JP4750020B2 - ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 - Google Patents
ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 Download PDFInfo
- Publication number
- JP4750020B2 JP4750020B2 JP2006512273A JP2006512273A JP4750020B2 JP 4750020 B2 JP4750020 B2 JP 4750020B2 JP 2006512273 A JP2006512273 A JP 2006512273A JP 2006512273 A JP2006512273 A JP 2006512273A JP 4750020 B2 JP4750020 B2 JP 4750020B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- server
- servers
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 35
- 230000004044 response Effects 0.000 claims description 14
- 230000007246 mechanism Effects 0.000 claims description 13
- 235000014510 cooky Nutrition 0.000 claims description 9
- 230000008569 process Effects 0.000 description 21
- 238000012545 processing Methods 0.000 description 21
- 238000012790 confirmation Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 4
- 239000000470 constituent Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 235000006481 Colocasia esculenta Nutrition 0.000 description 1
- 240000004270 Colocasia esculenta var. antiquorum Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
- Tires In General (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、一般的には、ユーザ認証技術に関し、より詳細には、連邦化されたコンピューティング環境において、ユーザを認証するシステム、方法およびプログラムに関する。
近年、多くのコンピュータ関連企業は、インターネット技術を利用してビジネス取引を自動化するためにウェブ・サービス関連技術の開発を進めている。ウェブ・サービスは、複数の企業システム間での電子商取引の効率化を実現することを目的の一つとする。より詳細には、ウェブ・サービスは、ウェブベースのアプリケーション・プログラムが自動的に関連する他のアプリケーション・プログラムを探し出すことで、複数の企業システム間の連携を実現する仕組みを提供する。
そのようなウェブ・サービスのためのセキュリティ仕様である”WS−Security”がインターナショナル・ビジネス・マシーンズ・コーポレーション、マイクロソフト・コーポレーションおよびベリサイン・インクによって公開された(非特許文献1)。“WS−Security”では、互いに信頼関係が確立された複数のサーバを含む連邦化されたコンピューティング環境でシングル・サインオンを実現する仕組みを定義している。ここで、「信頼関係」とは、2以上のサーバのうちのいずれか1つの認証システムにおいてユーザ認証に成功したことをもって、他のサーバに対してもそのユーザを認証されたとして取り扱う場合の当該2以上のサーバの間の関係をいう。なお、前述の連邦化の仕様の一例は、”WS−Federation”として公開されている(非特許文献2)。
背景技術では、ユーザは、複数のサーバを含む連邦化されたコンピューティング環境を利用しようとする場合、セキュリティ・トークンを取得するために複数のサーバのうちのいずれかのサーバの認証システムを使用してユーザ認証を行う。次に、取得したセキュリティ・トークンを含むSOAP(Simple Object Access Protocol)メッセージに署名をした上で、ウェブ・サービスを提供するサーバにそのSOAPメッセージを送信する。SOAPメッセージを受信したサーバは、そのSOAPメッセージに含まれるセキュリティ・トークンを検証し、検証に成功したことに応じて、ユーザに対してサービスの返信をする。
上記の”WS−Security”の仕様が正式に受理され、製品として実装されることで普及すれば、企業間システムのシームレスな連携が加速され、例えば、多数の企業システムが参加する大規模なサプライチェーン・システムが実現するだろう。
丸山宏ほか著、「Web Service Security(WS−Security)」、2002年 4月 5日、インターナショナル・ビジネス・マシーンズ・コーポレーション/マイクロソフト・コーポレーション/ベリサイン・インク発行
丸山宏ほか著、「Web Service Federation Language(WS−Federation)」、2003年 7月 8日、インターナショナル・ビジネス・マシーンズ・コーポレーション/マイクロソフト・コーポレーション/ベリサイン・インク発行
連邦化されたコンピューティング環境において、すべてのサーバの認証システムが同一の認証ポリシー(認証ポリシーは、指紋認証、声紋認証その他の認証形式や個々の認証形式における規約(文字数、有効期限、データサイズその他)、およびそれらの組合せを含むユーザ認証の形式の全てを含む概念である。)を採用しているのであれば、ユーザは、同一の認証情報を登録することで、いずれのサーバの認証システムを自分が使用しているのかを意識することなく、自己の「唯一の」認証情報を使用してユーザ認証を行い、連邦化されたコンピューティング環境を利用することができるだろう。
しかしながら、連邦化されたコンピューティング環境に含まれる複数のサーバの認証システムは、それぞれ異なる認証ポリシーを採用することが多い。なぜなら、連邦化されたコンピューティング環境は、独立して運用され得る複数のシステムが参加することが予定されているからである。そのような性質に起因して連邦化されたコンピューティング環境に含まれる第1のサーバと第2のサーバが異なる認証ポリシーを採用している場合、ユーザは第1のサーバと第2のサーバそれぞれに対して、異なった認証ポリシーに適合する認証情報を設定することになる。
このようなコンピューティング環境では、ユーザは、サーバの認証システムと認証情報の対応を記憶した上で、いま自分がどの認証システムにおいて認証を試みているかを正確に意識して当該認証システムに対応する認証情報を入力することを強いられる。連邦化されたコンピューティング環境に参加するサーバの増加に比例して、ユーザが記憶すべき認証情報の数も増加するので、このオペレーションはユーザの大きな負担となる可能性がある。
そこで本発明は、上記の課題を解決することができる認証システム、認証方法、認証プログラムを提供することを目的とする。
上記課題を解決するために、本発明の第1の態様によれば、互いに信頼関係が確立された複数のサーバを含むコンピューティング環境に対するユーザ認証を行うためのシステムであって、複数のサーバのうちの少なくとも1つの認証ポリシーを登録した認証ポリシーテーブルと、ユーザから認証情報を受ける手段と、認証ポリシーテーブルを用いて、複数のサーバから認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定する手段と、サーバを特定する手段によって特定されたサーバの認証機構に、認証情報を用いてユーザ認証を行うように命令する信号を送信する手段と、ユーザ認証が成功したことを条件として、ユーザのコンピューティング環境へのアクセスを許可する手段と、を備えたシステムが提供される。
また、本発明の第2の態様によれば、互いに信頼関係が確立された複数のサーバを含むコンピューティング環境における方法であって、複数のサーバのうちの少なくとも1つの認証ポリシーを登録した認証ポリシーテーブルを少なくとも1つ保持し、ユーザから認証情報を受けるステップと、認証ポリシーテーブルを用いて、複数のサーバから認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定するステップと、サーバを特定するステップにおいて特定されたサーバの認証機構に、認証情報を用いてユーザ認証を行うように命令する信号を送信するステップと、ユーザ認証が成功したことを条件として、コンピューティング環境へのアクセスが許可されるステップと、を含む方法が提供される。
さらに、本発明の第3の態様によれば、互いに信頼関係が確立された複数のサーバを含むコンピューティング環境におけるプログラムであって、複数のサーバの少なくとも1つの認証ポリシーを登録した認証ポリシーテーブルを少なくとも1つ保持し、認証プログラムは、ユーザから認証情報を受けるステップと、認証ポリシーテーブルを用いて、複数のサーバから認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定するステップと、サーバを特定するステップにおいて特定されたサーバの認証機構に、認証情報を用いてユーザ認証を行うように命令する信号を送信するステップと、ユーザ認証が成功したことを条件として、コンピューティング環境へのアクセスが許可されるステップと、をコンピュータに実行させるプログラムが提供される。
また、本発明の第4の態様として、上述したプログラムを記録したコンピュータ可読の記憶媒体のようなコンピュータ・プログラム製品が提供される。
本発明によれば、連邦化されたコンピューティング環境において、より利便性の高いユーザ認証が可能となる。
以下、本発明を実施するための最良の形態を図面に基づいて詳細に説明する。なお、本発明は多くの異なる態様で実施することが可能であり、実施の形態の記載内容に限定して解釈されるべきものではなく、また実施の形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須とは限らないことに留意されたい。また、実施の形態の説明の全体を通じて同じ要素には同じ番号を付している。
以下の実施の形態では、主に方法およびシステムについて説明するが、当業者であれば明らかな通り、本発明はコンピュータで使用可能なプログラムとしても実施できる。したがって、本発明は、ハードウェアとしての実施形態、ソフトウェアとしての実施形態またはソフトウェアとハードウェアとの組合せの実施形態をとることができる。プログラムは、ハードディスク、CD−ROM、光記憶装置または磁気記憶装置等の任意のコンピュータ可読媒体に記録できる。
図1は、本発明の実施の形態における連邦化されたコンピューティング環境1000のシステム構成の一例を示した概念図である。連邦化されたコンピューティング環境1000は、ネットワーク200で互いに接続されたクライアント100および複数のサーバ300−1〜300−N(以下、必要に応じてサーバ300と総称する)を含んでいる。
クライアント100は、周知のインターネットに接続可能な端末である。当業者は、そのようなクライアント100を容易に実施することができる。また、クライアント100とネットワーク200の接続は、ダイアルアップ接続等によりISP(Internet Service Provier、図示せず)を介して行うとよい。なお、クライアント100からISPへの接続はダイアルアップ接続に制限されるものではなく、例えば、専用線、LAN(Local Area Network)、WAN(Wide Area Network)、ADSL(Asymmetric Digital Subscriber Line)、CATV(Cable TeleviSion)を用いた常時接続により行ってもよい。
ネットワーク200は、クライアント100、サーバ300を接続する通信経路であり、一例としてインターネットにより実現することができる。インターネットであるネットワーク200は周知の通り、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いてシステム間を接続する。ネットワーク200ではグローバルアドレスまたはローカルアドレスで表されるIPアドレスによって相互に通信するシステムが特定される。
サーバ300は、クライアント100からの要求に応じてサービスを提供するコンピュータ装置である。より詳細には、サーバ300−1〜300−Nは、周知のウェブ・サービス技術を使用して、クライアント100からのサービス要求に対して、互いに連携してウェブ・サービスを提供する。好適には、サーバ300−1〜300−Nは、前述の”WS−Federation”仕様に従って、互いに信頼関係が確立された連邦化されたコンピューティング環境1000を形成する。
図2は、本実施の形態におけるサーバ300の機能ブロック図である。図2の機能ブロック図に示す各要素は、後述する図11に例示したハードウェア構成を有するコンピュータにおいて、ハードウェア資源とソフトウェアを協働させることで実現することができる。
サーバ300は、通信制御部310、ユーザ認証処理部320、アプリケーション実行部330を含む。通信制御部310は、ネットワーク200から受けたデータを、ユーザ認証処理部320またはアプリケーション実行部330へ転送する。通信制御部310は、ユーザ認証処理部320またはアプリケーション実行部330から受けたデータを、ネットワーク200へ送出することもできる。
ユーザ認証処理部320は、通信制御部310を通じて受けたクライアント100のユーザのアクセス要求に応じて認証処理を行う。好適には、アクセス要求は、クライアント100のウェブ・ブラウザにおいて生成され、ネットワーク200に送出されサーバ300に受信されたHTTP(HyperText Transfer Protocol)リクエストとして実装されるが、これに限定されない。ユーザ認証処理部320は、認証要求処理部321、認証情報管理部322、LDAPクライアント323、認証ポリシーテーブル324、例外IDテーブル325および認証情報LDAP326を含む。
認証要求処理部321は、クライアント100のユーザからのアクセス要求を解析し、アクセス要求を送信したユーザが未認証であると判定された場合は、ユーザ認証を実行する。つまり、認証要求処理部321は、認証ポリシーテーブル324を参照して、連邦化されたコンピューティング環境1000に含まれる他のサーバの認証システムと連携してユーザ認証を実行する。
より詳細には、認証要求処理部321は、アクセス要求を送信したクライアント100のユーザが未認証であると判定されたことに応じて、認証情報の入力を促すウェブ・ページのデータをクライアント100に送信する機能を有する。また、認証要求処理部321は、認証情報入力用ウェブ・ページ使用して入力されたユーザの認証情報を受け、認証ポリシーテーブル324を使用して、当該認証情報が、連邦化されたコンピューティング環境1000に含まれる複数のサーバのうち、いずれのサーバの認証システムの認証ポリシーに適合するかを特定し、特定されたサーバの認証システムの認証機構において、認証情報を用いてユーザ認証を命令する信号を送信する機能を有する。
さらに、認証要求処理部321は、認証情報が自身の認証ポリシーに適合すると判定された場合に、当該認証情報と、LDAPクライアント323を通じて入手した認証情報LDAP326に格納された認証情報の突き合わせを行う認証機構を有する。さらに、認証要求処理部321は、ユーザ認証が成功した場合に、クライアント100に連邦化されたコンピューティング環境1000へのアクセスを許可するセキュリティ・トークンを送信する機能している。本実施の形態では、好適には、セキュリティ・トークンは、クレデンシャルおよびクッキーである。
認証情報管理部322は、連邦化されたコンピューティング環境1000における認証情報の管理を行う。好適には、認証情報管理部322は、連邦化されたコンピューティング環境1000に含まれるサーバの認証システムの認証ポリシーの認証ポリシーテーブル324への登録、更新および参照の処理を行う機能を有する。また、認証情報管理部322は、LDAPクライアント323を通じて、ユーザから受けた認証情報を認証情報LDAPへ登録する機能を有する。さらに、認証情報管理部322は、新規ユーザのユーザIDを登録する際に、同一の認証ポリシーを採用する他のサーバの認証システムに同一のユーザIDが既に登録されているかどうかを判定し、同一のユーザIDが登録されていると判定された場合に、当該ユーザIDを例外IDテーブル325に登録する機能を有する。
LDAPクライアント323は、認証情報LDAP326へのインターフェースを提供する。より詳細には、LDAPクライアント323は、サーバ300のプログラム・コンポーネントまたは他のコンピュータからの認証情報LDAP326へのアクセスを制御する機能を有する。LDAPクライアント323は、少なくとも、認証情報管理部322から受けた認証情報を認証情報LDAP326へ登録することができ、また、認証要求処理部321等の要求に応じて認証情報LDAP326に登録されている認証情報を取り出すことができる。
認証ポリシーテーブル324は、連邦化されたコンピューティング環境1000に含まれる各サーバの認証システムの認証ポリシーを登録するテーブルである。
図9は、本発明の実施形態における認証ポリシーテーブル324の一例を示した図である。認証ポリシーテーブル324には、連邦化されたコンピューティング環境1000に含まれるサーバの一部または全部のアドレス・ロケーション(好適には、当該サーバのURLアドレス)が、認証ポリシーと関連付けられて登録されている。図9に例示する認証ポリシーテーブル324では、第一列に認証ポリシーが登録され、第二列に第一列の認証ポリシーを採用するサーバのアドレスが登録されている。
なお、認証ポリシーテーブル324には、連邦化されたコンピューティング環境1000に含まれるすべてのサーバのアドレス・ロケーションおよび認証ポリシーが登録されることが好ましい。しかし、後述するように、本実施形態のユーザ認証は、認証ポリシーテーブル324にアドレス・ロケーションおよび認証ポリシーが登録されたサーバのいずれかにおいてユーザ認証が成功したことに応じて連邦化されたコンピューティング環境1000へのアクセスを許可するものであるので、連邦化されたコンピューティング環境1000に含まれるサーバのアドレス・ロケーションおよび認証ポリシーが登録されていなくても本実施形態のユーザ認証は動作可能であることに留意されたい。
さらに、本発明の実施形態における認証ポリシーテーブル324では、同一の認証ポリシーを採用するサーバが複数存在する場合に、どのサーバの認証システムからユーザ認証の処理を行うかを示すプライオリティがサーバアドレスと関連付けて登録される。プライオリティの値は、システム管理者がマニュアルで入力をしてもよいし、認証システムに登録されているユーザ数の多い順で値を割り振るなど、自動的に決定してもよい。
より具体的には、本発明の実施形態における認証ポリシーテーブル324には、ユーザIDが「アルファベット3文字+数字3文字」かつパスワードが「アルファベット4文字」の認証ポリシーを採用する3つのサーバ(アドレスは”server300-1.com”、”server300-2.com”、”server300-3.com”)が登録されている。また、ユーザIDが「アルファベット8文字」かつパスワードが「任意」の認証ポリシーを採用する2つのサーバ(アドレスは”server300-4.com”、”server300-5.com”)も登録されている。
さらに、認証ポリシーテーブル324には、「指紋認証」かつ指紋認証のバイナリデータのサイズが「100bytes」の認証ポリシーを採用する2つのサーバ(アドレスは”server300-6.com”、”server300-7.com”)および「声紋認証」かつ声紋認証のバイナリデータのサイズが「200bytes」の認証ポリシーを採用する1つのサーバ(アドレスは”server300-8.com”)も登録されている。
例外IDテーブル325は、連邦化されたコンピューティング環境1000に含まれる各サーバの認証システムの間で同一のユーザIDを別のユーザが使用している場合に、当該ユーザIDを例外IDとして登録するテーブルである。
図10は、本発明の実施形態における例外IDテーブル325の一例を示した図である。例外IDテーブル325には、連邦化されたコンピューティング環境1000に含まれるサーバの一部または全部のアドレス・ロケーション(好適には、当該サーバのURLアドレス)が、例外IDと関連付けられて登録されている。図10に例示する例外IDテーブル325では、第一列にサーバアドレスが登録され、第二列に第一列のサーバの認証システムの例外IDが登録されている。
アプリケーション実行部330は、認証されたユーザのサービス要求を実現するために、クライアント100および/または連邦化されたコンピューティング環境1000に含まれるサーバからの要求に応じて、種々のアプリケーション・プログラムを実行する。好適には、アプリケーション実行部330によって実行されるアプリケーション・プログラムは、ウェブベースのアプリケーション・プログラムとして実現される。本発明の実施の形態においては、アプリケーションA(331)、アプリケーションB(332)、アプリケーションC(333)およびアプリケーションD(334)の4種類のアプリケーションを実行することができるようにされている。
図3は、複数のサーバ間の信頼関係を確立する動作フローを示したフローチャートである。本実施の形態においては、複数のサーバ300−1〜300−Nが互いに信頼関係を確立する場合、まず、サーバ300−1が、図3に記載した動作フローに従ってまだ信頼関係の確立されていないサーバ300−2〜300−Nとの信頼関係を確立する。次に、サーバ300−2が、同様に図4に記載した動作フローに従って、まだ信頼関係の確立されていないサーバ300−3〜300−Nとの信頼関係を確立する。これをサーバ300−(N−1)まで繰り返すことで、複数のサーバ300−1〜300−Nの互いの信頼関係がすべて確立され、連邦化されたコンピューティング環境1000が形成される。
以下に、サーバ300−1がサーバ300−2〜300−Nとの間で信頼関係を確立する場合を例として、図3に示す動作フローを詳細に説明する。最初に、サーバ300−1は、自己の認証ポリシーを認証ポリシーテーブル324へ登録する(S3010)。次に、周知のPKI(Pubulic Key Infrastracture)方式に従って電子証明書を交換することで、サーバ300−1とサーバ300−2の間の信頼関係を確立する(S4020)。
次に、サーバ300−1は、S3020において信頼関係を確立した相手方のサーバであるサーバ300−2の認証ポリシーを入手する。具体的には、サーバ300−1は、サーバ300−2にローカルに存在するサーバ300−2の管理者が作成した認証ポリシーを記述したプロファイル・テーブルにアクセスすることで、サーバ300−2の認証ポリシーを入手する。そして、入手したサーバ300−2の認証ポリシーを認証ポリシーテーブル324に登録した上で(S3030)、自己の認証ポリシーと相手方サーバ300−2の認証ポリシーが同一かどうかを判定する(S3040)。サーバ300−1とサーバ300−2の認証ポリシーが同一でないと判定された場合は、信頼関係をまだ確立していないサーバが存在するかどうかを判定するためにNOの矢印からS3090へ進む。
S3040においてサーバ300−1とサーバ300−2の認証ポリシーが同一と判定された場合は、YESの矢印からS3050へ進み、サーバ300−1とサーバ300−2の認証情報LDAP326に同一のユーザIDが存在するかどうかを調べる。S3050においてサーバ300−1とサーバ300−2の認証情報LDAP325に同一のユーザIDが存在しないと判定された場合は、信頼関係をまだ確立していないサーバが存在するかどうかを判定するためにNOの矢印からS3090へ進む。
S3050においてサーバ300−1とサーバ300−2の認証情報LDAPに同一のユーザIDが存在すると判定された場合は、YESの矢印からステップ3060へ進み、図6に示す例外ID登録確認画面を、サーバ間の信頼関係を確立しようとしているシステム管理者の操作する端末へ表示する。本実施の形態では、サーバ300−1とサーバ300−2の双方に、“ABC001”というユーザIDが登録されていたとして、システム管理者に当該ユーザIDが同一のユーザが使用するものかどうかについて確認を促している。なお、例外ID登録確認画面には、システム管理者に確認のヒントを提示するために、サーバ名、ユーザIDと関連付けて登録名(サーバ300−1のユーザID“ABC001”に対する登録名として“Tanaka Taro”、サーバ300−2のユーザID“ABC001”に対する登録名として“Hirota Keisuke”)が表示される。
次に、S3070に進み、システム管理者が、例外ID確認画面に表示されたユーザIDが、サーバ300−1とサーバ300−2で異なるユーザが使用していると判断した場合、システム管理者は、例外ID確認画面で“登録する”ボタンを押すことになる。“登録する”ボタンが押されたことに応じてフローはS3080に進み、当該ユーザIDは、例外IDテーブル325に登録される。その後、信頼関係をまだ確立していないサーバが存在するかどうかを判定するためにNOの矢印からS3090へ進む。
S3070において、システム管理者が、例外ID確認画面に表示されたユーザIDが、サーバ300−1とサーバ300−2で同一のユーザが使用していると判断した場合、ユーザは例外ID確認画面で“登録しない”ボタンを押すことになる。“登録しない”ボタンが押されたことに応じて、フローは、信頼関係をまだ確立していないサーバが存在するかどうかを判定するためにNOの矢印からS3090へ進む。
S3090では、サーバ300−1がまだ信頼関係を確立していないサーバがあるかどうかが判定される。S3090でまだ信頼関係を確立していないサーバがあると判定された場合は、フローはS3030へ戻り、まだ信頼関係を確立していないサーバとS3030〜S3080のステップを実行することでサーバ300−1は、すべての他のサーバ300−2〜300−Nと信頼関係を確立することとなる。S3090でまだ信頼関係を確立していないサーバがもう存在しないと判定された場合は、YESの矢印に進み、フローは終了する。
上記は、サーバ300−1が、他のサーバ300−2〜300−Nと信頼関係を確立することについて説明した。同様の処理を300−2〜300−Nについても実行することで、サーバ300−1〜300−Nの間で互いに信頼関係を確立した連邦化されたコンピューティング環境1000が形成される。
図4は、新規ユーザ認証情報の登録の動作フローを示したフローチャートである。以下に、既に複数のサーバ300−1〜300−Nで互いに信頼関係が確立された連邦化されたコンピューティング環境1000に参加するサーバ300−1の認証システムにおいて、新規ユーザ認証情報を登録する流れを、図4を参照して詳細に説明する。なお、他のサーバ300−2〜300−Nの認証システムにおいて新規ユーザ認証情報を登録する流れも同様の処理で実現可能であることに留意されたい。
まず、ユーザの操作するクライアント100から新規認証情報を受け付ける(S4010)。なお、S4010では、サーバ300−1は、サーバ300−1の管理者が作成した認証ポリシーを記述したプロファイル・テーブルを使用して、新規認証情報が自己の認証ポリシーに適合しているかどうかの検証も行っている。次に、自己の認証情報LDAP326に、クライアント100から受けた認証情報に含まれるユーザIDと同一のユーザIDが存在するかどうかを判定する(S4020)。S4020で同一のユーザIDが存在すると判定された場合は、同一のサーバの認証システムでは同一のユーザIDが存在をすることは許されないので、別の認証情報をユーザから受け付けるためにYESの矢印からS4010へ戻り、再度新規ユーザ認証情報を受け付ける。S4020で同一のユーザIDが存在しないと判定された場合は、NOの矢印からS4030へ進む。
S4030では、サーバ300−1は、自己の記憶装置に記憶されている認証ポリシーテーブルを用いて、連邦化されたコンピューティング環境1000に存在する自己と同一の認証ポリシーを採用する認証システムを持つサーバを特定する。次に、S4030で自己と同一の認証ポリシーを採用する認証システムを持つサーバとして特定されたサーバのうちの一つの認証情報LDAP326に新規ユーザ認証情報に含まれるユーザIDと同一のユーザIDが存在するかどうかを判定する(S4040)。
S4040において、S4030で特定されたサーバのうちの一つの認証情報LDAP326に同一のユーザIDが存在しないと判定された場合は、他にS4030で特定された300−1と同一の認証ポリシーを採用するサーバが存在するかどうかを判定するためにNOの矢印からS4080へ進む。
S4040において、S4030で特定されたサーバのうちの一つの認証情報LDAP326に同一のユーザIDが存在すると判定された場合は、YESの矢印からS4050へ進み、図6に示す例外ID登録確認画面を、認証情報を登録しようとしているユーザが操作するクライアントへ表示する。例外ID登録確認画面については、図3の説明において既にしたので、ここでは詳細には説明しない。
次に、S4060に進み、認証情報を登録しようとするユーザが、例外ID確認画面に表示されたユーザIDを自分が使用しているものではないと判断した場合、ユーザは例外ID確認画面で“登録する”ボタンを押すことになる。“登録する”ボタンが押されたことに応じてフローはS4070に進み、当該ユーザIDは、例外IDテーブル325に登録される。その後、他にS4030で特定された300−1と同一の認証ポリシーを採用するサーバが存在するかどうかを判定するためにNOの矢印からS4080へ進む。
なお、S4060において、認証情報を登録しようとするユーザが、例外ID確認画面に表示されたユーザIDを自分が使用しているものであると判断した場合、ユーザは例外ID確認画面で“登録しない”ボタンを押すことになる。“登録しない”ボタンが押されたことに応じて、他にS4030で特定された300−1と同一の認証ポリシーを採用するサーバが存在するかどうかを判定するためにYESの矢印からS4080へ進む。
S4080では、S4030で特定されたサーバ300−1と同一の認証ポリシーを採用するサーバがまだ残っているかが判定される。S4080でまだ同一の認証ポリシーを採用するサーバが残っていると判定された場合は、フローはS4040へ戻り、残っているサーバとS4040〜S4070のステップを実行することで、サーバ300−1は、必要な情報を例外IDテーブルに登録する。S4080でまだ同一の認証ポリシーを採用するサーバが残っていないと判定された場合は、NOの矢印からS4090へ進み、サーバ300−1は、新規ユーザ認証情報を自己の認証情報LDAP326に登録する。
図5は、本発明の実施形態におけるユーザ認証の流れを示したフローチャートである。以下、未認証のユーザの操作するクライアント100から連邦化されたコンピュータ環境1000に含まれる複数のサーバの一つであるサーバ300−1に対してアクセス要求があった場合のユーザ認証の流れを図5のフローチャートに従って詳細に説明する。なお、他のサーバ300−2〜300−Nの認証システムにおいてユーザ認証を行う場合も同様の処理で実現可能であることに留意されたい。
サーバ300−1は、ユーザからアクセス要求を受ける(S5010)。そして、アクセス要求にセキュリティ・トークンが含まれるかどうかを調査することによって当該アクセス要求を発したユーザが未認証であると判定したサーバ300−1は、ユーザの操作するクライアントに、図7に示す認証モード選択画面のデータを送信することで、ユーザに認証モードの選択を促す(S5020)。ユーザが、図7に例示する認証モード選択画面に“はい”のボタンを押し、マルチ認証モードを選択した場合は、処理はS5040へ進む。なお、ユーザが図7に例示する認証モード選択画面に“いいえ”のボタンを押し、通常認証モードが選択した場合は、処理はS5030へ進み、認証ポリシーテーブルを使わない通常認証でユーザ認証が行われる。通常認証は、周知であるのでここでは詳細には説明されない。
次に、サーバ300−1は、図8に示すマルチ認証モードで用いられる認証画面のデータをユーザのクライアントに送信する(S5040)。認証画面のデータを受けたユーザは、認証情報を入力する(S5050)。クライアントは、入力された認証情報をサーバ300−1へ送信する。
より詳細には、ユーザIDを使用してユーザ認証を行う場合は、ユーザは、図8に示す認証情報入力画面の第一行にキーボードを操作することでユーザIDを入力する。ユーザIDを使用せずにユーザ認証を行う場合は、ユーザは、第一行の“使用しない”のチェックボックスをチェックする。また、パスワードを使用してユーザ認証を行う場合は、ユーザは、図8に示す認証画面の第二行にキーボードを操作することでパスワードを入力する。パスワードを使用せずにユーザ認証を行う場合は、ユーザは、第二行の“使用しない”のチェックボックスをチェックする。指紋認証、声紋認証などテキストデータ以外(すなわち、バイナリデータ)を使用してユーザ認証を行う場合は、ユーザは、図8に示す認証画面の第三行の“使用しない”のチェックボックスをチェックせずに“OK”ボタンを押し、続けてバイナリデータの入力(例えば、指紋認証に対して指紋データ入力パッドに指を置く、声紋認証に対してはマイクに向かって発声するなど)を行う。パスワードを使用せずにユーザ認証を行う場合は、ユーザは、第二行の“使用しない”のチェックボックスをチェックする。
処理はS5050に進み、サーバ300−1は、自己の認証ポリシーテーブルを参照し、ユーザが入力した認証情報と適合する認証ポリシーを採用する1以上のサーバのアドレスを取得する(S5060)。例えば、サーバ300−1が図9の認証ポリシーテーブルを使用し、認証情報にユーザIDが“XYZ001”、パスワードが“WXYZ”が含まれる場合は、ユーザIDが「アルファベット3文字+数字3文字」かつパスワードが「アルファベット4文字」の認証ポリシーに適合するので、サーバ300−1は、3つのアドレス”server300-1.com”、”server300-2.com”、”server300-3.com”を取得する。
次に、サーバ300−1は、ユーザからの認証情報に含まれるユーザIDが例外IDテーブルに登録されているかどうかを、S5060で取得されたアドレスの示すサーバに対して問合せを行うことで判定する(S5070)。認証情報に含まれるユーザIDが例外IDテーブルに登録されていると判定された場合は、YESの矢印からS5080へ進み例外処理が行われる。例外IDテーブルに登録されているユーザIDは、いずれの認証システムにおいてユーザ認証すべきかを判別することができないので、例外処理では、サーバ300−1は、ユーザのクライアントに「このユーザIDは例外IDですので、マルチ認証モードを使用することはできません。通常認証にてユーザ認証を行ってください。」というメッセージを返し、処理を終了する。
S5070において、ユーザからの認証情報に含まれるユーザIDがいずれかのサーバの例外IDテーブルにも登録されてないと判定された場合は、NOの矢印からS5090へ進む。S5090では、サーバ300−1は、S5060において取得したアドレスを使用して、認証ポリシーの合致するサーバに認証情報を送信し、認証情報を受信したサーバの認証機構を使用してユーザ認証を行う。好適には、サーバ300−1は、いずれのサーバからユーザ認証を行うかを、認証ポリシーテーブル中のプライオリティの値に従って決定する。例えば、サーバ300−1が図9の認証ポリシーテーブルを使用し、S5070においてサーバ300−1が3つのアドレス”server300-1.com”、”server300-2.com”、”server300-3.com”を取得した場合は、プライオリティの値が最も高い”server300-1.com”の認証システムがユーザ認証を最初に試みることとなる。
処理はS5100へ進み、ユーザ認証が成功したと判定された場合は、ユーザ認証を行ったサーバは、アイデンティティ情報を取得し(S5110)、取得したアイデンティティ情報を使用して、クレデンシャルおよびクッキーを作成し、ユーザに返信する(S5120)。なお、クレデンシャルおよびクッキーの作成およびユーザへの返信は、ユーザ認証を行ったサーバからユーザ認証が成功した旨の通知を受けたサーバ300−1が行ってもよい。そして、ユーザは受信したクレデンシャルおよびクッキーを使用して、連邦化されたコンピューティング環境1000にアクセスをすることが許可され、認証処理は終了する。
なお、本発明の実施形態では、ユーザに連邦化されたコンピューティング環境へのアクセスを許可するために、クレデンシャルおよびクッキーを使用する態様によって説明をした。しかし、クレデンシャルおよびクッキーの代替としてURLエンコーディング、SAMLトークンのような他のいかなる公知の認証技術も使用可能であることは当業者には自明である。
S5100でユーザ認証が失敗したと判定された場合は、S5060で特定されたユーザの認証情報に認証ポリシーが適合するサーバが残っているかどうかが判定される(S6130)。S5130において、まだS5060で特定されたユーザの認証情報に認証ポリシーに適合するサーバが残っていると判定された場合は、フローはS5090へ戻り、他の残っているサーバに対してS5090以降の処理を行うことで、再びユーザ認証を試みることとなる。前述のサーバ300−1が図9の認証ポリシーテーブルを使用し、S5070においてサーバ300−1が3つのアドレス”server300-1.com”、”server300-2.com”、”server300-3.com”を取得した場合は、既に”server300-1.com”の認証システムによる認証は失敗したので、サーバ300−1は、プライオリティの値が次に高い”server300-2.com”の認証システムがユーザ認証を最初に試み、それも失敗した場合は、”server300-3.com”の認証システムがユーザ認証を試みることとなる。
S5130で特定されたユーザの認証情報に認証ポリシーに適合するサーバが残っていない、すなわちすべてのサーバにおいて認証が失敗したと判定された場合は、フローはS5140へ進み、認証失敗としてユーザは連邦化されたコンピューティング環境1000へのアクセスを許可されないこととなり、認証処理は終了する。
図11は、本発明の実施の形態において使用されるサーバ300を実現するために好適なコンピュータ装置のハードウェア構成を例示する図である。サーバ300は、中央処理装置(CPU)1とメインメモリ4を含んでいる。CPU1とメインメモリ4は、バス2を介して、補助記憶装置としてのハードディスク装置13と接続されている。また、フレキシブルディスク装置20、MO装置28、CR−ROM装置26、29などのリムーバブルストレージ(記録メディアを交換可能な外部記憶システム)が関連するフレキシブルディスク・コントローラ19、IDEコントローラ25、SCSIコントローラ27などを介してバス2へ接続されている。
フレキシブルディスク装置20、MO装置28、CR−ROM装置26、29などのリムーバブルストレージには、それぞれフレキシブルディスク、MO、CD−ROMなどの記憶媒体が挿入され、このフレキシブルディスク等やハードディスク装置13、ROM14には、オペレーティング・システムと協働してCPU等に命令を与え、本発明を実施するためのコンピュータ・プログラムのコードを記録することができる。メインメモリ4にロードされることによってコンピュータ・プログラムは実行される。コンピュータ・プログラムは圧縮し、また複数に分割して複数の媒体に記録することもできる。
サーバ300は、さらに、ユーザ・インターフェイス・ハードウェアとして、マウス等のポインティング・デバイス7、キーボード6や視覚データをユーザに提示するためのディスプレイ12を有することができる。また、パラレルポート16を介してプリンタ(図示せず)と接続することや、シリアルポート15を介してモデム(図示せず)を接続することが可能である。サーバ300は、シリアルポート15及びモデムを介し、また、通信アダプタ18(イーサネット(R)・カードやトークンリング・カード)等を介してネットワークに接続し、他のコンピュータ等と通信を行うことが可能である。
スピーカ23は、オーディオ・コントローラ21によってD/A変換(デジタル/アナログ変換)された音声信号をアンプ22を介して受け取り、音声として出力する。また、オーディオ・コントローラ21は、マイクロフォン24から受け取った音声情報をA/D変換(アナログ/デジタル変換)し、システム外部の音声情報をシステムに取り込むことを可能にしている。
以上の説明により、本発明の実施の形態におけるサーバ300は、メインフレーム、ワークステーション、通常のパーソナルコンピュータ(PC)等の情報処理装置、または、これらの組み合わせによって実現されることが容易に理解されるであろう。ただし、これらの構成要素は例示であり、そのすべての構成要素が本発明の必須構成要素となるわけではない。
特に、ここで説明したハードウェア構成のうち、フレキシブルディスク装置20、MO装置28、CR−ROM装置26、29などのリムーバブルストレージ、パラレルポート16、プリンタ、シリアルポート15、モデム、通信アダプタ18、スピーカ23、オーディオ・コントローラ21、アンプ22、マイクロフォン24などはなくても、本発明の実施の形態は実現可能であるので、本発明の実施の形態におけるサーバ300に含めなくともよい。
本発明の実施に使用されるサーバ300の各ハードウェア構成要素を、複数のマシンを組み合わせ、それらに機能を配分し実施する等の種々の変更は当業者によって容易に想定され得るものであり、それらの変更は、当然に本発明の思想に包含される概念である。
サーバ300は、オペレーティング・システムとして、マイクロソフト・コーポレーションが提供するWindows(R)オペレーティング・システム、インターナショナル・ビジネス・マシーンズ・コーポレーションが提供するAIX、アップル・コンピュータ・インコーポレイテッドが提供するMacOS、あるいはLinuxなどのGUIマルチウィンドウ環境をサポートするものを採用することができる。
サーバ300は、オペレーティング・システムとして、インターナショナル・ビジネス・マシーンズ・コーポレーションが提供するPC−DOS、マイクロソフト・コーポレーションが提供するMS−DOSなどのキャラクタ・ベース環境のもの採用することもできる。さらに、サーバ300は、インターナショナル・ビジネス・マシーンズ・コーポレーションが提供するOS/Open、Wind River Systems,Inc.のVx WorksなどのリアルタイムOS、Java(R)OSなどのネットワーク・コンピュータに組み込みオペレーティング・システムを採用することもできる。
以上から、サーバ300は、特定のオペレーティング・システム環境に限定されるものではないことを理解することができる。サーバ300−1〜300−Nはそれぞれ異なるオペレーティング・システム環境で動作するようにしてもよいことは勿論である。
以上、本実施の形態によれば、ユーザは、連邦化されたコンピューティング環境1000のいずれかのサーバの認証システムに対するいずれかの認証情報を入力することで、サーバの認証システムと認証情報の対応を記憶することなく、また、いま自分がどの認証システムにおいて認証を試みているかを正確に意識することなくユーザ認証を受けることが可能となる。
また、本実施の形態では、ユーザから受けた認証情報に適合する認証ポリシーを採用するサーバの認証システムにおいてのみユーザ認証を行うので、高速なユーザ認証が実現される。
以上、本発明によれば、連邦化されたコンピューティング環境において、より利便性の高いユーザ認証を実現できることが容易に理解できる。
以上、本発明の実施の形態を用いて説明したが、本発明の技術範囲は上記実施の形態に記載の範囲には限定されない。上記の実施の形態に、種々の変更または改良を加えることが可能であることが当業者に明らかである。従って、そのような変更または改良を加えた形態も当然に本発明の技術的範囲に含まれる。
Claims (14)
- 互いにシステム的に信頼関係が確立された複数のサーバを含むコンピューティング環境に対するユーザ認証を行うためのシステムであって、
前記複数のサーバのうちの少なくとも1つのユーザ認証の形式の情報を表す認証ポリシーを登録した認証ポリシーテーブルと、
ユーザから認証情報を受ける手段と、
前記認証ポリシーテーブルを用いて、前記複数のサーバから前記認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定する手段と、
前記サーバを特定する手段によって特定されたサーバの認証機構に、前記認証情報を用いてユーザ認証を行うように命令する信号を送信する手段と、
前記複数のサーバのうちの少なくとも1つの認証ポリシーを、各認証ポリシーを採用するサーバの識別子と関連付けて前記認証ポリシーテーブルに登録する手段と、
を備える、システム。 - 前記認証ポリシーは、文字列のユーザIDによる認証、クライアント証明書による認証、生体認証、手書き認証のうちの少なくとも一つである、請求項1に記載のシステム。
- 前記コンピューティング環境へのアクセスを行うためのトークンを生成する手段を含む、請求項1に記載のシステム。
- 前記トークンは、クッキー、URLエンコーディングによる認証情報、SAMLトークンのいずれかである、請求項3に記載のシステム。
- 互いにシステム的に信頼関係が確立された複数のサーバを含むコンピューティング環境における方法であって、コンピュータに以下のステップを実行させることを含み、該ステップが、
前記複数のサーバのうちの少なくとも1つのユーザ認証の形式の情報を表す認証ポリシーを登録した認証ポリシーテーブルを少なくとも1つ保持し、
ユーザから認証情報を受けるステップと、
前記認証ポリシーテーブルを用いて、前記複数のサーバから前記認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定するステップと、
前記サーバを特定するステップにおいて特定されたサーバの認証機構に、前記認証情報を用いてユーザ認証を行うように命令する信号を送信するステップと、
複数のサーバのうちの少なくとも1つの認証ポリシーを、各認証ポリシーを採用するサーバの識別子と関連付けて前記認証ポリシーテーブルに登録するステップと、
を含む、方法。 - 前記認証ポリシーは、文字列のユーザIDによる認証、クライアント証明書による認証、生体認証、手書き認証のうちの少なくとも一つである、請求項5に記載の方法。
- 前記コンピュータに以下のステップをさらに実行させることを含み、該ステップが、前記コンピューティング環境へのアクセスを行うためのトークンを生成するステップを含む、請求項5に記載の方法。
- 前記トークンは、クッキー、URLエンコーディングによる認証情報、SAMLトークンのいずれかである、請求項7に記載の方法。
- 前記コンピュータに以下のステップをさらに実行させることを含み、該ステップが、
(A)前記認証ポリシーテーブル登録されている同一の認証ポリシーを採用する2以上のサーバのそれぞれに対してプライオリティを付与するステップと、
(B)前記ユーザの認証情報が前記2以上のサーバの採用する認証ポリシーに適合したことに応じて、前記2以上のサーバのうちの前記プライオリティの最も高いサーバの認証機構に、前記認証情報を用いてユーザ認証を行うように命令するステップと、
(C)前記ユーザ認証が失敗したことに応じて、前記2以上のサーバのうち次にプライオリティの高いサーバの認証機構に、ユーザ認証を行うように命令するステップと、
(D)前記2以上のサーバのいずれかのサーバにおいてユーザ認証が成功するか、前記2以上のサーバすべてにおいてユーザ認証が失敗するまで、前記ステップ(C)を繰り返すステップと、
(E)前記ユーザ認証が成功したことを条件として、前記ユーザの前記コンピューティング環境へのアクセスを許可するステップと、
を含む請求項5に記載の方法。 - 互いにシステム的に信頼関係が確立された複数のサーバを含むコンピューティング環境におけるプログラムであって、
前記複数のサーバの少なくとも1つのユーザ認証の形式の情報を表す認証ポリシーを登録した認証ポリシーテーブルを少なくとも1つ保持し、
前記認証プログラムは、
ユーザから認証情報を受けるステップと、
前記認証ポリシーテーブルを用いて、前記複数のサーバから前記認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定するステップと、
前記サーバを特定するステップにおいて特定されたサーバの認証機構に、前記認証情報を用いてユーザ認証を行うように命令する信号を送信するステップと、
前記複数のサーバのうちの1つの認証ポリシーを、各認証ポリシーを採用するサーバの識別子と関連付けて前記認証ポリシーテーブルに登録するステップと、
をコンピュータに実行させる、プログラム。 - 前記認証ポリシーは、文字列のユーザIDによる認証、クライアント証明書による認証、生体認証、手書き認証のうちの少なくとも一つである、請求項10に記載のプログラム。
- 前記コンピューティング環境へのアクセスを行うためのトークンを生成するステップをさらにコンピュータに実行させる、請求項10に記載のプログラム。
- 前記トークンは、クッキー、URLエンコーディングによる認証情報、SAMLトークンのいずれかである、請求項12に記載のプログラム。
- 請求項10ないし13のいずれかのプログラムを記録したコンピュータ可読の記憶媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006512273A JP4750020B2 (ja) | 2004-03-30 | 2005-02-14 | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004099243 | 2004-03-30 | ||
| JP2004099243 | 2004-03-30 | ||
| JP2006512273A JP4750020B2 (ja) | 2004-03-30 | 2005-02-14 | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
| PCT/JP2005/002143 WO2005101220A1 (ja) | 2004-03-30 | 2005-02-14 | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2005101220A1 JPWO2005101220A1 (ja) | 2008-03-06 |
| JP4750020B2 true JP4750020B2 (ja) | 2011-08-17 |
Family
ID=35150179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006512273A Expired - Fee Related JP4750020B2 (ja) | 2004-03-30 | 2005-02-14 | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
Country Status (8)
| Country | Link |
|---|---|
| US (5) | US7712129B2 (ja) |
| EP (1) | EP1732008A4 (ja) |
| JP (1) | JP4750020B2 (ja) |
| KR (1) | KR100968179B1 (ja) |
| CN (1) | CN1965304B (ja) |
| CA (1) | CA2561906C (ja) |
| TW (1) | TWI350095B (ja) |
| WO (1) | WO2005101220A1 (ja) |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8468126B2 (en) | 2005-08-01 | 2013-06-18 | Seven Networks, Inc. | Publishing data in an information community |
| US7917468B2 (en) * | 2005-08-01 | 2011-03-29 | Seven Networks, Inc. | Linking of personal information management data |
| JP4750020B2 (ja) | 2004-03-30 | 2011-08-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
| US20190268430A1 (en) | 2005-08-01 | 2019-08-29 | Seven Networks, Llc | Targeted notification of content availability to a mobile device |
| US7502761B2 (en) | 2006-02-06 | 2009-03-10 | Yt Acquisition Corporation | Method and system for providing online authentication utilizing biometric data |
| US20080066158A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Authorization Decisions with Principal Attributes |
| US8095969B2 (en) | 2006-09-08 | 2012-01-10 | Microsoft Corporation | Security assertion revocation |
| US20080065899A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Variable Expressions in Security Assertions |
| US8060931B2 (en) | 2006-09-08 | 2011-11-15 | Microsoft Corporation | Security authorization queries |
| US7814534B2 (en) | 2006-09-08 | 2010-10-12 | Microsoft Corporation | Auditing authorization decisions |
| US20080066169A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Fact Qualifiers in Security Scenarios |
| US8201215B2 (en) | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
| US8656503B2 (en) | 2006-09-11 | 2014-02-18 | Microsoft Corporation | Security language translations with logic resolution |
| US20080066147A1 (en) * | 2006-09-11 | 2008-03-13 | Microsoft Corporation | Composable Security Policies |
| US8938783B2 (en) * | 2006-09-11 | 2015-01-20 | Microsoft Corporation | Security language expressions for logic resolution |
| US9807096B2 (en) | 2014-12-18 | 2017-10-31 | Live Nation Entertainment, Inc. | Controlled token distribution to protect against malicious data and resource access |
| US8220032B2 (en) * | 2008-01-29 | 2012-07-10 | International Business Machines Corporation | Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith |
| US20090307744A1 (en) * | 2008-06-09 | 2009-12-10 | Microsoft Corporation | Automating trust establishment and trust management for identity federation |
| US20100162369A1 (en) * | 2008-12-19 | 2010-06-24 | Iomega Corporation | Automatically Adding User Names to Server User List |
| CN101505217B (zh) * | 2008-12-31 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种管理内网主机的方法、装置及系统 |
| KR101156087B1 (ko) * | 2009-07-28 | 2012-06-20 | 인하대학교 산학협력단 | 다중 서버 환경의 생체인증시스템을 위한 작업량 예측기반 작업 스케줄링 방법 |
| KR101147683B1 (ko) * | 2009-10-08 | 2012-05-22 | 최운호 | 생체인식 카드와 csd를 활용한 컨테이너 및 물류추적시스템 |
| JP5355487B2 (ja) * | 2010-04-26 | 2013-11-27 | キヤノン株式会社 | 画像送信装置、画像送信装置の認証方法 |
| JPWO2012140872A1 (ja) * | 2011-04-12 | 2014-07-28 | パナソニック株式会社 | サーバ連携システム |
| JP2013037704A (ja) * | 2012-09-11 | 2013-02-21 | Fuji Xerox Co Ltd | 利用制限管理装置、方法、プログラム |
| CN102970308B (zh) * | 2012-12-21 | 2016-08-10 | 北京网康科技有限公司 | 一种用户认证方法及服务器 |
| JP5429414B2 (ja) * | 2013-01-15 | 2014-02-26 | 富士通株式会社 | 識別情報統合管理システム,識別情報統合管理サーバ及び識別情報統合管理プログラム |
| US20150242597A1 (en) * | 2014-02-24 | 2015-08-27 | Google Inc. | Transferring authorization from an authenticated device to an unauthenticated device |
| JP2015194947A (ja) * | 2014-03-31 | 2015-11-05 | ソニー株式会社 | 情報処理装置及びコンピュータプログラム |
| US10547599B1 (en) * | 2015-02-19 | 2020-01-28 | Amazon Technologies, Inc. | Multi-factor authentication for managed directories |
| US9961076B2 (en) * | 2015-05-11 | 2018-05-01 | Genesys Telecommunications Laboratoreis, Inc. | System and method for identity authentication |
| CN105141586B (zh) * | 2015-07-31 | 2018-07-10 | 广州华多网络科技有限公司 | 一种对用户进行验证的方法和系统 |
| US10522154B2 (en) | 2017-02-13 | 2019-12-31 | Google Llc | Voice signature for user authentication to electronic device |
| KR101986244B1 (ko) * | 2017-10-12 | 2019-06-05 | 한국인터넷진흥원 | 모바일 기기 기반의 생체인식 정보 검증 방법 |
| JP7215234B2 (ja) | 2019-03-05 | 2023-01-31 | ブラザー工業株式会社 | アプリケーションプログラムおよび情報処理装置 |
| JP7234699B2 (ja) * | 2019-03-05 | 2023-03-08 | ブラザー工業株式会社 | アプリケーションプログラムおよび情報処理装置 |
| JP7222792B2 (ja) * | 2019-04-03 | 2023-02-15 | キヤノン株式会社 | 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム |
| CN110210200A (zh) * | 2019-05-28 | 2019-09-06 | 浪潮商用机器有限公司 | 服务器智能操作方法、装置、智能服务器及存储介质 |
| US11627138B2 (en) * | 2019-10-31 | 2023-04-11 | Microsoft Technology Licensing, Llc | Client readiness system |
| CN111611572B (zh) * | 2020-06-28 | 2022-11-22 | 支付宝(杭州)信息技术有限公司 | 一种基于人脸认证的实名认证方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000106552A (ja) * | 1998-09-29 | 2000-04-11 | Hitachi Ltd | 認証方法 |
| JP2000311138A (ja) * | 1999-04-28 | 2000-11-07 | Nec Corp | サーバの分散認証システム及び方法 |
| JP2003224562A (ja) * | 2002-01-28 | 2003-08-08 | Toshiba Corp | 個人認証システム及びプログラム |
| JP2004032311A (ja) * | 2002-06-25 | 2004-01-29 | Nec Corp | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5963915A (en) * | 1996-02-21 | 1999-10-05 | Infoseek Corporation | Secure, convenient and efficient system and method of performing trans-internet purchase transactions |
| US7580919B1 (en) * | 1997-03-10 | 2009-08-25 | Sonicwall, Inc. | Query interface to policy server |
| US6021496A (en) * | 1997-07-07 | 2000-02-01 | International Business Machines Corporation | User authentication from non-native server domains in a computer network |
| US5948064A (en) * | 1997-07-07 | 1999-09-07 | International Business Machines Corporation | Discovery of authentication server domains in a computer network |
| US6655585B2 (en) * | 1998-05-11 | 2003-12-02 | Citicorp Development Center, Inc. | System and method of biometric smart card user authentication |
| US6449615B1 (en) * | 1998-09-21 | 2002-09-10 | Microsoft Corporation | Method and system for maintaining the integrity of links in a computer network |
| US6832377B1 (en) * | 1999-04-05 | 2004-12-14 | Gateway, Inc. | Universal registration system |
| US6697948B1 (en) * | 1999-05-05 | 2004-02-24 | Michael O. Rabin | Methods and apparatus for protecting information |
| JP3636948B2 (ja) * | 1999-10-05 | 2005-04-06 | 株式会社日立製作所 | ネットワークシステム |
| EP1104133A1 (en) * | 1999-11-29 | 2001-05-30 | BRITISH TELECOMMUNICATIONS public limited company | Network access arrangement |
| US20010020231A1 (en) * | 2000-04-24 | 2001-09-06 | Desktopdollars.Com | Marketing System and Method |
| US7082538B2 (en) * | 2000-10-03 | 2006-07-25 | Omtool, Ltd. | Electronically verified digital signature and document delivery system and method |
| US7362868B2 (en) * | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US8117254B2 (en) * | 2000-12-15 | 2012-02-14 | Microsoft Corporation | User name mapping in a heterogeneous network |
| US7941669B2 (en) | 2001-01-03 | 2011-05-10 | American Express Travel Related Services Company, Inc. | Method and apparatus for enabling a user to select an authentication method |
| US6959336B2 (en) | 2001-04-07 | 2005-10-25 | Secure Data In Motion, Inc. | Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets |
| US20020194499A1 (en) * | 2001-06-15 | 2002-12-19 | Audebert Yves Louis Gabriel | Method, system and apparatus for a portable transaction device |
| GB2378010A (en) * | 2001-07-27 | 2003-01-29 | Hewlett Packard Co | Mulit-Domain authorisation and authentication |
| US7530099B2 (en) * | 2001-09-27 | 2009-05-05 | International Business Machines Corporation | Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US7584262B1 (en) * | 2002-02-11 | 2009-09-01 | Extreme Networks | Method of and system for allocating resources to resource requests based on application of persistence policies |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US20040002878A1 (en) * | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
| US7328237B1 (en) * | 2002-07-25 | 2008-02-05 | Cisco Technology, Inc. | Technique for improving load balancing of traffic in a data network using source-side related information |
| US7747856B2 (en) * | 2002-07-26 | 2010-06-29 | Computer Associates Think, Inc. | Session ticket authentication scheme |
| JP2004070416A (ja) * | 2002-08-01 | 2004-03-04 | Ricoh Co Ltd | ネットワークシステムにおけるユーザ認証方法及びシステム |
| US7249177B1 (en) * | 2002-11-27 | 2007-07-24 | Sprint Communications Company L.P. | Biometric authentication of a client network connection |
| US7599959B2 (en) * | 2002-12-02 | 2009-10-06 | Sap Ag | Centralized access and management for multiple, disparate data repositories |
| US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| US20040162996A1 (en) * | 2003-02-18 | 2004-08-19 | Nortel Networks Limited | Distributed security for industrial networks |
| US8244841B2 (en) * | 2003-04-09 | 2012-08-14 | Microsoft Corporation | Method and system for implementing group policy operations |
| US7640324B2 (en) * | 2003-04-15 | 2009-12-29 | Microsoft Corporation | Small-scale secured computer network group without centralized management |
| US8108920B2 (en) * | 2003-05-12 | 2012-01-31 | Microsoft Corporation | Passive client single sign-on for web applications |
| WO2005003907A2 (en) * | 2003-06-26 | 2005-01-13 | Ebay Inc. | Method and apparatus to authenticate and authorize user access to a system |
| US7346923B2 (en) * | 2003-11-21 | 2008-03-18 | International Business Machines Corporation | Federated identity management within a distributed portal server |
| US7849320B2 (en) * | 2003-11-25 | 2010-12-07 | Hewlett-Packard Development Company, L.P. | Method and system for establishing a consistent password policy |
| JP4750020B2 (ja) | 2004-03-30 | 2011-08-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 |
-
2005
- 2005-02-14 JP JP2006512273A patent/JP4750020B2/ja not_active Expired - Fee Related
- 2005-02-14 CA CA2561906A patent/CA2561906C/en not_active Expired - Fee Related
- 2005-02-14 EP EP05719090A patent/EP1732008A4/en not_active Withdrawn
- 2005-02-14 US US10/598,875 patent/US7712129B2/en not_active Expired - Fee Related
- 2005-02-14 CN CN2005800100051A patent/CN1965304B/zh not_active Expired - Fee Related
- 2005-02-14 KR KR1020067016914A patent/KR100968179B1/ko not_active IP Right Cessation
- 2005-02-14 WO PCT/JP2005/002143 patent/WO2005101220A1/ja active Application Filing
- 2005-03-10 TW TW094107303A patent/TWI350095B/zh not_active IP Right Cessation
-
2010
- 2010-04-27 US US12/767,832 patent/US8689302B2/en active Active
-
2013
- 2013-07-16 US US13/943,138 patent/US8839393B2/en not_active Expired - Fee Related
-
2014
- 2014-07-22 US US14/337,631 patent/US9253217B2/en not_active Expired - Fee Related
-
2016
- 2016-01-05 US US14/987,825 patent/US9584548B2/en not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000106552A (ja) * | 1998-09-29 | 2000-04-11 | Hitachi Ltd | 認証方法 |
| JP2000311138A (ja) * | 1999-04-28 | 2000-11-07 | Nec Corp | サーバの分散認証システム及び方法 |
| JP2003224562A (ja) * | 2002-01-28 | 2003-08-08 | Toshiba Corp | 個人認証システム及びプログラム |
| JP2004032311A (ja) * | 2002-06-25 | 2004-01-29 | Nec Corp | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005101220A1 (ja) | 2005-10-27 |
| US8689302B2 (en) | 2014-04-01 |
| US7712129B2 (en) | 2010-05-04 |
| US9584548B2 (en) | 2017-02-28 |
| KR100968179B1 (ko) | 2010-07-07 |
| US20100212000A1 (en) | 2010-08-19 |
| CN1965304A (zh) | 2007-05-16 |
| US20070199059A1 (en) | 2007-08-23 |
| TWI350095B (en) | 2011-10-01 |
| CA2561906C (en) | 2014-03-25 |
| EP1732008A4 (en) | 2010-05-26 |
| CN1965304B (zh) | 2011-06-01 |
| TW200610351A (en) | 2006-03-16 |
| US9253217B2 (en) | 2016-02-02 |
| US20140366083A1 (en) | 2014-12-11 |
| KR20070014124A (ko) | 2007-01-31 |
| JPWO2005101220A1 (ja) | 2008-03-06 |
| US20130305313A1 (en) | 2013-11-14 |
| CA2561906A1 (en) | 2005-10-27 |
| US8839393B2 (en) | 2014-09-16 |
| US20160142444A1 (en) | 2016-05-19 |
| EP1732008A1 (en) | 2006-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4750020B2 (ja) | ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 | |
| EP2441208B1 (en) | Access control to secured application features using client trust levels | |
| JP6682254B2 (ja) | 認証連携システム及び認証連携方法、認可サーバー及びプログラム | |
| US8418234B2 (en) | Authentication of a principal in a federation | |
| JP6056384B2 (ja) | システム及びサービス提供装置 | |
| JP5264775B2 (ja) | デジタルアイデンティティ表現のプロビジョニング | |
| US8996857B1 (en) | Single sign-on method in multi-application framework | |
| JP5988699B2 (ja) | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 | |
| US20110173688A1 (en) | Information processing apparatus and method | |
| CN102546166A (zh) | 一种身份认证方法、系统及装置 | |
| JP4543322B2 (ja) | 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム | |
| JP2021060924A (ja) | 情報処理装置、情報処理システム及びプログラム | |
| JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
| JP6128958B2 (ja) | 情報処理サーバーシステム、制御方法、およびプログラム | |
| Rehman | Get Ready for OpenID: A Comprehensive Guide to OpenID Protocol and Running OpenID Enabled Web Sites | |
| JP7587900B1 (ja) | 汎個人認証システム及び汎個人認証方法 | |
| US12105842B1 (en) | Verifiable credentialling and message content provenance authentication | |
| JP2003244134A (ja) | 認証システム | |
| JP2025024501A (ja) | 情報処理装置、認証方法、情報処理システム及びプログラム | |
| WO2023170902A1 (ja) | 情報処理システム、情報処理方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090817 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100831 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110510 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110518 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4750020 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140527 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |