JP6226689B2 - 情報処理システム、情報処理方法、及びプログラム - Google Patents
情報処理システム、情報処理方法、及びプログラム Download PDFInfo
- Publication number
- JP6226689B2 JP6226689B2 JP2013215822A JP2013215822A JP6226689B2 JP 6226689 B2 JP6226689 B2 JP 6226689B2 JP 2013215822 A JP2013215822 A JP 2013215822A JP 2013215822 A JP2013215822 A JP 2013215822A JP 6226689 B2 JP6226689 B2 JP 6226689B2
- Authority
- JP
- Japan
- Prior art keywords
- notification
- information processing
- electronic certificate
- group
- processing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/224—Monitoring or handling of messages providing notification on incoming messages, e.g. pushed notifications of received messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、情報処理システム、情報処理方法、及びプログラムに関し、特にクラウドサービスにおいて、シングルサインオン連携に関する電子証明書の有効期限を管理する処理に関する。
近年、クラウド型サービスを始めとする、インターネット上に設置されたサーバーを利用し顧客にサービスを提供するビジネスが多く存在する。このようなビジネスでは複数の異なるサービスが提供され、顧客はそれらサービスの中から自身が利用したいものを選択し、必要なサービスに関する契約だけを結ぶといった契約形態が取られる。
このようなサービスでは、ある顧客企業にサービスを提供する場合、サービス提供側はテナントを新規に作成しその顧客企業に割り当てる。また新規作成したテナントを顧客企業側で管理するための初期ユーザーが作成され、テナントに登録される。そして、顧客企業側の管理者は、作成された初期ユーザーとしてサービスにログインし、割り当てられたテナントにユーザーを追加するほか、必要な設定を行うことで、顧客企業はサービスの利用を開始できる。
また、従来、異なるドメイン下に存在する複数のサーバー間で認証を連携させる技術として、Security Assertion Markup Language(以下、SAML)によるシングルサインオン(以下、SSO)の仕組みが知られている。SAMLを実現するシステムは、認証機能を提供するサーバー群(Identity Provider、以下、IdP)を含む。またIdPの認証結果(アサーション)を信頼して機能を提供する少なくとも一つ以上のサーバー群(Service Provider、以下、SP)も含む。
SAMLのSSOは、IdPとSPとの間の信頼関係によって成り立っており、そのため、SSOを実現する前に、事前にIdPとSPとの間で信頼関係を結んでいる必要がある。この信頼関係は、SAMLプロトコルで規定されたどの方式でSSOを行うのかを記述したメタデータと、電子証明書の登録をSPに登録することで成立する。なお、クラウド型システムではテナント毎に上述したメタデータと電子証明書を登録する場合が一般的であり、顧客企業ごとの設定が必要となる。
前述の電子証明書には有効期限があり定期的に設定を更新しなければならない。この電子証明書の有効期限は2年程度とある程度長めの有効期限を設定されていることが多く、顧客企業側の設定者は更新時期において忘れずに作業することが難しい。また、本設定は作業の難易度が高いこともあり、顧客にライセンスを提供している販売店が作業を代行している場合が多い。この場合には、有効期限切れの際、販売店側から顧客に再登録の代行作業に関する確認を行いたいという要望がある。
従来、各顧客企業の担当者のメールアドレスを事前に登録しておき、そのメールアドレスに連絡を通知する方法が提案されている(例えば、特許文献1参照)。
従来の方法では以下のような課題がある。例えば、電子証明書の有効期限が長いため、顧客ごとの販売店の担当者が変わる場合がある。よって、担当者が変更される都度、通知先の設定をメンテナンスし続ける必要があるため、手間がかかる。また、通知先の設定変更を忘れると、実際に通知を要する段階ですでに担当者がおらず、通知が届かないということが生じる恐れもある。また、販売店を設定しておき、その販売店のユーザー全てに通知するという方法も考えられるが、複数サービスを扱うクラウドサービスの販売店のユーザーの中には、SSOに関係ないサービスを扱う担当者も存在するため、無駄な通知が発生してしまう。
上記課題を解決するために本願発明は以下の構成を有する。すなわち、ユーザー認証処理を行う異なる情報処理システムとシングルサインオン連携を行う情報処理システムであって、前記異なる情報処理システムにより発行されシングルサインオン連携を行うために用いられる第一のグループに関する電子証明書に基づいて、当該第一のグループに属するユーザーにサービスを提供する提供手段と、前記第一のグループに関する電子証明書と、前記第一のグループに属するユーザーが前記サービスを利用できるよう管理する役割を有する第二のグループに属するユーザーの通知先情報とを関連づけて管理する管理手段と、前記電子証明書の有効期限までの残りの期間が所定の値を下回ったことに応じて、前記管理手段にて管理されている通知先情報の中から前記電子証明書に関連づけられた前記第二のグループに属するユーザーの通知先情報を特定し、当該特定された通知先情報に基づいて前記電子証明書の更新に関連する通知を行う通知手段とを有する。
本発明によれば、電子証明書の有効期限を通知するシステムにおいて、通知先の設定を都度変更する作業を軽減し、変更忘れによる通知失敗を防止することができる。
以下、本発明を実施するための形態について図面を用いて説明する。
[システム構成]
まず、本実施形態においては、以下のサービスが、インターネット上のサーバーに設置され、提供されていることを前提として説明を行う。
・インターネット上で帳票を生成する帳票サービス
・生成した帳票を画像形成装置にて印刷するための印刷サービス
・オフィスの印刷環境を管理する管理サービス
以降、上記サービスのように、インターネット上で機能を提供しているサービスを、「リソースサービス」と呼ぶ。なお、提供されるリソースサービスはこれに限定するものではなく、他のサービスであってもよい。
まず、本実施形態においては、以下のサービスが、インターネット上のサーバーに設置され、提供されていることを前提として説明を行う。
・インターネット上で帳票を生成する帳票サービス
・生成した帳票を画像形成装置にて印刷するための印刷サービス
・オフィスの印刷環境を管理する管理サービス
以降、上記サービスのように、インターネット上で機能を提供しているサービスを、「リソースサービス」と呼ぶ。なお、提供されるリソースサービスはこれに限定するものではなく、他のサービスであってもよい。
本実施形態に係る情報処理システムは、例えば、図1に示すような構成のネットワーク上に実現される。WAN(Wide Area Network)100は、本発明ではWWW(World Wide Web)システムが構築されている。LAN(Local Area Network)101は各構成要素を接続する。
認証サーバー110は、認証情報を用いてユーザーの認証を行う。リソースサーバー120には、本実施形態では上述した帳票サービスや印刷サービス、管理サービスが設置されている。なお1台のリソースサーバーに設置されるリソースサービスは1つでもよいし、複数でもよい。また、本実施形態において各サーバーは1台ずつ設置されているが複数台で構成されていても良く、例えば、認証サーバーシステムとして提供されても良い。
バッチサーバー130は、各顧客に関するテナント情報の管理や期限切れ通知を行う。ここでテナントとは、クラウドサービスにおいて、サービスの提供の単位(グループ)を示し、例えば、1のテナントに対し、1または複数のユーザーが属することとなる。なお、本実施形態において、顧客テナントを第一のグループ、販社テナントを第二のグループとも記載する。
クライアント端末150は、Webブラウザ350がインストールされており、例えば各サーバーが提供するウェブサイトを表示することができる。IdP(Identity Provider)180は、認証サーバー110とは別に提供される、認証機能を備えた認証サーバーである。また、認証サーバー110、リソースサーバー120、バッチサーバー130、クライアント端末150、およびIdP180はそれぞれ、WAN100およびLAN101を介して接続されている。なお認証サーバー110、リソースサーバー120、バッチサーバー130、クライアント端末150、およびIdP180はそれぞれ、別個のLAN上に構成されていてもよいし同一のLAN上に構成されていてもよい。また認証サーバー110、リソースサーバー120、およびバッチサーバー130は、同一の装置上に構成されていてもよい。
なお、ここでの情報処理システムとは、ユーザー認証処理を行う少なくとも1台のログイン制御サーバーと、ログイン制御サーバーによるユーザー認証処理が成功したことに応じてサービスを提供するサーバーとを含むシステムを指す。しかしながら、それらのサーバーを1台に集約した形態も想定されるため、情報処理システムと称する場合、必ずしも複数台のサーバーから構成されるとは限らない。また、情報処理システムは、ログイン制御サーバーのみから構成されていても良い。
[ハードウェア構成]
図2は、本実施形態に係る認証サーバー110、リソースサーバー120、バッチサーバー130、クライアント端末150、およびIdP180のハードウェア構成例を示す図である。尚、図2に示されるハードウェア構成図は一般的な情報処理装置のハードウェアブロック図に相当するものとし、本実施形態のコンピューターには一般的な情報処理装置のハードウェア構成を適用できるものとする。
図2は、本実施形態に係る認証サーバー110、リソースサーバー120、バッチサーバー130、クライアント端末150、およびIdP180のハードウェア構成例を示す図である。尚、図2に示されるハードウェア構成図は一般的な情報処理装置のハードウェアブロック図に相当するものとし、本実施形態のコンピューターには一般的な情報処理装置のハードウェア構成を適用できるものとする。
図2において、CPU231は、ROM233のプログラム用ROMに記憶された、或いはハードディスク(HD)等の外部メモリ241からRAM232にロードされたOSやアプリケーション等のプログラムを実行する。またCPU231は、システムバス234に接続される各ブロックを制御する。ここでOSとはコンピューター200上で稼動するオペレーティングシステムの略語である。後述する各シーケンスの処理は、このプログラムの実行により実現できる。
RAM232は、CPU231の主メモリ、ワークエリア等として機能する。キーボードコントローラ(KBC)235は、キーボード239やポインティングデバイス(不図示)からのキー入力を制御する。CRTコントローラ(CRTC)236は、CRTディスプレイ240の表示を制御する。ディスクコントローラ(DKC)237は、各種データを記憶するハードディスク(HD)等の外部メモリ241におけるデータアクセスを制御する。ネットワークコントローラ(NC)238は、WAN100もしくはLAN101を介して接続されたコンピューターや他の機器との通信制御処理を実行する。
尚、後述の全ての説明においては、特に断りのない限りサーバーにおける実行のハードウェア上の主体はCPU231であり、ソフトウェア上の主体は外部メモリ241にインストールされたアプリケーションプログラムである。
[ソフトウェア構成]
図3は、本実施形態に係る認証サーバー110、リソースサーバー120、バッチサーバー130、クライアント端末150、およびIdP180それぞれのソフトウェア構成例を示す図である。なお、ここでは、本実施形態に関係するモジュールのみを示しており、他のソフトウェアモジュールを含んでいても良い。
図3は、本実施形態に係る認証サーバー110、リソースサーバー120、バッチサーバー130、クライアント端末150、およびIdP180それぞれのソフトウェア構成例を示す図である。なお、ここでは、本実施形態に関係するモジュールのみを示しており、他のソフトウェアモジュールを含んでいても良い。
認証サーバー110は、ユーザーがログイン処理を行うためのログインUIモジュール310、およびユーザー認証処理を行う認証モジュール311を備える。リソースサーバー120は、各種サービスを提供するリソースサーバーモジュール320を備える。バッチサーバー130は、有効期限切れ通知モジュール330を備える。有効期限切れ通知モジュール330の詳細な処理に関しては、図5を用いて説明する。クライアント端末150は、WWWを利用するためのユーザーエージェントであるWebブラウザ350を備える。IdP180は、認証サーバー110と同様にログインUIモジュール380と認証モジュール381を備える。なお、認証サーバー110とIdP180との認証方法は、同じでなくてもよく、また、従来における認証処理の方法(例えば、ユーザーIDとパスワードの組による認証)を適用できるものとする。
[データ構成]
図4は、各情報を関連付け、認証サーバー110の外部メモリ241に記憶されるデータテーブルである。これらデータテーブルは、認証サーバー110とバッチサーバー130のそれぞれからアクセス可能であるとする。なお、各データテーブルは、外部メモリ241ではなく、LAN101を介して通信可能に構成された別のサーバーに記憶するよう構成してもよい。
図4は、各情報を関連付け、認証サーバー110の外部メモリ241に記憶されるデータテーブルである。これらデータテーブルは、認証サーバー110とバッチサーバー130のそれぞれからアクセス可能であるとする。なお、各データテーブルは、外部メモリ241ではなく、LAN101を介して通信可能に構成された別のサーバーに記憶するよう構成してもよい。
図4(a)は、顧客テナント管理テーブル400の構成例を示し、顧客テナント管理テーブル400は、顧客の1契約ごとに1顧客テナントを利用するよう顧客のテナントを管理している。顧客テナント管理テーブル400は、顧客テナントを一意に識別するための顧客テナントID401、各テナントの名称を示すテナント名402、テナントがどのIdPを利用しているのかを特定するためのIdP ID403を管理する。さらには、顧客テナント管理テーブル400は、IdPとSSO連携(シングルサインオン連携)をするための電子証明書データを示す電子証明書404、および電子証明書404の証明書有効期限405を含む。
図4(b)は、IdP管理テーブル410の構成例を示す。IdP管理テーブル410は、IdPを一意に識別するためのIdP ID411、通知(ここでは、電子証明書の期限切れの通知)を行う方法を示す通知方法412、および関連ライセンス413を含む。関連ライセンス413は、IdP IDで示されるIdPがどのサービス種類のライセンスに関連しているかを示す。IdP ID411には、「Local」もしくは各種IdPに対応した任意のID(識別情報)の値が登録される。「Local」の値が設定されている場合は、認証サーバー110自身でログイン処理を行い、情報処理システムを利用することを示し、SSO連携していない場合に設定される。いずれかのIdPに対応するIdP_IDが設定されている場合は、IdP180側でログインしSSO連携により情報処理システムを利用することを示す。
通知方法412には、「テナント」もしくは「運用者」の値が設定される。「テナント」の値が設定されている場合は、電子証明書を登録している顧客テナントと、その顧客テナントにサービスを利用するためのライセンスを発行している販社テナントに対し、通知を行うことを示す。「運用者」の場合はシステムの運用者権限を持つユーザーに通知することを示す。なお、ここで示す通知方法は一例であり、IdPの管理者に通知する方法や、特定のメールアドレスに通知する方法等、その他の通知方法を適用してもよい。関連ライセンス413では、「Form」「Print」「MDS」といったシステムに存在するサービスに対応するライセンスの値が設定される。本実施形態においては例えば、帳票サービスの場合は「Form」、印刷サービスの場合は「Print」、管理サービスの場合は「MDS」がそれぞれ設定される。設定が無い場合には、ライセンスに関係なく通知を行うことを意味する。
図4(c)は、ライセンス管理テーブル420の構成例を示し、ライセンス管理テーブル420は販売店が利用する販社テナントが、どの顧客テナントに対し、いずれのライセンスを付与しているかを管理する。ライセンスは、リソースサービスごとに存在しており、帳票サービスは「Form」、印刷サービスは「Print」、管理サービスは「MDS」のライセンスとして管理される。
ライセンス管理テーブル420は、ライセンスを発行している販社を一意に識別するための販社テナントID421、ライセンスを付与されている顧客を一意に識別するための顧客テナントID422、発行/付与されたライセンス種類を示すライセンス423を含む。
図4(d)は、ユーザー管理テーブル430の構成例を示し、ユーザー管理テーブル430は、本システムに存在する全てのユーザー情報を管理する。ユーザー管理テーブル430は、ユーザーを一意に識別するためのユーザーID431、ユーザーが所属するテナントを一意に識別するためのテナントID432、ユーザーのメールアドレス433、およびユーザーのシステム上の役割を管理するロール434を含む。ロール434には、以下のような値を保持する。
・システム運用者を表す「運用者」
・販社テナントにて管理者か一般ユーザーかを表す「販社テナント管理者」、「販社ユーザー」
・販社テナントにて各ライセンスを取り扱えることを表す「Form販売者」「Print販売者」「MDS販売者」
・顧客テナントにて管理者か一般ユーザーかを表す「顧客テナント管理者」「顧客ユーザー」
・顧客テナントにてリソースサービスの管理者か利用者かを表す「Form利用者」「Form管理者」「Print管理者」「Print利用者」「MDS管理者」「MDS利用者」
・システム運用者を表す「運用者」
・販社テナントにて管理者か一般ユーザーかを表す「販社テナント管理者」、「販社ユーザー」
・販社テナントにて各ライセンスを取り扱えることを表す「Form販売者」「Print販売者」「MDS販売者」
・顧客テナントにて管理者か一般ユーザーかを表す「顧客テナント管理者」「顧客ユーザー」
・顧客テナントにてリソースサービスの管理者か利用者かを表す「Form利用者」「Form管理者」「Print管理者」「Print利用者」「MDS管理者」「MDS利用者」
なお、ロール434には、上記に示した値を1または複数設定できる。また、ロール434に設定される役割は上記に示したものに限定するものではない。また、本実施形態では、通知方法としてメール送信により通知を行う。そのため、通知先情報としてメールアドレスが管理されている。しかし、他の通知方法を用いても構わない。
図4(e)は、日時管理テーブル440の構成例を示す。日時管理テーブル440は、管理する対象の日時を一意に識別するためのID441、日時を示す日時442を含む。ID441には例えば「証明書期限切れチェック」といった値が含まれ、システムで管理したい日時単位ごとに日時442を保存する。
[処理フロー]
図5は、電子証明書の期限切れ通知を行う際に通知先を決定し、メール通知を実施する処理を示すフローチャートである。本処理は、バッチサーバー130の有効期限切れ通知モジュール330にて実行され、1日1回定期的に実行する処理であるとして説明する。なお、実行するタイミングはこれに限定するものではなく、管理者等により設定された間隔にて定期的に実行するようにしてよい。
図5は、電子証明書の期限切れ通知を行う際に通知先を決定し、メール通知を実施する処理を示すフローチャートである。本処理は、バッチサーバー130の有効期限切れ通知モジュール330にて実行され、1日1回定期的に実行する処理であるとして説明する。なお、実行するタイミングはこれに限定するものではなく、管理者等により設定された間隔にて定期的に実行するようにしてよい。
S501にて、バッチサーバー130は、各種日時の情報を取得する。まず、バッチサーバー130は、日時管理テーブル440より、前回の証明書期限切れチェックの実施日時(T1)を取得する。次に、バッチサーバー130は、現在の日時(T2)を取得する。そして、バッチサーバー130は、外部メモリ241で保持している期限切れ通知タイミング(TI)を取得する。通知タイミング(TI)は、例えば「30日前」といった設定がなされ、期限までの残り期間に対する閾値として記憶部に保持されているものとする。本設定は複数持ってもよく、その場合は、S502〜S512の処理をその設定数分実施することとなる。これにより、例えば、30日前、7日前、1日前として設定された所定の閾値に対し、残りの期間が下回ったタイミングで期限切れ通知を複数回にわたって行うことが可能となる。
S502にて、バッチサーバー130は、期限切れ通知対象となる電子証明書を取得する。バッチサーバー130は、前回チェック日時(T1)+通知タイミング(TI)の日時から、現在の日時(T2)+通知タイミング(TI)の日時の間に有効期限が切れる電子証明書を検索する。本処理は、顧客テナント管理テーブル400の証明書有効期限405を対象として検索することで実現する。
例えば、前回チェック日時(T1)が「2013/9/7 0:00」であるとする。また、現在実行日時(T2)が「2013/9/8/ 0:00」であるとする。そして、期限切れ通知タイミング(TI)が「30日」であるとする。以上により、
T1+TI=2013/10/7 0:00
T2+TI=2013/10/8 0:00
となる。したがって、バッチサーバー130は、2013/10/7 0:00 〜 2013/10/8 0:00の間に期限切れとなる電子証明書を検索する。本例の場合、図4(a)の顧客テナント管理テーブル400にて対象となるのは、証明書有効期限405が「2013/10/7 11:53」である、顧客テナントID「1001AA」に対応するテナントの電子証明書が合致する。よって、顧客テナントID「1001AA」に対応するテナントに通知することが決定される。
T1+TI=2013/10/7 0:00
T2+TI=2013/10/8 0:00
となる。したがって、バッチサーバー130は、2013/10/7 0:00 〜 2013/10/8 0:00の間に期限切れとなる電子証明書を検索する。本例の場合、図4(a)の顧客テナント管理テーブル400にて対象となるのは、証明書有効期限405が「2013/10/7 11:53」である、顧客テナントID「1001AA」に対応するテナントの電子証明書が合致する。よって、顧客テナントID「1001AA」に対応するテナントに通知することが決定される。
S503は、顧客テナント分のループ処理を示す。先ほどの例では顧客テナントID「1001AA」に対応するテナントのみが合致するとして検出されているため、顧客テナントID「1001AA」に対応するテナントに対してS504〜S512の処理を行うだけとなる。一方、S502にて複数の期限切れ通知対象テナントが検出された場合には、バッチサーバー130は、そのテナント数分、S504〜S512の処理を繰り返すこととなる。
S504にて、バッチサーバー130は、IdPに対応した通知処理を判別する。図4(a)に示す顧客テナント管理テーブル400のIdP ID403に基づき、IdPを特定する。本例では顧客テナントID「1001AA」に対応するIdP IDは「IdP−A」となる。次に、図4(b)に示すIdP管理テーブル410からIdP ID「IdP−A」に対応する通知方法を検索し、通知方法を特定する。本例では、顧客テナントID「1001AA」に対応する顧客テナントに対して「IdP−A」が設定されており、通知方法は「テナント」となる。S504にて通知方法が「テナント」である場合、S507の処理へ進む。
S507にて、バッチサーバー130は、図4(b)に示すIdP管理テーブル410の関連ライセンス413より通知対象となるライセンスの取得を行う。特定のライセンスが設定されている場合はそのライセンスに関連しているとして扱い、何も設定されていない場合には、全てのライセンスに関連しているとして扱う。なお、本例では、IdP ID「IdP−A」の関連ライセンスは「Form」となる。
S508にて、バッチサーバー130は、顧客テナントにライセンスを付与している販社テナントと、そのライセンスの種類を取得する。図4(c)に示すライセンス管理テーブル420の顧客テナントID422に基づき、顧客テナントに対してライセンスを付与している販社テナントID421とライセンス423を取得する。本例では、顧客テナントID「1001AA」に対応する顧客テナントに対し、販社テナントID「101AA」に対応する販社テナントが「Form」ライセンスを付与している。また、販社テナントID「102AA」に対応する販社テナントが「MDS」ライセンスを付与している。
S509にて、バッチサーバー130は、S508で取得した販社テナントとライセンスの情報に基づき、S507で取得した関連ライセンスを販売している販社テナントを特定し、期限切れ対象通知を行う販社テナントを決定する。本例では、「Form」ライセンスを付与しているのは販社テナントID「101AA」に対応する販社テナントとなる。一方、販社テナントID「102AA」に対応する販社テナントが販売した「MDS」ライセンスは関連ライセンスと異なるため、ここでは対象外となる。
S509にて、バッチサーバー130は、対象となる販社テナントが有るか否かを判定する。対象となる販社テナントがある場合には(S509にてYES)、S510へ進み、無い場合には(S509にてNO)S511へ進む。
S510にて、バッチサーバー130は、販社テナント内のユーザーのうち、S507で取得したライセンスを取り扱えるユーザーを特定する。本処理により、担当外のユーザーに不要な通知が行われるのを防止する。バッチサーバー130は、図4(d)に示すユーザー管理テーブル430より、テナントID432がS509にて特定した販社テナントであり、かつ、ロール434にS507にて取得したライセンスを取り扱えるロールを持つユーザーを全て取得する。本例では、テナントID432が「101AA」であり、かつ、ロール434が「Form販売者」であるユーザーを取得することになり、ユーザーID「user01@101AA」が通知対象ユーザーとして特定される。
S511にて、バッチサーバー130は、期限切れ証明書を登録している顧客テナントの管理者ユーザーを特定する。図4(d)に示すユーザー管理テーブル430より、テナントID432がS502にて取得したテナントIDであり、かつ、ロール434が「顧客テナント管理者」であるユーザーを全て取得する。本例では、テナントID432が「1001AA」であるユーザーID「admin@1001AA」が通知対象ユーザーとして特定される。
S512にて、バッチサーバー130は、S510およびS511で特定した通知ユーザーに対してメール通知を行う。まず、バッチサーバー130は、特定したユーザーIDに基づいて、図4(d)に示すユーザー管理テーブル430のメールアドレス433よりメールアドレスを取得する。本例では、ユーザーID「user01@101AA」のメールアドレス「user1@a.asles.co.jp」およびユーザーID「admin@1001AA」のメールアドレス「admin@x.customer.co.jp」が取得される。次に、バッチサーバー130は、取得したメールアドレスにメールを送信する。
図6は、通知するメールの一例を示す。通知メール601は、顧客の管理者ユーザー(ロールが「顧客テナント管理者」に対応)が受け取るメールの一例である。また、通知メール602は、販社の担当者(ロールが「〜販売者」に対応)が受け取るメールの一例である。通知メール601では、受信者である顧客のテナント管理者が所属する顧客テナントのIdP設定、およびそのIdPの電子証明書の有効期限が記載され、電子証明書の更新を促す。通知メール602では、対象となる顧客のテナントIDやテナント名、電子証明書の有効期限が記載される。なお、上記内容に限定するものではなく、例えば、図4の各テーブルにて管理されている情報を含めるようにしてもよい。
一方、S504にて通知方法412が「運用者」である場合には、S505へ進む。S505にて、バッチサーバー130は、図4(d)に示すユーザー管理テーブル430から、ロール434が「運用者」であるユーザーを特定する。本例では、ユーザーID「operator@11AA」のユーザーが特定される。
S506にて、バッチサーバー130は、S505で特定したユーザーに対してメール通知する。ここでバッチサーバー130は、特定したユーザーIDに基づいて、ユーザー管理テーブル430のメールアドレス433より対応するメールアドレスを取得し、送信する。本例では、ユーザーID「operator@11AA」のメールアドレス「operator@sample.com」が取得され、バッチサーバー130は、そのアドレスにメール通知する。
また、S504にて通知方法の設定がない場合には、次の顧客テナントに対する処理に移る。
全て顧客テナントに対し処理が終了したら、S513にて、バッチサーバー130は、実行日時の更新を行う。具体的には、バッチサーバー130は、日時管理テーブル440の証明書期限切れチェックの日時442をS501で取得した現在実行日時(T2)で更新する。本処理により一度期限切れ通知した電子証明書は次回期限切れ通知から除外される。
以上、本発明によれば、電子証明書の有効期限を通知するシステムにおいて、通知先の設定を都度変更する作業を軽減し、変更忘れによる通知失敗を防止することができる。また、電子証明書の期限切れ通知を適切な担当者に送信することが可能となる。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (10)
- ユーザー認証処理を行う異なる情報処理システムとシングルサインオン連携を行う情報処理システムであって、
前記異なる情報処理システムにより発行されシングルサインオン連携を行うために用いられる第一のグループに関する電子証明書に基づいて、当該第一のグループに属するユーザーにサービスを提供する提供手段と、
前記第一のグループに関する電子証明書と、前記第一のグループに属するユーザーが前記サービスを利用できるよう管理する役割を有する第二のグループに属するユーザーの通知先情報とを関連づけて管理する管理手段と、
前記電子証明書の有効期限までの残りの期間が所定の値を下回ったことに応じて、前記管理手段にて管理されている通知先情報の中から前記電子証明書に関連づけられた前記第二のグループに属するユーザーの通知先情報を特定し、当該特定された通知先情報に基づいて前記電子証明書の更新に関連する通知を行う通知手段と、
を有することを特徴とする情報処理システム。 - 前記管理手段は、前記提供手段が提供するサービスの種類ごとに、サービスを利用できるように管理する役割を有する前記第二のグループに属するユーザーを関連づけて管理することを特徴とする請求項1に記載の情報処理システム。
- 前記管理手段は、前記提供手段が提供するサービスの種類ごとに、ユーザー認証処理を行う情報処理システムを関連づけて管理することを特徴とする請求項1または2に記載の情報処理システム。
- 前記管理手段は更に、ユーザー認証処理を行う情報処理システムごとに、前記通知手段による通知方法を関連づけて管理し、
前記通知手段は、前記通知方法に従って、通知を行うことを特徴とする請求項3に記載の情報処理システム。 - 前記管理手段は更に、前記第一および第二のグループに属するユーザーそれぞれの役割と通知先情報とを関連づけて管理し、
前記通知手段は、前記第一および第二のグループに属するユーザーのうち、所定の役割を有するユーザーの通知先情報を特定し、当該特定された通知先情報に基づいて前記電子証明書の更新に関する通知を行うことを特徴とする請求項1乃至4のいずれか一項に記載の情報処理システム。 - 前記所定の値として複数の値が設定されることを特徴とする請求項1乃至5のいずれか一項に記載の情報処理システム。
- 前記通知先情報は、メールアドレスであり、
前記通知手段による通知は、前記メールアドレスを用いたメール送信により行われることを特徴とする請求項1乃至6のいずれか一項に記載の情報処理システム。 - 前記通知手段は、電子証明書を発行する異なる情報処理システムの情報、電子証明書の有効期限、および第一のグループの情報のうちの少なくともいずれかを通知に含めることを特徴とする請求項1乃至7のいずれか一項に記載の情報処理システム。
- ユーザー認証処理を行う異なる情報処理システムとシングルサインオン連携を行う情報処理システムにおける情報処理方法であって、
前記異なる情報処理システムにより発行されシングルサインオン連携を行うために用いられる第一のグループに関する電子証明書に基づいて、当該第一のグループに属するユーザーにサービスを提供する提供工程と、
前記第一のグループに関する電子証明書と、前記第一のグループに属するユーザーが前記サービスを利用できるよう管理する役割を有する第二のグループに属するユーザーの通知先情報とを関連づけて管理する管理工程と、
前記電子証明書の有効期限までの残りの期間が所定の値を下回ったことに応じて、前記管理工程にて管理されている通知先情報の中から前記電子証明書に関連づけられた前記第二のグループに属するユーザーの通知先情報を特定し、当該特定された通知先情報に基づいて前記電子証明書の更新に関連する通知を行う通知工程と、
を有することを特徴とする情報処理方法。 - コンピューターを、
ユーザー認証処理を行う異なる情報処理システムにより発行されシングルサインオン連携を行うために用いられる第一のグループに関する電子証明書に基づいて、当該第一のグループに属するユーザーにサービスを提供する提供手段、
前記第一のグループに関する電子証明書と、前記第一のグループに属するユーザーが前記サービスを利用できるよう管理する役割を有する第二のグループに属するユーザーの通知先情報とを関連づけて管理する管理手段、
前記電子証明書の有効期限までの残りの期間が所定の値を下回ったことに応じて、前記管理手段にて管理されている通知先情報の中から前記電子証明書に関連づけられた前記第二のグループに属するユーザーの通知先情報を特定し、当該特定された通知先情報に基づいて前記電子証明書の更新に関連する通知を行う通知手段、
として機能させるためのプログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013215822A JP6226689B2 (ja) | 2013-10-16 | 2013-10-16 | 情報処理システム、情報処理方法、及びプログラム |
| US14/476,001 US9769146B2 (en) | 2013-10-16 | 2014-09-03 | Information processing system, information processing method, and non-transitory computer-readable medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013215822A JP6226689B2 (ja) | 2013-10-16 | 2013-10-16 | 情報処理システム、情報処理方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015079343A JP2015079343A (ja) | 2015-04-23 |
| JP6226689B2 true JP6226689B2 (ja) | 2017-11-08 |
Family
ID=52810826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013215822A Active JP6226689B2 (ja) | 2013-10-16 | 2013-10-16 | 情報処理システム、情報処理方法、及びプログラム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9769146B2 (ja) |
| JP (1) | JP6226689B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10250584B2 (en) * | 2014-10-15 | 2019-04-02 | Zuora, Inc. | System and method for single sign-on technical support access to tenant accounts and data in a multi-tenant platform |
| US10666637B2 (en) * | 2015-12-14 | 2020-05-26 | Amazon Technologies, Inc. | Certificate renewal and deployment |
| JP6729145B2 (ja) * | 2016-08-03 | 2020-07-22 | 富士通株式会社 | 接続管理装置、接続管理方法および接続管理プログラム |
| US10320811B1 (en) * | 2017-02-16 | 2019-06-11 | Microsoft Technology Licensing, Llc | Impersonation detection and abuse prevention machines |
| CN109905314B (zh) * | 2017-12-08 | 2022-07-22 | 阿里巴巴集团控股有限公司 | 通讯方法及装置 |
| CN109150921B (zh) * | 2018-11-05 | 2021-06-29 | 郑州云海信息技术有限公司 | 一种多节点集群的登录方法、装置、设备以及存储介质 |
| WO2022093509A1 (en) * | 2020-10-27 | 2022-05-05 | Arris Enterprises Llc | Providing notification of a certificate of validity to a service provider |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10276186A (ja) * | 1997-03-31 | 1998-10-13 | Nippon Telegr & Teleph Corp <Ntt> | 認証システムにおける公開鍵証明証の有効期限通知方法 |
| JP2002222306A (ja) | 2001-01-29 | 2002-08-09 | Ricoh Co Ltd | 販売支援方法、サーバ装置、およびプログラム |
| JP2004171525A (ja) * | 2002-10-30 | 2004-06-17 | Ricoh Co Ltd | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 |
| US8972978B2 (en) * | 2008-05-02 | 2015-03-03 | Skytap | Multitenant hosted virtual machine infrastructure |
| US8683196B2 (en) * | 2009-11-24 | 2014-03-25 | Red Hat, Inc. | Token renewal |
| JP5494052B2 (ja) * | 2010-03-15 | 2014-05-14 | 株式会社リコー | 電子機器およびその制御方法 |
| US8566917B2 (en) * | 2010-03-19 | 2013-10-22 | Salesforce.Com, Inc. | Efficient single sign-on and identity provider configuration and deployment in a database system |
| JP5814639B2 (ja) * | 2011-06-09 | 2015-11-17 | キヤノン株式会社 | クラウドシステム、クラウドサービスのライセンス管理方法、およびプログラム |
