JP6266049B1 - Information processing system, information processing method, information processing apparatus, and program - Google Patents
Information processing system, information processing method, information processing apparatus, and program Download PDFInfo
- Publication number
- JP6266049B1 JP6266049B1 JP2016145485A JP2016145485A JP6266049B1 JP 6266049 B1 JP6266049 B1 JP 6266049B1 JP 2016145485 A JP2016145485 A JP 2016145485A JP 2016145485 A JP2016145485 A JP 2016145485A JP 6266049 B1 JP6266049 B1 JP 6266049B1
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- information
- user terminal
- web service
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 49
- 238000003672 processing method Methods 0.000 title claims description 9
- 238000000034 method Methods 0.000 claims abstract description 81
- 238000004891 communication Methods 0.000 claims abstract description 77
- 230000008569 process Effects 0.000 claims abstract description 51
- 238000012545 processing Methods 0.000 claims description 42
- 230000005540 biological transmission Effects 0.000 claims description 19
- 230000004044 response Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 235000014510 cooky Nutrition 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000006249 magnetic particle Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 210000004258 portal system Anatomy 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】自動的なシングルサインオン処理を好適に行うこと。【解決手段】本発明の一態様に係る情報処理システムは、ユーザ端末に対して通信サービスを提供する第1の装置と、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置と、データを格納する第3の装置と、第1の装置、第2の装置及び第3の装置と通信する第4の装置と、前記ユーザ端末及び前記第3の装置と通信する第5の装置と、を有する情報処理システムであって、前記第4の装置は、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、前記認証許可情報を前記第3の装置に送信する送信部と、を有し、前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う制御部を有することを特徴とする。【選択図】図4An automatic single sign-on process is suitably performed. An information processing system according to an aspect of the present invention includes a first apparatus that provides a communication service to a user terminal, and a second apparatus that provides a Web service authentication process to the user terminal. A third device for storing data, a fourth device for communicating with the first device, the second device and the third device, and a fifth device for communicating with the user terminal and the third device. An information processing system comprising: a reception unit configured to receive authentication permission information of the Web service related to the user terminal from the second device; and 3, and the fifth device has a control unit that performs control for acquiring the authentication permission information from the third device and transmitting the authentication permission information to the user terminal. It is characterized by that. [Selection] Figure 4
Description
本発明は、Webサービスの認証に係る情報処理システム、情報処理方法、情報処理装置及びプログラムに関する。 The present invention relates to an information processing system, an information processing method, an information processing apparatus, and a program related to authentication of a Web service.
ネットワークを介して提供されるWebサービス(クラウドサービス)が普及してきている。クラウドサービスの一例として、例えば、SaaS(Software as a Service)がある。クラウドサービスの利用により、業務システムなどをWebに移行することができ、ネットワークに接続される通信端末に対して、充実した機能を提供することができる。 Web services (cloud services) provided via a network have become widespread. An example of a cloud service is SaaS (Software as a Service). By using a cloud service, a business system or the like can be transferred to the Web, and rich functions can be provided to communication terminals connected to the network.
クラウドサービスは、通常、許可されたユーザにのみ提供され、ユーザ認証を要する。例えば、適切なユーザ識別子及びパスワードを送信してきた通信端末はユーザ認証をパスすることができる。多くのクラウドサービスを利用するユーザがクラウドサービスごとに認証のための情報(認証情報)を入力するものとすると、利便性に欠ける。 Cloud services are usually provided only to authorized users and require user authentication. For example, a communication terminal that has transmitted an appropriate user identifier and password can pass user authentication. If users using many cloud services input authentication information (authentication information) for each cloud service, it is not convenient.
このため、一回のユーザ認証で複数のシステムを利用可能にするシングルサインオン(SSO:Single Sign On)という技術が広く検討されている。SSOの方式としては、リバースプロキシを用いるもの、SAML(Security Assertion Markup Language)に基づくもの、OpenID(登録商標)に基づくもの(OpenID Connect)、などがある。ユーザは認証サーバ(SSOサーバ)に1回ログインするだけで、例えばSAMLに対応するクラウドサービスを利用することができるようになる。 For this reason, a technique called Single Sign On (SSO) that enables a plurality of systems to be used with a single user authentication has been widely studied. As an SSO method, there are a method using a reverse proxy, a method based on SAML (Security Assertion Markup Language), a method based on OpenID (registered trademark) (OpenID Connect), and the like. The user can use a cloud service corresponding to SAML, for example, by logging in to the authentication server (SSO server) only once.
しかしながら、SSOを用いる場合であっても、例えばサービスポータルのシステムにユーザが自らサインオンする必要があるため、更なる利便性の向上が望まれている。例えば、ユーザがユーザ装置のOS(Operating System)認証をするだけでクラウドサービスへのSSOを実現する技術が提案されている(特許文献1)。 However, even when SSO is used, since the user needs to sign on to the service portal system, for example, further improvement in convenience is desired. For example, a technique for realizing SSO to a cloud service by simply performing OS (Operating System) authentication of a user device has been proposed (Patent Document 1).
しかしながら、特許文献1に記載される発明は、SSOサーバと連携するための専用の認証連携装置を有する特定のネットワーク(例えば、社内LAN(Local Area Network))にユーザ装置が接続される必要があるなど、限定的な環境での適用となり、利用の自由度が少ないという課題がある。
However, in the invention described in
本発明はかかる点に鑑みてなされたものであり、自動的なSSO処理を好適に行うことができる情報処理システム、情報処理方法、情報処理装置及びプログラムを提供することを目的の1つとする。 SUMMARY An advantage of some aspects of the invention is that it provides an information processing system, an information processing method, an information processing apparatus, and a program capable of suitably performing automatic SSO processing.
本発明の一態様に係る情報処理システムは、ユーザ端末に対して通信サービスを提供する第1の装置と、当該ユーザ端末に対してWebサービスの認証処理を提供する第2の装置と、データを格納する第3の装置と、第1の装置、第2の装置及び第3の装置と通信する第4の装置と、前記ユーザ端末及び前記第3の装置と通信する第5の装置と、を有する情報処理システムであって、前記第4の装置は、前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う認証処理部と、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、前記認証許可情報を前記第3の装置に送信する送信部と、を有し、前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う制御部を有し、前記送信部は、前記通信サービスの認証処理に成功した場合、前記第2の装置に対して、前記Webサービスの認証処理に必要な情報を送信し、前記受信部は、前記Webサービスの認証処理に必要な情報を用いて取得された前記認証許可情報を、前記第2の装置から受信することを特徴とする。
An information processing system according to an aspect of the present invention includes a first device that provides a communication service to a user terminal, a second device that provides a web service authentication process to the user terminal, and data. A third device to store; a fourth device in communication with the first device, a second device, and a third device; and a fifth device in communication with the user terminal and the third device. The fourth apparatus includes an authentication processing unit that performs authentication processing of the communication service related to the user terminal based on a notification from the first apparatus, and the Web related to the user terminal. A reception unit that receives service authentication permission information from the second device; and a transmission unit that transmits the authentication permission information to the third device. The fifth device includes the third device. Authentication authorization from device Acquires distribution, have a control unit for performing control to transmit to the user terminal, and the transmission unit, upon successful authentication of the communication service, to the second device, said Web Service The information necessary for the authentication process is transmitted, and the receiving unit receives the authentication permission information acquired using the information necessary for the authentication process of the Web service from the second device. To do.
本発明によれば、自動的なSSO処理を好適に行うことができる。 According to the present invention, automatic SSO processing can be suitably performed.
ユーザ端末が接続し得る無線LANやWebシステムの数が増加する中、それぞれのログイン処理に必要な識別子(ID:Identifier)、パスワード(PWD:Password)などの入力の手間や、管理負荷の増大といった課題が生じている。 As the number of wireless LANs and Web systems that can be connected to user terminals increases, it takes time to input identifiers (ID: Identifier) and passwords (PWD: Password) necessary for each login process, and increases the management load. There are challenges.
本発明者らは、無線LANサービスとWebサービスとのSSOを実現することができれば、上記の課題が解決できると考えた。しかしながら、一般的にSSOは、データ通信方式や認証方式が同一であるWebサービス(Webアプリケーション)が対象となっている。このため、従来のSSOを実現する技術では、無線LANサービスとWebサービスとのSSOは、データ通信方式や認証方式などのプロトコルが異なるため、実現することができない。 The present inventors thought that the above-described problems could be solved if SSO between the wireless LAN service and the Web service could be realized. However, in general, SSO is targeted for Web services (Web applications) that have the same data communication method and authentication method. For this reason, in the technology for realizing the conventional SSO, the SSO between the wireless LAN service and the Web service cannot be realized because protocols such as a data communication method and an authentication method are different.
