JP7238558B2 - 認証仲介装置及び認証仲介プログラム - Google Patents

認証仲介装置及び認証仲介プログラム Download PDF

Info

Publication number
JP7238558B2
JP7238558B2 JP2019073617A JP2019073617A JP7238558B2 JP 7238558 B2 JP7238558 B2 JP 7238558B2 JP 2019073617 A JP2019073617 A JP 2019073617A JP 2019073617 A JP2019073617 A JP 2019073617A JP 7238558 B2 JP7238558 B2 JP 7238558B2
Authority
JP
Japan
Prior art keywords
authentication
requirements
service providing
requirement
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019073617A
Other languages
English (en)
Other versions
JP2020173507A (ja
Inventor
克司 時得
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2019073617A priority Critical patent/JP7238558B2/ja
Priority to US16/587,107 priority patent/US11218479B2/en
Publication of JP2020173507A publication Critical patent/JP2020173507A/ja
Application granted granted Critical
Publication of JP7238558B2 publication Critical patent/JP7238558B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Description

本発明は、認証仲介装置及び認証仲介プログラムに関する。
特許文献1には、サービスデータの送信が許可される対象となるユーザを示すポリシ情報を記憶するポリシ情報記憶部と、認証連携要求を受信した場合に、ユーザ端末のログイン状態に応じたタイミングでポリシ評価処理とアカウント連携処理とを行なう認証連携要求事前処理部とサービスプロバイダ装置から認証連携要求を受信した場合に、当該認証連携要求を認証連携要求事前処理部に転送する認証連携要求転送部と、を備えたIDプロバイダ装置が開示されている。
特許文献2には、クラウドサービスと接続する認証システムであって、ユーザIDが登録された複数の認証基盤サーバと、入力されたユーザIDと一致するユーザIDの登録された認証基盤サーバを特定する情報を、前記クラウドサービスから取得し、前記特定する情報に基づき、前記認証基盤サーバから前記入力されたユーザIDの登録情報を取得するデータ連携サーバとを備えたことを特徴とする認証システムが開示されている。
特開2013-137588号公報 特開2017-4296号公報
従来は1つのシステム内で行われていたサービスの提供及び利用者IDの管理を別個に行う例が多くなっている。また、サービス提供装置とID管理装置との間で認証処理を仲介する認証仲介装置を設け、1つの利用者IDで複数のサービスの提供が受けられるシングルサインオンを可能とする認証連携(フェデレーション)の仕組みが知られている。
しかしながら、認証仲介装置は、サービス提供装置の認証要件と異なる認証要件を有するID管理装置については、認証処理を仲介することはできない。例えばサービス提供装置の認証要件よりも緩い認証要件のID管理装置に認証処理を仲介してしまうと、セキュリティ上の問題が生じる可能性があるためである。
本発明は、サービス提供装置から認証要求があった場合に、サービス提供装置の認証要件を充足するID管理装置に認証処理を仲介することができる認証仲介装置及び認証仲介プログラムを提供することを目的とする。
第1態様に係る認証仲介装置は、サービスを提供するサービス提供装置から認証要求があった場合に、利用者がサービスを利用するための利用者IDを管理するID管理装置の中から、認証要求があった前記サービス提供装置の認証に関する認証要件を充足するID管理装置を抽出する抽出部と、前記抽出部により抽出された前記ID管理装置にアクセスするためのリンク情報を、前記サービス提供装置に送信する送信部と、を備える。
第2態様に係る認証仲介装置は、第1態様に係る認証仲介装置において、前記サービス提供装置の認証に関する認証要件と、前記ID管理装置が前記認証要件を充足するか否かを示す充足要件と、が登録された要件充足リストを取得する取得部を備え、前記抽出部は、前記サービス提供装置から認証要求があった場合に、前記要件充足リストに基づいて、認証要求があった前記サービス提供装置の認証要件を充足する前記ID管理装置を抽出する。
第3態様に係る認証仲介装置は、第2態様に係る認証仲介装置において、前記認証要件を前記要件充足リストに登録することを受け付ける受付部を備える。
第4態様に係る認証仲介装置は、第3態様に係る認証仲介装置において、前記受付部は、前記認証要件を満たすことが必須及び任意を含む複数の条件のうち何れの条件であるかを受け付ける。
第5態様に係る認証仲介装置は、第4態様に係る認証仲介装置において、前記受付部は、前記任意として受け付けた認証要件のうち、予め定めた数又は割合以上の認証要件を満たすことを必須の条件とすることを受け付ける。
第6態様に係る認証仲介装置は、第3態様~第5態様の何れかの態様に係る認証仲介装置において、前記受付部は、前記要件充足リストへの前記認証要件の登録パターンを複数受け付ける。
第7態様に係る認証仲介装置は、第6態様に係る認証仲介装置において、前記抽出部は、複数の登録パターンの各々について前記ID管理装置を抽出する。
第8態様に係る認証仲介装置は、第2態様~第7態様の何れかの態様に係る認証仲介装置において、前記取得部は、認証要求があった前記サービス提供装置の認証に関する保証レベルと、前記ID管理装置の認証に関する保証レベルと、を取得する。
第9態様に係る認証仲介装置は、第8態様に係る認証仲介装置において、前記抽出部は、前記要件充足リストに基づいて、前記サービス提供装置の認証に関する保証レベルと異なる保証レベルを有する前記ID管理装置の中から、認証要求があった前記サービス提供装置の認証要件を充足する前記ID管理装置を抽出する。
第10態様に係る認証仲介プログラムは、第1~第9態様の何れかの態様に係る認証仲介装置の各部として機能させるためのプログラムである。
第1、第10態様によれば、サービス提供装置から認証要求があった場合に、サービス提供装置の認証要件を充足するID管理装置に認証処理を仲介することができる、という効果を有する。
第2態様によれば、サービス提供装置の認証に関する認証要件と、ID管理装置が認証要件を充足するか否かを示す充足要件と、が登録された要件充足リストを用いずにサービス提供装置の認証要件を充足するID管理装置を抽出する場合と比較して、サービス提供装置の認証要件を充足するID管理装置を容易に抽出することができる、という効果を有する。
第3態様によれば、認証要件を要件充足リストに登録することを受け付けない場合と比較して、認証要件を容易に変更することができる、という効果を有する。
第4態様によれば、認証要件を満たすことが必須及び任意を含む複数の条件のうち何れの条件であるかを受け付けない場合と比較して、柔軟に認証要件を設定することができる、という効果を有する。
第5態様によれば、様々なパターンの認証要件を設定することができる、という効果を有する。
第6態様によれば、要件充足リストへの認証要件の登録パターンを1つしか受け付けない場合と比較して、提供するサービスの内容を登録パターンに応じて異ならせることができる、という効果を有する。
第7態様によれば、登録パターンに応じたID管理装置を抽出することができる、という効果を有する。
第8態様によれば、認証要求があったサービス提供装置の認証に関する保証レベルと同じ保証レベルのID管理装置を抽出することができる、という効果を有する。
第9態様によれば、サービス提供装置の認証に関する保証レベルと同じ保証レベルを有するID管理装置については、サービス提供装置の認証要件を充足するか否かを判定する必要がない、という効果を有する。
認証仲介装置の構成図である。 認証仲介装置の電気的構成を示すブロック図である。 認証仲介装置の機能構成を示すブロック図である。 認証仲介プログラムの処理の流れの一例を示すフローチャートである。 認証仲介システムの具体的な接続関係を示す図である。 要件充足リストの一例を示す図である。 保証レベル情報の一例を示す図である。 リンク情報の一例を示す図である。
以下、図面を参照して、本発明を実施するための形態を詳細に説明する。
図1は、本実施形態に係る認証仲介システム1の構成図である。認証仲介システム1は、認証仲介装置10、複数のサービス提供装置20、及び複数のID管理装置30がネットワークNを介して接続された構成である。
認証仲介装置10は、サービス提供装置20を利用する利用者についての認証処理をサービス提供装置20から要求された場合に、サービス提供装置20に対して、認証処理を実行するID管理装置30を仲介する。
サービス提供装置(RP:Relying Party)20は、利用者にサービスを提供する。ここで、サービスとは、利用者に提供する電子的な処理であり、例えばドキュメント管理に関する処理、ストレージ管理に関する処理、及びメールの送受信に関する処理等が挙げられるが、これらに限られるものではない。
サービス提供装置20が提供するサービスを利用する利用者は、例えば利用者ID及びパスワードを含む利用者情報をサービス提供装置20に入力し、サービスの利用を指示する。サービス提供装置20は、サービスの利用が指示されると、利用者情報を認証仲介装置10に送信し、認証処理を要求する。
ID管理装置(IdP:Identity Provider)30は、利用者がサービスを利用するための利用者IDを管理し、サービス提供装置20から認証要求があった場合に認証処理を実行する。
図2は、認証仲介装置10の構成図である。認証仲介装置10は、一般的なコンピュータを含む装置で構成される。
図2に示すように、認証仲介装置10は、コントローラ12を備える。コントローラ12は、CPU(Central Processing Unit)12A、ROM(Read Only Memory)12B、RAM(Random Access Memory)12C、不揮発性メモリ12D、及び入出力インターフェース(I/O)12Eを備える。そして、CPU12A、ROM12B、RAM12C、不揮発性メモリ12D、及びI/O12Eがバス12Fを介して各々接続されている。
また、I/O12Eには、通信部14及び記憶部16が接続されている。
通信部14は、外部装置とデータ通信を行うためのインターフェースである。
記憶部16は、ハードディスク等の不揮発性の記憶装置で構成され、後述する認証仲介プログラム16A、要件充足リスト16B、及び保証レベル情報16C、及びリンク情報16D等を記憶する。CPU12Aは、記憶部16に記憶された認証仲介プログラム16Aを読み込んで実行する。
次に、認証仲介装置10が認証仲介プログラム16Aを実行する場合におけるCPU12Aの機能構成について説明する。
図3に示すように、CPU12Aは、機能的には、取得部40、抽出部42、送信部44、及び受付部46を備える。
取得部40は、サービスを提供するサービス提供装置20の認証に関する認証要件と、利用者がサービスを利用するための利用者IDを管理するID管理装置30が認証要件を充足するか否かを示す充足要件と、が登録された要件充足リスト16Bを記憶部16から読み出すことにより取得する。
抽出部42は、サービスを提供するサービス提供装置20から認証要求があった場合に、利用者がサービスを利用するための利用者IDを管理するID管理装置30の中から、認証要求があったサービス提供装置20の認証に関する認証要件を充足するID管理装置30を抽出する。具体的には、サービス提供装置20から認証要求があった場合に、取得部40が取得した要件充足リスト16Bに基づいて、認証要求があったサービス提供装置20の認証要件を充足するID管理装置30を抽出する。
送信部44は、抽出部42により抽出されたID管理装置30にアクセスするためのリンク情報を、サービス提供装置20に送信する。
受付部46は、サービス提供装置20から、認証要件を満たすことが必須及び任意の何れの条件であるかを受け付ける。
また、受付部46は、認証要件を満たすことが必須及び任意の何れの条件であるかを受け付けてもよい。
また、受付部46は、任意として受け付けた認証要件のうち、予め定めた数又は割合以上の認証要件を満たすことを必須の条件とすることを受け付けてもよい。
また、受付部46は、要件充足リスト16Bへの認証要件の登録パターンを複数受け付けてもよい。この場合、抽出部42は、複数の登録パターンの各々についてID管理装置30を抽出する。
また、取得部40は、認証要求があったサービス提供装置20の認証に関する保証レベルと、ID管理装置30の認証に関する保証レベルと、を保証レベル情報16Cから取得してもよい。この場合、抽出部42は、要件充足リスト16Bに基づいて、サービス提供装置20の認証に関する保証レベルと異なる保証レベルを有するID管理装置30の中から、認証要求があったサービス提供装置20の認証要件を充足するID管理装置30を抽出する。ここで、保証レベルとは、所謂LoA(Level of Assurance)のことであり、利用者の認証に関する保証の度合いを表す。
次に、本実施の形態に係る認証仲介装置10の作用を説明する。図2に示すように、認証仲介プログラム16Aは記憶部16に記憶されている。CPU12Aが認証仲介プログラム16Aを読み出して実行することにより、図4に示す認証仲介処理が実行される。なお、図4に示す認証仲介処理は、予め定めた時間毎に繰り返し実行される。
以下では、図5に示すように、認証仲介システム1が、認証仲介装置10としてのIdP_Brと、サービス提供装置20としてのRP_A、RP_B、及びRP_Cと、ID管理装置30としてのIdP_A及びIdP_Cと、で構成される場合について説明する。なお、RP_A、RP_B、及びRP_Cを区別しない場合は、単にRPと称する場合がある。また、IdP_A及びIdP_Cを区別しない場合は、単にIdPと称する場合がある。
また、各装置は、認証に関する保証レベルに応じて2つのグループに分けられる。図5の例では、RP_A及びIdP_AがグループXに属し、IdP_br、IdP_C、RP_B、及びRP_CがグループYに属する。ここで、グループX内の各装置の保証レベルは同一であり、グループY内の各装置の保証レベルも同一であるものとする。また、グループYに属する装置の保証レベルは、グループXに属する装置の保証レベルよりも高いものとする。
グループXに属するかグループYに属するかは、本実施形態では一例としてトラストフレームワークに参加しているか不参加であるかで分けられる。ここで、トラストフレームワークとは、利用者認証の信頼性を保証し合う枠組みである。図5の例では、例えばグループYに属する装置はトラストフレームワークに参加しており、グループXに属する装置はトラストフレームワークに不参加の装置である。
また、図5の例では、IdP_Aは、利用者User_A、User_Bの利用者情報を保持しており、IdP_Cは、利用者User_C、User_Dの利用者情報を保持しており、IdP_brは、利用者User_A、User_B、User_C、User_Dの利用者情報を保持しているものとする。
利用者は、サービスの提供を受けたいRPに対して利用者情報を入力し、サービスの利用を要求する。
IdP_brは、User_A~User_Dの何れかによりRP_Aから認証要求があった場合、RP_Aと保証レベルが同一のIdP_Aについては、RP_Aに対して問題無く認証処理を仲介可能である。一方、User_A~User_Dの何れかによりRP_Aから認証要求があった場合、RP_Aと保証レベルが異なるIdP_Cについては、本来はRP_Aに対して認証処理を仲介できないが、IdP_CがRP_Aの認証要件を充足する場合は認証処理を仲介する。
また、IdP_brは、User_A~User_Dの何れかによりRP_Bから認証要求があった場合、RP_Bと保証レベルが同一のIdP_Cについては、RP_Bに対して問題無く認証処理を仲介可能である。一方、User_A~User_Dの何れかによりRP_Bから認証要求があった場合、RP_Bと保証レベルが異なるIdP_Aについては、本来はRP_Bに対して認証処理を仲介できないが、IdP_AがRP_Bの認証要件を充足する場合は認証処理を仲介する。
また、RP_Cは、IdP_brとは接続されていない。このため、RP_Cは、保証レベルが異なるIdP_A及びRP_Aの影響を受けない。従って、User_C又はUser_DによりRP_Cから認証要求があった場合は、IdP_Cが認証処理を実行する。
ステップS100では、RPから認証要求があったか否かを判定する。すなわち、RPから利用者情報を受信したか否かを判定する。そして、RPから利用者情報を受信した場合はステップS102へ移行し、RPから利用者情報を受信していない場合はステップS108へ移行する。
ステップS102では、RPの認証に関する認証要件と、IdPが認証要件を充足するか否かを示す充足要件と、が登録された要件充足リスト16Bを記憶部16から読み出すことにより取得する。また、各RP及び各IdPの保証レベルが登録された保証レベル情報16Cを記憶部16から読み出すことにより取得する。
図6に示すように、要件充足リスト16Bは、RPの認証に関する認証要件と、IdPが認証要件を充足するか否かを示す充足要件と、が登録されたリストである。
図6に示すように、要件充足リスト16Bには、各RPの認証要件について「必須」、「任意」、「不可」、及び「不要」の何れかが登録されている。ここで、認証要件が「必須」とは、その認証要件が必ず必要であることを表す。また、認証要件が「任意」とは、その認証要件を用いて認証しても良いし、その認証要件を用いなくても良いことを表す。認証要件が「不可」とは、その認証要件を用いて認証してはいけないことを表す。また、認証要件が「不要」とは、その認証要件を用いて認証する必要がないことを表す。
また、要件充足リスト16Bには、各IdPが充足する認証要件が登録されている。図6では、IdPが充足する認証要件を「○」で示し、充足しない認証要件は空欄としている。各RPは、各認証要件が「必須」、「任意」、「不可、及び「不要」の何れであるのかを予めIdP_brに通知することにより、要件充足リスト16Bに登録しておく。また、各IdPは、各認証要件を充足するか否かを予めIdP_brに通知することにより、要件充足リスト16Bに登録しておく。
また、図7に示すように、保証レベル情報16Cは、各RP及び各IdPの保証レベルが登録されている。図7の例では、RP_A及びIdP_Aの保証レベルがL1に設定され、RP_B及びIdP_Cの保証レベルがL2に設定されている。なお、本実施形態では一例としてL2>L1である。すなわち、RP_B及びIdP_Cの保証レベルの方が、RP_A及びIdP_Aの保証レベルよりも高く設定されている。
ステップS104では、ステップS102で取得した要件充足リスト16B及び保証レベル情報16Cに基づいて、認証要求があったRPの認証要件を充足するIdPを抽出する。具体的には、まず保証レベル情報16Cを参照し、認証要求があったRPの保証レベルと同じ保証レベルを有するIdPを抽出する。
更に、要件充足リスト16Bに基づいて、認証要求があったRPの保証レベルと異なる保証レベルを有するIdPの中から、認証要求があったRPの認証要件を充足するIdPを抽出する。ここで、認証要求があったRPの認証要件を充足するIdPとは、RPの認証要件のうち「必須」が設定された認証要件を全て充足するIdPである。すなわち、RPの認証要件のうち「必須」が設定された認証要件を1つでも充足しない場合は、RPの認証要件を充足するとはいえない。
具体的には、例えばUser_A~User_Dの何れかによりRP_Aから認証要求があった場合、RP_Aと保証レベルが同一のIdP_Aは無条件に抽出される。一方、RP_Aと保証レベルが異なるIdP_Cについては、RP_Aの認証要件を充足するか否かによる。ここで、図6に示すように、RP_Aの認証要件のうち「必須」が設定された認証要件は、「写真無公的身分証明書1種類」、「単要素認証」、及び「弱中間者攻撃対策」である。そして、IdP_Cは、認証要件として「弱中間者攻撃対策」は充足するものの、「写真無公的身分証明書1種類」及び「単要素認証」については充足していない。従って、IdP_Cは抽出されない。
また、例えばUser_A~User_Dの何れかによりRP_Bから認証要求があった場合、RP_Bと保証レベルが同一のIdP_Cは無条件に抽出される。一方、RP_Bと保証レベルが異なるIdP_Aについては、RP_Bの認証要件を充足するか否かによる。ここで、図6に示すように、RP_Bの認証要件のうち「必須」が設定された認証要件は、「写真付公的身分証明書1種類」、「電話番号提示」、「多要素認証」、及び「弱中間者攻撃対策」である。そして、IdP_Aは、これら全ての認証要件を充足する。従って、IdP_Aも抽出される。
なお、保証レベル情報16Cを取得せずに、要件充足リスト16Bのみに基づいて、認証要求があったRPの認証要件を充足するIdPを抽出するようにしてもよい。すなわち、保証レベルに関係無く、全てのIdPに対して認証要求があったRPの認証要件を充足するか否かを判定してもよい。
ステップS106では、記憶部16からリンク情報16Dを読み出し、読み出したリンク情報16Dから、ステップS104で抽出したIdPのリンク先を取得する。図8に示すように、リンク情報16Dには、各RP及び各IdPのリンク先が登録されている。図8の例では、リンク先はURL(Uniform Resource Locator)で表されるが、これに限られるものではない。そして、取得したリンク先を、認証要求があったRPにリンク情報として送信する。これにより、RPでは、抽出された全てのIdPのリンク先が表示され、認証処理を実行可能なIdPへのアクセスが可能となる。
ところで、RP及びIdPの管理者は、例えばRPに認証要件を入力して要件充足リスト16BにRP及びIdPの少なくとも一方の認証要件を登録するよう要求可能である。この場合、RPは、受け付けた認証要件をIdP_brに送信し、要件充足リスト16Bに登録するよう要求する。
そこで、ステップS108では、RP又はIdPから、認証要件を要件充足リスト16Bに登録することを受け付けたか否かを判定する。そして、認証要件を要件充足リスト16Bに登録することを受け付けた場合はステップS110へ移行し、認証要件を要件充足リスト16Bに登録することを受け付けていない場合は本ルーチンを終了する。
IdPについては、RPの各認証要件を充足するか否かを受け付ける。
また、RPについては、各認証要件について、認証要件を満たすことが必須及び任意を含む複数の条件のうち何れの条件であるかを受け付ける。本実施形態では、一例として「必須」、「任意」、「不可」、及び「不要」の何れかを受け付ける。
また、RPの認証要件を受け付ける場合、「任意」として受け付けた認証要件のうち、予め定めた数又は割合以上の認証要件を満たすことを必須の条件とすることを受け付けてもよい。例えば、図6の例では、RP_Aの認証要件として「任意」が設定された「単要素認証」、「フィッシング/ファーミング対策」、「盗聴対策」、及び「強中間者攻撃対策」の4個の認証要件のうち、例えば予め定めた数として2個以上(50%以上)の認証要件を満たすことを必須の条件としてもよい。この場合、「フィッシング/ファーミング対策」、「盗聴対策」、及び「強中間者攻撃対策」のうち2個以上の認証要件を充足するIdPが抽出対象となる。
また、RPの認証要件を受け付ける場合、要件充足リスト16Bへの認証要件の登録パターンを複数受け付けてもよい。この場合、複数の登録パターンの各々についてIdPを抽出する。この場合、RPは、例えば第1の登録パターンの認証要件を第2の登録パターンの認証要件よりも厳しくし、第1の登録パターンの認証要件を満たす利用者には全ての機能についてサービスを提供し、第2の登録パターンの認証要件を満たす利用者には一部の機能についてサービスを提供することが可能となる。
また、RPから、要件充足リスト16Bに登録されていない新たな認証要件を追加することを受け付けても良い。
ステップS110では、ステップS108で受け付けた認証要件を要件充足リスト16Bに登録する。
以上、実施の形態を説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。発明の要旨を逸脱しない範囲で上記実施の形態に多様な変更又は改良を加えることができ、該変更又は改良を加えた形態も本発明の技術的範囲に含まれる。
例えば、本実施形態では、RP及びIdPがグループX及びグループYの何れに属するかは、トラストフレームワークへの参加及び不参加の何れであるかによって分けられる場合について説明したが、これに限られない。例えば、グループX及びグループYの何れに属するかが、装置の機微度の違いで分けられてもよい。ここで、機微度とは、各装置が扱う情報の重要度である。例えば機微度が相対的に低い装置をグループX、機微度が相対的に高い装置をグループYに属する装置とした場合、トラストフレームワークへの参加及び不参加の何れであるかによってグループ分けした場合と同様となる。
また、上記実施の形態は、クレーム(請求項)にかかる発明を限定するものではなく、また実施の形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。前述した実施の形態には種々の段階の発明が含まれており、開示される複数の構成要件の組み合わせにより種々の発明が抽出される。実施の形態に示される全構成要件から幾つかの構成要件が削除されても、効果が得られる限りにおいて、この幾つかの構成要件が削除された構成が発明として抽出され得る。
また、上記実施の形態では、サービス仲介プログラムがROM102に予めインストールされている場合について説明したが、本発明はこれに限定されるものではない。例えば、サービス仲介プログラムが、CD-ROM(Compact Disc Read Only Memory)等の記憶媒体に格納されて提供される形態、又はネットワークを介して提供される形態としてもよい。
さらに、上記実施の形態では、サービス仲介処理を、プログラムを実行することにより、コンピュータを利用してソフトウェア構成により実現する場合について説明したが、本発明はこれに限定されるものではない。例えば、サービス仲介処理を、ハードウェア構成や、ハードウェア構成とソフトウェア構成の組み合わせによって実現する形態としてもよい。
その他、上記実施の形態で説明した認証仲介装置10の構成(図2参照。)は一例であり、本発明の主旨を逸脱しない範囲内において不要な部分を削除したり、新たな部分を追加したりしてもよいことは言うまでもない。
また、上記実施の形態で説明したサービス仲介プログラムの処理の流れ(図4参照)も一例であり、本発明の主旨を逸脱しない範囲内において不要なステップを削除したり、新たなステップを追加したり、処理順序を入れ替えたりしてもよいことは言うまでもない。
1 認証仲介システム
10 認証仲介装置
12 コントローラ
14 通信部
16 記憶部
16A 認証仲介プログラム
16B 要件充足リスト
16C 保証レベル情報
16D リンク情報
20 サービス提供装置
30 ID管理装置
40 取得部
42 抽出部
44 送信部
46 受付部

Claims (7)

  1. サービスを提供するサービス提供装置から認証要求があった場合に、利用者がサービスを利用するための利用者IDを管理するID管理装置の中から、認証要求があった前記サービス提供装置の認証に関する認証要件を充足するID管理装置を抽出する抽出部と、
    前記抽出部により抽出された前記ID管理装置にアクセスするためのリンク情報を、前記サービス提供装置に送信する送信部と、
    前記サービス提供装置の認証に関する認証要件と、前記ID管理装置が前記認証要件を充足するか否かを示す充足要件と、が登録された要件充足リストを取得する取得部と、
    前記認証要件を前記要件充足リストに登録することを受け付ける受付部と、
    を備え
    前記抽出部は、前記サービス提供装置から認証要求があった場合に、前記要件充足リストに基づいて、認証要求があった前記サービス提供装置の認証要件を充足する前記ID管理装置を抽出し、
    前記受付部は、前記認証要件を満たすことが必須及び任意を含む複数の条件のうち何れの条件であるかを受け付ける
    認証仲介装置。
  2. 前記受付部は、前記任意として受け付けた認証要件のうち、予め定めた数又は割合以上の認証要件を満たすことを必須の条件とすることを受け付ける
    請求項記載の認証仲介装置。
  3. 前記受付部は、前記要件充足リストへの前記認証要件の登録パターンを複数受け付ける
    請求項1又は請求項2記載の認証仲介装置。
  4. 前記抽出部は、複数の登録パターンの各々について前記ID管理装置を抽出する
    請求項記載の認証仲介装置。
  5. 前記取得部は、認証要求があった前記サービス提供装置の認証に関する保証レベルと、前記ID管理装置の認証に関する保証レベルと、を取得する
    請求項の何れか1項に記載の認証仲介装置。
  6. サービスを提供するサービス提供装置から認証要求があった場合に、利用者がサービスを利用するための利用者IDを管理するID管理装置の中から、認証要求があった前記サービス提供装置の認証に関する認証要件を充足するID管理装置を抽出する抽出部と、
    前記抽出部により抽出された前記ID管理装置にアクセスするためのリンク情報を、前記サービス提供装置に送信する送信部と、
    前記サービス提供装置の認証に関する認証要件と、前記ID管理装置が前記認証要件を充足するか否かを示す充足要件と、が登録された要件充足リストと、認証要求があった前記サービス提供装置の認証に関する保証レベルと、前記ID管理装置の認証に関する保証レベルと、を取得する取得部と、
    を備え、
    前記抽出部は、前記サービス提供装置から認証要求があった場合に、前記要件充足リストに基づいて、前記サービス提供装置の認証に関する保証レベルと異なる保証レベルを有する前記ID管理装置の中から、認証要求があった前記サービス提供装置の認証要件を充足する前記ID管理装置を抽出する
    証仲介装置。
  7. コンピュータを、請求項1~の何れか1項に記載の認証仲介装置の各部として機能させるための認証仲介プログラム。
JP2019073617A 2019-04-08 2019-04-08 認証仲介装置及び認証仲介プログラム Active JP7238558B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019073617A JP7238558B2 (ja) 2019-04-08 2019-04-08 認証仲介装置及び認証仲介プログラム
US16/587,107 US11218479B2 (en) 2019-04-08 2019-09-30 Authentication broker apparatus and non-transitory computer readable medium storing authentication broker program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019073617A JP7238558B2 (ja) 2019-04-08 2019-04-08 認証仲介装置及び認証仲介プログラム

Publications (2)

Publication Number Publication Date
JP2020173507A JP2020173507A (ja) 2020-10-22
JP7238558B2 true JP7238558B2 (ja) 2023-03-14

Family

ID=72663337

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019073617A Active JP7238558B2 (ja) 2019-04-08 2019-04-08 認証仲介装置及び認証仲介プログラム

Country Status (2)

Country Link
US (1) US11218479B2 (ja)
JP (1) JP7238558B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023238343A1 (ja) * 2022-06-09 2023-12-14 日本電信電話株式会社 認証要件設定装置、認証要件設定方法、及びプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010110182A1 (ja) 2009-03-24 2010-09-30 日本電気株式会社 仲介装置、仲介方法、プログラム及び仲介システム
JP2011191882A (ja) 2010-03-12 2011-09-29 Hitachi Ltd Idブリッジサービスシステム及びその方法
JP2015507285A (ja) 2012-02-23 2015-03-05 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation パブリッシュ−サブスクライブ・モデルを用いたアイデンティティ・プロバイダ・ディスカバリ・サービス
JP2016511849A (ja) 2012-12-12 2016-04-21 インターデイジタル パテント ホールディングス インコーポレイテッド 独立アイデンティティ管理システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607008B2 (en) * 2004-04-01 2009-10-20 Microsoft Corporation Authentication broker service
CN100542140C (zh) * 2006-12-15 2009-09-16 华为技术有限公司 一种访问用户数据的方法及用户档案管理服务器
KR101434402B1 (ko) * 2007-06-09 2014-08-27 삼성전자주식회사 휴대단말의 콘텐츠 권리객체 획득 방법 및 장치
JP5197843B1 (ja) * 2011-12-27 2013-05-15 株式会社東芝 認証連携システムおよびidプロバイダ装置
JP2017004296A (ja) 2015-06-11 2017-01-05 株式会社日立製作所 認証システムおよび認証方法
US10616196B1 (en) * 2015-09-24 2020-04-07 EMC IP Holding Company LLC User authentication with multiple authentication sources and non-binary authentication decisions
US10678906B1 (en) * 2016-12-22 2020-06-09 Amazon Technologies, Inc. Multi-service and multi-protocol credential provider
JP7087581B2 (ja) * 2018-03-30 2022-06-21 株式会社リコー 連携支援システム、連携支援方法、および連携支援プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010110182A1 (ja) 2009-03-24 2010-09-30 日本電気株式会社 仲介装置、仲介方法、プログラム及び仲介システム
JP2011191882A (ja) 2010-03-12 2011-09-29 Hitachi Ltd Idブリッジサービスシステム及びその方法
JP2015507285A (ja) 2012-02-23 2015-03-05 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation パブリッシュ−サブスクライブ・モデルを用いたアイデンティティ・プロバイダ・ディスカバリ・サービス
JP2016511849A (ja) 2012-12-12 2016-04-21 インターデイジタル パテント ホールディングス インコーポレイテッド 独立アイデンティティ管理システム

Also Published As

Publication number Publication date
US20200322336A1 (en) 2020-10-08
JP2020173507A (ja) 2020-10-22
US11218479B2 (en) 2022-01-04

Similar Documents

Publication Publication Date Title
KR101270323B1 (ko) 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체
US9794227B2 (en) Automatic detection of authentication methods by a gateway
US8122251B2 (en) Method and apparatus for preventing phishing attacks
US8819253B2 (en) Network message generation for automated authentication
US8412156B2 (en) Managing automatic log in to internet target resources
KR102205941B1 (ko) 능동적으로 연합된 모바일 인증
EP2347559B1 (en) Service access control
CN101626369B (zh) 一种单点登录方法、设备及系统
US8869258B2 (en) Facilitating token request troubleshooting
CN110278187B (zh) 多终端单点登录方法、系统、同步服务器及介质
CN110138718A (zh) 信息处理系统及其控制方法
EP2023262A2 (en) Authentication system and authentication method
US11165768B2 (en) Technique for connecting to a service
WO2010075761A1 (zh) 一种向访问用户提供资源的方法、服务器和系统
US9916308B2 (en) Information processing system, document managing server, document managing method, and storage medium
US20170310675A1 (en) Server apparatus, system, information processing method, and storage medium storing computer program
US9787678B2 (en) Multifactor authentication for mail server access
US20160205091A1 (en) Information processing system, control method of information processing apparatus, and storage medium
US20160269382A1 (en) Secure Distribution of Non-Privileged Authentication Credentials
JP7238558B2 (ja) 認証仲介装置及び認証仲介プログラム
CN102546459B (zh) 信息处理装置及其中的附加于电子邮件的文档的控制方法
JP5336262B2 (ja) ユーザ認証システムおよびユーザ認証方法
JP5252721B2 (ja) 情報提供サーバ
CN113411324B (zh) 基于cas与第三方服务器实现登录认证的方法和系统
US10911239B2 (en) Protection of login processes

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220228

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20221117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230213

R150 Certificate of patent or registration of utility model

Ref document number: 7238558

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150