ネットワークシステム、ゲートウェイサーバ、ユーザ識別子連携方法及びユーザ識別子連携プログラム
【課題】方式の異なるユーザ管理システム間で同一の利用者を特定可能なネットワークシステムを提供する。
【解決手段】ネットワークシステムは、第1及び第2のユーザ管理システム20,30と、ゲートウェイサーバ10とを具備する。第1のユーザ管理システム20は、ID情報を第1のID連携情報テーブルで管理する。第2のユーザ管理システム30は、第1及び第2の仲介用ID情報を第2のID連携情報テーブルで管理する。ゲートウェイサーバ10は、ID情報と、第2の仲介用ID情報とを対応付けて第3のID連携情報テーブルで管理する。ゲートウェイサーバ10は、一方のユーザ管理システムを介して他方のユーザ管理システムにログイン要求がある場合、第3のID連携情報テーブルから、通知されたID情報又は第2の仲介用ID情報と対応する第2の仲介用ID情報又はID情報を検出し、前記検出した情報を他方のユーザ管理システムへ出力する。
【解決手段】ネットワークシステムは、第1及び第2のユーザ管理システム20,30と、ゲートウェイサーバ10とを具備する。第1のユーザ管理システム20は、ID情報を第1のID連携情報テーブルで管理する。第2のユーザ管理システム30は、第1及び第2の仲介用ID情報を第2のID連携情報テーブルで管理する。ゲートウェイサーバ10は、ID情報と、第2の仲介用ID情報とを対応付けて第3のID連携情報テーブルで管理する。ゲートウェイサーバ10は、一方のユーザ管理システムを介して他方のユーザ管理システムにログイン要求がある場合、第3のID連携情報テーブルから、通知されたID情報又は第2の仲介用ID情報と対応する第2の仲介用ID情報又はID情報を検出し、前記検出した情報を他方のユーザ管理システムへ出力する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、異なる方式でユーザを管理する複数のユーザ管理システムを備えるネットワークシステムと、このネットワークシステムに備えられるゲートウェイサーバと、このネットワークシステムで用いられるユーザ識別子連携方法及びユーザ識別子連携プログラムとに関する。
【背景技術】
【0002】
近年、ネットバンク、ネットショッピング及びウェブメール等、オンライン上のサービスが増加している。個々のサービスでは、オンライン上で利用者を識別するため、利用者毎に登録されたユーザIDが管理される。ただし、利用するサービスが増えるにつれ、利用者が管理すべきユーザIDが増加し、ユーザIDの管理負担が増加するとの問題がある。
【0003】
利用者によるユーザIDの管理負担を削減する目的で、多くのユーザ管理システムが提案されている。ユーザ管理方式又はプロトコルが統一された同一のユーザ管理システム内においては、サービスサーバ毎に登録された異なるユーザ識別子を互いにリンクさせて管理する。これにより、ネットワーク上の複数のサービスサーバに対して一度の認証手続でアクセスを可能とするシングルサインオンを実現することが可能となる。なお、ユーザ管理システムとは、ネットワークに接続された複数のサーバから成り、各サーバのユーザ識別子をリンクさせて同一ユーザを特定する方法、及び/又は、ユーザ識別子をリンクさせるためのサーバ間での通信プロトコル等が同一であるサーバ群のことを指す。
【0004】
シングルサインオンを目的としたユーザ管理方式は、ID統一型、ID預託型、ID連携型に分類できる。
ID統一型では、認証サーバがユーザIDを払い出し、各サービスサーバは共通してそのユーザIDによりサービスを提供する。ID統一型では、同一事業主体内でのシングルサインオンであれば問題ないが、複数の事業主体にまたがってシングルサインオンを提供する場合にはユーザIDを集中管理する事業主体にのみ顧客情報が集中してしまうことに対するビジネスモデル上の問題が指摘されている。また、既存のサービスサーバが本方式によりシングルサインオン化する場合には、既存のID体系を破棄し、認証サーバのID体系に順ずる必要があり、システム的に、また、ビジネスモデル的に参入への障壁が高い。
【0005】
ID預託型では、各サービスサーバが払い出したユーザID及びパスワードを認証サーバに預け、認証サーバが払い出したユーザIDにより利用者認証を実施した後、認証サーバが各利用者を代行して各サービスサーバに対して各サービスサーバ用のユーザID及びパスワードを送信して各サービスサーバで再度認証を実施する方式である。ID預託型では、認証サーバにユーザID及びパスワードのセットを全て預けてしまうため、認証サーバ側での漏洩時の影響度が大きく、また、認証サーバ側で全利用者の各サイトにおけるユーザID及びパスワードが知りえることに対する危険性、及び、ユーザID及びパスワードを第三者機関へ預けることへの不安感による普及への障壁が指摘されている。
【0006】
ID連携型では、ユーザIDを各サービスサーバ自身にて管理し、認証サーバのユーザIDと各サービスサーバ間のユーザIDとを仮名称により関連付けることによりユーザIDの分散管理を可能とする。つまり、認証サーバにおいて、認証サーバのユーザIDで利用者の認証が成功すると、認証サーバはこのユーザIDを仮名称に変換してサービスサーバヘ認証結果を通知する。サービスサーバでは仮名称を自身の管理するユーザIDに変換してサービスを提供することになる。本方式により既にサービス提供中のID体系を維持しつつ、かつ、名寄せが困難なセキュアなシングルサインオンを実現可能である。
【0007】
しかしながら、ID連携型では、各サービスサーバにおいて仮名称と実ユーザIDとを変換するためのID連携情報テーブルを管理する必要がある。このため、既に商用サービスを提供しているサービスサーバをシングルサインオンに対応させるためには、サービスサーバに新たにID連携情報テーブルを導入/運用する必要があり、各サービスサーバにとって導入の障壁となるという問題がある。また、新たにIDの変換処理も必要となり性能の劣化も懸念されるという問題がある。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−299303号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
前述したように、各ユーザ管理方式にはそれぞれに長所及び短所がある。そのため、用途に応じた方式が、ユーザ管理システム毎に採用されている。一方で、ネットワーク技術の進展に伴い、各種のサービスを連携させ、利便性の高い統合サービスを提供するビジネスが期待されている。この期待に応えるため、方式の異なるユーザ管理システム同士をシングルサインオンで接続すること、及び、方式の異なるユーザ管理システム間で相互にデータアクセスを行うことが求められている。
【0010】
方式の異なるユーザ管理システム間においてシングルサインオン及びデータアクセスを実現するためには、各ユーザ管理システムにおいて異なるユーザ識別子で管理された同一の利用者を関連付け、一方のユーザ管理システムから、他方のユーザ管理システム上の同一の利用者を特定できるようにする必要がある。
【0011】
また、特に、セキュアなID連携を特徴とするID連携型のユーザ管理システムをネットワーク接続する場合には、ユーザID連携情報のキーとなっているユーザ識別子を、他のユーザ管理システムに流出することは許されない。そのため、ID連携型のユーザ管理システムと同等のセキュリティレベルを保ちつつ、ユーザ管理システム間のユーザIDを連携することが可能なしくみが必要である。
【0012】
この発明は上記事情に着目してなされたもので、その目的とするところは、方式の異なるユーザ管理システム間で同一の利用者を特定可能なネットワークシステムと、このネットワークシステムに備えられるゲートウェイサーバと、このネットワークシステムで用いられるユーザ識別子連携方法及びユーザ識別子連携プログラムとを提供することにある。
【課題を解決するための手段】
【0013】
上記目的を達成するためにこの発明に係るネットワークシステムは、第1及び第2のユーザ管理システムと、ゲートウェイサーバとを具備する。第1のユーザ管理システムは、利用者にサービスを提供する第1のサービスサーバと、前記第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1の認証サーバとを備える。第2のユーザ管理システムは、利用者にサービスを提供する第2のサービスサーバと、前記第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2の認証サーバとを備える。ゲートウェイサーバは、前記ID情報と、前記第2の仲介用ID情報とを対応付けて第3のID連携情報テーブルで管理する。ゲートウェイサーバは、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2の認証サーバへ出力する。また、ゲートウェイサーバは、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1の認証サーバへ出力する。
【0014】
これにより、ネットワークシステムは、第3のID連携情報テーブルを参照することで、第1のユーザ管理システムでのID情報と、第2のユーザ管理システムでの第2の仲介用ID情報とを対応付けることが可能となり、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
【0015】
また、上記構成のネットワークシステムでは、前記ゲートウェイサーバは、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録する。前記第2の認証サーバは、前記指定子に応じて前記第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録する。
【0016】
これにより、ネットワークシステムでは、利用者の手を煩わせることなく、ゲートウェイサーバで第3のID連携情報テーブルにID情報及び第2の仲介用ID情報が登録されることになるため、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
【0017】
また、上記構成のネットワークシステムでは、前記ゲートウェイサーバは、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記第1のユーザ管理システムへのログイン後、前記第2のユーザ管理システムへ利用者がログインする際に前記第2の認証サーバで発行される第2の仲介用ID情報を、前記登録したID情報と対応付けて前記第3のID連携情報テーブルへ登録する。前記第2の認証サーバは、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録するようにしている。
【0018】
これにより、ネットワークシステムでは、利用者が第1のユーザ管理システムから第2のユーザ管理システムへログインすると、ゲートウェイサーバで第3のID連携情報テーブルにID情報及び第2の仲介用ID情報が登録されることになるため、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
【0019】
また、上記構成のネットワークシステムでは、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記第2のユーザ管理システムへのログイン後、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録した第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録する。前記第2の認証サーバは、前記発行された第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録するようにしている。
【0020】
これにより、ネットワークシステムでは、利用者が第2のユーザ管理システムから第1のユーザ管理システムへログインすると、ゲートウェイサーバで第3のID連携情報テーブルにID情報及び第2の仲介用ID情報が登録されることになるため、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
【0021】
また、上記構成のネットワークシステムでは、前記ゲートウェイサーバは、前記発行した第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバでないことを示す文字を付して、前記第3のID連携情報テーブルへ登録する。前記第2の認証サーバは、前記発行された第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバであることを示す文字を付して、前記第2のID連携情報テーブルへ登録ようにしている。
【0022】
これにより、ネットワークシステムは、第2の仲介用ID情報の発行サーバであるか、又は、発行サーバ以外であるかによって、登録される第2の仲介用ID情報が異なる場合においても、第2の仲介用ID情報の不一致によるシングルサインオンや情報流通の失敗を避けることが可能となる。
【0023】
また、本発明に係るゲートウェイサーバは、上記構成のネットワークシステムで用いられ、通信部、データベース及びユーザID連携部を具備する。通信部は、前記ネットワークシステムと通信する。データベースは、前記ID情報と、前記第2の仲介用ID情報とを対応付けて管理する第3のID連携情報テーブルを記録する。ユーザID連携部は、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力する。ユーザID連携部は、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1のユーザ管理システムへ出力する。
【0024】
これにより、ゲートウェイサーバは、第3のID連携情報テーブルを参照することで、第1のユーザ管理システムでのID情報と、第2のユーザ管理システムでの第2の仲介用ID情報とを対応付けることが可能となり、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
【0025】
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0026】
これにより、ゲートウェイサーバは、第3のID連携情報テーブルを作成するためのコスト及び負荷を軽減することが可能である。
【0027】
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記第1のユーザ管理システムへのログイン後、前記第2のユーザ管理システムへ利用者がログインする際に前記第2の認証サーバで発行される第2の仲介用ID情報を、前記登録したID情報と対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0028】
これにより、ゲートウェイサーバは、第3のID連携情報テーブルを作成するためのコスト及び負荷を軽減することが可能である。
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記第2のユーザ管理システムへのログイン後、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録した第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0029】
これにより、ゲートウェイサーバは、第3のID連携情報テーブルを作成するためのコスト及び負荷を軽減することが可能である。
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、前記発行した第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバでないことを示す文字を付して、前記第3のID連携情報テーブルへ登録するようにしている。
【0030】
これにより、ゲートウェイサーバは、第2の仲介用ID情報の発行サーバであるか、又は、発行サーバ以外であるかによって、登録される第2の仲介用ID情報が異なる場合においても、第2の仲介用ID情報の不一致によるシングルサインオンの失敗を避けることが可能となる。
【0031】
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、前記ログインを要求した利用者との接続が切断された場合、前記第3のID連携情報テーブルで管理される前記ID情報及び前記第2の仲介用ID情報を消去するようにしてもよい。
これにより、ゲートウェイサーバにおけるデータの保存領域が節約でき、かつ、データ管理の手間が軽減されることとなる。
【0032】
また、本発明に係るユーザ識別子連携方法は、上記の第1及び第2のユーザ管理システムと、ゲートウェイサーバとを具備するネットワークシステムで用いられる。ユーザ識別子連携方法では、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力する。また、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1のユーザ管理システムへ出力するようにしている。
【0033】
これにより、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
また、上記ユーザ識別子連携方法では、運用者から入力される指定子に応じ、前記第2のユーザ管理システムにおける認証サーバで第2の仲介用ID情報を発行し、前記認証サーバにより、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録し、前記ゲートウェイサーバにより、前記発行された第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0034】
これにより、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
また、上記ユーザ識別子連携方法では、前記第1のユーザ管理システムへのログイン後に前記第2のユーザ管理システムへのログイン要求を受信した場合、前記ゲートウェイサーバにより、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記ログイン要求に応じて、前記第2のユーザ管理システムの認証サーバで第2の仲介用ID情報を発行し、前記認証サーバにより、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録し、前記ゲートウェイサーバにより、前記発行された第2の仲介用ID情報を、前記登録されたID情報と対応付けて前記第3のID連携情報テーブルへ登録する。前記第2のユーザ管理システムへのログイン後に前記第1のユーザ管理システムへのログイン要求を受信した場合、前記ゲートウェイサーバにより、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記ゲートウェイサーバにより、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記ゲートウェイサーバにより、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録された第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0035】
これにより、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
また、本発明に係るユーザ識別子連携プログラムは、上記構成の第1及び第2のユーザ管理システムとネットワークを介して接続可能なゲートウェイサーバに備えられたコンピュータで使用されるユーザ識別子連携プログラムである。ユーザ識別子連携プログラムは、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記ゲートウェイサーバで記録される第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出する処理と、前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力する処理と、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出する処理と、前記検出した前記ID情報を前記第1のユーザ管理システムへ出力する処理とを前記コンピュータに実行させる。
【0036】
これにより、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
また、上記ユーザ識別子連携プログラムは、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録する処理をさらに前記コンピュータに実行させる。
【0037】
これにより、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
また、上記ユーザ識別子連携プログラムは、前記第1のユーザ管理システムへのログイン後に前記第2のユーザ管理システムへのログイン要求を受信した場合、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録する処理と、前記第2のユーザ管理システムへ利用者がログインする際に前記第2のユーザ管理システムで発行される第2の仲介用ID情報を、前記登録されたID情報と対応付けて前記第3のID連携情報テーブルへ登録する処理とを前記コンピュータにさらに実行させる。ユーザ識別子連携プログラムは、前記第2のユーザ管理システムへのログイン後に前記第1のユーザ管理システムへのログイン要求を受信した場合、前記第2のユーザ管理システムへ利用者がログインする際に前記ゲートウェイサーバで発行される第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録する処理と、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録された第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録する処理とをさらに前記コンピュータに実行させる。
【0038】
これにより、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
【発明の効果】
【0039】
要するにこの発明によれば、方式の異なるユーザ管理システム間で同一の利用者を特定可能なネットワークシステムと、このネットワークシステムに備えられるゲートウェイサーバと、このネットワークシステムで用いられるユーザ識別子連携方法及びユーザ識別子連携プログラムとを提供することができる。
【図面の簡単な説明】
【0040】
【図1】本発明の実施形態に係るネットワークシステムの構成を示す図である。
【図2】図1のゲートウェイサーバ、第1のユーザ管理システム及び第2のユーザ管理システムの機能構成を示す図である。
【図3】図2の第2のユーザ管理システムにおける認証サーバ及びサービスサーバでそれぞれ記録されるID連携情報テーブルを示す図である。
【図4】第1及び第2のユーザ管理システムと、ゲートウェイサーバとの接続例と、当該接続時にゲートウェイサーバで記録されるID連携情報テーブルの例とを示す図である。
【図5】第1及び第2のユーザ管理システムと、ゲートウェイサーバとの接続例と、当該接続時にゲートウェイサーバで記録されるID連携情報テーブルの例とを示す図である。
【図6】第1及び第2のユーザ管理システムと、ゲートウェイサーバとの接続例と、当該接続時にゲートウェイサーバで記録されるID連携情報テーブルの例とを示す図である。
【図7】第1及び第2のユーザ管理システムと、ゲートウェイサーバとの接続例と、当該接続時にゲートウェイサーバで記録されるID連携情報テーブルの例とを示す図である。
【図8】運用者からの指示により、第1及び第2のユーザ管理システム用ID連携情報テーブルに連携用ID及び仮名称がそれぞれ登録される際のゲートウェイサーバの動作を示すフローチャートである。
【図9】図2のゲートウェイサーバと、第1及び第2のユーザ管理システムとに記録されるID連携情報テーブルの例を示す図である。
【図10】利用者が第1のユーザ管理システムへログインした後、第1のユーザ管理システムから第2のユーザ管理システムへログインする際のゲートウェイサーバの動作を示すフローチャートである。
【図11】利用者が第2のユーザ管理システムへログインした後、第2のユーザ管理システムから第1のユーザ管理システムへログインする際のゲートウェイサーバの動作を示すフローチャートである。
【図12】図11のステップS115で、ゲートウェイサーバの第2のユーザ管理システム用ID連携情報テーブルと、認証サーバのID連携情報テーブルとに登録される仮名称の例を示す図である。
【図13】図12の仮名称を入れ替えて登録した際の各ID連携情報テーブルを示す図である。
【発明を実施するための形態】
【0041】
以下、図面を参照してこの発明に係わる実施形態を説明する。図1は、本発明の実施形態に係るネットワークシステムの構成を示す模式図である。図1に示すネットワークシステムは、インターネット及び/又は移動体通信網等から成るネットワーク100と、ネットワーク100に連結されるゲートウェイサーバ10、第1のユーザ管理システム20、第2のユーザ管理システム30及び利用端末40とを具備する。また、図2は、本実施形態に係るネットワークシステムにおけるゲートウェイサーバ10、第1のユーザ管理システム20及び第2のユーザ管理システム30の機能構成を示すブロック図である。
【0042】
利用端末40は、パソコン、PDA及び携帯電話等の操作端末である。利用端末40は、サービスの利用を希望する利用者、又は、利用者により委託された運用者等により利用される。運用者は、利用者についての情報をゲートウェイサーバ10に登録する際に、利用端末40を介し、ゲートウェイサーバ10へログイン要求を送信する。利用者は、第1又は第2のユーザ管理システム20,30に対してサービスの開始を要求する際には、利用端末40を介し、第1又は第2のユーザ管理システムへログイン要求を送信する。
【0043】
第1のユーザ管理システム20は、例えば、OpenIDプロトコルを採用して接続されるサーバ群であり、認証サーバ21及びサービスサーバ22−1〜22−nを備える。認証サーバ21及びサービスサーバ22−1〜22−nは、ネットワーク100と連結する。認証サーバ21は、連携用IDを払い出し、サービスサーバ22−1〜22−nはこれを利用する。
【0044】
サービスサーバ22−1は、利用者に対してサービスを提供する。サービスサーバ22−1は、通信部221及びサービス実行部222を備える。なお、サービスサーバ22−2〜22−nに関しては、サービスサーバ22−1と同様の構成であるため、ここでは、サービスサーバ22−1について説明する。
【0045】
通信部221は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部221は、ネットワーク100を介し、認証サーバ21又は利用端末40と通信を行う。
サービス実行部222は、利用端末40から供給されるログイン要求が通信部221により受信されると、利用者の認証要求を通信部221から認証サーバ21へ送信する。サービス実行部222は、利用者の認証が完了すると、認証された利用者に対してサービスを提供する。
【0046】
認証サーバ21は、通信部211、データベース212、認証部213及びユーザID連携部214を備える。
通信部211は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部211は、ネットワーク100を介し、サービスサーバ22−1〜22−n又はゲートウェイサーバ10と通信を行う。
【0047】
データベース212は、ID連携情報テーブルを記録する。ID連携情報テーブルでは、認証サーバ21のユーザIDと、連携用IDとが対応付けられて登録されている。
認証部213は、利用端末40からゲートウェイサーバ10を介して供給されるログイン要求が通信部211により受信されると、利用端末40に認証画面を表示させ、連携用IDの入力を要求することで、利用者の認証を行う。認証部213は、ログインを要求した者が利用者であると認定すると、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0048】
また、認証部213は、サービス実行部222からの認証要求を受けると、利用端末40に認証画面を表示させ、連携用IDの入力を要求することで、利用者の認証を行う。認証部213は、ログインを要求した者が利用者であると認定すると、認定した利用者に対してログインを許可する旨をサービス実行部222へ返すと共に、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0049】
ユーザID連携部214は、ゲートウェイサーバ10のユーザID連携部15へ所定の利用者を特定するための連携用IDを通知する。
第2のユーザ管理システム30は、例えば、SAMLプロトコルを採用して接続されるサーバ群であり、認証サーバ31及びサービスサーバ32−1〜32−mを備える。認証サーバ31及びサービスサーバ32−1〜32−mは、ネットワーク100と連結する。
【0050】
認証サーバ31は、同一の利用者に対して、サービスサーバ毎に異なる仮名称を払い出し、これらの仮名称を自サーバのユーザIDと対応付けて管理する。サービスサーバ32−1〜32−mでは、認証サーバ31で払い出された自サーバ宛の仮名称を自サーバのユーザIDと対応付けて管理する。
【0051】
サービスサーバ32−1は、通信部321、データベース322、サービス実行部323及びユーザID連携部324を備える。なお、サービスサーバ32−2〜32−nに関しては、サービスサーバ32−1と同様の構成であるため、ここでは、サービスサーバ32−1について説明する。
【0052】
通信部321は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部321は、ネットワーク100を介し、認証サーバ31又は利用端末40と通信を行う。
サービス実行部323は、利用端末40から供給されるログイン要求が通信部321により受信されると、利用者の認証要求を通信部321から認証サーバ31へ送信する。サービス実行部323は、利用者の認証が完了すると、認証された利用者に対してサービスを提供する。
【0053】
ログインが完了した利用者または運用者は、利用端末40から、ユーザIDの連携を要求する場合がある。サービス実行部323は、ユーザIDの連携要求が通信部321により受信されると、ユーザIDの連携をユーザID連携部324に対して要求する。
【0054】
ユーザID連携部324は、サービス実行部323からユーザIDの連携が要求されると、仮名称の発行要求を通信部321から認証サーバ31へ送信する。ユーザID連携部324は、認証サーバ31で発行された仮名称が認証サーバ31から通知されると、通知された仮名称を、自サーバについてのユーザIDと関連付けてデータベース322に記録されるID連携情報テーブルへ登録する。
【0055】
認証サーバ31は、通信部311、データベース312、認証部313及びユーザID連携部314を備える。
通信部311は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部311は、ネットワーク100を介し、サービスサーバ32−1〜32−m又はゲートウェイサーバ10と通信を行う。
【0056】
認証部313は、利用端末40からゲートウェイサーバ10を介して供給されるログイン要求が通信部311により受信されると、利用端末40に認証画面を表示させ、自サーバのユーザIDの入力を要求することで、利用者の認証を行う。認証部313は、ログインを要求した者が利用者であると認定すると、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。なお、ユーザIDと認証画面で入力させるログインIDは別にし、対応付けを管理するテーブルを設けてもよい。
【0057】
また、認証部313は、サービス実行部323からの認証要求を受けると、利用端末40に認証画面を表示させ、認証サーバ31のユーザIDの入力を要求することで、利用者の認証を行う。認証部313は、ログインを要求した者が利用者であると認定すると、認定した利用者に対してログインを許可する旨をサービス実行部323へ返すと共に、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0058】
ユーザID連携部314は、ゲートウェイサーバ10のユーザID連携部15からGWサーバ宛仮名称を要求されると、データベース312に記録されるID連携情報テーブルにGWサーバ宛仮名称が登録されているか否かを判断する。このとき、ユーザID連携部15から通知されるGWサーバ宛仮名称の要求には、利用者を特定可能な識別子が付されており、ユーザID連携部314は、この識別子を参照し、ID連携情報テーブルにGWサーバ宛仮名称が登録されているか否かを判断する。ID連携情報テーブルにGWサーバ宛仮名称が登録されている場合、ユーザID連携部314は、GWサーバ宛仮名称をゲートウェイサーバ10へ送信する。ID連携情報テーブルにGWサーバ宛仮名称が登録されていない場合、ユーザID連携部314は、GWサーバ宛仮名称を発行し、ID連携情報テーブルに、自サーバのユーザIDと、発行したGWサーバ宛仮名称を関連付けて登録すると共に、ゲートウェイサーバ10へ登録したGWサーバ宛仮名称を送信する。
【0059】
また、ユーザID連携部314は、サービス実行部323から送信された仮名称発行要求が通信部311により受信されると、仮名称を発行する。ユーザID連携部314は、仮名称を発行すると、発行した仮名称と、自サーバのユーザIDと、仮名称発行要求を送信したサービスサーバの識別情報とを関連付けて、データベース312に記録するID連携情報テーブルに登録する。ユーザID連携部314は、登録した仮名称を、仮名称発行要求を送信したサービスサーバへ送信する。なお、仮名称発行要求を送信したサービスサーバが複数ある場合、ユーザID連携部314は、サービスサーバ毎に仮名称を発行し、仮名称発行要求を送信したサービスサーバへ発行した仮名称を返す。
【0060】
また、ユーザID連携部314は、ゲートウェイサーバ10へサーバ31宛仮名称の発行を要求する。ユーザID連携部314は、ゲートウェイサーバ10からサーバ31宛仮名称を渡されたら、渡されたサーバ31宛仮名称を自サーバのユーザIDと関連付けてID連携情報テーブルに登録する。
【0061】
図3は、本実施形態に係る認証サーバ31のデータベース312及びサービスサーバ32−1〜32−nのデータベース322にそれぞれ記録されるID連携情報テーブルを示す図である。
データベース312に記録されるID連携情報テーブルには、ゲートウェイサーバ10との連携を示すものと、サービスサーバ32−1〜32−nとの連携を示すものとがある。ゲートウェイサーバ10との連携を示すID連携情報テーブルには、認証サーバ31のユーザID「111」と、仮名称「xxx」と、宛先サーバとしての「GWサーバ」とが関連付けて登録されている。サービスサーバ32−1〜32−nとの連携を示すID連携情報テーブルには、認証サーバ31のユーザID「111」と、仮名称「yyy」と、宛先サーバとしての「サービスサーバ32−1」とが関連付けて登録されている。
【0062】
データベース322で記録されるID連携情報テーブルには、サービスサーバ32−1のユーザID「222」と、仮名称「yyy」と、宛先サーバとしての「認証サーバ」とが関連付けて登録される。
ゲートウェイサーバ10は、通信部11、データベース12、認証部13、操作処理部14及びユーザID連携部15を備える。
【0063】
通信部11は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部11は、ネットワーク100を介し、認証サーバ21,31及び利用端末40と通信を行う。
認証部13は、操作処理部14から運用者の認証要求を受けると、利用端末40に認証画面を表示させ、運用者のユーザIDの入力を要求することで、運用者の認証を行う。認証部13は、ログインを要求した者が運用者であると認定すると、認定した運用者に対してログインを許可する旨を操作処理部14へ返すと共に、認定した運用者に対してログインを許可する旨を利用端末40へ通知する。
【0064】
操作処理部14は、利用端末40から送信される運用者のログイン要求が通信部11により受信されると、運用者の認証要求を認証部13へ通知する。なお、認証要求は、認証サーバ21又は認証サーバ31に依頼してもよい。また、認証要求は、認証サーバ21,31の両方に依頼しても良い。このとき、ゲートウェイサーバ10及び認証サーバ21,31での認証が全て成功した時のみ認証成功としてもよい。
【0065】
また、操作処理部14は、ログインが完了した運用者に対して、第2のユーザ管理システム30において利用者を特定する情報であるユーザ指定子、及び第1のユーザ管理システム20において利用者を特定する情報である連携用IDを要求する。
ユーザID連携部15は、第1のユーザ管理システム20の認証サーバ20から通知される連携用IDと、自サーバのユーザIDとを関連付けて、データベース12に記録されるID連携情報テーブルに登録する。なお、ユーザID連携部15は、ID連携情報テーブルが後述するように第1及び第2のユーザ管理システム用ID連携情報テーブルである場合は、連携用IDと、自サーバのユーザIDとを関連付けて、第1のユーザ管理システム用ID連携情報テーブルに登録する。
【0066】
また、ユーザID連携部15は、操作処理部14から要求された場合、第2のユーザ管理システム30の認証サーバ31へGWサーバ宛仮名称の発行を要求する。ユーザID連携部15は、認証サーバ31からGWサーバ宛仮名称が通知されると、通知されるGWサーバ宛仮名称と、自サーバのユーザIDとを関連付けて、データベース12に記録されるID連携情報テーブルに登録する。なお、ユーザID連携部15は、ID連携情報テーブルが後述するように第1及び第2のユーザ管理システム用ID連携情報テーブルである場合は、GWサーバ宛仮名称と、自サーバのユーザIDとを関連付けて、第2のユーザ管理システム用ID連携情報テーブルに登録する。
【0067】
また、ユーザID連携部15は、ユーザID連携部314からサーバ31宛仮名称の発行が要求されると、サーバ31宛仮名称を発行する。ユーザID連携部15は、発行したサーバ31宛仮名称と、自サーバのユーザIDとを関連付けて、データベース12に記録されるID連携情報テーブルに登録する。なお、ユーザID連携部15は、ID連携情報テーブルが後述するように第1及び第2のユーザ管理システム用ID連携情報テーブルである場合は、サーバ31宛仮名称と、自サーバのユーザIDとを関連付けて、第2のユーザ管理システム用ID連携情報テーブルに登録する。ユーザID連携部15は、発行したサーバ31宛仮名称を、認証サーバ31へ送付する。
【0068】
また、ユーザID連携部15は、第1のユーザ管理システム20から第2のユーザ管理システム30へのログイン要求があった場合、データベース12に記録されるID連携情報テーブルを参照し、認証サーバ21から通知された連携用IDに対応する仮名称を検出し、検出した仮名称を第2のユーザ管理システム30へ送信する。また、ユーザID連携部15は、第2のユーザ管理システム30から第1のユーザ管理システム30へのログイン要求があった場合、データベース12に記録されるID連携情報テーブルを参照し、認証サーバ31から通知された仮名称に対応する連携用IDを検出し、検出した連携用IDを第1のユーザ管理システム20へ送信する。なお、ユーザID連携部15は、ID連携情報テーブルが、後述するように第1及び第2のユーザ管理システム用ID連携情報テーブルである場合は、第1及び第2のユーザ管理システム用ID連携情報テーブルを参照し、仮名称及び連携用IDを検出する。
【0069】
図4乃至図7は、第1及び第2のユーザ管理システム20,30と、ゲートウェイサーバ10との接続例と、当該接続時にゲートウェイサーバ10のデータベース12で記録されるID連携情報テーブルの例とを示す図である。
図4は、ゲートウェイサーバ10に第1及び第2のユーザ管理システム20,30が接続される際の接続例と、このときにデータベース12で記録されるID連携情報テーブルを示す図である。図4において、ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」と、GWサーバ宛仮名称「仮名1」と、宛先サーバとしての「認証サーバ31」とが関連付けて登録されている。また、ID連携情報テーブルは、第1及び第2のユーザ管理システム用ID連携情報テーブルであっても構わない。図4に示すように、第1のユーザ管理システム用ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」と、ゲートウェイサーバ10のユーザID「GW−0001」とが関連付けて登録される。第2のユーザ管理システム用ID連携情報テーブルには、ゲートウェイサーバ10のユーザID「GW−0001」と、GWサーバ宛仮名称「仮名1」と、宛先サーバとしての「認証サーバ31」とが関連付けて登録されている。
【0070】
第1のユーザ管理システム用ID連携情報テーブルで連携用IDを管理し、第2のユーザ管理システム用ID連携情報テーブルでGWサーバ宛仮名称を管理することで、第1及び第2のユーザ管理システム20,30のいずれからでも、利用者を特定することが可能となる。
【0071】
図5は、ゲートウェイサーバ10に第1のユーザ管理システム20と、第2のユーザ管理システム30−1,30−2とが接続される際の接続例と、このときにデータベース12で記録されるID連携情報テーブルを示す図である。図5において、ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」と、GWサーバ宛仮名称「仮名1」及び「仮名2」と、宛先サーバとしての「認証サーバ31−1」及び「認証サーバ31−2」とが関連付けて登録されている。また、ID連携情報テーブルは、第1及び第2のユーザ管理システム用ID連携情報テーブルであっても構わない。図5に示すように、第1のユーザ管理システム用ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」と、ゲートウェイサーバ10のユーザID「GW−0001」とが関連付けて登録される。第2のユーザ管理システム用ID連携情報テーブルには、ゲートウェイサーバ10のユーザID「GW−0001」と、GWサーバ宛仮名称「仮名1」及び「仮名2」と、宛先サーバとしての「認証サーバ31−1」及び「認証サーバ31−2」とが関連付けて登録されている。
【0072】
図6は、ゲートウェイサーバ10に第1のユーザ管理システム20−1,20−2と、第2のユーザ管理システム30とが接続される際の接続例と、このときにデータベース12で記録されるID連携情報テーブルを示す図である。図6において、ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」及び「0001−0002」と、GWサーバ宛仮名称「仮名1」と、宛先サーバとしての「認証サーバ31」とが関連付けて登録されている。また、ID連携情報テーブルは、第1及び第2のユーザ管理システム用ID連携情報テーブルであっても構わない。図6に示すように、第1のユーザ管理システム用ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」及び「0001−0002」と、ゲートウェイサーバ10のユーザID「GW−0001」とが関連付けて登録される。第2のユーザ管理システム用ID連携情報テーブルには、ゲートウェイサーバ10のユーザID「GW−0001」と、GWサーバ宛仮名称「仮名1」と、宛先サーバとしての「認証サーバ31」とが関連付けて登録されている。
【0073】
図7は、ゲートウェイサーバ10に第1のユーザ管理システム20−1,20−2と、第2のユーザ管理システム30−1,30−2とが接続される際の接続例と、このときにデータベース12で記録されるID連携情報テーブルを示す図である。データベース12には、図7に示すように、第1及び第2のユーザ管理システム用ID連携情報テーブルが記録される。第1のユーザ管理システム用ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」及び「0001−0002」と、ゲートウェイサーバ10のユーザID「GW−0001」及び「GW−0002」とが関連付けて登録される。第2のユーザ管理システム用ID連携情報テーブルには、ゲートウェイサーバ10のユーザID「GW−0001」及び「GW−0002」と、GWサーバ宛仮名称「仮名1」及び「仮名2」と、宛先サーバとしての「認証サーバ31−1」及び「認証サーバ31−2」とが関連付けて登録されている。
【0074】
次に、上記のように構成されたネットワークシステムにおけるゲートウェイサーバ10、第1及び第2のユーザ管理システム20,30の動作を詳細に説明する。
なお、以下の説明では、運用者については、第1及び第2のユーザ管理システム20,30の認証サーバ21,31と、ゲートウェイサーバ10とにおけるユーザIDはすでに作成済みであり、認証サーバ21,31と、ゲートウェイサーバ10とにおけるID連携情報テーブルはすでに登録済みであるとする。利用者については、第1及び第2のユーザ管理システム20,30の認証サーバ21,31におけるユーザIDはすでに作成済みであるとする。また、運用者は、第1のユーザ管理システム20において利用者を特定する情報である連携用IDと、第2のユーザ管理システム30において利用者を特定する情報であるユーザ指定子を利用者から入手しているものとする。ユーザ指定子とは、例えば、第2のユーザ管理サーバ30の認証サーバ31で管理する他サーバ宛の仮名を暗号化・署名した文字列である。また、第1及び第2のユーザ管理システム20,30の認証サーバ21,31を一意に特定するプロバイダIDは既知であるものとする。
【0075】
図8は、運用者からの指示により、運用者以外の利用者のゲートウェイサーバ10における第1のユーザ管理システム用ID連携情報テーブルに連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにGWサーバ宛仮名称が登録される際のゲートウェイサーバ10の動作を示すフローチャートである。図9は、本実施形態に係るゲートウェイサーバ10に記録される第1及び第2のユーザ管理システム用ID連携情報テーブル、第1及び第2のユーザ管理システム20,30にそれぞれ記録されるID連携情報テーブルの例を示す模式図である。
【0076】
まず、運用者が利用端末40からゲートウェイサーバ10へログインを要求する。運用者からのログイン要求を受けると、ゲートウェイサーバ10の操作処理部14は、第2のユーザ管理システム30の認証サーバ31に対し、運用者の認証を要求する(ステップS81)。なお、ステップS81では、運用者の認証を認証サーバ31の認証部313に要求する例について説明したが、ゲートウェイサーバ10の認証部13、又は、第1のユーザ管理システム20の認証サーバ21へ要求するようにしても構わない。
【0077】
認証サーバ31の認証部313は、操作処理部14からの認証要求を受けると、利用端末40に認証画面を表示させ、運用者に対して認証サーバ31のユーザIDの入力を要求する。認証部313は、利用端末40から認証サーバ31のユーザIDが入力されると、ログインを要求した者が運用者であると認定する。認証部313は、認定した運用者に対してログインを許可する旨を操作処理部14へ返すと共に、認定した運用者に対してログインを許可する旨を利用端末40へ通知する。
【0078】
続いて、操作処理部14は、運用者に対して、第2のユーザ管理システム30において利用者を特定する情報であるユーザ指定子を要求する。ユーザ指定子は、認証サーバ31においてユーザを一意に識別できるもので、例えば、認証サーバ31で管理する他サーバ宛の仮名称を暗号化・署名した文字列がこれにあたる。ゲートウェイサーバ10のユーザID連携部15は、利用端末40からユーザ指定子が入力されると、ユーザ指定子を認証サーバ31へ送信すると共に、認証サーバ31に対してユーザ指定子に対応するGWサーバ宛仮名称を要求する(ステップS82)。
【0079】
認証サーバ31のユーザID連携部314は、ユーザID連携部15からGWサーバ宛仮名称が要求されると、ユーザ指定子を復号化・署名検証することで、ユーザ指定子を認証サーバ31のユーザIDへ変換する。ユーザID連携部314は、データベース312に記録されるID連携情報テーブルを参照し、変換したユーザIDに対応付けられたGWサーバ宛仮名称を検索する。変換したユーザIDに対応付けられたGWサーバ宛仮名称が存在する場合、ユーザID連携部314は、取得したGWサーバ宛仮名称を、操作処理部14へ通知する。変換したユーザIDに対応付けられたGWサーバ宛仮名称が存在しない場合、ユーザID連携部314は、GWサーバ宛仮名称が存在しないことを操作処理部14へ送信する。
【0080】
例えば、図9においては、ユーザID連携部314は、ユーザ指定子を復号化・署名検証することで、ユーザ指定子を認証サーバ31のユーザID「OTHER_USER0001」へ変換する。ユーザID連携部314は、ID連携情報テーブルを参照し、認証サーバ31のユーザID「OTHER_USER0001」について、宛先サーバ「GWサーバ」と関連付けられた仮名称「kamei1」を取得する。ユーザID連携部314は、取得した仮名称「kamei1」を操作処理部14へ通知する。
【0081】
続いて、ユーザID連携部15は、認証サーバ31からGWサーバ宛仮名称の通知があるか否かにより、異なる処理を行う(ステップS83)。認証サーバ31からGWサーバ宛仮名称の通知がある場合(ステップS83のYes)、ユーザID連携部15は、処理をステップS84へ移行する。認証サーバ31から、GWサーバ宛仮名称が存在しないことが通知された場合(ステップS83のNo)、ユーザID連携部15は、処理をステップS85へ移行する。
【0082】
ステップS84において、ユーザID連携部15は、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルを参照し、通知されたGWサーバ宛仮名称と対応付けられたゲートウェイサーバ10のユーザIDを取得する(ステップS84)。
【0083】
例えば、図9においては、ユーザID連携部15は、第2のユーザ管理システム用ID連携情報テーブルを参照し、通知された仮名称「kamei1」と対応付けられたゲートウェイサーバ10のユーザID「USER0001」を取得する。
ユーザID連携部15は、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルを参照し、ステップS84で取得されたゲートウェイサーバ10のユーザIDと対応付けられた連携用IDが存在するか否かを判断する(ステップS86)。ゲートウェイサーバ10のユーザIDと対応付けられた連携用IDが存在する場合(ステップS86のYes)、ユーザID連携部15は、処理をステップS87へ移行する。ゲートウェイサーバ10のユーザIDと対応付けられた連携用IDが存在しない場合(ステップS86のNo)、処理をステップS88へ移行する。
【0084】
例えば、図9においては、ユーザID連携部15は、第1のユーザ管理システム用ID連携情報テーブルを参照し、ゲートウェイサーバ10のユーザID「USER0001」と対応付けられた連携用ID「ID001」が存在すると判断する。
ステップS87において、ユーザID連携部15は、ゲートウェイサーバ10における利用者の第1及び第2のユーザ管理システム用ID連携情報テーブルに連携用ID及び仮名称がそれぞれ登録済みであることを利用端末40に表示させ(ステップS87)、処理を終了する。
【0085】
ステップS88において、操作処理部14は、運用者に対して、第1のユーザ管理システム20において利用者を特定する情報である連携用IDを要求する。ユーザID連携部15は、利用端末40から連携用IDが入力されると、入力された連携用IDと、自サーバのユーザIDとを関連付けて、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルへ登録する(ステップS88)。
【0086】
続いて、ユーザID連携部15は、ゲートウェイサーバ10における利用者の第1及び第2のユーザ管理システム用ID連携情報テーブルに連携用ID及び仮名称がそれぞれ登録されたことを利用端末40に表示させ(ステップS89)、処理を終了する。
ステップS85において、操作処理部14は、運用者に対して、第1のユーザ管理システム20において利用者を特定する情報である連携用IDを要求する。ユーザID連携部15は、利用端末40から連携用IDが入力されると、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルを参照し、入力された連携用IDと対応付けられたゲートウェイサーバ10のユーザIDが存在するか否かを判断する(ステップS85)。入力された連携用IDと対応付けられたゲートウェイサーバ10のユーザIDが存在する場合(ステップS85のYes)、ユーザID連携部15は、処理をステップS810へ移行する。入力された連携用IDと対応付けられたゲートウェイサーバ10のユーザIDが存在しない場合(ステップS85のNo)、ユーザID連携部15は、処理をステップS811へ移行する。
【0087】
ステップS810において、ユーザID連携部15は、ステップS82で入力されたユーザ指定子により指定される認証サーバ31のユーザIDと対応付けられたGWサーバ宛仮名称の発行を、認証サーバ31に対して要求する(ステップS810)。
認証サーバ31のユーザID連携部314は、ユーザID連携部15からGWサーバ宛仮名称の発行が要求されると、GWサーバ宛仮名称を発行する。ユーザID連携部314は、発行したGWサーバ宛仮名称と、自サーバのユーザIDとを対応付け、データベース312に記録されるID連携情報テーブルへ登録する。また、ユーザID連携部314は、発行したGWサーバ宛仮名称をゲートウェイサーバ10へ送信する。
【0088】
続いて、ユーザID連携部15は、認証サーバ31から送信されたGWサーバ宛仮名称を受信すると、受信したGWサーバ宛仮名称と、ステップS85で取得した自サーバのユーザIDとを関連付け、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルへ登録する(ステップS812)。登録後、ユーザID連携部15は、処理をステップS89へ移行する。
【0089】
ステップS811において、ユーザID連携部15は、自サーバのユーザIDを発行する(ステップS811)。
続いて、ユーザID連携部15は、ステップS85で入力された連携用IDと、ステップS811で発行されたユーザIDとを対応付けて、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルへ登録する(ステップS813)。
【0090】
続いて、ユーザID連携部15は、ステップS82で入力されたユーザ指定子により指定される認証サーバ31のユーザIDと対応付けられたGWサーバ宛仮名称の発行を、認証サーバ31に対して要求する(ステップS814)。
認証サーバ31のユーザID連携部314は、ユーザID連携部15からGWサーバ宛仮名称の発行が要求されると、GWサーバ宛仮名称を発行する。ユーザID連携部314は、発行したGWサーバ宛仮名称と、自サーバのユーザIDとを対応付け、データベース312に記録されるGWサーバ用ID連携情報テーブルへ登録する。また、ユーザID連携部314は、登録したGWサーバ宛仮名称をゲートウェイサーバ10へ送信する。
【0091】
続いて、ユーザID連携部15は、認証サーバ31から送信されたGWサーバ宛仮名称を受信すると、受信したGWサーバ宛仮名称と、ステップS811で発行した自サーバのユーザIDとを関連付け、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルへ登録する(ステップS815)。ユーザID連携部15は、処理をステップS89へ移行する。
【0092】
図8に示す処理により、ゲートウェイサーバ10の第1のユーザ管理システム用ID連携情報テーブルにユーザIDと対応する連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにユーザIDと対応するGWサーバ宛仮名称が登録される。これにより、ゲートウェイサーバ10は、第1及び第2のユーザ管理システムの連携用IDと仮名称とを統合しなくても、連携用IDが分かれば仮名称を特定でき、同様に、仮名称が特定できれば、連携用IDを特定することが可能となる。
【0093】
また、第1のユーザ管理システム用ID連携情報テーブルに連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにGWサーバ宛仮名称が登録された後においては、第1のユーザ管理システム20へのログイン後、第2のユーザ管理システム30へログインしようとする際、又は、第2のユーザ管理システム30へのログイン後、第1のユーザ管理システム20へログインしようとする際には、利用者は、最初のログイン時の認証のみで両システムへのログインが可能となる。つまり、シングルサインオンが可能となる。なお、続けてログインを希望するユーザ管理システムのセキュリティポリシによっては、再度利用者に認証の操作をさせることも可能である。
【0094】
図10は、利用者が第1のユーザ管理システム20へログインした後、第1のユーザ管理システム20から第2のユーザ管理システム30へログインする際のゲートウェイサーバ10の動作を示すフローチャートである。
まず、利用者が利用端末40から第1のユーザ管理システム20に所属するサービスサーバ22−1に対して、第1のユーザ管理システム20へのログインを要求する。利用者からのログイン要求を受けると、サービスサーバ22−1のサービス実行部222は、認証サーバ21の認証部213に対し、利用者の認証を要求する。
【0095】
認証部213は、サービス実行部222からの認証要求を受けると、利用端末40に認証画面を表示させ、利用者に対して認証サーバ21の連携用IDを要求する。認証部213は、利用端末40から認証サーバ21の連携用IDが入力されると、ログインを要求した者が利用者であると認定する。認証部213は、認定した利用者に対してログインを許可する旨をサービス実行部222へ返すと共に、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0096】
続いて、第1のユーザ管理システム20へのログインが許可された利用者は、サービスサーバ22−1に対して、第2のユーザ管理システム30へのログインを要求する。利用者から第2のユーザ管理システム30へのログイン要求を受けると、サービスサーバ22−1のサービス実行部222は、認証サーバ21のユーザID連携部214を介し、ゲートウェイサーバ10のユーザID連携部15へ、第2のユーザ管理システム30へのログインを要求する。このとき、第1のユーザ管理システム20における連携用IDについての情報もゲートウェイサーバ10のユーザID連携部15へ通知される。
【0097】
ユーザID連携部15は、第2のユーザ管理システム30へのログイン要求を受けると、第1のユーザ管理システム用ID連携情報テーブルに、通知された連携用IDが登録されているか否かを判断する(ステップS101)。第1のユーザ管理システム用ID連携情報テーブルに、通知された連携用IDが登録されている場合(ステップS101のYes)、ユーザID連携部15は、処理をステップS102へ移行する。第1のユーザ管理システム用ID連携情報テーブルに、通知された連携用IDが登録されていない場合(ステップS101のNo)、ユーザID連携部15は、処理をステップS103へ移行する。
【0098】
ステップS103において、ユーザID連携部15は、自サーバのユーザIDを発行する(ステップS103)。続いて、ユーザID連携部15は、発行したユーザIDと、通知された連携用IDとを対応付けて、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルへ登録し(ステップS104)、処理をステップS102へ移行する。
【0099】
ステップS102において、ユーザID連携部15は、第1のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた仮名称が、第2のユーザ管理システム用ID連携情報テーブルに登録されているか否かを判断する(ステップS102)。第1のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた仮名称が、第2のユーザ管理システム用ID連携情報テーブルに登録されている場合(ステップS102のYes)、ユーザID連携部15は、処理をステップS105へ移行する。第1のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた仮名称が、第2のユーザ管理システム用ID連携情報テーブルに登録されていない場合(ステップS102のNo)、ユーザID連携部15は、処理をステップS106へ移行する。
【0100】
ステップS105において、ユーザID連携部15は、第2のユーザ管理システム30の認証サーバ31に対し、第2のユーザ管理システム用ID連携情報テーブルに登録される仮名称を通知し(ステップS105)、処理を終了する。
認証サーバ31の認証部313は、ユーザID連携部15から仮名称が通知されると、ログインを要求した者が利用者であると認定する。認証部313は、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0101】
ステップS106において、ユーザID連携部15は、第2のユーザ管理システム30の認証サーバ31に対し、利用者の認証を要求する(ステップS106)。
認証サーバ31の認証部313は、ユーザID連携部15からの認証要求を受けると、利用端末40に認証画面を表示させ、利用者に対して認証サーバ31のユーザIDの入力を要求する。認証部313は、利用端末40から認証サーバ31のユーザIDが入力されると、ログインを要求した者が利用者であると認定する。認証部313は、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。また、このとき、ユーザID連携部314は、利用者の認証サーバ31のユーザIDを特定する。ユーザID連携部314は、利用者のユーザIDが特定されると、特定されたユーザIDと対応付けたGWサーバ宛仮名称を発行する。ユーザID連携部314は、特定されたユーザIDと、発行したGWサーバ宛仮名称とを対応付け、データベース312に記録されるID連携情報テーブルへ登録する。GWサーバ宛仮名称は、登録したGWサーバ宛仮名称をゲートウェイサーバ10へ通知する。
【0102】
ユーザID連携部15は、認証サーバ31からGWサーバ宛仮名称を通知されると、通知されたGWサーバ宛仮名称と、ステップS103で発行したユーザIDとを対応付け、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルへ登録し(ステップS107)、処理を終了させる。
【0103】
図11は、利用者が第2のユーザ管理システム30へログインした後、第2のユーザ管理システム30から第1のユーザ管理システム20へログインする際のゲートウェイサーバ10の動作を示すフローチャートである。
まず、利用者が利用端末40から第2のユーザ管理システム30に所属するサービスサーバ32−1に対して、第2のユーザ管理システム30へのログインを要求する。利用者からのログイン要求を受けると、サービスサーバ32−1のサービス実行部323は、認証サーバ31の認証部313に対し、利用者の認証を要求する。
【0104】
認証部313は、サービス実行部323からの認証要求を受けると、利用端末40に認証画面を表示させ、利用者に対して認証サーバ31のユーザIDを要求する。認証部313は、利用端末40から認証サーバ31のユーザIDが入力されると、ログインを要求した者が利用者であると認定する。認証部313は、認定した利用者に対してログインを許可する旨をサービス実行部323へ返すと共に、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0105】
続いて、第2のユーザ管理システム30へのログインが許可された利用者は、サービスサーバ32−1に対して、第1のユーザ管理システム20へのログインを要求する。利用者から第1のユーザ管理システム20へのログイン要求を受けると、サービスサーバ32−1のサービス実行部323は、認証サーバ31のユーザID連携部314へ、第1のユーザ管理システム20へのログインを要求する。
【0106】
ユーザID連携部314は、第1のユーザ管理システム20へのログイン要求を受けると、データベース312に記録されるID連携情報テーブルにGWサーバ宛仮名称が登録されているか否かを判断する。GWサーバ宛仮名称が登録されていない場合、ユーザID連携部314は、ゲートウェイサーバ10に対してログイン要求と共に、サーバ31宛仮名称の発行要求を送信する。GWサーバ宛仮名称が登録されている場合、ユーザID連携部314は、ゲートウェイサーバ10に対してログイン要求と共に、GWサーバ宛仮名称を通知する。
【0107】
ユーザID連携部15は、第1のユーザ管理システム20へのログイン要求を受けると、ログイン要求と共にGWサーバ宛仮名称が通知されたか、サーバ31宛仮名称の発行要求が通知されたかを判断する(ステップS111)。GWサーバ宛仮名称が通知された場合(ステップS111のYes)、ユーザID連携部15は、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルに仮名称と、自サーバのユーザIDとが対応付けられて登録されていると判断し、処理をステップS112へ移行する。サーバ31宛仮名称の発行要求が通知された場合(ステップS111のNo)、ユーザID連携部15は、第2のユーザ管理システム用ID連携情報テーブルにGWサーバ宛仮名称が未登録であるとして、処理をステップS113へ移行する。
【0108】
ステップS113において、ユーザID連携部15は、自サーバのユーザIDを発行する(ステップS113)。ユーザID連携部15は、発行したユーザIDに該当するサーバ31宛仮名称を発行する(ステップS114)。ユーザID連携部15は、ステップS113で発行したユーザIDと、ステップS114で発行した仮名称とを対応付けて、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルへ登録すると共に、登録した仮名称を認証サーバ31へ送信する(ステップS115)。この後、ユーザID連携部15は、処理をステップS112へ移行する。
【0109】
ユーザID連携部314は、ゲートウェイサーバ10から送信されたサーバ31宛仮名称を受信すると、受信したサーバ31宛仮名称と、自サーバのユーザIDとを対応付けて、ID連携情報テーブルに登録する。
ステップS112において、ユーザID連携部15は、第2のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた連携用IDが、第1のユーザ管理システム用ID連携情報テーブルに登録されているか否かを判断する(ステップS112)。第2のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた連携用IDが、第1のユーザ管理システム用ID連携情報テーブルに登録されている場合(ステップS112のYes)、ユーザID連携部15は、処理をステップS116へ移行する。第2のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた連携用IDが、第1のユーザ管理システム用ID連携情報テーブルに登録されていない場合(ステップS112のNo)、ユーザID連携部15は、処理をステップS117へ移行する。
【0110】
ステップS116において、ユーザID連携部15は、第1のユーザ管理システム20の認証サーバ21に対し、第1のユーザ管理システム用ID連携情報テーブルに登録される連携用IDを通知し(ステップS116)、処理を終了する。
認証サーバ21の認証部213は、ユーザID連携部15から連携用IDが通知されると、ログインを要求した者が利用者であると認定する。認証部213は、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0111】
ステップS117において、ユーザID連携部15は、第1のユーザ管理システム20の認証サーバ21に対し、利用者の認証を要求する(ステップS117)。
認証サーバ21の認証部213は、ユーザID連携部15からの認証要求を受けると、利用端末40に認証画面を表示させ、利用者に対して認証サーバ21の連携用IDの入力を要求する。認証部213は、利用端末40から認証サーバ21の連携用IDが入力されると、ログインを要求した者が利用者であると認定する。認証部213は、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。また、このとき、ユーザID連携部214は、利用者の認証サーバ21の連携用IDを特定する。ユーザID連携部214は、利用者の連携用IDが特定されると、特定された連携用IDをゲートウェイサーバ10へ通知する。
【0112】
ユーザID連携部15は、認証サーバ21から連携用IDの通知を受けると、通知された連携用IDと、自サーバのユーザIDとを対応付け、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルへ登録し(ステップS118)、処理を終了する。
【0113】
図10及び図11に示す処理により、ゲートウェイサーバ10の第1のユーザ管理システム用ID連携情報テーブルにユーザIDと対応する連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにユーザIDと対応するGWサーバ宛仮名称が登録される。これにより、ゲートウェイサーバ10は、第1及び第2のユーザ管理システムの連携用IDと仮名称とを統合しなくても、連携用IDが分かれば仮名称を特定でき、同様に、仮名称が特定できれば、連携用IDを特定することが可能となる。
【0114】
また、第1のユーザ管理システム用ID連携情報テーブルに連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにGWサーバ宛仮名称が登録された後においては、第1のユーザ管理システム20へのログイン後、第2のユーザ管理システム30へログインしようとする際、又は、第2のユーザ管理システム30へのログイン後、第1のユーザ管理システム20へログインしようとする際には、利用者は、最初のログイン時の認証のみで両システムへのログインが可能となる。つまり、シングルサインオンが可能となる。なお、続けてログインを希望するユーザ管理システムのセキュリティポリシによっては、再度利用者に認証の操作をさせることも可能である。
【0115】
なお、図11のステップS114では、ゲートウェイサーバ10のユーザID連携部15は、第2のユーザ管理システムで用いられるサーバ31宛仮名称を発行するようにしている。この場合、実装形態によっては、図11の処理の後に、利用者が第1のユーザ管理システム20へのログイン時の認証のみで第2のユーザ管理システム30へログインしようとする場合、又は、利用者が第2のユーザ管理システム30へのログイン時の認証のみで第1のユーザ管理システム20へログインしようとする場合に、仮名称が合致せず正常にアクセスできない場合がある。
【0116】
具体的には、仮名称を発行したサーバと、それ以外のサーバとで異なる仮名称が登録される場合にはこの問題が生じる。例を以下に示す。
図12は、図11のステップS115で、ゲートウェイサーバ10の第2のユーザ管理システム用ID連携情報テーブルに登録される仮名称と、このときに認証サーバ31のID連携情報テーブルに登録される仮名称との例を示す図である。第2のユーザ管理システム用ID連携情報テーブルに登録される仮名称には、ゲートウェイサーバ10が発行サーバであることを示す「idp_」が付与され、ID連携情報テーブルに登録される仮名称には、認証サーバ31が発行サーバ以外であることを示す「sp_」が付与される。
【0117】
一方、ユーザID連携後に、第1のユーザ管理システム20と第2のユーザ管理システム30との間でシングルサインオンや情報流通を実現しようとすると、認証を実施する第2のユーザ管理システム30の認証サーバ31が発行サーバ扱いとなり、図13に示すID連携情報テーブルが必要となる。図13に示すID連携情報テーブルは、図12で示すID連携情報テーブルとは異なっているため、図12に示すID連携情報テーブルでは、利用者を特定することができない。
【0118】
そこで、図11に示すステップS115において、ゲートウェイサーバ10の第2のユーザ管理システム用ID連携情報テーブルに仮名称を登録する際に、ユーザID連携部15は、発行サーバであることを示す「idp_」の代わりに、発行サーバ以外であることを示す「sp_」を仮名称に付加するようにする。また、ステップS115において、第2のユーザ管理システム30のID連携情報テーブルに仮名称を登録する際に、ユーザID連携部314は、発行サーバ以外であることを示す「sp_」の代わりに、発行サーバであることを示す「idp_」を仮名称に付加するようにする。すなわち仮名称を入れ替える処理を追加する。
【0119】
これにより、図11のフローが終了した時点で第2のユーザ管理システム用ID連携情報テーブル及びID連携情報テーブルに登録されている仮名称は図13のようになる。つまり、第1のユーザ管理システム20と第2のユーザ管理システム30との間でシングルサインオンを実現しようとする場合に、仮名称の不一致によるシングルサインオンの失敗を避けることが可能となる。
【0120】
また、図10及び図11に示すフローチャートで、第1及び第2のユーザ管理システム用ID連携情報テーブルにそれぞれ登録された連携用ID及び仮名称は、利用者との接続が切れた後は消去されるようにしても構わない。すなわち、ゲートウェイサーバ10のユーザID連携部15は、利用者がネットワークに接続している間は、第1及び第2のユーザ管理システム用ID連携情報テーブルに記録される情報を維持する。そして、利用者からの要求に応じて、ユーザID連携部15は、第1及び第2のユーザ管理システム用ID連携情報テーブルを参照し、第1及び第2のユーザ管理システム20,30におけるユーザ識別子を関連付ける。利用者のネットワークへの接続が切れた場合、ユーザID連携部15は、第1及び第2のユーザ管理システム用ID連携情報テーブルの情報を消去する。
【0121】
これにより、一方のユーザ管理システムからログイン後、他方のユーザ管理システムにログインしようとする場合、利用者は、他方のユーザ管理システムへのログインが2回目以降であっても、接続を切断した後においては、他方のユーザ管理システムで認証操作を行う必要がある。一方で、データの保存領域が節約でき、かつ、データ管理の手間が軽減されるというメリットがある。
【0122】
以上のように、上記実施形態に係るネットワークシステムは、ネットワーク100に連結されたゲートウェイサーバ10を具備する。ゲートウェイサーバ10は、データベース12に第1及び第2のユーザ管理システム用ID連携情報テーブルを記録し、この第1及び第2のユーザ管理システム用ID連携情報テーブルに、第1のユーザ管理システム20のユーザ識別子である連携用IDと、第2のユーザ管理システム30のユーザ識別子である仮名称とを自サーバのユーザIDと対応付けて登録する。これにより、ゲートウェイサーバ10は、第1及び第2のユーザ管理システム用ID連携情報テーブルを参照することで、第1のユーザ管理システム20での連携用IDと、第2のユーザ管理システム30での仮名称とを対応付けることが可能となり、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
【0123】
ところで、単に同一の利用者に対する複数のユーザIDを関連付けるだけであれば、ID連携型のように1つのユーザIDに統合するか、ID預託型のように各ユーザIDを関連付けて管理するテーブルを設け、それを参照して変換することで実現できる。しかしながら、それではID連携型又はID預託型の問題点までも踏襲することになる。
【0124】
特に、セキュアなID連携を特徴とするID連携型のユーザ管理システムとネットワーク接続する場合には、当該ユーザ管理システムにおいてID連携情報テーブルのキーとなっているユーザ識別子を、他のユーザ管理システムへ流出することは許されない。本実施形態に係るネットワークシステムでは、ゲートウェイサーバ10と、認証サーバ31とでGWサーバ宛仮名称を管理するようにしているため、仮名称が他のユーザ管理システムへ流出することはない。これにより、ID連携型のユーザ管理システムと同等のセキュリティレベルを保ちつつ、ユーザ管理システム間のユーザID連携を実現することが可能となる。
【0125】
また、上記実施形態では、ユーザID連携部15は、利用者のログイン時の認証処理に伴い、第1及び第2のユーザ管理システム用ID連携情報テーブルに連携用ID及びGWサーバ宛仮名称をそれぞれ登録する。また、利用者が、いずれかのユーザ管理システムから他のユーザ管理システムへのログインを要求した場合、ユーザID連携部15は、第1及び第2のユーザ管理システム用ID連携情報テーブルを参照し、一方のユーザ識別子から他方のユーザ識別子を特定する。これにより、ユーザ管理システム間のユーザID連携において、ID連携情報テーブルが自動的に作成されるようになり、かつ、サービスサーバ32−1〜32−m毎にID連携情報テーブルを作成する必要がないため、ID連携情報テーブルを作成・管理するためのコスト及び負荷が軽減されることとなる。
【0126】
また、上記実施形態に係るネットワークシステムでは、ユーザID連携部15は、発行サーバであることを示す仮名称と、発行サーバ以外であることを示す仮名称とが異なる場合には、第2のユーザ管理システム用ID連携情報テーブル及びID連携情報テーブルへの登録時に、登録される仮名称を入れ替えるようにしている。これにより、第1のユーザ管理システム20と第2のユーザ管理システム30との間でシングルサインオンを実現しようとする場合に、仮名称の不一致によるシングルサインオンの失敗を避けることが可能となる。
【0127】
したがって、本発明に係るネットワークシステムによれば、ユーザ管理方式の異なるユーザ管理システム間で同一の利用者を特定することができる。このように、方式の異なるユーザ管理システム間で同一の利用者を特定できるため、これらのユーザ管理システム間においてシングルサインオン及びデータアクセスが可能となる。
【0128】
なお、上記実施形態では、ゲートウェイサーバ10が認証部13を備える場合を例に説明したが、これに限定される訳ではない。例えば、運用者がゲートウェイサーバ10へログインする際の認証を認証サーバ21,31に委託する場合には、ゲートウェイサーバ10は、認証部13を備えていなくても構わない。
【0129】
また、上記実施形態では、ゲートウェイサーバ10が操作処理部14を備え、運用者が操作処理部14に対して操作指示を与える場合を例に説明した。しかしながら、これに限定される訳ではない。例えば、操作処理部は、認証サーバ21,31のいずれかに設けられ、運用者は、認証サーバ21,31のいずれかに設けられた操作処理部に対して操作指示を与えるようにしても構わない。
【0130】
また、上記実施形態では、第1のユーザ管理システム20のID連携情報テーブルに認証サーバ21のユーザIDと連携用IDが関連付けて登録され、ゲートウェイサーバ10の第1のユーザ管理システム用ID連携情報テーブルにゲートウェイサーバ10のユーザIDと連携用IDのマッピング情報が登録される場合を例に説明したが、これに限定される訳ではない。例えば、第1のユーザ管理システム20のID連携情報テーブルに認証サーバ21のユーザIDとサービスサーバ22−1〜22−nの実ユーザIDとが登録され、第1のユーザ管理システム用ID連携情報テーブルにゲートウェイサーバ10のユーザIDと認証サーバ21の実ユーザIDとが登録される場合であっても同様に実施可能である。
【0131】
また、上記実施形態では、認証サーバ31の認証部313での認証で、利用者又は運用者に認証サーバ31のユーザIDの入力を要求する場合を例に説明したが、これに限定される訳ではない。例えば、ユーザIDの入力を要求する代わりに、ユーザIDを一意に特定することのできるログインIDの入力を要求するようにしても構わない。このとき、認証サーバ31のデータベース312に、ユーザIDとログインIDとの対応付けを管理するテーブルを設けてもよい。
【0132】
また、上記実施形態に係るゲートウェイサーバ10、認証サーバ21,31及びサービスサーバ22−1〜22−n,32−1〜32−mは、記憶装置(例えば、揮発性メモリ、不揮発性メモリ、ハードディスク)、演算処理装置(例えばCPU)、通信装置(例えば、LANカード、モデム、通信ケーブル、赤外線通信機、無線通信機)等を備えたコンピュータにより実現可能である。
【0133】
この場合、コンピュータは、プログラム及びプログラムの処理に必要なデータを記憶装置に記憶しておき、必要に応じて演算処理装置がプログラムを読み込んで解釈実行することで、認証部13,213,313、操作処理部14、ユーザID連携部15,214,314,324及びサービス実行部222,323の機能を実現する。
【0134】
上記実施形態に係るネットワークシステムを構成するゲートウェイサーバ10、認証サーバ21,31及びサービスサーバ22−1〜22−n,32−1〜32−mにおける処理機能をコンピュータによって実現する場合、各サーバが有すべき機能の処理内容はプログラムによって記述される。
【0135】
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
【0136】
また、コンピュータ上で所定のプログラムを実行させることにより、上記各サーバを構成するとしてもよいが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0137】
10…ゲートウェイサーバ、11,211,221,311,321…通信部、12,212,312,322…データベース、13,213,313…認証部、14…操作処理部、15,214,314,324…ユーザID連携部、20…第1のユーザ管理システム、21,31…認証サーバ、22−1〜22−n、32−1〜32−m…サービスサーバ、30…ユーザ管理システム、40…利用端末
【技術分野】
【0001】
本発明は、異なる方式でユーザを管理する複数のユーザ管理システムを備えるネットワークシステムと、このネットワークシステムに備えられるゲートウェイサーバと、このネットワークシステムで用いられるユーザ識別子連携方法及びユーザ識別子連携プログラムとに関する。
【背景技術】
【0002】
近年、ネットバンク、ネットショッピング及びウェブメール等、オンライン上のサービスが増加している。個々のサービスでは、オンライン上で利用者を識別するため、利用者毎に登録されたユーザIDが管理される。ただし、利用するサービスが増えるにつれ、利用者が管理すべきユーザIDが増加し、ユーザIDの管理負担が増加するとの問題がある。
【0003】
利用者によるユーザIDの管理負担を削減する目的で、多くのユーザ管理システムが提案されている。ユーザ管理方式又はプロトコルが統一された同一のユーザ管理システム内においては、サービスサーバ毎に登録された異なるユーザ識別子を互いにリンクさせて管理する。これにより、ネットワーク上の複数のサービスサーバに対して一度の認証手続でアクセスを可能とするシングルサインオンを実現することが可能となる。なお、ユーザ管理システムとは、ネットワークに接続された複数のサーバから成り、各サーバのユーザ識別子をリンクさせて同一ユーザを特定する方法、及び/又は、ユーザ識別子をリンクさせるためのサーバ間での通信プロトコル等が同一であるサーバ群のことを指す。
【0004】
シングルサインオンを目的としたユーザ管理方式は、ID統一型、ID預託型、ID連携型に分類できる。
ID統一型では、認証サーバがユーザIDを払い出し、各サービスサーバは共通してそのユーザIDによりサービスを提供する。ID統一型では、同一事業主体内でのシングルサインオンであれば問題ないが、複数の事業主体にまたがってシングルサインオンを提供する場合にはユーザIDを集中管理する事業主体にのみ顧客情報が集中してしまうことに対するビジネスモデル上の問題が指摘されている。また、既存のサービスサーバが本方式によりシングルサインオン化する場合には、既存のID体系を破棄し、認証サーバのID体系に順ずる必要があり、システム的に、また、ビジネスモデル的に参入への障壁が高い。
【0005】
ID預託型では、各サービスサーバが払い出したユーザID及びパスワードを認証サーバに預け、認証サーバが払い出したユーザIDにより利用者認証を実施した後、認証サーバが各利用者を代行して各サービスサーバに対して各サービスサーバ用のユーザID及びパスワードを送信して各サービスサーバで再度認証を実施する方式である。ID預託型では、認証サーバにユーザID及びパスワードのセットを全て預けてしまうため、認証サーバ側での漏洩時の影響度が大きく、また、認証サーバ側で全利用者の各サイトにおけるユーザID及びパスワードが知りえることに対する危険性、及び、ユーザID及びパスワードを第三者機関へ預けることへの不安感による普及への障壁が指摘されている。
【0006】
ID連携型では、ユーザIDを各サービスサーバ自身にて管理し、認証サーバのユーザIDと各サービスサーバ間のユーザIDとを仮名称により関連付けることによりユーザIDの分散管理を可能とする。つまり、認証サーバにおいて、認証サーバのユーザIDで利用者の認証が成功すると、認証サーバはこのユーザIDを仮名称に変換してサービスサーバヘ認証結果を通知する。サービスサーバでは仮名称を自身の管理するユーザIDに変換してサービスを提供することになる。本方式により既にサービス提供中のID体系を維持しつつ、かつ、名寄せが困難なセキュアなシングルサインオンを実現可能である。
【0007】
しかしながら、ID連携型では、各サービスサーバにおいて仮名称と実ユーザIDとを変換するためのID連携情報テーブルを管理する必要がある。このため、既に商用サービスを提供しているサービスサーバをシングルサインオンに対応させるためには、サービスサーバに新たにID連携情報テーブルを導入/運用する必要があり、各サービスサーバにとって導入の障壁となるという問題がある。また、新たにIDの変換処理も必要となり性能の劣化も懸念されるという問題がある。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−299303号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
前述したように、各ユーザ管理方式にはそれぞれに長所及び短所がある。そのため、用途に応じた方式が、ユーザ管理システム毎に採用されている。一方で、ネットワーク技術の進展に伴い、各種のサービスを連携させ、利便性の高い統合サービスを提供するビジネスが期待されている。この期待に応えるため、方式の異なるユーザ管理システム同士をシングルサインオンで接続すること、及び、方式の異なるユーザ管理システム間で相互にデータアクセスを行うことが求められている。
【0010】
方式の異なるユーザ管理システム間においてシングルサインオン及びデータアクセスを実現するためには、各ユーザ管理システムにおいて異なるユーザ識別子で管理された同一の利用者を関連付け、一方のユーザ管理システムから、他方のユーザ管理システム上の同一の利用者を特定できるようにする必要がある。
【0011】
また、特に、セキュアなID連携を特徴とするID連携型のユーザ管理システムをネットワーク接続する場合には、ユーザID連携情報のキーとなっているユーザ識別子を、他のユーザ管理システムに流出することは許されない。そのため、ID連携型のユーザ管理システムと同等のセキュリティレベルを保ちつつ、ユーザ管理システム間のユーザIDを連携することが可能なしくみが必要である。
【0012】
この発明は上記事情に着目してなされたもので、その目的とするところは、方式の異なるユーザ管理システム間で同一の利用者を特定可能なネットワークシステムと、このネットワークシステムに備えられるゲートウェイサーバと、このネットワークシステムで用いられるユーザ識別子連携方法及びユーザ識別子連携プログラムとを提供することにある。
【課題を解決するための手段】
【0013】
上記目的を達成するためにこの発明に係るネットワークシステムは、第1及び第2のユーザ管理システムと、ゲートウェイサーバとを具備する。第1のユーザ管理システムは、利用者にサービスを提供する第1のサービスサーバと、前記第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1の認証サーバとを備える。第2のユーザ管理システムは、利用者にサービスを提供する第2のサービスサーバと、前記第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2の認証サーバとを備える。ゲートウェイサーバは、前記ID情報と、前記第2の仲介用ID情報とを対応付けて第3のID連携情報テーブルで管理する。ゲートウェイサーバは、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2の認証サーバへ出力する。また、ゲートウェイサーバは、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1の認証サーバへ出力する。
【0014】
これにより、ネットワークシステムは、第3のID連携情報テーブルを参照することで、第1のユーザ管理システムでのID情報と、第2のユーザ管理システムでの第2の仲介用ID情報とを対応付けることが可能となり、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
【0015】
また、上記構成のネットワークシステムでは、前記ゲートウェイサーバは、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録する。前記第2の認証サーバは、前記指定子に応じて前記第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録する。
【0016】
これにより、ネットワークシステムでは、利用者の手を煩わせることなく、ゲートウェイサーバで第3のID連携情報テーブルにID情報及び第2の仲介用ID情報が登録されることになるため、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
【0017】
また、上記構成のネットワークシステムでは、前記ゲートウェイサーバは、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記第1のユーザ管理システムへのログイン後、前記第2のユーザ管理システムへ利用者がログインする際に前記第2の認証サーバで発行される第2の仲介用ID情報を、前記登録したID情報と対応付けて前記第3のID連携情報テーブルへ登録する。前記第2の認証サーバは、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録するようにしている。
【0018】
これにより、ネットワークシステムでは、利用者が第1のユーザ管理システムから第2のユーザ管理システムへログインすると、ゲートウェイサーバで第3のID連携情報テーブルにID情報及び第2の仲介用ID情報が登録されることになるため、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
【0019】
また、上記構成のネットワークシステムでは、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記第2のユーザ管理システムへのログイン後、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録した第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録する。前記第2の認証サーバは、前記発行された第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録するようにしている。
【0020】
これにより、ネットワークシステムでは、利用者が第2のユーザ管理システムから第1のユーザ管理システムへログインすると、ゲートウェイサーバで第3のID連携情報テーブルにID情報及び第2の仲介用ID情報が登録されることになるため、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
【0021】
また、上記構成のネットワークシステムでは、前記ゲートウェイサーバは、前記発行した第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバでないことを示す文字を付して、前記第3のID連携情報テーブルへ登録する。前記第2の認証サーバは、前記発行された第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバであることを示す文字を付して、前記第2のID連携情報テーブルへ登録ようにしている。
【0022】
これにより、ネットワークシステムは、第2の仲介用ID情報の発行サーバであるか、又は、発行サーバ以外であるかによって、登録される第2の仲介用ID情報が異なる場合においても、第2の仲介用ID情報の不一致によるシングルサインオンや情報流通の失敗を避けることが可能となる。
【0023】
また、本発明に係るゲートウェイサーバは、上記構成のネットワークシステムで用いられ、通信部、データベース及びユーザID連携部を具備する。通信部は、前記ネットワークシステムと通信する。データベースは、前記ID情報と、前記第2の仲介用ID情報とを対応付けて管理する第3のID連携情報テーブルを記録する。ユーザID連携部は、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力する。ユーザID連携部は、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1のユーザ管理システムへ出力する。
【0024】
これにより、ゲートウェイサーバは、第3のID連携情報テーブルを参照することで、第1のユーザ管理システムでのID情報と、第2のユーザ管理システムでの第2の仲介用ID情報とを対応付けることが可能となり、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
【0025】
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0026】
これにより、ゲートウェイサーバは、第3のID連携情報テーブルを作成するためのコスト及び負荷を軽減することが可能である。
【0027】
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記第1のユーザ管理システムへのログイン後、前記第2のユーザ管理システムへ利用者がログインする際に前記第2の認証サーバで発行される第2の仲介用ID情報を、前記登録したID情報と対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0028】
これにより、ゲートウェイサーバは、第3のID連携情報テーブルを作成するためのコスト及び負荷を軽減することが可能である。
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記第2のユーザ管理システムへのログイン後、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録した第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0029】
これにより、ゲートウェイサーバは、第3のID連携情報テーブルを作成するためのコスト及び負荷を軽減することが可能である。
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、前記発行した第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバでないことを示す文字を付して、前記第3のID連携情報テーブルへ登録するようにしている。
【0030】
これにより、ゲートウェイサーバは、第2の仲介用ID情報の発行サーバであるか、又は、発行サーバ以外であるかによって、登録される第2の仲介用ID情報が異なる場合においても、第2の仲介用ID情報の不一致によるシングルサインオンの失敗を避けることが可能となる。
【0031】
また、上記構成のゲートウェイサーバでは、前記ユーザID連携部は、前記ログインを要求した利用者との接続が切断された場合、前記第3のID連携情報テーブルで管理される前記ID情報及び前記第2の仲介用ID情報を消去するようにしてもよい。
これにより、ゲートウェイサーバにおけるデータの保存領域が節約でき、かつ、データ管理の手間が軽減されることとなる。
【0032】
また、本発明に係るユーザ識別子連携方法は、上記の第1及び第2のユーザ管理システムと、ゲートウェイサーバとを具備するネットワークシステムで用いられる。ユーザ識別子連携方法では、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力する。また、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1のユーザ管理システムへ出力するようにしている。
【0033】
これにより、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
また、上記ユーザ識別子連携方法では、運用者から入力される指定子に応じ、前記第2のユーザ管理システムにおける認証サーバで第2の仲介用ID情報を発行し、前記認証サーバにより、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録し、前記ゲートウェイサーバにより、前記発行された第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0034】
これにより、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
また、上記ユーザ識別子連携方法では、前記第1のユーザ管理システムへのログイン後に前記第2のユーザ管理システムへのログイン要求を受信した場合、前記ゲートウェイサーバにより、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記ログイン要求に応じて、前記第2のユーザ管理システムの認証サーバで第2の仲介用ID情報を発行し、前記認証サーバにより、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録し、前記ゲートウェイサーバにより、前記発行された第2の仲介用ID情報を、前記登録されたID情報と対応付けて前記第3のID連携情報テーブルへ登録する。前記第2のユーザ管理システムへのログイン後に前記第1のユーザ管理システムへのログイン要求を受信した場合、前記ゲートウェイサーバにより、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記ゲートウェイサーバにより、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記ゲートウェイサーバにより、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録された第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録するようにしている。
【0035】
これにより、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
また、本発明に係るユーザ識別子連携プログラムは、上記構成の第1及び第2のユーザ管理システムとネットワークを介して接続可能なゲートウェイサーバに備えられたコンピュータで使用されるユーザ識別子連携プログラムである。ユーザ識別子連携プログラムは、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記ゲートウェイサーバで記録される第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出する処理と、前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力する処理と、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出する処理と、前記検出した前記ID情報を前記第1のユーザ管理システムへ出力する処理とを前記コンピュータに実行させる。
【0036】
これにより、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
また、上記ユーザ識別子連携プログラムは、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録する処理をさらに前記コンピュータに実行させる。
【0037】
これにより、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
また、上記ユーザ識別子連携プログラムは、前記第1のユーザ管理システムへのログイン後に前記第2のユーザ管理システムへのログイン要求を受信した場合、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録する処理と、前記第2のユーザ管理システムへ利用者がログインする際に前記第2のユーザ管理システムで発行される第2の仲介用ID情報を、前記登録されたID情報と対応付けて前記第3のID連携情報テーブルへ登録する処理とを前記コンピュータにさらに実行させる。ユーザ識別子連携プログラムは、前記第2のユーザ管理システムへのログイン後に前記第1のユーザ管理システムへのログイン要求を受信した場合、前記第2のユーザ管理システムへ利用者がログインする際に前記ゲートウェイサーバで発行される第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録する処理と、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録された第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録する処理とをさらに前記コンピュータに実行させる。
【0038】
これにより、第3のID連携情報テーブルを作成するためのコスト及び負荷が軽減されることとなる。
【発明の効果】
【0039】
要するにこの発明によれば、方式の異なるユーザ管理システム間で同一の利用者を特定可能なネットワークシステムと、このネットワークシステムに備えられるゲートウェイサーバと、このネットワークシステムで用いられるユーザ識別子連携方法及びユーザ識別子連携プログラムとを提供することができる。
【図面の簡単な説明】
【0040】
【図1】本発明の実施形態に係るネットワークシステムの構成を示す図である。
【図2】図1のゲートウェイサーバ、第1のユーザ管理システム及び第2のユーザ管理システムの機能構成を示す図である。
【図3】図2の第2のユーザ管理システムにおける認証サーバ及びサービスサーバでそれぞれ記録されるID連携情報テーブルを示す図である。
【図4】第1及び第2のユーザ管理システムと、ゲートウェイサーバとの接続例と、当該接続時にゲートウェイサーバで記録されるID連携情報テーブルの例とを示す図である。
【図5】第1及び第2のユーザ管理システムと、ゲートウェイサーバとの接続例と、当該接続時にゲートウェイサーバで記録されるID連携情報テーブルの例とを示す図である。
【図6】第1及び第2のユーザ管理システムと、ゲートウェイサーバとの接続例と、当該接続時にゲートウェイサーバで記録されるID連携情報テーブルの例とを示す図である。
【図7】第1及び第2のユーザ管理システムと、ゲートウェイサーバとの接続例と、当該接続時にゲートウェイサーバで記録されるID連携情報テーブルの例とを示す図である。
【図8】運用者からの指示により、第1及び第2のユーザ管理システム用ID連携情報テーブルに連携用ID及び仮名称がそれぞれ登録される際のゲートウェイサーバの動作を示すフローチャートである。
【図9】図2のゲートウェイサーバと、第1及び第2のユーザ管理システムとに記録されるID連携情報テーブルの例を示す図である。
【図10】利用者が第1のユーザ管理システムへログインした後、第1のユーザ管理システムから第2のユーザ管理システムへログインする際のゲートウェイサーバの動作を示すフローチャートである。
【図11】利用者が第2のユーザ管理システムへログインした後、第2のユーザ管理システムから第1のユーザ管理システムへログインする際のゲートウェイサーバの動作を示すフローチャートである。
【図12】図11のステップS115で、ゲートウェイサーバの第2のユーザ管理システム用ID連携情報テーブルと、認証サーバのID連携情報テーブルとに登録される仮名称の例を示す図である。
【図13】図12の仮名称を入れ替えて登録した際の各ID連携情報テーブルを示す図である。
【発明を実施するための形態】
【0041】
以下、図面を参照してこの発明に係わる実施形態を説明する。図1は、本発明の実施形態に係るネットワークシステムの構成を示す模式図である。図1に示すネットワークシステムは、インターネット及び/又は移動体通信網等から成るネットワーク100と、ネットワーク100に連結されるゲートウェイサーバ10、第1のユーザ管理システム20、第2のユーザ管理システム30及び利用端末40とを具備する。また、図2は、本実施形態に係るネットワークシステムにおけるゲートウェイサーバ10、第1のユーザ管理システム20及び第2のユーザ管理システム30の機能構成を示すブロック図である。
【0042】
利用端末40は、パソコン、PDA及び携帯電話等の操作端末である。利用端末40は、サービスの利用を希望する利用者、又は、利用者により委託された運用者等により利用される。運用者は、利用者についての情報をゲートウェイサーバ10に登録する際に、利用端末40を介し、ゲートウェイサーバ10へログイン要求を送信する。利用者は、第1又は第2のユーザ管理システム20,30に対してサービスの開始を要求する際には、利用端末40を介し、第1又は第2のユーザ管理システムへログイン要求を送信する。
【0043】
第1のユーザ管理システム20は、例えば、OpenIDプロトコルを採用して接続されるサーバ群であり、認証サーバ21及びサービスサーバ22−1〜22−nを備える。認証サーバ21及びサービスサーバ22−1〜22−nは、ネットワーク100と連結する。認証サーバ21は、連携用IDを払い出し、サービスサーバ22−1〜22−nはこれを利用する。
【0044】
サービスサーバ22−1は、利用者に対してサービスを提供する。サービスサーバ22−1は、通信部221及びサービス実行部222を備える。なお、サービスサーバ22−2〜22−nに関しては、サービスサーバ22−1と同様の構成であるため、ここでは、サービスサーバ22−1について説明する。
【0045】
通信部221は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部221は、ネットワーク100を介し、認証サーバ21又は利用端末40と通信を行う。
サービス実行部222は、利用端末40から供給されるログイン要求が通信部221により受信されると、利用者の認証要求を通信部221から認証サーバ21へ送信する。サービス実行部222は、利用者の認証が完了すると、認証された利用者に対してサービスを提供する。
【0046】
認証サーバ21は、通信部211、データベース212、認証部213及びユーザID連携部214を備える。
通信部211は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部211は、ネットワーク100を介し、サービスサーバ22−1〜22−n又はゲートウェイサーバ10と通信を行う。
【0047】
データベース212は、ID連携情報テーブルを記録する。ID連携情報テーブルでは、認証サーバ21のユーザIDと、連携用IDとが対応付けられて登録されている。
認証部213は、利用端末40からゲートウェイサーバ10を介して供給されるログイン要求が通信部211により受信されると、利用端末40に認証画面を表示させ、連携用IDの入力を要求することで、利用者の認証を行う。認証部213は、ログインを要求した者が利用者であると認定すると、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0048】
また、認証部213は、サービス実行部222からの認証要求を受けると、利用端末40に認証画面を表示させ、連携用IDの入力を要求することで、利用者の認証を行う。認証部213は、ログインを要求した者が利用者であると認定すると、認定した利用者に対してログインを許可する旨をサービス実行部222へ返すと共に、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0049】
ユーザID連携部214は、ゲートウェイサーバ10のユーザID連携部15へ所定の利用者を特定するための連携用IDを通知する。
第2のユーザ管理システム30は、例えば、SAMLプロトコルを採用して接続されるサーバ群であり、認証サーバ31及びサービスサーバ32−1〜32−mを備える。認証サーバ31及びサービスサーバ32−1〜32−mは、ネットワーク100と連結する。
【0050】
認証サーバ31は、同一の利用者に対して、サービスサーバ毎に異なる仮名称を払い出し、これらの仮名称を自サーバのユーザIDと対応付けて管理する。サービスサーバ32−1〜32−mでは、認証サーバ31で払い出された自サーバ宛の仮名称を自サーバのユーザIDと対応付けて管理する。
【0051】
サービスサーバ32−1は、通信部321、データベース322、サービス実行部323及びユーザID連携部324を備える。なお、サービスサーバ32−2〜32−nに関しては、サービスサーバ32−1と同様の構成であるため、ここでは、サービスサーバ32−1について説明する。
【0052】
通信部321は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部321は、ネットワーク100を介し、認証サーバ31又は利用端末40と通信を行う。
サービス実行部323は、利用端末40から供給されるログイン要求が通信部321により受信されると、利用者の認証要求を通信部321から認証サーバ31へ送信する。サービス実行部323は、利用者の認証が完了すると、認証された利用者に対してサービスを提供する。
【0053】
ログインが完了した利用者または運用者は、利用端末40から、ユーザIDの連携を要求する場合がある。サービス実行部323は、ユーザIDの連携要求が通信部321により受信されると、ユーザIDの連携をユーザID連携部324に対して要求する。
【0054】
ユーザID連携部324は、サービス実行部323からユーザIDの連携が要求されると、仮名称の発行要求を通信部321から認証サーバ31へ送信する。ユーザID連携部324は、認証サーバ31で発行された仮名称が認証サーバ31から通知されると、通知された仮名称を、自サーバについてのユーザIDと関連付けてデータベース322に記録されるID連携情報テーブルへ登録する。
【0055】
認証サーバ31は、通信部311、データベース312、認証部313及びユーザID連携部314を備える。
通信部311は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部311は、ネットワーク100を介し、サービスサーバ32−1〜32−m又はゲートウェイサーバ10と通信を行う。
【0056】
認証部313は、利用端末40からゲートウェイサーバ10を介して供給されるログイン要求が通信部311により受信されると、利用端末40に認証画面を表示させ、自サーバのユーザIDの入力を要求することで、利用者の認証を行う。認証部313は、ログインを要求した者が利用者であると認定すると、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。なお、ユーザIDと認証画面で入力させるログインIDは別にし、対応付けを管理するテーブルを設けてもよい。
【0057】
また、認証部313は、サービス実行部323からの認証要求を受けると、利用端末40に認証画面を表示させ、認証サーバ31のユーザIDの入力を要求することで、利用者の認証を行う。認証部313は、ログインを要求した者が利用者であると認定すると、認定した利用者に対してログインを許可する旨をサービス実行部323へ返すと共に、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0058】
ユーザID連携部314は、ゲートウェイサーバ10のユーザID連携部15からGWサーバ宛仮名称を要求されると、データベース312に記録されるID連携情報テーブルにGWサーバ宛仮名称が登録されているか否かを判断する。このとき、ユーザID連携部15から通知されるGWサーバ宛仮名称の要求には、利用者を特定可能な識別子が付されており、ユーザID連携部314は、この識別子を参照し、ID連携情報テーブルにGWサーバ宛仮名称が登録されているか否かを判断する。ID連携情報テーブルにGWサーバ宛仮名称が登録されている場合、ユーザID連携部314は、GWサーバ宛仮名称をゲートウェイサーバ10へ送信する。ID連携情報テーブルにGWサーバ宛仮名称が登録されていない場合、ユーザID連携部314は、GWサーバ宛仮名称を発行し、ID連携情報テーブルに、自サーバのユーザIDと、発行したGWサーバ宛仮名称を関連付けて登録すると共に、ゲートウェイサーバ10へ登録したGWサーバ宛仮名称を送信する。
【0059】
また、ユーザID連携部314は、サービス実行部323から送信された仮名称発行要求が通信部311により受信されると、仮名称を発行する。ユーザID連携部314は、仮名称を発行すると、発行した仮名称と、自サーバのユーザIDと、仮名称発行要求を送信したサービスサーバの識別情報とを関連付けて、データベース312に記録するID連携情報テーブルに登録する。ユーザID連携部314は、登録した仮名称を、仮名称発行要求を送信したサービスサーバへ送信する。なお、仮名称発行要求を送信したサービスサーバが複数ある場合、ユーザID連携部314は、サービスサーバ毎に仮名称を発行し、仮名称発行要求を送信したサービスサーバへ発行した仮名称を返す。
【0060】
また、ユーザID連携部314は、ゲートウェイサーバ10へサーバ31宛仮名称の発行を要求する。ユーザID連携部314は、ゲートウェイサーバ10からサーバ31宛仮名称を渡されたら、渡されたサーバ31宛仮名称を自サーバのユーザIDと関連付けてID連携情報テーブルに登録する。
【0061】
図3は、本実施形態に係る認証サーバ31のデータベース312及びサービスサーバ32−1〜32−nのデータベース322にそれぞれ記録されるID連携情報テーブルを示す図である。
データベース312に記録されるID連携情報テーブルには、ゲートウェイサーバ10との連携を示すものと、サービスサーバ32−1〜32−nとの連携を示すものとがある。ゲートウェイサーバ10との連携を示すID連携情報テーブルには、認証サーバ31のユーザID「111」と、仮名称「xxx」と、宛先サーバとしての「GWサーバ」とが関連付けて登録されている。サービスサーバ32−1〜32−nとの連携を示すID連携情報テーブルには、認証サーバ31のユーザID「111」と、仮名称「yyy」と、宛先サーバとしての「サービスサーバ32−1」とが関連付けて登録されている。
【0062】
データベース322で記録されるID連携情報テーブルには、サービスサーバ32−1のユーザID「222」と、仮名称「yyy」と、宛先サーバとしての「認証サーバ」とが関連付けて登録される。
ゲートウェイサーバ10は、通信部11、データベース12、認証部13、操作処理部14及びユーザID連携部15を備える。
【0063】
通信部11は、ネットワーク100と連結されるその他の機器と通信を行う。例えば、通信部11は、ネットワーク100を介し、認証サーバ21,31及び利用端末40と通信を行う。
認証部13は、操作処理部14から運用者の認証要求を受けると、利用端末40に認証画面を表示させ、運用者のユーザIDの入力を要求することで、運用者の認証を行う。認証部13は、ログインを要求した者が運用者であると認定すると、認定した運用者に対してログインを許可する旨を操作処理部14へ返すと共に、認定した運用者に対してログインを許可する旨を利用端末40へ通知する。
【0064】
操作処理部14は、利用端末40から送信される運用者のログイン要求が通信部11により受信されると、運用者の認証要求を認証部13へ通知する。なお、認証要求は、認証サーバ21又は認証サーバ31に依頼してもよい。また、認証要求は、認証サーバ21,31の両方に依頼しても良い。このとき、ゲートウェイサーバ10及び認証サーバ21,31での認証が全て成功した時のみ認証成功としてもよい。
【0065】
また、操作処理部14は、ログインが完了した運用者に対して、第2のユーザ管理システム30において利用者を特定する情報であるユーザ指定子、及び第1のユーザ管理システム20において利用者を特定する情報である連携用IDを要求する。
ユーザID連携部15は、第1のユーザ管理システム20の認証サーバ20から通知される連携用IDと、自サーバのユーザIDとを関連付けて、データベース12に記録されるID連携情報テーブルに登録する。なお、ユーザID連携部15は、ID連携情報テーブルが後述するように第1及び第2のユーザ管理システム用ID連携情報テーブルである場合は、連携用IDと、自サーバのユーザIDとを関連付けて、第1のユーザ管理システム用ID連携情報テーブルに登録する。
【0066】
また、ユーザID連携部15は、操作処理部14から要求された場合、第2のユーザ管理システム30の認証サーバ31へGWサーバ宛仮名称の発行を要求する。ユーザID連携部15は、認証サーバ31からGWサーバ宛仮名称が通知されると、通知されるGWサーバ宛仮名称と、自サーバのユーザIDとを関連付けて、データベース12に記録されるID連携情報テーブルに登録する。なお、ユーザID連携部15は、ID連携情報テーブルが後述するように第1及び第2のユーザ管理システム用ID連携情報テーブルである場合は、GWサーバ宛仮名称と、自サーバのユーザIDとを関連付けて、第2のユーザ管理システム用ID連携情報テーブルに登録する。
【0067】
また、ユーザID連携部15は、ユーザID連携部314からサーバ31宛仮名称の発行が要求されると、サーバ31宛仮名称を発行する。ユーザID連携部15は、発行したサーバ31宛仮名称と、自サーバのユーザIDとを関連付けて、データベース12に記録されるID連携情報テーブルに登録する。なお、ユーザID連携部15は、ID連携情報テーブルが後述するように第1及び第2のユーザ管理システム用ID連携情報テーブルである場合は、サーバ31宛仮名称と、自サーバのユーザIDとを関連付けて、第2のユーザ管理システム用ID連携情報テーブルに登録する。ユーザID連携部15は、発行したサーバ31宛仮名称を、認証サーバ31へ送付する。
【0068】
また、ユーザID連携部15は、第1のユーザ管理システム20から第2のユーザ管理システム30へのログイン要求があった場合、データベース12に記録されるID連携情報テーブルを参照し、認証サーバ21から通知された連携用IDに対応する仮名称を検出し、検出した仮名称を第2のユーザ管理システム30へ送信する。また、ユーザID連携部15は、第2のユーザ管理システム30から第1のユーザ管理システム30へのログイン要求があった場合、データベース12に記録されるID連携情報テーブルを参照し、認証サーバ31から通知された仮名称に対応する連携用IDを検出し、検出した連携用IDを第1のユーザ管理システム20へ送信する。なお、ユーザID連携部15は、ID連携情報テーブルが、後述するように第1及び第2のユーザ管理システム用ID連携情報テーブルである場合は、第1及び第2のユーザ管理システム用ID連携情報テーブルを参照し、仮名称及び連携用IDを検出する。
【0069】
図4乃至図7は、第1及び第2のユーザ管理システム20,30と、ゲートウェイサーバ10との接続例と、当該接続時にゲートウェイサーバ10のデータベース12で記録されるID連携情報テーブルの例とを示す図である。
図4は、ゲートウェイサーバ10に第1及び第2のユーザ管理システム20,30が接続される際の接続例と、このときにデータベース12で記録されるID連携情報テーブルを示す図である。図4において、ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」と、GWサーバ宛仮名称「仮名1」と、宛先サーバとしての「認証サーバ31」とが関連付けて登録されている。また、ID連携情報テーブルは、第1及び第2のユーザ管理システム用ID連携情報テーブルであっても構わない。図4に示すように、第1のユーザ管理システム用ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」と、ゲートウェイサーバ10のユーザID「GW−0001」とが関連付けて登録される。第2のユーザ管理システム用ID連携情報テーブルには、ゲートウェイサーバ10のユーザID「GW−0001」と、GWサーバ宛仮名称「仮名1」と、宛先サーバとしての「認証サーバ31」とが関連付けて登録されている。
【0070】
第1のユーザ管理システム用ID連携情報テーブルで連携用IDを管理し、第2のユーザ管理システム用ID連携情報テーブルでGWサーバ宛仮名称を管理することで、第1及び第2のユーザ管理システム20,30のいずれからでも、利用者を特定することが可能となる。
【0071】
図5は、ゲートウェイサーバ10に第1のユーザ管理システム20と、第2のユーザ管理システム30−1,30−2とが接続される際の接続例と、このときにデータベース12で記録されるID連携情報テーブルを示す図である。図5において、ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」と、GWサーバ宛仮名称「仮名1」及び「仮名2」と、宛先サーバとしての「認証サーバ31−1」及び「認証サーバ31−2」とが関連付けて登録されている。また、ID連携情報テーブルは、第1及び第2のユーザ管理システム用ID連携情報テーブルであっても構わない。図5に示すように、第1のユーザ管理システム用ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」と、ゲートウェイサーバ10のユーザID「GW−0001」とが関連付けて登録される。第2のユーザ管理システム用ID連携情報テーブルには、ゲートウェイサーバ10のユーザID「GW−0001」と、GWサーバ宛仮名称「仮名1」及び「仮名2」と、宛先サーバとしての「認証サーバ31−1」及び「認証サーバ31−2」とが関連付けて登録されている。
【0072】
図6は、ゲートウェイサーバ10に第1のユーザ管理システム20−1,20−2と、第2のユーザ管理システム30とが接続される際の接続例と、このときにデータベース12で記録されるID連携情報テーブルを示す図である。図6において、ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」及び「0001−0002」と、GWサーバ宛仮名称「仮名1」と、宛先サーバとしての「認証サーバ31」とが関連付けて登録されている。また、ID連携情報テーブルは、第1及び第2のユーザ管理システム用ID連携情報テーブルであっても構わない。図6に示すように、第1のユーザ管理システム用ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」及び「0001−0002」と、ゲートウェイサーバ10のユーザID「GW−0001」とが関連付けて登録される。第2のユーザ管理システム用ID連携情報テーブルには、ゲートウェイサーバ10のユーザID「GW−0001」と、GWサーバ宛仮名称「仮名1」と、宛先サーバとしての「認証サーバ31」とが関連付けて登録されている。
【0073】
図7は、ゲートウェイサーバ10に第1のユーザ管理システム20−1,20−2と、第2のユーザ管理システム30−1,30−2とが接続される際の接続例と、このときにデータベース12で記録されるID連携情報テーブルを示す図である。データベース12には、図7に示すように、第1及び第2のユーザ管理システム用ID連携情報テーブルが記録される。第1のユーザ管理システム用ID連携情報テーブルには、認証サーバ21の連携用ID「0001−0001」及び「0001−0002」と、ゲートウェイサーバ10のユーザID「GW−0001」及び「GW−0002」とが関連付けて登録される。第2のユーザ管理システム用ID連携情報テーブルには、ゲートウェイサーバ10のユーザID「GW−0001」及び「GW−0002」と、GWサーバ宛仮名称「仮名1」及び「仮名2」と、宛先サーバとしての「認証サーバ31−1」及び「認証サーバ31−2」とが関連付けて登録されている。
【0074】
次に、上記のように構成されたネットワークシステムにおけるゲートウェイサーバ10、第1及び第2のユーザ管理システム20,30の動作を詳細に説明する。
なお、以下の説明では、運用者については、第1及び第2のユーザ管理システム20,30の認証サーバ21,31と、ゲートウェイサーバ10とにおけるユーザIDはすでに作成済みであり、認証サーバ21,31と、ゲートウェイサーバ10とにおけるID連携情報テーブルはすでに登録済みであるとする。利用者については、第1及び第2のユーザ管理システム20,30の認証サーバ21,31におけるユーザIDはすでに作成済みであるとする。また、運用者は、第1のユーザ管理システム20において利用者を特定する情報である連携用IDと、第2のユーザ管理システム30において利用者を特定する情報であるユーザ指定子を利用者から入手しているものとする。ユーザ指定子とは、例えば、第2のユーザ管理サーバ30の認証サーバ31で管理する他サーバ宛の仮名を暗号化・署名した文字列である。また、第1及び第2のユーザ管理システム20,30の認証サーバ21,31を一意に特定するプロバイダIDは既知であるものとする。
【0075】
図8は、運用者からの指示により、運用者以外の利用者のゲートウェイサーバ10における第1のユーザ管理システム用ID連携情報テーブルに連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにGWサーバ宛仮名称が登録される際のゲートウェイサーバ10の動作を示すフローチャートである。図9は、本実施形態に係るゲートウェイサーバ10に記録される第1及び第2のユーザ管理システム用ID連携情報テーブル、第1及び第2のユーザ管理システム20,30にそれぞれ記録されるID連携情報テーブルの例を示す模式図である。
【0076】
まず、運用者が利用端末40からゲートウェイサーバ10へログインを要求する。運用者からのログイン要求を受けると、ゲートウェイサーバ10の操作処理部14は、第2のユーザ管理システム30の認証サーバ31に対し、運用者の認証を要求する(ステップS81)。なお、ステップS81では、運用者の認証を認証サーバ31の認証部313に要求する例について説明したが、ゲートウェイサーバ10の認証部13、又は、第1のユーザ管理システム20の認証サーバ21へ要求するようにしても構わない。
【0077】
認証サーバ31の認証部313は、操作処理部14からの認証要求を受けると、利用端末40に認証画面を表示させ、運用者に対して認証サーバ31のユーザIDの入力を要求する。認証部313は、利用端末40から認証サーバ31のユーザIDが入力されると、ログインを要求した者が運用者であると認定する。認証部313は、認定した運用者に対してログインを許可する旨を操作処理部14へ返すと共に、認定した運用者に対してログインを許可する旨を利用端末40へ通知する。
【0078】
続いて、操作処理部14は、運用者に対して、第2のユーザ管理システム30において利用者を特定する情報であるユーザ指定子を要求する。ユーザ指定子は、認証サーバ31においてユーザを一意に識別できるもので、例えば、認証サーバ31で管理する他サーバ宛の仮名称を暗号化・署名した文字列がこれにあたる。ゲートウェイサーバ10のユーザID連携部15は、利用端末40からユーザ指定子が入力されると、ユーザ指定子を認証サーバ31へ送信すると共に、認証サーバ31に対してユーザ指定子に対応するGWサーバ宛仮名称を要求する(ステップS82)。
【0079】
認証サーバ31のユーザID連携部314は、ユーザID連携部15からGWサーバ宛仮名称が要求されると、ユーザ指定子を復号化・署名検証することで、ユーザ指定子を認証サーバ31のユーザIDへ変換する。ユーザID連携部314は、データベース312に記録されるID連携情報テーブルを参照し、変換したユーザIDに対応付けられたGWサーバ宛仮名称を検索する。変換したユーザIDに対応付けられたGWサーバ宛仮名称が存在する場合、ユーザID連携部314は、取得したGWサーバ宛仮名称を、操作処理部14へ通知する。変換したユーザIDに対応付けられたGWサーバ宛仮名称が存在しない場合、ユーザID連携部314は、GWサーバ宛仮名称が存在しないことを操作処理部14へ送信する。
【0080】
例えば、図9においては、ユーザID連携部314は、ユーザ指定子を復号化・署名検証することで、ユーザ指定子を認証サーバ31のユーザID「OTHER_USER0001」へ変換する。ユーザID連携部314は、ID連携情報テーブルを参照し、認証サーバ31のユーザID「OTHER_USER0001」について、宛先サーバ「GWサーバ」と関連付けられた仮名称「kamei1」を取得する。ユーザID連携部314は、取得した仮名称「kamei1」を操作処理部14へ通知する。
【0081】
続いて、ユーザID連携部15は、認証サーバ31からGWサーバ宛仮名称の通知があるか否かにより、異なる処理を行う(ステップS83)。認証サーバ31からGWサーバ宛仮名称の通知がある場合(ステップS83のYes)、ユーザID連携部15は、処理をステップS84へ移行する。認証サーバ31から、GWサーバ宛仮名称が存在しないことが通知された場合(ステップS83のNo)、ユーザID連携部15は、処理をステップS85へ移行する。
【0082】
ステップS84において、ユーザID連携部15は、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルを参照し、通知されたGWサーバ宛仮名称と対応付けられたゲートウェイサーバ10のユーザIDを取得する(ステップS84)。
【0083】
例えば、図9においては、ユーザID連携部15は、第2のユーザ管理システム用ID連携情報テーブルを参照し、通知された仮名称「kamei1」と対応付けられたゲートウェイサーバ10のユーザID「USER0001」を取得する。
ユーザID連携部15は、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルを参照し、ステップS84で取得されたゲートウェイサーバ10のユーザIDと対応付けられた連携用IDが存在するか否かを判断する(ステップS86)。ゲートウェイサーバ10のユーザIDと対応付けられた連携用IDが存在する場合(ステップS86のYes)、ユーザID連携部15は、処理をステップS87へ移行する。ゲートウェイサーバ10のユーザIDと対応付けられた連携用IDが存在しない場合(ステップS86のNo)、処理をステップS88へ移行する。
【0084】
例えば、図9においては、ユーザID連携部15は、第1のユーザ管理システム用ID連携情報テーブルを参照し、ゲートウェイサーバ10のユーザID「USER0001」と対応付けられた連携用ID「ID001」が存在すると判断する。
ステップS87において、ユーザID連携部15は、ゲートウェイサーバ10における利用者の第1及び第2のユーザ管理システム用ID連携情報テーブルに連携用ID及び仮名称がそれぞれ登録済みであることを利用端末40に表示させ(ステップS87)、処理を終了する。
【0085】
ステップS88において、操作処理部14は、運用者に対して、第1のユーザ管理システム20において利用者を特定する情報である連携用IDを要求する。ユーザID連携部15は、利用端末40から連携用IDが入力されると、入力された連携用IDと、自サーバのユーザIDとを関連付けて、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルへ登録する(ステップS88)。
【0086】
続いて、ユーザID連携部15は、ゲートウェイサーバ10における利用者の第1及び第2のユーザ管理システム用ID連携情報テーブルに連携用ID及び仮名称がそれぞれ登録されたことを利用端末40に表示させ(ステップS89)、処理を終了する。
ステップS85において、操作処理部14は、運用者に対して、第1のユーザ管理システム20において利用者を特定する情報である連携用IDを要求する。ユーザID連携部15は、利用端末40から連携用IDが入力されると、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルを参照し、入力された連携用IDと対応付けられたゲートウェイサーバ10のユーザIDが存在するか否かを判断する(ステップS85)。入力された連携用IDと対応付けられたゲートウェイサーバ10のユーザIDが存在する場合(ステップS85のYes)、ユーザID連携部15は、処理をステップS810へ移行する。入力された連携用IDと対応付けられたゲートウェイサーバ10のユーザIDが存在しない場合(ステップS85のNo)、ユーザID連携部15は、処理をステップS811へ移行する。
【0087】
ステップS810において、ユーザID連携部15は、ステップS82で入力されたユーザ指定子により指定される認証サーバ31のユーザIDと対応付けられたGWサーバ宛仮名称の発行を、認証サーバ31に対して要求する(ステップS810)。
認証サーバ31のユーザID連携部314は、ユーザID連携部15からGWサーバ宛仮名称の発行が要求されると、GWサーバ宛仮名称を発行する。ユーザID連携部314は、発行したGWサーバ宛仮名称と、自サーバのユーザIDとを対応付け、データベース312に記録されるID連携情報テーブルへ登録する。また、ユーザID連携部314は、発行したGWサーバ宛仮名称をゲートウェイサーバ10へ送信する。
【0088】
続いて、ユーザID連携部15は、認証サーバ31から送信されたGWサーバ宛仮名称を受信すると、受信したGWサーバ宛仮名称と、ステップS85で取得した自サーバのユーザIDとを関連付け、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルへ登録する(ステップS812)。登録後、ユーザID連携部15は、処理をステップS89へ移行する。
【0089】
ステップS811において、ユーザID連携部15は、自サーバのユーザIDを発行する(ステップS811)。
続いて、ユーザID連携部15は、ステップS85で入力された連携用IDと、ステップS811で発行されたユーザIDとを対応付けて、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルへ登録する(ステップS813)。
【0090】
続いて、ユーザID連携部15は、ステップS82で入力されたユーザ指定子により指定される認証サーバ31のユーザIDと対応付けられたGWサーバ宛仮名称の発行を、認証サーバ31に対して要求する(ステップS814)。
認証サーバ31のユーザID連携部314は、ユーザID連携部15からGWサーバ宛仮名称の発行が要求されると、GWサーバ宛仮名称を発行する。ユーザID連携部314は、発行したGWサーバ宛仮名称と、自サーバのユーザIDとを対応付け、データベース312に記録されるGWサーバ用ID連携情報テーブルへ登録する。また、ユーザID連携部314は、登録したGWサーバ宛仮名称をゲートウェイサーバ10へ送信する。
【0091】
続いて、ユーザID連携部15は、認証サーバ31から送信されたGWサーバ宛仮名称を受信すると、受信したGWサーバ宛仮名称と、ステップS811で発行した自サーバのユーザIDとを関連付け、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルへ登録する(ステップS815)。ユーザID連携部15は、処理をステップS89へ移行する。
【0092】
図8に示す処理により、ゲートウェイサーバ10の第1のユーザ管理システム用ID連携情報テーブルにユーザIDと対応する連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにユーザIDと対応するGWサーバ宛仮名称が登録される。これにより、ゲートウェイサーバ10は、第1及び第2のユーザ管理システムの連携用IDと仮名称とを統合しなくても、連携用IDが分かれば仮名称を特定でき、同様に、仮名称が特定できれば、連携用IDを特定することが可能となる。
【0093】
また、第1のユーザ管理システム用ID連携情報テーブルに連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにGWサーバ宛仮名称が登録された後においては、第1のユーザ管理システム20へのログイン後、第2のユーザ管理システム30へログインしようとする際、又は、第2のユーザ管理システム30へのログイン後、第1のユーザ管理システム20へログインしようとする際には、利用者は、最初のログイン時の認証のみで両システムへのログインが可能となる。つまり、シングルサインオンが可能となる。なお、続けてログインを希望するユーザ管理システムのセキュリティポリシによっては、再度利用者に認証の操作をさせることも可能である。
【0094】
図10は、利用者が第1のユーザ管理システム20へログインした後、第1のユーザ管理システム20から第2のユーザ管理システム30へログインする際のゲートウェイサーバ10の動作を示すフローチャートである。
まず、利用者が利用端末40から第1のユーザ管理システム20に所属するサービスサーバ22−1に対して、第1のユーザ管理システム20へのログインを要求する。利用者からのログイン要求を受けると、サービスサーバ22−1のサービス実行部222は、認証サーバ21の認証部213に対し、利用者の認証を要求する。
【0095】
認証部213は、サービス実行部222からの認証要求を受けると、利用端末40に認証画面を表示させ、利用者に対して認証サーバ21の連携用IDを要求する。認証部213は、利用端末40から認証サーバ21の連携用IDが入力されると、ログインを要求した者が利用者であると認定する。認証部213は、認定した利用者に対してログインを許可する旨をサービス実行部222へ返すと共に、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0096】
続いて、第1のユーザ管理システム20へのログインが許可された利用者は、サービスサーバ22−1に対して、第2のユーザ管理システム30へのログインを要求する。利用者から第2のユーザ管理システム30へのログイン要求を受けると、サービスサーバ22−1のサービス実行部222は、認証サーバ21のユーザID連携部214を介し、ゲートウェイサーバ10のユーザID連携部15へ、第2のユーザ管理システム30へのログインを要求する。このとき、第1のユーザ管理システム20における連携用IDについての情報もゲートウェイサーバ10のユーザID連携部15へ通知される。
【0097】
ユーザID連携部15は、第2のユーザ管理システム30へのログイン要求を受けると、第1のユーザ管理システム用ID連携情報テーブルに、通知された連携用IDが登録されているか否かを判断する(ステップS101)。第1のユーザ管理システム用ID連携情報テーブルに、通知された連携用IDが登録されている場合(ステップS101のYes)、ユーザID連携部15は、処理をステップS102へ移行する。第1のユーザ管理システム用ID連携情報テーブルに、通知された連携用IDが登録されていない場合(ステップS101のNo)、ユーザID連携部15は、処理をステップS103へ移行する。
【0098】
ステップS103において、ユーザID連携部15は、自サーバのユーザIDを発行する(ステップS103)。続いて、ユーザID連携部15は、発行したユーザIDと、通知された連携用IDとを対応付けて、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルへ登録し(ステップS104)、処理をステップS102へ移行する。
【0099】
ステップS102において、ユーザID連携部15は、第1のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた仮名称が、第2のユーザ管理システム用ID連携情報テーブルに登録されているか否かを判断する(ステップS102)。第1のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた仮名称が、第2のユーザ管理システム用ID連携情報テーブルに登録されている場合(ステップS102のYes)、ユーザID連携部15は、処理をステップS105へ移行する。第1のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた仮名称が、第2のユーザ管理システム用ID連携情報テーブルに登録されていない場合(ステップS102のNo)、ユーザID連携部15は、処理をステップS106へ移行する。
【0100】
ステップS105において、ユーザID連携部15は、第2のユーザ管理システム30の認証サーバ31に対し、第2のユーザ管理システム用ID連携情報テーブルに登録される仮名称を通知し(ステップS105)、処理を終了する。
認証サーバ31の認証部313は、ユーザID連携部15から仮名称が通知されると、ログインを要求した者が利用者であると認定する。認証部313は、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0101】
ステップS106において、ユーザID連携部15は、第2のユーザ管理システム30の認証サーバ31に対し、利用者の認証を要求する(ステップS106)。
認証サーバ31の認証部313は、ユーザID連携部15からの認証要求を受けると、利用端末40に認証画面を表示させ、利用者に対して認証サーバ31のユーザIDの入力を要求する。認証部313は、利用端末40から認証サーバ31のユーザIDが入力されると、ログインを要求した者が利用者であると認定する。認証部313は、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。また、このとき、ユーザID連携部314は、利用者の認証サーバ31のユーザIDを特定する。ユーザID連携部314は、利用者のユーザIDが特定されると、特定されたユーザIDと対応付けたGWサーバ宛仮名称を発行する。ユーザID連携部314は、特定されたユーザIDと、発行したGWサーバ宛仮名称とを対応付け、データベース312に記録されるID連携情報テーブルへ登録する。GWサーバ宛仮名称は、登録したGWサーバ宛仮名称をゲートウェイサーバ10へ通知する。
【0102】
ユーザID連携部15は、認証サーバ31からGWサーバ宛仮名称を通知されると、通知されたGWサーバ宛仮名称と、ステップS103で発行したユーザIDとを対応付け、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルへ登録し(ステップS107)、処理を終了させる。
【0103】
図11は、利用者が第2のユーザ管理システム30へログインした後、第2のユーザ管理システム30から第1のユーザ管理システム20へログインする際のゲートウェイサーバ10の動作を示すフローチャートである。
まず、利用者が利用端末40から第2のユーザ管理システム30に所属するサービスサーバ32−1に対して、第2のユーザ管理システム30へのログインを要求する。利用者からのログイン要求を受けると、サービスサーバ32−1のサービス実行部323は、認証サーバ31の認証部313に対し、利用者の認証を要求する。
【0104】
認証部313は、サービス実行部323からの認証要求を受けると、利用端末40に認証画面を表示させ、利用者に対して認証サーバ31のユーザIDを要求する。認証部313は、利用端末40から認証サーバ31のユーザIDが入力されると、ログインを要求した者が利用者であると認定する。認証部313は、認定した利用者に対してログインを許可する旨をサービス実行部323へ返すと共に、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0105】
続いて、第2のユーザ管理システム30へのログインが許可された利用者は、サービスサーバ32−1に対して、第1のユーザ管理システム20へのログインを要求する。利用者から第1のユーザ管理システム20へのログイン要求を受けると、サービスサーバ32−1のサービス実行部323は、認証サーバ31のユーザID連携部314へ、第1のユーザ管理システム20へのログインを要求する。
【0106】
ユーザID連携部314は、第1のユーザ管理システム20へのログイン要求を受けると、データベース312に記録されるID連携情報テーブルにGWサーバ宛仮名称が登録されているか否かを判断する。GWサーバ宛仮名称が登録されていない場合、ユーザID連携部314は、ゲートウェイサーバ10に対してログイン要求と共に、サーバ31宛仮名称の発行要求を送信する。GWサーバ宛仮名称が登録されている場合、ユーザID連携部314は、ゲートウェイサーバ10に対してログイン要求と共に、GWサーバ宛仮名称を通知する。
【0107】
ユーザID連携部15は、第1のユーザ管理システム20へのログイン要求を受けると、ログイン要求と共にGWサーバ宛仮名称が通知されたか、サーバ31宛仮名称の発行要求が通知されたかを判断する(ステップS111)。GWサーバ宛仮名称が通知された場合(ステップS111のYes)、ユーザID連携部15は、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルに仮名称と、自サーバのユーザIDとが対応付けられて登録されていると判断し、処理をステップS112へ移行する。サーバ31宛仮名称の発行要求が通知された場合(ステップS111のNo)、ユーザID連携部15は、第2のユーザ管理システム用ID連携情報テーブルにGWサーバ宛仮名称が未登録であるとして、処理をステップS113へ移行する。
【0108】
ステップS113において、ユーザID連携部15は、自サーバのユーザIDを発行する(ステップS113)。ユーザID連携部15は、発行したユーザIDに該当するサーバ31宛仮名称を発行する(ステップS114)。ユーザID連携部15は、ステップS113で発行したユーザIDと、ステップS114で発行した仮名称とを対応付けて、データベース12に記録される第2のユーザ管理システム用ID連携情報テーブルへ登録すると共に、登録した仮名称を認証サーバ31へ送信する(ステップS115)。この後、ユーザID連携部15は、処理をステップS112へ移行する。
【0109】
ユーザID連携部314は、ゲートウェイサーバ10から送信されたサーバ31宛仮名称を受信すると、受信したサーバ31宛仮名称と、自サーバのユーザIDとを対応付けて、ID連携情報テーブルに登録する。
ステップS112において、ユーザID連携部15は、第2のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた連携用IDが、第1のユーザ管理システム用ID連携情報テーブルに登録されているか否かを判断する(ステップS112)。第2のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた連携用IDが、第1のユーザ管理システム用ID連携情報テーブルに登録されている場合(ステップS112のYes)、ユーザID連携部15は、処理をステップS116へ移行する。第2のユーザ管理システム用ID連携情報テーブルに記載されるユーザIDと対応付けられた連携用IDが、第1のユーザ管理システム用ID連携情報テーブルに登録されていない場合(ステップS112のNo)、ユーザID連携部15は、処理をステップS117へ移行する。
【0110】
ステップS116において、ユーザID連携部15は、第1のユーザ管理システム20の認証サーバ21に対し、第1のユーザ管理システム用ID連携情報テーブルに登録される連携用IDを通知し(ステップS116)、処理を終了する。
認証サーバ21の認証部213は、ユーザID連携部15から連携用IDが通知されると、ログインを要求した者が利用者であると認定する。認証部213は、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。
【0111】
ステップS117において、ユーザID連携部15は、第1のユーザ管理システム20の認証サーバ21に対し、利用者の認証を要求する(ステップS117)。
認証サーバ21の認証部213は、ユーザID連携部15からの認証要求を受けると、利用端末40に認証画面を表示させ、利用者に対して認証サーバ21の連携用IDの入力を要求する。認証部213は、利用端末40から認証サーバ21の連携用IDが入力されると、ログインを要求した者が利用者であると認定する。認証部213は、認定した利用者に対してログインを許可する旨を利用端末40へ通知する。また、このとき、ユーザID連携部214は、利用者の認証サーバ21の連携用IDを特定する。ユーザID連携部214は、利用者の連携用IDが特定されると、特定された連携用IDをゲートウェイサーバ10へ通知する。
【0112】
ユーザID連携部15は、認証サーバ21から連携用IDの通知を受けると、通知された連携用IDと、自サーバのユーザIDとを対応付け、データベース12に記録される第1のユーザ管理システム用ID連携情報テーブルへ登録し(ステップS118)、処理を終了する。
【0113】
図10及び図11に示す処理により、ゲートウェイサーバ10の第1のユーザ管理システム用ID連携情報テーブルにユーザIDと対応する連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにユーザIDと対応するGWサーバ宛仮名称が登録される。これにより、ゲートウェイサーバ10は、第1及び第2のユーザ管理システムの連携用IDと仮名称とを統合しなくても、連携用IDが分かれば仮名称を特定でき、同様に、仮名称が特定できれば、連携用IDを特定することが可能となる。
【0114】
また、第1のユーザ管理システム用ID連携情報テーブルに連携用IDが登録され、第2のユーザ管理システム用ID連携情報テーブルにGWサーバ宛仮名称が登録された後においては、第1のユーザ管理システム20へのログイン後、第2のユーザ管理システム30へログインしようとする際、又は、第2のユーザ管理システム30へのログイン後、第1のユーザ管理システム20へログインしようとする際には、利用者は、最初のログイン時の認証のみで両システムへのログインが可能となる。つまり、シングルサインオンが可能となる。なお、続けてログインを希望するユーザ管理システムのセキュリティポリシによっては、再度利用者に認証の操作をさせることも可能である。
【0115】
なお、図11のステップS114では、ゲートウェイサーバ10のユーザID連携部15は、第2のユーザ管理システムで用いられるサーバ31宛仮名称を発行するようにしている。この場合、実装形態によっては、図11の処理の後に、利用者が第1のユーザ管理システム20へのログイン時の認証のみで第2のユーザ管理システム30へログインしようとする場合、又は、利用者が第2のユーザ管理システム30へのログイン時の認証のみで第1のユーザ管理システム20へログインしようとする場合に、仮名称が合致せず正常にアクセスできない場合がある。
【0116】
具体的には、仮名称を発行したサーバと、それ以外のサーバとで異なる仮名称が登録される場合にはこの問題が生じる。例を以下に示す。
図12は、図11のステップS115で、ゲートウェイサーバ10の第2のユーザ管理システム用ID連携情報テーブルに登録される仮名称と、このときに認証サーバ31のID連携情報テーブルに登録される仮名称との例を示す図である。第2のユーザ管理システム用ID連携情報テーブルに登録される仮名称には、ゲートウェイサーバ10が発行サーバであることを示す「idp_」が付与され、ID連携情報テーブルに登録される仮名称には、認証サーバ31が発行サーバ以外であることを示す「sp_」が付与される。
【0117】
一方、ユーザID連携後に、第1のユーザ管理システム20と第2のユーザ管理システム30との間でシングルサインオンや情報流通を実現しようとすると、認証を実施する第2のユーザ管理システム30の認証サーバ31が発行サーバ扱いとなり、図13に示すID連携情報テーブルが必要となる。図13に示すID連携情報テーブルは、図12で示すID連携情報テーブルとは異なっているため、図12に示すID連携情報テーブルでは、利用者を特定することができない。
【0118】
そこで、図11に示すステップS115において、ゲートウェイサーバ10の第2のユーザ管理システム用ID連携情報テーブルに仮名称を登録する際に、ユーザID連携部15は、発行サーバであることを示す「idp_」の代わりに、発行サーバ以外であることを示す「sp_」を仮名称に付加するようにする。また、ステップS115において、第2のユーザ管理システム30のID連携情報テーブルに仮名称を登録する際に、ユーザID連携部314は、発行サーバ以外であることを示す「sp_」の代わりに、発行サーバであることを示す「idp_」を仮名称に付加するようにする。すなわち仮名称を入れ替える処理を追加する。
【0119】
これにより、図11のフローが終了した時点で第2のユーザ管理システム用ID連携情報テーブル及びID連携情報テーブルに登録されている仮名称は図13のようになる。つまり、第1のユーザ管理システム20と第2のユーザ管理システム30との間でシングルサインオンを実現しようとする場合に、仮名称の不一致によるシングルサインオンの失敗を避けることが可能となる。
【0120】
また、図10及び図11に示すフローチャートで、第1及び第2のユーザ管理システム用ID連携情報テーブルにそれぞれ登録された連携用ID及び仮名称は、利用者との接続が切れた後は消去されるようにしても構わない。すなわち、ゲートウェイサーバ10のユーザID連携部15は、利用者がネットワークに接続している間は、第1及び第2のユーザ管理システム用ID連携情報テーブルに記録される情報を維持する。そして、利用者からの要求に応じて、ユーザID連携部15は、第1及び第2のユーザ管理システム用ID連携情報テーブルを参照し、第1及び第2のユーザ管理システム20,30におけるユーザ識別子を関連付ける。利用者のネットワークへの接続が切れた場合、ユーザID連携部15は、第1及び第2のユーザ管理システム用ID連携情報テーブルの情報を消去する。
【0121】
これにより、一方のユーザ管理システムからログイン後、他方のユーザ管理システムにログインしようとする場合、利用者は、他方のユーザ管理システムへのログインが2回目以降であっても、接続を切断した後においては、他方のユーザ管理システムで認証操作を行う必要がある。一方で、データの保存領域が節約でき、かつ、データ管理の手間が軽減されるというメリットがある。
【0122】
以上のように、上記実施形態に係るネットワークシステムは、ネットワーク100に連結されたゲートウェイサーバ10を具備する。ゲートウェイサーバ10は、データベース12に第1及び第2のユーザ管理システム用ID連携情報テーブルを記録し、この第1及び第2のユーザ管理システム用ID連携情報テーブルに、第1のユーザ管理システム20のユーザ識別子である連携用IDと、第2のユーザ管理システム30のユーザ識別子である仮名称とを自サーバのユーザIDと対応付けて登録する。これにより、ゲートウェイサーバ10は、第1及び第2のユーザ管理システム用ID連携情報テーブルを参照することで、第1のユーザ管理システム20での連携用IDと、第2のユーザ管理システム30での仮名称とを対応付けることが可能となり、両ユーザ管理システムにおける同一の利用者を一意に特定することが可能となる。
【0123】
ところで、単に同一の利用者に対する複数のユーザIDを関連付けるだけであれば、ID連携型のように1つのユーザIDに統合するか、ID預託型のように各ユーザIDを関連付けて管理するテーブルを設け、それを参照して変換することで実現できる。しかしながら、それではID連携型又はID預託型の問題点までも踏襲することになる。
【0124】
特に、セキュアなID連携を特徴とするID連携型のユーザ管理システムとネットワーク接続する場合には、当該ユーザ管理システムにおいてID連携情報テーブルのキーとなっているユーザ識別子を、他のユーザ管理システムへ流出することは許されない。本実施形態に係るネットワークシステムでは、ゲートウェイサーバ10と、認証サーバ31とでGWサーバ宛仮名称を管理するようにしているため、仮名称が他のユーザ管理システムへ流出することはない。これにより、ID連携型のユーザ管理システムと同等のセキュリティレベルを保ちつつ、ユーザ管理システム間のユーザID連携を実現することが可能となる。
【0125】
また、上記実施形態では、ユーザID連携部15は、利用者のログイン時の認証処理に伴い、第1及び第2のユーザ管理システム用ID連携情報テーブルに連携用ID及びGWサーバ宛仮名称をそれぞれ登録する。また、利用者が、いずれかのユーザ管理システムから他のユーザ管理システムへのログインを要求した場合、ユーザID連携部15は、第1及び第2のユーザ管理システム用ID連携情報テーブルを参照し、一方のユーザ識別子から他方のユーザ識別子を特定する。これにより、ユーザ管理システム間のユーザID連携において、ID連携情報テーブルが自動的に作成されるようになり、かつ、サービスサーバ32−1〜32−m毎にID連携情報テーブルを作成する必要がないため、ID連携情報テーブルを作成・管理するためのコスト及び負荷が軽減されることとなる。
【0126】
また、上記実施形態に係るネットワークシステムでは、ユーザID連携部15は、発行サーバであることを示す仮名称と、発行サーバ以外であることを示す仮名称とが異なる場合には、第2のユーザ管理システム用ID連携情報テーブル及びID連携情報テーブルへの登録時に、登録される仮名称を入れ替えるようにしている。これにより、第1のユーザ管理システム20と第2のユーザ管理システム30との間でシングルサインオンを実現しようとする場合に、仮名称の不一致によるシングルサインオンの失敗を避けることが可能となる。
【0127】
したがって、本発明に係るネットワークシステムによれば、ユーザ管理方式の異なるユーザ管理システム間で同一の利用者を特定することができる。このように、方式の異なるユーザ管理システム間で同一の利用者を特定できるため、これらのユーザ管理システム間においてシングルサインオン及びデータアクセスが可能となる。
【0128】
なお、上記実施形態では、ゲートウェイサーバ10が認証部13を備える場合を例に説明したが、これに限定される訳ではない。例えば、運用者がゲートウェイサーバ10へログインする際の認証を認証サーバ21,31に委託する場合には、ゲートウェイサーバ10は、認証部13を備えていなくても構わない。
【0129】
また、上記実施形態では、ゲートウェイサーバ10が操作処理部14を備え、運用者が操作処理部14に対して操作指示を与える場合を例に説明した。しかしながら、これに限定される訳ではない。例えば、操作処理部は、認証サーバ21,31のいずれかに設けられ、運用者は、認証サーバ21,31のいずれかに設けられた操作処理部に対して操作指示を与えるようにしても構わない。
【0130】
また、上記実施形態では、第1のユーザ管理システム20のID連携情報テーブルに認証サーバ21のユーザIDと連携用IDが関連付けて登録され、ゲートウェイサーバ10の第1のユーザ管理システム用ID連携情報テーブルにゲートウェイサーバ10のユーザIDと連携用IDのマッピング情報が登録される場合を例に説明したが、これに限定される訳ではない。例えば、第1のユーザ管理システム20のID連携情報テーブルに認証サーバ21のユーザIDとサービスサーバ22−1〜22−nの実ユーザIDとが登録され、第1のユーザ管理システム用ID連携情報テーブルにゲートウェイサーバ10のユーザIDと認証サーバ21の実ユーザIDとが登録される場合であっても同様に実施可能である。
【0131】
また、上記実施形態では、認証サーバ31の認証部313での認証で、利用者又は運用者に認証サーバ31のユーザIDの入力を要求する場合を例に説明したが、これに限定される訳ではない。例えば、ユーザIDの入力を要求する代わりに、ユーザIDを一意に特定することのできるログインIDの入力を要求するようにしても構わない。このとき、認証サーバ31のデータベース312に、ユーザIDとログインIDとの対応付けを管理するテーブルを設けてもよい。
【0132】
また、上記実施形態に係るゲートウェイサーバ10、認証サーバ21,31及びサービスサーバ22−1〜22−n,32−1〜32−mは、記憶装置(例えば、揮発性メモリ、不揮発性メモリ、ハードディスク)、演算処理装置(例えばCPU)、通信装置(例えば、LANカード、モデム、通信ケーブル、赤外線通信機、無線通信機)等を備えたコンピュータにより実現可能である。
【0133】
この場合、コンピュータは、プログラム及びプログラムの処理に必要なデータを記憶装置に記憶しておき、必要に応じて演算処理装置がプログラムを読み込んで解釈実行することで、認証部13,213,313、操作処理部14、ユーザID連携部15,214,314,324及びサービス実行部222,323の機能を実現する。
【0134】
上記実施形態に係るネットワークシステムを構成するゲートウェイサーバ10、認証サーバ21,31及びサービスサーバ22−1〜22−n,32−1〜32−mにおける処理機能をコンピュータによって実現する場合、各サーバが有すべき機能の処理内容はプログラムによって記述される。
【0135】
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
【0136】
また、コンピュータ上で所定のプログラムを実行させることにより、上記各サーバを構成するとしてもよいが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
要するにこの発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【符号の説明】
【0137】
10…ゲートウェイサーバ、11,211,221,311,321…通信部、12,212,312,322…データベース、13,213,313…認証部、14…操作処理部、15,214,314,324…ユーザID連携部、20…第1のユーザ管理システム、21,31…認証サーバ、22−1〜22−n、32−1〜32−m…サービスサーバ、30…ユーザ管理システム、40…利用端末
【特許請求の範囲】
【請求項1】
利用者にサービスを提供する第1のサービスサーバと、前記第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1の認証サーバとを備える第1のユーザ管理システムと、
利用者にサービスを提供する第2のサービスサーバと、前記第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2の認証サーバとを備える第2のユーザ管理システムと、
前記ID情報と、前記第2の仲介用ID情報とを対応付けて第3のID連携情報テーブルで管理するゲートウェイサーバと
を具備し、
前記ゲートウェイサーバは、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2の認証サーバへ出力し、
前記ゲートウェイサーバは、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1の認証サーバへ出力することを特徴とするネットワークシステム。
【請求項2】
前記ゲートウェイサーバは、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録し、
前記第2の認証サーバは、前記指定子に応じて前記第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録することを特徴とする請求項1記載のネットワークシステム。
【請求項3】
前記ゲートウェイサーバは、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記第1のユーザ管理システムへのログイン後、前記第2のユーザ管理システムへ利用者がログインする際に前記第2の認証サーバで発行される第2の仲介用ID情報を、前記登録したID情報と対応付けて前記第3のID連携情報テーブルへ登録し、
前記第2の認証サーバは、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録することを特徴とする請求項1記載のネットワークシステム。
【請求項4】
前記ゲートウェイサーバは、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記第2のユーザ管理システムへのログイン後、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録した第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録し、
前記第2の認証サーバは、前記発行された第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録することを特徴とする請求項1記載のネットワークシステム。
【請求項5】
前記ゲートウェイサーバは、前記発行した第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバでないことを示す文字を付して、前記第3のID連携情報テーブルへ登録し、
前記第2の認証サーバは、前記発行された第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバであることを示す文字を付して、前記第2のID連携情報テーブルへ登録することを特徴とする請求項4記載のネットワークシステム。
【請求項6】
利用者にサービスを提供する第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1のユーザ管理システムと、利用者にサービスを提供する第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2のユーザ管理システムとを具備するネットワークシステムで用いられるゲートウェイサーバにおいて、
前記ネットワークシステムと通信する通信部と、
前記ID情報と、前記第2の仲介用ID情報とを対応付けて管理する第3のID連携情報テーブルを記録するデータベースと、
前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力し、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1のユーザ管理システムへ出力するユーザID連携部と
を具備することを特徴とするゲートウェイサーバ。
【請求項7】
前記ユーザID連携部は、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項6記載のゲートウェイサーバ。
【請求項8】
前記ユーザID連携部は、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記第1のユーザ管理システムへのログイン後、前記第2のユーザ管理システムへ利用者がログインする際に前記第2の認証サーバで発行される第2の仲介用ID情報を、前記登録したID情報と対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項6記載のゲートウェイサーバ。
【請求項9】
前記ユーザID連携部は、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記第2のユーザ管理システムへのログイン後、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録した第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項6記載のゲートウェイサーバ。
【請求項10】
前記ユーザID連携部は、前記発行した第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバでないことを示す文字を付して、前記第3のID連携情報テーブルへ登録することを特徴とする請求項9記載のゲートウェイサーバ。
【請求項11】
前記ユーザID連携部は、前記ログインを要求した利用者との接続が切断された場合、前記第3のID連携情報テーブルで管理される前記ID情報及び前記第2の仲介用ID情報を消去することを特徴とする請求項6記載のゲートウェイサーバ。
【請求項12】
利用者にサービスを提供する第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1のユーザ管理システムと、利用者にサービスを提供する第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2のユーザ管理システムと、前記ID情報と、前記第2の仲介用ID情報とを対応付けて第3のID連携情報テーブルで管理するゲートウェイサーバとを具備するネットワークシステムで用いられるユーザ識別子連携方法において、
前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、
前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力し、
前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、
前記検出した前記ID情報を前記第1のユーザ管理システムへ出力することを特徴とするユーザ識別子連携方法。
【請求項13】
運用者から入力される指定子に応じ、前記第2のユーザ管理システムにおける認証サーバで第2の仲介用ID情報を発行し、
前記認証サーバにより、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録し、
前記ゲートウェイサーバにより、前記発行された第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項12記載のユーザ識別子連携方法。
【請求項14】
前記第1のユーザ管理システムへのログイン後に前記第2のユーザ管理システムへのログイン要求を受信した場合、
前記ゲートウェイサーバにより、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、
前記ログイン要求に応じて、前記第2のユーザ管理システムの認証サーバで第2の仲介用ID情報を発行し、
前記認証サーバにより、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録し、
前記ゲートウェイサーバにより、前記発行された第2の仲介用ID情報を、前記登録されたID情報と対応付けて前記第3のID連携情報テーブルへ登録し、
前記第2のユーザ管理システムへのログイン後に前記第1のユーザ管理システムへのログイン要求を受信した場合、
前記ゲートウェイサーバにより、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、
前記ゲートウェイサーバにより、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、
前記ゲートウェイサーバにより、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録された第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項12記載のユーザ識別子連携方法。
【請求項15】
利用者にサービスを提供する第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1のユーザ管理システムと、利用者にサービスを提供する第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2のユーザ管理システムと、ネットワークを介して接続可能なゲートウェイサーバに備えられたコンピュータで使用されるユーザ識別子連携プログラムであって、
前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記ゲートウェイサーバで記録される第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出する処理と、
前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力する処理と、
前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出する処理と、
前記検出した前記ID情報を前記第1のユーザ管理システムへ出力する処理と
を前記コンピュータに実行させることを特徴とするユーザ識別子連携プログラム。
【請求項16】
運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録する処理をさらに前記コンピュータに実行させることを特徴とする請求項15記載のユーザ識別子連携プログラム。
【請求項17】
前記第1のユーザ管理システムへのログイン後に前記第2のユーザ管理システムへのログイン要求を受信した場合、
前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録する処理と、
前記第2のユーザ管理システムへ利用者がログインする際に前記第2のユーザ管理システムで発行される第2の仲介用ID情報を、前記登録されたID情報と対応付けて前記第3のID連携情報テーブルへ登録する処理と
を前記コンピュータにさらに実行させ、
前記第2のユーザ管理システムへのログイン後に前記第1のユーザ管理システムへのログイン要求を受信した場合、
前記第2のユーザ管理システムへ利用者がログインする際に前記ゲートウェイサーバで発行される第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録する処理と、
前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録された第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録する処理と
を前記コンピュータにさらに実行させることを特徴とする請求項15記載のユーザ識別子連携プログラム。
【請求項1】
利用者にサービスを提供する第1のサービスサーバと、前記第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1の認証サーバとを備える第1のユーザ管理システムと、
利用者にサービスを提供する第2のサービスサーバと、前記第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2の認証サーバとを備える第2のユーザ管理システムと、
前記ID情報と、前記第2の仲介用ID情報とを対応付けて第3のID連携情報テーブルで管理するゲートウェイサーバと
を具備し、
前記ゲートウェイサーバは、前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2の認証サーバへ出力し、
前記ゲートウェイサーバは、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1の認証サーバへ出力することを特徴とするネットワークシステム。
【請求項2】
前記ゲートウェイサーバは、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録し、
前記第2の認証サーバは、前記指定子に応じて前記第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録することを特徴とする請求項1記載のネットワークシステム。
【請求項3】
前記ゲートウェイサーバは、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記第1のユーザ管理システムへのログイン後、前記第2のユーザ管理システムへ利用者がログインする際に前記第2の認証サーバで発行される第2の仲介用ID情報を、前記登録したID情報と対応付けて前記第3のID連携情報テーブルへ登録し、
前記第2の認証サーバは、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録することを特徴とする請求項1記載のネットワークシステム。
【請求項4】
前記ゲートウェイサーバは、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記第2のユーザ管理システムへのログイン後、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録した第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録し、
前記第2の認証サーバは、前記発行された第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録することを特徴とする請求項1記載のネットワークシステム。
【請求項5】
前記ゲートウェイサーバは、前記発行した第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバでないことを示す文字を付して、前記第3のID連携情報テーブルへ登録し、
前記第2の認証サーバは、前記発行された第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバであることを示す文字を付して、前記第2のID連携情報テーブルへ登録することを特徴とする請求項4記載のネットワークシステム。
【請求項6】
利用者にサービスを提供する第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1のユーザ管理システムと、利用者にサービスを提供する第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2のユーザ管理システムとを具備するネットワークシステムで用いられるゲートウェイサーバにおいて、
前記ネットワークシステムと通信する通信部と、
前記ID情報と、前記第2の仲介用ID情報とを対応付けて管理する第3のID連携情報テーブルを記録するデータベースと、
前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力し、前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、前記検出した前記ID情報を前記第1のユーザ管理システムへ出力するユーザID連携部と
を具備することを特徴とするゲートウェイサーバ。
【請求項7】
前記ユーザID連携部は、運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項6記載のゲートウェイサーバ。
【請求項8】
前記ユーザID連携部は、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、前記第1のユーザ管理システムへのログイン後、前記第2のユーザ管理システムへ利用者がログインする際に前記第2の認証サーバで発行される第2の仲介用ID情報を、前記登録したID情報と対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項6記載のゲートウェイサーバ。
【請求項9】
前記ユーザID連携部は、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、前記第2のユーザ管理システムへのログイン後、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録した第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項6記載のゲートウェイサーバ。
【請求項10】
前記ユーザID連携部は、前記発行した第2の仲介用ID情報を、前記第2の仲介用ID情報の発行元が自サーバでないことを示す文字を付して、前記第3のID連携情報テーブルへ登録することを特徴とする請求項9記載のゲートウェイサーバ。
【請求項11】
前記ユーザID連携部は、前記ログインを要求した利用者との接続が切断された場合、前記第3のID連携情報テーブルで管理される前記ID情報及び前記第2の仲介用ID情報を消去することを特徴とする請求項6記載のゲートウェイサーバ。
【請求項12】
利用者にサービスを提供する第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1のユーザ管理システムと、利用者にサービスを提供する第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2のユーザ管理システムと、前記ID情報と、前記第2の仲介用ID情報とを対応付けて第3のID連携情報テーブルで管理するゲートウェイサーバとを具備するネットワークシステムで用いられるユーザ識別子連携方法において、
前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出し、
前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力し、
前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出し、
前記検出した前記ID情報を前記第1のユーザ管理システムへ出力することを特徴とするユーザ識別子連携方法。
【請求項13】
運用者から入力される指定子に応じ、前記第2のユーザ管理システムにおける認証サーバで第2の仲介用ID情報を発行し、
前記認証サーバにより、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録し、
前記ゲートウェイサーバにより、前記発行された第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項12記載のユーザ識別子連携方法。
【請求項14】
前記第1のユーザ管理システムへのログイン後に前記第2のユーザ管理システムへのログイン要求を受信した場合、
前記ゲートウェイサーバにより、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録し、
前記ログイン要求に応じて、前記第2のユーザ管理システムの認証サーバで第2の仲介用ID情報を発行し、
前記認証サーバにより、前記発行した第2の仲介用ID情報を前記第2のID連携情報テーブルへ登録し、
前記ゲートウェイサーバにより、前記発行された第2の仲介用ID情報を、前記登録されたID情報と対応付けて前記第3のID連携情報テーブルへ登録し、
前記第2のユーザ管理システムへのログイン後に前記第1のユーザ管理システムへのログイン要求を受信した場合、
前記ゲートウェイサーバにより、前記第2のユーザ管理システムへ利用者がログインする際に第2の仲介用ID情報を発行し、
前記ゲートウェイサーバにより、前記発行した第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録し、
前記ゲートウェイサーバにより、前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録された第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録することを特徴とする請求項12記載のユーザ識別子連携方法。
【請求項15】
利用者にサービスを提供する第1のサービスサーバのユーザIDを管理するためのID情報を第1のID連携情報テーブルで管理する第1のユーザ管理システムと、利用者にサービスを提供する第2のサービスサーバをそれぞれ管理するために発行された第1の仲介用ID情報、及び、前記第1のユーザ管理システムとの連携のために発行された第2の仲介用ID情報を第2のID連携情報テーブルで管理する第2のユーザ管理システムと、ネットワークを介して接続可能なゲートウェイサーバに備えられたコンピュータで使用されるユーザ識別子連携プログラムであって、
前記ID情報が通知されると共に、前記第2のユーザ管理システムへのログイン要求がある場合、前記ゲートウェイサーバで記録される第3のID連携情報テーブルから前記通知されたID情報と対応する第2の仲介用ID情報を検出する処理と、
前記検出した前記第2の仲介用ID情報を前記第2のユーザ管理システムへ出力する処理と、
前記第2の仲介用ID情報が通知されると共に、前記第1のユーザ管理システムへのログイン要求がある場合、前記第3のID連携情報テーブルから前記通知された第2の仲介用ID情報と対応するID情報を検出する処理と、
前記検出した前記ID情報を前記第1のユーザ管理システムへ出力する処理と
を前記コンピュータに実行させることを特徴とするユーザ識別子連携プログラム。
【請求項16】
運用者から入力される指定子に応じて前記第2の認証サーバで発行される第2の仲介用ID情報と、前記運用者により入力されるID情報とを、互いに対応付けて前記第3のID連携情報テーブルへ登録する処理をさらに前記コンピュータに実行させることを特徴とする請求項15記載のユーザ識別子連携プログラム。
【請求項17】
前記第1のユーザ管理システムへのログイン後に前記第2のユーザ管理システムへのログイン要求を受信した場合、
前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を前記第3のID連携情報テーブルへ登録する処理と、
前記第2のユーザ管理システムへ利用者がログインする際に前記第2のユーザ管理システムで発行される第2の仲介用ID情報を、前記登録されたID情報と対応付けて前記第3のID連携情報テーブルへ登録する処理と
を前記コンピュータにさらに実行させ、
前記第2のユーザ管理システムへのログイン後に前記第1のユーザ管理システムへのログイン要求を受信した場合、
前記第2のユーザ管理システムへ利用者がログインする際に前記ゲートウェイサーバで発行される第2の仲介用ID情報を前記第3のID連携情報テーブルへ登録する処理と、
前記第1のユーザ管理システムへ利用者がログインする際に入力されるID情報を、前記登録された第2の仲介用ID情報と対応付けて前記第3のID連携情報テーブルへ登録する処理と
を前記コンピュータにさらに実行させることを特徴とする請求項15記載のユーザ識別子連携プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2013−114622(P2013−114622A)
【公開日】平成25年6月10日(2013.6.10)
【国際特許分類】
【出願番号】特願2011−262998(P2011−262998)
【出願日】平成23年11月30日(2011.11.30)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成25年6月10日(2013.6.10)
【国際特許分類】
【出願日】平成23年11月30日(2011.11.30)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]