JP7382753B2 - セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム - Google Patents

セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム Download PDF

Info

Publication number
JP7382753B2
JP7382753B2 JP2019136341A JP2019136341A JP7382753B2 JP 7382753 B2 JP7382753 B2 JP 7382753B2 JP 2019136341 A JP2019136341 A JP 2019136341A JP 2019136341 A JP2019136341 A JP 2019136341A JP 7382753 B2 JP7382753 B2 JP 7382753B2
Authority
JP
Japan
Prior art keywords
saml
server
request
authentication server
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019136341A
Other languages
English (en)
Other versions
JP2020057363A (ja
Inventor
ラウル スラパラジュ,
ダニエル バーバー,
Original Assignee
コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド filed Critical コニカ ミノルタ ラボラトリー ユー.エス.エー.,インコーポレイテッド
Publication of JP2020057363A publication Critical patent/JP2020057363A/ja
Application granted granted Critical
Publication of JP7382753B2 publication Critical patent/JP7382753B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Description

本開示は、概して、ユーザーの挿入された暗黙的なセキュア認証による真のシームレスなSAML(セキュリティーアサーションマークアップランゲージ)SP起点の(サービスプロバイダー起点の)SSO(シングルサインオン)フローのためのコンピューターネットワーキングシステム及び方法に関し、特に、認証されたユーザーがSP起点のSAMLフローを開始する際に引き起こされるHTTP(ハイパーテキストトランスファープロトコル)リダイレクションを導入する、修正されたSAML SP起点のSSOフローに関する。
セキュリティーアサーションマークアップランゲージ(SAML)は、ユーザーアイデンティティーをアサートするSAML連携アイデンティティープロバイダー(SAML-IdP)と、ユーザーアイデンティティー情報を使用するSAML連携サービスプロバイダー(SAML-SP)との間でシングルサインオン(SSO)情報をやり取りするためのXML規格である。シングルサインオンは、ユーザーが一組のログインクレデンシャルで複数のアプリケーションにアクセスすることを可能にする認証プロセスである。シングルサインオンは、例えば、ローカルエリアネットワーク(LAN)に接続された複数のリソースにクライアントがアクセスする、企業における共通の手続きである。
SAMLv2.0(セキュリティーアサーションマークアップランゲージ・バージョン2)は、IdP起点及びSP起点のフローをサポートする。IdP起点のSAML SSOフローでは、SAML-IdPがユーザーアイデンティティーについてのSAMLシングルサインオンアサーションを作成し、当該SAMLシングルサインオンアサーションをSP(サービスプロバイダー)に未承諾の形式で送信する。SP起点のSAML SSOフローでは、SPが連携プロセスの第1のステップとしてSAML-IdPに送信されるSAML2.0AuthnRequest(すなわち認証リクエスト)を生成し、次いでSAML-IdPがSAMLレスポンスに応答する。これらのインタラクションは両方とも互いに非同期である。
IdP起点のSAML SSOは、ユーザーが既に認証されており、SAML-IdPのポータルページを訪れる場合に、ユーザーフローにこのような簡略化をもたらし、SAML-IdPは、ユーザーを認証するSAML2.0アサーションを構築することができ(すなわち、ユーザーは認証されており)、ユーザーは、SAML-SPにおいて他の場合には保護されているリソースにアクセスすることができ、SAML-IdPは、SAMLv2.0アサーションをSAML-SPに未承諾の形式で送信する。
現在のSAML2.0連携SP起点のインプリメンテーションは、フローセマンティクスの相違の結果としてIdP起点のSSOフローによるこのような有用性を欠いている。
SP起点よりもIdP起点を選択することは、SAMLv2.0の下では現在は選択対象ではない。SP起点のSAML SSOフローは、IdP起点のフローに対して著しい有利性をもたらすことができ、例えば、ディープリンクのサポート及びCSRF(クロスサイトリクエストフォージェリ)攻撃に対する保護を挙げることができる。ディープリンクは、ウェブサイトのホームページ(例えば「http://example.com」)ではなく、ウェブサイト上の、ある特定の、一般に検索可能な又はインデックス付きのウェブコンテンツ(例えば「http://example.com/path/page」)にリンクするハイパーリンクの使用である。また、サービスプロバイダー(SP)の一部は、IdP起点のSAMLフローを許可していない。
SAML2.0のSP起点のSSOフロー中に、ユーザーは、SAML-IdPがそのような試みに気付いていない状態で、SP側の保護されたリソースに直接アクセスすることを試みる。ユーザーがモバイル/デスクトップアプリ上で(IdPを含むSAML任意の認証サービスで)既に認証されている多くの典型的な場合において、起こり得る問題は、モバイル装置(つまりユーザーによって操作されている)のモバイル/デスクトップクライアント及び(SAML-IdPをホスティングしている)認証サービスがユーザーに再認証するよう強制し得ることを含む。したがって、ユーザーに再認証することを求めることにより、IdP起点のSAML SSOフローによって別の方法でもたらされるSSOプロセスのシームレス性が失われ得る。また、連携アイデンティティーの認証が必要であれば、サービスプロバイダー(SP)は、対応するSAML-IdPサーバーを識別する必要がある。SP起点のログインでは、SPはユーザーのアイデンティティーについて当初は何も知らず、ユーザーの干渉が求められるため、SPは、IdP起点のSAML SSOフローと比較して、使用性及びパフォーマンス/レイテンシ問題を抱える可能性がある。
上記の問題を考慮して、認証されたユーザーがSP起点のSAMLフローを開始する際に開始され得る(引き起こされ得る)HTTPリダイレクションを導入することにより、修正されたSAML SP起点のSSOフローのための方法及びプログラムを有することが望ましく、このような修正されたSAML2.0 SP起点のフローは、SAML2.0仕様に十分に適合することになる。
セキュリティーアサーションマークアップランゲージ(SAML)サービスプロバイダー起点の(SP起点の)シングルサインオン(SSO)フローのための方法が開示される。前記方法は、シングルサインオン(SSO)法により認証サーバー上でクライアントを認証するステップと、前記認証サーバー上で前記クライアントに一組のアクセストークンを発行するステップであって、前記一組のアクセストークンは、認証されたユーザーを記述するクレームのリストを含むステップと、前記クライアントがSAML-SPサーバー上でホスティングされているリソースへのリクエストを前記認証サーバーに送信するステップであって、前記リクエストは、前記認証サーバーのドメイン及び統一資源位置指定子と前記一組のアクセストークンとを含むステップと、前記認証サーバー上で前記リクエストを受信し、前記リクエストから前記一組のアクセストークンを解析し、前記認証されたユーザーを有効にするステップと、前記認証サーバー上でページをレンダリングし、前記認証サーバーの前記ドメインに関連付けられたログインクッキーとともに前記ページを前記クライアントに渡すステップであって、前記ページは、前記リクエストを前記クライアントから前記SAML-SPサーバーにリダイレクトするJavaScriptコードを含むステップと、前記SAML-SPサーバー上で前記リソースにアクセスするためのリソースリクエストを受信するステップと、前記SAML-SPサーバーが、認証リクエストプロトコルメッセージを使用して前記ユーザーの認証を得るために、前記リソースリクエストを前記SAML-SPサーバーから前記認証サーバーにリダイレクトするステップと、前記認証サーバー上で前記SAML-SPサーバーからSAML SSOリクエストを受信するステップと、前記認証サーバー上で前記認証されたユーザーについてのアサーションとともに前記SAML-SPサーバーにSAML SSOレスポンスを発行するステップと、前記SAML-SPサーバーが前記SAML-SPサーバー上でホスティングされている前記リソースへのアクセスを前記認証されたユーザーに許諾するステップと、を含む。
セキュリティーアサーションマークアップランゲージ(SAML)サービスプロバイダー起点の(SP起点の)シングルサインオン(SSO)フローのためにプロセッサーによって実行されるコンピューター読取可能なプログラムが開示される。前記プログラムは、前記プロセッサーに、シングルサインオン(SSO)法により認証サーバー上でクライアントを認証するステップと、前記認証サーバー上で前記クライアントに一組のアクセストークンを発行するステップであって、前記一組のアクセストークンは、認証されたユーザーを記述するクレームのリストを含むステップと、前記クライアントがSAML-SPサーバー上でホスティングされているリソースへのリクエストを前記認証サーバーに送信するステップであって、前記リクエストは、前記認証サーバーのドメイン及び統一資源位置指定子と前記一組のアクセストークンとを含むステップと、前記認証サーバー上で前記リクエストを受信し、前記リクエストから前記一組のアクセストークンを解析し、前記認証されたユーザーを有効にするステップと、前記認証サーバー上でページをレンダリングし、前記認証サーバーの前記ドメインに関連付けられたログインクッキーとともに前記ページを前記クライアントに渡すステップであって、前記ページは、前記リクエストを前記クライアントから前記SAML-SPサーバーにリダイレクトするJavaScriptコードを含むステップと、前記SAML-SPサーバー上で前記リソースにアクセスするためのリソースリクエストを受信するステップと、前記SAML-SPサーバーが、認証リクエストプロトコルメッセージを使用して前記ユーザーの認証を得るために、前記リソースリクエストを前記SAML-SPサーバーから前記認証サーバーにリダイレクトするステップと、前記認証サーバー上で前記SAML-SPサーバーからSAML SSOリクエストを受信するステップと、前記認証サーバー上で前記認証されたユーザーについてのアサーションとともに前記SAML-SPサーバーにSAML SSOレスポンスを発行するステップと、前記SAML-SPサーバーが前記SAML-SPサーバー上でホスティングされている前記リソースへのアクセスを前記認証されたユーザーに許諾するステップと、を実行させる。
上述の総括的な記載及び以下の詳細な記載は、両方とも例示及び説明のためのものであり、請求される発明のさらなる説明を提供することが意図されていると解釈されるべきである。
添付の図面は、発明のさらなる理解をもたらすために含まれ、本明細書に組み込まれるか、又は本明細書の一部を構成する。図面は発明の実施形態を例示し、明細書とともに発明の原理を説明する役割を有する。
例示的な実施形態に係る、ユーザーの挿入された暗黙的なセキュア認証によるSAML SP起点のSSOフローを有するシステムの例示である。 例示的な実施形態に係るコンピューター又はサーバーである。 SAML2仕様に係るSAML SP起点のSSOフローの一例である。 例示的な実施形態に係るSAML SP起点のSSOフローの一例である。
本発明の好ましい実施形態に詳細に言及し、その例が添付の図面に例示される。可能な限り、同じか又は同様の部分に言及するために同じ参照符号が図面及び説明において使用される。
図1は、例示的な実施形態に係る、ユーザーの挿入された暗黙的なセキュア認証による真のシームレスなSAML SP起点のSSOフローが可能なシステム100の例示である。図1に示すように、システム100は、コンピューター又はクライアント装置110と、少なくとも一つのモバイルコンピューター112と、複数のSAML-SPサーバー120と、認証サーバー130とを含むことができる。例示的な実施形態によれば、コンピューター又はクライアント装置110、少なくとも一つのモバイルコンピューター112、複数のSAML-SPサーバー120、及び認証サーバー130は、通信ネットワーク150を介して接続されることができる。また、例えば、アクセスポイント140は、通信ネットワーク150と通信して、モバイルコンピューター(例えばスマートフォン)112と通信ネットワーク150との間に無線又はセルラーデータ通信を提供することができる。例示的な実施形態によれば、アクセスポイント140は、Wi-Fi装置が有線ネットワークに接続することを可能にする任意のネットワーキングハードウェア装置、又は、例えばスマートフォン等のセルラー装置が有線ネットワーク150に接続することを可能にするハードウェア装置とすることができる。
図2は、コンピューティング装置200の例示であり、コンピューター110、モバイルコンピューター112、SAML-SPサーバー120、又は認証サーバー130とすることができる。図2に示すように、例示的なコンピューティング装置200は、プロセッサー又は中央処理装置(CPU)202と、ソフトウェアプログラム及び(プリントされるファイル等の)データを保存するための一つ以上のメモリー204とを含むことができる。プロセッサー又はCPU202は、コンピューティング装置200の機能の少なくとも一部分を動作させ、かつ/又は制御するコンピュータープログラムの指示を実行する。コンピューティング装置200は、入力部206と、表示部又はグラフィカルユーザーインタフェース(GUI)208と、通信ネットワーク(又はネットワーク)150に接続されるネットワークインタフェース(I/F)210とを含むこともできる。バス212は、コンピューティング装置200内の様々な部材202,204,206,208,210を接続することができる。
例示的な実施形態によれば、一つ以上のコンピューティング装置200の各々は、例えば、コンピューティング装置200のメモリー204内のウェブブラウザー(図示せず)にアクセスすることができる表示部又はグラフィカルユーザーインタフェース(GUI)208を含むことができる。コンピューティング装置200は、コンピューターハードウェアを管理し、様々なソフトウェアプログラムの効率的な実行のための共通のサービスを提供するオペレーティングシステム(OS)を含むこともできる。例示的な実施形態によれば、CPU202のOSは、Linux又はWindows(登録商標)ベースのオペレーティングシステムである。ソフトウェアプログラムは、例えば、アプリケーションソフトウェア及びプリンタードライバーソフトウェアを含むことができる。例えば、プリンタードライバーソフトウェアは、例えばコンピューティング装置200と接続されたマルチファンクションプリンター又はプリンター(図示せず)を制御し、プリンタードライバーソフトウェアは、通信ネットワーク150を介してインストールされる。ある実施形態では、プリンタードライバーソフトウェアは、画像及び/又はドキュメントデータに基づくプリントジョブ及び/又はドキュメントを生成することができる。
例示的な実施形態によれば、複数のSAML-SPサーバー120は、セキュリティーアサーションマークアップランゲージのシングルサインオン(SSO)プロファイルとともに認証アサーションを受信し受け付けるように構成される。SAMLドメインモデルにおいて、SAMLリライングパーティーは、他のシステムエンティティーから情報を受信し受け付ける任意のシステムエンティティーである。特に興味深いのは、SAMLオーソリティーによって発行されるSAMLアサーションを受信し受け付けるSAMLリライングパーティーである。重要な種類のSAMLオーソリティーは、SAMLアイデンティティープロバイダー、SAMLのSSOプロファイルとともに認証アサーションを発行するシステムエンティティーである。そのようなアサーションを使用するリライングパーティーは、SAMLサービスプロバイダー(又は、ドメインが分かれば単にサービスプロバイダー)と呼ばれる。したがって、SAMLサービスプロバイダー(SAML-SP)は、SAMLアイデンティティープロバイダー(SAML-IdP)によって発行される認証アサーションを受信し受け付けるシステムエンティティーである。
例示的な実施形態によれば、SAML SPは、企業サーバー、例えばコンサルティング、法律、不動産、通信、ストレージ、処理を組織に提供する任意のエンティティーとすることができる。例えば、SAML SPは、サードパーティー又はアウトソーシングサプライヤー、例えば、電気通信サービスプロバイダー(TSP)、アプリケーションサービスプロバイダー(ASP)、ストレージサービスプロバイダー(SSP)、及びインターネットサービスプロバイダー(ISP)とすることができる。
例えば、TSPは、従来から電話及び同様のサービスを提供してきた通信サービスプロバイダーの一種であり、既存の地域通信事業者、競合する地域通信事業者、及びモバイル無線通信会社を含むことができる。ASPは、コンピューターベースのサービスをネットワーク上で顧客に提供する事業である。例えば、ASPは、例えばHTTP等の標準プロトコルを用いて(顧客関係管理等の)特定のソフトウェアアプリケーションへのアクセスを提供することができる。SSPは、コンピューターストレージスペース及び関連するマネジメントサービス、定期的なバックアップ、及びアーカイブを提供する任意の企業である。
例示的な実施形態によれば、SAML-IdPは、セキュリティーアサーションマークアップランゲージ(SAML)のシングルサインオン(SSO)プロファイルとともに認証アサーションを発行するシステムエンティティーである。SAMLドメインモデルにおいて、SAMLオーソリティーは、SAMLアサーションを発行する任意のシステムエンティティーである。SAMLオーソリティーの二つの重要な例は、認証オーソリティー及び属性オーソリティーである。
例示的な実施形態によれば、コンピューター(又はクライアント装置)110及びモバイル装置112は、好ましくは、例えば指紋認識若しくは認証、又はモバイル装置上で現在実施されているか若しくは実施予定の他の認証プロトコルによってユーザーを認証する認証モジュールを含むこともできる。例えば、ユーザー名及びパスワード等のクレデンシャルを使用するパスワード認証プロトコルを使用することができる。
例示的な実施形態によれば、通信ネットワーク又はネットワーク150は、公衆電気通信回線及び/又はネットワーク(例えば、LAN又はWAN)とすることができる。通信ネットワーク150の例として、開示の実施形態と一致する任意の電気通信回線及び/又はネットワークを挙げることができる。開示の実施形態は、電気通信若しくは電話回線、インターネット、イントラネット、図示のローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)及び/又は無線周波数(RF)及び/又は赤外線(IR)通信を使用した無線接続を含むが、これらに限定されない。
図3は、SAMLv2仕様に係るSAML SP起点のSSOフロー300の一例である。図3に示すように、ステップ1において、モバイル装置(例えばスマートフォン)112を有するユーザーが、SAML-SPサーバー120によってホスティングされているリソース、サービス、又はアプリケーションをリクエストする。当該リクエスト(すなわちアクセスリソース)は、モバイル装置112から通信ネットワーク150を介してSAML-SPサーバー120に送信される。ステップ2において、SAML-SPサーバー120は、リクエストを認証サーバー130にリダイレクトし、認証サーバー130は、受信し次第、「クレデンシャルの要求」、すなわちユーザー名及びパスワードについて、モバイル装置112にリクエストを送信する。ステップ4において、モバイル装置112のユーザーがユーザー名及びパスワードを入力し、認証サーバー130に送信される。検証後のユーザー名及びパスワードの受信に応じて、ステップ5において、認証サーバー(すなわちSAML-IdP)130は、署名付き「レスポンス」をHTML形式でモバイル装置112に送信する。ステップ6において、モバイル装置112は、POST署名付き「レスポンス」をSAML-SPサーバー120に転送する。POSTは、ワールドワイドウェブによって使用されるHTTPによって使用されるHTTPによってサポートされるリクエスト法である。意図的に、POSTリクエスト法は、ウェブサーバーがリクエストメッセージの本文に含まれているデータを受け付けることをリクエストする。ステップ7において、SAML-SPサーバーは、リクエストされたリソース122をモバイル装置112に提供又は供給する。
図4は、例示的な実施形態に係るSAML SP起点のSSOフロー400の一例である。図4に示すように、例示的な実施形態によれば、モバイル装置112のユーザーは、有効な認証シングルサインオン(SSO)法、例えば、指紋、ユーザー名及びパスワード、又はピンを使用して、認証サーバー130上でホスティングされているシングルサインオン(SSO)サービス132にログインする。例えば、シングルサインオン(SSO)法は、バイオメトリック、例えば、指紋、手のひら静脈、顔認識、DNA、掌紋、掌形認証、虹彩認識、及び/又は網膜とすることができる。例示的な実施形態によれば、認証サーバー130は、図4に示すように認証サーバー130上でホスティングされているシングルサインオン(SSO)サービス132を含むことができる。
例えばシングルサインオン(SSO)サービスにより認証サーバー130にログインすると、クライアント(すなわちモバイル装置112)に一組のトークンが発行される。例えば、例示的な実施形態によれば、一組のトークンは、認証サーバー130によるジェイソンウェブトークン(JWT)及び認証サーバー130の対応するシングルサインオン(SSO)サービス132に基づく。例えば、例示的な実施形態によれば、一組のトークンは、符号化されたHMAC(鍵付きハッシュメッセージ認証コード又はハッシュベースのメッセージ認証コード)SHA256(セキュアハッシュアルゴリズム)とすることができる。また、一組のトークン中のキーはクレームのリストを含み、当該クレームのリストは、ログインしているユーザーを表す。当該クレームのリストは、例えば、ユーザー名、アクセス権限(パーミッション)等を含むことができる。また、JWTトークンは、期限が切れるように設定することができ、リフレッシュすることができる。
例示的な実施形態によれば、図4に示すように、モバイル装置112は、好ましくはクライアントアプリケーション114を有し、クライアントアプリケーション114は、例えばクライアント又はモバイルアプリケーション114(すなわちシンククライアント/モバイルアプリケーション)によって管理される外部のウェブブラウザー116等のサービスプロバイダー(SP)上でホスティングされているリソース又はサービスへのアクセスをモバイル装置112のユーザーに提供するように設定される。例示的な実施形態によれば、モバイル装置112のユーザーは、SAML-SP120を選択することができる。(例えば、大部分のSPはウェブベースであることから)モバイル装置112上のクライアントアプリケーションは、好ましくはウェブブラウザーを起動する。ウェブブラウザー116は、ワールドワイドウェブ上の情報にアクセスするためのソフトウェアアプリケーションである。
例示的な実施形態によれば、ウェブブラウザーアドレスは、認証サーバー130のドメイン名/統一資源位置指定子(ドメイン/url)へのものであり、JWTトークンがアドレスの一部である。ステップ1において、認証サーバー130がリクエストを受信して、サービスプロバイダー(SAML-SP120)のウェブページをレンダリングする。認証サーバー130はJWTトークンを解析し、JWTトークンの署名、満了等のうち一つ以上を(データベースにヒットすることなく)有効にする。ステップ2において、認証サーバー130は次いで、JWTトークンが有効であれば、JWTトークンからクレームを抽出する。例示的な実施形態によれば、認証サーバー130は、クレームを使用してクレームプリンシパルを構築することができ、クレームプリンシパルは、SAML-SPサーバー120のドメインに関連付けられたログインクッキーに挿入される。ログインクッキーは、例えば、ユーザー名、アクセス権限等を含むユーザーについての情報を含む、認証サーバー130から送信される小さなデータである。
認証サーバー130は、ページをレンダリングし、モバイル装置112のウェブブラウザーにログインクッキーを渡す。例示的な実施形態によれば、ステップ3において、認証サーバー130から受信されたページ(すなわちリクエスト)は、ブラウザーをSAML-SP120に(例えば、gmail.comに)リダイレクトするJavaScriptコードを含む。SAML-SP120はリクエストを受信し、ウェブページをレンダリングする。例示的な実施形態によれば、SAML-SP120がモバイル装置112のウェブブラウザーからリクエストを受信した後でユーザーがユーザー名及び/又はパスワードを入力する必要があってもよいし、なくてもよい。
ステップ4において、SAML-SPサーバー120は、次いで認証サーバー130(すなわちセキュリティーアサーションマークアップランゲージアイデンティティープロバイダー(SAML-IdP)134(例えば、idp.enterprise1.com))にリダイレクトされ、シングルサインオンセキュリティーアサーションマークアップランゲージ(SSO/SAML)を使用してユーザーのアイデンティティーを取得する。認証サーバー130(すなわちSAML-IdP134)は、SAML-SPサーバー120からSSO/SAMLリクエストを受信する。認証サーバー130(すなわちSAML-IdP134)は、認証サーバー130からのクッキーも有する(例えば、ドメインが同じ際にはクッキーを自動的に使用することができる)。利用可能なクッキーに加え、クレームをクッキーに含ませることもできる。
例示的な実施形態によれば、SAML-IdP134は、クッキーが有効であることを確認し、クレームを使用して(データベース、すなわちシングルサインオンサーバー132にヒットすることなく)ユーザーの認可を判定する。ステップ5において、認証サーバー130(すなわちSAML-IdP134)は、SSO/SAMLレスポンスをSAML-SP120に発行し、ユーザーをSAML-SPアドレスにリダイレクトする。
ステップ6において、SAML-SP120は、ユーザーについてのアサーション(クレーム)を含むSSO/SAMLレスポンスを受信する。ステップ7において、SAML-SP120は、リソースへのアクセスを許諾し(例えば、リソース122を認証ユーザー及びモバイル装置/クライアント112に供給し)、ユーザーは、SAML-SPサーバー120及び/又は認証サーバー130のいずれにもログインする必要なしに通常通り進むことができる。
例示的な実施形態によれば、サービスプロバイダーは、例えば、microsoftonline.comとすることができる。対応するユーザーID、SAMLサブジェクト名、及び属性は以下の通りであり得る。
Figure 0007382753000001
例示的な実施形態によれば、SAML-IdP134は、追加のリダイレクションに対処しつつ、認証されたユーザーのための所要の情報、例えばドメイン名及び/又はeメールアドレスを抽出して、例えばSAML-SP120におけるリソースへのアクセスを自動化するためのURLを生成する。したがって、開示されているシステム及び方法は、ユーザーの発明によって別の方法で利用可能なレイテンシがあるにもかかわらず、当該方法及びシステムに高速の真のシームレスな効果をもたらす比較的シームレスなシングルサインオン(SSO)を提供することができる。
例示的な実施形態によれば、開示されている方法及びプロセスは、非一時的なコンピューター読取可能な媒体上で実施されることができる。非一時的なコンピューター読取可能な媒体は、磁気記録媒体、光磁気記録媒体、又は将来開発されることになる任意の他の記録媒体であってもよく、全て同じやり方で本発明に適用可能であると考えることができる。主要な複製製品及び二次的な複製製品等を含むそのような媒体の複製は、もちろん上記の媒体と同等であると考えられる。さらに、本発明の実施形態がソフトウェア及びハードウェアの組合せであっても、発明の概念からは全く逸脱しない。本発明は、そのソフトウェア部分が予め記録媒体に書き込まれており、動作において必要に応じて読み込まれることになるように実施されてもよい。
ここで使用される限りにおいて、単数で記載され「a」又は「an」という語が前に付けられた要素又はステップは、明示的に記載されない限り、複数の要素又はステップを除外していないと理解されるべきである。さらに、本開示の「例示的な実施形態」又は「一実施形態」という言及は、記載されている特徴を同じく組み込んだ追加的な例の存在を除外すると解釈されることを意図していない。
本書類の末尾にある特許請求項は、従来のミーンズプラスファンクション文言が明確に記載されていない限り、例えば「ための手段」又は「ためのステップ」という文言が請求項に明確に記載されていない限り、米国特許法第112条(f)に基づいて解釈されることを意図していない。
発明の範囲又は精神から逸脱することなく本発明の構造に様々な修正及び変更を行うことができることは、当業者にとっては明らかであろう。以上に鑑み、本発明は、下記の請求項及びそれらの等価物の範囲に入るならばこの発明の修正及び変更を対象とすることが意図される。

Claims (20)

  1. セキュリティーアサーションマークアップランゲージ(SAML)サービスプロバイダー起点の(SP起点の)シングルサインオン(SSO)フローのための方法であって、前記方法は、
    シングルサインオン(SSO)法により認証サーバー上でクライアントを認証するステップと、
    前記認証サーバー上で前記クライアントに一組のアクセストークンを発行するステップであって、前記一組のアクセストークンは、認証されたユーザーを記述するクレームのリストを含むステップと、
    前記クライアントがSAML-SPサーバー上でホスティングされているリソースへのリクエストを前記認証サーバーに送信するステップであって、前記リクエストは、前記認証サーバーのドメイン及び統一資源位置指定子と前記一組のアクセストークンとを含むステップと、
    前記認証サーバー上で前記リクエストを受信し、前記リクエストから前記一組のアクセストークンを解析し、前記認証されたユーザーを有効にするステップと、
    前記認証サーバー上でページをレンダリングし、前記認証サーバーの前記ドメインに関連付けられたログインクッキーとともに前記ページを前記クライアントに渡すステップであって、前記ページは、前記リクエストを前記クライアントから前記SAML-SPサーバーにリダイレクトするJavaScriptコードを含むステップと、
    前記SAML-SPサーバー上で前記リソースにアクセスするためのリソースリクエストを受信するステップと、
    前記SAML-SPサーバーが、認証リクエストプロトコルメッセージを使用して前記ユーザーの認証を得るために、前記リソースリクエストを前記SAML-SPサーバーから前記認証サーバーにリダイレクトするステップと、
    前記認証サーバー上で前記SAML-SPサーバーからSAML SSOリクエストを受信するステップと、
    前記認証サーバー上で前記認証されたユーザーについてのアサーションとともに前記SAML-SPサーバーにSAML SSOレスポンスを発行するステップと、
    前記SAML-SPサーバーが前記SAML-SPサーバー上でホスティングされている前記リソースへのアクセスを前記認証されたユーザーに許諾するステップと、
    を含む方法。
  2. 前記SAML-SPサーバー上でホスティングされている前記リソースへの前記リクエストを送信するためにクライアント装置上のウェブブラウザーを起動するステップをさらに含み、前記SAML-SPサーバー上でホスティングされている前記リソースへの前記リクエストは、前記クライアント装置上のアプリケーションによって生成され、前記リクエストはウェブブラウザーアドレスを有し、前記ウェブブラウザーアドレスは、前記認証サーバーの前記ドメイン及び前記統一資源位置指定子と前記一組のアクセストークンとを有する、
    請求項1に記載の方法。
  3. 前記認証サーバー上で前記一組のアクセストークンを解析し、前記一組のアクセストークンを有効にするステップをさらに含む、
    請求項1又は2に記載の方法。
  4. 前記SAML-SPサーバーが前記クライアントからリダイレクトされた前記リクエストを受信すると、前記認証されたユーザーにユーザー名を入力するよう要求するステップをさらに含む、
    請求項1から3のいずれか一項に記載の方法。
  5. 前記SAML SSOリクエストから前記認証サーバー上で受信されたクッキーが有効であることを確認し、前記クッキー中のクレームを使用して前記認証されたユーザーの認可を判定するステップをさらに含む、
    請求項1から4のいずれか一項に記載の方法。
  6. 前記シングルサインオン(SSO)法はバイオメトリックであり、前記バイオメトリックは、指紋、手のひら静脈、顔認識、DNA、掌紋、掌形認証、虹彩認識、及び/又は網膜である、
    請求項1から5のいずれか一項に記載の方法。
  7. 前記一組のアクセストークンはジェイソンウェブトークン(JWT)である、
    請求項1から6のいずれか一項に記載の方法。
  8. 前記ジェイソンウェブトークンは、HMAC SHA256で符号化されている
    請求項7に記載の方法。
  9. 前記SAML-SPサーバーに係るサービスプロバイダーは、電気通信サービスプロバイダー(TSP)、アプリケーションサービスプロバイダー(ASP)、ストレージサービスプロバイダー(SSP)、及び/又はインターネットサービスプロバイダー(ISP)である、
    請求項1から8のいずれか一項に記載の方法。
  10. 前記認証されたユーザーについてのクレームのリストを記述するステップをさらに含み、前記クレームのリストは、ユーザー名と、前記SAML-SPサーバー上のコンテンツにアクセスするための一つ以上のアクセス権限とを含む、
    請求項1から9のいずれか一項に記載の方法。
  11. 前記認証サーバーが、前記一組のアクセストークンが有効である場合に、前記一組のアクセストークンから前記クレームのリストを抽出するステップをさらに含む、
    請求項1から10のいずれか一項に記載の方法。
  12. 前記認証サーバーは、SAML IdP(セキュリティーアサーションマークアップランゲージアイデンティティープロバイダー)である、
    請求項1から11のいずれか一項に記載の方法。
  13. 前記SAML-SPサーバーが前記SAML-SPサーバー上でホスティングされている前記リソースへのアクセスを前記認証されたユーザーに許諾するステップが一旦行われた後は、前記SAML-SPサーバー又は前記認証サーバーのいずれにおいても、さらなるログインは必要とされない、
    請求項1から12のいずれか一項に記載の方法。
  14. セキュリティーアサーションマークアップランゲージ(SAML)サービスプロバイダー起点の(SP起点の)シングルサインオン(SSO)フローのためにプロセッサーによって実行されるコンピューター読取可能なプログラムであって、前記プロセッサーに、
    シングルサインオン(SSO)法により認証サーバー上でクライアントを認証するステップと、
    前記認証サーバー上で前記クライアントに一組のアクセストークンを発行するステップであって、前記一組のアクセストークンは、認証されたユーザーを記述するクレームのリストを含むステップと、
    前記クライアントがSAML-SPサーバー上でホスティングされているリソースへのリクエストを前記認証サーバーに送信するステップであって、前記リクエストは、前記認証サーバーのドメイン及び統一資源位置指定子と前記一組のアクセストークンとを含むステップと、
    前記認証サーバー上で前記リクエストを受信し、前記リクエストから前記一組のアクセストークンを解析し、前記認証されたユーザーを有効にするステップと、
    前記認証サーバー上でページをレンダリングし、前記認証サーバーの前記ドメインに関連付けられたログインクッキーとともに前記ページを前記クライアントに渡すステップであって、前記ページは、前記リクエストを前記クライアントから前記SAML-SPサーバーにリダイレクトするJavaScriptコードを含むステップと、
    前記SAML-SPサーバー上で前記リソースにアクセスするためのリソースリクエストを受信するステップと、
    前記SAML-SPサーバーが、認証リクエストプロトコルメッセージを使用して前記ユーザーの認証を得るために、前記リソースリクエストを前記SAML-SPサーバーから前記認証サーバーにリダイレクトするステップと、
    前記認証サーバー上で前記SAML-SPサーバーからSAML SSOリクエストを受信するステップと、
    前記認証サーバー上で前記認証されたユーザーについてのアサーションとともに前記SAML-SPサーバーにSAML SSOレスポンスを発行するステップと、
    前記SAML-SPサーバーが前記SAML-SPサーバー上でホスティングされている前記リソースへのアクセスを前記認証されたユーザーに許諾するステップと、
    を実行させるためのプログラム。
  15. 前記プロセッサーに、前記SAML-SPサーバー上でホスティングされている前記リソースへの前記リクエストを送信するためにクライアント装置上のウェブブラウザーを起動するステップをさらに実行させ、前記SAML-SPサーバー上でホスティングされている前記リソースへの前記リクエストは、前記クライアント装置上のアプリケーションによって生成され、前記リクエストはウェブブラウザーアドレスを有し、前記ウェブブラウザーアドレスは、前記認証サーバーの前記ドメイン及び前記統一資源位置指定子と前記一組のアクセストークンとを有する、
    請求項14に記載のプログラム。
  16. 前記プロセッサーに、前記認証サーバー上で前記一組のアクセストークンを解析し、前記一組のアクセストークンを有効にするステップをさらに実行させる、
    請求項14又は15に記載のプログラム。
  17. 前記プロセッサーに、前記SAML-SPサーバーが前記クライアントからリダイレクトされた前記リクエストを受信すると、前記認証されたユーザーにユーザー名を入力するよう要求するステップをさらに実行させる、
    請求項14から16のいずれか一項に記載のプログラム。
  18. 前記プロセッサーに、前記認証されたユーザーについてのクレームのリストを記述するステップをさらに実行させ、前記クレームのリストは、ユーザー名と、前記SAML-SPサーバー上のコンテンツにアクセスするための一つ以上のアクセス権限とを含む、
    請求項14から17のいずれか一項に記載のプログラム。
  19. 前記プロセッサーに、前記一組のアクセストークンが有効である場合に、前記一組のアクセストークンから前記クレームのリストを抽出するステップをさらに実行させる、
    請求項14から18のいずれか一項に記載のプログラム。
  20. 前記認証サーバーは、SAML IdP(セキュリティーアサーションマークアップランゲージアイデンティティープロバイダー)であり、
    前記プロセッサーに、前記SAML-SPサーバーが前記SAML-SPサーバー上でホスティングされている前記リソースへのアクセスを前記認証されたユーザーに許諾するステップを一旦実行させた後は、前記SAML-SPサーバー又は前記認証サーバーのいずれにおいても、さらなるログインは必要とされない、
    請求項14から19のいずれか一項に記載のプログラム。
JP2019136341A 2018-09-28 2019-07-24 セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム Active JP7382753B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/146,658 2018-09-28
US16/146,658 US20200106766A1 (en) 2018-09-28 2018-09-28 Method and system for security assertion markup language (saml) service provider-initiated single sign-on

Publications (2)

Publication Number Publication Date
JP2020057363A JP2020057363A (ja) 2020-04-09
JP7382753B2 true JP7382753B2 (ja) 2023-11-17

Family

ID=69946243

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019136341A Active JP7382753B2 (ja) 2018-09-28 2019-07-24 セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム

Country Status (3)

Country Link
US (1) US20200106766A1 (ja)
JP (1) JP7382753B2 (ja)
CN (1) CN110971585A (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11070540B1 (en) 2018-12-28 2021-07-20 Juniper Networks, Inc. Dynamic provisioning of user groups within computer networks based on user attributes
US11516220B1 (en) 2018-12-28 2022-11-29 Juniper Networks, Inc. Creating roles and controlling access within a computer network
US11516202B2 (en) * 2019-12-26 2022-11-29 Vmware, Inc. Single sign on (SSO) capability for services accessed through messages
US11240225B1 (en) * 2020-03-03 2022-02-01 Amazon Technologies, Inc. Single sign-on techniques
US11595375B2 (en) * 2020-04-14 2023-02-28 Saudi Arabian Oil Company Single sign-on for token-based and web-based applications
CN112039873A (zh) * 2020-08-28 2020-12-04 浪潮云信息技术股份公司 一种单点登录访问业务系统的方法
US20220337590A1 (en) * 2021-04-16 2022-10-20 Palo Alto Networks, Inc. Mitigating multiple authentications for a geo-distributed security service using an authentication cache
CN113472735B (zh) * 2021-05-13 2023-06-13 新华三大数据技术有限公司 一种大数据服务单点登录方法、装置及存储介质
CN114095263A (zh) * 2021-11-24 2022-02-25 上海派拉软件股份有限公司 一种通信方法、装置及系统
US20230185893A1 (en) * 2021-12-10 2023-06-15 Konica Minolta Business Solutions U.S.A., Inc. Method and system for secure cloud access via password-less single sign-on (sso) for native marketplace applications on multifunction printers
CN114500074B (zh) * 2022-02-11 2024-04-12 京东科技信息技术有限公司 单点系统安全访问方法、装置及相关设备
CN117411729B (zh) * 2023-12-14 2024-05-10 深圳竹云科技股份有限公司 oracle数据库登录方法、装置、计算机设备、介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018018143A (ja) 2016-07-25 2018-02-01 三井情報株式会社 情報処理システム、情報処理方法、情報処理装置及びプログラム
JP2018092446A (ja) 2016-12-05 2018-06-14 キヤノン株式会社 認証認可システム及び情報処理装置と認証認可方法とプログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100644616B1 (ko) * 2004-06-10 2006-11-10 세종대학교산학협력단 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템
US8418238B2 (en) * 2008-03-30 2013-04-09 Symplified, Inc. System, method, and apparatus for managing access to resources across a network
CN101656609A (zh) * 2008-08-22 2010-02-24 华为技术有限公司 一种单点登录方法、系统及装置
CN102025495A (zh) * 2009-09-17 2011-04-20 成都康赛电子科大信息技术有限责任公司 基于saml2.0的身份认证和管理
GB2481426A (en) * 2010-06-23 2011-12-28 Thales Holdings Uk Plc Use of a resource access proxy for efficient access to sensor resources
US9560036B2 (en) * 2010-07-08 2017-01-31 International Business Machines Corporation Cross-protocol federated single sign-on (F-SSO) for cloud enablement
US9166966B2 (en) * 2011-08-15 2015-10-20 Bank Of America Corporation Apparatus and method for handling transaction tokens
CN102377788B (zh) * 2011-12-13 2014-06-25 方正国际软件有限公司 单点登录系统及其单点登录方法
CN102638454B (zh) * 2012-03-14 2014-05-21 武汉理工大学 一种面向http身份鉴别协议的插件式单点登录集成方法
IN2013MU03727A (ja) * 2013-11-27 2015-07-31 Tata Consultancy Services Ltd
US9729539B1 (en) * 2014-03-28 2017-08-08 Pulse Secure, Llc Network access session detection to provide single-sign on (SSO) functionality for a network access control device
US9467457B2 (en) * 2015-01-13 2016-10-11 Oracle International Corporation Identity management and authentication system for resource access
US10445395B2 (en) * 2016-09-16 2019-10-15 Oracle International Corporation Cookie based state propagation for a multi-tenant identity cloud service
US10938801B2 (en) * 2018-09-21 2021-03-02 Microsoft Technology Licensing, Llc Nonce handler for single sign on authentication in reverse proxy solutions

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018018143A (ja) 2016-07-25 2018-02-01 三井情報株式会社 情報処理システム、情報処理方法、情報処理装置及びプログラム
JP2018092446A (ja) 2016-12-05 2018-06-14 キヤノン株式会社 認証認可システム及び情報処理装置と認証認可方法とプログラム

Also Published As

Publication number Publication date
JP2020057363A (ja) 2020-04-09
US20200106766A1 (en) 2020-04-02
CN110971585A (zh) 2020-04-07

Similar Documents

Publication Publication Date Title
JP7382753B2 (ja) セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム
EP3675451B1 (en) Method, computer readable storage medium and apparatus for seamless single sign-on (sso) for native mobile-application initiated open-id connect (oidc) and security assertion markup language (saml) flows
US10581827B2 (en) Using application level authentication for network login
US10116644B1 (en) Network access session detection to provide single-sign on (SSO) functionality for a network access control device
US9894055B2 (en) Redirect to inspection proxy using single-sign-on bootstrapping
US8418234B2 (en) Authentication of a principal in a federation
JP6170158B2 (ja) モバイルマルチシングルサインオン認証
US11190501B2 (en) Hybrid single sign-on for software applications and services using classic and modern identity providers
US7240362B2 (en) Providing identity-related information and preventing man-in-the-middle attacks
US20180060559A1 (en) Disposition engine for single sign on (sso) requests
EP3455762B1 (en) Unified vpn and identity based authentication to cloud-based services
CN115021991A (zh) 未经管理的移动设备的单点登录
JP2015535984A5 (ja)
US11063930B1 (en) Resource access provisioning for on-premises network client devices
US9590972B2 (en) Application authentication using network authentication information
US11503012B1 (en) Client authentication using a client certificate-based identity provider
Baker OAuth2
Schwartz et al. OAuth

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191206

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220620

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230911

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231017

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231107

R150 Certificate of patent or registration of utility model

Ref document number: 7382753

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150