情報処理システムおよび制御プログラム
【課題】
SSOシステムにおける種々の課題を解決するようにした情報処理システムおよび制御プログラムを提供する
【解決手段】
SSO情報配信サーバ30からクライアント端末10に透過型プロキシによるSSOプログラム(C−SSO12)のインストールが要求され、ユーザがこのインストール要求を受け入れると、C−SSO12がクライアント端末10へとインストールされる。ユーザは、このC−SSO12へのログインを済ませた後、Webブラウザ11を用いてサービス提供サーバ40へのアクセスを試みると、C−SSO12が、Webブラウザ11からのリクエストを横取りし、1または複数のサービス提供サーバ40への認証を代行して行う。
SSOシステムにおける種々の課題を解決するようにした情報処理システムおよび制御プログラムを提供する
【解決手段】
SSO情報配信サーバ30からクライアント端末10に透過型プロキシによるSSOプログラム(C−SSO12)のインストールが要求され、ユーザがこのインストール要求を受け入れると、C−SSO12がクライアント端末10へとインストールされる。ユーザは、このC−SSO12へのログインを済ませた後、Webブラウザ11を用いてサービス提供サーバ40へのアクセスを試みると、C−SSO12が、Webブラウザ11からのリクエストを横取りし、1または複数のサービス提供サーバ40への認証を代行して行う。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理システムおよび制御プログラムに関する。
【背景技術】
【0002】
ユーザが最初に一度認証を受けると、その認証で許可された全ての機能を利用できるようにするSSO(Single Sign-On)システムが提案されている。このシステムは、例えば、特許文献1に記載された構成で実現でき、あるサーバへの接続に際し認証、別のサーバへの接続に際し認証…といった認証操作を複数回繰り返す煩わしさを解消させることができる。
【0003】
学校、企業等において、ネットワークシステムを運用する場合には、セキュリティを強化するために、内部ネットワークと外部ネットワーク(例えば、インターネット)との境に、内部ネットワークのコンピュータの代理として外部ネットワークへ接続を行うプロキシサーバが設けられる。このプロキシサーバは、外部ネットワーク上のサーバを、内部ネットワークから利用することを目的とし、特に、フォワードプロキシと呼ばれることもある。
【0004】
これに対しリバースプロキシは、フォワードプロキシが内部ネットワークから外部ネットワークへの接続を中継するのとは逆に、外部ネットワークから内部ネットワークへの接続を中継する。なお、リバースプロキシの用途は、外部ネットワークから内部ネットワークへの接続に限らず、同一のネットワーク内で用いられることも少なくない。
【特許文献1】特開2005−321970号
【発明の開示】
【発明が解決しようとする課題】
【0005】
SSOシステムの1つに、リバースプロキシを配し、外部ネットワーク側からの接続を集中的に管理ならびに監査するリバースプロキシ型のSSOシステムがある。このタイプのシステムでは、WebブラウザからWebサーバに対する全てのリクエストを一旦、このリバースプロキシが受け取り、Webサーバに転送することによって動作することになる。そのため、全てのリクエストがこのリバースプロキシを通過することになるので、リバースプロキシがボトルネックとなり、処理速度や可用性が低下してしまう恐れがある。
【0006】
リバースプロキシ型のSSOシステムの場合、ブラウザ側からは、コンテンツがすべてリバースプロキシに存在するように見える。このため、リバースプロキシでは、コンテンツ(例えば、HTML(HyperText Markup Language)、スタイルシート(CSS)、クライアントサイドスクリプト言語(Java(登録商標)Script、VBScript)等で構成される)内にリンクなどが設定してある場合、このリンク先のURLに変更が生じるため、これに伴ってコンテンツを書き換える必要がでてくる。このとき、コンテンツを書き換えられない場合があり、その場合、サーバ側での対応が必要になるので、任意のサービスをSSOシステムに参加させることが難しかった。
【0007】
また、上述したリバースプロキシ型のSSOシステムの他、Webサーバに認証モジュールを組み込みWebアプリケーション等に至る前に、認証を済ませるエージェント型のSSOシステムも提案されている。この場合、隘路ができないため性能上の問題はなくなるが、サーバとクライアントとの間で直接通信が行われてしまうため、監査ポイントを設定できないという問題がある。
【0008】
また、エージェント型のSSOシステムの場合、Webサーバに組み込むことになるので、プラットフォームや種類に依存してしまい、適用可能なサーバが限定されてしまう。そのため、このエージェント型のSSOシステムの場合にも、リバースプロキシ型のSSOシステムのときと同様に、任意のサービスをSSOシステムに参加させることが難しかった。
【0009】
本発明は、SSOシステムにおける種々の課題を解決するようにした情報処理システムおよび制御プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するため、請求項1の情報処理システムの発明は、情報配信サーバと、クライアント装置と、前記クライアント装置のユーザに対してサービスを提供する複数のサービス提供サーバとを具備し、前記情報配信サーバは、ユーザ認証情報を記憶するユーザ認証情報記憶手段と、前記複数のサービス提供サーバから認証情報を受信する受信手段と、前記受信手段が受信した認証情報と前記ユーザ認証情報記憶手段に記憶されたユーザ認証情報に基づいて作成した認証代行情報を配布する認証代行情報配布手段とを具備し、前記クライアント装置は、ユーザの認証を行うユーザ認証手段と、前記ユーザ認証手段による認証が行われたことを条件に、前記認証代行情報配布手段により配布された認証代行情報に基づき前記複数のサービス提供サーバに対するユーザの認証を代行する認証代行手段とを具備する。
【0011】
また、請求項2の発明は、請求項1の発明において、前記クライアント装置は、前記情報配信サーバから監査ポリシーを取得する監査ポリシー取得手段と、前記監査ポリシー取得手段で取得した前記監査ポリシーに基づいて監査ログを出力するログ出力手段とを更に具備する。
【0012】
また、請求項3の発明は、請求項1または2の発明において、前記認証代行手段は、透過型プロキシである。
【0013】
また、請求項4の発明は、複数のサービス提供サーバへの認証処理を代行して行う処理をコンピュータに実行させる制御プログラムであって、ユーザの認証を行うユーザ認証ステップと、前記複数のサービス提供サーバへの認証を行うための代行認証情報を取得する代行認証情報取得ステップと、前記ユーザ認証ステップによる認証が行われたことを条件に、前記代行認証情報取得ステップで取得した認証代行情報に基づき前記複数のサービス提供サーバに対するユーザの認証を代行する認証代行ステップとを含む。
【0014】
また、請求項5の発明は、請求項4の発明において、監査ポリシーを取得する監査ポリシー取得ステップと、前記監査ポリシー取得手段で取得した前記監査ポリシーに基づいて監査ログを出力するログ出力ステップとを更に含む。
