の場合はS56に処理を戻す。
一定回数を超過した場合、認証エラー画面を表示し処理を終了する(S61)。
認証が成功した場合、B国ユーザX使用端末(1−2)にログイン後画面(例えば、ポータルサイトや申請メニュー等)を表示し(S60)、処理を終了する。
処理フローは図9である。
マスタID管理サーバ(9)では、通信部(91)がA国ID管理サーバ(4−1)からのリクエストを受け、使用可能フラグ変更処理部(94)がマスタID(12)に登録されているB国サブID(13−2)以外のサブIDの使用可能フラグを使用不可に変更し、また、B国サブID(13−2)の使用可能フラグを使用可能に変更する(S44)。
また、マスタID管理サーバ(9)のID・アカウントロック処理部(95)は、ユーザXのマスタIDに登録されているB国サブID(13−2)以外のサブIDをロックする(S45)。
その後、ユーザがB国へ異動し(S46)、ユーザXがB国ユーザX使用端末(1−2)からB国認証サーバ(6)へアクセスする(S47)。
B国認証サーバ(6)にて初回ログインチェックを行い(S48)、初回ログインでない場合、S52へ進む。
初回ログインの場合、B国ユーザX使用端末(1−2)に初回ログイン画面が表示され(S49)、ユーザXは初回ログイン画面からB国サブID(13−2)にてログイン承認依頼をB国上長へ送信する(S50)。
入力内容の不備等により、否認(S51)された場合、S49へ処理を戻す。
承認(S51)された場合、B国システムログイン処理へ進む。
以降は図10の処理へ進むため、説明を割愛する。
以上の実施の形態1では、ユーザの異動時に仮サブIDを発行し、認証連携によるサブID本登録処理を行い、本登録されたサブID以外のサブIDをロックするという処理を示したが、次にユーザが異動先から戻るときに処理についての説明を行う。
なお、本実施の形態に係るシステム構成は図1に示しものと同様であり、また、本実施の形態に係るマスタID管理サーバ(9)の構成も図17に示したものと同様である。
本実施の形態では、B国が第1の拠点の例に相当し、A国が第2の拠点の例に相当する。
認証済みの場合、S7へ進む。
認証未済の場合、認証機能(8−2)は、B国ユーザX使用端末(1−2)にログイン画面を返す(S3)。
ユーザXはB国サブID(13−2)とパスワードを入力し、B国認証サーバ(6)にリクエストを送信する(S4)。
B国認証サーバ(6)は入力されたB国サブID(13−2)およびパスワードとB国ID管理DB(11−2)に格納される情報を比較し、認証処理を実施する(S5)。
認証に失敗した場合、失敗回数チェック(S6)を行い、一定回数以下の場合はS3に処理を戻す。
一定回数を超過した場合、認証エラー画面を表示し処理を終了する(S18)。
認証が成功した場合、ログイン後画面(例えば、ポータルサイトや申請メニュー等)を表示する(S7)。
B国ユーザX使用端末(1−2)は、S7にて表示した画面のリンク等からB国異動申請システム(3−2)へアクセスする(S8)。
B国異動申請画面が表示されたら(S9)、B国ユーザX使用端末(1−2)は、A国への異動申請を行い(S10)、B国異動申請システム(3−2)はB国上長にユーザXの異動申請に対する承認依頼を送信する(S11)。
申請内容の不備等から否認(S12)となった場合、B国ユーザX使用端末(1−2)は、再度S10から異動申請を実施する。
承認(S12)となった場合は、図12では図示を省略しているが、実施の形態1と同様にして、B国ユーザX使用端末(1−2)は、マスタID管理サーバ(9)に対し、異動先(本動作ではA国)用サブIDの有無チェックを促すために所属先変更通知を送信する。
そして、マスタID管理サーバ(9)ではDB管理部(92)が異動先のサブIDが存在するか否かをチェックする。
ここでは異動先に戻る処理を説明しているため、異動先のサブIDは存在している。
B国上長承認後、マスタID管理サーバ(9)に格納されているユーザXのマスタID(12)に登録されているB国サブID(13−2)の使用可能フラグ変更に関するリクエストをB国ID管理サーバ(4−2)からマスタID管理サーバ(9)へ送信する(S13)。
マスタID管理サーバ(9)では、通信部(91)がB国ID管理サーバ(4−2)からのリクエストを受信し、使用可能フラグ変更処理部(94)がマスタID(12)に登録されているB国サブID(13−2)の使用可能フラグを使用不可に変更する(S14)。
また、マスタID管理サーバ(9)では、ID・アカウントロック処理部(95)がユーザXのマスタIDに登録されているB国サブID(13−2)をロックする(S15)。
ユーザがA国へ異動する(S16)。
処理フローは図13及び図14である。
初回ログインでない場合はS25へ進む。
初回ログインである場合、マスタ認証サーバ(5)は、A国ユーザX使用端末(1−1)に初回ログイン画面を返す(S22)。
ユーザXは初回ログイン画面からA国サブID(13−1)にてログイン承認依頼をA国上長に送信する(S23)。
入力情報に不備があるなどして、否認(S24)された場合、S22の処理に戻る。
承認(S24)された場合、マスタ認証サーバ(5)が、マスタID管理サーバ(9)にユーザXのマスタID(12)に登録されているA国サブID(13−1)の使用可能フラグを変更するリクエストを送付する(S25)。
このリクエストは、ユーザXからA国における初回のログインがあったことを通知するものであり、ログイン実施通知に相当する。
マスタID管理サーバ(9)では、通信部(91)がリクエストを受信し、使用可能フラグ変更処理部(94)がユーザXのマスタID(12)に登録されているA国サブID(13−1)の使用可能フラグを使用可能に変更する(S26)。
また、マスタID管理サーバ(9)のID・アカウントロック処理部(95)がユーザXのA国サブID(13−1)のアカウントのロックを解除する(S27)。
その後、マスタ認証サーバ(5)が、A国ユーザX使用端末(1−1)に通常ログイン画面を返す(S28)。
ユーザXは通常ログイン画面にA国サブID(13−1)とパスワードを入力し、マスタ認証サーバ(5)へリクエストを送信する(S29)。
マスタ認証サーバ(5)は、送信されたユーザXのA国サブID(13−1)およびパスワードとA国ID管理DB(11−1)に格納される情報を比較し、認証処理を実施する(S30)。
認証に失敗した場合、失敗回数チェック(S31)を行い、一定回数以下の場合はS28に処理を戻す。
一定回数を超過した場合、認証エラー画面を表示し処理を終了する(S33)。
認証が成功した場合、A国ユーザX使用端末(1−1)にログイン後画面(例えば、ポータルサイトや申請メニュー等)を表示し(S32)、処理を終了する。
これに対して、実施の形態1のように、ユーザXが異動前の拠点にいるときにB国サブID(13−2)の使用可能フラグを使用不可にするとともにA国サブID(13−1)の使用可能フラグを使用可能にし(図9のS44)、B国サブID(13−2)のアカウントをロックするとともにA国サブID(13−1)のアカウントのロックを解除する(図9のS45)ようにしてもよい。
以上の実施の形態1および実施の形態2ではユーザIDとパスワードを使用した認証連携ID・アカウントロック方式について説明したが、ユーザのログイン方式についてIDカードを使用した場合についての実施の形態を示す。
図15に構成を示す。
図15では、図1に示す構成と比較して、クライアント証明書管理サーバ(14)及びクライアント証明書管理DB(15)が追加されている。
クライアント証明書管理サーバ(14)及びクライアント証明書管理DB(15)以外は、図1に示したものと同様である。
クライアント証明書と上長承認後に使用可能となったサブIDにてログイン処理を可能とする。
これは、IDカードの固有情報をサブIDに格納しておくことで実現可能となる。
処理フローはサブIDとパスワードを入力する処理をIDカードによる認証に置き換えるだけであるため、説明を割愛する。
以上の実施の形態3ではIDカードによる認証方式について説明したが、パスワードをバイオメトリクス化する手法について説明する。
図16のようにマスタIDのテーブルまたはLDAPデータの中にバイオメトリクスデータを格納しておき、ユーザの生体情報と整合を取ることで実現可能である。
処理フローはパスワードを入力する処理をバイオメトリクス認証に置き換えるだけであるため処理を割愛する。
なお、本実施の形態に係るシステム構成例は図1に示したものと同様である。
マスタID管理サーバ(9)はコンピュータであり、マスタID管理サーバ(9)の各要素をプログラムで実現することができる。
マスタID管理サーバ(9)のハードウェア構成としては、バスに、演算装置901、外部記憶装置902、主記憶装置903、通信装置904、入出力装置905が接続されている。
外部記憶装置902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置903は、RAM(Random Access Memory)である。
通信装置904は、通信部(91)の物理層に対応する。
入出力装置905は、例えばマウス、キーボード、ディスプレイ装置等である。
プログラムは、図1に示す「〜部」として説明している機能を実現するプログラムである。
更に、外部記憶装置902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置903にロードされ、演算装置901はOSを実行しながら、図1に示す「〜部」の機能を実現するプログラムを実行する。
また、実施の形態1〜4の説明において、「〜の判断」、「〜の判定」、「〜の抽出」「〜の設定」、「〜の登録」、「〜の選択」、「〜の生成」、「〜の変更」、「〜の更新」、「〜の受信」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置903にファイルとして記憶されている。
Claims (11)
- ユーザのログイン先が第1の情報システムから第2の情報システムに変更になることが通知されるログイン先変更通知を受信するログイン先変更通知受信部と、
前記ログイン先変更通知受信部により前記ログイン先変更通知が受信された後に、前記第1の情報システムで使用される、前記ユーザのユーザ識別情報である第1のユーザ識別情報を無効にする設定を行うとともに、前記第2の情報システムで使用される、前記ユーザのユーザ識別情報である第2のユーザ識別情報を有効にする設定を行い、前記ユーザに対して、前記第1の情報システム及び前記第2の情報システム以外の第3の情報システムで使用される、前記ユーザのユーザ識別情報である第3のユーザ識別情報が存在する場合に、前記第3のユーザ識別情報を無効にする設定を行うユーザ識別情報管理部とを有することを特徴とする情報処理装置。 - 前記ユーザ識別情報管理部は、
前記第1のユーザ識別情報を無効にするとともに前記第1のユーザ識別情報に関連付けられているアカウントを無効にする設定を行い、
前記第2のユーザ識別情報を有効にするとともに前記第2のユーザ識別情報に関連付けられているアカウントを有効にする設定を行い、
前記第3のユーザ識別情報が存在する場合に、前記第3のユーザ識別情報を無効にするとともに前記第3のユーザ識別情報に関連付けられているアカウントを無効にする設定を行うことを特徴とする請求項1に記載の情報処理装置。 - 前記ログイン先変更通知受信部は、
前記ユーザのログイン先が第1の拠点に配置される第1の情報システムから第2の拠点に配置される第2の情報システムに変更になることが通知されるログイン先変更通知を受信することを特徴とする請求項1に記載の情報処理装置。 - 前記ユーザ識別情報管理部は、
前記ログイン先変更通知受信部により前記ログイン先変更通知が受信された後に前記ユーザにより初めて前記第2の情報システムへのログインが行われた際に、第1のユーザ識別情報を無効にする設定を行うとともに、前記第2のユーザ識別情報を有効にする設定を行い、前記第3のユーザ識別情報が存在する場合に前記第3のユーザ識別情報を無効にする設定を行うことを特徴とする請求項1に記載の情報処理装置。 - 前記ユーザ識別情報管理部は、
前記ユーザによる前記第2の情報システムへのログインを待たずに、前記第1のユーザ識別情報を無効にする設定を行うとともに、前記第2のユーザ識別情報を有効にする設定を行うことを特徴とする請求項1に記載の情報処理装置。 - 前記ユーザ識別情報管理部は、
前記ユーザによる前記第2の情報システムへのログインを待たずに、前記第1のユーザ識別情報を無効にする設定を行い、前記第3のユーザ識別情報が存在する場合に前記第3のユーザ識別情報を無効にする設定を行い、前記ユーザによる前記第2の情報システムへのログインが行われた場合に、前記第2のユーザ識別情報を有効にする設定を行うことを特徴とする請求項1に記載の情報処理装置。 - 前記ユーザ識別情報管理部は、
前記ログイン先変更通知受信部により前記ログイン先変更通知が受信された際に、前記ユーザに対して前記第2のユーザ識別情報が未生成である場合は、
前記ユーザに対して前記第2のユーザ識別情報を生成し、前記ユーザによる前記第2の情報システムへのログインが行われた場合に、前記第1のユーザ識別情報を無効にする設定を行うとともに、前記第2のユーザ識別情報を有効にする設定を行い、前記第3のユーザ識別情報が存在する場合に前記第3のユーザ識別情報を無効にする設定を行うことを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、
ID(Identifier)カードを用いた前記ユーザに対するログイン認証を行う第1の情報システムと接続されていることを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、
前記ユーザのバイオメトリックスデータを用いた前記ユーザに対するログイン認証を行う第1の情報システムと接続されていることを特徴とする請求項1に記載の情報処理装置。 - ユーザのログイン先が第1の情報システムから第2の情報システムに変更になることが通知されるログイン先変更通知を、コンピュータが受信するログイン先変更通知受信ステップと、
前記ログイン先変更通知受信ステップにより前記ログイン先変更通知が受信された後に、前記第1の情報システムで使用される、前記ユーザのユーザ識別情報である第1のユーザ識別情報を無効にする設定を行うとともに、前記第2の情報システムで使用される、前記ユーザのユーザ識別情報である第2のユーザ識別情報を有効にする設定を行い、前記ユーザに対して、前記第1の情報システム及び前記第2の情報システム以外の第3の情報システムで使用される、前記ユーザのユーザ識別情報である第3のユーザ識別情報が存在する場合に、前記第3のユーザ識別情報を無効にする設定を行うユーザ識別情報管理ステップとを有することを特徴とする情報処理方法。 - ユーザのログイン先が第1の情報システムから第2の情報システムに変更になることが通知されるログイン先変更通知を受信するログイン先変更通知受信処理と、
前記ログイン先変更通知受信処理により前記ログイン先変更通知が受信された後に、前記第1の情報システムで使用される、前記ユーザのユーザ識別情報である第1のユーザ識別情報を無効にする設定を行うとともに、前記第2の情報システムで使用される、前記ユーザのユーザ識別情報である第2のユーザ識別情報を有効にする設定を行い、前記ユーザに対して、前記第1の情報システム及び前記第2の情報システム以外の第3の情報システムで使用される、前記ユーザのユーザ識別情報である第3のユーザ識別情報が存在する場合に、前記第3のユーザ識別情報を無効にする設定を行うユーザ識別情報管理処理とをコンピュータに実行させることを特徴とするプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014027959A JP6091450B2 (ja) | 2014-02-17 | 2014-02-17 | 情報処理装置及び情報処理方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014027959A JP6091450B2 (ja) | 2014-02-17 | 2014-02-17 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015153260A JP2015153260A (ja) | 2015-08-24 |
JP6091450B2 true JP6091450B2 (ja) | 2017-03-08 |
Family
ID=53895404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014027959A Active JP6091450B2 (ja) | 2014-02-17 | 2014-02-17 | 情報処理装置及び情報処理方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6091450B2 (ja) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6556558B2 (ja) * | 2015-08-24 | 2019-08-07 | シャープ株式会社 | ユーザ端末、管理サーバ、情報管理システム、ユーザ端末の制御方法、及び管理サーバの制御方法 |
JP7101845B1 (ja) | 2021-04-28 | 2022-07-15 | 三菱電機株式会社 | 認証システム、認証方法及び中央管理装置 |
WO2023026669A1 (ja) * | 2021-08-26 | 2023-03-02 | 株式会社マネーフォワード | 情報処理装置、情報処理方法及びプログラム |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4184027B2 (ja) * | 2002-10-03 | 2008-11-19 | 株式会社ケンウッド | 情報配信システム、サーバおよびコンビネーション認証方法 |
JP4706165B2 (ja) * | 2003-05-26 | 2011-06-22 | 日本電気株式会社 | アカウント管理システム、アカウント管理方法およびアカウント管理プログラム |
JP5151488B2 (ja) * | 2008-01-09 | 2013-02-27 | 富士ゼロックス株式会社 | 権限情報管理装置、情報処理システム及びプログラム |
-
2014
- 2014-02-17 JP JP2014027959A patent/JP6091450B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015153260A (ja) | 2015-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10868815B2 (en) | Leveraging flexible distributed tokens in an access control system | |
US10853805B2 (en) | Data processing system utilising distributed ledger technology | |
US8387136B2 (en) | Role-based access control utilizing token profiles | |
US8387137B2 (en) | Role-based access control utilizing token profiles having predefined roles | |
CN109474632B (zh) | 对用户进行认证和权限管理的方法、装置、系统和介质 | |
US7330971B1 (en) | Delegated administration of namespace management | |
JP6124687B2 (ja) | 画像形成装置、サーバー装置、情報処理方法及びプログラム | |
GB2569278A (en) | Methods and apparatus for verifying a user transaction | |
US20140230020A1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
JP6675163B2 (ja) | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム | |
JP5318719B2 (ja) | 端末装置及び端末装置におけるアクセス制御ポリシー取得方法 | |
CA2945774A1 (en) | Device registration, authentication, and authorization system and method | |
US20090228962A1 (en) | Access control and access tracking for remote front panel | |
JP2004326292A (ja) | 電子鍵システムおよび電子鍵利用方法 | |
JP2007110377A (ja) | ネットワークシステム | |
US10810295B2 (en) | Unified authentication management system | |
JP7047322B2 (ja) | 情報処理装置、情報処理システム及びプログラム | |
US20100175115A1 (en) | Management of credentials used by software applications | |
US20210144138A1 (en) | Authority transfer system, server and method of controlling the server, and storage medium | |
CN115118444A (zh) | 信息处理装置以及存储介质 | |
JP6459270B2 (ja) | 情報処理装置及びプログラム | |
JP6091450B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
CN111478894A (zh) | 一种外部用户授权方法、装置、设备及可读存储介质 | |
JP7099198B2 (ja) | 管理装置、管理システム及びプログラム | |
JP7100561B2 (ja) | 認証システム、認証サーバおよび認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160115 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161101 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161129 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170110 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6091450 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |