KR20120093767A - 정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체 - Google Patents

정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체 Download PDF

Info

Publication number
KR20120093767A
KR20120093767A KR1020120010205A KR20120010205A KR20120093767A KR 20120093767 A KR20120093767 A KR 20120093767A KR 1020120010205 A KR1020120010205 A KR 1020120010205A KR 20120010205 A KR20120010205 A KR 20120010205A KR 20120093767 A KR20120093767 A KR 20120093767A
Authority
KR
South Korea
Prior art keywords
authentication
service
information
access
key information
Prior art date
Application number
KR1020120010205A
Other languages
English (en)
Other versions
KR101449523B1 (ko
Inventor
유 타무라
Original Assignee
캐논 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 캐논 가부시끼가이샤 filed Critical 캐논 가부시끼가이샤
Publication of KR20120093767A publication Critical patent/KR20120093767A/ko
Application granted granted Critical
Publication of KR101449523B1 publication Critical patent/KR101449523B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Abstract

정보처리시스템은, 인증 장치를 결정하는 키 정보와 상기 인증 장치에 대한 정보를 연관시켜서 기억하고, 미인증의 유저 액세스로부터 상기 키 정보를 추출한다. 상기 키 정보와 연관된 인증 장치에 대한 정보에 의거하여, 상기 미인증의 유저 액세스를 리다이렉트시킨다.

Description

정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체{INFORMATION PROCESSING SYSTEM, METHOD FOR CONTROLLING INFORMATION PROCESSING SYSTEM, AND STORAGE MEDIUM}
싱글 사인 온(sign-on)을 따르는 정보처리시스템, 그 정보처리시스템을 제어하는 방법, 및 기억매체에 관한 것이다.
종래, 복수의 서비스간에 인증을 연계시키는 기술로서, 보안 어서션(assertion) 마크업 언어(SAML)를 사용한 싱글 사인 온(이하, SSO라고 함)의 시스템을 제공하였다. SAML를 사용한 SSO 시스템에 있어서, 유저는, 인증 서비스 제공자측(아이덴티티 제공자, 이후 IdP라고 함)의 ID와, 인증 서비스의 인증 결과를 기초로 서비스를 제공하는 측(서비스 제공자, 이후 SP라고 함)의 ID의 2개의 식별기호(ID)를 보유하고 있다.
유저가 IdP에서 인증을 받으면, SP는 그 인증 결과를 신뢰하고, SP는 액세스를 SP내에서 유저가 관리하는 ID로서 그 IdP를 인증한다. 이러한 흐름을 IdP 주도(initiated) SSO라고 한다. IdP에서 인증을 받지 않은 미인증의 유저가 SP에 액세스하는 경우, SP는 미인증의 유저를 적절한 IdP에 유도하고, 그 미인증의 유저는 IdP에서 인증될 필요가 있다. 이러한 흐름을, SP 주도 SSO라고 한다.
미인증 유저가 SP에 액세스한 시점에서, 그 유저를 어느 IdP에 유도시켜서 인증되게 할지를 특정하는 것이 가능하지 않다. 이러한 과제를 해결하기 위해서, 종래의 SP 주도 SSO는, IdP의 일람을 표시해서 유저에게 IdP를 선택 가능하게 하는 방식을 제공한다. 유저가 액세스하는 SP가 요구할 것으로 예상된 인증 레벨과 유저 속성에 따라, SP로부터의 요구를 충족시키는 IdP를 결정해서, 그 IdP에 유저를 리다이렉트(redirect)시키는 방식이 일본국 공개특허공보 특개 2010-128719에 개시되어 있다.
본 발명의 일 국면에 의하면, 클라이언트, 및 인증 정보의 입력을 요구해 인증 처리를 행하는 인증 처리 서비스를 제공하는 적어도 1개의 인증 장치와 통신가능한, 웹(Web)서비스를 제공하는 정보처리시스템은, 정보처리장치에서 인증 처리에 필요한 인증 정보의 입력을 요구하지 않고서 상기 인증 처리 서비스에 의해 행해진 상기 인증 처리의 성공을 신뢰하여서 상기 웹서비스를 제공하는 제공부와, 어느 하나의 인증 서비스를 수신할 때에 필요한 인증 장치를 결정하기 위한 키 정보와, 상기 인증 장치의 어드레스 정보를 연관시켜서, 보존하는 보존부와, 상기 클라이언트로부터의 액세스가 상기 인증 처리 서비스를 받지 않고 있는 미인증의 액세스인 경우에는, 상기 액세스의 결과로서 취득된 키 정보와 일치하는 상기 보존부에 의해 보존된 상기 키 정보를 특정하고, 이 특정된 상기 키 정보와 관련지어서 보존된 상기 인증 장치의 어드레스 정보를 상기 클라이언트에 송신함과 아울러, 상기 클라이언트가 상기 인증 처리 서비스를 수신하기 위해서 상기 인증 장치에 액세스하도록 리다이렉트의 지시를 내리는 지시부를 구비한다.
본 발명의 다른 특징들 및 이점들은, 첨부도면들을 참조하여 아래의 상세한 예시적 실시예들에 관한 설명으로부터 명백해질 것이다.
본 명세서에 포함되고 그 일부를 구성하는 첨부도면들은, 본 발명의 실시예들을 나타내고, 이 설명과 함께, 본 발명의 원리를 설명하는 역할을 한다.
도 1은 네트워크 구성을 도시한 도면이다.
도 2a 내지 2d는 본 발명의 예시적 실시예에 따른 모듈 구성도다.
도 3은 본 발명의 예시적 실시예에 따른 인증 서비스 결정 서비스의 모듈 구성도다.
도 4는 본 발명의 예시적 실시예에 따른 제2 관리 모듈이 관리하는 정보를 나타낸다.
도 5는 본 발명의 예시적 실시예에 따른 서비스 제공 서버의 처리 흐름도다.
도 6은 본 발명의 예시적 실시예에 따른 인증 서비스 결정 서비스의 처리 흐름도다.
도 7은 본 발명의 예시적 실시예에 따른 SSO를 실현하기 위한 인증 서비스B의 처리 흐름도다.
도 8은 본 발명의 예시적 실시예에 따른 SSO를 실현하기 위한 인증 서비스A의 처리 흐름도다.
도 9는 본 발명의 예시적 실시예에 따른 SSO를 실현하지 않은 경우의 인증 서비스A에 있어서의 처리 흐름도다.
도 10a 및 10b는 본 발명의 예시적 실시예에 따른 인증 정보의 입력 화면의 예들을 나타낸다.
도 11은 본 발명의 제2 예시적 실시예에 따른 인증 서비스 결정 서비스의 모듈 구성도다.
도 12는 본 발명의 제2 예시적 실시예에 따른 제3 관리 모듈이 관리하는 정보를 나타낸다.
도 13은 본 발명의 제2 예시적 실시예에 따른 인증 서비스 결정 서비스의 처리 흐름도다.
도 14는 본 발명의 제3 예시적 실시예에 따른 인증 서비스 결정 서비스의 모듈 구성도다.
도 15는 본 발명의 제3 예시적 실시예에 따른 인증 서비스 결정 서비스의 처리 흐름도다.
도 16은 본 발명의 제3 예시적 실시예에 따른 기업ID의 입력 화면의 예를 나타낸다.
도 17은 본 발명의 제4 예시적 실시예에 따른 인증 서비스 결정 서비스의 모듈 구성도다.
도 18은 본 발명의 제4 예시적 실시예에 따른 인증 서비스 결정 서비스의 처리 흐름도다.
도 19는 본 발명의 제4 예시적 실시예에 따른 기업ID의 입력 화면의 예를 나타낸다.
도 20은 본 발명의 예시적 실시예에 따른 하드웨어 구성도다.
이하, 본 발명의 여러 가지의 예시적 실시예들, 특징들 및 국면들은, 도면들을 참조하여 상세하게 설명하겠다.
종래의 기술들은 이하의 문제가 있다. 예를 들면, 기업의 인트라네트내의 IdP를 유저가 이용하기를 원한다고 가정한다. 그 유저는 인트라네트내의 IdP를 지정하는 수단이 필요하다. 그렇지만, 시큐리티의 관점에서, SP가 IdP의 일람을 표시할 때에, 그 IdP를 일람에 표시하는 것은 바람직하지 않다. 왜냐하면, 예를 들면 그 유저와는 관계가 없는 제3자가 그 IdP를 볼 수 있기 때문이다. 이러한 경우에, 그 유저에 관한 개인정보가 누설되어버린다.
본 발명의 제1 예시적 실시예에 따른 권한 위양 시스템은, 도 1에 나타낸 구성의 네트워크 상에 실현될 수 있다. 본 발명의 본 예시적 실시예에 따르면, 월드 와이드 웹(WWW) 시스템은, 원거리 통신망(WAN)(100) 상에 구축된다. 근거리 통신망(LAN)(101)은 각 구성부를 접속한다. 상기 LAN(101)에서의 각 장치는, WAN(100)을 통하여 서로 통신 가능하게 된다.
클라이언트 퍼스널 컴퓨터(PC)(200)는, 유저에 의해 조작된다. 인증 서비스 결정 서비스(300)는, 유저의 액세스 요구를 적절한 IdP에 유도한다. 인증 서비스A(400) 및 인증 서비스B(450)는, 각각 인증을 행한다. 인증 서비스(400, 500)는, 각각 IdP(아이덴티티 프로바이더 장치)로서 동작한다. 그 인증 서비스는 2개에 한정되는 것은 아니고, 어느 IdP가 실제의 인증을 행할지는 상기 액세스된 유저에 따라 좌우된다. 서비스 제공 서비스(500)는, 인증된 유저에 대하여 서비스를 제공한다.
클라이언트PC(200), 인증 서비스 결정 서비스(300), 인증 서비스A(400), 인증 서비스B(450), 및 서비스 제공 서비스(500)는, 각각 WAN(100) 및 LAN(101)을 통해서 서로 접속되어 있다. 클라이언트PC(200) 및 개개의 서비스는, 개개의 LAN 상이나 동일한 LAN 상에 구성될 수 있다. 클라이언트PC(200) 및 개개의 서비스는, 동일한 PC위에 구성될 수 있다. 인증 서비스 결정 서비스(300), 인증 서비스A(400), 및 서비스 제공 서비스(500)는, 본 예시에서는 같은 네트워크내(인트라네트내)에 구축된 서버 군이다.
클라이언트PC(200)는 웹 서비스를 받기 위해서 서비스 제공 서비스(500)에 액세스한다. 서비스 제공 서비스(500)가 미인증의 유저의 액세스 요구를 접수하면, 서비스 제공 서비스(500)는 그 액세스 요구를 인증 서비스 결정 서비스(300)에 리다이렉트시킨다. 인증 서비스 결정 서비스(300)는, 미인증 액세스 요구를 적절한 인증 서비스, 즉 인증 서비스A(400) 또는 인증 서비스B(450)에 리다이렉트시킨다. 인증 서비스A(400) 또는 인증 서비스B(450)가 유저를 인증하면, 상기 서비스 400 또는 서비스 450은, 다시 유저를 서비스 제공 서비스(500)에 리다이렉트시킨다. 서비스 제공 서비스(500)는, 유저에게 서비스를 제공한다.