本発明者らは、Webサービスを利用するためにはネットワークに接続する必要があることに着目し、ネットワーク接続の確立に伴ってSSO処理を自動的に行うことが好ましいことを発見した。例えば接続するネットワークによって、SSO処理によって利用可能となるWebサービス群を切り替えることができれば、利便性が高い。 The present inventors have noticed that it is necessary to connect to a network in order to use a Web service, and have found that it is preferable to automatically perform the SSO process as the network connection is established. For example, it is highly convenient if the Web service group that can be used by the SSO process can be switched depending on the connected network.
そこで、本発明者らはまず、ネットワークに接続する認証方式と、Webサービスの認証方式と、の違いを検討した。 Therefore, the present inventors first examined the difference between an authentication method for connecting to a network and an authentication method for a Web service.
図1は、無線LANサービスの認証方式及びプロトコルの一例を示す図である。図1の場合、無線端末及び無線システム(例えば、無線アクセスポイント(AP:Access Point)、無線LANコントローラ(WLC:Wireless LAN Controller)など)間では、下位レイヤにおいてIEEE802.11規格の無線LAN(例えば、IEEE 802.11a)を用いて通信が実現される。なお、このような無線LANは、Wi−Fi(登録商標)とも呼ばれる。 FIG. 1 is a diagram illustrating an example of an authentication method and protocol for a wireless LAN service. In the case of FIG. 1, between the wireless terminal and the wireless system (for example, a wireless access point (AP), a wireless LAN controller (WLC), etc.) , Communication is realized using IEEE 802.11a). Such a wireless LAN is also referred to as Wi-Fi (registered trademark).
また、無線システム及び認証システム間では、下位レイヤにおいてイーサネット(登録商標)、IP(Internet Protocol)、UDP(User Datagram Protocol)などを用いて通信が実現される。なお、無線システム及び認証システム間が有線により接続される例を示しているが、これに限られない。 In addition, communication is realized between the wireless system and the authentication system using Ethernet (registered trademark), IP (Internet Protocol), UDP (User Datagram Protocol), or the like in a lower layer. In addition, although the example which connects between a radio | wireless system and an authentication system with a wire is shown, it is not restricted to this.
無線端末は、まず無線システムにアクセスし、802.1X認証を要求する。認証プロトコルは802.1X認証でサポートされるものであればよく、例えばTLS(Transport Layer Security)、PEAP(Protected Extensible Authentication Protocol)などを用いることができる。認証プロトコルのパケットはEAP(Extensible Authentication Protocol)でラップされ、EAPoL(EAP over LAN)でデータリンク層のパケットとして通信される。 The wireless terminal first accesses the wireless system and requests 802.1X authentication. The authentication protocol only needs to be supported by 802.1X authentication. For example, TLS (Transport Layer Security), PEAP (Protected Extensible Authentication Protocol), or the like can be used. The authentication protocol packet is wrapped by EAP (Extensible Authentication Protocol) and communicated as a data link layer packet by EAPoL (EAP over LAN).
無線システムは、認証システムに対して認証要求を送信する。無線システム及び認証システム間は信用されたネットワークで接続され、EAPoLではなくRADIUS(Remote Authentication Dial In User Service)が用いられる。認証システム(認証サーバ)は、例えばRADIUSサーバとも呼ばれる。 The wireless system transmits an authentication request to the authentication system. The wireless system and the authentication system are connected by a trusted network, and RADIUS (Remote Authentication Dial In User Service) is used instead of EAPoL. The authentication system (authentication server) is also called, for example, a RADIUS server.
認証システムは、認証要求を受けると、認証応答を返信し、無線システムは当該認証応答に基づく認証結果を無線端末に送信する。 Upon receiving the authentication request, the authentication system returns an authentication response, and the wireless system transmits an authentication result based on the authentication response to the wireless terminal.
図2は、Webサービスの認証方式及びプロトコルの一例を示す図である。図2の場合、無線端末及び無線システム間では、下位レイヤにおいてIEEE802.11規格の無線LANを用いて通信が実現される。また、無線システム及び認証システム間では、下位レイヤにおいてIEEE802.3規格のイーサネットを用いて通信が実現される。なお、無線システム及び認証システム間が有線により接続される例を示しているが、これに限られない。 FIG. 2 is a diagram illustrating an example of an authentication method and protocol for a Web service. In the case of FIG. 2, communication is realized between the wireless terminal and the wireless system using a wireless LAN of the IEEE 802.11 standard in the lower layer. In addition, communication is realized between the wireless system and the authentication system using the Ethernet of the IEEE 802.3 standard in the lower layer. In addition, although the example which connects between a radio | wireless system and an authentication system with a wire is shown, it is not restricted to this.
各装置間の通信では、IP、TCP(Transmission Control Protocol)、HTTP(Hypertext Transfer Protocol)/HTTPS(HTTP Secure)などを利用する。認証プロトコルは、例えば、フォーム認証、ベーシック認証などであってもよい。無線端末は、無線システムを介してWebサーバに認証要求を送信し、Webサーバから認証応答を受信する。 For communication between the apparatuses, IP, TCP (Transmission Control Protocol), HTTP (Hypertext Transfer Protocol) / HTTPS (HTTP Secure), or the like is used. The authentication protocol may be, for example, form authentication or basic authentication. The wireless terminal transmits an authentication request to the Web server via the wireless system and receives an authentication response from the Web server.
以上述べたような無線LANサービス及びWebサービスの認証方式を検討し、本発明者らは、無線LANサービスと1つ以上のWebサービスのシングルサインオンを実現することを着想した。具体的には、本発明者らは、ユーザ端末が無線LAN接続の認証に成功した際、当該認証情報に基づいて、Webサービスの認証サーバから認証セッションを取得し、その後認証セッションの橋渡しを行うことを見出した。 The wireless LAN service and Web service authentication method as described above were studied, and the present inventors conceived of realizing single sign-on of the wireless LAN service and one or more Web services. Specifically, when the user terminal succeeds in the authentication of the wireless LAN connection, the present inventors obtain an authentication session from the Web service authentication server based on the authentication information, and then bridge the authentication session. I found out.
これにより、無線LANを利用するユーザは、無線LAN接続時に一度認証を行うだけで、Webサービスやクラウドサービスを、ID及びパスワードの入力なしで利用することが可能となる。 As a result, a user using a wireless LAN can use a Web service or a cloud service without inputting an ID and a password only by performing authentication once when the wireless LAN is connected.
以下、本発明の実施形態について添付図面を参照して詳細に説明する。なお、以下の実施形態では、ユーザ装置(ユーザ端末)の利用するネットワークが無線LANである場合を例に説明するが、これに限られない。例えば、ネットワークに有線LANを用いる場合、電話回線を用いる場合、他のネットワーク構成を用いる場合などであっても、本発明を適用することができる。 Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following embodiments, a case where a network used by a user device (user terminal) is a wireless LAN will be described as an example, but the present invention is not limited to this. For example, the present invention can be applied even when a wired LAN is used for the network, a telephone line is used, or another network configuration is used.
(情報処理システム)
まず、本発明が適用される情報処理システムについて説明する。図3は、本発明の一実施形態に係る情報処理システムの概略構成の一例を示す図である。図3に示す情報処理システム1は、ユーザ端末10と、無線システム20と、認証サーバ(RADIUSサーバ)30と、SSOサーバ(IdP(Identity Provider)サーバ)40と、データベース(DB:Database)50と、認証連携サーバ(ポータルサーバ)60と、クラウドサービスプロバイダ(SP:Service Provider)サーバ/SSO保護対象サーバ70(以下では、これらを区別せず単に「SPサーバ70」と表記する)と、を含む。
(Information processing system)
First, an information processing system to which the present invention is applied will be described. FIG. 3 is a diagram illustrating an example of a schematic configuration of an information processing system according to an embodiment of the present invention. The
ユーザ端末10は、例えばユーザの操作によりブラウザなどのアプリケーションを実行し、各種サーバと通信する情報処理装置である。ユーザ端末10は、無線通信機能を有しており、無線システム20との間で無線通信を行う。なお、ユーザ端末10は、携帯電話、スマートフォン、タブレット型端末などの携帯端末(移動通信端末)であってもよいし、パソコン(PC:Personal Computer)などの固定通信端末であってもよい。
The
無線システム20は、ユーザ端末10との間で無線通信を実現するAP、ユーザ端末10の無線通信に関する制御(例えばAPの制御)を行うWLCなどを含んで構成される。APは例えばルータであってもよいし、WLCは無線LANスイッチなどと呼ばれてもよい。また、AP及びWLCは有線又は無線で接続されてもよい。AP及びWLCは、単一の装置で実現されてもよい。以下、本明細書では無線システム20を単にWLC20とも表す。
The
WLC20(第1の装置)は、所定の認証方式(例えば、図1で示したような、802.1X認証、RADIUS認証など)に対応した情報処理装置(例えば、無線コントローラ)である。WLC20は、認証に成功したユーザ端末10に対して所定の通信サービス(例えば、無線通信)を提供する。WLC20は、ユーザ端末10と有線で接続される場合には、有線通信サービスを提供するものとしてもよい。
The WLC 20 (first device) is an information processing device (for example, a wireless controller) that supports a predetermined authentication method (for example, 802.1X authentication, RADIUS authentication, etc., as shown in FIG. 1). The
RADIUSサーバ30(第1の装置、第2の装置及び第3の装置と通信する第4の装置)は、ユーザ端末10に対してRADIUS認証を提供する情報処理装置である。RADIUSサーバ30は、SSOサーバ40に対して、ユーザ端末10についてのSSO認証を実施するように要求し、セッション情報を取得することができる。
The RADIUS server 30 (a fourth device that communicates with the first device, the second device, and the third device) is an information processing device that provides RADIUS authentication to the
SSOサーバ40(第2の装置)は、ユーザ端末10に対してWebサービスの認証処理を提供する情報処理装置である。例えば、SSOサーバ40は、SPサーバ70に関するSSO処理を提供する。WebアプリケーションやクラウドサービスへのSSOは、例えばOpenAM(登録商標)を用いて実現することができる。
The SSO server 40 (second device) is an information processing device that provides Web service authentication processing to the
DB50(第3の装置)は、種々のデータを格納する情報処理装置である。例えば、DB50は、SSO認証済みであることを示すセッション情報を格納する。なお、DB50は、ファイル、ディレクトリ、ユーザストアなどと呼ばれてもよい。
The DB 50 (third device) is an information processing device that stores various data. For example, the
ポータルサーバ60(ユーザ端末10及び第3の装置と通信する第5の装置)は、DB50からユーザ端末10に対応するSSOのセッション情報を取得し、ユーザ端末10に送信する情報処理装置である。また、ポータルサーバ60は、ユーザ端末10にWeb認証を実施させるための情報を通知することができる。
The portal server 60 (a fifth device that communicates with the
SPサーバ70は、SSO認証済みのユーザ端末10に対して、サービスを提供する情報処理装置である。なお、サインオンが必要なSPサーバ70が1つであったり、SPサーバ70がSSOサーバ40と同一であったりする場合には、SSOサーバ40は、SSOでなくサインオンを行うWebサーバであってもよい。
The
RADIUSサーバ30などの各装置の機能構成及びハードウェア構成の一例については、後述する。
An example of the functional configuration and hardware configuration of each device such as the
なお、当該システム構成は一例であり、これに限られない。例えば、各装置は、図1ではそれぞれ1つずつ含まれる構成としたが、各機器の数はこれに限られず、複数存在してもよい。また、情報処理システム1では、所定の装置の機能が複数の装置により実現される構成としてもよい。例えば、SPサーバ70は、複数のサーバから構成されてもよい。
Note that the system configuration is an example, and the present invention is not limited to this. For example, each device is configured to include one device in FIG. 1, but the number of devices is not limited to this, and a plurality of devices may exist. Further, the
また、複数の装置が1つの装置で実現されてもよい。例えば、RADIUSサーバ30、DB50及びポータルサーバ60の少なくとも2つが、単一の装置(例えば、サーバ)で実現されてもよい。
A plurality of devices may be realized by one device. For example, at least two of the
(情報処理方法)
本発明の実施形態に係る情報処理方法(SSO認証連携方法)について、以下で説明する。各情報処理方法は、上述の情報処理システムに適用されてもよい。
(Information processing method)
An information processing method (SSO authentication cooperation method) according to an embodiment of the present invention will be described below. Each information processing method may be applied to the information processing system described above.
以下、図4を参照して、具体的な処理の流れについて説明する。図4は、本発明の一実施形態に係る無線LAN及びWebサービスのシングルサインオンのシーケンスの一例を示す図である。 Hereinafter, a specific processing flow will be described with reference to FIG. FIG. 4 is a diagram illustrating an example of a single sign-on sequence for a wireless LAN and a Web service according to an embodiment of the present invention.
ユーザ端末10は、WLC20に対して接続を要求する(ステップS1)。無線LANの場合、802.1X認証が開始される。ユーザが認証情報(例えば、ID、パスワード(PWD)など)をユーザ端末10に入力し、ユーザ端末10は、WLC20に当該認証情報を送信する。
The
次に、WLC20は、RADIUSサーバ30に対して、認証要求(RADIUS/Access-Request)を送信する(ステップS2)。RADIUSサーバ30は、ユーザ端末10の認証を実施し、認証に成功した場合にステップS3以降を実施する。RADIUSによる認証に失敗した場合は、認証を拒否する旨の認証拒否(RADIUS/Access-Reject)をWLC20に送信する。
Next, the
RADIUSによる認証(ユーザ端末10の無線LAN接続の認証)に成功したRADIUSサーバ30は、SSOサーバ40に対して、Webサービス認証セッションの発行要求を送信する(ステップS3)。ステップS3は、例えばREST(Representational State Transfer) API(Application Programming Interface)、RESTful APIなどと呼ばれるインターフェースを介して実施されてもよい。具体的には、REST APIでは、HTTP GET及び/又はPOSTを用いて処理要求/応答を通知することができる。
The
SSOサーバ40は、ユーザ認証に成功した場合、認証許可を示す情報を生成し、RADIUSサーバ30に送信する(ステップS4)。当該情報は、セッション情報、認証許可情報、認証成功情報、トークン、SSOトークン、Webサービストークンなどと呼ばれてもよい。また、ステップS4は、Webサービス認証セッションの発行処理と呼ばれてもよい。
If the user authentication is successful, the
なお、ステップS2−S4は、別の態様で実現されてもよい。例えば、ステップS2の後、RADIUSサーバ30は、RADIUS認証を自ら実施しなくてもよい。この場合、RADIUSサーバ30は、RADIUS認証処理に必要な情報(例えば、ユーザ端末10のID及びPWD)を、SSOサーバ40に対して送信する。当該情報は、Webサービス認証セッションの発行要求と同時に送信されてもよい(ステップS3’)。SSOサーバ40は、RADIUS認証及びWebサービスの認証を実施し、RADIUS認証結果に関する情報(例えば、認証に成功した旨)及びトークンを送信することができる(ステップS4’)。なお、SSOサーバ40は、いずれかの認証に失敗した場合は両方失敗したものと判断してもよい。
Note that steps S2 to S4 may be implemented in another manner. For example, after step S2, the
SSOトークンを受信したRADIUSサーバ30は、当該SSOトークンをDB50に登録する(ステップS5)。ステップS5は、Webサービス認証セッションの登録処理と呼ばれてもよい。なお、ステップS5は、ステップS6の前又は後に実施してもよいし、ステップS6と同時に実施してもよい。
The
RADIUSサーバ30は、WLC20に対して、認証に成功した旨の認証応答(RADIUS/Access-Accept)を送信する(ステップS6)。ここでは、RADIUSサーバ30は、Webサービス認証及びRADIUS認証の両方に成功した場合にステップS6の認証応答を送信するものとしたが、ステップS2の後、RADIUS認証が成功した時点で認証応答を送信してもよい。この場合、ステップS3−S5は認証応答の送信後に実施されてもよい。
The
WLC20は、ユーザ端末10に対して、認証結果が成功であったことを示す応答を通知する(ステップS7)。ユーザ端末10は、ステップS7の完了時点で、WLC20を介した無線通信を実施することが可能となる。
The
802.1X認証を終えたユーザ端末10がWebアクセス(例えば、HTTPSによるWebアクセス)を開始すると(ステップS8)、WLC20は、当該Webアクセスをポータルサーバ60にリダイレクト(転送)する(ステップS9)。
When the
ユーザ端末10は、ポータルサーバ60から指示された情報(例えば、スクリプト)に従ってWLC20にアクセスし、RADIUSサーバ30との間でWeb認証処理を行い、その後ポータルサーバ60へのリダイレクトが再度行われる(ステップS10)。なお、当該Web認証処理は、後述するようにバックグラウンドで実施させることが好ましい。
The
ポータルサーバ60は、アクセスしてきたユーザ端末10に対応するWebサービス認証セッション(トークン)を取得する(ステップS11)。
The
ポータルサーバ60は、取得したトークンをCookie情報(クッキートークンなどと呼ばれてもよい)としてユーザ端末10に送信する(ステップS12)。Cookie情報は、ブラウザに埋め込まれて送信されてもよい。例えば、ポータルサーバ60は、Cookie情報にトークンIDを含めて送信することができる。ステップS11及びS12により、ユーザ端末10がセッション認証済端末かどうかの識別と、ユーザ端末10へのWebサービス認証セッションの受渡しが行われる。
The
トークンを受信したユーザ端末10がSPサーバ70にアクセスすると(ステップS13)、SPサーバ70はSSOサーバ40へのリダイレクトを実施し、認証問合せを行う(ステップS14)。その際、SSOサーバ40のトークンをCookie情報として送信する。例えばSAML連携を用いる場合、SPサーバ70はSAMLリクエストを付与して、SSOサーバ40にリダイレクトする。
When the
SSOサーバ40は、トークンに基づいて、ユーザ端末10が認証済みであることを確認すると、SPサーバ70へ認証済みであることを通知する(ステップS15)。例えばSAML連携を用いる場合、SSOサーバ40はSAMLアサーションを付与して、SPサーバ70にリダイレクトする。ステップS15の後は、SSOが完了しているため、ユーザ端末10は各クラウドサービスを利用することができる。
When the
また、SPサーバ70が、クラウドサービスを提供するサーバでなく、個別にWebサービスを提供するSSO保護対象サーバ70である場合、ユーザ端末10は、直接SSO保護対象サーバ70に接続し、各Webサービスを利用することができる。また、トークンが所定のWebサービスに関するトークンである場合、ユーザ端末10は、当該Webサービスを提供するWebサーバと直接通信して、当該Webサービスを利用することができる。
Further, when the
図5は、図4のステップS1−S10のより詳細なシーケンスの一例を示す図である。ステップS1において、例えばユーザ端末10は、ユーザID(ID)及びパスワード(PWD)を送信する。
FIG. 5 is a diagram showing an example of a more detailed sequence of steps S1 to S10 in FIG. In step S1, for example, the
ステップS2において、WLC20は、ユーザ端末10から送信されたID及びPWDに加えて、ユーザ端末10を特定するための特定情報をRADIUSサーバ30に送信する。ここで、特定情報は、例えばユーザ端末10のMAC(Media Access Control)アドレス、ユーザ端末10のシリアル番号、ユーザ端末10を利用するユーザ名などの少なくとも1つであってもよい。以下では特定情報としてMACアドレス(図5では、「ClientMAC」で示される)を利用する場合を例に説明するが、これに限られない。なお、WLC20は、APを介して通信中のユーザ端末10のMACアドレスを容易に取得することができる。
In step S <b> 2, the
ステップS3では、RADIUSサーバ30はSSOサーバ40に対して、SSO(又はWebサービス)の認証処理に必要な情報(例えば、ログインに必要なID及びPWDなどのアカウント情報)を送信する。ここで、無線LAN用のアカウント(RADIUS認証のアカウント)とSSO用のアカウント(及び/又はWebサービス用のアカウント)が同じである場合には、RADIUSサーバ30は、ユーザ端末10から送信されたID及びPWDを送信することができる。
In step S <b> 3, the
また、無線LAN用のアカウントとSSO用のアカウントが異なる場合には、RADIUSサーバ30は、ID及びPWDの組、又は特定情報に基づいて、SSO用のアカウントのID及びPWDを取得し、取得されたID及びPWDをSSOサーバ40に送信してもよい。
If the wireless LAN account and the SSO account are different, the
例えば、RADIUSサーバ30は、無線LAN用のアカウントとSSO用のアカウントとの対応関係に関する情報(例えば、参照テーブル)を保持してもよく、この場合、RADIUSサーバ30は、当該参照テーブルと、ユーザ端末10から受信した無線LAN用アカウントに関する情報(例えば、ID、PWDなど)と、に基づいてSSO用のアカウントに関する情報(例えば、ID、PWDなど)を特定してもよい。
For example, the
ステップS4にてトークンが発行された後、ステップS5では、RADIUSサーバ30は、受信したトークンを、無線LAN用のアカウント情報(ID及びPWD)及び特定情報の少なくとも1つとともに(関連付けて)登録(Register)する。図3の例では、RADIUSサーバ30は、ID、MACアドレス及びトークン(Token)をDB50に通知して登録させる。
After the token is issued in step S4, in step S5, the
ステップS6では、RADIUSサーバ30は、認証応答とともに、リダイレクト先のポータルサーバ60へのアクセスに必要な情報(例えば、アドレス、URL(Uniform Resource Locator))をWLC20に送信することができる。なお、リダイレクト先のポータルサーバ60のアドレスは、予めWLC20に設定されるものとしてもよいが、RADIUSサーバ30からの通知により更新可能とすることが好ましい。また、RADIUSサーバ30は、ユーザ識別情報(例えば、ID、特定情報など)をWLC20に送信してもよい。
In step S6, the
ステップS7で無線接続が確立された後、例えばユーザ端末10のユーザがブラウザを起動しWebアクセスを実施する(ここでは、Webページとして”www.test.com”にアクセスするものとするが、アクセス対象はこれに限られない)。ユーザ端末10はWeb認証にてまだ認証されていないため、WLC20のWeb認証のリダイレクト機能により、ステップS6で指定されたURL(ポータルサーバ60)に強制的にリダイレクトされる(ステップS8−S9)。
After the wireless connection is established in step S7, for example, the user of the
この際、ユーザ端末10がポータルサーバ60に送信するHTTP GETリクエストには、例えば、特定情報(client_mac)、ユーザ端末10が接続するAPのMACアドレス(ap_mac)、ユーザの資格情報を記録するコントローラのURL(switch_url(スイッチURL))、認証に成功した後ユーザがリダイレクトされるURL(redirect(リダイレクトURL))、ユーザ端末10が利用するWLANのSSID(Service Set Identifier)(wlan)などが含まれてもよい。これらの情報は、URLクエリ文字列(URLパラメータ)として送信することができる。
At this time, the HTTP GET request transmitted from the
ポータルサーバ60は、ユーザ端末10にバックグラウンドでWeb認証処理を行わせるための情報(例えば、スクリプト、パラメータなど)を返す。例えば、スイッチURLにはWeb認証のURLを指定し、リダイレクトURLにはWeb認証後にリダイレクトされるポータルサーバURL(セッションを受け渡すためのURL)を含めてもよい。
The
ユーザ端末10は、Web認証のため、WLC20にユーザ識別情報(例えば、ID、特定情報など)及びパスワードを送信する(ステップS10)。ここでは、ユーザ識別情報としてユーザ名(uname)及びパスワード(pwd)を送信している。なお、リダイレクトURLを送信してもよい。
The
Web認証を開始したWLC20は、アカウンティング要求(RADIUS/Accounting-Request)をRADIUSサーバ30に送信する。アカウンティング要求には、アカウンティングステータス(「開始」を示す「START」)、アカウンティング対象のセッションID(Session-ID)及び特定情報(例えば、ユーザ端末10のMACアドレス)を含めて送信してもよい。
The
RADIUSサーバ30は、ユーザ端末10が既にRADIUS認証に成功したと判断した(Web認証処理に成功した)場合、ユーザ端末10へのアカウンティング開始のステータスを示す情報(例えば、開始フラグ(Acct-Start-flag))をDB50に登録(格納、設定などともいう)する。RADIUSサーバ30は、受信した特定情報に基づいて、開始フラグを登録する対象となるユーザ端末10を判断してもよい。
When the
また、RADIUSサーバ30は、DB50に対して、開始フラグを、セッションID及び/又は特定情報と関連付けて送信(登録)してもよい。登録に成功後、RADIUSサーバ30は、アカウンティング応答(RADIUS/Accounting-Response)をWLC20に送信する。ここで、Web認証処理が完了する(WLC20のステータスが実行中(Run)となる)。
The
図6は、図4のステップS10−S12のより詳細なシーケンスの一例を示す図である。WLC20は、Web認証処理が完了したため、ポータルサーバ60に再度リダイレクトする(ステップS10)。ポータルサーバ60は、DB50にアクセスして、特定情報に対応する情報を選択し、開始フラグが設定されているか及び/又はSSOステータスを確認する。開始フラグが設定されている場合、SSOステータスを「開始」としてDB50に更新登録するようにしてもよい。また、特定情報に対応するSSOトークンを取得する(ステップS11)。
FIG. 6 is a diagram illustrating an example of a more detailed sequence of steps S10 to S12 in FIG. Since the Web authentication process is completed, the
ポータルサーバ60は、取得したトークンを、Cookie情報としてユーザ端末10に送信する(ステップS12)。トークンを受信したユーザ端末10は、ポータルサーバ60に対して、所定のクラウドサービスのWebページ、WebサービスのWebページ、又はユーザ端末10がアクセス可能なクラウドサービス及び/又はWebサービスなどが列挙されたWebページ(ポータルページ、userhomeなどと呼ばれてもよい)のGETリクエストを送信してもよい。
The
以上説明した情報処理方法の実施形態によれば、無線LANを利用するユーザは、無線LAN接続時に一度認証を行うだけで、Webサービスやクラウドサービスを、ID及びパスワードの入力なしで利用することが可能となる。 According to the embodiment of the information processing method described above, a user using a wireless LAN can use a Web service or a cloud service without inputting an ID and a password, only by performing authentication once when the wireless LAN is connected. It becomes possible.
特に、上記実施形態によれば、WLC20のWeb認証のリダイレクト機能を用いてポータルサーバ60からのトークン取得処理を自動的に行うことができる。RADIUSサーバ30がリダイレクト先のポータルサーバ60のアドレス(URLなど)をWLC20に設定することができるため、例えばユーザ端末10を利用するユーザがポータルサーバ60のアドレスを事前に知らない場合であっても、接続する無線LANサービス(WLC20)に応じて適切なポータルサーバ60との通信を行うことができる。
In particular, according to the above-described embodiment, the token acquisition process from the
また、一旦SSO連携可能な無線LANに接続し、当該無線LANのアカウント情報を記憶したユーザ端末であれば、ユーザのID/PWDの入力処理を省くことができるため、ユーザのWebサービス利用に係る負担を大きく軽減することができる。 Also, if the user terminal is once connected to a wireless LAN capable of SSO cooperation and stores the account information of the wireless LAN, the user ID / PWD input process can be omitted. The burden can be greatly reduced.
なお、上記図5−6のステップS10−S11により、ユーザ端末10は、ブラウザによる初回Webアクセス時にトークンを取得できることが保証される。しかしながら、ステップS10−S11を省略してもよい。この場合、ステップS9の後、ポータルサーバ60は、ユーザ端末10の特定情報を利用して、DB50からトークンを取得してもよい(ステップS11’)。Web認証処理を省略することで、トークン取得にかかる時間を短縮することができる。
Note that the steps S10 to S11 in FIG. 5-6 ensure that the
ユーザ端末10の無線接続が切断された場合には、SSOトークンを有効のまま(認証セッションを維持)としてもよいが、SSOトークンを無効とする(認証セッションを破棄する)ことが好ましい。
When the wireless connection of the
図7は、本発明の一実施形態に係る認証セッション無効化のシーケンスの一例を示す図である。ステータスが実行中(Run)であるWLC20は、周期的及び/又は任意のタイミングで、ユーザ端末10との無線通信が維持されているか否かを確認する。無線LAN(Wi−Fi)が切断されている場合、WLC20は、これを検知する。
FIG. 7 is a diagram showing an example of an authentication session invalidation sequence according to an embodiment of the present invention. The
WLC20は、アカウンティング停止(RADIUS/Accounting-Request(Stop))をRADIUSサーバ30に送信する。アカウンティング停止には、HTTPのセッションID(Session-ID)を含めて送信してもよい。
The
RADIUSサーバ30は、SSOサーバ40に対して、REST APIを介してユーザ端末10に対応するトークンについてのログアウトを指示する。SSOサーバ40は、ログアウトに成功したことをRADIUSサーバ30に通知する。
The
RADIUSサーバ30は、DB50に対して、セッションIDを削除するように指示する。DB50は、セッションIDの削除に成功したことをRADIUSサーバ30に通知する。
The
RADIUSサーバ30は、WLC20に対して、アカウンティング返答(RADIUS/Accounting-Response)を送信する。ここで、認証セッションの無効化処理が完了する。なお、図5では、WLC20がユーザ端末10の無線LAN切断を契機に認証セッションの無効化処理を進める例を示したが、これに限られない。例えば、ユーザ端末10が、WLC20に所定の信号を送信することにより、WLC20が当該ユーザ端末10の認証セッションの無効化処理を実施するものとしてもよい。
The
なお、以上の実施形態では、ユーザ端末10が無線LANを利用するものとしたが、これに限られない。例えば、ユーザ端末が、有線LAN、電話回線、他のネットワーク及び他のアクセス網の少なくとも1つのアカウントにログインする場合に、当該アカウントに基づいてSSO(又はWebサービス)のログイン処理を行うようにしてもよい。他のネットワークとしては、例えば、LTE(Long Term Evolution)、LTE−A(LTE-Advanced)、GSM(登録商標)(Global System for Mobile communications)、WCDMA(登録商標)、CDMA2000、IEEE 802.16(WiMAX(登録商標))、IEEE 802.20、Bluetooth(登録商標)、その他の無線通信方法及び/又はこれらに基づいて拡張された次世代通信方式に、上述のSSO認証連携方法を適用してもよい。
In the above embodiment, the
(機器の構成)
図8は、本発明の一実施形態に係るRADIUSサーバ30の機能構成の一例を示す図である。RADIUSサーバ30は、制御部31と、記憶部32と、通信部33と、入力部34と、出力部35と、を有する。なお、本例では、本実施形態における特徴部分の機能ブロックを主に示しており、RADIUSサーバ30は、他の処理に必要な他の機能ブロックも有してもよい。また、一部の機能ブロックを含まない構成としてもよい。
(Device configuration)
FIG. 8 is a diagram illustrating an example of a functional configuration of the
制御部31は、RADIUSサーバ30の制御を実施する。制御部31は、本発明に係る技術分野での共通認識に基づいて説明されるコントローラ、制御回路又は制御装置により構成することができる。
The
制御部31は、本発明の一実施形態に係る認証処理部などを構成することができる。例えば、制御部31は、WLC20からの通知に基づいて、ユーザ端末10に関する通信サービス(例えば、無線通信)の認証処理を行う認証処理部として機能する制御を行ってもよい。また、当該認証処理部は、ユーザ端末10(WLC20)からの通知に基づいて、当該ユーザ端末10のWeb認証処理を行ってもよい。なお、当該通知は、ポータルサーバ60からユーザ端末10に送信された、Web認証処理を行わせるための情報に基づいてもよい。
The
記憶部32は、RADIUSサーバ30で利用する情報を記憶(保持)する。例えば、記憶部32は、ユーザ端末10の特定情報や、トークンなどを記憶してもよい。記憶部32は、例えば、本発明に係る技術分野での共通認識に基づいて説明されるメモリ、ストレージ、記憶装置などにより構成することができる。
The
通信部33は、他の装置との間で種々の情報を通信する。通信部33は、本発明に係る技術分野での共通認識に基づいて説明されるトランスミッター/レシーバー、送受信回路又は送受信装置により構成することができる。なお、通信部33は、送信部及び受信部から構成されてもよい。
The
例えば通信部33は、ユーザ端末10に関する通信サービスの認証処理に成功した場合、SSOサーバ40に対して、当該ユーザ端末10に関するWebサービス(SSO)の認証処理に必要な情報を送信し、当該必要な情報を用いて取得されたWebサービス(SSO)の認証許可情報を受信してもよい。
For example, when the
通信部33は、Webサービス(SSO)の認証許可情報(トークン)をDB50に送信してもよい。また、通信部33は、DB50に格納されたトークンを取得するために用いられる所定の情報(URLなど)を、WLC20に送信してもよい。
The
また、通信部33は、WLC20から、ユーザ端末10を特定するための特定情報(例えば、MACアドレス)を受信し、SSOサーバ40から受信したトークンを、当該特定情報と関連付けてDB50に送信してもよい。
Further, the
また、通信部33は、Web認証処理に成功した場合、ユーザ端末10へのアカウンティング開始のステータスを示す情報を、当該ユーザ端末10の特定情報と関連付けてDB50に送信(登録)してもよい。
Further, when the web authentication process is successful, the
入力部34は、ユーザからの操作により入力を受け付ける。また、入力部34は、所定の機器や記憶媒体と接続され、データの入力を受け付けてもよい。入力部34は、入力結果を例えば制御部31に出力してもよい。
The input unit 34 receives an input by an operation from the user. The input unit 34 may be connected to a predetermined device or storage medium and accept data input. The input unit 34 may output the input result to the
入力部34は、本発明に係る技術分野での共通認識に基づいて説明されるキーボード、マウス、ボタンなどの入力装置、入力端子、入力回路などにより構成することができる。また、入力部34は、表示部と一体となった構成(例えば、タッチパネル)としてもよい。 The input unit 34 can be configured by an input device such as a keyboard, a mouse, and a button, an input terminal, an input circuit, and the like described based on common recognition in the technical field according to the present invention. Further, the input unit 34 may have a configuration (for example, a touch panel) integrated with the display unit.
出力部35は、種々の情報をユーザが認識できるように出力する。例えば、出力部35は、画像を表示する表示部、音声を出力する音声出力部などを含んで構成されてもよい。表示部は、例えば、本発明に係る技術分野での共通認識に基づいて説明されるディスプレイ、モニタなどの表示装置により構成することができる。また、音声出力部は、本発明に係る技術分野での共通認識に基づいて説明されるスピーカーなどの出力装置により構成することができる。
The
出力部35は、例えば、本発明に係る技術分野での共通認識に基づいて説明される演算器、演算回路、演算装置、プレイヤー、画像/映像/音声処理回路、画像/映像/音声処理装置、アンプなどを含んで構成することができる。
The
ユーザ端末10、WLC20、SSOサーバ40、DB50、ポータルサーバ60、SPサーバ70などについても、図8と同様の構成を有してもよい。例えば、WLC20の制御部は、通信サービスの認証処理に成功したユーザ端末10からのWebアクセスに対して、ポータルサーバ60へのリダイレクトを実施するように制御してもよい。ここで、当該リダイレクトの際は、ユーザ端末10の特定情報をあわせて送信してもよい。また、ポータルサーバ60の制御部は、当該リダイレクトに基づいて、DB50からトークンを取得し、ユーザ端末10に送信するように制御してもよい。
The
(ハードウェア構成)
なお、上記実施形態の説明に用いたブロック図は、機能単位のブロックを示している。これらの機能ブロック(構成部)は、ハードウェア及び/又はソフトウェアの任意の組み合わせによって実現される。また、各機能ブロックの実現手段は特に限定されない。すなわち、各機能ブロックは、物理的に結合した1つの装置により実現されてもよいし、物理的に分離した2つ以上の装置を有線又は無線で接続し、これら複数の装置により実現されてもよい。
(Hardware configuration)
In addition, the block diagram used for description of the said embodiment has shown the block of the functional unit. These functional blocks (components) are realized by any combination of hardware and / or software. Further, the means for realizing each functional block is not particularly limited. That is, each functional block may be realized by one physically coupled device, or may be realized by two or more physically separated devices connected by wire or wirelessly and by a plurality of these devices. Good.
例えば、本発明の一実施形態におけるRADIUSサーバ30などは、本発明の情報通信方法の処理を行うコンピュータとして機能してもよい。図9は、本発明の一実施形態に係るRADIUSサーバ30のハードウェア構成の一例を示す図である。上述のRADIUSサーバ30、SSOサーバ40などは、物理的には、プロセッサ1001、メモリ1002、ストレージ1003、通信装置1004、入力装置1005、出力装置1006、バス1007などを含むコンピュータ装置として構成されてもよい。
For example, the
なお、以下の説明では、「装置」という文言は、回路、デバイス、ユニットなどに読み替えることができる。RADIUSサーバ30、SSOサーバ40などのハードウェア構成は、図に示した各装置を1つ又は複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。
In the following description, the term “apparatus” can be read as a circuit, a device, a unit, or the like. The hardware configuration of the
例えば、プロセッサ1001は1つだけ図示されているが、複数のプロセッサがあってもよい。また、処理は、1のプロセッサで実行されてもよいし、処理が同時に、逐次に、又はその他の手法で、1以上のプロセッサで実行されてもよい。
For example, although only one
RADIUSサーバ30、SSOサーバ40などにおける各機能は、プロセッサ1001、メモリ1002などのハードウェア上に所定のソフトウェア(プログラム)を読み込ませることで、プロセッサ1001が演算を行い、通信装置1004による通信や、メモリ1002及びストレージ1003におけるデータの読み出し及び/又は書き込みを制御することで実現される。
Each function in the
プロセッサ1001は、例えば、オペレーティングシステムを動作させてコンピュータ全体を制御する。プロセッサ1001は、周辺装置とのインターフェース、制御装置、演算装置、レジスタなどを含む中央処理装置(CPU:Central Processing Unit)で構成されてもよい。なお、上述の制御部11などの各部は、プロセッサ1001で実現されてもよい。プロセッサ1001は、1以上のチップで実装されてもよい。
For example, the
また、プロセッサ1001は、プログラム(プログラムコード)、ソフトウェアモジュールやデータを、ストレージ1003及び/又は通信装置1004からメモリ1002に読み出し、これらに従って各種の処理を実行する。プログラムとしては、上述の実施形態で説明した動作の少なくとも一部をコンピュータに実行させるプログラムが用いられる。例えば、制御部11は、メモリ1002に格納され、プロセッサ1001で動作する制御プログラムによって実現されてもよく、他の機能ブロックについても同様に実現されてもよい。
Further, the
メモリ1002は、コンピュータ読み取り可能な記録媒体であり、例えば、ROM(Read Only Memory)、EPROM(Erasable Programmable ROM)、EEPROM(Electrically EPROM)、RAM(Random Access Memory)、その他の適切な記憶媒体の少なくとも1つで構成されてもよい。メモリ1002は、レジスタ、キャッシュ、メインメモリ(主記憶装置)などと呼ばれてもよい。メモリ1002は、本発明の一実施形態に係る情報処理方法を実施するために実行可能なプログラム(プログラムコード)、ソフトウェアモジュールなどを保存することができる。
The
ストレージ1003は、コンピュータ読み取り可能な記録媒体であり、例えば、フレキシブルディスク、フロッピー(登録商標)ディスク、光磁気ディスク(例えば、コンパクトディスク(CD−ROM(Compact Disc ROM)など)、デジタル多用途ディスク、Blu−ray(登録商標)ディスク)、リムーバブルディスク、ハードディスクドライブ、スマートカード、フラッシュメモリデバイス(例えば、カード、スティック、キードライブ)、磁気ストライプ、データベース、サーバ、その他の適切な記憶媒体の少なくとも1つで構成されてもよい。ストレージ1003は、補助記憶装置と呼ばれてもよい。なお、上述の記憶部12は、メモリ1002及び/又はストレージ1003で実現されてもよい。
The
通信装置1004は、有線及び/又は無線ネットワークを介してコンピュータ間の通信を行うためのハードウェア(送受信デバイス)であり、例えばネットワークデバイス、ネットワークコントローラ、ネットワークカード、通信モジュールなどともいう。なお、上述の通信部13は、通信装置1004で実現されてもよい。
The
入力装置1005は、外部からの入力を受け付ける入力デバイス(例えば、キーボード、マウスなど)である。出力装置1006は、外部への出力を実施する出力デバイス(例えば、ディスプレイ、スピーカーなど)である。なお、入力装置1005及び出力装置1006は、一体となった構成(例えば、タッチパネル)であってもよい。なお、上述の入力部14及び出力部15は、それぞれ入力装置1005及び出力装置1006で実現されてもよい。
The
また、プロセッサ1001やメモリ1002などの各装置は、情報を通信するためのバス1007で接続される。バス1007は、単一のバスで構成されてもよいし、装置間で異なるバスで構成されてもよい。
Each device such as the
また、RADIUSサーバ30、SSOサーバ40などは、マイクロプロセッサ、デジタル信号プロセッサ(DSP:Digital Signal Processor)、ASIC(Application Specific Integrated Circuit)、PLD(Programmable Logic Device)、FPGA(Field Programmable Gate Array)などのハードウェアを含んで構成されてもよく、当該ハードウェアにより、各機能ブロックの一部又は全てが実現されてもよい。例えば、プロセッサ1001は、これらのハードウェアの少なくとも1つで実装されてもよい。
The
(変形例)
なお、本明細書で説明した用語及び/又は本明細書の理解に必要な用語については、同一の又は類似する意味を有する用語と置き換えてもよい。
(Modification)
Note that the terms described in this specification and / or terms necessary for understanding this specification may be replaced with terms having the same or similar meaning.
本明細書で説明した情報、パラメータなどは、絶対値で表されてもよいし、所定の値からの相対値で表されてもよいし、対応する別の情報で表されてもよい。また、本明細書においてパラメータなどに使用する名称は、いかなる点においても限定的なものではない。 Information, parameters, and the like described in the present specification may be represented by absolute values, may be represented by relative values from predetermined values, or may be represented by other corresponding information. In addition, names used for parameters and the like in this specification are not limited in any respect.
本明細書で説明した情報、信号などは、様々な異なる技術のいずれかを使用して表されてもよい。例えば、上記の説明全体に渡って言及され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、チップなどは、電圧、電流、電磁波、磁界若しくは磁性粒子、光場若しくは光子、又はこれらの任意の組み合わせによって表されてもよい。 Information, signals, etc. described herein may be represented using any of a variety of different technologies. For example, data, commands, commands, information, signals, bits, symbols, chips, etc. that may be referred to throughout the above description are voltages, currents, electromagnetic waves, magnetic fields or magnetic particles, light fields or photons, or any of these May be represented by a combination of
情報、信号などは、複数のネットワークノードを介して入出力されてもよい。入出力された情報、信号などは、特定の場所(例えば、メモリ)に保存されてもよいし、テーブルで管理してもよい。入出力される情報、信号などは、上書き、更新又は追記をされ得る。出力された情報、信号などは、削除されてもよい。入力された情報、信号などは、他の装置へ送信されてもよい。 Information, signals, and the like may be input / output via a plurality of network nodes. Input / output information, signals, and the like may be stored in a specific location (for example, a memory) or may be managed in a table. Input / output information, signals, and the like can be overwritten, updated, or added. The output information, signals, etc. may be deleted. Input information, signals, and the like may be transmitted to other devices.
また、所定の情報の通知(例えば、「Xであること」の通知)は、明示的に行うものに限られず、暗示的に(例えば、当該所定の情報の通知を行わないことによって又は別の情報の通知によって)行われてもよい。 In addition, notification of predetermined information (for example, notification of “being X”) is not limited to explicitly performed, but implicitly (for example, by not performing notification of the predetermined information or another (By notification of information).
ソフトウェアは、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語と呼ばれるか、他の名称で呼ばれるかを問わず、命令、命令セット、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行可能ファイル、実行スレッド、手順、機能などを意味するよう広く解釈されるべきである。 Software, whether it is called software, firmware, middleware, microcode, hardware description language, or other names, instructions, instruction sets, codes, code segments, program codes, programs, subprograms, software modules , Applications, software applications, software packages, routines, subroutines, objects, executable files, execution threads, procedures, functions, etc. should be interpreted broadly.
また、ソフトウェア、命令、情報などは、伝送媒体を介して送受信されてもよい。例えば、ソフトウェアが、有線技術(同軸ケーブル、光ファイバケーブル、ツイストペア、デジタル加入者回線(DSL:Digital Subscriber Line)など)及び/又は無線技術(赤外線、マイクロ波など)を使用してウェブサイト、サーバ、又は他のリモートソースから送信される場合、これらの有線技術及び/又は無線技術は、伝送媒体の定義内に含まれる。 Further, software, instructions, information, and the like may be transmitted / received via a transmission medium. For example, software may use websites, servers using wired technology (coaxial cable, fiber optic cable, twisted pair, digital subscriber line (DSL), etc.) and / or wireless technology (infrared, microwave, etc.) , Or other remote sources, these wired and / or wireless technologies are included within the definition of transmission media.
本明細書で使用する「システム」及び「ネットワーク」という用語は、互換的に使用される。 As used herein, the terms “system” and “network” are used interchangeably.
本明細書で説明した各態様/実施形態は単独で用いてもよいし、組み合わせて用いてもよいし、実行に伴って切り替えて用いてもよい。また、本明細書で説明した各態様/実施形態の処理手順、シーケンス、フローチャートなどは、矛盾の無い限り、順序を入れ替えてもよい。例えば、本明細書で説明した方法については、例示的な順序で様々なステップの要素を提示しており、提示した特定の順序に限定されない。 Each aspect / embodiment described in this specification may be used independently, may be used in combination, or may be switched according to execution. In addition, the order of the processing procedures, sequences, flowcharts, and the like of each aspect / embodiment described in this specification may be changed as long as there is no contradiction. For example, the methods described herein present the elements of the various steps in an exemplary order and are not limited to the specific order presented.
本明細書で使用する「に基づいて」という記載は、別段に明記されていない限り、「のみに基づいて」を意味しない。言い換えれば、「に基づいて」という記載は、「のみに基づいて」と「に少なくとも基づいて」の両方を意味する。 As used herein, the phrase “based on” does not mean “based only on,” unless expressly specified otherwise. In other words, the phrase “based on” means both “based only on” and “based at least on.”
以上、本発明について詳細に説明したが、当業者にとっては、本発明が本明細書中に説明した実施形態に限定されるものではないということは明らかである。本発明は、特許請求の範囲の記載により定まる本発明の趣旨及び範囲を逸脱することなく修正及び変更態様として実施することができる。したがって、本明細書の記載は、例示説明を目的とするものであり、本発明に対して何ら制限的な意味を有するものではない。 Although the present invention has been described in detail above, it will be apparent to those skilled in the art that the present invention is not limited to the embodiments described herein. The present invention can be implemented as modified and changed modes without departing from the spirit and scope of the present invention defined by the description of the scope of claims. Therefore, the description of the present specification is for illustrative purposes and does not have any limiting meaning to the present invention.
1 情報処理システム
10 ユーザ端末
20 無線システム(AP/無線LANコントローラ)
30 認証サーバ(RADIUSサーバ)
40 SSOサーバ
50 データベース
60 認証連携サーバ(ポータルサーバ)
70 クラウドサービスプロバイダサーバ/SSO保護対象サーバ
1
30 Authentication server (RADIUS server)
40
70 Cloud Service Provider Server / SSO Protection Target Server
Claims (14)
前記第4の装置は、前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う認証処理部と、
前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、
前記認証許可情報を前記第3の装置に送信する送信部と、を有し、
前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う制御部を有し、
前記送信部は、前記通信サービスの認証処理に成功した場合、前記第2の装置に対して、前記Webサービスの認証処理に必要な情報を送信し、
前記受信部は、前記Webサービスの認証処理に必要な情報を用いて取得された前記認証許可情報を、前記第2の装置から受信することを特徴とする情報処理システム。 A first device that provides a communication service to a user terminal; a second device that provides a web service authentication process to the user terminal; a third device that stores data; and a first device. An information processing system comprising: a fourth device that communicates with a second device and a third device; and a fifth device that communicates with the user terminal and the third device,
The fourth device includes an authentication processing unit that performs authentication processing of the communication service related to the user terminal based on a notification from the first device;
A receiving unit that receives authentication permission information of the Web service related to the user terminal from the second device;
A transmission unit that transmits the authentication permission information to the third device,
The fifth device acquires the authentication permission information from the third device, have a control unit for performing control to transmit to the user terminal,
The transmission unit transmits information necessary for the authentication process of the Web service to the second device when the authentication process of the communication service is successful.
The information processing system , wherein the receiving unit receives, from the second device, the authentication permission information acquired using information necessary for authentication processing of the Web service .
前記第4の装置は、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、
前記認証許可情報を前記第3の装置に送信する送信部と、を有し、
前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う制御部を有し、
前記第2の装置は、前記ユーザ端末に関する前記通信サービスの認証処理を行う認証処理部を有し、
前記送信部は、前記第2の装置に対して、前記Webサービスの認証処理に必要な情報と、前記第1の装置からの通知に含まれる前記通信サービスの認証処理に必要な情報と、を送信し、
前記認証処理部は、前記通信サービスの認証処理に必要な情報に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行い、
前記受信部は、前記第2の装置において前記通信サービスの認証処理が成功した場合に、前記Webサービスの認証処理に必要な情報を用いて取得された前記Webサービスの認証許可情報を、前記第2の装置から受信することを特徴とする請求項1に記載の情報処理システム。 A first device that provides a communication service to a user terminal; a second device that provides a web service authentication process to the user terminal; a third device that stores data; and a first device. An information processing system comprising: a fourth device that communicates with a second device and a third device; and a fifth device that communicates with the user terminal and the third device,
The fourth device includes a receiving unit that receives authentication permission information of the Web service related to the user terminal from the second device;
A transmission unit that transmits the authentication permission information to the third device,
The fifth device includes a control unit that performs control for acquiring the authentication permission information from the third device and transmitting the acquired information to the user terminal,
The second apparatus includes an authentication processing unit that performs authentication processing of the communication service related to the user terminal,
And the transmission unit, to the second device, and information necessary for authentication processing before Symbol Web service, and information necessary for authentication processing of the communication services included in the notification from the first device, Send
The authentication processing unit performs authentication processing of the communication service related to the user terminal based on information necessary for authentication processing of the communication service,
When the authentication process of the communication service is successful in the second device, the reception unit receives the authentication permission information of the Web service acquired using information necessary for the authentication process of the Web service. The information processing system according to claim 1, wherein the information processing system is received from the second device.
前記第5の装置は、前記リダイレクトに基づいて、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信することを特徴とする請求項1又は請求項2に記載の情報処理システム。 The first device controls to perform redirection to the fifth device for Web access from the user terminal that has succeeded in authentication processing of the communication service,
The fifth device, based on the redirection, the third acquiring the authentication permission information from the apparatus, the information processing according to claim 1 or claim 2, characterized in that transmitting to the user terminal system.
前記第1の装置は、前記通信サービスの認証処理に成功した前記ユーザ端末からのWebアクセスを、前記第5の装置のURLにリダイレクトするように制御することを特徴とする請求項4に記載の情報処理システム。 The predetermined information is a URL (Uniform Resource Locator) of the fifth device,
The first device of claim 4 in which the Web access from the user terminal which has succeeded in the authentication process of the communication service, and controls to redirect to a URL of said fifth device Information processing system.
前記送信部は、前記認証許可情報を、前記特定情報と関連付けて前記第3の装置に送信し、
前記第1の装置は、前記第5の装置へのリダイレクトの際に、前記特定情報を前記第5の装置に送信するように制御し、
前記第5の装置は、前記特定情報を用いて、前記第3の装置から前記認証許可情報を取得することを特徴とする請求項4又は請求項5に記載の情報処理システム。 The receiving unit receives identification information for identifying the user terminal from the first device;
The transmitting unit transmits the authentication permission information to the third device in association with the specific information,
The first device controls to transmit the specific information to the fifth device when redirecting to the fifth device,
The fifth device, using the specific information, the information processing system according to claim 4 or claim 5, characterized in that obtaining the authentication permission information from the third device.
前記第4の装置は、当該情報に従って送信された通知に基づいて、前記Web認証処理を行うことを特徴とする請求項6に記載の情報処理システム。 The fifth device transmits information for causing the user terminal to perform web authentication processing,
The information processing system according to claim 6 , wherein the fourth apparatus performs the Web authentication process based on a notification transmitted according to the information.
当該無線通信サービスの認証処理としてRADIUS(Remote Authentication Dial In User Service)認証が用いられることを特徴とする請求項1から請求項9のいずれかに記載の情報処理システム。 The communication service is a wireless communication service,
The information processing system according to any one of claims 1 to 9, characterized in that the RADIUS (Remote Authentication Dial In User Service ) authentication is used as the authentication processing of the wireless communication services.
前記第4の装置は、前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う工程と、
前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信工程と、
前記認証許可情報を前記第3の装置に送信する送信工程と、
を有し、
前記第5の装置は、前記第3の装置から前記認証許可情報を取得し、前記ユーザ端末に送信するための制御を行う工程を有し、
前記送信工程は、前記通信サービスの認証処理に成功した場合、前記第2の装置に対して、前記Webサービスの認証処理に必要な情報を送信し、
前記受信工程は、前記Webサービスの認証処理に必要な情報を用いて取得された前記認証許可情報を、前記第2の装置から受信することを特徴とする情報処理方法。 A first device that provides a communication service to a user terminal; a second device that provides a web service authentication process to the user terminal; a third device that stores data; and a first device. An information processing method using a fourth device that communicates with a second device and a third device, and a fifth device that communicates with the user terminal and the third device,
The fourth device performs an authentication process of the communication service related to the user terminal based on a notification from the first device;
A reception step of receiving authentication permission information of the Web service related to the user terminal from the second device;
A transmission step of transmitting the authentication permission information to the third device;
Have
The fifth device acquires the authentication permission information from the third device, have a step of performing control for transmitting to the user terminal,
The transmission step transmits information necessary for the authentication process of the Web service to the second device when the authentication process of the communication service is successful.
The information receiving method characterized in that the receiving step receives the authentication permission information acquired using information necessary for the authentication process of the Web service from the second apparatus .
前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う認証処理部と、
前記通信サービスの認証処理に成功した場合、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する受信部と、
前記認証許可情報を前記第3の装置に送信する送信部と、を有し、
前記送信部は、前記通信サービスの認証処理に成功した場合、前記第2の装置に対して、前記Webサービスの認証処理に必要な情報を送信し、
前記受信部は、前記Webサービスの認証処理に必要な情報を用いて取得された前記認証許可情報を、前記第2の装置から受信することを特徴とする情報処理装置。 An information processing apparatus that communicates with a first apparatus that provides a communication service to a user terminal, a second apparatus that provides a web service authentication process to the user terminal, and a third apparatus that stores data Because
An authentication processing unit that performs authentication processing of the communication service related to the user terminal based on the notification from the first device;
A receiving unit that receives, from the second device, authentication permission information of the Web service related to the user terminal when the authentication process of the communication service is successful;
Have a, a transmission unit for transmitting the authentication permission information to the third device,
The transmission unit transmits information necessary for the authentication process of the Web service to the second device when the authentication process of the communication service is successful.
The information processing apparatus, wherein the receiving unit receives the authentication permission information acquired using information necessary for authentication processing of the Web service from the second apparatus.
前記第1の装置からの通知に基づいて、前記ユーザ端末に関する前記通信サービスの認証処理を行う手順と、
前記通信サービスの認証処理に成功した場合、前記第2の装置に対して、前記Webサービスの認証処理に必要な情報を送信する手順と、
前記通信サービスの認証処理に成功した場合、前記Webサービスの認証処理に必要な情報を用いて取得された、前記ユーザ端末に関する前記Webサービスの認証許可情報を前記第2の装置から受信する手順と、
前記認証許可情報を前記第3の装置に送信する手順と、を実行させるためのプログラム。 An information processing apparatus that communicates with a first apparatus that provides a communication service to a user terminal, a second apparatus that provides a web service authentication process to the user terminal, and a third apparatus that stores data On the computer
A procedure for performing authentication processing of the communication service related to the user terminal based on a notification from the first device;
A procedure for transmitting information necessary for the authentication process of the Web service to the second device when the authentication process of the communication service is successful;
A procedure for receiving, from the second device, authentication permission information of the Web service related to the user terminal obtained using information necessary for the authentication process of the Web service when the authentication process of the communication service is successful; ,
And a procedure for transmitting the authentication permission information to the third device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016145485A JP6266049B1 (en) | 2016-07-25 | 2016-07-25 | Information processing system, information processing method, information processing apparatus, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016145485A JP6266049B1 (en) | 2016-07-25 | 2016-07-25 | Information processing system, information processing method, information processing apparatus, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP6266049B1 true JP6266049B1 (en) | 2018-01-24 |
JP2018018143A JP2018018143A (en) | 2018-02-01 |
Family
ID=61020802
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016145485A Active JP6266049B1 (en) | 2016-07-25 | 2016-07-25 | Information processing system, information processing method, information processing apparatus, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6266049B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200106766A1 (en) | 2018-09-28 | 2020-04-02 | Konica Minolta Laboratory U.S.A., Inc. | Method and system for security assertion markup language (saml) service provider-initiated single sign-on |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4357165B2 (en) * | 2002-10-15 | 2009-11-04 | 日本電信電話株式会社 | Service provision system based on network connection authentication |
JP4291213B2 (en) * | 2004-05-26 | 2009-07-08 | 日本電信電話株式会社 | Authentication method, authentication system, authentication proxy server, network access authentication server, program, and recording medium |
US20160021097A1 (en) * | 2014-07-18 | 2016-01-21 | Avaya Inc. | Facilitating network authentication |
JP6358947B2 (en) * | 2014-12-19 | 2018-07-18 | エイチ・シー・ネットワークス株式会社 | Authentication system |
-
2016
- 2016-07-25 JP JP2016145485A patent/JP6266049B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018018143A (en) | 2018-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10805797B2 (en) | Enabling secured wireless access using user-specific access credential for secure SSID | |
US20200099677A1 (en) | Security object creation, validation, and assertion for single sign on authentication | |
US9432359B2 (en) | Registration and network access control | |
US8776181B1 (en) | Methods for authenticating and authorizing a mobile device using tunneled extensible authentication protocol | |
JP6170158B2 (en) | Mobile multi single sign-on authentication | |
US9038138B2 (en) | Device token protocol for authorization and persistent authentication shared across applications | |
US8191124B2 (en) | Systems and methods for acquiring network credentials | |
EP3120591B1 (en) | User identifier based device, identity and activity management system | |
US9264420B2 (en) | Single sign-on for network applications | |
JP2015535984A5 (en) | ||
CN114342322A (en) | Single sign-on (SSO) authentication via multiple authentication options | |
US11924195B2 (en) | Onboarding an unauthenticated client device within a secure tunnel | |
US9787678B2 (en) | Multifactor authentication for mail server access | |
EP2997711B1 (en) | Providing single sign-on for wireless devices | |
JP6266049B1 (en) | Information processing system, information processing method, information processing apparatus, and program | |
JP6055546B2 (en) | Authentication apparatus, authentication method, and program | |
CN114338078B (en) | CS client login method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6266049 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |