JP7222792B2 - 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム - Google Patents
情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム Download PDFInfo
- Publication number
- JP7222792B2 JP7222792B2 JP2019071509A JP2019071509A JP7222792B2 JP 7222792 B2 JP7222792 B2 JP 7222792B2 JP 2019071509 A JP2019071509 A JP 2019071509A JP 2019071509 A JP2019071509 A JP 2019071509A JP 7222792 B2 JP7222792 B2 JP 7222792B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- authentication
- verification
- priority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラムに関する。
近年、様々なインターネットサービスが提供されている。このようなサービスの中には、ユーザごとにアカウントを作成して登録が必要なサービスが多く存在する。それぞれのサービスは個別にアカウント情報を管理しており、ユーザはサービスへログインするためのパスワードなどの認証情報を、サービスごとに管理しなければならない。
そのため、管理コストの削減やシングルサインオンの実現のために、複数のサービスの認証情報を一元化することが求められている。認証情報を一元化するための認証情報の移行方法として、従来、認証情報を移行する旨と実施日時をユーザに通知し、強制的に移行する方法が行われている。
特許文献1では、ユーザがサービスを利用する際に、ユーザ認証後、ユーザが以前利用していたサービス一覧を表示するとともに、ユーザから認証情報の移行の確認・承認を受け付けて、移行を完了とする。これにより、ユーザの手を煩わせることなくスムーズに認証情報を移行している。
しかしながら、特許文献1の技術では、ユーザが移行後に初めてサービスを利用する際、利用するサービスで以前使っていた認証情報を入力しなければならない。そのため、ユーザが様々なサービスにアカウントを所有していた場合、どの認証情報がこれから利用するサービスの認証情報なのかがわからなくなり、何度も認証情報の入力を試みる事態を招くことがある。サービスの種類によっては、認証情報の入力を複数回間違えた場合、一部のユーザの操作が一定期間制限され、ユーザに煩わしさを与えてしまうことがある。
本発明は、上記の課題に鑑みてなされたものであり、認証情報の移行において、ユーザの利便性を高めるための技術を提供することを目的とする。
上記の目的を達成する本発明に係る情報処理システムは、
ユーザの認証情報を一元管理して認証移行を実行する情報処理システムであって、
クライアントが提供するサービスで前記ユーザが使用していた旧認証情報と、前記ユーザの認証移行が完了しているか否かを示す移行情報とを格納する格納手段と、
前記ユーザが特定のクライアントへ送信した送信認証情報を取得する取得手段と、
前記ユーザの認証移行が完了していない場合、前記送信認証情報の検証のために、前記ユーザと関連付けられており且つ前記旧認証情報を利用できる1以上のクライアントを検証対象として決定する対象決定手段と、
前記検証対象について検証の順序を示す優先度を決定する優先度決定手段と、
前記優先度に従った順序で、前記送信認証情報と前記旧認証情報とが一致するか否かを判定することにより検証を行う検証手段と、
前記検証が成功した場合に前記移行情報を更新する更新手段と、
を備えることを特徴とする。
ユーザの認証情報を一元管理して認証移行を実行する情報処理システムであって、
クライアントが提供するサービスで前記ユーザが使用していた旧認証情報と、前記ユーザの認証移行が完了しているか否かを示す移行情報とを格納する格納手段と、
前記ユーザが特定のクライアントへ送信した送信認証情報を取得する取得手段と、
前記ユーザの認証移行が完了していない場合、前記送信認証情報の検証のために、前記ユーザと関連付けられており且つ前記旧認証情報を利用できる1以上のクライアントを検証対象として決定する対象決定手段と、
前記検証対象について検証の順序を示す優先度を決定する優先度決定手段と、
前記優先度に従った順序で、前記送信認証情報と前記旧認証情報とが一致するか否かを判定することにより検証を行う検証手段と、
前記検証が成功した場合に前記移行情報を更新する更新手段と、
を備えることを特徴とする。
本発明によれば、認証情報の移行において、ユーザの利便性を高めることが可能となる。
以下、添付図面を参照して実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る発明を限定するものでない。実施形態には複数の特徴が記載されているが、これらの複数の特徴の全てが発明に必須のものとは限らず、また、複数の特徴は任意に組み合わせられてもよい。さらに、添付図面においては、同一若しくは同様の構成に同一の参照番号を付し、重複した説明は省略する。
(実施形態1)
本実施形態では、複数のサービスの認証情報が一元化された後、サービスを提供するクライアントに認証情報が送信された際、複数のサービスの認証情報を用いて、クライアントの優先度に応じた順序で、送信された認証情報の検証を行う例を説明する。
本実施形態では、複数のサービスの認証情報が一元化された後、サービスを提供するクライアントに認証情報が送信された際、複数のサービスの認証情報を用いて、クライアントの優先度に応じた順序で、送信された認証情報の検証を行う例を説明する。
まず、本実施形態に係る情報処理システム(認証システム)を含む全体の構成例について、図1のブロック図を用いて説明する。本実施形態に係る情報処理システムは、ユーザの認証情報を一元管理して認証移行を実行する。
認証システム100は、認証サーバ101と、記憶装置102とを備えている。また、本実施形態の全体構成として、認証システム100は、ユーザ端末103及びクライアント装置104とネットワーク105を介して接続される。認証サーバ101、ユーザ端末103、クライアント装置104は、ネットワーク105を介して互いに通信が可能である。ここで、クライアント装置とは、サービスが保有するリソースを保有する、アプリケーションが動作するサーバ装置やモバイル端末などである。クライアント装置104は、複数であればその数は限定しない。本実施形態では、クライアント装置104として、4つのクライアント装置が存在する例を示す。すなわち、クライアント装置104は、サービスA、サービスB、サービスC、サービスDをそれぞれ提供するクライアント装置A、クライアント装置B、クライアント装置C、クライアント装置Dを含む。ネットワーク105は、LAN等の同一のネットワークとして接続されていてもよいし、インターネット等の外部ネットワークとして接続されていてもよいし、それらの混合であってもよい。
本実施形態における認証システム100では、記憶装置102に、クライアント装置A、B、C、Dで管理していたユーザの認証情報を一元化し、各サービスA、B、C、Dをユーザが利用するときのユーザ認証を認証サーバ101で行う。特に、認証情報を一元化した際に、ユーザ認証を新たな認証サーバ101に移行させるものである。
<認証サーバのハードウェア構成>
次に、本実施形態に係る認証システム100を構成する、認証サーバ101のハードウェア構成例について、図2のブロック図を用いて説明する。認証サーバ101は、ハードウェアとして、CPU201、RAM202、ROM203、ネットワークI/F204、表示装置205、入力装置206、バス207を備える。
次に、本実施形態に係る認証システム100を構成する、認証サーバ101のハードウェア構成例について、図2のブロック図を用いて説明する。認証サーバ101は、ハードウェアとして、CPU201、RAM202、ROM203、ネットワークI/F204、表示装置205、入力装置206、バス207を備える。
CPU201は、認証サーバ101を構成する各部の動作制御を行うとともに、認証サーバ101が行うものとして後述する各種の処理を実行する主体となる。RAM202は、データや制御情報を一時的に格納するメモリであり、CPU201が各種の処理を実行する際に用いるワークエリアとなる。ROM203には、認証サーバ101の固定の動作パラメータや動作プログラム等が格納される。
ネットワークI/F204は、ネットワーク105に接続して通信するための機能を提供するものである。認証サーバ101は、このネットワークI/F204によって、外部装置とデータの送受信を行うことができる。表示装置205は、例えば、LCD(Liquid Crystal Display)などであり、ユーザに必要な情報を表示する。入力装置206は、例えば、キーボードやマウス、タッチパネルなどであり、ユーザから必要な入力を受け付ける。
<認証システムの機能構成>
次に、本実施形態に係る認証システムの機能構成例について、図3のブロック図を用いて説明する。
次に、本実施形態に係る認証システムの機能構成例について、図3のブロック図を用いて説明する。
認証サーバ101は、認証部301、認証移行判定部304、優先度決定部305、及び認証移行実行部306を備えており、ユーザの認証情報を一元管理して認証移行を実行するための情報処理装置として機能する。認証部301は、認証情報検証部302及び認証トークン発行部303を備える。記憶装置102は、ユーザ情報格納部307、クライアント情報格納部308、及び認証移行情報格納部309を備える。
まず、記憶装置102の詳細から説明する。ユーザ情報格納部307には、ユーザを認証するための認証情報やユーザの国籍や使用言語などのユーザ情報が格納されている。
ユーザ情報格納部307に格納されているユーザ情報の一例を、図4のユーザ情報管理テーブル400に示す。ユーザID401は、ユーザを一意に識別するIDであり、パスワード402は、ユーザが本人であることを検証するための文字列である。ここでは、ユーザを認証するための認証情報として、パスワード402を用いているが、他の認証情報を用いてもよい。
認証移行フラグ403は、ユーザが認証移行を完了したか否かを示す情報である。特に、ここでの認証移行は、認証情報を一元化することと、ユーザ認証を新たな認証サーバ101に移行させることを示す。また、認証移行フラグ403が「移行済み」でないユーザは、パスワード402を保有していない。図4においては、パスワード402を保有していないことが「パスワード=Null」で示されている。
国情報404は、ユーザの国情報である。user001及びuser003は、同一の国AAに属しており、user002は国BB、user004は国CCに属している。
クライアント情報格納部308には、サービスを提供するクライアントの情報が格納されている。クライアント情報格納部308に格納されているクライアント情報の一例を、図5のクライアント情報管理テーブル500に示す。クライアントID501は、クライアントを一意に識別するIDである。クライアントID501に関連付けて、認証情報利用許可フラグ502が格納されている。認証情報利用許可フラグ502は、ユーザ認証を行う際の認証情報の検証において、クライアントが提供するサービスでユーザが以前利用していた認証情報を利用するか否かを示す利用可否情報である。認証情報利用許可フラグ502は、クライアントA~クライアントDについては「許可」、クライアントEについては「禁止」となっている。
対象国503は、クライアントがサービスを提供する対象となる国情報である。クライアントAは、国AAをサービス提供の対象国としている。クライアントBは、国AA、BB、CCをサービス提供の対象国としている。同様に、クライアントCは、国BBをサービス提供の対象国としている。クライアントDは、国AAをサービス提供の対象国としている。クライアントEは、国CCをサービス提供の対象国としている。
認証移行情報格納部309には、認証移行情報が格納されている。認証移行情報格納部309に格納されている認証移行情報の一例を、図6の認証情報管理テーブル600に示す。ユーザID601およびクライアントID602に関連付けて、パスワード603が格納されている。ここでのパスワード603は、ユーザIDに対応するユーザがクライアントID602に対応するクライアントが提供するサービスで以前使用していたパスワードである。
続いて、認証サーバ101の詳細を説明する。認証情報検証部302は、ユーザ端末103から特定のクライアントに対して送信された送信認証情報を取得し、ユーザ情報格納部307または認証移行情報格納部309の情報と照会して検証する。認証トークン発行部303は、認証情報検証部302で検証が成功した場合、例えばサービスAを利用するための認証トークンを発行する。認証移行判定部304は、ユーザ情報格納部307を参照し、ユーザが既に認証移行済みかどうかを判定する。
優先度決定部305は、認証移行判定部304でユーザの認証移行が済んでいないと判定された場合に、ユーザとクライアントとの関連度を計算する。その後、関連度に基づき、どのサービスの認証情報から検証を処理するかの順序を決定する。認証移行実行部306は、認証情報検証部302で検証が成功した場合に、ユーザ情報格納部307に格納されている認証移行フラグ403の情報を更新する。
<処理シーケンス>
次に、図7のシーケンス図を用いて、ユーザが認証移行する際の処理の流れを説明する。図7は、あるユーザがユーザ端末103を介して、認証情報の一元化後に、最初にクライアント装置A104が提供するサービスAにアクセスする際の処理を例として挙げたものである。ユーザがその他のクライアント装置B、C、Dなどにアクセスした場合でも図7と同様の処理の流れとなる。
次に、図7のシーケンス図を用いて、ユーザが認証移行する際の処理の流れを説明する。図7は、あるユーザがユーザ端末103を介して、認証情報の一元化後に、最初にクライアント装置A104が提供するサービスAにアクセスする際の処理を例として挙げたものである。ユーザがその他のクライアント装置B、C、Dなどにアクセスした場合でも図7と同様の処理の流れとなる。
まず、ユーザはユーザ端末103を介して、クライアント装置A104にアクセスする(ステップS701)。クライアント装置A104は、ユーザ端末103からのアクセスを認証サーバ101へリダイレクトする(ステップ702)。認証サーバ101は、ユーザ端末103からのアクセスを受信すると、ユーザID、パスワードなどの認証情報をユーザ端末103に要求するとともに、認証情報の入力画面を表示させる指示をユーザ端末103へ送信する(ステップS703)。ユーザは、ユーザ端末103により認証情報を入力し、認証サーバ101へ送信する(ステップS704)。このとき、ユーザは以前サービスA、サービスB、サービスC、サービスDで利用していたそれぞれの認証情報のいずれかを入力画面に入力して、認証サーバ101へ送信する。
認証サーバ101は、ユーザ端末103から認証情報を受信した後、記憶装置102を参照して、ユーザの認証移行が完了しているか否かを確認する(ステップS705)。認証移行が完了しているかどうかは、図4に示した認証移行フラグ403を確認することにより判定することができる。アクセスしてきたユーザは、ユーザ端末103が送信したユーザIDから識別する。ここでのユーザIDは、メールアドレスなどの文字列であってもよい。
ステップS705において、認証移行が済んでいないと判定された場合、認証サーバ101は、記憶装置102を参照して認証情報の検証処理を行う(ステップS706)。認証情報の検証処理の流れについては図8を参照して後述する。
認証情報の検証が成功すると、認証サーバ101は、サービスAを利用するための認証トークンを発行し、ユーザ端末103へ、発行した認証トークンと、認証移行の確認をユーザに促す確認画面を表示させる指示とを送信する(ステップS707)。ユーザ端末103に表示する情報は、例えば、認証移行するユーザの氏名、国、使用言語情報などを含むプロフィール情報である。ユーザは、ユーザ端末103に表示された確認画面を見て、情報の確認後、認証サーバ101に確認完了の応答を送信する(ステップS708)。認証サーバ101は、ユーザ端末103からユーザの認証移行情報の確認完了応答を受信すると、記憶装置102にアクセスし、ユーザに紐付く認証移行フラグ403の情報を更新する(ステップS709)。
本実施形態では、移行完了後にユーザが認証に利用するパスワードなどの認証情報、すなわち移行後の新認証情報は、ステップS703で入力されてステップS706の認証情報の検証で検証成功した認証情報となる。そのため、認証移行情報格納部309に格納されていた各サービスA、サービスB、サービスC、サービスDの旧認証情報は、不要となるため削除してもよい。このとき、ユーザ情報格納部307のパスワード402に新認証情報を書き込む(ステップS710)。すなわち、移行情報フラグ403が「未」から「移行済み」に更新される際に、パスワード402が「Null」から新認証情報の値に更新される。
例えば、ユーザがステップS703で、認証情報として、「ユーザID"user003"、パスワード"ccc"」を入力したとする。クライアントID"clinetA"であるサービスAのパスワード"ccc"で検証に成功した場合、パスワード"ccc"をユーザID"user003"の新認証情報として図4のパスワード402に保存する。よって、図6のユーザID601に格納されている、ユーザID"user003"に対する認証移行用のパスワードのうち、「クライアントID"clientB"用のパスワード"ddd"」「クライアントID"clientC"用のパスワード"eee"」「クライアントID"clientD"用のパスワード"fff"」は不要となるため、削除することができる。
最後に、認証サーバ101は、ユーザ端末103をクライアント装置A104にリダイレクトさせる。これにより、ユーザ端末103はサービスAを利用することができる(ステップS711)。
<処理>
次に、図8を用いて、本実施形態に係る認証サーバ101が行う認証情報の検証処理について説明する。
次に、図8を用いて、本実施形態に係る認証サーバ101が行う認証情報の検証処理について説明する。
まず、認証情報検証部302は、ユーザから受信した認証情報の検証にどのクライアントの旧認証情報を利用できるかを決定する(ステップS801:対象決定)。認証情報検証部302は、認証移行管理テーブル600を参照して、アクセスしてきたユーザのユーザIDから、ユーザに紐づくクライアントを判定する。更に、それらクライアントの旧認証情報が検証に利用可能かどうかは、クライアント管理テーブル500の認証情報許可利用フラグ502に基づいて判定する。このとき、ユーザがアクセスしたクライアントは、認証情報利用許可フラグ502の情報に関わらず、認証情報の検証対象としてもよい。
次に、優先度決定部305は、ステップS801で決定された検証対象クライアントをどの順番で検証するかどうかを決定するために、ユーザとの関連度に基づいて検証の優先度を決定する(ステップS802)。優先度の決定の流れについては、後述する。
ステップS803からステップS807までの処理は、1つのクライアントごとの検証を示す。まず、認証情報検証部302は、ステップS801で決定された全てのクライアントについて検証が完了しているか否かを判定する(ステップS803)。完了していないと判定された場合、認証情報検証部302は、検証が済んでおらず且つ次に優先度が高いクライアントについて検証を行う(ステップS804)。その際、認証情報検証部302は、ユーザから受信した認証情報と検証対象のクライアントの旧認証情報とが一致しているか否かを判定する(ステップS805)。認証情報が一致した場合は、検証が成功となる(ステップS806)。一方、認証情報が一致しない場合は、ステップS803に戻る。
ステップS803で全ての対象クライアントとの検証が終了したと判定された場合は、検証が失敗となる(ステップS807)。
このように、本実施形態に係る認証情報の検証処理では、ユーザがアクセスしてきたサービスの旧認証情報との検証だけでなく、複数のサービスの旧認証情報との検証を行う。
[優先度決定処理]
次に、本実施形態に係る認証サーバ101が行う優先度の決定処理ステップS802の詳細を、図9を用いて説明する。本実施形態では、認証情報を検証するクライアントの優先度の決定処理に、ユーザとクライアントの国情報を利用する例を示す。本実施形態では、ユーザ情報格納部307にユーザの国情報404を格納しており、クライアント情報格納部308にクライアントが提供するサービスが展開されている対象の国情報503を格納している。
次に、本実施形態に係る認証サーバ101が行う優先度の決定処理ステップS802の詳細を、図9を用いて説明する。本実施形態では、認証情報を検証するクライアントの優先度の決定処理に、ユーザとクライアントの国情報を利用する例を示す。本実施形態では、ユーザ情報格納部307にユーザの国情報404を格納しており、クライアント情報格納部308にクライアントが提供するサービスが展開されている対象の国情報503を格納している。
このとき、ユーザやクライアントの国情報は、別の格納部を設けてそこに格納するようにしてもよい。また、クライアントの対象国は、複数であってもよい。またクライアント情報として国情報を格納せず、別の情報から国情報を抽出してもよい。例えばクライアントの登録者情報から対象とする国情報を抽出するようにしてもよい。
図9において、まず、認証サーバ101の優先度決定部305は、ユーザ情報格納部307を参照して、サービスにアクセスしてきたユーザの国情報を取得する(ステップS901)。その後、全ての対象クライアントに対して関連度が決定するまで、テップS903からS905の処理を繰り返す(ステップS902)。すなわち、全ての対象クライアントの関連度が決定されているか否かを判定する。決定されている場合、ステップS906へ進む。一方、決定されていない場合、ステップS903へ進む。
優先度決定部305は、それぞれの対象クライアントに対して、クライアント情報格納部308を参照して、クライアントの対象国を取得する(ステップS903)。次に、クライアントの対象国に、ユーザの国が含まれているかを判定する(ステップS904)。
優先度決定部305は、含まれているか否かに関わらず、判定結果に基づいて、クライアントの対象国の数から関連度を計算する(ステップS905)。本実施形態では、ステップS904において、含まれていると判定された場合は、関連度は対象国の数に反比例し、含まれていないと判定された場合は、関連度は対象国の数に比例するように計算する。すなわち、含まれている場合は、対象国が多いほど関連度は低いと判定し、含まれていない場合は、対象国が多いほど関連度は高いと判定する。また、対象国が含まれているクライアントは、含まれていないどのクライアントよりも関連度が高いと判定する。
すべての対象クライアントに対して関連度が決定した場合、優先度決定部305は、その関連度に従って検証優先度を決定する(ステップS906)。本実施形態では、検証優先度として、まずユーザがアクセスしてきたサービスを提供するクライアントを最も高い優先度とする。次に、ステップS905で決定した関連度が高い順に、優先度を割り振ることにより、検証優先度を決定する。
以下に、ユーザID"user003"であるユーザがクライアントID"clientA"であるサービスAにアクセスし、ユーザから受信した認証情報を検証する場合の優先度決定処理の例を示す。まず、図8のステップS801で、図6に示す認証移行管理テーブル600を参照して、クライアントAの他に"user003"に紐づくクライアントを判定する。ここでは、クライアントB~クライアントDが"user003"に紐づくクライアントである。そして、これらのクライアントの旧認証情報を検証に利用可能などうかを、図5のクライアント管理テーブル500の認証情報利用許可フラグ502を参照して判定する。旧認証情報を利用できるクライアントとして、クライアント管理テーブル500の認証情報利用許可フラグ502が「許可」であるクライアントが取得される。すなわち、クライアントIDが"clientB"、"clientC"、"clientD"のクライアントが取得される。
続いて、ステップS802の優先度決定処理として、まずステップS901で、ユーザ管理テーブル400を参照してユーザID"user003"に対応する国情報"AA"を取得する。そして、ステップS902でNoを経て、ステップS903において、ステップS801で判定された"user003"に紐づくクライアントA以外のクライアント(クライアントB、クライアントC、クライアントD)の国情報を、図5のクライアント管理テーブルを参照して取得する。すなわち、clinetIDが"clientB"、"clientC"、"clientD"であるクライアントの対象国を、図5の対象国503から取得する。それぞれの対象国は、「clientB:AA、BB、CC」「clientC:BB」「clientD:AA」となる。
次に、ステップS904で、クライアントの対象国にユーザの国情報「AA」が含まれているか判定する。ここでは、クライアントID「clientB」、「clientD」のクライアントの対象国にユーザの国情報「AA」が含まれている。そして、ステップS905で、クライアントの対象国の数から関連度を決定する。対象国の数はそれぞれ「clientB:3つ」「clientC:1つ」「clientD:1つ」である。その結果、ここでは、クライアントB、クライアントDは、クライアントの対象国にユーザの国が含まれているので、関連度は対象国の数に反比例するように決定し、対象国の数がより少ないクライアントDの関連度をクライアントBの関連度よりも高いと判定する。また、対象国が含まれているクライアントは、含まれていないどのクライアントよりも関連度が高いと判定するため、クライアントB、クライアントDの関連度はクライアントCよりも高いと判定する。以上より、クライアントB~Dの関連度は、クライアントD>クライアントB>クライアントCの順に決定されることになる。
最後に、ステップS906で、ユーザがアクセスしたクライアント装置AのクライアントID"clientA"が最も高い優先度であると判定されるため、検証優先度はクライアントIDが"clientA"、"clientD"、"clientB"、"clientC"の順に高いと判定されることになる。
このように、本実施形態に係る認証情報の検証優先度決定処理では、ユーザの国情報およびクライアントの国情報を利用して、検証優先度を決定する。その際、対象国にユーザの属する国が含まれているクライアントが複数存在する場合、当該複数のクライアントについては対象国の数が多いクライアントほど優先度を低く決定する。また、対象国にユーザの属する国が含まれていないクライアントが複数存在する場合、当該複数のクライアントについては対象国の数が多いクライアントほど優先度を高く決定する。
以上説明したように、本実施形態によれば、認証情報の一元化後に、初めてユーザからクライアント装置A104にアクセスがあったとき、ユーザは以前サービスAで使用していた認証情報だけでなく、サービスB、サービスCで利用していた認証情報を用いてもユーザ認証および認証移行を行うことが可能となる。そのため、ユーザの認証情報管理コストを削減し、ユーザの利便性を向上させた上で認証移行を行うことが可能となる。また、本実施形態によれば、利用する認証情報を限定し、優先度に沿って認証情報の検証を行うため、サーバ負荷を軽減させることができる。
このように、本実施形態によれば、ユーザは認証情報の移行後に初めてサービスを利用する際のユーザ認証に、ユーザが以前利用していた複数のサービスの旧認証情報を利用できる。これにより、ユーザの利便性を高めることが可能となる。
加えて、認証情報の検証の順序を優先度に基づいて行うことを可能にすることで、認証情報の検証処理によるサーバ負荷を軽減させ、ユーザへのレスポンス速度を向上させた上で、認証および認証移行を行うことができる。
(実施形態2)
実施形態1では、認証情報を検証するクライアントの検証優先度の決定処理に、ユーザとクライアントが持つ国情報を利用する例を示した。本実施形態では、認証情報を検証するクライアントの検証優先度の決定処理に、ユーザが以前利用していた各サービスの最終利用日時を利用する例を示す。
実施形態1では、認証情報を検証するクライアントの検証優先度の決定処理に、ユーザとクライアントが持つ国情報を利用する例を示した。本実施形態では、認証情報を検証するクライアントの検証優先度の決定処理に、ユーザが以前利用していた各サービスの最終利用日時を利用する例を示す。
本実施形態に係る認証サーバ100の認証移行情報格納部309に格納されているサービスの最終利用日時を、図11の最終利用日時1101に示す。ユーザID及びクライアントIDと関連付けて、最終利用日時が格納されている。最終利用日時の値の形式は特に限定しない。その他の項目内容は、実施形態1において図6で説明した項目内容と同様である。
なお、システム構成、ソフトウェア構成などは、実施形態1と同じであるため詳細な説明は省略する。
続いて、本実施形態に係る認証サーバ101で行われる認証情報を検証するクライアントの優先度の決定処理について、図10を用いて説明する。図10の処理は図8のステップS802の詳細処理である。
認証サーバ101は、認証移行情報格納部309を参照し、アクセスしてきたユーザに紐付く全てのクライアントの最終利用日時を取得する(ステップS1001)。次に、本実施形態では、検証優先度として、まずユーザがアクセスしてきたサービスを提供するクライアントを最も高い優先度とする。次に、ステップS1001で取得した最終利用日時が新しい順に、高い優先度を割り振ることにより、検証優先度を決定する。
このように、本実施形態に係る検証優先度の決定処理では、ユーザが以前利用していた各サービスの最終利用日時を利用する。そのため、ユーザのサービス利用頻度を考慮したうえで、認証情報の検証処理を行うことができる。
以上、実施形態を詳述したが、本発明は例えば、システム、装置、方法、プログラム若しくは記録媒体(記憶媒体)等としての実施態様をとることが可能である。具体的には、複数の機器(例えば、ホストコンピュータ、インタフェース機器、撮像装置、Webアプリケーション等)から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
また、上記実施形態においては、認証情報を検証するクライアントの検証優先度の決定処理(ステップS802)において、国情報や、クライアントのサービス利用頻度を利用する場合について説明した。しかしながら、優先度の決定に利用する情報はこれらに限定されない。例えば、ユーザの「接続元IPアドレス」や「言語情報」からクライアントとの関連度を決定してもよい。例えば、ユーザの接続元IPアドレスが同じであるクライアントの優先度を、そうでないクライアントの優先度よりも高く決定してもよい。或いは、ユーザの使用言語が同一のクライアントの優先度を、そうでないクライアントの優先度よりも高く決定してもよい。
(その他の実施形態)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
発明は上記実施形態に制限されるものではなく、発明の精神及び範囲から離脱することなく、様々な変更及び変形が可能である。従って、発明の範囲を公にするために請求項を添付する。
101:認証サーバ、302:認証情報検証部、305:優先度決定部、307:ユーザ情報格納部、308:サービス情報格納部、309:認証移行情報格納部
Claims (14)
- ユーザの認証情報を一元管理して認証移行を実行する情報処理システムであって、
クライアントが提供するサービスで前記ユーザが使用していた旧認証情報と、前記ユーザの認証移行が完了しているか否かを示す移行情報とを格納する格納手段と、
前記ユーザが特定のクライアントへ送信した送信認証情報を取得する取得手段と、
前記ユーザの認証移行が完了していない場合、前記送信認証情報の検証のために、前記ユーザと関連付けられており且つ前記旧認証情報を利用できる1以上のクライアントを検証対象として決定する対象決定手段と、
前記検証対象について検証の順序を示す優先度を決定する優先度決定手段と、
前記優先度に従った順序で、前記送信認証情報と前記旧認証情報とが一致するか否かを判定することにより検証を行う検証手段と、
前記検証が成功した場合に前記移行情報を更新する更新手段と、
を備えることを特徴とする情報処理システム。 - 前記優先度決定手段は、前記送信認証情報を送信した前記ユーザが属する国情報と、前記検証対象である各クライアントがサービスを提供する対象国の国情報とに基づいて、前記優先度を決定することを特徴とする請求項1に記載の情報処理システム。
- 前記優先度決定手段は、各クライアントの前記対象国に前記ユーザの属する国が含まれているかどうかと、各クライアントの前記対象国の数とに基づいて、前記優先度を決定することを特徴とする請求項2に記載の情報処理システム。
- 前記優先度決定手段は、前記対象国に前記ユーザの属する国が含まれているクライアントの優先度を、前記対象国に前記ユーザの属する国が含まれていないクライアントの優先度よりも高くすることを特徴とする請求項3に記載の情報処理システム。
- 前記優先度決定手段は、前記対象国に前記ユーザの属する国が含まれているクライアントが複数存在する場合、当該複数のクライアントについては前記対象国の数が多いクライアントほど前記優先度を低く決定することを特徴とする請求項3又は4に記載の情報処理システム。
- 前記優先度決定手段は、前記対象国に前記ユーザの属する国が含まれていないクライアントが複数存在する場合、当該複数のクライアントについては前記対象国の数が多いクライアントほど前記優先度を高く決定することを特徴とする請求項3乃至5の何れか1項に記載の情報処理システム。
- 前記優先度決定手段は、前記送信認証情報を送信した前記ユーザと関連付けられた1以上のクライアントが提供するサービスの各々の最終利用日時の情報に基づいて、前記優先度を決定することを特徴とする請求項1に記載の情報処理システム。
- 前記優先度決定手段は、前記送信認証情報を送信した前記ユーザの接続元IPアドレス又は使用言語に基づいて、前記優先度を決定することを特徴とする請求項1に記載の情報処理システム。
- 前記優先度決定手段は、前記ユーザが前記送信認証情報を送信した前記特定のクライアントの優先度を最も高く決定することを特徴とする請求項1乃至8の何れか1項に記載の情報処理システム。
- 前記格納手段は、前記旧認証情報をユーザ認証に利用することの可否を示す利用可否情報をさらに格納しており、
前記対象決定手段は、前記利用可否情報に基づいて前記検証対象を決定することを特徴とする請求項1乃至9の何れか1項に記載の情報処理システム。 - 複数のサービスの認証情報が前記情報処理システムにより一元管理された後、前記ユーザが最初に前記送信認証情報を送信した際に、前記認証移行が実行されることを特徴とする請求項1乃至10の何れか1項に記載の情報処理システム。
- ユーザの認証情報を一元管理して認証移行を実行する情報処理装置であって、
前記ユーザが特定のクライアントへ送信した送信認証情報を取得する取得手段と、
前記認証移行が完了していない場合、前記送信認証情報の検証のために、前記ユーザと関連付けられている1以上のクライアントであって且つ前記ユーザが使用していた旧認証情報を利用できる1以上のクライアントを検証対象として決定する対象決定手段と、
前記検証対象について検証の順序を示す優先度を決定する優先度決定手段と、
前記優先度に従った順序で、前記送信認証情報と前記旧認証情報とが一致するか否かを判定することにより検証を行う検証手段と、
前記検証が成功した場合に、前記ユーザの認証移行が完了しているか否かを示す移行情報を更新する更新手段と、
を備えることを特徴とする情報処理装置。 - ユーザの認証情報を一元管理して認証移行を実行する情報処理装置の制御方法であって、
前記ユーザが特定のクライアントへ送信した送信認証情報を取得する取得工程と、
前記認証移行が完了していない場合、前記送信認証情報の検証のために、前記ユーザと関連付けられている1以上のクライアントであって且つ前記ユーザが使用していた旧認証情報を利用できる1以上のクライアントを検証対象として決定する対象決定工程と、
前記検証対象について検証の順序を示す優先度を決定する優先度決定工程と、
前記優先度に従った順序で、前記送信認証情報と前記旧認証情報とが一致するか否かを判定することにより検証を行う検証工程と、
前記検証が成功した場合に、前記ユーザの認証移行が完了しているか否かを示す移行情報を更新する更新工程と、
を有することを特徴とする情報処理装置の制御方法。 - 請求項13に記載の情報処理装置の制御方法をコンピュータに実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019071509A JP7222792B2 (ja) | 2019-04-03 | 2019-04-03 | 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019071509A JP7222792B2 (ja) | 2019-04-03 | 2019-04-03 | 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020170352A JP2020170352A (ja) | 2020-10-15 |
| JP7222792B2 true JP7222792B2 (ja) | 2023-02-15 |
Family
ID=72746180
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019071509A Active JP7222792B2 (ja) | 2019-04-03 | 2019-04-03 | 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7222792B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005101220A1 (ja) | 2004-03-30 | 2005-10-27 | Ibm Japan, Ltd. | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
| JP2011164686A (ja) | 2010-02-04 | 2011-08-25 | Ricoh Co Ltd | 情報処理装置、画像処理装置、ログインの認証方法、プログラム及び記録媒体 |
| JP2011197791A (ja) | 2010-03-17 | 2011-10-06 | Fuji Xerox Co Ltd | 管理サーバ用プログラム及び管理サーバ装置 |
| JP2012137932A (ja) | 2010-12-27 | 2012-07-19 | Nippon Telegraph & Telephone East Corp | 認証移行システム、認証移行方法及び認証移行装置 |
| JP2018165894A (ja) | 2017-03-28 | 2018-10-25 | 日本電気株式会社 | 認証装置、認証方法およびプログラム |
-
2019
- 2019-04-03 JP JP2019071509A patent/JP7222792B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005101220A1 (ja) | 2004-03-30 | 2005-10-27 | Ibm Japan, Ltd. | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
| JP2011164686A (ja) | 2010-02-04 | 2011-08-25 | Ricoh Co Ltd | 情報処理装置、画像処理装置、ログインの認証方法、プログラム及び記録媒体 |
| JP2011197791A (ja) | 2010-03-17 | 2011-10-06 | Fuji Xerox Co Ltd | 管理サーバ用プログラム及び管理サーバ装置 |
| JP2012137932A (ja) | 2010-12-27 | 2012-07-19 | Nippon Telegraph & Telephone East Corp | 認証移行システム、認証移行方法及び認証移行装置 |
| JP2018165894A (ja) | 2017-03-28 | 2018-10-25 | 日本電気株式会社 | 認証装置、認証方法およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020170352A (ja) | 2020-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11489671B2 (en) | Serverless connected app design | |
| US10880287B2 (en) | Out of box experience application API integration | |
| CA3087858C (en) | Authentication and authorization using tokens with action identification | |
| JP6467869B2 (ja) | 情報処理システム及び情報処理方法 | |
| US8789152B2 (en) | Method for managing authentication procedures for a user | |
| US9684505B2 (en) | Development environment system, development environment apparatus, development environment providing method, and program | |
| US8955041B2 (en) | Authentication collaboration system, ID provider device, and program | |
| US10511593B2 (en) | Cross cloud application access | |
| JP6675163B2 (ja) | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム | |
| US20190028461A1 (en) | Privacy-aware id gateway | |
| US10469479B2 (en) | Cross cloud tenant discovery | |
| CN104205723A (zh) | 用于透明地主存在云中的组织的身份服务 | |
| CN110546979B (zh) | 在服务与应用之间的多级分布式访问控制 | |
| JP2013137588A (ja) | 認証連携システムおよびidプロバイダ装置 | |
| US10291620B2 (en) | Information processing apparatus, terminal apparatus, program, and information processing system for collaborative use of authentication information between shared services | |
| JPWO2016092630A1 (ja) | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム | |
| JP2012243027A (ja) | 情報処理システム、その情報処理システムを制御する制御方法、およびそのプログラム。 | |
| JP2016009466A (ja) | Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラム | |
| JP7222792B2 (ja) | 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム | |
| US11546438B2 (en) | Serving assets in a networked environment | |
| US11184431B2 (en) | System and control method | |
| JP2018041347A (ja) | 認証システム | |
| WO2014188743A1 (ja) | アクセス制御装置及びアクセス制御方法及びプログラム | |
| JP6415155B2 (ja) | サーバシステム、方法、およびそのプログラム | |
| CN114513526B (zh) | 一种跨链访问数据的方法、系统以及第一区块链 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7421 Effective date: 20210103 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210113 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220329 |
|
| TRDD | Decision of grant or rejection written | ||
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221227 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230203 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7222792 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |