JP7338360B2 - Information processing device and program - Google Patents
Information processing device and program Download PDFInfo
- Publication number
- JP7338360B2 JP7338360B2 JP2019174103A JP2019174103A JP7338360B2 JP 7338360 B2 JP7338360 B2 JP 7338360B2 JP 2019174103 A JP2019174103 A JP 2019174103A JP 2019174103 A JP2019174103 A JP 2019174103A JP 7338360 B2 JP7338360 B2 JP 7338360B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- service
- information
- identifier
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、情報処理装置およびプログラムに関する。 The present invention relates to an information processing device and program.
特許文献1には、第1サービスシステムにおいて認証したユーザのテナント情報を取得して第2サービスシステムにクライアント登録を要求し、第2サービスシステムにおいてその該要求に従うクライアント登録と、認証したユーザのグループ情報とを含む登録結果を第1サービスシステムに送り、第1サービスシステムにおいてそのグループ情報と、認証したユーザのテナント情報を対応付けて記憶し、第2サービスシステムにおいて登録クライアントからの認証要求に応じて認証したユーザのグループ情報を含むID情報を第1サービスシステムに送り、第1サービスシステムにおいてそのID情報が示すアカウントに対応するアカウントの存在を判定し、存在しない場合に新たにアカウントを生成するようにしたサービス提供システムが開示されている。
In
本発明の目的は、2つの異なるシステムにおいて同一ユーザがそれぞれアカウントを登録している場合であって、そのユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一ユーザのアカウントどうしを対応付けることが可能な情報処理装置およびプログラムを提供することである。 The object of the present invention is to provide a system that allows the same user to register accounts in two different systems, even if the user does not have administrator privileges in either of the two systems. It is an object of the present invention to provide an information processing device and a program capable of associating accounts of the same user registered in two different systems.
[情報処理装置]
請求項1に係る本発明は、メモリとプロセッサを備え、
前記プロセッサは、
第1システムにおいて管理者権限を有する第1ユーザからの操作に基づいて、前記第1ユーザにより指定された第1識別子と対応づけられた仮認証情報を発行し、
第2システムを利用する第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた際に、発行した仮認証情報と提示された仮認証情報とが一致した場合、前記仮認証情報と対応付けられた前記第1識別子と前記第2ユーザが指定した第2識別子とを対応付ける情報処理装置である。
[Information processing device]
The present invention according to
The processor
issuing temporary authentication information associated with a first identifier specified by the first user based on an operation from a first user who has administrator authority in the first system;
When the second user using the second system presents the temporary authentication information and requests cooperation with the first system, if the issued temporary authentication information and the presented temporary authentication information match, The information processing apparatus associates the first identifier associated with the temporary authentication information with the second identifier specified by the second user.
請求項2に係る本発明は、前記メモリが、前記仮認証情報と、前記第1ユーザにより指定された第1識別子とを対応付けて記憶し、
前記プロセッサは、前記第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた場合に、前記第2ユーザからの接続要求を前記第1システムにおけるログイン画面に転送し、
前記第2ユーザが前記第1システムにログインすることができた旨の情報が返信されてきた場合、前記メモリに記憶されている前記第1識別子と、ログイン中の前記第2ユーザが使用している第2識別子とを対応付ける請求項1記載の情報処理装置である。
In the present invention according to
The processor transfers a connection request from the second user to a login screen in the first system when the second user presents the temporary authentication information and requests cooperation with the first system. ,
When information is returned to the effect that the second user was able to log in to the first system, the first identifier stored in the memory and the identifier used by the logged-in
請求項3に係る本発明は、前記メモリが、前記第2ユーザからの接続要求を前記第1システムにおけるログイン画面に転送する際に発行された確認情報を、前記仮認証情報と前記第1識別子に対応付けて記憶し、
前記プロセッサは、前記第1システムから返信されてきた、前記第2ユーザが前記第1システムにログインすることができた旨の情報に、前記メモリに記憶されている確認情報が含まれている場合に、前記メモリに記憶されている前記第1識別子と、ログイン中の前記第2ユーザが使用している第2識別子とを対応付ける請求項2記載の情報処理装置である。
In the present invention according to
When the information sent back from the first system to the effect that the second user was able to log in to the first system includes the confirmation information stored in the memory. 3. The information processing apparatus according to
請求項4に係る本発明は、前記仮認証情報が、有効期限が設定されている認証情報であり、
前記プロセッサは、前記第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた場合でも、現在の日時が当該仮認証情報の有効期限を過ぎている場合、前記第2ユーザからの前記第1システムとの連携要求を拒否する請求項1記載の情報処理装置である。
In the present invention according to
Even if the second user presents the temporary authentication information and requests cooperation with the first system, if the current date and time has passed the expiration date of the temporary authentication information, the
請求項5に係る本発明は、前記第1識別子が前記第1システムにおいて前記第1ユーザおよび前記第2ユーザが属するグループのグループ識別子であり、前記第2識別子が前記第2システムにおいて前記第1ユーザおよび前記第2ユーザが属するグループのグループ識別子である請求項1から4のいずれか記載の情報処理装置である。
In the present invention according to
[プログラム]
請求項6に係る本発明は、第1システムにおいて管理者権限を有する第1ユーザからの操作に基づいて、前記第1ユーザにより指定された第1識別子と対応づけられた仮認証情報を発行するステップと、
第2システムを利用する第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた際に、発行した仮認証情報と提示された仮認証情報とが一致した場合、前記仮認証情報と対応付けられた前記第1識別子と前記第2ユーザが指定した第2識別子とを対応付けるステップとをコンピュータに実行させるためのプログラムである。
[program]
The present invention according to claim 6 issues temporary authentication information associated with the first identifier specified by the first user based on the operation of the first user who has administrator authority in the first system. a step;
When the second user using the second system presents the temporary authentication information and requests cooperation with the first system, if the issued temporary authentication information and the presented temporary authentication information match, and a step of associating the first identifier associated with the temporary authentication information with the second identifier specified by the second user.
請求項1に係る本発明によれば、2つの異なるシステムにおいて同一ユーザがそれぞれアカウントを登録している場合であって、そのユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一ユーザのアカウントどうしを対応付けることが可能な情報処理装置を提供することができる。
According to the present invention according to
請求項2に係る本発明によれば、2つの異なるシステムにおいて同一ユーザがそれぞれアカウントを登録している場合であって、そのユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一ユーザのアカウントどうしを対応付けることが可能な情報処理装置を提供することができる。
According to the present invention according to
請求項3に係る本発明によれば、確認情報を用いずに第1アカウントと第2アカウントとの対応付けを行う場合と比較して、誤った第1アカウントを第2アカウントと対応付けてしまう可能性を低減することが可能な情報処理装置を提供することができる。 According to the third aspect of the present invention, the wrong first account is associated with the second account, compared to the case where the first account and the second account are associated without using the confirmation information. It is possible to provide an information processing apparatus capable of reducing the possibility.
請求項4に係る本発明によれば、仮認証情報に有効期限を設けない場合と比較して、第1アカウントと第2アカウントとの対応付けが不正に行われる可能性を低減することが可能な情報処理装置を提供することができる。 According to the fourth aspect of the present invention, it is possible to reduce the possibility of illegal association between the first account and the second account compared to the case where the temporary authentication information does not have an expiration date. It is possible to provide a sophisticated information processing apparatus.
請求項5に係る本発明によれば、2つの異なるシステムにおいて同一のグループユーザがそれぞれアカウントを登録している場合であって、そのグループユーザのうちの個人ユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一グループユーザのアカウントどうしを対応付けることが可能な情報処理装置を提供することができる。 According to the fifth aspect of the present invention, when the same group users have registered accounts in two different systems, and an individual user out of the group users is managed in one of the two systems It is possible to provide an information processing apparatus capable of associating the accounts of the same group users registered in two different systems even if they do not have user authority.
請求項6に係る本発明によれば、2つの異なるシステムにおいて同一ユーザがそれぞれアカウントを登録している場合であって、そのユーザが2つのシステムのいずれかにおいて管理者権限を有していない場合であっても、2つの異なるシステムにおいて登録されている同一ユーザのアカウントどうしを対応付けることが可能なプログラムを提供することができる。
According to the present invention according to
次に、本発明の実施の形態について図面を参照して詳細に説明する。 Next, embodiments of the present invention will be described in detail with reference to the drawings.
図1は本発明の一実施形態の情報処理システムのシステム構成を示す図である。 FIG. 1 is a diagram showing the system configuration of an information processing system according to one embodiment of the present invention.
本発明の一実施形態の情報処理システムは、図1に示されるように、サービス提供サーバ10、40と、複数の端末装置20とがインターネット30により相互に接続された構成となっている。
As shown in FIG. 1, the information processing system of one embodiment of the present invention has a configuration in which
ここで、サービス提供サーバ40は、インターネット30を介してABCサービスをユーザに対して提供している。そして、サービス提供サーバ40は、ユーザ情報をIDトークンとして他のサービスに提供する機能を備えておりIDプロバイダとも呼ばれている。
Here, the
また、サービス提供サーバ10は、インターネット30を介してXYZサービスをユーザに対して提供している。そして、サービス提供サーバ10は、IDプロバイダであるサービス提供サーバ40からのユーザ情報を利用して、ユーザに対して各種サービスを提供する情報処理装置であり、リソースサーバまたはサービスプロバイダとも呼ばれている。
Also, the
このように複数のサービス提供サーバによりインターネット30を介してサービスが提供されている場合、ユーザはそれぞれのサービス毎にアカウントを登録するのは面倒であるため、あるサービスのアカウントを利用して他のサービスの提供を受けることができるようなアカウントの相互乗り入れが行われている。 When services are provided via the Internet 30 by a plurality of service providing servers in this way, it is troublesome for the user to register an account for each service. There is a cross-boarding of accounts that can receive the provision of services.
このようなアカウントの相互乗り入れは一般的にはID連携またはIdentify Federationと呼ばれている。このような機能を利用することにより、ユーザは多数のIDやパスワードを管理することなく、各種のクラウドサービスを利用することが可能となる。 Such mutual entry of accounts is generally called ID federation or Identify Federation. By using such functions, the user can use various cloud services without managing a large number of IDs and passwords.
このようなID連携を行うための汎用技術であるOpen ID Connectと呼ばれるシーケンスについて図2を参照して説明する。 A sequence called Open ID Connect, which is a general-purpose technique for performing such ID linkage, will be described with reference to FIG.
まず、ステップS101において、ユーザが端末装置20からサービス提供サーバ10にアクセスして、ABCサービスのアカウントでログインすることを選択する。すると、サービス提供サーバ10は、ステップS102において、サービス提供サーバ40にリダイレクトするためのURL(Uniform Resource Locatorの略)を返信する。
First, in step S101, the user accesses the
そして、端末装置20は、ステップS103において、リダイレクトされたURLにアクセスすることによりサービス提供サーバ40にアクセスする。その結果、サービス提供サーバ40は、ステップS104において、端末装置20に対してログイン画面を返信する。
Then, in step S103, the
そして、ステップS105において、ユーザが端末装置20上に表示されたログイン画面にユーザID、パスワードの入力を行ってログインすると、サービス提供サーバ40は、入力されたユーザIDおよびパスワードを用いて認証を行って認証が成功すると、ステップS106において、ユーザ情報を含むIDトークンを端末装置20に返信する。
Then, in step S105, when the user logs in by entering the user ID and password on the login screen displayed on the
すると、端末装置20は、ステップS107において、返信されたIDトークンをサービス提供サーバ10に提示する。すると、サービス提供サーバ10では、ステップS108において、端末装置20から提示されたIDトークンが正規に発行されたものであるか否かを電子署名情報等により検証する。
Then, the
そして、この検証においてIDトークンが正規に発行されたものであることが確認された場合、サービス提供サーバ10は、ステップS109において、ユーザに対してログインを許可する。
If it is confirmed in this verification that the ID token has been issued legally, the
このようなシーケンスにより、ユーザは、サービス提供サーバ10により提供されるXYZサービスのアカウントを保有していなくても、XYZサービスを利用することができるようになる。
With such a sequence, the user can use the XYZ service provided by the
ここで、IDプロバイダは、マイクロソフト社や、グーグル社のような限られた企業により提供されたサーバであるため限定された数しか存在しないのに対して、リソースサーバは、多数存在している。そのため、セキュリティ上の観点から、予め登録されたリソースサーバのみがIDプロバイダと連携することができるよう制限されている場合がある。 Here, there are only a limited number of ID providers because they are servers provided by a limited number of companies such as Microsoft Corporation and Google, but there are many resource servers. Therefore, from a security point of view, there are cases where only pre-registered resource servers are restricted to cooperate with the ID provider.
このようにIDプロバイダであるサービス提供サーバ10と連携可能なリソースサーバを事前に登録する際には、そのリソースサーバのURLをサービス提供サーバ40に対して登録するような設定となっている場合がある。
When registering in advance a resource server that can cooperate with the
このようにサービス提供サーバ40に対して連携を許可するサービスのURLを登録する際の処理を図3のシーケンスチャートを参照して説明する。
The process of registering the URL of the service for which cooperation is permitted with respect to the
ここで、サービス提供サーバ10により提供されるXYZサービスを、連携を許可するサービスとして登録する場合について説明する。この場合、ABCサービスの管理者権限を有するユーザ(以下、単に管理者と称する。)が、ステップS201において、端末装置20を介してサービス提供サーバ40に対してサービス提供サーバ10のURLを登録する。
Here, a case will be described where the XYZ service provided by the
すると、サービス提供サーバ40では、ステップS202において、このURLを連携許可サービステーブルに登録する。すると、あるユーザが、図2に示すようなXYZサービスとABCサービスとの間でID連携を行うことができるようになる。
Then, in the
ここで、近年のクラウドサービスでは、1つの装置を用いて複数の顧客を対象にサービスを提供することが行われている。このようなサービスの提供方法は、マルチテナントと呼ばれている。 Here, in recent cloud services, one device is used to provide services to a plurality of customers. Such a service provision method is called multi-tenancy.
このようなマルチテナント構成例を図4に示す。図4では、ABCサービスとXYZサービスの両方のサービスがともにマルチテナント構成となっている場合が示されている。 An example of such a multi-tenant configuration is shown in FIG. FIG. 4 shows a case where both the ABC service and the XYZ service have a multi-tenant configuration.
この図4に示した例では、ABCサービスとXYZサービスのそれぞれにおいて、各テナントはテナントIDにより管理されている。 In the example shown in FIG. 4, each tenant is managed by a tenant ID in each of the ABC service and the XYZ service.
このような構成の場合、リソースサーバであるXYZサービス側において、どのテナントが、IDプロバイダのどのテナントと対応しているのかという対応情報が必要になる場合がある。 In such a configuration, the XYZ service side, which is the resource server, may need correspondence information indicating which tenant corresponds to which tenant of the ID provider.
例えば、株式会社Aに設置されている複合機の出力枚数情報がXYZサービスにおいて管理されていて、株式会社Aの所属部門情報がABCサービスにおいて管理されているような場合、複合機の出力枚数を部門別に集計しようとした場合、株式会社AのXYZサービスにおけるテナントIDと、株式会社AのABCサービスにおけるテナントIDとを対応付ける必要がある。 For example, if the information on the number of pages printed on a multifunction device installed at Company A is managed by the XYZ service, and the information on the department to which Company A belongs is managed by the ABC service, the number of pages printed on the multifunction device is When trying to aggregate by department, it is necessary to associate the tenant ID in the XYZ service of Company A with the tenant ID in the ABC service of Company A.
具体的には、株式会社AのXYZサービスにおけるテナントIDである「123A」と、株式会社AのABCサービスにおけるテナントIDである「xyz-A」とを対応付ける必要がある。 Specifically, it is necessary to associate the tenant ID "123A" in the XYZ service of Corporation A with the tenant ID "xyz-A" in the ABC service of Corporation A.
ここで、上記で説明したようにABCサービスにおいてXYZサービスとの連携を可能とするために、XYZサービスのURLを登録した場合、XYZサービス全体がABCサービスとの連携が許可されたことになる。つまり、図5に示すように、XYZサービスのURLである「https://xyzservice.com/re」をABCサービスに登録した場合、XYZサービスにおける全てのテナントがABCサービスと連携可能となってしまう。 Here, if the URL of the XYZ service is registered in order to enable cooperation with the XYZ service in the ABC service as described above, cooperation of the entire XYZ service with the ABC service is permitted. In other words, as shown in Fig. 5, if the XYZ service URL "https://xyzservice.com/re" is registered in the ABC service, all tenants in the XYZ service will be able to cooperate with the ABC service. .
その結果、株式会社BのXYZサービスにおけるテナントIDと、株式会社AのABCサービスにおけるテナントIDとを対応付けることも可能となってしまうことになる。 As a result, it becomes possible to associate the tenant ID in the XYZ service of Company B with the tenant ID in the ABC service of Company A.
ここで、このようなテナントIDを対応付ける手段としては、IDプロバイダであるサービス提供サーバ40にユーザをログインさせて、その際に発行されたIDトークンを用いる手段が利用されている。具体的には、図2に示したシーケンスにおけるステップS106において発行されたIDトークンにIDプロバイダにおけるテナント情報が含まれるため、リソースサーバであるサービス提供サーバ10では、そのテナント情報におけるテナントIDと、自装置におけるおのユーザのテナントIDとを対応付けるような方法が用いられる。
Here, as means for associating such tenant IDs, a means is used in which a user is logged in to the
ただし、このような方法を用いる場合、図6に示すように、社内の複数部署でそれぞれXYZサービスを利用している場合、管理者001がユーザ002に対して連携利用を許可すると、許可していないユーザ003も連携利用できるようになってしまう。これは、図3に示したように、管理者001が設定できるのはXYZサービス全体に対する許可設定のためだからである。 However, when such a method is used, as shown in FIG. 6, when multiple departments in the company use the XYZ service, when the administrator 001 permits the user 002 to use the cooperative use, the permission is granted. Even the user 003 who does not have access to the system can use the system in cooperation. This is because, as shown in FIG. 3, the administrator 001 can set permissions for the entire XYZ service.
このような問題を回避するために、図2のステップS106に含まれるログインしたユーザが管理者か否かのフラグを確認し、管理者である場合にだけ処理を実行する方法も考えられる。しかし、この方法を用いる場合には、ABCサービスにおける管理者とXYZサービスにおける管理者とが同一ユーザである必要がある。 In order to avoid such a problem, it is conceivable to check a flag indicating whether the logged-in user is an administrator included in step S106 of FIG. 2, and execute processing only when the logged-in user is an administrator. However, when using this method, the administrator of the ABC service and the administrator of the XYZ service must be the same user.
つまり、本実施形態の情報処理システムでは、図7に示すように、ABCサービスとXYZサービスの各サービスにおいて管理者が異なる状態においても、両管理者が許可したテナントに対してのみ対応付けを行いたい場合について説明する。つまり、図6に示したユーザ003が管理者となっているテナントに対しては対応付けができないような状態としつつ、ユーザ002が管理者となっているテナントに対してのみ対応付けを行ができるようにする。 In other words, in the information processing system of this embodiment, as shown in FIG. 7, even if the administrators of the ABC service and the XYZ service are different, only the tenants permitted by both administrators are associated. If you want to In other words, while the tenant shown in FIG. It can be so.
次に、本実施形態の情報処理システムにおけるサービス提供サーバ10のハードウェア構成を図8に示す。
Next, FIG. 8 shows the hardware configuration of the
サービス提供サーバ10は、図8に示されるように、CPU11、メモリ12、ハードディスクドライブ等の記憶装置13、ネットワーク30を介して外部の装置等との間でデータの送信及び受信を行う通信インタフェース(IFと略す。)14、タッチパネル又は液晶ディスプレイ並びにキーボードを含むユーザインタフェース(UIと略す。)装置15を有する。これらの構成要素は、制御バス16を介して互いに接続されている。
As shown in FIG. 8, the
CPU11は、メモリ12または記憶装置13に格納された制御プログラムに基づいて所定の処理を実行して、サービス提供サーバ10の動作を制御する。なお、本実施形態では、CPU11は、メモリ12または記憶装置13内に格納された制御プログラムを読み出して実行するものとして説明するが、当該プログラムをCD-ROM等の記憶媒体に格納してCPU11に提供することも可能である。
The
図9は、上記の制御プログラムが実行されることにより実現されるサービス提供サーバ10の機能構成を示すブロック図である。
FIG. 9 is a block diagram showing the functional configuration of the
なお、以下の説明においては、リソースサーバであるサービス提供サーバ10において、株式会社AのABCサービスにおけるテナントIDと、株式会社AのXYZサービスにおけるテナントIDとを対応付けて記憶する場合を用いて説明する。
In the following description, the
本実施形態のサービス提供サーバ10は、図9に示されるように、一時パスワード発行部31と、ユーザ管理テーブル記憶部32と、認証処理部33と、データ送受信部34と、制御部35と、対応付け一時情報テーブル記憶部36と、テナントID対応付けテーブル記憶部37とを備えている。
As shown in FIG. 9, the
一時パスワード発行部31は、第1システムであるABCサービスにおいて管理者権限を有するユーザからの操作に基づいて、このユーザにより指定されたABCサービスにおけるテナントIDと対応づけられた一時パスワードを発行する。ここで、一時パスワードとは、有効期限が設定されており継続的な仕様を前提としない仮認証情報である。
The temporary
ユーザ管理テーブル記憶部32は、各ユーザのユーザID、所属するグループのテナントID、パスワード、ユーザ種類の情報等が対応付けられたユーザ管理テーブルを記憶する。
The user management
認証処理部33は、XYZサービスを利用しようとするユーザの認証処理を実行する。
The
データ送受信部34は、端末装置20やサービス提供サーバ40との間においてデータの送受信を行う。
The data transmission/
制御部35は、第2のシステムであるXYZサービスの管理者権限を有するユーザが一時パスワードを提示してABCサービスとの連携を要求してきた際に、一時パスワード発行部31により発行した一時パスワードと提示された一時パスワードとが一致した場合、この一時パスワードと対応付けられたABCサービスにおけるテナントIDと、XYZサービスの管理者権限を有するユーザが指定したテナントIDとを対応付ける。
The
具体的には、制御部35は、XYZサービスの管理者が一時パスワードを提示してABCサービスとの連携を要求してきた場合に、XYZサービスの管理者からの接続要求をリダイレクトすることによりABCサービスにおけるログイン画面に転送する。そして、制御部35は、XYZサービスの管理者がABCサービスにログインすることができた旨の情報が返信されてきた場合、対応付け一時情報テーブル記憶部36の対応付け一時情報テーブルにおいて記憶されているABCサービスにおけるテナントIDと、ログイン中のXYZサービスの管理者が使用しているXYZサービスのテナントIDとを対応付ける。
Specifically, when the administrator of the XYZ service presents a temporary password and requests cooperation with the ABC service, the
なお、本実施形態においては、XYZサービスにおける管理者権限を有するユーザが、ABCサービスの管理者権限を有するユーザから通知された一時パスワードを用いて、2つのサービスにおけるテナントIDの対応付けを行う場合について説明するが、XYZサービスにおける管理者権限を有するユーザの代わりにXYZサービスを利用するユーザであっても同様の処理を行うことが可能である。 In this embodiment, a user with administrator authority in the XYZ service uses a temporary password notified by a user with administrator authority in the ABC service to associate the tenant IDs of the two services. However, even a user who uses the XYZ service instead of a user who has administrator authority in the XYZ service can perform similar processing.
対応付け一時情報テーブル記憶部36は、一時パスワードと、ABCサービスの管理者により指定されたABCサービスにおける株式会社AのテナントIDとを対応付ける対応付け一時情報テーブルを記憶する。なお、この対応付け一時情報テーブルは、XYZサービスの管理者からの接続要求をABCサービスにおけるログイン画面に転送する際に発行されたstateおよびnonceを、一時パスワードとABCサービスにおけるテナントIDに対応付けて記憶する。
The temporary association information
ここで、stateおよびnonceとは、ユーザからの接続要求をリダイレクトすることによりサービス提供サーバ40から返信されてきた返信情報が一連のセッションに基づくものであることを確認するための確認情報である。つまり、リダイレクト情報に含めたstateおよびnonceと、返信情報に含まれているstateおよびnonceが一致することを確認することにより、この返信情報が正規な処理に基づいて返信されたものであることを確認することができる。
Here, the state and nonce are confirmation information for confirming that the reply information returned from the
つまり、制御部35は、ABCサービスから返信されてきた、XYZサービスの管理者がABCサービスにログインすることができた旨の情報に、対応付け一時情報テーブルに記憶されているstateおよびnonceが含まれている場合に、対応付け一時情報テーブルに記憶されているABCサービスのテナントIDと、ログイン中のXYZサービスの管理者が使用しているXYZサービスのテナントIDとを対応付ける。
That is, the
テナントID対応付けテーブル記憶部37は、制御部35により対応付けられたABCサービスにおけるテナントIDとXYZサービスにおけるテナントIDとの対応関係をテナントID対応付けテーブルとして記憶する。
The tenant ID association
なお、一時パスワード発行部31により発行される一時パスワードは、有効期限が設定されている認証情報である。そのため、制御部35は、XYZサービスの管理者が一時パスワードを提示してABCサービスとの連携を要求してきた場合でも、現在の日時がその一時パスワードの有効期限を過ぎている場合、XYZサービスの管理者からのABCサービスとの連携要求を拒否する。
The temporary password issued by the temporary
ここで、ABCサービスにおけるテナントIDとは、ABCサービスの管理者およびXYZサービスの管理者が属するグループである株式会社AのABCサービスにおけるグループ識別子である。また、同様にXYZサービスにおけるテナントIDとは、ABCサービスの管理者およびXYZサービスの管理者が属するグループである株式会社AのXYZサービスにおけるグループ識別子である。 Here, the tenant ID in the ABC service is a group identifier in the ABC service of Corporation A, which is the group to which the administrator of the ABC service and the administrator of the XYZ service belong. Similarly, the tenant ID in the XYZ service is a group identifier in the XYZ service of Corporation A, which is the group to which the administrator of the ABC service and the administrator of the XYZ service belong.
次に、本実施形態の情報処理システムにおけるサービス提供サーバ10の動作について図面を参照して詳細に説明する。
Next, the operation of the
まず、サービス提供サーバ10によりABCサービス、XYZサービスという2つのサービスにおけるテナントIDを連携させるための全体シーケンスを図10に示す。
First, FIG. 10 shows an overall sequence for linking tenant IDs in two services, ABC service and XYZ service, by the
(1)まず、ABCサービスの管理者であるユーザ001が、ABCサービスを操作して、XYZサービスとの連携許可を登録する。 (1) First, the user 001 who is the administrator of the ABC service operates the ABC service and registers cooperation permission with the XYZ service.
(2)次に、ABCサービスの管理者であるユーザ001が、XYZサービスを操作して、一時パスワードの発行処理を行う。 (2) Next, the user 001 who is the administrator of the ABC service operates the XYZ service to issue a temporary password.
(3)そして、ユーザ001が、発行した一時パスワードを、XYZサービスの管理者であるユーザ002に、電子メールや電話等により通知する。 (3) Then, the user 001 notifies the issued temporary password to the user 002 who is the administrator of the XYZ service by e-mail, telephone, or the like.
(4)最後に、XYZサービスの管理者であるユーザ002が、XYZサービスを操作して、通知された一時パスワードを用いて、ABCサービスにおける株式会社AのテナントIDと、XYZサービスにおける株式会社AのテナントIDとを対応付ける処理を実行する。 (4) Finally, user 002, who is the administrator of the XYZ service, operates the XYZ service and uses the notified temporary password to enter the tenant ID of company A in the ABC service and the tenant ID of company A in the XYZ service. Execute the process of associating with the tenant ID of .
以下においてはこの全体シーケンスにおける各処理の詳細について順次説明する。 Details of each process in this overall sequence will be described below.
最初に、上記で説明した全体シーケンスにおける(1)、(2)の処理であるABCサービスの管理者であるユーザ001による操作について図11のシーケンスチャートを参照して説明する。 First, operations by the user 001 who is the administrator of the ABC service, which are the processes (1) and (2) in the overall sequence described above, will be described with reference to the sequence chart of FIG.
なお、この説明の前にABCサービスにおいて登録されているユーザ管理テーブル例を図12に示す。図12を参照すると、ユーザ001は、ユーザIDが「U001@idp.example.com」、パスワードが「pw001」、ユーザ種類が「管理者」、テナントIDが「123A」となっているのが分かる。なお、この「123A」というテナントIDは、株式会社AのABCサービスにおけるグループ識別子である。 Before this explanation, FIG. 12 shows an example of a user management table registered in the ABC service. Referring to FIG. 12, it can be seen that the user 001 has a user ID of "U001@idp.example.com", a password of "pw001", a user type of "administrator", and a tenant ID of "123A". . The tenant ID "123A" is a group identifier in the ABC service of Company A.
また、図12を参照すると、ユーザ002は、ユーザIDが「U002@idp.example.com」、パスワードが「pw002」、ユーザ種類が「一般ユーザ」、テナントIDが「123A」となっているのが分かる。つまり、ユーザ001、ユーザ002はともに株式会社Aというグループに属するユーザである。 Also, referring to FIG. 12, the user 002 has a user ID of "U002@idp.example.com", a password of "pw002", a user type of "general user", and a tenant ID of "123A". I understand. In other words, both the users 001 and 002 belong to the group A Corporation.
このようなユーザ登録が行われている状態において、ユーザ001は、ステップS301において、端末装置20からサービス提供サーバ40にアクセスしてユーザIDおよびパスワードを入力してログインした後に、ステップS302において、連携許可を行うXYZサービスのURLを登録するための処理を行う。このユーザ001が連携許可するサービスのURLとしてXYZサービスのURLを入力する様子を図13に示す。図13では、ユーザ001が端末装置20から「https://xyzservice.com/re」というXYZサービスのURLを入力する様子が示されている。
In such a state where user registration is performed, the user 001 accesses the
このようなユーザ001からの登録要求を受けたサービス提供サーバ40は、ステップS303において、XYZサービスのURLを連携許可サービステーブルに登録する。
The
そして、サービス提供サーバ40は、ステップS304において、クライアントIDを発行し、ステップS305においてユーザ001の端末装置20に送信する。
Then, the
このようにしてユーザ001の端末装置20上に発行されたクライアントIDが表示される様子を図14に示す。また、発行されたクライアントIDと、XYZサービスのURLと株式会社AのテナントIDとは、ABCサービスにおける連携許可サービステーブルにおいて対応付けて記憶される。この連携許可サービステーブルの一例を図15に示す。
FIG. 14 shows how the issued client ID is displayed on the
次に、ユーザ001は、ステップS306において、XYZサービスのサービス提供サーバ10にアクセスして、ステップS307において、発行されたクライアントIDを入力する。ユーザ001によりクライアントIDが入力される様子を図16に示す。図16では、ユーザ001が端末装置20において、ABCサービスから発行されたクライアントIDをXYZサービスにおいて入力する様子が示されている。
Next, the user 001 accesses the
ここで、図16に示した画面は、ユーザ001がサービス提供サーバ10の連携設定URLにアクセスすることにより表示される画面であり、マルチテナント管理とは別管理で表示される画面である。つまり、ユーザ001は、例えXYZサービスにおけるアカウントを保持していなくても操作可能な画面となっている。
Here, the screen shown in FIG. 16 is a screen displayed when the user 001 accesses the link setting URL of the
そして、サービス提供サーバ10では、ユーザ001から入力されたクライアントIDが対応付け一時情報テーブルに登録される。このように入力されたクライアントIDが登録された際の対応付け一時情報テーブルの一例を図17に示す。
Then, in the
図17に示された対応付け一時情報テーブルでは、クライアントIDとともにstate、nonce、有効期限、状態の各種情報が対応付けられているのが分かる。図17に示されるように、クライアントIDが登録された際に、stateおよびnonceの情報が発行される。 In the association temporary information table shown in FIG. 17, it can be seen that various types of information such as state, nonce, expiration date, and state are associated with the client ID. As shown in FIG. 17, information of state and nonce is issued when the client ID is registered.
すると、サービス提供サーバ10は、ステップS308において、図18に示すようなリダイレクト情報を生成してユーザ001の端末装置20に送信して、端末装置20の接続先をリダイレクトさせる。
Then, the
図18に示されたリダイレクト情報は、リダイレクト先であるABCサービスのURL、サービス提供サーバ10において発行されたコード情報であるstateおよびnonce、クライアントID、リクエスト種別を特定するための情報、XYZサービスのURLから構成されている。
The redirect information shown in FIG. 18 includes the URL of the ABC service that is the redirect destination, the state and nonce that are code information issued by the
そして、ユーザ001の端末装置20がリダイレクトされたことにより表示される表示画面例を図19に示す。図19に示す表示画面では、ABCサービスのログイン画面が表示されている。そのため、ユーザ001は、ステップS309において、このログイン画面にユーザIDおよびパスワードを入力してABCサービスにログインする。ここで、IDプロバイダであるサービス提供サーバ40は、ログイン時に入力されたユーザIDおよびパスワードが正しいこと、ログインしたユーザ001の属するテナントのテナントIDと対応付けて、クライアントIDとURLが連携許可サービステーブルに登録されていることを確認する。
FIG. 19 shows an example of a display screen displayed when the
ここでは、図15に示した連携許可サービステーブルにおいて、ログインしたユーザ001の属するテナントのテナントID「123A」、クライアントID「cid0005」、URL「https://xyzservice.com/re」が登録されていることが確認される。 Here, in the cooperation permission service table shown in FIG. 15, the tenant ID "123A", the client ID "cid0005", and the URL "https://xyzservice.com/re" of the tenant to which the logged-in user 001 belongs are registered. It is confirmed that there is
よって、ユーザ001によるログイン処理は正常に行われ、サービス提供サーバ40は、ステップS310において、図20に示すような返信情報を含むリダイレクト情報を生成して端末装置20に対して送信する。すると、端末装置20は、ステップS311において、リダイレクト情報によって指定されたURLにアクセスすることによりサービス提供サーバ10に返信情報を送信する。
Therefore, the login process by the user 001 is performed normally, and the
ここで、図20に示す返信情報には、株式会社AのABCサービスにおけるテナントID「123A」、ユーザID「U001@idp.example.com」、ユーザ種類「管理者」、state「123123」およびnonce「456456」の情報が含まれている。 Here, the reply information shown in FIG. The information of "456456" is included.
すると、サービス提供サーバ10は、この返信情報に対して以下のようなチェックを行う。
Then, the
(1)返信情報が「idp.example.com」により正しく署名されていること
(2)返信情報におけるユーザ種類が「管理者」であること
(3)返信情報におけるstateおよびnonceの情報が正しいこと
(4)対応付け一時情報テーブルにおける有効期限が過ぎていないこと
(5)対応付け一時情報テーブルにおける「状態」が「管理者ログイン中」であること
(1) The reply information is correctly signed by "idp.example.com" (2) The user type in the reply information is "Administrator" (3) The state and nonce information in the reply information is correct (4) The expiration date in the temporary association information table has not passed. (5) The "status" in the temporary association information table is "administrator logged in."
そして、上記の条件が全て満たされた場合、サービス提供サーバ10は、IDプロバイダであるサービス提供サーバ40の管理者による連携許可の承認が得られたものであると判定して、ステップS312において、一時パスワードを発行して対応付け一時情報テーブルを更新する。
Then, when all of the above conditions are satisfied, the
このようにして対応付け一時情報テーブルが更新される様子を図21に示す。図21を参照すると、一時パスワードが発行されたことにより、発行された一時パスワード「987987」が登録され、連携先テナントIDとしてABCサービスのテナントID「123A」が登録され、「状態」が「管理者ログイン中」から「一時PW(パスワードの略)発行中」に変更されているのが分かる。 FIG. 21 shows how the association temporary information table is updated in this way. Referring to FIG. 21, when the temporary password is issued, the issued temporary password “987987” is registered, the tenant ID “123A” of the ABC service is registered as the cooperation destination tenant ID, and the “status” is “administration It can be seen that the status has been changed from "person logged in" to "temporary PW (abbreviation for password) issued".
そして、このようにして発行された一時パスワードがユーザ001の端末装置20上に表示される際の表示画面例を図22に示す。図22に示した表示画面例では、一時パスワード「987987」の情報とともに、この一時パスワードの有効期限がユーザ001に示されていること分かる。
FIG. 22 shows an example of a display screen when the temporary password issued in this way is displayed on the
そして、このように一時パスワードがサービス提供サーバ10により発行されると、ユーザ001は、図23に示すように、XYZサービスの管理者であるユーザ002に発行された一時パスワードを通知する。この一時パスワードの通知は、例えば、電子メール、FAX、電話等の様々な方法を用いることができる。つまり、ユーザ001とユーザ002とは同じ場所にいる必要はなく、それぞれが異なる場所にいる場合でも本実施形態によるID連携の処理を実行することができる。
Then, when the temporary password is issued by the
次に、XYZサービスの管理者であるユーザ002が、ユーザ001から通知された一時パスワードを用いて、2つのサービスにおけるテナントIDどうしを関連付ける際の処理について説明する。 Next, a description will be given of a process when the user 002 who is the administrator of the XYZ service uses the temporary password notified by the user 001 to associate the tenant IDs of the two services.
なお、この説明の前にサービス提供サーバ10において登録されているユーザ管理テーブル例を図24に示す。図24を参照すると、ユーザ002は、ユーザIDが「U002@xyzservice.com」、パスワードが「abcabc」、ユーザ種類が「管理者」、テナントIDが「xyz-A」となっているのが分かる。なお、この「xyz-A」というテナントIDは、株式会社AのXYZサービスにおけるグループ識別子である。
Before this explanation, an example of a user management table registered in the
次に、図10を参照して説明した全体シーケンスにおける(4)の処理である、XYZサービスの管理者であるユーザ002による操作について図25のシーケンスチャートを参照して説明する。 Next, the operation by the user 002 who is the administrator of the XYZ service, which is the process (4) in the overall sequence described with reference to FIG. 10, will be described with reference to the sequence chart of FIG.
まず、ユーザ002は、ステップS401において、端末装置20を操作してサービス提供サーバ10にアクセスして図24に示したようなユーザIDおよびパスワードを入力するによりXYZサービスにログインする。
First, in step S401, the user 002 operates the
そして、ログイン処理が行われた後に、ユーザ002は、ステップS402において、端末装置20を操作して、ユーザ001から通知された一時パスワードをXYZサービスに入力する。このようにユーザ002が一時パスワードをXYZサービスに入力する際の表示画面例を図26に示す。
After the login process is performed, the user 002 operates the
このようにして一時パスワードが入力されるとサービス提供サーバ10では、入力された一時パスワードと同じ一時パスワードが対応付け一時情報テーブルに登録されていて、かつ、「状態」が「一時PW発行中」であるか否かを検索する。そして、同じ一時パスワードが登録されており、「状態」が「一時PW発行中」である場合、サービス提供サーバ10は、図18に示した構成と同様の構成のリダイレクト情報を生成する。
When the temporary password is entered in this way, the
そして、サービス提供サーバ10では、対応付け一時情報テーブルが更新される。このように一時パスワードが入力された際に対応付け一時情報テーブルが更新される様子を図27に示す。
Then, in the
図27を参照すると、一時パスワードが入力されたことにより対応付け一時情報テーブルでは新たな欄が設けられて、一時パスワード、クライアントID、「状態」が「ユーザログイン中」、期限、新たなstateおよびnonceが対応付けて記憶されているのが分かる。 Referring to FIG. 27, when a temporary password is entered, new columns are provided in the association temporary information table, and temporary password, client ID, "state" is "user logged in", time limit, new state and It can be seen that the nonce is associated and stored.
次に、サービス提供サーバ10は、ステップS403において、生成したリダイレクト情報をユーザ002の端末装置20に送信して、端末装置20の接続先をリダイレクトさせる。
Next, the
そして、ユーザ002の端末装置20がリダイレクトされたことにより表示される表示画面例を図28に示す。図28に示す表示画面では、ABCサービスのログイン画面が表示されている。そのため、ユーザ002は、ステップS404において、このログイン画面にユーザIDおよびパスワードを入力してABCサービスにログインする。すると、IDプロバイダであるサービス提供サーバ40は、ユーザIDとパスワードを確認することによりユーザ002の認証処理を実行し、認証処理が正常に行われると、ステップS405において、図29に示すような返信情報を含むリダイレクト情報を生成して端末装置20に対して送信する。すると、端末装置20は、ステップS406において、リダイレクト情報によって指定されたURLにアクセスすることによりサービス提供サーバ10に返信情報を送信する。
FIG. 28 shows an example of a display screen displayed when the
この図29に示した返信情報には、ユーザ002のユーザ情報が含まれており、株式会社AのABCサービスにおけるテナントID「123A」、ユーザID「U002@idp.example.com」、ユーザ種類「一般ユーザ」、state「555222」およびnonce「def006」の情報が含まれている。 The reply information shown in FIG. 29 includes the user information of the user 002. Tenant ID "123A", user ID "U002@idp.example.com", user type " general user”, state “555222” and nonce “def006”.
すると、サービス提供サーバ10は、この返信情報に対して以下のようなチェックを行う。
Then, the
(1)返信情報が「idp.example.com」により正しく署名されていること
(2)返信情報におけるstateおよびnonceの情報が正しいこと
(3)対応付け一時情報テーブルにおける有効期限が過ぎていないこと
(4)対応付け一時情報テーブルにおける「状態」が「ユーザログイン中」であること
(5)対応付け一時情報テーブルにおいて、同一の一時パスワードが登録された記録情報のうちの、「状態」が「一時PW発行中」である記録情報における連携先テナントIDが、サービス提供サーバ40から返信された返信情報におけるテナントIDと一致すること
(1) The reply information is correctly signed by "idp.example.com" (2) The state and nonce information in the reply information is correct (3) The expiration date in the temporary correspondence information table has not passed (4) The "status" in the association temporary information table is "user logged in" (5) In the association temporary information table, among the record information in which the same temporary password is registered, the "status" is " The linked tenant ID in the record information "Temporary PW is being issued" matches the tenant ID in the reply information returned from the
具体的には、サービス提供サーバ10は、図30に示すようなチェックを行う。
Specifically, the
(1)まず、サービス提供サーバ40からの返信情報に含まれるstateおよびnonceである「555222」と「def006」と一致する記録情報を対応付け一時情報テーブルから検索する。
(1) First, the temporary correspondence information table is searched for recorded information that matches the state and nonce "555222" and "def006" contained in the reply information from the
(2)次に、この記録情報における一時パスワードを参照して「987987」という情報を取得する。 (2) Next, referring to the temporary password in this recorded information, the information "987987" is obtained.
(3)そして、この「987987」という一時パスワードと同一の一時パスワードが登録されている記録情報を検索する。 (3) Then, record information in which the same temporary password as this temporary password of "987987" is registered is searched.
(4)次に、検索により見つかった記録情報の連携先テナントID「123A」を取得する。 (4) Next, acquire the linked tenant ID "123A" of the record information found by the search.
(5)最後に、(4)において取得した連携先テナントID「123A」が、返信情報におけるテナントID「123A」と一致することを確認する。 (5) Finally, confirm that the cooperation destination tenant ID "123A" obtained in (4) matches the tenant ID "123A" in the reply information.
図30に示した返信情報と対応付け一時情報テーブルでは、上記の条件が満たされている。そのため、サービス提供サーバ10では、対応付け一時情報テーブルが、図31に示すように更新される。具体的には、「状態」が「一時PW発行中」であった記録情報における「状態」が「終了(管理者)」に変更され、「状態」が「ユーザログイン中」であった記録情報における「状態」が「終了(一般ユーザ)」に変更されるとともに連携先テナントIDとして「123A」が登録される。
The above conditions are satisfied in the reply information and association temporary information table shown in FIG. Therefore, in the
このような処理が行われた結果、サービス提供サーバ10では、ステップS407において、ABCサービスにおける株式会社AのテナントID「123A」と、XYZサービスにおける株式会社AのテナントID「xyz-A」との対応付けが行われる。
As a result of such processing, in the
そして、このような対応付けが行われたことにより、サービス提供サーバ10におけるテナントID対応付けテーブルでは、図32に示すように、自装置における株式会社AのテナントID「xyz-A」と対応付けて、連携先であるサービス提供サーバ40のテナントID「123A」が連携先テナントIDとして登録される。
Then, as a result of such association, in the tenant ID association table in the
上記各実施形態において、プロセッサとは広義的なプロセッサを指し、汎用的なプロセッサ(例えばCPU:Central Processing Unit、等)や、専用のプロセッサ(例えばGPU:Graphics Processing Unit、ASIC:Application Specific Integrated Circuit、FPGA:Field Programmable Gate Array、プログラマブル論理デバイス等)を含むものである。 In each of the above embodiments, the processor refers to a processor in a broad sense, such as a general-purpose processor (e.g. CPU: Central Processing Unit, etc.) or a dedicated processor (e.g. GPU: Graphics Processing Unit, ASIC: Application Specific Integrated Circuit, FPGA: Field Programmable Gate Array, programmable logic device, etc.).
また上記各実施形態におけるプロセッサの動作は、1つのプロセッサによって成すのみでなく、物理的に離れた位置に存在する複数のプロセッサが協働して成すものであってもよい。また、プロセッサの各動作の順序は上記各実施形態において記載した順序のみに限定されるものではなく、適宜変更してもよい。 Further, the operations of the processors in each of the above embodiments may be performed not only by one processor but also by the cooperation of a plurality of physically separated processors. Also, the order of each operation of the processor is not limited to the order described in each of the above embodiments, and may be changed as appropriate.
10 サービス提供サーバ
11 CPU
12 メモリ
13 記憶装置
14 通信インタフェース
15 ユーザインタフェース装置
16 制御バス
20 端末装置
30 インターネット
31 一時パスワード発行部
32 ユーザ管理テーブル記憶部
33 認証処理部
34 データ送受信部
35 制御部
36 対応付け一時情報テーブル記憶部
37 テナントID対応付けテーブル記憶部
40 サービス提供サーバ
10
12
Claims (6)
前記プロセッサは、
第1システムにおいて管理者権限を有する第1ユーザからの操作に基づいて、前記第1ユーザにより指定された第1識別子と対応づけられた仮認証情報を発行し、
第2システムを利用する第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた際に、発行した仮認証情報と提示された仮認証情報とが一致した場合、前記仮認証情報と対応付けられた前記第1識別子と前記第2ユーザが指定した第2識別子とを対応付ける、
情報処理装置。 with memory and processor
The processor
issuing temporary authentication information associated with a first identifier specified by the first user based on an operation from a first user who has administrator authority in the first system;
When the second user using the second system presents the temporary authentication information and requests cooperation with the first system, if the issued temporary authentication information and the presented temporary authentication information match, associating the first identifier associated with the temporary authentication information with the second identifier specified by the second user;
Information processing equipment.
前記プロセッサは、前記第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた場合に、前記第2ユーザからの接続要求を前記第1システムにおけるログイン画面に転送し、
前記第2ユーザが前記第1システムにログインすることができた旨の情報が返信されてきた場合、前記メモリに記憶されている前記第1識別子と、ログイン中の前記第2ユーザが使用している第2識別子とを対応付ける請求項1記載の情報処理装置。 the memory associates and stores the temporary authentication information and a first identifier specified by the first user;
The processor transfers a connection request from the second user to a login screen in the first system when the second user presents the temporary authentication information and requests cooperation with the first system. ,
When information is returned to the effect that the second user was able to log in to the first system, the first identifier stored in the memory and the identifier used by the logged-in second user 2. The information processing apparatus according to claim 1, wherein the second identifier is associated with the second identifier.
前記プロセッサは、前記第1システムから返信されてきた、前記第2ユーザが前記第1システムにログインすることができた旨の情報に、前記メモリに記憶されている確認情報が含まれている場合に、前記メモリに記憶されている前記第1識別子と、ログイン中の前記第2ユーザが使用している第2識別子とを対応付ける請求項2記載の情報処理装置。 said memory stores confirmation information issued when transferring a connection request from said second user to a login screen in said first system in association with said temporary authentication information and said first identifier ;
When the information sent back from the first system to the effect that the second user was able to log in to the first system includes the confirmation information stored in the memory. 3. The information processing apparatus according to claim 2, wherein said first identifier stored in said memory and said second identifier used by said second user who is logged in are associated with each other.
前記プロセッサは、前記第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた場合でも、現在の日時が当該仮認証情報の有効期限を過ぎている場合、前記第2ユーザからの前記第1システムとの連携要求を拒否する請求項1記載の情報処理装置。 The temporary authentication information is authentication information with an expiration date set,
Even if the second user presents the temporary authentication information and requests cooperation with the first system, if the current date and time has passed the expiration date of the temporary authentication information, the processor 2. The information processing apparatus according to claim 1, wherein a request for cooperation with said first system from two users is rejected.
第2システムを利用する第2ユーザが前記仮認証情報を提示して前記第1システムとの連携を要求してきた際に、発行した仮認証情報と提示された仮認証情報とが一致した場合、前記仮認証情報と対応付けられた前記第1識別子と前記第2ユーザが指定した第2識別子とを対応付けるステップと、
をコンピュータに実行させるためのプログラム。 issuing temporary authentication information associated with a first identifier designated by the first user based on an operation from a first user who has administrator authority in the first system;
When the second user using the second system presents the temporary authentication information and requests cooperation with the first system, if the issued temporary authentication information and the presented temporary authentication information match, a step of associating the first identifier associated with the temporary authentication information with a second identifier specified by the second user;
A program that causes a computer to run
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019174103A JP7338360B2 (en) | 2019-09-25 | 2019-09-25 | Information processing device and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019174103A JP7338360B2 (en) | 2019-09-25 | 2019-09-25 | Information processing device and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021051552A JP2021051552A (en) | 2021-04-01 |
JP7338360B2 true JP7338360B2 (en) | 2023-09-05 |
Family
ID=75158265
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019174103A Active JP7338360B2 (en) | 2019-09-25 | 2019-09-25 | Information processing device and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7338360B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008186338A (en) | 2007-01-31 | 2008-08-14 | Nippon Telegr & Teleph Corp <Ntt> | Account linking system, account linking method, link server device, client device |
JP2014016697A (en) | 2012-07-06 | 2014-01-30 | Mitsubishi Electric Corp | Authority id assignment device, authentication system, authority id assignment method, authority id assignment program, and authentication method |
JP2016118863A (en) | 2014-12-19 | 2016-06-30 | キヤノン株式会社 | Linking system, control method thereof, and program |
JP2019075006A (en) | 2017-10-18 | 2019-05-16 | 富士ゼロックス株式会社 | Information processing device, information processing system, and program |
-
2019
- 2019-09-25 JP JP2019174103A patent/JP7338360B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008186338A (en) | 2007-01-31 | 2008-08-14 | Nippon Telegr & Teleph Corp <Ntt> | Account linking system, account linking method, link server device, client device |
JP2014016697A (en) | 2012-07-06 | 2014-01-30 | Mitsubishi Electric Corp | Authority id assignment device, authentication system, authority id assignment method, authority id assignment program, and authentication method |
JP2016118863A (en) | 2014-12-19 | 2016-06-30 | キヤノン株式会社 | Linking system, control method thereof, and program |
JP2019075006A (en) | 2017-10-18 | 2019-05-16 | 富士ゼロックス株式会社 | Information processing device, information processing system, and program |
Also Published As
Publication number | Publication date |
---|---|
JP2021051552A (en) | 2021-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10367796B2 (en) | Methods and apparatus for recording a change of authorization state of one or more authorization agents | |
US9071601B2 (en) | Authority delegate system, server system in authority delegate system, and control method for controlling authority delegate system | |
CN105849760B (en) | System for access control and system integration | |
US9021570B2 (en) | System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium | |
KR101468977B1 (en) | Method and system for authentication using a mobile device | |
WO2018113690A1 (en) | Login authorisation method and apparatus, and login method and apparatus | |
GB2569278A (en) | Methods and apparatus for verifying a user transaction | |
US8826395B2 (en) | Method of improving online credentials | |
US10326758B2 (en) | Service provision system, information processing system, information processing apparatus, and service provision method | |
CN110875925A (en) | Information processing apparatus, authorization system, and authentication method | |
EP4060934B1 (en) | Information processing apparatus and information processing program | |
US20230229804A1 (en) | Consent-driven privacy disclosure control processing | |
US20230096498A1 (en) | Secure content management through authentication | |
KR20110055542A (en) | An apparatus for managing user authentication | |
JP2020038438A (en) | Management device, management system and program | |
JP7338360B2 (en) | Information processing device and program | |
JP6305005B2 (en) | Authentication server system, control method, and program thereof | |
CN113055186B (en) | Cross-system service processing method, device and system | |
US20220311771A1 (en) | Information processing apparatus, non-transitory computer readable medium, and information processing method | |
JP2016085638A (en) | Server device, terminal device, system, information processing method, and program | |
JP4814131B2 (en) | Mediation system, program, and storage medium | |
JP4993083B2 (en) | Session management apparatus, program, and storage medium | |
JP2008299467A (en) | User authentication information management device, and user authentication program | |
JP5913511B1 (en) | Authentication system, authentication method, and authentication program for strengthening security using third-party authentication | |
US20230388311A1 (en) | Network system and control method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20201102 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220831 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230519 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230523 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230707 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230725 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230807 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7338360 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |