JP7382818B2 - ネイティブモバイルアプリケーション起点のOpenID Connect(OIDC)フロー及びセキュリティアサーションマークアップ言語(SAML)フローのためのシームレスなシングルサインオン(SSO)のための方法及びシステム - Google Patents
ネイティブモバイルアプリケーション起点のOpenID Connect(OIDC)フロー及びセキュリティアサーションマークアップ言語(SAML)フローのためのシームレスなシングルサインオン(SSO)のための方法及びシステム Download PDFInfo
- Publication number
- JP7382818B2 JP7382818B2 JP2019228885A JP2019228885A JP7382818B2 JP 7382818 B2 JP7382818 B2 JP 7382818B2 JP 2019228885 A JP2019228885 A JP 2019228885A JP 2019228885 A JP2019228885 A JP 2019228885A JP 7382818 B2 JP7382818 B2 JP 7382818B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- mobile device
- server
- user
- relying party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 72
- 230000004044 response Effects 0.000 claims description 58
- 230000008569 process Effects 0.000 claims description 26
- 230000015654 memory Effects 0.000 claims description 9
- 238000003860 storage Methods 0.000 claims description 4
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 claims description 3
- 239000003795 chemical substances by application Substances 0.000 description 87
- 235000014510 cooky Nutrition 0.000 description 18
- 238000004891 communication Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 7
- 239000000969 carrier Substances 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000001815 facial effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Information Transfer Between Computers (AREA)
Description
また、リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための方法が開示され、当該方法は、モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、当該方法はさらに、リライングパーティサーバー上でホスティングされているリソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて、認証サーバーからリダイレクションリクエストを受信するステップと、認証サーバーからのリダイレクションリクエストに応答して、事前認証されたユーザーのための認証トークンをモバイル装置のユーザーエージェントから認証サーバーに送信するステップと、認証サーバー上でユーザーエージェントからの認証トークンを認証し、認証されたユーザーがリライングパーティサーバー上のリソースにアクセスするための認証データを作成するステップと、認証データをモバイル装置に送信するステップと、リライングパーティサーバーによって認証データが受信されると、事前認証されたユーザーに、リライングパーティサーバー上でホスティングされているリソースへのアクセスを許可するステップとを含み、事前認証されたユーザーのための認証トークンについての認証サーバーからのリダイレクションリクエストは、ユーザーエージェントを発見し、事前認証されたユーザーの認証トークンを取得するように認証サーバーによって構築される。
また、リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための方法が開示され、当該方法は、モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、当該方法はさらに、リライングパーティサーバー上でホスティングされているリソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて、認証サーバーからリダイレクションリクエストを受信するステップと、認証サーバーからのリダイレクションリクエストに応答して、事前認証されたユーザーのための認証トークンをモバイル装置のユーザーエージェントから認証サーバーに送信するステップと、認証サーバー上でユーザーエージェントからの認証トークンを認証し、認証されたユーザーがリライングパーティサーバー上のリソースにアクセスするための認証データを作成するステップと、認証データをモバイル装置に送信するステップと、リライングパーティサーバーによって認証データが受信されると、事前認証されたユーザーに、リライングパーティサーバー上でホスティングされているリソースへのアクセスを許可するステップと、ユーザーエージェントがサポートされているモバイルユーザーエージェントのものであることを認証サーバーが検出した場合にのみ、ユーザーエージェントに問合せるステップとを含む。
また、リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための所定のプロセスを行うためにプロセッサーによって実行されるプログラムが開示され、当該プロセスは、モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、当該プロセスはさらに、リライングパーティサーバー上でホスティングされているリソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信するステップと、認証サーバーからのリダイレクションリクエストに応答して、事前認証されたユーザーのための認証トークンをモバイル装置のユーザーエージェントから認証サーバーに送信するステップと、認証サーバー上でユーザーエージェントからの認証トークンを認証し、認証されたユーザーがリライングパーティサーバー上のリソースにアクセスするための認証データを作成するステップと、認証データをモバイル装置に送信するステップと、リライングパーティサーバーによって認証データが受信されると、事前認証されたユーザーに、リライングパーティサーバー上でホスティングされているリソースへのアクセスを許可するステップとを含み、事前認証されたユーザーのための認証トークンについての認証サーバーからのリダイレクションリクエストは、ユーザーエージェントを発見し、事前認証されたユーザーの認証トークンを取得するように認証サーバーによって構築される。
また、リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための所定のプロセスを行うためにプロセッサーによって実行されるプログラムが開示され、当該プロセスは、モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、当該プロセスはさらに、リライングパーティサーバー上でホスティングされているリソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信するステップと、認証サーバーからのリダイレクションリクエストに応答して、事前認証されたユーザーのための認証トークンをモバイル装置のユーザーエージェントから認証サーバーに送信するステップと、認証サーバー上でユーザーエージェントからの認証トークンを認証し、認証されたユーザーがリライングパーティサーバー上のリソースにアクセスするための認証データを作成するステップと、認証データをモバイル装置に送信するステップと、リライングパーティサーバーによって認証データが受信されると、事前認証されたユーザーに、リライングパーティサーバー上でホスティングされているリソースへのアクセスを許可するステップと、ユーザーエージェントがサポートされているモバイルユーザーエージェントのものであることを認証サーバーが検出した場合にのみ、ユーザーエージェントに問合せるステップとを含む。
また、リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするためのネイティブアプリケーションを有するモバイル装置が開示され、当該モバイル装置は、プロセッサーと、ユーザーインターフェースと、オペレーティングシステム、及び事前認証されたユーザーのための認証トークンを有するユーザーエージェントを有するメモリーとを備え、オペレーティングシステム及びユーザーエージェントは、リライングパーティサーバー上でホスティングされているリソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信し、認証サーバーからのリダイレクションリクエストに応答して、事前認証されたユーザーのための認証トークンをモバイル装置のユーザーエージェントから認証サーバーに送信し、ユーザーエージェントからの認証トークンの認証サーバー上での認証から作成された認証データを受信するように構成され、認証データは、認証されたユーザーがリライングパーティサーバー上のリソースにアクセスすることを許可するように構成され、オペレーティングシステム及びユーザーエージェントはさらに、リライングパーティサーバー上でホスティングされているリソースに認証データによりアクセスするように構成され、事前認証されたユーザーのための認証トークンについての認証サーバーからのリダイレクションリクエストは、ユーザーエージェントを発見し、事前認証されたユーザーの認証トークンを取得するように認証サーバーによって構築される。
また、リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするためのネイティブアプリケーションを有するモバイル装置が開示され、当該モバイル装置は、プロセッサーと、ユーザーインターフェースと、オペレーティングシステム、及び事前認証されたユーザーのための認証トークンを有するユーザーエージェントを有するメモリーとを備え、オペレーティングシステム及びユーザーエージェントは、リライングパーティサーバー上でホスティングされているリソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信し、認証サーバーからのリダイレクションリクエストに応答して、事前認証されたユーザーのための認証トークンをモバイル装置のユーザーエージェントから認証サーバーに送信し、ユーザーエージェントからの認証トークンの認証サーバー上での認証から作成された認証データを受信するように構成され、認証データは、認証されたユーザーがリライングパーティサーバー上のリソースにアクセスすることを許可するように構成され、オペレーティングシステム及びユーザーエージェントはさらに、リライングパーティサーバー上でホスティングされているリソースに認証データによりアクセスするように構成され、ユーザーエージェントがサポートされているモバイルユーザーエージェントのものであることを認証サーバーが検出した場合にのみ、ユーザーエージェントへの問合せが行われる。
Claims (19)
- リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための方法であって、前記方法は、
前記モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、前記モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、前記方法はさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて、認証サーバーからリダイレクションリクエストを受信するステップと、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信するステップと、
前記認証サーバー上で前記ユーザーエージェントからの前記認証トークンを認証し、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスするための認証データを作成するステップと、
前記認証データを前記モバイル装置に送信するステップと、
前記リライングパーティサーバーによって前記認証データが受信されると、前記事前認証されたユーザーに、前記リライングパーティサーバー上でホスティングされている前記リソースへのアクセスを許可するステップと、
前記事前認証されたユーザーを前記モバイル装置上でシングルサインオン(SSO)法によって認証するステップと、
前記事前認証されたユーザーが認証されると、前記モバイル装置のオペレーティングシステム(OS)で前記事前認証されたユーザーについて呼び出されるインテントを登録するステップとを含み、
前記呼び出されるインテントは、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから受信すると、前記認証サーバーからの前記リダイレクションリクエストに応答するように構成される、方法。 - 前記認証サーバーは、OpenID Connect(OIDC)プロバイダー又はセキュリティアサーションマークアップ言語(SAML)アイデンティティプロバイダーであり、前記リライングパーティサーバーは、OIDCリライングパーティ又はSAMLサービスプロバイダーである、請求項1に記載の方法。
- 前記認証トークンは、JSON Webトークン(JWT)である、請求項1又は2に記載の方法。
- 前記モバイル装置のオペレーティングシステムは、前記モバイル装置の前記ユーザーエージェントからの前記事前認証されたユーザーのための前記認証トークンとともに前記認証サーバーからの前記リダイレクションリクエストを継続的に待機して、前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストのフローの損失を回避する、請求項1~3のいずれか一項に記載の方法。
- 前記リライングパーティサーバー上でホスティングされている前記リソースについて、前記モバイル装置から前記リライングパーティサーバーにリクエストを送信するステップと、
前記リライングパーティサーバーからの前記リソースについてリダイレクションリクエストを前記モバイル装置上で前記リライングパーティサーバーから受信するステップと、
前記事前認証されたユーザーの詳細を含まない前記モバイル装置からのリクエストを前記認証サーバーに送信するステップと、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンについて前記リダイレクションリクエストを前記認証サーバーから前記モバイル装置に送信するステップとをさらに含む、請求項1~4のいずれか一項に記載の方法。 - 前記モバイル装置上で前記ネイティブアプリケーションをホスティングするステップをさらに含み、前記ネイティブアプリケーションは、前記リライングパーティサーバーによってホスティングされている前記リソースについて前記ユーザーを認証するように構成され、前記リライングパーティサーバーによってホスティングされている前記リソースは、オンプレミスサービス又はクラウドサービスである、請求項1~5のいずれか一項に記載の方法。
- リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための方法であって、前記方法は、
前記モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、前記モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、前記方法はさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて、認証サーバーからリダイレクションリクエストを受信するステップと、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信するステップと、
前記認証サーバー上で前記ユーザーエージェントからの前記認証トークンを認証し、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスするための認証データを作成するステップと、
前記認証データを前記モバイル装置に送信するステップと、
前記リライングパーティサーバーによって前記認証データが受信されると、前記事前認証されたユーザーに、前記リライングパーティサーバー上でホスティングされている前記リソースへのアクセスを許可するステップとを含み、
前記事前認証されたユーザーのための前記認証トークンについての前記認証サーバーからの前記リダイレクションリクエストは、前記ユーザーエージェントを発見し、前記事前認証されたユーザーの前記認証トークンを取得するように前記認証サーバーによって構築される、方法。 - リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための方法であって、前記方法は、
前記モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、前記モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、前記方法はさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて、認証サーバーからリダイレクションリクエストを受信するステップと、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信するステップと、
前記認証サーバー上で前記ユーザーエージェントからの前記認証トークンを認証し、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスするための認証データを作成するステップと、
前記認証データを前記モバイル装置に送信するステップと、
前記リライングパーティサーバーによって前記認証データが受信されると、前記事前認証されたユーザーに、前記リライングパーティサーバー上でホスティングされている前記リソースへのアクセスを許可するステップと、
前記ユーザーエージェントがサポートされているモバイルユーザーエージェントのものであることを前記認証サーバーが検出した場合にのみ、前記ユーザーエージェントに問合せるステップとを含む、方法。 - 前記サポートされているモバイルユーザーエージェントは、AppleWebKit、Mobile Safari、又は537.36 Chromeのうちの一つ以上である、請求項8に記載の方法。
- 前記リライングパーティサーバーは、電気通信サービスプロバイダー(TSP)、アプリケーションサービスプロバイダー(ASP)、ストレージサービスプロバイダー(SSP)、及び/又はインターネットサービスプロバイダー(ISP)である、請求項1~9のいずれか一項に記載の方法。
- 前記事前認証されたユーザーが前記リライングパーティサーバー上でホスティングされている前記リソースへのアクセスを許可されると、さらなるログインは必要とされない、請求項1~10のいずれか一項に記載の方法。
- リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための所定のプロセスを行うためにプロセッサーによって実行されるプログラムであって、前記プロセスは、
前記モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、前記モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、前記プロセスはさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信するステップと、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信するステップと、
前記認証サーバー上で前記ユーザーエージェントからの前記認証トークンを認証し、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスするための認証データを作成するステップと、
前記認証データを前記モバイル装置に送信するステップと、
前記リライングパーティサーバーによって前記認証データが受信されると、前記事前認証されたユーザーに、前記リライングパーティサーバー上でホスティングされている前記リソースへのアクセスを許可するステップと、
前記事前認証されたユーザーを前記モバイル装置上でシングルサインオン(SSO)法によって認証するステップと、
前記事前認証されたユーザーが認証されると、前記モバイル装置のオペレーティングシステム(OS)で前記事前認証されたユーザーのために呼び出されるインテントを登録するステップとを含み、
前記呼び出されるインテントは、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから受信すると、前記認証サーバーからの前記リダイレクションリクエストに応答するように構成される、プログラム。 - リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための所定のプロセスを行うためにプロセッサーによって実行されるプログラムであって、前記プロセスは、
前記モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、前記モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、前記プロセスはさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信するステップと、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信するステップと、
前記認証サーバー上で前記ユーザーエージェントからの前記認証トークンを認証し、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスするための認証データを作成するステップと、
前記認証データを前記モバイル装置に送信するステップと、
前記リライングパーティサーバーによって前記認証データが受信されると、前記事前認証されたユーザーに、前記リライングパーティサーバー上でホスティングされている前記リソースへのアクセスを許可するステップとを含み、
前記事前認証されたユーザーのための前記認証トークンについての前記認証サーバーからの前記リダイレクションリクエストは、前記ユーザーエージェントを発見し、前記事前認証されたユーザーの前記認証トークンを取得するように前記認証サーバーによって構築される、プログラム。 - リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするための所定のプロセスを行うためにプロセッサーによって実行されるプログラムであって、前記プロセスは、
前記モバイル装置上にネイティブアプリケーションをホスティングするステップを含み、前記モバイル装置は、事前認証されたユーザーのためのユーザーエージェントを有し、前記プロセスはさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信するステップと、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信するステップと、
前記認証サーバー上で前記ユーザーエージェントからの前記認証トークンを認証し、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスするための認証データを作成するステップと、
前記認証データを前記モバイル装置に送信するステップと、
前記リライングパーティサーバーによって前記認証データが受信されると、前記事前認証されたユーザーに、前記リライングパーティサーバー上でホスティングされている前記リソースへのアクセスを許可するステップと、
前記ユーザーエージェントがサポートされているモバイルユーザーエージェントのものであることを前記認証サーバーが検出した場合にのみ、前記ユーザーエージェントに問合せるステップとを含む、プログラム。 - 前記認証サーバーは、OpenID Connect(OIDC)プロバイダー又はセキュリティアサーションマークアップ言語(SAML)アイデンティティプロバイダーであり、前記リライングパーティサーバーは、OIDCリライングパーティ又はSAMLサービスプロバイダーであり、
前記認証トークンは、JSON Webトークン(JWT)である、請求項12~14のいずれか一項に記載のプログラム。 - リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするためのネイティブアプリケーションを有するモバイル装置であって、前記モバイル装置は、
プロセッサーと、
ユーザーインターフェースと、
オペレーティングシステム、及び事前認証されたユーザーのための認証トークンを有するユーザーエージェントを有するメモリーとを備え、前記オペレーティングシステム及び前記ユーザーエージェントは、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信し、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信し、
前記ユーザーエージェントからの前記認証トークンの前記認証サーバー上での認証から作成された認証データを受信するように構成され、前記認証データは、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスすることを許可するように構成され、前記オペレーティングシステム及び前記ユーザーエージェントはさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースに前記認証データによりアクセスするように構成され、
前記事前認証されたユーザーは、シングルサインオン(SSO)法によって前記モバイル装置上で認証され、前記事前認証されたユーザーが認証されると、前記ユーザーエージェントは、前記モバイル装置の前記オペレーティングシステムで前記事前認証されたユーザーのために呼び出されるインテントを登録するように構成され、
前記呼び出されるインテントは、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから受信すると、前記認証サーバーからの前記リダイレクションリクエストに応答するように構成される、モバイル装置。 - リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするためのネイティブアプリケーションを有するモバイル装置であって、前記モバイル装置は、
プロセッサーと、
ユーザーインターフェースと、
オペレーティングシステム、及び事前認証されたユーザーのための認証トークンを有するユーザーエージェントを有するメモリーとを備え、前記オペレーティングシステム及び前記ユーザーエージェントは、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信し、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信し、
前記ユーザーエージェントからの前記認証トークンの前記認証サーバー上での認証から作成された認証データを受信するように構成され、前記認証データは、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスすることを許可するように構成され、前記オペレーティングシステム及び前記ユーザーエージェントはさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースに前記認証データによりアクセスするように構成され、
前記事前認証されたユーザーのための前記認証トークンについての前記認証サーバーからの前記リダイレクションリクエストは、前記ユーザーエージェントを発見し、前記事前認証されたユーザーの前記認証トークンを取得するように前記認証サーバーによって構築される、モバイル装置。 - リライングパーティサーバー上でホスティングされているリソースにモバイル装置からアクセスするためのネイティブアプリケーションを有するモバイル装置であって、前記モバイル装置は、
プロセッサーと、
ユーザーインターフェースと、
オペレーティングシステム、及び事前認証されたユーザーのための認証トークンを有するユーザーエージェントを有するメモリーとを備え、前記オペレーティングシステム及び前記ユーザーエージェントは、
前記リライングパーティサーバー上でホスティングされている前記リソースのリクエストに応答して、事前認証されたユーザーのための認証トークンについて認証サーバーからリダイレクションリクエストを受信し、
前記認証サーバーからの前記リダイレクションリクエストに応答して、前記事前認証されたユーザーのための前記認証トークンを前記モバイル装置の前記ユーザーエージェントから前記認証サーバーに送信し、
前記ユーザーエージェントからの前記認証トークンの前記認証サーバー上での認証から作成された認証データを受信するように構成され、前記認証データは、前記認証されたユーザーが前記リライングパーティサーバー上の前記リソースにアクセスすることを許可するように構成され、前記オペレーティングシステム及び前記ユーザーエージェントはさらに、
前記リライングパーティサーバー上でホスティングされている前記リソースに前記認証データによりアクセスするように構成され、
前記ユーザーエージェントがサポートされているモバイルユーザーエージェントのものであることを前記認証サーバーが検出した場合にのみ、前記ユーザーエージェントへの問合せが行われる、モバイル装置。 - 前記認証サーバーは、OpenID Connect(OIDC)プロバイダー又はセキュリティアサーションマークアップ言語(SAML)アイデンティティプロバイダーであり、前記リライングパーティサーバーは、OIDCリライングパーティ又はSAMLサービスプロバイダーであり、前記認証トークンは、JSON Webトークン(JWT)である、請求項16~18のいずれか一項に記載のモバイル装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/233,998 | 2018-12-27 | ||
US16/233,998 US11140146B2 (en) | 2018-12-27 | 2018-12-27 | Method and system for seamless single sign-on (SSO) for native mobile-application initiated open-ID connect (OIDC) and security assertion markup language (SAML) flows |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020126602A JP2020126602A (ja) | 2020-08-20 |
JP2020126602A5 JP2020126602A5 (ja) | 2022-06-27 |
JP7382818B2 true JP7382818B2 (ja) | 2023-11-17 |
Family
ID=68531356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019228885A Active JP7382818B2 (ja) | 2018-12-27 | 2019-12-19 | ネイティブモバイルアプリケーション起点のOpenID Connect(OIDC)フロー及びセキュリティアサーションマークアップ言語(SAML)フローのためのシームレスなシングルサインオン(SSO)のための方法及びシステム |
Country Status (4)
Country | Link |
---|---|
US (1) | US11140146B2 (ja) |
EP (1) | EP3675451B1 (ja) |
JP (1) | JP7382818B2 (ja) |
CN (1) | CN111385100B (ja) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
US11831409B2 (en) * | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
US12041039B2 (en) * | 2019-02-28 | 2024-07-16 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
US11190514B2 (en) * | 2019-06-17 | 2021-11-30 | Microsoft Technology Licensing, Llc | Client-server security enhancement using information accessed from access tokens |
US11394724B1 (en) | 2019-06-21 | 2022-07-19 | Early Warning Services, Llc | Digital identity |
US11888849B1 (en) | 2019-06-21 | 2024-01-30 | Early Warning Services, Llc | Digital identity step-up |
US11140148B1 (en) * | 2020-03-30 | 2021-10-05 | Konica Minolta Business Solution U.S.A., Inc. | Method and system for instant single sign-on workflows |
US11695769B2 (en) * | 2020-08-10 | 2023-07-04 | Cisco Technology, Inc. | Dynamic user authorization with a service provider |
CN112738021B (zh) * | 2020-12-02 | 2023-10-24 | 海能达通信股份有限公司 | 单点登录方法、终端、应用服务器、认证服务器及介质 |
CN112541190B (zh) * | 2020-12-03 | 2024-03-12 | 园测信息科技股份有限公司 | 基于统一用户信息的地图分权控制方法及控制系统 |
US11516204B1 (en) | 2020-12-14 | 2022-11-29 | Express Scripts Strategic Development, Inc. | System and method for secure single sign on using security assertion markup language |
CN112488799B (zh) * | 2020-12-14 | 2024-04-09 | 北京易兴元石化科技有限公司 | 一种基于加油站端的石油数据处理方法、装置及存储介质 |
JP7547997B2 (ja) * | 2020-12-22 | 2024-09-10 | 富士フイルムビジネスイノベーション株式会社 | 画像形成装置、画像形成プログラム及び連携システム |
CN112671796B (zh) * | 2020-12-31 | 2022-03-25 | 深圳软牛科技有限公司 | Google Driver云服务的认证获取方法、装置、设备及存储介质 |
CN112822675B (zh) * | 2021-01-11 | 2021-11-23 | 北京交通大学 | 面向MEC环境的基于OAuth2.0的单点登录机制 |
CN113703999B (zh) * | 2021-08-26 | 2024-06-25 | 众安信息技术服务有限公司 | 一种Web端与iOS端的交互方法及工具 |
US20230185893A1 (en) * | 2021-12-10 | 2023-06-15 | Konica Minolta Business Solutions U.S.A., Inc. | Method and system for secure cloud access via password-less single sign-on (sso) for native marketplace applications on multifunction printers |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015170319A (ja) | 2014-03-10 | 2015-09-28 | 富士通株式会社 | 通信端末、セキュアログイン方法、及びプログラム |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6826696B1 (en) * | 1999-10-12 | 2004-11-30 | Webmd, Inc. | System and method for enabling single sign-on for networked applications |
US7500262B1 (en) * | 2002-04-29 | 2009-03-03 | Aol Llc | Implementing single sign-on across a heterogeneous collection of client/server and web-based applications |
US7356694B2 (en) * | 2004-03-10 | 2008-04-08 | American Express Travel Related Services Company, Inc. | Security session authentication system and method |
CN102025495A (zh) * | 2009-09-17 | 2011-04-20 | 成都康赛电子科大信息技术有限责任公司 | 基于saml2.0的身份认证和管理 |
WO2011128183A2 (en) * | 2010-04-13 | 2011-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for interworking with single sign-on authentication architecture |
US8650622B2 (en) * | 2011-07-01 | 2014-02-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and arrangements for authorizing and authentication interworking |
JP5743786B2 (ja) * | 2011-07-28 | 2015-07-01 | キヤノン株式会社 | サーバー装置、情報処理方法及びプログラム |
US9043886B2 (en) * | 2011-09-29 | 2015-05-26 | Oracle International Corporation | Relying party platform/framework for access management infrastructures |
CN102624737B (zh) * | 2012-03-27 | 2015-05-06 | 武汉理工大学 | 单点登录系统中针对Form身份鉴别的单点登录集成方法 |
WO2013177687A1 (en) * | 2012-05-31 | 2013-12-05 | Netsweeper Inc. | Policy service authorization and authentication |
US8745718B1 (en) | 2012-08-20 | 2014-06-03 | Jericho Systems Corporation | Delivery of authentication information to a RESTful service using token validation scheme |
US8762731B2 (en) * | 2012-09-14 | 2014-06-24 | Sap Ag | Multi-system security integration |
US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
US20160380999A1 (en) * | 2014-03-17 | 2016-12-29 | Telefonaktiebolaget L M Ericsson (Publ) | User Identifier Based Device, Identity and Activity Management System |
US9729539B1 (en) * | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
US9985953B2 (en) * | 2014-11-10 | 2018-05-29 | Amazon Technologies, Inc. | Desktop application fulfillment platform with multiple authentication mechanisms |
US9578015B2 (en) * | 2014-10-31 | 2017-02-21 | Vmware, Inc. | Step-up authentication for single sign-on |
US9467457B2 (en) * | 2015-01-13 | 2016-10-11 | Oracle International Corporation | Identity management and authentication system for resource access |
CN106209749B (zh) * | 2015-05-08 | 2020-09-25 | 阿里巴巴集团控股有限公司 | 单点登录方法及装置、相关设备和应用的处理方法及装置 |
US9503452B1 (en) * | 2016-04-07 | 2016-11-22 | Automiti Llc | System and method for identity recognition and affiliation of a user in a service transaction |
WO2017196774A1 (en) * | 2016-05-11 | 2017-11-16 | Oracle International Corporation | Multi-tenant identity and data security management cloud service |
AU2017278239B2 (en) * | 2016-06-06 | 2020-06-25 | Illumina, Inc. | Tenant-aware distributed application authentication |
US10484382B2 (en) * | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
US10511589B2 (en) * | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
US10445395B2 (en) * | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
US10462124B2 (en) * | 2016-12-30 | 2019-10-29 | Google Llc | Authenticated session management across multiple electronic devices using a virtual session manager |
US10708053B2 (en) * | 2017-05-19 | 2020-07-07 | Intuit Inc. | Coordinating access authorization across multiple systems at different mutual trust levels |
US10735423B2 (en) * | 2017-05-25 | 2020-08-04 | Michael Boodaei | User authentication and authorization system for a mobile application |
US11050730B2 (en) * | 2017-09-27 | 2021-06-29 | Oracle International Corporation | Maintaining session stickiness across authentication and authorization channels for access management |
-
2018
- 2018-12-27 US US16/233,998 patent/US11140146B2/en active Active
-
2019
- 2019-11-07 EP EP19207679.2A patent/EP3675451B1/en active Active
- 2019-12-19 JP JP2019228885A patent/JP7382818B2/ja active Active
- 2019-12-24 CN CN201911341467.1A patent/CN111385100B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015170319A (ja) | 2014-03-10 | 2015-09-28 | 富士通株式会社 | 通信端末、セキュアログイン方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
US11140146B2 (en) | 2021-10-05 |
CN111385100A (zh) | 2020-07-07 |
EP3675451B1 (en) | 2023-11-01 |
JP2020126602A (ja) | 2020-08-20 |
EP3675451A1 (en) | 2020-07-01 |
US20200213297A1 (en) | 2020-07-02 |
CN111385100B (zh) | 2023-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7382818B2 (ja) | ネイティブモバイルアプリケーション起点のOpenID Connect(OIDC)フロー及びセキュリティアサーションマークアップ言語(SAML)フローのためのシームレスなシングルサインオン(SSO)のための方法及びシステム | |
JP7382753B2 (ja) | セキュリティーアサーションマークアップランゲージ(saml)サービスプロバイダー起点のシングルサインオンのための方法及びプログラム | |
US10581827B2 (en) | Using application level authentication for network login | |
US11444932B2 (en) | Device verification of an installation of an email client | |
CN108293053B (zh) | 经由浏览器对客户端应用进行单点登录验证 | |
JP2020126602A5 (ja) | ||
EP3095225B1 (en) | Redirect to inspection proxy using single-sign-on bootstrapping | |
US8799639B2 (en) | Method and apparatus for converting authentication-tokens to facilitate interactions between applications | |
EP3455762B1 (en) | Unified vpn and identity based authentication to cloud-based services | |
EP3454504B1 (en) | Service provider certificate management | |
US20100100950A1 (en) | Context-based adaptive authentication for data and services access in a network | |
US20210099441A1 (en) | Method and system for one-time multiple registration chain with pki-credential anchoring and universal registration | |
US11811750B2 (en) | Mobile device enabled desktop tethered and tetherless authentication | |
US9590972B2 (en) | Application authentication using network authentication information | |
EP2979420B1 (en) | Network system comprising a security management server and a home network, and method for including a device in the network system | |
US20210099874A1 (en) | Method and system for avoidance of user re-registration | |
WO2011144081A2 (zh) | 用户业务鉴权方法、系统及服务器 | |
US11695737B2 (en) | Intermediary handling of identity services to guard against client side attack vectors | |
US11503012B1 (en) | Client authentication using a client certificate-based identity provider | |
US20190182242A1 (en) | Authentication in integrated system environment | |
US20220014359A1 (en) | Login and consent methodology that follows rest principles and uses the oauth protocol with attested clients | |
JP2010166365A (ja) | 通信システム、認証サーバ、認証方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220617 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220617 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230531 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230606 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230905 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231031 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231107 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7382818 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |