JP6949688B2 - システムおよびその制御方法 - Google Patents
システムおよびその制御方法 Download PDFInfo
- Publication number
- JP6949688B2 JP6949688B2 JP2017230834A JP2017230834A JP6949688B2 JP 6949688 B2 JP6949688 B2 JP 6949688B2 JP 2017230834 A JP2017230834 A JP 2017230834A JP 2017230834 A JP2017230834 A JP 2017230834A JP 6949688 B2 JP6949688 B2 JP 6949688B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- user
- information
- web browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Description
以下、本発明を実施するための形態について図面を用いて説明する。図1は、本発明を実施するための一実施形態に係る情報処理装置の構成を示す図である。図1において、情報処理装置は、CPU102、メモリ103、記憶装置104、ビデオインタフェース105、Input/Output(以下I/Oと略称)インタフェース106、通信インタフェース107を備えている。また、情報処理装置内の各構成要素はシステムバス101を介して互いに接続されている。CPU102は、システムバス101を介して各構成要素を制御したり、データの計算や加工を行ったりする中央処理装置である。
実施例1では、図7で説明した統合エントランスサーバー230からのログイン処理において、S704やS707でAPIを使った実装を行っているが、古いWebブラウザではスクリプトを使ったAPI呼び出しが実行できないものもある。そのような古いWebブラウザを使ったケースにおいても、統合エントランスサーバー230からのログイン処理するための実施形態について説明する。
実施例1および実施例2は認証・認可サーバー213が認証トークンを発行し、リソースサーバー214は認証トークンの検証を認証・認可サーバー213に依頼していたが、デジタル署名付きの情報として渡す実装であってもよい。例えば、認証・認可サーバー213は、認証トークンをJWTフォーマットで発行し、自身の秘密鍵を使ってデジタル署名を付与して渡す。リソースサーバー214は認証・認可サーバー213の公開鍵を使って署名検証を行い、JWTペイロード部をチェックすることで認証トークンの検証を行う。
212 リバースプロキシサーバー
213 認証・認可サーバー
214 リソースサーバー
230 統合エントランスサーバー
Claims (10)
- 各リージョンに配備された複数の認証サーバーと、ログインページを提供する統合エントランスサーバーと、Webブラウザを有するクライアントとを含むシステムであって、
前記統合エントランスサーバーは、
前記Webブラウザから前記ログインページを介してユーザーにより入力されたユーザー情報を受信したことに応じて、前記ユーザー情報を基に前記ユーザーが所属するリージョンを特定する特定手段と、
前記特定手段により特定されたリージョンに関する情報を前記Webブラウザへ送信する送信手段と、を有し、
前記クライアントは、
前記送信手段により送信された情報を基に、各リージョンに配備された複数の認証サーバーの内、1つの認証サーバーへアクセスするアクセス手段を有し、
前記アクセス手段によるアクセスを受けた前記認証サーバーは、
前記アクセス手段によるアクセスに伴い受信した前記ユーザー情報を基に、前記ユーザーの認証を行う認証手段と、
前記認証手段により前記ユーザーが認証されたことに応じて、前記WebブラウザのCookie情報に対してログインされたことを示す認証トークンおよび前記統合エントランスサーバーを経由してログインされたことを示す識別情報を設定する設定手段と、を有し、
前記WebブラウザのCookie情報を基に、前記システムにおける前記Webブラウザの遷移を制御することを特徴とするシステム。 - 前記Webブラウザの遷移の制御とは、前記統合エントランスサーバーへのアクセス、および各リージョンに配備されたリソースサーバーへのアクセスの何れか1つのアクセスが行われたことによる前記Webブラウザの遷移の制御であることを特徴とする請求項1に記載のシステム。
- 前記アクセス手段によるアクセスは、前記Webブラウザにより行われることを特徴とする請求項1または2に記載のシステム。
- 前記認証サーバーは、
各リージョンに配備された複数のリソースサーバーの内、前記クライアントによるアクセスを受けたリソースサーバーから前記クライアントの前記WebブラウザのCookie情報に設定された認証トークンを受信し、受信された認証トークンの検証を行う検証手段を有する請求項1に記載のシステム。 - 前記認証サーバーは、
前記検証手段による検証がエラーであったことにより前記リソースサーバーからの指示で前記クライアントがアクセスしてきたことに応じて、前記Cookie情報に設定された前記識別情報を基に、前記統合エントランスサーバーを経由してログインしたか否かを確認する確認手段と、
前記確認手段により前記統合エントランスサーバーを経由してログインしたと確認されたことに応じて、前記クライアントに前記統合エントランスサーバーへアクセスするよう指示する指示手段と、を有し、
前記統合エントランスサーバーは、前記指示手段による指示に従いアクセスしてきた前記クライアントの前記Webブラウザに対して前記ログインページを提供することを特徴とする請求項4に記載のシステム。 - 前記指示手段は、クライアントに前記統合エントランスサーバーへアクセスするよう指示するとともに、前記Webブラウザの前記Cookie情報に設定された前記識別情報を無効化することを特徴とする請求項5に記載のシステム。
- 前記認証サーバーは、前記確認手段により前記統合エントランスサーバーを経由してログインしていないと確認されたことに応じて、前記クライアントの前記Webブラウザに対して前記認証サーバーのログインページを提供することを特徴とする請求項5または6に記載のシステム。
- 前記Webブラウザは、
前記統合エントランスサーバーが提供する前記ログインページに入力された前記ユーザー情報を保存する保存手段を有し、
前記指示手段による指示に従い前記統合エントランスサーバーにアクセスしたことに応じて提供される前記ログインページに前記保存手段により保存された前記ユーザー情報が入力された状態で、当該ログインページを表示することを特徴とする請求項5乃至7の何れか1項に記載のシステム。 - 前記送信手段は、前記クライアントの環境情報を基に前記Webブラウザが認証に関するAPIを呼び出せないことが確認された場合、暗号化したユーザー情報、デジタル署名、およびアクセスすべき認証サーバーのURLを送信し、
前記アクセス手段は、前記URLが示す前記認証サーバーへアクセスするとともに前記ユーザー情報、および前記デジタル署名を送信し、
前記認証手段は、前記デジタル署名の検証が成功したことに応じて、前記暗号化された前記ユーザー情報を基に前記ユーザーの認証を行うことを特徴とする請求項1乃至8の何れか1項に記載のシステム。 - 各リージョンに配備された複数の認証サーバーと、ログインページを提供する統合エントランスサーバーと、Webブラウザを有するクライアントとを含むシステムの制御方法であって、
前記統合エントランスサーバーにおいて、
前記Webブラウザから前記ログインページを介してユーザーにより入力されたユーザー情報を受信したことに応じて、前記ユーザー情報を基に前記ユーザーが所属するリージョンを特定する特定ステップと、
前記特定ステップにより特定されたリージョンに関する情報を前記Webブラウザへ送信する送信ステップと、を実行し、
前記クライアントにおいて、
前記送信ステップにおいて送信された情報を基に、各リージョンに配備された複数の認証サーバーの内、1つの認証サーバーへアクセスするアクセスステップを実行し、
前記アクセスステップによるアクセスを受けた前記認証サーバーにおいて、
前記アクセスステップによるアクセスに伴い受信した前記ユーザー情報を基に、前記ユーザーの認証を行う認証ステップと、
前記認証ステップにおいて前記ユーザーが認証されたことに応じて、前記WebブラウザのCookie情報に対してログインされたことを示す認証トークンおよび前記統合エントランスサーバーを経由してログインされたことを示す識別情報を設定する設定ステップと、を実行し、
前記WebブラウザのCookie情報を基に、前記システムにおける前記Webブラウザの遷移を制御することを特徴とする制御方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017230834A JP6949688B2 (ja) | 2017-11-30 | 2017-11-30 | システムおよびその制御方法 |
EP18208399.8A EP3493463B1 (en) | 2017-11-30 | 2018-11-26 | System and control method therefor |
US16/204,039 US11044245B2 (en) | 2017-11-30 | 2018-11-29 | System and control method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017230834A JP6949688B2 (ja) | 2017-11-30 | 2017-11-30 | システムおよびその制御方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019101668A JP2019101668A (ja) | 2019-06-24 |
JP6949688B2 true JP6949688B2 (ja) | 2021-10-13 |
Family
ID=64604430
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017230834A Active JP6949688B2 (ja) | 2017-11-30 | 2017-11-30 | システムおよびその制御方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11044245B2 (ja) |
EP (1) | EP3493463B1 (ja) |
JP (1) | JP6949688B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6643373B2 (ja) * | 2018-02-09 | 2020-02-12 | キヤノン株式会社 | 情報処理システムと、その制御方法とプログラム |
EP3554038A1 (en) * | 2018-04-11 | 2019-10-16 | Barclays Services Limited | System for efficient management of invalid access tokens |
JP7331532B2 (ja) * | 2019-07-30 | 2023-08-23 | 京セラドキュメントソリューションズ株式会社 | 情報処理システム、情報処理装置、および情報処理方法 |
CN114244548B (zh) * | 2021-04-12 | 2023-10-13 | 无锡江南计算技术研究所 | 一种面向云ide的动态调度和用户认证方法 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7155737B1 (en) * | 1999-05-11 | 2006-12-26 | Entrust, Inc. | Integrating user specified extensions into an information access system |
US20040003287A1 (en) * | 2002-06-28 | 2004-01-01 | Zissimopoulos Vasileios Bill | Method for authenticating kerberos users from common web browsers |
JP4946564B2 (ja) * | 2007-03-27 | 2012-06-06 | 富士通株式会社 | 認証処理方法及びシステム |
JP5153591B2 (ja) * | 2008-11-26 | 2013-02-27 | 株式会社日立製作所 | 認証仲介サーバ、プログラム、認証システム及び選択方法 |
EP2526504A1 (en) * | 2010-01-22 | 2012-11-28 | InterDigital Patent Holdings, Inc. | Method and apparatus for trusted federated identity management and data access authorization |
US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
JP5821904B2 (ja) | 2013-06-20 | 2015-11-24 | コニカミノルタ株式会社 | 情報処理装置およびプログラム |
JP6198507B2 (ja) * | 2013-07-29 | 2017-09-20 | キヤノン株式会社 | 画像形成装置及びその制御方法、並びにプログラム |
US20160021097A1 (en) * | 2014-07-18 | 2016-01-21 | Avaya Inc. | Facilitating network authentication |
US9641503B2 (en) * | 2014-10-03 | 2017-05-02 | Amazon Technologies, Inc. | Using credentials stored in different directories to access a common endpoint |
JP2017010266A (ja) * | 2015-06-22 | 2017-01-12 | 株式会社リコー | 情報処理システム、制御方法、及びサービス提供装置 |
JP6719875B2 (ja) * | 2015-09-01 | 2020-07-08 | キヤノン株式会社 | 認証サーバ、認証方法およびプログラム |
-
2017
- 2017-11-30 JP JP2017230834A patent/JP6949688B2/ja active Active
-
2018
- 2018-11-26 EP EP18208399.8A patent/EP3493463B1/en active Active
- 2018-11-29 US US16/204,039 patent/US11044245B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20190173877A1 (en) | 2019-06-06 |
JP2019101668A (ja) | 2019-06-24 |
EP3493463B1 (en) | 2021-03-24 |
EP3493463A1 (en) | 2019-06-05 |
US11044245B2 (en) | 2021-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6949688B2 (ja) | システムおよびその制御方法 | |
EP3525415B1 (en) | Information processing system and control method therefor | |
US10817703B2 (en) | Capturing electronic signatures via captive portal | |
JP5458888B2 (ja) | 証明書生成配布システム、証明書生成配布方法およびプログラム | |
US8504704B2 (en) | Distributed contact information management | |
JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
JP5988699B2 (ja) | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 | |
US9824351B2 (en) | Providing access to account information using authentication tokens | |
US8938789B2 (en) | Information processing system, method for controlling information processing system, and storage medium | |
US9830591B2 (en) | Providing access to account information using authentication tokens | |
US10637830B2 (en) | VPN access control system, operating method thereof, program, VPN router, and server | |
WO2013175901A1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
KR20130007797A (ko) | 개방형 인증 방법 및 시스템 | |
JP7096736B2 (ja) | システム、及びデータ処理方法 | |
JP2020067967A (ja) | 情報処理システム、情報処理装置、情報処理方法、およびプログラム | |
JP2012243027A (ja) | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 | |
JP2007257500A (ja) | 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット | |
KR101803535B1 (ko) | 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법 | |
KR20080036837A (ko) | 웹 사이트의 로그인 정보 저장 방법, 그를 이용한 자동로그인 방법과 그를 위한 프로그램을 기록한 컴퓨터에서읽을 수 있는 기록매체 | |
JP5955106B2 (ja) | マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法 | |
JP2017010266A (ja) | 情報処理システム、制御方法、及びサービス提供装置 | |
JP4890105B2 (ja) | 認証装置、認証代行装置、およびユーザ認証方法 | |
JP2005293161A (ja) | 認証システム、認証方法及びコンピュータプログラム | |
JP2016057737A (ja) | サービス提供システム及びこれに用いる管理サーバー及び管理方法 | |
JP2007272689A (ja) | オンラインストレージ認証システム、オンラインストレージ認証方法、及びオンラインストレージ認証プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201105 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210824 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210825 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210922 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 6949688 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |