JP6719875B2 - 認証サーバ、認証方法およびプログラム - Google Patents
認証サーバ、認証方法およびプログラム Download PDFInfo
- Publication number
- JP6719875B2 JP6719875B2 JP2015171711A JP2015171711A JP6719875B2 JP 6719875 B2 JP6719875 B2 JP 6719875B2 JP 2015171711 A JP2015171711 A JP 2015171711A JP 2015171711 A JP2015171711 A JP 2015171711A JP 6719875 B2 JP6719875 B2 JP 6719875B2
- Authority
- JP
- Japan
- Prior art keywords
- cookie
- authentication
- service
- authentication server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Description
実施例1では、インターネット上で複数のオンラインサービスが提供されており、それらが同一ドメインの中の異なるサブドメインサービスとして提供されていることを想定している。なお、ここで言う「オンラインサービス」とは、Webサイト、Webアプリケーション、Webサービスなどが提供する機能群のことである。Webサイト、Webアプリケーション、Webサービスなどは、サーバコンピュータで実行されるソフトウェアである。
実施例2では複数の異なるサブドメインのサービスを利用することを前提とする。複数のサブドメインのWebサービスを利用する場合でも、ドメイン範囲が広いCookieを利用し続けると、意図しないサービスにCookieを渡す危険性がある。実施例2においては、複数のサブドメインのWebサービスを利用する権限を持つユーザが、異なるサブドメインのサービスにアクセスした際のCookie管理について説明する。
実施例3においては、ドメイン範囲が広いCookieが発行されていない状態で、複数の異なるサブドメインのサービスを利用することを前提とする。図6A、図6Bは、それぞれ異なるサブドメインのサービスである認証サービス、リソースサーバ103によるサービスB、リソースサーバ104によるサービスCを利用する際のフローを示す図である。
本発明は、上述の実施例の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
103 リソースサーバ
104 リソースサーバ
105 端末
302 データ管理部
320 Webブラウザ
Claims (7)
- 端末から認証サーバへのアクセスを受け付け、認証されたユーザーが同一ドメインの中の複数のサブドメインが提供する複数のサービスを利用する権限を持つかどうかを確認する確認手段と、
前記確認手段により前記ユーザーが前記権限を持つと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを前記端末に発行し、前記確認手段により前記ユーザーが前記権限を持たないと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを発行するのではなくて前記認証サーバのサブドメインを利用範囲とするクッキーを前記端末に発行する発行手段とを有することを特徴とする認証サーバ。 - 前記発行手段は、前記確認手段により前記ユーザーが前記権限を持つと確認された場合は、前記複数のサブドメインを利用範囲とする前記クッキーとともに前記認証サーバのサブドメインを利用範囲とする前記クッキーも発行することを特徴とする請求項1に記載の認証サーバ。
- 前記認証サーバはリソースサーバと連携しており、前記端末が前記リソースサーバにアクセスした場合、前記リソースサーバは、前記発行手段が発行した前記複数のサブドメインを利用範囲とする前記クッキーを取得し、取得した前記クッキーに基づいて、前記リソースサーバのサブドメインを利用範囲とするクッキーを発行することを特徴とする請求項2に記載の認証サーバ。
- 前記リソースサーバは、取得した前記クッキーを、前記リソースサーバのサブドメインを利用範囲とする前記クッキーを発行した後に無効化することを特徴とする請求項3に記載の認証サーバ。
- 前記リソースサーバは、前記端末が前記リソースサーバにアクセスした際に前記ユーザーが有効なクッキーを取得できない場合は、前記認証サーバに対し認証を要求し、前記認証サーバは該要求に応答して、前記確認手段および前記発行手段による処理を行なうことを特徴とする請求項3に記載の認証サーバ。
- 端末から認証サーバへのアクセスを受け付け、認証されたユーザーが同一ドメインの中の複数のサブドメインが提供する複数のサービスを利用する権限を持つかどうかを確認する確認ステップと、
前記確認ステップにより前記ユーザーが前記権限を持つと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを前記端末に発行し、前記確認ステップにより前記ユーザーが前記権限を持たないと確認された場合に、前記複数のサブドメインを利用範囲とするクッキーを発行するのではなくて前記認証サーバのサブドメインを利用範囲とするクッキーを前記端末に発行する発行ステップとを有することを特徴とする、認証サーバにおける認証方法。 - 請求項1〜5のいずれか1項に記載の認証サーバをコンピュータで実現させるためのプログラム。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015171711A JP6719875B2 (ja) | 2015-09-01 | 2015-09-01 | 認証サーバ、認証方法およびプログラム |
US15/754,537 US20180241748A1 (en) | 2015-09-01 | 2016-08-08 | Authentication server, authentication method, and program |
PCT/JP2016/003647 WO2017038019A1 (en) | 2015-09-01 | 2016-08-08 | Authentication server, authentication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015171711A JP6719875B2 (ja) | 2015-09-01 | 2015-09-01 | 認証サーバ、認証方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017049745A JP2017049745A (ja) | 2017-03-09 |
JP6719875B2 true JP6719875B2 (ja) | 2020-07-08 |
Family
ID=58188505
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015171711A Active JP6719875B2 (ja) | 2015-09-01 | 2015-09-01 | 認証サーバ、認証方法およびプログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US20180241748A1 (ja) |
JP (1) | JP6719875B2 (ja) |
WO (1) | WO2017038019A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6949688B2 (ja) * | 2017-11-30 | 2021-10-13 | キヤノン株式会社 | システムおよびその制御方法 |
CN108306877B (zh) * | 2018-01-30 | 2020-11-10 | 泰康保险集团股份有限公司 | 基于node js的用户身份信息的验证方法、装置和存储介质 |
US11190509B2 (en) * | 2018-04-23 | 2021-11-30 | Salesforce.Com, Inc. | Authentication through exception handling |
US11076002B1 (en) * | 2020-06-22 | 2021-07-27 | Amazon Technologies, Inc. | Application streaming with specialized subdomains |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003085141A (ja) * | 2001-09-07 | 2003-03-20 | Fuji Electric Co Ltd | シングルサインオン対応認証装置、ネットワークシステム、及びプログラム |
US8219802B2 (en) * | 2008-05-07 | 2012-07-10 | International Business Machines Corporation | System, method and program product for consolidated authentication |
US8789162B2 (en) * | 2011-08-15 | 2014-07-22 | Bank Of America Corporation | Method and apparatus for making token-based access decisions |
EP2575315A1 (en) * | 2011-09-30 | 2013-04-03 | British Telecommunications Public Limited Company | Controlled access |
US8943571B2 (en) * | 2011-10-04 | 2015-01-27 | Qualcomm Incorporated | Method and apparatus for protecting a single sign-on domain from credential leakage |
US9461820B1 (en) * | 2013-06-05 | 2016-10-04 | Teradici Corporation | Method and apparatus for providing a conditional single sign on |
CA2930335C (en) * | 2013-11-14 | 2023-10-10 | Pleasant Solutions Inc. | System and method for credentialed access to a remote server |
-
2015
- 2015-09-01 JP JP2015171711A patent/JP6719875B2/ja active Active
-
2016
- 2016-08-08 WO PCT/JP2016/003647 patent/WO2017038019A1/en active Application Filing
- 2016-08-08 US US15/754,537 patent/US20180241748A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
JP2017049745A (ja) | 2017-03-09 |
WO2017038019A1 (en) | 2017-03-09 |
US20180241748A1 (en) | 2018-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11431501B2 (en) | Coordinating access authorization across multiple systems at different mutual trust levels | |
Richer | Oauth 2.0 token introspection | |
JP6198477B2 (ja) | 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム | |
US9288213B2 (en) | System and service providing apparatus | |
JP5694344B2 (ja) | クラウド認証を使用する認証 | |
JP6109845B2 (ja) | 認証コンテンツのコンテンツ消費者のほうへの移動 | |
US9282104B2 (en) | Access management service system and method for controlling same, and non-transitory computer readable medium | |
JP2018037090A (ja) | プロキシ認証のための方法、システム、およびコンピュータ読取り可能な記録媒体 | |
US11265165B2 (en) | Initial provisioning through shared proofs of knowledge and crowdsourced identification | |
JP2018163616A (ja) | 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム | |
CN107690792A (zh) | 未经管理的移动设备的单点登录 | |
JP7096736B2 (ja) | システム、及びデータ処理方法 | |
JP2017004301A (ja) | 認証サーバーシステム、方法、プログラムおよび記憶媒体 | |
JP6719875B2 (ja) | 認証サーバ、認証方法およびプログラム | |
JP2013140480A (ja) | サーバシステム、サービス提供サーバおよび制御方法 | |
JP2020177537A (ja) | 認証認可サーバー、クライアント、サービス提供システム、アクセス管理方法とプログラム | |
JP2018092446A (ja) | 認証認可システム及び情報処理装置と認証認可方法とプログラム | |
JP2016051329A (ja) | コンテンツ管理装置及びその制御方法 | |
JP2017120502A (ja) | クラウドサービスへのIoT機器の登録方法 | |
JP2009205223A (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
JP2016085638A (ja) | サーバー装置、端末装置、システム、情報処理方法及びプログラム | |
JP6305005B2 (ja) | 認証サーバーシステム、制御方法、そのプログラム | |
JP2016057737A (ja) | サービス提供システム及びこれに用いる管理サーバー及び管理方法 | |
JP2013182436A (ja) | アクセス権限委譲システム | |
JP2022047948A (ja) | 認可サーバ、認可サーバの制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD05 | Notification of revocation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7425 Effective date: 20171214 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20180126 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180828 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191024 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191216 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200519 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200617 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6719875 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |