Notice: Undefined variable: fterm_desc_sub in /mnt/www/biblio_conv.php on line 353
シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム
説明

シングルサインオンシステム、シングルサインオン方法および認証サーバ連携プログラム

【課題】利用者は利用者装置のOS認証のみで、クラウドサービスまでの複数のサービスを利用可能とすることができシングルサインオンシステムを提供する。
【解決手段】シングルサインオンシステムにおいて、利用者100が利用する利用者装置110と、利用者装置110の利用時の利用者100の認証処理を行う認証サーバ装置120と、利用者装置110および認証サーバ装置120が接続された社内ネットワーク140と、社内ネットワーク140にインターネット170を介して接続され、利用者100にアプリケーションを提供するアプリケーションサーバ装置160と、認証サーバ装置120による利用者100の認証情報を共有し、アプリケーションサーバ装置160へのシングルサインオン処理を行う認証連携基盤装置150とを備えたものである。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一度のログオンにより複数のサービスを利用可能とするシングルサインオンシステムに関し、特に、パスワードを用いた現行の認証方法から、より高度な安全性を備えた認証方法を実現し、利便性をも向上させるに好適な認証技術に関するものである。
【背景技術】
【0002】
クラウドサービス利用の普及に伴い、企業は今後、複数のクラウドサービス(SaaS:software as a service)を利用すると考える。しかし、複数サービス利用により企業及び個人のID等のアカウント管理が複雑となり、現在ではクラウドサービスと認証連携(シングルサインオン)製品が普及し始めている。
【0003】
現在の認証連携製品では、サービスポータル画面を経由してシングルサインオンにより各サービスにアクセスされるが、サービスポータル画面そのものにはログオンしなければならないという問題がある。
【0004】
また、利用者がPCに一度サインオンすることにより、複数のアプリケーションとのシングルサインオンを実現する仕組みがあった[例えば、特開2009−223452号公報(特許文献1)]。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−223452号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に記載のものは、利用者装置及び該当アプリケーション側にエージェントプログラムをインストールしなければならないという追加作業が発生してしまい、クラウドサービスとのシングルサインオンでは導入が困難(導入できない)こととなる。
【0007】
そこで、本発明の目的は、企業内の認証サーバ装置とデータセンタなどで管理している認証連携基盤装置を連携させることにより、利用者は利用者装置のOS認証のみで、クラウドサービスまでの複数のサービスを利用可能とすることができ、これにより、ユーザの利便性向上及び高セキュアな認証連携を提供することができるシングルサインオンシステムを提供することにある。
【0008】
本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
【課題を解決するための手段】
【0009】
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次の通りである。
【0010】
すなわち、代表的なものの概要は、シングルサインオンシステムにおいて、利用者が利用する利用者端末と、利用者端末の利用時の利用者の認証処理を行う認証サーバ装置と、利用者端末および認証サーバ装置が接続された内部ネットワークと、内部ネットワークにインターネットを介して接続され、利用者にアプリケーションを提供するアプリケーションサーバ装置と、認証サーバ装置による利用者の認証情報を共有し、アプリケーションサーバ装置へのシングルサインオン処理を行う認証連携基盤装置とを備えたものである。
【0011】
また、利用者が利用者端末を利用し、利用者端末が接続された内部ネットワークを介して、インターネットに接続されたアプリケーションサーバ上のアプリケーションを利用する際のシングルサインオン方法であって、インターネットに接続され、アプリケーションサーバへのシングルサインオン処理を行う認証連携基盤装置の認証情報を、内部ネットワークに接続され、利用者の認証を行う認証サーバ装置の認証情報と共有させ、認証連携基盤装置のアプリケーションサーバへのシングルサインオン処理により、利用者にアプリケーションサーバ上のアプリケーションを提供するものである。
【0012】
また、認証サーバ連携プログラムにおいて、情報処理装置を、認証サーバの認証情報に基づいて、認証の連携のための利用者の認証情報を保持し、認証連携基盤装置によるシングルサインオン処理時に利用者の認証情報が存在しない場合に、認証連携基盤装置への利用者の認証情報の提供を行う認証連携装置として機能させるものである。
【発明の効果】
【0013】
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下の通りである。
【0014】
すなわち、代表的なものによって得られる効果は、企業内の認証サーバ装置とデータセンタなどで管理している認証連携基盤装置を連携させることにより、利用者は利用者装置のOS認証のみで、クラウドサービスまでの複数のサービス利用を可能とすることができる。これにより、ユーザの利便性が向上すると共に、高セキュアな認証連携を実現することができる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施の形態に係るシングルサインオンシステムのシステム構成を示す構成図である。
【図2】本発明の一実施の形態に係るシングルサインオンシステムの認証連携装置のソフトウェア構成を示す図である。
【図3】本発明の一実施の形態に係るシングルサインオンシステムの認証連携基盤装置のソフトウェア構成を示す図である。
【図4】本発明の一実施の形態に係るシングルサインオンシステムのシングルサインオン方法による認証処理を示す処理フローである。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
【0017】
<シングルサインオンシステムの構成>
図1〜図3により、本発明の一実施の形態に係るシングルサインオンシステムのシステム構成について説明する。図1は本発明の一実施の形態に係るシングルサインオンシステムのシステム構成を示す構成図、図2は本発明の一実施の形態に係るシングルサインオンシステムの認証連携装置のソフトウェア構成を示す図、図3は本発明の一実施の形態に係るシングルサインオンシステムの認証連携基盤装置のソフトウェア構成を示す図である。
【0018】
図1において、シングルサインオンシステムは、利用者100が使用する利用者装置110、利用者100が利用者装置110にログオンするための認証を受ける認証サーバ装置120、利用者装置110を介して何らかの業務を行うためのアプリケーションサーバ(APサーバ)装置160が、内部ネットワークである社内ネットワーク140及びインターネット170で接続される従来の構成に加えて、新たに認証連携装置130、認証連携基盤装置150が社内ネットワーク140とインターネット170に接続される構成を備えている。
【0019】
図2において、情報処理装置などから構成される認証連携装置130には、メモリ220上に認証サーバ連携プログラム210がロードされ、認証サーバ連携プログラム210が認証連携装置130内の処理部(図示せず)などにより処理され、社内ネットワーク140に接続されている認証サーバ装置120とインターネット170を介して接続されている認証連携基盤装置150の認証連携などが行われている。
【0020】
図3において、情報処理装置などから構成される認証連携基盤装置150には、メモリ330上に認証サーバ連携モジュール310のプログラムと認証連携システム320のプログラムがロードされ、認証サーバ連携モジュール310のプログラムと認証連携システム320のプログラムが認証連携基盤装置150の処理部(図示せず)などにより処理され、利用者100へのアプリケーションポータルの提供、認証サーバ装置120との認証情報の共有、アプリケーションサーバ装置160へのシングルサインオンなどが行われている。
【0021】
なお、図3に示す例では、認証サーバ連携モジュール310のプログラムと認証連携システム320のプログラムがメモリ330にロードされている例を示しているが、認証連携基盤装置150の処理を行うことができるプログラムなどであれば、どのような構成であってもよい。
【0022】
<シングルサインオンシステムのシングルサインオン方法による認証処理>
次に、図4により、本発明の一実施の形態に係るシングルサインオンシステムのシングルサインオン方法による認証処理について説明する。図4は本発明の一実施の形態に係るシングルサインオンシステムのシングルサインオン方法による認証処理を示す処理フローである。
【0023】
まず、利用者100は利用者装置110を起動する(ステップ401)。当該利用者装置110はOSを起動しOSにログオンするためのログオン画面を利用者100に対して表示する(ステップ402)。ここではOS用のユーザID及びパスワードを入力させる画面が表示される。
【0024】
そして、利用者100はOS用のユーザID及びパスワードを入力する(ステップ403)。利用者装置110は入力されたOS用のユーザIDのパスワードと当該ユーザIDの照合用のパスワードを比較することによって認証を行い、一致した場合には正当な利用者であるとみなしログオンを許可する。図4に示す例では、照合用のパスワードは認証サーバ装置120に記録されているため、認証サーバ装置120に利用者100が入力したユーザID及びパスワードを送信する(ステップ404)。
【0025】
認証サーバ装置120では受信したユーザID及びパスワードと認証サーバ装置120内で記録しているOS用ユーザ情報と照合することで認証を行いその認証結果を利用者装置110に返信する(ステップ405)。
【0026】
認証結果がOKの場合には利用者装置110が利用者100にログオン後の画面を表示する(ステップ406)。ログオンが許可された場合、利用者100は当該利用者装置110内にあるプログラムを実行できるようになるのでアプリケーション利用プログラム(アプリケーションポータル)は、インターネットを経由して認証連携基盤装置150の認証サーバ連携モジュール310にアクセス要求を送信する(ステップ407)。
【0027】
認証連携基盤装置150はアクセス要求を受け、当該利用者100の認証情報と認証連携基盤装置150に格納されている認証IDとを照合させ、認証情報が不一致で認証確認NGの場合(ステップ408)には、利用者装置110に対して認証情報の要求を実施する(ステップ409)。
【0028】
そして、利用者装置110は認証情報を判定するため、認証連携装置130に認証情報の判定を依頼する(ステップ410)。認証連携装置130内のメモリ220に存在する認証サーバ連携プログラム210で保持している認証情報が存在せず、認証確認NGの場合(ステップ411)には、認証サーバ装置120に認証情報を依頼する(ステップ412)。
【0029】
認証サーバ装置120は利用者100の固有IDが暗号化されている情報を受け取り、認証の確認を実施し、認証連携装置130に認証情報を付加し認証確認結果を返信する(ステップ413)。そして、認証連携装置130は受け取った認証情報を利用者装置110に通知する(ステップ415)。
【0030】
また、認証連携装置130内のメモリ220に存在する認証サーバ連携プログラム210で保持している認証情報が存在し、認証確認OKの場合(ステップ414)には、認証情報を利用者装置110に通知する(ステップ415)。
【0031】
そして、利用者装置110は、再度、認証連携基盤装置150の認証サーバ連携モジュール310にアクセス要求と認証情報を送り(ステップ416)、当該利用者100の認証情報と認証連携基盤装置150に格納されている認証IDとを照合させ、認証情報が一致した場合に利用者100が利用できるアプリケーションポータル画面を利用者装置110を経由して表示する(ステップ417)。
【0032】
また、認証連携基盤装置150はアクセス要求を受け、当該利用者100の認証情報と認証連携基盤装置150に格納されている認証IDとを照合させ、認証情報が一致し、認証確認OKの場合(ステップ421)には、利用者100が利用できるアプリケーションポータル画面を利用者装置110を経由して表示する(ステップ417)。
【0033】
そして、利用者100はアプリケーションポータル画面から利用するアプリケーションを認証連携基盤装置150に要求する(ステップ418)。
【0034】
認証連携基盤装置150は、認証連携システム320による該当するアプリケーションとのシングルサインオン機能を有しているため、該当するアプリケーションをアプリケーションサーバ装置160に要求する(ステップ419)。
【0035】
そして、要求を受け取ったアプリケーションサーバ装置160は認証情報を確認し、アプリケーション画面を利用者装置110を経由して利用者100に表示する(ステップ420)。
【0036】
そして、利用者100は、アプリケーション画面を操作することにより、アプリケーションサーバ装置160のアプリケーションを利用する。
【0037】
以上のように、本実施の形態では、認証連携装置130により、社内ネットワーク140に接続されている認証サーバ装置120とインターネット170を介して接続されている認証連携基盤装置150の認証連携を行い、認証連携基盤装置150により、認証サーバ装置120との認証情報を共有し、アプリケーションサーバ装置160へのシングルサインオンを行うようにしたので、利用者100は、利用者装置110への一度のOS認証のみで、複数のアプリケーションサーバ装置160のアプリケーションを利用することができる。
【0038】
また、認証サーバ装置120の認証情報をインターネット170を経由して認証連携基盤装置150の認証情報と共有するためにインターネット170上で流れる認証情報を、例えば、SHA(Secret Hash Algorism)暗号化方式などで暗号化してすることにより、より高セキュアな認証連携を行うことができる。
【0039】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
【0040】
例えば、本実施の形態では、認証連携基盤装置150から利用者装置110に対して認証情報の要求を実施しているが、認証連携基盤装置150から認証連携装置130に認証情報の要求を実施するようにしてもよい。
【産業上の利用可能性】
【0041】
本発明は、一度のログオンにより複数のサービスを利用可能とするシングルサインオンシステムに関し、利用者が利用者装置からインターネットを介してアプリケーションサーバ装置上のアプリケーションを利用するシステムなどに広く適用可能である。
【符号の説明】
【0042】
100…利用者、110…利用者装置、120…認証サーバ装置、130…認証連携装置、140…社内ネットワーク、150…認証連携基盤装置、160…アプリケーションサーバ装置、170…インターネット、210…認証サーバ連携プログラム、220…メモリ、310…認証サーバ連携モジュール、320…認証連携システム、330…メモリ。

【特許請求の範囲】
【請求項1】
利用者が利用する利用者端末と、
前記利用者端末の利用時の前記利用者の認証処理を行う認証サーバ装置と、
前記利用者端末および前記認証サーバ装置が接続された内部ネットワークと、
前記内部ネットワークにインターネットを介して接続され、前記利用者にアプリケーションを提供するアプリケーションサーバ装置と、
前記認証サーバ装置による前記利用者の認証情報を共有し、前記アプリケーションサーバ装置へのシングルサインオン処理を行う認証連携基盤装置とを備えたことを特徴とするシングルサインオンシステム。
【請求項2】
請求項1に記載のシングルサインオンシステムにおいて、
前記内部ネットワークに接続され、前記認証サーバ装置による前記利用者の認証情報と前記認証連携基盤装置の認証情報を連携させる認証連携装置を備えたことを特徴とするシングルサインオンシステム。
【請求項3】
請求項2に記載のシングルサインオンシステムにおいて、
前記認証連携装置は、認証の連携のための前記利用者の認証情報を保持し、前記利用者の認証時に前記利用者の認証情報が存在しない場合、前記認証サーバ装置に問い合わせ、前記利用者の認証情報を取得することを特徴とするシングルサインオンシステム。
【請求項4】
請求項3に記載のシングルサインオンシステムにおいて、
前記認証連携基盤装置は、前記シングルサインオン処理時に前記利用者の認証情報が存在しない場合、前記認証連携装置を介して前記利用者の認証情報を取得することを特徴とするシングルサインオンシステム。
【請求項5】
請求項1に記載のシングルサインオンシステムにおいて、
前記インターネット上で流れる認証情報をSHA暗号化方式により暗号化することを特徴とするシングルサインオンシステム。
【請求項6】
請求項1に記載のシングルサインオンシステムにおいて、
前記認証連携装置および前記認証連携基盤装置で利用する前記利用者の認証情報は、前記認証サーバ装置の認証方式で使用される認証情報であることを特徴とするシングルサインオンシステム。
【請求項7】
利用者が利用者端末を利用し、前記利用者端末が接続された内部ネットワークを介して、インターネットに接続されたアプリケーションサーバ上のアプリケーションを利用する際のシングルサインオン方法であって、
前記インターネットに接続され、前記アプリケーションサーバへのシングルサインオン処理を行う認証連携基盤装置の認証情報を、前記内部ネットワークに接続され、前記利用者の認証を行う認証サーバ装置の認証情報と共有させ、前記認証連携基盤装置の前記アプリケーションサーバへのシングルサインオン処理により、前記利用者に前記アプリケーションサーバ上の前記アプリケーションを提供することを特徴とするシングルサインオン方法。
【請求項8】
請求項7に記載のシングルサインオン方法において、
前記認証連携基盤装置の認証情報は、前記アプリケーションサーバへのシングルサインオン処理時に、前記利用者の認証情報が存在しない場合に、前記認証サーバ装置の認証情報に基づいて蓄積されることを特徴とするシングルサインオン方法。
【請求項9】
利用者が利用する利用者端末と、前記利用者端末の利用時の前記利用者の認証処理を行う認証サーバ装置と、前記利用者端末および前記認証サーバ装置が接続された内部ネットワークと、前記内部ネットワークにインターネットを介して接続され、前記利用者にアプリケーションを提供するアプリケーションサーバ装置と、前記アプリケーションサーバ装置へのシングルサインオン処理を行う認証連携基盤装置とを備えたシングルサインオンシステムの認証連携処理を行うために情報処理装置を、
前記認証サーバの認証情報に基づいて、認証の連携のための前記利用者の認証情報を保持し、前記認証連携基盤装置による前記シングルサインオン処理時に前記利用者の認証情報が存在しない場合に、前記認証連携基盤装置への前記利用者の認証情報の提供を行う認証連携装置として機能させることを特徴とする認証サーバ連携プログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate


【公開番号】特開2013−8140(P2013−8140A)
【公開日】平成25年1月10日(2013.1.10)
【国際特許分類】
【出願番号】特願2011−139533(P2011−139533)
【出願日】平成23年6月23日(2011.6.23)
【出願人】(000233491)株式会社日立システムズ (394)
【Fターム(参考)】