JP2005227891A - Device, method and program for providing authentication service, and recording medium - Google Patents
Device, method and program for providing authentication service, and recording medium Download PDFInfo
- Publication number
- JP2005227891A JP2005227891A JP2004033951A JP2004033951A JP2005227891A JP 2005227891 A JP2005227891 A JP 2005227891A JP 2004033951 A JP2004033951 A JP 2004033951A JP 2004033951 A JP2004033951 A JP 2004033951A JP 2005227891 A JP2005227891 A JP 2005227891A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- service
- service providing
- request
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 description 183
- 238000012790 confirmation Methods 0.000 description 79
- 238000000034 method Methods 0.000 description 69
- 230000008569 process Effects 0.000 description 65
- 238000010586 diagram Methods 0.000 description 36
- 238000012545 processing Methods 0.000 description 31
- 230000002250 progressing effect Effects 0.000 description 28
- 230000005540 biological transmission Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Abstract
Description
本発明は、認証サービス提供装置、認証サービス提供方法、認証サービス提供プログラム及び記録媒体に関する。 The present invention relates to an authentication service providing apparatus, an authentication service providing method, an authentication service providing program, and a recording medium.
クライアントにサービスを提供するサービス提供サービスと、認証に係るサービスを提供する認証サービス提供サービス(以下、単に認証サービスという)と、の関係の一例を、図1を用いて説明する。図1は、クライアントにサービスを提供するサービス提供サービスと、認証サービスと、の関係の一例を説明するためのシーケンス図である。 An example of the relationship between a service providing service that provides a service to a client and an authentication service providing service that provides a service related to authentication (hereinafter simply referred to as an authentication service) will be described with reference to FIG. FIG. 1 is a sequence diagram for explaining an example of a relationship between a service providing service that provides a service to a client and an authentication service.
初めにクライアントサービスは、ユーザが利用したいと思うサービスを提供しているサービス提供サービスAに対して、該サービス提供サービスAが提供するサービスを利用するためには、どの認証サービスにおいて認証を行えばよいかを問い合わせる、サービス利用問い合わせを送信する(シーケンスSQ1。)。 First, in order to use the service provided by the service providing service A for the service providing service A that provides the service that the user wants to use, the client service authenticates in which authentication service. A service use inquiry for inquiring whether it is acceptable is transmitted (sequence SQ1).
サービス提供サービスAは、サービス利用問い合わせを受信すると、当該サービス提供サービスAが提供するサービスを利用するのに必要な認証に係るサービスを提供する認証サービス(図1の例においては認証サービスB)の識別子等を含むサービス利用問い合わせ応答を作成し、要求元のクライアントサービスに送信する(シーケンスSQ2。)。 When the service providing service A receives the service use inquiry, the service providing service A provides an authentication service (authentication service B in the example of FIG. 1) that provides a service related to authentication necessary for using the service provided by the service providing service A. A service use inquiry response including an identifier or the like is created and transmitted to the requesting client service (sequence SQ2).
クライアントサービスは、サービス提供サービスAよりサービス利用問い合わせ応答を受信すると、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを含む認証リクエストを、前記サービス利用問い合わせ応答に含まれる認証サービスの識別子に対して送信する(シーケンスSQ3。)。 When the client service receives a service use inquiry response from the service providing service A, the client service requests the user to input authentication data such as a user ID and a password, and sends an authentication request including the input user ID and password to the user. It transmits to the identifier of the authentication service included in the service use inquiry response (sequence SQ3).
認証サービスBは、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する認証チケットを作成する。 When the authentication service B receives the authentication request, the authentication service B performs authentication based on, for example, the user ID and password included in the authentication request, and if it is determined that the combination is a valid user ID and password, the authentication is verified. Create an authentication ticket to be used.
認証サービスBは、認証チケットを識別する認証チケットIDを含む認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ4。)。 The authentication service B creates an authentication response including an authentication ticket ID for identifying the authentication ticket, and transmits it to the requesting client service (sequence SQ4).
クライアントサービスは、認証レスポンスを受信すると、該認証レスポンスに含まれる認証チケットIDを含むサービス利用リクエストを作成し、サービス提供サービスAに送信する(シーケンスSQ5。)。 When receiving the authentication response, the client service creates a service use request including the authentication ticket ID included in the authentication response and transmits it to the service providing service A (sequence SQ5).
サービス提供サービスAは、クライアントサービスよりサービス利用リクエストを受信すると、該サービス利用リクエストに含まれる認証チケットIDを用いて、該認証チケットIDが有効な認証チケットIDかどうかを確認する確認リクエストを作成する。 When the service providing service A receives the service use request from the client service, the service providing service A uses the authentication ticket ID included in the service use request to create a confirmation request for confirming whether the authentication ticket ID is a valid authentication ticket ID. .
サービス提供サービスAは、確認リクエストを、対応する認証サービスBに送信する(シーケンスSQ6。)。 Service providing service A transmits a confirmation request to corresponding authentication service B (sequence SQ6).
認証サービスBは、確認リクエストを受信すると、該確認リクエストに含まれる認証チケットIDに基づいて、当該認証サービスB内において管理している認証チケットの中から対応する認証チケットが存在するかどうか等を確認し、確認結果を含む確認レスポンスを作成して、要求元のサービス提供サービスAに送信する(シーケンスSQ7。)。 Upon receiving the confirmation request, the authentication service B determines whether there is a corresponding authentication ticket from among the authentication tickets managed in the authentication service B based on the authentication ticket ID included in the confirmation request. Confirmation is performed, and a confirmation response including the confirmation result is generated and transmitted to the service providing service A that is the request source (sequence SQ7).
サービス提供サービスAは、認証サービスBより、確認レスポンスを受信すると、該確認レスポンスに含まれる確認結果を参照し、有効な認証チケットIDであった旨の確認結果であると判定すると、サービス利用リクエストに対応するサービスを提供する。 When the service providing service A receives the confirmation response from the authentication service B, the service providing service A refers to the confirmation result included in the confirmation response and determines that the confirmation result indicates that the authentication ticket ID is valid. Provide services corresponding to.
サービス提供サービスAは、提供したサービスの結果等を表すサービス結果を含むサービス利用レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ8。)。 The service providing service A creates a service use response including a service result indicating the result of the provided service, and transmits it to the requesting client service (sequence SQ8).
図1において説明したように、クライアントサービスは、あるサービスを利用したい場合、該サービスを提供するサービス提供サービスと対応付けられた認証サービスにおいて認証を行う必要がある。したがって、クライアントサービスが、異なるサービスを利用しようとする場合は、異なる認証サービスにおいて再び認証を行う必要がある。 As described with reference to FIG. 1, when a client service wants to use a certain service, it is necessary to perform authentication in an authentication service associated with the service providing service that provides the service. Therefore, when the client service intends to use a different service, it is necessary to perform authentication again in a different authentication service.
以下、異なる認証サービスにおいてそれぞれ認証を行う場合の、通常のサインオンの一例を、図2を用いて説明する。図2は、通常のサインオンの一例を説明するためのシーケンス図である。 Hereinafter, an example of normal sign-on when authentication is performed in different authentication services will be described with reference to FIG. FIG. 2 is a sequence diagram for explaining an example of normal sign-on.
なお、以下では説明の簡略化のため、図1において説明したようなサービス提供サービスを省略して、クライアントサービスと、認証サービスと、を用いて説明を行う。 In the following, for simplification of description, the service providing service as described with reference to FIG. 1 is omitted, and description will be made using a client service and an authentication service.
初めにクライアントサービスは、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを含む認証リクエストを作成し、該認証リクエストを認証サービスAに送信する(シーケンスSQ10。)。 First, the client service requests the user to input authentication data such as a user ID and a password, creates an authentication request including the input user ID and password, and transmits the authentication request to the authentication service A. (Sequence SQ10).
認証サービスAは、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する認証チケットを作成する。 When the authentication service A receives the authentication request, the authentication service A performs authentication based on, for example, the user ID and password included in the authentication request, and if it is determined that the combination is a valid user ID and password, the authentication is proved. Create an authentication ticket to be used.
認証サービスAは、認証チケットを識別する認証チケットIDを含む認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ11。)。 The authentication service A creates an authentication response including an authentication ticket ID for identifying the authentication ticket, and transmits it to the requesting client service (sequence SQ11).
また、クライアントサービスは、ユーザより、他のサービスを利用する旨の通知を受けると、該サービスを利用するために再び、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを含む認証リクエストを作成し、該認証リクエストを前記サービスに対応する認証サービス(図2の例においては認証サービスB)に送信する(シーケンスSQ12。)。 When the client service receives a notification from the user that another service is to be used, the client service again requests the user to input authentication data such as a user ID and password in order to use the service. An authentication request including the received user ID and password is created, and the authentication request is transmitted to the authentication service (authentication service B in the example of FIG. 2) corresponding to the service (sequence SQ12).
認証サービスBは、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する認証チケットを作成する。 When the authentication service B receives the authentication request, the authentication service B performs authentication based on, for example, the user ID and password included in the authentication request, and if it is determined that the combination is a valid user ID and password, the authentication is verified. Create an authentication ticket to be used.
認証サービスBは、認証チケットを識別する認証チケットIDを含む認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ13。)。 The authentication service B creates an authentication response including an authentication ticket ID for identifying the authentication ticket, and transmits it to the requesting client service (sequence SQ13).
図2に示したように、クライアントサービスが、異なるサービスを利用しようとする場合は、その都度、ユーザに、例えばユーザIDとパスワード等の認証データを入力してもらい、異なる認証サービスにおいてそれぞれ認証を行う必要がある問題があった。 As shown in FIG. 2, each time the client service intends to use a different service, the user is asked to input authentication data such as a user ID and a password, and authentication is performed using a different authentication service. There was a problem that needs to be done.
このような問題を解決するため、ユーザが一度認証を受けるだけで、許可されている全てのサービスを利用することができるようになるシステムとして、近年シングルサインオンが注目されている。 In order to solve such a problem, single sign-on has attracted attention in recent years as a system that enables a user to use all permitted services only by receiving authentication once.
以下、従来技術におけるシングルサインオンの一例を、図3を用いて説明する。図3は、従来技術におけるシングルサインオンの一例を説明するためのシーケンス図である。 Hereinafter, an example of single sign-on in the prior art will be described with reference to FIG. FIG. 3 is a sequence diagram for explaining an example of single sign-on in the prior art.
初めにクライアントサービスは、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを記憶する。 First, the client service requests the user to input authentication data such as a user ID and a password, and stores the input user ID and password.
クライアントサービスは、記憶したユーザIDとパスワードとを含む認証リクエストを作成し、該認証リクエストを認証サービスAに送信する(シーケンスSQ20。)。 The client service creates an authentication request including the stored user ID and password, and transmits the authentication request to authentication service A (sequence SQ20).
認証サービスAは、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する認証チケットを作成する。 When the authentication service A receives the authentication request, the authentication service A performs authentication based on, for example, the user ID and password included in the authentication request, and if it is determined that the combination is a valid user ID and password, the authentication is proved. Create an authentication ticket to be used.
認証サービスAは、認証チケットを識別する認証チケットIDを含む認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ21。)。 The authentication service A creates an authentication response including an authentication ticket ID for identifying the authentication ticket, and transmits it to the requesting client service (sequence SQ21).
また、クライアントサービスは、ユーザより、他のサービスを利用する旨の通知を受けると、該サービスを利用するために前記記憶したユーザIDとパスワードとを含む認証リクエストを作成し、該認証リクエストを前記サービスに対応する認証サービス(図3の例においては認証サービスB)に送信する(シーケンスSQ22。)。 In addition, when the client service receives a notification from the user that another service is to be used, the client service creates an authentication request including the stored user ID and password in order to use the service, It transmits to the authentication service (authentication service B in the example of FIG. 3) corresponding to the service (sequence SQ22).
認証サービスBは、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する認証チケットを作成する。 When the authentication service B receives the authentication request, the authentication service B performs authentication based on, for example, the user ID and password included in the authentication request, and if it is determined that the combination is a valid user ID and password, the authentication is verified. Create an authentication ticket to be used.
認証サービスBは、認証チケットを識別する認証チケットIDを含む認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ23。)。 The authentication service B creates an authentication response including an authentication ticket ID for identifying the authentication ticket and transmits it to the requesting client service (sequence SQ23).
図3において説明したように、クライアントサービスにおいてユーザに入力されたユーザIDやパスワード等を記憶しておくことによって、ユーザは例えばユーザIDとパスワードとを一度入力するだけで、許可されている全てのサービスを利用することができる。 As described in FIG. 3, by storing the user ID and password input by the user in the client service, the user can input all the permitted user IDs and passwords only once, for example. You can use the service.
なお、図3の例においては、説明の簡略化のため、同一ユーザであれば、認証サービスAであっても、また認証サービスBであっても、同じユーザIDとパスワードとで認証されるものとして説明を行っている。 In the example of FIG. 3, for the sake of simplification of description, the same user ID and password are used for authentication service A and authentication service B for the same user. As an explanation.
以下、従来技術におけるシングルサインオンの他の例を、図4を用いて説明する。図4は、従来技術におけるシングルサインオンの他の例を説明するためのシーケンス図である。 Hereinafter, another example of single sign-on in the prior art will be described with reference to FIG. FIG. 4 is a sequence diagram for explaining another example of single sign-on in the prior art.
初めにクライアントサービスは、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを記憶する。 First, the client service requests the user to input authentication data such as a user ID and a password, and stores the input user ID and password.
クライアントサービスは、記憶したユーザIDとパスワードとを含む認証リクエストを作成し、該認証リクエストを認証サービスAに送信する(シーケンスSQ30。)。 The client service creates an authentication request including the stored user ID and password, and transmits the authentication request to authentication service A (sequence SQ30).
認証サービスAは、認証リクエストを受信すると、実際の認証処理を行う外部の認証サーバに前記認証リクエストを送信する(シーケンスSQ31。)。 Upon receiving the authentication request, authentication service A transmits the authentication request to an external authentication server that performs actual authentication processing (sequence SQ31).
外部認証サーバは、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する認証チケットを作成する。 When the external authentication server receives the authentication request, the external authentication server performs authentication based on, for example, the user ID and password included in the authentication request, and proves the authentication if it determines that the combination is a valid user ID and password. Create an authentication ticket to be used.
外部認証サーバは、認証チケットを識別する認証チケットIDを含む認証レスポンスを作成し、要求元の認証サービスAに送信する(シーケンスSQ32。)。 The external authentication server creates an authentication response including an authentication ticket ID for identifying the authentication ticket, and transmits it to the requesting authentication service A (sequence SQ32).
認証サービスAは、認証レスポンスを受信すると、該認証レスポンスを、クライアントサービスに送信する(シーケンスSQ33。)。 When receiving the authentication response, the authentication service A transmits the authentication response to the client service (sequence SQ33).
また、クライアントサービスは、ユーザより、他のサービスを利用する旨の通知を受けると、該サービスを利用するために前記記憶したユーザIDとパスワードとを含む認証リクエストを作成し、該認証リクエストを前記サービスに対応する認証サービス(図4の例においては認証サービスB)に送信する(シーケンスSQ34。)。 In addition, when the client service receives a notification from the user that another service is to be used, the client service creates an authentication request including the stored user ID and password in order to use the service, It transmits to the authentication service (authentication service B in the example of FIG. 4) corresponding to the service (sequence SQ34).
認証サービスBは、認証リクエストを受信すると、実際の認証処理を行う外部の認証サーバに前記認証リクエストを送信する(シーケンスSQ35。)。 Upon receiving the authentication request, authentication service B transmits the authentication request to an external authentication server that performs the actual authentication processing (sequence SQ35).
外部認証サーバは、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する認証チケットを作成する。 When the external authentication server receives the authentication request, the external authentication server performs authentication based on, for example, the user ID and password included in the authentication request, and proves the authentication if it determines that the combination is a valid user ID and password. Create an authentication ticket to be used.
外部認証サーバは、認証チケットを識別する認証チケットIDを含む認証レスポンスを作成し、要求元の認証サービスBに送信する(シーケンスSQ36。)。 The external authentication server creates an authentication response including an authentication ticket ID for identifying the authentication ticket, and transmits it to the requesting authentication service B (sequence SQ36).
認証サービスBは、認証レスポンスを受信すると、該認証レスポンスを、クライアントサービスに送信する(シーケンスSQ37。)。 When receiving the authentication response, the authentication service B transmits the authentication response to the client service (sequence SQ37).
図4に説明したように、各認証サービスの後ろで、実際の認証を行う外部認証サーバを用いるような構成とすることによって、ユーザは例えばユーザIDとパスワードとを一度入力するだけで、許可されている全てのサービスを利用することができる。 As described with reference to FIG. 4, by using an external authentication server that performs the actual authentication behind each authentication service, the user is permitted to enter the user ID and password once, for example. All services that are available.
また、シングルサインオンの他の例として、図3や図4に説明した方法ではなく、例えば、サービス間で相互信頼関係を設定し、ある一つのサービスにおいて、一度認証されれば、該サービスと相互信頼関係が設定されている他のサービスにおいても、当該他のサービスを利用可能とする方法もある。 As another example of single sign-on, instead of the method described in FIG. 3 and FIG. 4, for example, a mutual trust relationship is set between services, and once authenticated in a certain service, There is a method of making other services available even in other services for which a mutual trust relationship is set.
しかしながら、上記図3や図4を用いて説明したシングルサインオンのシステムでは、クライアントサービスにユーザIDやパスワード等の認証データを記憶する機能を実装する必要があり、また、セキュリティの面においても問題があった。 However, in the single sign-on system described with reference to FIGS. 3 and 4 above, it is necessary to implement a function for storing authentication data such as a user ID and a password in the client service, and there is also a problem in terms of security. was there.
また、サービス間において相互信頼関係を設定する方法では、設定が複雑で、且つサービスの増減に伴う相互信頼関係の設定の変更にも柔軟に対処できない問題があった。 Further, the method of setting the mutual trust relationship between services has a problem that the setting is complicated and the change of the mutual trust relationship setting due to the increase or decrease of the service cannot be flexibly dealt with.
本発明は、上記の点に鑑みなされたもので、設定や設定の変更が簡単で且つシングルサインオンを提供することを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to provide a single sign-on that can be easily set and changed.
そこで、上記問題を解決するため、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信手段と、前記認証要求に応じて、認証に係る証明情報を作成する証明情報作成手段と、前記証明情報を、前記クライアントに送信する認証応答送信手段と、認証に係るサービスを提供する他の認証サービス提供手段より、前記クライアントに送信した前記証明情報を含む、該証明情報の正当性の確認要求を受信する正当性確認要求受信手段と、を有することを特徴とする。 In order to solve the above problem, the present invention provides an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, provided by the service providing means. An authentication request receiving unit that receives an authentication request from a client that uses the service to be performed; a proof information generating unit that generates proof information related to authentication in response to the authentication request; and the proof information is transmitted to the client. Validity confirmation request receiving means for receiving a confirmation request for validity of the certification information including the certification information transmitted to the client from an authentication response transmission means and another authentication service providing means for providing a service related to authentication It is characterized by having.
なお、認証サービス提供手段は、例えば後述する実施例1における一般認証サービス60に対応する。また、クライアントは、例えば後述する実施例1におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例1におけるリモート認証サービス70に対応する。また、認証要求受信手段は、例えば後述する実施例1におけるシーケンスSQ40及び/又はステップS10に対応する。また、証明情報作成手段は、例えば後述する実施例1におけるステップS12に対応する。また、認証応答送信手段は、例えば後述する実施例1におけるシーケンスSQ41及び/又はステップS14に対応する。また、正当性確認要求受信手段は、例えば後述する実施例1におけるシーケンスSQ43及び/又はステップS20に対応する。また、証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。
The authentication service providing unit corresponds to, for example, the
また、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信手段と、前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成手段と、前記第一証明情報を、前記クライアントに送信する認証応答送信手段と、認証に係るサービスを提供する他の認証サービス提供手段より、前記クライアントに送信した前記第一証明情報を含む、該第一証明情報に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信手段と、を有することを特徴とする。 The present invention also provides an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, from a client using a service provided by the service providing means. Authentication request receiving means for receiving an authentication request, first proof information creating means for creating first proof information related to authentication in response to the authentication request, and authentication for sending the first proof information to the client A request for creating second proof information related to the first proof information including the first proof information transmitted to the client is received from a response transmitting means and another authentication service providing means for providing a service related to authentication. And second proof information creation request receiving means.
なお、認証サービス提供手段は、例えば後述する実施例2における一般認証サービス60に対応する。また、クライアントは、例えば後述する実施例2におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例2におけるリモート認証サービス70に対応する。また、認証要求受信手段は、例えば後述する実施例2におけるシーケンスSQ50に対応する。また、認証応答送信手段は、例えば後述する実施例2におけるシーケンスSQ51に対応する。また、第二証明情報作成要求受信手段は、例えば後述する実施例2におけるシーケンスSQ53及び/又はステップS40に対応する。また、第一証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。また、第二証明情報は、例えば後述する第二一般認証チケット又は第二一般認証チケットIDに対応する。
Note that the authentication service providing means corresponds to, for example, the
また、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、認証に係るサービスを提供する他の認証サービス提供手段より、認証要求を受信する認証要求受信手段と、前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成手段と、前記第一証明情報を、前記他の認証サービス提供手段に送信する認証応答送信手段と、前記サービス提供手段が提供するサービスを利用するクライアントから、前記他の認証サービス提供手段が発行した認証に係る第二証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信手段と、を有することを特徴とする。 Further, the present invention is an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, and another authentication service providing means for providing a service related to authentication The authentication request receiving means for receiving the authentication request, the first certification information creating means for creating the first certification information related to the authentication in response to the authentication request, and the first certification information as the other certification service Authentication response transmitting means for transmitting to the providing means; second certification information relating to authentication issued by the other authentication service providing means from the client using the service provided by the service providing means; and providing the other authentication service Identification information for identifying means, and third proof information creation request receiving means for receiving a request to create third proof information related to authentication including And wherein the door.
なお、認証サービス提供手段は、例えば後述する実施例3における一般認証サービス60に対応する。また、クライアントは、例えば後述する実施例3におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例3におけるリモート認証サービス70に対応する。また、認証要求受信手段は、例えば後述する実施例3におけるシーケンスSQ61及び/又はステップS80に対応する。また、第一証明情報作成手段は、例えば後述する実施例3におけるステップS82に対応する。また、認証応答送信手段は、例えば後述する実施例3におけるシーケンスSQ62及び/又はステップS84に対応する。また、第三証明情報作成要求受信手段は、例えば後述する実施例3におけるシーケンスSQ64及び/又はステップS90に対応する。また、第一証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。また、第二証明情報は、例えば後述する実施例3におけるリモート認証チケット及び/又はリモート認証チケットIDに対応する。また、第三証明情報は、例えば後述する第二一般認証チケット又は第二一般認証チケットIDに対応する。
The authentication service providing unit corresponds to, for example, the
また、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、認証に係るサービスを提供する他の認証サービス提供手段より、認証要求を受信する認証要求受信手段と、前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成手段と、前記第一証明情報を暗号化する暗号化手段と、前記第一証明情報と、前記暗号化手段において暗号化された前記第一認証情報と、を前記他の認証サービス提供手段に送信する認証応答送信手段と、前記サービス提供手段が提供するサービスを利用するクライアントから、前記他の認証サービス提供手段が発行した認証に係る第二証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信手段と、を有することを特徴とする。 Further, the present invention is an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, and another authentication service providing means for providing a service related to authentication Accordingly, an authentication request receiving means for receiving an authentication request, a first proof information creating means for creating first proof information related to authentication in response to the authentication request, and an encryption means for encrypting the first proof information Authentication response transmitting means for transmitting the first certification information and the first authentication information encrypted by the encryption means to the other authentication service providing means, and a service provided by the service providing means Second authentication information related to authentication issued by the other authentication service providing means and identification information for identifying the other authentication service providing means. A third certification information creation request receiving means for receiving a request to create a third certification information related to authentication including information, and characterized by having a.
なお、認証サービス提供手段は、例えば後述する実施例4における一般認証サービス60に対応する。また、クライアントは、例えば後述する実施例4におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例4におけるリモート認証サービス70に対応する。また、認証要求受信手段は、例えば後述する実施例4におけるシーケンスSQ71及び/又はステップS120に対応する。また、第一証明情報作成手段は、例えば後述する実施例4におけるステップS122に対応する。また、暗号化手段は、例えば後述する実施例4におけるステップS123に対応する。また、認証応答送信手段は、例えば後述する実施例4におけるシーケンスSQ72及び/又はステップS125に対応する。また、第三証明情報作成要求受信手段は、例えば後述する実施例4におけるシーケンスSQ74及び/又はステップS130に対応する。また、第一証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。また、第二証明情報は、例えば後述する実施例4におけるリモート認証チケット及び/又はリモート認証チケットIDに対応する。また、第三証明情報は、例えば後述する第二一般認証チケット又は第二一般認証チケットIDに対応する。
Note that the authentication service providing means corresponds to, for example, the
また、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報を含む、認証に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信手段と、前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報の正当性の確認要求を送信する正当性確認要求送信手段と、前記第一証明情報の正当性の確認結果を含む、前記証明情報の正当性の確認応答を、前記他の認証サービス提供手段より受信する正当性確認応答受信手段と、前記第一証明情報の正当性が確認された場合、前記認証に係る第二証明情報の作成要求に応じて、認証に係る第二証明情報を作成する第二証明情報作成手段と、を有することを特徴とする。 The present invention also provides an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, from a client using a service provided by the service providing means. A second proof information creation request receiving means for receiving a request to create second proof information related to authentication, including the first proof information related to authentication issued by another authentication service providing means that provides a service related to authentication; Validity confirmation request transmitting means for transmitting a confirmation request for validity of the first proof information including the first proof information to the other authentication service providing means, and validity of the first proof information Validity confirmation response receiving means for receiving the confirmation response of the validity of the certification information including the confirmation result from the other authentication service providing means, and the first certification information If the validity is confirmed, in response to the creation request for the second certification information related to the authentication, and having a, a second certification information generation means for generating a second certification information relating to authentication.
なお、認証サービス提供手段は、例えば後述する実施例1におけるリモート認証サービス70に対応する。また、クライアントは、例えば後述する実施例1におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例1における一般認証サービス60に対応する。また、第二証明情報作成要求受信手段は、例えば後述する実施例1におけるシーケンスSQ42及び/又はステップS30に対応する。また、正当性確認要求送信手段は、例えば後述する実施例1におけるシーケンスSQ43及び/又はステップS33に対応する。また、正当性確認応答受信手段は、例えば後述する実施例1におけるシーケンスSQ44及び/又はステップS34に対応する。また、第二証明情報作成手段は、例えば後述する実施例1におけるステップS36に対応する。また、第一証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。また、第二証明情報は、例えば後述する実施例1におけるリモート認証チケット又はリモート認証チケットIDに対応する。
The authentication service providing unit corresponds to, for example, the
また、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報を含む、認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信手段と、前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報に係る第二証明情報の作成要求を送信する第二証明情報作成要求送信手段と、前記他の認証サービス提供手段より、前記第二証明情報を含む作成応答を受信する第二証明情報作成応答受信手段と、前記認証に係る第三証明情報の作成要求に応じて、前記第二証明情報作成応答受信手段において受信した前記第二証明情報と関連付けた、認証に係る第三証明情報を作成する第三証明情報作成手段と、を有することを特徴とする。 The present invention also provides an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, from a client using a service provided by the service providing means. A third proof information creation request receiving means for receiving a request to create third proof information related to authentication, including the first proof information related to authentication issued by other authentication service providing means for providing a service related to authentication; Second certification information creation request transmitting means for transmitting a creation request for second certification information relating to the first certification information, including the first certification information, to the other authentication service providing means; Second proof information creation response receiving means for receiving a creation response including the second proof information from the service providing means, and a request for creating third proof information related to the authentication In response, associated with the second certification information received by the second certification information creation response receiving means, and having a, a third certification information generation means for generating a third certification information relating to authentication.
なお、認証サービス提供手段は、例えば後述する実施例2におけるリモート認証サービス70に対応する。また、クライアントは、例えば後述する実施例2におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例2における一般認証サービス60に対応する。また、第三証明情報作成要求受信手段は、例えば後述する実施例2におけるシーケンスSQ52及び/又はステップS50に対応する。また、第二証明情報作成要求送信手段は、例えば後述する実施例2におけるシーケンスSQ53及び/又はステップS53に対応する。また、第二証明情報作成応答受信手段は、例えば後述する実施例2におけるシーケンスSQ54及び/又はステップS54に対応する。また、第三証明情報作成手段は、例えば後述する実施例2におけるステップS56に対応する。また、第一証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。また、第二証明情報は、例えば後述する第二一般認証チケット又は第二一般認証チケットIDに対応する。また、第三証明情報は、例えば後述する実施例2におけるリモート認証チケット又はリモート認証チケットIDに対応する。
The authentication service providing unit corresponds to, for example, the
また、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信手段と、前記認証要求を認証に係るサービスを提供する他の認証サービス提供手段に送信する認証要求送信手段と、前記他の認証サービス提供手段が作成した認証に係る第一証明情報を、前記他の認証サービス提供手段より受信する認証応答受信手段と、前記認証要求に応じて、前記認証応答受信手段において受信した前記第一証明情報と関連付けた、認証に係る第二証明情報を作成する第二証明情報作成手段と、を有することを特徴とする。 The present invention also provides an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, from a client using a service provided by the service providing means. Authentication request receiving means for receiving an authentication request, authentication request transmitting means for transmitting the authentication request to another authentication service providing means for providing a service related to authentication, and authentication created by the other authentication service providing means. The authentication response receiving means that receives the first certification information from the other authentication service providing means, and the authentication response associated with the first certification information received by the authentication response receiving means in response to the authentication request And second proof information creating means for creating second proof information.
なお、認証サービス提供手段は、例えば後述する実施例3におけるリモート認証サービス70に対応する。また、クライアントは、例えば後述する実施例3におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例3における一般認証サービス60に対応する。また、認証要求受信手段は、例えば後述する実施例3におけるシーケンスSQ60及び/又はステップS60に対応する。また、認証要求送信手段は、例えば後述する実施例3におけるシーケンスSQ61及び/又はステップS62に対応する。また、認証応答受信手段は、例えば後述する実施例3におけるシーケンスSQ62及び/又はステップS63に対応する。また、第二証明情報作成手段は、例えば後述する実施例3におけるステップS64に対応する。また、第一証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。また、第二証明情報は、例えば後述する実施例3におけるリモート認証チケット又はリモート認証チケットIDに対応する。
The authentication service providing unit corresponds to, for example, the
また、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信手段と、前記認証要求を認証に係るサービスを提供する他の認証サービス提供手段に送信する認証要求送信手段と、前記他の認証サービス提供手段が作成した認証に係る第一証明情報と、暗号化された前記第一証明情報と、を前記他の認証サービス提供手段より受信する認証応答受信手段と、前記認証要求に応じて、前記認証応答受信手段において受信した前記第一証明情報と、前記暗号化された前記第一証明情報と、を関連付けた、認証に係る第二証明情報を作成する第二証明情報作成手段と、を有することを特徴とする。 The present invention also provides an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, from a client using a service provided by the service providing means. Authentication request receiving means for receiving an authentication request, authentication request transmitting means for transmitting the authentication request to another authentication service providing means for providing a service related to authentication, and authentication created by the other authentication service providing means. The first response information and the encrypted first verification information received from the other authentication service providing unit from the authentication response receiving unit, and received in the authentication response receiving unit in response to the authentication request. The second proof information for authentication is created by associating the first proof information with the encrypted first proof information. A certification information creating means, and having a.
なお、認証サービス提供手段は、例えば後述する実施例4におけるリモート認証サービス70に対応する。また、クライアントは、例えば後述する実施例4におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例4における一般認証サービス60に対応する。また、認証要求受信手段は、例えば後述する実施例4におけるシーケンスSQ70及び/又はステップS100に対応する。また、認証要求送信手段は、例えば後述する実施例4におけるシーケンスSQ71及び/又はステップS102に対応する。また、認証応答受信手段は、例えば後述する実施例4におけるシーケンスSQ72及び/又はステップS103に対応する。また、第二証明情報作成手段は、例えば後述する実施例4におけるステップS104に対応する。また、第一証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。また、第二証明情報は、例えば後述する実施例4におけるリモート認証チケット又はリモート認証チケットIDに対応する。
Note that the authentication service providing means corresponds to, for example, the
また、本発明は、サービスを提供するサービス提供手段に対応する認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信手段と、前記他の認証サービス提供手段を識別する識別情報に基づいて、前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報の正当性の確認要求を送信する正当性確認要求送信手段と、前記第一証明情報の正当性の確認結果を含む、前記証明情報の正当性の確認応答を、前記他の認証サービス提供手段より受信する正当性確認応答受信手段と、前記第一証明情報の正当性が確認された場合、前記認証に係る第二証明情報の作成要求に応じて、認証に係る第二証明情報を作成する第二証明情報作成手段と、を有することを特徴とする。 The present invention also provides an authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service, from a client using a service provided by the service providing means. Second authentication information related to authentication including first authentication information related to authentication issued by other authentication service providing means for providing a service related to authentication, and identification information identifying the other authentication service providing means Based on identification information for identifying the second certification information creation request receiving means for receiving the creation request and the other authentication service providing means, including the first certification information for the other authentication service providing means, The proof including a validity confirmation request transmitting means for transmitting a validity confirmation request for the first proof information, and a result of confirming the validity of the first proof information. When the validity of the first proof information is confirmed and the validity confirmation response receiving means for receiving the confirmation response of the validity of the information from the other authentication service providing means, the second proof information related to the authentication And second proof information creating means for creating second proof information related to authentication in response to the creation request.
なお、認証サービス提供手段は、例えば後述する実施例5におけるリモート認証サービス70に対応する。また、クライアントは、例えば後述する実施例5におけるクライアントサービス50に対応する。また、他の認証サービス提供手段は、例えば後述する実施例5における一般認証サービス60に対応する。また、第二証明情報作成要求受信手段は、例えば後述する実施例5におけるシーケンスSQ82に対応する。また、正当性確認要求送信手段は、例えば後述する実施例5におけるシーケンスSQ83に対応する。また、正当性確認応答受信手段は、例えば後述する実施例5におけるシーケンスSQ84に対応する。また、第一証明情報は、例えば後述する第一一般認証チケット又は第一一般認証チケットIDに対応する。また、第二証明情報は、例えば後述する実施例1におけるリモート認証チケット又はリモート認証チケットIDに対応する。
The authentication service providing means corresponds to, for example, the
本発明によれば、設定や設定の変更が簡単で且つシングルサインオンを提供することができる。 According to the present invention, setting and change of setting are simple and single sign-on can be provided.
また、上記課題を解決するための手段として、認証サービス提供方法、認証サービス提供プログラム及び記録媒体としてもよい。 Further, as means for solving the above problems, an authentication service providing method, an authentication service providing program, and a recording medium may be used.
本発明によれば、設定や設定の変更が簡単で且つシングルサインオンを提供することができる。 According to the present invention, setting and change of setting are simple and single sign-on can be provided.
以下、本発明の実施の形態について図面に基づいて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
なお、以下では、ディレクトリサービスの機能を有し、実際に、例えばユーザIDやパスワード等の認証データに基づいて認証処理を行うサービスを一般認証サービスという。また、ディレクトリサービスの機能は有さず、ユーザIDやパスワード等の認証データに基づいての認証処理を行わず、一般認証サービスに対する片方向の信頼関係(参照関係)を有するサービスをリモート認証サービスという。 Hereinafter, a service that has a directory service function and actually performs an authentication process based on authentication data such as a user ID and a password is referred to as a general authentication service. A service that does not have a directory service function, does not perform authentication processing based on authentication data such as a user ID or password, and has a one-way trust relationship (reference relationship) with respect to a general authentication service is referred to as a remote authentication service. .
図5は、一般認証サービス提供サーバの一例のハードウェア構成図である。 FIG. 5 is a hardware configuration diagram of an example of the general authentication service providing server.
図5に示される一般認証サービス提供サーバ1のハードウェア構成は、それぞれバスで相互に接続されている入力装置11と、表示装置12と、ドライブ装置13と、記録媒体14と、ROM(Read Only Memory)15と、RAM(Random Access Memory)16と、CPU(Central Processing Unit)17と、インターフェース装置18と、HDD19と、から構成されている。
The hardware configuration of the general authentication
入力装置11は、一般認証サービス提供サーバ1の利用者が操作するキーボード及びマウス等で構成され、一般認証サービス提供サーバ1に各種操作信号を入力するのに用いられる。
The
表示装置12は、一般認証サービス提供サーバ1の利用者が利用するディスプレイ等で構成され、各種情報を表示する。
The
インターフェース装置18は、一般認証サービス提供サーバ1をネットワーク等に接続するインターフェースである。
The
後述する一般認証サービス60に対応するアプリケーションプログラムや、一般認証サービス提供サーバ1の全体の処理を制御するメインプログラム等は、例えば、CD−ROM等の記録媒体14によって一般認証サービス提供サーバ1に提供されるか、ネットワークを通じてダウンロードされる。記録媒体14は、ドライブ装置13にセットされ、前記アプリケーションプログラムや前記メインプログラム等が記録媒体14からドライブ装置13を介してHDD19にインストールされる。
An application program corresponding to a
ROM15は、データ等を格納する。RAM16は、一般認証サービス提供サーバ1の起動時にHDD19から前記アプリケーションプログラムや前記メインプログラム等を読み出して格納する。CPU17は、RAM16に読み出され格納された前記アプリケーションプログラムや前記メインプログラム等に従って処理を実行する。
The
HDD19は、データやファイル、プログラム等を格納する。例えば、HDD19は、後述する一般認証チケットや、ユーザ情報等を格納する。
The
以下、リモート認証サービス提供サーバ2の一例のハードウェア構成を、図6を用いて説明する。
Hereinafter, an exemplary hardware configuration of the remote authentication
図6は、リモート認証サービス提供サーバの一例のハードウェア構成図である。 FIG. 6 is a hardware configuration diagram of an example of a remote authentication service providing server.
図6に示されるリモート認証サービス提供サーバ2のハードウェア構成は、それぞれバスで相互に接続されている入力装置21と、表示装置22と、ドライブ装置23と、記録媒体24と、ROM25と、RAM26と、CPU27と、インターフェース装置28と、HDD29と、から構成されている。
The hardware configuration of the remote authentication
入力装置21は、リモート認証サービス提供サーバ2の利用者が操作するキーボード及びマウス等で構成され、リモート認証サービス提供サーバ2に各種操作信号を入力するのに用いられる。
The
表示装置22は、リモート認証サービス提供サーバ2の利用者が利用するディスプレイ等で構成され、各種情報を表示する。
The
インターフェース装置28は、リモート認証サービス提供サーバ2をネットワーク等に接続するインターフェースである。
The
後述するリモート認証サービス70に対応するアプリケーションプログラムや、リモート認証サービス提供サーバ2の全体の処理を制御するメインプログラム等は、例えば、CD−ROM等の記録媒体24によってリモート認証サービス提供サーバ2に提供されるか、ネットワークを通じてダウンロードされる。記録媒体24は、ドライブ装置23にセットされ、前記アプリケーションプログラムや前記メインプログラム等が記録媒体24からドライブ装置23を介してHDD29にインストールされる。
An application program corresponding to the
ROM25は、データ等を格納する。RAM26は、リモート認証サービス提供サーバ2の起動時にHDD29から前記アプリケーションプログラムや前記メインプログラム等を読み出して格納する。CPU27は、RAM26に読み出され格納された前記アプリケーションプログラムや前記メインプログラム等に従って処理を実行する。
The
HDD29は、データやファイル、プログラム等を格納する。例えば、HDD29は、後述するリモート認証チケット等を格納する。
The
上述したように、本発明の実施の形態においては、後述する一般認証サービス60は、一般認証サービス提供サーバ1に実装され、後述するリモート認証サービス70は、リモート認証サービス提供サーバ2に実装されているものとして説明を行う。なお、一般認証サービス60及びリモート認証サービス70は同じサーバ等に実装されていてもよい。
As described above, in the embodiment of the present invention, the
以下、ユーザ端末装置3の一例のハードウェア構成を、図7を用いて説明する。
Hereinafter, an exemplary hardware configuration of the
図7は、ユーザ端末装置の一例のハードウェア構成図である。 FIG. 7 is a hardware configuration diagram of an example of a user terminal device.
図7に示されるユーザ端末装置3のハードウェア構成は、それぞれバスで相互に接続されている入力装置31と、表示装置32と、ドライブ装置33と、記録媒体34と、ROM35と、RAM36と、CPU37と、インターフェース装置38と、HDD39と、から構成されている。
The hardware configuration of the
入力装置31は、ユーザ端末装置3の利用者が操作するキーボード及びマウス等で構成され、ユーザ端末装置3に各種操作信号を入力するのに用いられる。
The
表示装置32は、ユーザ端末装置3の利用者が利用するディスプレイ等で構成され、各種情報を表示する。
The
インターフェース装置38は、ユーザ端末装置3をネットワーク等に接続するインターフェースである。
The
後述するクライアントサービス50に対応するアプリケーションプログラムや、ユーザ端末装置3の全体の処理を制御するメインプログラム等は、例えば、CD−ROM等の記録媒体34によってユーザ端末装置3に提供されるか、ネットワークを通じてダウンロードされる。記録媒体34は、ドライブ装置33にセットされ、前記アプリケーションプログラムや前記メインプログラム等が記録媒体34からドライブ装置33を介してHDD39にインストールされる。
An application program corresponding to the
ROM35は、データ等を格納する。RAM36は、ユーザ端末装置3の起動時にHDD39から前記アプリケーションプログラムや前記メインプログラム等を読み出して格納する。CPU37は、RAM36に読み出され格納された前記アプリケーションプログラムや前記メインプログラム等に従って処理を実行する。
The
HDD39は、データやファイル、プログラム等を格納する。例えば、HDD39は、後述する一般認証チケットID、リモート認証チケットID等を格納する。
The
以下、実施例1におけるシングルサインオンに係る処理の一例を、図8を用いて説明する。図8は、本発明におけるシングルサインオンに係る処理を説明するための図(その1)である。 Hereinafter, an example of processing related to single sign-on in the first embodiment will be described with reference to FIG. FIG. 8 is a diagram (No. 1) for explaining processing related to single sign-on according to the present invention.
初めに、クライアントサービス50は、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを含む認証リクエストを、一般認証サービス60に対して、送信する(シーケンスSQ40。)。なお、認証リクエストの一例は、後述する図9を用いて説明する。
First, the
一般認証サービス60は、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する第一一般認証チケットを作成する。なお、第一一般認証チケットの詳細は、後述する図17を用いて説明する。
When receiving the authentication request, the
一般認証サービス60は、第一一般認証チケットを識別する第一一般認証チケットIDを含む認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ41。)。なお、認証レスポンスの一例は、後述する図10を用いて説明する。
The
クライアントサービス50は、認証レスポンスに含まれる第一一般認証チケットIDを用いて、一般認証サービス60に対応するサービスを利用することができる。
The
また、クライアントサービス50は、ユーザより、他のサービスを利用する旨の通知を受けると、該サービスを利用するため、シーケンスSQ41において取得し、保持していた第一一般認証チケットIDを含む認証チケットIDを用いた認証リクエストを作成し、該認証リクエストを前記サービスに対応する認証サービス(図8の例においてはリモート認証サービス70)に送信する(シーケンスSQ42。)。なお、認証チケットIDを用いた認証リクエストの一例は、後述する図11を用いて説明する。
When the
リモート認証サービス70は、認証チケットIDを用いた認証リクエストを受信すると、該認証リクエストに含まれる、第一一般認証チケットIDを取得し、該第一一般認証チケットIDを含む該第一一般認証チケットIDの正当性確認リクエストを作成する。
When receiving the authentication request using the authentication ticket ID, the
リモート認証サービス70は、例えば当該リモート認証サービス70が、リモート認証サービス提供サーバ2にインストールされた際、後述する外部認証サービス管理テーブル等に書き込まれた一般認証サービス60のURL(Uniform Resource Locator)等を参照し、前記作成した正当性確認リクエストを一般認証サービス60に送信する(シーケンスSQ43。)。なお、正当性確認リクエストの一例は、後述する図12を用いて説明する。
For example, when the
一般認証サービス60は、正当性確認リクエストを受信すると、該正当性確認リクエストに含まれる第一一般認証チケットIDを用いて、対応する有効な第一一般認証チケットが存在するかどうかを判定し、対応する有効な第一一般認証チケットが存在すると判定すると、判定結果(例えばOK)やユーザ名等を含む正当性確認レスポンスを作成し、要求元のリモート認証サービス70に送信する(シーケンスSQ44。)。なお、正当性確認レスポンスの一例は、後述する図13を用いて説明する。
When the
リモート認証サービス70は、正当性確認レスポンスを受信すると、該正当性確認レスポンスに含まれる判定結果(確認結果)を参照し、例えばOKが含まれていたら、正当性が確認されたと判定し、認証を証明するリモート認証チケットを作成する。なお、リモート認証チケットの詳細は、後述する図20を用いて説明する。
When the
リモート認証サービス70は、リモート認証チケットを識別するリモート認証チケットIDを含む認証チケットIDを用いた認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ45。)。なお、認証チケットIDを用いた認証レスポンスの一例は、後述する図14を用いて説明する。
The
クライアントサービス50は、認証チケットIDを用いた認証レスポンスに含まれるリモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。
The
図8に示したような処理を行うことによって、一般認証サービス60側に特別な設定等を行う事無く、リモート認証サービス70からの片方向の参照関係によって、シングルサインオンを実現することができる。
By performing the processing as shown in FIG. 8, single sign-on can be realized by a one-way reference relationship from the
また、認証データを用いた実際の認証は、一般認証サービス60側でのみ行われており、ユーザ情報等の管理を、一般認証サービス60側でのみ行うことができる。
Further, actual authentication using authentication data is performed only on the
また、ユーザ情報等を提供するディレクトリサービスを一般認証サービス60側と、リモート認証サービス70側と、で共通化することもできる。
A directory service that provides user information and the like can be shared by the
以下、認証リクエストの一例を、後述する図9を用いて説明する。図9は、認証リクエストの一例を説明するための図である。 Hereinafter, an example of the authentication request will be described with reference to FIG. FIG. 9 is a diagram for explaining an example of the authentication request.
図9に示されるように、認証リクエストの<authName></authName>のタグには、ユーザIDが格納されている。また、認証リクエストの<password></password>のタグには、パスワードが格納されている。また、認証リクエストの<duration></duration>のタグには、第一一般認証チケットの有効時間が秒数を単位に格納されている。 As shown in FIG. 9, the user ID is stored in the <authName> </ authName> tag of the authentication request. In addition, a password is stored in the <password> </ password> tag of the authentication request. In addition, the <duration> </ duration> tag of the authentication request stores the valid time of the first general authentication ticket in units of seconds.
以下、認証レスポンスの一例を、後述する図10を用いて説明する。図10は、認証レスポンスの一例を説明するための図である。 Hereinafter, an example of the authentication response will be described with reference to FIG. FIG. 10 is a diagram for explaining an example of the authentication response.
図10に示されるように、認証レスポンスの<return></return>のタグには、第一一般認証チケットIDが格納されている。 As shown in FIG. 10, the first general authentication ticket ID is stored in the <return> </ return> tag of the authentication response.
以下、認証チケットIDを用いた認証リクエストの一例を、後述する図11を用いて説明する。図11は、認証チケットIDを用いた認証リクエストの一例を説明するための図である。 Hereinafter, an example of the authentication request using the authentication ticket ID will be described with reference to FIG. FIG. 11 is a diagram for explaining an example of the authentication request using the authentication ticket ID.
図11に示されるように、認証チケットIDを用いた認証リクエストの<masterAuthTicket></masterAuthTicket>のタグには、第一一般認証チケットIDが格納されている。また、認証チケットIDを用いた認証リクエストの<duration></duration>のタグには、リモート認証チケットの有効時間が秒数を単位に格納されている。 As shown in FIG. 11, the first general authentication ticket ID is stored in the <masterAuthTicket> </ masterAuthTicket> tag of the authentication request using the authentication ticket ID. The <duration> </ duration> tag of the authentication request using the authentication ticket ID stores the effective time of the remote authentication ticket in units of seconds.
以下、正当性確認リクエストの一例を、後述する図12を用いて説明する。図12は、正当性確認リクエストの一例を説明するための図である。 Hereinafter, an example of the validity confirmation request will be described with reference to FIG. FIG. 12 is a diagram for explaining an example of the validity confirmation request.
図12に示されるように、正当性確認リクエストの<authTicket></authTicket>のタグには、第一一般認証チケットIDが格納されている。 As shown in FIG. 12, the <authTicket> </ authTicket> tag of the validity confirmation request stores the first general authentication ticket ID.
以下、正当性確認レスポンスの一例を、後述する図13を用いて説明する。図13は、正当性確認レスポンスの一例を説明するための図である。 Hereinafter, an example of the validity confirmation response will be described with reference to FIG. FIG. 13 is a diagram for explaining an example of the validity confirmation response.
図13に示されるように、正当性確認レスポンスの<return></return>のタグには、正当性の判定結果(確認結果)が含まれている。また、<userName></userName>のタグには、ユーザ情報(図13の例においてはユーザ名)が格納されている。 As shown in FIG. 13, the <return> </ return> tag of the validity confirmation response includes a validity determination result (confirmation result). Also, user information (user name in the example of FIG. 13) is stored in the tag <userName> </ userName>.
以下、認証チケットIDを用いた認証レスポンスの一例を、後述する図14を用いて説明する。図14は、認証チケットIDを用いた認証レスポンスの一例を説明するための図である。 Hereinafter, an example of an authentication response using the authentication ticket ID will be described with reference to FIG. FIG. 14 is a diagram for explaining an example of an authentication response using the authentication ticket ID.
図14に示されるように認証チケットIDを用いた認証レスポンスの<return></return>のタグには、リモート認証チケットIDが格納されている。 As shown in FIG. 14, the remote authentication ticket ID is stored in the <return> </ return> tag of the authentication response using the authentication ticket ID.
以下、一般認証サービス60の機能構成の一例を、図15を用いて説明する。図15は、一般認証サービスの機能構成の一例を説明するための図である。
Hereinafter, an example of a functional configuration of the
図15に示されるように、一般認証サービス60は、ユーザ認証部61と、ユーザ管理部62と、チケット確認部63と、チケット管理部64と、を含む。
As shown in FIG. 15, the
ユーザ認証部61は、ユーザIDとパスワードとを入力として受け取るとユーザ管理部62において管理されている後述するユーザ管理テーブル等を参照し、認証を行う。
When the
また、ユーザ認証部61は、認証が成功した場合、チケット管理部64を用いて新たな認証チケットを作成し、該認証チケットを識別する認証チケットIDを返す。
If the authentication is successful, the
ユーザ管理部62は、認証データに係る情報、例えばユーザIDとパスワードとの組み合わせのテーブル(ユーザ管理テーブル)を管理する。
The
ユーザ管理部62は、ユーザIDとパスワードとを入力として受け取ると、管理しているユーザ管理テーブルを参照し、正しい組み合わせが存在する場合は成功(例えばOK)を返し、正しい組み合わせが存在しない場合は失敗(例えばNG)を返す。
When the
なお、ユーザ管理テーブルの一例は、後述する図16を用いて説明する。 An example of the user management table will be described with reference to FIG.
チケット確認部63は、認証チケットを識別する認証チケットIDを入力として受け取るとチケット管理部64において管理されている認証チケット(例えば第一一般認証チケット及び/又は第二一般認証チケット)を参照し、有効な認証チケットが存在するかどうかを確認する。
Upon receipt of the authentication ticket ID for identifying the authentication ticket as an input, the
チケット確認部63は、有効な認証チケットが存在すると判定すると、ユーザ名と成功(例えばOK)を返し、有効な認証チケットが存在しないと判定すると、失敗(例えばNG)を返す。
If the
チケット管理部64は、認証チケット(例えば第一一般認証チケット及び/又は第二一般認証チケット)を管理する。
The
以下、ユーザ管理テーブルの一例を、図16を用いて説明する。図16は、ユーザ管理テーブルの一例を説明するための図である。 Hereinafter, an example of the user management table will be described with reference to FIG. FIG. 16 is a diagram for explaining an example of the user management table.
図16に示されるように、ユーザ管理テーブルにおいては、ユーザIDと、パスワードと、が対になって管理されている。 As shown in FIG. 16, in the user management table, a user ID and a password are managed as a pair.
以下、第一一般認証チケットの一例を、図17を用いて説明する。図17は、第一一般認証チケットを説明するための図である。 Hereinafter, an example of the first general authentication ticket will be described with reference to FIG. FIG. 17 is a diagram for explaining the first general authentication ticket.
図17に示されるように、第一一般認証チケットは、第一一般認証チケットIDと、有効期限と、ユーザ情報と、を含む。 As shown in FIG. 17, the first general authentication ticket includes a first general authentication ticket ID, an expiration date, and user information.
第一一般認証チケットIDには、第一一般認証チケットを識別する識別子が格納されている。また、有効期限には、当該第一一般認証チケットの有効期限が格納されている。また、ユーザ情報には、認証されたユーザのユーザ情報の構造体(ユーザ情報構造体)がそのまま格納されている。 The first general authentication ticket ID stores an identifier for identifying the first general authentication ticket. The expiration date stores the expiration date of the first general authentication ticket. In the user information, the user information structure (user information structure) of the authenticated user is stored as it is.
以下、ユーザ情報構造体の一例を、図18を用いて説明する。図18は、ユーザ情報構造体の一例を説明するための図である。 Hereinafter, an example of the user information structure will be described with reference to FIG. FIG. 18 is a diagram for explaining an example of the user information structure.
図18に示されるように、ユーザ情報構造体には、ユーザIDと、ドメイン名と、名前と、が含まれる。 As shown in FIG. 18, the user information structure includes a user ID, a domain name, and a name.
ユーザIDには、ユーザを識別する識別子が格納されている。ドメイン名には、前記ユーザに係るドメイン名が格納されている。名前には、前記ユーザの名前が格納されている。 The user ID stores an identifier for identifying the user. The domain name stores a domain name related to the user. The name stores the name of the user.
以下、リモート認証サービス70の機能構成の一例を、図19を用いて説明する。図19は、リモート認証サービスの機能構成の一例を説明するための図である。
Hereinafter, an example of a functional configuration of the
図19に示されるように、リモート認証サービス70は、ユーザ認証部71と、チケット確認部72と、チケット管理部73と、認証プロキシ部74と、認証プロキシ管理部75と、を含む。
As shown in FIG. 19, the
ユーザ認証部71は、認証チケットID(例えば、第一一般認証チケットID及び/又は第二一般認証チケットID)を入力として受け取ると、認証プロキシ部74を介して認証チケットIDの確認要求を例えば一般認証サービス60に対して行い、認証チケットIDの正当性が確認された場合、リモート認証チケットを作成し、チケット管理部73に書き込む。また、ユーザ認証部71は、作成したリモート認証チケットを識別するリモート認証チケットIDを返す。
When the
また、ユーザ認証部71は、後述する実施例に示すように、ユーザIDとパスワードとを入力として受け取ると認証プロキシ部74を介して認証要求を例えば一般認証サービス60に対して行い、取得した認証チケットIDを含むリモート認証チケットを作成し、チケット管理部73に書き込む。また、ユーザ認証部71は、作成したリモート認証チケットを識別するリモート認証チケットIDを返す。
Further, as shown in an embodiment described later, when the
チケット確認部72は、後述する実施例に示すように、認証チケットを識別する認証チケットIDを入力として受け取るとチケット管理部73において管理されている認証チケット(例えばリモート認証チケット)を参照し、有効な認証チケットが存在するかどうかを確認する。
As shown in an embodiment to be described later, when the
チケット確認部72は、有効な認証チケットが存在すると判定すると、ユーザ名と成功(例えばOK)を返し、有効な認証チケットが存在しないと判定すると、失敗(例えばNG)を返す。
If the
チケット管理部73は、認証チケット(例えばリモート認証チケット)を管理する。
The
認証プロキシ部74は、ユーザIDとパスワードとによる認証要求を受けて、外部認証サービス(例えば、一般認証サービス60)を呼び出し、該外部認証サービスから返ってくる結果を返す。
The
また、認証プロキシ部74は、認証チケットID(例えば、第一一般認証チケットID及び/又は第二一般認証チケットID)を含む認証要求を受けると、同様に外部認証サービス(例えば、一般認証サービス60)を呼び出し、該外部認証サービスから返ってくる結果を返す。
When the
なお、認証プロキシ部74は、外部認証サービスの識別情報(URL)を、認証プロキシ管理部75より取得する。
Note that the
認証プロキシ管理部75は、後述する外部認証サービス管理テーブルを管理し、要求に応じて、該外部認証サービス管理テーブルに含まれる外部認証サービスのURLを返す。
The authentication
以下、リモート認証チケットの一例を、図20を用いて説明する。図20は、リモート認証チケットを説明するための図(その1)である。 Hereinafter, an example of the remote authentication ticket will be described with reference to FIG. FIG. 20 is a diagram (part 1) for explaining the remote authentication ticket.
図20に示されるように、リモート認証チケットは、リモート認証チケットIDと、有効期限と、を含む。 As shown in FIG. 20, the remote authentication ticket includes a remote authentication ticket ID and an expiration date.
リモート認証チケットIDには、リモート認証チケットを識別する識別子が格納されている。また、有効期限には、当該リモート認証チケットの有効期限が格納されている。なお、図20には図示していないが、一般認証サービス60より取得したユーザ名等を、リモート認証チケットに含めるようにしてもよい。
The remote authentication ticket ID stores an identifier for identifying the remote authentication ticket. Further, the expiration date stores the expiration date of the remote authentication ticket. Although not shown in FIG. 20, the user name acquired from the
以下、外部認証サービス管理テーブルの一例を、図21を用いて説明する。図21は、外部認証サービス管理テーブルの一例を説明するための図である。 Hereinafter, an example of the external authentication service management table will be described with reference to FIG. FIG. 21 is a diagram for explaining an example of the external authentication service management table.
図21に示されるように、外部認証サービス管理テーブルには、外部認証サービスのURLが格納されている。 As shown in FIG. 21, the external authentication service management table stores the URL of the external authentication service.
以下、一般認証サービス60における認証処理の一例を、図22を用いて説明する。図22は、一般認証サービスにおける認証処理を説明するためのフローチャート(その1)である。
Hereinafter, an example of the authentication process in the
ステップS10において、一般認証サービス60は、ユーザIDとパスワードとを含む図9に示したような認証リクエストを、クライアントサービス50より受信する。
In step S <b> 10, the
ステップS10に続いてステップS11に進み、一般認証サービス60は、ステップS10において受信した認証リクエストに含まれるユーザIDとパスワードとの組み合わせに基づいて、ユーザ管理テーブルを参照し、正しいユーザIDとパスワードとの組み合わせが存在するかどうかを判定する。
In step S11 following step S10, the
一般認証サービス60は、正しい組み合わせが存在すると判定すると(ステップS11においてYES)、認証が成功したとしてステップS12に進み、正しい組み合わせが存在しないと判定すると(ステップS11においてNO)、認証が失敗したとして処理を終了する。なお、処理を終了せずに、認証が失敗した旨を含む認証レスポンスを作成し、要求元のクライアントサービス50に送信するようにしてもよい。
If the
ステップS12では、一般認証サービス60が、図17に示したような第一一般認証チケットを作成する。
In step S12, the
ステップS12に続いてステップS13に進み、一般認証サービス60は、ステップS12において作成した第一一般認証チケットを識別する第一一般認証チケットIDを含む図10に示したような認証レスポンスを作成する。
Progressing to step S13 following step S12, the
ステップS13に続いてステップS14に進み、一般認証サービス60は、ステップS13において作成した認証レスポンスを要求元のクライアントサービス50に送信する。
Proceeding to step S14 following step S13, the
図22に示したような処理を行うことによって、一般認証サービス60は、クライアントサービス50からの要求に応じて、第一一般認証チケットを作成し、第一一般認証チケットIDを含む認証レスポンスを要求元のクライアントサービス50に送信することができる。
By performing the processing shown in FIG. 22, the
クライアントサービス50は、第一一般認証チケットIDを用いて、一般認証サービス60に対応するサービスを利用することができる。また、クライアントサービス50は、第一一般認証チケットIDを用いて、該第一一般認証チケットIDを含む図14に示したような認証チケットIDを用いた認証リクエストを作成し、リモート認証サービス70における認証を要求することができる。
The
以下、一般認証サービス60における正当性確認処理の一例を、図23を用いて説明する。図23は、一般認証サービスにおける正当性確認処理を説明するためのフローチャートである。
Hereinafter, an example of the validity confirmation process in the
ステップS20において、一般認証サービス60は、第一一般認証チケットIDを含む正当性確認リクエストを、リモート認証サービス70より受信する。
In step S <b> 20, the
ステップS20に続いてステップS21に進み、一般認証サービス60は、ステップS20において受信した正当性確認リクエストに含まれる第一一般認証チケットIDに基づいて、チケット管理部64等を参照し、有効な第一一般認証チケットが存在するかどうかを判定する。
Progressing to step S21 following step S20, the
一般認証サービス60は、有効な第一一般認証チケットが存在すると判定すると(ステップS21においてYES)、ステップS22に進み、有効な第一一般認証チケットが存在しないと判定すると(ステップS21においてNO)、ステップS23に進む。
If the
一般認証サービス60は、例えば第一一般認証チケットIDに対応する第一一般認証チケットが存在し、且つ該第一一般認証チケットの有効期限が切れていない場合、有効な第一一般認証チケットが存在すると判定する。
The
ステップS22では、一般認証サービス60が、パラメータとしてOKを含む図13に示したような正当性確認レスポンスを作成する。
In step S22, the
一方、ステップS23では、一般認証サービス60が、パラメータとしてNGを含む正当性確認レスポンスを作成する。
On the other hand, in step S23, the
ステップS24では、一般認証サービス60が、作成した正当性確認レスポンスを、要求元のリモート認証サービス70に送信する。
In step S24, the
図23に示したような処理を行うことによって、一般認証サービス60はリモート認証サービス70からの要求に応じて第一一般認証チケットID(又は第一一般認証チケット)の正当性の確認を行い、確認結果を含む正当性確認レスポンスを要求元のリモート認証サービス70に送信することができる。
23, the
リモート認証サービス70は、第一一般認証チケットIDの正当性の確認結果に基づいて、リモート認証チケットを作成することができる。
The
以下、リモート認証サービス70における認証チケットIDを用いた認証処理の一例を、図24を用いて説明する。図24は、リモート認証サービスにおける認証チケットIDを用いた認証処理を説明するためのフローチャート(その1)である。
Hereinafter, an example of authentication processing using the authentication ticket ID in the
ステップS30において、リモート認証サービス70は、第一一般認証チケットIDを含む図11に示したような認証チケットIDを用いた認証リクエストを、クライアントサービス50より受信する。
In step S <b> 30, the
ステップS30に続いてステップS31に進み、リモート認証サービス70は、ステップS30において受信した認証チケットIDを用いた認証リクエストに含まれる第一一般認証チケットIDを含む図12に示したような正当性確認リクエストを作成する。
Proceeding to step S31 following step S30, the
ステップS31に続いてステップS32に進み、リモート認証サービス70は、外部認証サービス管理テーブル等より一般認証サービス60のURLを取得する。
Progressing to step S32 following step S31, the
ステップS32に続いてステップS33に進み、リモート認証サービス70は、ステップS31において作成した正当性確認リクエストを、ステップS32において取得したURLに対して送信する。
Progressing to step S33 following step S32, the
ステップS33に続いてステップS34に進み、リモート認証サービス70は、ステップS33において正当性確認リクエストを送信した送信先の一般認証サービス60より、図13に示したような正当性確認レスポンスを受信する。
Progressing to step S34 following step S33, the
ステップS34に続いてステップS35に進み、リモート認証サービス70は、ステップS34において受信した正当性確認レスポンスに含まれるパラメータを参照し、第一一般認証チケットIDの正当性が確認されたかどうかを判定する。
Progressing to step S35 following step S34, the
リモート認証サービス70は、第一一般認証チケットIDの正当性が確認されたと判定すると(ステップS35においてYES)、ステップS36に進み、第一一般認証チケットIDの正当性が確認されなかったと判定すると(ステップS35においてNO)、処理を終了する。
If the
なお、処理を終了せずに、第一一般認証チケットIDの正当性が確認されなかった旨を含む認証チケットIDを用いた認証レスポンスを作成し、要求元のクライアントサービス50に送信するようにしてもよい。
It should be noted that an authentication response using an authentication ticket ID including the fact that the validity of the first general authentication ticket ID has not been confirmed is created without terminating the process, and is transmitted to the requesting
ステップS36では、リモート認証サービス70が、図20に示したようなリモート認証チケットを作成する。
In step S36, the
ステップS36に続いてステップS37に進み、リモート認証サービス70は、ステップS36において作成したリモート認証チケットを識別するリモート認証チケットIDを含む図14に示したような認証チケットIDを用いた認証レスポンスを作成する。
Progressing to step S37 following step S36, the
ステップS37に続いてステップS38に進み、リモート認証サービス70は、ステップS37において作成した認証チケットIDを用いた認証レスポンスを、要求元のクライアントサービス50に送信する。
Proceeding to step S38 following step S37, the
図24に示したような処理を行うことによって、リモート認証サービス70は、クライアントサービス50からの要求に基づいて、該要求に含まれる第一一般認証チケットIDの正当性の確認要求を対応する一般認証サービス60に送信し、第一一般認証チケットIDの正当性が確認されると、当該リモート認証サービス70における認証を証明するリモート認証チケットを作成し、リモート認証チケットIDを含む認証チケットIDを用いた認証レスポンスを要求元のクライアントサービス50に送信することができる。
By performing the processing as shown in FIG. 24, the
クライアントサービス50は、リモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。
The
以下、実施例2におけるシングルサインオンに係る処理の一例を、図25を用いて説明する。図25は、本発明におけるシングルサインオンに係る処理を説明するための図(その2)である。 Hereinafter, an example of processing related to single sign-on according to the second embodiment will be described with reference to FIG. FIG. 25 is a diagram (No. 2) for explaining the process related to single sign-on according to the present invention.
初めに、クライアントサービス50は、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを含む図9に示したような認証リクエストを、一般認証サービス60に対して、送信する(シーケンスSQ50。)。
First, the
一般認証サービス60は、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する図17に示したような第一一般認証チケットを作成する。
When receiving the authentication request, the
一般認証サービス60は、第一一般認証チケットを識別する第一一般認証チケットIDを含む図10に示したような認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ51。)。
The
クライアントサービス50は、認証レスポンスに含まれる第一一般認証チケットIDを用いて、一般認証サービス60に対応するサービスを利用することができる。
The
また、クライアントサービス50は、ユーザより、他のサービスを利用する旨の通知を受けると、該サービスを利用するため、シーケンスSQ51において取得し、保持していた第一一般認証チケットIDを含む図11に示したような認証チケットIDを用いた認証リクエストを作成し、該認証リクエストを前記サービスに対応する認証サービス(図25の例においてはリモート認証サービス70)に送信する(シーケンスSQ52。)。
When the
リモート認証サービス70は、認証チケットIDを用いた認証リクエストを受信すると、該認証リクエストに含まれる、第一一般認証チケットIDを取得し、該第一一般認証チケットIDを含む第二一般認証チケットの作成リクエストを作成する。
When receiving the authentication request using the authentication ticket ID, the
リモート認証サービス70は、外部認証サービス管理テーブル等に書き込まれた一般認証サービス60のURL等を取得し、前記作成した第二一般認証チケットの作成リクエストを一般認証サービス60に送信する(シーケンスSQ53。)。
The
一般認証サービス60は、第二一般認証チケットの作成リクエストを受信すると、該第二一般認証チケットの作成リクエストに含まれる第一一般認証チケットIDを用いて、対応する有効な第一一般認証チケットが存在するかどうかを判定し、対応する有効な第一一般認証チケットが存在すると判定すると、該第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成する。なお、第二一般認証チケットの一例は、後述する図26を用いて説明する。
Upon receiving the second general authentication ticket creation request, the
一般認証サービス60は、例えば、作成した第二一般認証チケットを識別する第二一般認証チケットIDと、第一一般認証チケットIDに対応する有効な第一一般認証チケットが存在したかどうかを表す判定結果(例えばOK)と、を含む第二一般認証チケット作成レスポンスを作成し、要求元のリモート認証サービス70に送信する(シーケンスSQ54。)。
The
リモート認証サービス70は、第二一般認証チケット作成レスポンスを受信すると、該第二一般認証チケット作成レスポンスに含まれるパラメータを参照し、第二一般認証チケットIDと、例えばOKと、が含まれていたら、第一一般認証チケットIDの正当性が確認されたと判定し、第二一般認証チケットIDを含む、認証を証明するリモート認証チケットを作成する。なお、リモート認証チケットの詳細は、後述する図27を用いて説明する。
When the
リモート認証サービス70は、第二一般認証チケットIDを用いて、例えば対応する第二一般認証チケットに含まれるユーザ情報等を一般認証サービス60より取得することができる。
The
リモート認証サービス70は、リモート認証チケットを識別するリモート認証チケットIDを含む認証チケットIDを用いた認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ55。)。
The
クライアントサービス50は、認証チケットIDを用いた認証レスポンスに含まれるリモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。
The
図25に示したような処理を行うことによって、一般認証サービス60側に特別な設定等を行う事無く、リモート認証サービス70からの片方向の参照関係によって、シングルサインオンを実現することができる。
By performing the processing shown in FIG. 25, single sign-on can be realized by a one-way reference relationship from the
また、認証データを用いた実際の認証は、一般認証サービス60側でのみ行われており、ユーザ情報等の管理を、一般認証サービス60側でのみ行うことができる。
Further, actual authentication using authentication data is performed only on the
また、ユーザ情報等を提供するディレクトリサービスを一般認証サービス60側と、リモート認証サービス70側と、で共通化することもできる。
A directory service that provides user information and the like can be shared by the
以下、第二一般認証チケットの一例を、図26を用いて説明する。図26は、第二一般認証チケットの一例を説明するための図である。 Hereinafter, an example of the second general authentication ticket will be described with reference to FIG. FIG. 26 is a diagram for explaining an example of the second general authentication ticket.
図26に示されるように、第二一般認証チケットは、第二一般認証チケットIDと、有効期限と、ユーザ情報と、を含む。 As shown in FIG. 26, the second general authentication ticket includes a second general authentication ticket ID, an expiration date, and user information.
第二一般認証チケットIDには、第二一般認証チケットを識別する識別子が格納されている。また、有効期限には、当該第二一般認証チケットの有効期限が格納されている。また、ユーザ情報には、シーケンスSQ53の第二一般認証チケットの作成リクエストに含まれていた第一一般認証チケットIDに対応する第一一般認証チケットに含まれていたユーザ情報の構造体(ユーザ情報構造体)がそのまま格納されている。 In the second general authentication ticket ID, an identifier for identifying the second general authentication ticket is stored. The expiration date stores the expiration date of the second general authentication ticket. The user information includes a structure of user information (user information) included in the first general authentication ticket corresponding to the first general authentication ticket ID included in the second general authentication ticket creation request of sequence SQ53. Structure) is stored as it is.
以下、リモート認証チケットの他の例を、図27を用いて説明する。図27は、リモート認証チケットを説明するための図(その2)である。 Hereinafter, another example of the remote authentication ticket will be described with reference to FIG. FIG. 27 is a diagram (part 2) for explaining the remote authentication ticket.
図27に示されるように、リモート認証チケットは、リモート認証チケットIDと、第二一般認証チケットIDと、有効期限と、を含む。 As shown in FIG. 27, the remote authentication ticket includes a remote authentication ticket ID, a second general authentication ticket ID, and an expiration date.
リモート認証チケットIDには、リモート認証チケットを識別する識別子が格納されている。また、第二一般認証チケットIDには、シーケンスSQ54の第二一般認証チケット作成レスポンスに含まれていた第二一般認証チケットを識別する識別子が格納されている。また、有効期限には、当該リモート認証チケットの有効期限が格納されている。 The remote authentication ticket ID stores an identifier for identifying the remote authentication ticket. The second general authentication ticket ID stores an identifier for identifying the second general authentication ticket included in the second general authentication ticket creation response of sequence SQ54. Further, the expiration date stores the expiration date of the remote authentication ticket.
以下、一般認証サービス60における第二一般認証チケット作成処理の一例を、図28を用いて説明する。図28は、一般認証サービスにおける第二一般認証チケット作成処理を説明するためのフローチャートである。なお、第二実施例においては、一般認証サービス60における認証処理は、第一実施例と同様であるので、フローチャートによる説明を省略してある。
Hereinafter, an example of the second general authentication ticket creation process in the
ステップS40において、一般認証サービス60は、第一一般認証チケットIDを含む第二一般認証チケット作成リクエストを、リモート認証サービス70より受信する。
In step S <b> 40, the
ステップS40に続いてステップS41に進み、一般認証サービス60は、ステップS40において受信した第二一般認証チケット作成リクエストに含まれる第一一般認証チケットIDに基づいて、チケット管理部64等を参照し、有効な第一一般認証チケットが存在するかどうかを判定する。
Progressing to step S41 following step S40, the
一般認証サービス60は、有効な第一一般認証チケットが存在すると判定すると(ステップS41においてYES)、ステップS42に進み、有効な第一一般認証チケットが存在しないと判定すると(ステップS41においてNO)、ステップS43に進む。
If the
一般認証サービス60は、例えば第一一般認証チケットIDに対応する第一一般認証チケットが存在し、且つ該第一一般認証チケットの有効期限が切れていない場合、有効な第一一般認証チケットが存在すると判定する。
The
ステップS42では、一般認証サービス60が、第一一般認証チケットIDに対応する第一一般認証チケットに含まれるユーザ情報を含む図26に示したような第二一般認証チケットを作成する。
In step S42, the
一方ステップS43では、一般認証サービス60が、パラメータとしてNGを含む第二一般認証チケット作成レスポンスを作成する。
On the other hand, in step S43, the
ステップS42に続いてステップS44に進み、一般認証サービス60は、パラメータとしてOKと、ステップS42において作成した第二一般認証チケットを識別する第二一般認証チケットIDと、を含む第二一般認証チケット作成レスポンスを作成する。
Proceeding to step S44 following step S42, the
ステップS45では、一般認証サービス60が、作成した第二一般認証チケット作成レスポンスを、要求元のリモート認証サービス70に送信する。
In step S45, the
図28に示したような処理を行うことによって、一般認証サービス60はリモート認証サービス70からの要求に応じて第一一般認証チケットID(又は第一一般認証チケット)の正当性の確認を行い、有効な第一一般認証チケットIDであると判定すると、第一一般認証チケットに含まれるユーザ情報を含む第二一般認証チケットを作成し、前記正当性の確認結果と、第二一般認証チケットIDと、を含む第二一般認証チケット作成レスポンスを要求元のリモート認証サービス70に送信することができる。
28, the
リモート認証サービス70は、第一一般認証チケットIDの正当性の確認結果及び第二一般認証チケットIDに基づいて、リモート認証チケットを作成することができる。
The
以下、リモート認証サービス70における認証チケットIDを用いた認証処理の他の例を、図29を用いて説明する。図29は、リモート認証サービスにおける認証チケットIDを用いた認証処理を説明するためのフローチャート(その2)である。
Hereinafter, another example of the authentication process using the authentication ticket ID in the
ステップS50において、リモート認証サービス70は、第一一般認証チケットIDを含む図11に示したような認証チケットIDを用いた認証リクエストを、クライアントサービス50より受信する。
In step S50, the
ステップS50に続いてステップS51に進み、リモート認証サービス70は、ステップS50において受信した認証チケットIDを用いた認証リクエストに含まれる第一一般認証チケットIDを含む第二一般認証チケット作成リクエストを作成する。
Progressing to step S51 following step S50, the
ステップS51に続いてステップS52に進み、リモート認証サービス70は、外部認証サービス管理テーブル等より一般認証サービス60のURLを取得する。
Progressing to step S52 following step S51, the
ステップS52に続いてステップS53に進み、リモート認証サービス70は、ステップS51において作成した第二一般認証チケット作成リクエストを、ステップS52において取得したURLに対して送信する。
Progressing to step S53 following step S52, the
ステップS53に続いてステップS54に進み、リモート認証サービス70は、ステップS53において第二一般認証チケット作成リクエストを送信した送信先の一般認証サービス60より、第二一般認証チケット作成レスポンスを受信する。
Proceeding to step S54 following step S53, the
ステップS54に続いてステップS55に進み、リモート認証サービス70は、ステップS54において受信した第二一般認証チケット作成レスポンスに含まれるパラメータを参照し、第一一般認証チケットIDの正当性が確認されたかどうかを判定する。
Progressing to step S55 following step S54, the
リモート認証サービス70は、第一一般認証チケットIDの正当性が確認されたと判定すると(ステップS55においてYES)、ステップS56に進み、第一一般認証チケットIDの正当性が確認されなかったと判定すると(ステップS55においてNO)、処理を終了する。
If the
なお、処理を終了せずに、第一一般認証チケットIDの正当性が確認されなかった旨を含む認証チケットIDを用いた認証レスポンスを作成し、要求元のクライアントサービス50に送信するようにしてもよい。
It should be noted that an authentication response using an authentication ticket ID including the fact that the validity of the first general authentication ticket ID has not been confirmed is created without terminating the process, and is transmitted to the requesting
ステップS56では、リモート認証サービス70が、図27に示したようなリモート認証チケットを作成する。
In step S56, the
ステップS56に続いてステップS57に進み、リモート認証サービス70は、ステップS56において作成したリモート認証チケットを識別するリモート認証チケットIDを含む図14に示したような認証チケットIDを用いた認証レスポンスを作成する。
Progressing to step S57 following step S56, the
ステップS57に続いてステップS58に進み、リモート認証サービス70は、ステップS57において作成した認証チケットIDを用いた認証レスポンスを、要求元のクライアントサービス50に送信する。
Proceeding to step S58 following step S57, the
図29に示したような処理を行うことによって、リモート認証サービス70は、クライアントサービス50からの要求に基づいて、該要求に含まれる第一一般認証チケットIDを含む第二一般認証チケットの作成要求を対応する一般認証サービス60に送信し、第一一般認証チケットIDの正当性が確認され、第二一般認証チケットIDを取得すると、第二一般認証チケットIDを含む、当該リモート認証サービス70における認証を証明するリモート認証チケットを作成し、リモート認証チケットIDを含む、認証チケットIDを用いた認証レスポンスを要求元のクライアントサービス50に送信することができる。
By performing the processing as shown in FIG. 29, the
また、リモート認証サービス70は、一般認証サービス60より取得した第二一般認証チケットIDを用いて、例えば、該第二一般認証チケットIDに対応する第二一般認証チケットに含まれるユーザ情報等を取得することができる。
Further, the
クライアントサービス50は、リモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。
The
以下、実施例3におけるシングルサインオンに係る処理の一例を、図30を用いて説明する。図30は、本発明におけるシングルサインオンに係る処理を説明するための図(その3)である。 Hereinafter, an example of processing related to single sign-on according to the third embodiment will be described with reference to FIG. FIG. 30 is a diagram (No. 3) for explaining the process related to single sign-on according to the present invention.
初めに、クライアントサービス50は、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを含む図9に示したような認証リクエストを、リモート認証サービス70に対して、送信する(シーケンスSQ60。)。
First, the
リモート認証サービス70は、認証リクエストを受信すると、外部認証サービス管理テーブル等に書き込まれた一般認証サービス60のURL等を取得し、前記認証リクエストを一般認証サービス60に送信する(シーケンスSQ61。)。
When receiving the authentication request, the
一般認証サービス60は、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する図17に示したような第一一般認証チケットを作成する。
When receiving the authentication request, the
一般認証サービス60は、第一一般認証チケットを識別する第一一般認証チケットIDを含む図10に示したような認証レスポンスを作成し、要求元のリモート認証サービス70に送信する(シーケンスSQ62。)。
The
リモート認証サービス70は、第一一般認証チケットIDを用いて、例えば対応する第一一般認証チケットに含まれるユーザ情報等を一般認証サービス60より取得することができる。
The
リモート認証サービス70は、認証レスポンスを受信すると、該認証レスポンスに含まれる第一一般認証チケットIDを含む、リモート認証チケットを作成し、該リモート認証チケットを識別するリモート認証チケットIDを含む認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ63。)。なお、リモート認証チケットの一例は、後述する図31を用いて説明する。
When receiving the authentication response, the
クライアントサービス50は、認証レスポンスに含まれるリモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。
The
また、クライアントサービス50は、ユーザより、他のサービスを利用する旨の通知を受けると、該サービスを利用するため、シーケンスSQ63において取得し、保持していたリモート認証チケットIDと、リモート認証サービス70を識別するURLと、を含む、認証チケットIDを用いたURLを含む認証リクエストを作成し、該認証リクエストを前記サービスに対応する認証サービス(図30の例においては一般認証サービス60)に送信する(シーケンスSQ64。)。
When the
一般認証サービス60は、認証チケットIDを用いたURLを含む認証リクエストを受信すると、該認証リクエストに含まれるリモート認証チケットIDを含む、該リモート認証チケットIDに対応するリモート認証チケットに含まれる第一一般認証チケットIDの取得リクエストを作成し、認証チケットIDを用いたURLを含む認証リクエストに含まれるURLに対して送信する(シーケンスSQ65。)。
When the
リモート認証サービス70は、第一一般認証チケットIDの取得リクエストを受信すると、該第一一般認証チケットIDの取得リクエストに含まれるリモート認証チケットIDを用いて、対応する有効なリモート認証チケットが存在するかどうかを判定し、対応する有効なリモート認証チケットが存在すると判定すると、該リモート認証チケットに含まれる第一一般認証チケットIDを取得し、該第一一般認証チケットIDを含む、第一一般認証チケットIDの取得レスポンスを要求元の一般認証サービス60に送信する(シーケンスSQ66。)。
When receiving the acquisition request for the first general authentication ticket ID, the
一般認証サービス60は、第一一般認証チケットIDの取得レスポンスを受信すると、該第一一般認証チケットIDの取得レスポンスに含まれる第一一般認証チケットIDが、当該一般認証サービス60が発行した有効な第一一般認証チケットIDかどうかを判定する。
When the
一般認証サービス60は、当該自身が発行した有効な第一一般認証チケットIDであると判定すると、該第一一般認証チケットIDに対応する第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成する。
If it is determined that the
一般認証サービス60は、作成した第二一般認証チケットを識別する第二一般認証チケットIDを含む、認証チケットIDを用いたURLを含む認証レスポンスを作成し、要求元のクライアントサービス50に送信する(シーケンスSQ67。)。
The
クライアントサービス50は、認証チケットIDを用いたURLを含む認証レスポンスに含まれる第二一般認証チケットIDを用いて、一般認証サービス60に対応するサービスを利用することができる。
The
図30に示したような処理を行うことによって、一般認証サービス60側に特別な設定等を行う事無く、リモート認証サービス70からの片方向の参照関係によって、シングルサインオンを実現することができる。
By performing the processing shown in FIG. 30, single sign-on can be realized by a one-way reference relationship from the
また、認証データを用いた実際の認証は、一般認証サービス60側でのみ行われており、ユーザ情報等の管理を、一般認証サービス60側でのみ行うことができる。
Further, actual authentication using authentication data is performed only on the
また、ユーザ情報等を提供するディレクトリサービスを一般認証サービス60側と、リモート認証サービス70側と、で共通化することもできる。
A directory service that provides user information and the like can be shared by the
以下、リモート認証チケットの他の例を、図31を用いて説明する。図31は、リモート認証チケットを説明するための図(その3)である。 Hereinafter, another example of the remote authentication ticket will be described with reference to FIG. FIG. 31 is a diagram (No. 3) for explaining the remote authentication ticket.
図31に示されるように、リモート認証チケットは、リモート認証チケットIDと、第一一般認証チケットIDと、有効期限と、を含む。 As shown in FIG. 31, the remote authentication ticket includes a remote authentication ticket ID, a first general authentication ticket ID, and an expiration date.
リモート認証チケットIDには、リモート認証チケットを識別する識別子が格納されている。また、第一一般認証チケットIDには、シーケンスSQ62の認証レスポンスに含まれていた第一一般認証チケットを識別する識別子が格納されている。また、有効期限には、当該リモート認証チケットの有効期限が格納されている。 The remote authentication ticket ID stores an identifier for identifying the remote authentication ticket. In the first general authentication ticket ID, an identifier for identifying the first general authentication ticket included in the authentication response of sequence SQ62 is stored. Further, the expiration date stores the expiration date of the remote authentication ticket.
以下、リモート認証サービス70における認証処理の一例を、図32を用いて説明する。図32は、リモート認証サービスにおける認証処理を説明するためのフローチャート(その1)である。
Hereinafter, an example of authentication processing in the
ステップS60において、リモート認証サービス70は、ユーザIDとパスワードとを含む図9に示したような認証リクエストを、クライアントサービス50より受信する。
In step S <b> 60, the
ステップS60に続いてステップS61に進み、リモート認証サービス70は、外部認証サービス管理テーブル等より一般認証サービス60のURLを取得する。
In step S61 following step S60, the
ステップS61に続いてステップS62に進み、リモート認証サービス70は、ステップS60において受信した認証リクエストを、ステップS61において取得したURLに対して送信する。
Progressing to step S62 following step S61, the
ステップS62に続いてステップS63に進み、リモート認証サービス70は、ステップS62において認証リクエストを送信した送信先の一般認証サービス60より、第一一般認証チケットIDを含む図10に示したような認証レスポンスを受信する。
Progressing to step S63 following step S62, the
ステップS63に続いてステップS64に進み、リモート認証サービス70は、ステップS63において受信した認証レスポンスに含まれる第一一般認証チケットIDを含む、図31に示したようなリモート認証チケットを作成する。
Progressing to step S64 following step S63, the
ステップS64に続いてステップS65に進み、リモート認証サービス70は、ステップS64において作成したリモート認証チケットを識別するリモート認証チケットIDを含む認証レスポンスを作成する。
Proceeding to step S65 following step S64, the
ステップS65に続いてステップS66に進み、リモート認証サービス70は、ステップS65において作成した認証レスポンスを、要求元のクライアントサービス50に送信する。
Proceeding to step S66 following step S65, the
図32に示したような処理を行うことによって、リモート認証サービス70は、クライアントサービス50からの認証要求を、対応する一般認証サービス60に送信し、一般認証サービス60において認証された結果である第一一般認証チケットIDを用いて、該第一一般認証チケットIDを含むリモート認証チケットを作成し、リモート認証チケットIDを含む認証レスポンスを要求元のクライアントサービス50に送信することができる。
32, the
クライアントサービス50は、リモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。また、クライアントサービス50は、リモート認証チケットIDを用いて、該リモート認証チケットIDを含む認証チケットIDを用いたURLを含む認証レスポンスを作成し、一般認証サービス60における認証を要求することができる。
The
以下、リモート認証サービス70における第一一般認証チケットID取得処理の一例を、図33を用いて説明する。図33は、リモート認証サービスにおける第一一般認証チケットID取得処理を説明するためのフローチャートである。
Hereinafter, an example of the first general authentication ticket ID acquisition process in the
ステップS70において、リモート認証サービス70は、リモート認証チケットIDを含む、第一一般認証チケットIDの取得リクエストを一般認証サービス60より受信する。
In step S <b> 70, the
ステップS70に続いてステップS71に進み、リモート認証サービス70は、ステップS70において受信した第一一般認証チケットIDの取得リクエストに含まれるリモート認証チケットIDに基づいて、チケット管理部73等を参照し、該リモート認証チケットIDに対応する有効なリモート認証チケットが存在するかどうかを判定する。
Progressing to step S71 following step S70, the
リモート認証サービス70は、有効なリモート認証チケットが存在すると判定すると(ステップS71においてYES)、ステップS72に進み、有効なリモート認証チケットが存在しないと判定すると(ステップS71においてNO)、ステップS73に進む。
If the
リモート認証サービス70は、例えばリモート認証チケットIDに対応するリモート認証チケットが存在し、且つ該リモート認証チケットの有効期限が切れていない場合、有効なリモート認証チケットが存在すると判定する。
For example, when the remote authentication ticket corresponding to the remote authentication ticket ID exists and the validity period of the remote authentication ticket has not expired, the
ステップS72では、リモート認証サービス70が、リモート認証チケットIDに対応するリモート認証チケットより、該リモート認証チケットに含まれる第一一般認証チケットIDを取得する。
In step S72, the
一方、ステップS73では、リモート認証サービス70が、パラメータとしてNGを含む第一一般認証チケットID取得レスポンスを作成する。
On the other hand, in step S73, the
ステップS72に続いてステップS74に進み、リモート認証サービス70は、パラメータとしてOKと、ステップS72において取得した第一一般認証チケットIDと、を含む第一一般認証チケットID取得レスポンスを作成する。
Proceeding to step S74 following step S72, the
ステップS75では、リモート認証サービス70が、第一一般認証チケットID取得レスポンスを、要求元の一般認証サービス60に送信する。
In step S75, the
図33に示したような処理を行うことによって、リモート認証サービス70は、一般認証サービス60からの要求に応じて、リモート認証チケットIDに対応するリモート認証チケットより、第一一般認証チケットIDを取得して、要求元の一般認証サービス60に送信することができる。
33, the
一般認証サービス60は、取得した第一一般認証チケットIDが、自身が発行した第一一般認証チケットIDかどうかを判定し、当該自身が発行した有効な第一一般認証チケットIDであると判定すると、該第一一般認証チケットIDに対応する第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成することができる。
When the
以下、一般認証サービス60における認証処理の他の例を、図34を用いて説明する。図34は、一般認証サービスにおける認証処理を説明するためのフローチャート(その2)である。
Hereinafter, another example of the authentication process in the
ステップS80において、一般認証サービス60は、ユーザIDとパスワードとを含む図9に示したような認証リクエストを、リモート認証サービス70より受信する。
In step S80, the
ステップS80に続いてステップS81に進み、一般認証サービス60は、ステップS80において受信した認証リクエストに含まれるユーザIDとパスワードとの組み合わせに基づいて、ユーザ管理テーブルを参照し、正しいユーザIDとパスワードとの組み合わせが存在するかどうかを判定する。
Progressing to step S81 following step S80, the
一般認証サービス60は、正しい組み合わせが存在すると判定すると(ステップS81においてYES)、認証が成功したとしてステップS82に進み、正しい組み合わせが存在しないと判定すると(ステップS81においてNO)、認証が失敗したとして処理を終了する。なお、処理を終了せずに、認証が失敗した旨を含む認証レスポンスを作成し、要求元のリモート認証サービス70に送信するようにしてもよい。
If it is determined that the correct combination exists (YES in step S81), the
ステップS82では、一般認証サービス60が、図17に示したような第一一般認証チケットを作成する。
In step S82, the
ステップS82に続いてステップS83に進み、一般認証サービス60は、ステップS82において作成した第一一般認証チケットを識別する第一一般認証チケットIDを含む図10に示したような認証レスポンスを作成する。
Progressing to step S83 following step S82, the
ステップS83に続いてステップS84に進み、一般認証サービス60は、ステップS83において作成した認証レスポンスを要求元のリモート認証サービス70に送信する。
Proceeding to step S84 following step S83, the
図34に示したような処理を行うことによって、一般認証サービス60は、リモート認証サービス70からの要求に応じて、第一一般認証チケットを作成し、第一一般認証チケットIDを含む認証レスポンスを要求元のリモート認証サービス70に送信することができる。
By performing the processing as shown in FIG. 34, the
リモート認証サービス70は、第一一般認証チケットIDを用いて、該第一一般認証チケットIDを含む図31に示したようなリモート認証チケットを作成することができる。
The
以下、一般認証サービス60における認証チケットIDを用いたURLを含む認証処理の一例を、図35を用いて説明する。図35は、一般認証サービスにおける認証チケットIDを用いたURLを含む認証処理を説明するためのフローチャート(その1)である。
Hereinafter, an example of the authentication process including the URL using the authentication ticket ID in the
ステップS90において、一般認証サービス60は、リモート認証チケットIDと、リモート認証サービス70を識別するURLと、を含む、認証チケットIDを用いたURLを含む認証リクエストを、クライアントサービス50より受信する。
In step S <b> 90, the
ステップS90に続いてステップS91に進み、一般認証サービス60は、ステップS90において受信した認証チケットIDを用いたURLを含む認証リクエストに含まれるリモート認証チケットIDを含む、該リモート認証チケットIDに対応するリモート認証チケットに含まれる第一一般認証チケットIDの取得リクエストを作成する。
Progressing to step S91 following step S90, the
ステップS91に続いてステップS92に進み、一般認証サービス60は、ステップS91において作成した第一一般認証チケットIDの取得リクエストを、ステップS90において受信した認証チケットIDを用いたURLを含む認証リクエストに含まれるURLに対して送信する。
Progressing to step S92 following step S91, the
ステップS92に続いてステップS93に進み、一般認証サービス60は、ステップS92において第一一般認証チケットIDの取得リクエストを送信した送信先のリモート認証サービス70より、第一一般認証チケットIDを含む、第一一般認証チケットID取得レスポンスを受信する。
Proceeding to step S93 following step S92, the
ステップS93に続いてステップS94に進み、一般認証サービス60は、ステップS93において受信した第一一般認証チケットID取得レスポンスに含まれる第一一般認証チケットIDが、当該一般認証サービス60が発行した有効な第一一般認証チケットIDかどうかを判定する。
Proceeding to step S94 following step S93, the
一般認証サービス60は、当該自身が発行した有効な第一一般認証チケットIDであると判定すると(ステップS94においてYES)、ステップS95に進み、当該自身が発行した有効な第一一般認証チケットIDでないと判定すると(ステップS94においてNO)、処理を終了する。
If the
一般認証サービス60は、例えば第一一般認証チケットIDに対応する第一一般認証チケットが存在し、且つ該第一一般認証チケットの有効期限が切れていない場合、有効な第一一般認証チケットIDであると判定する。
For example, when the first general authentication ticket corresponding to the first general authentication ticket ID exists and the expiration date of the first general authentication ticket has not expired, the
ステップS95では、一般認証サービス60が、第一一般認証チケットIDに対応する第一一般認証チケットより、該第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成する。
In step S95, the
ステップS95に続いてステップS96に進み、一般認証サービス60は、ステップS95において作成した第二一般認証チケットを識別する第二一般認証チケットIDを含む、認証チケットIDを用いたURLを含む認証レスポンスを作成する。
Proceeding to step S96 following step S95, the
ステップS96に続いてステップS97に進み、一般認証サービス60は、ステップS95において作成した認証チケットIDを用いたURLを含む認証レスポンスを、要求元のクライアントサービス50に送信する。
Proceeding to step S97 following step S96, the
図35に示したような処理を行うことによって、一般認証サービス60は、クライアントサービス50からの要求に基づいて、該要求に含まれるリモート認証チケットIDを含む、該リモート認証チケットIDに対応するリモート認証チケットに含まれる第一一般認証チケットIDの取得リクエストを、前記要求に含まれるURLに対して送信し、リモート認証チケットIDの正当性が確認され、第一一般認証チケットIDを取得すると、該第一一般認証チケットIDに対応する第一一般認証チケットより、該第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成し、第二一般認証チケットIDを含む、認証チケットIDを用いたURLを含む認証レスポンスを要求元のクライアントサービス50に送信することができる。
By performing the processing as shown in FIG. 35, the
クライアントサービス50は、第二一般認証チケットIDを用いて、一般認証サービス60に対応するサービスを利用することができる。
The
以下、実施例4におけるシングルサインオンに係る処理の一例を、図36を用いて説明する。図36は、本発明におけるシングルサインオンに係る処理を説明するための図(その4)である。 Hereinafter, an example of processing related to single sign-on according to the fourth embodiment will be described with reference to FIG. FIG. 36 is a diagram (No. 4) for describing a process related to single sign-on according to the present invention.
初めに、クライアントサービス50は、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを含む図9に示したような認証リクエストを、リモート認証サービス70に対して、送信する(シーケンスSQ70。)。
First, the
リモート認証サービス70は、認証リクエストを受信すると、外部認証サービス管理テーブル等に書き込まれた一般認証サービス60のURL等を取得し、前記認証リクエストを一般認証サービス60に送信する(シーケンスSQ71。)。
When receiving the authentication request, the
一般認証サービス60は、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する図17に示したような第一一般認証チケットを作成する。
When receiving the authentication request, the
一般認証サービス60は、第一一般認証チケットを識別する第一一般認証チケットIDと、該第一一般認証チケットIDを暗号化した暗号化第一一般認証チケットIDと、を含む認証レスポンスを作成し、要求元のリモート認証サービス70に送信する(シーケンスSQ72。)。
The
リモート認証サービス70は、第一一般認証チケットIDを用いて、例えば対応する第一一般認証チケットに含まれるユーザ情報等を一般認証サービス60より取得することができる。
The
リモート認証サービス70は、認証レスポンスを受信すると、該認証レスポンスに含まれる第一一般認証チケットIDと、暗号化第一一般認証チケットIDと、を含む、リモート認証チケットを作成し、該リモート認証チケットを識別するリモート認証チケットIDを含む認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ73。)。なお、リモート認証チケットの他の例は、後述する図37を用いて説明する。
When receiving the authentication response, the
クライアントサービス50は、認証レスポンスに含まれるリモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。
The
また、クライアントサービス50は、ユーザより、他のサービスを利用する旨の通知を受けると、該サービスを利用するため、シーケンスSQ73において取得し、保持していたリモート認証チケットIDと、リモート認証サービス70を識別するURLと、を含む、認証チケットIDを用いたURLを含む認証リクエストを作成し、該認証リクエストを前記サービスに対応する認証サービス(図36の例においては一般認証サービス60)に送信する(シーケンスSQ74。)。
When the
一般認証サービス60は、認証チケットIDを用いたURLを含む認証リクエストを受信すると、該認証リクエストに含まれるリモート認証チケットIDを含む、該リモート認証チケットIDに対応するリモート認証チケットに含まれる暗号化第一一般認証チケットIDの取得リクエストを作成し、認証チケットIDを用いたURLを含む認証リクエストに含まれるURLに対して送信する(シーケンスSQ75。)。
When receiving the authentication request including the URL using the authentication ticket ID, the
リモート認証サービス70は、暗号化第一一般認証チケットIDの取得リクエストを受信すると、該暗号化第一一般認証チケットIDの取得リクエストに含まれるリモート認証チケットIDを用いて、対応する有効なリモート認証チケットが存在するかどうかを判定し、対応する有効なリモート認証チケットが存在すると判定すると、該リモート認証チケットに含まれる暗号化第一一般認証チケットIDを取得し、該暗号化第一一般認証チケットIDを含む、暗号化第一一般認証チケットIDの取得レスポンスを要求元の一般認証サービス60に送信する(シーケンスSQ76。)。
When the
一般認証サービス60は、暗号化第一一般認証チケットIDの取得レスポンスを受信すると、該暗号化第一一般認証チケットIDの取得レスポンスに含まれる暗号化第一一般認証チケットIDを復号化し、該復号化した第一一般認証チケットIDが、当該一般認証サービス60が発行した有効な第一一般認証チケットIDかどうかを判定する。
When the
一般認証サービス60は、当該自身が発行した有効な第一一般認証チケットIDであると判定すると、該第一一般認証チケットIDに対応する第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成する。
If it is determined that the
一般認証サービス60は、作成した第二一般認証チケットを識別する第二一般認証チケットIDを含む、認証チケットIDを用いたURLを含む認証レスポンスを作成し、要求元のクライアントサービス50に送信する(シーケンスSQ77。)。
The
クライアントサービス50は、認証チケットIDを用いたURLを含む認証レスポンスに含まれる第二一般認証チケットIDを用いて、一般認証サービス60に対応するサービスを利用することができる。
The
図36に示したような処理を行うことによって、一般認証サービス60側に特別な設定等を行う事無く、リモート認証サービス70からの片方向の参照関係によって、シングルサインオンを実現することができる。
By performing the processing as shown in FIG. 36, single sign-on can be realized by a one-way reference relationship from the
また、認証データを用いた実際の認証は、一般認証サービス60側でのみ行われており、ユーザ情報等の管理を、一般認証サービス60側でのみ行うことができる。
Further, actual authentication using authentication data is performed only on the
また、ユーザ情報等を提供するディレクトリサービスを一般認証サービス60側と、リモート認証サービス70側と、で共通化することもできる。
A directory service that provides user information and the like can be shared by the
実施例4は、シーケンスSQ75やシーケンスSQ76に示されるように、一般認証サービス60が、リモート認証サービス70より、暗号化された第一一般認証チケットIDを取得可能な構成としているため、実施例3と比べて、よりセキュアな構成となっている。
In the fourth embodiment, as shown in the sequence SQ75 and the sequence SQ76, the
以下、リモート認証チケットの他の例を、図37を用いて説明する。図37は、リモート認証チケットを説明するための図(その4)である。 Hereinafter, another example of the remote authentication ticket will be described with reference to FIG. FIG. 37 is a diagram (part 4) for explaining the remote authentication ticket.
図37に示されるように、リモート認証チケットは、リモート認証チケットIDと、第一一般認証チケットIDと、暗号化第一一般認証チケットIDと、有効期限と、を含む。 As shown in FIG. 37, the remote authentication ticket includes a remote authentication ticket ID, a first general authentication ticket ID, an encrypted first general authentication ticket ID, and an expiration date.
リモート認証チケットIDには、リモート認証チケットを識別する識別子が格納されている。また、第一一般認証チケットIDには、シーケンスSQ72の認証レスポンスに含まれていた第一一般認証チケットを識別する識別子が格納されている。また、暗号化第一一般認証チケットIDには、シーケンスSQ72の認証レスポンスに含まれていた一般認証サービス60において暗号化された第一一般認証チケットを識別する識別子が格納されている。また、有効期限には、当該リモート認証チケットの有効期限が格納されている。
The remote authentication ticket ID stores an identifier for identifying the remote authentication ticket. The first general authentication ticket ID stores an identifier for identifying the first general authentication ticket included in the authentication response of sequence SQ72. The encrypted first general authentication ticket ID stores an identifier for identifying the first general authentication ticket encrypted in the
以下、リモート認証サービス70における認証処理の一例を、図38を用いて説明する。図38は、リモート認証サービスにおける認証処理を説明するためのフローチャート(その2)である。
Hereinafter, an example of authentication processing in the
ステップS100において、リモート認証サービス70は、ユーザIDとパスワードとを含む図9に示したような認証リクエストを、クライアントサービス50より受信する。
In step S <b> 100, the
ステップS100に続いてステップS101に進み、リモート認証サービス70は、外部認証サービス管理テーブル等より一般認証サービス60のURLを取得する。
Progressing to step S101 following step S100, the
ステップS101に続いてステップS102に進み、リモート認証サービス70は、ステップS100において受信した認証リクエストを、ステップS101において取得したURLに対して送信する。
Proceeding to step S102 following step S101, the
ステップS102に続いてステップS103に進み、リモート認証サービス70は、ステップS102において認証リクエストを送信した送信先の一般認証サービス60より、第一一般認証チケットIDと、該第一一般認証チケットIDを暗号化した暗号化第一一般認証チケットIDと、を含む認証レスポンスを受信する。
Progressing to step S103 following step S102, the
ステップS103に続いてステップS104に進み、リモート認証サービス70は、ステップS103において受信した認証レスポンスに含まれる第一一般認証チケットIDと、暗号化第一一般認証チケットIDと、を含む、図37に示したようなリモート認証チケットを作成する。
Progressing to step S104 following step S103, the
ステップS104に続いてステップS105に進み、リモート認証サービス70は、ステップS104において作成したリモート認証チケットを識別するリモート認証チケットIDを含む認証レスポンスを作成する。
Proceeding to step S105 following step S104, the
ステップS105に続いてステップS106に進み、リモート認証サービス70は、ステップS105において作成した認証レスポンスを、要求元のクライアントサービス50に送信する。
In step S106 following step S105, the
図38に示したような処理を行うことによって、リモート認証サービス70は、クライアントサービス50からの認証要求を、対応する一般認証サービス60に送信し、一般認証サービス60において認証された結果である第一一般認証チケットIDと、暗号化第一一般認証チケットIDと、を用いて、第一一般認証チケットIDと、暗号化第一一般認証チケットIDと、を含むリモート認証チケットを作成し、リモート認証チケットIDを含む認証レスポンスを要求元のクライアントサービス50に送信することができる。
38, the
クライアントサービス50は、リモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。また、クライアントサービス50は、リモート認証チケットIDを用いて、該リモート認証チケットIDを含む認証チケットIDを用いたURLを含む認証レスポンスを作成し、一般認証サービス60における認証を要求することができる。
The
以下、リモート認証サービス70における暗号化第一一般認証チケットID取得処理の一例を、図39を用いて説明する。図39は、リモート認証サービスにおける暗号化第一一般認証チケットID取得処理を説明するためのフローチャートである。
Hereinafter, an example of the encrypted first general authentication ticket ID acquisition process in the
ステップS110において、リモート認証サービス70は、リモート認証チケットIDを含む、暗号化第一一般認証チケットIDの取得リクエストを一般認証サービス60より受信する。
In step S <b> 110, the
ステップS110に続いてステップS111に進み、リモート認証サービス70は、ステップS110において受信した暗号化第一一般認証チケットIDの取得リクエストに含まれるリモート認証チケットIDに基づいて、チケット管理部73等を参照し、該リモート認証チケットIDに対応する有効なリモート認証チケットが存在するかどうかを判定する。
Progressing to step S111 following step S110, the
リモート認証サービス70は、有効なリモート認証チケットが存在すると判定すると(ステップS111においてYES)、ステップS112に進み、有効なリモート認証チケットが存在しないと判定すると(ステップS111においてNO)、ステップS113に進む。
If the
リモート認証サービス70は、例えばリモート認証チケットIDに対応するリモート認証チケットが存在し、且つ該リモート認証チケットの有効期限が切れていない場合、有効なリモート認証チケットが存在すると判定する。
For example, when the remote authentication ticket corresponding to the remote authentication ticket ID exists and the validity period of the remote authentication ticket has not expired, the
ステップS112では、リモート認証サービス70が、リモート認証チケットIDに対応するリモート認証チケットより、該リモート認証チケットに含まれる暗号化第一一般認証チケットIDを取得する。
In step S112, the
一方、ステップS113では、リモート認証サービス70が、パラメータとしてNGを含む暗号化第一一般認証チケットID取得レスポンスを作成する。
On the other hand, in step S113, the
ステップS112に続いてステップS114に進み、リモート認証サービス70は、パラメータとしてOKと、ステップS112において取得した暗号化第一一般認証チケットIDと、を含む暗号化第一一般認証チケットID取得レスポンスを作成する。
Progressing to step S114 following step S112, the
ステップS115では、リモート認証サービス70が、暗号化第一一般認証チケットID取得レスポンスを、要求元の一般認証サービス60に送信する。
In step S115, the
図39に示したような処理を行うことによって、リモート認証サービス70は、一般認証サービス60からの要求に応じて、リモート認証チケットIDに対応するリモート認証チケットより、暗号化第一一般認証チケットIDを取得して、要求元の一般認証サービス60に送信することができる。
By performing the processing as shown in FIG. 39, the
一般認証サービス60は、取得した暗号化第一一般認証チケットIDを復号化し、該復号化した第一一般認証チケットIDが、自身が発行した第一一般認証チケットIDかどうかを判定し、当該自身が発行した有効な第一一般認証チケットIDであると判定すると、該第一一般認証チケットIDに対応する第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成することができる。
The
以下、一般認証サービス60における認証処理の他の例を、図40を用いて説明する。図40は、一般認証サービスにおける認証処理を説明するためのフローチャート(その3)である。
Hereinafter, another example of the authentication process in the
ステップS120において、一般認証サービス60は、ユーザIDとパスワードとを含む図9に示したような認証リクエストを、リモート認証サービス70より受信する。
In step S120, the
ステップS120に続いてステップS121に進み、一般認証サービス60は、ステップS120において受信した認証リクエストに含まれるユーザIDとパスワードとの組み合わせに基づいて、ユーザ管理テーブルを参照し、正しいユーザIDとパスワードとの組み合わせが存在するかどうかを判定する。
In step S121 following step S120, the
一般認証サービス60は、正しい組み合わせが存在すると判定すると(ステップS121においてYES)、認証が成功したとしてステップS122に進み、正しい組み合わせが存在しないと判定すると(ステップS121においてNO)、認証が失敗したとして処理を終了する。なお、処理を終了せずに、認証が失敗した旨を含む認証レスポンスを作成し、要求元のリモート認証サービス70に送信するようにしてもよい。
If the
ステップS122では、一般認証サービス60が、図17に示したような第一一般認証チケットを作成する。
In step S122, the
ステップS122に続いてステップS123に進み、一般認証サービス60は、ステップS122において作成した第一一般認証チケットを識別する第一一般認証チケットIDを暗号化する。
Proceeding to step S123 following step S122, the
ステップS123に続いてステップS124に進み、一般認証サービス60は、第一一般認証チケットIDと、ステップS123において暗号化された暗号化第一一般認証チケットIDと、含む認証レスポンスを作成する。
Proceeding to step S124 following step S123, the
ステップS124に続いてステップS125に進み、一般認証サービス60は、ステップS124において作成した認証レスポンスを要求元のリモート認証サービス70に送信する。
Proceeding to step S125 following step S124, the
図40に示したような処理を行うことによって、一般認証サービス60は、リモート認証サービス70からの要求に応じて、第一一般認証チケットを作成し、第一一般認証チケットIDと、暗号化第一一般認証チケットIDと、を含む認証レスポンスを要求元のリモート認証サービス70に送信することができる。
By performing the processing as shown in FIG. 40, the
リモート認証サービス70は、第一一般認証チケットIDと、暗号化第一一般認証チケットIDと、を用いて、第一一般認証チケットIDと、暗号化第一一般認証チケットIDと、を含む図37に示したようなリモート認証チケットを作成することができる。
The
以下、一般認証サービス60における認証チケットIDを用いたURLを含む認証処理の一例を、図41を用いて説明する。図41は、一般認証サービスにおける認証チケットIDを用いたURLを含む認証処理を説明するためのフローチャート(その2)である。
Hereinafter, an example of the authentication process including the URL using the authentication ticket ID in the
ステップS130において、一般認証サービス60は、リモート認証チケットIDと、リモート認証サービス70を識別するURLと、を含む、認証チケットIDを用いたURLを含む認証リクエストを、クライアントサービス50より受信する。
In step S <b> 130, the
ステップS130に続いてステップS131に進み、一般認証サービス60は、ステップS130において受信した認証チケットIDを用いたURLを含む認証リクエストに含まれるリモート認証チケットIDを含む、該リモート認証チケットIDに対応するリモート認証チケットに含まれる暗号化第一一般認証チケットIDの取得リクエストを作成する。
Progressing to step S131 following step S130, the
ステップS131に続いてステップS132に進み、一般認証サービス60は、ステップS131において作成した暗号化第一一般認証チケットIDの取得リクエストを、ステップS130において受信した認証チケットIDを用いたURLを含む認証リクエストに含まれるURLに対して送信する。
Proceeding to step S132 following step S131, the
ステップS132に続いてステップS133に進み、一般認証サービス60は、ステップS132において暗号化第一一般認証チケットIDの取得リクエストを送信した送信先のリモート認証サービス70より、暗号化第一一般認証チケットIDを含む、暗号化第一一般認証チケットID取得レスポンスを受信する。
Progressing to step S133 following step S132, the
ステップS133に続いてステップS134に進み、一般認証サービス60は、ステップS133において受信した暗号化第一一般認証チケットID取得レスポンスに含まれる暗号化第一一般認証チケットIDを復号化する。
Proceeding to step S134 following step S133, the
ステップS134に続いてステップS135に進み、一般認証サービス60は、ステップS134において復号化した第一一般認証チケットIDが、当該一般認証サービス60が発行した有効な第一一般認証チケットIDかどうかを判定する。
In step S135 following step S134, the
一般認証サービス60は、当該自身が発行した有効な第一一般認証チケットIDであると判定すると(ステップS135においてYES)、ステップS136に進み、当該自身が発行した有効な第一一般認証チケットIDでないと判定すると(ステップS136においてNO)、処理を終了する。
If the
一般認証サービス60は、例えば第一一般認証チケットIDに対応する第一一般認証チケットが存在し、且つ該第一一般認証チケットの有効期限が切れていない場合、有効な第一一般認証チケットIDであると判定する。
For example, when the first general authentication ticket corresponding to the first general authentication ticket ID exists and the expiration date of the first general authentication ticket has not expired, the
ステップS136では、一般認証サービス60が、第一一般認証チケットIDに対応する第一一般認証チケットより、該第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成する。
In step S136, the
ステップS136に続いてステップS137に進み、一般認証サービス60は、ステップS136において作成した第二一般認証チケットを識別する第二一般認証チケットIDを含む、認証チケットIDを用いたURLを含む認証レスポンスを作成する。
Proceeding to step S137 following step S136, the
ステップS137に続いてステップS138に進み、一般認証サービス60は、ステップS137において作成した認証チケットIDを用いたURLを含む認証レスポンスを、要求元のクライアントサービス50に送信する。
Proceeding to step S138 following step S137, the
図41に示したような処理を行うことによって、一般認証サービス60は、クライアントサービス50からの要求に基づいて、該要求に含まれるリモート認証チケットIDを含む、該リモート認証チケットIDに対応するリモート認証チケットに含まれる暗号化第一一般認証チケットIDの取得リクエストを、前記要求に含まれるURLに対して送信し、リモート認証チケットIDの正当性が確認され、暗号化第一一般認証チケットIDを取得すると、該暗号化第一一般認証チケットIDを復号化し、復号化した第一一般認証チケットIDに対応する第一一般認証チケットより、該第一一般認証チケットに含まれるユーザ情報を取得し、該ユーザ情報を含む第二一般認証チケットを作成し、第二一般認証チケットIDを含む、認証チケットIDを用いたURLを含む認証レスポンスを要求元のクライアントサービス50に送信することができる。
By performing the processing as shown in FIG. 41, the
クライアントサービス50は、第二一般認証チケットIDを用いて、一般認証サービス60に対応するサービスを利用することができる。
The
以下、実施例5におけるシングルサインオンに係る処理の一例を、図42を用いて説明する。図42は、本発明におけるシングルサインオンに係る処理を説明するための図(その5)である。 Hereinafter, an example of processing related to single sign-on according to the fifth embodiment will be described with reference to FIG. FIG. 42 is a diagram (No. 5) for explaining a process related to single sign-on according to the present invention.
初めに、クライアントサービス50は、ユーザに、例えばユーザIDとパスワード等の認証データの入力を要求し、入力されたユーザIDとパスワードとを含む図9に示したような認証リクエストを、一般認証サービス60に対して、送信する(シーケンスSQ80。)。
First, the
一般認証サービス60は、認証リクエストを受信すると、該認証リクエストに含まれる、例えばユーザIDとパスワードとに基づいて、認証を行い、有効なユーザIDとパスワードとの組み合わせであると判定すると、認証を証明する図17に示したような第一一般認証チケットを作成する。
When receiving the authentication request, the
一般認証サービス60は、第一一般認証チケットを識別する第一一般認証チケットIDを含む図10に示したような認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ81。)。
The
クライアントサービス50は、認証レスポンスに含まれる第一一般認証チケットIDを用いて、一般認証サービス60に対応するサービスを利用することができる。
The
また、クライアントサービス50は、ユーザより、他のサービスを利用する旨の通知を受けると、該サービスを利用するため、シーケンスSQ81において取得し、保持していた第一一般認証チケットIDを含む認証チケットと、一般認証サービス60を識別するURLと、を含む認証リクエストを作成し、該認証リクエストを前記サービスに対応する認証サービス(図42の例においてはリモート認証サービス70)に送信する(シーケンスSQ82。)。
When the
リモート認証サービス70は、認証チケットIDを用いた認証リクエストを受信すると、該認証リクエストに含まれる、第一一般認証チケットIDを取得し、該第一一般認証チケットIDを含む該第一一般認証チケットIDの正当性確認リクエストを作成し、該正当性確認リクエストを、認証チケットIDを用いた認証リクエストに含まれるURLに対して送信する(シーケンスSQ83。)。
When receiving the authentication request using the authentication ticket ID, the
一般認証サービス60は、正当性確認リクエストを受信すると、該正当性確認リクエストに含まれる第一一般認証チケットIDを用いて、対応する有効な第一一般認証チケットが存在するかどうかを判定し、対応する有効な第一一般認証チケットが存在すると判定すると、判定結果(例えばOK)やユーザ名等を含む正当性確認レスポンスを作成し、要求元のリモート認証サービス70に送信する(シーケンスSQ84。)。
When the
リモート認証サービス70は、正当性確認レスポンスを受信すると、該正当性確認レスポンスに含まれる判定結果(確認結果)を参照し、例えばOKが含まれていたら、正当性が確認されたと判定し、認証を証明する図20に示したようなリモート認証チケットを作成する。
When the
リモート認証サービス70は、リモート認証チケットを識別するリモート認証チケットIDを含む認証チケットIDを用いた図14に示したような認証レスポンスを作成し、要求元のクライアントサービスに送信する(シーケンスSQ85。)。
The
クライアントサービス50は、認証チケットIDを用いた認証レスポンスに含まれるリモート認証チケットIDを用いて、リモート認証サービス70に対応するサービスを利用することができる。
The
実施例5は、実施例1と比べて、一般認証サービス60のURL等をリモート認証サービス70の外部認証サービス管理テーブル等で管理するのではなく、クライアントサービス50が、管理し、リモート認証サービス70に教える一例である。他の実施例においても同様の構成とすることができる。
In the fifth embodiment, the URL of the
なお、実施例5においては、リモート認証サービス70が、偽一般認証サービスに接続されないように、当該リモート認証サービス70内において接続可能な一般認証サービス60のURLのリスト等を保持、管理しておき、クライアントサービス50が指定した一般認証サービス60のURLが、当該自身が管理している一般認証サービス60のURLのリストの中に含まれているかどうか判定し、含まれていると判定した場合のみ、クライアントサービス50の指示に従い、指定されたURLに正当性確認リクエストを送信するようにしてもよい。
In the fifth embodiment, a list of URLs of the
以上、本発明の好ましい実施例について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 The preferred embodiments of the present invention have been described in detail above, but the present invention is not limited to such specific embodiments, and various modifications can be made within the scope of the gist of the present invention described in the claims.・ Change is possible.
例えば、上述した各実施例においては、認証チケットを識別する認証チケットIDを各サービス間で送受信するようにして説明を行ったが、認証チケット自身を各サービス間で送受信するようにしてもよい。 For example, in each of the above-described embodiments, the authentication ticket ID for identifying the authentication ticket has been described as being transmitted and received between the services. However, the authentication ticket itself may be transmitted and received between the services.
また、上述した実施例においては、第一一般認証チケットのユーザ情報を含む新たな第二一般認証チケットを作成するようにして説明を行ったが、新たな認証チケットを作成せずに、例えば有効期限だけを延ばした第一一般認証チケットのコピーを作成するようにしてもよい。 In the above-described embodiment, the second general authentication ticket including the user information of the first general authentication ticket is created. However, without creating a new authentication ticket, for example, it is effective. You may make it produce the copy of the 1st general authentication ticket which extended only the time limit.
また、上述した実施例においては、リモート認証チケットに、第一一般認証チケットIDや、第二一般認証チケットID、暗号化第一一般認証チケットID等を含める例を用いて説明を行ったが、リモート認証チケットに含めず、リモート認証サービス70において、リモート認証チケットと、第一一般認証チケットIDや、第二一般認証チケットID、暗号化第一一般認証チケットID等を関連付けて例えばデータベースやファイルを用いて管理するようにしてもよい。
In the above-described embodiment, the remote authentication ticket has been described using an example including the first general authentication ticket ID, the second general authentication ticket ID, the encrypted first general authentication ticket ID, etc. In the
50 クライアントサービス
60 一般認証サービス
61 ユーザ認証部
62 ユーザ管理部
63 チケット確認部
64 チケット管理部
70 リモート認証サービス
71 ユーザ認証部
72 チケット確認部
73 チケット管理部
74 認証プロキシ部
75 認証プロキシ管理部75
DESCRIPTION OF
Claims (29)
前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信手段と、
前記認証要求に応じて、認証に係る証明情報を作成する証明情報作成手段と、
前記証明情報を、前記クライアントに送信する認証応答送信手段と、
認証に係るサービスを提供する他の認証サービス提供手段より、前記クライアントに送信した前記証明情報を含む、該証明情報の正当性の確認要求を受信する正当性確認要求受信手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving means for receiving an authentication request from a client using a service provided by the service providing means;
In response to the authentication request, certification information creating means for creating certification information related to authentication,
Authentication response transmission means for transmitting the certification information to the client;
Validity confirmation request receiving means for receiving a confirmation request for validity of the certification information including the certification information transmitted to the client from other authentication service providing means for providing a service related to authentication;
An authentication service providing apparatus comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信手段と、
前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成手段と、
前記第一証明情報を、前記クライアントに送信する認証応答送信手段と、
認証に係るサービスを提供する他の認証サービス提供手段より、前記クライアントに送信した前記第一証明情報を含む、該第一証明情報に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving means for receiving an authentication request from a client using a service provided by the service providing means;
In response to the authentication request, first proof information creating means for creating first proof information related to authentication;
Authentication response transmission means for transmitting the first certification information to the client;
Second proof information creation for receiving a request for creating second proof information related to the first proof information including the first proof information transmitted to the client from another authentication service providing means for providing a service related to authentication A request receiving means;
An authentication service providing apparatus comprising:
認証に係るサービスを提供する他の認証サービス提供手段より、認証要求を受信する認証要求受信手段と、
前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成手段と、
前記第一証明情報を、前記他の認証サービス提供手段に送信する認証応答送信手段と、
前記サービス提供手段が提供するサービスを利用するクライアントから、前記他の認証サービス提供手段が発行した認証に係る第二証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving means for receiving an authentication request from other authentication service providing means for providing a service related to authentication;
In response to the authentication request, first proof information creating means for creating first proof information related to authentication;
Authentication response transmission means for transmitting the first certification information to the other authentication service providing means;
Authentication including second certification information related to authentication issued by the other authentication service providing means and identification information for identifying the other authentication service providing means from a client using a service provided by the service providing means Third proof information creation request receiving means for receiving a request to create third proof information according to
An authentication service providing apparatus comprising:
認証に係るサービスを提供する他の認証サービス提供手段より、認証要求を受信する認証要求受信手段と、
前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成手段と、
前記第一証明情報を暗号化する暗号化手段と、
前記第一証明情報と、前記暗号化手段において暗号化された前記第一認証情報と、を前記他の認証サービス提供手段に送信する認証応答送信手段と、
前記サービス提供手段が提供するサービスを利用するクライアントから、前記他の認証サービス提供手段が発行した認証に係る第二証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving means for receiving an authentication request from other authentication service providing means for providing a service related to authentication;
In response to the authentication request, first proof information creating means for creating first proof information related to authentication;
Encryption means for encrypting the first certification information;
Authentication response transmission means for transmitting the first certification information and the first authentication information encrypted by the encryption means to the other authentication service providing means;
Authentication including second certification information related to authentication issued by the other authentication service providing means and identification information for identifying the other authentication service providing means from a client using the service provided by the service providing means Third proof information creation request receiving means for receiving a request to create third proof information according to
An authentication service providing apparatus comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報を含む、認証に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信手段と、
前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報の正当性の確認要求を送信する正当性確認要求送信手段と、
前記第一証明情報の正当性の確認結果を含む、前記証明情報の正当性の確認応答を、前記他の認証サービス提供手段より受信する正当性確認応答受信手段と、
前記第一証明情報の正当性が確認された場合、前記認証に係る第二証明情報の作成要求に応じて、認証に係る第二証明情報を作成する第二証明情報作成手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
Request to create second certification information related to authentication, including first certification information related to authentication issued by another authentication service providing means that provides a service related to authentication, from a client that uses the service provided by the service providing means Second proof information creation request receiving means for receiving
Validity confirmation request transmitting means for transmitting a request for confirming the validity of the first certification information including the first certification information to the other authentication service providing means
Validity confirmation response receiving means for receiving the confirmation response of the validity of the proof information from the other authentication service providing means, including the confirmation result of the validity of the first proof information;
When the validity of the first proof information is confirmed, in response to a request to create second proof information related to the authentication, second proof information creating means for creating second proof information related to the authentication,
An authentication service providing apparatus comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報を含む、認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信手段と、
前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報に係る第二証明情報の作成要求を送信する第二証明情報作成要求送信手段と、
前記他の認証サービス提供手段より、前記第二証明情報を含む作成応答を受信する第二証明情報作成応答受信手段と、
前記認証に係る第三証明情報の作成要求に応じて、前記第二証明情報作成応答受信手段において受信した前記第二証明情報と関連付けた、認証に係る第三証明情報を作成する第三証明情報作成手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
Request to create third certification information related to authentication, including first certification information related to authentication issued by another authentication service providing means that provides a service related to authentication, from a client using a service provided by the service providing means A third proof information creation request receiving means for receiving
Second certification information creation request transmission means for transmitting a creation request for second certification information relating to the first certification information, including the first certification information, to the other authentication service providing means;
Second certification information creation response receiving means for receiving a creation response including the second certification information from the other authentication service providing means;
Third certification information for creating third certification information for authentication associated with the second certification information received by the second certification information creation response receiving means in response to a request for creation of third certification information for the authentication Creating means;
An authentication service providing apparatus comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信手段と、
前記認証要求を認証に係るサービスを提供する他の認証サービス提供手段に送信する認証要求送信手段と、
前記他の認証サービス提供手段が作成した認証に係る第一証明情報を、前記他の認証サービス提供手段より受信する認証応答受信手段と、
前記認証要求に応じて、前記認証応答受信手段において受信した前記第一証明情報と関連付けた、認証に係る第二証明情報を作成する第二証明情報作成手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving means for receiving an authentication request from a client using a service provided by the service providing means;
An authentication request transmitting means for transmitting the authentication request to another authentication service providing means for providing a service related to authentication;
Authentication response receiving means for receiving, from the other authentication service providing means, first certification information relating to authentication created by the other authentication service providing means;
In response to the authentication request, second proof information creating means for creating second proof information related to authentication associated with the first proof information received by the authentication response receiving means;
An authentication service providing apparatus comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信手段と、
前記認証要求を認証に係るサービスを提供する他の認証サービス提供手段に送信する認証要求送信手段と、
前記他の認証サービス提供手段が作成した認証に係る第一証明情報と、暗号化された前記第一証明情報と、を前記他の認証サービス提供手段より受信する認証応答受信手段と、
前記認証要求に応じて、前記認証応答受信手段において受信した前記第一証明情報と、前記暗号化された前記第一証明情報と、を関連付けた、認証に係る第二証明情報を作成する第二証明情報作成手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving means for receiving an authentication request from a client using a service provided by the service providing means;
An authentication request transmitting means for transmitting the authentication request to another authentication service providing means for providing a service related to authentication;
Authentication response receiving means for receiving, from the other authentication service providing means, first authentication information relating to authentication created by the other authentication service providing means, and the encrypted first certification information;
In response to the authentication request, a second proof information relating to authentication is created by associating the first proof information received by the authentication response receiving means with the encrypted first proof information. Proof information creation means;
An authentication service providing apparatus comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信手段と、
前記他の認証サービス提供手段を識別する識別情報に基づいて、前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報の正当性の確認要求を送信する正当性確認要求送信手段と、
前記第一証明情報の正当性の確認結果を含む、前記証明情報の正当性の確認応答を、前記他の認証サービス提供手段より受信する正当性確認応答受信手段と、
前記第一証明情報の正当性が確認された場合、前記認証に係る第二証明情報の作成要求に応じて、認証に係る第二証明情報を作成する第二証明情報作成手段と、
を有することを特徴とする認証サービス提供装置。 An authentication service providing apparatus having authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
Identification for identifying first certification information related to authentication issued by another authentication service providing means for providing a service related to authentication and the other authentication service providing means from a client using a service provided by the service providing means Second certification information creation request receiving means for receiving a request for creating second certification information related to authentication including information;
Based on the identification information for identifying the other authentication service providing means, the right to send a request for confirming the validity of the first certification information including the first certification information to the other authentication service providing means. Sex confirmation request sending means,
Validity confirmation response receiving means for receiving the confirmation response of the validity of the proof information from the other authentication service providing means, including the confirmation result of the validity of the first proof information;
When the validity of the first proof information is confirmed, in response to a request to create second proof information related to the authentication, second proof information creating means for creating second proof information related to the authentication,
An authentication service providing apparatus comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信段階と、
前記認証要求に応じて、認証に係る証明情報を作成する証明情報作成段階と、
前記証明情報を、前記クライアントに送信する認証応答送信段階と、
認証に係るサービスを提供する他の認証サービス提供手段より、前記クライアントに送信した前記証明情報を含む、該証明情報の正当性の確認要求を受信する正当性確認要求受信段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving step of receiving an authentication request from a client using a service provided by the service providing means;
In response to the authentication request, a certification information creation stage for creating certification information related to authentication,
Sending an authentication response to send the certification information to the client;
A validity confirmation request receiving step for receiving a request for confirmation of validity of the certification information including the certification information transmitted to the client from another authentication service providing means for providing a service related to authentication;
An authentication service providing method characterized by comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信段階と、
前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成段階と、
前記第一証明情報を、前記クライアントに送信する認証応答送信段階と、
認証に係るサービスを提供する他の認証サービス提供手段より、前記クライアントに送信した前記第一証明情報を含む、該第一証明情報に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving step of receiving an authentication request from a client using a service provided by the service providing means;
In response to the authentication request, a first proof information creation stage for creating first proof information related to authentication;
An authentication response transmission step of transmitting the first certification information to the client;
Second proof information creation for receiving a request for creating second proof information related to the first proof information including the first proof information transmitted to the client from another authentication service providing means for providing a service related to authentication A request receiving stage;
An authentication service providing method characterized by comprising:
認証に係るサービスを提供する他の認証サービス提供手段より、認証要求を受信する認証要求受信段階と、
前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成段階と、
前記第一証明情報を、前記他の認証サービス提供手段に送信する認証応答送信段階と、
前記サービス提供手段が提供するサービスを利用するクライアントから、前記他の認証サービス提供手段が発行した認証に係る第二証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving stage for receiving an authentication request from other authentication service providing means for providing a service related to authentication;
In response to the authentication request, a first proof information creation stage for creating first proof information related to authentication;
An authentication response transmission step of transmitting the first certification information to the other authentication service providing means;
Authentication including second certification information related to authentication issued by the other authentication service providing means and identification information for identifying the other authentication service providing means from a client using the service provided by the service providing means Receiving a third certification information creation request receiving stage for receiving a third certification information creation request according to
An authentication service providing method characterized by comprising:
認証に係るサービスを提供する他の認証サービス提供手段より、認証要求を受信する認証要求受信段階と、
前記認証要求に応じて、認証に係る第一証明情報を作成する第一証明情報作成段階と、
前記第一証明情報を暗号化する暗号化段階と、
前記第一証明情報と、前記暗号化段階において暗号化された前記第一認証情報と、を前記他の認証サービス提供手段に送信する認証応答送信段階と、
前記サービス提供手段が提供するサービスを利用するクライアントから、前記他の認証サービス提供手段が発行した認証に係る第二証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving stage for receiving an authentication request from other authentication service providing means for providing a service related to authentication;
In response to the authentication request, a first proof information creation stage for creating first proof information related to authentication;
An encryption step of encrypting the first certification information;
An authentication response transmission step of transmitting the first certification information and the first authentication information encrypted in the encryption step to the other authentication service providing means;
Authentication including second certification information related to authentication issued by the other authentication service providing means and identification information for identifying the other authentication service providing means from a client using a service provided by the service providing means A third proof information creation request receiving stage for receiving a third proof information creation request according to
An authentication service providing method characterized by comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報を含む、認証に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信段階と、
前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報の正当性の確認要求を送信する正当性確認要求送信段階と、
前記第一証明情報の正当性の確認結果を含む、前記証明情報の正当性の確認応答を、前記他の認証サービス提供手段より受信する正当性確認応答受信段階と、
前記第一証明情報の正当性が確認された場合、前記認証に係る第二証明情報の作成要求に応じて、認証に係る第二証明情報を作成する第二証明情報作成段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
Request to create second certification information related to authentication, including first certification information related to authentication issued by another authentication service providing means that provides a service related to authentication, from a client that uses the service provided by the service providing means Receiving a second certification information creation request receiving stage,
A legitimacy confirmation request sending step for sending a legitimacy confirmation request for the first certification information including the first certification information to the other authentication service providing means;
A legitimacy confirmation response receiving step for receiving the legitimacy confirmation response of the proof information from the other authentication service providing means, including the legitimacy confirmation result of the first proof information;
When the validity of the first certification information is confirmed, in response to the creation request of the second certification information related to the authentication, a second certification information creation step of creating the second certification information related to the authentication,
An authentication service providing method characterized by comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報を含む、認証に係る第三証明情報の作成要求を受信する第三証明情報作成要求受信段階と、
前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報に係る第二証明情報の作成要求を送信する第二証明情報作成要求送信段階と、
前記他の認証サービス提供手段より、前記第二証明情報を含む作成応答を受信する第二証明情報作成応答受信段階と、
前記認証に係る第三証明情報の作成要求に応じて、前記第二証明情報作成応答受信段階において受信した前記第二証明情報と関連付けた、認証に係る第三証明情報を作成する第三証明情報作成段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
Request to create third certification information related to authentication, including first certification information related to authentication issued by another authentication service providing means that provides a service related to authentication, from a client using a service provided by the service providing means Receiving a third certification information creation request receiving stage;
A second certification information creation request sending step for sending a creation request for second certification information related to the first certification information, including the first certification information, to the other authentication service providing means;
A second certification information creation response reception step of receiving a creation response including the second certification information from the other authentication service providing means;
Third certification information for creating third certification information for authentication associated with the second certification information received in the second certification information creation response reception stage in response to a creation request for third certification information for the authentication The creation stage,
An authentication service providing method characterized by comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信段階と、
前記認証要求を認証に係るサービスを提供する他の認証サービス提供手段に送信する認証要求送信段階と、
前記他の認証サービス提供手段が作成した認証に係る第一証明情報を、前記他の認証サービス提供手段より受信する認証応答受信段階と、
前記認証要求に応じて、前記認証応答受信段階において受信した前記第一証明情報と関連付けた、認証に係る第二証明情報を作成する第二証明情報作成段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving step of receiving an authentication request from a client using a service provided by the service providing means;
An authentication request transmission step of transmitting the authentication request to another authentication service providing means for providing a service related to authentication;
An authentication response reception step of receiving, from the other authentication service providing means, first certification information relating to authentication created by the other authentication service providing means;
In response to the authentication request, a second proof information creating step for creating second proof information related to authentication associated with the first proof information received in the authentication response receiving step;
An authentication service providing method characterized by comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証要求を受信する認証要求受信段階と、
前記認証要求を認証に係るサービスを提供する他の認証サービス提供手段に送信する認証要求送信段階と、
前記他の認証サービス提供手段が作成した認証に係る第一証明情報と、暗号化された前記第一証明情報と、を前記他の認証サービス提供手段より受信する認証応答受信段階と、
前記認証要求に応じて、前記認証応答受信段階において受信した前記第一証明情報と、前記暗号化された前記第一証明情報と、を関連付けた、認証に係る第二証明情報を作成する第二証明情報作成段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
An authentication request receiving step of receiving an authentication request from a client using a service provided by the service providing means;
An authentication request transmission step of transmitting the authentication request to another authentication service providing means for providing a service related to authentication;
An authentication response receiving step of receiving, from the other authentication service providing means, the first certification information relating to the authentication created by the other authentication service providing means and the encrypted first certification information;
In response to the authentication request, a second proof information relating to authentication is created by associating the first proof information received in the authentication response receiving step with the encrypted first proof information. The certification information creation stage;
An authentication service providing method characterized by comprising:
前記サービス提供手段が提供するサービスを利用するクライアントから、認証に係るサービスを提供する他の認証サービス提供手段が発行した認証に係る第一証明情報と、前記他の認証サービス提供手段を識別する識別情報と、を含む認証に係る第二証明情報の作成要求を受信する第二証明情報作成要求受信段階と、
前記他の認証サービス提供手段を識別する識別情報に基づいて、前記他の認証サービス提供手段に対して、前記第一証明情報を含む、該第一証明情報の正当性の確認要求を送信する正当性確認要求送信段階と、
前記第一証明情報の正当性の確認結果を含む、前記証明情報の正当性の確認応答を、前記他の認証サービス提供手段より受信する正当性確認応答受信段階と、
前記第一証明情報の正当性が確認された場合、前記認証に係る第二証明情報の作成要求に応じて、認証に係る第二証明情報を作成する第二証明情報作成段階と、
を有することを特徴とする認証サービス提供方法。 An authentication service providing method in an authentication service providing means for providing a service related to authentication corresponding to a service providing means for providing a service,
Identification for identifying first certification information related to authentication issued by another authentication service providing means for providing a service related to authentication and the other authentication service providing means from a client using a service provided by the service providing means A second proof information creation request receiving stage for receiving a request to create second proof information related to authentication including information;
Based on the identification information for identifying the other authentication service providing means, the right to send a request for confirming the validity of the first certification information including the first certification information to the other authentication service providing means. A sex confirmation request sending stage;
A legitimacy confirmation response receiving step for receiving the legitimacy confirmation response of the proof information from the other authentication service providing means, including the legitimacy confirmation result of the first proof information;
When the validity of the first certification information is confirmed, in response to the creation request of the second certification information related to the authentication, a second certification information creation step of creating the second certification information related to the authentication,
An authentication service providing method characterized by comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004033951A JP2005227891A (en) | 2004-02-10 | 2004-02-10 | Device, method and program for providing authentication service, and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004033951A JP2005227891A (en) | 2004-02-10 | 2004-02-10 | Device, method and program for providing authentication service, and recording medium |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005227891A true JP2005227891A (en) | 2005-08-25 |
Family
ID=35002580
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004033951A Pending JP2005227891A (en) | 2004-02-10 | 2004-02-10 | Device, method and program for providing authentication service, and recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005227891A (en) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008257598A (en) * | 2007-04-06 | 2008-10-23 | Nec Corp | Electronic money transaction method and electronic money system |
| JP2009020782A (en) * | 2007-07-13 | 2009-01-29 | Hitachi Software Eng Co Ltd | Method and program for optimizing security policy of secure os |
| JP2009271817A (en) * | 2008-05-09 | 2009-11-19 | Canon Software Inc | Information processing system, information processing method, program and recording medium |
| JP2010086508A (en) * | 2008-10-01 | 2010-04-15 | Avermedia Technologies Inc | Network authentication method and application thereof |
| JP2010262464A (en) * | 2009-05-07 | 2010-11-18 | Oki Electric Ind Co Ltd | Information processing device |
| US8301601B2 (en) | 2010-11-09 | 2012-10-30 | Fuji Xerox Co., Ltd. | Log consolidation device, log consolidation method, and computer-readable medium |
| US10326758B2 (en) | 2015-06-08 | 2019-06-18 | Ricoh Company, Ltd. | Service provision system, information processing system, information processing apparatus, and service provision method |
-
2004
- 2004-02-10 JP JP2004033951A patent/JP2005227891A/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008257598A (en) * | 2007-04-06 | 2008-10-23 | Nec Corp | Electronic money transaction method and electronic money system |
| JP2009020782A (en) * | 2007-07-13 | 2009-01-29 | Hitachi Software Eng Co Ltd | Method and program for optimizing security policy of secure os |
| JP2009271817A (en) * | 2008-05-09 | 2009-11-19 | Canon Software Inc | Information processing system, information processing method, program and recording medium |
| JP2010086508A (en) * | 2008-10-01 | 2010-04-15 | Avermedia Technologies Inc | Network authentication method and application thereof |
| JP2010262464A (en) * | 2009-05-07 | 2010-11-18 | Oki Electric Ind Co Ltd | Information processing device |
| US8301601B2 (en) | 2010-11-09 | 2012-10-30 | Fuji Xerox Co., Ltd. | Log consolidation device, log consolidation method, and computer-readable medium |
| US10326758B2 (en) | 2015-06-08 | 2019-06-18 | Ricoh Company, Ltd. | Service provision system, information processing system, information processing apparatus, and service provision method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110138718B (en) | Information processing system and control method thereof | |
| JP5119028B2 (en) | Image forming system, image forming apparatus, image forming program, and image forming method | |
| US7873827B2 (en) | Communication system, certificate update device, and communication device | |
| US7734910B2 (en) | Managed device, management system, method for controlling a managed device and medium | |
| JP4555175B2 (en) | Examination device, communication system, examination method, program, and recording medium | |
| JP6061633B2 (en) | Device apparatus, control method, and program thereof. | |
| US7886153B2 (en) | Communication device and communication system | |
| JP4576210B2 (en) | Certificate transfer device, certificate transfer system, certificate transfer method, program, and recording medium | |
| JP5011959B2 (en) | Authentication agent device, authentication agent program, and authentication agent system | |
| US20160373431A1 (en) | Method to enroll a certificate to a device using scep and respective management application | |
| JP5476866B2 (en) | COMMUNICATION DEVICE, COMMUNICATION METHOD, COMMUNICATION PROGRAM, AND COMMUNICATION SYSTEM | |
| KR101686167B1 (en) | Apparatus and Method for Certificate Distribution of the Internet of Things Equipment | |
| EP1517514B1 (en) | Method for installing and updating certificates used for device authentication. | |
| JP6465426B1 (en) | Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method | |
| JP4332071B2 (en) | Client terminal, gateway device, and network system including these | |
| JP6571890B1 (en) | Electronic signature system, certificate issuing system, certificate issuing method and program | |
| US20080082818A1 (en) | Symmetric key-based authentication in multiple domains | |
| JP2008129673A (en) | User authentication system, user authentication method, gateway and program used therefor, and recording medium therefor | |
| JP2005227891A (en) | Device, method and program for providing authentication service, and recording medium | |
| JP2009212689A (en) | Automatic common key distribution system, client, third-person certification body side server, and automatic common key sharing method | |
| JP2009253405A (en) | Image forming apparatus, image forming program, and image forming method | |
| WO2020017643A1 (en) | Electronic signature system, certificate issuance system, key management system, certificate issuance method, and program | |
| JP2004171524A (en) | Service providing device, service providing method, service providing program and recording medium | |
| JP2004135195A (en) | Information equipment registration method, program for computer to execute the method, and information equipment | |
| JP4570919B2 (en) | COMMUNICATION DEVICE, COMMUNICATION SYSTEM, COMMUNICATION DEVICE CONTROL METHOD, AND PROGRAM |