| JP5787640B2 (ja) * | 2011-06-24 | 2015-09-30 | キヤノン株式会社 | 認証システムおよび認証方法およびプログラム |
| EP2817917B1 (en) * | 2012-02-20 | 2018-04-11 | KL Data Security Pty Ltd | Cryptographic method and system |
| US9197408B2 (en) * | 2013-05-10 | 2015-11-24 | Sap Se | Systems and methods for providing a secure data exchange |
-
2013
- 2013-10-16 JP JP2013215822A patent/JP6226689B2/ja active Active
-
2014
- 2014-09-03 US US14/476,001 patent/US9769146B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015079343A (ja) | 2015-04-23 |
| US20150106903A1 (en) | 2015-04-16 |
| US9769146B2 (en) | 2017-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6226689B2 (ja) | 情報処理システム、情報処理方法、及びプログラム | |
| US11228574B2 (en) | System for managing remote software applications | |
| JP6563134B2 (ja) | 証明書更新及び展開 | |
| US11016950B2 (en) | Bulk management of registry objects | |
| US9426182B1 (en) | Context-based authentication of mobile devices | |
| US9712536B2 (en) | Access control device, access control method, and program | |
| GB2557577A (en) | Methods and apparatus for recording a change of authorisation state of one or more authorisation agents | |
| JP5723300B2 (ja) | サーバシステム、サービス提供サーバおよび制御方法 | |
| US10375177B1 (en) | Identity mapping for federated user authentication | |
| EP3132562A1 (en) | Device registration, authentication, and authorization system and method | |
| JP5383838B2 (ja) | 認証連携システム、idプロバイダ装置およびプログラム | |
| JP6584440B2 (ja) | 情報処理システム、情報処理ステムの制御方法およびそのプログラム。 | |
| JPWO2014049709A1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
| US10003592B2 (en) | Active directory for user authentication in a historization system | |
| US20160285998A1 (en) | Multiuser device staging | |
| US10021107B1 (en) | Methods and systems for managing directory information | |
| JP5362125B1 (ja) | ポリシ更新システム及びポリシ更新装置 | |
| JP2012033042A (ja) | シングルサインオンシステム及びシングルサインオン方法 | |
| WO2012146091A1 (en) | Authentication information processing | |
| US8504401B2 (en) | Address request and correction system | |
| JP6205946B2 (ja) | サービス提供システム、情報収集方法及びプログラム | |
| US10862747B2 (en) | Single user device staging | |
| JP2012190056A (ja) | パスワード管理装置、パスワード管理方法、及びパスワード管理システム | |
| JP2016128998A (ja) | 認証システム | |
| WO2017179183A1 (ja) | Id管理システム、方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20161013 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170815 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170911 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171010 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 6226689 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |