JP6719875B2 - 認証サーバ、認証方法およびプログラム - Google Patents

認証サーバ、認証方法およびプログラム Download PDF

Info

Publication number
JP6719875B2
JP6719875B2 JP2015171711A JP2015171711A JP6719875B2 JP 6719875 B2 JP6719875 B2 JP 6719875B2 JP 2015171711 A JP2015171711 A JP 2015171711A JP 2015171711 A JP2015171711 A JP 2015171711A JP 6719875 B2 JP6719875 B2 JP 6719875B2
Authority
JP
Japan
Prior art keywords
cookie
authentication
service
authentication server
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015171711A
Other languages
English (en)
Other versions
JP2017049745A (ja
Inventor
俊介 茂垣
俊介 茂垣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2015171711A priority Critical patent/JP6719875B2/ja
Priority to PCT/JP2016/003647 priority patent/WO2017038019A1/en
Priority to US15/754,537 priority patent/US20180241748A1/en
Publication of JP2017049745A publication Critical patent/JP2017049745A/ja
Application granted granted Critical
Publication of JP6719875B2 publication Critical patent/JP6719875B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、同一セキュリティドメイン内で複数のWebサービスを異なるサブドメインで提供している場合に、発行するクッキー(Cookie)のドメイン範囲を判定する方法に関する。
インターネット上で提供されているWebサービスにおいて、Webサービスが発行した情報をWebブラウザに保存するCookieという仕組みが使われている。一般的に認証機能で保護されたサーバへのアクセスは、認証が成功したことを示す認証トークンや認証セッションをCookieとしてクライアントのWebブラウザに保存しておき、そのCookieを利用して行われる。Webサービスを利用する際には、クライアントからサーバにCookieが送信されることで、サーバはユーザを特定し、サービスを提供する。また、Cookieには、セキュリティの観点から、Cookieが有効であるドメインを設定し、Cookie情報を取得できるWebサービスを限定する機能がある。Cookieにドメイン範囲が設定されていた場合、Webブラウザはそのドメイン範囲に一致するWebサービスに対してのみ、そのCookieを送信するようになる。
ここで、1つのドメイン内に複数のサービスの夫々をサブドメインとして提供する場合がある。例えば1つのドメイン“example.com”において、サービスA用サブドメイン“AAA.example.com”や、サービスB用サブドメイン“BBB.example.com”などが提供できる。Cookieの仕組みとして、各サービスは、自身のドメインに含まれる範囲でしかCookieを発行、取得出来ない。例えば、サービスAは、自サービスのサブドメイン“AAA.example.com”を範囲とするCookieと、自サービスのサブドメインが含まれるドメイン“example.com”を範囲とするCookieは発行、取得できる。しかし、サービスBのサブドメイン“BBB.example.com”を範囲としたCookieは発行、利用できない。そのため、いずれかのサブドメインのサービスにアクセスして認証した後に、異なるサブドメインのサービス利用時の認証をスキップするには、Cookie範囲をドメイン全体(“example.com”)とする必要がある。しかし、このようにCookie範囲を広くすると、同じドメイン内の全サービスがCookie情報を取得出来るようになる。そのため、意図しないサービスも情報を取得出来てしまうという課題がある。
この課題を解決する手段として、特許文献1の方法が提案されている。従来技術では、サブドメインである認証サービスにログインすると、認証サービスが提供されているサブドメインのみを設定したCookieと、ドメイン全体を設定した、ドメイン範囲が広いCookieを合わせて発行する。その際、ドメイン範囲が広いCookieには認証情報を含めず検証用の情報のみを設定する。各サービスはドメイン範囲が広いCookieから検証用情報を取得し、認証サービスに問い合わせを行う事で、ユーザの認証情報を取得する。
特表2014−529156号公報
従来技術により、同一のセキュリティドメインに複数のサブドメインのサービスが提供されている場合にも、意図しないサブドメインのサービスがCookieから情報を取得することを防げる。しかしながら、従来技術においては、不要なCookieの発行を防げることができない。Cookieを受け取ったサービスは、Cookieから取得した情報を利用して認証サービスに問い合わせをする事で、ユーザ情報などが取得できる。そのため、ユーザが利用していないサービスでも、そのユーザが他のサブドメインのサービスを利用していた場合、そのユーザのユーザ情報を取得出来るという課題がある。
本発明は、前述の課題に鑑みてなされたものであり、端末から認証サーバへのアクセスを受け付け、認証されたユーザーが同一ドメインの中の複数のサブドメインが提供する複数のサービスを利用する権限を持つかどうかを確認する確認手段と、前記確認手段により前記ユーザーが前記権限を持つと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを前記端末に発行し、前記確認手段により前記ユーザーが前記権限を持たないと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを発行するのではなくて前記認証サーバのサブドメインを利用範囲とするクッキーを前記端末に発行する発行手段とを有することを特徴とする認証サーバを提供する。
本発明により、ユーザが利用できるサービスに応じて、適切な範囲でCookieを発行できるようになり、不要なサービスがCookie情報を取得する事を防ぐことができる。
システム全体図 サーバのハードウェア構成図 サーバのソフトウェア構成図 Cookieの発行フロー図 Cookieの利用フロー図 Cookieが発行されていない状態でのサービス利用フロー図 Cookieが発行されていない状態でのサービス利用フロー図
以下、本発明を実施するための最良の形態について図面を用いて説明する。なお、フローチャートにおいては、各ステップを「S」で表す。
<実施例1>
実施例1では、インターネット上で複数のオンラインサービスが提供されており、それらが同一ドメインの中の異なるサブドメインサービスとして提供されていることを想定している。なお、ここで言う「オンラインサービス」とは、Webサイト、Webアプリケーション、Webサービスなどが提供する機能群のことである。Webサイト、Webアプリケーション、Webサービスなどは、サーバコンピュータで実行されるソフトウェアである。
また、本実施例で説明する「Cookie」(クッキー)とは、図1に記載の夫々のサーバが、後述する端末105のWebブラウザ320に保存させる情報であり、認証サーバ102で認証が成功したことを示す情報を含むデータである。認証が成功したことを示す情報とは、例えば認証トークンや、認証セッション情報である。そしてCookieは図1の夫々のサーバ上のWebサービスにアクセスした際にWebブラウザ320から送信され、ユーザの特定に利用される。これにより、1度認証に成功したユーザが、以降のサービス利用時に、再度認証を行わずにサービスを利用できるというメリットがある。
図1は各種Webサービスが存在するネットワーク構成を示す図である。インターネット100は外部から接続可能なパブリックなネットワークである。イントラネット101は、LANなどの外部から接続不可能なプライベートなネットワークである。認証サーバ102は、ユーザの認証情報および認可情報を管理するサービスシステムである。リソースサーバ103、104は、印刷サービスや帳票サービスといったリソースサービスを提供するWebサービスシステムである。リソースサーバ103、104は、インターネット100を介したクライアント端末105あるいは不図示の外部サービスシステムからのリクエストに応じて、リソースサービスを提供する。なお、各リソースサーバに設置されるリソースサービスは1つでも複数でもよい。また、認証サーバ102とリソースサーバ103、104は、同一のサーバ上に構成されてもよいし、それぞれ個別のLAN上に構成されてもよい。実施例1において各サーバは1台ずつ設置されているが、複数台で構成されていてもよい。端末(クライアント端末)105は、PCや、スマートフォンやタブレットと呼ばれる携帯端末や、画像形成装置であり、Webブラウザ320がインストールされている。
図2は図1に示した各種サービスが配置されているサーバのハードウェア構成を示す図である。ユーザインターフェース201は、ディスプレイ、キーボード、マウスなどによる情報の入出力を行うハードウェアである。これらのハードウェアを備えないコンピュータは、リモートデスクトップなどにより、他のコンピュータから接続・操作することも可能である。ネットワークインターフェース202は、LANなどのネットワークに接続して、他のコンピュータやネットワーク機器との通信を行うハードウェアである。CPU203は、ROM204、RAM205、二次記憶装置206などから読み込んだプログラムを実行し、各種サービスを実現する。ROM204は、組込済みプログラムおよびデータが記録されている記憶装置である。RAM205は一時メモリ領域である。二次記憶装置206は、HDDに代表されるような外部記憶装置である。各部は入出力インターフェース207を介して接続されている。
図3は本実施例に係る認証サーバ102、リソースサーバ103、104、端末105のモジュール構成を示す図である。認証サーバ102は、リクエスト処理部300、アクセス制御部301、データ管理部302により認証サービスを提供する。リクエスト処理部300は、認証サーバ102がインターネット及びイントラネットを経由して受信した該認証サーバへのリクエストを処理する。また、リクエスト処理部300は、アクセス制御部301から返される応答データを呼び出し元に返す。アクセス制御部301は、データ管理部302から取得するデータに基づき、認証および認可要求を処理する。また、アクセス制御部301は、データ管理部302に対して、アカウント追加やアカウント情報変更を行う。データ管理部302は、ユーザカウントのデータや、認可情報、連携しているサービス情報を管理する。
リソースサーバ103、104は、リクエスト処理部310、機能制御部311によりリソースサービスを提供する。リクエスト処理部310はリソースサーバ103、104がインターネット及びイントラネットを経由して受信したリソースサービスへのリクエストを処理する。また、リクエスト処理部310は、機能制御部311から返される処理結果を呼び出し元に返す。機能制御部311は、リクエスト処理部310が受信したリクエストに応じて必要な処理を行い、応答データを呼び出し元に返す。
端末105はWebブラウザ320を備える。Webブラウザ320はWWWを利用するためのユーザエージェントであり、インターネット100経由で認証サーバ102、リソースサーバ103、104へのアクセスを行う。
図4は、認証サービスへのアクセス時にCookieを発行する発行処理のフローを示す図である。なお、認証サービスは認証サーバ102によって提供されるものとする。まず、S401において、ユーザは端末105上のWebブラウザ320を用いて、認証サーバ102に対してアクセスを行う。アクセスされた認証サーバ102は、S402において認証処理を行い、認証トークンを発行する。以下に、認証サーバ102がデータ管理部302で管理しているアカウント情報の例を示す。本実施例では、認証サーバ102はユーザID「admin@1001AA」で認証したものとする。
Figure 0006719875
S403において、認証サーバ102は、アカウントテーブルとロールテーブルから、認証したユーザの権限を確認し、サービステーブルから、認証したユーザが複数のサブドメインのサービスを利用する権限を持つかどうか確認する。以下に、認証サーバ102がデータ管理部302で管理しているロール情報の例とサービス情報の例を示す。
本実施例では、ロールテーブルから、ユーザID「admin@1001AA」には、ロールID「ロールA」、「ロールB」、「ロールC」が設定されていることが確認される。そしてサービステーブルから、「ロールA」に対応するサービスA、「ロールB」に対応するサービスB、「ロールC」に対応するサービスCの利用権限があると判断される。
Figure 0006719875
Figure 0006719875
S404において、認証サーバ102は、ユーザが複数のサブドメインのサービス利用権限を持つかどうかを判定する。ユーザが複数のサブドメインのサービス利用権限を持たない場合はS405に進み、当該利用権限を持つ場合はS406に進む。各サービスが提供されるサブドメインはサービステーブルで確認できる。本実施例では、サービスAはサブドメイン「AAA.example.com」で提供され、サービスBはサブドメイン「BBB.example.com」で提供され、サービスCはサブドメイン「CCC.example.com」で提供される。よって、ユーザ「admin@1001AA」は複数のサブドメインのサービスを利用する権限を持つと判断される。なお、S403とS404において、ユーザが複数のサブドメインのサービス利用権限を持つかどうかをユーザに設定されたロールによって判定したが、ユーザのその他の属性情報や、ユーザが所属するグループの権限などで判断してもよい。
S405で、認証サーバ102は、ユーザが複数のサブドメインのサービス利用権限を持たないので、アクセスした認証サーバが提供するサブドメインに限定したCookieを発行し、そのCookieに認証トークンを保存する。そして、S402で受け取ったアクセス要求への応答として、端末105に応答を返す。
S406では、認証サーバ102は、ユーザが複数のサブドメインのサービス利用権限を持つので、ドメイン範囲(利用範囲)が広いCookieを発行し、そのCookieに認証トークンを保存する。そして、S402で受け取ったアクセス要求への応答として端末105に応答を返す。本実施例では、ユーザが複数のサブドメインのサービス利用権限を持つので、ドメイン範囲が「example.com」であるCookieを発行して、発行したCookieにユーザ「admin@1001AA」の認証トークンを保存する。
S407において、端末105は、受け取ったCookieを用いて、サービスの利用を行う。端末105は、受け取ったCookieのドメイン範囲と一致するWebサービスにアクセスした際に、そのサービスに対してCookieを送信する。Cookieを受け取ったサービスは、Cookieから認証トークンを取得してユーザを特定し、認証を要求せずにサービスの提供を行う。
以上説明した実施例1の方法により、ユーザの持つ権限によって自動でCookieに設定するドメイン範囲が決定される。これにより、複数のサブドメインのサービスの利用権限を持たないユーザには、アクセスしたサブドメインのみを範囲としたCookieが発行されるので、不要なサービスにCookie情報が送信されることを防ぐことができる。一方、複数のサブドメインのサービスの利用権限を持つユーザには、異なるサブドメインのサービスにアクセスした際にCookieが送信されるので、異なるサブドメインのサービスも利用できる。
<実施例2>
実施例2では複数の異なるサブドメインのサービスを利用することを前提とする。複数のサブドメインのWebサービスを利用する場合でも、ドメイン範囲が広いCookieを利用し続けると、意図しないサービスにCookieを渡す危険性がある。実施例2においては、複数のサブドメインのWebサービスを利用する権限を持つユーザが、異なるサブドメインのサービスにアクセスした際のCookie管理について説明する。
図5は、認証サービスと、認証サービスのサブドメインと異なるサブドメインのリソースサービスとを利用する際のフローである。ここで、認証サービスは認証サーバ102によって提供され、サブドメインは「AAA.example.com」とする。またリソースサービスは、リソースサーバ103によって提供され(サービスB)、サブドメインは「BBB.example.com」とする。
S401〜S405の処理は、図4で説明したフローと同一なので説明を省略する。S501において、認証サーバ102は、ドメイン範囲が広いCookieと、認証サーバ102のサブドメインに限定したドメイン範囲が狭いCookieの2つを発行する。そしてS402で受け取ったアクセス要求への応答として端末105に応答を返す。本実施例では、ユーザID「admin@1001AA」で認証したものとする。S501において、ドメイン「example.com」を設定したドメイン範囲が広いCookieと、認証サービスのサブドメイン「AAA.example.com」を設定したドメイン範囲が狭いCookieが発行される。
S502で、ユーザは端末105上のWebブラウザ320を用いて、サービスBを利用するために、リソースサーバ103に対してアクセスを行う。S503で、リソースサーバ103はCookieから情報取得を行ない、続いてS504で、Cookieから情報を取得できたかどうか判定する。Cookieから認証情報が取得出来なかった場合はS505に進む。認証情報は、例えば、リソースサーバ103のドメインが利用出来るCookieがWebブラウザ320に保存されていないがためにCookieが送られなかった場合や、Cookieに認証情報が保存されていなかった場合などには取得出来ない。S505においては、リソースサーバ103は端末105に対して、サービスBの利用権限がない旨を応答する。
S504で、Cookieから認証情報が取得できたと判定された場合はS506に進む。本実施例では、ドメイン「example.com」を範囲としたCookieが発行されているので、リソースサーバ103は、そのCookieから認証トークンを取得できる。サブドメイン「AAA.example.com」を範囲としたCookieしか発行されていない場合は、リソースサーバ103は、認証トークンが取得できないためにサービスを提供することができない。
S506において、Cookieから取得した認証情報を元に、ユーザがサービス利用権限を持つかどうか確認する。利用権限の確認は、認証サービス102に権限検証を要求したり、リソースサーバ103が取得したユーザ情報から判断したりして実行する。サービスの利用権限がなかった場合はS505に進み、利用権限があった場合にはS507に進む。本実施例では、Cookieから取得したユーザ「admin@1001AA」の認証トークンを検証し、サービス利用権限ありと判断する。
S507において、リソースサーバ103は、サービスBのサブドメインを範囲としたCookieを発行し、そのCookieにS503で取得した情報を保存する。本実施例では、サブドメイン「BBB.example.com」を範囲としたCookieを発行し、そのCookieにユーザ「admin@1001AA」の認証トークンを保存する。
S508において、リソースサーバ103は、ドメイン範囲が広いCookieを無効化する。本実施例では、ドメイン「example.com」を範囲としたCookieの有効期限を変更して有効期限切れとすることで、ドメイン範囲が広いCookieを無効にする。S509で、リソースサーバ103はサービスBの提供を行う。S510において、端末105は、端末105上のWebブラウザ320の画面に受け取った情報を表示する。
以上説明した実施例2の方法により、複数のサブドメインの利用権限を持つユーザが、異なるサブドメインのサービスにアクセスした時点で、ドメイン範囲の広いCookieを無効にする。そのため、複数のサブドメインの利用権限を持つユーザであっても、意図しないサービスにCookie情報が送信されることを防ぐことができる。
<実施例3>
実施例3においては、ドメイン範囲が広いCookieが発行されていない状態で、複数の異なるサブドメインのサービスを利用することを前提とする。図6A、図6Bは、それぞれ異なるサブドメインのサービスである認証サービス、リソースサーバ103によるサービスB、リソースサーバ104によるサービスCを利用する際のフローを示す図である。
先ず、図6AのS601で、端末105は、Webブラウザ320を用いて、リソースサーバ103にサービスBの利用要求を行なう。S602で、リソースサーバ103は、Cookieから情報取得を行なう。ここでは、ドメイン範囲の広いCookieおよびサービスB用のCookieが共に発行されていないため、Cookieから情報は取得出来ない。そのためS603において、リソースサーバ103は、認証サーバ102に対するリダイレクト指示と共に認証要求を端末105に返す。S604で、端末105上のWebブラウザ320は、認証要求を認証サーバ102にリダイレクトする。
S605において、認証サーバ102は、Cookieから情報取得を行なう。ここでは、ドメイン範囲の広いCookieおよび、認証サービス用のCookieが共に発行されていないため、Cookieから情報は取得出来ない。Cookieから認証トークンが取得出来なかったため、認証サーバ102は、S402でユーザ認証を行う。なお、S402〜S405、及びS501の処理は、図5で説明したフローと同一なので説明を省略する。本実施例では、ユーザID「admin@1001AA」で認証したものとする。そのため、S405において、ドメイン「example.com」を設定したドメイン範囲が広いCookieと、サブドメイン「AAA.example.com」を設定したドメイン範囲が狭いCookieが発行される。S606で、端末105は、受け取った応答をS604の応答として、リソースサーバ103に対してリダイレクトする。
リソースサーバ103は、認証要求の応答を受け取ると、Cookieから情報を取得してサービス提供を行なう。なお、S503〜S510までの処理は、図5で説明したフローと同一なので説明を省略する。本実施例では、リソースサーバ103は、ドメイン範囲が広いCookieから認証トークンを取得し、リソースサーバ103のサブドメイン「BBB.example.com」を設定したドメイン範囲が狭いCookieを発行する。また、ドメイン範囲が広いCookieの無効化を行う。S510の処理の後、フローは図6BのS607へ進む。
図6BのS607において、端末105は、端末105上のWebブラウザ320を用いて、リソースサーバ104にサービスCの利用要求を行う。
S608において、リソースサーバ104は、Cookieから情報取得を行なう。ここでは、ドメイン範囲の広いCookieおよびサービスCのドメイン用Cookieが共に発行されていないため、Cookieから情報は取得出来ない。そのため、S609で、リソースサーバ104は認証サーバ102へのリダイレクト指示と共に認証要求を端末105に返す。
S610において、端末105上のWebブラウザ320は、認証要求を認証サーバ102にリダイレクトする。
S611で、認証サーバ102はCookieから情報取得を行う。ここでは、認証サービスのサブドメイン「AAA.example.com」用のCookieが発行されているため、そのCookieから認証トークンが取得できる。認証サーバ102は、取得した認証トークンを用いて権限確認を行う。なお、S403〜S405及びS501の処理は、図5で説明したフローと同一なので説明を省略する。
本実施例では、サブドメイン「AAA.example.com」を設定したドメイン範囲が狭いCookieは発行済みなので再発行はされず、ドメイン「example.com」を設定したドメイン範囲が広いCookieのみ発行される。
S612において、端末105は、受け取った応答をS610の応答として、リソースサーバ104に対してリダイレクトする。
リソースサーバ104は、認証要求の応答を受け取ると、Cookieから情報を取得してサービス提供を行う。なお、S503〜S510までは、図5で説明したフローと同様なので説明を省略する(図5のS507ではリソースサーバ103用のCookieを発行するのに対し、図6BのS507ではリソースサーバ104用のCookieを発行する点のみ異なる)。
以上説明した実施例3の方法により、Cookieが発行されていない状態でサービスにアクセスした際に、適宜ドメイン範囲が広いCookieが発行される。その上で、アクセスしたサービスが、ドメイン範囲が広いCookieを利用すると、そのドメイン範囲が広いCookieが無効になる。そのため、複数のサブドメインのサービスを利用しつつ、意図しないサービスにCookie情報が渡ることを防ぐことができる。なお本実施例では、S403でユーザが複数のサブドメインのサービスの利用権限を持つかどうかの確認を行なうが、ここで利用要求されたサービスの利用権限があるかをどうかを判定しても良い。
<その他の実施例>
本発明は、上述の実施例の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
102 認証サーバ
103 リソースサーバ
104 リソースサーバ
105 端末
302 データ管理部
320 Webブラウザ

Claims (7)

  1. 端末から認証サーバへのアクセスを受け付け、認証されたユーザーが同一ドメインの中の複数のサブドメインが提供する複数のサービスを利用する権限を持つかどうかを確認する確認手段と、
    前記確認手段により前記ユーザーが前記権限を持つと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを前記端末に発行し、前記確認手段により前記ユーザーが前記権限を持たないと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを発行するのではなくて前記認証サーバのサブドメインを利用範囲とするクッキーを前記端末に発行する発行手段とを有することを特徴とする認証サーバ。
  2. 前記発行手段は、前記確認手段により前記ユーザーが前記権限を持つと確認された場合は、前記複数のサブドメインを利用範囲とする前記クッキーとともに前記認証サーバのサブドメインを利用範囲とする前記クッキー発行することを特徴とする請求項1に記載の認証サーバ。
  3. 前記認証サーバはリソースサーバと連携しており、前記端末が前記リソースサーバにアクセスした場合、前記リソースサーバは、前記発行手段が発行した前記複数のサブドメインを利用範囲とする前記クッキーを取得し、取得した前記クッキーに基づいて、前記リソースサーバのサブドメインを利用範囲とするクッキーを発行することを特徴とする請求項2に記載の認証サーバ。
  4. 前記リソースサーバは、取得した前記クッキーを、前記リソースサーバのサブドメインを利用範囲とする前記クッキーを発行した後に無効化することを特徴とする請求項3に記載の認証サーバ。
  5. 前記リソースサーバは、前記端末が前記リソースサーバにアクセスした際に前記ユーザーが有効なクッキーを取得できない場合は、前記認証サーバに対し認証を要求し、前記認証サーバは該要求に応答して、前記確認手段および前記発行手段による処理を行なうことを特徴とする請求項3に記載の認証サーバ。
  6. 端末から認証サーバへのアクセスを受け付け、認証されたユーザーが同一ドメインの中の複数のサブドメインが提供する複数のサービスを利用する権限を持つかどうかを確認する確認ステップと、
    前記確認ステップにより前記ユーザーが前記権限を持つと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを前記端末に発行し、前記確認ステップにより前記ユーザーが前記権限を持たないと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを発行するのではなくて前記認証サーバのサブドメインを利用範囲とするクッキーを前記端末に発行する発行ステップとを有することを特徴とする、認証サーバにおける認証方法。
  7. 請求項1〜5のいずれか1項に記載の認証サーバをコンピュータで実現させるためのプログラム。
JP2015171711A 2015-09-01 2015-09-01 認証サーバ、認証方法およびプログラム Active JP6719875B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2015171711A JP6719875B2 (ja) 2015-09-01 2015-09-01 認証サーバ、認証方法およびプログラム
PCT/JP2016/003647 WO2017038019A1 (en) 2015-09-01 2016-08-08 Authentication server, authentication method, and program
US15/754,537 US20180241748A1 (en) 2015-09-01 2016-08-08 Authentication server, authentication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015171711A JP6719875B2 (ja) 2015-09-01 2015-09-01 認証サーバ、認証方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2017049745A JP2017049745A (ja) 2017-03-09
JP6719875B2 true JP6719875B2 (ja) 2020-07-08

Family

ID=58188505

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015171711A Active JP6719875B2 (ja) 2015-09-01 2015-09-01 認証サーバ、認証方法およびプログラム

Country Status (3)

Country Link
US (1) US20180241748A1 (ja)
JP (1) JP6719875B2 (ja)
WO (1) WO2017038019A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6949688B2 (ja) * 2017-11-30 2021-10-13 キヤノン株式会社 システムおよびその制御方法
CN108306877B (zh) * 2018-01-30 2020-11-10 泰康保险集团股份有限公司 基于node js的用户身份信息的验证方法、装置和存储介质
US11190509B2 (en) * 2018-04-23 2021-11-30 Salesforce.Com, Inc. Authentication through exception handling
US11076002B1 (en) * 2020-06-22 2021-07-27 Amazon Technologies, Inc. Application streaming with specialized subdomains

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085141A (ja) * 2001-09-07 2003-03-20 Fuji Electric Co Ltd シングルサインオン対応認証装置、ネットワークシステム、及びプログラム
US8219802B2 (en) * 2008-05-07 2012-07-10 International Business Machines Corporation System, method and program product for consolidated authentication
US8789162B2 (en) * 2011-08-15 2014-07-22 Bank Of America Corporation Method and apparatus for making token-based access decisions
EP2575315A1 (en) * 2011-09-30 2013-04-03 British Telecommunications Public Limited Company Controlled access
US8943571B2 (en) * 2011-10-04 2015-01-27 Qualcomm Incorporated Method and apparatus for protecting a single sign-on domain from credential leakage
US9461820B1 (en) * 2013-06-05 2016-10-04 Teradici Corporation Method and apparatus for providing a conditional single sign on
US11665150B2 (en) * 2013-11-14 2023-05-30 Pleasant Solutions, Inc. System and method for credentialed access to a remote server

Also Published As

Publication number Publication date
JP2017049745A (ja) 2017-03-09
WO2017038019A1 (en) 2017-03-09
US20180241748A1 (en) 2018-08-23

Similar Documents

Publication Publication Date Title
US11431501B2 (en) Coordinating access authorization across multiple systems at different mutual trust levels
Richer Oauth 2.0 token introspection
JP6198477B2 (ja) 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム
US9288213B2 (en) System and service providing apparatus
JP5694344B2 (ja) クラウド認証を使用する認証
JP6109845B2 (ja) 認証コンテンツのコンテンツ消費者のほうへの移動
US9282104B2 (en) Access management service system and method for controlling same, and non-transitory computer readable medium
JP2018037090A (ja) プロキシ認証のための方法、システム、およびコンピュータ読取り可能な記録媒体
US11265165B2 (en) Initial provisioning through shared proofs of knowledge and crowdsourced identification
JP2018163616A (ja) 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム
CN107690792A (zh) 未经管理的移动设备的单点登录
JP7096736B2 (ja) システム、及びデータ処理方法
US11444954B2 (en) Authentication/authorization server, client, service providing system, access management method, and medium
JP2017004301A (ja) 認証サーバーシステム、方法、プログラムおよび記憶媒体
JP6719875B2 (ja) 認証サーバ、認証方法およびプログラム
JP2013140480A (ja) サーバシステム、サービス提供サーバおよび制御方法
JP2018092446A (ja) 認証認可システム及び情報処理装置と認証認可方法とプログラム
JP2016051329A (ja) コンテンツ管理装置及びその制御方法
JP2017120502A (ja) クラウドサービスへのIoT機器の登録方法
JP2009205223A (ja) シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
JP2016085638A (ja) サーバー装置、端末装置、システム、情報処理方法及びプログラム
JP6305005B2 (ja) 認証サーバーシステム、制御方法、そのプログラム
JP2016057737A (ja) サービス提供システム及びこれに用いる管理サーバー及び管理方法
JP2013182436A (ja) アクセス権限委譲システム
JP2022047948A (ja) 認可サーバ、認可サーバの制御方法

Legal Events

Date Code Title Description
RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20171214

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20180126

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191024

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200519

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200617

R151 Written notification of patent or utility model registration

Ref document number: 6719875

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151