[go: up one dir, main page]

JP6468013B2 - Authentication system, service providing apparatus, authentication apparatus, authentication method, and program - Google Patents

Authentication system, service providing apparatus, authentication apparatus, authentication method, and program Download PDF

Info

Publication number
JP6468013B2
JP6468013B2 JP2015052303A JP2015052303A JP6468013B2 JP 6468013 B2 JP6468013 B2 JP 6468013B2 JP 2015052303 A JP2015052303 A JP 2015052303A JP 2015052303 A JP2015052303 A JP 2015052303A JP 6468013 B2 JP6468013 B2 JP 6468013B2
Authority
JP
Japan
Prior art keywords
user
authentication
authorization
authorization information
service providing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015052303A
Other languages
Japanese (ja)
Other versions
JP2016173646A (en
Inventor
博史 柳田
博史 柳田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2015052303A priority Critical patent/JP6468013B2/en
Publication of JP2016173646A publication Critical patent/JP2016173646A/en
Application granted granted Critical
Publication of JP6468013B2 publication Critical patent/JP6468013B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、認証システム、サービス提供装置、認証装置、認証方法及びプログラムに関する。   The present invention relates to an authentication system, a service providing apparatus, an authentication apparatus, an authentication method, and a program.

サービス提供装置が利用者にサービスの利用を認可する際に、利用者情報を管理する認証装置において利用者の認証とサービスの利用の認可とを行い、その結果に応じてサービス提供装置が利用者にサービスの利用を認可する認証システムがある。   When the service providing device authorizes the use of the service to the user, the authentication device that manages the user information performs the user authentication and the service use authorization, and the service providing device determines the user according to the result. There is an authentication system that authorizes the use of services.

特開2008−234606号公報JP 2008-234606 A

ここで、例えば、サービス提供装置を利用する際の認証を認証装置において行うシステムにおいて、サービス提供装置の利用の認可に関する情報である認可情報の生成を、認証装置に行わせると、サービス提供装置側の意図とは無関係に認可情報が生成されてしまう可能性がある。例えば、認可情報に、認可するユーザーの数、認可するサービスの内容、認可する時期についての制限などが含まれるような場合、これら認可情報に含まれる内容によっては、サービス提供装置側のサービス提供の負荷が増えてしまうことがある。よって、サービスを提供するサービス提供装置側の意図とは無関係に認可情報が生成され、上記システムにおいて用いられることは好ましくない。   Here, for example, in a system that performs authentication at the time of using the service providing apparatus in the authentication apparatus, if the authentication apparatus generates authorization information that is information related to authorization for use of the service providing apparatus, the service providing apparatus side There is a possibility that authorization information is generated regardless of the intention. For example, if the authorization information includes the number of authorized users, the content of the authorized service, restrictions on the time to authorize, etc., depending on the content included in the authorization information, The load may increase. Therefore, it is not preferable that the authorization information is generated regardless of the intention of the service providing apparatus providing the service and used in the system.

本発明の目的の一つは、サービス提供装置を利用する際の認証を認証装置において行うシステムにおいて、サービス提供装置側で任意に生成した認可情報を用いることができるようにすることにある。   One of the objects of the present invention is to make it possible to use authorization information arbitrarily generated on the service providing apparatus side in a system that performs authentication in the authentication apparatus when using the service providing apparatus.

請求項1に記載の発明は、サービス提供装置と認証装置とを含む認証システムであって、前記サービス提供装置は、前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を生成する生成手段と、前記生成された認可情報を前記認証装置に提供する認可情報提供手段と、前記サービス提供装置の利用者から前記認可情報を含まない要求を受け付けた場合に、当該利用者に前記認証装置における認証を実行するように案内する案内手段と、前記利用者から前記認可情報を含む要求を受け付けた場合に、当該利用者に前記サービスの利用を認可する認可手段と、を含み、前記認証装置は、前記認可情報提供手段により提供された前記認可情報を、前記利用者に対応付けて記憶手段に記憶する手段と、前記案内手段により案内された利用者を認証する手段と、前記認証された利用者に対応付けて前記記憶手段に記憶されている前記認可情報を、当該利用者に送信する認可情報送信手段と、を含むことを特徴とする。 The invention according to claim 1 is an authentication system including a service providing device and an authentication device, wherein the service providing device generates authorization information used for authorization of use of a service provided by the service providing device. Generating means, an authorization information providing means for providing the generated authorization information to the authentication device, and a request that does not include the authorization information from a user of the service providing device. Guidance means for guiding the authentication device to perform authentication, and authorization means for authorizing the use of the service to the user when a request including the authorization information is received from the user, The authentication apparatus includes: a means for storing the authorization information provided by the authorization information providing means in a storage means in association with the user; and a guidance means. Means for authenticating the guided user, and authorization information transmitting means for transmitting the authorization information stored in the storage means in association with the authenticated user to the user. Features.

請求項2に記載の発明は、請求項1に記載の認証システムであって、前記サービス提供装置は、前記生成された認可情報と、前記サービス提供装置により提供されるサービスに関する認可条件とを対応付けて記憶する手段を更に含む、こととしたものである。   The invention according to claim 2 is the authentication system according to claim 1, wherein the service providing device corresponds to the generated authorization information and an authorization condition related to a service provided by the service providing device. And further includes means for storing the information.

請求項3に記載の発明は、請求項1に記載の認証システムであって、前記認可情報は、前記サービス提供装置により提供されるサービスに関する認可条件に関する情報を含む、こととしたものである。   A third aspect of the present invention is the authentication system according to the first aspect, wherein the authorization information includes information relating to an authorization condition relating to a service provided by the service providing apparatus.

請求項4に記載の発明は、請求項2又は3のいずれかに記載の認証システムであって、前記認可条件は、前記サービス提供装置が利用を認可するサービスの内容、認可する利用者の権限、および利用可能な期間のうち少なくとも1つを含む、こととしたものである。   Invention of Claim 4 is an authentication system in any one of Claim 2 or 3, Comprising: The said authorization conditions are the content of the service which the said service provision apparatus authorizes use, and the authority of the user who authorizes , And at least one of the available periods.

請求項5に記載の発明は、請求項1から4のいずれか一項に記載の認証システムであって、前記サービス提供装置は、前記認可情報提供手段が提供した認可情報の有効または無効を設定する設定手段、をさらに含むこととしたものである。   Invention of Claim 5 is an authentication system as described in any one of Claim 1 to 4, Comprising: The said service provision apparatus sets the validity or invalidity of the authorization information which the said authorization information provision means provided Setting means to further include.

請求項6に記載の発明は、請求項5に記載の認証システムであって、前記認可手段は、前記利用者から受け付ける要求に、前記認可情報送信手段により送信した認可情報が含まれており、かつ、当該認可情報が無効に設定されている場合に、当該利用者に前記サービスの利用を認可しない、こととしたものである。   The invention according to claim 6 is the authentication system according to claim 5, wherein the authorization unit includes the authorization information transmitted by the authorization information transmission unit in the request received from the user, In addition, when the authorization information is set to be invalid, the user is not authorized to use the service.

請求項7に記載の発明は、請求項1から6のいずれか一項に記載の認証システムであって、前記サービス提供装置は、前記認可手段による前記サービスの利用の認可履歴を記憶手段に記憶する手段と、前記認可履歴に応じて前記認可情報の不正利用を検出する不正検出手段と、をさらに含むこととしたものである。   A seventh aspect of the present invention is the authentication system according to any one of the first to sixth aspects, wherein the service providing device stores an authorization history of use of the service by the authorization means in a storage means. And fraud detection means for detecting unauthorized use of the authorization information in accordance with the authorization history.

請求項8に記載の発明は、請求項1から4のいずれか一項に記載の認証システムであって、前記サービス提供装置は、前記認可手段による前記サービスの利用の認可履歴を記憶手段に記憶する手段と、前記認可履歴に応じて前記認可情報の不正利用を検出する不正検出手段と、前記認可情報提供手段が提供した認可情報の有効または無効を設定する設定手段と、をさらに含み、前記不正検出手段が前記不正利用を検出した場合に、前記設定手段は、当該不正利用が検出された前記認可情報を無効に設定する、こととしたものである。 The invention according to claim 8 is the authentication system according to any one of claims 1 to 4 , wherein the service providing device stores an authorization history of use of the service by the authorization means in a storage means. Means for detecting unauthorized use of the authorization information according to the authorization history, and setting means for setting validity or invalidity of the authorization information provided by the authorization information providing means, When the fraud detection unit detects the unauthorized use, the setting unit sets the authorization information in which the unauthorized use is detected to be invalid .

請求項9に記載の発明は、請求項8に記載の認証システムであって、前記認可手段は、前記利用者から受け付ける要求に、前記認可情報送信手段により送信した認可情報が含まれており、かつ、当該認可情報が無効に設定されている場合に、当該利用者に前記サービスの利用を認可しない、こととしたものである。
請求項10に記載の発明は、請求項7から9のいずれか一項に記載の認証システムであって、前記不正検出手段は、同一の認可情報を含む要求を予め定められた数以上の異なる前記利用者から受け付けた場合に、前記不正利用を検出する、こととしたものである。 The invention according to claim 9 is the authentication system according to claim 8 , wherein the authorization unit includes the authorization information transmitted by the authorization information transmission unit in the request received from the user, In addition, when the authorization information is set to be invalid, the user is not authorized to use the service .
A tenth aspect of the present invention is the authentication system according to any one of the seventh to ninth aspects, wherein the fraud detection means differs in a number of requests including the same authorization information by a predetermined number or more. The unauthorized use is detected when received from the user.

請求項1に記載の発明は、認証装置と接続されるサービス提供装置であって、前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を生成する生成手段と、前記生成された認可情報を前記認証装置に提供する認可情報提供手段と、前記サービス提供装置の利用者から前記認可情報を含まない要求を受け付けた場合に、当該利用者に前記認証装置における認証を実行するように案内する案内手段と、前記利用者から前記認可情報を含む要求を受け付けた場合に、当該利用者に前記サービスの利用を認可する認可手段と、を含むことを特徴とする。 The invention described in claim 1 1, a service providing apparatus connected to the authentication device, and generating means for generating authorization information used for authorization of use of the service provided by the service providing apparatus, said generating Authentication information providing means for providing the authorization information to the authentication device; and when a request not including the authorization information is received from a user of the service providing device, the user is authenticated in the authentication device Guidance means for guiding, and an authorization means for authorizing the user to use the service when a request including the authorization information is received from the user.

請求項1に記載の発明は、認証装置と接続されるサービス提供装置を、前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を生成する生成手段と、前記生成された認可情報を前記認証装置に提供する認可情報提供手段、前記サービス提供装置の利用者から前記認可情報を含まない要求を受け付けた場合に、当該利用者に前記認証装置における認証を実行するように案内する案内手段、前記利用者から前記認可情報を含む要求を受け付けた場合に、当該利用者に前記サービスの利用を認可する認可手段、として機能させることとしたものである。 The invention according to claim 12 includes a generating unit that generates a service providing device connected to an authentication device, and generates authorization information used to authorize use of a service provided by the service providing device, and the generated Authorization information providing means for providing authorization information to the authentication device, and when a request not including the authorization information is received from a user of the service providing device , guides the user to perform authentication in the authentication device When the request including the authorization information is received from the user, the guidance unit is configured to function as an authorization unit that authorizes the user to use the service.

請求項1に記載の発明は、サービス提供装置と接続される認証装置であって、前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を、利用者に対応付けて記憶手段に記憶する手段と、前記利用者から前記認可情報を含まない要求を受け付けた前記サービス提供装置により前記認証装置における認証を実行するように案内された利用者を認証する手段と、前記認証された利用者に対応付けて前記記憶手段に記憶されている前記認可情報を、当該利用者に送信する認可情報送信手段と、を含むことを特徴とする。 The invention according to claim 1 3, An authentication apparatus connected to a service providing apparatus, the authorization information used for authorization of use of the service provided by the service providing apparatus, in association with the user memory Means for storing in the means; means for authenticating a user who has been guided to perform authentication in the authentication device by the service providing device that has received a request not including the authorization information from the user; and And authorization information transmitting means for transmitting the authorization information stored in the storage means in association with the user to the user.

請求項1に記載の発明は、プログラムであって、前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を、利用者に対応付けて記憶手段に記憶する手段、前記利用者から前記認可情報を含まない要求を受け付けた前記サービス提供装置により前記認証装置における認証を実行するように案内された利用者を認証する手段、前記認証された利用者に対応付けて前記記憶手段に記憶されている前記認可情報を、当該利用者に送信する認可情報送信手段、として機能させることとしたものである。 Invention according to claim 1 4, a program, means for storing authorization information used for authorization of use of the service provided, the storage means in association with the user by the service providing apparatus, the usage Means for authenticating a user who is guided to execute authentication in the authentication apparatus by the service providing apparatus that has received a request that does not include the authorization information from a user, and the storage means in association with the authenticated user The authorization information stored in the function is made to function as an authorization information transmitting means for transmitting to the user.

請求項1に記載の発明は、サービス提供装置と認証装置とを含む認証システムにおいて実施される認証方法であって、前記サービス提供装置により、前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を生成するステップと、前記サービス提供装置により、前記生成された認可情報を前記認証装置に提供するステップと、前記認証装置により、前記提供された前記認可情報を、前記サービス提供装置の利用者に対応付けて記憶するステップと、前記サービス提供装置により、前記利用者から前記認可情報を含まない要求を受け付けた場合に、当該利用者に前記認証装置における認証を実行するように案内するステップと、前記認証装置により、前記案内された利用者を認証するステップと、前記認証装置により、前記認証された利用者に対応付けて記憶された認可情報を、当該利用者に送信するステップと、前記サービス提供装置により、前記利用者から受け付ける要求に、前記認証装置から提供された認可情報が含まれている場合に、当該利用者に前記サービスの利用を認可するステップと、からなる。 The invention according to claim 1 5, An authentication method implemented in an authentication system including a service providing apparatus and the authentication device, by the service providing device, authorization of the use of services provided by the service providing device Generating the authorization information used for the service, providing the generated authorization information to the authentication device by the service providing device, and providing the authorization information provided by the authentication device to the service Storing in association with a user of the apparatus, and when the service providing apparatus receives a request not including the authorization information from the user, the user is authenticated by the authentication apparatus. A step of guiding, a step of authenticating the guided user by the authentication device, and a step of authenticating the authentication device. More, the authorization information stored in association with the authenticated user is transmitted to the user, and the authorization provided from the authentication device to the request received from the user by the service providing device. And if the information is included, authorizing the user to use the service.

請求項1、11、12、13、14及び1に記載の発明によれば、サービス提供装置
を利用する際の認証を認証装置において行うシステムにおいて、サービス提供装置側で任
意に作成した認可情報を用いることができる。 Claim 1, 1 1,12,13, according to the invention described in 14 and 1 5, in a system that performs the authentication of the authentication device when using the service providing device, authorization created arbitrarily service providing apparatus Information can be used.

請求項2及び3に記載の発明によれば、認可条件に基づいた認可情報を用いることができる。   According to invention of Claim 2 and 3, the authorization information based on authorization conditions can be used.

請求項4に記載の発明によれば、サービス提供装置が利用を認可するサービス内容や、認可する利用者の権限、認可する利用者の人数といった認可条件に基づいた認可情報をサービス提供装置側で生成することができる。   According to the fourth aspect of the present invention, the service providing apparatus provides authorization information based on authorization conditions such as the service contents that the service providing apparatus authorizes use, the authority of the authorized user, and the number of authorized users. Can be generated.

請求項5に記載の発明によれば、サービス提供装置側で、認証装置に提供した認可情報が有効か無効かを制御できる。   According to the fifth aspect of the present invention, the service providing apparatus can control whether the authorization information provided to the authentication apparatus is valid or invalid.

請求項6及び9に記載の発明によれば、サービス提供装置は、無効に設定した認可情報に基づく要求を行う利用者に対してサービスを提供してしまうことを回避できる。 According to the sixth and ninth aspects of the present invention, the service providing apparatus can avoid providing a service to a user who makes a request based on invalid authorization information.

請求項7に記載の発明によれば、利用者による認可情報の不正利用を検出することができる。   According to the seventh aspect of the present invention, unauthorized use of authorization information by a user can be detected.

請求項10に記載の発明によれば、多重利用された認可情報に基づいて、認可情報の不正利用を検出できる。 According to the tenth aspect of the present invention, unauthorized use of authorization information can be detected based on authorization information that has been used multiple times.

請求項に記載の発明によれば、不正利用される認可情報に基づく要求を行う利用者に
対してサービスを提供してしまうことを回避できる。 According to the invention described in claim 8 , it is possible to avoid providing a service to a user who makes a request based on unauthorized use authorization information.

本実施形態に係る認証システムの全体構成の一例を示す図である。It is a figure which shows an example of the whole structure of the authentication system which concerns on this embodiment. 本実施形態に係る端末装置、サービス提供装置、及び認証装置が実現する機能の一例を示す機能ブロック図である。It is a functional block diagram which shows an example of the function which the terminal device which concerns on this embodiment, a service provision apparatus, and an authentication apparatus implement | achieve. 本実施形態に係る認証装置情報テーブルの一例を示す図である。It is a figure which shows an example of the authentication apparatus information table which concerns on this embodiment. 本実施形態に係る認可情報テーブルの一例を示す図である。It is a figure which shows an example of the authorization information table which concerns on this embodiment. 本実施形態に係る利用者情報テーブルの一例を示す図である。It is a figure which shows an example of the user information table which concerns on this embodiment. 本実施形態に係る対応付け情報テーブルの一例を示す図である。It is a figure which shows an example of the matching information table which concerns on this embodiment. 本実施形態に係るサービス提供装置が実行する認証装置登録処理の一例を示すフロー図である。It is a flowchart which shows an example of the authentication apparatus registration process which the service provision apparatus which concerns on this embodiment performs. 本実施形態に係るサービス提供装置が実行する認可情報生成処理及び認証装置が実行する認可情報対応付け処理の一例を示すフロー図である。It is a flowchart which shows an example of the authorization information production | generation process which the service provision apparatus which concerns on this embodiment performs, and the authorization information matching process which an authentication apparatus performs. 本実施形態に係るサービス提供装置、及び認証装置が実行するサービス利用認可処理の一例を示すフロー図である。It is a flowchart which shows an example of the service use authorization process which the service provision apparatus which concerns on this embodiment, and an authentication apparatus perform. 本実施形態に係る無効フラグが対応付けられた認可情報テーブルの一例を示す図である。It is a figure which shows an example of the authorization information table with which the invalid flag which concerns on this embodiment was matched. 本実施形態に係る認可情報利用履歴テーブルの一例を示す図である。It is a figure which shows an example of the authorization information utilization log | history table which concerns on this embodiment.

以下、本発明の実施の形態について、図面を参照しながら説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本実施形態に係る認証システム1の全体構成の一例を示す図である。図1に示すように、本実施形態に係る認証システム1は、端末装置10、サービス提供装置20、及び認証装置30を含んで構成される。端末装置10、サービス提供装置20、及び認証装置30は、ローカルネットワーク(LAN)やインターネットなどの通信手段を介して互いに接続されており、互いに通信されるようになっている。   FIG. 1 is a diagram illustrating an example of the overall configuration of an authentication system 1 according to the present embodiment. As shown in FIG. 1, the authentication system 1 according to the present embodiment includes a terminal device 10, a service providing device 20, and an authentication device 30. The terminal device 10, the service providing device 20, and the authentication device 30 are connected to each other via a communication means such as a local network (LAN) or the Internet, and communicate with each other.

端末装置10は、例えば、パーソナルコンピュータ、タブレット、携帯端末、などの利用者が用いるコンピュータである、端末装置10にインストールされるプログラムに従って動作するCPU等のプログラム制御デバイスである制御部、ROMやRAM等の記憶素子やハードディスクドライブなどである記憶部、ネットワークボードなどの操作部を含んでいる。本実施形態において、端末装置10ではウェブアプリケーションが起動し、ウェブアプリケーションを介してサービス提供装置20や認証装置30と通信する。   The terminal device 10 is, for example, a computer used by a user such as a personal computer, a tablet, or a portable terminal. A control unit that is a program control device such as a CPU that operates according to a program installed in the terminal device 10, ROM or RAM And a storage unit such as a hard disk drive and an operation unit such as a network board. In the present embodiment, a web application is activated on the terminal device 10 and communicates with the service providing device 20 and the authentication device 30 via the web application.

サービス提供装置20は、サーバコンピュータ等であり、サービス提供装置20にインストールされるプログラムに従って動作するCPU等のプログラム制御デバイスである制御部、ROMやRAM等の記憶素子やハードディスクドライブなどである記憶部、ネットワークボードなどの通信インタフェースである通信部などを含んでいる。本実施形態においては、サービス提供装置20は、利用契約がなされた利用者にウェブサービスを提供する装置とし、例えば、ウェブストレージなどのサービスを提供するものとする。   The service providing apparatus 20 is a server computer or the like, and is a control unit that is a program control device such as a CPU that operates according to a program installed in the service providing apparatus 20, a storage unit that is a storage element such as a ROM or a RAM, or a hard disk drive. And a communication unit which is a communication interface such as a network board. In the present embodiment, the service providing device 20 is a device that provides a web service to a user who has made a use contract, and for example, provides a service such as web storage.

認証装置30は、サーバコンピュータ等であり、認証装置30にインストールされるプログラムに従って動作するCPU等のプログラム制御デバイスである制御部、ROMやRAM等の記憶素子やハードディスクドライブなどである記憶部、ネットワークボードなどの通信インフェースである通信部などを含んでいる。本実施形態において、認証装置30は、サービス提供装置20のサービスを利用する利用者の認証を行う装置である。認証装置30は、サービス提供装置20の利用者の利用者情報を保持しており、利用者情報に基づいて利用者の認証を行う。また、認証装置30は、例えば、会社、部署といった組織毎の利用者情報を管理していてもよく、組織に所属する所属者の認証を行うこととしてもよい。   The authentication device 30 is a server computer or the like, a control unit that is a program control device such as a CPU that operates according to a program installed in the authentication device 30, a storage unit that is a storage element such as a ROM or RAM, a hard disk drive, or the like, a network It includes a communication unit that is a communication interface such as a board. In the present embodiment, the authentication device 30 is a device that authenticates a user who uses the service of the service providing device 20. The authentication device 30 holds user information of the user of the service providing device 20, and authenticates the user based on the user information. In addition, the authentication device 30 may manage user information for each organization such as a company and a department, and may authenticate a member belonging to the organization.

このような認証システム1において、例えば、新たな組織がサービス提供装置20を利用する契約をした場合に、新規契約組織とサービス提供装置20の管理者(サービス管理者とする)との間の取り決めにより、サービス提供装置20が利用を認可するサービス内容や、認可する利用者の権限、認可する利用者の人数、利用可能な時期といった認可条件が決定される。すると、サービス管理者は、認可するサービス内容や利用者を認証するための認証装置30をサービス提供装置20に登録し、新規契約組織の管理者または認証装置30の管理者(認証管理者とする)は、認可する利用者の権限、認可する利用者の人数といった認可条件を認証装置30に設定する。このように、サービス提供装置20のサービスの認可を認証装置30に行わせることで、利用者の認証とサービスの認可とを認証装置30に集約でき利用者の管理が容易となる。一方で、サービス提供装置20のサービスの認可を認証装置30に行わせることで、認証装置30において、決定された認可条件を逸脱して利用者にサービスの認可を与えるような不正が生じる可能性がある。そこで、本発明では、認可条件を含めた認可情報をサービス提供装置側で生成することにより、認可条件に基づいた認可情報を用いて利用者にサービスの認可を行うことができる構成としている。   In such an authentication system 1, for example, when a new organization makes a contract to use the service providing device 20, an agreement between the new contract organization and the administrator of the service providing device 20 (referred to as a service administrator). Accordingly, the service conditions that the service providing device 20 authorizes use, the authority of the user to authorize, the number of users to authorize, and the authorization conditions such as the time when it can be used are determined. Then, the service administrator registers the authentication device 30 for authenticating the service content to be authorized and the user in the service providing device 20, and the administrator of the new contract organization or the administrator of the authentication device 30 (the authentication administrator). ) Sets authorization conditions such as the authority of the authorized user and the number of authorized users in the authentication device 30. In this way, by allowing the authentication device 30 to authorize the service of the service providing device 20, user authentication and service authorization can be integrated into the authentication device 30, and user management is facilitated. On the other hand, by causing the authentication device 30 to authorize the service of the service providing device 20, there is a possibility that fraud may occur in the authentication device 30 that deviates from the determined authorization condition and grants the service authorization to the user. There is. Therefore, in the present invention, the authorization information including the authorization conditions is generated on the service providing apparatus side, so that the service can be authorized to the user using the authorization information based on the authorization conditions.

また、サービス提供装置20のサービスの認可を認証装置30に行わせるためには、認証装置30が保持する利用者情報に認可条件に対応する属性(利用者権限など)を追加する必要がある。認証装置30が複数のサービス提供装置20のサービスの認可を行う場合には、各サービス提供装置20の認可条件に対応する属性を利用者情報に追加することとなる。このように、サービス提供装置20が追加される毎に属性が増えると利用者情報の管理が煩雑になる。本発明では、さらにこのような問題も解決できる構成としている。以下に、詳細に説明する。   Further, in order to allow the authentication device 30 to authorize the service of the service providing device 20, it is necessary to add an attribute (such as a user authority) corresponding to the authorization condition to the user information held by the authentication device 30. When the authentication device 30 authorizes services of a plurality of service providing devices 20, an attribute corresponding to the authorization condition of each service providing device 20 is added to the user information. As described above, when the number of attributes increases each time the service providing apparatus 20 is added, management of user information becomes complicated. In the present invention, such a problem can be solved. This will be described in detail below.

図2は、本実施形態に係る端末装置10、サービス提供装置20、及び認証装置30が実現する機能の一例を示す機能ブロック図である。図2に示すように、本実施形態に係る端末装置10は、機能的には、例えば、利用要求部11、及び認証要求部12を含んで構成される。これらの機能は、記憶部に記憶されたプログラムを制御部が実行することにより実現されている。このプログラムは、例えば、光ディスク、光磁気ディスク、磁気テープ、光磁気ディスク、フラッシュメモリ等のコンピュータ可読な情報記憶媒体を介して、あるいは、インターネットなどの通信手段を介して端末装置10に供給される。   FIG. 2 is a functional block diagram showing an example of functions realized by the terminal device 10, the service providing device 20, and the authentication device 30 according to the present embodiment. As illustrated in FIG. 2, the terminal device 10 according to the present embodiment is functionally configured to include, for example, a use request unit 11 and an authentication request unit 12. These functions are realized by the control unit executing a program stored in the storage unit. This program is supplied to the terminal device 10 via a computer-readable information storage medium such as an optical disk, a magneto-optical disk, a magnetic tape, a magneto-optical disk, or a flash memory, or via communication means such as the Internet. .

また、本実施形態に係るサービス提供装置20は、機能的には、例えば、要求受付部21、認証装置登録部22、認可情報生成部23、認可情報提供部24、検証部25、利用認可部26、認証案内部27、認証装置情報テーブルTbl210、認可情報テーブルTbl220を含んで構成される。これらの機能のうち、要求受付部、認証装置登録部22、認可情報生成部23、認可情報提供部24、検証部25、利用認可部26、認証案内部27は、記憶部28に記憶されたプログラムを制御部が実行することにより実現されている。このプログラムは、例えば、光ディスク、光磁気ディスク、磁気テープ、光磁気ディスク、フラッシュメモリ等のコンピュータ可読な情報記憶媒体を介して、あるいは、インターネットなどの通信手段を介してサービス提供装置20に供給される。また、認証装置情報テーブルTbl210、認可情報テーブルTbl220は、記憶部28によって実現される。   The service providing apparatus 20 according to the present embodiment functionally includes, for example, a request receiving unit 21, an authentication apparatus registration unit 22, an authorization information generation unit 23, an authorization information providing unit 24, a verification unit 25, and a usage authorization unit. 26, an authentication guide unit 27, an authentication device information table Tbl210, and an authorization information table Tbl220. Among these functions, the request reception unit, the authentication device registration unit 22, the authorization information generation unit 23, the authorization information provision unit 24, the verification unit 25, the usage authorization unit 26, and the authentication guidance unit 27 are stored in the storage unit 28. This is realized by the control unit executing the program. This program is supplied to the service providing apparatus 20 via a computer-readable information storage medium such as an optical disk, a magneto-optical disk, a magnetic tape, a magneto-optical disk, or a flash memory, or via communication means such as the Internet. The The authentication device information table Tbl210 and the authorization information table Tbl220 are realized by the storage unit 28.

また、本実施形態に係る認証装置30は、機能的には、例えば、要求受付部31、認可情報取得部32、利用者情報取得部33、認可情報対応付け部34、認証部35、認証結果送信部36、利用者情報テーブルTbl310、対応付け情報テーブルTbl320を含んで構成される。これらの機能のうち、要求受付部31、認可情報取得部32、利用者情報取得部33、認可情報対応付け部34、認証部35、認証結果送信部36は、記憶部37に記憶されたプログラムを制御部が実行することにより実現されている。このプログラムは、例えば、光ディスク、光磁気ディスク、磁気テープ、光磁気ディスク、フラッシュメモリ等のコンピュータ可読な情報記憶媒体を介して、あるいは、インターネットなどの通信手段を介して認証装置30に供給される。また、利用者情報テーブルTbl310、対応付け情報テーブルTbl320は、記憶部37によって実現される。   Also, the authentication device 30 according to the present embodiment functionally includes, for example, a request reception unit 31, an authorization information acquisition unit 32, a user information acquisition unit 33, an authorization information association unit 34, an authentication unit 35, and an authentication result. A transmission unit 36, a user information table Tbl310, and an association information table Tbl320 are included. Among these functions, the request reception unit 31, the authorization information acquisition unit 32, the user information acquisition unit 33, the authorization information association unit 34, the authentication unit 35, and the authentication result transmission unit 36 are programs stored in the storage unit 37. Is implemented by the control unit. This program is supplied to the authentication device 30 via a computer-readable information storage medium such as an optical disc, a magneto-optical disc, a magnetic tape, a magneto-optical disc, or a flash memory, or via communication means such as the Internet. . Also, the user information table Tbl310 and the association information table Tbl320 are realized by the storage unit 37.

端末装置10の利用要求部11は、サービス提供装置20に対してサービス利用要求を送信する。例えば、利用者が端末装置10で起動したウェブアプリケーションを介してサービス提供装置20が提供するウェブサービスにアクセスすることでサービス利用要求が送信される。   The use request unit 11 of the terminal device 10 transmits a service use request to the service providing device 20. For example, a service use request is transmitted when a user accesses a web service provided by the service providing apparatus 20 via a web application activated on the terminal device 10.

端末装置10の認証要求部12は、サービス提供装置20の認証案内部27から送信された認証案内に従って、認証装置30に対して利用者の認証要求を送信する。例えば、認証装置30が提示する認証ページにおいて利用者が認証情報を入力することで、認証装置30に対して認証要求が送信される。   The authentication request unit 12 of the terminal device 10 transmits a user authentication request to the authentication device 30 in accordance with the authentication guide transmitted from the authentication guide unit 27 of the service providing device 20. For example, when a user inputs authentication information on an authentication page presented by the authentication device 30, an authentication request is transmitted to the authentication device 30.

サービス提供装置20の要求受付部21は、サービス管理者から入力される要求や、端末装置10から送信される要求を受け付ける。   The request receiving unit 21 of the service providing apparatus 20 receives a request input from the service manager and a request transmitted from the terminal device 10.

サービス提供装置20の認証装置登録部22は、サービス管理者からの要求により、サービス提供装置20を利用する利用者を認証するための認証装置30を登録する。サービス管理者により登録を要求された認証装置30を示す認証装置情報は、認証装置情報テーブルTbl210に記憶されることで登録される。例えば、新たな組織がサービス提供装置20を利用する契約をした場合に、契約された組織に所属する所属者を認証するための認証装置30を示す認証装置情報が認証装置情報テーブルTbl210に記憶される。   The authentication device registration unit 22 of the service providing device 20 registers the authentication device 30 for authenticating a user who uses the service providing device 20 in response to a request from the service administrator. The authentication device information indicating the authentication device 30 requested to be registered by the service manager is registered by being stored in the authentication device information table Tbl210. For example, when a new organization makes a contract to use the service providing device 20, authentication device information indicating the authentication device 30 for authenticating an affiliation belonging to the contracted organization is stored in the authentication device information table Tbl210. The

図3は、本実施形態に係る認証装置情報テーブルTbl210の一例を示す図である。図3に示すように、認証装置情報テーブルTbl210は、サービス提供装置20が提供するサービスを識別する識別情報(サービスID)と、認証装置30を示す認証装置情報と、が対応付けられて管理される。認証装置情報は、例えば、認証装置にアクセスするためのアドレス(例えば、認証装置30が利用者に認証情報を入力させるために提示する認証ページを示すURL)である。   FIG. 3 is a diagram showing an example of the authentication device information table Tbl210 according to the present embodiment. As illustrated in FIG. 3, the authentication device information table Tbl210 is managed by associating identification information (service ID) for identifying a service provided by the service providing device 20 with authentication device information indicating the authentication device 30. The The authentication device information is, for example, an address for accessing the authentication device (for example, a URL indicating an authentication page that the authentication device 30 presents for the user to input authentication information).

サービス提供装置20の認可情報生成部23は、サービス管理者の要求により、サービス提供装置20の利用を認可する利用者に付与される認可トークン(認可情報の一例)を生成する。認可トークンは保護されたリソースにアクセスするために使用されるクレデンシャルであり、クライアントに対して発行される認可を表す文字列である。例えば、サービス提供装置20が利用を認可するサービス内容や、認可する利用者の権限、認可する利用者の人数、サービスの利用期間といった認可条件を表す情報を含んでいてもよい。また、サービス提供装置20において、上記認可条件と認可トークンとを対応付けて記憶しておき、その対応関係に基づいて、認可条件に基づいた利用を許可するよう制御してもよい。認可トークンは、サービス提供装置20により生成される重複しない文字列(数字列を含む)としてよい。また例えば、サービス提供装置20は、認可トークンをランダムな文字列として生成することとしてよい。そして、認可情報生成部23が生成した認可トークンは認可情報テーブルTbl220に記憶される。例えば、新たな組織がサービス提供装置20を利用する契約をした場合に、サービス提供装置20の認可情報生成部23は、認可条件として決定された人数分の認可トークンを生成する。または、サービス提供装置20の認可情報生成部23は、新たに契約された組織に所属する所属者分の認可トークンを生成する。そして、生成された認可トークンは、認可トークンが付与される組織を示す情報(例えば組織の識別情報)、組織と契約したサービス、つまりは認可トークンにより利用が認可されるサービスを識別するサービスID、認可トークンが付与される利用者の属性情報(例えば利用者の属する組織を示す組織情報)、と対応付けられて認可情報テーブルTbl220に記憶される。   The authorization information generation unit 23 of the service providing apparatus 20 generates an authorization token (an example of authorization information) that is given to a user who authorizes the use of the service providing apparatus 20 in response to a request from the service administrator. An authorization token is a credential used to access a protected resource, and is a string representing an authorization issued to a client. For example, the service providing apparatus 20 may include information representing authorization conditions such as service contents authorized for use, authority of authorized users, the number of authorized users, and a service usage period. Further, the service providing apparatus 20 may store the authorization condition and the authorization token in association with each other, and control to permit use based on the authorization condition based on the correspondence relationship. The authorization token may be a non-overlapping character string (including a numeric string) generated by the service providing apparatus 20. For example, the service providing apparatus 20 may generate the authorization token as a random character string. The authorization token generated by the authorization information generation unit 23 is stored in the authorization information table Tbl220. For example, when a new organization makes a contract to use the service providing apparatus 20, the authorization information generating unit 23 of the service providing apparatus 20 generates an authorization token for the number of persons determined as the authorization condition. Alternatively, the authorization information generation unit 23 of the service providing apparatus 20 generates an authorization token for the affiliation belonging to the newly contracted organization. The generated authorization token includes information indicating an organization to which the authorization token is given (for example, identification information of the organization), a service ID for identifying a service contracted with the organization, that is, a service authorized to be used by the authorization token, The attribute information of the user to which the authorization token is given (for example, organization information indicating the organization to which the user belongs) is stored in the authorization information table Tbl220 in association with it.

図4は、本実施形態に係る認可情報テーブルTbl220の一例を示す図である。図4に示すように、認可情報テーブルTbl220は、生成された認可トークン毎に、認可トークンにより利用が認可されるサービスのサービスIDと、認可トークンを付与される利用者の属する組織を示す組織情報と、が対応付けられて管理される。   FIG. 4 is a diagram showing an example of the authorization information table Tbl220 according to the present embodiment. As shown in FIG. 4, the authorization information table Tbl220 includes, for each generated authorization token, organization information indicating the service ID of the service authorized to be used by the authorization token and the organization to which the user to whom the authorization token is assigned belongs. And are managed in association with each other.

サービス提供装置20の認可情報提供部24は、サービス提供装置20の認可情報生成部23が生成した認可トークンを、認証装置30へ提供する。ここで、サービス提供装置20の認可情報提供部24は、認可トークンに当該認可トークンを生成したサービス提供装置20を識別する情報(サービス提供装置ID)を対応付けて認証装置30へ提供することとする。これにより認可トークンの提供元を特定することが可能となる。   The authorization information providing unit 24 of the service providing apparatus 20 provides the authorization token generated by the authorization information generating unit 23 of the service providing apparatus 20 to the authentication apparatus 30. Here, the authorization information providing unit 24 of the service providing apparatus 20 associates the authorization token with information (service providing apparatus ID) for identifying the service providing apparatus 20 that generated the authorization token, and provides the information to the authentication apparatus 30. To do. This makes it possible to specify the provider of the authorization token.

サービス提供装置20の検証部25は、サービス提供装置20の要求受付部21が受け付けたサービス利用要求に、サービス提供装置20の認可情報生成部23が生成した認可トークンを含むか否かを検証する。   The verification unit 25 of the service providing apparatus 20 verifies whether the service use request received by the request receiving unit 21 of the service providing apparatus 20 includes the authorization token generated by the authorization information generating unit 23 of the service providing apparatus 20. .

サービス提供装置20の利用認可部26は、サービス提供装置20の検証部25による検証の結果、利用要求にサービス提供装置20が生成した認可トークンが含まれている場合に、サービス利用要求を送信した利用者にサービスの利用を認可する。具体的には、認可情報テーブルTbl220において認可トークンに対応付けられているサービスIDが示すサービスの利用が認可される。   The use authorization unit 26 of the service providing apparatus 20 transmits the service use request when the authorization token generated by the service providing apparatus 20 is included in the use request as a result of the verification by the verification unit 25 of the service providing apparatus 20. Authorize users to use the service. Specifically, use of the service indicated by the service ID associated with the authorization token in the authorization information table Tbl220 is authorized.

サービス提供装置20の認証案内部27は、サービス提供装置20の検証部25による検証の結果、サービス利用要求にサービス提供装置20が生成した認可トークンが含まれていない場合に、利用者の認証を行わせるための認証案内を端末装置10へ送信する。本実施形態では、サービス提供装置20の認証案内部27は、認証装置情報テーブルTbl210に記憶されている認証装置情報を端末装置10へ送信する。   The authentication guide unit 27 of the service providing apparatus 20 authenticates the user when the service token is not included in the service use request as a result of the verification by the verification unit 25 of the service providing apparatus 20. The authentication guidance for performing it is transmitted to the terminal device 10. In the present embodiment, the authentication guide unit 27 of the service providing device 20 transmits the authentication device information stored in the authentication device information table Tbl210 to the terminal device 10.

認証装置30の要求受付部31は、認証管理者からの要求や、端末装置10の認証要求部12から送信される認証要求を受け付ける。   The request receiving unit 31 of the authentication device 30 receives a request from an authentication manager and an authentication request transmitted from the authentication requesting unit 12 of the terminal device 10.

認証装置30の認可情報取得部32は、サービス提供装置20の認可情報提供部24が提供する認可トークンを取得する。   The authorization information acquisition unit 32 of the authentication device 30 acquires the authorization token provided by the authorization information provision unit 24 of the service providing device 20.

認証装置30の利用者情報取得部33は、認証装置30の記憶部37に予め記憶されている利用者情報テーブルTbl310から、認可情報取得部32が取得した認可トークンを付与する利用者の利用者情報を取得する。   The user information acquisition unit 33 of the authentication device 30 is a user user who grants the authorization token acquired by the authorization information acquisition unit 32 from the user information table Tbl310 stored in advance in the storage unit 37 of the authentication device 30. Get information.

図5は、本実施形態に係る利用者情報テーブルTbl310の一例を示す図である。図5に示すように、利用者情報テーブルTbl310は、利用者を識別する利用者識別子、利用者の認証を行うための認証情報、及び利用者の属性を示す利用者属性情報が対応付けられて管理されている。利用者識別子及び認証情報は、認証の対象となる利用者に固有の情報であり、利用者が登録した情報であってもよいし、認証装置30が利用者に発行した情報であってもよい。また、認証情報は、例えば、文字列によって構成されるパスワードや、顔、指紋、静脈等の生体の特徴を示す情報であってよい。このような利用者情報テーブルTbl310が記憶されていることで、後述する認証装置30の認証部35は、認証要求に含まれる利用者識別子(ユーザID)と認証情報(パスワード)とが、利用者情報テーブルTbl310に管理されている利用者識別子と認証情報と一致するかを検証することで、認証要求を行った者が利用者識別子によって識別される利用者本人であるかを認証することができる。利用者属性情報は、例えば、利用者の氏名、所属する組織、利用者のメールアドレスなどの情報であってよい。   FIG. 5 is a diagram showing an example of the user information table Tbl310 according to the present embodiment. As shown in FIG. 5, the user information table Tbl310 is associated with a user identifier for identifying a user, authentication information for authenticating the user, and user attribute information indicating a user attribute. It is managed. The user identifier and the authentication information are information specific to the user to be authenticated, may be information registered by the user, or may be information issued by the authentication device 30 to the user. . Further, the authentication information may be, for example, a password composed of a character string, or information indicating biometric features such as a face, a fingerprint, and a vein. Since such a user information table Tbl310 is stored, the authentication unit 35 of the authentication device 30 described later has a user identifier (user ID) and authentication information (password) included in the authentication request. By verifying whether the user identifier managed in the information table Tbl310 matches the authentication information, it is possible to authenticate whether the person who made the authentication request is the user identified by the user identifier. . The user attribute information may be information such as the user's name, the organization to which the user attribute belongs, and the user's email address.

認証装置30の認可情報対応付け部34は、認証管理者からの認可情報登録要求に従い、認証装置30の認可情報取得部32が取得した認可トークンに、認証装置30の利用者情報取得部33が取得した利用者情報(例えば、利用者を識別する利用者識別子)を対応付けて対応付け情報テーブルTbl320に記憶する。例えば、認証管理者は、サービス提供装置20と契約される組織の管理者であり、認証管理者は、組織に所属する所属者からサービスの利用を認可する利用者を適宜選んで認可トークンを付与することができる。   In accordance with the authorization information registration request from the authentication manager, the authorization information associating unit 34 of the authentication device 30 includes the authorization token acquired by the authorization information acquisition unit 32 of the authentication device 30 and the user information acquisition unit 33 of the authentication device 30. The acquired user information (for example, a user identifier for identifying the user) is associated and stored in the association information table Tbl320. For example, the authentication administrator is an administrator of an organization contracted with the service providing apparatus 20, and the authentication administrator appropriately selects a user who authorizes use of the service from a member belonging to the organization and gives an authorization token. can do.

図6は、本実施形態に係る対応付け情報テーブルTbl320の一例を示す図である。図6に示すように、対応付け情報テーブルTbl320は、提供された認可トークン毎に、認可トークンに対応付けられて提供されたサービス提供装置ID及び認可トークンが付与される利用者の利用者識別子が対応付けられて管理される。このように、対応付け情報テーブルTbl320において、サービス提供装置20から提供された認可トークンの数分の利用者だけが管理されることとなり、認証装置30において際限なく利用者にサービスの利用の認可が与えられることを回避できる。また、対応付け情報テーブルTbl320において認可トークン、サービス提供装置ID、及び利用者識別子が対応付けられて管理されることで、サービスの利用の認可のための利用者属性情報を利用者情報テーブルTbl310に追加する必要がない。さらに、認証装置30が複数の異なるサービス提供装置20から提供される認可トークンを管理する場合も、サービス提供装置IDにより認可トークンの提供元を特定できるので図5に示した対応付け情報テーブルTbl320で同様に管理することが可能となる。   FIG. 6 is a diagram illustrating an example of the association information table Tbl 320 according to the present embodiment. As shown in FIG. 6, the association information table Tbl 320 includes, for each provided authorization token, a service providing device ID provided in association with the authorization token and a user identifier of the user to whom the authorization token is assigned. Correspondingly managed. In this way, in the association information table Tbl320, only the number of users corresponding to the number of authorization tokens provided from the service providing apparatus 20 is managed, and the authentication apparatus 30 allows the user to authorize the use of the service without limit. You can avoid being given. Also, by managing the authorization token, service providing apparatus ID, and user identifier in association with each other in the association information table Tbl320, user attribute information for authorization of service use is stored in the user information table Tbl310. There is no need to add. Further, even when the authentication device 30 manages the authorization tokens provided from a plurality of different service providing devices 20, since the providing source of the authorization token can be specified by the service providing device ID, the association information table Tbl320 shown in FIG. It becomes possible to manage similarly.

認証装置30の認証部35は、端末装置10の要求受付部が受け付けた認証要求に応じて利用者の認証を行う。認証装置30の認証部35は、認証要求に含まれる利用者識別子と認証情報とが、利用者情報テーブルTbl310に管理されている利用者識別子と認証情報と一致するかを検証することで利用者の認証を行う。   The authentication unit 35 of the authentication device 30 performs user authentication in response to the authentication request received by the request reception unit of the terminal device 10. The authentication unit 35 of the authentication device 30 verifies whether the user identifier and the authentication information included in the authentication request match the user identifier and authentication information managed in the user information table Tbl310. Authenticate.

認証装置30の認証結果情報送信部は、認証装置30の認証部35による認証の結果を送信する。認証装置30の認証部35による認証が成功した場合には、認証装置30の認証結果情報送信部は、対応付け情報テーブルTbl320において認証が成功した利用者に対応付けられている対応付け情報を端末装置10に送信する。また、認証装置30の認証部35による認証が失敗した場合には、認証装置30の認証結果情報送信部は、認証が失敗したことを示す認証エラー情報を端末装置10に送信する。なお、エラー情報には、認証が失敗した利用者の利用者識別子が含まれることとしてよい。   The authentication result information transmission unit of the authentication device 30 transmits the result of authentication by the authentication unit 35 of the authentication device 30. When authentication by the authentication unit 35 of the authentication device 30 is successful, the authentication result information transmission unit of the authentication device 30 displays the association information associated with the user who has been successfully authenticated in the association information table Tbl320. Transmit to device 10. When the authentication by the authentication unit 35 of the authentication device 30 fails, the authentication result information transmission unit of the authentication device 30 transmits authentication error information indicating that the authentication has failed to the terminal device 10. The error information may include the user identifier of the user who has failed authentication.

[事前登録処理]
ここで、新たな利用者がサービス提供装置20を利用する契約をした場合に、サービス提供装置20及び認証装置30が実行する事前登録処理について説明する。ここでは、新たな利用者(新規利用者)は、会社や部署などの組織に所属する複数の所属者とするが、個人の利用者であってもよい。 [Pre-registration process]
Here, a pre-registration process executed by the service providing device 20 and the authentication device 30 when a new user makes a contract to use the service providing device 20 will be described. Here, the new user (new user) is a plurality of members belonging to an organization such as a company or a department, but may be an individual user.

まず、本実施形態に係るサービス提供装置20が実行する認証装置登録処理の一例について図7のフロー図を参照して説明する。   First, an example of authentication device registration processing executed by the service providing device 20 according to the present embodiment will be described with reference to the flowchart of FIG.

新規利用者とサービス提供装置20との間で利用契約がなされ、サービス管理者が、サービス提供装置20を操作して認証装置登録要求を行うと、サービス提供装置20の要求受付部21が認証装置登録要求を受け付ける(S101)。ここでは、サービス管理者は、サービス提供装置20に対して、新規利用者の認証が可能な認証装置30の情報と、契約されたサービスを示すサービスIDと、を含む認証装置登録要求を行う。認証装置30の情報は、例えば認証装置30が提供する利用者の認証要求を受け付ける認証ページを示すURLとする。   When a usage contract is made between the new user and the service providing apparatus 20, and the service manager operates the service providing apparatus 20 to make an authentication apparatus registration request, the request receiving unit 21 of the service providing apparatus 20 causes the authentication apparatus to A registration request is accepted (S101). Here, the service administrator makes an authentication device registration request including information on the authentication device 30 that can authenticate a new user and a service ID indicating the contracted service to the service providing device 20. The information of the authentication device 30 is, for example, a URL indicating an authentication page that accepts a user authentication request provided by the authentication device 30.

そして、サービス提供装置20の要求受付部21が認証装置登録要求を受け付けると、サービス提供装置20の認証装置登録部22が、認証装置登録要求に含まれる認証装置30の情報とサービスIDとを認証装置情報テーブルTbl210に登録して(S201)、認証装置情報登録処理を終了する。例えば、サービス提供装置20の認証装置登録部22は、認証装置の識別情報(認証装置ID)と、S101の要求に含まれる認証装置情報と、サービスIDとを対応付けて認証装置情報テーブルTbl210に登録する。   When the request receiving unit 21 of the service providing device 20 receives the authentication device registration request, the authentication device registering unit 22 of the service providing device 20 authenticates the information and the service ID of the authentication device 30 included in the authentication device registration request. Registration is performed in the device information table Tbl210 (S201), and the authentication device information registration process is terminated. For example, the authentication device registration unit 22 of the service providing device 20 associates the authentication device identification information (authentication device ID) with the authentication device information included in the request of S101 and the service ID in the authentication device information table Tbl210. sign up.

次に、本実施形態に係るサービス提供装置20が実行する認可情報生成処理及び認証装置30が実行する認可情報対応付け処理の一例について図8のフロー図を参照して説明する。   Next, an example of the authorization information generation process executed by the service providing apparatus 20 according to the present embodiment and the authorization information association process executed by the authentication apparatus 30 will be described with reference to the flowchart of FIG.

まず、新規利用者とサービス提供装置20との利用契約がなされ、サービス管理者が、サービス提供装置20を操作して認可情報生成要求を行うと、サービス提供装置20の要求受付部21が認可情報生成要求を受け付ける(S201)。ここでは、サービス管理者は、生成する認可トークンの個数を示す個数情報を含む認可情報生成要求を行う。生成する認可トークンの個数は、例えば、新規利用者の人数分となり、新規利用者とサービス提供装置20との利用契約の際に、新規利用者とサービス管理者との間の取り決めにより決定される個数としてよい。   First, when a usage contract is made between a new user and the service providing apparatus 20, and the service manager operates the service providing apparatus 20 to make an authorization information generation request, the request receiving unit 21 of the service providing apparatus 20 receives the authorization information. A generation request is accepted (S201). Here, the service administrator makes an authorization information generation request including number information indicating the number of authorization tokens to be generated. The number of authorization tokens to be generated is, for example, the number of new users, and is determined by an agreement between the new user and the service manager when a usage contract is made between the new user and the service providing apparatus 20. It may be the number.

サービス提供装置20の認可情報生成部23が、認可情報生成要求に含まれる個数情報が示す個数分の認可トークンを生成する(S202)。そして、生成された各認可トークンは、認可トークンにより利用が認可されるサービスのサービスIDと、例えば認可トークンを付与される利用者の属する組織を示す組織情報等とが対応付けられて認可情報テーブルTbl220に記憶される(S203)。   The authorization information generation unit 23 of the service providing device 20 generates the number of authorization tokens indicated by the number information included in the authorization information generation request (S202). Each generated authorization token is associated with a service ID of a service authorized to be used by the authorization token and, for example, organization information indicating an organization to which the user to whom the authorization token is assigned belongs. It is stored in Tbl 220 (S203).

生成された認可トークンがすべて認可情報テーブルTbl220に記憶されると、サービス提供装置20の認可情報提供部24は、認可トークンと当該認可トークンを生成したサービス提供装置20を識別するサービス提供装置IDとの対応付けの一覧である認可情報リストを端末装置30に送信する(S204)。サービス提供装置20の認可情報提供部24は、認証装置情報テーブルTbl210に記憶されている認証装置情報が示す認証装置30に認可情報リストを送信することとする。例えば、サービス提供装置20の認可情報提供部24は、図4に示される認可情報テーブルTbl220とサービス提供装置IDとを、上記の認可情報リストとして認証装置30に送信することとしてよい。   When all the generated authorization tokens are stored in the authorization information table Tbl220, the authorization information providing unit 24 of the service providing apparatus 20 includes an authorization token and a service providing apparatus ID that identifies the service providing apparatus 20 that has generated the authorization token. The authorization information list, which is a list of associations, is transmitted to the terminal device 30 (S204). The authorization information providing unit 24 of the service providing apparatus 20 transmits the authorization information list to the authentication apparatus 30 indicated by the authentication apparatus information stored in the authentication apparatus information table Tbl210. For example, the authorization information providing unit 24 of the service providing apparatus 20 may transmit the authorization information table Tbl220 and the service providing apparatus ID shown in FIG. 4 to the authentication apparatus 30 as the above authorization information list.

認証装置30の認可情報取得部32は、サービス提供装置20の認可情報提供部24から送信された認可情報リストを取得する(S205)。   The authorization information acquisition unit 32 of the authentication device 30 acquires the authorization information list transmitted from the authorization information provision unit 24 of the service providing device 20 (S205).

次に、認証装置30の利用者情報取得部33は、利用者情報テーブルTbl310から認可トークンを付与する利用者の利用者情報を取得する(S206)。例えば、認証装置30の利用者情報取得部33は、利用者情報テーブルTbl310に含まれる利用者識別子を取得することとしてよい。ここでは、認証管理者が認証装置30を操作して利用者情報テーブルTbl310から認可トークンを付与する利用者の利用者識別子を検索することとする。そして、認証装置30の利用者情報取得部33は、認証管理者が検索した利用者識別子を取得する。なお、認証装置30の利用者情報取得部33は、認証管理者が入力した利用者識別子を取得することとしてもよい。   Next, the user information acquisition unit 33 of the authentication device 30 acquires the user information of the user to whom the authorization token is given from the user information table Tbl310 (S206). For example, the user information acquisition unit 33 of the authentication device 30 may acquire a user identifier included in the user information table Tbl310. Here, it is assumed that the authentication manager operates the authentication device 30 to search the user information table Tbl310 for the user identifier of the user to whom the authorization token is given. Then, the user information acquisition unit 33 of the authentication device 30 acquires the user identifier searched by the authentication manager. Note that the user information acquisition unit 33 of the authentication device 30 may acquire the user identifier input by the authentication manager.

続いて、認証管理者が認証装置30を操作して認可トークンの登録要求を行うと、認証装置30の要求受付部31は認可情報登録要求を受け付ける(S207)。ここでは、認証管理者は、認可情報リスト(認可トークン及びサービス提供装置ID)と、認可トークンを付与する利用者の利用者識別子を含む認可情報登録要求を行う。ここで、認証管理者は、認可情報に対応付ける利用者を、例えば識別子、当該識別子に対応付けられた利用者名、当該識別子に対応付けられた利用者の組織情報等に基づいて特定することが考えられる。認証管理者は、認可情報リストに含まれる認可トークンを1つずつ指定して認可情報登録要求を行ってもよいし、認可情報リストに含まれるすべての認可トークンに認可トークンを付与する利用者識別子を対応付けてから一括で認可情報登録要求を行ってもよい。   Subsequently, when the authentication manager operates the authentication device 30 to make an authorization token registration request, the request accepting unit 31 of the authentication device 30 accepts an authorization information registration request (S207). Here, the authentication manager makes an authorization information registration request including an authorization information list (authorization token and service providing apparatus ID) and a user identifier of the user to whom the authorization token is granted. Here, the authentication manager may identify the user associated with the authorization information based on, for example, an identifier, a user name associated with the identifier, user organization information associated with the identifier, and the like. Conceivable. The authentication administrator may specify authorization tokens included in the authorization information list one by one and make an authorization information registration request, or a user identifier that grants an authorization token to all authorization tokens included in the authorization information list The authorization information registration request may be made in a lump after associating with.

認証装置30の要求受付部31が認可情報登録要求を受け付けると、認証装置30の認可情報対応付け部34が、認可情報登録要求に含まれる、認可トークン、サービス提供装置ID、及び利用者識別子を対応付ける(S208)。そして、認可トークン、サービス提供装置ID、及び利用者識別子が対応付けられた対応付け情報は対応付け情報テーブルTbl320に記憶される(S209)。そして、認可情報リストに含まれる認可トークンがすべて対応付け情報テーブルTbl320に記憶されると、認可情報生成処理及び認可情報登録処理が完了する。   When the request accepting unit 31 of the authentication device 30 accepts the authorization information registration request, the authorization information associating unit 34 of the authentication device 30 receives the authorization token, the service providing device ID, and the user identifier included in the authorization information registration request. Correlate (S208). Then, the association information in which the authorization token, the service providing device ID, and the user identifier are associated is stored in the association information table Tbl320 (S209). When all the authorization tokens included in the authorization information list are stored in the association information table Tbl320, the authorization information generation process and the authorization information registration process are completed.

[サービス利用認可処理]
次に、本実施形態に係るサービス提供装置20、及び認証装置30が実行するサービス利用認可処理の一例について図9のフロー図を参照して説明する。ここでは、事前登録処理が実行された後に、利用者がサービス提供装置20を利用する際のサービス利用認可処理について説明する。 [Service authorization process]
Next, an example of service use authorization processing executed by the service providing apparatus 20 and the authentication apparatus 30 according to the present embodiment will be described with reference to the flowchart of FIG. Here, the service use authorization process when the user uses the service providing apparatus 20 after the pre-registration process is executed will be described.

まず、端末装置10の利用要求部11が、利用者の指示に応じて、サービス提供装置20に対してサービス利用要求を行う(S301)。   First, the use request unit 11 of the terminal device 10 makes a service use request to the service providing device 20 in accordance with a user instruction (S301).

サービス提供装置20の要求受付部21がサービス利用要求を受け付けると、サービス提供装置20の検証部25が、サービス利用要求に、サービス提供装置20が生成した認可トークンが含まれているか否かを検証する(S302)。例えば、サービス提供装置20の検証部25は、サービス利用要求に含まれる認可トークンが、図4に示す認可情報テーブルTbl220の中に含まれるか否かに基づいて、上記の検証を行う。   When the request receiving unit 21 of the service providing apparatus 20 receives the service use request, the verifying unit 25 of the service providing apparatus 20 verifies whether the service use request includes the authorization token generated by the service providing apparatus 20. (S302). For example, the verification unit 25 of the service providing apparatus 20 performs the above verification based on whether or not the authorization token included in the service use request is included in the authorization information table Tbl220 illustrated in FIG.

サービス提供装置20の検証部25による検証の結果、サービス利用要求にサービス提供装置20が生成した認可トークンが含まれている場合は(S303:Y)、サービス提供装置20の利用認可部26がサービス利用要求を送信した端末装置10にサービスの利用を認可するレスポンスを送信する(S304)。具体的には、サービス提供装置20の利用認可部26は、認可情報テーブルTbl220においてサービス利用要求に含まれる認可トークンに対応付けられているサービスIDが示すサービスの利用を認可する。サービス提供装置20の利用認可部26により認可された利用者は、当該サービスを利用することが可能となる。   As a result of verification by the verification unit 25 of the service providing apparatus 20, if the service use request includes the authorization token generated by the service providing apparatus 20 (S303: Y), the use authorization unit 26 of the service providing apparatus 20 performs the service. A response authorizing the use of the service is transmitted to the terminal device 10 that has transmitted the use request (S304). Specifically, the use authorization unit 26 of the service providing apparatus 20 authorizes the use of the service indicated by the service ID associated with the authorization token included in the service use request in the authorization information table Tbl220. A user who is authorized by the use authorization unit 26 of the service providing apparatus 20 can use the service.

サービス提供装置20の検証部25による検証の結果、サービス利用要求に認可トークンが含まれていない場合は(S303:N)、サービス提供装置の認証案内部27が、利用者の認証を行うための認証案内を含むレスポンスを端末装置10へ送信する(S305)。具体的には、サービス提供装置20の認証案内部27は、認証装置情報テーブルTbl210に記憶されている認証装置情報を含むレスポンスを端末装置10へ送信する。   As a result of the verification by the verification unit 25 of the service providing apparatus 20, if the service use request does not include an authorization token (S303: N), the authentication providing unit 27 of the service providing apparatus is for authenticating the user. A response including authentication guidance is transmitted to the terminal device 10 (S305). Specifically, the authentication guide unit 27 of the service providing device 20 transmits a response including the authentication device information stored in the authentication device information table Tbl210 to the terminal device 10.

端末装置10が認証装置情報を含むレスポンスを受信すると、端末装置10の認証要求部12は認証装置情報が示す認証装置30に対して認証要求を行う(S306)。例えば、端末装置10が、認証装置情報が示す認証ページのURLにアクセスし、利用者に利用者識別子と認証情報とを入力させる。そして、端末装置10の認証要求部12が、当該認証ページにおいて利用者により入力された利用者識別子と認証情報とを含む認証要求を認証装置30に送信する。なお、端末装置10の認証要求部12は、利用者により入力された利用者識別子及び認証情報をそのまま認証装置30に送信してもよいが、ハッシュ関数などを用いて変換してから認証装置30に送信してもよい。   When the terminal device 10 receives the response including the authentication device information, the authentication request unit 12 of the terminal device 10 makes an authentication request to the authentication device 30 indicated by the authentication device information (S306). For example, the terminal device 10 accesses the URL of the authentication page indicated by the authentication device information, and causes the user to input a user identifier and authentication information. Then, the authentication request unit 12 of the terminal device 10 transmits an authentication request including the user identifier and authentication information input by the user on the authentication page to the authentication device 30. The authentication request unit 12 of the terminal device 10 may transmit the user identifier and authentication information input by the user to the authentication device 30 as they are, but after converting them using a hash function or the like, the authentication device 30 May be sent to.

認証装置30の要求受付部31が認証要求を受け付けると、認証装置30の認証部35が認証要求に含まれる利用者識別子と認証情報とに基づいて利用者の認証を行う(S307)。ここで、認証装置30の認証部35は、認証要求に含まれる利用者識別子と認証情報とが、利用者情報テーブルTbl310に管理されている利用者識別子と認証情報と一致するかを検証することで利用者の認証を行う。認証要求に含まれる利用者識別子と認証情報とが、利用者情報テーブルTbl310に管理されている利用者識別子と認証情報と一致する場合は認証を成功とし、認証要求に含まれる利用者識別子と認証情報とが、利用者情報テーブルTbl310に管理されている利用者識別子と認証情報と一致しない場合は認証を失敗とする。   When the request reception unit 31 of the authentication device 30 receives the authentication request, the authentication unit 35 of the authentication device 30 authenticates the user based on the user identifier and the authentication information included in the authentication request (S307). Here, the authentication unit 35 of the authentication device 30 verifies whether the user identifier and the authentication information included in the authentication request match the user identifier and the authentication information managed in the user information table Tbl310. Authenticate users with. If the user identifier and the authentication information included in the authentication request match the user identifier and the authentication information managed in the user information table Tbl310, the authentication is successful, and the user identifier and the authentication included in the authentication request are authenticated. If the information does not match the user identifier managed in the user information table Tbl310 and the authentication information, the authentication is failed.

認証装置30の認証部35が利用者の認証を成功すると、認証装置30の認証結果送信部36が、対応付け情報テーブルTbl320から認証を成功した利用者の利用者識別子が対応付けられている対応付け情報を取得して認証結果として端末装置10へ送信する(S308)。ここでは、認証結果として、認可トークン、利用者識別子、及びサービス提供装置IDが含まれることとするが、少なくとも認可トークン及びサービス提供装置IDが含まれていればよい。なお、認証装置30の認証部35が利用者の認証を失敗した場合は、認証装置30の認証結果情報送信部は、認証が失敗したことを示す認証エラー情報を端末装置10に送信することとする。   When the authentication unit 35 of the authentication device 30 successfully authenticates the user, the authentication result transmission unit 36 of the authentication device 30 is associated with the user identifier of the user who has been successfully authenticated from the association information table Tbl320. The attached information is acquired and transmitted as an authentication result to the terminal device 10 (S308). Here, although the authorization token, the user identifier, and the service providing apparatus ID are included as the authentication result, it is sufficient that at least the authorization token and the service providing apparatus ID are included. If the authentication unit 35 of the authentication device 30 fails to authenticate the user, the authentication result information transmission unit of the authentication device 30 transmits authentication error information indicating that the authentication has failed to the terminal device 10. To do.

そして、端末装置10の利用要求部11は、認証装置30から受信した認証結果を当該認証結果に含まれるサービス提供装置IDが示すサービス提供装置20へ転送することで、サービス提供装置20にサービス利用要求を行う(S309)。ここでは、端末装置10の利用要求部11は、利用者の認証が成功した場合の認証結果である対応付け情報をサービス提供装置20へ転送することで、利用者に付与された認可トークンを含むサービス利用要求を行うこととなる。   Then, the use request unit 11 of the terminal device 10 transfers the authentication result received from the authentication device 30 to the service providing device 20 indicated by the service providing device ID included in the authentication result, whereby the service providing device 20 uses the service. A request is made (S309). Here, the usage request unit 11 of the terminal device 10 includes the authorization token given to the user by transferring the association information, which is the authentication result when the user authentication is successful, to the service providing device 20. A service use request is made.

サービス提供装置20の要求受付部21がサービス利用要求を受け付けると、処理S302以降の処理を実行する。   When the request accepting unit 21 of the service providing apparatus 20 accepts the service use request, the process after the process S302 is executed.

[変形例]
なお、本発明は上記実施形態に限定されるものではない。 [Modification]
The present invention is not limited to the above embodiment.

まず、サービス提供装置20の認可情報生成部23により生成された認可トークンが記憶される認可情報テーブルTbl220において、さらに各認可トークンには認可トークンの無効または有効を設定可能な無効フラグと、当該認可トークンが提供されている利用者の連絡先と、が対応付けられることとしてもよい。   First, in the authorization information table Tbl220 in which the authorization token generated by the authorization information generating unit 23 of the service providing apparatus 20 is stored, each authorization token further includes an invalid flag that can set invalidity or validity of the authorization token, and the authorization The contact information of the user who is provided with the token may be associated.

図10は、本実施形態に係る無効フラグが対応付けられた認可情報テーブルTbl220の一例を示す図である。図10に示すように、認可情報テーブルTbl220は、生成された認可トークン毎に、サービスID、利用者属性情報、無効フラグ、及び連絡先が対応付けられて管理される。無効フラグは、「0」または「1」を示す無効フラグが設定されるものであり、例えば、認可トークンを無効化する場合に「1」、認可トークンを有効化する場合に「0」が設定されることとする。連絡先は、認可トークンに対応付けられた無効フラグの値が更新されたことを通知する宛先であり、例えば、メールアドレス、電話番号、住所、などであってよい。   FIG. 10 is a diagram illustrating an example of the authorization information table Tbl220 associated with the invalid flag according to the present embodiment. As shown in FIG. 10, the authorization information table Tbl220 is managed by associating a service ID, user attribute information, an invalid flag, and a contact address for each generated authorization token. The invalid flag is set with an invalid flag indicating “0” or “1”. For example, “1” is set when the authorization token is invalidated, and “0” is set when the authorization token is validated. It will be done. The contact address is a destination for notifying that the value of the invalid flag associated with the authorization token has been updated, and may be, for example, an email address, a telephone number, an address, or the like.

この場合、サービス提供装置20の検証部25は、認可情報テーブルTbl220を参照してサービス利用要求に含まれる認可トークンが無効化されているか否かを検証することとする。サービス提供装置20の検証部25による検証の結果、認可トークンが無効化されている場合は、サービスの利用を認可しないこととする。このように、利用者とサービス提供装置20との契約が終了する場合などには、当該利用者に提供されていた認可トークンを無効化するだけでサービスの利用を停止させることができる。そして、同一の利用者が再度契約をした場合には、認可トークンを有効化することで、新たに認可トークンを生成しなくてもサービスの利用を再開することができる。   In this case, the verification unit 25 of the service providing apparatus 20 refers to the authorization information table Tbl220 to verify whether the authorization token included in the service use request has been invalidated. As a result of verification by the verification unit 25 of the service providing apparatus 20, if the authorization token is invalidated, the use of the service is not authorized. As described above, when the contract between the user and the service providing apparatus 20 is terminated, the use of the service can be stopped only by invalidating the authorization token provided to the user. Then, when the same user makes a contract again, the use of the service can be resumed by enabling the authorization token without generating a new authorization token.

また、無効フラグは、サービスID毎、利用者属性情報毎にも設定可能である。例えば、組織毎にサービスの利用を停止させたい場合には、所定の組織情報に対応する無効フラグを無効に設定すればよい。また、サービス内容毎に利用を停止させたい場合には、所定のサービスIDに対応する無効フラグを無効に設定すればよい。   The invalid flag can also be set for each service ID and each user attribute information. For example, when it is desired to stop using the service for each organization, an invalid flag corresponding to predetermined organization information may be set to invalid. If it is desired to stop the use for each service content, the invalid flag corresponding to the predetermined service ID may be set invalid.

また、認可情報テーブルTbl220において、認可トークンが提供されている利用者の連絡先を対応付けておくことで、認可トークンが無効化された場合に無効化された旨を利用者に連絡することができる。なお、連絡先を組織毎に対応付けることも可能である。組織毎に組織の管理者の連絡先を対応付けることとすれば、組織毎にサービスの利用を停止した場合に組織の管理者だけに連絡すればよい。   Further, in the authorization information table Tbl220, by associating the contact information of the user who is provided with the authorization token, when the authorization token is invalidated, it is possible to notify the user that the authorization token has been invalidated. it can. It is possible to associate the contact information for each organization. If the contact information of the organization manager is associated with each organization, when the use of the service is stopped for each organization, only the organization administrator needs to be contacted.

次に、サービス提供装置20において認可トークンの利用履歴が管理されることとしてもよい。具体的には、サービス提供装置20の検証部25がサービス利用要求に応じた検証を行う毎に検証結果を認可情報利用履歴テーブルに保存することとする。   Next, the usage history of the authorization token may be managed in the service providing apparatus 20. Specifically, every time the verification unit 25 of the service providing apparatus 20 performs verification according to the service usage request, the verification result is stored in the authorization information usage history table.

図11は、本実施形態に係る認可情報利用履歴テーブルTbl400の一例を示す図である。図11に示すように、認可情報利用履歴テーブルTbl400は、履歴ID、認可トークン、利用者識別子、時刻、及び検証結果が対応付けられて管理される。履歴IDは、サービス提供装置20の検証部25が検証を行う毎に付与される識別子である。認可トークンには、サービス利用要求(又は認証装置30の認証結果送信部36が送信した認証結果)に含まれる認可トークンが格納される。利用者識別子には、サービス利用要求(又は認証装置30の認証結果送信部36が送信した認証結果)に含まれる利用者識別子が格納される。時刻には、サービス提供装置20の検証部25が検証を行った時刻が格納される。検証結果には、サービス提供装置20の検証部25による検証の結果が格納される。ここではサービスの利用の認可または不認可を示す情報が格納される。   FIG. 11 is a diagram showing an example of the authorization information use history table Tbl400 according to the present embodiment. As shown in FIG. 11, the authorization information use history table Tbl400 is managed in association with a history ID, an authorization token, a user identifier, a time, and a verification result. The history ID is an identifier given each time the verification unit 25 of the service providing apparatus 20 performs verification. In the authorization token, the authorization token included in the service use request (or the authentication result transmitted by the authentication result transmission unit 36 of the authentication device 30) is stored. The user identifier stores the user identifier included in the service use request (or the authentication result transmitted by the authentication result transmitting unit 36 of the authentication device 30). The time stores the time when the verification unit 25 of the service providing apparatus 20 performs the verification. In the verification result, the result of verification by the verification unit 25 of the service providing apparatus 20 is stored. Here, information indicating approval or disapproval of use of the service is stored.

図11に示すような認可情報利用履歴テーブルTbl400を用いて、サービス提供装置20は認可トークンの不正利用を検出することができる。具体的には、サービス提供装置20は、認可トークンに対応付けられる利用者の人数に2以上の規定数(又は上限数)を規定し、同一の認可トークンを規定数以上の異なる利用者が使用した場合に不正を検出することとする。これにより、認証管理者がサービス提供装置20から提供された認可トークンを規定数以上の利用者に重複して割り当てた場合に不正が検出される。このような不正が検出された場合には、当該認可トークンの無効フラグを無効化することで認可トークンを利用できないようにする。同一の認可トークンを異なる利用者が使用した場合に不正を検出するようにすれば、一つの認可トークンを一人の利用者にのみ使用させることができる。   Using the authorization information use history table Tbl400 as shown in FIG. 11, the service providing apparatus 20 can detect unauthorized use of the authorization token. Specifically, the service providing apparatus 20 defines a prescribed number (or upper limit number) of 2 or more for the number of users associated with the authorization token, and the same authorization token is used by more than the prescribed number of different users. If this happens, fraud will be detected. As a result, fraud is detected when the authentication manager assigns the authorization token provided from the service providing apparatus 20 to a predetermined number or more of users. When such fraud is detected, the authorization token cannot be used by invalidating the invalid flag of the authorization token. If fraud is detected when different users use the same authorization token, only one user can use one authorization token.

また、認証装置30の利用者情報テーブルTbl310及び認証部35は他の外部認証装置として構成されてもよい。これにより、サービス提供装置20と契約する組織毎の利用者の管理と、汎用的な利用者認証のための利用者の管理とを分けることができる。   Further, the user information table Tbl310 and the authentication unit 35 of the authentication device 30 may be configured as other external authentication devices. Thereby, it is possible to separate user management for each organization contracted with the service providing apparatus 20 and user management for general-purpose user authentication.

また、サービス提供装置20の認可生成部及び検証部25を他の外部装置で構成することとしてもよい。これにより、サービス提供装置20の処理負担を軽減することができる。   Further, the authorization generation unit and the verification unit 25 of the service providing device 20 may be configured by other external devices. Thereby, the processing burden of the service providing apparatus 20 can be reduced.

1 認証システム、10 端末装置、11 利用要求部、12 認証要求部、20 サービス提供装置、21,31 要求受付部、22 認証装置登録部、23 認可情報生成部、24 認可情報提供部、25 検証部、26 利用認可部、27 認証案内部、28 記憶部、30 認証装置、32 認可情報取得部、33 利用者情報取得部、34 認可情報対応付け部、35 認証部、36 認証結果送信部、37 記憶部、Tbl210 認証装置情報テーブル、Tbl220 認可情報テーブル、Tbl310 利用者情報テーブル、Tbl320 対応付け情報テーブル、Tbl400 認可情報利用履歴テーブル。   DESCRIPTION OF SYMBOLS 1 Authentication system, 10 Terminal device, 11 Usage request part, 12 Authentication request part, 20 Service provision apparatus, 21,31 Request reception part, 22 Authentication apparatus registration part, 23 Authorization information generation part, 24 Authorization information provision part, 25 Verification Unit, 26 usage authorization unit, 27 authentication guidance unit, 28 storage unit, 30 authentication device, 32 authorization information acquisition unit, 33 user information acquisition unit, 34 authorization information association unit, 35 authentication unit, 36 authentication result transmission unit, 37 storage unit, Tbl210 authentication device information table, Tbl220 authorization information table, Tbl310 user information table, Tbl320 association information table, Tbl400 authorization information use history table.

Claims (15)

サービス提供装置と認証装置とを含む認証システムであって、
前記サービス提供装置は、
前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を生成する生成手段と、
前記生成された認可情報を前記認証装置に提供する認可情報提供手段と、
前記サービス提供装置の利用者から前記認可情報を含まない要求を受け付けた場合に、当該利用者に前記認証装置における認証を実行するように案内する案内手段と、
前記利用者から前記認可情報を含む要求を受け付けた場合に、当該利用者に前記サービスの利用を認可する認可手段と、を含み、
前記認証装置は、
前記認可情報提供手段により提供された前記認可情報を、前記利用者に対応付けて記憶手段に記憶する手段と、
前記案内手段により案内された利用者を認証する手段と、
前記認証された利用者に対応付けて前記記憶手段に記憶されている前記認可情報を、当該利用者に送信する認可情報送信手段と、
を含むことを特徴とする認証システム。 An authentication system including a service providing device and an authentication device,
The service providing apparatus includes:
Generating means for generating authorization information used to authorize use of the service provided by the service providing device;
Authorization information providing means for providing the generated authorization information to the authentication device;
When receiving a request not including the authorization information from a user of the service providing apparatus, guiding means for guiding the user to perform authentication in the authentication apparatus;
An authorization unit that authorizes the user to use the service when a request including the authorization information is received from the user, and
The authentication device
Means for storing the authorization information provided by the authorization information providing means in a storage means in association with the user;
Means for authenticating a user guided by the guiding means;
Authorization information transmitting means for transmitting the authorization information stored in the storage means in association with the authenticated user to the user;
An authentication system comprising: 前記サービス提供装置は、
前記生成された認可情報と、前記サービス提供装置により提供されるサービスに関する認可条件とを対応付けて記憶する手段を更に含む、
ことを特徴とする、請求項1に記載の認証システム。 The service providing apparatus includes:
A means for storing the generated authorization information in association with an authorization condition related to a service provided by the service providing apparatus;
The authentication system according to claim 1, wherein: 前記認可情報は、前記サービス提供装置により提供されるサービスに関する認可条件に関する情報を含む、
ことを特徴とする、請求項1に記載の認証システム。 The authorization information includes information related to authorization conditions related to services provided by the service providing device,
The authentication system according to claim 1, wherein: 前記認可条件は、前記サービス提供装置が利用を認可するサービスの内容、認可する利用者の権限、および利用可能な期間のうち少なくとも1つを含む、
ことを特徴とする、請求項2又は3のいずれかに記載の認証システム。 The authorization condition includes at least one of the content of the service that the service providing device authorizes use, the authority of the user to authorize, and the available period.
The authentication system according to claim 2, wherein the authentication system is characterized in that 前記サービス提供装置は、
前記認可情報提供手段が提供した認可情報の有効または無効を設定する設定手段、
をさらに含むことを特徴とする請求項1から4のいずれか一項に記載の認証システム。 The service providing apparatus includes:
Setting means for setting validity or invalidity of the authorization information provided by the authorization information providing means;
The authentication system according to any one of claims 1 to 4, further comprising: 前記認可手段は、前記利用者から受け付ける要求に、前記認可情報送信手段により送信した認可情報が含まれており、かつ、当該認可情報が無効に設定されている場合に、当該利用者に前記サービスの利用を認可しない、
ことを特徴とする請求項5に記載の認証システム。 When the authorization information transmitted by the authorization information transmission unit is included in the request received from the user and the authorization information is set to invalid, the authorization unit provides the service to the user. Does not authorize the use of
The authentication system according to claim 5. 前記サービス提供装置は、
前記認可手段による前記サービスの利用の認可履歴を記憶手段に記憶する手段と、
前記認可履歴に応じて前記認可情報の不正利用を検出する不正検出手段と、
をさらに含むことを特徴とする請求項1から6のいずれか一項に記載の認証システム。 The service providing apparatus includes:
Means for storing an authorization history of use of the service by the authorization means in a storage means;
Fraud detection means for detecting unauthorized use of the authorization information according to the authorization history;
The authentication system according to any one of claims 1 to 6, further comprising: 前記サービス提供装置は、
前記認可手段による前記サービスの利用の認可履歴を記憶手段に記憶する手段と、
前記認可履歴に応じて前記認可情報の不正利用を検出する不正検出手段と、
前記認可情報提供手段が提供した認可情報の有効または無効を設定する設定手段と、
をさらに含み、
前記不正検出手段が前記不正利用を検出した場合に、前記設定手段は、当該不正利用が検出された前記認可情報を無効に設定する、
ことを特徴とする請求項1から4のいずれか一項に記載の認証システム。 The service providing apparatus includes:
Means for storing an authorization history of use of the service by the authorization means in a storage means;
Fraud detection means for detecting unauthorized use of the authorization information according to the authorization history;
Setting means for setting validity or invalidity of the authorization information provided by the authorization information providing means;
Further including
When the fraud detection unit detects the unauthorized use, the setting unit sets the authorization information in which the unauthorized use is detected to be invalid.
The authentication system according to any one of claims 1 to 4, wherein: 前記認可手段は、前記利用者から受け付ける要求に、前記認可情報送信手段により送信した認可情報が含まれており、かつ、当該認可情報が無効に設定されている場合に、当該利用者に前記サービスの利用を認可しない、When the authorization information transmitted by the authorization information transmission unit is included in the request received from the user and the authorization information is set to invalid, the authorization unit provides the service to the user. Does not authorize the use of
ことを特徴とする請求項8に記載の認証システム。The authentication system according to claim 8. 前記不正検出手段は、同一の認可情報を含む要求を予め定められた数以上の異なる前記利用者から受け付けた場合に、前記不正利用を検出する、
ことを特徴とする請求項7から9のいずれか一項に記載の認証システム。 The fraud detection means detects the fraudulent use when a request including the same authorization information is received from a predetermined number of different users or more.
The authentication system according to any one of claims 7 to 9, wherein 認証装置と接続されるサービス提供装置であって、
前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を生成する生成手段と、
前記生成された認可情報を前記認証装置に提供する認可情報提供手段と、
前記サービス提供装置の利用者から前記認可情報を含まない要求を受け付けた場合に、当該利用者に前記認証装置における認証を実行するように案内する案内手段と、
前記利用者から前記認可情報を含む要求を受け付けた場合に、当該利用者に前記サービスの利用を認可する認可手段と、
を含むことを特徴とするサービス提供装置。 A service providing device connected to the authentication device,
Generating means for generating authorization information used to authorize use of the service provided by the service providing device;
Authorization information providing means for providing the generated authorization information to the authentication device;
When receiving a request not including the authorization information from a user of the service providing apparatus, guiding means for guiding the user to perform authentication in the authentication apparatus;
An authorization means for authorizing the use of the service to the user when a request including the authorization information is received from the user;
A service providing apparatus comprising: 認証装置と接続されるサービス提供装置を、
前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を生成する生成手段と、
前記生成された認可情報を前記認証装置に提供する認可情報提供手段、
前記サービス提供装置の利用者から前記認可情報を含まない要求を受け付けた場合に、当該利用者に前記認証装置における認証を実行するように案内する案内手段、
前記利用者から前記認可情報を含む要求を受け付けた場合に、当該利用者に前記サービスの利用を認可する認可手段、
として機能させるプログラム。 A service providing device connected to the authentication device,
Generating means for generating authorization information used to authorize use of the service provided by the service providing device;
Authorization information providing means for providing the generated authorization information to the authentication device;
Guidance means for guiding the user to perform authentication in the authentication device when a request not including the authorization information is received from a user of the service providing device ;
An authorization means for authorizing the user to use the service when receiving a request including the authorization information from the user;
Program to function as. サービス提供装置と接続される認証装置であって、
前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を、利用者に対応付けて記憶手段に記憶する手段と、
前記利用者から前記認可情報を含まない要求を受け付けた前記サービス提供装置により前記認証装置における認証を実行するように案内された利用者を認証する手段と、
前記認証された利用者に対応付けて前記記憶手段に記憶されている前記認可情報を、当該利用者に送信する認可情報送信手段と、
を含むことを特徴とする認証装置。 An authentication device connected to a service providing device,
Means for storing authorization information used for authorization of use of a service provided by the service providing apparatus in a storage means in association with a user;
Means for authenticating a user who has been guided to perform authentication in the authentication device by the service providing device that has received a request not including the authorization information from the user;
Authorization information transmitting means for transmitting the authorization information stored in the storage means in association with the authenticated user to the user;
An authentication device comprising: サービス提供装置と接続される認証装置を、
前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を、利用者に対応付けて記憶手段に記憶する手段、
前記利用者から前記認可情報を含まない要求を受け付けた前記サービス提供装置により前記認証装置における認証を実行するように案内された利用者を認証する手段、
前記認証された利用者に対応付けて前記記憶手段に記憶されている前記認可情報を、当該利用者に送信する認可情報送信手段、
として機能させるプログラム。 An authentication device connected to the service providing device
Means for storing authorization information used for authorization of use of a service provided by the service providing apparatus in a storage means in association with a user;
Means for authenticating a user who has been guided to perform authentication in the authentication device by the service providing device that has received a request not including the authorization information from the user;
Authorization information transmitting means for transmitting the authorization information stored in the storage means in association with the authenticated user to the user;
Program to function as. サービス提供装置と認証装置とを含む認証システムにおいて実施される認証方法であって、
前記サービス提供装置により、前記サービス提供装置により提供されるサービスの利用の認可に用いられる認可情報を生成するステップと、
前記サービス提供装置により、前記生成された認可情報を前記認証装置に提供するステップと、
前記認証装置により、前記提供された前記認可情報を、前記サービス提供装置の利用者に対応付けて記憶するステップと、
前記サービス提供装置により、前記利用者から前記認可情報を含まない要求を受け付けた場合に、当該利用者に前記認証装置における認証を実行するように案内するステップと、
前記認証装置により、前記案内された利用者を認証するステップと、
前記認証装置により、前記認証された利用者に対応付けて記憶された認可情報を、当該利用者に送信するステップと、
前記サービス提供装置により、前記利用者から受け付ける要求に、前記認証装置から提供された認可情報が含まれている場合に、当該利用者に前記サービスの利用を認可するステップと、
を含む認証方法。 An authentication method implemented in an authentication system including a service providing device and an authentication device,
Generating authorization information used to authorize use of the service provided by the service providing apparatus by the service providing apparatus;
Providing the generated authorization information to the authentication device by the service providing device;
Storing the authorization information provided by the authentication device in association with a user of the service providing device ;
When receiving a request not including the authorization information from the user by the service providing device, guiding the user to perform authentication in the authentication device;
Authenticating the guided user with the authentication device;
Sending authorization information stored in association with the authenticated user to the user by the authentication device;
When the request received from the user by the service providing apparatus includes authorization information provided from the authentication apparatus, authorizing the user to use the service;
An authentication method that includes:
JP2015052303A 2015-03-16 2015-03-16 Authentication system, service providing apparatus, authentication apparatus, authentication method, and program Active JP6468013B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015052303A JP6468013B2 (en) 2015-03-16 2015-03-16 Authentication system, service providing apparatus, authentication apparatus, authentication method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015052303A JP6468013B2 (en) 2015-03-16 2015-03-16 Authentication system, service providing apparatus, authentication apparatus, authentication method, and program

Publications (2)

Publication Number Publication Date
JP2016173646A JP2016173646A (en) 2016-09-29
JP6468013B2 true JP6468013B2 (en) 2019-02-13

Family

ID=57009688

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015052303A Active JP6468013B2 (en) 2015-03-16 2015-03-16 Authentication system, service providing apparatus, authentication apparatus, authentication method, and program

Country Status (1)

Country Link
JP (1) JP6468013B2 (en)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10572858B2 (en) 2016-10-11 2020-02-25 Ricoh Company, Ltd. Managing electronic meetings using artificial intelligence and meeting rules templates
US10510051B2 (en) 2016-10-11 2019-12-17 Ricoh Company, Ltd. Real-time (intra-meeting) processing using artificial intelligence
US11307735B2 (en) 2016-10-11 2022-04-19 Ricoh Company, Ltd. Creating agendas for electronic meetings using artificial intelligence
US10860985B2 (en) 2016-10-11 2020-12-08 Ricoh Company, Ltd. Post-meeting processing using artificial intelligence
US10250592B2 (en) 2016-12-19 2019-04-02 Ricoh Company, Ltd. Approach for accessing third-party content collaboration services on interactive whiteboard appliances using cross-license authentication
US10375130B2 (en) 2016-12-19 2019-08-06 Ricoh Company, Ltd. Approach for accessing third-party content collaboration services on interactive whiteboard appliances by an application using a wrapper application program interface
US10298635B2 (en) 2016-12-19 2019-05-21 Ricoh Company, Ltd. Approach for accessing third-party content collaboration services on interactive whiteboard appliances using a wrapper application program interface
US10956875B2 (en) 2017-10-09 2021-03-23 Ricoh Company, Ltd. Attendance tracking, presentation files, meeting services and agenda extraction for interactive whiteboard appliances
US10553208B2 (en) 2017-10-09 2020-02-04 Ricoh Company, Ltd. Speech-to-text conversion for interactive whiteboard appliances using multiple services
US11062271B2 (en) 2017-10-09 2021-07-13 Ricoh Company, Ltd. Interactive whiteboard appliances with learning capabilities
US11030585B2 (en) 2017-10-09 2021-06-08 Ricoh Company, Ltd. Person detection, person identification and meeting start for interactive whiteboard appliances
US10552546B2 (en) 2017-10-09 2020-02-04 Ricoh Company, Ltd. Speech-to-text conversion for interactive whiteboard appliances in multi-language electronic meetings
US10757148B2 (en) 2018-03-02 2020-08-25 Ricoh Company, Ltd. Conducting electronic meetings over computer networks using interactive whiteboard appliances and mobile devices

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5723300B2 (en) * 2012-01-04 2015-05-27 株式会社野村総合研究所 Server system, service providing server, and control method

Also Published As

Publication number Publication date
JP2016173646A (en) 2016-09-29

Similar Documents

Publication Publication Date Title
JP6468013B2 (en) Authentication system, service providing apparatus, authentication apparatus, authentication method, and program
US11405380B2 (en) Systems and methods for using imaging to authenticate online users
US11962593B2 (en) Identity management connecting principal identities to alias identities having authorization scopes
US10652282B2 (en) Brokered authentication with risk sharing
EP3266181B1 (en) Identification and/or authentication system and method
US9967261B2 (en) Method and system for secure authentication
Lang et al. Security keys: Practical cryptographic second factors for the modern web
US9641521B2 (en) Systems and methods for network connected authentication
US9398009B2 (en) Device driven user authentication
KR20130103537A (en) User account recovery
US9621349B2 (en) Apparatus, method and computer-readable medium for user authentication
CN105830079A (en) Authentication information management system, authentication information management device, program, recording medium, and authentication information management method
JP2012118833A (en) Access control method
JP2018022501A (en) Server system and method for controlling a plurality of service systems
US11381405B1 (en) System and method for authenticating a user at a relying party application using an authentication application and automatically redirecting to a target application
JP2012208855A (en) Identity confirmation system and identity confirmation method
WO2013118302A1 (en) Authentication management system, authentication management method, and authentication management program
JP7416860B2 (en) Method and apparatus for communicating credentials
JP5919497B2 (en) User authentication system
KR20140023085A (en) A method for user authentication, a authentication server and a user authentication system
KR102029309B1 (en) Information input apparatus having authentication request and method using the same
KR20140042222A (en) User identity authentication method using mobile terminal
CN118381626B (en) Inter-application authentication method, device and readable storage medium
KR20230110106A (en) System and method for authentication of interactive voice response service
KR20140038742A (en) Method for processing web service and payment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180919

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181009

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181203

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181231

R150 Certificate of patent or registration of utility model

Ref document number: 6468013

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350