WO2016166856A1

WO2016166856A1 - シングルサインオンシステムおよびシングルサインオン方法

Info

Publication number: WO2016166856A1
Application number: PCT/JP2015/061628
Authority: WO
Inventors: 峰幸田村
Original assignee: 株式会社日立システムズ
Priority date: 2015-04-15
Filing date: 2015-04-15
Publication date: 2016-10-20
Also published as: JPWO2016166856A1; US20180091355A1; US10476733B2; JP6449993B2

Abstract

連携先のＷｅｂサイトで対象のユーザのユーザＩＤが保持されていない場合でも、連携元のＷｅｂサイトのユーザＩＤを用いてアクセスを可能とする。代表的な実施の形態によれば、連携元アプリケーションは、ユーザＩＤを含む情報に基づいて連携先ＷｅｂサーバのログインＡＰＩを呼び出し、ログインＡＰＩは、ユーザＩＤを含む情報をリダイレクト情報として記録し、リダイレクトトークンを生成して、誘導アプリケーションのＵＲＬに付加して応答する。連携元アプリケーションは、応答されたＵＲＬに基づいて、アクセスを誘導アプリケーションにリダイレクトさせ、誘導アプリケーションは、ＵＲＬに含まれるリダイレクトトークンにより識別されるリダイレクト情報が記録されている場合に、含まれるユーザＩＤに基づいてログインクッキーを生成し、アクセスを連携先アプリケーションに対してリダイレクトさせる。

Description

シングルサインオンシステムおよびシングルサインオン方法

　本発明は、複数のＷｅｂサイトの連携においてシングルサインオンを実現するシングルサインオンシステムおよびシングルサインオン方法に適用して有効な技術に関するものである。

　昨今では複数のＷｅｂサイトやシステム、サービスの間で連携してサービスを提供したり、シームレスなアクセスを実現したりすることが行われる。その際に各Ｗｅｂサイト等において１つのユーザＩＤを用いて認証を行えるようにするいわゆるシングルサインオン（“シングルサインイン”、“シングルログオン”、“シングルログイン”などと呼称される場合があるが、以下ではこれらを総称して「ＳＳＯ」（Single Sign-On）と記載する場合がある）の仕組みがとられる場合がある。

　ＳＳＯに係る技術としては種々のものが提案されているが、例えば、特開２０１３－１５２７５７号公報（特許文献１）には、システム間ユーザＩＤマッピングを使用して複数のシステムのユーザＩＤを関連付けることでシステム間のＳＳＯを実現する技術が記載されている。ここでは、第１のシステムは、第１のシステムに関するユーザのＩＤ情報を取得し、システム間ユーザＩＤマッピングテーブルに従い、当該ユーザのＩＤ情報から第２のシステムに関するＩＤ情報を取得して第２のシステムに送信する。第２のシステムは、ユーザ認証に成功すると自動的にログオンを許可する。

特開２０１３－１５２７５７号公報

　特許文献１なども含む従来技術では、連携するＷｅｂサイトのそれぞれで保持、管理されているユーザＩＤをマッピングして関連付けることで、一方のＷｅｂサイトのユーザＩＤから連携先の他方のＷｅｂサイトのユーザＩＤを抽出し、これを用いて自動的にログインするという仕組みがとられている。

　しかしながら、このような仕組みでは、例えば、あるＷｅｂサイトに対して連携を希望するＷｅｂサイトが生じる毎に、当該Ｗｅｂサイトとの間でユーザＩＤのマッピングを行うことが必要となり、非常に煩雑である。マッピングを行った後も、ユーザＩＤに追加・変更がある毎にマッピング情報のメンテナンスを行う必要があり、保守性も低下してしまう。また、そもそも連携先のＷｅｂサイトにユーザＩＤを有していない場合にはログインすることもできず、柔軟性にも欠ける面がある。

　そこで本発明の目的は、連携先のＷｅｂサイトで対象のユーザのユーザＩＤが保持、管理されていない場合でも、連携元のＷｅｂサイトのユーザＩＤを用いて連携先のＷｅｂサイトに対するアクセスを可能とするシングルサインオンシステムおよびシングルサインオン方法を提供することにある。

　本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。

　本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。

　本発明の代表的な実施の形態によるシングルサインオンシステムは、第１のアプリケーションを有する第１のＷｅｂサーバと、第２のアプリケーションを有する第２のＷｅｂサーバとを有し、前記第１のアプリケーションに対して情報処理端末のＷｅｂブラウザを利用してログインしているユーザからの前記第２のアプリケーションに対するアクセス要求に対して、前記第１のアプリケーションでログインしているユーザＩＤによって前記第２のアプリケーションにログインさせるシングルサインオンシステムであって、以下の特徴を有するものである。

　すなわち、前記第２のＷｅｂサーバは、さらに、前記第２のアプリケーションに対するシングルサインオンによるログインを行うためのログインインタフェースと、前記Ｗｅｂブラウザから、前記第１のアプリケーションからのリダイレクトによるアクセスを受け付ける第３のアプリケーションと、を有する。

　また、前記第１のアプリケーションは、前記ユーザからの前記第２のアプリケーションに対する前記アクセス要求を受けた場合に、前記ユーザＩＤを含む前記ユーザの情報に基づいて前記第２のＷｅｂサーバの前記ログインインタフェースを呼び出し、前記ログインインタフェースは、前記第１のアプリケーションからの呼び出しを受けた場合に、前記ユーザＩＤを含む前記ユーザに係る情報をリダイレクト情報として記録し、前記リダイレクト情報を識別するためのリダイレクトトークンを生成して、前記第３のアプリケーションにアクセスするためのＵＲＬに付加して応答する。

　また、前記第１のアプリケーションは、前記ログインインタフェースの呼び出しに対して応答された前記ＵＲＬに基づいて、前記Ｗｅｂブラウザからのアクセスを前記第３のアプリケーションに対してリダイレクトさせ、前記第３のアプリケーションは、前記Ｗｅｂブラウザからのリダイレクトに係るアクセスに対して、前記ＵＲＬに含まれる前記リダイレクトトークンにより識別される前記リダイレクト情報が前記第２のＷｅｂサーバに記録されている場合に、前記リダイレクト情報に含まれる前記ユーザＩＤに基づいて前記第２のアプリケーションに係るログインクッキーを生成し、前記Ｗｅｂブラウザからのアクセスを前記第２のアプリケーションに対してリダイレクトさせる。

　本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。

　すなわち、本発明の代表的な実施の形態によれば、連携先のＷｅｂサイトで対象のユーザのユーザＩＤが保持、管理されていない場合でも、連携元のＷｅｂサイトのユーザＩＤを用いて、セキュリティを確保しつつ連携先のＷｅｂサイトに対してアクセスすることが可能となる。

本発明の一実施の形態であるシングルサインオンシステムの構成例について概要を示した図である。本発明の一実施の形態におけるＳＳＯの処理の流れの例について概要を示した図である。

　以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。

　＜システム構成＞
　図１は、本発明の一実施の形態であるシングルサインオンシステムの構成例について概要を示した図である。シングルサインオンシステム１は、例えば、連携元Ｗｅｂサーバ１０と連携先Ｗｅｂサーバ２０がインターネット等のネットワーク３０に対して接続され、これらのサーバに対してユーザが使用する情報処理端末であるユーザ端末４０がネットワーク３０を介して接続される構成を有している。ユーザは、ユーザ端末４０上の図示しないＷｅｂブラウザを利用して連携元Ｗｅｂサーバ１０および連携先Ｗｅｂサーバ２０が提供するＷｅｂサイトにアクセスする。

　連携元Ｗｅｂサーバ１０および連携先Ｗｅｂサーバ２０は、それぞれ、サーバ機器やクラウドコンピューティングサービス上に構築された仮想サーバにより実装され、図示しないＯＳ（Operating System）やＤＢＭＳ（DataBase Management System）、Ｗｅｂサーバプログラムなどのミドルウェア、およびこれらのミドルウェア上で稼働するソフトウェアやアプリケーションによってＷｅｂサイトを構成している。

　連携元Ｗｅｂサーバ１０上は、ユーザが元々利用しているＷｅｂサイト（連携元Ｗｅｂサイト）を構成するサーバシステムであり、連携元Ｗｅｂサイトが提供するサービスを実装するＷｅｂアプリケーションである連携元アプリケーション１１が稼働している。また、ユーザが連携元Ｗｅｂサイトにアクセスしてサービスを利用するためのユーザ認証処理を行う認証処理部１２およびユーザ管理データベース（ＤＢ）１３を有している。認証処理部１２およびユーザ管理ＤＢ１３による認証機能は、その一部もしくは全部を連携元Ｗｅｂサーバ１０とは別の図示しない認証サーバなどによって実装していてもよい。認証処理部１２によるユーザ認証処理の手法は特に限定されず、ユーザＩＤ／パスワードによるものなど、公知の技術を適宜利用することができる。

　連携先Ｗｅｂサーバ２０は、連携元Ｗｅｂサイトを利用しているユーザが、そこから移動したり連携したりして利用するＷｅｂサイト（連携先Ｗｅｂサイト）を構成するサーバシステムであり、連携先Ｗｅｂサイトが提供するサービスを実装するＷｅｂアプリケーションである連携先アプリケーション２１が稼働している。連携元Ｗｅｂサーバ１０と同様に、ユーザが連携先Ｗｅｂサイトにアクセスしてサービスを利用するためのユーザ認証処理を行う認証機能（図示しない）を有していてもよい。

　連携元Ｗｅｂサイトと連携先Ｗｅｂサイトは、それぞれ、例えば、ＳａａＳ（Software as a Service）として複数のユーザに対してサービスを提供する共有Ｗｅｂサイトであるのが典型的であるが、これに限られない。

　本実施の形態では、連携元Ｗｅｂサイトにユーザ認証を経てアクセスしているユーザが、連携先ＷｅｂサイトにアクセスするためのＳＳＯの機能として、従来技術のように、連携元ＷｅｂサイトにおけるユーザＩＤと連携先ＷｅｂサイトにおけるユーザＩＤとのマッピングを要さずに、連携元ＷｅｂサイトのユーザＩＤを用いて連携先Ｗｅｂサイトに自動的にログインすることを可能とする。このようなＳＳＯを実現するため、本実施の形態の連携先Ｗｅｂサーバ２０は、誘導アプリケーション２２、ログインインタフェース２３、およびアプリケーション認証情報ＤＢ２４とリダイレクト情報ＤＢ２５のデータベースを有している。

　誘導アプリケーション２２は、後述するように、ユーザが連携元Ｗｅｂサイトから連携先Ｗｅｂサイトにアクセスしようとした際に、最初に自動的に誘導されるナビゲートページを表示し、ナビゲートページへのアクセスに対して連携先Ｗｅｂサイトの利用可否（すなわち連携先Ｗｅｂサイトへのログイン）を判定する機能を有するＷｅｂアプリケーションである。

　ログインインタフェース２３は、連携元Ｗｅｂサイトから連携先Ｗｅｂサイトに対してＳＳＯによりログインする際のリクエストを受け付けるためのインタフェースの機能を有する。例えば、ログインＡＰＩ（Application Programming Interface）の形で実装され、連携元アプリケーション１１は、当該ＡＰＩを呼び出すことでＳＳＯによるログインを行うことができる。ログインインタフェース２３は、ログインＡＰＩを呼び出した連携元アプリケーション１１についてアプリケーションレベルでの認証を行い、認証がＯＫの場合に、後述するように、対象ユーザについてのリダイレクト情報を作成して応答する。これにより、ユーザ端末４０からの連携元Ｗｅｂサイトへのアクセスを連携先Ｗｅｂサイトのナビゲートページにリダイレクトさせる。

　アプリケーション認証情報ＤＢ２４は、ログインインタフェース２３が連携元アプリケーション１１についてアプリケーション認証を行う際の認証情報を保持するデータベースである。当該認証情報は、例えば、連携先Ｗｅｂサイトの運用管理者等が、アクセスを許可する各連携元Ｗｅｂサイトからの申請等に基づいて予めアプリケーション認証情報ＤＢ２４に登録しておく。アプリケーション認証情報ＤＢ２４で保持する認証情報の内容は、アプリケーション認証の手法に応じて変わり得る。

　アプリケーション認証の手法は特に限定されず、システム環境等に応じて適宜設計することができる。例えば、連携元アプリケーション１１毎にＩＤとパスワードを発行し、これらを認証情報としてアプリケーション認証情報ＤＢ２４に保持しておくことで、ＩＤとパスワードによるアプリケーション認証を行ってもよい。ログインＡＰＩを呼び出した連携元アプリケーション１１が稼働する連携元Ｗｅｂサーバ１０のＩＰアドレスの許容範囲の値を認証情報としてアプリケーション認証情報ＤＢ２４に保持しておき、連携元Ｗｅｂサーバ１０のロケーションや所在ネットワークによりアプリケーション認証を行ってもよい。

　リダイレクト情報ＤＢ２５は、連携元アプリケーション１１によりログインＡＰＩが呼び出された際のパラメータや受け渡されたデータ等に基づいて、ログインインタフェース２３が、連携元Ｗｅｂサイトの利用ユーザに対して個別に作成したリダイレクト情報を保持しておくデータベースである。このリダイレクト情報により、ユーザ端末４０からの連携元Ｗｅｂサイトへのアクセスは連携先Ｗｅｂサイトのナビゲートページにリダイレクトされるとともに、誘導アプリケーション２２により、当該アクセスの内容とリダイレクト情報ＤＢ２５の内容とが照合されてＳＳＯの判定が行われる。

　＜ＳＳＯの処理の流れ＞
　図２は、本実施の形態のＳＳＯの処理の流れの例について概要を示した図である。ここでは、ユーザ端末４０上の図示しないＷｅｂブラウザによって連携元Ｗｅｂサーバ１０の連携元アプリケーション１１（連携元Ｗｅｂサイト）にログインしてアクセスしている状態から、連携先Ｗｅｂサーバ２０の連携先アプリケーション２１（連携先Ｗｅｂサイト）へのアクセス要求がされ、ＳＳＯにより連携先アプリケーション２１（連携先Ｗｅｂサイト）にログインする場合の処理の流れを示している。なお、連携先Ｗｅｂサーバ２０のアプリケーション認証情報ＤＢ２４には、連携元アプリケーション１１についての認証情報は予め登録されているものとする。

　まず、ユーザは、ユーザ端末４０からアクセスしている連携元アプリケーション１１に対して、連携先Ｗｅｂアプリケーション２１へのアクセスを指示する（図中の「１」の矢印）。具体的には、ユーザは例えば、連携元アプリケーション１１によってユーザ端末４０上のＷｅｂブラウザに表示されている画面上で、連携先Ｗｅｂサイトへのハイパーリンクをクリック等により指示する。指示を受けた連携元アプリケーション１１は、ＳＳＯにより連携先Ｗｅｂサイトにログインするため、連携先Ｗｅｂサーバ２０のログインインタフェース２３（ログインＡＰＩ）を呼び出し、リダイレクト情報を要求する（図中の「２」の矢印）。

　ログインインタフェース２３は、ログインＡＰＩが呼び出された際のパラメータ等の情報と、アプリケーション認証情報ＤＢ２４に登録された認証情報とに基づいて、連携元アプリケーション１１のアプリケーション認証を行う（図中の「３－１」の矢印）。アプリケーション認証は、上述したように、例えば、連携元アプリケーション１１毎に割り当てられたＩＤとパスワード等により行うことができる。連携元アプリケーション１１の認証は、各ユーザについてのＳＳＯに係るログイン要求の都度行ってもよいし、最初に一度だけ行ったり、所定の時間が経過する毎に定期的に行ったりしてもよい。アプリケーション認証が失敗した場合はエラーを応答する。

　一方、アプリケーション認証が成功した場合は、対象のユーザを識別するユーザＩＤやユーザ名、ロールなどの所定の情報をリダイレクト情報としてリダイレクト情報ＤＢ２５に格納する（図中の「３－２」の矢印）。このとき、対象のリダイレクト情報をリダイレクト情報ＤＢ２５上で識別するためのキー情報としてリダイレクトトークンを生成して設定する。リダイレクトトークンは、例えば、リダイレクト情報のデータを識別するために生成されたＵＵＩＤ（Universally Unique Identifier）もしくはＧＵＩＤ（Globally Unique Identifier）などの識別子（３２文字）と、当該データからＳＨＡ（Secure Hash Algorithm）などのハッシュ関数により算出されたハッシュ値（例えば１２８文字）とにより構成される文字列からなる。

　なお、リダイレクト情報ＤＢ２５に格納されたリダイレクト情報には所定の時間（例えば２分間などの短時間）の有効期間を設ける。例えば、リダイレクト情報ＤＢ２５にデータを格納する際にその時点のタイムスタンプを併せて記録しておき、有効期間を経過したデータについては読み込みの際に無効と取り扱う、もしくは定期的にチェックして削除するなどの処理を行う。リダイレクト情報を短時間のみ有効とすることで、後述するように不正なＳＳＯによるログインを防止してセキュリティを確保することができる。

　リダイレクト情報ＤＢ２５にリダイレクト情報を格納した後、ログインインタフェース２３は、リダイレクト先のＵＲＬ（Uniform Resource Locator）の情報を連携元アプリケーション１１に対して応答する（図中の「３－３」の矢印）。このＵＲＬは、誘導アプリケーション２２が提供するナビゲートページを表示するためのＵＲＬであり、さらに、リダイレクトトークンの文字列が引数として含まれる。

　連携元アプリケーション１１は、取得したＵＲＬ（およびリダイレクトトークン）を指定して、ユーザ端末４０のＷｅｂブラウザに対して、誘導アプリケーション２２が提供するナビゲートページへリダイレクトさせる（図中の「４－１」および「４－２」の矢印）。

　リダイレクトによるユーザ端末４０からのアクセスを受けた誘導アプリケーション２２では、引数として取得したリダイレクトトークンをキーとしてリダイレクト情報ＤＢ２５を検索し、該当するリダイレクト情報が格納されているか否かを判定する（図中の「５－１」の矢印）。リダイレクト情報が取得できなかった場合は、不正なログインの可能性があると判断してユーザ端末４０に対してエラーを応答する。上述したように、リダイレクト情報は短時間のみ有効であるが、上述した正常な流れによるアクセスの場合には十分有効期間内にナビゲートページにアクセスすることができる。しかしながら、例えば、生成されたリダイレクト情報等を第三者が窃取して、これに基づいて不正なアクセスを行うというようなことは、上記のような短時間では困難である。

　一方、リダイレクト情報が取得できた場合は、その内容、すなわちユーザＩＤやユーザ名、ロール等の情報に基づいて、連携先Ｗｅｂサイトに係るログインクッキーを生成し、当該クッキーを指定して、ユーザ端末４０のＷｅｂブラウザに対して、連携先アプリケーション２１が提供する連携先Ｗｅｂサイトへリダイレクトさせる（図中の「５－２」および「５－３」の矢印）。これにより、ユーザ端末４０のＷｅｂブラウザには連携先Ｗｅｂサイトが表示される（図中の「６」の矢印）。

　なお、ログインクッキーは、不正アクセス等に対するセキュリティを確保するため、例えば、前回のアクセスから所定の時間（例えば、１５分）以上経過している場合は、連携先アプリケーション２１がこれを無効とする。これにより、例えば、ユーザ端末４０上で無操作の状態が１５分以上続いた場合は、次回操作時に再度ログインから実行させることができる。また、アクセスや操作の有無に関わらず、ログインクッキーは生成から所定の時間（例えば、１２時間）以上経過している場合は無効とする。これにより、例えば、ログインから１２時間以上経過した場合は、次回操作時に再度ログインから実行させることができる。

　以上に説明したように、本発明の一実施の形態であるシングルサインオンシステム１によれば、連携先Ｗｅｂサイトで対象のユーザのユーザＩＤが保持、管理されていない場合でも、連携先Ｗｅｂサイトと連携元Ｗｅｂサイトとの間でのアプリケーション認証がされている場合に、連携元ＷｅｂサイトでログインしているユーザＩＤを用いて、連携先Ｗｅｂサイトに対するアクセスを可能とする。すなわち、連携元Ｗｅｂサイトと連携先Ｗｅｂサイトとの間でユーザＩＤのマッピングや関連付けを行うことを要さずにＳＳＯを実現することができる。

　以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は上記の実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。例えば、上記の実施の形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、上記の実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。

　本発明は、複数のＷｅｂサイトの連携においてシングルサインオンを実現するシングルサインオンシステムおよびシングルサインオン方法に利用可能である。

１…シングルサインオンシステム、
１０…連携元Ｗｅｂサーバ、１１…連携元アプリケーション、１２…認証処理部、１３…ユーザ管理ＤＢ１３、
２０…連携先Ｗｅｂサーバ、２１…連携先アプリケーション、２２…誘導アプリケーション、２３…ログインインタフェース、２４…アプリケーション認証情報ＤＢ、２５…リダイレクト情報ＤＢ２５、
３０…ネットワーク、
４０…ユーザ端末

Claims

　第１のアプリケーションを有する第１のＷｅｂサーバと、第２のアプリケーションを有する第２のＷｅｂサーバとを有し、前記第１のアプリケーションに対して情報処理端末のＷｅｂブラウザを利用してログインしているユーザからの前記第２のアプリケーションに対するアクセス要求に対して、前記第１のアプリケーションでログインしているユーザＩＤによって前記第２のアプリケーションにログインさせるシングルサインオンシステムであって、
　前記第２のＷｅｂサーバは、さらに、
　前記第２のアプリケーションに対するシングルサインオンによるログインを行うためのログインインタフェースと、
　前記Ｗｅｂブラウザから、前記第１のアプリケーションからのリダイレクトによるアクセスを受け付ける第３のアプリケーションと、を有し、
　前記第１のアプリケーションは、前記ユーザからの前記第２のアプリケーションに対する前記アクセス要求を受けた場合に、前記ユーザＩＤを含む前記ユーザの情報に基づいて前記第２のＷｅｂサーバの前記ログインインタフェースを呼び出し、
　前記ログインインタフェースは、前記第１のアプリケーションからの呼び出しを受けた場合に、前記ユーザＩＤを含む前記ユーザに係る情報をリダイレクト情報として記録し、前記リダイレクト情報を識別するためのリダイレクトトークンを生成して、前記第３のアプリケーションにアクセスするためのＵＲＬに付加して応答し、
　前記第１のアプリケーションは、前記ログインインタフェースの呼び出しに対して応答された前記ＵＲＬに基づいて、前記Ｗｅｂブラウザからのアクセスを前記第３のアプリケーションに対してリダイレクトさせ、
　前記第３のアプリケーションは、前記Ｗｅｂブラウザからのリダイレクトに係るアクセスに対して、前記ＵＲＬに含まれる前記リダイレクトトークンにより識別される前記リダイレクト情報が前記第２のＷｅｂサーバに記録されている場合に、前記リダイレクト情報に含まれる前記ユーザＩＤに基づいて前記第２のアプリケーションに係るログインクッキーを生成し、前記Ｗｅｂブラウザからのアクセスを前記第２のアプリケーションに対してリダイレクトさせる、シングルサインオンシステム。
　請求項１に記載のシングルサインオンシステムにおいて、
　前記第２のＷｅｂサーバにおいて前記ログインインタフェースにより記録された前記リダイレクト情報は、所定の期間のみ有効である、シングルサインオンシステム。
　請求項１に記載のシングルサインオンシステムにおいて、
　前記ログインインタフェースにより生成される前記リダイレクトトークンは、前記リダイレクト情報に対して割り当てられた識別情報と、前記リダイレクト情報に基づいて算出されたハッシュ値と、からなる、シングルサインオンシステム。
　請求項１に記載のシングルサインオンシステムにおいて、
　前記第２のアプリケーションは、前記ユーザからの前記第２のアプリケーションに対するアクセスが所定の期間以上ない場合に前記ログインクッキーを無効とする、シングルサインオンシステム。
　請求項１に記載のシングルサインオンシステムにおいて、
　前記第２のアプリケーションは、前記第３のアプリケーションにより前記ログインクッキーが生成されてから所定の期間が経過した場合に前記ログインクッキーを無効とする、シングルサインオンシステム。
　第１のアプリケーションを有する第１のＷｅｂサーバと、第２のアプリケーションを有する第２のＷｅｂサーバとを有する情報処理システムにおいて、前記第１のアプリケーションに対して情報処理端末のＷｅｂブラウザを利用してログインしているユーザからの前記第２のアプリケーションに対するアクセス要求に対して、前記第１のアプリケーションでログインしているユーザＩＤによって前記第２のアプリケーションにログインさせるシングルサインオン方法であって、
　前記第２のＷｅｂサーバは、さらに、
　前記第２のアプリケーションに対するシングルサインオンによるログインを行うためのログインインタフェースと、
　前記Ｗｅｂブラウザから、前記第１のアプリケーションからのリダイレクトによるアクセスを受け付ける第３のアプリケーションと、を有し、
　前記第１のアプリケーションが、前記ユーザからの前記第２のアプリケーションに対する前記アクセス要求を受けた場合に、前記ユーザＩＤを含む前記ユーザの情報に基づいて前記第２のＷｅｂサーバの前記ログインインタフェースを呼び出すステップと、
　前記ログインインタフェースが、前記第１のアプリケーションからの呼び出しを受けた場合に、前記ユーザＩＤを含む前記ユーザに係る情報をリダイレクト情報として記録し、前記リダイレクト情報を識別するためのリダイレクトトークンを生成して、前記第３のアプリケーションにアクセスするためのＵＲＬに付加して応答するステップと、
　前記第１のアプリケーションが、前記ログインインタフェースの呼び出しに対して応答された前記ＵＲＬに基づいて、前記Ｗｅｂブラウザからのアクセスを前記第３のアプリケーションに対してリダイレクトさせるステップと、
　前記第３のアプリケーションが、前記Ｗｅｂブラウザからのリダイレクトに係るアクセスに対して、前記ＵＲＬに含まれる前記リダイレクトトークンにより識別される前記リダイレクト情報が前記第２のＷｅｂサーバに記録されている場合に、前記リダイレクト情報に含まれる前記ユーザＩＤに基づいて前記第２のアプリケーションに係るログインクッキーを生成し、前記Ｗｅｂブラウザからのアクセスを前記第２のアプリケーションに対してリダイレクトさせるステップと、を有する、シングルサインオン方法。