JP7338360B2 - Information processing device and program - Google Patents

Information processing device and program Download PDF

Info

Publication number
JP7338360B2
JP7338360B2 JP2019174103A JP2019174103A JP7338360B2 JP 7338360 B2 JP7338360 B2 JP 7338360B2 JP 2019174103 A JP2019174103 A JP 2019174103A JP 2019174103 A JP2019174103 A JP 2019174103A JP 7338360 B2 JP7338360 B2 JP 7338360B2
Authority
JP
Japan
Prior art keywords
user
service
information
identifier
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019174103A
Other languages
Japanese (ja)
Other versions
JP2021051552A (en
Inventor
広一 小田島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2019174103A priority Critical patent/JP7338360B2/en
Publication of JP2021051552A publication Critical patent/JP2021051552A/en
Application granted granted Critical
Publication of JP7338360B2 publication Critical patent/JP7338360B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、情報処理装置およびプログラムに関する。 The present invention relates to an information processing device and program.

特許文献1には、第1サービスシステムにおいて認証したユーザのテナント情報を取得して第2サービスシステムにクライアント登録を要求し、第2サービスシステムにおいてその該要求に従うクライアント登録と、認証したユーザのグループ情報とを含む登録結果を第1サービスシステムに送り、第1サービスシステムにおいてそのグループ情報と、認証したユーザのテナント情報を対応付けて記憶し、第2サービスシステムにおいて登録クライアントからの認証要求に応じて認証したユーザのグループ情報を含むID情報を第1サービスシステムに送り、第1サービスシステムにおいてそのID情報が示すアカウントに対応するアカウントの存在を判定し、存在しない場合に新たにアカウントを生成するようにしたサービス提供システムが開示されている。 In patent document 1, the tenant information of the user authenticated in the first service system is acquired, the client registration is requested to the second service system, the client registration according to the request in the second service system, and the authenticated user group information to the first service system, the first service system stores the group information in association with the authenticated user's tenant information, and the second service system responds to an authentication request from the registered client. ID information including group information of the authenticated user is sent to the first service system, the existence of an account corresponding to the account indicated by the ID information is determined in the first service system, and if the account does not exist, a new account is created. A service providing system is disclosed.

特開2016-57737号公報JP 2016-57737 A

本発明の目的は、2つの異なるシステムにおいて同一ユーザがそれぞれアカウントを登録している場合であって、そのユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一ユーザのアカウントどうしを対応付けることが可能な情報処理装置およびプログラムを提供することである。 The object of the present invention is to provide a system that allows the same user to register accounts in two different systems, even if the user does not have administrator privileges in either of the two systems. It is an object of the present invention to provide an information processing device and a program capable of associating accounts of the same user registered in two different systems.

[情報処理装置]
請求項1に係る本発明は、メモリとプロセッサを備え、
前記プロセッサは、
第1システムにおいて管理者権限を有する第1ユーザからの操作に基づいて、前記第1ユーザにより指定された第1識別子と対応づけられた仮認証情報を発行し、
第2システムを利用する第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた際に、発行した仮認証情報と提示された仮認証情報とが一致した場合、前記仮認証情報と対応付けられた前記第1識別子と前記第2ユーザが指定した第2識別子とを対応付ける情報処理装置である。 [Information processing device]
The present invention according to claim 1 comprises a memory and a processor,
The processor
issuing temporary authentication information associated with a first identifier specified by the first user based on an operation from a first user who has administrator authority in the first system;
When the second user using the second system presents the temporary authentication information and requests cooperation with the first system, if the issued temporary authentication information and the presented temporary authentication information match, The information processing apparatus associates the first identifier associated with the temporary authentication information with the second identifier specified by the second user.

請求項2に係る本発明は、前記メモリが、前記仮認証情報と、前記第1ユーザにより指定された第1識別子とを対応付けて記憶し、
前記プロセッサは、前記第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた場合に、前記第2ユーザからの接続要求を前記第1システムにおけるログイン画面に転送し、
前記第2ユーザが前記第1システムにログインすることができた旨の情報が返信されてきた場合、前記メモリに記憶されている前記第1識別子と、ログイン中の前記第2ユーザが使用している第2識別子とを対応付ける請求項1記載の情報処理装置である。 In the present invention according to claim 2, the memory associates and stores the temporary authentication information and the first identifier specified by the first user,
The processor transfers a connection request from the second user to a login screen in the first system when the second user presents the temporary authentication information and requests cooperation with the first system. ,
When information is returned to the effect that the second user was able to log in to the first system, the first identifier stored in the memory and the identifier used by the logged-in second user 2. The information processing apparatus according to claim 1, wherein the second identifier is associated with the second identifier.

請求項3に係る本発明は、前記メモリが、前記第2ユーザからの接続要求を前記第1システムにおけるログイン画面に転送する際に発行された確認情報を、前記仮認証情報と前記第1識別子に対応付けて記憶し、
前記プロセッサは、前記第1システムから返信されてきた、前記第2ユーザが前記第1システムにログインすることができた旨の情報に、前記メモリに記憶されている確認情報が含まれている場合に、前記メモリに記憶されている前記第1識別子と、ログイン中の前記第2ユーザが使用している第2識別子とを対応付ける請求項2記載の情報処理装置である。 In the present invention according to claim 3, the memory stores the confirmation information issued when transferring the connection request from the second user to the login screen in the first system as the temporary authentication information and the first identifier . is stored in association with
When the information sent back from the first system to the effect that the second user was able to log in to the first system includes the confirmation information stored in the memory. 3. The information processing apparatus according to claim 2, wherein the first identifier stored in the memory and the second identifier used by the logged-in second user are associated with each other.

請求項4に係る本発明は、前記仮認証情報が、有効期限が設定されている認証情報であり、
前記プロセッサは、前記第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた場合でも、現在の日時が当該仮認証情報の有効期限を過ぎている場合、前記第2ユーザからの前記第1システムとの連携要求を拒否する請求項1記載の情報処理装置である。 In the present invention according to claim 4, the temporary authentication information is authentication information with an expiration date,
Even if the second user presents the temporary authentication information and requests cooperation with the first system, if the current date and time has passed the expiration date of the temporary authentication information, the processor 2. The information processing apparatus according to claim 1, wherein a request for cooperation with the first system from two users is rejected.

請求項5に係る本発明は、前記第1識別子が前記第1システムにおいて前記第1ユーザおよび前記第2ユーザが属するグループのグループ識別子であり、前記第2識別子が前記第2システムにおいて前記第1ユーザおよび前記第2ユーザが属するグループのグループ識別子である請求項1から4のいずれか記載の情報処理装置である。 In the present invention according to claim 5, the first identifier is a group identifier of a group to which the first user and the second user belong in the first system, and the second identifier is the first user in the second system. 5. The information processing apparatus according to any one of claims 1 to 4, which is a group identifier of a group to which the user and the second user belong.

[プログラム]
請求項6に係る本発明は、第1システムにおいて管理者権限を有する第1ユーザからの操作に基づいて、前記第1ユーザにより指定された第1識別子と対応づけられた仮認証情報を発行するステップと、
第2システムを利用する第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた際に、発行した仮認証情報と提示された仮認証情報とが一致した場合、前記仮認証情報と対応付けられた前記第1識別子と前記第2ユーザが指定した第2識別子とを対応付けるステップとをコンピュータに実行させるためのプログラムである。 [program]
The present invention according to claim 6 issues temporary authentication information associated with the first identifier specified by the first user based on the operation of the first user who has administrator authority in the first system. a step;
When the second user using the second system presents the temporary authentication information and requests cooperation with the first system, if the issued temporary authentication information and the presented temporary authentication information match, and a step of associating the first identifier associated with the temporary authentication information with the second identifier specified by the second user.

請求項1に係る本発明によれば、2つの異なるシステムにおいて同一ユーザがそれぞれアカウントを登録している場合であって、そのユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一ユーザのアカウントどうしを対応付けることが可能な情報処理装置を提供することができる。 According to the present invention according to claim 1, when the same user has registered accounts in two different systems, and the user does not have administrator authority in either of the two systems Even so, it is possible to provide an information processing apparatus capable of associating accounts of the same user registered in two different systems.

請求項2に係る本発明によれば、2つの異なるシステムにおいて同一ユーザがそれぞれアカウントを登録している場合であって、そのユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一ユーザのアカウントどうしを対応付けることが可能な情報処理装置を提供することができる。 According to the present invention according to claim 2, when the same user has registered accounts in two different systems, and the user does not have administrator authority in either of the two systems Even so, it is possible to provide an information processing apparatus capable of associating accounts of the same user registered in two different systems.

請求項3に係る本発明によれば、確認情報を用いずに第1アカウントと第2アカウントとの対応付けを行う場合と比較して、誤った第1アカウントを第2アカウントと対応付けてしまう可能性を低減することが可能な情報処理装置を提供することができる。 According to the third aspect of the present invention, the wrong first account is associated with the second account, compared to the case where the first account and the second account are associated without using the confirmation information. It is possible to provide an information processing apparatus capable of reducing the possibility.

請求項4に係る本発明によれば、仮認証情報に有効期限を設けない場合と比較して、第1アカウントと第2アカウントとの対応付けが不正に行われる可能性を低減することが可能な情報処理装置を提供することができる。 According to the fourth aspect of the present invention, it is possible to reduce the possibility of illegal association between the first account and the second account compared to the case where the temporary authentication information does not have an expiration date. It is possible to provide a sophisticated information processing apparatus.

