JPH0934822A - Verification information management equipment - Google Patents
Verification information management equipmentInfo
- Publication number
- JPH0934822A JPH0934822A JP7183907A JP18390795A JPH0934822A JP H0934822 A JPH0934822 A JP H0934822A JP 7183907 A JP7183907 A JP 7183907A JP 18390795 A JP18390795 A JP 18390795A JP H0934822 A JPH0934822 A JP H0934822A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- authentication information
- end computer
- verification information
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
【0001】[0001]
【産業上の利用分野】本発明は認証情報管理装置に関
し、特に疎結合された計算機システムにおける異機種間
の利用者認証情報を一括して管理する認証情報管理装置
に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an authentication information management device, and more particularly to an authentication information management device for collectively managing user authentication information between different models in loosely coupled computer systems.
【0002】[0002]
【従来の技術】複数の計算機をネットワークによって相
互に接続し、ネットワーク上の情報や資源を共用するク
ライアント・サーバ型のシステムが一般的になってきて
いる。ここで、利用者がクライアント計算機からサーバ
計算機にアクセスする場合に、利用者認証情報を使用し
てその利用者が利用を許可された当人であることを認証
することが行われている。同様に、利用者がクライアン
ト計算機からあるサーバ計算機(以下、前置計算機とい
う)を介して別のサーバ計算機(以下、後置計算機とい
う)にアクセスする場合にも、通常、サーバ計算機はそ
れぞれ認証方式が異なるので、それぞれ利用者認証情報
を使用してアクセスすることになる。2. Description of the Related Art A client / server system in which a plurality of computers are connected to each other via a network to share information and resources on the network has become common. Here, when the user accesses the server computer from the client computer, the user authentication information is used to authenticate that the user is the authorized person. Similarly, when a user accesses another server computer (hereinafter, referred to as a front-end computer) from a client computer via a server computer (hereinafter, referred to as a front-end computer), each server computer usually has an authentication method. Since they are different, they will be accessed using user authentication information.
【0003】このため、利用者が前置計算機を介して後
置計算機にアクセスする場合には、利用者は前置計算機
と後置計算機とで2回、認証情報の入力を要求されるこ
とになる。これに対し、従来より、前置計算機を介して
後置計算機にアクセスがあった場合に、後置計算機であ
ることを利用者が意識することなく、後置計算機のサー
ビスを利用できるようにする認証方式が知られている。Therefore, when a user accesses a rear-end computer via the front-end computer, the user is required to input authentication information twice for the front-end computer and the rear-end computer. Become. On the other hand, conventionally, when a back-end computer is accessed via a front-end computer, the user can use the service of the back-end computer without being aware of the fact that it is a back-end computer. Authentication methods are known.
【0004】たとえば、特開平4−71058号公報に
記載の計算機システムでは、前置計算機と後置計算機と
から構成されており、前置計算機および後置計算機は、
通信回線によって疎結合されている。そして、それぞれ
の計算機は、異なった認証情報を必要としているとす
る。このシステムを利用する端末から前置計算機を介し
て後置計算機にアクセスする場合、利用者は、後置計算
機にアクセスするために認証情報を入力しなくてはなら
ない。そこで、この計算機システムでは、前置計算機の
中にあらかじめ後置計算機の認証に必要な情報を登録し
ておき、利用者が後置計算機にアクセスする時、自動的
に前置計算機が登録された情報を後置計算機に送ること
で、利用者が後置計算機にアクセスする際に生じる利用
者認証情報入力処理の問題を解決している。For example, a computer system disclosed in Japanese Patent Laid-Open No. 4-71058 is composed of a front computer and a rear computer, and the front computer and the rear computer are
It is loosely coupled by a communication line. Then, it is assumed that each computer needs different authentication information. When accessing a rear-end computer from a terminal using this system via the front-end computer, the user must input authentication information to access the rear-end computer. Therefore, in this computer system, the information necessary for authentication of the back-end computer is registered in advance in the front-end computer, and when the user accesses the back-end computer, the front-end computer is automatically registered. By sending the information to the back-end computer, the problem of the user authentication information input process that occurs when the user accesses the back-end computer is solved.
【0005】また、特開平6−274431号公報に記
載の異機種接続環境における認証および認可方式によれ
ば、異機種接続環境でのクライアント・サーバ型のシス
テムにおいて、クライアントからサーバへのアクセスの
認証を行う方法として、ケルベロスと呼ばれる認証方式
がある。ケルベロスは、セキュリティサーバという計算
機を持ち、この計算機では、ネットワークに一意なユー
ザ識別子を持っている。ところが、セキュリティサーバ
の持つユーザ識別子は、サーバが持つユーザ識別子と異
なる。また、ファイルへのアクセスの認可の権限を決め
る属性値は、サーバが持つユーザ識別子に依存する。そ
のため、セキュリティサーバを用いてファイルにアクセ
スする場合、ファイルにアクセスするたびにサーバ固有
のユーザ識別子を入力しなければならない。そこで、こ
の認証および認可方式では、サーバ内に、セキュリティ
サーバの持つユーザ識別子をサーバが持つユーザ識別子
に変換する機構を設けることで、ユーザ識別子を入力す
ることなくサーバ内のファイルにアクセスすることがで
きるようにしている。According to the authentication and authorization method in the heterogeneous connection environment described in Japanese Patent Laid-Open No. 6-274431, the access from the client to the server is authenticated in the client / server type system in the heterogeneous connection environment. There is an authentication method called Kerberos as a method of doing. Kerberos has a computer called a security server, and this computer has a user identifier unique to the network. However, the user identifier of the security server is different from the user identifier of the server. Also, the attribute value that determines the authorization for access to the file depends on the user identifier of the server. Therefore, when a file is accessed using the security server, the server-specific user identifier must be entered every time the file is accessed. Therefore, in this authentication and authorization system, a mechanism for converting the user identifier of the security server into the user identifier of the server is provided in the server, so that the file in the server can be accessed without inputting the user identifier. I am able to do it.
【0006】[0006]
【発明が解決しようとする課題】クライアント・サーバ
型の計算機システムで、サーバ計算機が前置計算機と後
置計算機に分散させているシステムにおいて、クライア
ントから前置計算機(またはセキュリティサーバ)を介
して後置計算機にアクセスする場合、利用者は、後置計
算機にアクセスする度にユーザ識別子を入力しなければ
ならないという問題を、上記したいずれの従来例も、前
置計算機内にユーザ識別子変換機構を設けることによっ
て、解決している。In a client-server type computer system in which a server computer is distributed to a front-end computer and a rear-end computer, a client computer is used to transfer data via a front-end computer (or security server). The problem that the user has to input the user identifier each time he / she accesses the rear-end computer when accessing the front-end computer has the problem that the user-identifier conversion mechanism is provided in the front-end computer in any of the above-mentioned conventional examples. It has been resolved.
【0007】ところが、前置計算機が複数存在し、かつ
それらの前置計算機が同じ後置計算機をアクセスする場
合、上記の従来例の認証方式では、その後置計算機の認
証情報が変わったときには、その後置計算機をアクセス
する前置計算機毎にユーザ識別子変換機構の認証情報を
更新しなければならないという問題点があった。However, when there are a plurality of front-end computers and these front-end computers access the same rear-end computer, the above-mentioned conventional authentication method requires that when the authentication information of the rear-end computer changes, There is a problem that the authentication information of the user identifier conversion mechanism must be updated for each front-end computer that accesses the front-end computer.
【0008】本発明はこのような点に鑑みてなされたも
のであり、クライアント計算機から前置計算機を介して
後置計算機をアクセスする際に個々に認証情報を入力す
る必要がなく、利用者は、サーバ計算機が前置計算機と
後置計算機とに分かれていることを意識することなく、
後置計算機にアクセスすることができる認証情報管理装
置を提供することを目的とする。The present invention has been made in view of the above point, and when a client computer accesses a rear-end computer via a front-end computer, it is not necessary to individually input authentication information, and the user can , Without being aware that the server computer is divided into a front computer and a rear computer,
It is an object of the present invention to provide an authentication information management device that can access a back-end computer.
【0009】また、本発明は後置計算機の認証情報が変
わっても、これをアクセスする前置計算機において個々
に認証情報を更新する必要がない認証情報管理装置を提
供することを目的とする。It is another object of the present invention to provide an authentication information management device which does not need to individually update the authentication information in the front-end computer that accesses it even if the authentication information of the rear-end computer changes.
【0010】[0010]
【課題を解決するための手段】本発明では上記課題を解
決するために、クライアント計算機と、クライアント計
算機から直接アクセスされる前置計算機と、クライアン
ト計算機から前置計算機を介して間接的にアクセスされ
る後置計算機とがネットワークによって接続された計算
機システムにおいて、サーバ計算機が個々に行っていた
認証情報の管理を専用の認証情報管理装置(図1の4
0)で行うようにする。この認証情報管理装置は、後置
計算機毎にユーザに対応した認証情報を記憶する記憶手
段(43)と、前置計算機のアクセス後に当該前置計算
機を介して間接的に後置計算機をアクセスする際に受け
取る当該後置計算機の識別情報とユーザ情報とを基に記
憶手段から該当する後置計算機の認証情報を検索する検
索手段(41)と、この検索手段で検索された認証情報
を当該前置計算機へ返信する通信手段(41)とを具備
している。According to the present invention, in order to solve the above problems, a client computer, a front computer directly accessed by the client computer, and an indirect access from the client computer through the front computer. In a computer system in which a back-end computer is connected by a network, a dedicated authentication information management device (4 in FIG. 1 manages the authentication information individually managed by the server computer.
0). This authentication information management device indirectly accesses the rear-end computer via the storage unit (43) for storing the authentication information corresponding to the user for each rear-end computer and the front-end computer after the front-end computer is accessed. The retrieval means (41) for retrieving the authentication information of the corresponding back-end computer from the storage means based on the identification information of the back-end computer and the user information received at that time, and the authentication information retrieved by this retrieval means And a communication means (41) for returning to the computer.
【0011】好ましくは、さらに、入力装置またはクラ
イアント計算機からの入力情報に基づいて、記憶手段に
認証情報を設定する設定手段(42)とを具備してい
る。Preferably, it further comprises setting means (42) for setting the authentication information in the storage means based on the input information from the input device or the client computer.
【0012】[0012]
【作用】上述の手段によれば、クライアント計算機から
前置計算機へアクセスする場合には、クライアント計算
機は認証情報管理装置に照会し、通常の認証方式にて認
証されることで前置計算機へのアクセスが可能になる。
その後、クライアント計算機が前置計算機に対して後置
計算機へのアクセス要求を出すと、前置計算機は認証情
報管理装置にアクセスしたい後置計算機のサーバ情報を
送信する。ここで、サーバ情報としては、後置計算機の
識別情報と前置計算機がクライアント計算機を認証した
ときのユーザ情報とを通知する。認証情報管理装置で
は、検索手段がその後置計算機の識別情報およびユーザ
情報をキーにして記憶手段に記憶されている後置計算機
の認証情報を検索し、通信手段を通じて前置計算機へ送
信する。前置計算機は得られた認証情報を基にして後置
計算機へアクセスする。すなわち、前置計算機がその認
証情報を以て認証情報管理装置に照会し、通常の認証方
式にて認証されることにより後置計算機へのアクセスが
可能になる。なお、検索手段による認証情報の検索に
て、記憶手段の認証情報に後置計算機についての利用者
登録がなされていない場合、または後置計算機へのアク
セスが認証情報の変更などで認証されなかった場合に
は、クライアント計算機に対し認証情報入力要求を出
し、クライアント計算機は認証情報を入力して認証情報
管理装置に認証情報登録・更新要求を出す。認証情報管
理装置では、設定手段が入力された認証情報に従って記
憶手段に登録または該当する情報を更新する。According to the above-described means, when the client computer accesses the front-end computer, the client computer inquires of the authentication information management apparatus and is authenticated by the normal authentication method, thereby the front-end computer is accessed. It becomes accessible.
After that, when the client computer issues an access request to the front-end computer to the front-end computer, the front-end computer transmits the server information of the rear-end computer that wants to access the authentication information management device. Here, as the server information, the identification information of the rear-end computer and the user information when the front-end computer has authenticated the client computer are notified. In the authentication information management device, the retrieval means retrieves the authentication information of the rear-end computer stored in the storage means by using the identification information of the rear-end computer and the user information as keys, and transmits it to the front-end computer through the communication means. The front-end computer accesses the rear-end computer based on the obtained authentication information. That is, the front-end computer makes an inquiry to the authentication information management device by using the authentication information, and by being authenticated by the normal authentication method, it becomes possible to access the rear-end computer. In the search of the authentication information by the search means, if the user information for the back-end computer is not registered in the authentication information of the storage means, or the access to the back-end computer was not authenticated due to the change of the authentication information. In this case, the client computer issues an authentication information input request, and the client computer inputs the authentication information and issues an authentication information registration / update request to the authentication information management device. In the authentication information management device, the setting means registers or updates the corresponding information in the storage means according to the input authentication information.
【0013】[0013]
【実施例】以下、本発明の実施例を添付図面を参照して
説明する。図1は本発明の認証情報管理装置を含む計算
機システムのネットワーク構成例を示す図である。Embodiments of the present invention will be described below with reference to the accompanying drawings. FIG. 1 is a diagram showing a network configuration example of a computer system including an authentication information management device of the present invention.
【0014】図示の計算機システムは、クライアント計
算機11と、サーバ計算機である前置計算機21,22
および後置計算機31,32と、認証情報管理装置40
とからなる。それぞれの計算機は、通信回線50によっ
て接続されている。なお、実際の計算機システムでは、
多数のクライアント計算機およびサーバ計算機が通信回
線50によって接続されている。認証情報管理装置40
は認証情報検索部41と、認証情報更新部42と、認証
情報変換テーブル44を格納するテーブル格納部43と
から構成されている。The illustrated computer system includes a client computer 11 and front-end computers 21 and 22 which are server computers.
And the post-computers 31 and 32, and the authentication information management device 40
Consists of The respective computers are connected by a communication line 50. In addition, in the actual computer system,
A large number of client computers and server computers are connected by a communication line 50. Authentication information management device 40
Is composed of an authentication information search unit 41, an authentication information update unit 42, and a table storage unit 43 that stores an authentication information conversion table 44.
【0015】ここで、クライアント計算機11から前置
計算機21を経由して後置計算機31にアクセスし、後
置計算機31のアプリケーションプログラムを実行する
場合を例にして説明する。したがって、この例の実行の
ために、前置計算機21は要求受付部21aと、後置計
算機の認証情報要求部21bと、後置計算機のアクセス
処理部21cとを有し、後置計算機31は要求受付部3
1aと、プログラム処理部31bとを有している。ま
た、クライアント計算機11は認証情報を登録するため
の認証情報入力処理部11aを有している。そして、認
証情報管理装置40はどのサーバ計算機からもブロード
キャストによって、サーバ名を指定しなくてもアクセス
することができるものとする。Here, a case where the client computer 11 accesses the rear-end computer 31 via the front-end computer 21 and executes the application program of the rear-end computer 31 will be described as an example. Therefore, in order to execute this example, the front-end computer 21 has a request reception unit 21a, a rear-end computer authentication information request unit 21b, and a rear-end computer access processing unit 21c. Request reception part 3
It has 1a and a program processing unit 31b. The client computer 11 also has an authentication information input processing unit 11a for registering authentication information. Then, the authentication information management apparatus 40 can be accessed from any server computer by broadcasting without specifying the server name.
【0016】認証情報は、クライアント計算機11の認
証情報入力処理部11aより認証情報管理装置40にア
クセスし、その認証情報更新部42によってテーブル格
納部43の認証情報変換テーブル44に利用したいサー
バ計算機の情報とともに登録されている。この例では、
利用者は少なくとも後置計算機31について認証情報変
換テーブル44に登録されている。The authentication information is accessed from the authentication information input processing unit 11a of the client computer 11 to the authentication information management device 40, and the authentication information update unit 42 of the server computer to be used in the authentication information conversion table 44 of the table storage unit 43. It is registered with the information. In this example,
The user is registered in the authentication information conversion table 44 for at least the back-end computer 31.
【0017】まず、クライアント計算機11から前置計
算機21へアクセスする場合には、クライアント計算機
11は認証情報を認証情報管理装置40に送信する。認
証情報管理装置40では、テーブル格納部43に格納さ
れた図示しない認証情報テーブルを利用して、通常の認
証方式で前置計算機21へのアクセスを認証する。First, when the client computer 11 accesses the front-end computer 21, the client computer 11 sends the authentication information to the authentication information management device 40. The authentication information management device 40 uses an authentication information table (not shown) stored in the table storage unit 43 to authenticate access to the front-end computer 21 by a normal authentication method.
【0018】前置計算機21へのアクセスの後、クライ
アント計算機11からの要求に後置計算機31へアクセ
スしてその中のアプリケーションプログラムを実行する
要求が含まれていたとすると、前置計算機21の要求受
付部21aはその後置計算機31へのアクセス要求を受
け付け、後置計算機の認証情報要求部21bは認証情報
管理装置40に前置計算機21がクライアント計算機1
1を認証したときのユーザ識別子および後置計算機31
のサーバ識別子とともに認証情報検索要求を送信する。
認証情報管理装置40ではこの要求を受けて、認証情報
検索部41が認証情報変換テーブル44をユーザ識別子
およびサーバ識別子をキーにして検索し、後置計算機3
1へアクセスするのに必要な認証情報を読み出し、前置
計算機21へ送信する。前置計算機21では、その後置
計算機のアクセス処理部21cにより、認証情報管理装
置40から受けた認証情報を以て後置計算機31へアク
セスする。すなわち、その認証情報を認証情報管理装置
40に送信し、通常の認証方式にて後置計算機31への
アクセスを認証する。後置計算機31では、要求受付部
31aにおいて、クライアント計算機11からのアプリ
ケーションプログラム実行要求を受け付け、プログラム
処理部31bによりアプリケーションプログラムを実行
することになる。After the access to the front-end computer 21, if the request from the client computer 11 includes a request to access the back-end computer 31 and execute the application program therein, the request from the front-end computer 21. The accepting unit 21a accepts an access request to the rear-end computer 31, and the authentication information requesting unit 21b of the rear-end computer notifies the authentication information management device 40 that the front-end computer 21 is the client computer 1.
User ID and post-computer 31 when 1 is authenticated
The authentication information search request is transmitted together with the server identifier of.
In response to this request, the authentication information management device 40 causes the authentication information search unit 41 to search the authentication information conversion table 44 using the user identifier and the server identifier as keys, and the post-computer 3
The authentication information necessary for accessing 1 is read and transmitted to the front-end computer 21. In the front-end computer 21, the access processing unit 21c of the rear-end computer accesses the rear-end computer 31 with the authentication information received from the authentication information management device 40. That is, the authentication information is transmitted to the authentication information management device 40, and the access to the rear-end computer 31 is authenticated by the normal authentication method. In the rear-end computer 31, the request receiving unit 31a receives the application program execution request from the client computer 11, and the program processing unit 31b executes the application program.
【0019】図2は本発明の認証情報管理装置の構成例
を示すブロック図である。認証情報管理装置40におい
て、その認証情報検索部41は認証情報の検索要求を受
け付けたり、検索した認証情報を要求した前置計算機へ
返送する認証情報検索受付部41aと、テーブル格納部
43の認証情報変換テーブル44に対して検索要求のあ
った認証情報の検索を実行する認証情報検索部41b
と、検索の結果から要求された認証情報が登録されてい
るかどうかを判定する判定部41cと、認証情報変換テ
ーブル44から認証情報を読み出す認証情報読み出し部
41dとによって構成されている。また、認証情報更新
部42は利用者からの認証情報の登録・更新要求を受け
付ける認証情報登録受付部42aと、認証情報変換テー
ブル44に対して認証情報の登録・更新処理を実行する
認証情報変換テーブル更新処理部42bとによって構成
されている。FIG. 2 is a block diagram showing a configuration example of the authentication information management apparatus of the present invention. In the authentication information management device 40, the authentication information search unit 41 accepts a search request for the authentication information and returns the searched authentication information to the requesting front computer, and the authentication of the table storage unit 43. The authentication information search unit 41b that searches the information conversion table 44 for the authentication information requested to be searched.
And a determination unit 41c that determines whether the requested authentication information is registered based on the search result, and an authentication information reading unit 41d that reads the authentication information from the authentication information conversion table 44. Further, the authentication information updating unit 42 receives the authentication information registration / update request from the user, and the authentication information conversion unit 42a executes the authentication information registration / update process on the authentication information conversion table 44. It is configured by the table update processing unit 42b.
【0020】前置計算機から後置計算機へアクセスする
ための認証情報の取得要求があると、その要求は認証情
報検索部41の認証情報検索受付部41aにて受け付
け、認証情報検索部41bがテーブル格納部43の認証
情報変換テーブル44を検索する。ここで、判定部41
cが認証情報の登録・未登録を判定し、登録済みであれ
ば、認証情報読み出し部41dが認証情報変換テーブル
44から認証情報を読み出して要求元の前置計算機に送
信し、未登録であれば、クライアント計算機に対して認
証情報入力要求を送信する。クライアント計算機におい
て認証情報が入力され、認証情報管理装置40に認証情
報登録要求が送信されると、この要求は認証情報登録受
付部42aが受け付け、認証情報変換テーブル更新処理
部42bが認証情報変換テーブル44に認証情報の登録
を行う。When there is a request from the front-end computer to acquire the authentication information for accessing the rear-end computer, the request is accepted by the authentication information search accepting unit 41a of the authentication information retrieving unit 41, and the authentication information retrieving unit 41b creates a table. The authentication information conversion table 44 in the storage unit 43 is searched. Here, the determination unit 41
If c is registered and unregistered, and if it is registered, the authentication information reading unit 41d reads the authentication information from the authentication information conversion table 44 and sends it to the requesting front computer, and if it is not registered. For example, the authentication information input request is transmitted to the client computer. When the authentication information is input in the client computer and the authentication information registration request is transmitted to the authentication information management device 40, this request is accepted by the authentication information registration acceptance unit 42a, and the authentication information conversion table update processing unit 42b is activated by the authentication information conversion table 42b. The authentication information is registered in 44.
【0021】また、後置計算機へのアクセス時の認証が
失敗したときには、その後置計算機の認証情報は変更さ
れていることになる。この場合にも、クライアント計算
機に対して認証情報の入力要求を出す。これに応じてク
ライアント計算機で認証情報が入力され、更新要求とと
もに認証情報更新部42の認証情報登録受付部42aに
て受け付けられ、認証情報変換テーブル更新処理部42
bによって該当する認証情報の更新が行われる。Further, when the authentication at the time of accessing the rear computer has failed, it means that the authentication information of the rear computer has been changed. In this case also, the client computer is requested to input the authentication information. In response to this, the client computer inputs the authentication information, and the authentication information registration receiving unit 42a of the authentication information updating unit 42 receives the update request together with the update request, and the authentication information conversion table update processing unit 42 is received.
The corresponding authentication information is updated by b.
【0022】図3は認証情報変換テーブルの一例を示す
図である。認証情報変換テーブル44は、図示のよう
に、サーバ識別子・ユーザ識別子と認証情報との対応テ
ーブルになっている。サーバ識別子・ユーザ識別子のフ
ィールドには、サーバ計算機の名前および利用者の名前
を表す識別子が入力され、認証情報のフィールドには、
たとえば利用者の名前を表すユーザ識別子およびパスワ
ードが入力される。したがって、認証情報検索部41b
がこの認証情報変換テーブル44を検索する場合には、
サーバ識別子およびユーザ識別子をキーにして検索が行
われることになる。FIG. 3 is a diagram showing an example of the authentication information conversion table. The authentication information conversion table 44 is a correspondence table between server identifiers / user identifiers and authentication information, as shown in the figure. In the server identifier / user identifier fields, the identifiers representing the server computer name and the user name are entered, and in the authentication information field,
For example, a user identifier representing the name of the user and a password are input. Therefore, the authentication information search unit 41b
When searching the authentication information conversion table 44,
A search will be performed using the server identifier and the user identifier as keys.
【0023】次に、クライアント計算機から前置計算機
を介した後置計算機へのアクセスの場合に処理の流れに
ついて説明する。図4は後置計算機へのアクセス処理の
内容を示すフローチャートである。Next, the flow of processing when the client computer accesses the rear computer via the front computer will be described. FIG. 4 is a flowchart showing the contents of access processing to the post-computer.
【0024】クライアント計算機11から前置計算機2
1を介した後置計算機31へのアクセスの場合は、ま
ず、前置計算機21へのアクセスから始まる。すなわ
ち、クライアント計算機11は、認証情報管理装置40
にたとえばユーザ識別子およびパスワードを含む認証情
報を送り、前置計算機21へのアクセスの認証を得る。From the client computer 11 to the front computer 2
In the case of access to the back-end computer 31 via 1, first access to the front-end computer 21 is started. That is, the client computer 11 uses the authentication information management device 40.
The authentication information including, for example, the user identifier and the password is sent to the server to obtain the authentication of access to the front-end computer 21.
【0025】ここで、クライアント計算機11から前置
計算機21に対して後置計算機31へのアクセス要求が
あると(ステップS1)、前置計算機21は、認証情報
管理装置40に対して、アクセスしたい後置計算機31
のサーバ識別子と前置計算機21のクライアント計算機
11を認証したときのユーザ識別子とを送る(ステップ
S2)。When the client computer 11 requests the front-end computer 21 to access the rear-end computer 31 (step S1), the front-end computer 21 wants to access the authentication information management device 40. Post computer 31
And the user identifier when the client computer 11 of the front-end computer 21 is authenticated (step S2).
【0026】一方、認証情報管理装置40では、送られ
きたサーバ識別子・ユーザ識別子をキーにして、認証情
報検索部41bがテーブル格納部43に格納されている
認証情報変換テーブル44を検索し、判定部41cにて
後置計算機31の認証情報が登録済みかどうかを判定す
る(ステップS3)。後置計算機31の認証情報が登録
済みであれば、認証情報読み出し部41dが認証情報変
換テーブル44から該当する後置計算機31の認証情報
を読み出し(ステップS4)、読み出した後置計算機3
1の認証情報を前置計算機に送信する(ステップS
5)。On the other hand, in the authentication information management device 40, the authentication information search unit 41b searches the authentication information conversion table 44 stored in the table storage unit 43 by using the sent server identifier / user identifier as a key and makes a determination. The unit 41c determines whether or not the authentication information of the post-computer 31 has been registered (step S3). If the authentication information of the rear-end computer 31 has been registered, the authentication information reading unit 41d reads the corresponding authentication information of the rear-end computer 31 from the authentication information conversion table 44 (step S4), and the read-out rear-end computer 3 is read.
1 authentication information is transmitted to the front-end computer (step S
5).
【0027】ステップS3の判定において、後置計算機
31の認証情報が未登録であれば、認証情報を新たに登
録しなければならないので、後述の認証情報更新処理に
進む(ステップS6)。If the authentication information of the back-end computer 31 is not registered in the determination in step S3, the authentication information must be newly registered, and therefore the process proceeds to the authentication information updating process described later (step S6).
【0028】そして、前置計算機21では、認証情報管
理装置40から受けた後置計算機31の認証情報を基に
後置計算機31にアクセスする(ステップS7)。すな
わち、前置計算機21は受けた認証情報を認証情報管理
装置40に送信し、通常の認証方式にて後置計算機31
へのアクセスを認証する。その後は、後置計算機31で
の処理になる。Then, the front-end computer 21 accesses the rear-end computer 31 based on the authentication information of the rear-end computer 31 received from the authentication information management device 40 (step S7). That is, the front-end computer 21 transmits the received authentication information to the authentication information management device 40, and the rear-end computer 31 uses the normal authentication method.
Authenticate access to. After that, the processing is performed by the post-computer 31.
【0029】次に、後置計算機31の認証情報が未登録
または変更の場合の認証情報の登録・更新処理について
説明する。図5は認証情報登録処理の内容を示すフロー
チャートである。Next, the registration / update process of the authentication information when the authentication information of the post-computer 31 is unregistered or changed will be described. FIG. 5 is a flowchart showing the contents of the authentication information registration process.
【0030】認証情報管理装置40の認証情報検索部4
1における判定部41cにおいて、後置計算機31の認
証情報が登録されていないとの判定があった場合には、
認証情報管理装置40はクライアント計算機11に対し
て後置計算機31の認証情報の入力を要求する(ステッ
プS11)。すると、クライアント計算機11は認証情
報入力処理部11aにより認証情報の入力処理を行い
(ステップS12)、入力された後置計算機31の認証
情報を認証情報管理装置40に送信する(ステップS1
3)。認証情報管理装置40では、クライアント計算機
11より受けた後置計算機31の認証情報を認証情報更
新部42によって認証情報変換テーブル44に登録する
(ステップS14)。The authentication information retrieval unit 4 of the authentication information management device 40
When the determination unit 41c in 1 determines that the authentication information of the post-computer 31 is not registered,
The authentication information management device 40 requests the client computer 11 to input the authentication information of the back-end computer 31 (step S11). Then, the client computer 11 performs the authentication information input processing by the authentication information input processing unit 11a (step S12), and transmits the input authentication information of the rear-end computer 31 to the authentication information management device 40 (step S1).
3). In the authentication information management device 40, the authentication information of the rear-end computer 31 received from the client computer 11 is registered in the authentication information conversion table 44 by the authentication information updating unit 42 (step S14).
【0031】また、後置計算機31へのアクセス時に後
置計算機31の認証情報が変更されていた場合には、認
証情報変換テーブル44の後置計算機31の認証情報を
変更しなければならないので、後置計算機31のアクセ
ス時に非認証であった場合にも、この図5のフローチャ
ートのステップS11から同様の処理を開始する。If the authentication information of the rear-end computer 31 is changed at the time of accessing the rear-end computer 31, the authentication information of the rear-end computer 31 of the authentication information conversion table 44 must be changed. Even when the post-computer 31 is not authenticated at the time of access, the same processing is started from step S11 of the flowchart of FIG.
【0032】上述のように、認証情報を一括管理する認
証情報管理装置をネットワーク上に新たに設けることに
より、利用者は、後置計算機にアクセスする毎に、認証
情報を入力する必要がなくなるため、利用者の労力が軽
減されるだけではなく、後置計算機の認証情報が更新さ
れても、認証情報管理装置に登録されている情報の更新
だけでよいので、利用者の労力が軽減される。As described above, by newly providing the authentication information management device for collectively managing the authentication information on the network, the user does not have to input the authentication information each time he / she accesses the rear-end computer. Not only does the labor of the user be reduced, but even if the authentication information of the back-end computer is updated, it is only necessary to update the information registered in the authentication information management device, which reduces the labor of the user. .
【0033】なお、UNIXネットワークにおけるDN
S(Domain Name Service)のよう
に、ローカルエリアネットワークの同一ドメイン内で認
証情報を共有している場合がある。そこで、認証情報管
理装置内の情報を共有している後置計算機の認証情報を
同一の認証情報でアクセス可能な計算機同士をカテゴリ
ーに分類して認証情報管理装置に登録しておくこともで
きる。この管理方法を採ることにより、認証情報変換テ
ーブル44のデータ量を少なくできるだけでなく、同一
の認証情報でアクセス可能な計算機を一度に更新するこ
とができるため、認証情報の更新の際の処理を減少させ
ることができる。The DN in the UNIX network
There are cases where authentication information is shared within the same domain of the local area network, such as S (Domain Name Service). Therefore, it is also possible to classify the authentication information of the back-end computers that share the information in the authentication information management device into the categories of computers that can be accessed with the same authentication information and register them in the authentication information management device. By adopting this management method, not only can the amount of data in the authentication information conversion table 44 be reduced, but it is also possible to update the computers that can be accessed with the same authentication information at one time. Can be reduced.
【0034】[0034]
【発明の効果】以上説明したように本発明では、サーバ
計算機以外に認証情報管理装置を設置し、ユーザが前置
計算機を介して後置計算機を通じてアクセスする際に、
認証情報管理装置にアクセス要求を出し、後置計算機の
認証情報を得るように構成した。このため、前置計算機
を介して後置計算機にアクセスする都度、後置計算機の
認証情報を入力する必要がなく、後置計算機の認証情報
が変更されたとき、認証情報管理装置に登録されている
を認証情報を更新するだけで済む。As described above, according to the present invention, an authentication information management apparatus is installed in addition to the server computer, and when the user accesses through the front computer through the front computer,
It is configured to issue an access request to the authentication information management device and obtain the authentication information of the back-end computer. Therefore, it is not necessary to enter the authentication information of the back-end computer each time the back-end computer is accessed via the front-end computer, and when the authentication information of the back-end computer is changed, it is registered in the authentication information management device. All you have to do is update your credentials.
【図1】本発明の認証情報管理装置を含む計算機システ
ムのネットワーク構成例を示す図である。FIG. 1 is a diagram showing a network configuration example of a computer system including an authentication information management device of the present invention.
【図2】本発明の認証情報管理装置の構成例を示すブロ
ック図である。FIG. 2 is a block diagram showing a configuration example of an authentication information management device of the present invention.
【図3】認証情報変換テーブルの一例を示す図である。FIG. 3 is a diagram showing an example of an authentication information conversion table.
【図4】後置計算機へのアクセス処理の内容を示すフロ
ーチャートである。FIG. 4 is a flowchart showing the contents of access processing to a post-computer.
【図5】認証情報登録処理の内容を示すフローチャート
である。FIG. 5 is a flowchart showing the contents of authentication information registration processing.
11 クライアント計算機 21,22 前置計算機 31,32 後置計算機 40 認証情報管理装置 41 認証情報検索部 42 認証情報更新部 43 テーブル格納部 44 認証情報変換テーブル 50 通信回線 11 client computer 21, 22 front-end computer 31, 32 rear-end computer 40 authentication information management device 41 authentication information search unit 42 authentication information update unit 43 table storage unit 44 authentication information conversion table 50 communication line
Claims (1)
算機から直接アクセスされる前置計算機と、クライアン
ト計算機から前記前置計算機を介して間接的にアクセス
される後置計算機とがネットワークで接続された計算機
システムにて、認証情報を管理する認証情報管理装置で
あって、 前記後置計算機毎にユーザに対応した認証情報を記憶す
る記憶手段と、 前記前置計算機のアクセス後に当該前置計算機を介して
間接的に後置計算機をアクセスする際に受け取る当該後
置計算機の識別情報とユーザー情報とを基に前記記憶手
段から該当する後置計算機の認証情報を検索する検索手
段と、 前記検索手段で検索された認証情報を当該前置計算機に
返信する通信手段と、 を具備することを特徴とする認証情報管理装置。1. A computer system in which a client computer, a front computer directly accessed from the client computer, and a rear computer indirectly accessed from the client computer through the front computer are connected by a network. An authentication information management device that manages authentication information, and a storage unit that stores authentication information corresponding to a user for each of the post-computation computers, and indirectly via the pre-computation computer after the access of the pre-computation computer. Retrieval means for retrieving the authentication information of the corresponding back-end computer from the storage means based on the identification information and user information of the back-end computer received when accessing the back-end computer, and the authentication retrieved by the search means An authentication information management apparatus comprising: a communication unit that returns information to the front-end computer.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP07183907A JP3137173B2 (en) | 1995-07-20 | 1995-07-20 | Authentication information management device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP07183907A JP3137173B2 (en) | 1995-07-20 | 1995-07-20 | Authentication information management device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0934822A true JPH0934822A (en) | 1997-02-07 |
| JP3137173B2 JP3137173B2 (en) | 2001-02-19 |
Family
ID=16143908
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP07183907A Expired - Fee Related JP3137173B2 (en) | 1995-07-20 | 1995-07-20 | Authentication information management device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3137173B2 (en) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002506248A (en) * | 1998-03-03 | 2002-02-26 | ネットワーク・アプライアンス・インコーポレイテッド | File access control in multi-protocol file server |
| JP2002207875A (en) * | 2001-01-12 | 2002-07-26 | Bank Of Tokyo-Mitsubishi Ltd | Financial transaction information display device, provision device and recording medium |
| JP2002533830A (en) * | 1998-12-29 | 2002-10-08 | サイトリックス システムズ,インコーポレイテッド | Apparatus and method for determining a neighbor program of a client node in a client-server network |
| KR100416272B1 (en) * | 2000-12-11 | 2004-01-24 | 미쓰비시덴키 가부시키가이샤 | Apparatus and method for login authentication |
| JP2005159424A (en) * | 2003-11-20 | 2005-06-16 | Nippon Telegr & Teleph Corp <Ntt> | Communication system |
| JP2006079315A (en) * | 2004-09-09 | 2006-03-23 | Bank Of Tokyo-Mitsubishi Ltd | Identification information management server, method for controlling identification information management server, program, and information processing service providing system |
| JP2006134301A (en) * | 2004-10-05 | 2006-05-25 | Ricoh Co Ltd | Service providing system, information processing apparatus, service providing server and user authentication method |
| US7185194B2 (en) | 2000-05-17 | 2007-02-27 | Fujitsu Limited | System and method for distributed group management |
| JP2007241590A (en) * | 2006-03-08 | 2007-09-20 | Mitsubishi Electric Information Systems Corp | Authentication system of user of a plurality of terminals, authentication server, and authentication integrating terminal |
| JP2009104219A (en) * | 2007-10-19 | 2009-05-14 | Softbank Mobile Corp | System having account release/block means, and account release/block program |
| JP2010086435A (en) * | 2008-10-02 | 2010-04-15 | Hitachi Ltd | Information processing method and computer |
| WO2012098650A1 (en) * | 2011-01-18 | 2012-07-26 | 富士通株式会社 | Computer, computer system, method, and program |
| JP2013114530A (en) * | 2011-11-30 | 2013-06-10 | Konica Minolta Business Technologies Inc | Network system, information processing device and control method thereof, and computer program |
-
1995
- 1995-07-20 JP JP07183907A patent/JP3137173B2/en not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002506248A (en) * | 1998-03-03 | 2002-02-26 | ネットワーク・アプライアンス・インコーポレイテッド | File access control in multi-protocol file server |
| JP2002533830A (en) * | 1998-12-29 | 2002-10-08 | サイトリックス システムズ,インコーポレイテッド | Apparatus and method for determining a neighbor program of a client node in a client-server network |
| US7185194B2 (en) | 2000-05-17 | 2007-02-27 | Fujitsu Limited | System and method for distributed group management |
| KR100416272B1 (en) * | 2000-12-11 | 2004-01-24 | 미쓰비시덴키 가부시키가이샤 | Apparatus and method for login authentication |
| JP2002207875A (en) * | 2001-01-12 | 2002-07-26 | Bank Of Tokyo-Mitsubishi Ltd | Financial transaction information display device, provision device and recording medium |
| JP2005159424A (en) * | 2003-11-20 | 2005-06-16 | Nippon Telegr & Teleph Corp <Ntt> | Communication system |
| JP2006079315A (en) * | 2004-09-09 | 2006-03-23 | Bank Of Tokyo-Mitsubishi Ltd | Identification information management server, method for controlling identification information management server, program, and information processing service providing system |
| JP2006134301A (en) * | 2004-10-05 | 2006-05-25 | Ricoh Co Ltd | Service providing system, information processing apparatus, service providing server and user authentication method |
| US8171526B2 (en) | 2004-10-05 | 2012-05-01 | Ricoh Company, Ltd. | Service providing system, information processing apparatus, service providing server and service providing method |
| JP2007241590A (en) * | 2006-03-08 | 2007-09-20 | Mitsubishi Electric Information Systems Corp | Authentication system of user of a plurality of terminals, authentication server, and authentication integrating terminal |
| JP4499678B2 (en) * | 2006-03-08 | 2010-07-07 | 三菱電機インフォメーションシステムズ株式会社 | Multi-terminal user authentication system, authentication server and authentication integrated terminal |
| JP2009104219A (en) * | 2007-10-19 | 2009-05-14 | Softbank Mobile Corp | System having account release/block means, and account release/block program |
| JP2010086435A (en) * | 2008-10-02 | 2010-04-15 | Hitachi Ltd | Information processing method and computer |
| WO2012098650A1 (en) * | 2011-01-18 | 2012-07-26 | 富士通株式会社 | Computer, computer system, method, and program |
| JP2013114530A (en) * | 2011-11-30 | 2013-06-10 | Konica Minolta Business Technologies Inc | Network system, information processing device and control method thereof, and computer program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3137173B2 (en) | 2001-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6385730B2 (en) | System and method for restricting unauthorized access to a database | |
| US6336114B1 (en) | System and method for restricting access to a data table within a database | |
| US6275939B1 (en) | System and method for securely accessing a database from a remote location | |
| EP0977399B1 (en) | Authentication and access control in a management console program for managing services in a computer network | |
| US6219700B1 (en) | Method and apparatus for managing services in a computer network from a central console | |
| US20030204752A1 (en) | System and method for securely accessing a database from a remote location | |
| US20060143189A1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| US20010011349A1 (en) | System and method for encrypting a data session between a client and a server | |
| JP5320433B2 (en) | Integrated search device, integrated search system, and integrated search method | |
| JPH0934822A (en) | Verification information management equipment | |
| US7650632B2 (en) | Password management | |
| CN101763575A (en) | License management apparatus, license management method, and computer readable medium | |
| JPH10232811A (en) | Security management method for data base | |
| JP5409435B2 (en) | Access control linkage system and access control linkage method | |
| KR100496154B1 (en) | System for Authenticating Registered User of Cooperation Sites and Method therefor | |
| KR20010069686A (en) | Web site automatic log-in system and processing method | |
| JP4240929B2 (en) | Access control method in file management system | |
| US20030163707A1 (en) | Information management apparatus and method | |
| JP3951638B2 (en) | Authentication application service system | |
| US7949682B2 (en) | Method for providing a flat view of a hierarchical namespace without requiring unique leaf names | |
| US6957347B2 (en) | Physical device placement assistant | |
| KR20010087479A (en) | Administration method and system of personal information on computer network | |
| JPH1013403A (en) | Data management system | |
| US10554789B2 (en) | Key based authorization for programmatic clients | |
| JP2002324053A (en) | Use authorization controlling system, use authorization controlling method and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071208 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081208 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091208 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101208 Year of fee payment: 10 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111208 Year of fee payment: 11 |
|
| LAPS | Cancellation because of no payment of annual fees |