[go: up one dir, main page]

JP2019046060A - 権限委譲システム、制御方法、およびプログラム - Google Patents

権限委譲システム、制御方法、およびプログラム Download PDF

Info

Publication number
JP2019046060A
JP2019046060A JP2017167285A JP2017167285A JP2019046060A JP 2019046060 A JP2019046060 A JP 2019046060A JP 2017167285 A JP2017167285 A JP 2017167285A JP 2017167285 A JP2017167285 A JP 2017167285A JP 2019046060 A JP2019046060 A JP 2019046060A
Authority
JP
Japan
Prior art keywords
authorization
client
authorization code
response
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017167285A
Other languages
English (en)
Other versions
JP6904857B2 (ja
Inventor
勇人 松ヶ下
Isato Matsugashita
勇人 松ヶ下
和成 山中嶋
Kazunari Yamanakajima
和成 山中嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2017167285A priority Critical patent/JP6904857B2/ja
Priority to US16/114,048 priority patent/US11088847B2/en
Priority to EP18191548.9A priority patent/EP3451617B1/en
Priority to KR1020180102582A priority patent/KR102362456B1/ko
Priority to CN201811012992.4A priority patent/CN109428947B/zh
Publication of JP2019046060A publication Critical patent/JP2019046060A/ja
Application granted granted Critical
Publication of JP6904857B2 publication Critical patent/JP6904857B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)

Abstract

【課題】 OAuth 2.0の処理を実行する上での安全性を損なわずに、クライアントのURLが変更された場合の処理の煩雑さを解消することを目的とする。
【解決手段】 クライアントによるリソースサーバーへのアクセスを認可サーバーが認可するための認可コード要求を、前記クライアントが認可サーバーに送信する認可コード要求送信手段と、前記認可コード要求に対する応答である認可コード応答を受信する認可コード応答受信手段と、を有する権限委譲システムであって、前記認可コード要求送信手段によって送信される認可コード要求は、前記認可コード応答の宛先を指定するための宛先情報を含み、前記宛先情報は署名情報が付与されており、前記認可サーバーは前記認可コード要求送信手段によって送信された認可コード要求に含まれる宛先情報に基づいて、前記認可コード要求に対する認可コード応答を送信する。
【選択図】 図6

Description

本発明は、Webサービスへのアクセス権限を検証する権限委譲システムに関する。
個々のWebサーバーはWebサービスを提供するためにAPIを公開しており、公開されているAPIを介してWebサービス同士が連携する形態がある。その際セキュリティの観点から、Webサービスが管理するユーザーの認証情報を受け渡すことなく、他のWebサービスによってアクセスされることを認可する手段が必要となる。
その手段として、Webサービス同士の連携を実現させるための標準プロトコル(OAuth 2.0)の採用が進んでいる。OAuth 2.0は、ユーザーの認証情報をそのユーザーの同意に基づいてWebサービス間で安全に受け渡す(すなわち委譲する)ための仕組みであり、詳細は後述する。
OAuth 2.0によれば、ユーザーが認可操作を行うとWebサービスBは認可コードを受信する。認可コードとは、WebサービスAへのアクセスがユーザーによって認められたことを証明するためのコードである。受信した認可コードと、WebサービスBであることを証明するための情報を用いて、WebサービスBはWebサービスAに対して認可トークンの発行要求を送信する。認可トークンとは、WebサービスAが公開するAPIにWebサービスBがアクセスすることを認可するためのトークンである。WebサービスBが認可トークンを受信することで、WebサービスBがWebサービスAのAPIにアクセスすることが認可される。WebサービスBである事を認証するための情報は、WebサービスBを一意に識別するためのIDおよび、秘匿情報であるシークレット、デジタル証明書によるデジタル署名が挙げられる。
ユーザーの認可操作によりWebサービスBがWebサービスAのAPIにアクセスすることを認可することを権限委譲と称する。なお、OAuth 2.0では、ユーザーの認可操作により認可コードを発行し、認可コードから認可トークンを発行するサーバーを認可サーバーと称する。また、APIを公開するサーバーをリソースサーバー、公開されたAPIにアクセスする主体をクライアントと称する。上記の例でいえば、WebサービスAを提供するサーバーが認可サーバー兼リソースサーバーであり、WebサービスBを提供するサーバーがクライアントである。
図1を用いてOAuth 2.0の処理フローであるAuthorization Code Grantを説明する。まず、OAuth 2.0を実行するための事前操作として、認可サーバーにクライアントをOAuth 2.0のクライアントとして登録するための登録要求を行う(S0.0)。具体的には、クライアントの登録要求は認可サーバーの登録エンドポイント(図中ではエンドポイントを「EP」と記載)に対して送信され、クライアントの起動時か、後述のS1.1の認可フローの開始時にクライアントが未登録であった場合に開始される。登録要求の方法としては、クライアントが能動的に認可サーバーと通信する方法や、ユーザーがWebブラウザーを介して認可サーバーにアクセスしてクライアントを登録する方法が挙げられる。
S0.0の登録要求には、後述の認可確認画面に表示するためのクライアント名、説明、アイコン画像、および必須パラメーターであるリダイレクトURIが含まれる。リダイレクトURIとは、認可サーバーからの認可コード応答をクライアントが受信するために、認可サーバーが認可コード応答を送信する応答先を指定する応答先情報(アドレス)である。認可コード応答については後述する。クライアントの登録要求を受信した認可サーバーはクライアントを識別するクライアントIDと、クライアントを認証する秘匿情報であるクライアントシークレットとを発行し、クライアントの登録応答としてクライアントに返却する(S0.1)。認可サーバーは、S0.1でクライアントIDとクライアントシークレットと、S0.0で受信した各種情報およびリダイレクトURIとを紐づけて保持する。クライアントは、S0.1で受信したクライアントIDとクライアントシークレットを保持する。以上がOAuth 2.0を実行する事前操作であるクライアントの登録フローである。
次に、認可サーバーにおいてユーザーを認証するためのフローを、図1を用いて説明する。ユーザーはクライアントにログインする(S1.0)。クライアントは、ログインしたユーザーを特定するための情報であるログインコンテキストを生成し保持する。生成されたログインコンテキストからログインしたユーザーを特定する情報(ローカルユーザーID等)を取得する事ができる。ユーザーは、Webブラウザーを介して認可開始のURIにアクセスすることで、OAuth 2.0の認可フローを開始する(S1.1)。クライアントは認可フローを開始するための認可開始URIにアクセスされると、認可サーバーの認可エンドポイントに対して認可コード要求を送信する(S1.2)。認可コード要求には、クライアントID、リダイレクトURI、stateパラメーターを含む。
stateパラメーターは認可コード要求と認可コード応答とを一意に紐づけるための情報であり、CSRF(cross−site request forgery)攻撃や、トークン置換(以下、認可コード置換)攻撃を防ぐために用いられる。そのため、stateパラメーターは推測不可能でかつ重複しない値である必要がある。なお、後述の認可コード応答でクライアントが受信するstateパラメーターとS1.2の認可コード要求で送信したstateパラメーターとの一致を検証する。さらに認可コード要求を実行したユーザーを識別するために、クライアントで発行されるstateパラメーターはリダイレクトURIとログインコンテキストと紐付いてクライアントで管理される。
S1.2で認可コード要求を受信した認可サーバーは、ユーザーが認可サーバーにログインしていなかった場合、Webブラウザーにユーザーを認証するためのログイン画面を応答する(S1.3)。ユーザーは、Webブラウザーを介してユーザーID、パスワードを入力し、認可サーバーに対して認証要求を行う(S1.4)。認証要求を受信した認可サーバーは、S1.4で受信したユーザーIDとパスワードとの組み合わせが事前に登録されている組み合わせと一致するかを検証し、一致する場合は認証トークンを発行する。発行された認証トークンはWebブラウザーのCookieに応答される。
認可サーバーはユーザーに対して、クライアントの認可を同意するための認可確認画面をWebブラウザーに応答する(S1.5)。ただし、S1.2で受信したクライアントIDとリダイレクトURIとの組み合わせが、認可サーバーに予め登録されたクライアントIDとリダイレクトURIとの組み合わせと一致しない場合は、Webブラウザーにエラー画面を応答する。これにより、不正なURIへのリダイレクト(転送)を防ぐことができる。また、ログインしているユーザーが既に同一のクライアントIDで認可操作済みであった場合はS1.5を省略する事もできる。認可済みのユーザーIDとクライアントIDの組み合わせを以下、同意情報と称する。
S1.6のユーザーによる認可操作の後、認可サーバーは認可コードを発行し、クライアントに対して認可コード応答として認可コードとstateパラメーターを送信する(S1.7)。具体的には、認可コードとstateパラメーターとをリダイレクトURIにクエリパラメーターとして付与し、リダイレクトURIで指定された応答先に認可コードとstateパラメーターとをリダイレクトするようにWebブラウザーに送信する。S1.7で発行された認可コードは、認可サーバーにおいてクライアントID、ユーザーID、リダイレクトURLと紐づけて保存される。さらに認可サーバーは同意情報を保存する。
リダイレクトURIに対して認可コード応答を受信したクライアントは、認可コード応答に含まれるstateパラメーターと、クライアントが管理するstateパラメーターとが一致するかを検証する。検証の結果、stateパラメーターが一致した場合、クライアントは認可サーバーのトークンエンドポイントに対してトークン要求を送信する(S2.0)。トークン要求にはクライアントID、クライアントシークレット、S1.7で取得した認可コード、および、S1.2で受信したリダイレクトURIが含まれる。
S2.0でトークン要求を受信した認可サーバーは、クライアントIDとクライアントシークレットの組み合わせが予め登録された組み合わせと一致するかを検証する。検証の結果、一致が確認されるとクライアントが認証される。さらに認可サーバーは、S2.0で受信した認可コードを保持しているか、保持している場合にはその認可コードは有効期限内か、認可トークンと紐づいたクライアントIDとリダイレクトURIがS2.0のトークン要求で受信したものと一致するか、を検証する。この検証により、S1.2の認可コード要求を送信したクライアントとS2.0のトークン要求を送信したクライアントとが一致するかを認可サーバーで検証する事ができる。
検証が成功した場合、認可サーバーはクライアントに対して認可トークンを発行し、トークン応答としてクライアントに応答する(S2.1)。その際、認可トークンを再取得するためのリフレッシュトークンもクライアントに対して発行し、トークン応答として応答する事もできる。クライアントは、S2.1で受信した認可トークンを用いてリソースサーバーが公開するAPIにアクセスすることが可能となる。また、認可トークンを発行した後に、認可サーバーで管理する認可コードを破棄することでリプレイ攻撃を防ぐことが可能となる。
S2.1のトークン応答にリフレッシュトークンが含まれる場合、クライアントにおいてログインコンテキストとリフレッシュトークンとが紐付けて管理される。それにより、次回以降のAPIへのアクセス時に認可操作(S1.2〜S1.7)を実施せずに認可トークンを再度取得する事ができる。具体的には、S1.1の認可開始を受けた際に、クライアントにおいてユーザーのログインコンテキストとリフレッシュトークンとが紐付いているかを確認する。紐づいていない場合は前述のOAuth 2.0のフロー(S1.2以降の処理)を実施する。紐づいている場合は、認可サーバーのトークンエンドポイントに対してリフレッシュ要求を行う(S2.2)。このリフレッシュ要求はクライアントID、クライアントシークレット、およびリフレッシュトークンを含む。
リフレッシュ要求を受信した認可サーバーは、クライアントID、クライアントシークレットの組み合わせがS0.1で事前登録されたものと一致するかを検証する。一致が確認されクライアントが認証されると、受信したリフレッシュトークンが認可サーバーで保持されているか、保持されている場合はそのリフレッシュトークンは有効期限内か、さらにリフレッシュトークンに紐づいたクライアントIDがリフレッシュ要求のものと一致するかを検証する。これらの検証が全て成功した場合、認可サーバーは認可トークンを発行し、クライアントにトークン応答として認可トークンを送信する。その際、認可トークンを再取得するために新たなリフレッシュトークンを再発行し、トークン応答と同時にクライアントに対して送信する形態も可能である。また、認可サーバーにおいて新たなリフレッシュトークンを発行した後に、認可サーバーでそれまで管理されていたリフレッシュトークンを破棄する事でリプレイ攻撃を防ぐことができる。以上がOAuth 2.0におけるAuthorization Code Grantの処理フローである。OAuth 2.0による処理フローにより、認可サーバーが管理するユーザーの認証情報をクライアントに送信する代わりに、認可サーバーが認可トークンを発行し、クライアントは発行された認可トークンを用いてリソースサーバーが公開するAPIにアクセスすることができる。特許文献1では、OAuth 2.0による処理フローを用いて、複数の外部サービスシステムと連携する情報処理システムが開示されている。
特開2016−6624
しかし図1で示した処理フローでは、クライアントのURIが変更された場合には認可サーバーに登録されているリダイレクトURIも変更しなければならず、クライアントのURIが変更される度に、認可サーバーに対してリダイレクトURIの変更依頼を行う必要があり、手間がかかる。クライアントのURIが変更される例としては、クライアントがプリンターやMFP等のデバイスであった場合、設置場所の移動によりURIのホストが変更されることがある。また、その他の例としては、デバイスのIPアドレスがDHCPなどのプロトコルにより自動で決定される場合はデバイスの電源のON/OFFによってIPアドレスが変わり、その結果、URIのホストが変わることがある。本願発明は、OAuth 2.0の処理を実行する上での安全性を損なわずに、クライアントのURIが変更された場合の処理の煩雑さを解消することを目的とする。
クライアントによるリソースサーバーへのアクセスがユーザーによって許可されたことに応じて認可サーバーが認可コードを発行するための認可コード要求を、前記クライアントが前記認可サーバーに送信する認可コード要求送信手段と、
前記認可コード要求に対する応答である認可コード応答を受信する認可コード応答受信手段と、
を有する権限委譲システムであって、
前記認可コード要求送信手段によって送信される認可コード要求は、前記認可サーバーが前記認可コード応答を応答する応答先を指定するための応答先情報と署名情報とを含み、
前記署名情報が検証された後に、前記認可サーバーは前記認可コード要求送信手段によって送信された認可コード要求に含まれる応答先情報に基づいて、前記認可コード要求に対する認可コード応答を送信する。
本願発明により、OAuth 2.0の処理を実行する上での安全性を損なわずに、クライアントのURIが変更された場合の処理の煩雑さを解消することができる。
OAuth 2.0のAuthorization Code Grantの処理フロー。 本実施形態に係る権限委譲システムの構成図。 権限委譲システムを構成する各種デバイスのハードウェア構成図。 権限委譲システムを構成する各種デバイスのソフトウェアモジュール構成図。 Webブラウザーが表示するユーザー認証画面と、クライアント400の認可確認画面の一例。 本実施形態に係るOAuth 2.0のAuthorization Code Grantの処理フロー。 本実施形態に係る認可コード要求が含むJWTの一例。 本実施形態に係る認可トークンが含むJWTの一例。 本実施形態に係る、クライアント400においてリダイレクトURIを決定する処理フロー。
以下、本発明を実施するための最良の形態について図面を用いて説明する。
まず図2を用いて、本発明の実施形態に係る権限委譲システムについて説明する。WAN(Wide Area Network)100はWWW(World Wide Web)システムによって構築されている。WAN100と各種デバイス200〜500はLAN(Local Area Network)101を介して接続されている。
認可サーバー200はOAuth 2.0を実現するためのサーバーであり、認証要求の受信や認可コードの発行、管理等の処理を行う。リソースサーバー300はWebサービスを提供するためのAPIを公開している。図2では、認可サーバー200とリソースサーバー300はLAN101で接続されている形態を示しているが、WAN100を介して接続される構成も可能である。また、認可サーバー200はLAN101を介して不図示のデータベースサーバーと接続されており、認可サーバー200が自身の機能を実現する際に用いるデータをそのデータベースサーバーに格納するように構成してもよい。図2では認可サーバー200とリソースサーバー300を別のサーバーであるものとして説明しているが、同一のサーバー上に両サーバーの機能が構成されている形態でもよい。
クライアント400はOAuth2.0におけるクライアントに相当し、例えばプリンターやMFP、もしくはPCやスマートフォン等が挙げられる。端末500はOAuth2.0におけるユーザーエージェントに相当し、ユーザーは端末500を介して、認可サーバー200に対するユーザーの認証要求やクライアント400に対するログイン操作等、各種デバイスの機能を利用することができる。端末500として具体的にはPCやスマートフォン等が挙げられる。
クライアント400および端末500はそれぞれWebブラウザー410とWebブラウザー510を備える。ユーザーはWebブラウザー410またはWebブラウザー510を操作して後述の認可操作を実行する。クライアント400と端末500はLAN101を介して接続されている。以降、Webブラウザー410とWebブラウザー510のどちらで実行するかを問わない場合は、符番を振らずに「Webブラウザー」と称する。
次に図3を用いて、認可サーバー200、リソースサーバー300およびクライアント400、端末500のハードウェア構成を説明する。なお、図3は一般的な情報処理装置のブロック図であり、本実施形態の各種デバイスには一般的な情報処理装置のハードウェア構成やIaaS(Infrastructure as a Service)として提供される情報処理装置の仮想的なハードウェア構成を適用できる。図3では、クライアント400を例に説明するが、リソースサーバー300や認可サーバー200、端末500も同様のハードウェア構成を有するものとする。
CPU2001は、RAM2002、ROM2003、外部メモリ2011などからプログラムを取り出してプログラムの命令を実行し、クライアント400の制御を行うユニットである。後述のシーケンスはこのプログラムの命令が実行されることにより実現される。また、CPU2001はシステムバス2004に接続される各ブロックを制御する。
RAM2002は、CPU2001が命令を実行する際に使用するワークメモリである。ROM2003や外部メモリ2011に保存されたOSやアプリケーション等のプログラムがRAM2002へとロードされ、そのプログラムの命令をCPU2001が順次読みだすことで命令を実行する。ROM2003は、アプリケーションプログラムおよびOSを含む組込済みプログラム、およびデータ等が記録されている記憶装置である。
KBC(キーボードコントローラ)2005は、KB(キーボード)2009や不図示のポインティングデバイスからの入力を制御するユニットである。CRTC(Cathode Ray Tube Controller)2006は、CRTディスプレイ2010の表示を制御するユニットである。DKC(Disk Controller)2007は外部メモリ2011に対するデータアクセスを制御するユニットである。NC(ネットワークコントローラ)2008はWAN100やLAN101を介して接続された他のデバイスとの通信制御処理を実行する。なお、IaaSとして提供される仮想的な情報処理装置の場合は、KBC2005やCRTC2006等を備えず、NC2008を介して接続される端末が備えるキーボードやCRTディスプレイから操作されるよう構成される。
尚、後述の説明においては、特に断りのない限り、各種デバイスの機能が実行される際のハードウェアの主体はCPU2001であり、ソフトウェアの主体はRAM2002、ROM2003、外部メモリ2011等にインストールされたプログラムであるものとする。
次に図4を用いて、認可サーバー200、リソースサーバー300、クライアント400、端末500が有する機能について説明する。認可サーバー200は認可サーバー部210、HTTPサーバー部220を有する。HTTPサーバー部220はWAN100を介してクライアント400と端末500に接続されており、Webブラウザーや後述のクライアントアプリケーション420とHTTP通信を行う機能である。また、HTTPサーバー部220はSSL/TLSによる通信が可能であり、不図示の証明書ストアを有する。
認可サーバー部210はHTTPサーバー部220を介してWebブラウザー510からの要求を受信し、受信した要求に対する結果を応答する機能である。具体的には、ユーザー認証の要求をHTTPサーバー部220がWebブラウザー510から受信し、認証が成功したユーザーのユーザー情報が紐づいた認証トークンを生成し、Webブラウザー510に認証トークンを通知する。認証トークンとは、ユーザーが認可サーバー200にログインしている事を示すためのトークン、またはユーザーが認可サーバー200において認証されているかを検証するためのトークンである。認証トークンを用いることで認可サーバー200はユーザーを識別することが可能となる。一方の認可コードは、認証されたユーザーの認可操作により権限委譲されたクライアント400がユーザーに成り代わってリソースサーバー300のAPIにアクセスすることを許可された事を示すトークンである。また、認可サーバー部210は、認可トークンに署名情報を付与するための秘密鍵を保持するように構成する事もできる。その場合は、この秘密鍵を用いて認可トークンに署名情報を付与し、署名情報付きの認可トークンをクライアント400に対して発行する。
リソースサーバー300はリソースサーバー部310を有する。リソースサーバー部310は、Webサービスを提供するためのAPIを公開する機能である。なお、認可サーバー200と同様に、HTTPサーバー部を備え、HTTPサーバー部を介して外部との受送信を実行する形態でもよい。
クライアント400はWebブラウザー410とクライアントアプリケーション420と認証部430を有する。Webブラウザー410はWWWを利用するためのユーザーエージェントによって実現される機能であり、端末500が備えるWebブラウザー510も同様の機能である。Webブラウザー410はユーザーの操作により、認可サーバー200およびクライアントアプリケーション420と通信を行う。クライアントアプリケーション420は、リソースサーバー300が公開するAPIを実行することで自身が提供する機能と合わせたWebサービスをユーザーに提供する。本実施例では、クライアントアプリケーション420がOAuth 2.0におけるクライアントに相当する。
認証部430はユーザーを認証するための機能である。ユーザーはクライアント400の機能を利用するために、クライアント400における不図示の入力画面においてローカルユーザーIDとローカルユーザーパスワードを入力する。入力を受けたクライアント400は、認証部430において予め登録されている情報(ローカルユーザーIDとローカルユーザーパスワード)と入力された情報とを照合することでユーザーの認証処理を行い、ログインコンテキストを生成する。なお認証処理の形態はこれに留まらず、例えば、ICカードを使った認証や指紋等の生体認証でもよい。
ログインコンテキストは、クライアント400でローカルユーザーを識別するための情報であり、例えば、ローカルユーザーIDから構成される。このログインコンテキストはクライアントアプリケーション420と認証部430で共有される。また、本実施例ではクライアント400へのログイン処理についてユーザーが直接クライアント400を操作してログインする形態で説明するが、Webブラウザー510を介してリモートでログインする形態でもよい。その場合、認証部430は不図示のログイン画面をWebブラウザー510に応答する。ユーザーはそのログイン画面にローカルユーザーIDとローカルユーザーパスワードを入力することでユーザーは認証される。その際、認証部430においてログインコンテキストが生成され、クライアントアプリケーション420と認証部430で共有される。
本実施例では、OAuth 2.0の処理を実行する上での安全性を損なわずに、クライアントのURIが変更された場合の処理の煩雑さを解消する処理について説明する。図1で説明した処理については同じ符番を振り、詳細な説明は省略する。
まず、図5を用いて、認可サーバー200がユーザーを認証するためのログイン画面と、ユーザーに対してクライアント400の認可の同意を問うための認可確認画面について説明する。
図5(a)は、ユーザーが認可サーバー200にログインするためのログイン画面の一例であり、Webブラウザーに表示される。ユーザーがWebブラウザーを介して認可サーバー200の認可エンドポイントに認可コード要求を送信し、ユーザーが認可サーバー200にログインしていない場合にWebブラウザーに表示される。ログイン画面5000は、ユーザーID入力欄5001、パスワード入力欄5002、ログイン操作を実行するためのログインボタン5003を備える。ログインボタン5003が押下された後の処理については後述する。
図5(b)は、ユーザーが認証された結果、認可サーバー200がWebブラウザーに応答する認可確認画面の一例である。認可確認画面5100は、ユーザーに対して同意を求める内容として、認可先のクライアント400のクライアント名5101、クライアント400に関する説明5102、および、アイコン画像5103を有する。さらに認可確認画面5100は、ユーザーがクライアント400を認可するための許可ボタン5104、認可を拒否するための拒否ボタン5105を備える。許可ボタン5104、拒否ボタン5105が押下された後の処理については後述する。
次に、図6を用いて本願発明の特徴を備えたOAuth 2.0のAuthorization Code Grantの処理フローを説明する。なお、図1と処理が同じものについては同じ符号を付与しており、詳細な説明は省略する。また、図1のS0.0を後述のS3.0、S0.1を後述のS3.1、S1.2を後述のS4.0、S2.0を後述のS5.0、S2.2を後述のS5.1に置き換えることで本実施例におけるOAuth 2.0の処理フローを実行することができる。
まず、OAuth 2.0を実行する事前操作としてクライアント400の登録フローについて図6を用いて説明する。本実施例ではクライアント400が能動的に認可サーバー200と通信してクライアント400の登録要求を実行する形態で説明するが、ユーザーがWebブラウザーを介して認可サーバー200にアクセスし、クライアント400の登録要求を実行する形態でもよい。クライアント400の登録フローはクライアント400が起動したときか、もしくはS1.1の認可フローの開始時にクライアント400が未登録であった場合に開始するものとする。
クライアント400は認可サーバー200にクライアント400の登録要求を送信する(S3.0)。登録要求を受信した認可サーバー200はクライアント400を識別するためのクライアントIDと、クライアント400を認証するための暗号鍵と復号鍵(公開鍵と秘密鍵)の鍵ペアを生成する。以降の実施例では、秘密鍵と暗号鍵を一例に説明する。認可サーバー200は、生成されたクライアントIDと秘密鍵とを登録応答としてクライアント400に返却する(S3.1)。クライアント400ではクライアントIDと秘密鍵とが紐付いて保存され、認可サーバー200ではクライアントIDと公開鍵とが紐づいて保存される。本実施例ではクライアントIDが「client_01」であるものとして説明する。クライアント400が有する紐付け情報の一例を表1に、認可サーバー200が有する紐付け情報の一例を表2に示す。
Figure 2019046060
Figure 2019046060
登録応答時にクライアント400に送信される情報は、上記の形態に留まらず、秘密鍵の主体情報としてクライアントIDを埋め込み、登録応答は秘密鍵のみをクライアント400に送信する形態も可能である。または、認可サーバー200で予め秘密鍵を生成し、クライアント400の生産時にその秘密鍵を予めインストールしておくことでクライアント400の登録フロー(S3.0〜S3.1)を実行しない形態も可能である。以上がクライアント400の登録フローである。
従来は、クライアント400の事前登録の際(S0.0)にリダイレクトURIとクライアント400に関する情報とを認可サーバー200に送信し、送信された情報を認可サーバー200で管理した。それに対し、本願発明での事前登録(S3.0)は、それらの情報を送信したり、送信された情報を認可サーバー200で管理したりはしない。
次に、図6を用いて、ユーザーがクライアント400にログインしてから、クライアント400が認可サーバー200に対して認可コード要求を送信するまでのフローを説明する。ユーザーはクライアント400にログインする(S1.0)。その際のローカルユーザーIDは「local_user_01」であるものとする。クライアント400はローカルユーザーIDを特定可能なログインコンテキストを生成し保持する。なおログインコンテキストはユーザーのログアウト操作で消滅するように構成することもできるし、ログインコンテキストの有効期限を設定しその時間の経過によって消滅するよう構成することもできる。
次に、ユーザーはWebブラウザーを介してクライアント400の認可開始のURIにアクセスする(S1.1)。ユーザーエージェントがWebブラウザー410である場合、Webブラウザー410を起動してアクセスするか、もしくはWebブラウザー410のブックマークを用いてアクセスする事ができる。もしくは、クライアントアプリケーション420の不図示のUIを操作する事により、Webブラウザー410が起動し開始される構成にする事もできる。ユーザーエージェントがWebブラウザー510である場合は、Webブラウザー410がWebブラウザー510によるリモートアクセスを受信し、Webブラウザー510において認可開始のURIを入力してアクセスするか、ブックマークを用いてアクセスする事ができる。もしくはWebブラウザー510によるリモートアクセスによりクライアントアプリケーション420が不図示の画面を応答し、その画面に貼られている認可開始のURIへのリンクを押下する事でアクセスするという構成も考えられる。
S1.1でクライアント400が認可開始URIへのアクセスを受信すると、クライアント400は認可サーバー200の認可エンドポイントに対して認可コード要求を送信する(S4.0)。具体的には、認可サーバー200の認可エンドポイントへのリダイレクト指示をWebブラウザーに送信する。S4.0の認可コード要求には、認可コード応答のレスポンスタイプに認可コードを指定するための情報と、認可コード要求と認可コード応答とを一意に紐づけるためのstateパラメーターとを含む。
さらにS4.0の認可コード要求はJWT(JSON Web Token)を含む。具体的にはOAuth 2.0 JWT Profileにおいてclient_assertion_type:jwt−bearer を宣言し、そのclient_assertionとしてJWTをパラメーターとして設定する。図7にJWTをパラメーターに設定した際の認可コード要求の一例を示す。JWTはヘッダー部(「Header」から始まる部分)、ペイロード部(「Payload」から始まる部分)、デジタル署名部(「Encoded」から始まる部分)から構成されており、それぞれがBase64というエンコード方式によってエンコードされている。
ペイロード部には、「iss」(発行者を示す)および「sub」(主体を示す)としてクライアントID「client_01」が設定される。「aud」(利用者を示す)には、認可サーバー200の認可エンドポイントのURIを設定し、「exp」(有効期限)、「iat」(発行日時)も設定する。「client_name」にはクライアント名を設定し、「description」にはクライアント400の説明を設定する。今回は、クライアント400のクライアント名として「デバイスXX」が設定され、クライアント400に関する説明として「YYに設置されている¥r¥nデバイスXXです。」が設定されている。「redirect_uri」にはリダイレクトURIが設定され、今回は「https://192.168.1.1/redirect」が設定されている。必要に応じて「icon_image」にアイコン画像に関する情報をアイコン画像の画像形式とともに設定する。また、アイコン画像に関する情報として、アイコン画像が存在するURIを設定する事も可能であり、認可サーバー200に保持している画像があれば、その画像を識別するための情報を設定する事も可能である。
各種情報を設定した後に、ヘッダー部およびペイロード部の文字列をBase64でエンコードし、その文字列に対してクライアント400が保持している秘密鍵を使ってデジタル署名を付与する。S4.0においてJWTを取得した認可サーバー200は、クライアントIDから公開鍵を特定し、その公開鍵を使ってJWTに含まれるデジタル署名を検証する事でクライアント400を認証し、JWTの各文字列が改竄されていない事を検証する。その結果、S4.0の認可コード要求のJWTに含まれるリダイレクトURIはクライアント400が設定したものであり、改竄されていない事が検証できる。
以上が、ユーザーがクライアント400にログインしてから、クライアント400が認可サーバー200に対して認可コード要求を送信するまでのフローである。JWTを用いることで認可コード要求に含まれるリダイレクトURIを信用できるため、認可サーバー200は事前登録されたリダイレクトURIと比較する必要もなく、さらには認可サーバー200にリダイレクトURIを事前登録する必要もない。したがって、クライアント400のURIが変更され、リダイレクトURIが変更された場合でも、変更後のクライアント400のURIを用いて認可サーバー200に認可コード要求として送信することができる。
また、クライアント名、説明、アイコン画像等、認可確認画面に表示されるクライアント400に関する情報を表記する際の使用言語は、クライアント400に格納されているローカルユーザーの使用言語に関する言語情報や、WebブラウザーのAccept−Languageヘッダーに設定されている言語情報(Webブラウザーからのリクエストに含まれる言語情報)に基づいて決定してもよい。つまり、S4.0の認可コード要求に含まれるクライアント400に関する情報をこれらの言語情報に基づいて記載することもできる。これにより、認可サーバー200はクライアント400に関する情報を受信するだけで、クライアント400にログインしているローカルユーザーの使用言語に即した認可確認画面をユーザーに提供することができる。
次に、Webブラウザーを介してユーザーにログイン画面を提示してからクライアント400に認可コードを発行する処理について、図6を用いて説明する。認可エンドポイントに対して認可コード要求を受信した認可サーバー200は、ユーザーが認可サーバー200にログインしていない場合はログイン画面を提示する(S1.3)。ログイン画面の一例は図5aに示した通りである。ユーザーはログイン画面5000にユーザーIDとパスワードを入力し、ログインボタン5003を押下することで認可サーバー200に認証要求を送信する(S1.4)。認証要求を受信した認可サーバー200は、ユーザーIDとパスワードの組み合わせが認可サーバー200に事前登録されている情報と照合し、一致する場合は認証トークンを発行する。発行された認証トークンはWebブラウザーのCookieに応答される。ここで、認証トークンはランダムな推測不可能な文字列で構成されてもよいし、ログインしたユーザーの識別情報とログイン日時を含んだ暗号化された文字列として構成する事もできる。前者の場合、認証トークンはログインしたユーザーの識別情報(本実施例ではユーザーID)と組み合わせて認可サーバー200で保持される。本実施例のユーザーIDは「user_01」であるものとする。
認可サーバー200は認可確認画面をWebブラウザーに応答する(S1.5)。認可確認画面の一例は図5(b)に示した通りである。ただし、S4.0の認可コード要求で受信したJWTのデジタル署名を公開鍵で検証して不正だった場合、不図示のエラー画面を応答し処理を終了する。デジタル署名の検証の処理により、不正なURIへのリダイレクトを防ぐことができる。以降は、JWTのデジタル署名が正当であったものとして説明する。
S4.0の認可コード要求で受信したJWTに含まれる値(クライアント名5101、説明5102、および、アイコン画像5103)に基づいて認可確認画面5100がWebブラウザーに表示される。ここでユーザーが拒否ボタン5105を押下し、さらにクライアントIDとリダイレクトURIの組み合わせが事前登録のものと一致した場合は、ユーザーがクライアント400の認可を拒否した旨を示す情報を認可サーバー200がリダイレクトURIのクエリパラメーターに付与する。そして、そのリダイレクトURIで指定された応答先に情報をリダイレクトするようにWebブラウザーに応答する。
このように、JWTを用いることで不正な認可コード要求を拒絶し、認可コード要求が拒絶されたことを示す表示画面をWebブラウザーに提供することができる。また、S4.0の要求が拒絶されなかったとしても、認可確認画面においてユーザーが認可を拒否することで、拒否されたことを示す情報をWebブラウザーに送信できる。
一方、ユーザーが許可ボタン5104を押下した場合は認可操作が実行され(S1.6)、認可サーバー200は認可コードを発行する。S1.6で発行された認可コードおよび、S4.0の認可コード要求で受信したstateパラメーターをクエリパラメーターとしてリダイレクトURIに付与し、そのリダイレクトURIで指定された応答先にWebブラウザーが認可コード及びstateパラメーターをリダイレクトするよう応答する(S1.7)。発行された認可コードはクライアントID、ユーザーID、リダイレクトURIと紐づけて認可サーバー200において保存される。認可サーバー200において保存された認可コードは、後述のトークン要求を受信した際のクライアント400の検証で用いられる。今回は、クライアントID「client_01」、ユーザーID「user_01」、リダイレクトURI「https://192.168.1.1/redirect」と紐づけて認可コードが保存されるものとする。認可コードは推測不可能なランダムな文字列である必要があり、かつ有効期限を持つことが好ましい。また、認可サーバー200は、ユーザーから認可の同意をうけたとして同意情報(ユーザーIDとクライアントID)をログインしているユーザーの情報として登録する。
S1.7で認可コード応答を受信したクライアント400は、認可サーバー200のトークンエンドポイントに対してトークン要求を行う(S5.0)。このトークン要求には認可フローがAuthorization Code Grantである事を示す定義「grant_type=authorization_code」と、取得した認可コードおよびクライアント認証情報とを含むJWT(JSON Web Token)である。ここで設定するJWTは、より具体的にはOAuth 2.0 JWT Profileにおけるclient_assertion_type:jwt−bearer を宣言し、そのclient_assertionとしてJWTをパラメーターに設定する。図8にJWTで示されたトークン要求の一例を示す。図7の認可コード要求と重複する部分については、詳細な説明は省略する。
S5.0でトークン要求を受けた認可サーバー200は、クライアントIDから特定した公開鍵を利用してJWTの署名を検証する。検証が成功しクライアント400が認証されると認可トークンを発行し、クライアント400にトークン応答を行う(S2.1)。認可サーバーのトークンエンドポイントに対してリフレッシュ要求を行う(S5.1)。リフレッシュ要求におけるクライアント400の認証方式が、S2.2ではクライアントIDとシークレットの組み合わせを用いて照合してクライアント400を認証する。それに対し、のに対し、S5.1ではクライアントIDに付与されたデジタル署名を秘密鍵で検証し、クライアント400を認証する。以上が、Webブラウザーにログイン画面を提示してからクライアント400に認可コードを発行する処理である。
次に、認可コード要求において設定するリダイレクトURIを決定するための処理について、図9を用いて説明する。図9の処理はクライアント400においてリダイレクトURIの決定する処理フローである。本処理は、クライアント400が認可フローの開始要求(S1.1)を受信したことにより開始される(S9.1)。クライアント400は認可フローの開始要求のHostヘッダーを取得する(S9.2)。クライアント400は取得したHostヘッダーのドメイン部が「localhost」であるかを判定する(S9.3)。localhostは、プログラムが実行されているデバイス自身を指すホスト名であり、今回であれば、認可フローの開始要求を送信したWebブラウザーを指す。S9.3の判定結果により、認可フローの開始要求を送信したWebブラウザーを特定することができる。今回は、Webブラウザー410が認可フローの開始要求をクライアント400に送信したものとする。Hostヘッダーが「localhost」であった場合は、リダイレクトURIのドメイン部を「localhost」に決定する(S9.8)。例えば、「https://localhost/redirect」がリダイレクトURIとなる。
S9.3においてHostヘッダーのドメイン部が「localhost」でなかった場合、クライアント400はHostヘッダーのドメイン部がIPアドレスであるかを判断する(S9.4)。IPアドレスでない場合はS9.2で取得したHostヘッダーを用いて、不図示のDNSサーバーに問い合わせてIPアドレスを取得する(S9.5)。例えばHostヘッダーの例として「www.canon.jp:443」である場合、ドメイン(Fully Qualified Domain Name: FQDN)である「www.canon.jp」に対してポート番号「443」が付与されている。その場合、Hostヘッダーの一部としてドメイン部分のみを切り出して、DNSサーバーに問い合わせる。IPアドレスを取得した後は、後述のS9.6の処理を実行する。
S9.4においてHostヘッダーのドメイン部がIPアドレスであった場合、クライアント400に予め設定されているIPアドレスと取得したIPアドレスをクライアント400で比較する(S9.6)。IPアドレスが一致するか否かを判定し(S9.7)クライアント400、IPアドレスが一致しなかった場合は、S9.1で受信したアクセスが不正であるとしてエラー終了する(S9.9)。IPアドレスが一致した場合はS9.1で受信したアクセスが正当であると判断し、S9.2で取得したHostヘッダーのドメイン部を利用したURIを作成し、作成したURIをリダイレクトURIとして決定する(S9.8)。以上が、クライアント400におけるリダイレクトURIの決定方法である。これにより、IPアドレスやホスト名が変更されても、OAuth 2.0の処理フローにおける認可フローの開始要求をきっかけにしてリダイレクトURIを決定する事ができる。
本実施例により、OAuth 2.0のAuthorization Code Grantの処理フローにおいて、安全性を損なうことなく、リダイレクトURIや認可確認画面に提示するためのクライアントの情報について事前に登録、管理する必要がなくなり、かつ動的な変更に対して簡易に対応する事が可能となる。
[その他の実施例]
認可コード要求の際に、認可の範囲を示すscopeパラメーターを指定することもできる。例えば、認可コード要求時に指定されたscopeパラメーターを認可コード、認可トークン、リフレッシュトークンと紐付けて管理してもよい。また、認可確認画面5100を表示する際に、scopeパラメーターが示す認可の範囲を表示するように構成してもよい。
本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施例の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
200 認可サーバー
300 リソースサーバー
400 クライアント
500 端末
410 Webブラウザー
510 Webブラウザー

Claims (11)

  1. クライアントによるリソースサーバーへのアクセスを認可サーバーが認可するための認可コード要求を、前記クライアントがユーザーエージェントを介して認可サーバーに送信する認可コード要求送信手段と、
    前記認可コード要求に対する応答である認可コード応答を受信する認可コード応答受信手段と、
    を有する権限委譲システムであって、
    前記認可コード要求送信手段によって送信される認可コード要求は、前記認可サーバーが前記認可コード応答を応答する応答先を指定するための応答先情報と前記応答先情報に付与された署名情報とを含み、
    前記認可サーバーは前記認可コード要求送信手段によって送信された認可コード要求に含まれる応答先情報に基づいて、前記認可コード要求に対して認可コード応答を送信する権限委譲システム。
  2. 前記署名情報は、
    前記クライアントが保持する秘密鍵を用いて前記応答先情報に付与され、
    前記認可サーバーは、
    前記認可サーバーが保有する公開鍵を用いて、前記応答先情報に付与されている署名情報を検証する請求項1に記載の権限委譲システム。
  3. 前記クライアントが前記認可サーバーに対して前記クライアントに関する情報を登録するためのクライアント登録要求を送信した後に、
    前記認可サーバーは前記クライアントを識別するためのクライアント識別情報と、前記クライアントを認証するための前記公開鍵と前記秘密鍵とを生成し、
    前記認可サーバーは前記クライアント識別情報と前記公開鍵とを関連付けて管理し、
    前記クライアントは、
    前記クライアント登録要求に対する応答として前記クライアント識別情報と前記秘密鍵とを受信する請求項2に記載の権限委譲システム。
  4. 前記認可コード要求を受信した認可サーバーは、
    前記認可コード要求とともに受信した前記クライアント識別情報に基づいて、前記署名情報を検証するための公開鍵を特定する請求項3に記載の権限委譲システム。
  5. 前記ユーザーエージェントは、
    前記クライアントによる前記リソースサーバーへのアクセスを認可することをユーザーが同意するための認可確認画面を提供する認可確認画面提供手段を有し、
    前記認可コード要求は、
    前記認可確認画面に提示する前記クライアントに関する情報と、
    前記クライアントに関する情報を提示する際の言語を指定する言語情報と、
    を含む請求項1乃至請求項4に記載の権限委譲システム。
  6. 前記言語情報は、
    前記クライアントに予め設定されている言語情報または前記ユーザーエージェントからのリクエストに含まれる言語情報のいずれか一つである請求項5に記載の権限委譲システム。
  7. 前記応答先情報は、
    前記認可コード応答を前記クライアントが前記認可サーバーから受信するために前記認可コード応答の応答先を指定するリダイレクトURIである請求項1乃至請求項6のいずれか一つに記載の権限委譲システム。
  8. 前記リダイレクトURIは、
    前記アクセスを前記認可サーバーが認可するための認可処理を開始するためのリクエストが含むユーザーエージェントのHostヘッダーに基づいて決定され、
    前記Hostヘッダーに基づいて決定できない場合は、
    前記クライアントが新たにIPアドレスを取得し、取得されたIPアドレスに基づいて前記リダイレクトURIが決定される請求項7に記載の権限委譲システム。
  9. 前記クライアントに関する情報は、
    クライアント名乃至前記クライアントに関する説明を含む請求項4乃至請求項8に記載の権限委譲システム。
  10. 権限委譲システムで実行される、
    クライアントによるリソースサーバーへのアクセスを認可サーバーが認可するための認可コード要求を、前記クライアントが認可サーバーに送信する認可コード要求送信ステップと、
    前記認可コード要求に対する応答である認可コード応答を受信する認可コード応答受信ステップと、
    を有する制御方法であって、
    前記認可コード要求送信ステップによって送信される認可コード要求は、前記認可サーバーが前記認可コード応答を応答する応答先を指定するための応答先情報と前記応答先情報に付与された署名情報とを含み、
    前記認可サーバーは前記認可コード要求送信ステップによって送信された認可コード要求に含まれる応答先情報に基づいて、前記認可コード要求に対する認可コード応答を送信する権限委譲システムで実行される制御方法。
  11. 権限委譲システムで実行される、
    クライアントによるリソースサーバーへのアクセスを認可サーバーが認可するための認可コード要求を、前記クライアントが認可サーバーに送信する認可コード要求送信ステップと、
    前記認可コード要求に対する応答である認可コード応答を受信する認可コード応答受信ステップと、
    を有する制御方法が実現されるためのプログラムであって、
    前記認可コード要求送信ステップによって送信される認可コード要求は、前記認可サーバーが前記認可コード応答を応答する応答先を指定するための応答先情報と前記応答先情報に付与された署名情報とを含み、
    前記認可サーバーは前記認可コード要求送信ステップによって送信された認可コード要求に含まれる応答先情報に基づいて、前記認可コード要求に対する認可コード応答を送信する権限委譲システムで実行される制御方法が実現されるためのプログラム。
JP2017167285A 2017-08-31 2017-08-31 権限委譲システム、制御方法、およびプログラム Expired - Fee Related JP6904857B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2017167285A JP6904857B2 (ja) 2017-08-31 2017-08-31 権限委譲システム、制御方法、およびプログラム
US16/114,048 US11088847B2 (en) 2017-08-31 2018-08-27 Authority transfer system, control method therefor, and storage medium
EP18191548.9A EP3451617B1 (en) 2017-08-31 2018-08-29 Authority transfer system, control method therefor, computer program and storage medium
KR1020180102582A KR102362456B1 (ko) 2017-08-31 2018-08-30 권한 위양 시스템, 그 제어 방법 및 저장 매체
CN201811012992.4A CN109428947B (zh) 2017-08-31 2018-08-31 权限转移系统及其控制方法和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017167285A JP6904857B2 (ja) 2017-08-31 2017-08-31 権限委譲システム、制御方法、およびプログラム

Publications (2)

Publication Number Publication Date
JP2019046060A true JP2019046060A (ja) 2019-03-22
JP6904857B2 JP6904857B2 (ja) 2021-07-21

Family

ID=63517671

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017167285A Expired - Fee Related JP6904857B2 (ja) 2017-08-31 2017-08-31 権限委譲システム、制御方法、およびプログラム

Country Status (5)

Country Link
US (1) US11088847B2 (ja)
EP (1) EP3451617B1 (ja)
JP (1) JP6904857B2 (ja)
KR (1) KR102362456B1 (ja)
CN (1) CN109428947B (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111343156A (zh) * 2020-02-11 2020-06-26 中国联合网络通信集团有限公司 注册认证的方法、服务器、终端设备及可读存储介质
CN112579996A (zh) * 2019-09-29 2021-03-30 杭州海康威视数字技术股份有限公司 临时授权方法及装置
JP2022545847A (ja) * 2019-09-03 2022-10-31 グーグル エルエルシー 安全な識別情報検索のためのシステムおよび方法
WO2024176494A1 (ja) * 2023-02-21 2024-08-29 株式会社日立製作所 サーバシステム及び不正ユーザ検知方法

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6904183B2 (ja) * 2017-09-12 2021-07-14 富士通株式会社 情報処理装置、プログラム及び情報処理方法
US10831789B2 (en) 2017-09-27 2020-11-10 Oracle International Corporation Reference attribute query processing for a multi-tenant cloud service
US10715564B2 (en) * 2018-01-29 2020-07-14 Oracle International Corporation Dynamic client registration for an identity cloud service
US11423111B2 (en) 2019-02-25 2022-08-23 Oracle International Corporation Client API for rest based endpoints for a multi-tenant identify cloud service
US11792226B2 (en) 2019-02-25 2023-10-17 Oracle International Corporation Automatic api document generation from scim metadata
JP7301668B2 (ja) * 2019-08-07 2023-07-03 キヤノン株式会社 システム、制御方法、プログラム
US11687378B2 (en) 2019-09-13 2023-06-27 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability
US11870770B2 (en) 2019-09-13 2024-01-09 Oracle International Corporation Multi-tenant identity cloud service with on-premise authentication integration
CN110661817B (zh) * 2019-10-25 2022-08-26 新华三大数据技术有限公司 资源访问方法、装置及服务网关
US11121863B1 (en) 2020-03-12 2021-09-14 Oracle International Corporation Browser login sessions via non-extractable asymmetric keys
WO2021224544A1 (en) * 2020-05-05 2021-11-11 Nokia Technologies Oy Registration in communication networks
CN114513299B (zh) * 2020-10-28 2024-01-30 华为技术有限公司 基于开放式授权的数据传输方法及电子设备
CN112560009B (zh) * 2020-12-22 2024-08-06 Oppo广东移动通信有限公司 一种鉴权方法、终端、客户端及计算机存储介质
US11997080B2 (en) * 2020-12-30 2024-05-28 Citrix Systems, Inc. Uniform resource locator validation
CN112929165B (zh) * 2021-01-29 2024-04-30 中汽创智科技有限公司 一种基于远程车辆的动态授权系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011062251A1 (ja) * 2009-11-18 2011-05-26 日本電気株式会社 通信システム、アプリケーションサーバ、サービスサーバ、認証方法及びコンピュータ・プログラム
JP2016085638A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 サーバー装置、端末装置、システム、情報処理方法及びプログラム
JP2017107396A (ja) * 2015-12-09 2017-06-15 キヤノン株式会社 権限委譲システム、情報処理装置、認可サーバ、制御方法およびプログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6961783B1 (en) 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
US20040210663A1 (en) * 2003-04-15 2004-10-21 Paul Phillips Object-aware transport-layer network processing engine
JP2006033085A (ja) * 2004-07-12 2006-02-02 Canon Inc 画像処理装置及びその制御方法
US10068220B2 (en) * 2006-10-11 2018-09-04 Visa International Service Association Systems and methods for brokered authentication express seller links
US8539559B2 (en) 2006-11-27 2013-09-17 Futurewei Technologies, Inc. System for using an authorization token to separate authentication and authorization services
US20090271847A1 (en) * 2008-04-25 2009-10-29 Nokia Corporation Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
US8839376B2 (en) 2012-06-29 2014-09-16 Cable Television Laboratories, Inc. Application authorization for video services
CN103795692B (zh) 2012-10-31 2017-11-21 中国电信股份有限公司 开放授权方法、系统与认证授权服务器
JP6439370B2 (ja) 2014-05-28 2018-12-19 株式会社リコー 情報処理システム、情報処理方法、情報処理装置及びプログラム
JP6335657B2 (ja) 2014-05-30 2018-05-30 キヤノン株式会社 権限委譲システム、方法、認証サーバーシステム、およびプログラム
US9838205B2 (en) * 2014-09-16 2017-12-05 Keypasco Ab Network authentication method for secure electronic transactions
US20160239840A1 (en) * 2015-02-17 2016-08-18 Ca, Inc. System and method of securely transferring payment for an online transaction

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011062251A1 (ja) * 2009-11-18 2011-05-26 日本電気株式会社 通信システム、アプリケーションサーバ、サービスサーバ、認証方法及びコンピュータ・プログラム
JP2016085638A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 サーバー装置、端末装置、システム、情報処理方法及びプログラム
JP2017107396A (ja) * 2015-12-09 2017-06-15 キヤノン株式会社 権限委譲システム、情報処理装置、認可サーバ、制御方法およびプログラム

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022545847A (ja) * 2019-09-03 2022-10-31 グーグル エルエルシー 安全な識別情報検索のためのシステムおよび方法
JP7322283B2 (ja) 2019-09-03 2023-08-07 グーグル エルエルシー 安全な識別情報検索のためのシステムおよび方法
US11784817B2 (en) 2019-09-03 2023-10-10 Google Llc Systems and methods for secure identification retrieval
US12244716B2 (en) 2019-09-03 2025-03-04 Google Llc Systems and methods for secure identification retrieval
CN112579996A (zh) * 2019-09-29 2021-03-30 杭州海康威视数字技术股份有限公司 临时授权方法及装置
CN112579996B (zh) * 2019-09-29 2023-11-03 杭州海康威视数字技术股份有限公司 临时授权方法及装置
CN111343156A (zh) * 2020-02-11 2020-06-26 中国联合网络通信集团有限公司 注册认证的方法、服务器、终端设备及可读存储介质
CN111343156B (zh) * 2020-02-11 2022-07-08 中国联合网络通信集团有限公司 注册认证的方法、服务器、终端设备及可读存储介质
WO2024176494A1 (ja) * 2023-02-21 2024-08-29 株式会社日立製作所 サーバシステム及び不正ユーザ検知方法
JP7636456B2 (ja) 2023-02-21 2025-02-26 日立ヴァンタラ株式会社 サーバシステム及び不正ユーザ検知方法

Also Published As

Publication number Publication date
EP3451617B1 (en) 2021-03-24
EP3451617A1 (en) 2019-03-06
KR102362456B1 (ko) 2022-02-14
CN109428947B (zh) 2022-06-14
US11088847B2 (en) 2021-08-10
CN109428947A (zh) 2019-03-05
KR20190024821A (ko) 2019-03-08
US20190068377A1 (en) 2019-02-28
JP6904857B2 (ja) 2021-07-21

Similar Documents

Publication Publication Date Title
KR102362456B1 (ko) 권한 위양 시스템, 그 제어 방법 및 저장 매체
KR102313859B1 (ko) 권한 위양 시스템, 그 제어 방법 및 클라이언트
CN110138718B (zh) 信息处理系统及其控制方法
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
JP6061633B2 (ja) デバイス装置、制御方法、およびそのプログラム。
JP6335657B2 (ja) 権限委譲システム、方法、認証サーバーシステム、およびプログラム
CN104917727A (zh) 一种帐户鉴权的方法、系统及装置
JP6609788B1 (ja) 情報通信機器、情報通信機器用認証プログラム及び認証方法
CN112929388A (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
JP7043480B2 (ja) 情報処理システムと、その制御方法とプログラム
JP2016085638A (ja) サーバー装置、端末装置、システム、情報処理方法及びプログラム
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法
JP2014142732A (ja) 権限委譲システム
JP7521598B2 (ja) 認証代行装置、認証代行方法および認証代行プログラム
JP2008009644A (ja) 認証システムおよび認証方法
WO2023148807A1 (ja) 通信機器、通信システム、通信方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200727

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210525

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210624

R151 Written notification of patent or utility model registration

Ref document number: 6904857

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees