JP6759691B2 - Information processing equipment, authorization methods and programs - Google Patents
Information processing equipment, authorization methods and programs Download PDFInfo
- Publication number
- JP6759691B2 JP6759691B2 JP2016094720A JP2016094720A JP6759691B2 JP 6759691 B2 JP6759691 B2 JP 6759691B2 JP 2016094720 A JP2016094720 A JP 2016094720A JP 2016094720 A JP2016094720 A JP 2016094720A JP 6759691 B2 JP6759691 B2 JP 6759691B2
- Authority
- JP
- Japan
- Prior art keywords
- authorization
- confirmation screen
- client
- display
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は情報処理装置、認可方法及びプログラムに関する。 The present invention relates to information processing devices, authorization methods and programs.
近年、クラウドサービスを実現する手法の1つとして、マイクロサービスが注目されている。マイクロサービスとは、システムを複数のサービスの集合体として構成する手法である。マイクロサービスは、サービスを分割することで、それぞれを独立して開発やメンテナンスできるというメリットがある。 In recent years, microservices have been attracting attention as one of the methods for realizing cloud services. Microservices are a method of configuring a system as a collection of multiple services. Microservices have the advantage that by dividing the service, each can be independently developed and maintained.
このようなマイクロサービスを実現する際には、サービス間の連携やアクセス制御が必要になる。例えばサービス間の連携やアクセス制御を行う方法としてはクッキー(Cookie)に認証チケットを格納して利用する方法が既に知られている。また、サービス間の連携やアクセス制御を行う別の方法としては、OAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法が既に知られている(例えば特許文献1参照)。 In order to realize such microservices, cooperation between services and access control are required. For example, as a method of linking services and controlling access, a method of storing and using an authentication ticket in a cookie is already known. Further, as another method for performing cooperation between services and access control, a method using a standard protocol for realizing cooperation of authorization called OAuth 2.0 is already known (see, for example, Patent Document 1).
Cookieに認証チケットを格納して利用する方法では、各サービスに対して利用可能な操作を制限できず、セキュリティ上の懸念が存在していた。一方、OAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法では、各サービスが利用可能な操作を制限できる。 In the method of storing and using the authentication ticket in Cookie, the operations that can be used for each service cannot be restricted, and there is a security concern. On the other hand, in the method using a standard protocol for realizing the linkage of authorization called OAuth 2.0, the operations that can be used by each service can be restricted.
しかしながら、OAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法では、ユーザが各サービスに対して明示的に認可を行わなければならない。したがって、上記のようなマイクロサービスにより実現される情報処理システムではマイクロサービスを利用する権限をクライアントへ委譲することを許可する許可確認を何度もユーザが行わなければならず、ユーザの利便性を損ねていた。 However, in the method using a standard protocol called OAuth 2.0 for realizing the cooperation of authorization, the user must explicitly authorize each service. Therefore, in the information processing system realized by the above-mentioned microservices, the user must repeatedly confirm the permission to allow the authority to use the microservices to be delegated to the client, which improves the convenience of the user. I was losing.
本発明の実施の形態は、上記の点に鑑みなされたものであり、認可確認におけるユーザの利便性を向上させる情報処理装置を提供することを目的とする。 An embodiment of the present invention has been made in view of the above points, and an object of the present invention is to provide an information processing device that improves user convenience in authorization confirmation.
上記した課題を達成するために本願請求項1は、サービスの利用権限を有するユーザから、前記サービスを利用するクライアントに対して前記利用権限を委譲するための認可の処理を行う情報処理装置であって、前記クライアントから認可の要求を受け付ける認可要求受付手段と、あらかじめ前記情報処理装置に設定されており、前記ユーザから認可の許可又は拒否を受け付ける認可確認画面の表示を省略するか否かを前記クライアント毎に示す情報に基づき、前記認可確認画面の表示を省略するか否かを判定する判定手段と、前記認可確認画面の表示を省略すると判定した場合に、前記ユーザの操作する端末装置への前記認可確認画面の表示を省略し、前記ユーザから認可の許可を受け付けたものとして前記クライアントへ前記利用権限を委譲する利用権限委譲手段と、前記認可確認画面の表示を省略しないと判定した場合に、前記端末装置へ前記認可確認画面の表示を要求する認可確認画面表示要求手段と、を有し、前記利用権限委譲手段は、前記認可確認画面において前記ユーザから認可の許可を受け付けると、限定された前記サービスの利用権限を示す資格情報の発行を前記クライアントに対して行うことにより、前記クライアントへ限定された前記サービスの利用権限を委譲することを特徴とする。 In order to achieve the above-mentioned problem, claim 1 of the present application is an information processing device that performs an authorization process for delegating the usage authority from a user who has the usage authority of the service to a client who uses the service. The authorization request receiving means for accepting the authorization request from the client and whether or not to omit the display of the authorization confirmation screen which is set in advance in the information processing device and accepts the authorization approval or denial from the user is described. Based on the information shown for each client, the determination means for determining whether or not to omit the display of the authorization confirmation screen, and the terminal device operated by the user when it is determined that the display of the authorization confirmation screen is omitted. When it is determined that the display of the authorization confirmation screen is omitted, the usage authority delegation means for delegating the usage authority to the client as if the authorization is accepted from the user, and the display of the authorization confirmation screen is not omitted. The user has an authorization confirmation screen display requesting means for requesting the terminal device to display the authorization confirmation screen, and the usage authority delegation means is limited when receiving an authorization permission from the user on the authorization confirmation screen. by issuing credentials indicating a use authority of the service be performed on the clients, characterized by delegating authority to use the service that is limited to the client.
本発明の実施の形態によれば、認可確認におけるユーザの利便性を向上させることができる。 According to the embodiment of the present invention, it is possible to improve the convenience of the user in confirming the authorization.
以下、本発明の実施形態について図面を参照しながら説明する。
[第1の実施形態]
<システム構成>
図1は本実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1は、ユーザ端末装置10、1つ以上のアプリサーバ装置12、認可サーバ装置14及びリソースサーバ装置16が、インターネットなどのネットワーク18により接続された構成である。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
<System configuration>
FIG. 1 is a configuration diagram of an example of an information processing system according to the present embodiment. The
ユーザ端末装置10はリソースを所有するユーザ(リソースオーナ)が操作する端末装置である。ユーザ端末装置10は一般的なOSなどが搭載されたコンピュータによって実現できる。ユーザ端末装置10は、デスクトップPC、ノートPC、スマートフォン、携帯電話、タブレットPC、複合機、コピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板などの端末装置(電子機器)である。
The
アプリサーバ装置12は、一般的なOSなどが搭載されたコンピュータによって実現することができ、アプリケーションを実行する。アプリサーバ装置12で実行されるアプリケーションは、認可を取得してリソースに対するリクエスト(要求)を行うクライアントである。
The
認可サーバ装置14は、一般的なOSなどが搭載されたコンピュータによって実現することができ、リソースオーナの認証及び認可を行い、認可コード、アクセストークン、リフレッシュトークンなどのトークンを発行する。認可コードは、リソースオーナにより提供されたリソースへのアクセス許可を表す。また、認可コードはアクセストークン及びリフレッシュトークンを得るために使用される。
The
アクセストークンはアプリサーバ装置12で実行されるアプリケーション(以下、クライアントと呼ぶ)がリソースオーナに代わり、認証済みリクエストを行うために使用されるトークンである。また、リフレッシュトークンはクライアントがリソースオーナの新しいアクセストークンを得るために使用されるトークンである。
The access token is a token used by an application (hereinafter referred to as a client) executed by the
リソースサーバ装置16は一般的なOSなどが搭載されたコンピュータによって実現することができ、リソースに対するリクエストをクライアントから受け付け、クライアントにレスポンスを返す。リソースはアクセスが制限されたリソースであり、認証済みリクエストにより取得が可能である。
The
なお、図1の情報処理システム1では自社製のアプリケーション(自社製アプリ)を実行するアプリサーバ装置12と、サードベンダ製のアプリケーション(サードベンダアプリ)を実行するアプリサーバ装置12と、を有する構成を一例として示している。自社製アプリは事前に信頼できると見なせるサービスの一例である。サードベンダアプリは事前に信頼できると見なせないサービスの一例である。図1の情報処理システム1の構成は一例であって、様々な構成が考えられる。例えば認可サーバ装置14とリソースサーバ装置16とは、一体化されていてもよい。
The
<ハードウェア構成>
図1のユーザ端末装置10、アプリサーバ装置12、認可サーバ装置14及びリソースサーバ装置16は例えば図2に示すようなハードウェア構成のコンピュータにより実現される。
<Hardware configuration>
The
図2はコンピュータの一例のハードウェア構成図である。図2のコンピュータ100は入力装置101、表示装置102、外部I/F103、RAM104、ROM105、CPU106、通信I/F107、及びHDD108などを備え、それぞれがバスBで相互に接続されている。
FIG. 2 is a hardware configuration diagram of an example of a computer. The
入力装置101はキーボードやマウス、タッチパネルなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置102はディスプレイ等を含み、コンピュータ100による処理結果を表示する。なお、入力装置101及び表示装置102は必要なときに接続して利用する形態であってもよい。
The
通信I/F107はコンピュータ100をネットワーク18に接続するインタフェースである。これにより、コンピュータ100は通信I/F107を介してデータ通信を行うことができる。
The communication I /
HDD108はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには例えばコンピュータ100全体を制御する基本ソフトウェアであるOSや、OS上において各種機能を提供するアプリケーションソフトウェアなどがある。なお、コンピュータ100はHDD108に替え、記憶媒体としてフラッシュメモリを用いるドライブ装置(例えばソリッドステートドライブ:SSD)を利用するものであってもよい。
The HDD 108 is a non-volatile storage device that stores programs and data. The stored programs and data include, for example, an OS that is basic software that controls the
外部I/F103は、外部装置とのインタフェースである。外部装置には、記録媒体103aなどがある。これにより、コンピュータ100は外部I/F103を介して記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aにはフレキシブルディスク、CD、DVD、SDメモリカード、USBメモリなどがある。
The external I /
ROM105は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105にはコンピュータ100の起動時に実行されるBIOS、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM104はプログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。
The
CPU106は、ROM105やHDD108などの記憶装置からプログラムやデータをRAM104上に読み出し、処理を実行することで、コンピュータ100全体の制御や機能を実現する演算装置である。
The
図1のユーザ端末装置10、1つ以上のアプリサーバ装置12、認可サーバ装置14及びリソースサーバ装置16は、コンピュータ100のハードウェア構成により、後述するような各種処理を実現できる。
The
<ソフトウェア構成>
《アプリサーバ装置》
本実施形態に係るアプリサーバ装置12は例えば図3に示す処理ブロックにより実現される。図3は、本実施形態に係るアプリサーバ装置の一例の処理ブロック図である。アプリサーバ装置12はプログラムを実行することで、図3に示すような処理ブロックを実現する。アプリサーバ装置12は認可要求部21、認可コード取得部22、アクセストークン取得部23、API呼び出し部24、アプリ処理実行部25を実現している。
<Software configuration>
《App server device》
The
認可要求部21は、リソースオーナの操作によりリソースへアクセスする必要性が生じると、認可サーバ装置14に対して認可要求を行う。認可コード取得部22はリソースへのアクセスが許可された場合に認可サーバ装置14から認可コードを取得する。アクセストークン取得部23は認可コードを使用して認可サーバ装置14からアクセストークンを取得する。また、アクセストークン取得部23は、リフレッシュトークンを使用して認可サーバ装置14から新しいアクセストークンを取得する。
When the resource owner needs to access the resource, the
API呼び出し部24はアクセストークンを使用してリソースサーバ装置16のAPIを呼び出し、リソースサーバ装置16のリソースにアクセスする。アプリ処理実行部25はアクセスしたリソースを使用して何らかの処理を実行する。
The
《認可サーバ装置》
本実施形態に係る認可サーバ装置14は、例えば図4に示す処理ブロックにより実現される。図4は本実施形態に係る認可サーバ装置の一例の処理ブロック図である。
<< Authorization server device >>
The
認可サーバ装置14はプログラムを実行することで、図4に示すような処理ブロックを実現する。認可サーバ装置14は、認可要求受付部31、自動認可判定部32、認可確認画面表示要求部33、リダイレクト処理部34、アクセストークン発行部35を実現している。また、認可サーバ装置14は、クライアント情報保存部41、認可コード情報保存部42、アクセストークン情報保存部43、リフレッシュトークン情報保存部44を有している。
The
認可要求受付部31はアプリサーバ装置12からの認可要求を受け付ける。自動認可判定部32は、クライアント情報保存部41に保存されているクライアント情報を参照して自動認可判定処理を行う。自動認可判定処理は、クライアント情報に含まれる自動認可が有効か否か(無効か)を示す情報により、自動認可が有効か無効かを判定する。自動認可は認可確認画面の表示を省略し、リソースオーナが認可したものとして処理を進めるものである。
The authorization
自動認可判定部32は自動認可が無効であれば、認可確認画面の表示を認可確認画面表示要求部33に指示する。認可確認画面表示要求部33はユーザ端末装置10に認可確認画面を表示させ、リソースオーナに認可を許可するか/拒否するかを選択させる。自動認可判定部32は自動認可が有効であれば、認可確認画面表示要求部33に対する認可確認画面の表示の指示を省略し、リソースオーナが認可を許可したものとする。
If the automatic authorization is invalid, the automatic
リダイレクト処理部34は、リソースオーナが認可を許可した場合に、認可コードを発行し、認可コードと共にリダイレクトURLにリダイレクトを行う。発行した認可コードに関する認可コード情報は認可コード情報保存部42に保存しておく。
When the resource owner approves the authorization, the
アクセストークン発行部35は、アプリサーバ装置12から認可コードを使用したアクセストークン要求を受け付ける。アクセストークン発行部35は、アクセストークン及びリフレッシュトークンを発行する。発行したアクセストークンに関するアクセストークン情報はアクセストークン情報保存部43に保存する。発行したリフレッシュトークンに関するリフレッシュトークン情報はリフレッシュトークン情報保存部44に保存する。アクセストークン発行部35は発行したアクセストークン及びリフレッシュトークンをアクセストークン要求元のアプリサーバ装置12に返す。
The access
《ユーザ端末装置》
本実施形態に係るユーザ端末装置10は、例えば図5に示す処理ブロックにより実現される。図5は本実施形態に係るユーザ端末装置の一例の処理ブロック図である。ユーザ端末装置10はプログラムを実行することで、図5に示す処理ブロックを実現する。図5のユーザ端末装置10は認可確認画面表示部51、認可要求許可/拒否応答部52を実現している。
<< User terminal equipment >>
The
認可確認画面表示部51は認可サーバ装置14からの要求に基づき、後述の認可確認画面を表示する。認可確認画面はリソースオーナから認可の許可又は拒否の選択を受け付けることができる。認可要求許可/拒否応答部52はリソースオーナから受け付けた認可の許可又は拒否の選択を認可サーバ装置14に返す。
The authorization confirmation
《情報》
図6はクライアント情報の一例の構成図である。図6のクライアント情報は項目として内部ID、企業ID、クライアントID、クライアントシークレット、リダイレクトURI、クライアント名、クライアント種別、自動認可を有する。
"information"
FIG. 6 is a configuration diagram of an example of client information. The client information of FIG. 6 has an internal ID, a company ID, a client ID, a client secret, a redirect URI, a client name, a client type, and automatic authorization as items.
内部IDはテーブル内のプライマルキー(主キー)であり、内部管理用である。企業IDはクライアントを作成した企業の内部IDである。なお、企業は一例であって、学校や団体、部門などのグループの単位であればよい。クライアントIDはアプリサーバ装置12で実行されるアプリケーション(クライアント)を識別するIDである。クライアントシークレットはクライアントのシークレットである。リダイレクトURIはOAuthの認可の際に利用するリダイレクトURIである。クライアント名はクライアントの名前である。クライアント種別はクライアントの種類である。
The internal ID is a primal key (primary key) in the table and is for internal management. The company ID is the internal ID of the company that created the client. A company is an example, and may be a unit of a group such as a school, an organization, or a department. The client ID is an ID that identifies an application (client) executed by the
自動認可は、自動認可が有効か否か(無効か)を示す情報である。図6のクライアント情報では、クライアントが自社製アプリである場合、自動認可に有効(true)が設定される。また、図6のクライアント情報では、クライアントがサードベンダアプリである場合、自動認可に無効(false)が設定される。なお、図6のクライアント情報の設定は認可サーバ装置14の管理者が行う。したがって、認可サーバ装置14の管理者はクライアントが自社製アプリである場合に、あらかじめ図6のクライアント情報の自動認可を有効に設定しておく。
The automatic authorization is information indicating whether or not the automatic authorization is valid (invalid). In the client information of FIG. 6, when the client is an in-house application, valid (true) for automatic authorization is set. Further, in the client information of FIG. 6, when the client is a third-vendor application, invalidity (false) is set for automatic authorization. The client information in FIG. 6 is set by the administrator of the
図7は認可コード情報の一例の構成図である。図7の認可コード情報は項目として内部ID、クライアント内部ID、認可コード、リダイレクトURI、スコープ、作成日時及びコードチャレンジを有する。 FIG. 7 is a configuration diagram of an example of authorization code information. The authorization code information in FIG. 7 has an internal ID, a client internal ID, an authorization code, a redirect URI, a scope, a creation date and time, and a code challenge as items.
内部IDは、テープル内のプライマルキー(主キー)であり、内部管理用である。クライアント内部IDは、クライアントを識別する内部IDである。認可コードは発行した認可コードである。リダイレクトURIは、認可要求時に指定されたリダイレクトURIである。スコープは認可要求のスコープである。作成日時は認可コードが作成された日時である。コードチャレンジは認可を行う際に利用するコードチャレンジである。 The internal ID is a primal key (primary key) in the table and is for internal management. The client internal ID is an internal ID that identifies the client. The authorization code is the issued authorization code. The redirect URI is the redirect URI specified at the time of authorization request. The scope is the scope of the authorization request. The creation date and time is the date and time when the authorization code was created. A code challenge is a code challenge used for authorization.
図8はアクセストークン情報の一例の構成図である。図8のアクセストークン情報は項目として内部ID、ユーザ内部ID、クライアント内部ID、リフレッシュトークン内部ID、トークン、スコープ及び作成日時を有する。 FIG. 8 is a configuration diagram of an example of access token information. The access token information of FIG. 8 has an internal ID, a user internal ID, a client internal ID, a refresh token internal ID, a token, a scope, and a creation date and time as items.
内部IDはテープル内のプライマルキー(主キー)であり、内部管理用である。ユーザ内部IDは、ユーザ(リソースオーナ)を識別する内部IDである。クライアント内部IDは、クライアントを識別する内部IDである。リフレッシュトークン内部IDは、リフレッシュトークンを識別する内部IDである。トークンは発行したアクセストークンの値である。スコープはアクセストークンに紐付くスコープである。また、作成日時はアクセストークンが作成された日時である。 The internal ID is a primal key (primary key) in the table and is for internal management. The user internal ID is an internal ID that identifies the user (resource owner). The client internal ID is an internal ID that identifies the client. The refresh token internal ID is an internal ID that identifies the refresh token. The token is the value of the issued access token. The scope is the scope associated with the access token. The creation date and time is the date and time when the access token was created.
図9は、リフレッシュトークン情報の一例の構成図である。図9のリフレッシュトークン情報は、項目として内部ID、ユーザ内部ID、クライアント内部ID、トークン、スコープ及び作成日時を有する。 FIG. 9 is a configuration diagram of an example of refresh token information. The refresh token information of FIG. 9 has an internal ID, a user internal ID, a client internal ID, a token, a scope, and a creation date and time as items.
内部IDはテープル内のプライマルキー(主キー)であり、内部管理用である。ユーザ内部IDは、ユーザ(リソースオーナ)を識別する内部IDである。クライアント内部IDは、クライアントを識別する内部IDである。トークンは発行したリフレッシュトークンの値である。スコープはリフレッシュトークンに紐付くスコープである。また、作成日時はリフレッシュトークンが作成された日時である。 The internal ID is a primal key (primary key) in the table and is for internal management. The user internal ID is an internal ID that identifies the user (resource owner). The client internal ID is an internal ID that identifies the client. The token is the value of the issued refresh token. The scope is the scope associated with the refresh token. The creation date and time is the date and time when the refresh token was created.
<処理の詳細>
以下では、本実施形態に係る情報処理システム1の認可処理について、自動認可が有効でない場合と自動認可が有効である場合とに分けて説明する。
<Details of processing>
Hereinafter, the authorization process of the
《自動認可が有効でない場合》
図10は自動認可が有効でない場合の認可処理の一例のシーケンス図である。図10ではOAuth2.0の認可コードフローを用いてアクセストークンを発行する際のシーケンス図を一例として示している。
<< When automatic authorization is not valid >>
FIG. 10 is a sequence diagram of an example of authorization processing when automatic authorization is not valid. FIG. 10 shows a sequence diagram when an access token is issued using the authorization code flow of OAuth 2.0 as an example.
ステップS11において、リソースオーナが操作するユーザ端末装置10は、OAuth2.0の認可開始をアプリサーバ装置12に要求する。アプリサーバ装置12の認可要求部21はステップS12、S13に進み、ユーザ端末装置10をリダイレクトにより認可サーバ装置14へアクセスさせ、認可要求を行う。
In step S11, the
ステップS14に進み、認可サーバ装置14の自動認可判定部32は、クライアント情報保存部41に保存されている図6に示したクライアント情報を参照して自動認可判定処理を行う。自動認可判定部32は図6のクライアント情報の項目「自動認可」が有効「true」であるか無効「false」であるかにより、自動認可が有効であるか無効であるかを判定する。
Proceeding to step S14, the automatic
図10ではクライアントがサードベンダアプリであるため、自動認可が無効であると判定される。自動認可判定部32は自動認可が無効であると判定したため、認可確認画面の表示を認可確認画面表示要求部33に指示する。ステップS15に進み、認可確認画面表示要求部33は図11に示すような認可確認画面の表示をユーザ端末装置10に対して要求する。
In FIG. 10, since the client is a third-vendor application, it is determined that the automatic authorization is invalid. Since the automatic
図11は認可確認画面の一例のイメージ図である。図11の認可確認画面はユーザ端末装置10を操作するリソースオーナに提示される画面である。リソースオーナは図11の認可確認画面の「許可する」ボタンを押下することにより、認可の許可を選択することができる。また、リソースオーナは図11の認可確認画面の「許可しない」ボタンを押下することにより、認可の拒否を選択することができる。ユーザ端末装置10の認可確認画面表示部51は例えば図11の認可確認画面を表示してリソースオーナから認可の許可又は拒否の選択を受け付ける。そして、ステップS16に進み、認可要求許可/拒否応答部52はリソースオーナから受け付けた認可の許可又は拒否の選択を、認可サーバ装置14に通知する。
FIG. 11 is an image diagram of an example of the authorization confirmation screen. The authorization confirmation screen of FIG. 11 is a screen presented to the resource owner who operates the
認可サーバ装置14のリダイレクト処理部34はリソースオーナから認可の許可を受け付けた場合、認可コードを発行する。ステップS17、S18の処理へ進み、リダイレクト処理部34は図6のクライアント情報に含まれるリダイレクトURIに認可コードと共にリダイレクトさせる。
When the
ステップS19に進み、アプリサーバ装置12のアクセストークン取得部23は取得した認可コードを使用して認可サーバ装置14にアクセストークンを要求する。ステップS20に進み、認可サーバ装置14のアクセストークン発行部35は、認可コードを使用したアクセストークン要求に基づいて、アプリサーバ装置12にアクセストークン及びリフレッシュトークンを発行する。ステップS21において、アプリサーバ装置12のAPI呼び出し部24はアクセストークンを使用してリソースサーバ装置16のAPIを呼び出すことで、リソースサーバ装置16のリソースにアクセスできる。
Proceeding to step S19, the access
《自動認可が有効である場合》
図12は自動認可が有効である場合の認可処理の一例のシーケンス図である。図12は図10と同様、OAuth2.0の認可コードフローを用いてアクセストークンを発行する際のシーケンス図を一例として示している。
<< When automatic authorization is enabled >>
FIG. 12 is a sequence diagram of an example of authorization processing when automatic authorization is enabled. Similar to FIG. 10, FIG. 12 shows a sequence diagram when an access token is issued using the authorization code flow of OAuth 2.0 as an example.
ステップS31〜S34の処理は図10のステップS11〜S14と同様である。図12ではクライアントが自社製アプリであるため、自動認可が有効であると判定される。自動認可判定部32は自動認可が有効であると判定したため、図11の認可確認画面の表示をスキップし、リソースオーナが認可を許可したものとしてステップS35以降の処理を進める。なお、ステップS35〜S39の処理は図10のステップS17〜S21と同様である。
[他の実施形態]
クライアント情報の自動認可は、クライアントが自社製アプリである場合に自動認可を有効とし、クライアントがサードベンダアプリである場合に自動認可を無効とする例に限定されない。例えばクライアント情報の自動認可は、事前に検査などにより信頼できると見なした場合に自動認可を有効とし、それ以外の自動認可を無効としてもよい。
The processing of steps S31 to S34 is the same as that of steps S11 to S14 of FIG. In FIG. 12, since the client is an in-house application, it is determined that automatic authorization is effective. Since the automatic
[Other Embodiments]
The automatic authorization of client information is not limited to the example in which the automatic authorization is enabled when the client is an in-house application and the automatic authorization is invalidated when the client is a third-vendor application. For example, for automatic authorization of client information, automatic authorization may be enabled when it is considered to be reliable by inspection or the like in advance, and other automatic authorization may be invalidated.
また、自動認可判定部32は例えばクライアント情報に含まれるリダイレクトURIのドメイン部分から自社製アプリかサードベンダアプリかを確認し、自動認可を有効とするか無効とするかを判定するようにしてもよい。
Further, the automatic
(まとめ)
本実施形態によれば、複数のサービスにより実現される情報処理システム1において認可確認を省略するサービスを設定しておくことができる。従来、複数のサービスにより実現される1つの企業のクラウドサービスは、サービスごとにリソースオーナが認可確認を行う必要があり、リソースオーナの利便性を損ねていた。また、従来、1つの企業のクラウドサービスを利用している最中に何度も認可確認画面が表示される不自然さはリソースオーナを混乱させ、更に利便性を損ねる場合もあった。
(Summary)
According to this embodiment, it is possible to set a service that omits authorization confirmation in the
本実施形態によれば、例えば自社製アプリなど、事前に信頼できると見なしたサービスの認可確認を省略するため、セキュリティ上の安全性を確保しながら、リソースオーナの利便性を向上できる。 According to the present embodiment, since the authorization confirmation of the service deemed to be reliable in advance, such as an in-house manufactured application, is omitted, the convenience of the resource owner can be improved while ensuring the security safety.
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。認可サーバ装置14は特許請求の範囲に記載した情報処理装置の一例である。認可要求受付部31は認可要求受付手段の一例である。自動認可判定部32は判定手段の一例である。リダイレクト処理部34及びアクセストークン発行部35は利用権限委譲手段の一例である。ユーザ端末装置10はユーザの操作する端末装置の一例である。認可確認画面表示要求部33は認可確認画面表示要求手段の一例である。認可コード、アクセストークン及びリフレッシュトークンは資格情報の一例である。また、自動認可が有効か否か(無効か)を示す情報であるクライアント情報の項目「自動認可」は認可確認画面の表示を省略するか否かを示す情報の一例である。
The present invention is not limited to the above-described embodiment disclosed specifically, and various modifications and modifications can be made without departing from the scope of claims. The
1 情報処理システム
10 ユーザ端末装置
12 アプリサーバ装置
14 認可サーバ装置
16 リソースサーバ装置
18 ネットワーク
21 認可要求部
22 認可コード取得部
23 アクセストークン取得部
24 API呼び出し部
25 アプリ処理実行部
31 認可要求受付部
32 自動認可判定部
33 認可確認画面表示要求部
34 リダイレクト処理部
35 アクセストークン発行部
41 クライアント情報保存部
42 認可コード情報保存部
43 アクセストークン情報保存部
44 リフレッシュトークン情報保存部
51 認可確認画面表示部
52 認可要求許可/拒否応答部
100 コンピュータ
101 入力装置
102 表示装置
103 外部I/F
103a 記録媒体
104 RAM
105 ROM
106 CPU
107 通信I/F
108 HDD
B バス
1
103a Recording medium 104 RAM
105 ROM
106 CPU
107 Communication I / F
108 HDD
B bus
Claims (4)
前記クライアントから認可の要求を受け付ける認可要求受付手段と、
あらかじめ前記情報処理装置に設定されており、前記ユーザから認可の許可又は拒否を受け付ける認可確認画面の表示を省略するか否かを前記クライアント毎に示す情報に基づき、前記認可確認画面の表示を省略するか否かを判定する判定手段と、
前記認可確認画面の表示を省略すると判定した場合に、前記ユーザの操作する端末装置への前記認可確認画面の表示を省略し、前記ユーザから認可の許可を受け付けたものとして前記クライアントへ前記利用権限を委譲する利用権限委譲手段と、
前記認可確認画面の表示を省略しないと判定した場合に、前記端末装置へ前記認可確認画面の表示を要求する認可確認画面表示要求手段と、を有し、
前記利用権限委譲手段は、前記認可確認画面において前記ユーザから認可の許可を受け付けると、限定された前記サービスの利用権限を示す資格情報の発行を前記クライアントに対して行うことにより、前記クライアントへ限定された前記サービスの利用権限を委譲すること
を特徴とする情報処理装置。 An information processing device that performs authorization processing for delegating the usage authority from a user who has the usage authority of the service to a client who uses the service.
An authorization request receiving means for receiving an authorization request from the client,
The display of the authorization confirmation screen is omitted based on the information indicating whether or not to omit the display of the authorization confirmation screen that is set in the information processing device in advance and accepts the approval or denial of the authorization from the user for each client. Judgment means for determining whether or not to do
When it is determined that the display of the authorization confirmation screen is omitted, the display of the authorization confirmation screen on the terminal device operated by the user is omitted, and the user has the right to use the license as if the authorization was accepted from the user. And the means of delegating usage authority to delegate
It has an authorization confirmation screen display requesting means for requesting the terminal device to display the authorization confirmation screen when it is determined that the display of the authorization confirmation screen is not omitted.
When the authorization confirmation screen receives the authorization permission from the user, the usage authority delegation means is limited to the client by issuing the qualification information indicating the limited usage authority of the service to the client. An information processing device characterized in that the authority to use the service is delegated .
を特徴とする請求項1記載の情報処理装置。 The client is an application running on the server apparatus, according to claim 1 Symbol placement of the information processing apparatus, characterized in that it is utilized from the electronic device is the terminal device.
前記クライアントから認可の要求を受け付ける認可要求受付ステップと、
あらかじめ前記情報処理装置に設定されており、前記ユーザから認可の許可又は拒否を受け付ける認可確認画面の表示を省略するか否かを前記クライアント毎に示す情報に基づき、前記認可確認画面の表示を省略するか否かを判定する判定ステップと、
前記認可確認画面の表示を省略すると判定した場合に、前記ユーザの操作する端末装置への前記認可確認画面の表示を省略し、前記ユーザから認可の許可を受け付けたものとして前記クライアントへ前記利用権限を委譲する利用権限委譲ステップと、
前記認可確認画面の表示を省略しないと判定した場合に、前記端末装置へ前記認可確認画面の表示を要求する認可確認画面表示要求ステップと、を有し、
前記利用権限委譲ステップは、前記認可確認画面において前記ユーザから認可の許可を受け付けると、限定された前記サービスの利用権限を示す資格情報の発行を前記クライアントに対して行うことにより、前記クライアントへ限定された前記サービスの利用権限を委譲すること
を特徴とする認可方法。 It is an authorization method executed in an information processing device that performs authorization processing for delegating the usage authority from a user who has the usage authority of the service to a client who uses the service.
An authorization request acceptance step for accepting an authorization request from the client,
The display of the authorization confirmation screen is omitted based on the information indicating whether or not to omit the display of the authorization confirmation screen that is set in the information processing device in advance and accepts the approval or denial of the authorization from the user for each client. Judgment step to determine whether to do
When it is determined that the display of the authorization confirmation screen is omitted, the display of the authorization confirmation screen on the terminal device operated by the user is omitted, and the user has the right to use the license as if the authorization was accepted from the user. And the usage authority delegation step to delegate
It has an authorization confirmation screen display request step for requesting the terminal device to display the authorization confirmation screen when it is determined that the display of the authorization confirmation screen is not omitted.
The usage authority delegation step is limited to the client by issuing a qualification information indicating the limited usage authority of the service to the client when the authorization permission is received from the user on the authorization confirmation screen. An authorization method characterized by delegating the authority to use the service .
前記クライアントから認可の要求を受け付ける認可要求受付手段、
あらかじめ前記情報処理装置に設定されており、前記ユーザから認可の許可又は拒否を受け付ける認可確認画面の表示を省略するか否かを前記クライアント毎に示す情報に基づき、前記認可確認画面の表示を省略するか否かを判定する判定手段、
前記認可確認画面の表示を省略すると判定した場合に、前記ユーザの操作する端末装置への前記認可確認画面の表示を省略し、前記ユーザから認可の許可を受け付けたものとして前記クライアントへ前記利用権限を委譲する利用権限委譲手段、
前記認可確認画面の表示を省略しないと判定した場合に、前記端末装置へ前記認可確認画面の表示を要求する認可確認画面表示要求手段、として機能させ、
前記利用権限委譲手段は、前記認可確認画面において前記ユーザから認可の許可を受け付けると、限定された前記サービスの利用権限を示す資格情報の発行を前記クライアントに対して行うことにより、前記クライアントへ限定された前記サービスの利用権限を委譲すること
を特徴とするプログラム。 An information processing device that performs authorization processing for delegating the usage authority from a user who has the usage authority of the service to a client who uses the service.
An authorization request receiving means for receiving an authorization request from the client,
The display of the authorization confirmation screen is omitted based on the information indicating whether or not to omit the display of the authorization confirmation screen that is set in the information processing device in advance and accepts the approval or denial of the authorization from the user for each client. Judgment means for determining whether or not to do
When it is determined that the display of the authorization confirmation screen is omitted, the display of the authorization confirmation screen on the terminal device operated by the user is omitted, and the user has the right to use the license as if the authorization was accepted from the user. Delegation of usage authority,
When it is determined that the display of the authorization confirmation screen is not omitted, the terminal device is made to function as an authorization confirmation screen display requesting means for requesting the display of the authorization confirmation screen.
When the authorization confirmation screen receives the authorization permission from the user, the usage authority delegation means is limited to the client by issuing the qualification information indicating the limited usage authority of the service to the client. To delegate the authority to use the service
A program featuring .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016094720A JP6759691B2 (en) | 2016-05-10 | 2016-05-10 | Information processing equipment, authorization methods and programs |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016094720A JP6759691B2 (en) | 2016-05-10 | 2016-05-10 | Information processing equipment, authorization methods and programs |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017204073A JP2017204073A (en) | 2017-11-16 |
JP6759691B2 true JP6759691B2 (en) | 2020-09-23 |
Family
ID=60322309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016094720A Active JP6759691B2 (en) | 2016-05-10 | 2016-05-10 | Information processing equipment, authorization methods and programs |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6759691B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7271147B2 (en) * | 2018-11-30 | 2023-05-11 | 株式会社東芝 | SERVICE AUTHORIZATION PROCESSING APPARATUS, SYSTEM, METHOD AND PROGRAM |
-
2016
- 2016-05-10 JP JP2016094720A patent/JP6759691B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017204073A (en) | 2017-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9288213B2 (en) | System and service providing apparatus | |
US10754941B2 (en) | User device security manager | |
JP4733167B2 (en) | Information processing apparatus, information processing method, information processing program, and information processing system | |
US8561172B2 (en) | System and method for virtual information cards | |
US9210159B2 (en) | Information processing system, information processing device, and authentication method | |
US20140380462A1 (en) | Image processing apparatus that performs user authentication, authentication method therefor, and storage medium | |
KR101681888B1 (en) | Image processing apparatus that performs user authentication, authentication method therefor, and storage medium | |
US10205717B1 (en) | Virtual machine logon federation | |
JP2017033339A (en) | Service provision system, information processing device, program and service use information creation method | |
US11082813B2 (en) | Message-based management service enrollment | |
US9282091B2 (en) | Information processing system, information processing device, and authentication method | |
US11503074B2 (en) | Device enrollment in a management service | |
JP6759691B2 (en) | Information processing equipment, authorization methods and programs | |
US20200379699A1 (en) | Authentication system using a code with a mobile application | |
JP6237868B2 (en) | Cloud service providing system and cloud service providing method | |
JP5145856B2 (en) | Electronic information management system, electronic information management apparatus, and electronic information management program | |
US20150381622A1 (en) | Authentication system, authentication method, authentication apparatus, and recording medium | |
JP2000105747A (en) | Screen control method for single log-in system | |
JP2020035305A (en) | Authentication system and method thereof, and program thereof | |
JP7078090B2 (en) | Information processing system and authorization method | |
JP6299101B2 (en) | Service providing system, service providing method and program | |
JP7073851B2 (en) | Information processing equipment, system, authentication method | |
JP6897977B2 (en) | Authentication system and its method, and its program | |
JP2017227991A (en) | Management system, management method, and program | |
JP2022087192A (en) | Authentication system and method thereof, and program thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190227 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191218 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200204 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200402 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200804 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200817 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6759691 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |