JP6305005B2 - 認証サーバーシステム、制御方法、そのプログラム - Google Patents

認証サーバーシステム、制御方法、そのプログラム Download PDF

Info

Publication number
JP6305005B2
JP6305005B2 JP2013216482A JP2013216482A JP6305005B2 JP 6305005 B2 JP6305005 B2 JP 6305005B2 JP 2013216482 A JP2013216482 A JP 2013216482A JP 2013216482 A JP2013216482 A JP 2013216482A JP 6305005 B2 JP6305005 B2 JP 6305005B2
Authority
JP
Japan
Prior art keywords
authentication
notification
service
user
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013216482A
Other languages
English (en)
Other versions
JP2015079376A5 (ja
JP2015079376A (ja
Inventor
俊介 茂垣
俊介 茂垣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2013216482A priority Critical patent/JP6305005B2/ja
Priority to US14/516,209 priority patent/US9350724B2/en
Publication of JP2015079376A publication Critical patent/JP2015079376A/ja
Publication of JP2015079376A5 publication Critical patent/JP2015079376A5/ja
Application granted granted Critical
Publication of JP6305005B2 publication Critical patent/JP6305005B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、サービス利用時の通知に関する制御を行う認証サーバーシステム、制御方法、そのプログラムに関する。
近年、サービスと呼ばれる例えばインターネットを介してソフトウェアの機能を提供するシステムが注目を集めている。サービスは、共有のサーバー上に展開した同一のWebアプリケーションを複数の企業や組織に提供する“マルチテナントサービス”という形態をとっている。ここで“テナント”とは、従来の専用サーバーを用いてサービスを提供していた企業や組織の単位を意味する。
このようなサービスにおいて、サービス提供者がサービス利用者に対してシステムメンテナンス情報や新機能情報など、通知情報を発信する場合がある。特にシステムメンテナンスなどによりサービスが停止する場合には、利用者への通知が重要となる。もし通知がされないと、利用者観点では突然サービスが停止したように見えてしまうため、問題となる可能性がある。ここで、各ユーザーにメールで通知する方法も有効ではあるが、メールアドレスが登録されていないユーザーがいる場合もあり、それだけでは十分ではない。そのため、ユーザーがサービスにログインした際に、通知情報を表示する機能が求められている。
ユーザーがサービスの利用に際しサービスを提供するシステムにログインした際に、通知情報を表示する機能として、ユーザーの個人情報に表示情報を関連付けて管理する方法が従来から知られている(参考文献1)。この方法では、サービス提供者が通知したい情報を強制表示情報としてユーザーに設定する事で、そのユーザーがログインした際に通知情報を画面に表示する事が出来る。以上が通知情報に関する従来技術の説明である。
次に、サービスのマッシュアップ時における認証処理について従来技術を説明する。マッシュアップによって連携する複数のサービスはそれぞれ別のサービスとなるため、それぞれのサービス提供システムにログインを行う必要がある。しかし、複数のサービスが連携している際に、それぞれのサービス提供システムにアクセスする毎にログイン画面が表示され、ログイン操作を行うのが手間である。この手間をなくすため、SAML(Security Assertion Markup Language)によるSingle Sign On(SSO)を利用する場合がある。シングルサインオン認証方式(以降、SSO)では、ある1つのサービス提供システムをIdentity Provider(IdP)とし、その他のサービス提供システムをService Provider(SP)とする。ユーザーはIdPであるサービス提供システムにログインすることで、ログイン操作を行わずに他のサービスを利用することが出来る。例えばPDFを作成するサービス提供システムをIdP、インターネット上にデータを保存するサービス提供システムをSPとする。ユーザーがIdPであるPDF作成サービスにアクセスすると、ログイン画面が表示され、ユーザーはログイン操作を1度行う。するとその後、生成したPDFをSPであるサービス提供システムに保存する際には、SPでのログインは要求されず、シームレスに2つのサービスをマッシュアップさせることが可能になる。
特開2003−256382号公報
一方で、SSOなどにより複数のサービスが連携した際に各サービスがそれぞれ通知情報を表示すると通知の表示により連携処理が止まってしまうという課題がある。ユーザーが通常のログイン操作を行ってサービスにアクセスする際には、ユーザーはそのサービスを意識し画面操作を行っているため、通知情報を表示しても問題とはなりにくい。しかし、SSO連携によりユーザーが複数のサービスを意識せずに利用できている状態においては、サービス間のシームレスな連携による操作感を損ねてしまう可能性がある。
本願発明は、SSOを始めとする一部の認証処理を省略する様な認証方式であるか否かに基づき通知情報の通知制御を行うことで、上述した課題を解決する認証サーバーシステムを提供することを目的とする。
本発明の一実施形に係る認証サーバーシステムは、サービスの利用に関する認証処理を行う認証サーバーシステムであって、ユーザーに認証情報の入力を要求し、入力された前記認証情報を受け付けて前記認証情報を基に認証処理を行う第1の認証方式、および前記認証サーバーシステムとは異なる別の認証サーバーシステムにおいて行われた認証処理が成功したことに応じて、ユーザーに認証情報の入力を要求せずに前記認証情報を受け付けることなく認証処理を行う第2の認証方式、両方の認証方式による認証処理を行う認証手段と、ユーザーが操作する端末に前記サービスに関連する通知を行う通知手段と、前記認証手段により前記第1の認証方式による認証処理が行われた結果、前記端末による前記サービスの利用が許可された場合は前記通知手段による通知が行われるように制御し、前記認証手段により前記第2の認証方式による認証処理が行われた結果、前記端末による前記サービスの利用が許可された場合は前記通知手段による通知が行われないように制御する制御手段と、を有し、し、前記認証手段は、前記別の認証サーバーシステムにおいて行われた認証処理が成功したことに応じて発行される認可情報を受け付けた場合に前記認可情報を基に前記第2の認証方式による認証処理を行い、前記端末による前記サービスの利用を許可し、前記制御手段は、前記認証手段が前記認可情報を検証したことに応じて前記端末へ送信するレスポンスを取得し、前記レスポンスから前記第2の認証方式による認証処理が行われたことを特定し、前記通知手段による通知が行われないように制御することを特徴とする。
本発明により、SSOを始めとする一部の認証処理を省略する様な認証方式により複数のサービスが連携した際に各サービスがそれぞれ通知情報を表示することを抑制することが可能になる。
システム全体図 サーバーのハードウェア構成図 リソースサーバーのソフトウェア構成図 認証サーバーのソフトウェア構成図 サービス管理サーバーのソフトウェア構成図 外部認証サーバーのソフトウェア構成図 認証サーバー103が保持するアカウントテーブル サービス管理サーバー104が保持する通知情報テーブル ユーザーへの通知情報表示判定フロー図 ユーザーがSSOによりアクセスした際の通知情報表示判定フロー図 ユーザーがSSO以外の方法でアクセスした際の通知情報表示判定フロー図 サービス管理サーバー104が保持する通知情報テーブル 認証サーバー103が保持するテナントテーブル 認証サーバー103が保持するライセンステーブル ユーザーがアクセスした際の、ライセンス提供した販売会社による通知情報表示判定フロー図 認証サーバー103が保持する顧客テナントテーブル ユーザーがアクセスした際の、テナント単位での通知情報表示判定フロー図 認証サーバー103が保持するテナントテーブル 認証サーバー103が保持するアカウントテーブル ユーザーがアクセスした際の、ユーザー単位での通知情報表示判定フロー図 サービス管理サーバー104が保持する除外URLテーブル ユーザーがアクセスした際の、URL単位での通知情報表示判定フロー図 サービス管理サーバー104が保持する通知情報テーブル 通知情報登録画面 ユーザーがアクセスした際の、認証方式による通知情報表示判定フロー図
本願発明におけるサービスとは、情報処理装置が提供する機能のことを指す。サービスを実現するWebアプリケーションなどは、サーバーコンピューターで実行されるソフトウェアである。ここで複数のサービスが連携する際に、1つのサービスを利用しているように見せるために、SAMLによるSSOを利用する場合がある。SSOを実現する事で、ユーザーは1度のログインで連携している全てのサービスを利用できるようになる。本願発明ではSSOを例に、認証処理時に用いられた認証方式がSSOである場合はクライアントへ通知を行わないように制御する情報処理システムについて説明する。
図1は、その情報処理システムを示す図である。インターネット100は、インターネットなどの外部から接続可能なパブリックなネットワークである。イントラネット101は、LANなどの外部から接続不可能なプライベートなネットワークである。
リソースサーバー102は、印刷サービスや帳票サービスといったリソースサービスを提供しているサービスシステムである。リソースサーバー102は、インターネット100を介したクライアント端末106あるいは不図示の外部サービスシステムからのリクエストに応じて、リソースサービスを提供する。なおリソースサーバー102に設置されるリソースサービスは1つでもよく、複数でもよい。
認証サーバー103は、ユーザーを認証する認証サーバーである。認証サーバー103は、ユーザーに対してリソースサーバー102やサービス管理サーバー104へのアクセスを制御する。サービス管理サーバー104は、通知情報の管理や、通知情報画面生成を行う。
リソースサーバー102、認証サーバー103、サービス管理サーバー104はそれぞれ連携しサービスシステム105を構成する。サービスシステム105がサービス提供システムであり、ユーザーにサービスを提供する上で必要となるサーバー群である。なお、リソースサーバー102、認証サーバー103、サービス管理サーバー104は同一のサーバー上に構成されていてもよいし、同一のLAN上に構成されてもよいし、それぞれ個別のLAN上に構成されてもよい。また、実施例1において各サーバーは1台ずつ設置されているが、複数台で構成されていてもよい。よって、本願発明においてサーバーシステムと称した場合、1台、または複数台で構成されているサーバーを指しているものとする。例えば、認証サーバーシステムと称した場合、対象は1台の認証サーバー、または認証サーバー、およびサービス管理サーバー104の複数台で構成されたサーバー群の何れか1つとして捉えられることになる。
クライアント端末106は、インターネット100を介して、パーソナルコンピューターやモバイル端末などのサービスを利用する際に使用される情報機器端末であり、Webブラウザがインストールされている。外部認証サーバー107は、Identity Provider(IdP)であり、サービスシステム105における認証サーバー103とは別に提供される認証サーバーである。
図2は、図1に示した各種サービスが配置されているサーバーの論理構成である。ユーザーインターフェース201は、ディスプレイ、キーボード、マウスなどによる、情報の入出力を行うハードウェアである。これらのハードウェアを備えないコンピューターは、リモートデスクトップなどにより、他のコンピューターから接続・操作することも可能である。ネットワークインターフェース202は、LANなどのネットワークに接続して、他のコンピューターやネットワーク機器との通信を行うハードウェアである。CPU203は、ROM204、RAM205、二次記憶装置206などから読み込んだプログラムを実行し、各種サービスを実現する。ROM204は、組込済みプログラムおよびデータが記録されている記憶装置である。RAM205は、一時メモリ領域である。二次記憶装置206は、HDDに代表されるような外部記憶装置である。各部は入出力インターフェース207を介して接続されている。
図3は、リソースサーバー102のソフトウェア構造を示したブロック図である。リクエスト処理部301は、インターネット100を経由して送信されたリソースサービスへのリクエストを処理する処理部である。例えばリソースサービスが帳票サービスの場合、帳票データ生成リクエスト及び帳票データ取得リクエストを受信する。また、リクエスト処理部301は、機能制御部302から返される処理結果を呼び出し元に返す。機能制御部302は、リクエスト処理部301が受信したリクエストに応じて必要な処理を行い、応答データを呼び出し元に返す。また、機能制御部302はイントラネット101経由で認証サーバー103に対して認証リクエストを送信し、認証結果を受信する。処理部303は、機能制御部302からのリクエストを受信して、リクエストに応じた処理を行い、機能制御部302に返す。例えば帳票サービスの場合、帳票データ生成リクエストを受信して、元データから帳票データを生成する。
図4は、認証サーバー103のソフトウェア構造を示したブロック図である。リクエスト処理部401は、認証サーバー103がインターネット100及びイントラネット101を経由して受信した認証サーバーへのリクエストを処理する処理部である。また、リクエスト処理部401は、アクセス制御部402から返される応答データを呼び出し元に返す。アクセス制御部402は、データ管理部403から取得するデータに基づき、サービスシステム105内の各リソースサーバーからの認証および認可要求を処理する処理部である。また、IdPから送られるSAMLの検証を行う。認証データ管理部403は、ユーザーアカウントのデータを管理する。以上から、サービスシステム105はSPであると言える。なお、認証サーバー103は入力されたユーザーの認証情報を基に認証処理を行う認証方式、およびSSOの認証方式、両方の認証方式による認証処理を行う。詳細は、後述する図10、および図11にて説明を行う。
図5は、サービス管理サーバー104のソフトウェア構造を示したブロック図である。リクエスト処理部501は、サービス管理サーバー104へのリクエストを処理する処理部である。またリクエスト処理部501は、機能制御部502から返される応答データを呼び出し元に返す。機能制御部502は、認証サーバー103にユーザー情報取得を要求し、取得したデータとデータ管理部503から取得するデータにより通知情報表示を制御する処理部である。データ管理部503は、通知情報のデータを管理する。
図6は、外部認証サーバー(IdP)107のソフトウェア構造を示したブロック図である。リクエスト処理部401は、認証サーバー103がインターネット100及びイントラネット101を経由して受信した認証サーバーへのリクエストを処理する処理部である。また、リクエスト処理部401は、アクセス制御部402から返される応答データを呼び出し元に返す。アクセス制御部402は、データ管理部403から取得するデータに基づき、各サービスシステムからの認証および認可要求を処理する処理部である。また、SPに対してSAMLの検証要求を行う。認証データ管理部403は、ユーザーアカウントのデータを管理する。
図7は、認証サーバー103が管理するユーザーアカウント情報のデータ構造をテーブル形式で示した図である。アカウントテーブル700は、ユーザーID701、テナントID702、通知済みリビジョン703からなる。テナントID702は、ユーザーが所属するテナントをシステムで一意に識別するためのIDである。通知済みリビジョン703は、そのユーザーに表示した通知情報を示す番号である。通知済みリビジョン703には、後述する通知情報テーブル800に登録されているリビジョン番号を保存する。
図8は、サービス管理サーバー104が管理する通知情報のデータ構造をテーブル形式で示した図である。通知情報テーブル800は、通知ID801、リビジョン802、掲載開始日803、掲載終了日804、通知内容805からなる。なお、掲載開始日、掲載終了日ではなく掲載日数として管理しても良いので、これらをまとめて通知期間と定義する。リビジョン802は、通知情報が掲載された時点で採番され、ユーザーがどの通知まで表示したかを示すための情報である。具体的には、2013年10月12日になると、通知ID「5」の通知が掲載開始日となる。その時点で通知情報テーブル800に登録されているリビジョン番号の最大値が「3」であるので、通知ID「5」に対して、リビジョン番号「4」が割り当たる。通知内容805は、通知画面に表示される文字列である。なお通知内容805は、言語毎に別テーブルで管理してもよい。
図9は、リソースサーバー102、認証サーバー103、サービス管理サーバー104からなるサービスシステム105がWebブラウザを搭載した端末であるクライアント端末106からアクセスを要求された際の、通知情報表示判定フローである。サービスシステム105の各サーバー間での具体的なデータの送受信については、後述の図10、図11に示す。
ステップS901においてサービスシステム105はアクセス要求を受け付け、ステップS902においてアクセス要求者の認証を行う。ステップS903において、サービスシステム105は、ステップS902で行った認証方式がSSOであるか否かの判定を行う。認証方式がSSOであった場合、サービスシステム105の通知情報は表示しないように制御するものと判断し、ステップS904において、ステップS901でアクセス要求された画面を表示する。なお、ここではステップS902ではSSOであるか否かの判定を行う形式を説明したが、SSOであるか、それとも別の認証方式であるかを判定するような認証方式の種類を基に判定する形式であっても良い。
認証方式がSSOではなかった場合、即ち、認証サーバー103がユーザーに認証情報の入力を要求し、入力された認証情報を受け付けてその認証情報を基に認証処理を行う認証式の場合、サービスシステム105はステップS905において、掲載中の通知情報の内、認証したユーザーが未表示の通知情報があるかを確認する。掲載中の通知情報がなかった場合や、認証したユーザーが全ての掲載中の通知情報を表示済みだった場合、通知なしと判断し、ステップS904において、アクセス要求された画面を表示する。掲載中の通知情報がある場合、ステップS906において、不図示の通知画面を生成し、通知画面を表示する。なお通知画面においては、掲載中の全ての通知情報を表示してもよいし、ログインしたユーザーが未表示の通知情報のみを表示してもよい。認証方式がSSOであった場合、S904で通知画面を表示することなくサービスを受ける上で必要な画面を表示する。
図10は、ユーザーがIdPである外部認証サーバー107のWebページよりログインを行い、SAMLによるSSOでサービスシステム105にアクセスした際の処理方法を示すシーケンス図である。なお前提として、認証サーバー103とIdPである外部認証サーバー107は事前にSAMLによるSSOに必要な設定が全てなされているものとする。
ステップS1001において、クライアント端末106上のWebブラウザ(不図示)を用いて、外部認証サーバー107の不図示のログイン画面にアクセスを行う。アクセスされた外部認証サーバー107は、ステップS1002においてクライアント端末106から入力されたユーザー認証情報を基に認証処理を行い、ステップS1003においてSAMLレスポンスの生成を行う。一般的なIdPで生成するSAMLレスポンスでは認証したユーザーを識別する情報等が含まれており、さらにそのレスポンス情報は電子署名されている。外部認証サーバー107はサービスシステム105に対するリダイレクトの指示と共に、クライアント端末106にレスポンスを返す。
ステップS1004において、クライアント端末106上のWebブラウザは外部認証サーバー107から受け取ったSAMLレスポンスと共に、認証サーバー103に対してSAML検証要求を行う。ステップS1005において、認証サーバー103は受け取ったSAMLレスポンスが正規なものであるか否かを検証する。本検証では、SAMLレスポンスの電子署名を、事前に設定したIdPの電子証明書に基づき正規なものであるか否かを検証し、その上でSAMLレスポンスに含まれるユーザー識別情報を取得する。さらに、事前に設定したIdPのユーザーと本システムのユーザーのマッピング情報を元に、SAMLレスポンスから取得したユーザー識別情報を認証サーバー103が管理している本システムのユーザーに変換してログインを許可し、認証セッションを生成する。
ステップS1006において、認証サーバー103は、サービスシステム105へのアクセス時の認証方式がSAMLによるSSOなのか、それ以外の認証方式なのかを判定する。ここで、認証サーバー103は認証サーバーのWebページへのアクセスのレスポンスを全てフックするように設定されている。一般的なWebサーバーは外部モジュールを追加する事で、HTTP機能の処理途中に自由に処理を追加する事が可能である。認証サーバー103は、認証方式がSSOであるか否かの判定を行うためにSSOフックモジュールを追加し、認証サーバーでの全てのWebページのHTTPレスポンスをフックしている。
なお、SSOフックモジュールは認証サーバー103の全てのレスポンスの処理で実行されるため、例えばログイン画面へのレスポンスなどもフックされる。認証サーバー103は認証方式がSAMLによるものなのか否かを判断するために、SAML検証のためのURLを記憶し、フックしたレスポンスのリクエストURLの確認を行う。例えばSAML検証URLとして“/auth/Saml/SP/SSO/Post”を保持していた場合、フックしたレスポンスのリクエストURLを確認し、SAML検証URLとの比較を行う。もしフックしたレスポンスがSAML検証URLへのリクエストであったならば、認証サーバー103は認証方式がSAMLによるSSOであると判断する。さらに認証サーバー103は、認証方式がSAMLによるSSOである事を検証すると、通知情報表示はなしと判断しレスポンスを返す。
ステップS1007において、クライアント端末106上のWebブラウザは、認証サ−バー103から受け取ったレスポンスに含まれる、SAML検証成功後のリソースサービスへのリダイレクト先URLへとリダイレクトを行う。ステップS1008において、リソースサーバー102は要求された画面を生成し、クライアント端末106に返す。クライアント端末106は、ステップS1009において、受け取った画面をクライアント端末106上のWebブラウザに表示する。
図11は、ユーザーがSPである認証サーバー103のWebページよりログインを行い、認証情報であるIDとパスワードを入力してサービスシステム105にアクセスした際の処理方法を示すシーケンス図である。即ち、図10のフローに示すSSOによる認証方式の認証処理ではない場合のフローである。
ステップS1101において、クライアント端末106上のWebブラウザ(不図示)を用いて、認証サーバー103の不図示のログイン画面にアクセスを行う。アクセスされた認証サーバー103は、ステップS1102において認証処理を行い、ステップS1003においてSAMLレスポンスの生成を行う。ステップS1003において、認証サーバー103は、フックしたレスポンスのURLを確認し、認証方式がSAMLによるSSOなのか、それ以外の認証方式なのかを判定する。認証サーバー103は、認証方式がSSO以外であると判定すると、サービス管理サーバー104に対して認証結果を渡し、通知表示判定を要求する。
ステップS1104において、サービス管理サーバー104は、受け取った認証結果を利用し、認証されたユーザー情報の取得を要求する。ステップS1105において、認証サーバー103は、認証されたユーザーの情報をアカウントテーブル700から取得し、サービス管理サーバー104に返す。本例では、ユーザーID「uid0000002」のユーザーが、「2013年10月10日」にアクセスしたものとする。
ステップS1106において、サービス管理サーバー104は、通知情報テーブル800の情報と、取得したユーザー情報から、認証したユーザーに未表示の通知情報があるかを判定する。具体的には、通知情報テーブルから、現在掲載中の通知情報としてリビジョン「1」「2」「3」があると判断する。その上で、ユーザーID「uid0000002」のユーザーの通知済みリビジョンが「1」であるため、リビジョン「2」「3」の通知は未表示であると判断される。
ステップS1107において、サービス管理サーバー104は、認証したユーザーに未表示の通知情報があるかを判定する。未表示の通知情報がない場合には、図10と同様に、ステップS1007にてリクエストされた画面を生成し、ステップS1008でクライアント端末106上のWebブラウザに表示する。未表示の通知情報があった場合、ステップS1108において、不図示の通知画面を生成し、クライアント106に返す。なお通知画面には、掲載中の全ての通知情報を表示してもよいし、ログインしたユーザーが未表示の通知情報のみを表示してもよい。具体的には、掲載中の通知情報であるリビジョン「1」「2」「3」の通知を全て表示してもよく、ユーザーID「uid0000002」のユーザーが未表示のリビジョン「2」「3」の通知のみを表示してもよい。ステップS1109において、クライアント端末106は、受け取った通知画面を表示する。なお、通知画面はログイン画面から遷移した同じ画面に表示してもよく、別のウインドウでポップアップして開いてもよい。その後、図10と同様に、リクエストした画面を表示する。
本願発明の実施例1により、SAMLによるSSOによりアクセスしたユーザーには通知情報を表示せず、SAMLによるSSO以外の方法でアクセスしたユーザーには未表示の通知情報を表示する事が出来る。
次に、認証時に通知情報を強制表示しない第2の形態について説明する。マルチテナントサービスであるサービスにおいては、ユーザーは組織や企業を示すテナントに所属し、そのテナントの設定に従ってサービスを利用する。またサービスでは、ユーザーにサービスを販売する販売会社もテナントとして管理する場合がある。販売会社用のテナント(以下、販売テナント)に所属するユーザー(以下、販売ユーザー)は、顧客用のテナント(以下、顧客テナント)の作成や、顧客テナントへのサービスの提供を行える。
ここで、販売会社テナントによっては、利便性を重視しSAMLによるSSO以外の認証の場合でも通知情報を画面に表示させないという設定を行う場合が考えられる。本形態では、認証方式以外に販売テナント単位で通知情報の表示を行うか判定する方式について説明する。
図12は、認証方式に加え、販売会社テナントの単位で通知情報を表示するかの判定を行う際の、サービス管理サーバー104が管理する通知情報のデータ構造をテーブル形式で示した図である。通知情報テーブル1200は、通知ID801、リビジョン802、ライセンスID1201、掲載開始日803、掲載終了日804からなる。ライセンスID1201は、通知情報が関係するサービスを示すIDである。
図13は、認証サーバー103が管理するテナント情報のデータ構造をテーブル形式で示した図である。販売テナントを管理するテーブルは販売テナントテーブル1300、顧客テナントを管理するテーブルは顧客テナントテーブル1310で管理される。販売テナントテーブル1300は、テナントID1301、テナント名1302、通知表示1303からなる。通知表示1303は、SAMLによるSSO以外の方法で認証した際に、未表示の通知を表示するかの設定である。通知表示が「しない」となっている場合、ログインしたユーザーに未表示の通知があったとしても、通知画面を表示しない。顧客テナントテーブル1310は、テナントID1311、テナント名1312から成る。
図14は、認証サーバー103が管理するサービス情報のデータ構造をテーブル形式で示した図である。サービスを管理する情報はサービステーブル1400、顧客テナントが利用できるサービスを管理する情報はライセンステーブル1410、販売テナントが販売できるサービスを管理する情報は販売権テーブル1420で管理される。販売テナントのユーザーが顧客にサービスを販売すると、そのサービスに対応するライセンスが対象の顧客テナントに設定される。顧客テナントのユーザーは、自テナントに設定されているライセンスに対応するサービスを利用できる。サービステーブル1400は、サービス名1401、ライセンスID1402からなる。ライセンスID1402は、サービスをシステムが一意に識別するためのIDである。ライセンステーブル1410は、テナントID1411、ライセンスID1412、販売テナントID1413からなる。テナントID1411は、ライセンスが設定されている顧客テントを示す。ライセンスID1412は、その顧客テナントに設定されているライセンスを示す。販売テナントID1413は、顧客テナントにライセンスを設定した販売ユーザーが所属する販売テナントのテナントIDを示す。販売権テーブル1420は、テナントID1421とライセンスID1422からなる。
図15は、本実施形態において、サービスシステム105がアクセスを要求された際の通知情報表示判定フローである。ステップS901からS903は図9で説明したフローと同じである。ステップS1501において、サービスシステム105はアカウントテーブ700から認証したユーザーの所属テナントを取得し、販売テナントテーブル1300と顧客テナントテーブル1310から、そのユーザーのテナントを判定する。もし認証したユーザーが販売テナントのユーザーであった場合、ステップS1502を行う。また、認証したユーザーが顧客テナントのユーザーであった場合、ステップS1503を行う。
認証したユーザーが販売テナントに所属していた場合、ステップS1502において、サービスシステム105は、販売テナントテーブル1300からユーザーが所属する販売テナントの通知情報を取得する。もし認証したユーザーが所属する販売テナントの通知設定が「通知しない」であったならば、通知情報は表示せず、図9で説明したステップS904に進み、アクセス要求先画面を表示する。また、もし販売テナントの通知設定が「通知する」であったならば、ステップS1503を行う。
ステップS1503において、サービスシステム105は、認証した販売テナントのユーザーに未表示の通知があるかを判定する。サービスシステム105は、販売権テーブル1420とサービステーブル1400から、対象の販売テナントが扱えるサービスを取得する。そして通知情報テーブル1201から、対象の販売テナントが扱えるサービスの掲載中の通知情報を取得する。その上で、アカウントテーブル700から、認証したユーザーに通知済みのリビジョンを取得し、表示する通知情報を決定する。認証したユーザーが所属する販売テナントが扱えるサービスについて、掲載中の通知情報がない場合や、掲載中の通知情報が全てユーザーに通知済みであった場合、通知表示は行わず、ステップS904に進む。認証したユーザーが所属するテナントが扱えるサービスについて、認証したユーザーに未表示の通知があったならば、ステップS906で通知情報を表示する。以降のフローは図9で説明したものとなる。
例えば、ユーザーID「uid0000001」のユーザーが、「2013年10月10日」にアクセスしたものとする。アカウントテーブル700から、「uid0000001」のユーザーはテナントID「900AA」に所属している事が分かり、販売テナントテーブル1300から販売テナントであると判断される。ここで、販売テナントテーブル1300から、テナントID「900AA」は通知を「表示する」となっているため、サービスシステム105は、通知表示判定を行う。サービステーブル1400と販売権テーブル1420から、テナントID「900AA」はライセンスID「1」である「サービスL」と、ライセンスID「3」である「サービスN」が扱える事がわかる。また、アカウントテーブル700から、「uid0000001」のユーザーは「リビジョン1」の通知まで表示している事がわかる。これらの情報と通知情報テーブル1200を元に、サービスシステム105は、サービスLのリビジョン「2」、サービスNのリビジョン「3」の通知情報を表示すると判定する。
認証したユーザーが顧客テナントに所属していた場合、ステップS1504において、サービスシステム105はライセンステーブル1410から、ユーザーが所属するテナントにライセンスを設定した販売テナントを取得する。そして販売テナントテーブル1300から、各販売テナントが通知表示をするかの判定を行う。もしライセンスを設定した全ての販売テナントが通知を「表示しない」設定の場合、通知情報は表示せず、図9で説明したステップS904に進み、アクセス要求先画面を表示する。また、1つでも通知を「表示する」販売テナントがあったならば、ステップS1505を行う。
ステップS1505において、サービスシステム105は、通知を「表示する」となっていた販売テナントから設定されたサービスについて、通知を行うかの判定を行う。サービスシステム105は、通知情報テーブル1200から、通知を「表示する」となっていた販売テナントから設定されたサービスに、掲載中の通知があるかを判定する。その上で、アカウントテーブル700から、認証したユーザーに通知済みのリビジョンを取得し、表示する通知情報を決定する。掲載中の通知がない場合や、掲載中の通知情報が全てユーザーに通知済みであった場合、通知表示は行わず、ステップS904に進む。もし認証したユーザーに未表示の通知があったならば、ステップS906で通知情報を表示する。以降のフローは図9で説明したものとなる。
例えば、ユーザーID「uid0000006」のユーザーが、「2013年10月10日」にアクセスしたものとする。アカウントテーブル700から、「uid0000006」のユーザーはテナントID「1002AA」に所属しており通知をリビジョン「1」まで表示している事が分かり、顧客テナントテーブル1310から顧客テナントであると判断される。また、ライセンステーブル1410から、販売テナント「900AA」からライセンスID「1」を、「901AA」からライセンスID「2」と「3」を設定されている事が分かる。ここで、販売テナントテーブル1300より、「900AA」は通知を「表示する」設定となっており、「901AA」は通知を「表示しない」設定となっている。そのためサービスシステム105は、テナントID「1002AA」に所属するユーザーには、ライセンスID「1」に対応する「サービスL」の通知のみを表示すると判断する。これらの情報と通知情報テーブル1200を元に、サービスシステム105は、サービス「L」のリビジョン「2」の通知情報を表示すると判断する。
実施例2の方法により、SAMLによるSSO以外の方法でアクセスしたユーザーに対して、販売テナントの設定により未表示の通知情報を表示するかを制御出来る。
次に、認証時に通知情報を強制表示しない第3の形態について説明する。マルチテナントサービスであるサービスにおいては、テナント単位で組織や企業を管理しており、各テナントに対して企業や組織毎のカスタムを行える。そのため、顧客テナント毎に、SAMLによるSSO以外の認証の場合でも、通知情報を画面に表示させないという設定を行う場合が考えられる。本形態では、認証方式以外に、顧客テナント単位で通知情報の表示を行うか判定する方式について説明する。
図16は、認証サーバー103が管理する顧客テナント情報のデータ構造をテーブル形式で示した図である。顧客テナントテーブル1600は、テナントID1311、テナント名1312、通知表示1601から成る。通知表示1601は、SAMLによるSSO以外の方法で認証した際に、未表示の通知を表示するかの設定である。通知表示が「しない」となっている場合、ログインしたユーザーに未表示の通知があったとしても、通知画面を表示しない。
図17は、本実施形態において、サービスシステム105がアクセスを要求された際の通知情報表示判定フローである。ステップS901からS903は図9で説明したフローと同じである。ステップS1701において、サービスシステム105はアカウントテーブル700から認証したユーザーの所属テナントを取得し、顧客テナントテーブル1600から、そのユーザーのテナントを判定する。もし認証したユーザーが顧客テナントのユーザーであった場合、ステップS1702を行う。また、もし認証したユーザーが顧客テナントのユーザーでなかった場合、ステップS905に進み、以下図9で説明したフローを実施する。
ステップS1702において、サービスシステム105は顧客テナントテーブル1600から、認証したユーザーの所属テナントの通知表示を確認する。もし通知を「表示する」設定の場合、ステップS905に進み、以下図9で説明したフローを実施する。もし通知を「表示しない」設定の場合、通知情報は表示せず、図9で説明したステップS904に進み、アクセス要求先画面を表示する。例えば、ユーザーID「uid0000006」のユーザーが、「2013年10月10日」にアクセスしたものとする。アカウントテーブル700から、「uid0000006」のユーザーはテナントID「1002AA」に所属しており通知をリビジョン「1」まで表示している事が分かる。また、顧客テナントテーブル1600から顧客テナントであると判断され、通知を「表示しない」テナントに所属している事が分かる。これにより、サービスシステム105は、通知を表示しない、と判断する。
実施例3の方式により、SAMLによるSSO以外の方法でアクセスしたユーザーに対して、顧客テナントの設定により未表示の通知情報を表示するかを制御出来る。
次に、認証時に通知情報を強制表示しない第4の形態について説明する。マルチテナントサービスであるサービスにおいては、テナント内にその企業や組織の管理者と、一般のユーザーが混在した状態で管理される。一般ユーザーアカウントと管理者アカウントを分けて管理すると、一般ユーザーからのエスカレーションなどが発生した際に、新たなアカウントを作成しなくてはならず手間が大きく、また現在の利用者情報や設定が引き継げないという問題がある。そのため、一般ユーザーアカウントに権限設定を行う事で、管理者アカウントとする事も可能である。
ここで、SAMLによるSSO以外の認証の場合でも、ユーザーの権限によって通知情報を画面に表示させない設定を行う場合が考えられる。例えば通知がある場合にも、一般ユーザーには表示を行わず、管理者のみに表示するなどが考えられる。本形態では、認証方式以外に、ユーザーアカウント単位で通知情報の表示を行うか判定する方式について説明する。
図18は、認証サーバー103が管理するテナント情報のデータ構造をテーブル形式で示した図である。販売テナントを管理するテーブルは販売テナントテーブル1800、顧客テナントを管理するテーブルは顧客テナントテーブル1810で管理される。販売テナントテーブル1800は、テナントID1301、テナント名1302、管理者への通知表示1801、一般者への通知表示1802からなる。管理者への通知表示1801は、SAMLによるSSO以外の方法で認証した際に、販売テナントの管理者に未表示の通知を表示するかの設定である。通知表示が「しない」となっている場合、管理者アカウントのユーザーがログインした場合に、未表示の通知があったとしても、通知画面を表示しない。一般者への通知表示1802は、SAMLによるSSO以外の方法で認証した際に、販売テナントの一般ユーザーに未表示の通知を表示するかの設定である。
顧客テナントテーブル1810は、テナントID1301、テナント名1302、管理者への通知表示1811、一般者への通知表示1812からなる。管理者への通知表示1811は、SAMLによるSSO以外の方法で認証した際に、顧客テナントの管理者に未表示の通知を表示するかの設定である。通知表示が「しない」となっている場合、管理者アカウントのユーザーがログインした場合に、未表示の通知があったとしても、通知画面を表示しない。一般者への通知表示1812は、SAMLによるSSO以外の方法で認証した際に、顧客テナントの一般ユーザーに未表示の通知を表示するかの設定である。
図19は、認証サーバー103が管理するユーザーアカウント情報のデータ構造をテーブル形式で示した図である。アカウントテーブル1900は、ユーザーID701、テナントID702、通知済みリビジョン703、管理者1901からなる。管理者1901は、対象のアカウントが管理者かを管理する情報である。
図20は本実施形態において、サービスシステム105がアクセスを要求された際の通知情報表示判定フローである。ステップS901からS903は図9で説明したフローと同じである。ステップS2001において、サービスシステム105は認証したユーザーの権限から、通知表示する設定なのかを判定する。サービスシステム105は、アカウントテーブル1900から認証したユーザーのテナントIDと、管理者かの情報を取得する。その後販売テナントテーブル1800と顧客テナントテーブル1810から、認証したユーザーに通知表示するかの判定を行う。もし認証したユーザーが通知表示しない設定ならば、通知画面を表示せず、ステップS904に進み、アクセス要求先画面を表示する。もし認証したユーザーが通知表示する設定ならば、ステップS905に進み、以下図9で説明したフローを実施する。
実施例4の方法により、SAMLによるSSO以外の方法でアクセスしたユーザーに対して、テナント毎の設定とユーザーの権限に従って、未表示の通知情報を表示するかを制御出来る。
次に、認証時に通知情報を強制表示しない第5の形態について説明する。複数の機能を持ち、機能単位などで複数の画面を持つサービスにおいて、あるサービス利用時には通知を表示するが、そのサービスの特定の機能を利用する際のみ、通知を表示しない事が求められる場合がある。また、他サービスと連携している際に、特定の連携先から呼び出された際や、特定の機器から呼び出された際に通知を表示しない事が求められる場合もある。例えば複合機の画面の様な小さい画面からアクセスされた際に、画面に通知情報が収まりきらない、といった問題が考えられる。本形態では、認証方式以外に、アクセス先単位で通知情報の表示を行うか判定する方式について説明する。
図21は、サービス管理サーバー104が管理する除外URLのデータ構造をテーブル形式で示した図である。除外URLテーブル2100は、URL2101からなる。URL2101は、アクセス時に通知表示をしないURLを示す。なおURL2101は、URLパラメーターなど、URLの一部のみでもよい。
図22は本実施形態において、サービスシステム105がアクセスを要求された際の通知情報表示判定フローである。ステップS901からS903は図9で説明したフローと同じである。ステップS2201において、サービスシステム105はアクセスされたURLが除外URLか否かの判定を行う。アクセスされたURLが除外URLテーブル2100に含まれるか確認し、含まれていた場合には通知表示を表示せず、ステップS904に進み、アクセス要求先画面を表示する。もし除外URLに含まれていなかったならば、ステップS905に進み、以下図9で説明したフローを実施する。例えば特定の小さい画面の機器から呼び出す際に、アクセス先URLにURLパラメーターを追加し、サービスシステム105を呼び出す。サービスシステム105は、パラメーターが除外URLに登録されている事を確認し、通知表示なしと判断する。
実施例5の方法により、SAMLによるSSO以外の方法でアクセスしたユーザーに対して、アクセス先URLによって未表示の通知情報を表示するかを制御出来る。
次に、認証時に通知情報を強制表示しない第6の形態について説明する。認証方式による通知情報の表示を管理した際に、特定の認証方式の場合のみ通知情報を表示したい場合が考えられる。例えばSAMLによるSSOを行う際に、SP側にIdPが発行したSAML証明書を事前に登録する必要がある。このSAML証明書を登録することで複数のサービスシステムがシングルサインオン連携することができる。だが、このSAML証明書の有効期限が切れるとSAMLによるSSOが出来なくなる。そのため、SSOによりアクセスしているユーザーに対して、このようなSSOが利用できなくなるといった情報のみは、表示する必要が考えられる。本形態では、認証方式ごとに、特別に通知情報を表示する方式について説明する。
図23は、サービス管理サーバー104が管理する通知情報のデータ構造をテーブル形式で示した図である。通知情報テーブル2300は、通知ID801、リビジョン802、掲載開始日803、掲載終了日804、認証方式2301、通知内容805からなる。認証方式2301は、その通知が特定の認証方式に対して通知するかを管理している。
図24は本実施形態において、通知情報を登録する画面を示した図である。通知登録画面2400は、サービス選択部2401、掲載開始日入力部2402、掲載終了日入力部2403、認証方式選択部2404、通知タイトル入力部2405、情報入力部2406、登録ボタン2407、登録キャンセルボタン2408から構成される。サービス選択部2401は、登録する通知が対応するサービスを選択する選択部である。なおサービス選択部2401は必須ではなく、項目が存在しなくてもよいし、空を指定してもよい。認証方式選択部2402は、登録する通知が対応する認証方式を選択する選択部である。サービスシステム105が対応している1つまたは複数の選択肢からなり、複数を一度に選択する事も出来る。
図25は本実施形態において、サービスシステム105がアクセスを要求された際の通知情報表示判定フローである。ステップS901からS906は図9で説明したフローと同じである。ステップS2501において、サービスシステム105は、掲載中の通知に認証方式がSSOの場合に表示する通知があるかを判定する。通知情報テーブル2300から、掲載中の通知に対して、認証方式2301が設定されているかを確認する。もしSSOの場合に表示する通知がない場合には、通知表示を表示せず、ステップS904に進み、アクセス要求先画面を表示する。もし掲載中の通知にSSOの場合に表示する通知があった場合、ステップS2502に進む。本例では、ユーザーID「uid0000002」のユーザーが、「2013年10月10日」にSSOでアクセスしたものとする。すると、通知情報テーブル2300では、通知リビジョン「1」「2」「3」が掲載中と判断され、さらに通知リビジョン「1」と「3」の通知は、認証方式がSSOの際に表示する通知であると判断される。
ステップS2502において、サービスシステム105は、認証したユーザーが掲載中のSSOの場合に表示する通知が表示済みかを判定する。もしSSOの場合に表示する通知が表示済みであった場合には、通知表示を表示せず、ステップS904に進み、アクセス要求先画面を表示する。もし掲載中の通知にSSOの場合に表示する通知があった場合、ステップS906に進み、以下図9で説明したフローを実施する。本例では、ユーザーテーブル700から、ユーザーID「uid0000002」のユーザーはリビジョン「1」の通知のみ表示している。そして通知情報テーブルから、リビジョン「1」と「3」の通知がSSOの場合に表示する通知だと判断される。ここで、ユーザーID「uid0000002」のユーザーはリビジョン「1」の通知は表示済みだが、リビジョン「3」の通知は表示していないため、サービスシステム105は、通知を表示すると判断し、通知画面を表示する。なお、表示する通知は表示していないSSO関連通知であるリビジョン「3」だけでもよく、全てのSSO関連通知であるリビジョン「1」「3」でもよく、また掲載中の全ての通知であるリビジョン「1」「2」「3」でもよい。
実施例6の方法により、SAMLによるSSOによりアクセスしたユーザーには通知情報を表示しないが、SAMLに関係する通知のみは表示する事が出来る。
(その他の実施例)
これまでの説明で各実施例が独立して実施される形態を説明したが、各実施例を組み合わせて本願発明を実施することも可能である。例えば、図15のS903でYesと判定された後、図25のS2501以降の判定処理を行い認証方式がSSO認証でありSSO認証処理が行われた場合であっても通知を行うことが可能である。
また、各実施例では2つの認証方式をベースに説明を行った。即ち1つ目は、ユーザーに認証情報の入力を要求し、入力された認証情報を受け付けてその認証情報を基に認証処理を行う認証方式である。2つ目は、外部認証サーバー107において行われた認証処理が成功したことに応じて、ユーザーに認証情報の入力を要求せず、事前にSAML証明書の交換が済んでおりSSO連携が定まっている外部認証サーバー107において認証処理が行われた結果発行された認可情報であるSAMLレスポンスを基に認証処理を行う認証方式、即ちシングルサイオン認証方式である。しかし、認証方式はこれらの方式でなくても良い。特に後者の認証式はSSOである必要はなくOAUTHのようなユーザーの権限を他のサービスへ移譲する形式であっても良い。OAUTHの場合、ユーザーが権限を移譲することを許可したことで発行されるOAUTHトークンを基に、図9のS903を行えば良い。OAUTHと判断された場合は、通知が行われないように制御される。
また、本願発明は、以下の処理を実行することによっても実現される。即ち、上述した実施例の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。

Claims (6)

  1. サービスの利用に関する認証処理を行う認証サーバーシステムであって、
    ユーザーに認証情報の入力を要求し、入力された前記認証情報を受け付けて前記認証情報を基に認証処理を行う第1の認証方式、および前記認証サーバーシステムとは異なる別の認証サーバーシステムにおいて行われた認証処理が成功したことに応じて、ユーザーに認証情報の入力を要求せずに前記認証情報を受け付けることなく認証処理を行う第2の認証方式、両方の認証方式による認証処理を行う認証手段と、
    ユーザーが操作する端末に前記サービスに関連する通知を行う通知手段と、
    前記認証手段により前記第1の認証方式による認証処理が行われた結果、前記端末による前記サービスの利用が許可された場合は前記通知手段による通知が行われるように制御し、前記認証手段により前記第2の認証方式による認証処理が行われた結果、前記端末による前記サービスの利用が許可された場合は前記通知手段による通知が行われないように制御する制御手段と、を有し、
    前記認証手段は、前記別の認証サーバーシステムにおいて行われた認証処理が成功したことに応じて発行される認可情報を受け付けた場合に前記認可情報を基に前記第2の認証方式による認証処理を行い、前記端末による前記サービスの利用を許可し、
    前記制御手段は、前記認証手段が前記認可情報を検証したことに応じて前記端末へ送信するレスポンスを取得し、前記レスポンスから前記第2の認証方式による認証処理が行われたことを特定し、前記通知手段による通知が行われないように制御することを特徴と
    する認証サーバーシステム。
  2. 前記制御手段は、前記第1の認証方式による認証処理が行われた結果、前記端末による前記サービスの利用が許可された場合において、前記通知手段による通知を行わないように設定されている際は、前記通知手段による通知が行われないように制御することを特徴とする請求項1に記載の認証サーバーシステム。
  3. 前記通知手段は、通知期間、通知内容、および前記通知内容が対応する認証方式を関連づけて保存するテーブルに基づき、前記通知期間の内に前記通知内容を通知し、
    前記制御手段は、前記第2の認証方式による認証処理が行われた結果、前記端末による前記サービスの利用が許可された場合において、前記通知期間の内に通知すべき前記通知内容があり、かつ前記通知内容が前記第2の認証方式に対応している際は、前記通知手段による通知が行われるように制御することを特徴とする請求項1または2に記載の認証サーバーシステム。
  4. 前記通知期間、前記通知内容を設定するための項目と、前記通知内容が前記第2の認証方式に対応することを設定するための項目とを含む通知登録画面を提供する提供手段を更に有し、
    前記提供手段により提供された通知登録画面の項目に設定された情報を前記テーブルに保存することを特徴とする請求項3に記載の認証サーバーシステム。
  5. 前記第2の認証方式とは、シングルサインオン認証方式であることを特徴とする請求項1乃至4の何れか1項に記載の認証サーバーシステム。
  6. サービスの利用に関する認証処理を行う認証サーバーシステムを制御する制御方法であって、
    認証手段は、ユーザーに認証情報の入力を要求し、入力された前記認証情報を受け付けて前記認証情報を基に認証処理を行う第1の認証方式、および前記認証サーバーシステムとは異なる別の認証サーバーシステムにおいて行われた認証処理が成功したことに応じて、ユーザーに認証情報の入力を要求せずに前記認証情報を受け付けることなく認証処理を行う第2の認証方式、両方の認証方式による認証処理を行い、
    通知手段は、ユーザーが操作する端末に前記サービスに関連する通知を行い、
    制御手段は、前記認証手段により前記第1の認証方式による認証処理が行われた結果、前記端末による前記サービスの利用が許可された場合は前記通知手段による通知が行われるように制御し、前記認証手段により前記第2の認証方式による認証処理が行われた結果、前記端末による前記サービスの利用が許可された場合は前記通知手段による通知が行われないように制御し、
    前記認証手段は、前記別の認証サーバーシステムにおいて行われた認証処理が成功したことに応じて発行される認可情報を受け付けた場合に前記認可情報を基に前記第2の認証方式による認証処理を行い、前記端末による前記サービスの利用を許可し、
    前記制御手段は、前記認証手段が前記認可情報を検証したことに応じて前記端末へ送信するレスポンスを取得し、前記レスポンスから前記第2の認証方式による認証処理が行われたことを特定し、前記通知手段による通知が行われないように制御することを特徴とする制御方法。
JP2013216482A 2013-10-17 2013-10-17 認証サーバーシステム、制御方法、そのプログラム Active JP6305005B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013216482A JP6305005B2 (ja) 2013-10-17 2013-10-17 認証サーバーシステム、制御方法、そのプログラム
US14/516,209 US9350724B2 (en) 2013-10-17 2014-10-16 Authentication server system for performing control of notifications during service use, control method, and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013216482A JP6305005B2 (ja) 2013-10-17 2013-10-17 認証サーバーシステム、制御方法、そのプログラム

Publications (3)

Publication Number Publication Date
JP2015079376A JP2015079376A (ja) 2015-04-23
JP2015079376A5 JP2015079376A5 (ja) 2016-12-01
JP6305005B2 true JP6305005B2 (ja) 2018-04-04

Family

ID=52827402

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013216482A Active JP6305005B2 (ja) 2013-10-17 2013-10-17 認証サーバーシステム、制御方法、そのプログラム

Country Status (2)

Country Link
US (1) US9350724B2 (ja)
JP (1) JP6305005B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US9948468B2 (en) * 2014-12-23 2018-04-17 Mcafee, Llc Digital heritage notary
JP6729010B2 (ja) * 2016-06-06 2020-07-22 富士ゼロックス株式会社 情報処理システム及び情報処理プログラム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002335239A (ja) * 2001-05-09 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン認証方法及びシステム装置
JP2003256382A (ja) 2002-02-27 2003-09-12 Fujitsu Ltd 表示情報提供システム、表示情報提供方法および表示情報提供プログラム
WO2005015422A1 (ja) * 2003-08-11 2005-02-17 Sony Corporation 認証方法、認証システム及び認証サーバ
JP2005110112A (ja) * 2003-10-01 2005-04-21 Nec Corp 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。
DE102004045147A1 (de) * 2004-09-17 2006-03-23 Fujitsu Ltd., Kawasaki Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
JP4863777B2 (ja) * 2006-06-07 2012-01-25 富士通株式会社 通信処理方法及びコンピュータ・システム
JP2008042862A (ja) * 2006-08-07 2008-02-21 Triconf:Kk 無線lan通信システム及びその方法並びにプログラム
US9009236B2 (en) * 2007-08-16 2015-04-14 Nec Corporation Information delivery system, delivery destination control method and delivery destination control program
US8751948B2 (en) * 2008-05-13 2014-06-10 Cyandia, Inc. Methods, apparatus and systems for providing and monitoring secure information via multiple authorized channels and generating alerts relating to same
JP5485246B2 (ja) * 2011-11-05 2014-05-07 京セラドキュメントソリューションズ株式会社 画像形成装置
JP5616917B2 (ja) * 2012-03-14 2014-10-29 富士フイルム株式会社 操作管理システムならびに制御システムおよびその動作制御方法

Also Published As

Publication number Publication date
US20150113596A1 (en) 2015-04-23
US9350724B2 (en) 2016-05-24
JP2015079376A (ja) 2015-04-23

Similar Documents

Publication Publication Date Title
US8705072B2 (en) Server system and control method thereof, and computer-readable medium
US9288213B2 (en) System and service providing apparatus
US9369489B2 (en) Management device, management system, control method, and storage medium
JP6166596B2 (ja) 認可サーバーシステムおよびその制御方法、並びにプログラム
JP6141076B2 (ja) システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム
US7444519B2 (en) Access control for federated identities
JP2018205840A (ja) システム、その方法およびそのプログラム
JP5743786B2 (ja) サーバー装置、情報処理方法及びプログラム
JP5988699B2 (ja) 連携システム、その連携方法、情報処理システム、およびそのプログラム。
JP5422753B1 (ja) ポリシ管理システム、idプロバイダシステム及びポリシ評価装置
US20170041504A1 (en) Service providing system, information processing apparatus, program, and method for generating service usage information
JP6064636B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
WO2013138954A1 (zh) 一种计算机账户管理系统及其实现方法
JP2013242808A (ja) 情報処理装置、その制御方法、プログラム、及び画像処理装置
JP2006031064A (ja) セッション管理システム及び管理方法
JP6305005B2 (ja) 認証サーバーシステム、制御方法、そのプログラム
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
JP6041537B2 (ja) システムおよび制御方法およびプログラム
JP5955106B2 (ja) マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法
JP2016057737A (ja) サービス提供システム及びこれに用いる管理サーバー及び管理方法
US11528301B1 (en) Secure embedding of private content via a dynamically-set security policy
JP6128958B2 (ja) 情報処理サーバーシステム、制御方法、およびプログラム
JP2018063580A (ja) システム、サービス提供装置、システムの制御方法およびプログラム
JP2017170642A (ja) 情報処理システム、情報処理装置、情報処理方法、及びプログラム
JP2016206971A (ja) 連携システム、連携システムの制御方法、及びプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161014

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161014

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170731

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170905

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170921

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171114

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171204

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180306

R151 Written notification of patent or utility model registration

Ref document number: 6305005

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151