【0015】
また、請求項6の発明は、請求項4または5の発明において、前記認証代行ステップは、透過型プロキシである。
【発明の効果】
【0016】
請求項1の情報処理システムによれば、リバースプロキシ型のような隘路ができないので、性能の劣化を招かない。また、コンテンツを書き換える必要が無いので、SSOに参加するサービス提供サーバ側での対応が不要になり、任意のサービスをSSOに参加させることができる。
【0017】
また、請求項2の情報処理システムによれば、情報配信サーバがポリシーに関する情報を一括して管理して配布することになるので、隘路を設けることなく、ポリシーを統一することができる。
【0018】
また、請求項3の情報処理システムによれば、クライアント装置側で動作する認証代行ソフトウェアを透過型プロキシとして実現するため、ユーザがプロキシに関する設定を行う必要がなくなる。
【0019】
また、請求項4の制御プログラムによれば、複数のサービス提供サーバへの認証処理を代行して行う処理をコンピュータに実行させることができるため、リバースプロキシ型のような隘路ができないので、性能の劣化を招かない。また、コンテンツを書き換える必要が無いので、SSOに参加するサービス提供サーバ側での対応が不要になり、任意のサービスをSSOに参加させることができるようになる。
【0020】
また、請求項5の制御プログラムによれば、隘路を設けることなく、ポリシーを統一できることになる。
【0021】
また、請求項6の制御プログラムによれば、認証代行ソフトウェアを透過型プロキシとして実現することになるため、ユーザがプロキシに関する設定を行う必要がなくなる。
【発明を実施するための最良の形態】
【0022】
以下、この発明に係わる情報処理システムおよび制御プログラムの実施形態について添付図面を参照して詳細に説明する。
【実施例】
【0023】
図1は、本発明に係わる情報処理システムの全体構成の一例を示す図である。
【0024】
この情報処理システムは、LAN(Local Area Network)やWAN(Wide Area Network)等で構成されたネットワーク50を介して1または複数台のクライアント端末10と、監査用サーバ20と、SSO情報配信サーバ30と、1または複数台のサービス提供サーバ40とが接続されている。この情報処理システムでは、クライアント端末10に配された透過型プロキシによるSSOプログラム(以下、C−SSOと言う)の制御によりSSOが実現される。すなわち、1度認証が有効に行われると、このC−SSO12が各サービス提供サーバ40に対し認証代行を行うことで以後、SSOに参加しているどのサービス提供サーバ40にアクセスしたとしても、ユーザは認証を要求されない。なお、この情報処理システムにおけるネットワーク構成は、あくまで一例であり、ネットワーク50上にはこの他、アプリケーションサーバ、Webサーバ等、各種ネットワーク端末が接続されていても良い。
【0025】
ここで、SSO情報配信サーバ30には、C−SSO12をクライアント端末10へインストールするためのC−SSOインストールプログラム31が記憶されており、このプログラム31により、クライアント端末10へC−SSO12がインストールされることになる。
【0026】
また、詳細については後述するが、このC−SSO12によりサービス提供サーバ40への認証が代行して行われるため、C−SSO12では、サービス提供サーバ40へ認証を行うための認証情報を保持しておく必要がある。そのため、SSO情報配信サーバ30では、サービス提供サーバ40へログインするための代行用の認証情報を当該サーバから受け取り、さらにこれをC−SSO12がインストールされたクライアント端末10へ配布することになる。
【0027】
クライアント端末10には、HTMLコンテンツ等を閲覧するためのアプリケーションとしてWebブラウザ11が備わっており、このWebブラウザ11を用いることでサービス提供サーバ40等とのデータ通信が実現されることになる。なお、本実施例においては、Webブラウザ11を介してサービス提供サーバ40等とデータ通信を行う場合を例に挙げて説明するが、この通信に際して必ずしもWebブラウザ11を用いる必要はなく、httpリクエストを利用するものであれば代用できる。
【0028】
Webブラウザ11でサービス提供サーバ40へアクセスする際には、C−SSO12を経由してアクセスすることになる。これは、C−SSO12がWebブラウザ11からのリクエストを横取りするためである。Webブラウザ11からサービス提供サーバ40を参照する際、ユーザにはサーバへ直接アクセスしているように見えるが、実際にはこのC−SSO12を経由してアクセスが行われることになる。また、監査用サーバ20では、このクライアント端末10上でのアクセス記録等を監査ログ21として受け取り、これを記憶する。この監査用サーバ20への監査ログ21の送信に際して、監査ログ21の取得、送信は、C−SSO12が行う。
【0029】
サービス提供サーバ40は、HTMLコンテンツ、画像などの各種情報や、Webアプリケーションなどのリソースを記憶しており、クライアント端末10からのWebブラウザ11を介したhttpリクエストに応じてこれら情報等を提供する。なお、このサービス提供サーバ40は、静的コンテンツ(例えば、HTMLコンテンツ等)と、動的コンテンツ(Webアプリケーション等)とを記憶し、Webサーバとアプリケーションサーバの両方の機能を備えたものであるが、これはあくまで一例であり、いずれか一方の機能のみを備えたサーバであってもよい。
【0030】
ここで、説明を分かり易くするために、クライアント端末10がSSOに参加する際の動作について簡単に説明する。クライアント端末10からサービス提供サーバ40へ初めてアクセスする際には、まず、認証を行う必要がある。ここで、このサービス提供サーバ40へログインするための認証情報は、サービス提供サーバ40からSSO情報配信サーバ30へ定期的に送られている。この定期的とは、例えば、一定時間や一定期間毎であってもよいし、認証情報に変更があったタイミングであってもよい。
【0031】
クライアント端末10からのリクエストは、SSO情報配信サーバ30へとリダイレクトされる。このリダイレクトにより、SSO情報配信サーバ30からクライアント端末10へC−SSO12のインストールが要求される。なお、C−SSO12は、予めユーザがインストールページにアクセスしてインストールしておいてもよい。
【0032】
ユーザがこのインストール要求を受け入れ、C−SSO12がクライアント端末10へインストールされると、SSO情報配信サーバ30から暗号化された認証代行情報や監査ポリシーがクライアント端末10へと送られる。
【0033】
ユーザは、C−SSO12へのログインを済ませた後、Webブラウザ11を用いて再びサービス提供サーバ40へのアクセスを試みると、C−SSO12は、このリクエストを横取りして、先に当該サービス提供サーバ40への認証を代行する。ここで、認証が成功した場合には、ユーザのリクエストに従った処理がサービス提供サーバ40において行われる。なお、このクライアント端末10上で行われた処理内容は監査ポリシーに基づき監査用サーバ20へ送られる。
【0034】
次に、図2を用いて、図1に示す情報処理システムの機能的な構成の一部について説明する。なお、上記図1と同一のものには同一の符号を付してある。
【0035】
サービス提供サーバ40は、各種処理機能部として、自端末へログインするための認証情報をSSO情報配信サーバ30へと送る機能を果たす認証情報送信部41と、自端末へのログインを許可するか否かの認証を行う機能を果たす認証部42とを具備して構成される。なお、この認証情報送信部41から送信される認証情報は、セキュリティの観点から、暗号化した状態で送られることになる。
【0036】
SSO情報配信サーバ30は、各種処理機能部として、C−SSOインストールプログラムと、SSO情報配布部32と、ユーザ認証情報記憶部33と、認証情報受信部34とを具備して構成される。
【0037】
認証情報受信部34は、サービス提供サーバ40から認証情報を受信する機能を果たし、ユーザ認証情報記憶部33は、ユーザ認証情報を記憶する機能を果たす。SSO情報配布部32は、クライアント端末10からの要求に応じて、サービス提供サーバ40から受信した認証情報と、ユーザ認証情報記憶部33に記憶されたユーザ認証情報とに基づき認証代行情報を作成し、それをクライアント端末10へ配布する機能を果たす。また、SSO情報配布部32では、この認証代行情報の他、監査ポリシーも、クライアント端末10からの要求に応じてクライアント端末10へ配布する。なお、認証代行情報や監査ポリシーをクライアント端末10へ配布する際には、認証情報をサービス提供サーバ40からSSO情報配信サーバ30へ送信したときと同様にこれらを暗号化する。暗号化や復号化に際して用いられる鍵の管理方法や輸送方法、また、採用する暗号化方式は特に問わず、セキュリティが維持できるのであれば、どのような方法を用いてもよい。
【0038】
クライアント端末10には、Webブラウザ11や、各種プログラム13の他、C−SSO12がインストールされており、ここで、C−SSO12は、各種処理機能部として、ユーザ認証部61と、リクエスト取得部62と、SSO情報取得部63と、認証代行部64と、ログ出力部65とを具備して構成される。
【0039】
ユーザ認証部61は、C−SSO12へログインするための認証を行う機能を果たす。SSOの利用に際してユーザは、このユーザ認証部61との間でユーザ認証を行い、C−SSO12に予めログインしておく必要がある。なお、本実施例においては、ユーザ認証部61におけるユーザ認証は、ユーザ認証情報記憶部33に記憶されたユーザ認証情報に基づき行われる。
【0040】
リクエスト取得部62は、Webブラウザ11からのリクエストや、そのリクエストに対するWebブラウザ11への応答を横取りして取得する機能を果たす。すなわち、Webブラウザ11からのリクエストおよびその応答は必ず、C−SSO12を経由することになる。
【0041】
SSO情報取得部63は、SSO情報配信サーバ30のSSO情報配布部32から配布される情報を取得する。具体的には、認証代行情報64aや監査ポリシー65a等のSSOへ参加する際に必要な情報の配布をSSO情報配信サーバ30へ要求し、その要求に応じて配布された情報を取得して認証代行部64やログ出力部65へ渡すことになる。
【0042】
認証代行部64は、認証代行情報64aを用いて各サービス提供サーバ40へユーザに代わって認証を行う機能を果たす。この認証代行情報64aは、例えば、図3に示す一例のようになる。なお、この認証代行部64における認証は、ユーザに意識させることなく行われる。
【0043】
ログ出力部65は、各種処理内容を示すログを監査ポリシー65aに基づいて監査用サーバ20へ出力する機能を果たす。ここで、監査ポリシー65aは、どのようなタイミングでログを出力するか、どのようなログを採るか等を定めた規則である。この監査ポリシー65aをSSO配信サーバ30から各クライアント端末10にインストールされたC−SSO12へ配布することにより、システム全体のポリシーを容易に統一できる。また、監査ポリシー65aを書き換えるだけで採取する監査ログの内容を容易に変更できる。なお、本実施例においては、Webブラウザ11からリクエストを受けた時と、そのリクエスト後にログを採取する旨が監査ポリシー65aに規定されているものとして説明する。
【0044】
監査ポリシー65aは、ユーザが容易には変更できないように暗号化等を施して記憶しておく。また、監査ポリシー65aは、C−SSO12のインストール時や、認証代行情報の配布時などにSSO情報配信サーバ30からダウンロードされる。なお、この上述したC−SSO12をクライアント端末10上で動作させるにあたって、Webブラウザ11等で特段の設定を行う必要はない。これは、C−SSO12が透過型プロキシとして実現されるためである。
【0045】
次に、図4を用いて、図1および図2に示す情報処理システムにおける処理の流れについて説明する。なお、ここでは、クライアント端末10にC−SSO12がインストールされていない状態からの処理の流れについて説明する。
【0046】
まず、サービス提供サーバ40の認証情報送信部41からSSO情報配信サーバ30へ認証情報が送られ、SSO情報配信サーバ30の認証情報受信部34で、これを受信する(ステップS101)。
【0047】
次に、ユーザがクライアント端末10からWebブラウザ11を用いてSSO情報配信サーバ30へアクセスすると(ステップS102)、SSO情報配信サーバ30は、Cookie等を参照することで、クライアント端末10にC−SSOが未インストールであることを検出し、ユーザにC−SSOインストールプログラム31の実行を要求する(ステップS103)。なお、C−SSO12がインストールされる前に、ユーザがクライアント端末10からサービス提供サーバ40に直接アクセスした場合であっても、SSO情報サーバ30へリダイレクトされるように予め設定しておくことで、最初からSSO情報配信サーバ30へアクセスした場合と同様に、C−SSO12のインストールがユーザへ要求されることになる。
【0048】
ユーザがインストールを承諾すると、クライアント端末10へのC−SSO12のインストールが開始される(ステップS104)。ここで、クライアント端末10へのインストールが完了すると、C−SSO12のSSO情報取得部63からの要求により、SSO情報配信サーバ30のSSO情報配布部32から、認証代行情報64aや監査ポリシー65aを含む情報が暗号化された状態でC−SSO12へと送られる(ステップS105)。C−SSO12では、これをSSO情報取得部63で取得し、認証代行情報64aを認証代行部64へ、監査ポリシー65aをログ出力部65へ渡す(ステップS106)。
【0049】
C−SSO12のインストールが済み、ユーザがWebブラウザ11を用いてサービス提供サーバ40へのアクセスを試みると(ステップS107)、C−SSO12は、リクエスト取得部62において、このリクエストを横取りする。この時点でC−SSO12へのログインが済んでいなければ、ユーザ認証部61は、ポップアップを表示するなどして、ユーザにC−SSO12へのログインを要求する(ステップS108)。
【0050】
ユーザは、アカウント、パスワード等のユーザ認証情報を入力し(ステップS109)、ユーザ認証の実行を指示する。ここで、認証が成功すると(ステップS110)、C−SSO12へのログインが行われる。
【0051】
続いてC−SSO12は、サービス提供サーバ40への認証がまだ済んでいないことを検出すると、ユーザに代わって各サービス提供サーバ40へ認証代行を行う(ステップS111)。この認証は、C−SSO12の認証代行部64から、サービス提供サーバ40の認証部42へ認証代行情報64aが送られることで実行される。
【0052】
認証代行に成功すると(ステップS112)、これを受けたリクエスト取得部62は、ステップS107におけるWebブラウザ11からのリクエストを中継する(ステップS113)。このリクエストに対するサービス提供サーバ40からの応答があると(ステップS114)、C−SSO12のリクエスト取得部62がこれを中継して(ステップS115)、Webブラウザ11へ返す。これにより、Webブラウザ11の画面上には、ステップS107のリクエストに対応するHTMLコンテンツ等が表示されることになる(ステップS116)。
【0053】
なお、図4には示されていないが、C−SSO12のログ出力部65では、監査ポリシー65aに基づいてWebブラウザ11からリクエストを受けた時や、そのリクエスト後にログを採取し、それを監査用サーバ20へと出力することになる。
【0054】
次に、図5を用いて、図1および図2に示す情報処理システムにおける処理の流れについて説明する。なお、ここでは、クライアント端末10にC−SSO12が既にインストールされている状態からの処理の流れについて説明する。
【0055】
まず、ユーザがクライアント端末10からWebブラウザ11を用いてサービス提供サーバ40へのアクセスを試みると(ステップS201)、C−SSO12は、リクエスト取得部62において、このリクエストを横取りする。この時点でC−SSO12へのログインが済んでいなければ、ユーザ認証部61は、ポップアップを表示するなどして、ユーザにC−SSO12へのログインを要求する(ステップS202)。
【0056】
ユーザは、アカウント、パスワード等のユーザ認証情報を入力し(ステップS203)、ユーザ認証の実行を指示する。ここで、認証が成功すると(ステップS204)、C−SSO12へのログインが行われることになる。
【0057】
続いてC−SSO12は、サービス提供サーバ40への認証がまだ済んでいないことを検出すると、ユーザに代わって各サービス提供サーバ40へ認証代行を行う(ステップS205)。この認証は、C−SSO12の認証代行部64から、サービス提供サーバ40の認証部42へ認証代行情報64aが送られることで実行される。
【0058】
認証代行に成功すると(ステップS206)、これを受けたリクエスト取得部62は、ステップS201におけるWebブラウザ11からのリクエストを中継する(ステップS207)。このリクエストに対するサービス提供サーバ40からの応答があると(ステップS208)、C−SSO12のリクエスト取得部62がこれを中継して(ステップS209)、Webブラウザ11へ返す。これにより、Webブラウザ11の画面上には、ステップS201のリクエストに対応するHTMLコンテンツ等が表示されることになる(ステップS210)。
【0059】
なお、図5には示されていないが、C−SSO12のログ出力部65では、監査ポリシー65aに基づいてWebブラウザ11からリクエストを受けた時や、そのリクエスト後にログを採取し、それを監査用サーバ20へと出力することになる。
【0060】
以上が本発明の代表的な実施形態の一例であるが、本発明は、上記および図面に示す実施例に限定することなく、その要旨を変更しない範囲内で適宜変形して実施できるものである。
【0061】
例えば、SSO機能の有効/無効の切り替えや、SSO情報配信サーバ30による認証代行情報および監査ポリシー等の配布をUSB(Universal Serial Bus)キーなどの外部記録媒体を利用して行ってもよい。
【0062】
また、上記実施例においては、本発明に係わる情報処理システムにより処理を実施する場合を説明したが、この処理をコンピュータにインストールされた制御プログラムにより実施するように構成してもよい。なお、この制御プログラムは、ネットワーク等の通信手段により提供することはもちろん、CD−ROM等の記録媒体に格納して提供することも可能である。
【産業上の利用可能性】
【0063】
本発明の情報処理システムおよび制御プログラムは、ユーザが最初に一度認証を受けると、その認証で許可された全ての機能を利用できるようにする情報処理システムおよび、この処理をコンピュータに実行させる制御プログラム全般に適用可能である。
【図面の簡単な説明】
【0064】
【図1】本発明に係わる情報処理システムの全体構成の一例を示す図である。
【図2】図1に示す情報処理システムの機能的な構成の一部を示す図である。
【図3】図2に示す認証代行情報の一例を示す図である。
【図4】図1および図2に示す情報処理システムにおける第1の処理の流れを示すシーケンス図である。
【図5】図1および図2に示す情報処理システムにおける第2の処理の流れを示すシーケンス図である。
【符号の説明】
【0065】
10 クライアント端末
11 Webブラウザ
12 透過型プロキシ(C−SSO)
13 プログラム
20 監査用サーバ
21 監査用ログ
30 SSO情報配信サーバ
31 C−SSOインストールプログラム
32 SSO情報配布部
33 ユーザ認証情報記憶部
34 認証情報受信部
40 サービス提供サーバ
41 認証情報送信部
42 認証部
50 ネットワーク
61 ユーザ認証部
62 リクエスト取得部
63 SSO情報取得部
64 認証代行部
64a 認証代行情報
65 ログ出力部
65a 監査ポリシー
【技術分野】
【0001】
本発明は、情報処理システムおよび制御プログラムに関する。
【背景技術】
【0002】
ユーザが最初に一度認証を受けると、その認証で許可された全ての機能を利用できるようにするSSO(Single Sign-On)システムが提案されている。このシステムは、例えば、特許文献1に記載された構成で実現でき、あるサーバへの接続に際し認証、別のサーバへの接続に際し認証…といった認証操作を複数回繰り返す煩わしさを解消させることができる。
【0003】
学校、企業等において、ネットワークシステムを運用する場合には、セキュリティを強化するために、内部ネットワークと外部ネットワーク(例えば、インターネット)との境に、内部ネットワークのコンピュータの代理として外部ネットワークへ接続を行うプロキシサーバが設けられる。このプロキシサーバは、外部ネットワーク上のサーバを、内部ネットワークから利用することを目的とし、特に、フォワードプロキシと呼ばれることもある。
【0004】
これに対しリバースプロキシは、フォワードプロキシが内部ネットワークから外部ネットワークへの接続を中継するのとは逆に、外部ネットワークから内部ネットワークへの接続を中継する。なお、リバースプロキシの用途は、外部ネットワークから内部ネットワークへの接続に限らず、同一のネットワーク内で用いられることも少なくない。
【特許文献1】特開2005−321970号
【発明の開示】
【発明が解決しようとする課題】
【0005】
SSOシステムの1つに、リバースプロキシを配し、外部ネットワーク側からの接続を集中的に管理ならびに監査するリバースプロキシ型のSSOシステムがある。このタイプのシステムでは、WebブラウザからWebサーバに対する全てのリクエストを一旦、このリバースプロキシが受け取り、Webサーバに転送することによって動作することになる。そのため、全てのリクエストがこのリバースプロキシを通過することになるので、リバースプロキシがボトルネックとなり、処理速度や可用性が低下してしまう恐れがある。
【0006】
リバースプロキシ型のSSOシステムの場合、ブラウザ側からは、コンテンツがすべてリバースプロキシに存在するように見える。このため、リバースプロキシでは、コンテンツ(例えば、HTML(HyperText Markup Language)、スタイルシート(CSS)、クライアントサイドスクリプト言語(Java(登録商標)Script、VBScript)等で構成される)内にリンクなどが設定してある場合、このリンク先のURLに変更が生じるため、これに伴ってコンテンツを書き換える必要がでてくる。このとき、コンテンツを書き換えられない場合があり、その場合、サーバ側での対応が必要になるので、任意のサービスをSSOシステムに参加させることが難しかった。
【0007】
また、上述したリバースプロキシ型のSSOシステムの他、Webサーバに認証モジュールを組み込みWebアプリケーション等に至る前に、認証を済ませるエージェント型のSSOシステムも提案されている。この場合、隘路ができないため性能上の問題はなくなるが、サーバとクライアントとの間で直接通信が行われてしまうため、監査ポイントを設定できないという問題がある。
【0008】
また、エージェント型のSSOシステムの場合、Webサーバに組み込むことになるので、プラットフォームや種類に依存してしまい、適用可能なサーバが限定されてしまう。そのため、このエージェント型のSSOシステムの場合にも、リバースプロキシ型のSSOシステムのときと同様に、任意のサービスをSSOシステムに参加させることが難しかった。
【0009】
本発明は、SSOシステムにおける種々の課題を解決するようにした情報処理システムおよび制御プログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
上記目的を達成するため、請求項1の情報処理システムの発明は、情報配信サーバと、クライアント装置と、前記クライアント装置のユーザに対してサービスを提供する複数のサービス提供サーバとを具備し、前記情報配信サーバは、ユーザ認証情報を記憶するユーザ認証情報記憶手段と、前記複数のサービス提供サーバから認証情報を受信する受信手段と、前記受信手段が受信した認証情報と前記ユーザ認証情報記憶手段に記憶されたユーザ認証情報に基づいて作成した認証代行情報を配布する認証代行情報配布手段とを具備し、前記クライアント装置は、ユーザの認証を行うユーザ認証手段と、前記ユーザ認証手段による認証が行われたことを条件に、前記認証代行情報配布手段により配布された認証代行情報に基づき前記複数のサービス提供サーバに対するユーザの認証を代行する認証代行手段とを具備する。
【0011】
また、請求項2の発明は、請求項1の発明において、前記クライアント装置は、前記情報配信サーバから監査ポリシーを取得する監査ポリシー取得手段と、前記監査ポリシー取得手段で取得した前記監査ポリシーに基づいて監査ログを出力するログ出力手段とを更に具備する。
【0012】
また、請求項3の発明は、請求項1または2の発明において、前記認証代行手段は、透過型プロキシである。
【0013】
また、請求項4の発明は、複数のサービス提供サーバへの認証処理を代行して行う処理をコンピュータに実行させる制御プログラムであって、ユーザの認証を行うユーザ認証ステップと、前記複数のサービス提供サーバへの認証を行うための代行認証情報を取得する代行認証情報取得ステップと、前記ユーザ認証ステップによる認証が行われたことを条件に、前記代行認証情報取得ステップで取得した認証代行情報に基づき前記複数のサービス提供サーバに対するユーザの認証を代行する認証代行ステップとを含む。
【0014】
また、請求項5の発明は、請求項4の発明において、監査ポリシーを取得する監査ポリシー取得ステップと、前記監査ポリシー取得手段で取得した前記監査ポリシーに基づいて監査ログを出力するログ出力ステップとを更に含む。
【0015】
また、請求項6の発明は、請求項4または5の発明において、前記認証代行ステップは、透過型プロキシである。
【発明の効果】
【0016】
請求項1の情報処理システムによれば、リバースプロキシ型のような隘路ができないので、性能の劣化を招かない。また、コンテンツを書き換える必要が無いので、SSOに参加するサービス提供サーバ側での対応が不要になり、任意のサービスをSSOに参加させることができる。
【0017】
また、請求項2の情報処理システムによれば、情報配信サーバがポリシーに関する情報を一括して管理して配布することになるので、隘路を設けることなく、ポリシーを統一することができる。
【0018】
また、請求項3の情報処理システムによれば、クライアント装置側で動作する認証代行ソフトウェアを透過型プロキシとして実現するため、ユーザがプロキシに関する設定を行う必要がなくなる。
【0019】
また、請求項4の制御プログラムによれば、複数のサービス提供サーバへの認証処理を代行して行う処理をコンピュータに実行させることができるため、リバースプロキシ型のような隘路ができないので、性能の劣化を招かない。また、コンテンツを書き換える必要が無いので、SSOに参加するサービス提供サーバ側での対応が不要になり、任意のサービスをSSOに参加させることができるようになる。
【0020】
また、請求項5の制御プログラムによれば、隘路を設けることなく、ポリシーを統一できることになる。
【0021】
また、請求項6の制御プログラムによれば、認証代行ソフトウェアを透過型プロキシとして実現することになるため、ユーザがプロキシに関する設定を行う必要がなくなる。
【発明を実施するための最良の形態】
【0022】
以下、この発明に係わる情報処理システムおよび制御プログラムの実施形態について添付図面を参照して詳細に説明する。
【実施例】
【0023】
図1は、本発明に係わる情報処理システムの全体構成の一例を示す図である。
【0024】
この情報処理システムは、LAN(Local Area Network)やWAN(Wide Area Network)等で構成されたネットワーク50を介して1または複数台のクライアント端末10と、監査用サーバ20と、SSO情報配信サーバ30と、1または複数台のサービス提供サーバ40とが接続されている。この情報処理システムでは、クライアント端末10に配された透過型プロキシによるSSOプログラム(以下、C−SSOと言う)の制御によりSSOが実現される。すなわち、1度認証が有効に行われると、このC−SSO12が各サービス提供サーバ40に対し認証代行を行うことで以後、SSOに参加しているどのサービス提供サーバ40にアクセスしたとしても、ユーザは認証を要求されない。なお、この情報処理システムにおけるネットワーク構成は、あくまで一例であり、ネットワーク50上にはこの他、アプリケーションサーバ、Webサーバ等、各種ネットワーク端末が接続されていても良い。
【0025】
ここで、SSO情報配信サーバ30には、C−SSO12をクライアント端末10へインストールするためのC−SSOインストールプログラム31が記憶されており、このプログラム31により、クライアント端末10へC−SSO12がインストールされることになる。
【0026】
また、詳細については後述するが、このC−SSO12によりサービス提供サーバ40への認証が代行して行われるため、C−SSO12では、サービス提供サーバ40へ認証を行うための認証情報を保持しておく必要がある。そのため、SSO情報配信サーバ30では、サービス提供サーバ40へログインするための代行用の認証情報を当該サーバから受け取り、さらにこれをC−SSO12がインストールされたクライアント端末10へ配布することになる。
【0027】
クライアント端末10には、HTMLコンテンツ等を閲覧するためのアプリケーションとしてWebブラウザ11が備わっており、このWebブラウザ11を用いることでサービス提供サーバ40等とのデータ通信が実現されることになる。なお、本実施例においては、Webブラウザ11を介してサービス提供サーバ40等とデータ通信を行う場合を例に挙げて説明するが、この通信に際して必ずしもWebブラウザ11を用いる必要はなく、httpリクエストを利用するものであれば代用できる。
【0028】
Webブラウザ11でサービス提供サーバ40へアクセスする際には、C−SSO12を経由してアクセスすることになる。これは、C−SSO12がWebブラウザ11からのリクエストを横取りするためである。Webブラウザ11からサービス提供サーバ40を参照する際、ユーザにはサーバへ直接アクセスしているように見えるが、実際にはこのC−SSO12を経由してアクセスが行われることになる。また、監査用サーバ20では、このクライアント端末10上でのアクセス記録等を監査ログ21として受け取り、これを記憶する。この監査用サーバ20への監査ログ21の送信に際して、監査ログ21の取得、送信は、C−SSO12が行う。
【0029】
サービス提供サーバ40は、HTMLコンテンツ、画像などの各種情報や、Webアプリケーションなどのリソースを記憶しており、クライアント端末10からのWebブラウザ11を介したhttpリクエストに応じてこれら情報等を提供する。なお、このサービス提供サーバ40は、静的コンテンツ(例えば、HTMLコンテンツ等)と、動的コンテンツ(Webアプリケーション等)とを記憶し、Webサーバとアプリケーションサーバの両方の機能を備えたものであるが、これはあくまで一例であり、いずれか一方の機能のみを備えたサーバであってもよい。
【0030】
ここで、説明を分かり易くするために、クライアント端末10がSSOに参加する際の動作について簡単に説明する。クライアント端末10からサービス提供サーバ40へ初めてアクセスする際には、まず、認証を行う必要がある。ここで、このサービス提供サーバ40へログインするための認証情報は、サービス提供サーバ40からSSO情報配信サーバ30へ定期的に送られている。この定期的とは、例えば、一定時間や一定期間毎であってもよいし、認証情報に変更があったタイミングであってもよい。
【0031】
クライアント端末10からのリクエストは、SSO情報配信サーバ30へとリダイレクトされる。このリダイレクトにより、SSO情報配信サーバ30からクライアント端末10へC−SSO12のインストールが要求される。なお、C−SSO12は、予めユーザがインストールページにアクセスしてインストールしておいてもよい。
【0032】
ユーザがこのインストール要求を受け入れ、C−SSO12がクライアント端末10へインストールされると、SSO情報配信サーバ30から暗号化された認証代行情報や監査ポリシーがクライアント端末10へと送られる。
【0033】
ユーザは、C−SSO12へのログインを済ませた後、Webブラウザ11を用いて再びサービス提供サーバ40へのアクセスを試みると、C−SSO12は、このリクエストを横取りして、先に当該サービス提供サーバ40への認証を代行する。ここで、認証が成功した場合には、ユーザのリクエストに従った処理がサービス提供サーバ40において行われる。なお、このクライアント端末10上で行われた処理内容は監査ポリシーに基づき監査用サーバ20へ送られる。
【0034】
次に、図2を用いて、図1に示す情報処理システムの機能的な構成の一部について説明する。なお、上記図1と同一のものには同一の符号を付してある。
【0035】
サービス提供サーバ40は、各種処理機能部として、自端末へログインするための認証情報をSSO情報配信サーバ30へと送る機能を果たす認証情報送信部41と、自端末へのログインを許可するか否かの認証を行う機能を果たす認証部42とを具備して構成される。なお、この認証情報送信部41から送信される認証情報は、セキュリティの観点から、暗号化した状態で送られることになる。
【0036】
SSO情報配信サーバ30は、各種処理機能部として、C−SSOインストールプログラムと、SSO情報配布部32と、ユーザ認証情報記憶部33と、認証情報受信部34とを具備して構成される。
【0037】
認証情報受信部34は、サービス提供サーバ40から認証情報を受信する機能を果たし、ユーザ認証情報記憶部33は、ユーザ認証情報を記憶する機能を果たす。SSO情報配布部32は、クライアント端末10からの要求に応じて、サービス提供サーバ40から受信した認証情報と、ユーザ認証情報記憶部33に記憶されたユーザ認証情報とに基づき認証代行情報を作成し、それをクライアント端末10へ配布する機能を果たす。また、SSO情報配布部32では、この認証代行情報の他、監査ポリシーも、クライアント端末10からの要求に応じてクライアント端末10へ配布する。なお、認証代行情報や監査ポリシーをクライアント端末10へ配布する際には、認証情報をサービス提供サーバ40からSSO情報配信サーバ30へ送信したときと同様にこれらを暗号化する。暗号化や復号化に際して用いられる鍵の管理方法や輸送方法、また、採用する暗号化方式は特に問わず、セキュリティが維持できるのであれば、どのような方法を用いてもよい。
【0038】
クライアント端末10には、Webブラウザ11や、各種プログラム13の他、C−SSO12がインストールされており、ここで、C−SSO12は、各種処理機能部として、ユーザ認証部61と、リクエスト取得部62と、SSO情報取得部63と、認証代行部64と、ログ出力部65とを具備して構成される。
【0039】
ユーザ認証部61は、C−SSO12へログインするための認証を行う機能を果たす。SSOの利用に際してユーザは、このユーザ認証部61との間でユーザ認証を行い、C−SSO12に予めログインしておく必要がある。なお、本実施例においては、ユーザ認証部61におけるユーザ認証は、ユーザ認証情報記憶部33に記憶されたユーザ認証情報に基づき行われる。
【0040】
リクエスト取得部62は、Webブラウザ11からのリクエストや、そのリクエストに対するWebブラウザ11への応答を横取りして取得する機能を果たす。すなわち、Webブラウザ11からのリクエストおよびその応答は必ず、C−SSO12を経由することになる。
【0041】
SSO情報取得部63は、SSO情報配信サーバ30のSSO情報配布部32から配布される情報を取得する。具体的には、認証代行情報64aや監査ポリシー65a等のSSOへ参加する際に必要な情報の配布をSSO情報配信サーバ30へ要求し、その要求に応じて配布された情報を取得して認証代行部64やログ出力部65へ渡すことになる。
【0042】
認証代行部64は、認証代行情報64aを用いて各サービス提供サーバ40へユーザに代わって認証を行う機能を果たす。この認証代行情報64aは、例えば、図3に示す一例のようになる。なお、この認証代行部64における認証は、ユーザに意識させることなく行われる。
【0043】
ログ出力部65は、各種処理内容を示すログを監査ポリシー65aに基づいて監査用サーバ20へ出力する機能を果たす。ここで、監査ポリシー65aは、どのようなタイミングでログを出力するか、どのようなログを採るか等を定めた規則である。この監査ポリシー65aをSSO配信サーバ30から各クライアント端末10にインストールされたC−SSO12へ配布することにより、システム全体のポリシーを容易に統一できる。また、監査ポリシー65aを書き換えるだけで採取する監査ログの内容を容易に変更できる。なお、本実施例においては、Webブラウザ11からリクエストを受けた時と、そのリクエスト後にログを採取する旨が監査ポリシー65aに規定されているものとして説明する。
【0044】
監査ポリシー65aは、ユーザが容易には変更できないように暗号化等を施して記憶しておく。また、監査ポリシー65aは、C−SSO12のインストール時や、認証代行情報の配布時などにSSO情報配信サーバ30からダウンロードされる。なお、この上述したC−SSO12をクライアント端末10上で動作させるにあたって、Webブラウザ11等で特段の設定を行う必要はない。これは、C−SSO12が透過型プロキシとして実現されるためである。
【0045】
次に、図4を用いて、図1および図2に示す情報処理システムにおける処理の流れについて説明する。なお、ここでは、クライアント端末10にC−SSO12がインストールされていない状態からの処理の流れについて説明する。
【0046】
まず、サービス提供サーバ40の認証情報送信部41からSSO情報配信サーバ30へ認証情報が送られ、SSO情報配信サーバ30の認証情報受信部34で、これを受信する(ステップS101)。
【0047】
次に、ユーザがクライアント端末10からWebブラウザ11を用いてSSO情報配信サーバ30へアクセスすると(ステップS102)、SSO情報配信サーバ30は、Cookie等を参照することで、クライアント端末10にC−SSOが未インストールであることを検出し、ユーザにC−SSOインストールプログラム31の実行を要求する(ステップS103)。なお、C−SSO12がインストールされる前に、ユーザがクライアント端末10からサービス提供サーバ40に直接アクセスした場合であっても、SSO情報サーバ30へリダイレクトされるように予め設定しておくことで、最初からSSO情報配信サーバ30へアクセスした場合と同様に、C−SSO12のインストールがユーザへ要求されることになる。
【0048】
ユーザがインストールを承諾すると、クライアント端末10へのC−SSO12のインストールが開始される(ステップS104)。ここで、クライアント端末10へのインストールが完了すると、C−SSO12のSSO情報取得部63からの要求により、SSO情報配信サーバ30のSSO情報配布部32から、認証代行情報64aや監査ポリシー65aを含む情報が暗号化された状態でC−SSO12へと送られる(ステップS105)。C−SSO12では、これをSSO情報取得部63で取得し、認証代行情報64aを認証代行部64へ、監査ポリシー65aをログ出力部65へ渡す(ステップS106)。
【0049】
C−SSO12のインストールが済み、ユーザがWebブラウザ11を用いてサービス提供サーバ40へのアクセスを試みると(ステップS107)、C−SSO12は、リクエスト取得部62において、このリクエストを横取りする。この時点でC−SSO12へのログインが済んでいなければ、ユーザ認証部61は、ポップアップを表示するなどして、ユーザにC−SSO12へのログインを要求する(ステップS108)。
【0050】
ユーザは、アカウント、パスワード等のユーザ認証情報を入力し(ステップS109)、ユーザ認証の実行を指示する。ここで、認証が成功すると(ステップS110)、C−SSO12へのログインが行われる。
【0051】
続いてC−SSO12は、サービス提供サーバ40への認証がまだ済んでいないことを検出すると、ユーザに代わって各サービス提供サーバ40へ認証代行を行う(ステップS111)。この認証は、C−SSO12の認証代行部64から、サービス提供サーバ40の認証部42へ認証代行情報64aが送られることで実行される。
【0052】
認証代行に成功すると(ステップS112)、これを受けたリクエスト取得部62は、ステップS107におけるWebブラウザ11からのリクエストを中継する(ステップS113)。このリクエストに対するサービス提供サーバ40からの応答があると(ステップS114)、C−SSO12のリクエスト取得部62がこれを中継して(ステップS115)、Webブラウザ11へ返す。これにより、Webブラウザ11の画面上には、ステップS107のリクエストに対応するHTMLコンテンツ等が表示されることになる(ステップS116)。
【0053】
なお、図4には示されていないが、C−SSO12のログ出力部65では、監査ポリシー65aに基づいてWebブラウザ11からリクエストを受けた時や、そのリクエスト後にログを採取し、それを監査用サーバ20へと出力することになる。
【0054】
次に、図5を用いて、図1および図2に示す情報処理システムにおける処理の流れについて説明する。なお、ここでは、クライアント端末10にC−SSO12が既にインストールされている状態からの処理の流れについて説明する。
【0055】
まず、ユーザがクライアント端末10からWebブラウザ11を用いてサービス提供サーバ40へのアクセスを試みると(ステップS201)、C−SSO12は、リクエスト取得部62において、このリクエストを横取りする。この時点でC−SSO12へのログインが済んでいなければ、ユーザ認証部61は、ポップアップを表示するなどして、ユーザにC−SSO12へのログインを要求する(ステップS202)。
【0056】
ユーザは、アカウント、パスワード等のユーザ認証情報を入力し(ステップS203)、ユーザ認証の実行を指示する。ここで、認証が成功すると(ステップS204)、C−SSO12へのログインが行われることになる。
【0057】
続いてC−SSO12は、サービス提供サーバ40への認証がまだ済んでいないことを検出すると、ユーザに代わって各サービス提供サーバ40へ認証代行を行う(ステップS205)。この認証は、C−SSO12の認証代行部64から、サービス提供サーバ40の認証部42へ認証代行情報64aが送られることで実行される。
【0058】
認証代行に成功すると(ステップS206)、これを受けたリクエスト取得部62は、ステップS201におけるWebブラウザ11からのリクエストを中継する(ステップS207)。このリクエストに対するサービス提供サーバ40からの応答があると(ステップS208)、C−SSO12のリクエスト取得部62がこれを中継して(ステップS209)、Webブラウザ11へ返す。これにより、Webブラウザ11の画面上には、ステップS201のリクエストに対応するHTMLコンテンツ等が表示されることになる(ステップS210)。
【0059】
なお、図5には示されていないが、C−SSO12のログ出力部65では、監査ポリシー65aに基づいてWebブラウザ11からリクエストを受けた時や、そのリクエスト後にログを採取し、それを監査用サーバ20へと出力することになる。
【0060】
以上が本発明の代表的な実施形態の一例であるが、本発明は、上記および図面に示す実施例に限定することなく、その要旨を変更しない範囲内で適宜変形して実施できるものである。
【0061】
例えば、SSO機能の有効/無効の切り替えや、SSO情報配信サーバ30による認証代行情報および監査ポリシー等の配布をUSB(Universal Serial Bus)キーなどの外部記録媒体を利用して行ってもよい。
【0062】
また、上記実施例においては、本発明に係わる情報処理システムにより処理を実施する場合を説明したが、この処理をコンピュータにインストールされた制御プログラムにより実施するように構成してもよい。なお、この制御プログラムは、ネットワーク等の通信手段により提供することはもちろん、CD−ROM等の記録媒体に格納して提供することも可能である。
【産業上の利用可能性】
【0063】
本発明の情報処理システムおよび制御プログラムは、ユーザが最初に一度認証を受けると、その認証で許可された全ての機能を利用できるようにする情報処理システムおよび、この処理をコンピュータに実行させる制御プログラム全般に適用可能である。
【図面の簡単な説明】
【0064】
【図1】本発明に係わる情報処理システムの全体構成の一例を示す図である。
【図2】図1に示す情報処理システムの機能的な構成の一部を示す図である。
【図3】図2に示す認証代行情報の一例を示す図である。
【図4】図1および図2に示す情報処理システムにおける第1の処理の流れを示すシーケンス図である。
【図5】図1および図2に示す情報処理システムにおける第2の処理の流れを示すシーケンス図である。
【符号の説明】
【0065】
10 クライアント端末
11 Webブラウザ
12 透過型プロキシ(C−SSO)
13 プログラム
20 監査用サーバ
21 監査用ログ
30 SSO情報配信サーバ
31 C−SSOインストールプログラム
32 SSO情報配布部
33 ユーザ認証情報記憶部
34 認証情報受信部
40 サービス提供サーバ
41 認証情報送信部
42 認証部
50 ネットワーク
61 ユーザ認証部
62 リクエスト取得部
63 SSO情報取得部
64 認証代行部
64a 認証代行情報
65 ログ出力部
65a 監査ポリシー
【特許請求の範囲】
【請求項1】
情報配信サーバと、
クライアント装置と、
前記クライアント装置のユーザに対してサービスを提供する複数のサービス提供サーバと
を具備し、
前記情報配信サーバは、
ユーザ認証情報を記憶するユーザ認証情報記憶手段と、
前記複数のサービス提供サーバから認証情報を受信する受信手段と、
前記受信手段が受信した認証情報と前記ユーザ認証情報記憶手段に記憶されたユーザ認証情報に基づいて作成した認証代行情報を配布する認証代行情報配布手段と
を具備し、
前記クライアント装置は、
ユーザの認証を行うユーザ認証手段と、
前記ユーザ認証手段による認証が行われたことを条件に、前記認証代行情報配布手段により配布された認証代行情報に基づき前記複数のサービス提供サーバに対するユーザの認証を代行する認証代行手段と
を具備する情報処理システム。
【請求項2】
前記クライアント装置は、
前記情報配信サーバから監査ポリシーを取得する監査ポリシー取得手段と、
前記監査ポリシー取得手段で取得した前記監査ポリシーに基づいて監査ログを出力するログ出力手段と
を更に具備する請求項1記載の情報処理システム。
【請求項3】
前記認証代行手段は、
透過型プロキシである請求項1または請求項2記載の情報処理システム。
【請求項4】
複数のサービス提供サーバへの認証処理を代行して行う処理をコンピュータに実行させる制御プログラムであって、
ユーザの認証を行うユーザ認証ステップと、
前記複数のサービス提供サーバへの認証を行うための代行認証情報を取得する代行認証情報取得ステップと、
前記ユーザ認証ステップによる認証が行われたことを条件に、前記代行認証情報取得ステップで取得した認証代行情報に基づき前記複数のサービス提供サーバに対するユーザの認証を代行する認証代行ステップと
を含む制御プログラム。
【請求項5】
監査ポリシーを取得する監査ポリシー取得ステップと、
前記監査ポリシー取得手段で取得した前記監査ポリシーに基づいて監査ログを出力するログ出力ステップと
を更に含む請求項4記載の制御プログラム。
【請求項6】
前記認証代行ステップは、
透過型プロキシである請求項4または請求項5記載の制御プログラム
【請求項1】
情報配信サーバと、
クライアント装置と、
前記クライアント装置のユーザに対してサービスを提供する複数のサービス提供サーバと
を具備し、
前記情報配信サーバは、
ユーザ認証情報を記憶するユーザ認証情報記憶手段と、
前記複数のサービス提供サーバから認証情報を受信する受信手段と、
前記受信手段が受信した認証情報と前記ユーザ認証情報記憶手段に記憶されたユーザ認証情報に基づいて作成した認証代行情報を配布する認証代行情報配布手段と
を具備し、
前記クライアント装置は、
ユーザの認証を行うユーザ認証手段と、
前記ユーザ認証手段による認証が行われたことを条件に、前記認証代行情報配布手段により配布された認証代行情報に基づき前記複数のサービス提供サーバに対するユーザの認証を代行する認証代行手段と
を具備する情報処理システム。
【請求項2】
前記クライアント装置は、
前記情報配信サーバから監査ポリシーを取得する監査ポリシー取得手段と、
前記監査ポリシー取得手段で取得した前記監査ポリシーに基づいて監査ログを出力するログ出力手段と
を更に具備する請求項1記載の情報処理システム。
【請求項3】
前記認証代行手段は、
透過型プロキシである請求項1または請求項2記載の情報処理システム。
【請求項4】
複数のサービス提供サーバへの認証処理を代行して行う処理をコンピュータに実行させる制御プログラムであって、
ユーザの認証を行うユーザ認証ステップと、
前記複数のサービス提供サーバへの認証を行うための代行認証情報を取得する代行認証情報取得ステップと、
前記ユーザ認証ステップによる認証が行われたことを条件に、前記代行認証情報取得ステップで取得した認証代行情報に基づき前記複数のサービス提供サーバに対するユーザの認証を代行する認証代行ステップと
を含む制御プログラム。
【請求項5】
監査ポリシーを取得する監査ポリシー取得ステップと、
前記監査ポリシー取得手段で取得した前記監査ポリシーに基づいて監査ログを出力するログ出力ステップと
を更に含む請求項4記載の制御プログラム。
【請求項6】
前記認証代行ステップは、
透過型プロキシである請求項4または請求項5記載の制御プログラム
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2008−9607(P2008−9607A)
【公開日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願番号】特願2006−178036(P2006−178036)
【出願日】平成18年6月28日(2006.6.28)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成20年1月17日(2008.1.17)
【国際特許分類】
【出願日】平成18年6月28日(2006.6.28)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]