請求項5に係る本発明によれば、2つの異なるシステムにおいて同一のグループユーザがそれぞれアカウントを登録している場合であって、そのグループユーザのうちの個人ユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一グループユーザのアカウントどうしを対応付けることが可能な情報処理装置を提供することができる。 According to the fifth aspect of the present invention, when the same group users have registered accounts in two different systems, and an individual user out of the group users is managed in one of the two systems It is possible to provide an information processing apparatus capable of associating the accounts of the same group users registered in two different systems even if they do not have user authority.

請求項6に係る本発明によれば、2つの異なるシステムにおいて同一ユーザがそれぞれアカウントを登録している場合であって、そのユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一ユーザのアカウントどうしを対応付けることが可能なプログラムを提供することができる。 According to the present invention according to claim 6, when the same user has registered accounts in two different systems, and the user does not have administrator authority in either of the two systems However, it is possible to provide a program capable of associating accounts of the same user registered in two different systems.

本発明の一実施形態の情報処理システムのシステム構成を示す図である。It is a figure showing the system configuration of the information processing system of one embodiment of the present invention. Open ID Connectのシーケンス例を説明するための図である。FIG. 10 is a diagram for explaining an example of an Open ID Connect sequence; サービス提供サーバ40に対して連携を許可するサービスのURLを登録する際の処理を説明するためのシーケンスチャートである。4 is a sequence chart for explaining processing when registering a URL of a service for which cooperation is permitted with the service providing server 40. FIG. マルチテナント構成の一例を説明するための図である。FIG. 2 is a diagram for explaining an example of a multi-tenant configuration; FIG. 2つのサービスがマルチテナント構成においてID連携を行うとした場合の問題点を説明するための図である。FIG. 4 is a diagram for explaining problems when two services perform ID federation in a multi-tenant configuration; 株式会社Aにおけるユーザ構成例を説明するための図である。FIG. 4 is a diagram for explaining a user configuration example in Corporation A; ABCサービスとXYZサービスのそれぞれにおいて管理者が異なる様子を説明するための図である。FIG. 10 is a diagram for explaining how the ABC service and the XYZ service have different administrators; 本発明の一実施形態におけるサービス提供サーバ10のハードウェア構成を示すブロック図である。2 is a block diagram showing the hardware configuration of service providing server 10 in one embodiment of the present invention; FIG. 本発明の一実施形態におけるサービス提供サーバ10の機能構成を示すブロック図である。1 is a block diagram showing the functional configuration of a service providing server 10 according to one embodiment of the present invention; FIG. サービス提供サーバ10によりABCサービス、XYZサービスという2つのサービスにおけるテナントIDを連携させるための全体シーケンスを示す図である。3 is a diagram showing an overall sequence for linking tenant IDs in two services, ABC service and XYZ service, by the service providing server 10. FIG. ABCサービスの管理者であるユーザ001による操作を説明するためのシーケンスチャートである。4 is a sequence chart for explaining operations by user 001 who is the administrator of ABC service. ABCサービスにおいて登録されているユーザ管理テーブル例を示す図である。FIG. 4 is a diagram showing an example of a user management table registered in ABC service; ユーザ001が連携許可するサービスのURLとしてXYZサービスのURLを入力する様子を示す図である。FIG. 10 is a diagram showing how the user 001 inputs the URL of the XYZ service as the URL of the service for which cooperation is permitted. ユーザ001の端末装置20上に発行されたクライアントIDが表示される様子を示す図である。FIG. 10 is a diagram showing how the client ID issued on the terminal device 20 of the user 001 is displayed. ABCサービスにおける連携許可サービステーブルの一例を示す図である。FIG. 10 is a diagram showing an example of a cooperation permission service table in ABC service; ABCサービスにより発行されたクライアントIDが、ユーザ001によりXYZサービスにおいて入力される様子を示す図である。FIG. 10 is a diagram showing how a client ID issued by ABC service is input by user 001 in XYZ service. ユーザにより入力されたクライアントIDが登録された際の対応付け一時情報テーブルの一例を示す図である。FIG. 10 is a diagram showing an example of a temporary association information table when a client ID input by a user is registered; サービス提供サーバ10により生成されるリダイレクト情報の一例を示す図である。4 is a diagram showing an example of redirect information generated by the service providing server 10; FIG. ABCサービスのログイン画面が表示された表示画面例を示す図である。FIG. 10 is a diagram showing an example of a display screen displaying a login screen for ABC service; サービス提供サーバ40により生成される返信情報例を示す図である。4 is a diagram showing an example of reply information generated by the service providing server 40; FIG. 一時パスワードが発行された際に、対応付け一時情報テーブルが更新される様子を示す図である。FIG. 10 is a diagram showing how the temporary association information table is updated when a temporary password is issued; 発行された一時パスワードがユーザ001の端末装置20上に表示される際の表示画面例を示す図である。FIG. 10 is a diagram showing an example of a display screen when an issued temporary password is displayed on the terminal device 20 of user 001. FIG. 発行された一時パスワードがユーザ001からユーザ002に通知される様子を説明するための図である。FIG. 4 is a diagram for explaining how a user 001 notifies a user 002 of an issued temporary password; サービス提供サーバ10において登録されているユーザ管理テーブル例を示す図である。4 is a diagram showing an example of a user management table registered in the service providing server 10; FIG. XYZサービスの管理者であるユーザ002による操作を説明するためのシーケンスチャートである。FIG. 11 is a sequence chart for explaining operations by a user 002 who is an administrator of the XYZ service; FIG. ユーザ002が一時パスワードをXYZサービスに入力する際の表示画面例を示す図である。FIG. 10 is a diagram showing an example of a display screen when user 002 inputs a temporary password to the XYZ service; 一時パスワードが入力された際に対応付け一時情報テーブルが更新される様子を示す図である。FIG. 10 is a diagram showing how a temporary association information table is updated when a temporary password is entered; ユーザ002の端末装置20がリダイレクトされたことにより表示されるABCサービスのログイン画面例を示す図である。FIG. 10 is a diagram showing an example of a login screen for the ABC service displayed when the terminal device 20 of the user 002 is redirected. サービス提供サーバ40により生成される返信情報例を示す図である。4 is a diagram showing an example of reply information generated by the service providing server 40; FIG. サービス提供サーバ40からの返信情報と対応付け一時情報テーブルとのチェックを行う際の手順を説明するための図である。FIG. 10 is a diagram for explaining a procedure for checking reply information from the service providing server 40 and a temporary association information table; サービス提供サーバ40から受信した返信情報が条件を満たしている場合に、対応付け一時情報テーブルを更新する際の様子を説明するための図である。FIG. 10 is a diagram for explaining how the temporary association information table is updated when the reply information received from the service providing server 40 satisfies the conditions; サービス提供サーバ10に記憶されるテナントID対応付けテーブルの一例を示す図である。4 is a diagram showing an example of a tenant ID correspondence table stored in the service providing server 10; FIG.

次に、本発明の実施の形態について図面を参照して詳細に説明する。 Next, embodiments of the present invention will be described in detail with reference to the drawings.

図1は本発明の一実施形態の情報処理システムのシステム構成を示す図である。 FIG. 1 is a diagram showing the system configuration of an information processing system according to one embodiment of the present invention.

本発明の一実施形態の情報処理システムは、図1に示されるように、サービス提供サーバ10、40と、複数の端末装置20とがインターネット30により相互に接続された構成となっている。 As shown in FIG. 1, the information processing system of one embodiment of the present invention has a configuration in which service providing servers 10 and 40 and a plurality of terminal devices 20 are interconnected via the Internet 30 .

ここで、サービス提供サーバ40は、インターネット30を介してABCサービスをユーザに対して提供している。そして、サービス提供サーバ40は、ユーザ情報をIDトークンとして他のサービスに提供する機能を備えておりIDプロバイダとも呼ばれている。 Here, the service providing server 40 provides the user with the ABC service via the Internet 30 . The service providing server 40 has a function of providing user information as an ID token to other services, and is also called an ID provider.

また、サービス提供サーバ10は、インターネット30を介してXYZサービスをユーザに対して提供している。そして、サービス提供サーバ10は、IDプロバイダであるサービス提供サーバ40からのユーザ情報を利用して、ユーザに対して各種サービスを提供する情報処理装置であり、リソースサーバまたはサービスプロバイダとも呼ばれている。 Also, the service providing server 10 provides XYZ services to users via the Internet 30 . The service providing server 10 is an information processing device that provides various services to users by using user information from the service providing server 40, which is an ID provider, and is also called a resource server or a service provider. .

このように複数のサービス提供サーバによりインターネット30を介してサービスが提供されている場合、ユーザはそれぞれのサービス毎にアカウントを登録するのは面倒であるため、あるサービスのアカウントを利用して他のサービスの提供を受けることができるようなアカウントの相互乗り入れが行われている。 When services are provided via the Internet 30 by a plurality of service providing servers in this way, it is troublesome for the user to register an account for each service. There is a cross-boarding of accounts that can receive the provision of services.

このようなアカウントの相互乗り入れは一般的にはID連携またはIdentify Federationと呼ばれている。このような機能を利用することにより、ユーザは多数のIDやパスワードを管理することなく、各種のクラウドサービスを利用することが可能となる。 Such mutual entry of accounts is generally called ID federation or Identify Federation. By using such functions, the user can use various cloud services without managing a large number of IDs and passwords.

このようなID連携を行うための汎用技術であるOpen ID Connectと呼ばれるシーケンスについて図2を参照して説明する。 A sequence called Open ID Connect, which is a general-purpose technique for performing such ID linkage, will be described with reference to FIG.

まず、ステップS101において、ユーザが端末装置20からサービス提供サーバ10にアクセスして、ABCサービスのアカウントでログインすることを選択する。すると、サービス提供サーバ10は、ステップS102において、サービス提供サーバ40にリダイレクトするためのURL(Uniform Resource Locatorの略)を返信する。 First, in step S101, the user accesses the service providing server 10 from the terminal device 20 and selects to log in with the ABC service account. Then, the service providing server 10 returns a URL (abbreviation of Uniform Resource Locator) for redirecting to the service providing server 40 in step S102.

そして、端末装置20は、ステップS103において、リダイレクトされたURLにアクセスすることによりサービス提供サーバ40にアクセスする。その結果、サービス提供サーバ40は、ステップS104において、端末装置20に対してログイン画面を返信する。 Then, in step S103, the terminal device 20 accesses the service providing server 40 by accessing the redirected URL. As a result, the service providing server 40 returns a login screen to the terminal device 20 in step S104.

そして、ステップS105において、ユーザが端末装置20上に表示されたログイン画面にユーザID、パスワードの入力を行ってログインすると、サービス提供サーバ40は、入力されたユーザIDおよびパスワードを用いて認証を行って認証が成功すると、ステップS106において、ユーザ情報を含むIDトークンを端末装置20に返信する。 Then, in step S105, when the user logs in by entering the user ID and password on the login screen displayed on the terminal device 20, the service providing server 40 performs authentication using the entered user ID and password. If the authentication is successful, the ID token including the user information is returned to the terminal device 20 in step S106.

すると、端末装置20は、ステップS107において、返信されたIDトークンをサービス提供サーバ10に提示する。すると、サービス提供サーバ10では、ステップS108において、端末装置20から提示されたIDトークンが正規に発行されたものであるか否かを電子署名情報等により検証する。 Then, the terminal device 20 presents the returned ID token to the service providing server 10 in step S107. Then, in step S108, the service providing server 10 verifies whether or not the ID token presented by the terminal device 20 has been legitimately issued, based on electronic signature information or the like.

そして、この検証においてIDトークンが正規に発行されたものであることが確認された場合、サービス提供サーバ10は、ステップS109において、ユーザに対してログインを許可する。 If it is confirmed in this verification that the ID token has been issued legally, the service providing server 10 permits the user to log in at step S109.

このようなシーケンスにより、ユーザは、サービス提供サーバ10により提供されるXYZサービスのアカウントを保有していなくても、XYZサービスを利用することができるようになる。 With such a sequence, the user can use the XYZ service provided by the service providing server 10 without having an account for the XYZ service.

ここで、IDプロバイダは、マイクロソフト社や、グーグル社のような限られた企業により提供されたサーバであるため限定された数しか存在しないのに対して、リソースサーバは、多数存在している。そのため、セキュリティ上の観点から、予め登録されたリソースサーバのみがIDプロバイダと連携することができるよう制限されている場合がある。 Here, there are only a limited number of ID providers because they are servers provided by a limited number of companies such as Microsoft Corporation and Google, but there are many resource servers. Therefore, from a security point of view, there are cases where only pre-registered resource servers are restricted to cooperate with the ID provider.

このようにIDプロバイダであるサービス提供サーバ10と連携可能なリソースサーバを事前に登録する際には、そのリソースサーバのURLをサービス提供サーバ40に対して登録するような設定となっている場合がある。 When registering in advance a resource server that can cooperate with the service providing server 10, which is an ID provider, in some cases, the URL of the resource server is registered with the service providing server 40. be.

このようにサービス提供サーバ40に対して連携を許可するサービスのURLを登録する際の処理を図3のシーケンスチャートを参照して説明する。 The process of registering the URL of the service for which cooperation is permitted with respect to the service providing server 40 in this way will be described with reference to the sequence chart of FIG.

ここで、サービス提供サーバ10により提供されるXYZサービスを、連携を許可するサービスとして登録する場合について説明する。この場合、ABCサービスの管理者権限を有するユーザ(以下、単に管理者と称する。)が、ステップS201において、端末装置20を介してサービス提供サーバ40に対してサービス提供サーバ10のURLを登録する。 Here, a case will be described where the XYZ service provided by the service providing server 10 is registered as a service for which cooperation is permitted. In this case, a user having administrative authority for the ABC service (hereinafter simply referred to as an administrator) registers the URL of the service providing server 10 with the service providing server 40 via the terminal device 20 in step S201. .

すると、サービス提供サーバ40では、ステップS202において、このURLを連携許可サービステーブルに登録する。すると、あるユーザが、図2に示すようなXYZサービスとABCサービスとの間でID連携を行うことができるようになる。 Then, in the service providing server 40, in step S202, this URL is registered in the cooperation permission service table. Then, a certain user can perform ID cooperation between the XYZ service and the ABC service as shown in FIG.

ここで、近年のクラウドサービスでは、1つの装置を用いて複数の顧客を対象にサービスを提供することが行われている。このようなサービスの提供方法は、マルチテナントと呼ばれている。 Here, in recent cloud services, one device is used to provide services to a plurality of customers. Such a service provision method is called multi-tenancy.

このようなマルチテナント構成例を図4に示す。図4では、ABCサービスとXYZサービスの両方のサービスがともにマルチテナント構成となっている場合が示されている。 An example of such a multi-tenant configuration is shown in FIG. FIG. 4 shows a case where both the ABC service and the XYZ service have a multi-tenant configuration.

この図4に示した例では、ABCサービスとXYZサービスのそれぞれにおいて、各テナントはテナントIDにより管理されている。 In the example shown in FIG. 4, each tenant is managed by a tenant ID in each of the ABC service and the XYZ service.

このような構成の場合、リソースサーバであるXYZサービス側において、どのテナントが、IDプロバイダのどのテナントと対応しているのかという対応情報が必要になる場合がある。 In such a configuration, the XYZ service side, which is the resource server, may need correspondence information indicating which tenant corresponds to which tenant of the ID provider.

例えば、株式会社Aに設置されている複合機の出力枚数情報がXYZサービスにおいて管理されていて、株式会社Aの所属部門情報がABCサービスにおいて管理されているような場合、複合機の出力枚数を部門別に集計しようとした場合、株式会社AのXYZサービスにおけるテナントIDと、株式会社AのABCサービスにおけるテナントIDとを対応付ける必要がある。 For example, if the information on the number of pages printed on a multifunction device installed at Company A is managed by the XYZ service, and the information on the department to which Company A belongs is managed by the ABC service, the number of pages printed on the multifunction device is When trying to aggregate by department, it is necessary to associate the tenant ID in the XYZ service of Company A with the tenant ID in the ABC service of Company A.

具体的には、株式会社AのXYZサービスにおけるテナントIDである「123A」と、株式会社AのABCサービスにおけるテナントIDである「xyz-A」とを対応付ける必要がある。 Specifically, it is necessary to associate the tenant ID "123A" in the XYZ service of Corporation A with the tenant ID "xyz-A" in the ABC service of Corporation A.

ここで、上記で説明したようにABCサービスにおいてXYZサービスとの連携を可能とするために、XYZサービスのURLを登録した場合、XYZサービス全体がABCサービスとの連携が許可されたことになる。つまり、図5に示すように、XYZサービスのURLである「https://xyzservice.com/re」をABCサービスに登録した場合、XYZサービスにおける全てのテナントがABCサービスと連携可能となってしまう。 Here, if the URL of the XYZ service is registered in order to enable cooperation with the XYZ service in the ABC service as described above, cooperation of the entire XYZ service with the ABC service is permitted. In other words, as shown in Fig. 5, if the XYZ service URL "https://xyzservice.com/re" is registered in the ABC service, all tenants in the XYZ service will be able to cooperate with the ABC service. .

その結果、株式会社BのXYZサービスにおけるテナントIDと、株式会社AのABCサービスにおけるテナントIDとを対応付けることも可能となってしまうことになる。 As a result, it becomes possible to associate the tenant ID in the XYZ service of Company B with the tenant ID in the ABC service of Company A.

ここで、このようなテナントIDを対応付ける手段としては、IDプロバイダであるサービス提供サーバ40にユーザをログインさせて、その際に発行されたIDトークンを用いる手段が利用されている。具体的には、図2に示したシーケンスにおけるステップS106において発行されたIDトークンにIDプロバイダにおけるテナント情報が含まれるため、リソースサーバであるサービス提供サーバ10では、そのテナント情報におけるテナントIDと、自装置におけるおのユーザのテナントIDとを対応付けるような方法が用いられる。 Here, as means for associating such tenant IDs, a means is used in which a user is logged in to the service providing server 40, which is an ID provider, and an ID token issued at that time is used. Specifically, since the ID token issued in step S106 in the sequence shown in FIG. A method of associating the tenant ID of each user in the device is used.

ただし、このような方法を用いる場合、図6に示すように、社内の複数部署でそれぞれXYZサービスを利用している場合、管理者001がユーザ002に対して連携利用を許可すると、許可していないユーザ003も連携利用できるようになってしまう。これは、図3に示したように、管理者001が設定できるのはXYZサービス全体に対する許可設定のためだからである。 However, when such a method is used, as shown in FIG. 6, when multiple departments in the company use the XYZ service, when the administrator 001 permits the user 002 to use the cooperative use, the permission is granted. Even the user 003 who does not have access to the system can use the system in cooperation. This is because, as shown in FIG. 3, the administrator 001 can set permissions for the entire XYZ service.

このような問題を回避するために、図2のステップS106に含まれるログインしたユーザが管理者か否かのフラグを確認し、管理者である場合にだけ処理を実行する方法も考えられる。しかし、この方法を用いる場合には、ABCサービスにおける管理者とXYZサービスにおける管理者とが同一ユーザである必要がある。 In order to avoid such a problem, it is conceivable to check a flag indicating whether the logged-in user is an administrator included in step S106 of FIG. 2, and execute processing only when the logged-in user is an administrator. However, when using this method, the administrator of the ABC service and the administrator of the XYZ service must be the same user.

つまり、本実施形態の情報処理システムでは、図7に示すように、ABCサービスとXYZサービスの各サービスにおいて管理者が異なる状態においても、両管理者が許可したテナントに対してのみ対応付けを行いたい場合について説明する。つまり、図6に示したユーザ003が管理者となっているテナントに対しては対応付けができないような状態としつつ、ユーザ002が管理者となっているテナントに対してのみ対応付けを行ができるようにする。 In other words, in the information processing system of this embodiment, as shown in FIG. 7, even if the administrators of the ABC service and the XYZ service are different, only the tenants permitted by both administrators are associated. If you want to In other words, while the tenant shown in FIG. It can be so.

次に、本実施形態の情報処理システムにおけるサービス提供サーバ10のハードウェア構成を図8に示す。 Next, FIG. 8 shows the hardware configuration of the service providing server 10 in the information processing system of this embodiment.

サービス提供サーバ10は、図8に示されるように、CPU11、メモリ12、ハードディスクドライブ等の記憶装置13、ネットワーク30を介して外部の装置等との間でデータの送信及び受信を行う通信インタフェース(IFと略す。)14、タッチパネル又は液晶ディスプレイ並びにキーボードを含むユーザインタフェース(UIと略す。)装置15を有する。これらの構成要素は、制御バス16を介して互いに接続されている。 As shown in FIG. 8, the service providing server 10 includes a CPU 11, a memory 12, a storage device 13 such as a hard disk drive, and a communication interface ( IF) 14, and a user interface (UI) device 15 including a touch panel or liquid crystal display and a keyboard. These components are connected to each other via a control bus 16 .

CPU11は、メモリ12または記憶装置13に格納された制御プログラムに基づいて所定の処理を実行して、サービス提供サーバ10の動作を制御する。なお、本実施形態では、CPU11は、メモリ12または記憶装置13内に格納された制御プログラムを読み出して実行するものとして説明するが、当該プログラムをCD-ROM等の記憶媒体に格納してCPU11に提供することも可能である。 The CPU 11 executes predetermined processing based on a control program stored in the memory 12 or storage device 13 to control the operation of the service providing server 10 . In this embodiment, the CPU 11 reads and executes a control program stored in the memory 12 or the storage device 13. It is also possible to provide

図9は、上記の制御プログラムが実行されることにより実現されるサービス提供サーバ10の機能構成を示すブロック図である。 FIG. 9 is a block diagram showing the functional configuration of the service providing server 10 realized by executing the above control program.

なお、以下の説明においては、リソースサーバであるサービス提供サーバ10において、株式会社AのABCサービスにおけるテナントIDと、株式会社AのXYZサービスにおけるテナントIDとを対応付けて記憶する場合を用いて説明する。 In the following description, the service providing server 10, which is a resource server, stores the tenant ID in the ABC service of Company A and the tenant ID in the XYZ service of Company A in association with each other. do.

本実施形態のサービス提供サーバ10は、図9に示されるように、一時パスワード発行部31と、ユーザ管理テーブル記憶部32と、認証処理部33と、データ送受信部34と、制御部35と、対応付け一時情報テーブル記憶部36と、テナントID対応付けテーブル記憶部37とを備えている。 As shown in FIG. 9, the service providing server 10 of this embodiment includes a temporary password issuing unit 31, a user management table storage unit 32, an authentication processing unit 33, a data transmission/reception unit 34, a control unit 35, A temporary correspondence information table storage unit 36 and a tenant ID correspondence table storage unit 37 are provided.

一時パスワード発行部31は、第1システムであるABCサービスにおいて管理者権限を有するユーザからの操作に基づいて、このユーザにより指定されたABCサービスにおけるテナントIDと対応づけられた一時パスワードを発行する。ここで、一時パスワードとは、有効期限が設定されており継続的な仕様を前提としない仮認証情報である。 The temporary password issuing unit 31 issues a temporary password associated with the tenant ID in the ABC service designated by the user, based on the operation of the user who has the administrator authority in the ABC service, which is the first system. Here, the temporary password is temporary authentication information that has an expiration date and is not premised on continuous use.

ユーザ管理テーブル記憶部32は、各ユーザのユーザID、所属するグループのテナントID、パスワード、ユーザ種類の情報等が対応付けられたユーザ管理テーブルを記憶する。 The user management table storage unit 32 stores a user management table in which the user ID of each user, the tenant ID of the group to which the user belongs, the password, the information on the user type, etc. are associated with each other.

認証処理部33は、XYZサービスを利用しようとするユーザの認証処理を実行する。 The authentication processing unit 33 performs authentication processing for users who attempt to use the XYZ service.

データ送受信部34は、端末装置20やサービス提供サーバ40との間においてデータの送受信を行う。 The data transmission/reception unit 34 transmits and receives data to/from the terminal device 20 and the service providing server 40 .

制御部35は、第2のシステムであるXYZサービスの管理者権限を有するユーザが一時パスワードを提示してABCサービスとの連携を要求してきた際に、一時パスワード発行部31により発行した一時パスワードと提示された一時パスワードとが一致した場合、この一時パスワードと対応付けられたABCサービスにおけるテナントIDと、XYZサービスの管理者権限を有するユーザが指定したテナントIDとを対応付ける。 The control unit 35 receives the temporary password issued by the temporary password issuing unit 31 and If the presented temporary password matches, the tenant ID in the ABC service associated with this temporary password is associated with the tenant ID specified by the user who has administrator authority for the XYZ service.

具体的には、制御部35は、XYZサービスの管理者が一時パスワードを提示してABCサービスとの連携を要求してきた場合に、XYZサービスの管理者からの接続要求をリダイレクトすることによりABCサービスにおけるログイン画面に転送する。そして、制御部35は、XYZサービスの管理者がABCサービスにログインすることができた旨の情報が返信されてきた場合、対応付け一時情報テーブル記憶部36の対応付け一時情報テーブルにおいて記憶されているABCサービスにおけるテナントIDと、ログイン中のXYZサービスの管理者が使用しているXYZサービスのテナントIDとを対応付ける。 Specifically, when the administrator of the XYZ service presents a temporary password and requests cooperation with the ABC service, the control unit 35 redirects the connection request from the administrator of the XYZ service to the ABC service. forward to the login screen in When information indicating that the administrator of the XYZ service has logged in to the ABC service is returned, the control unit 35 stores the information in the temporary association information table of the temporary association information table storage unit 36. The tenant ID of the ABC service that is currently logged in is associated with the tenant ID of the XYZ service that is used by the administrator of the XYZ service who is logged in.

なお、本実施形態においては、XYZサービスにおける管理者権限を有するユーザが、ABCサービスの管理者権限を有するユーザから通知された一時パスワードを用いて、2つのサービスにおけるテナントIDの対応付けを行う場合について説明するが、XYZサービスにおける管理者権限を有するユーザの代わりにXYZサービスを利用するユーザであっても同様の処理を行うことが可能である。 In this embodiment, a user with administrator authority in the XYZ service uses a temporary password notified by a user with administrator authority in the ABC service to associate the tenant IDs of the two services. However, even a user who uses the XYZ service instead of a user who has administrator authority in the XYZ service can perform similar processing.

対応付け一時情報テーブル記憶部36は、一時パスワードと、ABCサービスの管理者により指定されたABCサービスにおける株式会社AのテナントIDとを対応付ける対応付け一時情報テーブルを記憶する。なお、この対応付け一時情報テーブルは、XYZサービスの管理者からの接続要求をABCサービスにおけるログイン画面に転送する際に発行されたstateおよびnonceを、一時パスワードとABCサービスにおけるテナントIDに対応付けて記憶する。 The temporary association information table storage unit 36 stores a temporary association information table that associates the temporary password with the tenant ID of Co., Ltd. A in the ABC service specified by the administrator of the ABC service. This association temporary information table associates the state and nonce issued when transferring the connection request from the administrator of the XYZ service to the login screen of the ABC service with the temporary password and the tenant ID of the ABC service. Remember.

ここで、stateおよびnonceとは、ユーザからの接続要求をリダイレクトすることによりサービス提供サーバ40から返信されてきた返信情報が一連のセッションに基づくものであることを確認するための確認情報である。つまり、リダイレクト情報に含めたstateおよびnonceと、返信情報に含まれているstateおよびnonceが一致することを確認することにより、この返信情報が正規な処理に基づいて返信されたものであることを確認することができる。 Here, the state and nonce are confirmation information for confirming that the reply information returned from the service providing server 40 by redirecting the connection request from the user is based on a series of sessions. In other words, by confirming that the state and nonce included in the redirect information match the state and nonce included in the reply information, it is possible to confirm that this reply information was returned based on normal processing. can be confirmed.

つまり、制御部35は、ABCサービスから返信されてきた、XYZサービスの管理者がABCサービスにログインすることができた旨の情報に、対応付け一時情報テーブルに記憶されているstateおよびnonceが含まれている場合に、対応付け一時情報テーブルに記憶されているABCサービスのテナントIDと、ログイン中のXYZサービスの管理者が使用しているXYZサービスのテナントIDとを対応付ける。 That is, the control unit 35 determines that the information returned from the ABC service indicating that the administrator of the XYZ service was able to log in to the ABC service includes the state and nonce stored in the association temporary information table. If so, the tenant ID of the ABC service stored in the temporary association information table is associated with the tenant ID of the XYZ service used by the logged-in administrator of the XYZ service.

テナントID対応付けテーブル記憶部37は、制御部35により対応付けられたABCサービスにおけるテナントIDとXYZサービスにおけるテナントIDとの対応関係をテナントID対応付けテーブルとして記憶する。 The tenant ID association table storage unit 37 stores, as a tenant ID association table, the correspondence relationship between the tenant IDs in the ABC service and the tenant IDs in the XYZ service that are associated by the control unit 35 .

なお、一時パスワード発行部31により発行される一時パスワードは、有効期限が設定されている認証情報である。そのため、制御部35は、XYZサービスの管理者が一時パスワードを提示してABCサービスとの連携を要求してきた場合でも、現在の日時がその一時パスワードの有効期限を過ぎている場合、XYZサービスの管理者からのABCサービスとの連携要求を拒否する。 The temporary password issued by the temporary password issuing unit 31 is authentication information with an expiration date. Therefore, even if the administrator of the XYZ service presents a temporary password and requests cooperation with the ABC service, if the current date and time has passed the expiration date of the temporary password, the control unit 35 cannot use the XYZ service. Reject the request for cooperation with the ABC service from the administrator.

ここで、ABCサービスにおけるテナントIDとは、ABCサービスの管理者およびXYZサービスの管理者が属するグループである株式会社AのABCサービスにおけるグループ識別子である。また、同様にXYZサービスにおけるテナントIDとは、ABCサービスの管理者およびXYZサービスの管理者が属するグループである株式会社AのXYZサービスにおけるグループ識別子である。 Here, the tenant ID in the ABC service is a group identifier in the ABC service of Corporation A, which is the group to which the administrator of the ABC service and the administrator of the XYZ service belong. Similarly, the tenant ID in the XYZ service is a group identifier in the XYZ service of Corporation A, which is the group to which the administrator of the ABC service and the administrator of the XYZ service belong.

次に、本実施形態の情報処理システムにおけるサービス提供サーバ10の動作について図面を参照して詳細に説明する。 Next, the operation of the service providing server 10 in the information processing system of this embodiment will be described in detail with reference to the drawings.

まず、サービス提供サーバ10によりABCサービス、XYZサービスという2つのサービスにおけるテナントIDを連携させるための全体シーケンスを図10に示す。 First, FIG. 10 shows an overall sequence for linking tenant IDs in two services, ABC service and XYZ service, by the service providing server 10 .

(1)まず、ABCサービスの管理者であるユーザ001が、ABCサービスを操作して、XYZサービスとの連携許可を登録する。 (1) First, the user 001 who is the administrator of the ABC service operates the ABC service and registers cooperation permission with the XYZ service.

(2)次に、ABCサービスの管理者であるユーザ001が、XYZサービスを操作して、一時パスワードの発行処理を行う。 (2) Next, the user 001 who is the administrator of the ABC service operates the XYZ service to issue a temporary password.

(3)そして、ユーザ001が、発行した一時パスワードを、XYZサービスの管理者であるユーザ002に、電子メールや電話等により通知する。 (3) Then, the user 001 notifies the issued temporary password to the user 002 who is the administrator of the XYZ service by e-mail, telephone, or the like.

(4)最後に、XYZサービスの管理者であるユーザ002が、XYZサービスを操作して、通知された一時パスワードを用いて、ABCサービスにおける株式会社AのテナントIDと、XYZサービスにおける株式会社AのテナントIDとを対応付ける処理を実行する。 (4) Finally, user 002, who is the administrator of the XYZ service, operates the XYZ service and uses the notified temporary password to enter the tenant ID of company A in the ABC service and the tenant ID of company A in the XYZ service. Execute the process of associating with the tenant ID of .

以下においてはこの全体シーケンスにおける各処理の詳細について順次説明する。 Details of each process in this overall sequence will be described below.

最初に、上記で説明した全体シーケンスにおける(1)、(2)の処理であるABCサービスの管理者であるユーザ001による操作について図11のシーケンスチャートを参照して説明する。 First, operations by the user 001 who is the administrator of the ABC service, which are the processes (1) and (2) in the overall sequence described above, will be described with reference to the sequence chart of FIG.

なお、この説明の前にABCサービスにおいて登録されているユーザ管理テーブル例を図12に示す。図12を参照すると、ユーザ001は、ユーザIDが「U001@idp.example.com」、パスワードが「pw001」、ユーザ種類が「管理者」、テナントIDが「123A」となっているのが分かる。なお、この「123A」というテナントIDは、株式会社AのABCサービスにおけるグループ識別子である。 Before this explanation, FIG. 12 shows an example of a user management table registered in the ABC service. Referring to FIG. 12, it can be seen that the user 001 has a user ID of "U001@idp.example.com", a password of "pw001", a user type of "administrator", and a tenant ID of "123A". . The tenant ID "123A" is a group identifier in the ABC service of Company A.

また、図12を参照すると、ユーザ002は、ユーザIDが「U002@idp.example.com」、パスワードが「pw002」、ユーザ種類が「一般ユーザ」、テナントIDが「123A」となっているのが分かる。つまり、ユーザ001、ユーザ002はともに株式会社Aというグループに属するユーザである。 Also, referring to FIG. 12, the user 002 has a user ID of "U002@idp.example.com", a password of "pw002", a user type of "general user", and a tenant ID of "123A". I understand. In other words, both the users 001 and 002 belong to the group A Corporation.

このようなユーザ登録が行われている状態において、ユーザ001は、ステップS301において、端末装置20からサービス提供サーバ40にアクセスしてユーザIDおよびパスワードを入力してログインした後に、ステップS302において、連携許可を行うXYZサービスのURLを登録するための処理を行う。このユーザ001が連携許可するサービスのURLとしてXYZサービスのURLを入力する様子を図13に示す。図13では、ユーザ001が端末装置20から「https://xyzservice.com/re」というXYZサービスのURLを入力する様子が示されている。 In such a state where user registration is performed, the user 001 accesses the service providing server 40 from the terminal device 20 in step S301, inputs the user ID and password to log in, and then in step S302 Perform processing for registering the URL of the XYZ service to be permitted. FIG. 13 shows how the user 001 inputs the URL of the XYZ service as the URL of the service for which cooperation is permitted. FIG. 13 shows how the user 001 inputs the XYZ service URL "https://xyzservice.com/re" from the terminal device 20 .

このようなユーザ001からの登録要求を受けたサービス提供サーバ40は、ステップS303において、XYZサービスのURLを連携許可サービステーブルに登録する。 The service providing server 40 that receives such a registration request from the user 001 registers the URL of the XYZ service in the cooperation permission service table in step S303.

そして、サービス提供サーバ40は、ステップS304において、クライアントIDを発行し、ステップS305においてユーザ001の端末装置20に送信する。 Then, the service providing server 40 issues a client ID in step S304, and transmits it to the terminal device 20 of the user 001 in step S305.

このようにしてユーザ001の端末装置20上に発行されたクライアントIDが表示される様子を図14に示す。また、発行されたクライアントIDと、XYZサービスのURLと株式会社AのテナントIDとは、ABCサービスにおける連携許可サービステーブルにおいて対応付けて記憶される。この連携許可サービステーブルの一例を図15に示す。 FIG. 14 shows how the issued client ID is displayed on the terminal device 20 of the user 001 in this way. Also, the issued client ID, the URL of the XYZ service, and the tenant ID of Co., Ltd. A are stored in association with each other in the cooperation permission service table in the ABC service. An example of this cooperation permission service table is shown in FIG.

次に、ユーザ001は、ステップS306において、XYZサービスのサービス提供サーバ10にアクセスして、ステップS307において、発行されたクライアントIDを入力する。ユーザ001によりクライアントIDが入力される様子を図16に示す。図16では、ユーザ001が端末装置20において、ABCサービスから発行されたクライアントIDをXYZサービスにおいて入力する様子が示されている。 Next, the user 001 accesses the service providing server 10 of the XYZ service in step S306, and inputs the issued client ID in step S307. FIG. 16 shows how the user 001 inputs the client ID. FIG. 16 shows how the user 001 inputs the client ID issued by the ABC service to the XYZ service on the terminal device 20 .

ここで、図16に示した画面は、ユーザ001がサービス提供サーバ10の連携設定URLにアクセスすることにより表示される画面であり、マルチテナント管理とは別管理で表示される画面である。つまり、ユーザ001は、例えXYZサービスにおけるアカウントを保持していなくても操作可能な画面となっている。 Here, the screen shown in FIG. 16 is a screen displayed when the user 001 accesses the link setting URL of the service providing server 10, and is a screen displayed under management different from multi-tenant management. In other words, the user 001 can operate the screen even if he or she does not have an account for the XYZ service.

そして、サービス提供サーバ10では、ユーザ001から入力されたクライアントIDが対応付け一時情報テーブルに登録される。このように入力されたクライアントIDが登録された際の対応付け一時情報テーブルの一例を図17に示す。 Then, in the service providing server 10, the client ID input by the user 001 is registered in the association temporary information table. FIG. 17 shows an example of the association temporary information table when the client ID input in this way is registered.

図17に示された対応付け一時情報テーブルでは、クライアントIDとともにstate、nonce、有効期限、状態の各種情報が対応付けられているのが分かる。図17に示されるように、クライアントIDが登録された際に、stateおよびnonceの情報が発行される。 In the association temporary information table shown in FIG. 17, it can be seen that various types of information such as state, nonce, expiration date, and state are associated with the client ID. As shown in FIG. 17, information of state and nonce is issued when the client ID is registered.

すると、サービス提供サーバ10は、ステップS308において、図18に示すようなリダイレクト情報を生成してユーザ001の端末装置20に送信して、端末装置20の接続先をリダイレクトさせる。 Then, the service providing server 10 generates redirect information as shown in FIG. 18 and transmits it to the terminal device 20 of the user 001 to redirect the connection destination of the terminal device 20 in step S308.

図18に示されたリダイレクト情報は、リダイレクト先であるABCサービスのURL、サービス提供サーバ10において発行されたコード情報であるstateおよびnonce、クライアントID、リクエスト種別を特定するための情報、XYZサービスのURLから構成されている。 The redirect information shown in FIG. 18 includes the URL of the ABC service that is the redirect destination, the state and nonce that are code information issued by the service providing server 10, the client ID, information for specifying the request type, and the XYZ service. It consists of a URL.

そして、ユーザ001の端末装置20がリダイレクトされたことにより表示される表示画面例を図19に示す。図19に示す表示画面では、ABCサービスのログイン画面が表示されている。そのため、ユーザ001は、ステップS309において、このログイン画面にユーザIDおよびパスワードを入力してABCサービスにログインする。ここで、IDプロバイダであるサービス提供サーバ40は、ログイン時に入力されたユーザIDおよびパスワードが正しいこと、ログインしたユーザ001の属するテナントのテナントIDと対応付けて、クライアントIDとURLが連携許可サービステーブルに登録されていることを確認する。 FIG. 19 shows an example of a display screen displayed when the terminal device 20 of the user 001 is redirected. The display screen shown in FIG. 19 displays the login screen of the ABC service. Therefore, in step S309, the user 001 logs in to the ABC service by entering the user ID and password on this login screen. Here, the service providing server 40, which is the ID provider, confirms that the user ID and password entered at the time of login are correct, and associates the client ID and the URL with the tenant ID of the tenant to which the logged-in user 001 belongs. Make sure you are registered with

ここでは、図15に示した連携許可サービステーブルにおいて、ログインしたユーザ001の属するテナントのテナントID「123A」、クライアントID「cid0005」、URL「https://xyzservice.com/re」が登録されていることが確認される。 Here, in the cooperation permission service table shown in FIG. 15, the tenant ID "123A", the client ID "cid0005", and the URL "https://xyzservice.com/re" of the tenant to which the logged-in user 001 belongs are registered. It is confirmed that there is

よって、ユーザ001によるログイン処理は正常に行われ、サービス提供サーバ40は、ステップS310において、図20に示すような返信情報を含むリダイレクト情報を生成して端末装置20に対して送信する。すると、端末装置20は、ステップS311において、リダイレクト情報によって指定されたURLにアクセスすることによりサービス提供サーバ10に返信情報を送信する。 Therefore, the login process by the user 001 is performed normally, and the service providing server 40 generates redirect information including reply information as shown in FIG. 20 and transmits it to the terminal device 20 in step S310. Then, in step S311, the terminal device 20 transmits reply information to the service providing server 10 by accessing the URL specified by the redirect information.

ここで、図20に示す返信情報には、株式会社AのABCサービスにおけるテナントID「123A」、ユーザID「U001@idp.example.com」、ユーザ種類「管理者」、state「123123」およびnonce「456456」の情報が含まれている。 Here, the reply information shown in FIG. The information of "456456" is included.

すると、サービス提供サーバ10は、この返信情報に対して以下のようなチェックを行う。 Then, the service providing server 10 performs the following checks on this reply information.

(1)返信情報が「idp.example.com」により正しく署名されていること
(2)返信情報におけるユーザ種類が「管理者」であること
(3)返信情報におけるstateおよびnonceの情報が正しいこと
(4)対応付け一時情報テーブルにおける有効期限が過ぎていないこと
(5)対応付け一時情報テーブルにおける「状態」が「管理者ログイン中」であること (1) The reply information is correctly signed by "idp.example.com" (2) The user type in the reply information is "Administrator" (3) The state and nonce information in the reply information is correct (4) The expiration date in the temporary association information table has not passed. (5) The "status" in the temporary association information table is "administrator logged in."

そして、上記の条件が全て満たされた場合、サービス提供サーバ10は、IDプロバイダであるサービス提供サーバ40の管理者による連携許可の承認が得られたものであると判定して、ステップS312において、一時パスワードを発行して対応付け一時情報テーブルを更新する。 Then, when all of the above conditions are satisfied, the service providing server 10 determines that the administrator of the service providing server 40, which is the ID provider, has obtained permission for cooperation, and in step S312, Issue a temporary password and update the association temporary information table.

このようにして対応付け一時情報テーブルが更新される様子を図21に示す。図21を参照すると、一時パスワードが発行されたことにより、発行された一時パスワード「987987」が登録され、連携先テナントIDとしてABCサービスのテナントID「123A」が登録され、「状態」が「管理者ログイン中」から「一時PW(パスワードの略)発行中」に変更されているのが分かる。 FIG. 21 shows how the association temporary information table is updated in this way. Referring to FIG. 21, when the temporary password is issued, the issued temporary password “987987” is registered, the tenant ID “123A” of the ABC service is registered as the cooperation destination tenant ID, and the “status” is “administration It can be seen that the status has been changed from "person logged in" to "temporary PW (abbreviation for password) issued".

そして、このようにして発行された一時パスワードがユーザ001の端末装置20上に表示される際の表示画面例を図22に示す。図22に示した表示画面例では、一時パスワード「987987」の情報とともに、この一時パスワードの有効期限がユーザ001に示されていること分かる。 FIG. 22 shows an example of a display screen when the temporary password issued in this way is displayed on the terminal device 20 of the user 001. As shown in FIG. In the display screen example shown in FIG. 22, it can be seen that the expiration date of this temporary password is shown to user 001 together with the information of the temporary password "987987".

そして、このように一時パスワードがサービス提供サーバ10により発行されると、ユーザ001は、図23に示すように、XYZサービスの管理者であるユーザ002に発行された一時パスワードを通知する。この一時パスワードの通知は、例えば、電子メール、FAX、電話等の様々な方法を用いることができる。つまり、ユーザ001とユーザ002とは同じ場所にいる必要はなく、それぞれが異なる場所にいる場合でも本実施形態によるID連携の処理を実行することができる。 Then, when the temporary password is issued by the service providing server 10 in this way, the user 001 notifies the issued temporary password to the user 002 who is the administrator of the XYZ service, as shown in FIG. Various methods such as e-mail, FAX, and telephone can be used to notify the temporary password. In other words, the user 001 and the user 002 do not need to be in the same place, and even if they are in different places, the ID federation process according to this embodiment can be executed.

次に、XYZサービスの管理者であるユーザ002が、ユーザ001から通知された一時パスワードを用いて、2つのサービスにおけるテナントIDどうしを関連付ける際の処理について説明する。 Next, a description will be given of a process when the user 002 who is the administrator of the XYZ service uses the temporary password notified by the user 001 to associate the tenant IDs of the two services.

なお、この説明の前にサービス提供サーバ10において登録されているユーザ管理テーブル例を図24に示す。図24を参照すると、ユーザ002は、ユーザIDが「U002@xyzservice.com」、パスワードが「abcabc」、ユーザ種類が「管理者」、テナントIDが「xyz-A」となっているのが分かる。なお、この「xyz-A」というテナントIDは、株式会社AのXYZサービスにおけるグループ識別子である。 Before this explanation, an example of a user management table registered in the service providing server 10 is shown in FIG. Referring to FIG. 24, it can be seen that the user 002 has a user ID of "U002@xyzservice.com", a password of "abcabc", a user type of "administrator", and a tenant ID of "xyz-A". . The tenant ID "xyz-A" is a group identifier in the XYZ service of Company A.

次に、図10を参照して説明した全体シーケンスにおける(4)の処理である、XYZサービスの管理者であるユーザ002による操作について図25のシーケンスチャートを参照して説明する。 Next, the operation by the user 002 who is the administrator of the XYZ service, which is the process (4) in the overall sequence described with reference to FIG. 10, will be described with reference to the sequence chart of FIG.

まず、ユーザ002は、ステップS401において、端末装置20を操作してサービス提供サーバ10にアクセスして図24に示したようなユーザIDおよびパスワードを入力するによりXYZサービスにログインする。 First, in step S401, the user 002 operates the terminal device 20 to access the service providing server 10, and logs in to the XYZ service by entering a user ID and password as shown in FIG.

そして、ログイン処理が行われた後に、ユーザ002は、ステップS402において、端末装置20を操作して、ユーザ001から通知された一時パスワードをXYZサービスに入力する。このようにユーザ002が一時パスワードをXYZサービスに入力する際の表示画面例を図26に示す。 After the login process is performed, the user 002 operates the terminal device 20 to input the temporary password notified by the user 001 to the XYZ service in step S402. FIG. 26 shows an example of a display screen when the user 002 inputs the temporary password to the XYZ service.

このようにして一時パスワードが入力されるとサービス提供サーバ10では、入力された一時パスワードと同じ一時パスワードが対応付け一時情報テーブルに登録されていて、かつ、「状態」が「一時PW発行中」であるか否かを検索する。そして、同じ一時パスワードが登録されており、「状態」が「一時PW発行中」である場合、サービス提供サーバ10は、図18に示した構成と同様の構成のリダイレクト情報を生成する。 When the temporary password is entered in this way, the service providing server 10 confirms that the same temporary password as the entered temporary password is registered in the associated temporary information table, and the "state" is "temporary PW issuance". Search whether or not Then, when the same temporary password is registered and the "state" is "issued temporary PW", the service providing server 10 generates redirect information having the same configuration as that shown in FIG.

そして、サービス提供サーバ10では、対応付け一時情報テーブルが更新される。このように一時パスワードが入力された際に対応付け一時情報テーブルが更新される様子を図27に示す。 Then, in the service providing server 10, the association temporary information table is updated. FIG. 27 shows how the temporary association information table is updated when the temporary password is entered in this way.

図27を参照すると、一時パスワードが入力されたことにより対応付け一時情報テーブルでは新たな欄が設けられて、一時パスワード、クライアントID、「状態」が「ユーザログイン中」、期限、新たなstateおよびnonceが対応付けて記憶されているのが分かる。 Referring to FIG. 27, when a temporary password is entered, new columns are provided in the association temporary information table, and temporary password, client ID, "state" is "user logged in", time limit, new state and It can be seen that the nonce is associated and stored.

次に、サービス提供サーバ10は、ステップS403において、生成したリダイレクト情報をユーザ002の端末装置20に送信して、端末装置20の接続先をリダイレクトさせる。 Next, the service providing server 10 transmits the generated redirect information to the terminal device 20 of the user 002 to redirect the connection destination of the terminal device 20 in step S403.

そして、ユーザ002の端末装置20がリダイレクトされたことにより表示される表示画面例を図28に示す。図28に示す表示画面では、ABCサービスのログイン画面が表示されている。そのため、ユーザ002は、ステップS404において、このログイン画面にユーザIDおよびパスワードを入力してABCサービスにログインする。すると、IDプロバイダであるサービス提供サーバ40は、ユーザIDとパスワードを確認することによりユーザ002の認証処理を実行し、認証処理が正常に行われると、ステップS405において、図29に示すような返信情報を含むリダイレクト情報を生成して端末装置20に対して送信する。すると、端末装置20は、ステップS406において、リダイレクト情報によって指定されたURLにアクセスすることによりサービス提供サーバ10に返信情報を送信する。 FIG. 28 shows an example of a display screen displayed when the terminal device 20 of the user 002 is redirected. The display screen shown in FIG. 28 displays the login screen of the ABC service. Therefore, in step S404, the user 002 logs in to the ABC service by entering the user ID and password on this login screen. Then, the service providing server 40, which is the ID provider, executes authentication processing of the user 002 by confirming the user ID and password. Redirect information including the information is generated and transmitted to the terminal device 20 . Then, in step S406, the terminal device 20 transmits reply information to the service providing server 10 by accessing the URL specified by the redirect information.

この図29に示した返信情報には、ユーザ002のユーザ情報が含まれており、株式会社AのABCサービスにおけるテナントID「123A」、ユーザID「U002@idp.example.com」、ユーザ種類「一般ユーザ」、state「555222」およびnonce「def006」の情報が含まれている。 The reply information shown in FIG. 29 includes the user information of the user 002. Tenant ID "123A", user ID "U002@idp.example.com", user type " general user”, state “555222” and nonce “def006”.

すると、サービス提供サーバ10は、この返信情報に対して以下のようなチェックを行う。 Then, the service providing server 10 performs the following checks on this reply information.

(1)返信情報が「idp.example.com」により正しく署名されていること
(2)返信情報におけるstateおよびnonceの情報が正しいこと
(3)対応付け一時情報テーブルにおける有効期限が過ぎていないこと
(4)対応付け一時情報テーブルにおける「状態」が「ユーザログイン中」であること
(5)対応付け一時情報テーブルにおいて、同一の一時パスワードが登録された記録情報のうちの、「状態」が「一時PW発行中」である記録情報における連携先テナントIDが、サービス提供サーバ40から返信された返信情報におけるテナントIDと一致すること (1) The reply information is correctly signed by "idp.example.com" (2) The state and nonce information in the reply information is correct (3) The expiration date in the temporary correspondence information table has not passed (4) The "status" in the association temporary information table is "user logged in" (5) In the association temporary information table, among the record information in which the same temporary password is registered, the "status" is " The linked tenant ID in the record information "Temporary PW is being issued" matches the tenant ID in the reply information returned from the service providing server 40

具体的には、サービス提供サーバ10は、図30に示すようなチェックを行う。 Specifically, the service providing server 10 performs checks as shown in FIG.

(1)まず、サービス提供サーバ40からの返信情報に含まれるstateおよびnonceである「555222」と「def006」と一致する記録情報を対応付け一時情報テーブルから検索する。 (1) First, the temporary correspondence information table is searched for recorded information that matches the state and nonce "555222" and "def006" contained in the reply information from the service providing server 40. FIG.

(2)次に、この記録情報における一時パスワードを参照して「987987」という情報を取得する。 (2) Next, referring to the temporary password in this recorded information, the information "987987" is obtained.

(3)そして、この「987987」という一時パスワードと同一の一時パスワードが登録されている記録情報を検索する。 (3) Then, record information in which the same temporary password as this temporary password of "987987" is registered is searched.

(4)次に、検索により見つかった記録情報の連携先テナントID「123A」を取得する。 (4) Next, acquire the linked tenant ID "123A" of the record information found by the search.

(5)最後に、(4)において取得した連携先テナントID「123A」が、返信情報におけるテナントID「123A」と一致することを確認する。 (5) Finally, confirm that the cooperation destination tenant ID "123A" obtained in (4) matches the tenant ID "123A" in the reply information.

図30に示した返信情報と対応付け一時情報テーブルでは、上記の条件が満たされている。そのため、サービス提供サーバ10では、対応付け一時情報テーブルが、図31に示すように更新される。具体的には、「状態」が「一時PW発行中」であった記録情報における「状態」が「終了(管理者)」に変更され、「状態」が「ユーザログイン中」であった記録情報における「状態」が「終了(一般ユーザ)」に変更されるとともに連携先テナントIDとして「123A」が登録される。 The above conditions are satisfied in the reply information and association temporary information table shown in FIG. Therefore, in the service providing server 10, the association temporary information table is updated as shown in FIG. Specifically, the “status” of the recorded information whose “status” was “temporary PW issuance” is changed to “end (administrator)”, and the “status” is changed to “user logged in”. is changed to "Terminated (general user)", and "123A" is registered as the cooperation destination tenant ID.

このような処理が行われた結果、サービス提供サーバ10では、ステップS407において、ABCサービスにおける株式会社AのテナントID「123A」と、XYZサービスにおける株式会社AのテナントID「xyz-A」との対応付けが行われる。 As a result of such processing, in the service providing server 10, in step S407, the tenant ID "123A" of Co., Ltd. A in the ABC service and the tenant ID "xyz-A" of Co., Ltd. A in the XYZ service A correspondence is made.

そして、このような対応付けが行われたことにより、サービス提供サーバ10におけるテナントID対応付けテーブルでは、図32に示すように、自装置における株式会社AのテナントID「xyz-A」と対応付けて、連携先であるサービス提供サーバ40のテナントID「123A」が連携先テナントIDとして登録される。 Then, as a result of such association, in the tenant ID association table in the service providing server 10, as shown in FIG. Then, the tenant ID "123A" of the service providing server 40, which is the cooperation destination, is registered as the cooperation destination tenant ID.

上記各実施形態において、プロセッサとは広義的なプロセッサを指し、汎用的なプロセッサ(例えばCPU:Central Processing Unit、等)や、専用のプロセッサ(例えばGPU:Graphics Processing Unit、ASIC:Application Specific Integrated Circuit、FPGA:Field Programmable Gate Array、プログラマブル論理デバイス等)を含むものである。 In each of the above embodiments, the processor refers to a processor in a broad sense, such as a general-purpose processor (e.g. CPU: Central Processing Unit, etc.) or a dedicated processor (e.g. GPU: Graphics Processing Unit, ASIC: Application Specific Integrated Circuit, FPGA: Field Programmable Gate Array, programmable logic device, etc.).

また上記各実施形態におけるプロセッサの動作は、1つのプロセッサによって成すのみでなく、物理的に離れた位置に存在する複数のプロセッサが協働して成すものであってもよい。また、プロセッサの各動作の順序は上記各実施形態において記載した順序のみに限定されるものではなく、適宜変更してもよい。 Further, the operations of the processors in each of the above embodiments may be performed not only by one processor but also by the cooperation of a plurality of physically separated processors. Also, the order of each operation of the processor is not limited to the order described in each of the above embodiments, and may be changed as appropriate.

10 サービス提供サーバ
11 CPU
12 メモリ
13 記憶装置
14 通信インタフェース
15 ユーザインタフェース装置
16 制御バス
20 端末装置
30 インターネット
31 一時パスワード発行部
32 ユーザ管理テーブル記憶部
33 認証処理部
34 データ送受信部
35 制御部
36 対応付け一時情報テーブル記憶部
37 テナントID対応付けテーブル記憶部
40 サービス提供サーバ 10 service providing server 11 CPU
12 Memory 13 Storage Device 14 Communication Interface 15 User Interface Device 16 Control Bus 20 Terminal Device 30 Internet 31 Temporary Password Issuing Section 32 User Management Table Storage Section 33 Authentication Processing Section 34 Data Transmitting and Receiving Section 35 Control Section 36 Associated Temporary Information Table Storage Section 37 Tenant ID correspondence table storage unit 40 Service providing server

Claims (6)

メモリとプロセッサを備え、
前記プロセッサは、
第1システムにおいて管理者権限を有する第1ユーザからの操作に基づいて、前記第1ユーザにより指定された第1識別子と対応づけられた仮認証情報を発行し、
第2システムを利用する第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた際に、発行した仮認証情報と提示された仮認証情報とが一致した場合、前記仮認証情報と対応付けられた前記第1識別子と前記第2ユーザが指定した第2識別子とを対応付ける、
情報処理装置。 with memory and processor
The processor
issuing temporary authentication information associated with a first identifier specified by the first user based on an operation from a first user who has administrator authority in the first system;
When the second user using the second system presents the temporary authentication information and requests cooperation with the first system, if the issued temporary authentication information and the presented temporary authentication information match, associating the first identifier associated with the temporary authentication information with the second identifier specified by the second user;
Information processing equipment. 前記メモリは、前記仮認証情報と、前記第1ユーザにより指定された第1識別子とを対応付けて記憶し、
前記プロセッサは、前記第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた場合に、前記第2ユーザからの接続要求を前記第1システムにおけるログイン画面に転送し、
前記第2ユーザが前記第1システムにログインすることができた旨の情報が返信されてきた場合、前記メモリに記憶されている前記第1識別子と、ログイン中の前記第2ユーザが使用している第2識別子とを対応付ける請求項1記載の情報処理装置。 the memory associates and stores the temporary authentication information and a first identifier specified by the first user;
The processor transfers a connection request from the second user to a login screen in the first system when the second user presents the temporary authentication information and requests cooperation with the first system. ,
When information is returned to the effect that the second user was able to log in to the first system, the first identifier stored in the memory and the identifier used by the logged-in second user 2. The information processing apparatus according to claim 1, wherein the second identifier is associated with the second identifier. 前記メモリは、前記第2ユーザからの接続要求を前記第1システムにおけるログイン画面に転送する際に発行された確認情報を、前記仮認証情報と前記第1識別子に対応付けて記憶し、
前記プロセッサは、前記第1システムから返信されてきた、前記第2ユーザが前記第1システムにログインすることができた旨の情報に、前記メモリに記憶されている確認情報が含まれている場合に、前記メモリに記憶されている前記第1識別子と、ログイン中の前記第2ユーザが使用している第2識別子とを対応付ける請求項2記載の情報処理装置。 said memory stores confirmation information issued when transferring a connection request from said second user to a login screen in said first system in association with said temporary authentication information and said first identifier ;
When the information sent back from the first system to the effect that the second user was able to log in to the first system includes the confirmation information stored in the memory. 3. The information processing apparatus according to claim 2, wherein said first identifier stored in said memory and said second identifier used by said second user who is logged in are associated with each other. 前記仮認証情報は、有効期限が設定されている認証情報であり、
前記プロセッサは、前記第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた場合でも、現在の日時が当該仮認証情報の有効期限を過ぎている場合、前記第2ユーザからの前記第1システムとの連携要求を拒否する請求項1記載の情報処理装置。 The temporary authentication information is authentication information with an expiration date set,
Even if the second user presents the temporary authentication information and requests cooperation with the first system, if the current date and time has passed the expiration date of the temporary authentication information, the processor 2. The information processing apparatus according to claim 1, wherein a request for cooperation with said first system from two users is rejected. 前記第1識別子が前記第1システムにおいて前記第1ユーザおよび前記第2ユーザが属するグループのグループ識別子であり、前記第2識別子が前記第2システムにおいて前記第1ユーザおよび前記第2ユーザが属するグループのグループ識別子である請求項1から4のいずれか記載の情報処理装置。 The first identifier is a group identifier of a group to which the first user and the second user belong in the first system, and the second identifier is a group to which the first user and the second user belong in the second system. 5. The information processing apparatus according to any one of claims 1 to 4, wherein the group identifier is a group identifier of . 第1システムにおいて管理者権限を有する第1ユーザからの操作に基づいて、前記第1ユーザにより指定された第1識別子と対応づけられた仮認証情報を発行するステップと、
第2システムを利用する第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた際に、発行した仮認証情報と提示された仮認証情報とが一致した場合、前記仮認証情報と対応付けられた前記第1識別子と前記第2ユーザが指定した第2識別子とを対応付けるステップと、
をコンピュータに実行させるためのプログラム。 issuing temporary authentication information associated with a first identifier designated by the first user based on an operation from a first user who has administrator authority in the first system;
When the second user using the second system presents the temporary authentication information and requests cooperation with the first system, if the issued temporary authentication information and the presented temporary authentication information match, a step of associating the first identifier associated with the temporary authentication information with a second identifier specified by the second user;
A program that causes a computer to run
JP2019174103A 2019-09-25 2019-09-25 Information processing device and program Active JP7338360B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019174103A JP7338360B2 (en) 2019-09-25 2019-09-25 Information processing device and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019174103A JP7338360B2 (en) 2019-09-25 2019-09-25 Information processing device and program

Publications (2)

Publication Number Publication Date
JP2021051552A JP2021051552A (en) 2021-04-01
JP7338360B2 true JP7338360B2 (en) 2023-09-05

Family

ID=75158265

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019174103A Active JP7338360B2 (en) 2019-09-25 2019-09-25 Information processing device and program

Country Status (1)

Country Link
JP (1) JP7338360B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008186338A (en) 2007-01-31 2008-08-14 Nippon Telegr & Teleph Corp <Ntt> Account linking system, account linking method, link server device, client device
JP2014016697A (en) 2012-07-06 2014-01-30 Mitsubishi Electric Corp Authority id assignment device, authentication system, authority id assignment method, authority id assignment program, and authentication method
JP2016118863A (en) 2014-12-19 2016-06-30 キヤノン株式会社 Linking system, control method thereof, and program
JP2019075006A (en) 2017-10-18 2019-05-16 富士ゼロックス株式会社 Information processing device, information processing system, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008186338A (en) 2007-01-31 2008-08-14 Nippon Telegr & Teleph Corp <Ntt> Account linking system, account linking method, link server device, client device
JP2014016697A (en) 2012-07-06 2014-01-30 Mitsubishi Electric Corp Authority id assignment device, authentication system, authority id assignment method, authority id assignment program, and authentication method
JP2016118863A (en) 2014-12-19 2016-06-30 キヤノン株式会社 Linking system, control method thereof, and program
JP2019075006A (en) 2017-10-18 2019-05-16 富士ゼロックス株式会社 Information processing device, information processing system, and program

Also Published As

Publication number Publication date
JP2021051552A (en) 2021-04-01

Similar Documents

Publication Publication Date Title
US10367796B2 (en) Methods and apparatus for recording a change of authorization state of one or more authorization agents
US9071601B2 (en) Authority delegate system, server system in authority delegate system, and control method for controlling authority delegate system
CN105849760B (en) System for access control and system integration
US9021570B2 (en) System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium
KR101468977B1 (en) Method and system for authentication using a mobile device
WO2018113690A1 (en) Login authorisation method and apparatus, and login method and apparatus
GB2569278A (en) Methods and apparatus for verifying a user transaction
US8826395B2 (en) Method of improving online credentials
US10326758B2 (en) Service provision system, information processing system, information processing apparatus, and service provision method
CN110875925A (en) Information processing apparatus, authorization system, and authentication method
EP4060934B1 (en) Information processing apparatus and information processing program
US20230229804A1 (en) Consent-driven privacy disclosure control processing
US20230096498A1 (en) Secure content management through authentication
KR20110055542A (en) An apparatus for managing user authentication
JP2020038438A (en) Management device, management system and program
JP7338360B2 (en) Information processing device and program
JP6305005B2 (en) Authentication server system, control method, and program thereof
CN113055186B (en) Cross-system service processing method, device and system
US20220311771A1 (en) Information processing apparatus, non-transitory computer readable medium, and information processing method
JP2016085638A (en) Server device, terminal device, system, information processing method, and program
JP4814131B2 (en) Mediation system, program, and storage medium
JP4993083B2 (en) Session management apparatus, program, and storage medium
JP2008299467A (en) User authentication information management device, and user authentication program
JP5913511B1 (en) Authentication system, authentication method, and authentication program for strengthening security using third-party authentication
US20230388311A1 (en) Network system and control method thereof

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20201102

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220831

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230519

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230523

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230725

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230807

R150 Certificate of patent or registration of utility model

Ref document number: 7338360

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150