JP7025684B2 - Proxy authentication system, proxy authentication method, program - Google Patents

Proxy authentication system, proxy authentication method, program Download PDF

Info

Publication number
JP7025684B2
JP7025684B2 JP2017160631A JP2017160631A JP7025684B2 JP 7025684 B2 JP7025684 B2 JP 7025684B2 JP 2017160631 A JP2017160631 A JP 2017160631A JP 2017160631 A JP2017160631 A JP 2017160631A JP 7025684 B2 JP7025684 B2 JP 7025684B2
Authority
JP
Japan
Prior art keywords
authentication
client terminal
web service
external web
relay server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017160631A
Other languages
Japanese (ja)
Other versions
JP2019040319A (en
Inventor
伸広 野島
利行 前島
一晃 金井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Konica Minolta Inc
Original Assignee
Konica Minolta Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Konica Minolta Inc filed Critical Konica Minolta Inc
Priority to JP2017160631A priority Critical patent/JP7025684B2/en
Publication of JP2019040319A publication Critical patent/JP2019040319A/en
Application granted granted Critical
Publication of JP7025684B2 publication Critical patent/JP7025684B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Description

本発明は、クライアント端末の代理で中継サーバが外部Webサービスにログインする代理認証システム、代理認証方法、プログラムに関する。 The present invention relates to a proxy authentication system, a proxy authentication method, and a program in which a relay server logs in to an external Web service on behalf of a client terminal.

中継サーバを用いたSSO(Single Sign-On)システムが知られている(下記特許文献1,2参照)。これは、ユーザ端末がWebサービスへアクセスするときに中継サーバを経由するように構成されたシステムであり、ユーザ端末からWebサービスへのリクエストを中継サーバが横取りし、中継サーバが代理でWebサービスへの認証を行ってログインするというものである。なお、中継サーバはプロキシサーバやリバースプロキシサーバとよばれるものであり、この二つはサービス利用者側が設置するか、サービス提供者側が設置するかの違いがあるものの、いずれもクライアント端末と外部Webサービスとの間で通信を中継し、セキュリティの確保やネットワーク帯域の有効活用、レスポンスの向上などの役割を果たす。 An SSO (Single Sign-On) system using a relay server is known (see Patent Documents 1 and 2 below). This is a system configured to go through a relay server when a user terminal accesses a Web service. The relay server intercepts a request from the user terminal to the Web service, and the relay server acts as a proxy for the Web service. It is to authenticate and log in. The relay server is called a proxy server or a reverse proxy server, and although there is a difference between the two being installed by the service user side and the service provider side, both are the client terminal and the external Web. It relays communication with services and plays a role in ensuring security, effective use of network bandwidth, and improving response.

図13は、従来のSSOシステムの構成例を示し、図14は、図13のSSOシステムで外部Webサービスにログインする際のシーケンスを示している。 FIG. 13 shows a configuration example of a conventional SSO system, and FIG. 14 shows a sequence for logging in to an external Web service with the SSO system of FIG.

中継サービスを構成するデータベース(DB)には、複数の外部Webサービスのそれぞれについて、そのWebサービスにログインする際に使用するユーザ名とパスワードの組が登録されている。 In the database (DB) constituting the relay service, a set of a user name and a password used when logging in to the Web service is registered for each of the plurality of external Web services.

ユーザが自己のモバイル端末のWebブラウザを使用して外部Webサービスへのアクセスを要求すると(S1)、中継サーバであるリバースプロキシサーバがこの通信を横取りし、モバイル端末のWebブラウザにログインページを送信して表示させる(S2)。ユーザはこのログインページにユーザ名とパスワードを入力してリバースプロキシサーバにログインする(S3)。 When the user requests access to an external web service using the web browser of his / her mobile terminal (S1), the reverse proxy server, which is a relay server, intercepts this communication and sends a login page to the web browser of the mobile terminal. And display it (S2). The user enters the user name and password on this login page to log in to the reverse proxy server (S3).

リバースプロキシサーバへのログインに成功すると、リバースプロキシサーバは、認証サーバに問い合わせて(S4)、S1でモバイル端末のWebブラウザがアクセスしようとした外部Webサービスにこのモバイル端末のユーザがログインするためのユーザ名とパスワードの組を取得する(S5)。そして、このユーザ名とパスワードを使用して、S1でモバイル端末のWebブラウザがアクセスしようとした外部Webサービスに代理でログインする(S6)。 When the login to the reverse proxy server is successful, the reverse proxy server queries the authentication server (S4), and the user of this mobile terminal logs in to the external web service that the web browser of the mobile terminal tried to access in S1. Acquire a set of user name and password (S5). Then, using this user name and password, the user logs in on behalf of the external Web service that the Web browser of the mobile terminal tried to access in S1 (S6).

ログインに成功すると(S7)、リバースプロキシサーバはログインの成功をモバイル端末のWebブラウザに通知する(S8)。以後、モバイル端末のWebブラウザは外部Webサービスにアクセス可能になる。 When the login is successful (S7), the reverse proxy server notifies the Web browser of the mobile terminal of the success of the login (S8). After that, the Web browser of the mobile terminal can access the external Web service.

以上のように、SSOシステムでは、ユーザは中継サーバにログインするための一組のユーザ名とパスワードを記憶しておけば、外部Webサービス毎に個別のユーザ名とパスワードを覚えなくても、複数の外部Webサービスのどれにでもログインすることができる。 As described above, in the SSO system, if the user remembers a set of user names and passwords for logging in to the relay server, multiple user names and passwords can be stored without having to remember individual user names and passwords for each external Web service. You can log in to any of the external web services of.

特開2008-9607号公報Japanese Unexamined Patent Publication No. 2008-9607 特開2012-164219号公報Japanese Unexamined Patent Publication No. 2012-164219

上記のような従来のSSOシステムでは、ユーザは中継サーバにログインするためのユーザ名とパスワードを記憶する必要があり、一定の負担をユーザにかけていた。また、中継サーバを利用するための情報(中継サーバにログインするために必要な情報)が漏えいすると、第三者がすべての外部Webサービスを不正に利用可能になってしまう。 In the conventional SSO system as described above, the user needs to memorize the user name and password for logging in to the relay server, which imposes a certain burden on the user. Further, if the information for using the relay server (information necessary for logging in to the relay server) is leaked, a third party can illegally use all the external Web services.

一方で、パスワードに代わる認証方法として、生体情報を利用する方法が知られている。これは、指紋や静脈等、個人の身体的特徴を認証情報とするため、ユーザはユーザ名とパスワードを記憶する必要がない。中継サーバへのログインにこのような生体認証を利用できれば良いが、モバイル端末にインストールされたWebブラウザから該モバイル端末が備える、あるいは該モバイル端末に接続された、生体認証装置を利用してユーザ認証する、といったことはできなかった。 On the other hand, as an authentication method instead of a password, a method of using biometric information is known. Since this uses personal physical characteristics such as fingerprints and veins as authentication information, the user does not need to memorize the user name and password. It would be good if such biometric authentication could be used to log in to the relay server, but user authentication could be performed using a biometric authentication device provided by the mobile terminal or connected to the mobile terminal from a Web browser installed on the mobile terminal. I couldn't do that.

本発明は、上記の問題を解決しようとするものであり、クライアント端末にインストールされている一般的なWebブラウザを使用していても、生体認証等の認証装置を利用して中継サーバにログイン可能な代理認証システム、代理認証方法およびそのプログラムを提供することを目的としている。 The present invention is intended to solve the above problem, and even if a general Web browser installed on a client terminal is used, it is possible to log in to a relay server using an authentication device such as biometric authentication. The purpose is to provide a proxy authentication system, a proxy authentication method, and a program thereof.

かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。 The gist of the present invention for achieving such an object lies in the inventions of the following paragraphs.

[1]Webブラウザと認証アプリケーションがインストールされたクライアント端末と、
中継サーバと、
を備え、
前記中継サーバは、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得し、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信し、
前記URLスキームを受信した前記クライアント端末は、前記認証アプリケーションを起動し、該起動された認証アプリケーションは、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知し、
前記通知を受けた前記中継サーバは、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインする
ことを特徴とする代理認証システム。 [1] A client terminal on which a Web browser and an authentication application are installed,
With a relay server
Equipped with
The relay server acquires the communication for accessing the external Web service by the Web browser of the client terminal on behalf of the external Web service, and based on the predetermined information added to the accessing communication, the relay server of the client terminal. The type is determined, the URL scheme for invoking the authentication application is selected based on the result of the determination, and the result is transmitted to the client terminal.
The client terminal that has received the URL scheme activates the authentication application, and the activated authentication application performs user authentication using a predetermined authentication device, and if the user authentication is successful, the authentication is successful. Notify the relay server and
Upon receiving the notification, the relay server sends a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. A proxy authentication system characterized by logging in to.

上記発明では、外部Webサービスへのアクセスを取得(横取り)した中継サーバがURLスキームをクライアント端末に送信して端末の認証アプリケーションを起動するので、Webブラウザからは直接利用できない生体認証装置などの認証装置を用いてユーザ認証することができる。認証装置はクライアント端末が内蔵するものであってもよいし、クライアント端末に接続された外部のものであってもよい。また上記発明では、端末のOSの種類等に応じた適切なURLスキームを端末に送信することができる。 In the above invention, since the relay server that has acquired (taken over) access to the external Web service sends the URL scheme to the client terminal and starts the terminal authentication application, authentication of a biometric authentication device or the like that cannot be used directly from the Web browser. User authentication can be performed using the device. The authentication device may be a built-in one in the client terminal or an external one connected to the client terminal. Further, in the above invention, an appropriate URL scheme according to the type of OS of the terminal and the like can be transmitted to the terminal.

[2]前記所定の認証装置は、前記クライアント端末に接続された、前記クライアント端末とは別の認証装置である
ことを特徴とする[1]に記載の代理認証システム。 [2] The proxy authentication system according to [1], wherein the predetermined authentication device is an authentication device connected to the client terminal and different from the client terminal.

]前記中継サーバは、クライアント端末とこのクライアント端末に許可する外部Webサービスとを紐付けた情報を記憶しておき、前記アクセスする通信の通信先の外部Webサービスが前記アクセスする通信の送信元のクライアント端末に紐付けられていることを条件に、前記クライアント端末の代理で前記外部Webサービスにログインする
ことを特徴とする[1]または[2]に記載の代理認証システム。 [ 3 ] The relay server stores information associated with the client terminal and the external Web service permitted to the client terminal, and the external Web service of the communication destination of the access communication transmits the access communication. The proxy authentication system according to [1] or [2] , wherein the external Web service is logged in on behalf of the client terminal on condition that the client terminal is associated with the original client terminal.

上記発明では、端末毎に、代理認証を許可する外部Webサービスを切り替えることができる。
[4]Webブラウザと認証アプリケーションがインストールされたクライアント端末と、
中継サーバと、
を備え、
前記中継サーバは、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得し、前記認証アプリケーションを起動するためのURLスキームを前記クライアント端末に送信し、
前記URLスキームを受信した前記クライアント端末は、前記認証アプリケーションを起動し、該起動された認証アプリケーションは、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知し、
前記通知を受けた前記中継サーバは、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインし、
前記中継サーバは、一のユーザが第1のクライアント端末を使用する場合と第2のクライアント端末を使用する場合で、前記代理でのログインを許可する外部Webサービスを切り替える
ことを特徴とする代理認証システム。 In the above invention, the external Web service that allows proxy authentication can be switched for each terminal.
[4] A client terminal on which a Web browser and an authentication application are installed,
With a relay server
Equipped with
The relay server acquires communication for accessing the external Web service by the Web browser of the client terminal on behalf of the external Web service, and transmits a URL scheme for invoking the authentication application to the client terminal.
The client terminal that has received the URL scheme activates the authentication application, and the activated authentication application performs user authentication using a predetermined authentication device, and if the user authentication is successful, the authentication is successful. Notify the relay server and
Upon receiving the notification, the relay server transmits a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. Log in to
The relay server switches between an external Web service that allows login on behalf of the user when one user uses the first client terminal and when the second client terminal is used.
A proxy authentication system characterized by that.

[5]前記所定の認証装置は、生体認証装置である
ことを特徴とする[1]乃至[4]のいずれか1つに記載の代理認証システム。 [5] The proxy authentication system according to any one of [1] to [4], wherein the predetermined authentication device is a biometric authentication device.

[6]Webブラウザと認証アプリケーションがインストールされたクライアント端末の代理で中継サーバが外部Webサービスにログインする代理認証方法であって、
前記中継サーバが、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得するステップと、
前記取得した前記中継サーバが、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記クライアント端末にインストールされている認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信するステップと、
前記URLスキームを受信した前記クライアント端末が、前記認証アプリケーションを起動するステップと、
前記起動された認証アプリケーションが、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知するステップと、
前記通知を受けた前記中継サーバが、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインするステップと
を有する
ことを特徴とする代理認証方法。 [6] A proxy authentication method in which a relay server logs in to an external web service on behalf of a client terminal on which a web browser and an authentication application are installed.
A step in which the relay server acquires communication for the Web browser of the client terminal to access the external Web service on behalf of the external Web service.
A URL scheme for the acquired relay server to determine the type of the client terminal based on predetermined information added to the communication to be accessed and to start an authentication application installed on the client terminal is provided. A step of selecting based on the result of the determination and transmitting to the client terminal, and
The step in which the client terminal receiving the URL scheme activates the authentication application,
The step of notifying the relay server of the success of the authentication when the activated authentication application performs user authentication using a predetermined authentication device and the user authentication is successful.
Upon receiving the notification, the relay server sends a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. A surrogate authentication method characterized by having a step to log in to.

[7]クライアント端末の代理で外部Webサービスにログインする中継サーバで実行されるプログラムであって、
前記中継サーバが、
前記クライアント端末のWebブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得するステップと、
前記通信を取得した場合に、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記クライアント端末にインストールされている認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信するステップと、
前記URLスキームによって起動された認証アプリケーションが所定の認証装置を用いてユーザ認証に成功した旨の通知を前記クライアント端末から受信するステップと、
前記通知を受信した場合に、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインするステップと
を有する
ことを特徴とするプログラム。 [7] A program executed by a relay server that logs in to an external Web service on behalf of a client terminal.
The relay server
A step of acquiring communication for accessing an external Web service by the Web browser of the client terminal on behalf of the external Web service.
When the communication is acquired , the type of the client terminal is determined based on the predetermined information attached to the communication to be accessed, and a URL scheme for activating the authentication application installed on the client terminal is provided. A step of selecting based on the result of the determination and transmitting to the client terminal, and
A step of receiving a notification from the client terminal that the authentication application activated by the URL scheme has succeeded in user authentication using a predetermined authentication device, and
When the notification is received, the client terminal sends a login request including login information necessary for logging in to the external web service to the external web service, and logs in to the external web service on behalf of the client terminal. A program characterized by having steps to do.

本発明に係る代理認証システム、代理認証方法およびそのプログラムによれば、クライアント端末にインストールされている一般的なWebブラウザを使用していても、生体認証等の認証装置を利用して中継サーバにログインすることができるので、ユーザはユーザ名とパスワードを記憶する煩わしさから開放される。 According to the proxy authentication system, proxy authentication method and its program according to the present invention, even if a general Web browser installed on the client terminal is used, an authentication device such as biometric authentication can be used as a relay server. Being able to log in frees the user from the hassle of remembering usernames and passwords.

本発明の実施の形態に係る代理認証システムの構成等を示す図である。It is a figure which shows the structure of the proxy authentication system which concerns on embodiment of this invention. 認証アプリケーションが持つデータ(端末登録データ)を示す図である。It is a figure which shows the data (terminal registration data) which an authentication application has. 認証サーバが保持する登録端末リストの一例を示す図である。It is a figure which shows an example of the registration terminal list held by an authentication server. 認証サーバのデータベースが保持するログイン情報登録リストの一例を示す図である。It is a figure which shows an example of the login information registration list held by the database of an authentication server. リバースプロキシサーバが、一時的に保持する一時登録データの一例を示す図である。It is a figure which shows an example of the temporary registration data which a reverse proxy server temporarily holds. 外部Webサービスが保持する認証情報登録リストの一例を示す図である。It is a figure which shows an example of the authentication information registration list held by an external Web service. 代理認証システムにおいて、モバイル端末が外部Webサービスにログインして該サービスを利用可能となるまでの流れを示すシーケンス図である。It is a sequence diagram which shows the flow until a mobile terminal logs in to an external Web service and becomes able to use the service in the proxy authentication system. リバースプロキシサーバが保持する端末スキーム対応表の一例を示す図である。It is a figure which shows an example of the terminal scheme correspondence table held by a reverse proxy server. 一人のユーザがモバイル端末(1)とモバイル端末(2)を所有する場合の代理認証システムの構成例を示す図である。It is a figure which shows the configuration example of the proxy authentication system when one user owns a mobile terminal (1) and a mobile terminal (2). 認証サーバに登録されたサービス別登録端末リストの一例を示す図である。It is a figure which shows an example of the registered terminal list by service registered in an authentication server. 中継装置が行う処理を示す流れ図である。It is a flow chart which shows the process performed by a relay device. モバイル端末の認証アプリが行う処理を示す流れ図である。It is a flow chart which shows the process performed by the authentication application of a mobile terminal. 従来のSSOシステムの構成例を示す図である。It is a figure which shows the configuration example of the conventional SSO system. 従来のSSOシステムで端末から外部Webサービスを利用する際の流れを示すシーケンス図である。It is a sequence diagram which shows the flow when using an external Web service from a terminal in a conventional SSO system.

以下、図面に基づき本発明の実施の形態を説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本発明の実施の形態に係る代理認証システム2の構成を示している。ここでは、クライアント端末を、ユーザが携帯可能なスマートフォンなどの情報処理装置であるモバイル端末とする。代理認証システム2は、ユーザが利用するモバイル端末10と、中継装置(中継サーバ)20を備える。モバイル端末10はLAN(Local Area Network)を介して中継装置20に接続され、中継装置20は外部の広域ネットワーク(WAN)に接続されている。広域ネットワークには、各種の外部Webサービス31を提供するサーバが設けられている。 FIG. 1 shows the configuration of the proxy authentication system 2 according to the embodiment of the present invention. Here, the client terminal is a mobile terminal that is an information processing device such as a smartphone that can be carried by a user. The proxy authentication system 2 includes a mobile terminal 10 used by the user and a relay device (relay server) 20. The mobile terminal 10 is connected to the relay device 20 via a LAN (Local Area Network), and the relay device 20 is connected to an external wide area network (WAN). The wide area network is provided with a server that provides various external Web services 31.

代理認証システム2は、モバイル端末10のWebブラウザ11から外部Webサービス31へアクセスする際の該外部Webサービス31へのログイン認証を、モバイル端末10に代わって中継装置20が代理で行う機能(代理認証機能)を果たす。 The proxy authentication system 2 has a function (proxy) in which the relay device 20 performs login authentication to the external Web service 31 when accessing the external Web service 31 from the Web browser 11 of the mobile terminal 10 on behalf of the mobile terminal 10. Authentication function) is fulfilled.

モバイル端末10は、CPU(Central Processing Unit)にROM(Read Only Memory)、RAM(Random Access Memory)、表示部、操作入力部、通信部、記憶部などを接続して構成される。記憶部に記憶されたプログラムを実行することでモバイル端末10の機能が実現される。モバイル端末10には、Webブラウザ11のプログラム、認証アプリケーション12のプログラムなどがインストールされており、CPUで実行される。以後、認証アプリケーション12を認証アプリ12と略記する。 The mobile terminal 10 is configured by connecting a ROM (Read Only Memory), a RAM (Random Access Memory), a display unit, an operation input unit, a communication unit, a storage unit, and the like to a CPU (Central Processing Unit). The function of the mobile terminal 10 is realized by executing the program stored in the storage unit. A program of the Web browser 11, a program of the authentication application 12, and the like are installed in the mobile terminal 10, and are executed by the CPU. Hereinafter, the authentication application 12 will be abbreviated as the authentication application 12.

モバイル端末10は、生体認証装置13を具備する、もしくは、外部の生体認証装置13が接続されている。生体認証装置13は、指紋認証、静脈認証など人体の特徴によって個人を特定する認証装置であれば任意でよい。 The mobile terminal 10 is equipped with a biometric authentication device 13, or is connected to an external biometric authentication device 13. The biometric authentication device 13 may be any authentication device as long as it is an authentication device that identifies an individual according to the characteristics of the human body such as fingerprint authentication and vein authentication.

中継装置20は、リバースプロキシサーバ21、認証サーバ22、データベース23を備えている。データベース23をDB23と略記する。リバースプロキシサーバ21、認証サーバ22はいずれもCPU、ROM、RAM、通信部、記憶部を主要部として構成された情報処理装置であり、記憶部に格納されたプログラムをCPUが実行する。 The relay device 20 includes a reverse proxy server 21, an authentication server 22, and a database 23. Database 23 is abbreviated as DB23. The reverse proxy server 21 and the authentication server 22 are all information processing devices composed of a CPU, ROM, RAM, a communication unit, and a storage unit as main units, and the CPU executes a program stored in the storage unit.

モバイル端末10の接続されたLANからWAN向けの通信はすべて中継装置20のリバースプロキシサーバ21を経由して行われている。リバースプロキシサーバ21は、通信内容に応じて接続先を変更したり、通信内容を書き換えたりする機能を果たす。 All communication from the LAN to which the mobile terminal 10 is connected to the WAN is performed via the reverse proxy server 21 of the relay device 20. The reverse proxy server 21 fulfills a function of changing the connection destination or rewriting the communication content according to the communication content.

図2は、認証アプリケーション12が持つデータを示している。認証アプリケーション12は、当該認証アプリ12がインストールされたモバイル端末10のユーザの当該代理認証システム2におけるユーザ名と、代理認証システム2において該モバイル端末10に一意に割り当てられた識別子である端末IDと、中継装置20にログインするためのユーザ認証に使用する認証装置を指定する認証装置情報を端末登録データ40として記憶する。 FIG. 2 shows the data possessed by the authentication application 12. The authentication application 12 includes a user name of the user of the mobile terminal 10 on which the authentication application 12 is installed in the proxy authentication system 2, and a terminal ID which is an identifier uniquely assigned to the mobile terminal 10 in the proxy authentication system 2. , The authentication device information that specifies the authentication device used for user authentication for logging in to the relay device 20 is stored as the terminal registration data 40.

図3は、認証サーバ22が保持する登録端末リスト41の一例を示している。登録端末リスト41には、代理認証を許可するモバイル端末10の端末IDが登録される。ここでは、端末IDは以下の手順で発行される。
(1)ユーザがモバイル端末10内の認証アプリ12を利用して認証サーバ22に端末IDの発行を要求する。
(2)認証サーバ22は、固有の端末IDを割り当て、これを要求元のモバイル端末10に通知すると共に、登録端末リスト41に登録する。
(3)モバイル端末10の認証アプリ12は通知された端末IDを図2のように登録する。 FIG. 3 shows an example of the registered terminal list 41 held by the authentication server 22. In the registered terminal list 41, the terminal ID of the mobile terminal 10 that allows proxy authentication is registered. Here, the terminal ID is issued by the following procedure.
(1) The user requests the authentication server 22 to issue a terminal ID by using the authentication application 12 in the mobile terminal 10.
(2) The authentication server 22 assigns a unique terminal ID, notifies the requesting mobile terminal 10 of this, and registers it in the registered terminal list 41.
(3) The authentication application 12 of the mobile terminal 10 registers the notified terminal ID as shown in FIG.

図4は、認証サーバ22のデータベース23が保持するログイン情報登録リスト43の一例を示している。ログイン情報登録リスト43には、外部Webサービス31毎に、代理認証システム2でのユーザ名と、対象の外部Webサービスでのユーザ名とパスワードが対応付けて登録される。この例では、たとえば、代理認証システム2でのユーザ名がUser1のユーザの外部Webサービス(A)ではユーザ名はUserA1であり、パスワードはaaaとなっている。また、代理認証システム2でのユーザ名がUser1のユーザの外部Webサービス(B)でのユーザ名はUserB1であり、パスワードはababとなっている。 FIG. 4 shows an example of the login information registration list 43 held by the database 23 of the authentication server 22. In the login information registration list 43, the user name in the proxy authentication system 2 and the user name and password in the target external Web service are registered in association with each other for each external Web service 31. In this example, for example, in the external Web service (A) of the user whose user name is User1 in the proxy authentication system 2, the user name is UserA1 and the password is aaa. Further, the user name of the user whose user name is User1 in the proxy authentication system 2 is UserB1 and the password is abab in the external Web service (B).

図5は、リバースプロキシサーバ21が、一時的に登録する一時登録データ45の一例である。リバースプロキシサーバ21は、モバイル端末10のWebブラウザ11が外部Webサービス31へアクセスしようとする通信を検出したとき、一時登録データ45を作成する。一時登録データ45には、通信元のモバイル端末10のユーザ名と端末IDとアクセス先の外部Webサービスの名称(図5では要求サービス)と、この通信のセッション情報が登録される。このうち、端末IDは、後述する認証アプリ12からの認証要求(図7のP6)で通知される。 FIG. 5 is an example of temporary registration data 45 temporarily registered by the reverse proxy server 21. The reverse proxy server 21 creates temporary registration data 45 when the web browser 11 of the mobile terminal 10 detects a communication that attempts to access the external web service 31. In the temporary registration data 45, the user name and terminal ID of the mobile terminal 10 of the communication source, the name of the external Web service of the access destination (request service in FIG. 5), and the session information of this communication are registered. Of these, the terminal ID is notified by an authentication request (P6 in FIG. 7) from the authentication application 12 described later.

図6は、外部Webサービス31が保持する認証情報登録リスト47の一例を示している。外部Webサービス31のサーバは、この外部Webサービス31の利用者として登録されたユーザのユーザ名とパスワードを対応付けて認証情報登録リスト47に登録して保持する。図6は、外部Webサービス(A)のサーバに登録された認証情報登録リスト47の一例を示している。 FIG. 6 shows an example of the authentication information registration list 47 held by the external Web service 31. The server of the external Web service 31 registers and holds the user name and password of the user registered as the user of the external Web service 31 in the authentication information registration list 47 in association with each other. FIG. 6 shows an example of the authentication information registration list 47 registered in the server of the external Web service (A).

図7は、モバイル端末10が外部Webサービス31にログインして該サービスが利用可能となるまでの流れを示すシーケンス図である。 FIG. 7 is a sequence diagram showing a flow until the mobile terminal 10 logs in to the external Web service 31 and the service becomes available.

モバイル端末10のWebブラウザ11から外部Webサービス31にアクセスしてログイン要求を出すと(P1)、リバースプロキシサーバ21がその通信を取得(横取り)する。リバースプロキシサーバ21は、モバイル端末10との通信情報(セッション情報)等を図5の一時登録データ45のように保存し、モバイル端末10が認証アプリ12を起動するのに必要なURLスキームをモバイル端末10に送信する(P2)。 When the external Web service 31 is accessed from the Web browser 11 of the mobile terminal 10 and a login request is issued (P1), the reverse proxy server 21 acquires (takes over) the communication. The reverse proxy server 21 saves communication information (session information) and the like with the mobile terminal 10 as shown in the temporary registration data 45 of FIG. 5, and mobiles the URL scheme necessary for the mobile terminal 10 to activate the authentication application 12. It is transmitted to the terminal 10 (P2).

送信するURLスキームには、モバイル端末との通信情報(セッション情報)が含まれる。たとえば、
myAuth://login?service=xxx.com&Session=zxcvad
といった文字列をURLスキームとしてモバイル端末10へ送信する。 The URL scheme to be transmitted includes communication information (session information) with the mobile terminal. for example,
myAuth: //login?service=xxx.com&Session=zxcvad
Is transmitted to the mobile terminal 10 as a URL scheme.

モバイル端末10は、受け取ったURLスキームを基に、あらかじめインストールされている認証アプリ12を起動する(P3)。認証アプリ12は、あらかじめ設定されている認証装置(図2の端末登録データ40に登録されている認証装置情報が示す認証装置)を使って認証するようユーザに促す。たとえば、その旨のメッセージ等をモバイル端末10に表示する。認証装置には、モバイル端末10が備える生体認証装置、もしくはモバイル端末10に接続された外部の生体認証装置13を使用することができる。 The mobile terminal 10 activates the pre-installed authentication application 12 based on the received URL scheme (P3). The authentication application 12 urges the user to authenticate using a preset authentication device (authentication device indicated by the authentication device information registered in the terminal registration data 40 of FIG. 2). For example, a message or the like to that effect is displayed on the mobile terminal 10. As the authentication device, a biometric authentication device included in the mobile terminal 10 or an external biometric authentication device 13 connected to the mobile terminal 10 can be used.

認証装置13はユーザが認証装置13に対して認証要求を行った時にそれが正しいユーザか否かを判定する(P4)。このとき、認証に使う生体情報はあらかじめモバイル端末10に登録しておく必要がある。 When the user makes an authentication request to the authentication device 13, the authentication device 13 determines whether or not the user is the correct user (P4). At this time, it is necessary to register the biometric information used for authentication in the mobile terminal 10 in advance.

認証装置13はユーザが正しい権限を持った人であると判定すると、認証アプリ12に認証が成功したことを伝える(P5)。 When the authentication device 13 determines that the user has the correct authority, the authentication device 13 informs the authentication application 12 that the authentication is successful (P5).

ユーザ認証が成功した場合、認証アプリ12はリバースプロキシサーバ21に対して端末IDとユーザ名と先ほどURLスキームで通知されたセッション情報を含む認証要求を送信する(P6)。以下に認証要求の一例を示す。
{“端末ID”:”12345ABC”, ”User”:”user1”, ”Session”,”zxcvad”} If the user authentication is successful, the authentication application 12 transmits an authentication request including the terminal ID, the user name, and the session information notified by the URL scheme to the reverse proxy server 21 (P6). An example of the authentication request is shown below.
{“Terminal ID”: ”12345ABC”, “User”: ”user1”, “Session”, ”zxcvad”}

これを受信したリバースプロキシサーバ21は、セッション情報をキーにして該当の一時登録データ45に端末IDを登録すると共に、ユーザ名と端末IDと要求されている外部Webサービスの種類を含む認証情報要求を認証サーバ22に対して送信し、その外部Webサービスにこのユーザがログインするために必要な認証情報(その外部Webサービスでのユーザ名とパスワード)を要求する(P7)。 Upon receiving this, the reverse proxy server 21 registers the terminal ID in the corresponding temporary registration data 45 using the session information as a key, and requests the authentication information including the user name and the terminal ID and the type of the requested external Web service. Is transmitted to the authentication server 22 and requests the authentication information (user name and password in the external Web service) necessary for this user to log in to the external Web service (P7).

認証サーバ22は認証情報要求に含まれる端末IDが登録端末リスト41に登録されているか(要求元のクライアント端末が登録済みか)を確認する(P8)。登録されていない場合は、モバイル端末10の認証アプリ12に、代理認証不可を通知する。登録されている場合は、要求されている外部Webサービス用のログイン情報登録リスト43を参照して、該当のユーザ名とパスワードを取得し、これをリバースプロキシサーバ21に返送する(P9)。 The authentication server 22 confirms whether the terminal ID included in the authentication information request is registered in the registered terminal list 41 (whether the requesting client terminal is registered) (P8). If it is not registered, the authentication application 12 of the mobile terminal 10 is notified that proxy authentication is not possible. If it is registered, the login information registration list 43 for the requested external Web service is referred to, the corresponding user name and password are acquired, and this is returned to the reverse proxy server 21 (P9).

たとえば、P7の認証情報要求に含まれるユーザ名(代理認証システムでのユーザ名)がUser1で、要求された外部WebサービスがサービスAの場合、サービスA用のログイン情報登録リスト43を参照し、User1がサービスAにログインするためのユーザ名・パスワードとして「UserA1,aaa」をリバースプロキシサーバ21に返送する。 For example, if the user name (user name in the proxy authentication system) included in the authentication information request on P7 is User1 and the requested external Web service is service A, the login information registration list 43 for service A is referred to. User1 returns "UserA1, aaa" to the reverse proxy server 21 as the user name and password for logging in to the service A.

リバースプロキシサーバ21は認証サーバ22から取得したユーザ名とパスワードを該当するセッションの通信により外部Webサービス31へ送信し、その外部Webサービス31へモバイル端末10の代理でログインを行う(P10)。リバースプロキシサーバ21は外部Webサービス31からログインの結果(成否)を受け取り、これを認証アプリ12に通知する(P11)。認証アプリ12はこの通知を受けると、Webブラウザ11側に制御を戻す(P12)。 The reverse proxy server 21 transmits the user name and password acquired from the authentication server 22 to the external Web service 31 by communication of the corresponding session, and logs in to the external Web service 31 on behalf of the mobile terminal 10 (P10). The reverse proxy server 21 receives the login result (success / failure) from the external Web service 31 and notifies the authentication application 12 of this (P11). Upon receiving this notification, the authentication application 12 returns control to the Web browser 11 side (P12).

このように、Webブラウザ11から外部Webサービス31へアクセスする場合のユーザ認証をモバイル端末10側の生体認証装置13を用いて行うので、ユーザは何一つパスワードを記憶することなく代理認証システム2を利用することができる。 In this way, since the user authentication when accessing the external Web service 31 from the Web browser 11 is performed using the biometric authentication device 13 on the mobile terminal 10 side, the user uses the proxy authentication system 2 without storing any password. can do.

<変形例1>
変形例1では、リバースプロキシサーバ21に接続してきている端末の種類により、URLスキームを変更する。基本的には図7と同様のシーケンスで外部Webサービス31へのログインが行われるが、P2の処理が若干相違する。すなわち、モバイル端末10のWebブラウザ11が送出した外部Webサービス31へのログイン要求(通信)を取得したリバースプロキシサーバ21は、この要求(通信)に含まれるUser-Agent属性に基づいて、どのような端末がアクセスしているか(端末のタイプ)を判定する。 <Modification 1>
In the first modification, the URL scheme is changed depending on the type of the terminal connected to the reverse proxy server 21. Basically, the login to the external Web service 31 is performed in the same sequence as in FIG. 7, but the processing of P2 is slightly different. That is, how the reverse proxy server 21 that has acquired the login request (communication) to the external Web service 31 sent by the Web browser 11 of the mobile terminal 10 is based on the User-Agent attribute included in this request (communication). Determine if the terminal is accessing (terminal type).

ここでは、User-Agentが示す、端末で使用されているOSの種類やバージョン、に基づいて図8に示すような端末スキーム対応表49を参照し、送信元のモバイル端末10が認証アプリ12を起動するのに必要なURLスキームを選択し、これにセッション情報を付加したURLスキームを作成する。その他の動作は図7の場合と同様でありその説明は省略する。 Here, referring to the terminal scheme correspondence table 49 as shown in FIG. 8 based on the type and version of the OS used in the terminal indicated by the User-Agent, the source mobile terminal 10 uses the authentication application 12. Select the URL scheme required to start it, and create a URL scheme with session information added to it. Other operations are the same as in the case of FIG. 7, and the description thereof will be omitted.

なお、User-Agentは、Webブラウザがhttpサーバに対してリクエストを投げる際に付加するヘッダ情報の一つである。User-Agentの一例を示す。
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
この情報から、クライアント端末がどのようなOSで、どのブラウザを利用しているか等をおおよそ判定することができる。 The User-Agent is one of the header information added when the Web browser makes a request to the http server. An example of User-Agent is shown.
Mozilla / 5.0 (Windows NT 10.0; WOW64; Trident / 7.0; rv: 11.0) like Gecko
From this information, it is possible to roughly determine what kind of OS the client terminal is using and which browser it is using.

<変形例2>
変形例2では、一人のユーザが複数の端末を持つことがあるため、代理認証を許可する外部Webサービス31を端末によって切り替える。図9の例は、一人のユーザがモバイル端末(1)とモバイル端末(2)を所有する場合を示している。 <Modification 2>
In the second modification, since one user may have a plurality of terminals, the external Web service 31 that allows proxy authentication is switched depending on the terminal. The example of FIG. 9 shows a case where one user owns a mobile terminal (1) and a mobile terminal (2).

モバイル端末毎に利用可能なWebサービスを切り替える方法として、ここでは、端末IDが発行されて登録された後、管理者の操作により、登録されている各端末IDに対して、どのWebサービスを利用できるようにするかの設定登録を行う。 As a method of switching the available Web services for each mobile terminal, here, after the terminal ID is issued and registered, which Web service is used for each registered terminal ID by the operation of the administrator. Register the settings to enable it.

図10は、認証サーバ22に登録されたサービス別登録端末リスト51の一例を示している。認証サーバ22には、図3の登録端末リスト41に代えて図10のサービス別登録端末リスト51が登録される。サービス別登録端末リスト51は、Webサービス<外部Webサービス31)毎に、そのWebサービスを利用可能な端末IDが登録されている。図10の例では、12345ABCの端末IDを持つモバイル端末10はサービスA、サービスBの両方を使えるが、12ED50D2の端末IDを持つモバイル端末10はサービスBしか使えない。 FIG. 10 shows an example of the registered terminal list 51 by service registered in the authentication server 22. The service-specific registered terminal list 51 of FIG. 10 is registered in the authentication server 22 instead of the registered terminal list 41 of FIG. In the registered terminal list 51 by service, a terminal ID that can use the Web service is registered for each Web service <external Web service 31). In the example of FIG. 10, the mobile terminal 10 having the terminal ID of 12345ABC can use both the service A and the service B, but the mobile terminal 10 having the terminal ID of 12ED50D2 can use only the service B.

認証サーバ22は、図7のP8での判定を、サービス別登録端末リスト51を参照して行う。すなわち、要求されている外部Webサービスに対応するサービス別登録端末リスト51を参照し、これに要求元の端末IDが登録されていれば代理認証を継続し、登録されていない場合は、モバイル端末10の認証アプリ12に、代理認証不可を通知する。 The authentication server 22 makes a determination on page 8 of FIG. 7 with reference to the service-specific registered terminal list 51. That is, the service-specific registered terminal list 51 corresponding to the requested external Web service is referred to, and if the requesting terminal ID is registered in the registered terminal list 51, proxy authentication is continued, and if not registered, the mobile terminal is used. Notify the authentication application 12 of 10 that proxy authentication is not possible.

図11は、中継装置20が行う処理を示す流れ図である。モバイル端末10による外部Webサービス31へのアクセスを監視し(ステップS101;No)、該アクセスを検出すると(ステップS101;Yes)、その通信を横取りして取得する(ステップS102)。そして、該通信のアクセス先の外部Webサービス31の種類(名称)とこの通信のセッションン情報を対応付けて一時登録データ45に記憶する(ステップS103)。次に、この通信のヘッダに含まれるUser-Agent属性から、横取りした通信の送信元のモバイル端末10に対応したURLスキームを作成して、該送信元のモバイル端末10へ送信する(ステップS104)。 FIG. 11 is a flow chart showing the processing performed by the relay device 20. When the access to the external Web service 31 by the mobile terminal 10 is monitored (step S101; No) and the access is detected (step S101; Yes), the communication is intercepted and acquired (step S102). Then, the type (name) of the external Web service 31 of the access destination of the communication is associated with the session information of this communication and stored in the temporary registration data 45 (step S103). Next, from the User-Agent attribute included in the header of this communication, a URL scheme corresponding to the mobile terminal 10 of the source of the intercepted communication is created and transmitted to the mobile terminal 10 of the source (step S104). ..

URLスキームを受信したモバイル端末10では生体認証装置13を用いたユーザ認証が行われる。中継装置20は、モバイル端末10からの応答を監視し(ステップS105、S106)、ユーザ認証に成功した場合にモバイル端末10が送信する認証要求を受信した場合は(ステップS105;Yes)、ステップS107へ進む。一方、モバイル端末10からユーザ認証に失敗した通知を受けた場合は(ステップS106;Yes)、本処理を終了する。 The mobile terminal 10 that has received the URL scheme performs user authentication using the biometric authentication device 13. The relay device 20 monitors the response from the mobile terminal 10 (steps S105 and S106), and if the user authentication is successful and receives the authentication request transmitted by the mobile terminal 10 (step S105; Yes), step S107. Proceed to. On the other hand, when the notification that the user authentication has failed is received from the mobile terminal 10 (step S106; Yes), this process is terminated.

ステップS107では、受信した認証要求に含まれる端末IDが登録端末リスト41あるいはサービス別登録端末リスト51に登録されているか否かを調べ、登録されていない場合は(ステップS107;No)、モバイル端末10の認証アプリ12へアクセス拒否を通知して(ステップS108)本処理を終了する。 In step S107, it is checked whether or not the terminal ID included in the received authentication request is registered in the registered terminal list 41 or the registered terminal list 51 by service, and if it is not registered (step S107; No), the mobile terminal. Notify the authentication application 12 of 10 of the access denial (step S108), and end this process.

登録されている場合は(ステップS107;Yes)、データベース23から、該当する外部Webサービス用の認証情報(ユーザ名とパスワード)を取得し(ステップS109)、これと先ほどのセッション情報を用いて外部Webサービス31へログイン要求する(ステップS110)。外部Webサービス31からログイン成否の結果を受信すると(ステップS111)、これをモバイル端末10の認証アプリ12に通知して(ステップS112)本処理を終了する。 If it is registered (step S107; Yes), the authentication information (user name and password) for the corresponding external Web service is acquired from the database 23 (step S109), and this and the previous session information are used to externally obtain the authentication information (user name and password). Request login to the Web service 31 (step S110). When the login success / failure result is received from the external Web service 31 (step S111), this is notified to the authentication application 12 of the mobile terminal 10 (step S112), and this process is terminated.

図12は、モバイル端末10の認証アプリ12が行う処理を示す流れ図である。URLスキームによって起動されると、端末登録データ40に登録されている認証装置情報が示す認証装置を作動させ、ユーザに該認証装置を用いてユーザ認証することを促すメッセージの表示等を行う(ステップS201)。認証装置での認証結果がユーザ認証失敗の場合は(ステップS202;No)、中継装置20(リバースプロキシサーバ21)へ、ユーザ認証失敗を通知し(ステップS203)、Webブラウザ11に制御を移して(ステップS206)本処理を終了する。なお、Webブラウザ11へ制御を移す前に認証失敗等のメッセージを表示してもよい。 FIG. 12 is a flow chart showing a process performed by the authentication application 12 of the mobile terminal 10. When activated by the URL scheme, the authentication device indicated by the authentication device information registered in the terminal registration data 40 is activated, and a message prompting the user to authenticate the user using the authentication device is displayed (step). S201). If the authentication result in the authentication device is a user authentication failure (step S202; No), the relay device 20 (reverse proxy server 21) is notified of the user authentication failure (step S203), and control is transferred to the Web browser 11. (Step S206) This process is terminated. It should be noted that a message such as an authentication failure may be displayed before the control is transferred to the Web browser 11.

認証装置での認証結果がユーザ認証成功の場合は(ステップS202;Yes)、中継装置20(リバースプロキシサーバ21)へ、端末IDを含む認証要求を送信する(ステップS204)。その後、中継装置20からログイン結果の通知を受けたら(ステップS205;Yes)、Webブラウザ11に制御を移して(ステップS206)本処理を終了する。 If the authentication result in the authentication device is successful in user authentication (step S202; Yes), an authentication request including the terminal ID is transmitted to the relay device 20 (reverse proxy server 21) (step S204). After that, when the notification of the login result is received from the relay device 20 (step S205; Yes), the control is transferred to the Web browser 11 (step S206), and this process is terminated.

以上、本発明の実施の形態を図面によって説明してきたが、具体的な構成は実施の形態に示したものに限られるものではなく、本発明の要旨を逸脱しない範囲における変更や追加があっても本発明に含まれる。 Although the embodiment of the present invention has been described above with reference to the drawings, the specific configuration is not limited to that shown in the embodiment, and there are changes and additions within the range not departing from the gist of the present invention. Is also included in the present invention.

実施の形態では、中継装置20をリバースプロキシサーバ21、認証サーバ22、データベース23で構成したが、これらの機能を1つのサーバ装置で実現してもよい。 In the embodiment, the relay device 20 is composed of the reverse proxy server 21, the authentication server 22, and the database 23, but these functions may be realized by one server device.

実施の形態では、認証装置を生体認証装置としたが、これに限定されるものではない。ユーザ名とパスワード等の入力操作なしにユーザ認証可能な認証装置であることが好ましい。 In the embodiment, the authentication device is a biometric authentication device, but the present invention is not limited to this. It is preferable that the authentication device is capable of user authentication without inputting a user name and password.

2…代理認証システム
10…モバイル端末
11…Webブラウザ
12…認証アプリケーション(認証アプリ)
13…生体認証装置
20…中継装置
21…リバースプロキシサーバ
22…認証サーバ
23…データベース
31…外部Webサービス
40…端末登録データ
41…登録端末リスト
43…ログイン情報登録リスト
45…一時登録データ
47…認証情報登録リスト
49…端末スキーム対応表
51…サービス別登録端末リスト 2 ... Proxy authentication system 10 ... Mobile terminal 11 ... Web browser 12 ... Authentication application (authentication application)
13 ... Biometric authentication device 20 ... Relay device 21 ... Reverse proxy server 22 ... Authentication server 23 ... Database 31 ... External Web service 40 ... Terminal registration data 41 ... Registered terminal list 43 ... Login information registration list 45 ... Temporary registration data 47 ... Authentication Information registration list 49 ... Terminal scheme correspondence table 51 ... Registered terminal list by service

Claims (7)

Webブラウザと認証アプリケーションがインストールされたクライアント端末と、
中継サーバと、
を備え、
前記中継サーバは、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得し、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信し、
前記URLスキームを受信した前記クライアント端末は、前記認証アプリケーションを起動し、該起動された認証アプリケーションは、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知し、
前記通知を受けた前記中継サーバは、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインする
ことを特徴とする代理認証システム。 A client terminal with a web browser and authentication application installed,
With a relay server
Equipped with
The relay server acquires the communication for accessing the external Web service by the Web browser of the client terminal on behalf of the external Web service, and based on the predetermined information added to the accessing communication, the relay server of the client terminal. The type is determined, the URL scheme for invoking the authentication application is selected based on the result of the determination, and the result is transmitted to the client terminal.
The client terminal that has received the URL scheme activates the authentication application, and the activated authentication application performs user authentication using a predetermined authentication device, and if the user authentication is successful, the authentication is successful. Notify the relay server and
Upon receiving the notification, the relay server sends a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. A proxy authentication system characterized by logging in to. 前記所定の認証装置は、前記クライアント端末に接続された、前記クライアント端末とは別の認証装置である
ことを特徴とする請求項1に記載の代理認証システム。 The proxy authentication system according to claim 1, wherein the predetermined authentication device is an authentication device connected to the client terminal and different from the client terminal. 前記中継サーバは、クライアント端末とこのクライアント端末に許可する外部Webサービスとを紐付けた情報を記憶しておき、前記アクセスする通信の通信先の外部Webサービスが前記アクセスする通信の送信元のクライアント端末に紐付けられていることを条件に、前記クライアント端末の代理で前記外部Webサービスにログインする
ことを特徴とする請求項1または2に記載の代理認証システム。 The relay server stores information associated with the client terminal and the external Web service permitted to the client terminal, and the client of the transmission source of the communication to be accessed by the external Web service of the communication destination of the access communication. The proxy authentication system according to claim 1 or 2 , wherein the external Web service is logged in on behalf of the client terminal on condition that the client terminal is associated with the terminal. Webブラウザと認証アプリケーションがインストールされたクライアント端末と、
中継サーバと、
を備え、
前記中継サーバは、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得し、前記認証アプリケーションを起動するためのURLスキームを前記クライアント端末に送信し、
前記URLスキームを受信した前記クライアント端末は、前記認証アプリケーションを起動し、該起動された認証アプリケーションは、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知し、
前記通知を受けた前記中継サーバは、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインし、
前記中継サーバは、一のユーザが第1のクライアント端末を使用する場合と第2のクライアント端末を使用する場合で、前記代理でのログインを許可する外部Webサービスを切り替える
ことを特徴とする代理認証システム。 A client terminal with a web browser and authentication application installed,
With a relay server
Equipped with
The relay server acquires communication for accessing the external Web service by the Web browser of the client terminal on behalf of the external Web service, and transmits a URL scheme for invoking the authentication application to the client terminal.
The client terminal that has received the URL scheme activates the authentication application, and the activated authentication application performs user authentication using a predetermined authentication device, and if the user authentication is successful, the authentication is successful. Notify the relay server and
Upon receiving the notification, the relay server transmits a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. Log in to
The relay server switches between an external Web service that allows login on behalf of the user when one user uses the first client terminal and when the second client terminal is used.
A proxy authentication system characterized by that. 前記所定の認証装置は、生体認証装置である
ことを特徴とする請求項1乃至4のいずれか1つに記載の代理認証システム。 The proxy authentication system according to any one of claims 1 to 4, wherein the predetermined authentication device is a biometric authentication device. Webブラウザと認証アプリケーションがインストールされたクライアント端末の代理で中継サーバが外部Webサービスにログインする代理認証方法であって、
前記中継サーバが、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得するステップと、
前記取得した前記中継サーバが、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記クライアント端末にインストールされている認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信するステップと、
前記URLスキームを受信した前記クライアント端末が、前記認証アプリケーションを起動するステップと、
前記起動された認証アプリケーションが、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知するステップと、
前記通知を受けた前記中継サーバが、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインするステップと
を有する
ことを特徴とする代理認証方法。 This is a proxy authentication method in which the relay server logs in to the external web service on behalf of the client terminal on which the web browser and authentication application are installed.
A step in which the relay server acquires communication for the Web browser of the client terminal to access the external Web service on behalf of the external Web service.
A URL scheme for the acquired relay server to determine the type of the client terminal based on predetermined information added to the communication to be accessed and to start an authentication application installed on the client terminal is provided. A step of selecting based on the result of the determination and transmitting to the client terminal, and
The step in which the client terminal receiving the URL scheme activates the authentication application,
The step of notifying the relay server of the success of the authentication when the activated authentication application performs user authentication using a predetermined authentication device and the user authentication is successful.
Upon receiving the notification, the relay server sends a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. A surrogate authentication method characterized by having a step to log in to. クライアント端末の代理で外部Webサービスにログインする中継サーバで実行されるプログラムであって、
前記中継サーバが、
前記クライアント端末のWebブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得するステップと、
前記通信を取得した場合に、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記クライアント端末にインストールされている認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信するステップと、
前記URLスキームによって起動された認証アプリケーションが所定の認証装置を用いてユーザ認証に成功した旨の通知を前記クライアント端末から受信するステップと、
前記通知を受信した場合に、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインするステップと
を有する
ことを特徴とするプログラム。 A program executed on a relay server that logs in to an external Web service on behalf of a client terminal.
The relay server
A step of acquiring communication for accessing an external Web service by the Web browser of the client terminal on behalf of the external Web service.
When the communication is acquired , the type of the client terminal is determined based on the predetermined information attached to the communication to be accessed, and a URL scheme for activating the authentication application installed on the client terminal is provided. A step of selecting based on the result of the determination and transmitting to the client terminal, and
A step of receiving a notification from the client terminal that the authentication application activated by the URL scheme has succeeded in user authentication using a predetermined authentication device, and
When the notification is received, the client terminal sends a login request including login information necessary for logging in to the external web service to the external web service, and logs in to the external web service on behalf of the client terminal. A program characterized by having steps to do.
JP2017160631A 2017-08-23 2017-08-23 Proxy authentication system, proxy authentication method, program Active JP7025684B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017160631A JP7025684B2 (en) 2017-08-23 2017-08-23 Proxy authentication system, proxy authentication method, program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017160631A JP7025684B2 (en) 2017-08-23 2017-08-23 Proxy authentication system, proxy authentication method, program

Publications (2)

Publication Number Publication Date
JP2019040319A JP2019040319A (en) 2019-03-14
JP7025684B2 true JP7025684B2 (en) 2022-02-25

Family

ID=65727413

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017160631A Active JP7025684B2 (en) 2017-08-23 2017-08-23 Proxy authentication system, proxy authentication method, program

Country Status (1)

Country Link
JP (1) JP7025684B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022526019A (en) * 2019-04-09 2022-05-20 ツイッター インコーポレイテッド Management of user attribute information in managed multi-tenant services
JP7321788B2 (en) * 2019-06-20 2023-08-07 キヤノン株式会社 Browsing Management Server, Browsing Management Method, and Browsing Management System
JP7502955B2 (en) 2020-09-29 2024-06-19 株式会社日本総合研究所 Virtual browser server and program,
WO2023084764A1 (en) * 2021-11-15 2023-05-19 日本電気株式会社 User terminal, process execution device, authentication system, authentication assistance method, process execution method, and computer readable medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011098A (en) 2003-06-19 2005-01-13 Fujitsu Ltd Proxy authentication program, method, and device
US20160366119A1 (en) 2015-06-15 2016-12-15 Airwatch Llc Single sign-on for unmanaged mobile devices
WO2017019652A1 (en) 2015-07-27 2017-02-02 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005011098A (en) 2003-06-19 2005-01-13 Fujitsu Ltd Proxy authentication program, method, and device
US20160366119A1 (en) 2015-06-15 2016-12-15 Airwatch Llc Single sign-on for unmanaged mobile devices
WO2017019652A1 (en) 2015-07-27 2017-02-02 Amazon Technologies, Inc. Providing multi-factor authentication credentials via device notifications

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
FIDO UAF Application API and Transport Binding Specification,FIDO Alliance,2017年02月02日,https://fidoalliance.org/specs/fido-uaf-v1.1-ps-20170202/fido-uaf-client-api-transport-v1.1-ps-20170202.html

Also Published As

Publication number Publication date
JP2019040319A (en) 2019-03-14

Similar Documents

Publication Publication Date Title
CN107534652B (en) Secure access method, system and computer readable medium for cloud-based services
JP7025684B2 (en) Proxy authentication system, proxy authentication method, program
US20180278603A1 (en) Control method for authentication/authorization server, resource server, and authentication/authorization system
CN105007280B (en) A kind of application login method and device
US7225464B2 (en) Method for verifying the identity of a user for session authentication purposes during Web navigation
US7082532B1 (en) Method and system for providing distributed web server authentication
JP6170158B2 (en) Mobile multi single sign-on authentication
JP6929181B2 (en) Devices and their control methods and programs
EP2258094B1 (en) Devolved authentication
JP2019046060A (en) Delegation-of-authority system, control method and program
KR960035299A (en) A method for managing communication between a remote user and an application server, a subject authentication method for a remote user, a network and a program storage device providing a distributed computer environment
US11165768B2 (en) Technique for connecting to a service
JP2015535984A5 (en)
JP2019046059A (en) Delegation-of-authority system, control method and program
WO2006061326A1 (en) Method and system for secure binding register name identifier profile
CN111953681B (en) DNS identity authentication method and terminal
US9143501B2 (en) Reauthentication to a web service without disruption
KR20110003353A (en) Handling expired passwords
CN107005605A (en) Device identification in authorization of service
US20110289567A1 (en) Service access control
CN112261022A (en) Security authentication method based on API gateway
WO2009129753A1 (en) A method and apparatus for enhancing the security of the network identity authentication
CN102710621B (en) A kind of user authentication method and system
US11146536B2 (en) Method and a system for managing user identities for use during communication between two web browsers
JP6848275B2 (en) Program, authentication system and authentication cooperation system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200721

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210512

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210701

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210722

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220112

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220125

R150 Certificate of patent or registration of utility model

Ref document number: 7025684

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150