説明

シングルサインオンシステム及びシングルサインオン方法

【課題】認証情報を動的に更新するシングルサインオンシステムの提供
【解決手段】複数のウェブサーバ他に対するユーザID及びパスワードを含む認証情報並びに前記パスワードの有効期限情報を格納するシングルサインオンデータベース300と、シングルサイン機能を制御するシングルサインオンサーバ200とを備え、前記シングルサインオンサーバ200が、利用者端末100から任意のウェブサーバ他にアクセスするための認証情報を受け付けたとき、この受け付けた認証情報のパスワードが有効期限を越えているか否かを前記有効期限情報を参照して判定し、この有効期限を越えていると判定したとき、新たなパスワードを生成し、前記シングルサインオンデータベースの認証情報のパスワードを前記新たなパスワードに更新するシングルサインオンシステム。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自動的に認証情報を変更することができるシングルサインオンシステム及びシングルサインオン方法に関する。
【背景技術】
【0002】
一般にシングルサインオン(Single Sign−On)とは、一度の認証処理によって複数のコンピュータ上のリソースが利用可能になる認証機能を意味し、例えば、あるコンピュータにログインした後、グループウェア等の他のアプリケーションを使用する際に再度のログイン、他のサーバ上のウェブアプリケーションを使用する際も再度のログインするといったコンピュータ環境下において、一度の認証処理によって多数のコンピュータやウェブアプリケーションへの認証を簡略化するための機能である。
【0003】
従来、シングルサインオンを行うコンピュータシステムとして、シングルサインオンサーバにマスターとなるユーザID(identity)とパスワードとクライアント証明書等によってログインし、そのシングルサインオンサーバに格納した情報を用いて個々のシステム、例えばウェブアプリケーションに自動的にログインする技術が実施されており、この従来技術においては、前記シングルサインオンサーバに個々のウェブアプリケーションにログインするためのユーザIDやパスワード等の固有の認証情報を保持している必要がある。
【0004】
このシングルサインオンに関する技術が記載された文献としては、例えば、下記の特許文献1が挙げられ、この特許文献1には、マスターとなるユーザIDやパスワードの漏洩を防止するため、最初のアクセス時と異なるコンピュータからアクセスされた否かを判定する検知規則やパスワードの入力ミス回数を判定する検知規則他の複数の検知規則を制御する不正アクセス検知部を設け、この不正アクセス検知部が、複数の検知規則を基に不正アクセスを検知する技術が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009−003559号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
前述の特許文献1に記載された技術は、不正アクセスによるマスターとなるユーザIDやパスワードの漏洩を防止することができるものの、個々のシステムでのパスワード有効期限が過ぎた場合には、静的に個々のシステムへの認証情報、例えばパスワードを保持しているため、シングルサインオンサーバの利用者が個々のシステムに対するパスワードを設定し直さなければならず、シングルサインオンサーバから接続するシステムが多数になると、これらパスワードの変更作業が煩雑となり、シングルサインオンのメリットが低下するという課題があった。
【0007】
本発明の目的は、前述の従来技術による課題を除去することであり、シングルサインサーバによる個々のシステムへのシングルサインオンにおける認証情報を動的に生成し自動で個々のサーバへの認証情報を変更することができるシングルサインオンシステム及びシングルサインオン方法を提供することである。
【課題を解決するための手段】
【0008】
前記目的を達成するために請求項1記載の本発明は、コンピュータである利用者端末にインターネットを介して接続され、一度の認証処理によって多数のウェブサーバ及びウェブアプリケーションへの認証を簡略化するシングルサイン機能を制御するシングルサインオンサーバと、前記シングルサインオンサーバに接続され、複数のウェブサーバ及びウェブアプリケーションに対するユーザID及びパスワードを含む認証情報並びに前記パスワードの有効期限情報を格納するシングルサインオンデータベースと、前記シングルサインオンサーバに接続され、管理者が操作する管理者端末とを備えるシングルサインオンシステムであって、
前記シングルサインオンサーバが、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、前記受け付けた認証情報のパスワードが有効期限を越えているか否かを前記シングルサインオンデータベースに格納した有効期限情報を参照して判定する第1工程と、前記第1工程によって受け付けた認証情報のパスワードが有効期限を越えていると判定したとき、新たなパスワードを生成する第2工程と、前記シングルサインオンデータベースの認証情報のパスワードを前記新たなパスワードに更新する第3工程とを実行することを特徴とする。
【0009】
請求項2記載の発明は、前記シングルサインオンシステムにおいて、前記シングルサインオンサーバが、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、任意のウェブサーバへのログインが初回のログインか否かを判定し、初回ログインと判定したとき、前記第2工程による新たなパスワードを生成する第4工程を実行することを特徴とする。
【0010】
請求項3記載の発明は、コンピュータである利用者端末にインターネットを介して接続され、一度の認証処理によって多数のウェブサーバ及びウェブアプリケーションへの認証を簡略化するシングルサイン機能を制御するシングルサインオンサーバと、前記シングルサインオンサーバに接続され、複数のウェブサーバ及びウェブアプリケーションに対するユーザID及びパスワードを含む認証情報並びに前記パスワードの有効期限情報を格納するシングルサインオンデータベースと、前記シングルサインオンサーバに接続され、管理者が操作する管理者端末とを備えるコンピュータシステムのシングルサインオン方法であって、
前記シングルサインオンサーバに、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、前記受け付けた認証情報のパスワードが有効期限を越えているか否かを前記シングルサインオンデータベースに格納した有効期限情報を参照して判定する第1機能と、前記第1機能によって受け付けた認証情報のパスワードが有効期限を越えていると判定したとき、新たなパスワードを生成する第2機能と、前記シングルサインオンデータベースの認証情報のパスワードを前記新たなパスワードに更新する第3機能とを実行させることを特徴とする。
【0011】
請求項4記載の発明は、前記シングルサインオン方法において、前記シングルサインオンサーバに、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、任意のウェブサーバへのログインが初回のログインか否かを判定し、初回ログインと判定したとき、前記第2工程による新たなパスワードを生成する第4工程を実行させることを特徴とする。
【発明の効果】
【0012】
本発明によるシングルサインオンシステム及びシングルサインオン方法は、前記シングルサインオンサーバが、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、前記受け付けた認証情報のパスワードが有効期限を越えているか否かを前記シングルサインオンデータベースに格納した有効期限情報を参照して判定する第1工程と、前記第1工程によって受け付けた認証情報のパスワードが有効期限を越えていると判定したとき、新たなパスワードを生成する第2工程と、前記第2工程によって生成した新たなパスワードを前記シングルサインオンサーバの認証情報のパスワードに更新する第3工程とを実行することによって、シングルサインオンにおける認証情報を動的に生成し自動で個々のサーバへの認証情報を変更することができる。
ことができる。
【図面の簡単な説明】
【0013】
【図1】本発明の実施形態によるシングルサインオンを行うコンピュータシステムを示す図
【図2】本発明の実施形態によるシングルサインオン方法の動作フローを示す図
【発明を実施するための形態】
【0014】
以下、本発明によるシングルサインオンシステム及びシングルサインオン方法の一実施形態を図面を参照して詳細に説明する。
本実施形態によるシングルサインオンを行うコンピュータシステムは、図1に示す如く、コンピュータである利用者端末100にインターネット600を介して接続され、一度の認証処理によって多数のコンピュータやウェブアプリケーションへの認証を簡略化するためのシングルサイン機能を制御するシングルサインオンサーバ200と、このシングルサインオンサーバ200に接続され、複数のウェブ(Web)サーバ410〜430に対するユーザIDとパスワードとクライアント証明書他の認証情報を格納するシングルサインオン(SSO)データベース300と、前記シングルサインオンサーバ200に接続され、管理者が操作する管理者端末500とを備える。
【0015】
前記シングルサインオンデータベース300は、シングルサインオン(SSO)のユーザID毎に予め登録されたアプリケーション(AP)名と、前回のパスワード(PW)の更新日時と、ログインPW変更手順識別子と、他アプリケーション(AP)のURL(Uniform Resource Locator)と、この他アプリケーション(AP)のユーザIDと、他アプリケーション(AP)のパスワードと、このパスワードの有効期限の各項目情報を格納するものであって、例えば、シングルサインオン(SSO)のユーザID「A00001」のユーザが、アプリケーション(AP)名が「AP01」から「AP04」を登録しており、アプリケーション(AP)名「AP01」の前回のパスワード(PW)の更新日時が「2010/01/25 09:12:15」、ログインPW変更手順識別子が「M」、他アプリケーション(AP)のURLが「Aaa・・」、この他アプリケーション(AP)のユーザIDが「AP01AAAAA」、他アプリケーション(AP)のパスワードが「123345」、このパスワードの有効期限が「1W」(1週間)の各項目情報を複数レコードとして格納している。
【0016】
このように構成されたシングルサインオンシステムは、図2に示す如く、まず、事前にSSO(シングルサインオン)データベース300にウェブサーバ410他へアクセスするためのユーザIDと初期パスワードとウェブサーバ410他のURL並びにウェブサーバ410他のログイン手順およびパスワード変更手順を識別する情報を格納するステップ701と、利用者が利用者端末100を用いてシングルサインオンサーバ200にマスターとなるSSOユーザIDを用いてパスワード及びクライアント証明書等によって認証しログインを行うステップ702と、この認証を行ったシングルサインオンサーバ200が利用者端末100にAP選択画面(ウェブサーバのアプリケーションを選択するための画面210)を表示するステップ703と、利用者が利用者端末100の表示部に表示された画面よりアクセスするウェブサーバ410他のウェブ(Web)アプリケーションを選択するステップ704と、シングルサインオンサーバ200がシングルサインオンデータベース300を参照し、ユーザIDおよびAP(ウェブアプリケーション)名をキーに検索(事例では、SSOユーザID:A00001、AP名:AP02として説明する)し、他システムの認証で使用するユーザID、パスワード、URL、ログイン/パスワード変更手順識別子、パスワード有効期限を取得するステップ705とを実行する。
【0017】
次いで、本シングルサインオンシステムは、シングルサインオンサーバ200が、該当するシステム(ウェブアプリケーション)へのログインが初回のログインか否かを判定するステップ706と、このステップ706によって初回ログインでないと判定したとき、パスワード(PW)の有効期限が超過しているか否かを該当レコードの前回パスワード変更時刻がブランクであるか否かによって判定し、期限を超過していないと判定したとき、後述するステップ710に移行するステップ711と、前記ステップ706により初回ログインと判定したとき、または、前記ステップ711によって期限を超過していると判定したとき、シングルサインオンデータベース300の該当レコードから抽出済の認証情報等を用いて該当システムにログインし、前記ステップ707によって生成したパスワードを用いて該当システムの更新パスワードを生成するステップ707と、該当のシステムに対してパスワードの更新処理を実施するステップ708と、前記生成した更新パスワードをシングルサインオンデータベース300の該当レコードに格納するステップ709と、シングルサインオンデータベース300の該当レコードにから取得した該当システムのユーザID及びパスワードを用いて該当システムへリダイレクトすることで、利用者端末から該当システムへのログイン(シングルサインオン)をおこなうステップ710とを実行する。
【0018】
なお、前述の実施形態においてはシングルサインオンデータベース300に格納している他システムのパスワードについては、利用者が意識する必要はないが、利用者がシングルサインオンサーバを介さず直接他システムへのアクセスを必要とする場合には、シングルサインオンサーバの認証を得ることによって、その利用者に関係する他システムへアクセスするためのパスワードを入手(画面上に表示)する手段を提供してもよく、管理者端末500からの接続に限り他システムへアクセスするためのパスワードを入手(画面上に表示)可能としてもよい。
【0019】
以上説明したように本実施形態によれば、シンブルサインオンサーバによるシングルサインオンを行う際に対象となるシステム(ウェブアプリケーション)群のパスワード有効期限切れ時に煩雑な操作を利用者に強いることなくセキュリティレベルを維持することができる。
【符号の説明】
【0020】
100 利用者端末、200 シングルサインオンサーバ、
300 シングルサインオンデータベース、410 ウェブサーバ、
500 管理者端末、600 インターネット


【特許請求の範囲】
【請求項1】
コンピュータである利用者端末にインターネットを介して接続され、一度の認証処理によって多数のウェブサーバ及びウェブアプリケーションへの認証を簡略化するシングルサイン機能を制御するシングルサインオンサーバと、前記シングルサインオンサーバに接続され、複数のウェブサーバ及びウェブアプリケーションに対するユーザID及びパスワードを含む認証情報並びに前記パスワードの有効期限情報を格納するシングルサインオンデータベースと、前記シングルサインオンサーバに接続され、管理者が操作する管理者端末とを備えるシングルサインオンシステムであって、前記シングルサインオンサーバが、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、前記受け付けた認証情報のパスワードが有効期限を越えているか否かを前記シングルサインオンデータベースに格納した有効期限情報を参照して判定する第1工程と、前記第1工程によって受け付けた認証情報のパスワードが有効期限を越えていると判定したとき、新たなパスワードを生成する第2工程と、前記シングルサインオンデータベースの認証情報のパスワードを前記新たなパスワードに更新する第3工程とを実行するシングルサインオンシステム。
【請求項2】
前記シングルサインオンサーバが、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、任意のウェブサーバへのログインが初回のログインか否かを判定し、初回ログインと判定したとき、前記第2工程による新たなパスワードを生成する第4工程を実行する請求項1記載のシングルサインオンシステム。
【請求項3】
コンピュータである利用者端末にインターネットを介して接続され、一度の認証処理によって多数のウェブサーバ及びウェブアプリケーションへの認証を簡略化するシングルサイン機能を制御するシングルサインオンサーバと、前記シングルサインオンサーバに接続され、複数のウェブサーバ及びウェブアプリケーションに対するユーザID及びパスワードを含む認証情報並びに前記パスワードの有効期限情報を格納するシングルサインオンデータベースと、前記シングルサインオンサーバに接続され、管理者が操作する管理者端末とを備えるコンピュータシステムのシングルサインオン方法であって、前記シングルサインオンサーバに、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、前記受け付けた認証情報のパスワードが有効期限を越えているか否かを前記シングルサインオンデータベースに格納した有効期限情報を参照して判定する第1機能と、前記第1機能によって受け付けた認証情報のパスワードが有効期限を越えていると判定したとき、新たなパスワードを生成する第2機能と、前記シングルサインオンデータベースの認証情報のパスワードを前記新たなパスワードに更新する第3機能とを実行させるシングルサインオン方法。
【請求項4】
前記シングルサインオンサーバに、前記利用者端末から任意のウェブサーバ又はウェブアプリケーションにアクセスするための認証情報を受け付けたとき、任意のウェブサーバへのログインが初回のログインか否かを判定し、初回ログインと判定したとき、前記第2工程による新たなパスワードを生成する第4工程を実行させる請求項3記載のシングルサインオン方法。

【図1】
image rotate

【図2】
image rotate


【公開番号】特開2012−33042(P2012−33042A)
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願番号】特願2010−172706(P2010−172706)
【出願日】平成22年7月30日(2010.7.30)
【出願人】(000152985)株式会社日立情報システムズ (409)
【Fターム(参考)】