JP7230414B2 - 情報処理システムおよびプログラム - Google Patents
情報処理システムおよびプログラム Download PDFInfo
- Publication number
- JP7230414B2 JP7230414B2 JP2018190960A JP2018190960A JP7230414B2 JP 7230414 B2 JP7230414 B2 JP 7230414B2 JP 2018190960 A JP2018190960 A JP 2018190960A JP 2018190960 A JP2018190960 A JP 2018190960A JP 7230414 B2 JP7230414 B2 JP 7230414B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- resource
- strength
- providing server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
請求項2に記載の発明は、前記制御手段は、前記認証手段にてユーザが認証を行うための画像を表示することなく、前記他の資源に対するアクセスを許可する請求項1に記載の情報処理システムである。
請求項3に記載の発明は、前記制御手段は、ユーザに認証を要求する際に、前記第2認証強度以上の認証強度を有する前記認証手段にてユーザが認証を行うための特定画像を画面に表示させる請求項1に記載の情報処理システムである。
請求項4に記載の発明は、前記制御手段は、ユーザに認証を要求する際に、認証済みの前記認証手段にてユーザが認証を行うための画像、および前記第2認証強度よりも低い認証強度が設定された前記認証手段にてユーザが認証を行うための画像を画面に表示させない請求項3に記載の情報処理システムである。
請求項5に記載の発明は、前記認証手段の認証強度の情報を、ユーザが前記他の資源にアクセスを行う前に予め取得する取得手段を備え、前記制御手段は、ユーザが前記他の資源にアクセスを行う際に、前記取得手段が取得している前記認証強度の情報を用いて認証の実行を制御する請求項1に記載の情報処理システムである。
請求項6に記載の発明は、コンピュータに、ネットワーク上の一の資源に対してユーザがアクセスする際に認証を行う第1の認証手段にて認証を行ったユーザが、当該一の資源とは異なる他の資源にアクセスする場合に、当該第1の認証手段の第1認証強度、および当該他の資源に対してユーザがアクセスする際に認証を行う第2の認証手段の第2認証強度を特定する機能と、前記第1認証強度が前記第2認証強度以上である場合に、前記他の資源に対する認証を前記ユーザに要求することなく、当該ユーザの前記他の資源に対するアクセスを可能にし、前記第1認証強度が前記第2認証強度よりも低い場合に、前記一の資源および前記他の資源と認証連携している認証手段であって、前記第2認証強度以上の認証強度が設定されている他の認証手段をユーザに提示し、当該他の認証手段による認証をユーザに要求する制御機能と、を実現させるプログラムである。
請求項2の発明によれば、認証を行うための画像を表示する場合と比較して、ユーザの認証に対する手間を省くことが可能になる。
請求項3の発明によれば、他の資源に対する認証強度の設定を保ちつつ、他の資源にアクセスするユーザの利便性を向上させることができる。
請求項4の発明によれば、ユーザが認証を行う必要のない認証手段による認証をユーザが行うことを抑制できる。
請求項5の発明によれば、ユーザが他の資源に対してアクセスを行ってから認証手段の認証強度の取得を行う場合と比較して、ユーザの認証の実行に関する処理を速く行うことができる。
<情報処理システム1の全体構成>
図1は、本実施形態の情報処理システム1の全体構成を示す図である。
資源提供サーバ10には、所謂サービス・プロバイダを例示できる。サービス・プロバイダとは、ネットワークを介してサービス(Webサービスやクラウド・サービス)を提供するサーバである。資源提供サーバ10により提供される資源としてのサービスは、例えば、ネットワーク40を介して利用されるアプリケーション・プログラム(Webアプリケーション)や、さらにバックエンドに置かれたアプリケーション・プログラムを用いた処理により実現される。また、資源提供サーバ10により提供されるサービスには、ストレージやプロセッサ等のハードウェア資源の提供やソフトウェア自体(ソフトウェア・パッケージ)の提供等も含む。
ログイン認証とは、資源提供サーバ10の資源を利用するために、予め設定されたアカウント情報であるユーザ情報およびパスワード情報とを用いて、ユーザを認証するための操作である。そして、ユーザがログイン認証に成功することで、資源提供サーバ10にログインしたログイン状態となり、その資源提供サーバ10の資源に対するユーザのアクセスが可能になる。
クライアント端末20は、例えば、パーソナル・コンピュータ、タブレット端末やスマートフォン等の携帯型情報端末、その他、ネットワーク40上の資源を利用し得る情報端末である。なお、ネットワーク40上の資源の利用には、資源提供サーバ10により提供されるサービス、ハードウェア資源、ソフトウェア・パッケージを利用することの他、ネットワーク40を介して他の端末装置や画像形成装置等の情報機器の機能を利用することも含まれる。
認証連携サーバ30は、それぞれ異なるサービスを提供する複数の資源提供サーバ10の間でログイン認証を連携させる所謂フェデレーションを実現する。すなわち、認証連携サーバ30は、複数の資源提供サーバ10の認証情報を共有することで、例えば一の資源提供サーバ10に対する一度のログイン認証で、他の複数の資源提供サーバ10の資源の利用を可能にする。つまり、本実施形態の認証連携サーバ30は、フェデレーションを用いたSSO(Single Sign On)を実現する。
そして、本実施形態においては、セキュリティポリシーは、ユーザがサービス単位にアクセスする際、ユーザのログイン認証におけるパスワードの認証強度を設定する。つまり、セキュリティポリシーは、指定された認証強度以上のログイン認証が行われていることを条件として、アクセス要求が行われたサービス単位に対するアクセスを許可することを指定する。なお、本実施形態において、セキュリティポリシーが要求するログイン認証のパスワードの認証強度のことを、「要求認証強度」と呼ぶ。
図2は、資源提供サーバ10、クライアント端末20および認証連携サーバ30を実現するコンピュータのハードウェア構成例を示す図である。
図2に示すように、コンピュータ200は、演算手段であるCPU(Central Processing Unit)201と、記憶手段である主記憶装置(メイン・メモリ)202および外部記憶装置203を備える。CPU201は、外部記憶装置203に格納されたプログラムを主記憶装置202に読み込んで実行する。主記憶装置202としては、例えばRAM(Random Access Memory)が用いられる。外部記憶装置203としては、例えば磁気ディスク装置やSSD(Solid State Drive)等が用いられる。また、コンピュータ200は、表示装置(ディスプレイ)210に表示出力を行うための表示機構204と、コンピュータ200の操作者による入力操作が行われる入力デバイス205とを備える。入力デバイス205としては、例えばキーボードやマウス等が用いられる。また、コンピュータ200は、ネットワーク40に接続するためのネットワーク・インターフェイス206を備える。
なお、本実施形態の情報処理システム1における一連の動作を資源提供サーバ10、クライアント端末20および認証連携サーバ30にてそれぞれ実現させるプログラムは、例えば通信手段により提供することはもちろん、各種の記録媒体に格納して提供しても良い。
図3は、本実施形態の資源提供サーバ10の機能構成を示す図である。
図3に示すように、資源提供サーバ10は、ログイン認証を行うログイン認証部11と、パスワードポリシーを設定するパスワードポリシー設定部12と、セキュリティポリシーを設定するセキュリティポリシー管理部13と、を備える。また、資源提供サーバ10は、アプリケーションを実行するアプリケーション実行部14と、ユーザのアクセス情報を送信するアクセス情報送信部15と、他の装置との間で通信を行う送受信制御部16とを備える。
なお、アプリケーション実行部14および送受信制御部16の機能は、例えば、図2に示したコンピュータ200において、CPU201がプログラムを実行することにより実現される。
なお、認証強度のレベルは、これら3段階に限定されず、例えば10段階に設定されていても良い。
本実施形態において、第1資源提供サーバ10Aのパスワードポリシー設定部12は、パスワードの認証強度を「高」に設定している。第2資源提供サーバ10Bのパスワードポリシー設定部12は、パスワードの認証強度を「中」に設定している。第3資源提供サーバ10Cのパスワードポリシー設定部12は、パスワードの認証強度を「高」に設定している。第4資源提供サーバ10Dのパスワードポリシー設定部12は、パスワードの認証強度を「低」に設定している。
例えば、高いセキュリティを要求するページとしては、ある組織におけるシステム管理者が管理下のユーザのアクセス権等の設定を行うための設定画面のページや、商品等の購入サイトにおける決済画面のページなど、操作を行うユーザの個人認証が特に必要なページを例示できる。高いセキュリティを要求するページは、セキュリティゾーンと呼ばれる場合がある。
一方で、低いセキュリティでも良いWebページとしては、秘密性の低い情報が表示される画面など、閲覧するユーザが特に制限されないページを例示できる。低いセキュリティでも良いページは、セキュリティゾーンに対して、グリーンゾーンと呼ばれる場合がある。
このように、セキュリティポリシー管理部13は、ページのセキュリティレベルに応じて、ページにアクセスする際に条件とするログイン認証の認証強度のレベルを設定する。
そのため、本実施形態では、一の資源提供サーバ10のパスワードポリシー設定部12は、一の資源提供サーバ10のセキュリティポリシー管理部13が指定するログイン認証の認証強度のうち最も高い認証強度以上になるように、パスワードの認証強度を設定する。すなわち、本実施形態において、一の資源提供サーバ10に設定されるパスワードポリシーとしてのパスワードの認証強度は、一の資源提供サーバ10が提供するサービスに設定される要求認証強度に対応する。そして、一の資源提供サーバ10に設定されるパスワードの認証強度は、一の資源提供サーバ10が提供するサービスのセキュリティが高いほど上昇し、低いほど低下する。
図4は、本実施形態のクライアント端末20の機能構成を示す図である。
図4に示すように、クライアント端末20は、操作画面表示部21と、操作受付部22と、送受信制御部23とを備える。操作画面表示部21、操作受付部22および送受信制御部23の機能は、例えば、図2に示したコンピュータ200において、CPU201がプログラムを実行することにより実現される。
図5は、本実施形態の認証連携サーバ30の機能構成を示す図である。
図6は、本実施形態の認証連携サーバ管理テーブル301の一例の図である。
ログイン特定部32は、ユーザが第1資源提供サーバ10Aに対してログインをしている場合、第1資源提供サーバ10Aからユーザのログイン状態情報を取得する。そして、ログイン特定部32は、ユーザが第1資源提供サーバ10Aにログインしていることを特定する。なお、ユーザが複数の資源提供サーバ10にログインしている場合がある。この場合においても、ログイン特定部32は、ユーザがログインしている複数の資源提供サーバ10を特定する。
そして、アクセス情報取得部34は、取得したアクセス情報を、セキュリティポリシー取得部35およびログイン認証制御部36に送る。
ログイン認証制御部36は、ユーザが既にログインしている資源提供サーバ10のログイン認証のパスワードポリシー情報を取得する。つまり、ログイン認証制御部36は、ユーザが既にログイン認証したパスワードの認証強度の情報を取得する。また、ログイン認証制御部36は、ユーザが要求するアクセス先のサービス単位に設定される要求認証強度の情報をセキュリティポリシー取得部35から取得する。
図6に示すように、本実施形態の認証連携サーバ30は、認証連携サーバ管理テーブル301を管理する。
認証連携サーバ管理テーブル301では、サーバID、名称、認証連携サーバID、パスワードポリシーが、それぞれ紐付けられている。
サーバIDは、資源提供サーバ10を特定するためのID情報である。名称は、資源提供サーバ10の具体的な名称である。認証連携サーバIDは、一の資源提供サーバ10に対して認証連携している他の資源提供サーバ10を特定するID情報である。本実施形態では、第1資源提供サーバ10A、第2資源提供サーバ10B、第3資源提供サーバ10Cおよび第4資源提供サーバ10Dは、相互に、認証連携している。そのため、例えば、サーバID「Provider001」で特定される第1資源提供サーバ10Aに対して、第2資源提供サーバ10B、第3資源提供サーバ10Cおよび第4資源提供サーバ10Dを特定する認証連携サーバID「Provider002、Provider003、Provider004」が対応付けられている。パスワードポリシーは、各サーバIDに対応するパスワードの認証強度を特定する情報である。
図7は、本実施形態の情報処理システムの動作のフロー図である。
その後、ステップ105に進み、ユーザがアクセス要求をしたサービスを、ユーザのクライアント端末20に対して提供する。
一方、更に他の資源提供サーバ10のサービスに対するアクセス要求がなく、ログインしていた資源提供サーバ10のログアウトが行われることで、一連の処理が終了する。
図8に示す例において、ユーザは、サービスDを提供する第4資源提供サーバ10Dに対してログイン認証済みである。なお、第4資源提供サーバ10Dのログイン認証における認証強度は「低」である。
そして、ユーザが、要求認証強度が「高」であるサービスに対してアクセスを要求する場合を考える。この例では、ユーザが、第3資源提供サーバ10Cが提供するサービスに対してアクセス要求をした場合である。図8(A)に示すように、要求認証強度「高」を満足する資源提供サーバ10は、パスワードの認証強度が「高」に設定されている第1資源提供サーバ10Aおよび第3資源提供サーバ10Cである。
図9は、変形例のログイン選択画像50の説明図である。
図9に示す例では、ユーザのクライアント端末20のログイン選択画像50の構成や条件は、図8を参照しながら説明したものと基本構成は同様である。
そして、図9に示す例では、ユーザに対して、セキュリティポリシーに応じたサービスの利用内容を意識させたログインを促す利用可能サービスを明示する情報の表示を行う。
そして、ログイン選択画像50には、各々の資源提供サーバ10でログイン認証することで、ユーザが、その後に、資源としてのサービスで可能となる利用内容を具体的に例示する利用可能サービス情報53を表示する。
また、パスワードの認証強度が「中」である第2資源提供サーバ10Bのリンク画像51には、「閲覧」および「編集」が利用可能になることを示す内容の利用可能サービス情報53が併せて表示される。
さらに、パスワードの認証強度が「低」である第4資源提供サーバ10Dのリンク画像51には、「閲覧」のみが利用可能になることを示す内容の利用可能サービス情報53が併せて表示される。
Claims (6)
- ネットワーク上の一の資源に対してユーザがアクセスする際に認証を行う第1の認証手段と、
ネットワーク上の前記一の資源とは異なる他の資源に対してユーザがアクセスする際に認証を行う第2の認証手段と、
前記第1の認証手段にて認証を行ったユーザが前記他の資源にアクセスする場合に、当該第1の認証手段の第1認証強度および前記第2の認証手段の第2認証強度を特定する特定手段と、
前記第1認証強度が前記第2認証強度以上である場合に、前記他の資源に対する認証を前記ユーザに要求することなく、当該ユーザの前記他の資源に対するアクセスを可能にし、
前記第1認証強度が前記第2認証強度よりも低い場合に、前記一の資源および前記他の資源と認証連携している認証手段であって、前記第2認証強度以上の認証強度が設定されている他の認証手段をユーザに提示し、当該他の認証手段による認証をユーザに要求する制御手段と、を備える情報処理システム。 - 前記制御手段は、前記認証手段にてユーザが認証を行うための画像を表示することなく、前記他の資源に対するアクセスを許可する請求項1に記載の情報処理システム。
- 前記制御手段は、ユーザに認証を要求する際に、前記第2認証強度以上の認証強度を有する前記認証手段にてユーザが認証を行うための特定画像を画面に表示させる請求項1に記載の情報処理システム。
- 前記制御手段は、ユーザに認証を要求する際に、認証済みの前記認証手段にてユーザが認証を行うための画像、および前記第2認証強度よりも低い認証強度が設定された前記認証手段にてユーザが認証を行うための画像を画面に表示させない請求項3に記載の情報処理システム。
- 前記認証手段の認証強度の情報を、ユーザが前記他の資源にアクセスを行う前に予め取得する取得手段を備え、
前記制御手段は、ユーザが前記他の資源にアクセスを行う際に、前記取得手段が取得している前記認証強度の情報を用いて認証の実行を制御する請求項1に記載の情報処理システム。 - コンピュータに、
ネットワーク上の一の資源に対してユーザがアクセスする際に認証を行う第1の認証手段にて認証を行ったユーザが、当該一の資源とは異なる他の資源にアクセスする場合に、当該第1の認証手段の第1認証強度、および当該他の資源に対してユーザがアクセスする際に認証を行う第2の認証手段の第2認証強度を特定する機能と、
前記第1認証強度が前記第2認証強度以上である場合に、前記他の資源に対する認証を前記ユーザに要求することなく、当該ユーザの前記他の資源に対するアクセスを可能にし、
前記第1認証強度が前記第2認証強度よりも低い場合に、前記一の資源および前記他の資源と認証連携している認証手段であって、前記第2認証強度以上の認証強度が設定されている他の認証手段をユーザに提示し、当該他の認証手段による認証をユーザに要求する制御機能と、を実現させるプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018190960A JP7230414B2 (ja) | 2018-10-09 | 2018-10-09 | 情報処理システムおよびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018190960A JP7230414B2 (ja) | 2018-10-09 | 2018-10-09 | 情報処理システムおよびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020060904A JP2020060904A (ja) | 2020-04-16 |
JP7230414B2 true JP7230414B2 (ja) | 2023-03-01 |
Family
ID=70220802
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018190960A Active JP7230414B2 (ja) | 2018-10-09 | 2018-10-09 | 情報処理システムおよびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7230414B2 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010225078A (ja) | 2009-03-25 | 2010-10-07 | Nec Corp | 認証方法及びその認証システム並びにその認証処理プログラム |
JP2014026348A (ja) | 2012-07-24 | 2014-02-06 | Nippon Telegr & Teleph Corp <Ntt> | 情報流通システム、認証連携方法、装置及びそのプログラム |
-
2018
- 2018-10-09 JP JP2018190960A patent/JP7230414B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010225078A (ja) | 2009-03-25 | 2010-10-07 | Nec Corp | 認証方法及びその認証システム並びにその認証処理プログラム |
JP2014026348A (ja) | 2012-07-24 | 2014-02-06 | Nippon Telegr & Teleph Corp <Ntt> | 情報流通システム、認証連携方法、装置及びそのプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2020060904A (ja) | 2020-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9985962B2 (en) | Authorization server, authentication cooperation system, and storage medium storing program | |
US8468576B2 (en) | System and method for application-integrated information card selection | |
US11128625B2 (en) | Identity management connecting principal identities to alias identities having authorization scopes | |
CN106856475B (zh) | 授权服务器以及认证协作系统 | |
KR101929598B1 (ko) | 운영체제 및 애플리케이션 사이에서 사용자 id의 공유 기법 | |
JP6056384B2 (ja) | システム及びサービス提供装置 | |
EP2109955B1 (en) | Provisioning of digital identity representations | |
US8632003B2 (en) | Multiple persona information cards | |
US20130205360A1 (en) | Protecting user credentials from a computing device | |
US20100251353A1 (en) | User-authorized information card delegation | |
US9461989B2 (en) | Integrating operating systems with content offered by web based entities | |
US11297059B2 (en) | Facilitating user-centric identity management | |
CN106161475B (zh) | 用户鉴权的实现方法和装置 | |
US20150058930A1 (en) | Method and apparatus for enabling authorised users to access computer resources | |
JP2014153805A (ja) | 情報処理システム、情報処理装置、認証方法及びプログラム | |
US11601416B2 (en) | Information processing apparatus, information processing system, and non-transitory computer readable medium | |
US20100095372A1 (en) | Trusted relying party proxy for information card tokens | |
JP2008226015A (ja) | セッション権限管理方法 | |
JP7230414B2 (ja) | 情報処理システムおよびプログラム | |
JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
US20220107996A1 (en) | Information processing apparatus and information processing system | |
JP4837060B2 (ja) | 認証装置及びプログラム | |
Baker | OAuth2 | |
US20240146737A1 (en) | Authentication service for automated distribution and revocation of shared credentials | |
JP6451498B2 (ja) | プログラム、情報処理端末、情報処理方法、及び情報処理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210917 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220628 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220705 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220901 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221220 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221223 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230117 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7230414 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |