JP7025684B2 - Proxy authentication system, proxy authentication method, program - Google Patents
Proxy authentication system, proxy authentication method, program Download PDFInfo
- Publication number
- JP7025684B2 JP7025684B2 JP2017160631A JP2017160631A JP7025684B2 JP 7025684 B2 JP7025684 B2 JP 7025684B2 JP 2017160631 A JP2017160631 A JP 2017160631A JP 2017160631 A JP2017160631 A JP 2017160631A JP 7025684 B2 JP7025684 B2 JP 7025684B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- client terminal
- web service
- external web
- relay server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Description
本発明は、クライアント端末の代理で中継サーバが外部Webサービスにログインする代理認証システム、代理認証方法、プログラムに関する。 The present invention relates to a proxy authentication system, a proxy authentication method, and a program in which a relay server logs in to an external Web service on behalf of a client terminal.
中継サーバを用いたSSO(Single Sign-On)システムが知られている(下記特許文献1,2参照)。これは、ユーザ端末がWebサービスへアクセスするときに中継サーバを経由するように構成されたシステムであり、ユーザ端末からWebサービスへのリクエストを中継サーバが横取りし、中継サーバが代理でWebサービスへの認証を行ってログインするというものである。なお、中継サーバはプロキシサーバやリバースプロキシサーバとよばれるものであり、この二つはサービス利用者側が設置するか、サービス提供者側が設置するかの違いがあるものの、いずれもクライアント端末と外部Webサービスとの間で通信を中継し、セキュリティの確保やネットワーク帯域の有効活用、レスポンスの向上などの役割を果たす。
An SSO (Single Sign-On) system using a relay server is known (see
図13は、従来のSSOシステムの構成例を示し、図14は、図13のSSOシステムで外部Webサービスにログインする際のシーケンスを示している。 FIG. 13 shows a configuration example of a conventional SSO system, and FIG. 14 shows a sequence for logging in to an external Web service with the SSO system of FIG.
中継サービスを構成するデータベース(DB)には、複数の外部Webサービスのそれぞれについて、そのWebサービスにログインする際に使用するユーザ名とパスワードの組が登録されている。 In the database (DB) constituting the relay service, a set of a user name and a password used when logging in to the Web service is registered for each of the plurality of external Web services.
ユーザが自己のモバイル端末のWebブラウザを使用して外部Webサービスへのアクセスを要求すると(S1)、中継サーバであるリバースプロキシサーバがこの通信を横取りし、モバイル端末のWebブラウザにログインページを送信して表示させる(S2)。ユーザはこのログインページにユーザ名とパスワードを入力してリバースプロキシサーバにログインする(S3)。 When the user requests access to an external web service using the web browser of his / her mobile terminal (S1), the reverse proxy server, which is a relay server, intercepts this communication and sends a login page to the web browser of the mobile terminal. And display it (S2). The user enters the user name and password on this login page to log in to the reverse proxy server (S3).
リバースプロキシサーバへのログインに成功すると、リバースプロキシサーバは、認証サーバに問い合わせて(S4)、S1でモバイル端末のWebブラウザがアクセスしようとした外部Webサービスにこのモバイル端末のユーザがログインするためのユーザ名とパスワードの組を取得する(S5)。そして、このユーザ名とパスワードを使用して、S1でモバイル端末のWebブラウザがアクセスしようとした外部Webサービスに代理でログインする(S6)。 When the login to the reverse proxy server is successful, the reverse proxy server queries the authentication server (S4), and the user of this mobile terminal logs in to the external web service that the web browser of the mobile terminal tried to access in S1. Acquire a set of user name and password (S5). Then, using this user name and password, the user logs in on behalf of the external Web service that the Web browser of the mobile terminal tried to access in S1 (S6).
ログインに成功すると(S7)、リバースプロキシサーバはログインの成功をモバイル端末のWebブラウザに通知する(S8)。以後、モバイル端末のWebブラウザは外部Webサービスにアクセス可能になる。 When the login is successful (S7), the reverse proxy server notifies the Web browser of the mobile terminal of the success of the login (S8). After that, the Web browser of the mobile terminal can access the external Web service.
以上のように、SSOシステムでは、ユーザは中継サーバにログインするための一組のユーザ名とパスワードを記憶しておけば、外部Webサービス毎に個別のユーザ名とパスワードを覚えなくても、複数の外部Webサービスのどれにでもログインすることができる。 As described above, in the SSO system, if the user remembers a set of user names and passwords for logging in to the relay server, multiple user names and passwords can be stored without having to remember individual user names and passwords for each external Web service. You can log in to any of the external web services of.
上記のような従来のSSOシステムでは、ユーザは中継サーバにログインするためのユーザ名とパスワードを記憶する必要があり、一定の負担をユーザにかけていた。また、中継サーバを利用するための情報(中継サーバにログインするために必要な情報)が漏えいすると、第三者がすべての外部Webサービスを不正に利用可能になってしまう。 In the conventional SSO system as described above, the user needs to memorize the user name and password for logging in to the relay server, which imposes a certain burden on the user. Further, if the information for using the relay server (information necessary for logging in to the relay server) is leaked, a third party can illegally use all the external Web services.
