JP7162405B1 - Program, information processing device, method and system - Google Patents

Program, information processing device, method and system Download PDF

Info

Publication number
JP7162405B1
JP7162405B1 JP2022104283A JP2022104283A JP7162405B1 JP 7162405 B1 JP7162405 B1 JP 7162405B1 JP 2022104283 A JP2022104283 A JP 2022104283A JP 2022104283 A JP2022104283 A JP 2022104283A JP 7162405 B1 JP7162405 B1 JP 7162405B1
Authority
JP
Japan
Prior art keywords
terminal
identification information
user
response request
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022104283A
Other languages
Japanese (ja)
Other versions
JP2024004603A (en
Inventor
一洋 和田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Optim Corp
Original Assignee
Optim Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Optim Corp filed Critical Optim Corp
Priority to JP2022104283A priority Critical patent/JP7162405B1/en
Priority to JP2022165201A priority patent/JP2024006868A/en
Application granted granted Critical
Publication of JP7162405B1 publication Critical patent/JP7162405B1/en
Publication of JP2024004603A publication Critical patent/JP2024004603A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】ユーザがサービスを利用する際に、認証を受けるために入力すべき識別情報を削減する。【解決手段】プロセッサ29とメモリ25とを備える認証サーバ20を動作させるためのプログラムは、プロセッサ29に、ユーザに固有のユーザ識別情報を受け入れるステップと、ユーザ識別情報と端末に固有の端末識別情報とが予め関連付けられており、受け入れたユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた端末識別情報を取得するステップと、端末識別情報により識別される端末は端末自身の管理機能を有し、管理機能に対する応答要求を、ユーザが使用する端末へ送信するステップと、応答要求に基づく端末からの応答に応じて、端末を所持するユーザを認証するステップと、認証するステップによる認証結果をユーザへ提示するステップとを実行させる。【選択図】 図2An object of the present invention is to reduce the amount of identification information that a user has to enter for authentication when using a service. A program for operating an authentication server (20) comprising a processor (29) and a memory (25) causes the processor (29) to receive user identification information unique to a user, and based on the received user identification information, the terminal identified by the terminal identification information has its own management function. a step of transmitting a response request for the management function to the terminal used by the user; a step of authenticating the user possessing the terminal according to the response from the terminal based on the response request; and the step of presenting to the user. [Selection drawing] Fig. 2

Description

本開示は、プログラム、情報処理装置、方法及びシステムに関する。 The present disclosure relates to programs, information processing apparatuses, methods, and systems.

認証サーバが自身に送信されたデバイス識別情報にて特定されるデバイス群に対応するデバイスグループを検索してワークフローを検索し、次いで、運用途中のワークフローが存在するか否かを判断し、存在する場合は、パスワード入力の指示を行わず、そのままデバイス処理の指示を出す技術がある(特許文献1)。 The authentication server searches for the device group corresponding to the device group specified by the device identification information sent to itself, searches for the workflow, then determines whether or not there is a workflow in operation, and determines whether or not the workflow exists. In this case, there is a technique of directly issuing a device processing instruction without issuing a password input instruction (Patent Document 1).

また、可搬媒体からこの可搬媒体を識別する識別情報を読み出して認証サーバ装置へ送信し、認証サーバ装置が、受信した識別情報に基づいて認証状態情報を発行し、発行した認証状態情報を可搬媒体に書き込み、可搬媒体から認証状態情報を読み出し,記憶される認証状態情報に基づき,認証処理を実行する認証システムに関する技術がある(特許文献2)。 Also, identification information for identifying this portable medium is read from the portable medium and transmitted to the authentication server device, and the authentication server device issues authentication status information based on the received identification information, and sends the issued authentication status information. There is a technology related to an authentication system that writes to a portable medium, reads authentication status information from the portable medium, and executes authentication processing based on the stored authentication status information (Patent Document 2).

特開2009-53762号公報JP-A-2009-53762 特開2008-9644号公報JP 2008-9644 A

特許文献1及び特許文献2に係る技術では、ユーザは、ユーザが利用する端末にその都度識別情報(例えばID、パスワード)を入力して認証装置等により認証を受ける必要があり、ユーザに数多くの識別情報を入力させる手間がかかっていた。 In the techniques disclosed in Patent Documents 1 and 2, the user needs to enter identification information (for example, ID and password) into the terminal used by the user each time and be authenticated by an authentication device or the like. It took a lot of time to input the identification information.

そこで、本開示は、上記課題を解決すべくなされたものであって、その目的は、ユーザがサービスを利用する際に、認証を受けるために入力すべき識別情報を削減することである。 Therefore, the present disclosure has been made to solve the above problems, and its purpose is to reduce the identification information that a user has to input for authentication when using a service.

プロセッサとメモリとを備えるコンピュータを動作させるためのプログラムである。プログラムは、プロセッサに、ユーザに固有のユーザ識別情報を受け入れるステップと、ユーザ識別情報と端末に固有の端末識別情報とが予め関連付けられており、受け入れたユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた端末識別情報を取得するステップと、端末識別情報により識別される端末は端末自身の管理機能を有し、管理機能に対する応答要求を、ユーザが使用する端末へ送信するステップと、応答要求に基づく端末からの応答に応じて、端末を所持するユーザを認証するステップと、認証するステップによる認証結果をユーザへ提示するステップとを実行させる。 A program for operating a computer having a processor and a memory. The program comprises, in a processor, a step of accepting user identification information unique to a user, the user identification information and terminal identification information unique to a terminal being pre-associated with each other, and based on the accepted user identification information, this user identification information the terminal identified by the terminal identification information has its own management function, sending a response request for the management function to the terminal used by the user; A step of authenticating a user possessing a terminal and a step of presenting an authentication result obtained by the authenticating step to the user are executed in response to a response from the terminal based on the request.

本開示によれば、ユーザがサービスを利用する際に、認証を受けるために入力すべき識別情報を削減することができる。 Advantageous Effects of Invention According to the present disclosure, it is possible to reduce identification information to be input for authentication when a user uses a service.

システムの動作の概要を説明するための図である。FIG. 4 is a diagram for explaining an overview of system operation; システムの全体の構成を示す図である。It is a figure which shows the structure of the whole system. 端末装置の機能的な構成を示す図である。It is a figure which shows the functional structure of a terminal device. 認証サーバの機能的な構成を示す図である。FIG. 3 is a diagram showing a functional configuration of an authentication server; FIG. 管理サーバの機能的な構成を示す図である。It is a figure which shows the functional structure of a management server. データベースのデータ構造を示す図である。It is a figure which shows the data structure of a database. データベースのデータ構造を示す図である。It is a figure which shows the data structure of a database. データベースのデータ構造を示す図である。It is a figure which shows the data structure of a database. データベースのデータ構造を示す図である。It is a figure which shows the data structure of a database. システムにおける処理流れの一例を示すシーケンス図である。4 is a sequence diagram showing an example of a processing flow in the system; FIG. システムにおける処理流れの一例を示すシーケンス図である。4 is a sequence diagram showing an example of a processing flow in the system; FIG. 端末装置で表示される画面の一例を表す模式図である。It is a schematic diagram showing an example of the screen displayed on a terminal device. 端末装置で表示される画面の別の一例を表す模式図である。FIG. 4 is a schematic diagram showing another example of a screen displayed on the terminal device;

以下、本開示の実施形態について図面を参照して説明する。実施形態を説明する全図において、共通の構成要素には同一の符号を付し、繰り返しの説明を省略する。なお、以下の実施形態は、特許請求の範囲に記載された本開示の内容を不当に限定するものではない。また、実施形態に示される構成要素のすべてが、本開示の必須の構成要素であるとは限らない。また、各図は模式図であり、必ずしも厳密に図示されたものではない。 Hereinafter, embodiments of the present disclosure will be described with reference to the drawings. In all the drawings for explaining the embodiments, common constituent elements are given the same reference numerals, and repeated explanations are omitted. It should be noted that the following embodiments do not unduly limit the content of the present disclosure described in the claims. Also, not all the components shown in the embodiments are essential components of the present disclosure. Each figure is a schematic diagram and is not necessarily strictly illustrated.

また、以下の説明において、「プロセッサ」は、1以上のプロセッサである。少なくとも1つのプロセッサは、典型的には、CPU(Central Processing Unit)のようなマイクロプロセッサであるが、GPU(Graphics Processing Unit)のような他種のプロセッサでもよい。少なくとも1つのプロセッサは、シングルコアでもよいしマルチコアでもよい。 Also, in the following description, a "processor" is one or more processors. The at least one processor is typically a microprocessor such as a CPU (Central Processing Unit), but may be another type of processor such as a GPU (Graphics Processing Unit). At least one processor may be single-core or multi-core.

また、少なくとも1つのプロセッサは、処理の一部又は全部を行うハードウェア回路(例えばFPGA(Field-Programmable Gate Array)又はASIC(Application Specific Integrated Circuit))といった広義のプロセッサでもよい。 Also, at least one processor may be a broadly defined processor such as a hardware circuit (for example, FPGA (Field-Programmable Gate Array) or ASIC (Application Specific Integrated Circuit)) that performs part or all of the processing.

また、以下の説明において、「xxxテーブル」といった表現により、入力に対して出力が得られる情報を説明することがあるが、この情報は、どのような構造のデータでもよいし、入力に対する出力を発生するニューラルネットワークのような学習モデルでもよい。従って、「xxxテーブル」を「xxx情報」と言うことができる。 In the following explanation, the expression "xxx table" may be used to describe information that produces an output for an input. It may be a learning model such as a generated neural network. Therefore, the "xxx table" can be called "xxx information".

また、以下の説明において、各テーブルの構成は一例であり、1つのテーブルは、2以上のテーブルに分割されてもよいし、2以上のテーブルの全部又は一部が1つのテーブルであってもよい。 Also, in the following description, the configuration of each table is an example, and one table may be divided into two or more tables, or all or part of two or more tables may be one table. good.

また、以下の説明において、「プログラム」を主語として処理を説明する場合があるが、プログラムは、プロセッサによって実行されることで、定められた処理を、適宜に記憶部及び/又はインタフェース部などを用いながら行うため、処理の主語が、プロセッサ(或いは、そのプロセッサを有するコントローラのようなデバイス)とされてもよい。 Further, in the following description, the processing may be described using the term “program” as the subject. As it occurs while in use, the subject of processing may be a processor (or a device, such as a controller, having that processor).

プログラムは、計算機のような装置にインストールされてもよいし、例えば、プログラム配布サーバ又は計算機が読み取り可能な(例えば非一時的な)記録媒体にあってもよい。また、以下の説明において、2以上のプログラムが1つのプログラムとして実現されてもよいし、1つのプログラムが2以上のプログラムとして実現されてもよい。 The program may be installed in a device such as a computer, or may be, for example, in a program distribution server or a computer-readable (eg, non-temporary) recording medium. Also, in the following description, two or more programs may be implemented as one program, and one program may be implemented as two or more programs.

また、以下の説明において、種々の対象の識別情報として、識別番号が使用されるが、識別番号以外の種類の識別情報(例えば、英字や符号を含んだ識別子)が採用されてもよい。 In the following description, identification numbers are used as identification information for various objects, but identification information of types other than identification numbers (for example, identifiers including alphabetic characters and symbols) may be employed.

また、以下の説明において、同種の要素を区別しないで説明する場合には、参照符号(又は、参照符号のうちの共通符号)を使用し、同種の要素を区別して説明する場合は、要素の識別番号(又は参照符号)を使用することがある。 In addition, in the following description, when describing the same type of elements without distinguishing between them, reference symbols (or common symbols among the reference symbols) are used, and when describing the same types of elements with different An identification number (or reference sign) may be used.

また、以下の説明において、制御線や情報線は、説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。全ての構成が相互に接続されていてもよい。 Further, in the following description, control lines and information lines indicate those considered necessary for the description, and not all control lines and information lines are necessarily indicated on the product. All configurations may be interconnected.

<0 システムの概要>
図1は、本開示に係るシステムの動作の概要を示す図である。本開示のシステム1では、自身の管理機能を有し、事前に管理サーバに登録されている端末装置2から、シングルサインオン(Single Sign-On:SSO)機能を提供する認証サーバ3にアクセスし、この認証サーバ3による認証を経てSSOサービスを利用する際に、管理サーバ4における登録情報(端末識別情報及びユーザ識別情報)に基づいて、ユーザID(ユーザ識別情報)のみ端末装置2を介して入力すれば、パスワード等の他の識別情報を使用することなく認証サーバによる認証を受けられるシステムである。
<0 System Overview>
FIG. 1 is a diagram outlining the operation of a system according to the present disclosure. In the system 1 of the present disclosure, an authentication server 3 that provides a single sign-on (SSO) function is accessed from a terminal device 2 that has its own management function and is registered in the management server in advance. , when using the SSO service after authentication by the authentication server 3, based on the registration information (terminal identification information and user identification information) in the management server 4, only the user ID (user identification information) is sent via the terminal device 2 This system enables authentication by an authentication server without using other identification information such as a password.

ここに、ユーザ識別情報は、ユーザのメールアドレスなど、端末装置2を使用するユーザに固有の識別情報であるが、ユーザを一意に識別できる情報であれば特段の限定はない。また、端末識別情報は、管理サーバ4に登録されている端末装置2に固有の識別情報であり、その形式等に特段の限定はない。また、管理サーバ4には、一つのユーザ識別情報に対して複数の端末識別情報が関連付けられていてもよい。つまり、ユーザ識別情報により識別されるユーザが複数の端末装置2を所持し、これら端末装置2についての端末識別情報が管理サーバに登録されていてもよい。 Here, the user identification information is identification information unique to the user who uses the terminal device 2, such as the user's e-mail address, but is not particularly limited as long as it is information that can uniquely identify the user. Further, the terminal identification information is identification information unique to the terminal device 2 registered in the management server 4, and there is no particular limitation on its format or the like. Also, in the management server 4, a plurality of pieces of terminal identification information may be associated with one piece of user identification information. That is, a user identified by user identification information may possess a plurality of terminal devices 2, and terminal identification information about these terminal devices 2 may be registered in the management server.

以下の説明では、説明の都合上、認証サーバ3と管理サーバ4とが別体である(異なるサーバである)として説明を行うが、当然のように、これら認証サーバ3と管理サーバ4とが一つのサーバ(情報処理装置)により実現されていてもよい。また、以下の説明では、ユーザ識別情報と端末識別情報との関連付けが記述された情報は管理サーバ4に格納されているとして説明を行うが、この情報は認証サーバ3及び管理サーバ4の少なくとも一方に格納されていればよい。また、この情報が保持される形態についても特段の限定はなく、一般的にはユーザ識別情報と端末識別情報との関連付けを記述したテーブル、データベースにより保持されるが、これらユーザ識別情報と端末識別情報との関連付けを把握可能な形態であればよい。 In the following description, for convenience of explanation, the authentication server 3 and the management server 4 are described as separate entities (different servers). It may be realized by one server (information processing device). Further, in the following explanation, it is assumed that the information describing the association between the user identification information and the terminal identification information is stored in the management server 4, but this information is stored in at least one of the authentication server 3 and the management server 4. should be stored in In addition, there is no particular limitation on the form in which this information is held, and it is generally held in a table or database that describes the association between user identification information and terminal identification information. Any form is acceptable as long as the association with the information can be comprehended.

認証サーバ3により提供されるSSO機能は、シングルサインオンサービスとして提供されている既知の機能であるが、一例を以下に説明する。
・認証サーバ3を経由して端末装置2からシステム1内外のサービスにアクセスする際に、サービス毎にID、PW等の入力を省略し、認証サーバ3による認証のみでサービスにアクセス可能にする
・端末装置2が認証サーバ3経由でアクセスしたサービスのログを取得、管理し、認証サーバ3の管理者が適宜参照することができる
・端末装置2のユーザに関するユーザ識別情報と、サービスのユーザアカウント情報との連携を図り、これら情報の一元管理をすることができ、さらに、認証サーバ3を利用する企業(通常は端末装置2のユーザはこの企業の社員である)が、ユーザがこの企業を退職する等の理由によりSSO機能を利用する権限を失った際に、認証サーバ3におけるユーザ識別情報の登録を削除することで、情報漏洩リスクの低減を図ることができる
The SSO function provided by the authentication server 3 is a known function provided as a single sign-on service, and one example will be described below.
・When accessing services inside and outside the system 1 from the terminal device 2 via the authentication server 3, the input of ID, PW, etc. for each service is omitted, and the service can be accessed only by authentication by the authentication server 3. Logs of services accessed by the terminal device 2 via the authentication server 3 can be acquired and managed, and can be referred to by the administrator of the authentication server 3. User identification information about the user of the terminal device 2 and user account information of the service. In addition, the company that uses the authentication server 3 (usually, the user of the terminal device 2 is an employee of this company) can cooperate with the company to centrally manage this information. When the authority to use the SSO function is lost due to reasons such as

また、管理サーバ4により提供される端末管理機能は、PC管理機能、携帯端末管理(Mobile Device Management:MDM)機能として提供されている既知のものであるが、一例を以下に説明する。
・管理サーバ4に、ユーザが利用する端末装置2に関する情報を事前に登録しておくとともに、管理サーバ4による管理機能を実現するためのモジュール(図1において端末管理モジュール6として図示している)を端末装置2に事前にインストールしておき、管理サーバ4と端末管理モジュール6との協働により、以下の管理機能を実現する
・端末装置2の盗難等により端末装置2がユーザによる管理下に置かれなくなった際に、端末装置2に対する入力操作を禁止する(ロックする)、端末装置2に格納されている情報を消去するなどの動作を管理サーバ4からの指示によりリモートで行う
・認証サーバ3と連携して、管理サーバ4に登録されていない端末(仮にユーザ識別情報が管理サーバ4に登録されていても)に対してSSO機能の禁止、制限を行う、ここに、制限とは、サービス単位でのアクセスを含む、さらに、管理サーバ4に登録されている端末装置2であっても、端末装置2毎にアクセス可能なサービスを異ならせる
・端末装置2へのアプリケーションのインストールをリモートでかつ一括して行う
・端末装置2が現在利用されている環境(含む無線LAN環境、場所、時間)を検知し、この環境に適した設定を端末装置2に提供する
The terminal management function provided by the management server 4 is known as a PC management function and a mobile device management (MDM) function, and one example will be described below.
A module for pre-registering information on the terminal device 2 used by the user in the management server 4 and realizing a management function by the management server 4 (illustrated as a terminal management module 6 in FIG. 1) is installed in the terminal device 2 in advance, and the management server 4 and the terminal management module 6 work together to realize the following management functions. When the terminal device 2 is no longer placed, operations such as prohibiting (locking) input operations to the terminal device 2 and erasing information stored in the terminal device 2 are performed remotely according to instructions from the management server 4 ・Authentication server 3, to prohibit or restrict the SSO function for terminals that are not registered in the management server 4 (even if the user identification information is registered in the management server 4). Including access on a service-by-service basis. In addition, even if the terminal device 2 is registered in the management server 4, the service that can be accessed is made different for each terminal device 2. ・Application installation on the terminal device 2 can be performed remotely. Detect the environment in which the terminal device 2 is currently being used (including the wireless LAN environment, place, and time), and provide the terminal device 2 with settings suitable for this environment.

本開示に係るシステム1の動作の概略について、図1を参照して説明する。 An overview of the operation of the system 1 according to the present disclosure will be described with reference to FIG.

端末装置2を所有するユーザは、ブラウザ5を介して認証サーバ3にログインする(1)。ログインする際、ユーザはブラウザ5に自身のユーザ識別情報(一般的にはユーザのメールアドレス)を入力する。端末装置2は、ユーザにより入力されたユーザ識別情報を用いて認証サーバ3にログインする。 A user who owns the terminal device 2 logs in to the authentication server 3 via the browser 5 (1). When logging in, the user enters his/her own user identification information (generally, the user's email address) into the browser 5 . The terminal device 2 logs into the authentication server 3 using the user identification information input by the user.

ユーザ識別情報の入力を受け入れた認証サーバ3は、このユーザ識別情報を管理サーバ4に提供し、管理サーバ4は、ユーザ識別情報に関連付けられた端末識別情報があれば、この端末識別情報を認証サーバ3に返信する(2)。この際、ユーザ識別情報に関連付けられた端末識別情報が複数あれば、管理サーバ4は全ての(つまり複数の)端末識別情報を認証サーバ3に返信する。 The authentication server 3 that has received the input of the user identification information provides this user identification information to the management server 4, and if there is terminal identification information associated with the user identification information, the management server 4 authenticates this terminal identification information. Reply to server 3 (2). At this time, if there is a plurality of terminal identification information associated with the user identification information, the management server 4 returns all (that is, a plurality of) terminal identification information to the authentication server 3 .

管理サーバ4から端末識別情報が返信されてきたということは、ユーザ識別情報により特定されるユーザは、少なくとも管理サーバ4に登録された端末装置2を所有している、ということである。但し、この時点では、ユーザが、管理サーバ4に登録された端末装置2によりログインしたかどうかは不明である。つまり、ユーザが私有の端末装置を用いて認証サーバ3にログインした可能性がある。私有の端末装置であると、この端末装置は管理サーバ4に登録されておらず、従って、私有の端末装置には端末管理モジュール6がインストールされていない。 The fact that the terminal identification information is returned from the management server 4 means that the user identified by the user identification information owns at least the terminal device 2 registered in the management server 4 . However, at this point, it is unknown whether or not the user has logged in using the terminal device 2 registered in the management server 4 . In other words, the user may have logged into the authentication server 3 using a privately owned terminal device. If it is a privately owned terminal device, this terminal device is not registered in the management server 4, and therefore the terminal management module 6 is not installed in the privately owned terminal device.

そこで、認証サーバ3は、管理サーバ4に登録されている端末装置2によりログインしたかどうかを確認するために、管理サーバ4から取得した全ての端末識別情報を端末装置2に送信し、端末識別情報に対する応答要求を行う(3)。この際、認証サーバ3は、個々の応答要求に固有の応答要求識別情報も端末装置2に送信する。本開示に係るシステム1では、認証サーバ3は、後述する端末装置2から管理サーバ4へのアクセスの際に、このアクセスが上述した応答要求に基づくものであることを証明する、トークンと呼ばれる短い字句(文字列)を応答要求識別情報として用いる。 Therefore, the authentication server 3 transmits all the terminal identification information acquired from the management server 4 to the terminal device 2 in order to confirm whether or not the terminal device 2 registered in the management server 4 has logged in. A response request for the information is made (3). At this time, the authentication server 3 also transmits response request identification information unique to each response request to the terminal device 2 . In the system 1 according to the present disclosure, the authentication server 3, when accessing the management server 4 from the terminal device 2, which will be described later, is a short token called a token that proves that this access is based on the response request described above. A lexical (character string) is used as response request identification information.

端末識別情報及び応答要求識別情報を受信した端末装置2は、認証サーバ3から送出された端末識別情報により特定される端末のうち、ユーザが現在利用している端末を選択する(4)。端末識別情報は、管理サーバ4による端末装置2の管理態様に関連付けられているので、ユーザは、適切な端末を選択する必要がある。 The terminal device 2 that has received the terminal identification information and the response request identification information selects the terminal currently used by the user from among the terminals specified by the terminal identification information sent from the authentication server 3 (4). Since the terminal identification information is associated with the mode of management of the terminal device 2 by the management server 4, the user needs to select an appropriate terminal.

端末を選択したら、端末装置2のブラウザは、認証サーバ3から送出された応答要求識別情報を用いて端末管理モジュール6を起動させ(5)、この応答要求識別情報を用いて端末管理モジュール6により管理サーバ4にアクセスさせる(6)。一連の動作の具体的な内容に特段の限定はないが、一例として、端末装置2のOSがWindows(登録商標)である場合、URL Schemeを用いて端末管理モジュール6を起動させるためのURLの末尾にトークンを付加したものを端末管理モジュール6に提示し、このトークンを用いて管理サーバ4にアクセスさせる。 After selecting the terminal, the browser of the terminal device 2 activates the terminal management module 6 using the response request identification information sent from the authentication server 3 (5), and the terminal management module 6 uses this response request identification information to Access to the management server 4 (6). Although there is no particular limitation on the specific contents of the series of operations, as an example, when the OS of the terminal device 2 is Windows (registered trademark), the URL for activating the terminal management module 6 using the URL Scheme is set. The terminal management module 6 is presented with a token added to the end, and access is made to the management server 4 using this token.

なお、上述したように、ユーザの私有の端末装置2には端末管理モジュール6がインストールされていないので、ブラウザ5からの起動指示に対して端末管理モジュール6が応答できず、従って、ここで認証動作が失敗して一連の処理が終了する。 As described above, since the terminal management module 6 is not installed in the user's private terminal device 2, the terminal management module 6 cannot respond to the activation instruction from the browser 5. Therefore, authentication is performed here. Operation fails and a series of processes ends.

トークンを受け入れた管理サーバ4は、このトークンとともに端末装置2からのアクセスがあったことを認証サーバ3に通知する。認証サーバ3は、管理サーバ4から通知されたトークンが自身が発行した応答要求識別情報であることを確認することで、端末装置2の認証が完了したと判断し(7)、認証完了通知を端末装置2に送信する(8)。 The management server 4 that has accepted the token notifies the authentication server 3 of the access from the terminal device 2 together with this token. The authentication server 3 determines that the authentication of the terminal device 2 is completed by confirming that the token notified from the management server 4 is the response request identification information issued by itself (7), and sends an authentication completion notification. It transmits to the terminal device 2 (8).

認証サーバ3による認証が終了すると、ユーザは、認証された端末装置2を用いて外部サービスにアクセスするなど、認証サーバ3が提供するSSO機能を利用することができる(9)。 After the authentication by the authentication server 3 is completed, the user can use the SSO function provided by the authentication server 3, such as accessing external services using the authenticated terminal device 2 (9).

なお、本開示に係るシステム1において、URL Schemeを用いた端末管理モジュール6の起動指示、及び、応答要求識別情報としてトークンを用いることなどはあくまで一例であり、かかる具体例には限定されない。一例として、トークンの代わりに応答要求毎に一意に定まる情報、一例としてハッシュタグ、バーコード等を用いてもよい。また、URL Schemeにより端末管理モジュール6を起動する代わりに、端末管理モジュール6に一時的にローカルのhttpサーバを立て、このローカルのhttpサーバにより管理サーバ4のURL+応答要求識別情報にアクセスしてもよい。 In the system 1 according to the present disclosure, the activation instruction of the terminal management module 6 using the URL scheme and the use of the token as the response request identification information are merely examples, and the present invention is not limited to such specific examples. As an example, instead of tokens, information that is uniquely determined for each response request, such as hash tags and barcodes, may be used. Alternatively, instead of activating the terminal management module 6 by the URL scheme, a local http server may be set up temporarily in the terminal management module 6, and the URL of the management server 4 + response request identification information may be accessed by this local http server. good.

<1 システム全体の構成図>
図2は、システム1の全体構成の例を示すブロック図である。図2に示すシステム1は、例えば、端末装置10、認証サーバ20、管理サーバ30を含む。端末装置10、認証サーバ20及び管理サーバ30は、例えば、ネットワーク80を介して通信接続する。
<1 Configuration diagram of the entire system>
FIG. 2 is a block diagram showing an example of the overall configuration of system 1. As shown in FIG. The system 1 shown in FIG. 2 includes, for example, a terminal device 10, an authentication server 20, and a management server 30. FIG. The terminal device 10, the authentication server 20, and the management server 30 are connected for communication via a network 80, for example.

図2において、システム1が端末装置10を1台含む例を示しているが、システム1に含まれる端末装置10の数は、1台に限定されない。端末装置10は、認証サーバ20が提供するSSO機能を利用し、また、管理サーバ30による端末管理サービスを利用するユーザが所持する端末である。 Although FIG. 2 shows an example in which the system 1 includes one terminal device 10, the number of terminal devices 10 included in the system 1 is not limited to one. The terminal device 10 is owned by a user who uses the SSO function provided by the authentication server 20 and who uses the terminal management service provided by the management server 30 .

本実施形態において、複数の装置の集合体を1つの認証サーバ20、管理サーバ30としてもよい。1つ又は複数のハードウェアに対して本実施形態に係る認証サーバ20、管理サーバ30を実現することに要する複数の機能の配分の仕方は、各ハードウェアの処理能力及び/又は認証サーバ20に求められる仕様等に鑑みて適宜決定することができる。 In this embodiment, a collection of multiple devices may serve as one authentication server 20 and management server 30 . How to distribute a plurality of functions required to realize the authentication server 20 and the management server 30 according to this embodiment for one or more pieces of hardware depends on the processing capacity of each piece of hardware and/or the authentication server 20. It can be determined as appropriate in view of required specifications and the like.

図1に示す端末装置10は、例えば、スマートフォン、タブレット等の携帯端末でもよいし、据え置き型のPC(Personal Computer)、ラップトップPCであってもよい。また、HMD(Head Mount Display)、腕時計型端末等のウェアラブル端末であってもよい。 The terminal device 10 shown in FIG. 1 may be, for example, a mobile terminal such as a smart phone or tablet, a stationary PC (Personal Computer), or a laptop PC. It may also be a wearable terminal such as an HMD (Head Mount Display) or a wristwatch type terminal.

端末装置10は、通信IF(Interface)12と、入力装置13と、出力装置14と、メモリ15と、ストレージ16と、プロセッサ19とを備える。 The terminal device 10 includes a communication IF (Interface) 12 , an input device 13 , an output device 14 , a memory 15 , a storage 16 and a processor 19 .

通信IF12は、端末装置10が、例えば、認証サーバ20等のシステム1内の装置と通信するため、信号を入出力するためのインタフェースである。 The communication IF 12 is an interface for inputting and outputting signals so that the terminal device 10 communicates with devices in the system 1 such as the authentication server 20, for example.

入力装置13は、ユーザからの入力操作を受け付けるための装置(例えば、タッチパネル、タッチパッド、マウス等のポインティングデバイス、キーボード等)である。 The input device 13 is a device (for example, a touch panel, a touch pad, a pointing device such as a mouse, a keyboard, etc.) for receiving an input operation from a user.

出力装置14は、ユーザに対して情報を提示するための装置(ディスプレイ、スピーカー等)である。 The output device 14 is a device (display, speaker, etc.) for presenting information to the user.

メモリ15は、プログラム、及びプログラム等で処理されるデータ等一時的に記憶するためのものであり、例えばDRAM(Dynamic Random Access Memory)等の揮発性のメモリである。 The memory 15 is for temporarily storing programs, data processed by the programs, etc., and is a volatile memory such as a DRAM (Dynamic Random Access Memory).

ストレージ16は、データを保存するためのものであり、例えばフラッシュメモリ、HDD(Hard Disc Drive)である。 The storage 16 is for storing data, and is, for example, a flash memory or a HDD (Hard Disc Drive).

プロセッサ19は、プログラムに記述された命令セットを実行するためのハードウェアであり、演算装置、レジスタ、周辺回路等により構成される。 The processor 19 is hardware for executing an instruction set described in a program, and is composed of arithmetic units, registers, peripheral circuits, and the like.

認証サーバ20は、端末装置10が事前に登録したユーザ識別情報(通常はユーザのメールアドレス)を用いてログインしたら、このユーザ識別情報、及び後述する端末識別情報、応答要求識別情報を用いて認証を行い、認証が成功したら、当該端末装置10に対してSSO機能を提供する。また、認証サーバ20はいわゆるWebサーバとしての機能も有する。 When the authentication server 20 logs in using the user identification information (usually the user's e-mail address) registered in advance by the terminal device 10, the authentication server 20 uses this user identification information, terminal identification information and response request identification information to be described later for authentication. is performed, and if the authentication succeeds, the SSO function is provided to the terminal device 10 concerned. The authentication server 20 also functions as a so-called web server.

認証サーバ20は、例えば、ネットワーク80に接続されたコンピュータ(情報処理装置)により実現される。図2に示すように、認証サーバ20は、通信IF22と、入出力IF23と、メモリ25と、ストレージ26と、プロセッサ29とを備える。 The authentication server 20 is realized by, for example, a computer (information processing device) connected to the network 80 . As shown in FIG. 2 , authentication server 20 includes communication IF 22 , input/output IF 23 , memory 25 , storage 26 and processor 29 .

通信IF22は、認証サーバ20が、例えば、端末装置10等のシステム1内の装置と通信するため、信号を入出力するためのインタフェースである。 The communication IF 22 is an interface for inputting and outputting signals for the authentication server 20 to communicate with devices in the system 1 such as the terminal device 10 .

入出力IF23は、ユーザからの入力操作を受け付けるための入力装置、及び、ユーザに対して情報を提示するための出力装置とのインタフェースとして機能する。 The input/output IF 23 functions as an interface with an input device for receiving input operations from the user and an output device for presenting information to the user.

メモリ25は、プログラム、及び、プログラム等で処理されるデータ等を一時的に記憶するためのものであり、例えばDRAM等の揮発性のメモリである。 The memory 25 temporarily stores programs and data processed by the programs, and is a volatile memory such as a DRAM.

ストレージ26は、データを保存するためのものであり、例えばフラッシュメモリ、HDDである。 The storage 26 is for storing data, and is, for example, flash memory or HDD.

プロセッサ29は、プログラムに記述された命令セットを実行するためのハードウェアであり、演算装置、レジスタ、周辺回路等により構成される。 The processor 29 is hardware for executing an instruction set described in a program, and is composed of arithmetic units, registers, peripheral circuits, and the like.

管理サーバ30は、例えば、ネットワーク80に接続されたコンピュータ(情報処理装置)により実現される。管理サーバ30のハードウェア構成は認証サーバ20と同様であるので、図示及び説明をともに省略する。また、管理サーバ30はいわゆるWebサーバとしての機能も有する。 The management server 30 is realized by, for example, a computer (information processing device) connected to the network 80 . Since the hardware configuration of the management server 30 is the same as that of the authentication server 20, illustration and description are omitted. The management server 30 also functions as a so-called web server.

管理サーバ30は、端末装置10に予めインストールされた端末管理モジュール6である端末管理制御部195(図3参照)と協働して、この端末装置10に対して端末管理サービスを提供する。 The management server 30 cooperates with the terminal management control unit 195 (see FIG. 3), which is the terminal management module 6 pre-installed in the terminal device 10, to provide the terminal device 10 with terminal management services.

<1.1 端末装置の機能的な構成>
図3は、図2に示す端末装置10の機能的な構成の例を表すブロック図である。図3に示す端末装置10は、例えば、PC、携帯端末、またはウェアラブル端末により実現される。図3に示すように、端末装置10は、通信部120と、入力装置130と、出力装置140と、記憶部180と、制御部190とを備える。端末装置10に含まれる各ブロックは、例えば、バス等により電気的に接続される。
<1.1 Functional Configuration of Terminal Device>
FIG. 3 is a block diagram showing an example of the functional configuration of the terminal device 10 shown in FIG. 2. As shown in FIG. The terminal device 10 shown in FIG. 3 is realized by, for example, a PC, a mobile terminal, or a wearable terminal. As shown in FIG. 3 , the terminal device 10 includes a communication section 120 , an input device 130 , an output device 140 , a storage section 180 and a control section 190 . Each block included in the terminal device 10 is electrically connected by, for example, a bus.

通信部120は、端末装置10が他の装置と通信するための変復調処理等の処理を行う。通信部120は、制御部190で生成された信号に送信処理を施し、外部(例えば、認証サーバ20)へ送信する。通信部120は、外部から受信した信号に受信処理を施し、制御部190へ出力する。 The communication unit 120 performs processing such as modulation/demodulation processing for the terminal device 10 to communicate with other devices. The communication unit 120 performs transmission processing on the signal generated by the control unit 190 and transmits the signal to the outside (for example, the authentication server 20). Communication unit 120 performs reception processing on a signal received from the outside and outputs the signal to control unit 190 .

入力装置130は、端末装置10を操作するユーザが指示、または情報を入力するための装置である。入力装置13は、例えば、キーボード131、マウス132等を有する。なお、
端末装置10が携帯端末等である場合には、操作面へ触れることで指示が入力されるタッチ・センシティブ・デバイス等により入力装置130が実現される。入力装置130は、ユーザから入力される指示を電気信号へ変換し、電気信号を制御部190へ出力する。なお、入力装置130には、例えば、外部の入力機器から入力される電気信号を受け付ける受信ポートが含まれてもよい。
The input device 130 is a device for a user operating the terminal device 10 to input instructions or information. The input device 13 has, for example, a keyboard 131, a mouse 132, and the like. note that,
When the terminal device 10 is a mobile terminal or the like, the input device 130 is implemented by a touch sensitive device or the like that inputs instructions by touching the operation surface. Input device 130 converts an instruction input by a user into an electric signal and outputs the electric signal to control unit 190 . Note that the input device 130 may include, for example, a receiving port that receives an electrical signal input from an external input device.

出力装置140は、端末装置10を操作するユーザへ情報を提示するための装置である。出力装置14は、例えば、ディスプレイ141等により実現される。ディスプレイ141は、制御部190の制御に応じたデータを表示する。ディスプレイ141は、例えば、LCD(Liquid Crystal Display)、または有機EL(Electro-Luminescence)ディスプレイ等によって実現される。 The output device 140 is a device for presenting information to the user who operates the terminal device 10 . The output device 14 is implemented by, for example, the display 141 or the like. The display 141 displays data under the control of the controller 190 . The display 141 is implemented by, for example, an LCD (Liquid Crystal Display) or an organic EL (Electro-Luminescence) display.

記憶部180は、例えば、メモリ15、およびストレージ16等により実現され、端末装置10が使用するデータ、およびプログラムを記憶する。記憶部180は、例えば、アプリケーションプログラム181、ブラウザプログラム182及び管理プログラム183を記憶する。 The storage unit 180 is realized by, for example, the memory 15 and the storage 16, and stores data and programs used by the terminal device 10. FIG. The storage unit 180 stores an application program 181, a browser program 182, and a management program 183, for example.

ブラウザプログラム182は、端末装置10にブラウザ機能を提供するためのプログラムであり、実行されると、後述するブラウザ制御部194としての機能を実行し、端末装置10にブラウザ機能を提供する。本実施形態の端末装置10において、ブラウザの種類に特段の限定はなく、既知のブラウザプログラム182が好適に使用可能である。 The browser program 182 is a program for providing the terminal device 10 with a browser function. When executed, the browser program 182 functions as a browser control unit 194, which will be described later, and provides the terminal device 10 with the browser function. In the terminal device 10 of the present embodiment, the type of browser is not particularly limited, and a known browser program 182 can be preferably used.

管理プログラム183は管理サーバ30が提供するプログラムであり、実行されると、後述する端末管理モジュール6である端末管理制御部195としての機能を提供する。 The management program 183 is a program provided by the management server 30, and when executed, provides a function of the terminal management control section 195, which is the terminal management module 6 described later.

制御部190は、プロセッサ19が記憶部180に記憶されるアプリケーションプログラム181、ブラウザプログラム182及び管理プログラム183を読み込み、アプリケーションプログラム181等に含まれる命令を実行することにより実現される。制御部190は、端末装置10の動作を制御する。制御部190は、プログラムに従って動作することにより、操作受付部191と、送受信部192と、提示制御部193と、ブラウザ制御部194と、端末管理制御部195としての機能を発揮する。 The control unit 190 is implemented by the processor 19 reading the application program 181, the browser program 182, and the management program 183 stored in the storage unit 180, and executing commands included in the application program 181 and the like. The control unit 190 controls operations of the terminal device 10 . The control unit 190 functions as an operation reception unit 191 , a transmission/reception unit 192 , a presentation control unit 193 , a browser control unit 194 , and a terminal management control unit 195 by operating according to programs.

操作受付部191は、入力装置13から入力される指示、または情報を受け付けるための処理を行う。具体的には、例えば、操作受付部191は、キーボード131、マウス132等から入力される指示に基づく情報を受け付ける。 The operation reception unit 191 performs processing for receiving instructions or information input from the input device 13 . Specifically, for example, the operation reception unit 191 receives information based on instructions input from the keyboard 131, the mouse 132, or the like.

送受信部192は、端末装置10が、認証サーバ20等の外部の装置と、通信プロトコルに従ってデータを送受信するための処理を行う。具体的には、例えば、送受信部192は、ユーザから入力された内容を外部機器へ送信する。また、送受信部192は、ユーザに関する情報を外部機器から受信する。 The transmitting/receiving unit 192 performs processing for transmitting/receiving data between the terminal device 10 and an external device such as the authentication server 20 according to a communication protocol. Specifically, for example, the transmission/reception unit 192 transmits the content input by the user to the external device. The transmitting/receiving unit 192 also receives information about the user from the external device.

提示制御部193は、端末装置10の各機能部が生成した情報をユーザに対して提示するため、出力装置14を制御する。具体的には、例えば、提示制御部193は、端末装置10の各機能部が生成した情報をディスプレイ141に表示させる。 The presentation control unit 193 controls the output device 14 in order to present information generated by each functional unit of the terminal device 10 to the user. Specifically, for example, the presentation control unit 193 causes the display 141 to display information generated by each functional unit of the terminal device 10 .

ブラウザ制御部194は、ブラウザ機能を端末装置10に提供する。具体的には、例えば、ブラウザ制御部194は、ユーザが入力等をしたURLにより特定されるWebサーバにアクセスし、Webサーバから送出される情報をディスプレイ141を介して視認可能な状態で(つまり画面として)提示し、また、画面内に表示されるリンク、ボタン等に対してユーザが入力装置130を介して操作入力をしたら、操作受付部191と協働して、これらリンク等に記述された命令等に基づいて所定の動作を行い、また、操作入力情報をWebサーバに送出する。通常、ブラウザはディスプレイ141内に特定のウィンドウとして表示されるが、表示態様に特段の限定はない。 The browser control unit 194 provides the terminal device 10 with a browser function. Specifically, for example, the browser control unit 194 accesses the web server specified by the URL entered by the user, etc., and makes the information transmitted from the web server visible through the display 141 (that is, screen), and when the user inputs an operation via the input device 130 to the links, buttons, etc. displayed in the screen, the operation reception unit 191 cooperates with the link described in the link, etc. A predetermined operation is performed based on the received command, etc., and operation input information is sent to the Web server. The browser is normally displayed as a specific window within the display 141, but the display mode is not particularly limited.

特に、本実施例の端末装置10におけるブラウザ制御部194は、後述する認証サーバ20のユーザ認証モジュール2036から送出された応答要求識別情報であるトークンを、管理サーバ30にアクセスするためのURLの末尾に付加した情報を用いて、端末管理制御部195に管理サーバ30にアクセスする命令を送出することで、この端末管理制御部195を起動させる。端末管理制御部195に管理サーバ30にアクセスさせる手法は任意であるが、一例として、URL Schemeを用いて端末管理制御部195を起動する手法が挙げられる。URL Scheme自体は端末装置10のアプリケーションプログラム181に含まれるOSに標準的に含まれている機能である。あるいは、端末管理制御部195に一時的にローカルのhttpサーバを立て、このhttpサーバにより、管理サーバ30にアクセスするためのURLの末尾に付加した情報を用いて管理サーバ30にアクセスさせる手法も可能である。 In particular, the browser control unit 194 in the terminal device 10 of this embodiment converts the token, which is the response request identification information sent from the user authentication module 2036 of the authentication server 20 described later, to the end of the URL for accessing the management server 30 . By sending a command to access the management server 30 to the terminal management control unit 195 using the information added to the terminal management control unit 195, the terminal management control unit 195 is activated. Any method can be used to cause the terminal management control unit 195 to access the management server 30, but one example is a method of activating the terminal management control unit 195 using a URL scheme. The URL Scheme itself is a standard function included in the OS included in the application program 181 of the terminal device 10 . Alternatively, a method is also possible in which a local http server is set up temporarily in the terminal management control unit 195, and this http server accesses the management server 30 using information added to the end of the URL for accessing the management server 30. is.

端末管理制御部195は、管理サーバ30が提供する端末管理機能を、この管理サーバ30と協働して端末装置10に提供する。端末管理機能の詳細については既に説明したので、ここでの説明は省略する。 The terminal management control unit 195 cooperates with the management server 30 to provide the terminal device 10 with the terminal management function provided by the management server 30 . Since the details of the terminal management function have already been explained, the explanation is omitted here.

特に、本実施形態の端末装置10における端末管理制御部195は、ブラウザ制御部194からの指示に基づいて、このブラウザ制御部194から送出された情報、つまり、管理サーバ30にアクセスするためのURLの末尾に付加した情報を用いて、管理サーバ30にアクセスする。 In particular, the terminal management control unit 195 in the terminal device 10 of this embodiment, based on the instruction from the browser control unit 194, the information sent from the browser control unit 194, that is, the URL for accessing the management server 30 The management server 30 is accessed using the information added to the end of .

<1.2 認証サーバの機能的な構成>
図4は、認証サーバ20の機能的な構成の例を示す図である。図4に示すように、認証サーバ20は、通信部201と、記憶部202と、制御部203としての機能を発揮する。
<1.2 Functional Configuration of Authentication Server>
FIG. 4 is a diagram showing an example of the functional configuration of the authentication server 20. As shown in FIG. As shown in FIG. 4 , the authentication server 20 functions as a communication section 201 , a storage section 202 and a control section 203 .

通信部201は、認証サーバ20が外部の装置と通信するための処理を行う。 The communication unit 201 performs processing for the authentication server 20 to communicate with an external device.

記憶部202は、例えば、アプリケーションプログラム2021と、ユーザ情報データベース(DB)2022と、トークンDB2023と、SSO管理情報DB2024等とを有する。 The storage unit 202 has, for example, an application program 2021, a user information database (DB) 2022, a token DB 2023, an SSO management information DB 2024, and the like.

ユーザ情報DB2022は、ユーザに固有のユーザ識別情報を保持するためのデータベースである。詳細は後述する。 The user information DB 2022 is a database for holding user identification information unique to users. Details will be described later.

トークンDB2023は、端末装置10の端末管理制御部195に管理サーバ30への応答を要求する応答要求に固有の応答要求識別情報であるトークンを保持するためのデータベースである。詳細は後述する。 The token DB 2023 is a database for holding tokens, which are response request identification information specific to response requests that request the terminal management control unit 195 of the terminal device 10 to respond to the management server 30 . Details will be described later.

SSO管理情報DB2024は、認証サーバ20を利用するユーザがアクセス可能なサイトに関する情報を保持するためのデータベースである。詳細は後述する。 The SSO management information DB 2024 is a database for holding information on sites accessible by users using the authentication server 20 . Details will be described later.

制御部203は、プロセッサ29が記憶部202に記憶されるアプリケーションプログラム2021を読み込み、アプリケーションプログラム2021に含まれる命令を実行することにより実現される。制御部203は、アプリケーションプログラム2021に従って動作することにより、受信制御モジュール2031、送信制御モジュール2032、ログイン管理モジュール2033、端末識別情報取得モジュール2034、トークン発行モジュール2035、ユーザ認証モジュール2036および、SSO管理モジュール2037として示す機能を発揮する。 Control unit 203 is implemented by processor 29 reading application program 2021 stored in storage unit 202 and executing instructions included in application program 2021 . By operating according to the application program 2021, the control unit 203 operates a reception control module 2031, a transmission control module 2032, a login management module 2033, a terminal identification information acquisition module 2034, a token issuing module 2035, a user authentication module 2036, and an SSO management module. The function shown as 2037 is exhibited.

受信制御モジュール2031は、認証サーバ20が外部の装置から通信プロトコルに従って信号を受信する処理を制御する。 The reception control module 2031 controls processing for the authentication server 20 to receive a signal from an external device according to a communication protocol.

送信制御モジュール2032は、認証サーバ20が外部の装置に対し通信プロトコルに従って信号を送信する処理を制御する。 The transmission control module 2032 controls the process of transmitting signals from the authentication server 20 to external devices according to the communication protocol.

ログイン管理モジュール2033は、端末装置10から送出されたユーザ識別情報を受信制御モジュール2031経由で受信し、ユーザ情報DB2022に格納されているユーザ識別情報と照合し、このユーザ識別情報が既にユーザ情報DB2022に登録されている(従って認証サーバ20そのものに登録されている)か否かを判定する。そして、端末装置10から送出されたユーザ識別情報に合致するユーザ識別情報がユーザ情報DB2022に登録されているとログイン管理モジュール2033が判定したら、このユーザ識別情報を端末識別情報取得モジュール2034に送出する。 The login management module 2033 receives the user identification information sent from the terminal device 10 via the reception control module 2031 and checks it against the user identification information stored in the user information DB 2022. is registered in the authentication server 20 (accordingly, registered in the authentication server 20 itself). When the login management module 2033 determines that user identification information matching the user identification information sent from the terminal device 10 is registered in the user information DB 2022, this user identification information is sent to the terminal identification information acquisition module 2034. .

端末識別情報取得モジュール2034は、ログイン管理モジュール2033から送出されたユーザ識別情報(このユーザ識別情報はログイン管理モジュール2033により、既に認証サーバ20に登録されたユーザのユーザ識別情報であることが確認されている)を管理サーバ30に送信し、管理サーバ30から、このユーザ識別情報に対応する端末識別情報を受信する。この際、管理サーバ30に、ユーザ識別情報に関連付けられた端末識別情報が複数登録されている場合、端末識別情報取得モジュール2034は登録されている全ての端末識別情報を受信する。管理サーバ30から端末識別情報を受信したということは、ユーザ識別情報により識別されるユーザが端末装置10(この端末装置10が現在ユーザが認証サーバ20にアクセスする際に使用している端末装置10であるかどうかはこの時点では不明である)を管理サーバ30に登録している、すなわち、端末装置10が管理サーバ30に登録されていることを意味する。 The terminal identification information acquisition module 2034 receives the user identification information sent from the login management module 2033 (this user identification information is confirmed by the login management module 2033 to be the user identification information of a user already registered in the authentication server 20). ) is sent to the management server 30, and the terminal identification information corresponding to this user identification information is received from the management server 30. FIG. At this time, if a plurality of pieces of terminal identification information associated with user identification information are registered in the management server 30, the terminal identification information acquisition module 2034 receives all of the registered terminal identification information. Receiving the terminal identification information from the management server 30 means that the user identified by the user identification information is the terminal device 10 (this terminal device 10 is the terminal device 10 currently used by the user to access the authentication server 20). is unknown at this point) is registered in the management server 30 , that is, the terminal device 10 is registered in the management server 30 .

トークン発行モジュール2035は、端末識別情報取得モジュール2034が管理サーバ30から端末識別情報を受信したことを契機に、ユーザに対して、現在使用している端末装置10による応答要求をする際に、この応答要求を識別するための応答要求識別情報であるトークンを発行する。トークンの発行手法は任意であり、桁数、含まれる文字・数字の種類等については、本実施形態のシステム1におけるセキュリティ担保、また、システム1の規模等に応じて適宜決定すればよい。そして、トークン発行モジュール2035は。発行したトークンをユーザ認証モジュール2036に送出するとともに、トークンDB2023に格納する。 Triggered by the terminal identification information acquisition module 2034 receiving the terminal identification information from the management server 30, the token issuing module 2035 requests the user to respond from the terminal device 10 currently in use. A token, which is response request identification information for identifying a response request, is issued. The token issuance method is arbitrary, and the number of digits, the types of characters/numbers included, and the like may be appropriately determined according to the security guarantee in the system 1 of the present embodiment, the scale of the system 1, and the like. and the token issuing module 2035; The issued token is sent to the user authentication module 2036 and stored in the token DB 2023 .

ユーザ認証モジュール2036は、端末識別情報取得モジュール2034が端末識別情報を受信し、トークン発行モジュール2035がトークンを発行したら、これら端末識別情報及びトークンを、ログイン管理モジュール2033を介してログインした端末装置10に送出し、これら端末識別情報及びトークンに基づく端末装置10の端末管理制御部195の応答を要求する。次いで、端末識別情報等を送出した端末装置10が、端末管理制御部195により管理サーバ30に応答し、この応答に伴って管理サーバ30が受信したトークンをこの管理サーバ30から受信する。そして、ユーザ認証モジュール2036は、トークンDB2023を参照して取得した、ユーザ認証モジュール2036自身が送信したトークンと管理サーバ30が受信したトークンとを照合し、これらトークンが一致したら、端末装置10の認証が成功したものとして認証動作を終了する。 When the terminal identification information acquisition module 2034 receives the terminal identification information and the token issuance module 2035 issues a token, the user authentication module 2036 transmits the terminal identification information and the token to the logged-in terminal device 10 via the login management module 2033. to request a response from the terminal management control unit 195 of the terminal device 10 based on the terminal identification information and the token. Next, the terminal device 10 that has sent the terminal identification information or the like responds to the management server 30 by means of the terminal management control unit 195, and receives from this management server 30 the token received by the management server 30 in response to this response. Then, the user authentication module 2036 compares the token transmitted by the user authentication module 2036 itself and the token received by the management server 30, which is acquired by referring to the token DB 2023. If the tokens match, the terminal device 10 is authenticated. end the authentication operation as successful.

SSO管理モジュール2037は、ユーザ認証モジュール2036による認証が成功した端末装置10に対してSSO機能を提供する。SSO機能の具体的内容については既に説明しているので、ここでの説明は省略する。一例として、SSO管理モジュール2037は、SSO管理情報DB2024を参照し、認証された端末装置10に紐付けられたユーザがアクセス可能とされたサイトへのアクセスを許可する。なお、本実施形態のシステム1において、SSO管理モジュール2037はユーザ単位でのSSO機能を提供しており、端末装置10単位でのアクセス制御については管理サーバ30の端末管理モジュール3035が機能を提供している。当然、端末装置10単位でのアクセス制御をSSO管理モジュール2037が行ってもよい。 The SSO management module 2037 provides the SSO function to the terminal device 10 for which authentication by the user authentication module 2036 has succeeded. Since the specific content of the SSO function has already been explained, the explanation here is omitted. As an example, the SSO management module 2037 refers to the SSO management information DB 2024 and permits access to a site that is accessible by the user associated with the authenticated terminal device 10 . In the system 1 of the present embodiment, the SSO management module 2037 provides the SSO function for each user, and the terminal management module 3035 of the management server 30 provides the function for access control for each terminal device 10. ing. Of course, the SSO management module 2037 may perform access control for each terminal device 10 .

<1.3 管理サーバの機能的な構成>
図5は、管理サーバ30の機能的な構成の例を示す図である。図5に示すように、管理サーバ30は、通信部301と、記憶部302と、制御部303としての機能を発揮する。
<1.3 Functional Configuration of Management Server>
FIG. 5 is a diagram showing an example of the functional configuration of the management server 30. As shown in FIG. As shown in FIG. 5 , the management server 30 functions as a communication section 301 , a storage section 302 and a control section 303 .

通信部301は、管理サーバ30が外部の装置と通信するための処理を行う。 The communication unit 301 performs processing for the management server 30 to communicate with an external device.

記憶部302は、例えば、アプリケーションプログラム3021と、ユーザ端末情報データベース(DB)3022等とを有する。 The storage unit 302 has, for example, an application program 3021, a user terminal information database (DB) 3022, and the like.

ユーザ端末情報DB3022は、端末装置10に固有の端末識別情報を保持するためのデータベースである。詳細は後述する。 The user terminal information DB 3022 is a database for holding terminal identification information unique to the terminal device 10 . Details will be described later.

制御部303は、プロセッサが記憶部302に記憶されるアプリケーションプログラム3021を読み込み、アプリケーションプログラム3021に含まれる命令を実行することにより実現される。制御部303は、アプリケーションプログラム3021に従って動作することにより、受信制御モジュール3031、送信制御モジュール3032、ユーザ端末情報検索モジュール3033、トークン送受信モジュール3034および、端末管理モジュール3035として示す機能を発揮する。 The control unit 303 is implemented by the processor reading an application program 3021 stored in the storage unit 302 and executing instructions included in the application program 3021 . By operating according to the application program 3021 , the control unit 303 exhibits functions as a reception control module 3031 , a transmission control module 3032 , a user terminal information search module 3033 , a token transmission/reception module 3034 and a terminal management module 3035 .

受信制御モジュール3031は、管理サーバ30が外部の装置から通信プロトコルに従って信号を受信する処理を制御する。 The reception control module 3031 controls processing for the management server 30 to receive a signal from an external device according to a communication protocol.

送信制御モジュール3032は、管理サーバ30が外部の装置に対し通信プロトコルに従って信号を送信する処理を制御する。 The transmission control module 3032 controls the processing by which the management server 30 transmits signals to external devices according to the communication protocol.

ユーザ端末情報検索モジュール3033は、認証サーバ20からの要求に基づいて、認証サーバ20から送出されたユーザ識別情報であるユーザIDに関連付けられた端末識別情報を、ユーザ端末情報DB3022を検索することにより抽出し、ユーザIDに関連付けられた端末識別情報があれば、ユーザ端末情報DB3022に格納されている、ユーザIDに関連付けられた全ての端末識別情報を認証サーバ20に送出する。 Based on a request from the authentication server 20, the user terminal information search module 3033 searches the user terminal information DB 3022 for terminal identification information associated with the user ID, which is user identification information sent from the authentication server 20. If there is terminal identification information associated with the extracted user ID, all terminal identification information associated with the user ID stored in the user terminal information DB 3022 is sent to the authentication server 20 .

トークン送受信モジュール3034は、端末装置10から送信されてきた情報に含まれる応答要求識別情報であるトークンを抽出し、抽出したトークンを認証サーバ20のユーザ認証モジュール2036に送出する。 Token transmission/reception module 3034 extracts a token, which is response request identification information included in information transmitted from terminal device 10 , and sends the extracted token to user authentication module 2036 of authentication server 20 .

端末管理モジュール3035は、認証サーバ20のユーザ認証モジュール2036により認証が成功した端末装置10に対して、端末装置10の端末管理制御部195と協働して端末管理機能を提供する。端末管理モジュール3035が提供する端末管理機能の詳細については既に説明しているので、ここでの説明は省略する。 The terminal management module 3035 cooperates with the terminal management control unit 195 of the terminal device 10 to provide a terminal management function to the terminal device 10 that has been successfully authenticated by the user authentication module 2036 of the authentication server 20 . Since the details of the terminal management function provided by the terminal management module 3035 have already been explained, the explanation is omitted here.

<2 データ構造>
図6~図8は認証サーバ20が記憶するデータベースのデータ構造を示す図であり、図9は管理サーバ30が記憶するデータベースのデータ構造を示す図である。なお、図6~図9は一例であり、記載されていないデータを除外するものではない。
<2 Data structure>
6 to 8 show the data structure of the database stored in the authentication server 20, and FIG. 9 shows the data structure of the database stored in the management server 30. FIG. It should be noted that FIGS. 6 to 9 are examples and do not exclude data that are not shown.

図6~図9に示すデータベースは、リレーショナルデータベースを指し、行と列によって構造的に規定された表形式のテーブルと呼ばれるデータ集合を、互いに関連づけて管理するためのものである。データベースでは、表をテーブル、表の列をカラム、表の行をレコードと呼ぶ。リレーショナルデータベースでは、テーブル同士の関係を設定し、関連づけることができる。 The databases shown in FIGS. 6 to 9 refer to relational databases, and are used to manage data sets called tabular tables structurally defined by rows and columns in association with each other. In a database, a table is called a table, columns of a table are called columns, and rows of a table are called records. Relational databases allow you to establish and associate relationships between tables.

通常、各テーブルにはレコードを一意に特定するための主キーとなるカラムが設定されるが、カラムへの主キーの設定は必須ではない。認証サーバ20及び管理サーバ30の制御部203、303は、各種プログラムに従ってプロセッサ29に、記憶部202、302に記憶された特定のテーブルにレコードを追加、削除、更新を実行させることができる。 Each table usually has a primary key column to uniquely identify a record, but setting a primary key to a column is not essential. The control units 203 and 303 of the authentication server 20 and management server 30 can cause the processor 29 to add, delete, and update records in specific tables stored in the storage units 202 and 302 according to various programs.

図6は、ユーザ情報DB2022のデータ構造を示す図である。図6に示すように、ユーザ情報DB2022のレコードの各々は、例えば、項目「ユーザID」と、項目「メールアドレス」とを含む。ユーザ情報DB2022が記憶する情報は、ログイン管理モジュール2033により入力、更新される。ユーザ情報DB2022が記憶する情報は、適宜変更・更新することが可能である。 FIG. 6 is a diagram showing the data structure of the user information DB 2022. As shown in FIG. As shown in FIG. 6, each record of the user information DB 2022 includes, for example, the item "user ID" and the item "mail address". Information stored in the user information DB 2022 is input and updated by the login management module 2033 . Information stored in the user information DB 2022 can be changed or updated as appropriate.

項目「ユーザID」は、認証サーバ20に登録されているユーザを特定するためのIDである。項目「メールアドレス」は、ユーザIDにより特定されるユーザが、認証サーバ20の登録の際に入力したメールアドレスである。メールアドレスは、ユーザに固有のユーザ識別情報の一例である。 The item “user ID” is an ID for specifying a user registered in the authentication server 20 . The item “e-mail address” is the e-mail address entered by the user identified by the user ID when registering with the authentication server 20 . A mail address is an example of user identification information unique to a user.

図7は、トークンDB2023のデータ構造を示す図である。図7に示すように、トークンDB2023のレコードの各々は、例えば、項目「トークンID」と、項目「ユーザID」と、項目「トークン」と、項目「発行日時」とを含む。トークンDB2023が記憶する情報は、トークン発行モジュール2035により入力、修正される。トークンDB2023が記憶する情報は、適宜変更・更新することが可能である。 FIG. 7 is a diagram showing the data structure of the token DB 2023. As shown in FIG. As shown in FIG. 7, each record of the token DB 2023 includes, for example, the item "token ID", the item "user ID", the item "token", and the item "issue date and time". Information stored in the token DB 2023 is entered and modified by the token issuing module 2035 . Information stored in the token DB 2023 can be changed or updated as appropriate.

項目「トークンID」は、トークンを特定するためのIDである。項目「ユーザID」は、認証サーバ20に登録されているユーザを特定するためのIDであり、ユーザ情報DB2022の項目「ユーザID」と共通である。項目「トークン」は、トークンIDにより特定されるトークンであり、トークン発行モジュール2035により発行される。トークンは、認証サーバ20が端末装置10に対して行う応答要求に固有の応答要求識別情報の一例である。項目「発行日時」は、トークンIDにより特定されるトークンをトークン発行モジュール2035が発行した日時に関する情報である。 The item "token ID" is an ID for specifying a token. The item "user ID" is an ID for specifying a user registered in the authentication server 20, and is common to the item "user ID" of the user information DB 2022. FIG. The item “token” is a token specified by the token ID and issued by the token issuing module 2035 . A token is an example of response request identification information unique to a response request issued by the authentication server 20 to the terminal device 10 . The item “date and time of issue” is information related to the date and time when the token issuance module 2035 issues the token specified by the token ID.

図8は、SSO管理情報DB2024のデータ構造を示す図である。図8に示すように、SSO管理情報DB2024のレコードの各々は、例えば、項目「ユーザID」と、項目「アクセス可能サイトURL」とを含む。SSO管理情報DB2024が記憶する情報は、SSO管理モジュール2037により入力、修正される。SSO管理情報DB2024が記憶する情報は、適宜変更・更新することが可能である。 FIG. 8 is a diagram showing the data structure of the SSO management information DB 2024. As shown in FIG. As shown in FIG. 8, each record of the SSO management information DB 2024 includes, for example, the item "user ID" and the item "accessible site URL". Information stored in the SSO management information DB 2024 is input and corrected by the SSO management module 2037 . Information stored in the SSO management information DB 2024 can be changed or updated as appropriate.

項目「ユーザID」は、認証サーバ20に登録されているユーザを特定するためのIDであり、ユーザ情報DB2022の項目「ユーザID」と共通である。項目「アクセス可能サイトURL」は、ユーザIDにより特定されるユーザが、認証サーバ20(特にSSO管理モジュール2037)が提供するSSO機能によりアクセスを許可されるサイトのURLに関する情報である。サイトにはいわゆるWebサーバのみならず、Webサービスを提供するサイトが含まれるので、SSO機能によりユーザが利用可能なWebサービスが規定されるともいえる。 The item "user ID" is an ID for specifying a user registered in the authentication server 20, and is common to the item "user ID" of the user information DB 2022. FIG. The item “accessible site URL” is information on the URL of the site to which the user identified by the user ID is permitted to access by the SSO function provided by the authentication server 20 (especially the SSO management module 2037). Since sites include not only so-called web servers but also sites that provide web services, it can be said that the SSO function defines web services that can be used by users.

図9は、ユーザ端末情報DB3022のデータ構造を示す図である。図9に示すように、ユーザ端末情報DB3022のレコードの各々は、例えば、項目「ユーザID」と、項目「端末ID」と、項目「端末種類」と、項目「端末名称」とを含む。ユーザ端末情報DB3022が記憶する情報は、端末管理モジュール3035により入力、修正される。ユーザ端末情報DB3022が記憶する情報は、適宜変更・更新することが可能である。 FIG. 9 is a diagram showing the data structure of the user terminal information DB 3022. As shown in FIG. As shown in FIG. 9, each record of the user terminal information DB 3022 includes, for example, the item "user ID", the item "terminal ID", the item "terminal type", and the item "terminal name". Information stored in the user terminal information DB 3022 is input and corrected by the terminal management module 3035 . Information stored in the user terminal information DB 3022 can be changed or updated as appropriate.

項目「ユーザID」は、認証サーバ20に登録されているユーザを特定するためのIDであり、ユーザ情報DB2022の項目「ユーザID」と共通である。項目「端末ID」は、ユーザIDにより特定されるユーザが使用するものとして管理サーバ30に登録されている端末装置10を特定するためのIDである。端末IDは、端末装置10に固有の端末識別情報である。項目「端末種類」は、端末IDにより特定される端末装置10の種類を示す情報であり、主に、端末装置10のOSの種類に関する情報である。図9において「PC」と表記された端末装置10は、OSがWindows(登録商標)であることを示す。項目「端末名称」は、端末IDにより特定される端末装置10の名称に関する情報である。端末名称は端末装置10のユーザが決定してもよいし、端末管理モジュール3035が決定してもよい。 The item "user ID" is an ID for specifying a user registered in the authentication server 20, and is common to the item "user ID" of the user information DB 2022. FIG. The item “terminal ID” is an ID for specifying the terminal device 10 registered in the management server 30 as being used by the user specified by the user ID. The terminal ID is terminal identification information unique to the terminal device 10 . The item “terminal type” is information indicating the type of the terminal device 10 specified by the terminal ID, and is mainly information regarding the OS type of the terminal device 10 . The terminal device 10 indicated as "PC" in FIG. 9 indicates that the OS is Windows (registered trademark). The item "terminal name" is information about the name of the terminal device 10 specified by the terminal ID. The terminal name may be determined by the user of the terminal device 10 or may be determined by the terminal management module 3035 .

<3 動作例>
以下、システム1の動作の一例について説明する。
<3 Operation example>
An example of the operation of the system 1 will be described below.

図10~図11は、システム1の動作の一例を表すシーケンス図である。 10 and 11 are sequence diagrams showing an example of the operation of the system 1. FIG.

ステップS1050において、端末装置10の制御部190は、端末装置10のユーザからの認証サーバ20へのログイン指示入力に基づいて、認証サーバ20にアクセスする。ログイン指示入力の態様は任意であり、一例として、端末装置10のディスプレイ141に表示されている認証サーバ20ログイン用のアイコンをマウス132等で選択する等の態様が一例として挙げられる。 In step S<b>1050 , the control unit 190 of the terminal device 10 accesses the authentication server 20 based on the login instruction input to the authentication server 20 from the user of the terminal device 10 . The manner of inputting the login instruction is arbitrary, and one example is the manner of selecting the icon for logging in to the authentication server 20 displayed on the display 141 of the terminal device 10 with the mouse 132 or the like.

ステップS1000において、認証サーバ20の制御部203は、ステップS1050による端末装置10からのアクセスに基づいて、端末装置10に対して、ログインのためのメールアドレスの入力を求めるメールアドレス入力画面データを送出する。具体的には、例えば、制御部203は、ログイン管理モジュール2033により、予め用意してあるメールアドレス入力画面データ、あるいはその時点でログイン管理モジュール2033が生成したメールアドレス入力画面データを、アクセスしてきた端末装置10に送信する。 In step S1000, control unit 203 of authentication server 20 sends email address input screen data requesting input of an email address for login to terminal device 10 based on access from terminal device 10 in step S1050. do. Specifically, for example, the control unit 203 accesses e-mail address input screen data prepared in advance by the login management module 2033 or e-mail address input screen data generated by the login management module 2033 at that time. Send to the terminal device 10 .

図12は、ステップS1000において認証サーバ20から送出され、端末装置10のディスプレイ141に表示されたメールアドレス入力画面の一例を示す図である。端末装置10の画面1200には、ブラウザ制御部194により表示されたブラウザウィンドウ1201が表示され、このブラウザウィンドウ1201には、ユーザのメールアドレスを入力する入力欄1202と、入力欄1202に入力したメールアドレスを用いて認証サーバ20へのログインを指示するボタン1203とが表示されている。 FIG. 12 is a diagram showing an example of the e-mail address input screen sent from the authentication server 20 and displayed on the display 141 of the terminal device 10 in step S1000. A browser window 1201 displayed by the browser control unit 194 is displayed on a screen 1200 of the terminal device 10. In this browser window 1201, an input field 1202 for inputting the user's e-mail address and an e-mail input in the input field 1202 are displayed. A button 1203 for instructing login to the authentication server 20 using an address is displayed.

ステップS1051において、端末装置10のユーザは、キーボード131、マウス132等を用いて入力欄1202にユーザ自身のメールアドレスを入力し、同様にキーボード131、マウス132等を用いてボタン1203に入力操作を行うことにより、このメールアドレスによって認証サーバ20にログインすることを端末装置10に指示する。端末装置10の制御部190は、ユーザからの入力操作信号を受け入れ、ユーザが入力したメールアドレスを認証サーバ20に送信する。 In step S1051, the user of the terminal device 10 uses the keyboard 131, the mouse 132, etc. to input his/her own mail address in the input field 1202, and similarly uses the keyboard 131, the mouse 132, etc. to perform input operations to the buttons 1203. By doing so, the terminal device 10 is instructed to log in to the authentication server 20 with this mail address. The control unit 190 of the terminal device 10 accepts the input operation signal from the user and transmits the e-mail address input by the user to the authentication server 20 .

ステップS1001において、認証サーバ20の制御部203は、端末装置10から送信されたメールアドレスを受け入れ、このメールアドレスに対応するユーザIDを特定する。具体的には、例えば、制御部203は、ログイン管理モジュール2033により、受け入れたメールアドレスを用いてユーザ情報DB2022を検索し、このメールアドレスに対応するユーザIDを特定する。 In step S1001, the control unit 203 of the authentication server 20 accepts the e-mail address transmitted from the terminal device 10, and identifies the user ID corresponding to this e-mail address. Specifically, for example, the control unit 203 causes the login management module 2033 to search the user information DB 2022 using the accepted e-mail address, and specifies the user ID corresponding to this e-mail address.

次いで、ステップS1002において、認証サーバ20の制御部203は、ステップS1001により特定したユーザIDに対応する端末識別情報があるか否かの問い合わせをし、さらに、端末識別情報があれば全ての端末識別情報を認証サーバ20に送出する旨の指示を管理サーバ30に送信する。具体的には、例えば、制御部203は、端末識別情報取得モジュール2034により、ステップS1001により特定したユーザIDを管理サーバ30に送出し、このユーザIDに関連付けられた端末識別情報の有無、及び、端末識別情報がある場合は全ての端末識別情報の送信を管理サーバ30に依頼する。 Next, in step S1002, the control unit 203 of the authentication server 20 inquires whether or not there is terminal identification information corresponding to the user ID specified in step S1001. An instruction to send the information to the authentication server 20 is sent to the management server 30 . Specifically, for example, the control unit 203 uses the terminal identification information acquisition module 2034 to send the user ID specified in step S1001 to the management server 30, and the presence or absence of terminal identification information associated with this user ID, and If there is terminal identification information, it requests the management server 30 to transmit all of the terminal identification information.

ステップS1080において、管理サーバ30の制御部303は、ステップS1002において認証サーバ20から送出されたユーザIDに関連付けられた端末識別情報の有無を検索し、ユーザIDに関連付けられた端末識別情報が管理サーバ30に登録されていれば、登録されている全ての端末識別情報を認証サーバ20に送信する。具体的には、例えば、制御部303は、ユーザ端末情報検索モジュール3033により、認証サーバ20から送出されたユーザIDを用いてユーザ端末情報DB3022を検索し、ユーザIDに関連付けられた端末識別情報を抽出する。そして、ユーザIDに関連付けられた端末識別情報が検索できたら、ユーザ端末情報検索モジュール3033は、ユーザIDに関連付けられた全ての端末識別情報を認証サーバ20に送信する。 In step S1080, control unit 303 of management server 30 searches for the presence of terminal identification information associated with the user ID sent from authentication server 20 in step S1002. 30 , all registered terminal identification information is transmitted to the authentication server 20 . Specifically, for example, the control unit 303 causes the user terminal information search module 3033 to search the user terminal information DB 3022 using the user ID sent from the authentication server 20, and retrieves the terminal identification information associated with the user ID. Extract. Then, when the terminal identification information associated with the user ID can be retrieved, the user terminal information retrieval module 3033 transmits all terminal identification information associated with the user ID to the authentication server 20 .

図11に移行して、ステップS1100において、認証サーバ20の制御部203は、端末装置10への応答要求に固有の応答要求識別情報であるトークンを発行し、このトークンと、ステップS1080において管理サーバ30から送信された全ての端末識別情報と、管理サーバ30にアクセスするためのURL情報とを、ログイン要求をした端末装置10に送信し、端末装置10の端末管理制御部195による応答を要求する。ステップS1080において管理サーバ30のユーザ端末情報検索モジュール3033が端末識別情報を送信したということは、ユーザIDに関連付けられた端末識別情報(つまりはユーザが所有する端末装置10)が管理サーバ30に登録されていることを意味する。従って、認証サーバ20は、端末装置10に既にインストールされている端末管理制御部195に応答させることで、認証作業を進める。なお、端末装置10の端末管理制御部195が既に管理サーバ30のURL情報を取得している場合、管理サーバ30のURL情報を送出しなくても良い。 Moving to FIG. 11, in step S1100, the control unit 203 of the authentication server 20 issues a token that is response request identification information unique to the response request to the terminal device 10. All the terminal identification information transmitted from 30 and the URL information for accessing the management server 30 are transmitted to the terminal device 10 that made the login request, and a response from the terminal management control unit 195 of the terminal device 10 is requested. . The fact that the user terminal information search module 3033 of the management server 30 has transmitted the terminal identification information in step S1080 means that the terminal identification information associated with the user ID (that is, the terminal device 10 owned by the user) is registered in the management server 30. means that Therefore, the authentication server 20 advances the authentication work by causing the terminal management control unit 195 already installed in the terminal device 10 to respond. In addition, when the terminal management control unit 195 of the terminal device 10 has already obtained the URL information of the management server 30, the URL information of the management server 30 does not have to be sent.

具体的には、例えば、制御部203は、トークン発行モジュール2035により、端末装置10への応答要求に個別の応答要求識別情報であるトークンを発行させる。そして、トークン発行モジュール2035は、発行したトークンに関する情報をトークンDB2023に格納する。次いで、例えば、制御部203は、ユーザ認証モジュール2036により、ステップS1080で取得した全ての端末識別情報と、トークン発行モジュール2035が発行したトークンと、管理サーバ30にアクセスするためのURL情報とを、ステップS1051でログイン要求をした端末装置10に送信し、この端末装置10にインストールされている端末管理制御部195による応答を要求する。 Specifically, for example, the control unit 203 causes the token issuing module 2035 to issue a token, which is individual response request identification information, to the response request to the terminal device 10 . The token issue module 2035 then stores information on the issued token in the token DB 2023 . Next, for example, the control unit 203 causes the user authentication module 2036 to transmit all the terminal identification information acquired in step S1080, the token issued by the token issuing module 2035, and the URL information for accessing the management server 30, In step S1051, it is transmitted to the terminal device 10 that requested the login, and requests a response from the terminal management control unit 195 installed in this terminal device 10. FIG.

この後、ステップS1101において、認証サーバ20の制御部203は、ユーザ認証モジュール2036により定期的に管理サーバ30をポーリングし、管理サーバ30がトークンを受信したか否かを確認する。 Thereafter, in step S1101, the control unit 203 of the authentication server 20 periodically polls the management server 30 using the user authentication module 2036 to check whether the management server 30 has received the token.

図13は、ステップS1100において認証サーバ20から送出された端末識別情報を端末装置10のディスプレイ141に表示した画面の一例を示す図である。端末装置10の画面1300には、ブラウザ制御部194により表示されたブラウザウィンドウ1301が表示され、このブラウザウィンドウ1301には、ユーザ識別情報であるユーザのメールアドレスに紐付けられた端末装置10が複数存在することを通知する文章が表記された領域1302と、ステップS1100において認証サーバ20から送出された端末識別情報のそれぞれを表記したボタン1303、1304とが表示されている。 FIG. 13 is a diagram showing an example of a screen displaying the terminal identification information sent from the authentication server 20 in step S1100 on the display 141 of the terminal device 10. As shown in FIG. A browser window 1301 displayed by the browser control unit 194 is displayed on a screen 1300 of the terminal device 10. In this browser window 1301, a plurality of terminal devices 10 associated with the user's email address, which is user identification information, are displayed. An area 1302 in which a text notifying the existence of the terminal is written, and buttons 1303 and 1304 in which the terminal identification information sent from the authentication server 20 in step S1100 is written are displayed.

ステップS1150において、端末装置10のユーザは、キーボード131、マウス132等を用いてボタン1303、1304に選択入力操作を行うことにより、現在ユーザが使用している端末装置10に係る端末識別情報を選択する。ステップS1150において選択した端末識別情報を認証サーバ20、管理サーバ30に送出する必要はないが、ステップS1150において選択した端末識別情報は、端末管理制御部195による端末装置10の端末管理動作に影響しうる(OS毎に行うべき端末管理動作は異なる)ので、ステップS1150において選択した端末識別情報は端末管理制御部195に送出される。 In step S1150, the user of the terminal device 10 selects the terminal identification information related to the terminal device 10 currently used by the user by performing a selection input operation on the buttons 1303 and 1304 using the keyboard 131, mouse 132, etc. do. Although it is not necessary to send the terminal identification information selected in step S1150 to the authentication server 20 and the management server 30, the terminal identification information selected in step S1150 does not affect the terminal management operation of the terminal device 10 by the terminal management control unit 195. (The terminal management operation to be performed differs for each OS.) Therefore, the terminal identification information selected in step S1150 is sent to the terminal management control section 195. FIG.

次いで、ステップS1151において、端末装置10の制御部190は、ステップS1100において認証サーバ20から送出された情報を用いて端末管理制御部195を起動させる。具体的には、例えば、制御部190は、ブラウザ制御部194により、URL Schemeを用いて端末管理制御部195を起動するためのURLの末尾にトークンを付加した情報により端末管理制御部195を起動させ、この端末管理制御部195により管理サーバ30にアクセスする応答要求を端末管理制御部195にさせる。 Next, in step S1151, control unit 190 of terminal device 10 activates terminal management control unit 195 using the information sent from authentication server 20 in step S1100. Specifically, for example, the control unit 190 causes the browser control unit 194 to activate the terminal management control unit 195 with information obtained by adding a token to the end of the URL for activating the terminal management control unit 195 using the URL scheme. The terminal management control unit 195 is caused to make a response request for accessing the management server 30 by the terminal management control unit 195 .

次いで、ステップS1152において、端末装置10の制御部190は、ステップS1100において認証サーバ20から送出されたトークンを用いて管理サーバ30にアクセスすることで、端末管理制御部195による応答要求に応える。具体的には、例えば、制御部190は、端末管理制御部195により、ステップS1151においてブラウザ制御部194から送出された応答要求に応答し、トークンを付加した情報により管理サーバ30にアクセスさせる。 Next, in step S1152, the control unit 190 of the terminal device 10 responds to the response request from the terminal management control unit 195 by accessing the management server 30 using the token sent from the authentication server 20 in step S1100. Specifically, for example, the control unit 190 causes the terminal management control unit 195 to respond to the response request sent from the browser control unit 194 in step S1151, and causes the management server 30 to be accessed with the token-added information.

ステップS1180において、管理サーバ30の制御部303は、トークン送受信モジュール3034により、ステップS1152において端末装置10から送信されたアクセス要求(このアクセス要求にはトークンが含まれている)を受け入れ、このアクセス要求に含まれているトークンを抽出する。そして、管理サーバ30の制御部303は、トークン送受信モジュール3034により、トークンを受信したことの通知、及び、送信されたトークンを認証サーバ20に送信する。 In step S1180, the control unit 303 of the management server 30 uses the token transmission/reception module 3034 to accept the access request (this access request includes the token) transmitted from the terminal device 10 in step S1152, and Extract the tokens contained in . The control unit 303 of the management server 30 then uses the token transmission/reception module 3034 to transmit a notification of receipt of the token and the transmitted token to the authentication server 20 .

ステップS1102において、認証サーバ20の制御部203は、ステップS1180で送信されたトークンを受信し、このトークンを用いて端末装置10の認証を行う。具体的には、例えば、制御部203は、ユーザ認証モジュール2036により、ステップS1102において受信したトークンを用いてトークンDB2023を検索し、受信したトークンが、ステップS1100において端末装置10に送出したトークンと同一であるか否かの判定を行う。そして、これらトークンが同一であれば、ユーザ認証モジュール2036は、トークンによる端末装置10の認証が成功したものとして認証動作を終了する。なお、ユーザ認証モジュール2036は、トークン発行モジュール2035によるトークン発行日時とステップS1102におけるトークンの受信日時とを比較し、これらの間の時間間隔が一定時間以内であることを条件に、端末装置10の認証を行ってもよい。 In step S1102, the control unit 203 of the authentication server 20 receives the token transmitted in step S1180, and authenticates the terminal device 10 using this token. Specifically, for example, the control unit 203 causes the user authentication module 2036 to search the token DB 2023 using the token received in step S1102, and the received token is the same as the token sent to the terminal device 10 in step S1100. It is determined whether or not If these tokens are the same, the user authentication module 2036 concludes that authentication of the terminal device 10 using the token has succeeded, and terminates the authentication operation. Note that the user authentication module 2036 compares the token issue date and time by the token issue module 2035 with the token reception date and time in step S1102, and if the time interval between them is within a certain period of time, the terminal device 10 Authentication may be performed.

ステップS1103において、認証サーバ20の制御部203は、ログイン要求をした端末装置10に対して、認証が成功した旨の通知を行う。以降、認証サーバ20の制御部203は、SSO管理モジュール2037により、認証が成功した端末装置10に対してSSO機能を提供するとともに、管理サーバ30の制御部303は、端末管理モジュール3035により、認証が成功した端末装置10に対して端末管理機能を提供する。 In step S1103, the control unit 203 of the authentication server 20 notifies the terminal device 10 that requested the login that the authentication was successful. Thereafter, the control unit 203 of the authentication server 20 uses the SSO management module 2037 to provide the SSO function to the terminal device 10 for which authentication has succeeded, and the control unit 303 of the management server 30 uses the terminal management module 3035 to perform authentication. A terminal management function is provided to the terminal device 10 for which the above has succeeded.

<4 実施形態の効果>
以上詳細に説明したように、本実施形態のシステム1によれば、端末装置10から送出された、ユーザ固有のユーザ識別情報と、管理サーバ30に予め登録されている、ユーザ識別情報に関連付けられた端末識別情報とを用いて端末装置10の認証動作を行っている。これにより、本実施形態のシステム1によれば、ユーザが別途パスワード等の情報を入力することなく、認証サーバ20による認証を受けることができる。よって、本実施形態のシステム1によれば、ユーザがサービスを利用する際に、認証を受けるために入力すべき識別情報を削減することができる。
<4 Effect of Embodiment>
As described in detail above, according to the system 1 of the present embodiment, user-specific user identification information transmitted from the terminal device 10 and user identification information pre-registered in the management server 30 are associated with each other. The authentication operation of the terminal device 10 is performed using the terminal identification information. Thus, according to the system 1 of this embodiment, the user can be authenticated by the authentication server 20 without separately inputting information such as a password. Therefore, according to the system 1 of the present embodiment, it is possible to reduce the identification information that the user has to input for authentication when using the service.

<5 付記>
なお、上記した実施形態は本開示を分かりやすく説明するために構成を詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、各実施形態の構成の一部について、他の構成に追加、削除、置換することが可能である。
<5 Notes>
It should be noted that the above-described embodiments describe the configurations in detail in order to explain the present disclosure in an easy-to-understand manner, and are not necessarily limited to those having all the described configurations. Also, part of the configuration of each embodiment can be added, deleted, or replaced with another configuration.

また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、本発明は、実施例の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をコンピュータに提供し、そのコンピュータが備えるプロセッサが記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施例の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD-ROM、DVD-ROM、ハードディスク、SSD、光ディスク、光磁気ディスク、CD-R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。 Further, each of the configurations, functions, processing units, processing means, etc. described above may be realized by hardware, for example, by designing a part or all of them using an integrated circuit. The present invention can also be implemented by software program code that implements the functions of the embodiments. In this case, a computer is provided with a storage medium recording the program code, and the processor of the computer reads the program code stored in the storage medium. In this case, the program code itself read out from the storage medium implements the functions of the above-described embodiments, and the program code itself and the storage medium storing it constitute the present invention. Storage media for supplying such program code include, for example, flexible disks, CD-ROMs, DVD-ROMs, hard disks, SSDs, optical disks, magneto-optical disks, CD-Rs, magnetic tapes, and non-volatile memory cards. , ROM and the like are used.

また、本実施例に記載の機能を実現するプログラムコードは、例えば、アセンブラ、C/C++、perl、Shell、PHP、Java(登録商標)等の広範囲のプログラム又はスクリプト言語で実装できる。 Also, the program code that implements the functions described in this embodiment can be implemented in a wide range of programs or script languages, such as assembler, C/C++, perl, Shell, PHP, and Java (registered trademark).

さらに、実施例の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することによって、それをコンピュータのハードディスクやメモリ等の記憶手段又はCD-RW、CD-R等の記憶媒体に格納し、コンピュータが備えるプロセッサが当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしてもよい。 Furthermore, by distributing the program code of the software that realizes the functions of the embodiment via a network, it can be stored in storage means such as a hard disk or memory of a computer, or in a storage medium such as a CD-RW or CD-R. Alternatively, a processor provided in the computer may read and execute the program code stored in the storage means or the storage medium.

以上の各実施形態で説明した事項を以下に付記する。 The items described in the above embodiments will be added below.

(付記1)
プロセッサ(29)とメモリ(25)とを備えるコンピュータ(20)を動作させるためのプログラム(2021)であって、プログラム(2021)は、プロセッサ(29)に、ユーザに固有のユーザ識別情報を受け入れるステップ(S1001)と、ユーザ識別情報と端末に固有の端末識別情報とが予め関連付けられており、受け入れたユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた端末識別情報を取得するステップ(S1080)と、端末識別情報により識別される端末(10)は端末自身の管理機能を有し、管理機能に対する応答要求を、ユーザが使用する端末(10)へ送信するステップ(S1100)と、応答要求に基づく端末(10)からの応答に応じて、端末(10)を所持するユーザを認証するステップ(S1102)と、認証するステップによる認証結果をユーザへ提示するステップ(S1103)とを実行させる、プログラム(2021)。
(付記2)
端末識別情報を取得するステップ(S1080)において、受け入れたユーザ識別情報に基づいて複数の端末識別情報を取得し、応答要求を端末(10)へ送信するステップ(S1100)において、ユーザに、取得した複数の端末識別情報を提示し、ユーザを認証するステップにおいて、ユーザが使用している端末(10)に固有の端末識別情報の選択を受け入れる付記1に記載のプログラム(2021)。
(付記3)
応答要求を端末(10)へ送信するステップ(S1100)において、当該応答要求に固有の応答要求識別情報を端末(10)へ送信し、ユーザを認証するステップ(S1102)において、応答要求識別情報に基づいて、端末(10)を所持するユーザを認証する付記1または2に記載のプログラム(2021)。
(付記4)
メモリ(25)には、ユーザ識別情報と端末識別情報とが関連付けられたテーブル(3022)が格納され、端末識別情報を取得するステップ(S1080)において、テーブル(3022)を参照して、受け入れたユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた端末(10)識別情報を取得する付記1~3のいずれかに記載のプログラム(2021)。
(付記5)
プログラム(2021)は、プロセッサ(29)にさらに、ユーザが認証されたら、端末(10)の管理機能と連携してこの端末(10)の管理を行うステップを実行させる、付記1~4のいずれかに記載のプログラム(2021)。
(付記6)
プログラム(2021)は、プロセッサ(29)にさらに、ユーザが認証されたら、この認証に基づいて、他のコンピュータ(30)におけるサービスをユーザに利用可能にさせる、付記1~5のいずれかに記載のプログラム(2021)。
(付記7)
プロセッサ(29)とメモリ(25)とを備えた情報処理装置(20)であって、プロセッサ(29)は、ユーザに固有のユーザ識別情報を受け入れるステップ(S1001)と、ユーザ識別情報と端末(10)に固有の端末識別情報とが予め関連付けられており、受け入れたユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた端末識別情報を取得するステップ(S1080)と、端末識別情報により識別される端末(10)は端末自身の管理機能を有し、管理機能に対する応答要求を、ユーザが使用する端末(10)へ送信するステップ(S1100)と、応答要求に基づく端末(10)からの応答に応じて、端末(10)を所持するユーザを認証するステップ(S1102)と、認証するステップによる認証結果をユーザへ提示するステップ(S1103)とを実行する、情報処理装置(20)。
(付記8)
プロセッサ(29)とメモリ(25)とを備えたコンピュータ(20)により実行される方法であって、プロセッサ(29)は、ユーザに固有のユーザ識別情報を受け入れるステップ(S1001)と、ユーザ識別情報と端末(10)に固有の端末識別情報とが予め関連付けられており、受け入れたユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた端末識別情報を取得するステップ(S1080)と、端末識別情報により識別される端末(10)は端末自身の管理機能を有し、管理機能に対する応答要求を、ユーザが使用する端末(10)へ送信するステップ(S1100)と、応答要求に基づく端末(10)からの応答に応じて、端末(10)を所持するユーザを認証するステップ(S1102)と、認証するステップによる認証結果をユーザへ提示するステップ(S1103)とを実行する、方法。
(付記9)
ユーザに固有のユーザ識別情報を受け入れる手段(2033)と、ユーザ識別情報と端末(10)に固有の端末識別情報とが予め関連付けられており、受け入れたユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた端末識別情報を取得する手段(2034)と、端末識別情報により識別される端末(10)は端末自身の管理機能を有し、管理機能に対する応答要求を、ユーザが使用する端末(10)へ送信する手段(2036)と、応答要求に基づく端末(10)からの応答に応じて、端末(10)を所持するユーザを認証する手段(2036)と、認証する手段による認証結果をユーザへ提示する手段(2036)とを具備する、システム(1)。
(Appendix 1)
A program (2021) for operating a computer (20) comprising a processor (29) and a memory (25), the program (2021) accepting user identification information unique to a user in the processor (29) A step (S1001) and a step ( S1080), the terminal (10) identified by the terminal identification information has its own management function, and a step of transmitting a response request for the management function to the terminal (10) used by the user (S1100); In response to a response from the terminal (10) based on the request, a step of authenticating the user possessing the terminal (10) (S1102) and a step of presenting the authentication result of the authenticating step to the user (S1103) are executed. , program (2021).
(Appendix 2)
In the step of acquiring terminal identification information (S1080), a plurality of pieces of terminal identification information are acquired based on the accepted user identification information, and in the step of transmitting a response request to the terminal (10) (S1100), the acquired 2. The program (2021) of clause 1, wherein in the step of presenting a plurality of terminal identities and authenticating the user, accepting a selection of terminal identities specific to the terminal (10) being used by the user.
(Appendix 3)
In the step of transmitting a response request to the terminal (10) (S1100), response request identification information unique to the response request is transmitted to the terminal (10), and in the step of authenticating the user (S1102), the response request identification information 3. The program (2021) according to appendix 1 or 2 for authenticating a user possessing a terminal (10) based on.
(Appendix 4)
The memory (25) stores a table (3022) in which user identification information and terminal identification information are associated with each other. 4. The program (2021) according to any one of Appendices 1 to 3, for obtaining, based on user identification information, terminal (10) identification information associated with this user identification information.
(Appendix 5)
The program (2021) further causes the processor (29) to execute a step of managing the terminal (10) in cooperation with the management function of the terminal (10) when the user is authenticated. (2021).
(Appendix 6)
6. The program (2021) according to any one of appendices 1 to 5, wherein the program (2021) further causes the processor (29), once the user is authenticated, to make available to the user a service in the other computer (30) based on this authentication. program (2021).
(Appendix 7)
An information processing device (20) comprising a processor (29) and a memory (25), wherein the processor (29) receives a step of accepting user identification information unique to a user (S1001); 10) is pre-associated with unique terminal identification information, and based on the received user identification information, a step of acquiring terminal identification information associated with this user identification information (S1080); The terminal (10) to be received has its own management function, and a step of transmitting a response request for the management function to the terminal (10) used by the user (S1100); An information processing apparatus (20) that performs a step (S1102) of authenticating a user possessing a terminal (10) and a step (S1103) of presenting an authentication result of the authenticating step to the user in response to the response.
(Appendix 8)
A method performed by a computer (20) comprising a processor (29) and a memory (25), wherein the processor (29) receives (S1001) user identification information unique to a user; and terminal identification information unique to the terminal (10) are associated in advance, and based on the received user identification information, acquiring terminal identification information associated with this user identification information (S1080); The terminal (10) identified by the information has its own management function, a step of transmitting a response request for the management function to the terminal (10) used by the user (S1100); ), authenticating the user possessing the terminal (10) (S1102) and presenting the authentication result of the authenticating step to the user (S1103).
(Appendix 9)
means (2033) for accepting user identification information unique to a user; and user identification information and terminal identification information unique to the terminal (10) are pre-associated; A means (2034) for obtaining terminal identification information associated with the terminal (10) identified by the terminal identification information has its own management function, and a response request to the management function is sent to the terminal ( 10), a means (2036) for authenticating the user possessing the terminal (10) in response to a response from the terminal (10) based on the response request, and an authentication result by the authenticating means (2036) means (2036) for presenting to a user.

1、システム 2、10、端末装置 3、20、認証サーバ 4、30、管理サーバ 5、ブラウザ 6、端末管理モジュール 80、ネットワーク 180、記憶部 190、制御部 194、ブラウザ制御部 195、端末管理制御部 202、302、記憶部 203、303、制御部 ユーザ情報DB 2023、トークンDB 2024、SSO管理情報DB 2031 2033、ログイン管理モジュール 2034、端末識別情報取得モジュール 2035、トークン発行モジュール 2036、ユーザ認証モジュール 2037、SSO管理モジュール ユーザ端末情報DB 3031、受信制御モジュール 3032、送信制御モジュール 3033、ユーザ端末情報検索モジュール 3034、トークン送受信モジュール 3035、端末管理モジュール
1, system 2, 10, terminal device 3, 20, authentication server 4, 30, management server 5, browser 6, terminal management module 80, network 180, storage unit 190, control unit 194, browser control unit 195, terminal management control Units 202, 302, Storage Units 203, 303, Control Unit User information DB 2023, Token DB 2024, SSO management information DB 2031 to 2033, Login management module 2034, Terminal identification information acquisition module 2035, Token issuing module 2036, User authentication module 2037 , SSO management module user terminal information DB 3031, reception control module 3032, transmission control module 3033, user terminal information search module 3034, token transmission/reception module 3035, terminal management module

Claims (8)

プロセッサとメモリとを備えるコンピュータを動作させるためのプログラムであって、
前記プログラムは、前記プロセッサに、
ユーザに固有のユーザ識別情報を受け入れるステップと、
前記ユーザ識別情報と端末に固有の端末識別情報とが予め関連付けられており、受け入れた前記ユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた前記端末識別情報を取得することで、前記ユーザ識別情報により特定される前記ユーザが所有する前記端末を特定するステップと、
前記端末識別情報により識別される前記端末は前記端末自身の管理機能を有し、前記管理機能に対する応答要求を、前記特定された端末へ送信するステップと、
前記応答要求に基づく前記端末からの応答に応じて、前記端末を所持する前記ユーザを認証するステップと、
前記認証するステップによる認証結果を前記ユーザへ提示するステップと
を実行させ
前記応答要求を前記端末へ送信するステップにおいて、前記ユーザ識別情報に対応付けられ、当該応答要求に固有の応答要求識別情報を前記端末へ送信し、
前記ユーザを認証するステップにおいて、前記応答要求識別情報に基づいて、前記端末を所持する前記ユーザを認証する、プログラム。
A program for operating a computer comprising a processor and a memory,
The program causes the processor to:
accepting user identification information unique to the user;
The user identification information and terminal identification information unique to a terminal are associated in advance, and based on the received user identification information, the terminal identification information associated with the user identification information is obtained, thereby enabling the user to identifying the terminal owned by the user identified by identification information ;
the terminal identified by the terminal identification information has a management function of the terminal itself, and transmitting a response request for the management function to the identified terminal;
authenticating the user possessing the terminal in response to a response from the terminal based on the response request;
and presenting to the user an authentication result obtained by the authenticating step ;
in the step of transmitting the response request to the terminal, transmitting response request identification information associated with the user identification information and unique to the response request to the terminal;
A program for authenticating the user possessing the terminal based on the response request identification information in the step of authenticating the user .
コンピュータと端末とを有するシステムにおいて、
前記コンピュータは、
ユーザに固有のユーザ識別情報を受け入れる手段と、
前記ユーザ識別情報と前記端末に固有の端末識別情報とが予め関連付けられており、受け入れた前記ユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた前記端末識別情報を取得することで、前記ユーザ識別情報により特定される前記ユーザが所有する前記端末を特定する手段と、
前記端末識別情報により識別される前記端末は前記端末自身の管理機能を有し、前記管理機能に対する応答要求を、前記特定された端末へ送信する手段と、
前記応答要求に基づく前記端末からの応答に応じて、前記端末を所持する前記ユーザを認証する手段と、
前記認証するステップによる認証結果を前記ユーザへ提示する手段と
を具備し、
前記端末識別情報を取得する手段は、受け入れた前記ユーザ識別情報に基づいて複数の前記端末識別情報を取得し、
前記応答要求を前記端末へ送信する手段は、前記端末に、取得した複数の前記端末識別情報を提示し、
前記端末は、提示された複数の前記端末識別情報の中から、前記ユーザが使用している前記端末に固有の前記端末識別情報の選択を受け入れる
システム
In a system having a computer and a terminal,
The computer is
means for accepting user identification information unique to a user;
The user identification information and the terminal identification information unique to the terminal are associated in advance, and based on the accepted user identification information, the terminal identification information associated with the user identification information is obtained, means for identifying the terminal owned by the user identified by user identification information;
the terminal identified by the terminal identification information has a management function of the terminal itself, means for transmitting a response request for the management function to the identified terminal;
means for authenticating the user possessing the terminal in response to a response from the terminal based on the response request;
means for presenting to the user an authentication result obtained by the authenticating step;
and
the means for acquiring the terminal identification information acquires a plurality of the terminal identification information based on the accepted user identification information;
the means for transmitting the response request to the terminal presents the acquired plurality of terminal identification information to the terminal;
The terminal accepts selection of the terminal identification information unique to the terminal used by the user from among the presented plurality of terminal identification information.
system .
前記メモリには、前記ユーザ識別情報と前記端末識別情報とが関連付けられたテーブルが格納され、
前記端末識別情報を取得するステップにおいて、前記テーブルを参照して、受け入れた前記ユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた前記端末識別情報を取得する
請求項1に記載のプログラム。
the memory stores a table in which the user identification information and the terminal identification information are associated;
2. The program according to claim 1, wherein in the step of acquiring the terminal identification information, the table is referred to, and based on the received user identification information, the terminal identification information associated with the user identification information is obtained.
前記プログラムは、前記プロセッサにさらに、
前記ユーザが認証されたら、前記端末の前記管理機能と連携してこの端末の管理を行うステップを実行させる、
請求項1に記載のプログラム。
The program further instructs the processor to:
When the user is authenticated, cooperating with the management function of the terminal to perform a step of managing the terminal;
A program according to claim 1.
前記プログラムは、前記プロセッサにさらに、
前記ユーザが認証されたら、この認証に基づいて、他のサービスを前記ユーザに利用可能にさせる、
請求項1に記載のプログラム。
The program further instructs the processor to:
Once the user has been authenticated, making other services available to the user based on this authentication;
A program according to claim 1.
プロセッサとメモリとを備えた情報処理装置であって、
前記プロセッサは、
ユーザに固有のユーザ識別情報を受け入れるステップと、
前記ユーザ識別情報と端末に固有の端末識別情報とが予め関連付けられており、受け入れた前記ユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた前記端末識別情報を取得することで、前記ユーザ識別情報により特定される前記ユーザが所有する前記端末を特定するステップと、
前記端末識別情報により識別される前記端末は前記端末自身の管理機能を有し、前記管理機能に対する応答要求を、前記特定された端末へ送信するステップと、
前記応答要求に基づく前記端末からの応答に応じて、前記端末を所持する前記ユーザを認証するステップと、
前記認証するステップによる認証結果を前記ユーザへ提示するステップと
を実行させ
前記応答要求を前記端末へ送信するステップにおいて、前記ユーザ識別情報に対応付けられ、当該応答要求に固有の応答要求識別情報を前記端末へ送信し、
前記ユーザを認証するステップにおいて、前記応答要求識別情報に基づいて、前記端末を所持する前記ユーザを認証する、情報処理装置。
An information processing device comprising a processor and a memory,
The processor
accepting user identification information unique to the user;
The user identification information and terminal identification information unique to a terminal are associated in advance, and based on the received user identification information, the terminal identification information associated with the user identification information is obtained, thereby enabling the user to identifying the terminal owned by the user identified by identification information ;
the terminal identified by the terminal identification information has a management function of the terminal itself, and transmitting a response request for the management function to the identified terminal;
authenticating the user possessing the terminal in response to a response from the terminal based on the response request;
and presenting to the user an authentication result obtained by the authenticating step ;
in the step of transmitting the response request to the terminal, transmitting response request identification information associated with the user identification information and unique to the response request to the terminal;
The information processing apparatus , wherein in the step of authenticating the user, the user possessing the terminal is authenticated based on the response request identification information .
プロセッサとメモリとを備えたコンピュータにより実行される方法であって、
前記プロセッサは、
ユーザに固有のユーザ識別情報を受け入れるステップと、
前記ユーザ識別情報と端末に固有の端末識別情報とが予め関連付けられており、受け入れた前記ユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた前記端末識別情報を取得することで、前記ユーザ識別情報により特定される前記ユーザが所有する前記端末を特定するステップと、
前記端末識別情報により識別される前記端末は前記端末自身の管理機能を有し、前記管理機能に対する応答要求を、前記特定された端末へ送信するステップと、
前記応答要求に基づく前記端末からの応答に応じて、前記端末を所持する前記ユーザを認証するステップと、
前記認証するステップによる認証結果を前記ユーザへ提示するステップと
を実行させ
前記応答要求を前記端末へ送信するステップにおいて、前記ユーザ識別情報に対応付けられ、当該応答要求に固有の応答要求識別情報を前記端末へ送信し、
前記ユーザを認証するステップにおいて、前記応答要求識別情報に基づいて、前記端末を所持する前記ユーザを認証する、方法。
A computer implemented method comprising a processor and memory, comprising:
The processor
accepting user identification information unique to the user;
The user identification information and terminal identification information unique to a terminal are associated in advance, and based on the received user identification information, the terminal identification information associated with the user identification information is obtained, thereby enabling the user to identifying the terminal owned by the user identified by identification information ;
the terminal identified by the terminal identification information has a management function of the terminal itself, and transmitting a response request for the management function to the identified terminal;
authenticating the user possessing the terminal in response to a response from the terminal based on the response request;
and presenting to the user an authentication result obtained by the authenticating step ;
in the step of transmitting the response request to the terminal, transmitting response request identification information associated with the user identification information and unique to the response request to the terminal;
The method of authenticating the user, authenticating the user possessing the terminal based on the response request identification information .
ユーザに固有のユーザ識別情報を受け入れる手段と、
前記ユーザ識別情報と端末に固有の端末識別情報とが予め関連付けられており、受け入れた前記ユーザ識別情報に基づいて、このユーザ識別情報に関連付けられた前記端末識別情報を取得することで、前記ユーザ識別情報により特定される前記ユーザが所有する前記端末を特定する手段と、
前記端末識別情報により識別される前記端末は前記端末自身の管理機能を有し、前記管理機能に対する応答要求を、前記特定された端末へ送信する手段と、
前記応答要求に基づく前記端末からの応答に応じて、前記端末を所持する前記ユーザを認証する手段と、
前記認証する手段による認証結果を前記ユーザへ提示する手段と
を具備し、
前記応答要求を前記端末へ送信する手段において、前記ユーザ識別情報に対応付けられ、当該応答要求に固有の応答要求識別情報を前記端末へ送信し、
前記ユーザを認証する手段において、前記応答要求識別情報に基づいて、前記端末を所持する前記ユーザを認証する、システム。
means for accepting user identification information unique to a user;
The user identification information and terminal identification information unique to a terminal are associated in advance, and based on the received user identification information, the terminal identification information associated with the user identification information is obtained, thereby enabling the user to means for identifying the terminal owned by the user identified by identification information ;
the terminal identified by the terminal identification information has a management function of the terminal itself, means for transmitting a response request for the management function to the identified terminal;
means for authenticating the user possessing the terminal in response to a response from the terminal based on the response request;
means for presenting to the user an authentication result obtained by the authenticating means ;
sending, in the means for transmitting the response request to the terminal, response request identification information associated with the user identification information and unique to the response request to the terminal;
A system , wherein the means for authenticating the user authenticates the user possessing the terminal based on the response request identification information .
JP2022104283A 2022-06-29 2022-06-29 Program, information processing device, method and system Active JP7162405B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2022104283A JP7162405B1 (en) 2022-06-29 2022-06-29 Program, information processing device, method and system
JP2022165201A JP2024006868A (en) 2022-06-29 2022-10-14 Program, information processing device, method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022104283A JP7162405B1 (en) 2022-06-29 2022-06-29 Program, information processing device, method and system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022165201A Division JP2024006868A (en) 2022-06-29 2022-10-14 Program, information processing device, method and system

Publications (2)

Publication Number Publication Date
JP7162405B1 true JP7162405B1 (en) 2022-10-28
JP2024004603A JP2024004603A (en) 2024-01-17

Family

ID=83806016

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2022104283A Active JP7162405B1 (en) 2022-06-29 2022-06-29 Program, information processing device, method and system
JP2022165201A Pending JP2024006868A (en) 2022-06-29 2022-10-14 Program, information processing device, method and system

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2022165201A Pending JP2024006868A (en) 2022-06-29 2022-10-14 Program, information processing device, method and system

Country Status (1)

Country Link
JP (2) JP7162405B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003233596A (en) 2002-02-07 2003-08-22 Minolta Co Ltd Authentication system, server device and electronic equipment
JP2003295963A (en) 2002-03-28 2003-10-17 Nec Corp System for terminal authentication, apparatus and program for the same
JP2009289175A (en) 2008-05-30 2009-12-10 Fuji Xerox Co Ltd Information processing device, authentication system, and program
JP2015219808A (en) 2014-05-20 2015-12-07 富士ゼロックス株式会社 Relay device, communication system, and program
JP2020149226A (en) 2019-03-12 2020-09-17 富士ゼロックス株式会社 Information processing apparatus and program

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003233596A (en) 2002-02-07 2003-08-22 Minolta Co Ltd Authentication system, server device and electronic equipment
JP2003295963A (en) 2002-03-28 2003-10-17 Nec Corp System for terminal authentication, apparatus and program for the same
JP2009289175A (en) 2008-05-30 2009-12-10 Fuji Xerox Co Ltd Information processing device, authentication system, and program
JP2015219808A (en) 2014-05-20 2015-12-07 富士ゼロックス株式会社 Relay device, communication system, and program
JP2020149226A (en) 2019-03-12 2020-09-17 富士ゼロックス株式会社 Information processing apparatus and program

Also Published As

Publication number Publication date
JP2024006868A (en) 2024-01-17
JP2024004603A (en) 2024-01-17

Similar Documents

Publication Publication Date Title
US9716706B2 (en) Systems and methods for providing a covert password manager
US20200067910A1 (en) Privacy-aware id gateway
JP5906363B1 (en) Authentication system, reminder terminal, and information recording medium
KR20150036323A (en) Security and data isolation for tenants in a business data system
US11803816B2 (en) Workflow service email integration
KR20050089741A (en) Authentication system, authentication server, authentication method, authentication program, terminal, authentication request method, authentication request program, and storage medium
US11722476B2 (en) Workflow service back end integration
US20220255914A1 (en) Identity information linking
JP5409435B2 (en) Access control linkage system and access control linkage method
US11930003B2 (en) Workflow service back end integration
JP2014119962A (en) Information communication system, authentication device, access control method of information communication system, and access control program
JP4944411B2 (en) Menu generation system, menu generation method, and menu generation program
KR20020035820A (en) Synthesis property administration method to use portable save medium
JP7162405B1 (en) Program, information processing device, method and system
JP2003085141A (en) Single sign-on corresponding authenticating device, network system and program
JP6184316B2 (en) Login relay server device, login relay method, and program
JP2020181337A (en) Account management system, account management device, account management method, and program
Huang et al. Research on Single Sign-on Technology for Educational Administration Information Service Platform
US12028329B2 (en) Workflow service back end integration
KR100606239B1 (en) System and method for managing user&#39;s login id
JP6669215B2 (en) Information processing apparatus, program, information processing method, and information processing system
KR20020008592A (en) Management method of website bulletin board
JP2014056444A (en) Document management system, server and program for document management

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220629

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20220629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220802

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220922

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220927

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221014

R150 Certificate of patent or registration of utility model

Ref document number: 7162405

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250