JP6643374B2 - サービス管理システム及びサービス管理方法 - Google Patents
サービス管理システム及びサービス管理方法 Download PDFInfo
- Publication number
- JP6643374B2 JP6643374B2 JP2018022821A JP2018022821A JP6643374B2 JP 6643374 B2 JP6643374 B2 JP 6643374B2 JP 2018022821 A JP2018022821 A JP 2018022821A JP 2018022821 A JP2018022821 A JP 2018022821A JP 6643374 B2 JP6643374 B2 JP 6643374B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- server
- authentication
- service management
- relay server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
本発明は、利用者に対してサービスを提供するためのサービス管理システム及びサービス管理方法に関する。
サービス提供サイトから、API(Application Programming Interface)を介して各種情報が提供されつつある。例えば、銀行が保有している顧客に関する金融情報の利用促進を図るために、他のシステムとの連携が検討されている(例えば、非特許文献1)。このような銀行システムから情報を取得するための銀行APIの公開も検討されている(例えば、非特許文献2)。この銀行APIは、残高照会や資金移動等、既存機能を個別にサービス化して、外部のアプリケーションから利用するために使用する。
そこで、事業者に対して、APIを利用して会計処理を支援する技術も検討されている(例えば、特許文献1)。この文献に記載された会計処理装置は、ウェブサーバと、ウェブサーバと接続されたDBと、DBと接続されたスクレイピングサーバとを備える。ウェブサーバは、スクレイピングサーバにより取り込んだウェブ明細データを識別し、各取引を、各取引の取引内容の記載に基づいて、特定の勘定科目に仕訳する。ウェブサーバは、この際、取引内容の記載を形態素に分節し、各形態素に対応づけられた1又は複数の勘定科目の出現頻度を参照して、取引内容の記載が表す勘定科目を推測する。
また、権限の認可を行うためにOAuthによる認証を用いることもある。このOAuthは、ユーザの代理で、サーバにあるユーザのリソースへのアクセスを許可するための認証用のプロトコルである。OAuthを使用することで、エンドユーザはクライアントにユーザ名やパスワードを知らせることなく、リソースへの第三者アクセスを認可することができる。OAuthでは、ログインのために必要なユーザID及びパスワードを、ユーザ毎に割り当てるOAuth用トークン(アクセストークン)に置き換える。このOAuth用トークンにより、外部のサービスにはパスワードを知らせることなく、システム間の情報の共有が可能になる。
更に、ユーザの生体情報を用いたユーザ認証において、FIDO(登録商標)も検討されている。このFIDOでは、ユーザ端末に、予め登録された生体情報を用いて照合を行ない、照合を完了した場合、暗号化した認証情報であるFIDO用トークンを認証サーバに送信する。
株式会社みずほ銀行、「LINEでかんたん残高照会」、[online]、株式会社みずほ銀行ホームページ、[平成29年11月6日検索]、インターネット<http://www.mizuhobank.co.jp/net_shoukai/line/index.html>
全国銀行協会、「現代的な「金融業」のあり方」、2016年3月、[online]、金融調査研究会、[平成29年11月6日検索]、インターネット<http://www.zenginkyo.or.jp/fileadmin/res/news/news280341_1.pdf>
上述したAPIを利用すれば、決められた処理を呼び出すだけでサービスを利用できるため、システム開発の手間が省ける。しかしながら、サービス提供サイトで提供されているすべてのサービスについて、APIが準備されている訳ではない。API未対応の場合には、従来のユーザID及びパスワード等を用いたユーザ認証によりログインし、スクレイピングにより、サービスを利用する必要がある。特に、API対応済サービスの利用後にAPI未対応サービスを利用する場合、ログインが必要であり、手間がかかる。
また、OAuthを利用する場合、セキュリティが高い生体認証との組み合わせでの利用は想定されていなかった。
上記課題を解決するために、サービス管理システムは、クライアント端末と通信を行なう中継サーバに接続され、サービス提供を管理する。そして、前記サービス管理システムは、前記クライアント端末の利用者のユーザ認証の完了後に、前記中継サーバからアクセストークンを受信し、前記アクセストークンに基づいて、前記利用者のログイン状態を生成し、前記ログイン状態に基づいて、前記利用者が複数のサービスを利用可能なログイン画面のアドレス情報を、前記中継サーバに返信する。
本発明によれば、ユーザ情報を管理するサーバでユーザ認証を行なった認証結果を用いて、他のサーバが提供するサービスを利用することができる。
以下、図1〜図4を用いて、サービス管理システムの一実施形態を説明する。
図1に示すように、本実施形態では、ユーザ端末10、中継サーバ20、APIゲートウェイ30、認証サーバ40、銀行サーバ50を用いる。ここで、APIゲートウェイ30、銀行サーバ50が、サービス管理システムとして機能する。
図1に示すように、本実施形態では、ユーザ端末10、中継サーバ20、APIゲートウェイ30、認証サーバ40、銀行サーバ50を用いる。ここで、APIゲートウェイ30、銀行サーバ50が、サービス管理システムとして機能する。
ユーザ端末10は、銀行サーバ50を利用する顧客(ユーザ)が用いるコンピュータ端末(クライアント端末)である。ユーザ端末10は、ユーザ認証を行なうための生体情報取得部11、認証モジュール12を備える。生体情報取得部11は、利用者の生体情報(例えば、指紋等)を読み取り、その特徴量(生体識別情報)を算出するデバイスである。認証モジュール12は、ユーザ認証のためのデータを生成する。このユーザ認証には、FIDO(登録商標)を用いる。このため、ユーザ端末10に、生体情報取得部11で読み取った本人の生体識別情報を登録しておく。そして、認証時には、認証モジュール12が、登録されている生体識別情報を用いて照合を行なう。照合を完了した場合、認証モジュール12は、ユーザ秘密鍵を使って、暗号化した認証用シリアルデータ(生体認証データとしてのFIDO用トークン)を生成し、認証サーバ40に送信する。
中継サーバ20は、金融機関が提供する金融サービス(第1のサービス)を利用して新たなサービス(第2のサービス)を提供するサービスプロバイダのサーバコンピュータである。サービスプロバイダとしては、例えば、インターネットを介して金融サービスを提供する企業(所謂フィンテック企業)等がある。この中継サーバ20は、銀行サーバ50の金融サービスを利用するためのアクセストークン記憶部22を備える。このアクセストークン記憶部22には、ユーザIDに関連付けられ、ユーザが利用する銀行サーバ50の金融サービスについてのアクセストークンが記録される。
APIゲートウェイ30は、API(Application Programming Interface)を管理するゲートウェイサーバ(認可サーバ)である。このAPIゲートウェイ30は、金融サービスAPI31及びオートログインAPI32を備える。金融サービスAPI31は、銀行の顧客に対して各種サービス(例えば、残高照会)を提供する。オートログインAPI32は、金融サービスAPI31が用意されていないサービス(API未対応サービス)について、銀行サーバ50との間でログイン状態のセッションを生成する。このセッションを用いて、API未対応サービスにおける情報を提供する。
認証サーバ40は、ユーザ認証(ここでは、FIDO(登録商標))を実行するサーバコンピュータである。認証サーバ40では、ユーザ端末10から受信した認証用シリアルデータを、ユーザ公開鍵を使って検証し、検証の結果が正しければユーザ認証を完了する。このため、認証サーバ40は、ユーザIDに関連付けて、認証用シリアルデータを記録する認証情報記憶部42を備える。
銀行サーバ50は、顧客に対して金融サービスを提供する銀行のサーバコンピュータ(サービス提供サーバ)である。この銀行サーバ50は、顧客に対して金融サービスを提供するための内部APIを備える。銀行サーバ50は、銀行の顧客に関する情報を記憶した顧客情報記憶部52を備える。この顧客情報記憶部52には、各顧客を特定するためのユーザID、この顧客を認証するためのパスワードが記録されている。
図2を用いて、ユーザ端末10〜銀行サーバ50を構成する情報処理装置H10のハードウェア構成を説明する。情報処理装置H10は、通信インタフェースH11、入力装置H12、表示装置H13、記憶部H14、プロセッサH15を備える。なお、このハードウェア構成は一例であり、他のハードウェアにより実現することも可能である。
通信インタフェースH11は、他の装置との間で通信経路を確立して、データの送受信を実行するインタフェースであり、例えばネットワークインタフェースカードや無線インタフェース等である。
入力装置H12は、利用者等からの入力を受け付ける装置であり、例えばマウスやキーボード等である。表示装置H13は、各種情報を表示するディスプレイ等である。
記憶部H14は、ユーザ端末10〜銀行サーバ50の各種機能を実行するためのデータや各種プログラムを格納する記憶装置である。記憶部H14の一例としては、ROM、RAM、ハードディスク等がある。
プロセッサH15は、記憶部H14に記憶されるプログラムやデータを用いて、ユーザ端末10〜銀行サーバ50における各処理を制御する。プロセッサH15の一例としては、例えばCPUやMPU等がある。このプロセッサH15は、ROM等に記憶されるプログラムをRAMに展開して、各サービスのための各種プロセスを実行する。
(認証情報の登録処理)
まず、図3を用いて、認証情報の登録処理を説明する。ここでは、サービスプロバイダのサービスを利用するために生体識別情報を登録する。
まず、図3を用いて、認証情報の登録処理を説明する。ここでは、サービスプロバイダのサービスを利用するために生体識別情報を登録する。
ユーザ端末10は、ID/PW入力処理を実行する(ステップS1−1)。具体的には、サービスプロバイダのサービス利用を希望する顧客(ユーザ)は、ユーザ端末10を用いて、中継サーバ20にアクセスする。この場合、中継サーバ20は、ユーザ端末10のディスプレイに利用登録画面を出力する。この利用登録画面には、利用希望のサービスコードの選択欄、ユーザID、パスワードの入力欄が設けられている。この場合、利用登録画面において、利用希望のサービスコードを選択し、ユーザID、パスワードを入力する。そして、利用登録画面の送信ボタンが選択された場合、ユーザ端末10は、利用登録画面に設定されたサービスコード、ユーザID、パスワードを中継サーバ20に送信する。
次に、中継サーバ20は、中継処理を実行する(ステップS1−2)。具体的には、中継サーバ20は、サービスコードに対応して利用するAPIのAPIコードを特定する。そして、中継サーバ20は、アクセストークン発行要求を、APIゲートウェイ30に送信する。このアクセストークン発行要求には、APIコード、ユーザ端末10から取得したユーザID、パスワードに関するデータを含める。
次に、APIゲートウェイ30は、中継処理を実行する(ステップS1−3)。具体的には、APIゲートウェイ30は、中継サーバ20から取得したアクセストークン発行要求を、銀行サーバ50に転送する。
次に、銀行サーバ50は、ID/PW認証処理を実行する(ステップS1−4)。具体的には、銀行サーバ50は、APIゲートウェイ30から取得したアクセストークン発行要求のユーザID、パスワードが顧客情報記憶部52に記録されているかどうかを確認する。ユーザID、パスワードが顧客情報記憶部52に記録されていない場合には、サービス提供を拒否する。また、ユーザID、パスワードが顧客情報記憶部52に記録されている場合には、本人認証を完了する。
本人認証を完了した銀行サーバ50は、アクセストークンの発行指示処理を実行する(ステップS1−5)。具体的には、銀行サーバ50は、APIゲートウェイ30に対して、アクセストークンの発行指示を送信する。この発行指示には、APIコード、ユーザIDに関するデータを含める。
次に、APIゲートウェイ30は、アクセストークンの発行処理を実行する(ステップS1−6)。具体的には、APIゲートウェイ30は、発行指示を受けたユーザID、APIコード(利用可能APIコード)についてのアクセストークンを発行する。そして、APIゲートウェイ30は、ユーザID、アクセストークンを中継サーバ20に送信する。
次に、中継サーバ20は、アクセストークンの保持処理を実行する(ステップS1−7)。具体的には、中継サーバ20は、APIゲートウェイ30から受信したユーザID、アクセストークンをアクセストークン記憶部22に記録する。そして、中継サーバ20は、ユーザ端末10にアクセストークン発行通知を送信する。
アクセストークン発行通知を受信したユーザ端末10は、生体情報の取得処理を実行する(ステップS1−8)。具体的には、ユーザ端末10は、生体情報取得部11を用いて、生体情報の読み取りを指示するメッセージを、ディスプレイに出力する。ユーザは、生体情報取得部11において、本人の生体情報の読み取り操作を行なう。
次に、ユーザ端末10は、シリアルデータの生成処理を実行する(ステップS1−9)。具体的には、ユーザ端末10の認証モジュール12は、生体情報取得部11において読み取った生体情報を用いて、認証用シリアルデータを生成する。なお、認証用シリアルデータを生成するための情報は、生体情報に限定されるものではない。例えば、ユーザ端末10をユニークに特定できる端末固有情報を用いて、認証用シリアルデータを生成してもよい。
次に、ユーザ端末10は、シリアルデータ、IDの送信処理を実行する(ステップS1−10)。具体的には、ユーザ端末10は、認証用シリアルデータ、ユーザIDを中継サーバ20に送信する。
次に、中継サーバ20は、アクセストークンの登録確認処理を実行する(ステップS1−11)。具体的には、中継サーバ20は、ユーザ端末10から取得したユーザIDが、アクセストークン記憶部22に記録されていることを確認する。ユーザ端末10から取得したユーザIDが、アクセストークン記憶部22に記録されていない場合には、中継サーバ20は、サービス提供を拒否する。
一方、ユーザ端末10から取得したユーザIDが、アクセストークン記憶部22に記録されている場合、中継サーバ20は、シリアルデータ、IDの転送処理を実行する(ステップS1−12)。具体的には、中継サーバ20は、生体情報登録要求をAPIゲートウェイ30に送信する。この生体情報登録要求には、認証用シリアルデータ、ユーザIDに関するデータを含める。
次に、APIゲートウェイ30は、シリアルデータ、IDの転送処理を実行する(ステップS1−13)。具体的には、APIゲートウェイ30は、中継サーバ20から取得した生体情報登録要求を認証サーバ40に転送する。
次に、認証サーバ40は、シリアルデータ、IDの登録処理を実行する(ステップS1−14)。具体的には、認証サーバ40は、生体情報登録要求に含まれる認証用シリアルデータを、ユーザIDに関連付けて認証情報記憶部42に記録する。
(サービスの利用処理)
次に、図4を用いて、サービスの利用処理を説明する。
ここでは、ユーザ端末10は、生体情報の読取処理を実行する(ステップS2−1)。具体的には、ユーザがサービスプロバイダのサービスを利用する場合、ユーザ端末10を用いて、中継サーバ20にアクセスする。この場合、中継サーバ20は、ユーザ端末10のディスプレイに認証画面を出力する。この認証画面には、ユーザIDの入力、生体情報の読み取りを指示するメッセージが含まれる。ユーザは、ユーザIDを入力し、生体情報取得部11において、生体情報の読み取り操作を行なう。
次に、図4を用いて、サービスの利用処理を説明する。
ここでは、ユーザ端末10は、生体情報の読取処理を実行する(ステップS2−1)。具体的には、ユーザがサービスプロバイダのサービスを利用する場合、ユーザ端末10を用いて、中継サーバ20にアクセスする。この場合、中継サーバ20は、ユーザ端末10のディスプレイに認証画面を出力する。この認証画面には、ユーザIDの入力、生体情報の読み取りを指示するメッセージが含まれる。ユーザは、ユーザIDを入力し、生体情報取得部11において、生体情報の読み取り操作を行なう。
次に、ユーザ端末10は、シリアルデータ、IDの送信処理を実行する(ステップS2−2)。具体的には、ユーザ端末10は、読み取った生体情報の生体識別情報を用いて、認証用シリアルデータを生成する。そして、ユーザ端末10は、サービス利用要求を中継サーバ20に送信する。このサービス利用要求には、認証用シリアルデータ、ユーザIDに関するデータを含める。
次に、中継サーバ20は、アクセストークンの確認処理を実行する(ステップS2−3)。具体的には、中継サーバ20は、ユーザ端末10から取得したユーザIDが、アクセストークン記憶部22に記録されていることを確認する。ユーザ端末10から取得したユーザIDが、アクセストークン記憶部22に記録されていない場合には、中継サーバ20は、サービス提供を拒否する。
ユーザ端末10から取得したユーザIDが、アクセストークン記憶部22に記録されている場合、中継サーバ20は、シリアルデータ、IDの転送処理を実行する(ステップS2−4)。具体的には、中継サーバ20は、生体認証要求をAPIゲートウェイ30に送信する。この生体認証要求には、認証用シリアルデータ、ユーザIDに関するデータを含める。
次に、APIゲートウェイ30は、シリアルデータ、IDの転送処理を実行する(ステップS2−5)。具体的には、APIゲートウェイ30は、中継サーバ20から取得した生体認証要求を認証サーバ40に転送する。
次に、認証サーバ40は、シリアルデータ、IDの認証処理を実行する(ステップS2−6)。具体的には、認証サーバ40は、認証情報記憶部42を用いて、ユーザIDに関連付けられた認証用シリアルデータを確認する。認証サーバ40は、認証結果を中継サーバ20に返信する。認証情報記憶部42において、ユーザIDに関連付けられた認証用シリアルデータが登録されていない場合には、認証結果に認証不可フラグを含める。一方、認証情報記憶部42において、ユーザIDに関連付けられた認証用シリアルデータが登録されている場合には、認証結果に認証完了フラグを含める。
次に、中継サーバ20は、オートログインAPI呼出処理を実行する(ステップS2−7)。具体的には、中継サーバ20は、認証サーバ40から取得した認証結果に認証不可フラグが含まれている場合には、サービス提供を拒否する。一方、認証結果に認証完了フラグが含まれている場合には、中継サーバ20は、オートログインAPIの利用要求を、APIゲートウェイ30に送信する。この利用要求には、ユーザIDに関するデータを含める。
次に、APIゲートウェイ30は、アクセストークンの確認処理を実行する(ステップS2−8)。具体的には、APIゲートウェイ30は、利用要求に応じて、オートログインAPIを呼び出す。このオートログインAPIは、オートログイン要求に含まれるユーザIDに関連付けられたアクセストークンを確認する。
次に、APIゲートウェイ30は、ID送信処理を実行する(ステップS2−9)。具体的には、APIゲートウェイ30は、オートログイン要求を銀行サーバ50に送信する。このオートログイン要求には、ユーザIDに関するデータを含める。
次に、銀行サーバ50は、IDに基づいた認証処理を実行する(ステップS2−10)。具体的には、銀行サーバ50の内部APIは、顧客情報記憶部52に、ユーザIDが登録されているかどうかを確認する。
次に、銀行サーバ50は、他の認証処理のスキップ処理を実行する(ステップS2−11)。具体的には、銀行サーバ50は、顧客情報記憶部52に、ユーザIDが登録されていることを確認した場合、パスワード等を用いた他の認証は省略し、ユーザID及びパスワードを用いた認証処理に準じたログインを許可する。
次に、銀行サーバ50は、トップ画面URLの返信処理を実行する(ステップS2−12)。具体的には、銀行サーバ50は、トップ画面のURL(トップ画面URL)を中継サーバ20に返信する。このトップ画面には、ユーザID及びパスワードを用いてログインしたときに出力されるログインメニューの各要素が含まれる。
次に、中継サーバ20は、トップ画面URLの取得処理を実行する(ステップS2−13)。具体的には、中継サーバ20は、トップ画面URLを取得する。この場合、中継サーバ20は、銀行サーバ50との間で、本人認証済みのセッションを維持する。
次に、中継サーバ20は、トップ画面の要求処理を実行する(ステップS2−14)。具体的には、中継サーバ20は、取得したトップ画面URLを用いて、トップ画面(ログイン画面)を要求する。
次に、銀行サーバ50は、トップ画面の送信処理を実行する(ステップS2−15)。具体的には、銀行サーバ50は、トップ画面URLに対応したトップ画面を中継サーバ20に送信する。
次に、中継サーバ20は、トップ画面の要求処理を実行する(ステップS2−14)。具体的には、中継サーバ20は、取得したトップ画面URLを用いて、トップ画面(ログイン画面)を要求する。
次に、銀行サーバ50は、トップ画面の送信処理を実行する(ステップS2−15)。具体的には、銀行サーバ50は、トップ画面URLに対応したトップ画面を中継サーバ20に送信する。
次に、中継サーバ20は、スクレイプ処理を実行する(ステップS2−16)。具体的には、中継サーバ20は、トップ画面URLを用いてトップ画面を解析し、トップ画面に含まれる要素を抽出する。
次に、中継サーバ20は、サービス画面の要求処理を実行する(ステップS2−17)。具体的には、中継サーバ20は、抽出した要素に基づいて、サービス画面を取得するためのURLを特定する。そして、中継サーバ20は、特定したURLを用いて、銀行サーバ50にサービス画面を要求する。
次に、中継サーバ20は、サービス画面の要求処理を実行する(ステップS2−17)。具体的には、中継サーバ20は、抽出した要素に基づいて、サービス画面を取得するためのURLを特定する。そして、中継サーバ20は、特定したURLを用いて、銀行サーバ50にサービス画面を要求する。
次に、銀行サーバ50は、サービス画面の返信処理を実行する(ステップS2−18)。具体的には、銀行サーバ50は、画面要求を受けたサービス画面を、中継サーバ20に返信する。
次に、中継サーバ20は、スクレイプ処理を実行する(ステップS2−19)。具体的には、中継サーバ20は、取得したサービス画面を解析し、サービス画面に含まれる要素を抽出する。そして、中継サーバ20は、抽出した要素を用いて、ユーザ提供画面を構築し、ユーザ端末10に送信する。
次に、ユーザ端末10は、画面表示処理を実行する(ステップS2−20)。具体的には、ユーザ端末10は、ユーザ提供画面を出力する。
次に、中継サーバ20は、スクレイプ処理を実行する(ステップS2−19)。具体的には、中継サーバ20は、取得したサービス画面を解析し、サービス画面に含まれる要素を抽出する。そして、中継サーバ20は、抽出した要素を用いて、ユーザ提供画面を構築し、ユーザ端末10に送信する。
次に、ユーザ端末10は、画面表示処理を実行する(ステップS2−20)。具体的には、ユーザ端末10は、ユーザ提供画面を出力する。
以上、本実施形態によれば、以下のような効果を得ることができる。
(1)本実施形態によれば、銀行サーバ50におけるID/PW認証処理(ステップS1−4)を完了した場合、APIゲートウェイ30は、アクセストークンの発行処理を実行する(ステップS1−6)。中継サーバ20は、アクセストークンを保持し(ステップS1−7)、ユーザ端末10からシリアルデータ、IDを取得し、認証サーバ40において、シリアルデータ、IDを登録する。これにより、OAuthで利用されているアクセストークンと、生体認証で利用されるシリアルデータとを関連付けることができる。
(1)本実施形態によれば、銀行サーバ50におけるID/PW認証処理(ステップS1−4)を完了した場合、APIゲートウェイ30は、アクセストークンの発行処理を実行する(ステップS1−6)。中継サーバ20は、アクセストークンを保持し(ステップS1−7)、ユーザ端末10からシリアルデータ、IDを取得し、認証サーバ40において、シリアルデータ、IDを登録する。これにより、OAuthで利用されているアクセストークンと、生体認証で利用されるシリアルデータとを関連付けることができる。
(2)本実施形態によれば、ユーザ端末10からシリアルデータ、IDを取得した中継サーバ20は、アクセストークンの確認処理(ステップS2−3)、シリアルデータ、IDの転送処理(ステップS2−4)を実行する。認証サーバ40は、APIゲートウェイ30から転送されたシリアルデータ、IDの認証処理を実行する(ステップS2−6)。これにより、アクセストークンを有するユーザについて、生体認証を行なうことができる。
(3)本実施形態によれば、中継サーバ20は、オートログインAPI呼出処理を実行する(ステップS2−7)。APIゲートウェイ30は、アクセストークンの確認処理(ステップS2−8)、ID送信処理(ステップS2−9)を実行する。銀行サーバ50は、IDに基づいた認証処理(ステップS2−10)、トップ画面URLの返信処理(ステップS2−12)を実行する。中継サーバ20は、トップ画面URLの取得処理を実行する(ステップS2−13)。これにより、オートログインAPIにより、銀行サーバ50においてログイン状態のセッションを生成することができる。そして、中継サーバ20は、このトップ画面を用いたスクレイプ処理(ステップS2−16)により、サービス画面を取得し、このサービス画面を用いたスクレイプ処理(ステップS2−19)により、ユーザ端末10に、ユーザ提供画面を出力する。従って、API未対応サービスについて、ログインメニューから任意の要素にアクセスできる。
本実施形態は、以下のように変更して実施することができる。本実施形態及び以下の変更例は、技術的に矛盾しない範囲で互いに組み合わせて実施することができる。
・上記実施形態では、生体認証はFIDO(登録商標)認証に限定されるものではない。また、銀行サーバ50の金融サービスを中継サーバ20が、ユーザの代理で利用する場合の認証は、OAuthに限定されるものではない。
・上記実施形態では、生体認証はFIDO(登録商標)認証に限定されるものではない。また、銀行サーバ50の金融サービスを中継サーバ20が、ユーザの代理で利用する場合の認証は、OAuthに限定されるものではない。
・上記実施形態では、銀行サーバ50における金融サービスの利用に適用したが、適用対象は金融サービスに限定されるものではなく、各種サービスに適用することができる。具体的には、ユーザ情報を管理するサーバ(第1のサーバ)でユーザ認証を行なった認証結果を用いて、連携する他のサーバ(第2のサーバ)が提供する各種サービスを利用する場合に用いることができる。
・上記実施形態では、銀行サーバ50は、ID/PW認証処理を実行する(ステップS1−4)。ユーザが利用するサービスを提供するシステムにおける認証方法は、ID/PWに限定されるものではない。例えば、ここで、FIDO(登録商標)等の生体認証を用いることも可能である。
・上記実施形態では、ユーザ端末10は、ID/PW入力処理を実行する(ステップS1−1)。そして、中継サーバ20、APIゲートウェイ30は、中継処理(ステップS1−2,S1−3)を実行し、銀行サーバ50は、ID/PW認証処理を実行する(ステップS1−4)。銀行サーバ50が、ユーザID、パスワードを取得する方法は、これに限定されるものではない。例えば、中継サーバ20にアクセスしたユーザ端末10からのリダイレクトにより、銀行サーバ50が、ユーザ端末10からユーザID、パスワードを直接的に取得するようにしてもよい。この場合、リダイレクト時に、中継サーバ20を特定するための情報を含める。そして、銀行サーバ50は、ユーザ端末10から取得したユーザID、パスワードの認証結果に基づいて、中継サーバ20に対するアクセストークンの発行指示処理を実行する(ステップS1−5)。
10…ユーザ端末、11…生体情報取得部、12…認証モジュール、20…中継サーバ、22…アクセストークン記憶部、30…APIゲートウェイ、31…金融サービスAPI、32…オートログインAPI、40…認証サーバ、42…認証情報記憶部、50…銀行サーバ、52…顧客情報記憶部。
Claims (6)
- クライアント端末と通信を行なう中継サーバ及び認証サーバに接続され、サービス提供を管理するサービス管理システムであって、
前記サービス管理システムが、
前記中継サーバから、前記クライアント端末の利用者のユーザ認証情報が前記認証サーバに送信され、前記認証サーバにおいて前記クライアント端末の利用者のユーザ認証の完了後に、前記中継サーバからアクセストークンに関連付けられたユーザIDを受信し、
前記ユーザIDに関連付けられたアクセストークンに基づいて、前記利用者のログイン状態を生成し、
前記ログイン状態に基づいて、前記利用者が複数のサービスを利用可能な各要素が含まれるメニュー画面のアドレス情報を、前記中継サーバに返信し、
前記中継サーバにおいて、前記アドレス情報に基づいたスクレイプ処理を実行させることを特徴とするサービス管理システム。 - 前記サービス管理システムは、認可サーバとサービス提供サーバとを含んで構成され、
前記認可サーバは、
前記中継サーバからアクセストークンに関連付けられたユーザIDを取得し、
前記サービス提供サーバに対して、ログイン状態の生成を要求することを特徴とする請求項1に記載のサービス管理システム。 - クライアント端末と通信を行なう中継サーバ及び認証サーバに接続されたサービス管理システムを用いて、サービスを提供する方法であって、
前記中継サーバは、
前記クライアント端末の利用者のユーザ認証情報を前記認証サーバに送信し、
前記認証サーバからユーザ認証結果を取得し、前記ユーザ認証結果においてユーザ認証の完了情報を取得した場合、前記サービス管理システムにアクセストークンに関連付けられたユーザIDを送信し、
前記サービス管理システムは、前記ユーザIDに関連付けられたアクセストークンに基づいて、前記利用者のログイン状態を生成し、
前記ログイン状態に基づいて、前記利用者が複数のサービスを利用可能な各要素が含まれるメニュー画面のアドレス情報を、前記中継サーバに返信し、
前記中継サーバは、前記アドレス情報に基づいてスクレイプ処理を実行することを特徴とするサービス管理方法。 - 前記サービス管理システムは、認可サーバとサービス提供サーバとを含んで構成され、
前記認可サーバは、
前記中継サーバからアクセストークンに関連付けられたユーザIDを取得し、
前記サービス提供サーバに対して、ログイン状態の生成を要求することを特徴とする請求項3に記載のサービス管理方法。 - 前記中継サーバは、
ユーザIDと関連付けて前記アクセストークンをアクセストークン記憶部に記録し、
前記クライアント端末から、前記利用者の生体認証情報に基づく生体認証データ及びユーザIDを取得し、前記ユーザIDと関連付けられたアクセストークンが前記アクセストークン記憶部に記録されている場合、前記生体認証データ及びユーザIDを前記認証サーバに送信して記憶させ、
新たなアクセスにおいて、前記クライアント端末から生体認証データを取得して、前記認証サーバに転送し、前記認証サーバから前記生体認証データを用いたユーザ認証結果を取得することを特徴とする請求項3又は4に記載のサービス管理方法。 - 前記中継サーバは、前記クライアント端末から、生体識別情報をユーザ秘密鍵で暗号化して受信し、
前記生体識別情報を用いてユーザ認証を行なう認証サーバから、ユーザ公開鍵で復号した生体識別情報を用いてユーザ認証を行なった認証結果を取得し、
前記認証結果に基づいて、アクセストークンに関連付けられたユーザIDを用いて、前記サービス管理システムにログインすることを特徴とする請求項5に記載のサービス管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018022821A JP6643374B2 (ja) | 2018-02-13 | 2018-02-13 | サービス管理システム及びサービス管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018022821A JP6643374B2 (ja) | 2018-02-13 | 2018-02-13 | サービス管理システム及びサービス管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019139547A JP2019139547A (ja) | 2019-08-22 |
| JP6643374B2 true JP6643374B2 (ja) | 2020-02-12 |
Family
ID=67694113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018022821A Active JP6643374B2 (ja) | 2018-02-13 | 2018-02-13 | サービス管理システム及びサービス管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6643374B2 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7301020B2 (ja) * | 2020-04-27 | 2023-06-30 | 株式会社日立製作所 | 決済処理システム、決済処理方法、および決済処理装置 |
| WO2022044330A1 (ja) * | 2020-08-31 | 2022-03-03 | 日本電気株式会社 | 情報提供装置、情報提供システム、情報提供方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
| JP7085700B1 (ja) | 2022-01-26 | 2022-06-16 | PayPay株式会社 | サービス提供システム、サービス提供方法、およびプログラム |
| JP7257008B1 (ja) | 2022-07-30 | 2023-04-13 | 株式会社マーケティングデザイン | 紹介システム及び紹介方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007249805A (ja) * | 2006-03-17 | 2007-09-27 | Internatl Business Mach Corp <Ibm> | 電子認証方法及び電子認証システム |
| JP5126968B2 (ja) * | 2008-02-26 | 2013-01-23 | 日本電信電話株式会社 | 認証・認可システム、認証・認可方法 |
| JP5170648B2 (ja) * | 2008-02-27 | 2013-03-27 | 日本電信電話株式会社 | 権限委譲システム、権限委譲方法および権限委譲プログラム |
| JP5721185B2 (ja) * | 2012-10-18 | 2015-05-20 | Necプラットフォームズ株式会社 | サービス提供システムおよびその通信方法 |
| JP6144096B2 (ja) * | 2013-04-22 | 2017-06-07 | みずほ情報総研株式会社 | 保育施設情報管理システム、保育施設情報管理方法及び保育施設情報管理プログラム |
-
2018
- 2018-02-13 JP JP2018022821A patent/JP6643374B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019139547A (ja) | 2019-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11222312B2 (en) | Method and system for a secure registration | |
| CN106716960B (zh) | 用户认证方法和系统 | |
| JP6643374B2 (ja) | サービス管理システム及びサービス管理方法 | |
| US8613055B1 (en) | Methods and apparatus for selecting an authentication mode at time of issuance of an access token | |
| US10212154B2 (en) | Method and system for authenticating a user | |
| JP5850587B1 (ja) | 個人情報口座バンキング | |
| US20160182523A1 (en) | Unified identity verification | |
| US20070198435A1 (en) | Method and system for providing online authentication utilizing biometric data | |
| US20080141353A1 (en) | Using audio in n-factor authentication | |
| US20130055362A1 (en) | Authenticating via mobile device | |
| US20150026062A1 (en) | Payment collection, aggregation and realization apparatuses, methods and systems | |
| JP6463803B2 (ja) | サービス管理システム及びサービス管理方法 | |
| JP2015518614A (ja) | データ及びアイデンティティの検証及び認証のためのシステム及び方法 | |
| JP6042766B2 (ja) | 電子取引システム、電子取引方法、及びプログラム | |
| KR20190111006A (ko) | 인증 서버, 인증 시스템 및 방법 | |
| KR20140081041A (ko) | 전화번호를 이용한 인터넷 사이트 서비스 접속 인증 방법 및 시스템 | |
| Berbecaru et al. | On enabling additional natural person and domain-specific attributes in the eIDAS network | |
| JPWO2010050406A1 (ja) | サービス提供システム | |
| JP6268242B1 (ja) | サーバおよびトークン発行方法 | |
| JP6446119B2 (ja) | サーバおよびトークン発行方法 | |
| Seak et al. | A centralized multimodal unified authentication platform for web-based application | |
| Saadatmandi | Enhanced attribute retrieval and provisioning through the eIDAS digital identity infrastructure | |
| Tsehaye | An Interoperable Identity Management Framework (In the Case of Ethiopian e-government) | |
| KR20090096591A (ko) | 어린이 고객 경제레벨을 이용한 게임 제공 방법 | |
| KR20100048851A (ko) | 고유통신번호를 이용한 결제수단 승인 처리 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190507 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190807 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191203 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200106 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6643374 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |