JP6306992B2 - Account management method, account management server, and account management system - Google Patents
Account management method, account management server, and account management system Download PDFInfo
- Publication number
- JP6306992B2 JP6306992B2 JP2014193926A JP2014193926A JP6306992B2 JP 6306992 B2 JP6306992 B2 JP 6306992B2 JP 2014193926 A JP2014193926 A JP 2014193926A JP 2014193926 A JP2014193926 A JP 2014193926A JP 6306992 B2 JP6306992 B2 JP 6306992B2
- Authority
- JP
- Japan
- Prior art keywords
- client terminal
- location information
- account
- account management
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims description 40
- 238000000034 method Methods 0.000 claims description 21
- 230000008569 process Effects 0.000 claims description 16
- 230000008859 change Effects 0.000 description 22
- 230000006870 function Effects 0.000 description 10
- 238000001514 detection method Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 4
- 239000000470 constituent Substances 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Description
本発明は、アカウント管理方法、アカウント管理サーバ、及びアカウント管理システムに関し、例えば、クラウドサービスを利用するためのアカウント管理に関するものである。 The present invention relates to an account management method, an account management server, and an account management system. For example, the present invention relates to account management for using a cloud service.
近年、各企業は営業力強化やワークライフバランス確保等の経営課題解決のため、いつでもどこでも仕事ができる環境の実現を目指し始めている。 In recent years, companies have begun to realize an environment where they can work anytime, anywhere to solve management issues such as strengthening sales capabilities and ensuring work-life balance.
特に、安価で社外からのアクセスが容易なSaaS・IaaSの利用が増加しているが、SaaS・IaaSを業務利用する際にセキュリティ面の不安を抱くユーザも多い。そのためセキュリティ対策の1つとして、SaaS・IaaSの認証IDを一括で管理し、状況に応じてアクセス制御をかける方式が考えられる。これに関連して、IPアドレスや日時等でアクセス制御をかけているID連携製品が販売されている。 In particular, the use of SaaS / IaaS that is inexpensive and easy to access from outside the company is increasing, but many users are worried about security when using SaaS / IaaS for business. Therefore, as one of the security measures, a method of collectively managing SaaS / IaaS authentication IDs and performing access control according to the situation can be considered. In connection with this, ID linked products that are subject to access control by IP address, date, etc. are on the market.
例えば、特許文献1には、相互運用可能な複数の互換性のないクラウドサービスを透過的に提供する連邦型クラウドサービス環境を提供し、クラウドからのクラウドサービスを求めるクラウドクライアントのためのフェデレーション方法が記載されている。特許文献1によれば、複数のクラウドサービスへアクセスする際のユーザの手間・煩雑さを低減することができる。 For example, Patent Document 1 discloses a federation-type cloud service environment that transparently provides a plurality of incompatible cloud services that are interoperable, and a federation method for a cloud client that seeks a cloud service from the cloud. Have been described. According to Patent Document 1, it is possible to reduce the trouble and complexity of the user when accessing a plurality of cloud services.
しかしながら、特許文献1のような従来技術では、クラウドサービスへのアクセスが、ネットワーク上の任意の場所から可能となっており、このため、サービス利用者の故意または過失により機密情報の漏洩につながる可能性がある。一方、あまりにセキュリティを重視しすぎるとユーザにとって使い勝手の悪いシステムとなってしまう危険性がある。従って、ユーザの利便性をなるべく犠牲にせずにセキュリティを担保できるような仕組みが望まれている。 However, in the conventional technology such as Patent Document 1, it is possible to access the cloud service from any location on the network, which may lead to leakage of confidential information due to the service user's intention or negligence. There is sex. On the other hand, if security is too important, there is a risk that the system becomes inconvenient for the user. Therefore, a mechanism that can ensure security without sacrificing user convenience as much as possible is desired.
本発明はこのような状況に鑑みてなされたものであり、情報漏洩リスクを低減し、クラウドサービス利用におけるセキュリティを確保するとともに、ユーザの利便性をも考慮した技術を提供するものである。 The present invention has been made in view of such circumstances, and provides a technique that reduces the risk of information leakage, ensures security in the use of a cloud service, and considers user convenience.
上記課題を解決するために、本発明では、クライアント端末から送信された位置情報に応じて、認証サーバがクラウドサービスにログインするアカウントを決定する処理が実行される。具体的には、クライアント端末が、認証サーバに、ユーザIDとクライアント端末の位置情報とを送信する。そして、認証サーバが、ユーザIDと位置情報と、位置情報によってセキュリティのレベルを規定するポリシ情報に従い、クラウドサービスにログインするためのアカウントを決定する。 In order to solve the above-described problem, in the present invention, processing is performed in which the authentication server determines an account for logging in to the cloud service in accordance with the location information transmitted from the client terminal. Specifically, the client terminal transmits a user ID and location information of the client terminal to the authentication server. Then, the authentication server determines an account for logging in to the cloud service in accordance with the user ID, location information, and policy information that defines the level of security by the location information.
本発明に関連する更なる特徴は、本明細書の記述、添付図面から明らかになるものである。また、本発明の態様は、要素及び多様な要素の組み合わせ及び以降の詳細な記述と添付される特許請求の範囲の様態により達成され実現される。 Further features related to the present invention will become apparent from the description of the present specification and the accompanying drawings. The embodiments of the present invention can be achieved and realized by elements and combinations of various elements and the following detailed description and appended claims.
本明細書の記述は典型的な例示に過ぎず、本発明の特許請求の範囲又は適用例を如何なる意味においても限定するものではないことを理解する必要がある。 It should be understood that the description herein is merely exemplary and is not intended to limit the scope of the claims or the application of the invention in any way.
本発明によれば、サービスを利用する端末の物理的な位置およびネットワーク上の位置に基づき、サービス利用権限をコントロールすることができるので、情報漏洩リスクを低減し、クラウドサービス利用におけるセキュリティを確保することができる。また、セキュリティレベルに従ってユーザはクラウドサービスを利用することができるので、ユーザの利便性にも資することができる。 According to the present invention, since the service use authority can be controlled based on the physical location of the terminal that uses the service and the location on the network, the risk of information leakage is reduced and the security in using the cloud service is ensured. be able to. In addition, since the user can use the cloud service according to the security level, it can contribute to the convenience of the user.
以下、添付図面を参照して本発明の実施形態について説明する。添付図面では、機能的に同じ要素は同じ番号で表示される場合もある。なお、添付図面は本発明の原理に則った具体的な実施形態と実装例を示しているが、これらは本発明の理解のためのものであり、決して本発明を限定的に解釈するために用いられるものではない。 Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings. In the accompanying drawings, functionally identical elements may be denoted by the same numbers. The attached drawings show specific embodiments and implementation examples based on the principle of the present invention, but these are for understanding the present invention and are not intended to limit the present invention. Not used.
本実施形態では、当業者が本発明を実施するのに十分詳細にその説明がなされているが、他の実装・形態も可能で、本発明の技術的思想の範囲と精神を逸脱することなく構成・構造の変更や多様な要素の置き換えが可能であることを理解する必要がある。従って、以降の記述をこれに限定して解釈してはならない。 This embodiment has been described in sufficient detail for those skilled in the art to practice the present invention, but other implementations and configurations are possible without departing from the scope and spirit of the technical idea of the present invention. It is necessary to understand that the configuration and structure can be changed and various elements can be replaced. Therefore, the following description should not be interpreted as being limited to this.
更に、本発明の実施形態は、後述されるように、汎用コンピュータ上で稼動するソフトウェアで実装しても良いし専用ハードウェア又はソフトウェアとハードウェアの組み合わせで実装しても良い。 Furthermore, as will be described later, the embodiment of the present invention may be implemented by software running on a general-purpose computer, or may be implemented by dedicated hardware or a combination of software and hardware.
なお、以後の説明では「テーブル」形式によって本発明の各情報について説明するが、これら情報は必ずしもテーブルによるデータ構造で表現されていなくても良く、リスト、DB、キュー等のデータ構造やそれ以外で表現されていても良い。そのため、データ構造に依存しないことを示すために「テーブル」、「リスト」、「DB」、「キュー」等について単に「情報」と呼ぶことがある。 In the following description, each information of the present invention will be described in a “table” format. However, the information does not necessarily have to be expressed in a data structure by a table, such as a data structure such as a list, a DB, a queue, or the like. It may be expressed as Therefore, “table”, “list”, “DB”, “queue”, etc. may be simply referred to as “information” to indicate that they do not depend on the data structure.
また、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ID」という表現を用いることが可能であり、これらについてはお互いに置換が可能である。 In addition, when explaining the contents of each information, the expressions “identification information”, “identifier”, “name”, “name”, “ID” can be used, and these can be replaced with each other. It is.
以下では「各機能部(例えば、ユーザ認証部)」を主語(動作主体)として本発明の実施形態における各処理について説明を行うが、各機能部はプログラムで構成され、プログラムはプロセッサによって実行されることで定められた処理をメモリ及び通信ポート(通信制御装置)を用いながら行うため、プロセッサを主語とした説明としてもよい。また、プログラムを主語として開示された処理は認証サーバ等の計算機、情報処理装置が行う処理としてもよい。プログラムの一部または全ては専用ハードウェアで実現してもよく、また、モジュール化されていても良い。各種プログラムはプログラム配布サーバや記憶メディアによって各計算機にインストールされてもよい。 In the following description, each process in the embodiment of the present invention will be described with “each functional unit (for example, user authentication unit)” as the subject (operation subject), but each functional unit is configured by a program, and the program is executed by the processor. Therefore, the processing may be described using the processor as the subject, since the processing determined by using the memory and the communication port (communication control device) is performed. Further, the processing disclosed with the program as the subject may be processing performed by a computer such as an authentication server or an information processing apparatus. Part or all of the program may be realized by dedicated hardware, or may be modularized. Various programs may be installed in each computer by a program distribution server or a storage medium.
<アカウント管理システムの構成>
図1は、本発明の実施形態に係るアカウント管理システム1000の概略構成を示す図である。アカウント管理システム1000は、認証サーバ(「管理サーバ」、「アカウント管理装置」、「アカウント管理サーバ」と称することも可能である)100と、クライアント端末200と、クラウドサービス300と、を有し、これらは、例えばインターネットなどのネットワーク400を介して接続されている。
<Configuration of account management system>
FIG. 1 is a diagram showing a schematic configuration of an
認証サーバ100は、クライアント端末200を利用するユーザのユーザIDを管理する。また、後述の図2で説明するように、認証サーバ100はクラウドサービス300を利用するためのサービスアカウントを管理する。
The
クライアント端末200は、クラウドサービス300を利用する。クライアント端末200は、クラウドサービス300へログインするためには認証サーバ100に対してユーザIDを用いて認証を受ける必要がある。認証サーバ100の認証が成功すると、認証サーバ100は、クラウドサービス300へサービスアカウントのログイン処理を行う。その後、クライアント端末200は、サービスアカウントのログイン処理成功後にクラウドサービス300が利用可能になる。認証サーバ100がクライアント端末200とクラウドサービス300との通信の仲介をするため、クライアント端末200のユーザは、認証サーバ100への認証ID(ユーザID)しか知らず、クラウドサービス300自体のアカウントは知らない状態であることが前提となっている。クライアント端末200は、例えばパーソナルコンピュータ201やモバイル端末202などのコンピュータである。以下では総称してクライアント端末200とする。
The
クラウドサービス300は、例えばクライアント端末200がネットワーク400を介してデータを読み書きするクラウドストレージなどのサービスである。クラウドサービス300を提供している事業者は、認証サーバ100(およびその構成要素)やクライアント端末200が所属する事業者とは必ずしも同じではない。
The
<認証サーバの構成>
図2は、本発明の実施形態による認証サーバ100の詳細機能構成を示すブロック図である。認証サーバ100は、クラウドサービス300を利用するためのサービスアカウントを管理しており、ユーザ毎の認証に応じて、クラウドサービス300へサービスアカウントのログイン処理を行う。
<Configuration of authentication server>
FIG. 2 is a block diagram showing a detailed functional configuration of the
認証サーバ100は、各種プログラムを実行する演算部であるCPU(プロセッサ)101と、各種プログラムを格納するメモリ102と、指示を入力したり、演算結果を出力したりする入出力デバイス(入力デバイスとして、キーボード、マウス、マイク等、出力デバイスとしてディスプレイ、プリンタ、スピーカ等)103と、クライアント端末200やクラウドサービス300と通信するための通信デバイス104と、各種データを格納する記憶装置150と、を有している。
The
メモリ102は、プログラムとしての、外部サービス連携部110と、後述の図4で示されるポリシを管理するポリシ設定部120と、クライアント端末200から取得した位置情報(座標やIPアドレス)に基づいてクライアント端末200の位置(ポリシ名及びセキュリティレベル)を判定する端末位置判定部130と、クライアント端末200から端末の位置情報を受信する端末位置情報受信部140と、を有している。
The
外部サービス連携部110は、さらに、クライアント端末200から送信されてくるユーザIDを認証するユーザ認証部111と、ユーザ認証部111によるユーザ認証が完了した場合にクラウドサービス300へのアクセスを実現するためにどのアカウントでクラウドサービスを利用するかを判定するログインアカウント判定部112と、クラウドサービス300へのログインを処理するサービスログイン処理部113と、を備える。記憶装置150以外の機能部については、後述の図3以降で改めて説明する。
The external
記憶装置150は、クライアント端末200がクラウドサービス300を利用するためのサービスアカウントを管理するデータベースである。記憶装置150では、サービスアカウントでクラウドサービス300へログインするための認証情報(IDおよびパスワード)のみ管理される。その他のサービスアカウントの情報、例えばサービスの利用権限等の情報はクラウドサービス300で管理されているものとする。
The
また、記憶装置150は、ユーザ毎に設けたサービスアカウント管理テーブル151にクラウドサービス名およびサービスアカウントの組を1レコード単位として複数のレコードを格納する。
Further, the
記憶装置150は、ハードディスク装置などを用いて構成することができる。その他の機能部は、これらの機能を実現する回路デバイスなどのハードウェアを用いて構成することもできるし、図2に示されるように、各機能を実装したプログラムをCPU(Central Processing Unit)などの演算装置が実行することによって実現することもできる。プログラムによって実現する場合、これら機能部に相当するプログラムは、コンピュータが読取可能な記憶媒体(例えば、メモリ、ハードディスク、SSD(Solid State Drive)等の記録装置、ICカード、SDカード、DVD等の記録媒体)に格納することができる。
The
<クライアント端末の構成>
図3は、本発明の実施形態によるクライアント端末200の詳細機能構成を示すブロック図である。図3では、記憶装置240以外の各部は、ソフトウェア上の機能として実現されているが、ハードウェアとして構成されても良い。
<Configuration of client terminal>
FIG. 3 is a block diagram illustrating a detailed functional configuration of the
クライアント端末200は、各種プログラムを実行する演算部であるCPU(プロセッサ)201と、各種プログラムを格納するメモリ202と、各種データを格納する記憶装置240と、指示を入力したり、演算結果を出力したりする入出力デバイス(入力デバイスとして、キーボード、マウス、マイク等、出力デバイスとしてディスプレイ、プリンタ、スピーカ等)203と、認証サーバ100と通信するための通信デバイス204と、を有している。
The
メモリ202は、プログラムとしての、端末位置情報変化検知部210と、端末位置情報通知部220と、ネットワーク接続部230と、を格納している。
The
記憶装置240は、端末位置変化閾値情報241と、端末識別情報242と、認証サーバアドレス情報243と、を格納している。
The
端末位置情報変化検知部210は、クライアント端末200の位置変化を検知するための処理を実行するデバイス又はプログラムである。本明細書において、この「位置」は、クライアント端末200のネットワーク上の位置や物理的な位置、又はこれらの組み合わせを意味するものとする。例えば、ネットワーク接続部230に割り当てられたIPアドレスによるネットワーク上の位置、クライアント端末200が備えるGPS(Grobal Positioning System)装置により検出されたクライアント端末200の地球における物理的な位置、クライアント端末200が接続している無線LAN(Local Area Network)のアクセスポイントのSSID(Service Set ID)、MACアドレス等の情報に基づいたネットワーク的及び物理的な位置、又はこれらの位置の組み合わせ等が相当する。端末位置情報変化検知部210は、記憶装置240に格納される端末位置変化閾値情報241を参照し、自端末の位置の変化を検知する。すなわち、端末位置情報変化検知部210は、IPアドレスによるネットワーク上の位置及びGPSによる物理的な位置を端末位置変化閾値情報241と比較し、いずれかの位置が端末位置変化閾値情報241に記載されている条件を満たさなくなった場合に、位置が変化したと検知する。端末位置変化閾値情報241については後述する。
The terminal position information
端末位置情報通知部220は、端末位置情報変化検知部210によって検知された端末位置情報を認証サーバ100に通知する処理を実行するデバイス又はプログラムである。なお、端末位置の変化が認証サーバ100に通知されると、認証サーバ100の端末位置判定部130は、ポリシ(図4)152を参照してセキュリティレベルを判定する。そして、セキュリティレベルに変化があった場合、ログインアカウント判定部112は、サービスアカウント管理テーブル(図5)151を参照して、該当するセキュリティレベルに対応する当該ユーザのサービスアカウントIDを取得し、当該ユーザが使用するアカウントをシームレスに切り替える。アカウントが設定されていない場合には、ログインアカウント判定部112は、当該クライアント端末200を自動的にログアウトさせ、クラウドサービス300を利用できないようにする。ここでは、アカウントが切り替わったことは、クライアント端末200に通知されないようにしている。これにより、クライアント端末200における処理が一時的に中断されることがないため、ユーザはアカウントの切り替え処理を意識することなく端末を使用することができる。ただし、ユーザにアカウントの切り替えを通知しても良い。この場合、UI画面でアカウントの切り替えを知らせることになるが、ユーザによる切り替えの承認(例えば、OKボタンを押下やタッチした場合に承認とする)を待ってアカウントの切り替えを完了するようになる。
The terminal location
ネットワーク接続部230は、クライアント端末200とネットワーク400とを接続する装置であり、例えば有線LAN装置や無線LAN装置、3G(第3世代移動通信システム)無線装置、4G(第4世代移動通信システム)無線装置などが相当する。
The
記憶装置240は、本実施形態に係る通信制御の実現に必要とされる情報の記憶に使用される。例えば、端末位置変化閾値情報241、端末識別情報242、認証サーバアドレス情報243が記憶される。なお、記憶装置240には、不図示の任意の情報が格納されていてもよい。
The
端末位置変化閾値情報241は、端末位置情報変化検知部210がクライアント端末200(自端末)の位置に変化が発生したか否かを判断するために使用する情報である。端末位置変化閾値情報241には、例えば(1)企業の建屋が含まれる緯度・経度の範囲、(2)社内ネットワークにおいてクライアント端末200のネットワーク接続部230に割り当てられるIPアドレスの範囲、(3)その両方、などが記憶される。例えば、端末位置変化閾値情報241に、企業等ユーザが所属する組織の建屋が含まれる緯度・経度の範囲が記憶されている場合、クライアント端末200が備えるGPSの観測値が記憶されている所定の緯度・経度の範囲を外れたとき、端末位置情報変化検知部210は、クライアント端末200(自端末)の社内から社外への移動を検知する。
The terminal position
端末識別情報242は、クライアント端末200を一意に特定する情報であり、例えばクライアント端末200の端末固有番号、ユーザ名とパスワードの組、クライアント端末200のネットワーク接続部230のMACアドレス、これら情報の組み合わせ等が相当する。
The
認証サーバアドレス情報243は、認証サーバ100のIPアドレス又はドメイン名で与えられる。
The authentication
<ポリシ>
図4は、本発明の実施形態による、記憶装置150に格納されているポリシ152の構成例を示す図である。
<Policies>
FIG. 4 is a diagram illustrating a configuration example of the
ポリシ152は、ポリシ名501と、ネットワーク上の位置範囲502と、物理的位置範囲503と、セキュリティレベル504とで構成されるポリシ情報を複数格納している。図4では、例として3つのポリシ情報505〜507が示されている。
The
ポリシ情報505によると、ネットワーク接続部230に割り当てられたIPアドレスがネットワーク上の位置範囲502「192.168.0.0/24」に含まれ、かつ、クライアント端末200のGPSによる物理的な位置が物理的位置範囲503「建屋が含まれる緯度・経度の範囲」に含まれる場合、端末位置判定部130は、そのネットワークを「社内ネットワーク」と認識する。また、端末位置判定部130は、「社内ネットワーク」と認識された場合は、セキュリティレベル504を「低」と判断する。セキュリティレベル504については、後述の図5で説明する。ポリシ情報505に該当する状況としては、例えば、社内において、クライアント端末200が利用されており、クライアント端末200が社内のWi−Fiアクセスポイントに接続している場合が挙げられる。
According to the
また、ポリシ情報506によると、ネットワーク接続部230に割り当てられたIPアドレスがネットワーク上の位置範囲502「10.0.0.0/24」に含まれ、かつ、クライアント端末200のGPSによる物理的な位置が任意の場所にある場合、端末位置判定部130は、そのネットワークを「許可ネットワーク」と認識する。また、「許可ネットワーク」と認識された場合、端末位置判定部130は、セキュリティレベル504を「中」と判断する。ポリシ情報506に該当する状況としては、例えば、クライアント端末200が社外で利用されているが、あらかじめ許可されたネットワークに接続している場合が挙げられる。
Further, according to the
ポリシ情報507によると、ネットワーク接続部230に割り当てられたIPアドレスによるネットワーク上の位置及びGPSによる物理的な位置に関わらず、端末位置判定部130は、そのネットワークを「社外ネットワーク」と認識する。また、「社外ネットワーク」と認識された場合は、端末位置判定部130は、サービスアカウント管理テーブル151のセキュリティレベル504を「高」と判断する。ポリシ情報507に該当する状況としては、社内ネットワークおよび社内ネットワークに当てはまらない任意のネットワークに接続している場合が挙げられる。
According to the
<サービスアカウント管理テーブル>
図5は、本発明の実施形態による、記憶装置150に格納されているサービスアカウント管理テーブル151の構成例を示す図である。
<Service account management table>
FIG. 5 is a diagram showing a configuration example of the service account management table 151 stored in the
サービスアカウント管理テーブル151は、クラウドサービス名601と、ユーザID602と、セキュリティレベル603と、サービスアカウントID604とで構成されるアカウント情報を複数格納している。図5では、例として3つのアカウント情報605〜607が示されている。
The service account management table 151 stores a plurality of account information composed of a
アカウント情報605〜607は、いずれもクラウドサービス名601「Service1」をユーザID602「user_A@xx」のユーザが利用する際に、サービスにログインするアカウントを決めるために参照される情報である。
The
アカウント情報605では、セキュリティレベル603に関して、ポリシ152のセキュリティレベル504が「低」と判断された場合に参照される情報であり、サービスへログインするサービスアカウント604は「account1_1@yy」が選択される。
The
アカウント情報606では、セキュリティレベル603に関して、ポリシ152のセキュリティレベル504が「中」と判断された場合に参照される情報であり、サービスへログインするサービスアカウント604は「account1_2@yy」が選択される。
The
アカウント情報607では、セキュリティレベル603に関して、ポリシ152のセキュリティレベル504が「高」と判断された場合に参照される情報であり、サービスへログインするアカウント604には該当するサービスアカウントが登録されていないため、サービスのログインは行わないと判定する。
The
<クラウドサービスログイン処理の概要>
図6は、クライアント端末200が認証サーバ100へ認証処理を行い、クラウドサービス300へログインするまでの処理概要を説明するための図である。ここでは社内ネットワークからクラウドサービス300を利用する場合を想定する。
<Overview of Cloud Service Login Process>
FIG. 6 is a diagram for explaining an outline of processing until the
クライアント端末200を持つユーザは、ユーザID「user_A@xx」、パスワード「user_A_PW」、利用するサービス名「Service1」、位置情報を認証サーバ100に送信し、ユーザ認証を行う。
A user having the
認証サーバ100は、ユーザ認証に成功すると、クライアント端末200から送信された位置情報を基に、ポリシ152からセキュリティレベルを取得する。また、認証サーバ100は、クライアント端末200から送信されたユーザID、サービス名とポリシ152から取得したセキュリティレベル504を基に、クラウドサービス300へログインするサービスアカウントをサービスアカウント管理テーブル151により決定する。そして、認証サーバ100は、決定したサービスアカウントのID・パスワード(パスワードは必ずしも必要ない。また、ユーザは、通常当該パスワードについては知らない。)を用いてクラウドサービス「Service1」にログインする。
If the user authentication is successful, the
クラウドサービス300へのログインに成功すると、認証サーバ100は、クライアント端末200に、クラウドサービス300にアクセスするための情報(例えば、URL)を送信する。クラウドサービス300にアクセスするための情報を受信すると、クライアント端末200は、直接クラウドサービス300と通信して所望のサービスを受けることができるようになる。
When the login to the
<クラウドサービスログイン処理の詳細>
図7は、クライアント端末200が認証サーバ100で認証を行い、クラウドサービス300にログインするまでの処理の詳細を説明するためのフローチャートである。以下、図7の各ステップについて説明する。
<Details of Cloud Service Login Process>
FIG. 7 is a flowchart for explaining details of processing until the
(i)ステップS701
クライアント端末200は、ユーザから入力された認証情報(ユーザIDと認証パスワード)、及び利用するクラウドサービス名の情報を、クライアント端末200のネットワーク上の位置情報と併せて、認証サーバ100に送信する。
(I) Step S701
The
(ii)ステップS702〜S703
認証サーバ100のユーザ認証部111は、クライアント端末200から受け取った認証情報を用いてユーザ認証を実施する(S702)。認証拒否する場合はその旨を示す応答をクライアント端末200に送信し、クライアント端末200はユーザ認証に失敗した旨を示すダイアログを画面表示して、本フローチャートは終了する(S703)。認証許可する場合、処理はステップS704へ進む。
(Ii) Steps S702 to S703
The
(iii)ステップS704
端末位置判定部130は、クライアント端末200から受け取ったネットワーク上の位置情報とポリシ152を基にセキュリティレベルを判定する。
(Iii) Step S704
The terminal
(iv)ステップS705
認証サーバ100のログインアカウント判定部112は、クライアント端末200から受け取った認証情報、クラウドサービス名およびステップS704で判定したセキュリティレベルを基に、記憶装置150のサービスアカウント管理テーブル151からサービスのログインアカウントを決定する。
(Iv) Step S705
The login
(v)ステップS706〜707
サービスアカウント管理テーブル151において、条件に合致するサービスのログインアカウントが存在する場合は、処理は、ステップS708へ進む。条件に合致するサービスのログインアカウントが存在しない場合は、ログインアカウント判定部112は、クラウドサービス300へのログインに失敗した旨をクライアント端末200に送信する。クライアント端末200は、ログインに失敗した旨を示すダイアログを画面表示して、本フローチャートは終了する(S707)。
(V) Steps S706-707
If there is a service login account that matches the conditions in the service account management table 151, the process proceeds to step S708. If there is no login account for the service that matches the conditions, the login
(vi)ステップS708
認証サーバ100のサービスログイン処理部113は、ステップS705で判定したログインアカウントでクラウドサービス300にログイン処理を実行する。
(Vi) Step S708
The service
<本発明のまとめ>
(i)以上のように、本発明の実施形態における認証サーバ100は、ユーザの認証情報とクラウドサービス300の複数のアカウント情報を関連付けて管理する。また、クライアント端末200からのリクエストに応じて、各ユーザの認証情報およびクライアント端末200の位置情報に対応するサービスアカウントを決定し、クラウドサービス300へログイン処理を行う。これにより、社内ネットワークではフルアクセス権限のアカウントでログインし、社外ネットワークではアップロード権限のみのアカウントでログインするといったアカウント制御が可能となりセキュリティを高めることができる。
<Summary of the present invention>
(I) As described above, the
本発明では、1つの認証IDに対して、サービス利用権限の異なる複数のアカウントを紐づけることが可能となる。また、サービス利用時の認証において、PCやモバイル端末の物理的な位置情報およびネットワーク上の位置情報に基づきログインするサービスアカウントをコントロールすることを可能にする。例えば、サービスにはダウンロード権限を持つアカウントAとダウンロード権限を持たないアカウントBが存在する。社内のPCから認証サーバで認証を行うと、サービスにはアカウントAでログインする。一方、自宅から認証サーバで認証を行うと、サービスにはアカウントBでログインをする。また、社内ネットワークで認証を行った後に社外ネットワークに切り替わった場合は、ネットワークの切り替えのタイミングで再度認証を行い、サービスにはアカウントBで再ログインする。これにより、社内でアップロードされた機密ファイルは社外ではダウンロード不可とすることで機密情報の流出を防止し、クラウドサービス利用のセキュリティを向上させる。 In the present invention, it is possible to link a plurality of accounts having different service use authorities to one authentication ID. Further, it is possible to control the service account to log in based on the physical location information of the PC or mobile terminal and the location information on the network in authentication when using the service. For example, the service includes an account A having download authority and an account B having no download authority. When authentication is performed with an authentication server from an in-house PC, the service is logged in with account A. On the other hand, when authentication is performed from the home by the authentication server, the service is logged in with the account B. In addition, when switching to the external network after performing authentication in the in-house network, authentication is performed again at the network switching timing, and the service is logged in again with the account B. As a result, confidential files uploaded inside the company cannot be downloaded outside the company, thereby preventing leakage of confidential information and improving the security of cloud service usage.
(ii)本発明は、実施形態の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をシステム或は装置に提供し、そのシステム或は装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。 (Ii) The present invention can also be realized by software program codes that implement the functions of the embodiments. In this case, a storage medium in which the program code is recorded is provided to the system or apparatus, and the computer (or CPU or MPU) of the system or apparatus reads the program code stored in the storage medium. In this case, the program code itself read from the storage medium realizes the functions of the above-described embodiments, and the program code itself and the storage medium storing the program code constitute the present invention. As a storage medium for supplying such program code, for example, a flexible disk, CD-ROM, DVD-ROM, hard disk, optical disk, magneto-optical disk, CD-R, magnetic tape, nonvolatile memory card, ROM Etc. are used.
また、プログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。さらに、記憶媒体から読み出されたプログラムコードが、コンピュータ上のメモリに書きこまれた後、そのプログラムコードの指示に基づき、コンピュータのCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。 Also, based on the instruction of the program code, an OS (operating system) running on the computer performs part or all of the actual processing, and the functions of the above-described embodiments are realized by the processing. May be. Further, after the program code read from the storage medium is written in the memory on the computer, the computer CPU or the like performs part or all of the actual processing based on the instruction of the program code. Thus, the functions of the above-described embodiments may be realized.
さらに、実施の形態の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することにより、それをシステム又は装置のハードディスクやメモリ等の記憶手段又はCD−RW、CD−R等の記憶媒体に格納し、使用時にそのシステム又は装置のコンピュータ(又はCPUやMPU)が当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしても良い。 Further, by distributing the program code of the software that realizes the functions of the embodiment via a network, it is stored in a storage means such as a hard disk or memory of a system or apparatus, or a storage medium such as a CD-RW or CD-R And the computer (or CPU or MPU) of the system or apparatus may read and execute the program code stored in the storage means or the storage medium when used.
最後に、ここで述べたプロセス及び技術は本質的に如何なる特定の装置に関連することはなく、コンポーネントの如何なる相応しい組み合わせによってでも実装できることを理解する必要がある。更に、汎用目的の多様なタイプのデバイスがここで記述した教授に従って使用可能である。ここで述べた方法のステップを実行するのに、専用の装置を構築するのが有益であることが判るかもしれない。また、実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。本発明は、具体例に関連して記述したが、これらは、すべての観点に於いて限定の為ではなく説明の為である。本分野にスキルのある者には、本発明を実施するのに相応しいハードウェア、ソフトウェア、及びファームウエアの多数の組み合わせがあることが解るであろう。例えば、記述したソフトウェアは、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。 Finally, it should be understood that the processes and techniques described herein are not inherently related to any particular apparatus, and can be implemented by any suitable combination of components. In addition, various types of devices for general purpose can be used in accordance with the teachings described herein. It may prove useful to build a dedicated device to perform the method steps described herein. Various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiments. For example, some components may be deleted from all the components shown in the embodiment. Furthermore, constituent elements over different embodiments may be appropriately combined. Although the present invention has been described with reference to specific examples, these are in all respects illustrative rather than restrictive. Those skilled in the art will appreciate that there are numerous combinations of hardware, software, and firmware that are suitable for implementing the present invention. For example, the described software can be implemented in a wide range of programs or script languages such as assembler, C / C ++, perl, shell, PHP, Java (registered trademark).
さらに、上述の実施形態において、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていても良い。 Furthermore, in the above-described embodiment, control lines and information lines are those that are considered necessary for explanation, and not all control lines and information lines on the product are necessarily shown. All the components may be connected to each other.
加えて、本技術分野の通常の知識を有する者には、本発明のその他の実装がここに開示された本発明の明細書及び実施形態の考察から明らかになる。記述された実施形態の多様な態様及び/又はコンポーネントは、データを管理する機能を有するコンピュータ化ストレージシステムに於いて、単独又は如何なる組み合わせでも使用することが出来る。明細書と具体例は典型的なものに過ぎず、本発明の範囲と精神は後続する請求範囲で示される。 In addition, other implementations of the invention will be apparent to those skilled in the art from consideration of the specification and embodiments of the invention disclosed herein. Various aspects and / or components of the described embodiments can be used singly or in any combination in a computerized storage system capable of managing data. The specification and specific examples are merely exemplary, and the scope and spirit of the invention are indicated in the following claims.
100・・・認証サーバ、
110・・・外部サービス連携部
120・・・ポリシ設定部
130・・・端末位置判定部
140・・・端末位置情報受信部
150・・・記憶装置(データベース)
151・・・サービスアカウント管理テーブル
152・・・ポリシ
200・・・クライアント端末
210・・・端末位置情報変化検知部
220・・・端末位置情報通知部
230・・・ネットワーク接続部
240・・・記憶装置
300・・・クラウドサービス
400・・・ネットワーク。
100: Authentication server,
DESCRIPTION OF
151 ... service account management table 152 ...
Claims (9)
前記クライアント端末が、認証サーバに、ユーザIDと前記クライアント端末の位置情報とを送信するステップと、
前記認証サーバが、前記ユーザIDと前記位置情報と、前記位置情報によってセキュリティのレベルを規定するポリシ情報に従い、前記クラウドサービスにログインするためのアカウントを決定するステップと、
前記クライアント端末の位置が変化したことを検知した場合に前記ポリシ情報に従い前記アカウントをシームレスに切り替えるステップと、
を含むことを特徴とするアカウント管理方法。 An account management method in which an authentication server determines an account for logging in to a cloud service according to location information transmitted from a client terminal,
The client terminal transmits a user ID and location information of the client terminal to an authentication server;
The authentication server determines an account for logging in to the cloud service in accordance with the user ID, the location information, and policy information that defines a security level according to the location information;
Seamlessly switching the account according to the policy information when detecting that the position of the client terminal has changed;
An account management method comprising:
前記位置情報は、ネットワーク上の位置情報であることを特徴とするアカウント管理方法。 In claim 1,
The account management method, wherein the location information is location information on a network.
前記位置情報は、物理的位置情報であることを特徴とするアカウント管理方法。 In claim 1,
The account management method, wherein the location information is physical location information.
アカウント管理のためのプログラムを格納するメモリと、
アカウント管理処理を実行するプロセッサと、を有し、
前記プロセッサは、
前記クライアント端末をユーザ認証する際に、前記クライアント端末からユーザIDと、前記クライアント端末の位置情報と、を受信する処理と、
前記ユーザID及び前記位置情報と、前記位置情報によってセキュリティのレベルを規定するポリシ情報に従い、前記クラウドサービスにログインするためのアカウントを決定する処理と、
前記クライアント端末の位置が変化したことを検知した場合に前記ポリシ情報に従い前記アカウントをシームレスに切り替える処理と、
を実行することを特徴とするアカウント管理サーバ。 An account management server that determines an account to log in to the cloud service according to the location information transmitted from the client terminal,
A memory for storing a program for account management;
A processor for executing account management processing;
The processor is
A process of receiving a user ID and location information of the client terminal from the client terminal when authenticating the client terminal;
Processing for determining an account for logging in to the cloud service according to the user ID and the location information, and policy information that defines a security level by the location information;
A process of seamlessly switching the account according to the policy information when detecting that the position of the client terminal has changed;
An account management server characterized by executing
前記位置情報は、ネットワーク上の位置情報であることを特徴とするアカウント管理サーバ。 In claim 4,
The account management server, wherein the location information is location information on a network.
前記位置情報は、物理的位置情報であることを特徴とするアカウント管理サーバ。 In claim 4,
The account management server, wherein the location information is physical location information.
前記クライアント端末は、前記クラウドサービスにアクセスする際に、前記認証サーバに、前記クライアント端末のユーザIDと、前記クライアント端末の位置情報と、を送信し、
前記認証サーバは、前記ユーザIDと前記位置情報を前記クライアント端末から受信し、前記ユーザID及び前記位置情報と、前記位置情報によってセキュリティのレベルを規定するポリシ情報に従い、前記クラウドサービスにログインするためのアカウントを決定し、前記クライアント端末の位置が変化したことを検知した場合に前記ポリシ情報に従い前記アカウントをシームレスに切り替えることを特徴とするアカウント管理システム。 An account management system in which a client terminal, an authentication server, and a cloud service are connected via a network, and the authentication server determines an account for logging in to the cloud service according to location information transmitted from the client terminal. There,
When the client terminal accesses the cloud service, the client terminal transmits a user ID of the client terminal and location information of the client terminal to the authentication server,
The authentication server receives the user ID and the location information from the client terminal, and logs in to the cloud service according to the user ID, the location information, and policy information that defines a security level by the location information. An account management system characterized in that the account is seamlessly switched according to the policy information when it is detected that the position of the client terminal has changed .
前記位置情報は、ネットワーク上の位置情報であることを特徴とするアカウント管理システム。 In claim 7,
The account management system, wherein the location information is location information on a network.
前記位置情報は、物理的位置情報であることを特徴とするアカウント管理システム。 In claim 7,
The account management system, wherein the location information is physical location information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014193926A JP6306992B2 (en) | 2014-09-24 | 2014-09-24 | Account management method, account management server, and account management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014193926A JP6306992B2 (en) | 2014-09-24 | 2014-09-24 | Account management method, account management server, and account management system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016066186A JP2016066186A (en) | 2016-04-28 |
JP6306992B2 true JP6306992B2 (en) | 2018-04-04 |
Family
ID=55805485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014193926A Active JP6306992B2 (en) | 2014-09-24 | 2014-09-24 | Account management method, account management server, and account management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6306992B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6370350B2 (en) * | 2016-10-28 | 2018-08-08 | 株式会社三井住友銀行 | Authentication system, method, and program |
CN106685933B (en) | 2016-12-08 | 2020-06-19 | 腾讯科技(深圳)有限公司 | Authorization policy recommendation and device |
JP7200669B2 (en) * | 2018-12-27 | 2023-01-10 | コニカミノルタ株式会社 | Monitoring management device, its control method, and monitoring system |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5485385B2 (en) * | 2010-05-27 | 2014-05-07 | 京セラ株式会社 | Power line communication apparatus, security level setting method, and security level setting program |
JP6099384B2 (en) * | 2012-12-17 | 2017-03-22 | 三菱電機株式会社 | Information communication system, authentication apparatus, information communication system access control method, and access control program |
-
2014
- 2014-09-24 JP JP2014193926A patent/JP6306992B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016066186A (en) | 2016-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10747857B2 (en) | Event-based security challenges | |
JP6001816B1 (en) | Managing wireless network login password sharing | |
US10349206B2 (en) | Geofence profile management | |
JP6140177B2 (en) | Techniques for applying and sharing remote policies on mobile devices | |
US9160751B2 (en) | Mobile device management profile distribution | |
US11902268B2 (en) | Secure gateway onboarding via mobile devices for internet of things device management | |
US10887307B1 (en) | Systems and methods for identifying users | |
WO2012081404A1 (en) | Authentication system, authentication server, service provision server, authentication method, and computer-readable recording medium | |
US20140201808A1 (en) | Network system, mobile communication device and program | |
US20150379284A1 (en) | Issuing security commands to a client device | |
US10567388B1 (en) | Automatic account resource and policy decommissioning | |
US20150205593A1 (en) | Information processing device, system, information processing method and computer readable non-transitory medium | |
JP6470597B2 (en) | VPN communication terminal compatible with captive portal, communication control method thereof and program thereof | |
US11588681B2 (en) | Migration of managed devices to utilize management platform features | |
US10491589B2 (en) | Information processing apparatus and device coordination authentication method | |
US10382416B1 (en) | Techniques for detecting shared devices | |
US20150067772A1 (en) | Apparatus, method and computer-readable storage medium for providing notification of login from new device | |
US20110162033A1 (en) | Location based security over wireless networks | |
JP6306992B2 (en) | Account management method, account management server, and account management system | |
WO2019037521A1 (en) | Security detection method, device, system, and server | |
KR102071281B1 (en) | Method for intergraged authentication thereof | |
JP2022081506A (en) | Management system, control device, management method and program | |
US20150381622A1 (en) | Authentication system, authentication method, authentication apparatus, and recording medium | |
US11122040B1 (en) | Systems and methods for fingerprinting devices | |
US20240119133A1 (en) | Authorization between integrated cloud products using association |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170223 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171225 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180109 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180216 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180306 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180309 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6306992 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |