JP6759691B2 - Information processing equipment, authorization methods and programs - Google Patents

Information processing equipment, authorization methods and programs Download PDF

Info

Publication number
JP6759691B2
JP6759691B2 JP2016094720A JP2016094720A JP6759691B2 JP 6759691 B2 JP6759691 B2 JP 6759691B2 JP 2016094720 A JP2016094720 A JP 2016094720A JP 2016094720 A JP2016094720 A JP 2016094720A JP 6759691 B2 JP6759691 B2 JP 6759691B2
Authority
JP
Japan
Prior art keywords
authorization
confirmation screen
client
display
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016094720A
Other languages
Japanese (ja)
Other versions
JP2017204073A (en
Inventor
近藤 誠一
誠一 近藤
康治 福田
康治 福田
博基 大▲崎▼
博基 大▲崎▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2016094720A priority Critical patent/JP6759691B2/en
Publication of JP2017204073A publication Critical patent/JP2017204073A/en
Application granted granted Critical
Publication of JP6759691B2 publication Critical patent/JP6759691B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は情報処理装置、認可方法及びプログラムに関する。 The present invention relates to information processing devices, authorization methods and programs.

近年、クラウドサービスを実現する手法の1つとして、マイクロサービスが注目されている。マイクロサービスとは、システムを複数のサービスの集合体として構成する手法である。マイクロサービスは、サービスを分割することで、それぞれを独立して開発やメンテナンスできるというメリットがある。 In recent years, microservices have been attracting attention as one of the methods for realizing cloud services. Microservices are a method of configuring a system as a collection of multiple services. Microservices have the advantage that by dividing the service, each can be independently developed and maintained.

このようなマイクロサービスを実現する際には、サービス間の連携やアクセス制御が必要になる。例えばサービス間の連携やアクセス制御を行う方法としてはクッキー(Cookie)に認証チケットを格納して利用する方法が既に知られている。また、サービス間の連携やアクセス制御を行う別の方法としては、OAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法が既に知られている(例えば特許文献1参照)。 In order to realize such microservices, cooperation between services and access control are required. For example, as a method of linking services and controlling access, a method of storing and using an authentication ticket in a cookie is already known. Further, as another method for performing cooperation between services and access control, a method using a standard protocol for realizing cooperation of authorization called OAuth 2.0 is already known (see, for example, Patent Document 1).

Cookieに認証チケットを格納して利用する方法では、各サービスに対して利用可能な操作を制限できず、セキュリティ上の懸念が存在していた。一方、OAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法では、各サービスが利用可能な操作を制限できる。 In the method of storing and using the authentication ticket in Cookie, the operations that can be used for each service cannot be restricted, and there is a security concern. On the other hand, in the method using a standard protocol for realizing the linkage of authorization called OAuth 2.0, the operations that can be used by each service can be restricted.

しかしながら、OAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法では、ユーザが各サービスに対して明示的に認可を行わなければならない。したがって、上記のようなマイクロサービスにより実現される情報処理システムではマイクロサービスを利用する権限をクライアントへ委譲することを許可する許可確認を何度もユーザが行わなければならず、ユーザの利便性を損ねていた。 However, in the method using a standard protocol called OAuth 2.0 for realizing the cooperation of authorization, the user must explicitly authorize each service. Therefore, in the information processing system realized by the above-mentioned microservices, the user must repeatedly confirm the permission to allow the authority to use the microservices to be delegated to the client, which improves the convenience of the user. I was losing.

本発明の実施の形態は、上記の点に鑑みなされたものであり、認可確認におけるユーザの利便性を向上させる情報処理装置を提供することを目的とする。 An embodiment of the present invention has been made in view of the above points, and an object of the present invention is to provide an information processing device that improves user convenience in authorization confirmation.

上記した課題を達成するために本願請求項1は、サービスの利用権限を有するユーザから、前記サービスを利用するクライアントに対して前記利用権限を委譲するための認可の処理を行う情報処理装置であって、前記クライアントから認可の要求を受け付ける認可要求受付手段と、あらかじめ前記情報処理装置に設定されており、前記ユーザから認可の許可又は拒否を受け付ける認可確認画面の表示を省略するか否かを前記クライアント毎に示す情報に基づき、前記認可確認画面の表示を省略するか否かを判定する判定手段と、前記認可確認画面の表示を省略すると判定した場合に、前記ユーザの操作する端末装置への前記認可確認画面の表示を省略し、前記ユーザから認可の許可を受け付けたものとして前記クライアントへ前記利用権限を委譲する利用権限委譲手段と、前記認可確認画面の表示を省略しないと判定した場合に、前記端末装置へ前記認可確認画面の表示を要求する認可確認画面表示要求手段と、を有し、前記利用権限委譲手段は、前記認可確認画面において前記ユーザから認可の許可を受け付けると、限定された前記サービスの利用権限を示す資格情報の発行を前記クライアントに対して行うことにより、前記クライアントへ限定された前記サービスの利用権限を委譲すること特徴とする。 In order to achieve the above-mentioned problem, claim 1 of the present application is an information processing device that performs an authorization process for delegating the usage authority from a user who has the usage authority of the service to a client who uses the service. The authorization request receiving means for accepting the authorization request from the client and whether or not to omit the display of the authorization confirmation screen which is set in advance in the information processing device and accepts the authorization approval or denial from the user is described. Based on the information shown for each client, the determination means for determining whether or not to omit the display of the authorization confirmation screen, and the terminal device operated by the user when it is determined that the display of the authorization confirmation screen is omitted. When it is determined that the display of the authorization confirmation screen is omitted, the usage authority delegation means for delegating the usage authority to the client as if the authorization is accepted from the user, and the display of the authorization confirmation screen is not omitted. The user has an authorization confirmation screen display requesting means for requesting the terminal device to display the authorization confirmation screen, and the usage authority delegation means is limited when receiving an authorization permission from the user on the authorization confirmation screen. by issuing credentials indicating a use authority of the service be performed on the clients, characterized by delegating authority to use the service that is limited to the client.

本発明の実施の形態によれば、認可確認におけるユーザの利便性を向上させることができる。 According to the embodiment of the present invention, it is possible to improve the convenience of the user in confirming the authorization.

本実施形態に係る情報処理システムの一例の構成図である。It is a block diagram of an example of an information processing system which concerns on this embodiment. コンピュータの一例のハードウェア構成図である。It is a hardware block diagram of an example of a computer. 本実施形態に係るアプリサーバ装置の一例の処理ブロック図である。It is a processing block diagram of an example of the application server device which concerns on this embodiment. 本実施形態に係る認可サーバ装置の一例の処理ブロック図である。It is a processing block diagram of an example of the authorization server apparatus which concerns on this embodiment. 本実施形態に係るユーザ端末装置の一例の処理ブロック図である。It is a processing block diagram of an example of the user terminal apparatus which concerns on this embodiment. クライアント情報の一例の構成図である。It is a block diagram of an example of client information. 認可コード情報の一例の構成図である。It is a block diagram of an example of authorization code information. アクセストークン情報の一例の構成図である。It is a block diagram of an example of access token information. リフレッシュトークン情報の一例の構成図である。It is a block diagram of an example of refresh token information. 自動認可が有効でない場合の認可処理の一例のシーケンス図である。It is a sequence diagram of an example of authorization processing when automatic authorization is not valid. 認可確認画面の一例のイメージ図である。It is an image diagram of an example of an authorization confirmation screen. 自動認可が有効である場合の認可処理の一例のシーケンス図である。It is a sequence diagram of an example of authorization processing when automatic authorization is effective.

以下、本発明の実施形態について図面を参照しながら説明する。
[第1の実施形態]
<システム構成>
図1は本実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1は、ユーザ端末装置10、1つ以上のアプリサーバ装置12、認可サーバ装置14及びリソースサーバ装置16が、インターネットなどのネットワーク18により接続された構成である。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
<System configuration>
FIG. 1 is a configuration diagram of an example of an information processing system according to the present embodiment. The information processing system 1 of FIG. 1 has a configuration in which a user terminal device 10, one or more application server devices 12, an authorization server device 14, and a resource server device 16 are connected by a network 18 such as the Internet.

ユーザ端末装置10はリソースを所有するユーザ(リソースオーナ)が操作する端末装置である。ユーザ端末装置10は一般的なOSなどが搭載されたコンピュータによって実現できる。ユーザ端末装置10は、デスクトップPC、ノートPC、スマートフォン、携帯電話、タブレットPC、複合機、コピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板などの端末装置(電子機器)である。 The user terminal device 10 is a terminal device operated by a user (resource owner) who owns a resource. The user terminal device 10 can be realized by a computer equipped with a general OS or the like. The user terminal device 10 is a terminal device (electronic device) such as a desktop PC, a notebook PC, a smartphone, a mobile phone, a tablet PC, a multifunction device, a copier, a scanner, a printer, a laser printer, a projector, or an electronic blackboard.

アプリサーバ装置12は、一般的なOSなどが搭載されたコンピュータによって実現することができ、アプリケーションを実行する。アプリサーバ装置12で実行されるアプリケーションは、認可を取得してリソースに対するリクエスト(要求)を行うクライアントである。 The application server device 12 can be realized by a computer equipped with a general OS or the like, and executes an application. The application executed by the application server device 12 is a client that obtains authorization and makes a request (request) for a resource.

認可サーバ装置14は、一般的なOSなどが搭載されたコンピュータによって実現することができ、リソースオーナの認証及び認可を行い、認可コード、アクセストークン、リフレッシュトークンなどのトークンを発行する。認可コードは、リソースオーナにより提供されたリソースへのアクセス許可を表す。また、認可コードはアクセストークン及びリフレッシュトークンを得るために使用される。 The authorization server device 14 can be realized by a computer equipped with a general OS or the like, authenticates and authorizes the resource owner, and issues tokens such as an authorization code, an access token, and a refresh token. The authorization code represents the permission to access the resource provided by the resource owner. The authorization code is also used to obtain access tokens and refresh tokens.

アクセストークンはアプリサーバ装置12で実行されるアプリケーション(以下、クライアントと呼ぶ)がリソースオーナに代わり、認証済みリクエストを行うために使用されるトークンである。また、リフレッシュトークンはクライアントがリソースオーナの新しいアクセストークンを得るために使用されるトークンである。 The access token is a token used by an application (hereinafter referred to as a client) executed by the application server device 12 to make an authenticated request on behalf of the resource owner. The refresh token is also a token used by the client to obtain a new access token for the resource owner.

リソースサーバ装置16は一般的なOSなどが搭載されたコンピュータによって実現することができ、リソースに対するリクエストをクライアントから受け付け、クライアントにレスポンスを返す。リソースはアクセスが制限されたリソースであり、認証済みリクエストにより取得が可能である。 The resource server device 16 can be realized by a computer equipped with a general OS or the like, receives a request for a resource from a client, and returns a response to the client. A resource is a resource with restricted access and can be retrieved by an authenticated request.

なお、図1の情報処理システム1では自社製のアプリケーション(自社製アプリ)を実行するアプリサーバ装置12と、サードベンダ製のアプリケーション(サードベンダアプリ)を実行するアプリサーバ装置12と、を有する構成を一例として示している。自社製アプリは事前に信頼できると見なせるサービスの一例である。サードベンダアプリは事前に信頼できると見なせないサービスの一例である。図1の情報処理システム1の構成は一例であって、様々な構成が考えられる。例えば認可サーバ装置14とリソースサーバ装置16とは、一体化されていてもよい。 The information processing system 1 of FIG. 1 has an application server device 12 that executes an in-house application (in-house application) and an application server device 12 that executes an application (third vendor application) made by a third vendor. Is shown as an example. In-house apps are an example of services that can be considered reliable in advance. Third-vendor apps are an example of a service that cannot be considered reliable in advance. The configuration of the information processing system 1 in FIG. 1 is an example, and various configurations can be considered. For example, the authorization server device 14 and the resource server device 16 may be integrated.

<ハードウェア構成>
図1のユーザ端末装置10、アプリサーバ装置12、認可サーバ装置14及びリソースサーバ装置16は例えば図2に示すようなハードウェア構成のコンピュータにより実現される。 <Hardware configuration>
The user terminal device 10, the application server device 12, the authorization server device 14, and the resource server device 16 of FIG. 1 are realized by, for example, a computer having a hardware configuration as shown in FIG.

図2はコンピュータの一例のハードウェア構成図である。図2のコンピュータ100は入力装置101、表示装置102、外部I/F103、RAM104、ROM105、CPU106、通信I/F107、及びHDD108などを備え、それぞれがバスBで相互に接続されている。 FIG. 2 is a hardware configuration diagram of an example of a computer. The computer 100 of FIG. 2 includes an input device 101, a display device 102, an external I / F 103, a RAM 104, a ROM 105, a CPU 106, a communication I / F 107, an HDD 108, and the like, and each of them is connected to each other by a bus B.

入力装置101はキーボードやマウス、タッチパネルなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置102はディスプレイ等を含み、コンピュータ100による処理結果を表示する。なお、入力装置101及び表示装置102は必要なときに接続して利用する形態であってもよい。 The input device 101 includes a keyboard, a mouse, a touch panel, and the like, and is used by the user to input each operation signal. The display device 102 includes a display and the like, and displays a processing result by the computer 100. The input device 101 and the display device 102 may be connected and used when necessary.

通信I/F107はコンピュータ100をネットワーク18に接続するインタフェースである。これにより、コンピュータ100は通信I/F107を介してデータ通信を行うことができる。 The communication I / F 107 is an interface for connecting the computer 100 to the network 18. As a result, the computer 100 can perform data communication via the communication I / F 107.

HDD108はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには例えばコンピュータ100全体を制御する基本ソフトウェアであるOSや、OS上において各種機能を提供するアプリケーションソフトウェアなどがある。なお、コンピュータ100はHDD108に替え、記憶媒体としてフラッシュメモリを用いるドライブ装置(例えばソリッドステートドライブ:SSD)を利用するものであってもよい。 The HDD 108 is a non-volatile storage device that stores programs and data. The stored programs and data include, for example, an OS that is basic software that controls the entire computer 100, application software that provides various functions on the OS, and the like. The computer 100 may use a drive device (for example, a solid state drive: SSD) that uses a flash memory as a storage medium instead of the HDD 108.

外部I/F103は、外部装置とのインタフェースである。外部装置には、記録媒体103aなどがある。これにより、コンピュータ100は外部I/F103を介して記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aにはフレキシブルディスク、CD、DVD、SDメモリカード、USBメモリなどがある。 The external I / F 103 is an interface with an external device. The external device includes a recording medium 103a and the like. As a result, the computer 100 can read and / or write to the recording medium 103a via the external I / F 103. The recording medium 103a includes a flexible disk, a CD, a DVD, an SD memory card, a USB memory, and the like.

ROM105は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105にはコンピュータ100の起動時に実行されるBIOS、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM104はプログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。 The ROM 105 is a non-volatile semiconductor memory (storage device) capable of holding programs and data even when the power is turned off. The ROM 105 stores programs and data such as BIOS, OS settings, and network settings that are executed when the computer 100 is started. The RAM 104 is a volatile semiconductor memory (storage device) that temporarily holds programs and data.

CPU106は、ROM105やHDD108などの記憶装置からプログラムやデータをRAM104上に読み出し、処理を実行することで、コンピュータ100全体の制御や機能を実現する演算装置である。 The CPU 106 is an arithmetic unit that realizes control and functions of the entire computer 100 by reading programs and data from a storage device such as a ROM 105 or an HDD 108 onto a RAM 104 and executing processing.

図1のユーザ端末装置10、1つ以上のアプリサーバ装置12、認可サーバ装置14及びリソースサーバ装置16は、コンピュータ100のハードウェア構成により、後述するような各種処理を実現できる。 The user terminal device 10, one or more application server devices 12, the authorization server device 14, and the resource server device 16 of FIG. 1 can realize various processes as described later depending on the hardware configuration of the computer 100.

<ソフトウェア構成>
《アプリサーバ装置》
本実施形態に係るアプリサーバ装置12は例えば図3に示す処理ブロックにより実現される。図3は、本実施形態に係るアプリサーバ装置の一例の処理ブロック図である。アプリサーバ装置12はプログラムを実行することで、図3に示すような処理ブロックを実現する。アプリサーバ装置12は認可要求部21、認可コード取得部22、アクセストークン取得部23、API呼び出し部24、アプリ処理実行部25を実現している。 <Software configuration>
《App server device》
The application server device 12 according to the present embodiment is realized by, for example, the processing block shown in FIG. FIG. 3 is a processing block diagram of an example of the application server device according to the present embodiment. The application server device 12 realizes a processing block as shown in FIG. 3 by executing a program. The application server device 12 realizes an authorization request unit 21, an authorization code acquisition unit 22, an access token acquisition unit 23, an API calling unit 24, and an application processing execution unit 25.

認可要求部21は、リソースオーナの操作によりリソースへアクセスする必要性が生じると、認可サーバ装置14に対して認可要求を行う。認可コード取得部22はリソースへのアクセスが許可された場合に認可サーバ装置14から認可コードを取得する。アクセストークン取得部23は認可コードを使用して認可サーバ装置14からアクセストークンを取得する。また、アクセストークン取得部23は、リフレッシュトークンを使用して認可サーバ装置14から新しいアクセストークンを取得する。 When the resource owner needs to access the resource, the authorization request unit 21 makes an authorization request to the authorization server device 14. The authorization code acquisition unit 22 acquires an authorization code from the authorization server device 14 when access to the resource is permitted. The access token acquisition unit 23 acquires an access token from the authorization server device 14 by using the authorization code. Further, the access token acquisition unit 23 acquires a new access token from the authorization server device 14 by using the refresh token.

API呼び出し部24はアクセストークンを使用してリソースサーバ装置16のAPIを呼び出し、リソースサーバ装置16のリソースにアクセスする。アプリ処理実行部25はアクセスしたリソースを使用して何らかの処理を実行する。 The API calling unit 24 uses the access token to call the API of the resource server device 16 and access the resources of the resource server device 16. The application processing execution unit 25 executes some processing using the accessed resource.

《認可サーバ装置》
本実施形態に係る認可サーバ装置14は、例えば図4に示す処理ブロックにより実現される。図4は本実施形態に係る認可サーバ装置の一例の処理ブロック図である。 << Authorization server device >>
The authorization server device 14 according to the present embodiment is realized by, for example, the processing block shown in FIG. FIG. 4 is a processing block diagram of an example of the authorization server device according to the present embodiment.

認可サーバ装置14はプログラムを実行することで、図4に示すような処理ブロックを実現する。認可サーバ装置14は、認可要求受付部31、自動認可判定部32、認可確認画面表示要求部33、リダイレクト処理部34、アクセストークン発行部35を実現している。また、認可サーバ装置14は、クライアント情報保存部41、認可コード情報保存部42、アクセストークン情報保存部43、リフレッシュトークン情報保存部44を有している。 The authorization server device 14 realizes a processing block as shown in FIG. 4 by executing a program. The authorization server device 14 realizes an authorization request reception unit 31, an automatic authorization determination unit 32, an authorization confirmation screen display request unit 33, a redirect processing unit 34, and an access token issuing unit 35. Further, the authorization server device 14 has a client information storage unit 41, an authorization code information storage unit 42, an access token information storage unit 43, and a refresh token information storage unit 44.

認可要求受付部31はアプリサーバ装置12からの認可要求を受け付ける。自動認可判定部32は、クライアント情報保存部41に保存されているクライアント情報を参照して自動認可判定処理を行う。自動認可判定処理は、クライアント情報に含まれる自動認可が有効か否か(無効か)を示す情報により、自動認可が有効か無効かを判定する。自動認可は認可確認画面の表示を省略し、リソースオーナが認可したものとして処理を進めるものである。 The authorization request receiving unit 31 receives an authorization request from the application server device 12. The automatic authorization determination unit 32 performs an automatic authorization determination process with reference to the client information stored in the client information storage unit 41. The automatic authorization determination process determines whether the automatic authorization is valid or invalid based on the information included in the client information indicating whether or not the automatic authorization is valid (invalid). Automatic authorization omits the display of the authorization confirmation screen and proceeds with the process assuming that the resource owner has authorized.

自動認可判定部32は自動認可が無効であれば、認可確認画面の表示を認可確認画面表示要求部33に指示する。認可確認画面表示要求部33はユーザ端末装置10に認可確認画面を表示させ、リソースオーナに認可を許可するか/拒否するかを選択させる。自動認可判定部32は自動認可が有効であれば、認可確認画面表示要求部33に対する認可確認画面の表示の指示を省略し、リソースオーナが認可を許可したものとする。 If the automatic authorization is invalid, the automatic authorization determination unit 32 instructs the authorization confirmation screen display request unit 33 to display the authorization confirmation screen. The authorization confirmation screen display request unit 33 causes the user terminal device 10 to display the authorization confirmation screen, and causes the resource owner to select whether to allow / deny the authorization. If the automatic authorization is valid, the automatic authorization determination unit 32 omits the instruction to display the authorization confirmation screen to the authorization confirmation screen display request unit 33, and it is assumed that the resource owner approves the authorization.

リダイレクト処理部34は、リソースオーナが認可を許可した場合に、認可コードを発行し、認可コードと共にリダイレクトURLにリダイレクトを行う。発行した認可コードに関する認可コード情報は認可コード情報保存部42に保存しておく。 When the resource owner approves the authorization, the redirect processing unit 34 issues an authorization code and redirects to the redirect URL together with the authorization code. The authorization code information regarding the issued authorization code is stored in the authorization code information storage unit 42.

アクセストークン発行部35は、アプリサーバ装置12から認可コードを使用したアクセストークン要求を受け付ける。アクセストークン発行部35は、アクセストークン及びリフレッシュトークンを発行する。発行したアクセストークンに関するアクセストークン情報はアクセストークン情報保存部43に保存する。発行したリフレッシュトークンに関するリフレッシュトークン情報はリフレッシュトークン情報保存部44に保存する。アクセストークン発行部35は発行したアクセストークン及びリフレッシュトークンをアクセストークン要求元のアプリサーバ装置12に返す。 The access token issuing unit 35 receives an access token request using the authorization code from the application server device 12. The access token issuing unit 35 issues an access token and a refresh token. The access token information regarding the issued access token is stored in the access token information storage unit 43. The refresh token information regarding the issued refresh token is stored in the refresh token information storage unit 44. The access token issuing unit 35 returns the issued access token and refresh token to the application server device 12 that requests the access token.

《ユーザ端末装置》
本実施形態に係るユーザ端末装置10は、例えば図5に示す処理ブロックにより実現される。図5は本実施形態に係るユーザ端末装置の一例の処理ブロック図である。ユーザ端末装置10はプログラムを実行することで、図5に示す処理ブロックを実現する。図5のユーザ端末装置10は認可確認画面表示部51、認可要求許可/拒否応答部52を実現している。 << User terminal equipment >>
The user terminal device 10 according to the present embodiment is realized by, for example, the processing block shown in FIG. FIG. 5 is a processing block diagram of an example of the user terminal device according to the present embodiment. The user terminal device 10 realizes the processing block shown in FIG. 5 by executing the program. The user terminal device 10 of FIG. 5 realizes an authorization confirmation screen display unit 51 and an authorization request permission / rejection response unit 52.

認可確認画面表示部51は認可サーバ装置14からの要求に基づき、後述の認可確認画面を表示する。認可確認画面はリソースオーナから認可の許可又は拒否の選択を受け付けることができる。認可要求許可/拒否応答部52はリソースオーナから受け付けた認可の許可又は拒否の選択を認可サーバ装置14に返す。 The authorization confirmation screen display unit 51 displays the authorization confirmation screen described later based on the request from the authorization server device 14. The authorization confirmation screen can accept the option of permitting or denying authorization from the resource owner. The authorization request permission / rejection response unit 52 returns to the authorization server device 14 the selection of authorization permission or denial received from the resource owner.

《情報》
図6はクライアント情報の一例の構成図である。図6のクライアント情報は項目として内部ID、企業ID、クライアントID、クライアントシークレット、リダイレクトURI、クライアント名、クライアント種別、自動認可を有する。 "information"
FIG. 6 is a configuration diagram of an example of client information. The client information of FIG. 6 has an internal ID, a company ID, a client ID, a client secret, a redirect URI, a client name, a client type, and automatic authorization as items.

内部IDはテーブル内のプライマルキー(主キー)であり、内部管理用である。企業IDはクライアントを作成した企業の内部IDである。なお、企業は一例であって、学校や団体、部門などのグループの単位であればよい。クライアントIDはアプリサーバ装置12で実行されるアプリケーション(クライアント)を識別するIDである。クライアントシークレットはクライアントのシークレットである。リダイレクトURIはOAuthの認可の際に利用するリダイレクトURIである。クライアント名はクライアントの名前である。クライアント種別はクライアントの種類である。 The internal ID is a primal key (primary key) in the table and is for internal management. The company ID is the internal ID of the company that created the client. A company is an example, and may be a unit of a group such as a school, an organization, or a department. The client ID is an ID that identifies an application (client) executed by the application server device 12. The client secret is the client's secret. The redirect URI is a redirect URI used when authorizing OAuth. The client name is the name of the client. The client type is the client type.

自動認可は、自動認可が有効か否か(無効か)を示す情報である。図6のクライアント情報では、クライアントが自社製アプリである場合、自動認可に有効(true)が設定される。また、図6のクライアント情報では、クライアントがサードベンダアプリである場合、自動認可に無効(false)が設定される。なお、図6のクライアント情報の設定は認可サーバ装置14の管理者が行う。したがって、認可サーバ装置14の管理者はクライアントが自社製アプリである場合に、あらかじめ図6のクライアント情報の自動認可を有効に設定しておく。 The automatic authorization is information indicating whether or not the automatic authorization is valid (invalid). In the client information of FIG. 6, when the client is an in-house application, valid (true) for automatic authorization is set. Further, in the client information of FIG. 6, when the client is a third-vendor application, invalidity (false) is set for automatic authorization. The client information in FIG. 6 is set by the administrator of the authorization server device 14. Therefore, the administrator of the authorization server device 14 enables the automatic authorization of the client information of FIG. 6 to be enabled in advance when the client is an in-house application.

図7は認可コード情報の一例の構成図である。図7の認可コード情報は項目として内部ID、クライアント内部ID、認可コード、リダイレクトURI、スコープ、作成日時及びコードチャレンジを有する。 FIG. 7 is a configuration diagram of an example of authorization code information. The authorization code information in FIG. 7 has an internal ID, a client internal ID, an authorization code, a redirect URI, a scope, a creation date and time, and a code challenge as items.

内部IDは、テープル内のプライマルキー(主キー)であり、内部管理用である。クライアント内部IDは、クライアントを識別する内部IDである。認可コードは発行した認可コードである。リダイレクトURIは、認可要求時に指定されたリダイレクトURIである。スコープは認可要求のスコープである。作成日時は認可コードが作成された日時である。コードチャレンジは認可を行う際に利用するコードチャレンジである。 The internal ID is a primal key (primary key) in the table and is for internal management. The client internal ID is an internal ID that identifies the client. The authorization code is the issued authorization code. The redirect URI is the redirect URI specified at the time of authorization request. The scope is the scope of the authorization request. The creation date and time is the date and time when the authorization code was created. A code challenge is a code challenge used for authorization.

図8はアクセストークン情報の一例の構成図である。図8のアクセストークン情報は項目として内部ID、ユーザ内部ID、クライアント内部ID、リフレッシュトークン内部ID、トークン、スコープ及び作成日時を有する。 FIG. 8 is a configuration diagram of an example of access token information. The access token information of FIG. 8 has an internal ID, a user internal ID, a client internal ID, a refresh token internal ID, a token, a scope, and a creation date and time as items.

内部IDはテープル内のプライマルキー(主キー)であり、内部管理用である。ユーザ内部IDは、ユーザ(リソースオーナ)を識別する内部IDである。クライアント内部IDは、クライアントを識別する内部IDである。リフレッシュトークン内部IDは、リフレッシュトークンを識別する内部IDである。トークンは発行したアクセストークンの値である。スコープはアクセストークンに紐付くスコープである。また、作成日時はアクセストークンが作成された日時である。 The internal ID is a primal key (primary key) in the table and is for internal management. The user internal ID is an internal ID that identifies the user (resource owner). The client internal ID is an internal ID that identifies the client. The refresh token internal ID is an internal ID that identifies the refresh token. The token is the value of the issued access token. The scope is the scope associated with the access token. The creation date and time is the date and time when the access token was created.

図9は、リフレッシュトークン情報の一例の構成図である。図9のリフレッシュトークン情報は、項目として内部ID、ユーザ内部ID、クライアント内部ID、トークン、スコープ及び作成日時を有する。 FIG. 9 is a configuration diagram of an example of refresh token information. The refresh token information of FIG. 9 has an internal ID, a user internal ID, a client internal ID, a token, a scope, and a creation date and time as items.

内部IDはテープル内のプライマルキー(主キー)であり、内部管理用である。ユーザ内部IDは、ユーザ(リソースオーナ)を識別する内部IDである。クライアント内部IDは、クライアントを識別する内部IDである。トークンは発行したリフレッシュトークンの値である。スコープはリフレッシュトークンに紐付くスコープである。また、作成日時はリフレッシュトークンが作成された日時である。 The internal ID is a primal key (primary key) in the table and is for internal management. The user internal ID is an internal ID that identifies the user (resource owner). The client internal ID is an internal ID that identifies the client. The token is the value of the issued refresh token. The scope is the scope associated with the refresh token. The creation date and time is the date and time when the refresh token was created.

<処理の詳細>
以下では、本実施形態に係る情報処理システム1の認可処理について、自動認可が有効でない場合と自動認可が有効である場合とに分けて説明する。 <Details of processing>
Hereinafter, the authorization process of the information processing system 1 according to the present embodiment will be described separately for the case where the automatic authorization is not valid and the case where the automatic authorization is valid.

《自動認可が有効でない場合》
図10は自動認可が有効でない場合の認可処理の一例のシーケンス図である。図10ではOAuth2.0の認可コードフローを用いてアクセストークンを発行する際のシーケンス図を一例として示している。 << When automatic authorization is not valid >>
FIG. 10 is a sequence diagram of an example of authorization processing when automatic authorization is not valid. FIG. 10 shows a sequence diagram when an access token is issued using the authorization code flow of OAuth 2.0 as an example.

ステップS11において、リソースオーナが操作するユーザ端末装置10は、OAuth2.0の認可開始をアプリサーバ装置12に要求する。アプリサーバ装置12の認可要求部21はステップS12、S13に進み、ユーザ端末装置10をリダイレクトにより認可サーバ装置14へアクセスさせ、認可要求を行う。 In step S11, the user terminal device 10 operated by the resource owner requests the application server device 12 to start authorization of OAuth 2.0. The authorization request unit 21 of the application server device 12 proceeds to steps S12 and S13, causes the user terminal device 10 to access the authorization server device 14 by redirect, and makes an authorization request.

ステップS14に進み、認可サーバ装置14の自動認可判定部32は、クライアント情報保存部41に保存されている図6に示したクライアント情報を参照して自動認可判定処理を行う。自動認可判定部32は図6のクライアント情報の項目「自動認可」が有効「true」であるか無効「false」であるかにより、自動認可が有効であるか無効であるかを判定する。 Proceeding to step S14, the automatic authorization determination unit 32 of the authorization server device 14 performs the automatic authorization determination process with reference to the client information shown in FIG. 6 stored in the client information storage unit 41. The automatic authorization determination unit 32 determines whether the automatic authorization is valid or invalid depending on whether the item "automatic authorization" of the client information in FIG. 6 is valid "true" or invalid "false".

図10ではクライアントがサードベンダアプリであるため、自動認可が無効であると判定される。自動認可判定部32は自動認可が無効であると判定したため、認可確認画面の表示を認可確認画面表示要求部33に指示する。ステップS15に進み、認可確認画面表示要求部33は図11に示すような認可確認画面の表示をユーザ端末装置10に対して要求する。 In FIG. 10, since the client is a third-vendor application, it is determined that the automatic authorization is invalid. Since the automatic authorization determination unit 32 determines that the automatic authorization is invalid, the automatic authorization determination unit 32 instructs the authorization confirmation screen display request unit 33 to display the authorization confirmation screen. Proceeding to step S15, the authorization confirmation screen display requesting unit 33 requests the user terminal device 10 to display the authorization confirmation screen as shown in FIG.

図11は認可確認画面の一例のイメージ図である。図11の認可確認画面はユーザ端末装置10を操作するリソースオーナに提示される画面である。リソースオーナは図11の認可確認画面の「許可する」ボタンを押下することにより、認可の許可を選択することができる。また、リソースオーナは図11の認可確認画面の「許可しない」ボタンを押下することにより、認可の拒否を選択することができる。ユーザ端末装置10の認可確認画面表示部51は例えば図11の認可確認画面を表示してリソースオーナから認可の許可又は拒否の選択を受け付ける。そして、ステップS16に進み、認可要求許可/拒否応答部52はリソースオーナから受け付けた認可の許可又は拒否の選択を、認可サーバ装置14に通知する。 FIG. 11 is an image diagram of an example of the authorization confirmation screen. The authorization confirmation screen of FIG. 11 is a screen presented to the resource owner who operates the user terminal device 10. The resource owner can select the authorization permission by pressing the "permit" button on the authorization confirmation screen of FIG. In addition, the resource owner can select to deny the authorization by pressing the "not permit" button on the authorization confirmation screen of FIG. The authorization confirmation screen display unit 51 of the user terminal device 10 displays, for example, the authorization confirmation screen of FIG. 11 and accepts the selection of authorization permission or denial from the resource owner. Then, the process proceeds to step S16, and the authorization request permission / rejection response unit 52 notifies the authorization server device 14 of the selection of authorization permission or denial received from the resource owner.

認可サーバ装置14のリダイレクト処理部34はリソースオーナから認可の許可を受け付けた場合、認可コードを発行する。ステップS17、S18の処理へ進み、リダイレクト処理部34は図6のクライアント情報に含まれるリダイレクトURIに認可コードと共にリダイレクトさせる。 When the redirection processing unit 34 of the authorization server device 14 receives the authorization of authorization from the resource owner, it issues an authorization code. Proceeding to the processing of steps S17 and S18, the redirect processing unit 34 redirects the redirect URI included in the client information of FIG. 6 together with the authorization code.

ステップS19に進み、アプリサーバ装置12のアクセストークン取得部23は取得した認可コードを使用して認可サーバ装置14にアクセストークンを要求する。ステップS20に進み、認可サーバ装置14のアクセストークン発行部35は、認可コードを使用したアクセストークン要求に基づいて、アプリサーバ装置12にアクセストークン及びリフレッシュトークンを発行する。ステップS21において、アプリサーバ装置12のAPI呼び出し部24はアクセストークンを使用してリソースサーバ装置16のAPIを呼び出すことで、リソースサーバ装置16のリソースにアクセスできる。 Proceeding to step S19, the access token acquisition unit 23 of the application server device 12 requests the access token from the authorization server device 14 using the acquired authorization code. Proceeding to step S20, the access token issuing unit 35 of the authorization server device 14 issues an access token and a refresh token to the application server device 12 based on the access token request using the authorization code. In step S21, the API calling unit 24 of the application server device 12 can access the resources of the resource server device 16 by calling the API of the resource server device 16 using the access token.

《自動認可が有効である場合》
図12は自動認可が有効である場合の認可処理の一例のシーケンス図である。図12は図10と同様、OAuth2.0の認可コードフローを用いてアクセストークンを発行する際のシーケンス図を一例として示している。 << When automatic authorization is enabled >>
FIG. 12 is a sequence diagram of an example of authorization processing when automatic authorization is enabled. Similar to FIG. 10, FIG. 12 shows a sequence diagram when an access token is issued using the authorization code flow of OAuth 2.0 as an example.

ステップS31〜S34の処理は図10のステップS11〜S14と同様である。図12ではクライアントが自社製アプリであるため、自動認可が有効であると判定される。自動認可判定部32は自動認可が有効であると判定したため、図11の認可確認画面の表示をスキップし、リソースオーナが認可を許可したものとしてステップS35以降の処理を進める。なお、ステップS35〜S39の処理は図10のステップS17〜S21と同様である。
[他の実施形態]
クライアント情報の自動認可は、クライアントが自社製アプリである場合に自動認可を有効とし、クライアントがサードベンダアプリである場合に自動認可を無効とする例に限定されない。例えばクライアント情報の自動認可は、事前に検査などにより信頼できると見なした場合に自動認可を有効とし、それ以外の自動認可を無効としてもよい。 The processing of steps S31 to S34 is the same as that of steps S11 to S14 of FIG. In FIG. 12, since the client is an in-house application, it is determined that automatic authorization is effective. Since the automatic authorization determination unit 32 has determined that the automatic authorization is valid, the display of the authorization confirmation screen of FIG. 11 is skipped, and the process after step S35 is proceeded assuming that the resource owner has authorized the authorization. The processing of steps S35 to S39 is the same as that of steps S17 to S21 of FIG.
[Other Embodiments]
The automatic authorization of client information is not limited to the example in which the automatic authorization is enabled when the client is an in-house application and the automatic authorization is invalidated when the client is a third-vendor application. For example, for automatic authorization of client information, automatic authorization may be enabled when it is considered to be reliable by inspection or the like in advance, and other automatic authorization may be invalidated.

また、自動認可判定部32は例えばクライアント情報に含まれるリダイレクトURIのドメイン部分から自社製アプリかサードベンダアプリかを確認し、自動認可を有効とするか無効とするかを判定するようにしてもよい。 Further, the automatic authorization determination unit 32 may, for example, confirm whether the application is an in-house application or a third vendor application from the domain part of the redirect URI included in the client information, and determine whether the automatic authorization is enabled or disabled. Good.

(まとめ)
本実施形態によれば、複数のサービスにより実現される情報処理システム1において認可確認を省略するサービスを設定しておくことができる。従来、複数のサービスにより実現される1つの企業のクラウドサービスは、サービスごとにリソースオーナが認可確認を行う必要があり、リソースオーナの利便性を損ねていた。また、従来、1つの企業のクラウドサービスを利用している最中に何度も認可確認画面が表示される不自然さはリソースオーナを混乱させ、更に利便性を損ねる場合もあった。 (Summary)
According to this embodiment, it is possible to set a service that omits authorization confirmation in the information processing system 1 realized by a plurality of services. Conventionally, in the cloud service of one company realized by a plurality of services, the resource owner needs to confirm the authorization for each service, which impairs the convenience of the resource owner. In addition, conventionally, the unnaturalness of displaying the authorization confirmation screen many times while using the cloud service of one company may confuse the resource owner and further impair convenience.

本実施形態によれば、例えば自社製アプリなど、事前に信頼できると見なしたサービスの認可確認を省略するため、セキュリティ上の安全性を確保しながら、リソースオーナの利便性を向上できる。 According to the present embodiment, since the authorization confirmation of the service deemed to be reliable in advance, such as an in-house manufactured application, is omitted, the convenience of the resource owner can be improved while ensuring the security safety.

本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。認可サーバ装置14は特許請求の範囲に記載した情報処理装置の一例である。認可要求受付部31は認可要求受付手段の一例である。自動認可判定部32は判定手段の一例である。リダイレクト処理部34及びアクセストークン発行部35は利用権限委譲手段の一例である。ユーザ端末装置10はユーザの操作する端末装置の一例である。認可確認画面表示要求部33は認可確認画面表示要求手段の一例である。認可コード、アクセストークン及びリフレッシュトークンは資格情報の一例である。また、自動認可が有効か否か(無効か)を示す情報であるクライアント情報の項目「自動認可」は認可確認画面の表示を省略するか否かを示す情報の一例である。 The present invention is not limited to the above-described embodiment disclosed specifically, and various modifications and modifications can be made without departing from the scope of claims. The authorization server device 14 is an example of the information processing device described in the claims. The authorization request receiving unit 31 is an example of the authorization request receiving means. The automatic authorization determination unit 32 is an example of determination means. The redirect processing unit 34 and the access token issuing unit 35 are examples of means for delegating usage authority. The user terminal device 10 is an example of a terminal device operated by the user. The authorization confirmation screen display request unit 33 is an example of the authorization confirmation screen display request means. Authorization codes, access tokens, and refresh tokens are examples of credentials. Further, the client information item "automatic authorization", which is information indicating whether or not automatic authorization is valid (invalid), is an example of information indicating whether or not to omit the display of the authorization confirmation screen.

1 情報処理システム
10 ユーザ端末装置
12 アプリサーバ装置
14 認可サーバ装置
16 リソースサーバ装置
18 ネットワーク
21 認可要求部
22 認可コード取得部
23 アクセストークン取得部
24 API呼び出し部
25 アプリ処理実行部
31 認可要求受付部
32 自動認可判定部
33 認可確認画面表示要求部
34 リダイレクト処理部
35 アクセストークン発行部
41 クライアント情報保存部
42 認可コード情報保存部
43 アクセストークン情報保存部
44 リフレッシュトークン情報保存部
51 認可確認画面表示部
52 認可要求許可/拒否応答部
100 コンピュータ
101 入力装置
102 表示装置
103 外部I/F
103a 記録媒体
104 RAM
105 ROM
106 CPU
107 通信I/F
108 HDD
B バス 1 Information processing system 10 User terminal device 12 App server device 14 Authorization server device 16 Resource server device 18 Network 21 Authorization request unit 22 Authorization code acquisition unit 23 Access token acquisition unit 24 API call unit 25 Application processing execution unit 31 Authorization request reception unit 32 Automatic authorization judgment unit 33 Authorization confirmation screen display request unit 34 Redirect processing unit 35 Access token issuing unit 41 Client information storage unit 42 Authorization code information storage unit 43 Access token information storage unit 44 Refresh token information storage unit 51 Authorization confirmation screen display unit 52 Authorization request permission / rejection response unit 100 Computer 101 Input device 102 Display device 103 External I / F
103a Recording medium 104 RAM
105 ROM
106 CPU
107 Communication I / F
108 HDD
B bus

特開2015−95056号公報Japanese Unexamined Patent Publication No. 2015-95056

Claims (4)

サービスの利用権限を有するユーザから、前記サービスを利用するクライアントに対して前記利用権限を委譲するための認可の処理を行う情報処理装置であって、
前記クライアントから認可の要求を受け付ける認可要求受付手段と、
あらかじめ前記情報処理装置に設定されており、前記ユーザから認可の許可又は拒否を受け付ける認可確認画面の表示を省略するか否かを前記クライアント毎に示す情報に基づき、前記認可確認画面の表示を省略するか否かを判定する判定手段と、
前記認可確認画面の表示を省略すると判定した場合に、前記ユーザの操作する端末装置への前記認可確認画面の表示を省略し、前記ユーザから認可の許可を受け付けたものとして前記クライアントへ前記利用権限を委譲する利用権限委譲手段と、
前記認可確認画面の表示を省略しないと判定した場合に、前記端末装置へ前記認可確認画面の表示を要求する認可確認画面表示要求手段と、を有し、
前記利用権限委譲手段は、前記認可確認画面において前記ユーザから認可の許可を受け付けると、限定された前記サービスの利用権限を示す資格情報の発行を前記クライアントに対して行うことにより、前記クライアントへ限定された前記サービスの利用権限を委譲すること
特徴とする情報処理装置。 An information processing device that performs authorization processing for delegating the usage authority from a user who has the usage authority of the service to a client who uses the service.
An authorization request receiving means for receiving an authorization request from the client,
The display of the authorization confirmation screen is omitted based on the information indicating whether or not to omit the display of the authorization confirmation screen that is set in the information processing device in advance and accepts the approval or denial of the authorization from the user for each client. Judgment means for determining whether or not to do
When it is determined that the display of the authorization confirmation screen is omitted, the display of the authorization confirmation screen on the terminal device operated by the user is omitted, and the user has the right to use the license as if the authorization was accepted from the user. And the means of delegating usage authority to delegate
It has an authorization confirmation screen display requesting means for requesting the terminal device to display the authorization confirmation screen when it is determined that the display of the authorization confirmation screen is not omitted.
When the authorization confirmation screen receives the authorization permission from the user, the usage authority delegation means is limited to the client by issuing the qualification information indicating the limited usage authority of the service to the client. An information processing device characterized in that the authority to use the service is delegated . 前記クライアントは、サーバ装置で動作するアプリケーションであって、前記端末装置である電子機器から利用されること
を特徴とする請求項1記載の情報処理装置。 The client is an application running on the server apparatus, according to claim 1 Symbol placement of the information processing apparatus, characterized in that it is utilized from the electronic device is the terminal device. サービスの利用権限を有するユーザから、前記サービスを利用するクライアントに対して前記利用権限を委譲するための認可の処理を行う情報処理装置において実行される認可方法であって、
前記クライアントから認可の要求を受け付ける認可要求受付ステップと、
あらかじめ前記情報処理装置に設定されており、前記ユーザから認可の許可又は拒否を受け付ける認可確認画面の表示を省略するか否かを前記クライアント毎に示す情報に基づき、前記認可確認画面の表示を省略するか否かを判定する判定ステップと、
前記認可確認画面の表示を省略すると判定した場合に、前記ユーザの操作する端末装置への前記認可確認画面の表示を省略し、前記ユーザから認可の許可を受け付けたものとして前記クライアントへ前記利用権限を委譲する利用権限委譲ステップと、
前記認可確認画面の表示を省略しないと判定した場合に、前記端末装置へ前記認可確認画面の表示を要求する認可確認画面表示要求ステップと、を有し、
前記利用権限委譲ステップは、前記認可確認画面において前記ユーザから認可の許可を受け付けると、限定された前記サービスの利用権限を示す資格情報の発行を前記クライアントに対して行うことにより、前記クライアントへ限定された前記サービスの利用権限を委譲すること
特徴とする認可方法。 It is an authorization method executed in an information processing device that performs authorization processing for delegating the usage authority from a user who has the usage authority of the service to a client who uses the service.
An authorization request acceptance step for accepting an authorization request from the client,
The display of the authorization confirmation screen is omitted based on the information indicating whether or not to omit the display of the authorization confirmation screen that is set in the information processing device in advance and accepts the approval or denial of the authorization from the user for each client. Judgment step to determine whether to do
When it is determined that the display of the authorization confirmation screen is omitted, the display of the authorization confirmation screen on the terminal device operated by the user is omitted, and the user has the right to use the license as if the authorization was accepted from the user. And the usage authority delegation step to delegate
It has an authorization confirmation screen display request step for requesting the terminal device to display the authorization confirmation screen when it is determined that the display of the authorization confirmation screen is not omitted.
The usage authority delegation step is limited to the client by issuing a qualification information indicating the limited usage authority of the service to the client when the authorization permission is received from the user on the authorization confirmation screen. An authorization method characterized by delegating the authority to use the service . サービスの利用権限を有するユーザから、前記サービスを利用するクライアントに対して前記利用権限を委譲するための認可の処理を行う情報処理装置を、
前記クライアントから認可の要求を受け付ける認可要求受付手段、
あらかじめ前記情報処理装置に設定されており、前記ユーザから認可の許可又は拒否を受け付ける認可確認画面の表示を省略するか否かを前記クライアント毎に示す情報に基づき、前記認可確認画面の表示を省略するか否かを判定する判定手段、
前記認可確認画面の表示を省略すると判定した場合に、前記ユーザの操作する端末装置への前記認可確認画面の表示を省略し、前記ユーザから認可の許可を受け付けたものとして前記クライアントへ前記利用権限を委譲する利用権限委譲手段、
前記認可確認画面の表示を省略しないと判定した場合に、前記端末装置へ前記認可確認画面の表示を要求する認可確認画面表示要求手段、として機能させ、
前記利用権限委譲手段は、前記認可確認画面において前記ユーザから認可の許可を受け付けると、限定された前記サービスの利用権限を示す資格情報の発行を前記クライアントに対して行うことにより、前記クライアントへ限定された前記サービスの利用権限を委譲すること
を特徴とするプログラム。 An information processing device that performs authorization processing for delegating the usage authority from a user who has the usage authority of the service to a client who uses the service.
An authorization request receiving means for receiving an authorization request from the client,
The display of the authorization confirmation screen is omitted based on the information indicating whether or not to omit the display of the authorization confirmation screen that is set in the information processing device in advance and accepts the approval or denial of the authorization from the user for each client. Judgment means for determining whether or not to do
When it is determined that the display of the authorization confirmation screen is omitted, the display of the authorization confirmation screen on the terminal device operated by the user is omitted, and the user has the right to use the license as if the authorization was accepted from the user. Delegation of usage authority,
When it is determined that the display of the authorization confirmation screen is not omitted, the terminal device is made to function as an authorization confirmation screen display requesting means for requesting the display of the authorization confirmation screen.
When the authorization confirmation screen receives the authorization permission from the user, the usage authority delegation means is limited to the client by issuing the qualification information indicating the limited usage authority of the service to the client. To delegate the authority to use the service
A program featuring .
JP2016094720A 2016-05-10 2016-05-10 Information processing equipment, authorization methods and programs Active JP6759691B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016094720A JP6759691B2 (en) 2016-05-10 2016-05-10 Information processing equipment, authorization methods and programs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016094720A JP6759691B2 (en) 2016-05-10 2016-05-10 Information processing equipment, authorization methods and programs

Publications (2)

Publication Number Publication Date
JP2017204073A JP2017204073A (en) 2017-11-16
JP6759691B2 true JP6759691B2 (en) 2020-09-23

Family

ID=60322309

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016094720A Active JP6759691B2 (en) 2016-05-10 2016-05-10 Information processing equipment, authorization methods and programs

Country Status (1)

Country Link
JP (1) JP6759691B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7271147B2 (en) * 2018-11-30 2023-05-11 株式会社東芝 SERVICE AUTHORIZATION PROCESSING APPARATUS, SYSTEM, METHOD AND PROGRAM

Also Published As

Publication number Publication date
JP2017204073A (en) 2017-11-16

Similar Documents

Publication Publication Date Title
US9288213B2 (en) System and service providing apparatus
US10754941B2 (en) User device security manager
JP4733167B2 (en) Information processing apparatus, information processing method, information processing program, and information processing system
US8561172B2 (en) System and method for virtual information cards
US9210159B2 (en) Information processing system, information processing device, and authentication method
US20140380462A1 (en) Image processing apparatus that performs user authentication, authentication method therefor, and storage medium
KR101681888B1 (en) Image processing apparatus that performs user authentication, authentication method therefor, and storage medium
US10205717B1 (en) Virtual machine logon federation
JP2017033339A (en) Service provision system, information processing device, program and service use information creation method
US11082813B2 (en) Message-based management service enrollment
US9282091B2 (en) Information processing system, information processing device, and authentication method
US11503074B2 (en) Device enrollment in a management service
JP6759691B2 (en) Information processing equipment, authorization methods and programs
US20200379699A1 (en) Authentication system using a code with a mobile application
JP6237868B2 (en) Cloud service providing system and cloud service providing method
JP5145856B2 (en) Electronic information management system, electronic information management apparatus, and electronic information management program
US20150381622A1 (en) Authentication system, authentication method, authentication apparatus, and recording medium
JP2000105747A (en) Screen control method for single log-in system
JP2020035305A (en) Authentication system and method thereof, and program thereof
JP7078090B2 (en) Information processing system and authorization method
JP6299101B2 (en) Service providing system, service providing method and program
JP7073851B2 (en) Information processing equipment, system, authentication method
JP6897977B2 (en) Authentication system and its method, and its program
JP2017227991A (en) Management system, management method, and program
JP2022087192A (en) Authentication system and method thereof, and program thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200204

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200804

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200817

R151 Written notification of patent or utility model registration

Ref document number: 6759691

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151