一方で、パスワードに代わる認証方法として、生体情報を利用する方法が知られている。これは、指紋や静脈等、個人の身体的特徴を認証情報とするため、ユーザはユーザ名とパスワードを記憶する必要がない。中継サーバへのログインにこのような生体認証を利用できれば良いが、モバイル端末にインストールされたWebブラウザから該モバイル端末が備える、あるいは該モバイル端末に接続された、生体認証装置を利用してユーザ認証する、といったことはできなかった。 On the other hand, as an authentication method instead of a password, a method of using biometric information is known. Since this uses personal physical characteristics such as fingerprints and veins as authentication information, the user does not need to memorize the user name and password. It would be good if such biometric authentication could be used to log in to the relay server, but user authentication could be performed using a biometric authentication device provided by the mobile terminal or connected to the mobile terminal from a Web browser installed on the mobile terminal. I couldn't do that.
本発明は、上記の問題を解決しようとするものであり、クライアント端末にインストールされている一般的なWebブラウザを使用していても、生体認証等の認証装置を利用して中継サーバにログイン可能な代理認証システム、代理認証方法およびそのプログラムを提供することを目的としている。 The present invention is intended to solve the above problem, and even if a general Web browser installed on a client terminal is used, it is possible to log in to a relay server using an authentication device such as biometric authentication. The purpose is to provide a proxy authentication system, a proxy authentication method, and a program thereof.
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。 The gist of the present invention for achieving such an object lies in the inventions of the following paragraphs.
[1]Webブラウザと認証アプリケーションがインストールされたクライアント端末と、
中継サーバと、
を備え、
前記中継サーバは、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得し、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信し、
前記URLスキームを受信した前記クライアント端末は、前記認証アプリケーションを起動し、該起動された認証アプリケーションは、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知し、
前記通知を受けた前記中継サーバは、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインする
ことを特徴とする代理認証システム。
[1] A client terminal on which a Web browser and an authentication application are installed,
With a relay server
Equipped with
The relay server acquires the communication for accessing the external Web service by the Web browser of the client terminal on behalf of the external Web service, and based on the predetermined information added to the accessing communication, the relay server of the client terminal. The type is determined, the URL scheme for invoking the authentication application is selected based on the result of the determination, and the result is transmitted to the client terminal.
The client terminal that has received the URL scheme activates the authentication application, and the activated authentication application performs user authentication using a predetermined authentication device, and if the user authentication is successful, the authentication is successful. Notify the relay server and
Upon receiving the notification, the relay server sends a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. A proxy authentication system characterized by logging in to.
上記発明では、外部Webサービスへのアクセスを取得(横取り)した中継サーバがURLスキームをクライアント端末に送信して端末の認証アプリケーションを起動するので、Webブラウザからは直接利用できない生体認証装置などの認証装置を用いてユーザ認証することができる。認証装置はクライアント端末が内蔵するものであってもよいし、クライアント端末に接続された外部のものであってもよい。また上記発明では、端末のOSの種類等に応じた適切なURLスキームを端末に送信することができる。 In the above invention, since the relay server that has acquired (taken over) access to the external Web service sends the URL scheme to the client terminal and starts the terminal authentication application, authentication of a biometric authentication device or the like that cannot be used directly from the Web browser. User authentication can be performed using the device. The authentication device may be a built-in one in the client terminal or an external one connected to the client terminal. Further, in the above invention, an appropriate URL scheme according to the type of OS of the terminal and the like can be transmitted to the terminal.
[2]前記所定の認証装置は、前記クライアント端末に接続された、前記クライアント端末とは別の認証装置である
ことを特徴とする[1]に記載の代理認証システム。
[2] The proxy authentication system according to [1], wherein the predetermined authentication device is an authentication device connected to the client terminal and different from the client terminal.
[3]前記中継サーバは、クライアント端末とこのクライアント端末に許可する外部Webサービスとを紐付けた情報を記憶しておき、前記アクセスする通信の通信先の外部Webサービスが前記アクセスする通信の送信元のクライアント端末に紐付けられていることを条件に、前記クライアント端末の代理で前記外部Webサービスにログインする
ことを特徴とする[1]または[2]に記載の代理認証システム。
[ 3 ] The relay server stores information associated with the client terminal and the external Web service permitted to the client terminal, and the external Web service of the communication destination of the access communication transmits the access communication. The proxy authentication system according to [1] or [2] , wherein the external Web service is logged in on behalf of the client terminal on condition that the client terminal is associated with the original client terminal.
上記発明では、端末毎に、代理認証を許可する外部Webサービスを切り替えることができる。
[4]Webブラウザと認証アプリケーションがインストールされたクライアント端末と、
中継サーバと、
を備え、
前記中継サーバは、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得し、前記認証アプリケーションを起動するためのURLスキームを前記クライアント端末に送信し、
前記URLスキームを受信した前記クライアント端末は、前記認証アプリケーションを起動し、該起動された認証アプリケーションは、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知し、
前記通知を受けた前記中継サーバは、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインし、
前記中継サーバは、一のユーザが第1のクライアント端末を使用する場合と第2のクライアント端末を使用する場合で、前記代理でのログインを許可する外部Webサービスを切り替える
ことを特徴とする代理認証システム。
In the above invention, the external Web service that allows proxy authentication can be switched for each terminal.
[4] A client terminal on which a Web browser and an authentication application are installed,
With a relay server
Equipped with
The relay server acquires communication for accessing the external Web service by the Web browser of the client terminal on behalf of the external Web service, and transmits a URL scheme for invoking the authentication application to the client terminal.
The client terminal that has received the URL scheme activates the authentication application, and the activated authentication application performs user authentication using a predetermined authentication device, and if the user authentication is successful, the authentication is successful. Notify the relay server and
Upon receiving the notification, the relay server transmits a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. Log in to
The relay server switches between an external Web service that allows login on behalf of the user when one user uses the first client terminal and when the second client terminal is used.
A proxy authentication system characterized by that.
[5]前記所定の認証装置は、生体認証装置である
ことを特徴とする[1]乃至[4]のいずれか1つに記載の代理認証システム。
[5] The proxy authentication system according to any one of [1] to [4], wherein the predetermined authentication device is a biometric authentication device.
[6]Webブラウザと認証アプリケーションがインストールされたクライアント端末の代理で中継サーバが外部Webサービスにログインする代理認証方法であって、
前記中継サーバが、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得するステップと、
前記取得した前記中継サーバが、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記クライアント端末にインストールされている認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信するステップと、
前記URLスキームを受信した前記クライアント端末が、前記認証アプリケーションを起動するステップと、
前記起動された認証アプリケーションが、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知するステップと、
前記通知を受けた前記中継サーバが、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインするステップと
を有する
ことを特徴とする代理認証方法。
[6] A proxy authentication method in which a relay server logs in to an external web service on behalf of a client terminal on which a web browser and an authentication application are installed.
A step in which the relay server acquires communication for the Web browser of the client terminal to access the external Web service on behalf of the external Web service.
A URL scheme for the acquired relay server to determine the type of the client terminal based on predetermined information added to the communication to be accessed and to start an authentication application installed on the client terminal is provided. A step of selecting based on the result of the determination and transmitting to the client terminal, and
The step in which the client terminal receiving the URL scheme activates the authentication application,
The step of notifying the relay server of the success of the authentication when the activated authentication application performs user authentication using a predetermined authentication device and the user authentication is successful.
Upon receiving the notification, the relay server sends a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. A surrogate authentication method characterized by having a step to log in to.
[7]クライアント端末の代理で外部Webサービスにログインする中継サーバで実行されるプログラムであって、
前記中継サーバが、
前記クライアント端末のWebブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得するステップと、
前記通信を取得した場合に、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記クライアント端末にインストールされている認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信するステップと、
前記URLスキームによって起動された認証アプリケーションが所定の認証装置を用いてユーザ認証に成功した旨の通知を前記クライアント端末から受信するステップと、
前記通知を受信した場合に、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインするステップと
を有する
ことを特徴とするプログラム。
[7] A program executed by a relay server that logs in to an external Web service on behalf of a client terminal.
The relay server
A step of acquiring communication for accessing an external Web service by the Web browser of the client terminal on behalf of the external Web service.
When the communication is acquired , the type of the client terminal is determined based on the predetermined information attached to the communication to be accessed, and a URL scheme for activating the authentication application installed on the client terminal is provided. A step of selecting based on the result of the determination and transmitting to the client terminal, and
A step of receiving a notification from the client terminal that the authentication application activated by the URL scheme has succeeded in user authentication using a predetermined authentication device, and
When the notification is received, the client terminal sends a login request including login information necessary for logging in to the external web service to the external web service, and logs in to the external web service on behalf of the client terminal. A program characterized by having steps to do.
本発明に係る代理認証システム、代理認証方法およびそのプログラムによれば、クライアント端末にインストールされている一般的なWebブラウザを使用していても、生体認証等の認証装置を利用して中継サーバにログインすることができるので、ユーザはユーザ名とパスワードを記憶する煩わしさから開放される。 According to the proxy authentication system, proxy authentication method and its program according to the present invention, even if a general Web browser installed on the client terminal is used, an authentication device such as biometric authentication can be used as a relay server. Being able to log in frees the user from the hassle of remembering usernames and passwords.
以下、図面に基づき本発明の実施の形態を説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
図1は、本発明の実施の形態に係る代理認証システム2の構成を示している。ここでは、クライアント端末を、ユーザが携帯可能なスマートフォンなどの情報処理装置であるモバイル端末とする。代理認証システム2は、ユーザが利用するモバイル端末10と、中継装置(中継サーバ)20を備える。モバイル端末10はLAN(Local Area Network)を介して中継装置20に接続され、中継装置20は外部の広域ネットワーク(WAN)に接続されている。広域ネットワークには、各種の外部Webサービス31を提供するサーバが設けられている。
FIG. 1 shows the configuration of the
代理認証システム2は、モバイル端末10のWebブラウザ11から外部Webサービス31へアクセスする際の該外部Webサービス31へのログイン認証を、モバイル端末10に代わって中継装置20が代理で行う機能(代理認証機能)を果たす。
The
モバイル端末10は、CPU(Central Processing Unit)にROM(Read Only Memory)、RAM(Random Access Memory)、表示部、操作入力部、通信部、記憶部などを接続して構成される。記憶部に記憶されたプログラムを実行することでモバイル端末10の機能が実現される。モバイル端末10には、Webブラウザ11のプログラム、認証アプリケーション12のプログラムなどがインストールされており、CPUで実行される。以後、認証アプリケーション12を認証アプリ12と略記する。
The
モバイル端末10は、生体認証装置13を具備する、もしくは、外部の生体認証装置13が接続されている。生体認証装置13は、指紋認証、静脈認証など人体の特徴によって個人を特定する認証装置であれば任意でよい。
The
中継装置20は、リバースプロキシサーバ21、認証サーバ22、データベース23を備えている。データベース23をDB23と略記する。リバースプロキシサーバ21、認証サーバ22はいずれもCPU、ROM、RAM、通信部、記憶部を主要部として構成された情報処理装置であり、記憶部に格納されたプログラムをCPUが実行する。
The
モバイル端末10の接続されたLANからWAN向けの通信はすべて中継装置20のリバースプロキシサーバ21を経由して行われている。リバースプロキシサーバ21は、通信内容に応じて接続先を変更したり、通信内容を書き換えたりする機能を果たす。
All communication from the LAN to which the
図2は、認証アプリケーション12が持つデータを示している。認証アプリケーション12は、当該認証アプリ12がインストールされたモバイル端末10のユーザの当該代理認証システム2におけるユーザ名と、代理認証システム2において該モバイル端末10に一意に割り当てられた識別子である端末IDと、中継装置20にログインするためのユーザ認証に使用する認証装置を指定する認証装置情報を端末登録データ40として記憶する。
FIG. 2 shows the data possessed by the
図3は、認証サーバ22が保持する登録端末リスト41の一例を示している。登録端末リスト41には、代理認証を許可するモバイル端末10の端末IDが登録される。ここでは、端末IDは以下の手順で発行される。
(1)ユーザがモバイル端末10内の認証アプリ12を利用して認証サーバ22に端末IDの発行を要求する。
(2)認証サーバ22は、固有の端末IDを割り当て、これを要求元のモバイル端末10に通知すると共に、登録端末リスト41に登録する。
(3)モバイル端末10の認証アプリ12は通知された端末IDを図2のように登録する。
FIG. 3 shows an example of the registered
(1) The user requests the
(2) The
(3) The
図4は、認証サーバ22のデータベース23が保持するログイン情報登録リスト43の一例を示している。ログイン情報登録リスト43には、外部Webサービス31毎に、代理認証システム2でのユーザ名と、対象の外部Webサービスでのユーザ名とパスワードが対応付けて登録される。この例では、たとえば、代理認証システム2でのユーザ名がUser1のユーザの外部Webサービス(A)ではユーザ名はUserA1であり、パスワードはaaaとなっている。また、代理認証システム2でのユーザ名がUser1のユーザの外部Webサービス(B)でのユーザ名はUserB1であり、パスワードはababとなっている。
FIG. 4 shows an example of the login
図5は、リバースプロキシサーバ21が、一時的に登録する一時登録データ45の一例である。リバースプロキシサーバ21は、モバイル端末10のWebブラウザ11が外部Webサービス31へアクセスしようとする通信を検出したとき、一時登録データ45を作成する。一時登録データ45には、通信元のモバイル端末10のユーザ名と端末IDとアクセス先の外部Webサービスの名称(図5では要求サービス)と、この通信のセッション情報が登録される。このうち、端末IDは、後述する認証アプリ12からの認証要求(図7のP6)で通知される。
FIG. 5 is an example of
図6は、外部Webサービス31が保持する認証情報登録リスト47の一例を示している。外部Webサービス31のサーバは、この外部Webサービス31の利用者として登録されたユーザのユーザ名とパスワードを対応付けて認証情報登録リスト47に登録して保持する。図6は、外部Webサービス(A)のサーバに登録された認証情報登録リスト47の一例を示している。
FIG. 6 shows an example of the authentication
図7は、モバイル端末10が外部Webサービス31にログインして該サービスが利用可能となるまでの流れを示すシーケンス図である。
FIG. 7 is a sequence diagram showing a flow until the mobile terminal 10 logs in to the
モバイル端末10のWebブラウザ11から外部Webサービス31にアクセスしてログイン要求を出すと(P1)、リバースプロキシサーバ21がその通信を取得(横取り)する。リバースプロキシサーバ21は、モバイル端末10との通信情報(セッション情報)等を図5の一時登録データ45のように保存し、モバイル端末10が認証アプリ12を起動するのに必要なURLスキームをモバイル端末10に送信する(P2)。
When the
送信するURLスキームには、モバイル端末との通信情報(セッション情報)が含まれる。たとえば、
myAuth://login?service=xxx.com&Session=zxcvad
といった文字列をURLスキームとしてモバイル端末10へ送信する。
The URL scheme to be transmitted includes communication information (session information) with the mobile terminal. for example,
myAuth: //login?service=xxx.com&Session=zxcvad
Is transmitted to the
モバイル端末10は、受け取ったURLスキームを基に、あらかじめインストールされている認証アプリ12を起動する(P3)。認証アプリ12は、あらかじめ設定されている認証装置(図2の端末登録データ40に登録されている認証装置情報が示す認証装置)を使って認証するようユーザに促す。たとえば、その旨のメッセージ等をモバイル端末10に表示する。認証装置には、モバイル端末10が備える生体認証装置、もしくはモバイル端末10に接続された外部の生体認証装置13を使用することができる。
The
認証装置13はユーザが認証装置13に対して認証要求を行った時にそれが正しいユーザか否かを判定する(P4)。このとき、認証に使う生体情報はあらかじめモバイル端末10に登録しておく必要がある。
When the user makes an authentication request to the
認証装置13はユーザが正しい権限を持った人であると判定すると、認証アプリ12に認証が成功したことを伝える(P5)。
When the
ユーザ認証が成功した場合、認証アプリ12はリバースプロキシサーバ21に対して端末IDとユーザ名と先ほどURLスキームで通知されたセッション情報を含む認証要求を送信する(P6)。以下に認証要求の一例を示す。
{“端末ID”:”12345ABC”, ”User”:”user1”, ”Session”,”zxcvad”}
If the user authentication is successful, the
{“Terminal ID”: ”12345ABC”, “User”: ”user1”, “Session”, ”zxcvad”}
これを受信したリバースプロキシサーバ21は、セッション情報をキーにして該当の一時登録データ45に端末IDを登録すると共に、ユーザ名と端末IDと要求されている外部Webサービスの種類を含む認証情報要求を認証サーバ22に対して送信し、その外部Webサービスにこのユーザがログインするために必要な認証情報(その外部Webサービスでのユーザ名とパスワード)を要求する(P7)。
Upon receiving this, the
認証サーバ22は認証情報要求に含まれる端末IDが登録端末リスト41に登録されているか(要求元のクライアント端末が登録済みか)を確認する(P8)。登録されていない場合は、モバイル端末10の認証アプリ12に、代理認証不可を通知する。登録されている場合は、要求されている外部Webサービス用のログイン情報登録リスト43を参照して、該当のユーザ名とパスワードを取得し、これをリバースプロキシサーバ21に返送する(P9)。
The
たとえば、P7の認証情報要求に含まれるユーザ名(代理認証システムでのユーザ名)がUser1で、要求された外部WebサービスがサービスAの場合、サービスA用のログイン情報登録リスト43を参照し、User1がサービスAにログインするためのユーザ名・パスワードとして「UserA1,aaa」をリバースプロキシサーバ21に返送する。
For example, if the user name (user name in the proxy authentication system) included in the authentication information request on P7 is User1 and the requested external Web service is service A, the login
リバースプロキシサーバ21は認証サーバ22から取得したユーザ名とパスワードを該当するセッションの通信により外部Webサービス31へ送信し、その外部Webサービス31へモバイル端末10の代理でログインを行う(P10)。リバースプロキシサーバ21は外部Webサービス31からログインの結果(成否)を受け取り、これを認証アプリ12に通知する(P11)。認証アプリ12はこの通知を受けると、Webブラウザ11側に制御を戻す(P12)。
The
このように、Webブラウザ11から外部Webサービス31へアクセスする場合のユーザ認証をモバイル端末10側の生体認証装置13を用いて行うので、ユーザは何一つパスワードを記憶することなく代理認証システム2を利用することができる。
In this way, since the user authentication when accessing the
<変形例1>
変形例1では、リバースプロキシサーバ21に接続してきている端末の種類により、URLスキームを変更する。基本的には図7と同様のシーケンスで外部Webサービス31へのログインが行われるが、P2の処理が若干相違する。すなわち、モバイル端末10のWebブラウザ11が送出した外部Webサービス31へのログイン要求(通信)を取得したリバースプロキシサーバ21は、この要求(通信)に含まれるUser-Agent属性に基づいて、どのような端末がアクセスしているか(端末のタイプ)を判定する。
<
In the first modification, the URL scheme is changed depending on the type of the terminal connected to the
ここでは、User-Agentが示す、端末で使用されているOSの種類やバージョン、に基づいて図8に示すような端末スキーム対応表49を参照し、送信元のモバイル端末10が認証アプリ12を起動するのに必要なURLスキームを選択し、これにセッション情報を付加したURLスキームを作成する。その他の動作は図7の場合と同様でありその説明は省略する。
Here, referring to the terminal scheme correspondence table 49 as shown in FIG. 8 based on the type and version of the OS used in the terminal indicated by the User-Agent, the source mobile terminal 10 uses the
なお、User-Agentは、Webブラウザがhttpサーバに対してリクエストを投げる際に付加するヘッダ情報の一つである。User-Agentの一例を示す。
Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
この情報から、クライアント端末がどのようなOSで、どのブラウザを利用しているか等をおおよそ判定することができる。
The User-Agent is one of the header information added when the Web browser makes a request to the http server. An example of User-Agent is shown.
Mozilla / 5.0 (Windows NT 10.0; WOW64; Trident / 7.0; rv: 11.0) like Gecko
From this information, it is possible to roughly determine what kind of OS the client terminal is using and which browser it is using.
<変形例2>
変形例2では、一人のユーザが複数の端末を持つことがあるため、代理認証を許可する外部Webサービス31を端末によって切り替える。図9の例は、一人のユーザがモバイル端末(1)とモバイル端末(2)を所有する場合を示している。
<
In the second modification, since one user may have a plurality of terminals, the
モバイル端末毎に利用可能なWebサービスを切り替える方法として、ここでは、端末IDが発行されて登録された後、管理者の操作により、登録されている各端末IDに対して、どのWebサービスを利用できるようにするかの設定登録を行う。 As a method of switching the available Web services for each mobile terminal, here, after the terminal ID is issued and registered, which Web service is used for each registered terminal ID by the operation of the administrator. Register the settings to enable it.
図10は、認証サーバ22に登録されたサービス別登録端末リスト51の一例を示している。認証サーバ22には、図3の登録端末リスト41に代えて図10のサービス別登録端末リスト51が登録される。サービス別登録端末リスト51は、Webサービス<外部Webサービス31)毎に、そのWebサービスを利用可能な端末IDが登録されている。図10の例では、12345ABCの端末IDを持つモバイル端末10はサービスA、サービスBの両方を使えるが、12ED50D2の端末IDを持つモバイル端末10はサービスBしか使えない。
FIG. 10 shows an example of the registered
認証サーバ22は、図7のP8での判定を、サービス別登録端末リスト51を参照して行う。すなわち、要求されている外部Webサービスに対応するサービス別登録端末リスト51を参照し、これに要求元の端末IDが登録されていれば代理認証を継続し、登録されていない場合は、モバイル端末10の認証アプリ12に、代理認証不可を通知する。
The
図11は、中継装置20が行う処理を示す流れ図である。モバイル端末10による外部Webサービス31へのアクセスを監視し(ステップS101;No)、該アクセスを検出すると(ステップS101;Yes)、その通信を横取りして取得する(ステップS102)。そして、該通信のアクセス先の外部Webサービス31の種類(名称)とこの通信のセッションン情報を対応付けて一時登録データ45に記憶する(ステップS103)。次に、この通信のヘッダに含まれるUser-Agent属性から、横取りした通信の送信元のモバイル端末10に対応したURLスキームを作成して、該送信元のモバイル端末10へ送信する(ステップS104)。
FIG. 11 is a flow chart showing the processing performed by the
URLスキームを受信したモバイル端末10では生体認証装置13を用いたユーザ認証が行われる。中継装置20は、モバイル端末10からの応答を監視し(ステップS105、S106)、ユーザ認証に成功した場合にモバイル端末10が送信する認証要求を受信した場合は(ステップS105;Yes)、ステップS107へ進む。一方、モバイル端末10からユーザ認証に失敗した通知を受けた場合は(ステップS106;Yes)、本処理を終了する。
The
ステップS107では、受信した認証要求に含まれる端末IDが登録端末リスト41あるいはサービス別登録端末リスト51に登録されているか否かを調べ、登録されていない場合は(ステップS107;No)、モバイル端末10の認証アプリ12へアクセス拒否を通知して(ステップS108)本処理を終了する。
In step S107, it is checked whether or not the terminal ID included in the received authentication request is registered in the registered
登録されている場合は(ステップS107;Yes)、データベース23から、該当する外部Webサービス用の認証情報(ユーザ名とパスワード)を取得し(ステップS109)、これと先ほどのセッション情報を用いて外部Webサービス31へログイン要求する(ステップS110)。外部Webサービス31からログイン成否の結果を受信すると(ステップS111)、これをモバイル端末10の認証アプリ12に通知して(ステップS112)本処理を終了する。
If it is registered (step S107; Yes), the authentication information (user name and password) for the corresponding external Web service is acquired from the database 23 (step S109), and this and the previous session information are used to externally obtain the authentication information (user name and password). Request login to the Web service 31 (step S110). When the login success / failure result is received from the external Web service 31 (step S111), this is notified to the
図12は、モバイル端末10の認証アプリ12が行う処理を示す流れ図である。URLスキームによって起動されると、端末登録データ40に登録されている認証装置情報が示す認証装置を作動させ、ユーザに該認証装置を用いてユーザ認証することを促すメッセージの表示等を行う(ステップS201)。認証装置での認証結果がユーザ認証失敗の場合は(ステップS202;No)、中継装置20(リバースプロキシサーバ21)へ、ユーザ認証失敗を通知し(ステップS203)、Webブラウザ11に制御を移して(ステップS206)本処理を終了する。なお、Webブラウザ11へ制御を移す前に認証失敗等のメッセージを表示してもよい。
FIG. 12 is a flow chart showing a process performed by the
認証装置での認証結果がユーザ認証成功の場合は(ステップS202;Yes)、中継装置20(リバースプロキシサーバ21)へ、端末IDを含む認証要求を送信する(ステップS204)。その後、中継装置20からログイン結果の通知を受けたら(ステップS205;Yes)、Webブラウザ11に制御を移して(ステップS206)本処理を終了する。 If the authentication result in the authentication device is successful in user authentication (step S202; Yes), an authentication request including the terminal ID is transmitted to the relay device 20 (reverse proxy server 21) (step S204). After that, when the notification of the login result is received from the relay device 20 (step S205; Yes), the control is transferred to the Web browser 11 (step S206), and this process is terminated.
以上、本発明の実施の形態を図面によって説明してきたが、具体的な構成は実施の形態に示したものに限られるものではなく、本発明の要旨を逸脱しない範囲における変更や追加があっても本発明に含まれる。 Although the embodiment of the present invention has been described above with reference to the drawings, the specific configuration is not limited to that shown in the embodiment, and there are changes and additions within the range not departing from the gist of the present invention. Is also included in the present invention.
実施の形態では、中継装置20をリバースプロキシサーバ21、認証サーバ22、データベース23で構成したが、これらの機能を1つのサーバ装置で実現してもよい。
In the embodiment, the
実施の形態では、認証装置を生体認証装置としたが、これに限定されるものではない。ユーザ名とパスワード等の入力操作なしにユーザ認証可能な認証装置であることが好ましい。 In the embodiment, the authentication device is a biometric authentication device, but the present invention is not limited to this. It is preferable that the authentication device is capable of user authentication without inputting a user name and password.
2…代理認証システム
10…モバイル端末
11…Webブラウザ
12…認証アプリケーション(認証アプリ)
13…生体認証装置
20…中継装置
21…リバースプロキシサーバ
22…認証サーバ
23…データベース
31…外部Webサービス
40…端末登録データ
41…登録端末リスト
43…ログイン情報登録リスト
45…一時登録データ
47…認証情報登録リスト
49…端末スキーム対応表
51…サービス別登録端末リスト
2 ...
13 ...
Claims (7)
中継サーバと、
を備え、
前記中継サーバは、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得し、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信し、
前記URLスキームを受信した前記クライアント端末は、前記認証アプリケーションを起動し、該起動された認証アプリケーションは、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知し、
前記通知を受けた前記中継サーバは、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインする
ことを特徴とする代理認証システム。 A client terminal with a web browser and authentication application installed,
With a relay server
Equipped with
The relay server acquires the communication for accessing the external Web service by the Web browser of the client terminal on behalf of the external Web service, and based on the predetermined information added to the accessing communication, the relay server of the client terminal. The type is determined, the URL scheme for invoking the authentication application is selected based on the result of the determination, and the result is transmitted to the client terminal.
The client terminal that has received the URL scheme activates the authentication application, and the activated authentication application performs user authentication using a predetermined authentication device, and if the user authentication is successful, the authentication is successful. Notify the relay server and
Upon receiving the notification, the relay server sends a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. A proxy authentication system characterized by logging in to.
ことを特徴とする請求項1に記載の代理認証システム。 The proxy authentication system according to claim 1, wherein the predetermined authentication device is an authentication device connected to the client terminal and different from the client terminal.
ことを特徴とする請求項1または2に記載の代理認証システム。 The relay server stores information associated with the client terminal and the external Web service permitted to the client terminal, and the client of the transmission source of the communication to be accessed by the external Web service of the communication destination of the access communication. The proxy authentication system according to claim 1 or 2 , wherein the external Web service is logged in on behalf of the client terminal on condition that the client terminal is associated with the terminal.
中継サーバと、
を備え、
前記中継サーバは、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得し、前記認証アプリケーションを起動するためのURLスキームを前記クライアント端末に送信し、
前記URLスキームを受信した前記クライアント端末は、前記認証アプリケーションを起動し、該起動された認証アプリケーションは、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知し、
前記通知を受けた前記中継サーバは、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインし、
前記中継サーバは、一のユーザが第1のクライアント端末を使用する場合と第2のクライアント端末を使用する場合で、前記代理でのログインを許可する外部Webサービスを切り替える
ことを特徴とする代理認証システム。 A client terminal with a web browser and authentication application installed,
With a relay server
Equipped with
The relay server acquires communication for accessing the external Web service by the Web browser of the client terminal on behalf of the external Web service, and transmits a URL scheme for invoking the authentication application to the client terminal.
The client terminal that has received the URL scheme activates the authentication application, and the activated authentication application performs user authentication using a predetermined authentication device, and if the user authentication is successful, the authentication is successful. Notify the relay server and
Upon receiving the notification, the relay server transmits a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. Log in to
The relay server switches between an external Web service that allows login on behalf of the user when one user uses the first client terminal and when the second client terminal is used.
A proxy authentication system characterized by that.
ことを特徴とする請求項1乃至4のいずれか1つに記載の代理認証システム。 The proxy authentication system according to any one of claims 1 to 4, wherein the predetermined authentication device is a biometric authentication device.
前記中継サーバが、前記クライアント端末の前記Webブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得するステップと、
前記取得した前記中継サーバが、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記クライアント端末にインストールされている認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信するステップと、
前記URLスキームを受信した前記クライアント端末が、前記認証アプリケーションを起動するステップと、
前記起動された認証アプリケーションが、所定の認証装置を用いてユーザ認証を行い、ユーザ認証に成功した場合に認証の成功を前記中継サーバに通知するステップと、
前記通知を受けた前記中継サーバが、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインするステップと
を有する
ことを特徴とする代理認証方法。 This is a proxy authentication method in which the relay server logs in to the external web service on behalf of the client terminal on which the web browser and authentication application are installed.
A step in which the relay server acquires communication for the Web browser of the client terminal to access the external Web service on behalf of the external Web service.
A URL scheme for the acquired relay server to determine the type of the client terminal based on predetermined information added to the communication to be accessed and to start an authentication application installed on the client terminal is provided. A step of selecting based on the result of the determination and transmitting to the client terminal, and
The step in which the client terminal receiving the URL scheme activates the authentication application,
The step of notifying the relay server of the success of the authentication when the activated authentication application performs user authentication using a predetermined authentication device and the user authentication is successful.
Upon receiving the notification, the relay server sends a login request including login information necessary for the client terminal to log in to the external Web service to the external Web service, and the external Web service is performed on behalf of the client terminal. A surrogate authentication method characterized by having a step to log in to.
前記中継サーバが、
前記クライアント端末のWebブラウザが外部Webサービスへアクセスする通信を前記外部Webサービスに代わって取得するステップと、
前記通信を取得した場合に、前記アクセスする通信に付加されている所定の情報に基づいて前記クライアント端末のタイプを判別し、前記クライアント端末にインストールされている認証アプリケーションを起動するためのURLスキームを前記判別の結果に基づいて選択して前記クライアント端末に送信するステップと、
前記URLスキームによって起動された認証アプリケーションが所定の認証装置を用いてユーザ認証に成功した旨の通知を前記クライアント端末から受信するステップと、
前記通知を受信した場合に、前記クライアント端末が前記外部Webサービスにログインするために必要なログイン情報を含むログイン要求を前記外部Webサービスに送信して前記クライアント端末の代理で前記外部Webサービスにログインするステップと
を有する
ことを特徴とするプログラム。 A program executed on a relay server that logs in to an external Web service on behalf of a client terminal.
The relay server
A step of acquiring communication for accessing an external Web service by the Web browser of the client terminal on behalf of the external Web service.
When the communication is acquired , the type of the client terminal is determined based on the predetermined information attached to the communication to be accessed, and a URL scheme for activating the authentication application installed on the client terminal is provided. A step of selecting based on the result of the determination and transmitting to the client terminal, and
A step of receiving a notification from the client terminal that the authentication application activated by the URL scheme has succeeded in user authentication using a predetermined authentication device, and
When the notification is received, the client terminal sends a login request including login information necessary for logging in to the external web service to the external web service, and logs in to the external web service on behalf of the client terminal. A program characterized by having steps to do.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017160631A JP7025684B2 (en) | 2017-08-23 | 2017-08-23 | Proxy authentication system, proxy authentication method, program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017160631A JP7025684B2 (en) | 2017-08-23 | 2017-08-23 | Proxy authentication system, proxy authentication method, program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019040319A JP2019040319A (en) | 2019-03-14 |
JP7025684B2 true JP7025684B2 (en) | 2022-02-25 |
Family
ID=65727413
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017160631A Active JP7025684B2 (en) | 2017-08-23 | 2017-08-23 | Proxy authentication system, proxy authentication method, program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7025684B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2022526019A (en) * | 2019-04-09 | 2022-05-20 | ツイッター インコーポレイテッド | Management of user attribute information in managed multi-tenant services |
JP7321788B2 (en) * | 2019-06-20 | 2023-08-07 | キヤノン株式会社 | Browsing Management Server, Browsing Management Method, and Browsing Management System |
JP7502955B2 (en) | 2020-09-29 | 2024-06-19 | 株式会社日本総合研究所 | Virtual browser server and program, |
WO2023084764A1 (en) * | 2021-11-15 | 2023-05-19 | 日本電気株式会社 | User terminal, process execution device, authentication system, authentication assistance method, process execution method, and computer readable medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005011098A (en) | 2003-06-19 | 2005-01-13 | Fujitsu Ltd | Proxy authentication program, method, and device |
US20160366119A1 (en) | 2015-06-15 | 2016-12-15 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
WO2017019652A1 (en) | 2015-07-27 | 2017-02-02 | Amazon Technologies, Inc. | Providing multi-factor authentication credentials via device notifications |
-
2017
- 2017-08-23 JP JP2017160631A patent/JP7025684B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005011098A (en) | 2003-06-19 | 2005-01-13 | Fujitsu Ltd | Proxy authentication program, method, and device |
US20160366119A1 (en) | 2015-06-15 | 2016-12-15 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
WO2017019652A1 (en) | 2015-07-27 | 2017-02-02 | Amazon Technologies, Inc. | Providing multi-factor authentication credentials via device notifications |
Non-Patent Citations (1)
Title |
---|
FIDO UAF Application API and Transport Binding Specification,FIDO Alliance,2017年02月02日,https://fidoalliance.org/specs/fido-uaf-v1.1-ps-20170202/fido-uaf-client-api-transport-v1.1-ps-20170202.html |
Also Published As
Publication number | Publication date |
---|---|
JP2019040319A (en) | 2019-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107534652B (en) | Secure access method, system and computer readable medium for cloud-based services | |
JP7025684B2 (en) | Proxy authentication system, proxy authentication method, program | |
US20180278603A1 (en) | Control method for authentication/authorization server, resource server, and authentication/authorization system | |
CN105007280B (en) | A kind of application login method and device | |
US7225464B2 (en) | Method for verifying the identity of a user for session authentication purposes during Web navigation | |
US7082532B1 (en) | Method and system for providing distributed web server authentication | |
JP6170158B2 (en) | Mobile multi single sign-on authentication | |
JP6929181B2 (en) | Devices and their control methods and programs | |
EP2258094B1 (en) | Devolved authentication | |
JP2019046060A (en) | Delegation-of-authority system, control method and program | |
KR960035299A (en) | A method for managing communication between a remote user and an application server, a subject authentication method for a remote user, a network and a program storage device providing a distributed computer environment | |
US11165768B2 (en) | Technique for connecting to a service | |
JP2015535984A5 (en) | ||
JP2019046059A (en) | Delegation-of-authority system, control method and program | |
WO2006061326A1 (en) | Method and system for secure binding register name identifier profile | |
CN111953681B (en) | DNS identity authentication method and terminal | |
US9143501B2 (en) | Reauthentication to a web service without disruption | |
KR20110003353A (en) | Handling expired passwords | |
CN107005605A (en) | Device identification in authorization of service | |
US20110289567A1 (en) | Service access control | |
CN112261022A (en) | Security authentication method based on API gateway | |
WO2009129753A1 (en) | A method and apparatus for enhancing the security of the network identity authentication | |
CN102710621B (en) | A kind of user authentication method and system | |
US11146536B2 (en) | Method and a system for managing user identities for use during communication between two web browsers | |
JP6848275B2 (en) | Program, authentication system and authentication cooperation system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210512 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210701 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210722 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220112 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220125 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7025684 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |