シングルサインオンシステムと方法、認証サーバ、ユーザ端末、サービスサーバ、プログラム
【課題】 データベースでユーザのデータ管理を行うとともに、名寄せを防ぐことのできるシングルサインオンシステムを実現する。
【解決手段】 ユーザ端末と、サービスサーバと、ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、認証サーバは、認証が成功した場合にはユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成してユーザ端末に対して送信する。ユーザ端末は、サービスサーバに対するサービス利用要求に新規IDを付与する。サービスサーバは、ユーザ端末からサービス利用要求を受けた場合には、新規IDを付与してユーザ情報を求める。認証サーバは、サービスサーバからユーザ情報を求められると新規IDを復号し、求められたユーザ情報をサービスサーバへ返送する。
【解決手段】 ユーザ端末と、サービスサーバと、ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、認証サーバは、認証が成功した場合にはユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成してユーザ端末に対して送信する。ユーザ端末は、サービスサーバに対するサービス利用要求に新規IDを付与する。サービスサーバは、ユーザ端末からサービス利用要求を受けた場合には、新規IDを付与してユーザ情報を求める。認証サーバは、サービスサーバからユーザ情報を求められると新規IDを復号し、求められたユーザ情報をサービスサーバへ返送する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サーバに認証を受けることにより、利用することが可能となる複数の機能について、一度の認証を受けるだけで、各機能の利用が可能となるSSO(シングルサインオン:Single Sign On)システムに関する。
【背景技術】
【0002】
ユーザの所持するパーソナルコンピュータ等のユーザ端末機器が、ユーザの希望するシステムにログインする場合には、認証サーバでのログインが必要となる。所定のシステムにログインしたユーザ端末機器が、他のシステムにログインしようとする場合には、もう一度、他の認証サーバでのログインが必要となる。
【0003】
上記のように、ユーザが複数のシステムにログインする場合は、システム毎にログインの手続が必要となりユーザの利便性が損なわれるので、連携型認証方式が提案されている。この連携型認証方式は、認証サーバ(以下、IdPという)で一度認証が行われると、他の連携しているシステムにログインすることができるSSOシステムを実現することができる。すなわち、このSSOシステムでは、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用することができる。
【0004】
SSOシステムの一例が、特許文献1(特開2007−293760号公報)および特許文献2(特開2006−331044号公報)に開示されている。
【0005】
特許文献1に開示されるシステムは、ネットワークを介して接続される、ユーザクライアント端末、SSO認証サーバ、複数のサービスサイトからなるシステムで、各サービスサイトが、個別ログインIDに対してSSO利用ユーザの可否を判定する情報を持ち、個別ログイン画面から個別ログインIDとパスワードでログインしたクライアント端末がSSO利用ユーザかを判定し、SSO利用ユーザであれば当該クライアント端末をSSO認証サーバにリダイレクトさせ、個別ログインID情報と、サービスサイトのログイン成功情報をSSO認証サーバに渡し、SSO認証サーバは、受け取った個別ログインID情報を元に、それに紐付くSSOログインID情報を取得し、当該クライアント端末のSSO認証を行うものである。
【0006】
特許文献1では、上記の構成を備えることにより、各サービスサイトでSSOを利用するユーザと利用しないユーザが混在する環境で、SSO利用ユーザはサービスサイトへログインするアクセス先と個別ログインIDを変更することなく、SSO認証サーバの認証を受けることができ、SSO利用ユーザの利便性が向上するとしている。
【0007】
特許文献2に開示されるシステムは、ナレッジとして格納したシングルサインオンを実現するシングルサインオンモジュール、業務システムのログイン通信を解析し適用可能なシングルサインオンモジュールを選択、実行するシングルサインオンサーバを備え、HTTP、HTMLなどの下位レイヤの知識を必要せずにシングルサインオンを実現するものである。
【0008】
特許文献2では、上記の構成を備えることにより、システムエンジニアにHTTP、HTMLなどの下位レイアの知識を要求することなくシングルサインオンを実現できるので、短期間、低コストでのシングルサインオンが実現できるとしている。
【0009】
上記のように、SSOシステムにおいては、ユーザ端末と、IdPと、サービスプロバイダがサービスを提供するために使用するサービスサーバ(以下、SPと称する)から構成され、IdPで一度認証が行われると、他の連携しているシステムにログインすることができ、ユーザが一度認証を受けるだけで、許可されているすべてのSPが提供するサービス機能を利用することができる。
【0010】
しかし、ネットワーク間におけるID連携においては、仮にSPが協力して、それぞれのSP毎に提供されるIDに紐づく属性情報(ユーザの情報)を集めることにより個人の特定が出来てしまう、いわゆる、「名寄せ」、が可能となるリスクを抱えている。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2007−293760号公報
【特許文献2】特開2006−331044号公報
【発明の概要】
【発明が解決しようとする課題】
【0012】
上記の連携型認証方式は、IdPで一度認証が行われると、他の連携しているシステムにログインすることができるSSOを実現して、そのSSOを利用してサービスプロバイダにより提供される所定のサービスを利用することが可能となるため、ユーザの利便性を高めることができる特長を有している。しかし、ネットワーク間におけるID連携においては、サービスサイト毎にユーザ情報を集めることによって名寄せが可能となってしまう可能性がある。
【0013】
本発明は、データベースでユーザのデータ管理を行うとともに、名寄せを防ぐことのできるSSOシステムを実現することを目的とする。
【課題を解決するための手段】
【0014】
本発明によるシングルサインオンシステムは、ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とする。
【0015】
本発明によるシングルサインオン方法は、ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムで行われるシングルサインオン方法であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納し、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送し、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とする。
【0016】
本発明の手法では、各サービスサイトにおける固有の識別子を利用し、暗号化と復号化を用いて新たなIDを払い出すことにより、サイト毎に払い出したIDにより、ユーザ情報のDBによる管理を可能としながら、セキュアなログインを実現している。
【発明の効果】
【0017】
第1の効果は、ユーザを特定することが出来ないことにある。
【0018】
その理由は、SP毎に払いだされたIDを利用するためである。
【0019】
第2の効果は、名寄せを防ぐことができることにある。
【0020】
その理由は、IDより利用者を特定することが出来ないためである。)
第3の効果は、膨大なIDを生成しながらもユーザをDBで管理することが可能な点にある。
【0021】
その理由は、復号化によりユーザIDの復元が可能な点にある。
【図面の簡単な説明】
【0022】
【図1】本発明によるSSOシステムの一実施形態の構成を示すブロック図である。
【図2】図1中のIdP3の構成を詳細に示すブロック図である。
【図3】図1中のユーザ端末1がSP2にログインするときのユーザ端末1、SP2、IdP3それぞれの動作を示すシーケンス図である。
【図4】図1中の、SP2毎の識別子4とユーザID6から新規ID7を生成する方法と新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示す図であり、(a)はSP2毎の識別子4とユーザID6から新規ID7を生成する方法を示し、(b)は新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示している。
【発明を実施するための形態】
【0023】
次に、本発明の実施形態について図面を参照して説明する。
【0024】
図1は、本発明によるSSOシステムの一実施形態の構成を示すブロック図である。
【0025】
本実施形態は、ユーザ端末1、SP2、IdP3から構成されている。ユーザ端末1、SP2、IdP3は、制御装置、記憶装置、表示装置、入力装置、および通信装置を備える一般的なコンピュータから構成されるものであり、特定の利用者(ユーザ)が利用可能な、インターネットのような、周知の通信ネットワークを介して接続される。図ではIdP3について特徴的となる構成要素を示しているが、これらは制御装置により記憶装置上に仮想的に構築されるものであり、本発明にはコンピュータにこれらを構築するためのプログラムも含まれる。
【0026】
ユーザ端末1、SP2、IdP3のいずれも複数設けられるもので、SSOを行うSPとして紐付けられている各SP2は、ユーザ端末1に対してそれぞれ固有のサービスを行うものであり、認証を行う連携先となるIdP3の情報が予め登録されている。IdP3は、認証を行うためのユーザID6を格納するデータベース3aと、SP2毎の新規IDの払い出しを実現する暗号・復号化クラス3bを備えており、データベース3aにはSSO認証を行う紐付けられたSPが予め登録されている。
【0027】
IdP3は、ユーザ端末1がSP2にログインする際の認証を行うものであり、ユーザ端末1がSSOを行うSPとして紐付けられている各SP2に最初にログインする際に必要となるユーザID6およびパスワード、ユーザ端末1がSSOシステムを構成する各SP2によるサービスを受けるときに必要となる新規ID7を発行する。
【0028】
ユーザ端末1を利用するユーザは、IdP3に対して予めユーザ登録を行い、これに応じて、IdP3はユーザ端末1に対してユーザID6およびパスワードを発行し、IdP3のデータベース3aにはパスワードとともに、SP2がサービスに利用するためのユーザデータ、たとえば、氏名、年齢、職業、などがユーザID6に対応して格納される。
【0029】
図2はIdP3の構成を詳細に示すブロック図、図3はユーザ端末1がSP2にログインするときのユーザ端末1、SP2、IdP3それぞれの動作を示すシーケンス図である。以下に、図1ないし図3を参照して本実施形態の動作について詳細に説明する。
【0030】
SP2によるサービスを受けるために、図3に示すように、ユーザ端末1よりSP2に対してログイン要求が実施される(ステップS1)。ログイン要求には、Idp3が発行したユーザID6とパスワードを含むものであり、ユーザID6にはどのIdPに対して連携用のIDを要求すればよいかを示すIdPを特定する情報、本実施形態においては、IdP3を特定する情報が付与されている。
【0031】
ログイン要求を受け付けたSP2は、ログイン要求(ユーザID6)に含まれるIdPを特定する情報を利用して、連携するIdP3に対してユーザ端末1の認証要求を行う(ステップS2)。この認証要求には、ユーザ端末1のアドレスとユーザID6が含まれている。
【0032】
連携用のIDの要求を受け付けたIdP3は、ユーザ端末IDにより、ユーザ端末1に対して、パスワードの入力を要求する(ステップS3)。
【0033】
次に、パスワード入力要求を受け付けたユーザ端末1からIdP3に対して、パスワードが送られる(ステップS4)。
【0034】
IdP3は、ユーザ端末1から送られてきたパスワードをデータベース3aに格納されているパスワードと比較する認証処理を実施し、これらが一致した場合には、SP2のアドレスからSSOを行うSPとして紐付けられている各SPやSSOの有効期限を示す認証セッション情報を生成し、ユーザ端末1のユーザ情報としてデータベース3aに格納するとともに、SSOを行うために必要となる新規ID7の生成を開始する。
【0035】
新規ID7の生成では、SP2固有の識別子4の要求をSP2に対して行い(ステップS5)、該要求を受け付けたSP2が固有の識別子4をIdP3へ送信することによりSP2固有の識別子4の取得が行われる(ステップS6)。なお、ウェブサイトの情報など、すでに保持している情報を固有の識別子4として利用する場合には、IdP3からSP2に対して固有の識別子4の要求を行う必要はない。
【0036】
次に、SP2の固有の識別子4と予め保持するハッシュ関数8を用いてハッシュ値5を取得する。取得したハッシュ値5とデータベース3aに登録されているユーザID6とを連結し、予め保持する暗号鍵9(図2参照)を用いて暗号化することにより、連携を実現するための新規ID7を生成し、ユーザ端末1への払い出しを行う(ステップS7)。ユーザ端末1は払い出された新規ID7を用いてSP2へサービスを要求することが可能となる。
【0037】
SP2に対してユーザ端末1がSP2におけるサービスの利用要求を実施すると(ステップS8)、SP2はIdP3に対してサービスの提供に必要となるユーザの情報の開示を、新規ID7を付与して要求する(ステップS9)。
【0038】
IdP3は必要な情報のみをSP2に対して提示を行う(ステップS10)。
【0039】
SP2は提示された情報を利用して、ユーザ端末1に対してサービスの提供を行う(ステップS11)。
【0040】
図4は本実施形態におけるSP2毎の識別子4とユーザID6から新規ID7を生成する方法と新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示す図であり、(a)はSP2毎の識別子4とユーザID6から新規ID7を生成する方法を示し、(b)は新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示している。以下に、新規ID7の生成方法とユーザI6Dの復元方法について図4を参照して説明する。
【0041】
図4(a)に示すように、IdP3は、ユーザID6とSP2の識別子4のハッシュ値とを連結して文字列を作り、その文字列に対して暗号鍵9を利用して暗号化を行うことによって、SP2毎に異なる新規ID7を生成する(図3におけるステップS7)。
【0042】
SP2はIdP3に対してサービスの提供に必要なユーザの情報開示を要求する際、該要求とともに新規ID7を添付する(図3におけるステップS9)。IdP3は新規ID7に対して、暗号鍵9を利用して復号化を行い、ユーザID6とハッシュ値5を復号し、さらに、ハッシュ値5とハッシュ関数8からSP2の識別子4を復号する。
【0043】
IdP3は、データベース3aから復号されたユーザID6に対応するユーザデータのうち、まず、認証セッション情報を確認して、SP2がユーザID6のSSO対象であり、また、SSOの有効期限内であるかを確認し、これらに該当するものである場合に、サービスの提供に必要であるとして要求されたユーザの情報を引き出す。
【0044】
この後、ユーザ端末1がSPを遷移する場合にも図3におけるステップS8と同様に、新規ID7を用いてサービスの利用要求を実施し、以後、ステップS9〜S11の動作が行われる。
【0045】
上記のように本実施形態においては、SP2毎に新規ID7を作成するが、新規IDはSP毎の識別子およびユーザID6を含む暗号化されたものであるため、IdP3は新規ID7を復号することにより、SP2およびユーザを特定することが出来る。膨大な数のSP毎の新規ID7を生成しても、逆引きが可能であることから、IdP3は生成したSP2毎の新規ID7をデータベースに、登録・保持することなくユーザを管理することが可能となる。
【0046】
本発明によれば、ユーザの特定が出来ないIDによるSPにおける商品の購入、サービスの利用後の、ISPによる一括決済といった用途に適用できる。また、匿名性を保持したままの、医療機関や法律事務所に対する相談といった用途にも適用可能である。
【符号の説明】
【0047】
1 ユーザ端末
2 SP(サービスサーバ)
3 IdP(認証サーバ)
3a データベース(DB)
3b 暗号・復号化クラス
4 識別子
5 ハッシュ値
6 ユーザID
7 新規ID
8 ハッシュ関数
9 暗号鍵
S1〜S11 ステップ
【技術分野】
【0001】
本発明は、サーバに認証を受けることにより、利用することが可能となる複数の機能について、一度の認証を受けるだけで、各機能の利用が可能となるSSO(シングルサインオン:Single Sign On)システムに関する。
【背景技術】
【0002】
ユーザの所持するパーソナルコンピュータ等のユーザ端末機器が、ユーザの希望するシステムにログインする場合には、認証サーバでのログインが必要となる。所定のシステムにログインしたユーザ端末機器が、他のシステムにログインしようとする場合には、もう一度、他の認証サーバでのログインが必要となる。
【0003】
上記のように、ユーザが複数のシステムにログインする場合は、システム毎にログインの手続が必要となりユーザの利便性が損なわれるので、連携型認証方式が提案されている。この連携型認証方式は、認証サーバ(以下、IdPという)で一度認証が行われると、他の連携しているシステムにログインすることができるSSOシステムを実現することができる。すなわち、このSSOシステムでは、ユーザが一度認証を受けるだけで、許可されているすべての機能を利用することができる。
【0004】
SSOシステムの一例が、特許文献1(特開2007−293760号公報)および特許文献2(特開2006−331044号公報)に開示されている。
【0005】
特許文献1に開示されるシステムは、ネットワークを介して接続される、ユーザクライアント端末、SSO認証サーバ、複数のサービスサイトからなるシステムで、各サービスサイトが、個別ログインIDに対してSSO利用ユーザの可否を判定する情報を持ち、個別ログイン画面から個別ログインIDとパスワードでログインしたクライアント端末がSSO利用ユーザかを判定し、SSO利用ユーザであれば当該クライアント端末をSSO認証サーバにリダイレクトさせ、個別ログインID情報と、サービスサイトのログイン成功情報をSSO認証サーバに渡し、SSO認証サーバは、受け取った個別ログインID情報を元に、それに紐付くSSOログインID情報を取得し、当該クライアント端末のSSO認証を行うものである。
【0006】
特許文献1では、上記の構成を備えることにより、各サービスサイトでSSOを利用するユーザと利用しないユーザが混在する環境で、SSO利用ユーザはサービスサイトへログインするアクセス先と個別ログインIDを変更することなく、SSO認証サーバの認証を受けることができ、SSO利用ユーザの利便性が向上するとしている。
【0007】
特許文献2に開示されるシステムは、ナレッジとして格納したシングルサインオンを実現するシングルサインオンモジュール、業務システムのログイン通信を解析し適用可能なシングルサインオンモジュールを選択、実行するシングルサインオンサーバを備え、HTTP、HTMLなどの下位レイヤの知識を必要せずにシングルサインオンを実現するものである。
【0008】
特許文献2では、上記の構成を備えることにより、システムエンジニアにHTTP、HTMLなどの下位レイアの知識を要求することなくシングルサインオンを実現できるので、短期間、低コストでのシングルサインオンが実現できるとしている。
【0009】
上記のように、SSOシステムにおいては、ユーザ端末と、IdPと、サービスプロバイダがサービスを提供するために使用するサービスサーバ(以下、SPと称する)から構成され、IdPで一度認証が行われると、他の連携しているシステムにログインすることができ、ユーザが一度認証を受けるだけで、許可されているすべてのSPが提供するサービス機能を利用することができる。
【0010】
しかし、ネットワーク間におけるID連携においては、仮にSPが協力して、それぞれのSP毎に提供されるIDに紐づく属性情報(ユーザの情報)を集めることにより個人の特定が出来てしまう、いわゆる、「名寄せ」、が可能となるリスクを抱えている。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2007−293760号公報
【特許文献2】特開2006−331044号公報
【発明の概要】
【発明が解決しようとする課題】
【0012】
上記の連携型認証方式は、IdPで一度認証が行われると、他の連携しているシステムにログインすることができるSSOを実現して、そのSSOを利用してサービスプロバイダにより提供される所定のサービスを利用することが可能となるため、ユーザの利便性を高めることができる特長を有している。しかし、ネットワーク間におけるID連携においては、サービスサイト毎にユーザ情報を集めることによって名寄せが可能となってしまう可能性がある。
【0013】
本発明は、データベースでユーザのデータ管理を行うとともに、名寄せを防ぐことのできるSSOシステムを実現することを目的とする。
【課題を解決するための手段】
【0014】
本発明によるシングルサインオンシステムは、ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とする。
【0015】
本発明によるシングルサインオン方法は、ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムで行われるシングルサインオン方法であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納し、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送し、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とする。
【0016】
本発明の手法では、各サービスサイトにおける固有の識別子を利用し、暗号化と復号化を用いて新たなIDを払い出すことにより、サイト毎に払い出したIDにより、ユーザ情報のDBによる管理を可能としながら、セキュアなログインを実現している。
【発明の効果】
【0017】
第1の効果は、ユーザを特定することが出来ないことにある。
【0018】
その理由は、SP毎に払いだされたIDを利用するためである。
【0019】
第2の効果は、名寄せを防ぐことができることにある。
【0020】
その理由は、IDより利用者を特定することが出来ないためである。)
第3の効果は、膨大なIDを生成しながらもユーザをDBで管理することが可能な点にある。
【0021】
その理由は、復号化によりユーザIDの復元が可能な点にある。
【図面の簡単な説明】
【0022】
【図1】本発明によるSSOシステムの一実施形態の構成を示すブロック図である。
【図2】図1中のIdP3の構成を詳細に示すブロック図である。
【図3】図1中のユーザ端末1がSP2にログインするときのユーザ端末1、SP2、IdP3それぞれの動作を示すシーケンス図である。
【図4】図1中の、SP2毎の識別子4とユーザID6から新規ID7を生成する方法と新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示す図であり、(a)はSP2毎の識別子4とユーザID6から新規ID7を生成する方法を示し、(b)は新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示している。
【発明を実施するための形態】
【0023】
次に、本発明の実施形態について図面を参照して説明する。
【0024】
図1は、本発明によるSSOシステムの一実施形態の構成を示すブロック図である。
【0025】
本実施形態は、ユーザ端末1、SP2、IdP3から構成されている。ユーザ端末1、SP2、IdP3は、制御装置、記憶装置、表示装置、入力装置、および通信装置を備える一般的なコンピュータから構成されるものであり、特定の利用者(ユーザ)が利用可能な、インターネットのような、周知の通信ネットワークを介して接続される。図ではIdP3について特徴的となる構成要素を示しているが、これらは制御装置により記憶装置上に仮想的に構築されるものであり、本発明にはコンピュータにこれらを構築するためのプログラムも含まれる。
【0026】
ユーザ端末1、SP2、IdP3のいずれも複数設けられるもので、SSOを行うSPとして紐付けられている各SP2は、ユーザ端末1に対してそれぞれ固有のサービスを行うものであり、認証を行う連携先となるIdP3の情報が予め登録されている。IdP3は、認証を行うためのユーザID6を格納するデータベース3aと、SP2毎の新規IDの払い出しを実現する暗号・復号化クラス3bを備えており、データベース3aにはSSO認証を行う紐付けられたSPが予め登録されている。
【0027】
IdP3は、ユーザ端末1がSP2にログインする際の認証を行うものであり、ユーザ端末1がSSOを行うSPとして紐付けられている各SP2に最初にログインする際に必要となるユーザID6およびパスワード、ユーザ端末1がSSOシステムを構成する各SP2によるサービスを受けるときに必要となる新規ID7を発行する。
【0028】
ユーザ端末1を利用するユーザは、IdP3に対して予めユーザ登録を行い、これに応じて、IdP3はユーザ端末1に対してユーザID6およびパスワードを発行し、IdP3のデータベース3aにはパスワードとともに、SP2がサービスに利用するためのユーザデータ、たとえば、氏名、年齢、職業、などがユーザID6に対応して格納される。
【0029】
図2はIdP3の構成を詳細に示すブロック図、図3はユーザ端末1がSP2にログインするときのユーザ端末1、SP2、IdP3それぞれの動作を示すシーケンス図である。以下に、図1ないし図3を参照して本実施形態の動作について詳細に説明する。
【0030】
SP2によるサービスを受けるために、図3に示すように、ユーザ端末1よりSP2に対してログイン要求が実施される(ステップS1)。ログイン要求には、Idp3が発行したユーザID6とパスワードを含むものであり、ユーザID6にはどのIdPに対して連携用のIDを要求すればよいかを示すIdPを特定する情報、本実施形態においては、IdP3を特定する情報が付与されている。
【0031】
ログイン要求を受け付けたSP2は、ログイン要求(ユーザID6)に含まれるIdPを特定する情報を利用して、連携するIdP3に対してユーザ端末1の認証要求を行う(ステップS2)。この認証要求には、ユーザ端末1のアドレスとユーザID6が含まれている。
【0032】
連携用のIDの要求を受け付けたIdP3は、ユーザ端末IDにより、ユーザ端末1に対して、パスワードの入力を要求する(ステップS3)。
【0033】
次に、パスワード入力要求を受け付けたユーザ端末1からIdP3に対して、パスワードが送られる(ステップS4)。
【0034】
IdP3は、ユーザ端末1から送られてきたパスワードをデータベース3aに格納されているパスワードと比較する認証処理を実施し、これらが一致した場合には、SP2のアドレスからSSOを行うSPとして紐付けられている各SPやSSOの有効期限を示す認証セッション情報を生成し、ユーザ端末1のユーザ情報としてデータベース3aに格納するとともに、SSOを行うために必要となる新規ID7の生成を開始する。
【0035】
新規ID7の生成では、SP2固有の識別子4の要求をSP2に対して行い(ステップS5)、該要求を受け付けたSP2が固有の識別子4をIdP3へ送信することによりSP2固有の識別子4の取得が行われる(ステップS6)。なお、ウェブサイトの情報など、すでに保持している情報を固有の識別子4として利用する場合には、IdP3からSP2に対して固有の識別子4の要求を行う必要はない。
【0036】
次に、SP2の固有の識別子4と予め保持するハッシュ関数8を用いてハッシュ値5を取得する。取得したハッシュ値5とデータベース3aに登録されているユーザID6とを連結し、予め保持する暗号鍵9(図2参照)を用いて暗号化することにより、連携を実現するための新規ID7を生成し、ユーザ端末1への払い出しを行う(ステップS7)。ユーザ端末1は払い出された新規ID7を用いてSP2へサービスを要求することが可能となる。
【0037】
SP2に対してユーザ端末1がSP2におけるサービスの利用要求を実施すると(ステップS8)、SP2はIdP3に対してサービスの提供に必要となるユーザの情報の開示を、新規ID7を付与して要求する(ステップS9)。
【0038】
IdP3は必要な情報のみをSP2に対して提示を行う(ステップS10)。
【0039】
SP2は提示された情報を利用して、ユーザ端末1に対してサービスの提供を行う(ステップS11)。
【0040】
図4は本実施形態におけるSP2毎の識別子4とユーザID6から新規ID7を生成する方法と新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示す図であり、(a)はSP2毎の識別子4とユーザID6から新規ID7を生成する方法を示し、(b)は新規ID7からSP2毎の識別子4とユーザID6を復元する方法を示している。以下に、新規ID7の生成方法とユーザI6Dの復元方法について図4を参照して説明する。
【0041】
図4(a)に示すように、IdP3は、ユーザID6とSP2の識別子4のハッシュ値とを連結して文字列を作り、その文字列に対して暗号鍵9を利用して暗号化を行うことによって、SP2毎に異なる新規ID7を生成する(図3におけるステップS7)。
【0042】
SP2はIdP3に対してサービスの提供に必要なユーザの情報開示を要求する際、該要求とともに新規ID7を添付する(図3におけるステップS9)。IdP3は新規ID7に対して、暗号鍵9を利用して復号化を行い、ユーザID6とハッシュ値5を復号し、さらに、ハッシュ値5とハッシュ関数8からSP2の識別子4を復号する。
【0043】
IdP3は、データベース3aから復号されたユーザID6に対応するユーザデータのうち、まず、認証セッション情報を確認して、SP2がユーザID6のSSO対象であり、また、SSOの有効期限内であるかを確認し、これらに該当するものである場合に、サービスの提供に必要であるとして要求されたユーザの情報を引き出す。
【0044】
この後、ユーザ端末1がSPを遷移する場合にも図3におけるステップS8と同様に、新規ID7を用いてサービスの利用要求を実施し、以後、ステップS9〜S11の動作が行われる。
【0045】
上記のように本実施形態においては、SP2毎に新規ID7を作成するが、新規IDはSP毎の識別子およびユーザID6を含む暗号化されたものであるため、IdP3は新規ID7を復号することにより、SP2およびユーザを特定することが出来る。膨大な数のSP毎の新規ID7を生成しても、逆引きが可能であることから、IdP3は生成したSP2毎の新規ID7をデータベースに、登録・保持することなくユーザを管理することが可能となる。
【0046】
本発明によれば、ユーザの特定が出来ないIDによるSPにおける商品の購入、サービスの利用後の、ISPによる一括決済といった用途に適用できる。また、匿名性を保持したままの、医療機関や法律事務所に対する相談といった用途にも適用可能である。
【符号の説明】
【0047】
1 ユーザ端末
2 SP(サービスサーバ)
3 IdP(認証サーバ)
3a データベース(DB)
3b 暗号・復号化クラス
4 識別子
5 ハッシュ値
6 ユーザID
7 新規ID
8 ハッシュ関数
9 暗号鍵
S1〜S11 ステップ
【特許請求の範囲】
【請求項1】
ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするシングルサインオンシステム。
【請求項2】
ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバとともにシングルサインオンシステムを構成し、前記複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバであって、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信するものであり、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備えることを特徴とする認証サーバ。
【請求項3】
ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバとともにシングルサインオンシステムを構成するユーザ端末であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信するものであり、
システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行うことを特徴とするユーザ端末。
【請求項4】
ユーザ端末と、認証サーバと、ともにシングルサインオンシステムを構成し、前記ユーザ端末に対してサービスを提供する複数が予め紐付けられたサービスサーバであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行うものであり、
前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスとユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、前記新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするサービスサーバ。
【請求項5】
ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムで行われるシングルサインオン方法であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納し、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送し、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするシングルサインオン方法。
【請求項6】
請求項2記載の認証サーバをコンピュータ上に実現するプログラム。
【請求項7】
請求項3記載のユーザ端末をコンピュータ上に実現するプログラム。
【請求項8】
請求項4記載のサービスサーバをコンピュータ上に実現するプログラム。
【請求項1】
ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするシングルサインオンシステム。
【請求項2】
ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバとともにシングルサインオンシステムを構成し、前記複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバであって、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信するものであり、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備えることを特徴とする認証サーバ。
【請求項3】
ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバとともにシングルサインオンシステムを構成するユーザ端末であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信するものであり、
システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行うことを特徴とするユーザ端末。
【請求項4】
ユーザ端末と、認証サーバと、ともにシングルサインオンシステムを構成し、前記ユーザ端末に対してサービスを提供する複数が予め紐付けられたサービスサーバであって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納するデータベースと、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送する暗号・復号化クラスと、を備え、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行うものであり、
前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスとユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、前記新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするサービスサーバ。
【請求項5】
ユーザ端末と、該ユーザ端末に対してサービスを提供する予め紐付けられた複数のサービスサーバと、該複数のサービスサーバが前記ユーザ端末に対してサービスを提供する際に必要となるユーザ情報を管理するとともに前記ユーザ端末が各サービスサーバにログインする際の認証を行う認証サーバと、を有するシングルサインオンシステムで行われるシングルサインオン方法であって、
前記認証サーバは、
前記予め紐付けられたサービスサーバの情報、および、前記複数のサービスサーバのそれぞれが各サービスを提供するために必要となるユーザの情報をユーザIDに対応して格納し、
前記サービスサーバから、前記ユーザIDおよび前記ユーザ端末のアドレスを含む認証要求を受け取ると、前記ユーザ端末のアドレスに対して認証を行うための入力を要求し、その後返送された内容と前記データベースの格納内容により認証を行い、認証が成功した場合には前記ユーザIDおよび認証要求を行ったサービスサーバ固有の識別子を連結し、暗号化した新規IDを生成して前記ユーザ端末に対して送信し、その後、サービスサーバから新規IDとともにユーザ情報を求める要求を受け付けると、前記新規IDを復号し、ユーザの情報を求める要求を行ったサービスサーバが予め紐付けられたサービスサーバである場合には求められたユーザ情報を返送し、
前記ユーザ端末は、システムにログインする場合には、前記サービスサーバにアドレスおよびユーザIDを含むログイン要求を送信し、その後、前記認証端末から前記新規IDを受け取ると、新規IDを付与して前記サービスサーバに対してサービスを利用する要求を行い、
前記サービスサーバは、前記ユーザ端末からログイン要求を受け付けた場合には、前記ユーザ端末のアドレスと前記ユーザIDを付与して前記認証サーバに認証要求を送信し、前記ユーザ端末からサービスを利用する要求を受け付けた場合には、新規IDを付与してユーザ情報を求める要求を前記認証サーバに送信することを特徴とするシングルサインオン方法。
【請求項6】
請求項2記載の認証サーバをコンピュータ上に実現するプログラム。
【請求項7】
請求項3記載のユーザ端末をコンピュータ上に実現するプログラム。
【請求項8】
請求項4記載のサービスサーバをコンピュータ上に実現するプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−145754(P2011−145754A)
【公開日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願番号】特願2010−3963(P2010−3963)
【出願日】平成22年1月12日(2010.1.12)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年7月28日(2011.7.28)
【国際特許分類】
【出願日】平成22年1月12日(2010.1.12)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]