도 20은 본 발명의 본 예시적 실시예에 따른 클라이언트PC(200)의 구성도다. 또 인증 서비스 결정 서비스(300), 인증 서비스A(400), 인증 서비스B(450) 및 서비스 제공 서비스(500)를 제공하는 서버 컴퓨터의 구성도 같다. 이들의 서비스는, 도 20에 나타낸 하드웨어 블럭도의 구성을 가진 서버에 의해 실현될 수 있다. 상술한 것처럼, 본 예시적 실시예에 따른 클라이언트PC(200) 및 서버에는 일반적인 정보처리장치의 하드웨어 구성을 적용할 수 있다.
도 20에 있어서, 중앙처리유닛(CPU)(201)은, ROM(203)의 프로그램용 판독전용 메모리(ROM)에 기억되었거나 또는 하드 디스크(211)로부터 랜덤 액세스 메모리(RAM)(202)에 로드된 오퍼레이팅 시스템(이후, OS라고 함)이나 어플리케이션 등의 프로그램을 실행한다. OS는 컴퓨터상에서 가동한다. 후술하는 각 흐름도의 처리는, 이 프로그램을 실행하여서 실현될 수 있다.
RAM(202)은, CPU(201)의 주메모리, 작업 영역 등으로서 기능한다. 키보드 콘트롤러(KBC)(205)는, 키보드(KB)(209)나 (도면에 나타내지 않은) 포인팅 디바이스로부터의 키 입력을 제어한다. 음극선관 콘트롤러(CRTC)(206)는, 음극선관(CRT)이나 유사한 디스플레이(210)의 표시를 제어한다. 디스크 콘트롤러(DKC)(207)는 각종 데이터를 기억하는 하드 디스크(HD)(211)나 플로피 디스크(FD)등에 있어서의 데이터 액세스를 제어한다. 네트워크 콘트롤러(NC)(212)는, 네트워크에 접속되어서, 상기 네트워크에 접속된 다른 기기와의 통신제어처리를 실행한다.
아래의 설명에서는, 별도로 언급되지 않으면, 하드웨어 실행상의 주체는 CPU(201)인 것이 바람직하고, 소프트웨어상의 주체는 HD(211)에 인스톨된 어플리케이션 프로그램인 것이 바람직하다.
도 2a 내지 2d는 본 예시적 실시예에 따른 모듈 구성도다. 도 2a는 인증 서비스 결정 서비스(300)를 나타낸다. 도 2b는 인증 서비스A(400)를 나타낸다. 도 2c는 인증 서비스B(450)를 나타낸다. 이들 2개의 인증 서비스 모두는 IdP로서 기능하지만, 1개의 IdP를 사용하여도 된다. 적어도 1개의 IdP가 상기 시스템에 포함되면, 본 예시적 실시예가 실시될 수 있다. 도 2d는 서비스 제공 서비스(500)를 나타낸다. 제1 예시적 실시예에 있어서는, 인증 서비스 결정 서비스(300), 인증 서비스A(400), 또는 서비스 제공 서비스(500)가 SP(서비스 프로바이더 장치)가 된다. SP는, IdP와 싱글 사인 온 연계를 행한다.
도 2a는 본 예시적 실시예에 따른 인증 서비스 결정 서비스(300)의 모듈 구성도다. 인증 서비스 결정 서비스(300)는, 관리 모듈(301), 키 추출 모듈(302), 취득 모듈(303), 및 액세스 유도 모듈(304)을 구비한다.
관리 모듈(301)은, 인증 장치를 결정하기 위한 키(key) 정보와, 인증 장치나 장치들의 정보를 연관시켜서 상기 키 정보를 기억한다. 인증 서비스 결정 서비스(300)가 미인증의 유저로부터의 액세스 요구를 접수하면, 키 추출 모듈(302)은 인증 장치를 결정하는 키 정보를, 유저가 액세스했을 때에 제공된 정보로부터 추출한다. 취득 모듈(303)은, 상기 추출된 키 정보를 사용하여, 관리 모듈(301)로부터 인증 장치의 정보를 취득한다. 액세스 유도 모듈(304)은, 상기 추출한 인증 장치의 정보에 따라, 유저를 적절한 인증 서비스에 액세스하도록 유도한다.
도 2b는 본 예시적 실시예에 따른 인증 서비스A(400)의 모듈 구성도다. 인증 서비스A(400)는 서비스A 인증 모듈(401)과 어서션(assertion) 검증 모듈(402)을 구비한다.
인증 서비스A(400)는, 미인증의 액세스 요구의 접수에 응답하여, 도 10a에 나타나 있는 바와 같은 화면을 표시하고, 유저에게 유저ID와 패스워드의 입력을 재촉해 인증을 행한다. SSO를 실현시키기 위해서, 인증 서비스A(400)가 타인증 서비스에 의해 제공된 인증의 증거를 유저의 액세스로부터 받으면, 어서션 검증 모듈(402)은, 그 증거, 즉 인증 결과의 타당성을 검증하고, 유저의 액세스를 승인할 것인가 아닌가를 결정한다. 본 예시적 실시예에 있어서, 인증의 증거는 SAML어서션을 가정하지만, 본 발명의 본 예시적 실시예에 따른 SSO에서, 그 증거는 SAML 및 SAML어서션을 사용한 증거에 한정되지 않는다.
도 2c는 본 예시적 실시예에 따른 인증 서비스B(450)의 모듈 구성도다. 인증 서비스B(450)는, 서비스B 인증 모듈(451)과 어서션 발행 모듈(452)을 구비한다.
인증 서비스B(450)는, 미인증의 액세스 요구의 접수에 응답하여, 도 10b에 나타나 있는 바와 같은 화면을 표시하고, 유저에게 유저ID와 패스워드의 입력을 재촉해 인증을 행한다. 유저가 인증에 성공하면, 어서션 발행 모듈(452)은, 상기 인증의 증거가 되는 SAML어서션을 생성하고, 어서션을 검증할 수 있는 인증 서비스에, 유저의 액세스를 리다이렉트시킨다. 본 예시적 실시예에 있어서, 상기 인증의 증거는 SAML어서션을 상정하지만, 본 발명의 본 예시적 실시예에 따른 SSO에서, 그 증거는 SAML 및 SAML어서션을 사용한 증거에 한정되지 않는다.
도 2d는 본 예시적 실시예에 따른 서비스 제공 서비스(500)의 모듈 구성도다. 서비스 제공 서비스(500)는 액세스 거부 모듈(501)과 서비스 제공 모듈(502)을 구비한다.
서비스 제공 서비스(500)에서 액세스 요구의 접수에 응답하여, 유저의 액세스가 이미 인증되었는지의 여부를 액세스 거부 모듈(501)이 판단하고, 미인증의 액세스를 상기 인증 서비스 결정 서비스(300)에 리다이렉트시킨다. 상기 액세스가 이미 인증되었으면, 서비스 제공 모듈(502)이 서비스를 제공한다. 서비스 제공 모듈(502)이 제공한 서비스는, 예를 들면 인터넷상의 공유 스토리지에 문서를 축적하기 위한 문서축적 서비스가 있다. 그렇지만, 서비스 제공 모듈(502)이 제공한 서비스는, 문서축적 서비스에 한정되지 않는다.
도 3은 본 예시적 실시예에 따른 인증 장치를 결정하는 키 정보로서 유저ID를 이용하는 경우의 인증 서비스 결정 서비스(300)의 모듈 구성도다. 인증 서비스 결정 서비스(300)는, 제2 관리 모듈(311), 키 추출 모듈(302), 취득 모듈(303) 및 액세스 유도 모듈(304)을 구비한다. 제2 관리 모듈(311)은, 유저ID와, 그 유저가 인증을 받는 인증 장치의 정보를 연관시켜서 기억한다.
도 4는 본 예시적 실시예에 따른 제2 관리 모듈(311)이 관리하는 정보를 나타낸다. 관리 정보(600)는, 유저ID와, 그 유저가 인증을 받는 인증 장치의 정보(각 IdP의 어드레스 정보)를 연관시켜서, 이 정보를 기억 및 관리한다. 그 관리 정보(600)에서, 예를 들면 유저ID "user001"과 "user003"은 인증 서비스B(450)와 연관되고, 유저ID "user002"는 인증 서비스A(400)와 연관된다. 인증 서비스B(450)는, 인증 서비스A(400)와 SSO를 실현한다고 가정한다.
도 5는 본 예시적 실시예에 따른 서비스 제공 서비스(500)가 행한 처리의 흐름도다. 본 흐름도의 처리는, 서비스를 받으려고 하는 유저가 서비스 제공 서비스(500)에 액세스할 때 시작한다.
단계S1101에서, 서비스 제공 서비스(500)는 유저의 액세스 요구를 접수한다. 단계S1102에서, 액세스 거부 모듈(501)은 단계S1101에서 접수한 액세스 요구가 인증된 것인지의 여부를 판단한다. 그 액세스가 인증되었으면(단계S1102에서 YES), 단계S1103의 처리로 이동한다. 그 액세스가 미인증되었으면(단계S1102에서 NO), 단계S1151의 처리로 이동한다.
단계S1103에서, 서비스 제공 모듈(502)은, 단계S1102에서 인증된다고 판단된 액세스에 대하여 서비스를 제공하고, 그 처리를 종료한다.
단계S1151에서, 액세스 거부 모듈(501)은, 단계S1102에서 미인증이라고 판단된 액세스를, 인증 서비스 결정 서비스(300)에 리다이렉트시킨다. 그 처리에 있어서, 액세스 거부 모듈(501)은, 인증의 완료 후에 다시 서비스 제공 서비스(500)에 액세스하도록 유저에 지시하는 정보를 부가한다. 그 정보를 부가해서 리다이렉트를 완료 후에, 그 흐름도의 처리를 종료한다.
도 6은 본 예시적 실시예에 따른 인증 서비스 결정 서비스(300)가 행하는 처리의 흐름도다. 본 흐름도의 처리는, 유저가 직접 인증 서비스 결정 서비스에 액세스할 때나, 유저 액세스가 서비스 제공 서비스(500)에 의해 리다이렉트될 때에, 시작된다. 상기 액세스의 리다이렉트원은 서비스 제공 서비스(500)에 한정되지 않는다.
단계S1201에서, 인증 서비스 결정 서비스(300)는, 미인증의 유저 액세스 요구를 접수한다. 단계S1202에서, 키 추출 모듈(302)은, 미인증의 유저 액세스의 유니폼 리소스 로케이터(URL) 파라미터로부터 유저ID를 추출한다. 유저ID는, URL파라미터이외의 정보로부터 취득될 수 있다.
상기 URL의 전반부분은 각각의 서버에 액세스하기 위한 URL이고, URL의 후반부분은 유저ID, 또는 후술하는 기업ID를 특정하기 위한 키 정보다. 이 URL의 특징을 사용하여, 유저는, 후반부분의 키 정보만 변경하고, 그 변경한 URL을 사용함으로써 액세스처를 변경하지 않고, 인증처만을 변경할 수 있다.
단계S1203에서, 취득 모듈(303)은, 단계S1202에서 취득한 유저ID를 사용하여, 제2 관리 모듈(311)로부터, 상기 유저ID와 연관된 상기 인증 장치의 어드레스 정보를 취득한다. 이 처리에서, 예를 들면, 단계S1202에서 추출한 유저ID가 "user001"이면, 인증 서비스 결정 서비스(300)는, 그 유저ID와 일치하는 유저ID를 검색하고, 그 유저ID에 관련된 인증 서비스B(450)의 URL "http://service_b/?sp=http%3A%2F%2Fservice_a%2F"를 특정한다. 이 예의 URL은, 인증 서비스B(450)와 인증 서비스A(400)가 SSO시스템에서 작동하는 경우를 이용한다고 가정한다.
단계S1204에서, 액세스 유도 모듈(304)은, 단계S1203에서 취득한 장치 정보에 따라, 미인증의 유저의 액세스를 리다이렉트시키기 위해서, 클라이언트 PC(200)에 특정한 URL을 송신한다. 이 처리에서, 단계S1201에서 인증 완료후에 사용하기 위한 액세스처 정보를 수신하면, 단계S1204에서는, 이 액세스처 정보를 부가해서 그 액세스를 리다이렉트시킨다. 리다이렉트가 완료되면, 그 흐름도에서의 처리는 종료한다.
도 7은 본 발명의 예시적 실시예에 따른 SSO를 실현하기 위한 인증 서비스B(450)에 있어서의 처리 흐름도다. 본 흐름도에서의 처리는, 인증 서비스 결정 서비스(300)가 유저의 액세스를 리다이렉트시킬 때 시작한다.
단계S1501에서, 인증 서비스B(450)는, 인증 서비스 결정 서비스(300)로부터 리다이렉트된 인증 요구를 접수한다. 또한, 인증 서비스B(450)는, 인증 성공시의 리다이렉트처를 URL로부터 취득한다. 이 예에서는, "?sp=http%3A%2F%2Fservice_a%2F"의 부분이 리다이렉트처를 의미한다.
단계S1502에서, 서비스B 인증 모듈(451)은, 도 10b에 나타낸 바와 같은 인증 화면(750)을 클라이언트 PC(200)로 하여금 표시시킨다.
단계S1503에서, 서비스B 인증 모듈(451)은, 인증 화면(750)을 거쳐 입력된 인증 정보가 유효한지를 확인한다. 인증 정보가 유효하면(단계S1503에서 YES), 단계S1504의 처리로 진행한다. 인증 정보가 무효하면(단계S1503에서 NO), 단계S1551의 처리로 진행한다.
단계S1504에서, 어서션 발행 모듈(452)은, 단계1503에서 유효하다고 판단된 인증 정보에 대응한 어서션을 발행한다. 그 어서션을 크리덴셜(credential)이라고 말하기도 한다. 그 어서션을 발행한 후, 어서션 발행 모듈(452)은, 단계S1501에서 취득한 리다이렉트처URL에 유저의 액세스를 리다이렉트시킨다. 이 처리에서, 단계S1501에서 인증 완료후 사용하기 위한 액세스처 정보를 수신하면, 이 정보를 단계S1504에서 부가하고, 그 액세스를 리다이렉트시킨다. 리다이렉트가 완료되면, 그 흐름도의 처리가 종료한다.
단계S1551에서, 서비스B 인증 모듈(451)은, 인증 화면(750)을 거쳐 입력된 무효 인증 정보로 인해 인증 실패를 유저에게 통지하는 화면을 클라이언트 PC(200)로 하여금 표시시키고나서, 그 처리를 종료한다.
클라이언트PC(200)는, 서비스B 인증 모듈(451)로부터 송신된 인증 실패 화면을 표시한다. 이 화면은, 다시 그 처리를 단계S1502에 이동시켜 유저로부터 인증 정보를 접수하는 화면이어도 되거나, 간단히 인증 실패를 표시하기 위한 화면이어도 된다. 그 화면은, 이들 2개의 화면에 한정되는 것이 아니다. 이 시점에서, 유저의 액세스는 미인증된다. 이에 따라서, 유저가 계속해서 서비스 제공 서비스(500)에 액세스하려고 하는 경우에, 그 액세스는 거부된다. 이러한 경우에, 도 5에 도시된 처리 흐름이 실시된다.
도 8은 본 예시적 실시예에 따른 SSO를 실현하기 위한 인증 서비스A(400)에 있어서의 처리 흐름도다. 본 흐름도에서의 처리는, 유저의 액세스가 인증 서비스B(450)에서 인증에 성공하고 리다이렉트되는 경우 시작된다.
단계S1601에서, 인증 서비스A(400)는, 인증 서비스B(450)로부터 상기 리다이렉트된 액세스를 접수한다. 단계S1602에서, 어서션 검증 모듈(402)은, 단계S1601에서 접수한 상기 리다이렉트된 액세스에 포함된 어서션이 유효한 것인가를 검증한다. 검증의 결과, 어서션 검증 모듈(402)은 그 어서션이 유효하다고 판단된 경우에는(단계S1602에서 YES), 단계S1603의 처리로 진행한다. 어서션 검증 모듈(402)은 그 어서션이 무효하다고 판단된 경우에는(단계S1602에서 NO), 단계S1651의 처리로 진행한다.
단계S1603에서, 서비스A 인증 모듈(401)은, 단계S1601에서 접수한 리다이렉트된 액세스를 인증하고, 서비스에의 액세스를 허가한다. 이 처리에서, 단계S1601에서 인증 완료후에 사용하기 위한 액세스처 정보를 수신하면, 그 액세스처 정보에 의거해서, 서비스A 인증 모듈(401)은, 단계S1603에서 유저의 액세스를 리다이렉트시킨다. 예를 들면, 인증 완료후의 리다이렉트처로서 서비스 제공 서비스(500)가 지정된 경우에는, 서비스A 인증 모듈(401)은, 유저의 액세스를 서비스 제공 서비스(500)에 리다이렉트시킨다. 이 때, 유저의 액세스가 인증되어 있다. 이 때문에, 유저는 서비스 제공 서비스(500)가 제공하는 서비스를 받을 수 있다. 리다이렉트가 완료되면, 본 흐름도에서의 처리는 종료한다.
단계S1651에서, 서비스A 인증 모듈(401)은, 무효 어서션으로 인한 인증 실패를 유저에게 통지하는 화면을 클라이언트 PC(200)로 하여금 표시시키고 나서, 그 처리를 종료한다.
도 9는 본 예시적 실시예에 따라 SSO를 실시하지 않은 경우의 인증 서비스A(400)에 있어서의 처리의 흐름도다. 본 흐름도에서의 처리는, 인증 서비스 결정 서비스(300)가 유저의 액세스를 리다이렉트시킬 때 시작된다. 본 흐름도에서의 처리에서는, 서비스 제공 서비스(500)와 동일 시큐리티 도메인에 존재하는 인증 서비스A(400)가, 유저의 액세스를 인증한다. 이 처리 흐름에서는, 인증 서비스B(450)는 유저의 액세스를 인증하지 않는다.
단계S1701에서, 인증 서비스A(400)는, 인증 서비스 결정 서비스(300)로부터 리다이렉트된 인증 요구를 접수한다. 단계S1702에서, 서비스A 인증 모듈(401)은, 도 10a에 나타낸 바와 같은 인증 화면(700)을 클라이언트 PC(200)로 하여금 표시시킨다.
단계S1703에서, 서비스A 인증 모듈(401)은, 인증 화면(700)을 거쳐 입력된 인증 정보가 유효한지를 확인한다. 인증 정보가 유효하면(단계S1703에서 YES), 단계S1704의 처리로 진행한다. 인증 정보가 무효하면(단계S1703에서 NO), 단계S1751의 처리로 진행한다.
단계S1704에서, 서비스A 인증 모듈(401)은, 단계S1701에서 접수한 상기 리다이렉트된 요구를 인증하고, 서비스에의 액세스를 허가한다. 이 처리에서, 단계S1701에서 인증 완료후에 사용하기 위한 액세스처 정보를 수신하면, 서비스A 인증 모듈(401)은, 그 액세스처 정보에 의거해서 단계S1704에서 유저의 액세스를 리다이렉트시킨다. 예를 들면, 인증 완료후의 리다이렉트처로서 서비스 제공 서비스(500)가 지정된 경우에는, 서비스A 인증 모듈(401)은, 유저의 액세스를 서비스 제공 서비스(500)에 리다이렉트시킨다. 이 때, 유저의 액세스는 인증되어 있다. 이 때문에, 유저는, 서비스 제공 서비스(500)가 제공한 서비스를 받을 수 있다. 리다이렉트가 완료되면, 본 흐름도의 처리는 종료한다.
단계S1751에서, 서비스A 인증 모듈(401)은, 인증 화면(700)을 거쳐 입력된 무효 인증 정보로 인한 인증 실패를 유저에게 통지하기 위한 화면을 클라이언트 PC(200)로 하여금 표시시키고 나서, 본 처리를 종료한다.
도 10a 및 10b는 본 예시적 실시예에 따른 인증 정보를 입력하기 위한 화면의 예들을 나타낸다. 도 10a는 인증 서비스A(400)가 유저의 액세스를 인증하기 위한 인증 정보 입력 화면을 나타낸다. 이 화면은, 유저ID입력란 및 패스워드 입력란을 가진다. 도 10b는 인증 서비스B(450)가 유저의 액세스를 인증하기 위한 인증 정보 입력 화면을 나타낸다. 이 화면은, 유저ID입력란 및 패스워드 입력란을 가진다.
본 예시적 실시예에 의하면, 미인증된 유저의 액세스 요구를, 유저ID에 따라 적절한 IdP에 유도시킬 수 있다. 이에 따라, 유저는 인증을 수신할 수 있다. 본 예시적 실시예에서는, 또한 SSO시스템과 연계하는 IdP의 일람표시나 공통 리포지토리(repository)는 필요없다.
다음에, 본 발명의 제2 예시적 실시예에 대해서 첨부도면들을 참조하여 설명한다. 상기 제1 예시적 실시예와 유사한 점들에 관해서는 설명을 생략하고, 이하에서는 다른 점들만을 설명한다.
도 11은 제2 예시적 실시예에 따른 인증 장치를 결정하는 키 정보로서 유저의 그룹 식별자를 이용하는 경우의 인증 서비스 결정 서비스(300)의 모듈 구성도다. 본 예시적 실시예에서는, 유저의 그룹 식별자로서 기업ID를 사용한다. 그렇지만, 상기 유저의 그룹 식별자는, 기업ID에 한정되는 것은 아니다.
인증 서비스 결정 서비스(300)는, 제3 관리 모듈(321), 키 추출 모듈(302), 취득 모듈(303) 및 액세스 유도 모듈(304)을 구비한다. 기업ID는 이 시스템의 유저인 개개의 기업에 유일하게 할당된 고유 정보이며, 기업ID는 테넌트(tenant) ID(identification)라고도 칭한다. 제3 관리 모듈(321)은, 기업ID와, 그 유저가 인증을 받는 인증 장치의 정보를 연관시켜, 그 정보를 기억한다.
도 12는 제2 실시예에 따른 제3 관리 모듈(321)이 관리하는 정보를 나타낸다. 관리 정보(650)에서, 기업ID는, 그 기업ID에 관련되는 기업에 속해 있는 유저가 인증을 받는 인증 서버의 정보와 연관된다. 관리 정보(650)에서, 예를 들면, 기업ID "11111111"과 "33333333"은, 인증 서비스B(450)와 연관되고, 유저ID "22222222"는 인증 서비스A(400)와 연관된다. 인증 서비스B(450)는, 인증 서비스A(400)와 SSO를 실현하는 것을 가정하고 있다.
도 13은 제2 실시예에 따른 인증 서비스 결정 서비스(300)가 행한 처리의 흐름도다. 본 흐름도에서의 처리는, 유저가 직접 인증 서비스 결정 서비스에 액세스하거나, 유저의 액세스가 서비스 제공 서비스(500)로부터 리다이렉트되는 경우에, 시작된다. 액세스의 리다이렉트원은 서비스 제공 서비스(500)에 한정되는 것은 아니다.
단계S1211에서, 인증 서비스 결정 서비스(300)는, 미인증의 유저 액세스를 접수한다. 단계S1212에서, 키 추출 모듈(302)은 미인증의 유저 액세스의 URL파라미터로부터 기업ID를 추출한다. 기업ID는 URL파라미터이외의 정보로부터 취득해도 좋다. 이 추출한 기업ID가 키 정보다.
단계S1213에서, 취득 모듈(303)은, 단계S1212에서 취득한 기업ID를 사용하여, 제3 관리 모듈(321)로부터, 기업ID와 연관된 인증 장치의 정보를 취득한다. 예를 들면, 단계S1212에서 추출한 기업ID가 "11111111"이면, 취득될 수 있는 장치 정보는 인증 서비스B(450)의 URL "http://service_b/?sp=http%3A%2F%2Fservice_a%2F"다. 이 예의 URL은 인증 서비스B(450)와 인증 서비스A(400)가 SSO 시스템에서 작동할 때 사용된다고 가정한다.
단계S1214에서, 액세스 유도 모듈(304)은, 단계S1213에서 취득한 장치 정보에 따라 상기 미인증의 유저 액세스를 리다이렉트시킨다. 이 처리에서, 단계S1211에서 인증 완료후의 액세스처 정보를 수신하면, 단계S1214에서 상기 정보를 부가하고, 그 액세스를 리다이렉트시킨다. 리다이렉트가 완료되면, 본 흐름도의 처리가 종료한다.
제2 예시적 실시예에 의하면, 미인증의 유저 액세스를, 유저의 그룹 식별자를 사용하여 적절한 IdP에 유도시킬 수 있다. 이에 따라, 유저는 인증을 받을 수 있다. 본 예시적 실시예에서, SSO 시스템과 연계하고 있는 IdP의 일람표시나 공통 리포지토리는 필요없다.
다음에, 본 발명의 제3 예시적 실시예에 대해서 첨부도면을 참조하여 설명한다. 제2 예시적 실시예와 유사한 점들에 관해서는 설명을 생략하고, 이하에서는 다른 점만 설명한다.
도 14는 제3 예시적 실시예에 따른 인증 서비스 결정 서비스(300)의 모듈 구성도다. 본 예시적 실시예에서는, 제3 관리 모듈(321)을 사용하고, 인증 장치를 결정하는 키 정보로서 기업ID를 사용한다. 그러나, 인증 장치를 결정하는 키 정보는, 기업ID에 한정되는 것은 아니다.
인증 서비스 결정 서비스(300)는, 제3 관리 모듈(321), 키 추출 모듈(302), 취득 모듈(303) 및 액세스 유도 모듈(304)을 구비한다. 또한, 인증 서비스 결정 서비스(300)는, 판단 모듈(331), 요구 모듈(332), 제2 키 추출 모듈(333), 제2 취득 모듈(334) 및 제2 액세스 유도 모듈(335)을 구비한다.
인증 서비스 결정 서비스(300)가 미인증의 유저로부터의 액세스를 접수하면, 판단 모듈(331)은 유저 액세스의 파라미터에 기업ID가 포함된 것인가 아닌가를 판단한다. 기업ID가 상기 파라미터에 포함되지 않은 경우에, 요구 모듈(332)은 기업ID를 요구하는 화면을 클라이언트 PC(200)로 하여금 표시시킨다. 제2 키 추출 모듈(333)은 화면에서 입력된 기업ID를 추출한다.
제2 취득 모듈(334)은, 상기 추출한 기업ID를 사용하여, 제3 관리 모듈(321)로부터 인증 장치의 정보를 취득한다. 제2 액세스 유도 모듈(335)은, 상기 추출한 인증 장치의 정보에 따라, 인증 서비스 결정 서비스(300)에 대한 유저의 액세스를 적절한 인증 서비스에 유도한다.
도 15는 제3 예시적 실시예에 따른 인증 서비스 결정 서비스(300)가 행한 처리의 흐름도다. 도 13과 같은 흐름도에서의 단계들에는 동일한 참조번호를 부여하고, 차이점만을 설명하겠다. 본 흐름도에서의 처리는, 유저가 직접 인증 서비스 결정 서비스에 액세스하거나, 유저의 액세스가 서비스 제공 서비스(500)로부터 리다이렉트되는 경우에, 시작된다. 이 액세스의 리다이렉트원은, 서비스 제공 서비스(500)에 한정되는 것은 아니다.
단계S1301에서, 인증 서비스 결정 서비스(300)는, 미인증의 유저 액세스를 접수한다. 단계S1302에서, 판단 모듈(331)은, 미인증의 유저 액세스의 URL파라미터에 기업ID가 포함되는지를 판단한다. 판단 모듈(331)은 기업ID가 포함되어 있다고 판단된 경우에는(단계S1302에서 YES), 단계S1212의 처리로 진행한다. 판단 모듈(331)은 기업ID가 포함되어 있지 않다고 판단된 경우에는(단계S1302에서 NO), 단계S1303의 처리로 진행한다. 기업ID는, URL파라미터이외의 정보로부터 취득해도 좋다.
단계S1303에서, 요구 모듈(332)은, 도 16에 나타나 있는 바와 같은 기업ID 입력 화면(800)을 클라이언트 PC(200)로 하여금 표시시킨다.
단계S1304에서, 제2 추출 모듈(333)은, 기업ID 입력 화면(800)에 입력된 기업ID를 추출한다.
단계S1305에서, 제2 취득 모듈(334)은, 단계S1304에서 취득한 기업ID를 사용하여, 제3 관리 모듈(321)로부터, 상기 기업ID와 연관된 인증 장치의 정보를 취득한다. 예를 들면, 단계S1304에서 추출한 기업ID가 "11111111"이면, 취득할 수 있는 장치 정보는 인증 서비스B(450)의 URL "http://service_b/?sp=http%3A%2F%2Fservice_a%2F"다. 이 예의 URL은 인증 서비스B(450)와 인증 서비스A(400)가 SSO 시스템에서 작동할 때 사용되는 것을 가정한다.
단계S1306에서, 제2 액세스 유도 모듈(335)은, 단계S1305에서 취득한 장치 정보를 사용하여 상기 미인증의 유저 액세스를 리다이렉트시킨다. 이러한 처리에서, 단계S1301에서 인증 완료후에 사용하기 위한 액세스처 정보를 수신하면, 단계S1306에서 상기 정보를 부가하고, 그 액세스를 리다이렉트시킨다. 리다이렉트가 완료되면, 본 흐름도에서의 처리가 종료한다.
도 16은 제3 예시적 실시예에 따른 기업ID를 입력하기 위한 화면의 예를 나타낸다. 유저는, 본 화면에서, 자신이 소속하는 기업의 기업ID를 입력할 수 있다.
본 제3 예시적 실시예에 의하면, 미인증의 유저 액세스에 인증 장치를 결정하는 키 정보가 포함되지 않은 경우에도, 인증 장치를 결정하는 키 정보의 입력을 유저에게 재촉하는 것이 가능하다. 따라서, 미인증의 유저 액세스를 적절한 IdP에 유도시켜, 유저가 인증을 받을 수 있다.
다음에, 본 발명의 제4 예시적 실시예에 대해서 첨부도면을 참조하여 설명한다. 상기 제3 예시적 실시예와 유사한 점들에 관해서는 설명을 생략하고, 이하에서는 다른 점만 설명한다.
도 17은 본 제4 예시적 실시예에 따른 인증 서비스 결정 서비스(300)의 모듈 구성도다. 본 예시적 실시예에서는, 제3 관리 모듈(321)을 사용하고, 인증 장치를 결정하는 키 정보로서 기업ID를 사용한다. 그러나, 인증 장치를 결정하는 키 정보는, 기업ID에 한정되는 것은 아니다.
인증 서비스 결정 서비스(300)는, 제3 관리 모듈(321), 키 추출 모듈(302), 취득 모듈(303) 및 액세스 유도 모듈(304)을 구비한다. 또한, 인증 서비스 결정 서비스(300)는, 판단 모듈(331), 요구 모듈(332), 제2 키 추출 모듈(333), 제2 취득 모듈(334) 및 제2 액세스 유도 모듈(335)을 구비한다. 또한, 인증 서비스 결정 서비스(300)는, 지시 접수 모듈(341)과 제3 액세스 유도 모듈(342)을 구비한다.
인증 서비스 결정 서비스(300)가 미인증의 유저로부터의 액세스를 접수하면, 지시 접수 모듈(341)은 유저 액세스의 파라미터에 인증 서비스의 지정을 유효하게 하고 있는 것인가 아닌가를 확인한다. 상기 확인의 결과, 상기 지정을 유효하게 하고 있는 경우에는, 제3 액세스 유도 모듈(342)은 유저의 액세스를 상기 지정된 서비스에 유도한다.
도 18은 제4 예시적 실시예에 따른 인증 서비스 결정 서비스(300)가 행한 처리의 흐름도다. 도 15와 같은 흐름도에서는, 동일한 참조번호를 부여하고, 다른 점만을 설명한다.
본 흐름도에서의 처리는, 유저가 직접 인증 서비스 결정 서비스에 액세스하거나, 유저의 액세스가 서비스 제공 서비스(500)로부터 리다이렉트되는 경우, 시작된다. 상기 액세스의 리다이렉트원은, 서비스 제공 서비스(500)에 한정되는 것은 아니다.
본 흐름도에서의 처리는, 특히, 다음의 케이스에 행해진다고 가정한다. 그 유저가 소속하는 기업에서는, 인증 서비스B(450)가 상기 액세스를 인증한다고 하고, 인증 서비스A(400)가 상기 SSO에서 상기 액세스를 인증한다고 한다. 그러나, 임의의 이유로, 유저는, 인증 서비스B(450)에 대해 어카운트를 갖지 않고, 따라서 인증 서비스A(400)에서 상기 SSO에 의해 인증될 수 없다. 이러한 경우에, 유저는, 인증 서비스A에서 직접 인증을 받을 필요가 있다. 예를 들면, 상기 케이스는 기업내에 관리자를 포함한다. 그 관리자는, 인증 서비스B(450)의 서비스를 수신할 필요가 없다. 이 때문에, 관리자는, 인증 서비스B(450)에 인증 정보를 등록해두지 않아도 된다.
단계S1401에서, 인증 서비스 결정 서비스(300)는, 미인증의 유저 액세스를 접수한다. 단계S1402에서, 지시 접수 모듈(341)은, 미인증의 유저 액세스의 URL파라미터에 인증 서비스의 지정이 포함되는 것인가 아닌가를 판단한다. 지시 접수 모듈(341)이 상기 지정이 포함되어 있지 않다고 판단한 경우에는(단계S1402에서 NO), 단계S1403의 처리로 진행한다. 상기 지시 접수 모듈(341)이 상기 지정이 포함되어 있다고 판단한 경우에는(단계S1402에서 YES), 단계S1411의 처리로 진행한다.
단계S1403에서, 판단 모듈(331)은, 미인증의 유저 액세스의 URL파라미터에 키 정보가 되는 기업ID가 포함되어 있는 것인가 아닌가를 판단한다. 판단 모듈(331)은 기업ID가 포함되어 있다고 판단된 경우에는(단계S1403에서 YES), 단계S1212의 처리로 진행한다. 판단 모듈(331)은 기업ID가 포함되어 있지 않다고 판단된 경우에는(단계S1403에서 NO), 단계S1404의 처리로 진행한다. 기업ID는, URL파라미터이외의 정보로부터 취득해도 좋다.
단계S1404에서, 요구 모듈(332)은, 도 19에 나타나 있는 바와 같은 기업ID입력 화면(850)을 클라이언트 PC(200)로 하여금 표시시킨다.
단계S1405에서, 지시 접수 모듈(341)은, 기업ID입력 화면(850)에 특정한 인증 서비스가 지정되어 있는지를 판단한다. 예를 들면, 지시 접수 모듈(341)은, "인증 서비스A에서 인증을 받는다"의 체크 박스가 체크되어 있는지 판단한다. 지시 접수 모듈(341)은 상기 특정한 인증 서비스가 지정되지 않고 있다고 판단된 경우에는(단계S1405에서 NO), 단계S1304의 처리로 진행한다. 지시 접수 모듈(341)은 상기 특정한 인증 서비스가 지정되어 있다고 판단한 경우에는(단계S1405에서 YES), 단계S1411의 처리로 진행한다.
단계S1411에서, 제3 액세스 유도 모듈(342)은, 단계S1402 또는 단계S1404의 지정에 따라, 미인증의 유저 액세스를 리다이렉트시킨다. 이 처리에서, 단계S1401에서 인증 완료후 사용하기 위한 액세스처 정보를 수신하면, 단계S1411에서도 상기 정보를 부가해서, 그 액세스를 리다이렉트시킨다. 리다이렉트가 완료되면, 본 흐름도에서의 처리가 종료한다.
도 19는 제4 예시적 실시예에 따른 기업ID의 입력 화면의 예를 나타낸다. 유저는, 본 화면에서, 자신이 소속하는 기업의 기업ID를 입력할 수 있다. 어떠한 사정에 의해 인증 서비스A(400)에서 인증을 받기 원하는 유저는, "인증 서비스A에서 인증을 받는다"의 체크 박스를 체크할 수 있다. 그리고, 입력된 기업ID와 연관된 인증 서비스의 설정에 상관없이, 유저는, 인증 서비스A에서 인증을 받을 수 있게 된다.
본 제4 예시적 실시예에 의하면, 유저가 특정한 인증 서비스에서 인증을 받기를 원할 때, 인증 장치를 결정하는 키 정보에 상관없이, 유저의 액세스를 지정된 IdP에 유도시켜, 유저가 인증을 받을 수 있게 된다.
또한, 본 발명의 국면들은, 메모리 디바이스에 기록된 프로그램을 판독 및 실행하여 상기 실시예(들)의 기능들을 수행하는 시스템 또는 장치(또는 CPU 또는 MPU 등의 디바이스들)의 컴퓨터에 의해서, 또한, 시스템 또는 장치의 컴퓨터에 의해 수행된 단계들, 예를 들면, 메모리 디바이스에 기록된 프로그램을 판독 및 실행하여 상기 실시예(들)의 기능들을 수행하는 방법에 의해, 실현될 수도 있다. 이를 위해, 상기 프로그램은, 예를 들면, 네트워크를 통해 또는, 여러 가지 형태의 메모리 디바이스의 기록매체(예를 들면, 컴퓨터 판독 가능한 매체)로부터, 상기 컴퓨터에 제공된다.
본 발명을 예시적 실시예들을 참조하여 기재하였지만, 본 발명은 상기 개시된 예시적 실시예들에 한정되지 않는다는 것을 알 것이다. 상기 설명에 개시된 각 특징과, (도움이 된다고 판단하는 경우에는) 청구항들과 도면들을, 독립적으로 또는 임의의 적절한 조합으로 구성하여도 된다.

Claims (8)

  1. 클라이언트, 및 인증 정보의 입력을 요구해 인증 처리를 행하는 인증 처리 서비스를 제공하는 적어도 1개의 인증 장치와 통신가능한, 웹(Web)서비스를 제공하는 정보처리시스템으로서,
    정보처리장치에서 인증 처리에 필요한 인증 정보의 입력을 요구하지 않고서 상기 인증 처리 서비스에 의해 행해진 상기 인증 처리의 성공을 신뢰하여서 상기 웹서비스를 제공하는 제공부;
    어느 하나의 인증 서비스를 수신할 때에 필요한 인증 장치를 결정하기 위한 키 정보와, 상기 인증 장치의 어드레스 정보를 연관시켜서, 보존하는 보존부; 및
    상기 클라이언트로부터의 액세스가 상기 인증 처리 서비스를 받지 않고 있는 미인증의 액세스인 경우에는, 상기 액세스의 결과로서 취득된 키 정보와 일치하는 상기 보존부에 의해 보존된 상기 키 정보를 특정하고, 이 특정된 상기 키 정보와 관련지어서 보존된 상기 인증 장치의 어드레스 정보를 상기 클라이언트에 송신함과 아울러, 상기 클라이언트가 상기 인증 처리 서비스를 수신하기 위해서 상기 인증 장치에 액세스하도록 리다이렉트(redirect)의 지시를 내리는 지시부를 구비한, 정보처리시스템.
  2. 제 1 항에 있어서,
    상기 키 정보의 입력을 요구하는 화면을 상기 클라이언트에 송신하는 송신부; 및
    상기 클라이언트가 상기 정보처리시스템에 액세스할 때에 사용한 유니폼 리소스 로케이터(URL)에 상기 키 정보가 포함되어 있는 것인가 아닌가를 판단하는 판단부를 더 구비하고,
    상기 지시부는, 상기 판단부에 의해 상기 키 정보가 상기 URL에 포함되어 있다고 판단된 경우에는, 상기 URL로부터 상기 취득한 키 정보로서 취득된 상기 키 정보를 이용하고,
    상기 지시부는, 상기 판단부에 의해 상기 키 정보가 상기 URL에 포함되어 있지 않다고 판단된 경우에는, 상기 송신부에 의해 송신된 화면을 거쳐서 입력된 상기 키 정보를 상기 취득한 키 정보로서 이용하는, 정보처리시스템.
  3. 제 2 항에 있어서,
    상기 URL로부터 상기 키 정보를 추출하는 추출부를 더 구비하고,
    상기 판단부는, 상기 추출부에 의해 상기 키 정보가 추출된 경우에, 상기 URL에 상기 키 정보가 포함되어 있다고 판단하는, 정보처리시스템.
  4. 제 3 항에 있어서,
    상기 지시부는, 상기 키 정보와는 다른 정보이며, 지정된 인증 장치에서 인증을 받기 위한 정보가, 상기 클라이언트가 상기 정보처리장치에 액세스할 때에 사용한 URL에 포함되어 있는 경우, 또는 상기 송신부에 의해 송신된 화면에 포함되는 항목이며, 지정된 인증 장치에서 인증을 받기 위한 항목이 상기 클라이언트에 있어서 유효라고 판단된 경우에, 상기 클라이언트가 상기 취득한 키 정보에 상관없이 상기 지정된 인증 장치에 액세스하도록 리다이렉트의 지시를 내리는, 정보처리시스템.
  5. 제 4 항에 있어서,
    상기 웹 서비스를 제공하는 제2 제공부를 더 구비하고,
    상기 제2 제공부는, 상기 지시부에서 내린 상기 지시에 따라 상기 인증 장치에 액세스해 어서션(assertion)을 취득한 상기 클라이언트로부터 상기 어서션을 취득하고, 상기 어서션을 검증하고, 상기 어서션이 유효한 경우에는 상기 웹 서비스를 상기 클라이언트에 제공하는, 정보처리시스템.
  6. 제 1 항에 있어서,
    상기 키 정보는 테넌트(tenant) 식별번호(ID)인, 정보처리시스템.
  7. 클라이언트, 및 인증 서비스를 제공하는 적어도 1개의 인증 장치와 통신가능한, 정보처리시스템의 제어 방법으로서,
    제공부가, 상기 인증 장치와 싱글 사인 온(single sign-on) 연계를 행해 상기 인증 장치에 있어서의 인증 결과를 취득한 것에 따라 웹 서비스를 제공하게 하고,
    보존부가, 상기 인증 장치를 결정하기 위한 키 정보와, 상기 인증 장치의 어드레스 정보를 연관시켜서 보존하게 하고,
    지시부가, 상기 클라이언트로부터의 액세스가 상기 인증 장치에 있어서 인증이 행해지지 않고 있는 미인증의 액세스인 경우에는, 상기 액세스의 결과로서 취득한 상기 키 정보와, 상기 보존부에 의해 보존된 키 정보가 일치한 것에 따라, 상기 키 정보와 관련지어서 보존된 상기 인증 장치의 어드레스 정보를 상기 클라이언트에 송신함으로써 상기 인증 장치에 액세스하도록 리다이렉트의 지시를 내리게 하는, 정보처리시스템의 제어 방법.
  8. 청구항 7에 따른 방법을 컴퓨터에게 실행시키기 위한 프로그램을 기억한 기억매체.
KR1020120010205A 2011-02-15 2012-02-01 정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체 KR101449523B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JPJP-P-2011-029995 2011-02-15
JP2011029995A JP5289480B2 (ja) 2011-02-15 2011-02-15 情報処理システム、情報処理装置の制御方法、およびそのプログラム。

Publications (2)

Publication Number Publication Date
KR20120093767A true KR20120093767A (ko) 2012-08-23
KR101449523B1 KR101449523B1 (ko) 2014-10-13

Family

ID=45655788

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120010205A KR101449523B1 (ko) 2011-02-15 2012-02-01 정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체

Country Status (5)

Country Link
US (1) US8938789B2 (ko)
EP (1) EP2490396B1 (ko)
JP (1) JP5289480B2 (ko)
KR (1) KR101449523B1 (ko)
CN (1) CN102647407B (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9369456B2 (en) 2012-09-21 2016-06-14 Intuit Inc. Single sign-on in multi-tenant environments
JP6025480B2 (ja) * 2012-09-27 2016-11-16 キヤノン株式会社 認可サーバーシステム、権限移譲システム、その制御方法、およびプログラム
US8925050B2 (en) * 2012-10-29 2014-12-30 Oracle International Corporation Communication between authentication plug-ins of a single-point authentication manager and client systems
JP6021651B2 (ja) 2013-01-16 2016-11-09 キヤノン株式会社 管理システム、管理方法およびコンピュータプログラム
CN104104649B (zh) * 2013-04-02 2017-09-19 阿里巴巴集团控股有限公司 页面登录的方法、装置及系统
JP5793593B2 (ja) * 2014-03-13 2015-10-14 キーパスコ アーベーKeypasco AB ユーザ識別情報を安全に検証するためのネットワーク認証方法
JP6193802B2 (ja) * 2014-05-14 2017-09-06 日本電信電話株式会社 認証システム及び認証方法
JP6335657B2 (ja) * 2014-05-30 2018-05-30 キヤノン株式会社 権限委譲システム、方法、認証サーバーシステム、およびプログラム
JP6157411B2 (ja) * 2014-05-30 2017-07-05 キヤノン株式会社 権限移譲システム、方法、認証サーバーシステム、およびそのプログラム
JP6319006B2 (ja) * 2014-09-18 2018-05-09 富士通株式会社 認証サービス方法、認証サービスサーバ、及び認証サービスシステム
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US20160261576A1 (en) * 2015-03-05 2016-09-08 M-Files Oy Method, an apparatus, a computer program product and a server for secure access to an information management system
US10243946B2 (en) 2016-11-04 2019-03-26 Netskope, Inc. Non-intrusive security enforcement for federated single sign-on (SSO)
JP6859195B2 (ja) * 2017-05-17 2021-04-14 キヤノン株式会社 情報処理システム、制御方法及びそのプログラム

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7761910B2 (en) * 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
JPH11282804A (ja) * 1998-03-31 1999-10-15 Secom Joho System Kk ユーザ認証機能付き通信システム及びユーザ認証方法
US6081900A (en) * 1999-03-16 2000-06-27 Novell, Inc. Secure intranet access
EP1104133A1 (en) 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Network access arrangement
JP2001222508A (ja) * 2000-02-14 2001-08-17 Matsushita Electric Ind Co Ltd 携帯電話端末からのイントラネットアクセス方式
US7185197B2 (en) * 2000-12-08 2007-02-27 Itt Manufacturing Enterprises, Inc. Method and apparatus to facilitate secure network communications with a voice responsive network interface device
US7610390B2 (en) 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US20040002878A1 (en) 2002-06-28 2004-01-01 International Business Machines Corporation Method and system for user-determined authentication in a federated environment
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
KR100390172B1 (en) * 2003-03-22 2003-07-04 Knowledge Info Net Service Inc Method and system for controlling internet contents providing service using redirection method
US7698398B1 (en) * 2003-08-18 2010-04-13 Sun Microsystems, Inc. System and method for generating Web Service architectures using a Web Services structured methodology
US8806187B1 (en) * 2009-12-03 2014-08-12 Google Inc. Protecting browser-viewed content from piracy
US7596622B2 (en) * 2004-02-26 2009-09-29 Research In Motion Limited Apparatus and method for processing web service descriptions
US8527752B2 (en) * 2004-06-16 2013-09-03 Dormarke Assets Limited Liability Graduated authentication in an identity management system
US20060218630A1 (en) * 2005-03-23 2006-09-28 Sbc Knowledge Ventures L.P. Opt-in linking to a single sign-on account
US8418234B2 (en) * 2005-12-15 2013-04-09 International Business Machines Corporation Authentication of a principal in a federation
JP4742903B2 (ja) * 2006-02-17 2011-08-10 日本電気株式会社 分散認証システム及び分散認証方法
JP2007293760A (ja) * 2006-04-27 2007-11-08 Hitachi Ltd 個別認証を用いたシングルサインオン連携方法およびシステム
JP2007310512A (ja) * 2006-05-16 2007-11-29 Mitsubishi Electric Corp 通信システム、サービス提供サーバおよびユーザ認証サーバ
US8484283B2 (en) * 2006-08-18 2013-07-09 Akamai Technologies, Inc. Method and system for mitigating automated agents operating across a distributed network
US8707409B2 (en) * 2006-08-22 2014-04-22 Interdigital Technology Corporation Method and apparatus for providing trusted single sign-on access to applications and internet-based services
WO2008082441A1 (en) * 2006-12-29 2008-07-10 Prodea Systems, Inc. Display inserts, overlays, and graphical user interfaces for multimedia systems
BRPI0815605B1 (pt) * 2007-08-06 2020-09-15 Bernard De Monseignat Método para a comunicação de dados usando um dispositivo de computação; método para gerar uma segunda versão de um componente de comunicação de dados usando um dispositivo de computação; método para comunicação de dados usando um dispositivo de computação; método para a criação de um certificado usando um dispositivo de computação; e método para usar um certificado utilizando um dispositivo de computação
US10594695B2 (en) * 2007-12-10 2020-03-17 Nokia Technologies Oy Authentication arrangement
JP5153591B2 (ja) * 2008-11-26 2013-02-27 株式会社日立製作所 認証仲介サーバ、プログラム、認証システム及び選択方法
CA2665832C (en) * 2009-05-11 2015-12-29 Diversinet Corp. Method and system for authenticating a user of a mobile device
US8943321B2 (en) * 2009-10-19 2015-01-27 Nokia Corporation User identity management for permitting interworking of a bootstrapping architecture and a shared identity service
US8341710B2 (en) * 2009-12-14 2012-12-25 Verizon Patent And Licensing, Inc. Ubiquitous webtoken
US20110314532A1 (en) * 2010-06-17 2011-12-22 Kyle Dean Austin Identity provider server configured to validate authentication requests from identity broker
US9699168B2 (en) * 2010-12-13 2017-07-04 International Business Machines Corporation Method and system for authenticating a rich client to a web or cloud application

Also Published As

Publication number Publication date
CN102647407B (zh) 2015-05-20
US8938789B2 (en) 2015-01-20
US20120210414A1 (en) 2012-08-16
CN102647407A (zh) 2012-08-22
KR101449523B1 (ko) 2014-10-13
JP5289480B2 (ja) 2013-09-11
JP2012168795A (ja) 2012-09-06
EP2490396A1 (en) 2012-08-22
EP2490396B1 (en) 2018-05-30

Similar Documents

Publication Publication Date Title
KR101449523B1 (ko) 정보처리시스템, 정보처리시스템의 제어 방법, 및 기억매체
JP5744656B2 (ja) シングルサインオンを提供するシステムおよびその制御方法、サービス提供装置、中継装置、並びにプログラム
JP4551369B2 (ja) サービスシステムおよびサービスシステム制御方法
EP3525415B1 (en) Information processing system and control method therefor
JP5458888B2 (ja) 証明書生成配布システム、証明書生成配布方法およびプログラム
CN102638454B (zh) 一种面向http身份鉴别协议的插件式单点登录集成方法
JP5614340B2 (ja) システム、認証情報管理方法、およびプログラム
US8627410B2 (en) Dynamic radius
JP6141041B2 (ja) 情報処理装置及びプログラム、制御方法
JP2014203267A (ja) システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム
US9077708B2 (en) Information processing system, control method for controlling the information processing system, and storage medium
US20180183782A1 (en) Single Sign-On for Interconnected Computer Systems
KR101627896B1 (ko) 인증 어플리케이션을 이용한 인증 방법 및 장치
US10735399B2 (en) System, service providing apparatus, control method for system, and storage medium
JP5955106B2 (ja) マッピングサーバーとシングルサインオンシステム、マッピング機能提供方法
WO2011032427A1 (zh) 互联网协议电视iptv用户登录方法及系统和iptv能力平台
US20170214685A1 (en) System and method for controlling system
KR102657533B1 (ko) Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법
JP6053205B2 (ja) 情報流通システム、方法および処理プログラム
JP5722271B2 (ja) 属性情報取得方法と、その方法を用いた属性情報取得システムと、各装置とプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170925

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180928

Year of fee payment: 5