認証システム及び認証基盤装置及び認証プログラム
【課題】シングルサインオン認証システムにおいて、IDマッピングテーブルの管理負荷軽減と、なりすまし防止によるセキュリティ機能強化を図る。
【解決手段】Webサービス認証機能部301はユーザ端末装置100からWebサービスAのサービスID(A)を含む認証要求を受信し、認証が成立するとサービスID(A)を含む認証情報を一定期間保持する。IDマッピング指示機能部302は、認証情報保持期間にユーザ端末装置100からWEbサービスAへアクセスがあるとサービスID(A)と共通IDとの対応付けを要求する共通IDマッピング要求を認証基盤装置200に送信する。認証基盤装置200は共通IDマッピング要求を受信すると、ユーザ端末装置100に共通IDの送信を要求して共通IDを受信し、共通IDと共通IDマッピング要求に含まれるサービスID(A)との対応付けをIDマッピングサービス装置に実行させて記憶させる。
【解決手段】Webサービス認証機能部301はユーザ端末装置100からWebサービスAのサービスID(A)を含む認証要求を受信し、認証が成立するとサービスID(A)を含む認証情報を一定期間保持する。IDマッピング指示機能部302は、認証情報保持期間にユーザ端末装置100からWEbサービスAへアクセスがあるとサービスID(A)と共通IDとの対応付けを要求する共通IDマッピング要求を認証基盤装置200に送信する。認証基盤装置200は共通IDマッピング要求を受信すると、ユーザ端末装置100に共通IDの送信を要求して共通IDを受信し、共通IDと共通IDマッピング要求に含まれるサービスID(A)との対応付けをIDマッピングサービス装置に実行させて記憶させる。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、シングルサインオンに使用するIDを対応付ける認証システムに関する。
【背景技術】
【0002】
従来のシングルサインオンサーバは、IDマッピングテーブルを所持し、認証時に使用されたユーザIDをアクセス先のユーザIDに変換することによって、シングルサインオンを行っていた(例えば、非特許文献1)。例えば、図9は従来のシングルサインオンのシステムを示す。図9では、
(1)ユーザ端末装置100は、予めIDマッピングサービス装置400にIDのマッピング情報登録(S01)し、
(2)ユーザ端末装置100は、認証基盤装置200に、WebサービスAおよびWebサービスBで共通に利用可能な「共通ID」を使って、WebサービスAにアクセスし(S02)、
(3)認証基盤装置200がユーザ認証を実施し(S03)、
(4)認証基盤装置200は認証が成立するとIDマッピングサービス装置400に依頼し、この依頼に基づき、IDマッピングサービス装置400がID変換機能部402を使いIDマッピングテーブル403から共通IDをキーにしてWebサービスAのIDを特定して認証基盤装置200に返信し(S04)、
(5)この返信により、認証基盤装置200がWebサービスAにWebサービスAのIDでアクセス(S05)、
の流れでシングルサインオンを実現している。
【0003】
この場合、IDマッピングテーブル403のマッピング情報は事前に設定されたものであるが、予め決められた方法で自動的にユーザIDを割り当てる方式も提案されている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−234329号公報
【非特許文献】
【0005】
【非特許文献1】Liberty AllianceのLiberty Identity Web Services Framework(ID−WSF)2.0
【発明の概要】
【発明が解決しようとする課題】
【0006】
共通IDとしてユーザの個人情報である社会保障番号など公的IDを使う場合、他のサービス提供者に漏洩しないようにする必要があるが、このような場合従来の認証基盤装置200では以下の課題があった。
(1)ユーザがIDマッピングテーブル403の管理を可能な場合、接続するWebサービスの数が増加するに従って、ユーザの管理負荷が高くなってしまう。
(2)ユーザがWebサービスのIDを自由に登録可能なため、他人へのなりすましも可能であり、Webサービス提供者がこのマッピング情報を活用できない。
【0007】
この発明は、シングルサインオンの認証システムにおいて、IDマッピングテーブル403の管理負荷軽減と、なりすまし防止によるセキュリティ機能強化を目的とする。
【課題を解決するための手段】
【0008】
この発明の認証システムは、
所定のサービスを提供するサービス提供装置と、前記サービス提供装置の提供する前記所定のサービスの利用に必要なID(IDentification)の登録処理を実行する認証基盤装置とを備えた認証システムにおいて、
前記サービス提供装置は、
ユーザ端末装置から認証を要求すると共に前記所定のサービスのIDを示すサービスIDを含む認証要求を受信すると認証処理を実行し、認証が成立すると認証が成立したことを示すと共に前記サービスIDを含む認証情報を一定期間保持するサービス側認証機能部と、
前記認証情報が保持されている前記一定期間の間に前記ユーザ端末装置から前記所定のサービスに対してアクセスされると前記認証情報に含まれる前記サービスIDを含むと共に前記サービスIDと、前記サービスIDに対応する共通IDとの対応付けを要求する共通IDマッピング要求を前記認証基盤装置に送信するサービス側IDマッピング指示機能部と
を備え、
前記認証基盤装置は、
前記共通IDマッピング要求を受信すると前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させる認証側登録機能部を
備えたことを特徴とする。
【発明の効果】
【0009】
この発明により、シングルサインオンの認証システムにおいて、IDマッピングテーブルの管理負荷軽減と、なりすまし防止によるセキュリティ機能強化を図ることができる。
【図面の簡単な説明】
【0010】
【図1】実施の形態1の認証システム1000のシステム構成図。
【図2】実施の形態1のセキュアIDマッピング登録機能部201の動作フロー。
【図3】実施の形態2の認証システム1000のシステム構成図。
【図4】実施の形態2のセキュアIDマッピング登録機能部201の動作フロー。
【図5】実施の形態3のIDマッピングテーブル403を示す図。
【図6】実施の形態3の認証システム1000のシステム構成図。
【図7】実施の形態3のセキュアIDマッピング登録機能部201の動作フロー。
【図8】実施の形態4の認証基盤装置200のハードウェア構成例を示す図。
【図9】従来技術を示す図。
【発明を実施するための形態】
【0011】
実施の形態1.
図1は、この実施の形態1を示す認証基盤装置200と、それと連携するWebサービスAから構成されるシングルサインオン認証システム1000の構成図である。
【0012】
図1において、シングルサインオン認証システム1000は、ユーザ端末装置100、認証基盤装置200、WebサービスA提供装置300及びIDマッピングサービス装置400(マッピング装置)を備える。これらはネットワーク(図示していない)を介して接続されている。
【0013】
(1)ユーザ端末装置100は、Webサービスにブラウザ等を利用しアクセスする者が使用する装置である。
(2)WebサービスA提供装置300は、ユーザ端末装置100に対してサービスAを提供するアプリケーション(WebサービスA)を実行する装置である。
(3)Webサービス認証機能部301(サービス側認証機能部)は、ユーザ端末装置100を認証する機能を持つ。
(4)IDマッピング指示機能部302(サービス側IDマッピング指示機能部)は、ユーザ端末装置100やWebサービスAの指示によりIDのマッピングを指示する機能を有する。
(5)認証基盤装置200は、ユーザ端末装置100が正しくWebサービスAを利用する資格があるかどうかを認証する。
(6)セキュアIDマッピング登録機能部201(認証側登録機能部)は、ユーザへの認証とIDのマッピングを登録する機能を有する。
(7)IDマッピングサービス装置400は、複数のIDの対応表を保持する。
(8)IDマッピング登録機能部401は、IDマッピングテーブル403にIDのマッピング情報を登録する。
(9)ID変換機能部402は、IDマッピングテーブル403を参照してIDの変換を行う。IDマッピングテーブル403は、IDの対からなるデータである。
【0014】
図2は、セキュアIDマッピング登録機能部201の処理の流れを示すフローチャートである。図2を参照してこのシステムの動作を説明する。また図1に以下の動作のステップ番号を記入している。セキュアIDマッピング登録機能部201の動作の図2では100番台の番号を使用し、図1に記載した全般の動作では10番台の番号を使用した。
【0015】
ユーザ端末装置100は、まず認証基盤装置200を経由せず、WebサービスAに対してWebブラウザ等で直接アクセスする。WebサービスAでは、Webサービス認証機能部301によりユーザの認証を行う(S11)。この際の認証はID/パスワードによる方式、SSLクライアント認証による方式等様々な方式が考えられるが、ユーザID(後に共通IDと対応付けられるWebサービスAのID)を特定できる方式であればどの方式でもよい。このWebサービスAで認証した結果はセッション情報などに認証情報として格納され、ユーザとWebサービスとの間で一定期間保持される。その認証情報が保持された状態で、ユーザ端末装置100がIDマッピング指示機能部302にアクセスすると(S12)、IDマッピング指示機能部302は認証情報に格納された「WebサービスAを利用する際のユーザID」を取得し、そのユーザIDをセキュアIDマッピング登録機能部201に伝え、共通IDとのマッピングを要求する(S13)。
【0016】
認証基盤装置200のセキュアIDマッピング登録機能部201では、マッピング要求を受けるとユーザ端末装置100に対して「共通ID」での認証を要求する(S14、S101)。このユーザへの認証の実現方式としては、たとえばHTTPのリダイレクト機能を使うことでユーザへ認証画面を提供することが可能となる。この際の認証もID/パスワードによる方式、SSLクライアント認証による方式などどの認証方式でもよい。ユーザ端末装置100が要求に従い共通IDによる認証をした場合(S15)、セキュアIDマッピング登録機能部201は認証OKであれば(S102)、そこで取得した「共通ID」と「WebサービスAのID」をマッピングするようIDマッピング登録機能部401に指示する(S16、S104)。認証NGの場合は(S102)、セキュアIDマッピング登録機能部201はIDマッピング登録を中止し、ユーザにエラー画面等を表示し(S105)、登録NGの旨をIDマッピング指示機能部302に返す(S106)。IDマッピングサービス装置400のIDマッピング登録機能部401は、指示に従って「共通ID」と「WebサービスAのID」とをIDマッピングテーブル403に格納する。以上の流れで、共通IDとWebサービスAのIDとが正しくマッピングされる。
【0017】
このようにIDマッピングテーブル403に格納することで、次回ユーザは認証基盤装置200にアクセスし、共通IDで認証された後、WebサービスAにアクセスすることができる。その際、図1の場合と同様に共通IDがWebサービスAのIDに変換されて認証基盤装置200がWebサービスAのIDでWebサービスAにアクセスする。これにより、ユーザは認証基盤装置200を介して正しくWebサービスAの機能を利用することが可能となる。
【0018】
すなわち、認証基盤装置200は、ID変換機能部402に共通IDを伝えIDの変換を指示する。ID変換機能部402はIDマッピングテーブル403から共通IDに合致するWebサービスAのIDを検索し、見つかった場合はそのWebサービスAのIDを返す。認証基盤装置200ではWebサービスAのIDが取得できた場合、WebサービスAへWebサービスAのIDを利用しアクセスする。WebサービスAのIDが取得できなかった場合はユーザにエラー画面等を表示する。
【0019】
以上のように、IDマッピングの指示をWebサービスAで認証後にWebサービスA側からのIDマッピング指示を行うことで、ユーザのIDマッピングテーブル403の管理負荷を軽減することができる。また、ユーザから認証基盤装置200のIDマッピングテーブル403を変更できない構成とすることにより、Webサービス側からしかIDが登録できなくなり、ユーザによるなりすましを防止することが可能となる。
【0020】
また、共通IDの情報はWebサービス側に伝達されず、認証基盤装置200側にのみ通知されるため、例えば社会保障番号など個人情報となる番号が共通IDであった場合、Webサービス提供者側への漏洩を防ぐことが可能となる。
【0021】
また、本実施の形態1では、無条件でWebサービスがIDのマッピング情報を登録できたが、この登録要求に電子署名を付加し、それを検証することで許可されたWebサービスのみ登録可能な構成とすることができ、なりすましを防ぐことが可能となる。
【0022】
以上の実施の形態1では、IDのマッピング情報を記録する記録装置を介して、サービスAのIDマッピング指示機能部からの要求に応じてIDマッピングテーブルを更新する認証基盤装置を説明した。
【0023】
実施の形態2.
図3、図4を参照して実施の形態2を説明する。以上の実施の形態1では、ユーザの指示によりIDマッピングを指示し、IDマッピングの登録を行っていた。次に実施の形態2ではIDマッピング(共通IDとサービスIDとの対応付け)の登録有無を事前に確認する。IDマッピングの登録がIDマッピングテーブル403にない場合は、WebサービスAのIDマッピング指示機能部302が自動的にIDマッピング情報の登録指示をする場合を説明する。
【0024】
図3は、実施の形態2におけるシングルサインオン認証システム1000の構成を示す。構成自体は実施の形態1の図1と同じであるが、次の動作説明で述べるように装置間のやり取りが多少異なる。
【0025】
図4は、セキュアIDマッピング登録機能部201の処理の流れを示す。また図3に以下の全般の動作のステップ番号を記入している。セキュアIDマッピング登録機能部201の動作の図4では200番台の番号を使用し、図3に記載した全般の動作では20番台の番号を使用した。
【0026】
実施の形態1では、IDマッピングの指示をユーザ側もしくはWebサービスで判断して行っていたが、本実施の形態2ではマッピング済みかどうかをセキュアIDマッピング登録機能部201に問い合わせ、登録していないもののみ登録するよう動作を変更する。
【0027】
Webサービス認証機能部301にユーザ端末装置100がWebサービスAのIDで認証を要求した場合(S21)、Webサービス認証機能部301はIDマッピング指示機能部302を呼び出す。IDマッピング指示機能部302は、WebサービスAのIDがマッピング情報(IDマッピングテーブル403)に登録されているかどうかをセキュアIDマッピング登録機能部201に問い合わせる(S22)。
【0028】
セキュアIDマッピング登録機能部201は、IDマッピング登録機能部401にIDマッピング情報が登録されているかどうかを問い合わせる(S23、S201)。問い合わせがあると、IDマッピング登録機能部401は、IDマッピングテーブル403を検索し、該当するマッピング情報を検索する。検索した結果は、セキュアIDマッピング登録機能部201を経由し、IDマッピング指示機能部302に伝えられる。
【0029】
IDマッピング指示機能部302は、受信した検索結果によりマッピング情報が存在しないと判断した場合は、実施の形態1と同様にIDマッピングの登録を指示する(S24)。この後の動作は実施の形態1と同様である(図4のS23〜S28は図2のS101〜S106に同様)。IDマッピング指示機能部302は、受信した検索結果によりマッピング情報が存在すると判断した場合は特になにも処理しない。
【0030】
以上のような構成とすることで、実施の形態1ではWebサービスAへの新規登録時やユーザの指示が必要であったが、実施の形態2では自動的にマッピング情報を登録することが可能となる。例えば、WebサービスAにユーザ端末装置100のユーザ情報が登録されている既存システムにおいても、実施の形態2で説明した機能を組み込むことで、共通IDとのマッピングを自動的に実施していくことが可能である。このような既存システムのIDマッピング情報への登録は、WebサービスAの管理者が一括登録するなどの方法がとられていたが、運用負荷が高かったり、WebサービスAの管理者に共通IDを知らせたり必要があった。しかし、本実施の形態2によれば、この運用負荷軽減と、共通IDの漏洩を防ぐことが可能である。
【0031】
以上の実施の形態2では、IDマッピング登録の際にIDマッピングの登録を確認する機能を有し、IDマッピングマッピングテーブルの登録情報を更新する認証基盤装置を説明した。
【0032】
実施の形態3.
図5〜図7を参照して実施の形態3を説明する。以上の実施の形態1、2では、共通IDとWebサービスのIDとを1対1でマッピングしていた。実施の形態3では、共通サービス、Webサービス、Webサービス毎の契約ID(グループ所属ID)をマッピングする実施形態を示す。契約IDは、一つのサービスAのIDとして契約ごとに設定される複数のIDからなるIDグループのうちの一つのIDである。
【0033】
図5は、実施の形態1、2でのIDマッピングテーブル403−1と、本実施の形態3におけるIDマッピングテーブル403−3の構造を示す。IDマッピングテーブル403−1に示す通り、実施の形態1、2では共通IDとWebサービスAやサービスBのIDマッピングを個別に行っていた。しかし本実施の形態3では、IDマッピングテーブル403−3に示す通り、例えば「共通ID」とWebサービスAのIDをまずマッピングし、その「WebサービスAのID」に対応付けられる契約IDをさらにマッピングしている。
【0034】
図6は、本実施の形態3のシステム構成を示す。構成自体は実施の形態1の図1と同じであるが各装置間のやり取りが多少異なる。
【0035】
図7にセキュアIDマッピング登録機能部201の処理の流れを示す。また図6に以下の全般の動作のステップ番号を記入している。セキュアIDマッピング登録機能部201の動作の図7では300番台の番号を使用し、図6に記載した全般の動作では30番台の番号を使用した。
【0036】
次に動作について説明する。IDマッピング指示機能部302はWebサービス認証機能部301からIDマッピングの指示を受けると、セキュアIDマッピング登録機能部201にマッピングの有無を問い合わせる。ここで、WebサービスAのIDではなく、WebサービスAの「契約2のID」というように、同一人物であっても複数の契約がある場合は、契約ごとにその契約IDで問い合わせる。
【0037】
セキュアIDマッピング登録機能部201は有無の問い合わせを受けるとIDマッピング登録機能部401のIDマッピングテーブル403−3に該当のWebサービスIDが登録されているかどうかを確認する(S301)。登録されていない場合は(S302)、実施の形態1、2と同様にセキュアIDマッピング登録機能部201はユーザに共通IDの認証を求め、その後にIDマッピングサービス装置400にIDマッピング登録を行わせる(S303からS308まで)。
【0038】
WebサービスAのIDが登録されている場合は(S302)、セキュアIDマッピング登録機能部201は、そのWebサービスAに契約2のIDがマッピングされていないかをIDマッピングサービス装置400を介して確認する(S309)。登録されている場合は(S310の「はい」)、セキュアIDマッピング登録機能部201は、その旨をIDマッピング指示機能部302に返す。登録されていない場合は(S310の「いいえ」)、セキュアIDマッピング登録機能部201はIDマッピング登録機能部401を通して、サービスAの契約IDをWebサービスにマッピングする(S311)。
【0039】
以上のような構成にすることにより、例えば保険契約など一顧客に複数の契約IDがある場合は従来はマッピング不可であった。しかし、本実施の形態3では契約ID毎に登録することが可能である。また、同一のWebサービスに対しては共通IDとのマッピングを1回実施すればよく、ユーザの共通IDでの認証階数を減らすことができ、負荷軽減になる。また、Webサービス側では契約IDとの対応付けの確認を実施することが可能となり、複数の契約IDの名寄せが可能となる。
【0040】
以上の実施の形態3では、階層的なマッピングテーブル情報に対応し、IDマッピング登録の際にIDマッピングの登録を確認し、IDマッピングマッピングテーブルの登録情報を更新する認証基盤装置を説明した。
【0041】
実施の形態4.
実施の形態4は認証基盤装置200のハードウェア資源を説明する。
図8は、認証基盤装置200のハードウェア資源の一例を示す図である。図8を参照してコンピュータである認証基盤装置200のハードウェア構成を説明する。なお、WebサービスA提供装置300、IDマッピングサービス装置400も認証基盤装置200同様のコンピュータでり、ハードウェア資源も認証基盤装置200と同様である。よって以下の認証基盤装置200の説明はWebサービスA提供装置300等にも当てはまる。
【0042】
ハードウェア資源を示す図8において、認証基盤装置200、プログラムを実行するCPU(Central Processing Unit)810を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
【0043】
RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、「記憶装置」あるいは記憶部、格納部、バッファの一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813などは、出力部、出力装置の一例である。
【0044】
通信ボード816は、ネットワークに接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。
【0045】
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
【0046】
上記プログラム群823には、以上の実施の形態の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
【0047】
ファイル群824には、以上の実施の形態の説明において、「IDマッピングテーブル」(IDマッピングサービス装置400の場合)として説明したテーブルや、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0048】
また、以上に述べた実施の形態の説明において、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0049】
また、以上の実施の形態の説明において、「〜部」として説明したものは、「〜手段」、「〜回路」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上に述べた「〜部」としてコンピュータを機能させるものである。あるいは、以上に述べた「〜部」の手順や方法をコンピュータに実行させるものである。
【0050】
以上の実施の形態では、認証システム、認証基盤装置200、WebサービスA提供装置300、IDマッピングサービス装置400等を説明したが、これらの動作をコンピュータに実行させるプログラムとして把握することも可能である。あるいは、プログラムを記録したコンピュータ読み取り可能な記録媒体として把握することも可能である。さらに、これらの動作を方法として把握することも可能である。
【符号の説明】
【0051】
100 ユーザ端末装置、200 認証基盤装置、201 セキュアIDマッピング登録機能部、301 Webサービス認証機能部、302 IDマッピング指示機能部、400 IDマッピングサービス装置、401 IDマッピング登録機能部、402 ID変換機能部、403,403−1,403−3 IDマッピングテーブル、1000 認証システム。
【技術分野】
【0001】
この発明は、シングルサインオンに使用するIDを対応付ける認証システムに関する。
【背景技術】
【0002】
従来のシングルサインオンサーバは、IDマッピングテーブルを所持し、認証時に使用されたユーザIDをアクセス先のユーザIDに変換することによって、シングルサインオンを行っていた(例えば、非特許文献1)。例えば、図9は従来のシングルサインオンのシステムを示す。図9では、
(1)ユーザ端末装置100は、予めIDマッピングサービス装置400にIDのマッピング情報登録(S01)し、
(2)ユーザ端末装置100は、認証基盤装置200に、WebサービスAおよびWebサービスBで共通に利用可能な「共通ID」を使って、WebサービスAにアクセスし(S02)、
(3)認証基盤装置200がユーザ認証を実施し(S03)、
(4)認証基盤装置200は認証が成立するとIDマッピングサービス装置400に依頼し、この依頼に基づき、IDマッピングサービス装置400がID変換機能部402を使いIDマッピングテーブル403から共通IDをキーにしてWebサービスAのIDを特定して認証基盤装置200に返信し(S04)、
(5)この返信により、認証基盤装置200がWebサービスAにWebサービスAのIDでアクセス(S05)、
の流れでシングルサインオンを実現している。
【0003】
この場合、IDマッピングテーブル403のマッピング情報は事前に設定されたものであるが、予め決められた方法で自動的にユーザIDを割り当てる方式も提案されている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−234329号公報
【非特許文献】
【0005】
【非特許文献1】Liberty AllianceのLiberty Identity Web Services Framework(ID−WSF)2.0
【発明の概要】
【発明が解決しようとする課題】
【0006】
共通IDとしてユーザの個人情報である社会保障番号など公的IDを使う場合、他のサービス提供者に漏洩しないようにする必要があるが、このような場合従来の認証基盤装置200では以下の課題があった。
(1)ユーザがIDマッピングテーブル403の管理を可能な場合、接続するWebサービスの数が増加するに従って、ユーザの管理負荷が高くなってしまう。
(2)ユーザがWebサービスのIDを自由に登録可能なため、他人へのなりすましも可能であり、Webサービス提供者がこのマッピング情報を活用できない。
【0007】
この発明は、シングルサインオンの認証システムにおいて、IDマッピングテーブル403の管理負荷軽減と、なりすまし防止によるセキュリティ機能強化を目的とする。
【課題を解決するための手段】
【0008】
この発明の認証システムは、
所定のサービスを提供するサービス提供装置と、前記サービス提供装置の提供する前記所定のサービスの利用に必要なID(IDentification)の登録処理を実行する認証基盤装置とを備えた認証システムにおいて、
前記サービス提供装置は、
ユーザ端末装置から認証を要求すると共に前記所定のサービスのIDを示すサービスIDを含む認証要求を受信すると認証処理を実行し、認証が成立すると認証が成立したことを示すと共に前記サービスIDを含む認証情報を一定期間保持するサービス側認証機能部と、
前記認証情報が保持されている前記一定期間の間に前記ユーザ端末装置から前記所定のサービスに対してアクセスされると前記認証情報に含まれる前記サービスIDを含むと共に前記サービスIDと、前記サービスIDに対応する共通IDとの対応付けを要求する共通IDマッピング要求を前記認証基盤装置に送信するサービス側IDマッピング指示機能部と
を備え、
前記認証基盤装置は、
前記共通IDマッピング要求を受信すると前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させる認証側登録機能部を
備えたことを特徴とする。
【発明の効果】
【0009】
この発明により、シングルサインオンの認証システムにおいて、IDマッピングテーブルの管理負荷軽減と、なりすまし防止によるセキュリティ機能強化を図ることができる。
【図面の簡単な説明】
【0010】
【図1】実施の形態1の認証システム1000のシステム構成図。
【図2】実施の形態1のセキュアIDマッピング登録機能部201の動作フロー。
【図3】実施の形態2の認証システム1000のシステム構成図。
【図4】実施の形態2のセキュアIDマッピング登録機能部201の動作フロー。
【図5】実施の形態3のIDマッピングテーブル403を示す図。
【図6】実施の形態3の認証システム1000のシステム構成図。
【図7】実施の形態3のセキュアIDマッピング登録機能部201の動作フロー。
【図8】実施の形態4の認証基盤装置200のハードウェア構成例を示す図。
【図9】従来技術を示す図。
【発明を実施するための形態】
【0011】
実施の形態1.
図1は、この実施の形態1を示す認証基盤装置200と、それと連携するWebサービスAから構成されるシングルサインオン認証システム1000の構成図である。
【0012】
図1において、シングルサインオン認証システム1000は、ユーザ端末装置100、認証基盤装置200、WebサービスA提供装置300及びIDマッピングサービス装置400(マッピング装置)を備える。これらはネットワーク(図示していない)を介して接続されている。
【0013】
(1)ユーザ端末装置100は、Webサービスにブラウザ等を利用しアクセスする者が使用する装置である。
(2)WebサービスA提供装置300は、ユーザ端末装置100に対してサービスAを提供するアプリケーション(WebサービスA)を実行する装置である。
(3)Webサービス認証機能部301(サービス側認証機能部)は、ユーザ端末装置100を認証する機能を持つ。
(4)IDマッピング指示機能部302(サービス側IDマッピング指示機能部)は、ユーザ端末装置100やWebサービスAの指示によりIDのマッピングを指示する機能を有する。
(5)認証基盤装置200は、ユーザ端末装置100が正しくWebサービスAを利用する資格があるかどうかを認証する。
(6)セキュアIDマッピング登録機能部201(認証側登録機能部)は、ユーザへの認証とIDのマッピングを登録する機能を有する。
(7)IDマッピングサービス装置400は、複数のIDの対応表を保持する。
(8)IDマッピング登録機能部401は、IDマッピングテーブル403にIDのマッピング情報を登録する。
(9)ID変換機能部402は、IDマッピングテーブル403を参照してIDの変換を行う。IDマッピングテーブル403は、IDの対からなるデータである。
【0014】
図2は、セキュアIDマッピング登録機能部201の処理の流れを示すフローチャートである。図2を参照してこのシステムの動作を説明する。また図1に以下の動作のステップ番号を記入している。セキュアIDマッピング登録機能部201の動作の図2では100番台の番号を使用し、図1に記載した全般の動作では10番台の番号を使用した。
【0015】
ユーザ端末装置100は、まず認証基盤装置200を経由せず、WebサービスAに対してWebブラウザ等で直接アクセスする。WebサービスAでは、Webサービス認証機能部301によりユーザの認証を行う(S11)。この際の認証はID/パスワードによる方式、SSLクライアント認証による方式等様々な方式が考えられるが、ユーザID(後に共通IDと対応付けられるWebサービスAのID)を特定できる方式であればどの方式でもよい。このWebサービスAで認証した結果はセッション情報などに認証情報として格納され、ユーザとWebサービスとの間で一定期間保持される。その認証情報が保持された状態で、ユーザ端末装置100がIDマッピング指示機能部302にアクセスすると(S12)、IDマッピング指示機能部302は認証情報に格納された「WebサービスAを利用する際のユーザID」を取得し、そのユーザIDをセキュアIDマッピング登録機能部201に伝え、共通IDとのマッピングを要求する(S13)。
【0016】
認証基盤装置200のセキュアIDマッピング登録機能部201では、マッピング要求を受けるとユーザ端末装置100に対して「共通ID」での認証を要求する(S14、S101)。このユーザへの認証の実現方式としては、たとえばHTTPのリダイレクト機能を使うことでユーザへ認証画面を提供することが可能となる。この際の認証もID/パスワードによる方式、SSLクライアント認証による方式などどの認証方式でもよい。ユーザ端末装置100が要求に従い共通IDによる認証をした場合(S15)、セキュアIDマッピング登録機能部201は認証OKであれば(S102)、そこで取得した「共通ID」と「WebサービスAのID」をマッピングするようIDマッピング登録機能部401に指示する(S16、S104)。認証NGの場合は(S102)、セキュアIDマッピング登録機能部201はIDマッピング登録を中止し、ユーザにエラー画面等を表示し(S105)、登録NGの旨をIDマッピング指示機能部302に返す(S106)。IDマッピングサービス装置400のIDマッピング登録機能部401は、指示に従って「共通ID」と「WebサービスAのID」とをIDマッピングテーブル403に格納する。以上の流れで、共通IDとWebサービスAのIDとが正しくマッピングされる。
【0017】
このようにIDマッピングテーブル403に格納することで、次回ユーザは認証基盤装置200にアクセスし、共通IDで認証された後、WebサービスAにアクセスすることができる。その際、図1の場合と同様に共通IDがWebサービスAのIDに変換されて認証基盤装置200がWebサービスAのIDでWebサービスAにアクセスする。これにより、ユーザは認証基盤装置200を介して正しくWebサービスAの機能を利用することが可能となる。
【0018】
すなわち、認証基盤装置200は、ID変換機能部402に共通IDを伝えIDの変換を指示する。ID変換機能部402はIDマッピングテーブル403から共通IDに合致するWebサービスAのIDを検索し、見つかった場合はそのWebサービスAのIDを返す。認証基盤装置200ではWebサービスAのIDが取得できた場合、WebサービスAへWebサービスAのIDを利用しアクセスする。WebサービスAのIDが取得できなかった場合はユーザにエラー画面等を表示する。
【0019】
以上のように、IDマッピングの指示をWebサービスAで認証後にWebサービスA側からのIDマッピング指示を行うことで、ユーザのIDマッピングテーブル403の管理負荷を軽減することができる。また、ユーザから認証基盤装置200のIDマッピングテーブル403を変更できない構成とすることにより、Webサービス側からしかIDが登録できなくなり、ユーザによるなりすましを防止することが可能となる。
【0020】
また、共通IDの情報はWebサービス側に伝達されず、認証基盤装置200側にのみ通知されるため、例えば社会保障番号など個人情報となる番号が共通IDであった場合、Webサービス提供者側への漏洩を防ぐことが可能となる。
【0021】
また、本実施の形態1では、無条件でWebサービスがIDのマッピング情報を登録できたが、この登録要求に電子署名を付加し、それを検証することで許可されたWebサービスのみ登録可能な構成とすることができ、なりすましを防ぐことが可能となる。
【0022】
以上の実施の形態1では、IDのマッピング情報を記録する記録装置を介して、サービスAのIDマッピング指示機能部からの要求に応じてIDマッピングテーブルを更新する認証基盤装置を説明した。
【0023】
実施の形態2.
図3、図4を参照して実施の形態2を説明する。以上の実施の形態1では、ユーザの指示によりIDマッピングを指示し、IDマッピングの登録を行っていた。次に実施の形態2ではIDマッピング(共通IDとサービスIDとの対応付け)の登録有無を事前に確認する。IDマッピングの登録がIDマッピングテーブル403にない場合は、WebサービスAのIDマッピング指示機能部302が自動的にIDマッピング情報の登録指示をする場合を説明する。
【0024】
図3は、実施の形態2におけるシングルサインオン認証システム1000の構成を示す。構成自体は実施の形態1の図1と同じであるが、次の動作説明で述べるように装置間のやり取りが多少異なる。
【0025】
図4は、セキュアIDマッピング登録機能部201の処理の流れを示す。また図3に以下の全般の動作のステップ番号を記入している。セキュアIDマッピング登録機能部201の動作の図4では200番台の番号を使用し、図3に記載した全般の動作では20番台の番号を使用した。
【0026】
実施の形態1では、IDマッピングの指示をユーザ側もしくはWebサービスで判断して行っていたが、本実施の形態2ではマッピング済みかどうかをセキュアIDマッピング登録機能部201に問い合わせ、登録していないもののみ登録するよう動作を変更する。
【0027】
Webサービス認証機能部301にユーザ端末装置100がWebサービスAのIDで認証を要求した場合(S21)、Webサービス認証機能部301はIDマッピング指示機能部302を呼び出す。IDマッピング指示機能部302は、WebサービスAのIDがマッピング情報(IDマッピングテーブル403)に登録されているかどうかをセキュアIDマッピング登録機能部201に問い合わせる(S22)。
【0028】
セキュアIDマッピング登録機能部201は、IDマッピング登録機能部401にIDマッピング情報が登録されているかどうかを問い合わせる(S23、S201)。問い合わせがあると、IDマッピング登録機能部401は、IDマッピングテーブル403を検索し、該当するマッピング情報を検索する。検索した結果は、セキュアIDマッピング登録機能部201を経由し、IDマッピング指示機能部302に伝えられる。
【0029】
IDマッピング指示機能部302は、受信した検索結果によりマッピング情報が存在しないと判断した場合は、実施の形態1と同様にIDマッピングの登録を指示する(S24)。この後の動作は実施の形態1と同様である(図4のS23〜S28は図2のS101〜S106に同様)。IDマッピング指示機能部302は、受信した検索結果によりマッピング情報が存在すると判断した場合は特になにも処理しない。
【0030】
以上のような構成とすることで、実施の形態1ではWebサービスAへの新規登録時やユーザの指示が必要であったが、実施の形態2では自動的にマッピング情報を登録することが可能となる。例えば、WebサービスAにユーザ端末装置100のユーザ情報が登録されている既存システムにおいても、実施の形態2で説明した機能を組み込むことで、共通IDとのマッピングを自動的に実施していくことが可能である。このような既存システムのIDマッピング情報への登録は、WebサービスAの管理者が一括登録するなどの方法がとられていたが、運用負荷が高かったり、WebサービスAの管理者に共通IDを知らせたり必要があった。しかし、本実施の形態2によれば、この運用負荷軽減と、共通IDの漏洩を防ぐことが可能である。
【0031】
以上の実施の形態2では、IDマッピング登録の際にIDマッピングの登録を確認する機能を有し、IDマッピングマッピングテーブルの登録情報を更新する認証基盤装置を説明した。
【0032】
実施の形態3.
図5〜図7を参照して実施の形態3を説明する。以上の実施の形態1、2では、共通IDとWebサービスのIDとを1対1でマッピングしていた。実施の形態3では、共通サービス、Webサービス、Webサービス毎の契約ID(グループ所属ID)をマッピングする実施形態を示す。契約IDは、一つのサービスAのIDとして契約ごとに設定される複数のIDからなるIDグループのうちの一つのIDである。
【0033】
図5は、実施の形態1、2でのIDマッピングテーブル403−1と、本実施の形態3におけるIDマッピングテーブル403−3の構造を示す。IDマッピングテーブル403−1に示す通り、実施の形態1、2では共通IDとWebサービスAやサービスBのIDマッピングを個別に行っていた。しかし本実施の形態3では、IDマッピングテーブル403−3に示す通り、例えば「共通ID」とWebサービスAのIDをまずマッピングし、その「WebサービスAのID」に対応付けられる契約IDをさらにマッピングしている。
【0034】
図6は、本実施の形態3のシステム構成を示す。構成自体は実施の形態1の図1と同じであるが各装置間のやり取りが多少異なる。
【0035】
図7にセキュアIDマッピング登録機能部201の処理の流れを示す。また図6に以下の全般の動作のステップ番号を記入している。セキュアIDマッピング登録機能部201の動作の図7では300番台の番号を使用し、図6に記載した全般の動作では30番台の番号を使用した。
【0036】
次に動作について説明する。IDマッピング指示機能部302はWebサービス認証機能部301からIDマッピングの指示を受けると、セキュアIDマッピング登録機能部201にマッピングの有無を問い合わせる。ここで、WebサービスAのIDではなく、WebサービスAの「契約2のID」というように、同一人物であっても複数の契約がある場合は、契約ごとにその契約IDで問い合わせる。
【0037】
セキュアIDマッピング登録機能部201は有無の問い合わせを受けるとIDマッピング登録機能部401のIDマッピングテーブル403−3に該当のWebサービスIDが登録されているかどうかを確認する(S301)。登録されていない場合は(S302)、実施の形態1、2と同様にセキュアIDマッピング登録機能部201はユーザに共通IDの認証を求め、その後にIDマッピングサービス装置400にIDマッピング登録を行わせる(S303からS308まで)。
【0038】
WebサービスAのIDが登録されている場合は(S302)、セキュアIDマッピング登録機能部201は、そのWebサービスAに契約2のIDがマッピングされていないかをIDマッピングサービス装置400を介して確認する(S309)。登録されている場合は(S310の「はい」)、セキュアIDマッピング登録機能部201は、その旨をIDマッピング指示機能部302に返す。登録されていない場合は(S310の「いいえ」)、セキュアIDマッピング登録機能部201はIDマッピング登録機能部401を通して、サービスAの契約IDをWebサービスにマッピングする(S311)。
【0039】
以上のような構成にすることにより、例えば保険契約など一顧客に複数の契約IDがある場合は従来はマッピング不可であった。しかし、本実施の形態3では契約ID毎に登録することが可能である。また、同一のWebサービスに対しては共通IDとのマッピングを1回実施すればよく、ユーザの共通IDでの認証階数を減らすことができ、負荷軽減になる。また、Webサービス側では契約IDとの対応付けの確認を実施することが可能となり、複数の契約IDの名寄せが可能となる。
【0040】
以上の実施の形態3では、階層的なマッピングテーブル情報に対応し、IDマッピング登録の際にIDマッピングの登録を確認し、IDマッピングマッピングテーブルの登録情報を更新する認証基盤装置を説明した。
【0041】
実施の形態4.
実施の形態4は認証基盤装置200のハードウェア資源を説明する。
図8は、認証基盤装置200のハードウェア資源の一例を示す図である。図8を参照してコンピュータである認証基盤装置200のハードウェア構成を説明する。なお、WebサービスA提供装置300、IDマッピングサービス装置400も認証基盤装置200同様のコンピュータでり、ハードウェア資源も認証基盤装置200と同様である。よって以下の認証基盤装置200の説明はWebサービスA提供装置300等にも当てはまる。
【0042】
ハードウェア資源を示す図8において、認証基盤装置200、プログラムを実行するCPU(Central Processing Unit)810を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。
【0043】
RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、「記憶装置」あるいは記憶部、格納部、バッファの一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813などは、出力部、出力装置の一例である。
【0044】
通信ボード816は、ネットワークに接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。
【0045】
磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。
【0046】
上記プログラム群823には、以上の実施の形態の説明において「〜部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。
【0047】
ファイル群824には、以上の実施の形態の説明において、「IDマッピングテーブル」(IDマッピングサービス装置400の場合)として説明したテーブルや、「〜の判定結果」、「〜の算出結果」、「〜の抽出結果」、「〜の生成結果」、「〜の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0048】
また、以上に述べた実施の形態の説明において、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0049】
また、以上の実施の形態の説明において、「〜部」として説明したものは、「〜手段」、「〜回路」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上に述べた「〜部」としてコンピュータを機能させるものである。あるいは、以上に述べた「〜部」の手順や方法をコンピュータに実行させるものである。
【0050】
以上の実施の形態では、認証システム、認証基盤装置200、WebサービスA提供装置300、IDマッピングサービス装置400等を説明したが、これらの動作をコンピュータに実行させるプログラムとして把握することも可能である。あるいは、プログラムを記録したコンピュータ読み取り可能な記録媒体として把握することも可能である。さらに、これらの動作を方法として把握することも可能である。
【符号の説明】
【0051】
100 ユーザ端末装置、200 認証基盤装置、201 セキュアIDマッピング登録機能部、301 Webサービス認証機能部、302 IDマッピング指示機能部、400 IDマッピングサービス装置、401 IDマッピング登録機能部、402 ID変換機能部、403,403−1,403−3 IDマッピングテーブル、1000 認証システム。
【特許請求の範囲】
【請求項1】
所定のサービスを提供するサービス提供装置と、前記サービス提供装置の提供する前記所定のサービスの利用に必要なID(IDentification)の登録処理を実行する認証基盤装置とを備えた認証システムにおいて、
前記サービス提供装置は、
ユーザ端末装置から認証を要求すると共に前記所定のサービスのIDを示すサービスIDを含む認証要求を受信すると認証処理を実行し、認証が成立すると認証が成立したことを示すと共に前記サービスIDを含む認証情報を一定期間保持するサービス側認証機能部と、
前記認証情報が保持されている前記一定期間の間に前記ユーザ端末装置から前記所定のサービスに対してアクセスされると前記認証情報に含まれる前記サービスIDを含むと共に前記サービスIDと、前記サービスIDに対応する共通IDとの対応付けを要求する共通IDマッピング要求を前記認証基盤装置に送信するサービス側IDマッピング指示機能部と
を備え、
前記認証基盤装置は、
前記共通IDマッピング要求を受信すると前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させる認証側登録機能部を
備えたことを特徴とする認証システム。
【請求項2】
前記サービス提供装置の前記サービス側認証機能部は、
前記ユーザ端末装置から前記認証要求を受信すると、前記サービス側IDマッピング指示機能部を呼び出し、
前記サービス側IDマッピング指示機能部は、
前記サービス側認証機能部に呼び出されると、前記認証要求に含まれる前記サービスIDが前記マッピング装置の前記対応付け情報に登録されているかどうかの確認を要求する登録確認要求を前記認証基盤装置に送信し、
前記認証基盤装置の前記認証側登録機能部は、
前記サービス側IDマッピング指示機能部から前記登録確認要求を受信すると前記マッピング装置に前記対応付け情報を検索させて、検索結果を前記サービス側IDマッピング指示機能部に送信し、
前記サービス側IDマッピング指示機能部は、
前記認証側登録機能部から送信された前記検索結果がヒットなしの場合は前記共通IDマッピング要求を前記認証基盤装置に送信し、前記検索結果がヒットありの場合は処理を終了することを特徴とする請求項1記載の認証システム。
【請求項3】
前記サービス提供装置の前記サービス側認証機能部は、
前記ユーザ端末装置から前記所定のサービスのIDとして設定された複数のIDからなるIDグループに属する一つのIDであるグループ所属IDを含む前記認証要求を受信し、前記認証要求を受信すると、前記サービス側IDマッピング指示機能部を呼び出し、
前記サービス側IDマッピング指示機能部は、
前記サービス側認証機能部に呼び出されると、前記認証要求に含まれる前記グループ所属IDが前記マッピング装置の前記対応付け情報に登録されているかどうかの確認を要求する登録確認要求を前記認証基盤装置に送信し、
前記認証基盤装置の前記認証側登録機能部は、
前記サービス側IDマッピング指示機能部から前記登録確認要求を受信すると前記マッピング装置の前記対応付け情報を検索させて、検索結果を前記サービス側IDマッピング指示機能部に送信し、
前記サービス側IDマッピング指示機能部は、
前記認証側登録機能部から送信された前記検索結果がヒットなしの場合は前記グループ所属IDと前記共通IDとの対応付けを求める前記共通IDマッピング要求を前記認証基盤装置に送信し、前記検索結果がヒットありの場合は処理を終了することを特徴とする請求項1または2のいずれかに記載の認証システム。
【請求項4】
所定のサービスを提供するサービス提供装置であって、ユーザ端末装置から認証を要求すると共に前記所定のサービスのIDを示すサービスIDを含む認証要求を受信すると認証処理を実行し、認証が成立すると認証が成立したことを示すと共に前記サービスIDを含む認証情報を一定期間保持し、前記認証情報が保持されている前記一定期間の間に前記ユーザ端末装置から前記所定のサービスに対してアクセスされると前記認証情報に含まれる前記サービスIDを含むと共に前記サービスIDと、前記サービスIDに対応する共通IDとの対応付けを要求する共通IDマッピング要求を送信する前記サービス提供装置から、
前記共通IDマッピング要求を受信し、前記共通IDマッピング要求を受信すると前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させる認証側登録機能部を
備えたことを特徴とする認証基盤装置。
【請求項5】
前記サービス提供装置は、
前記ユーザ端末装置から前記認証要求を受信すると、前記認証要求に含まれる前記サービスIDが前記マッピング装置の前記対応付け情報に登録されているかどうかの確認を要求する登録確認要求を前記認証基盤装置に送信し、
前記認証側登録機能部は、
前記サービス提供装置から前記登録確認要求を受信すると前記マッピング装置に前記対応付け情報を検索させて、検索結果を前記サービス提供装置に送信し、送信後に前記サービス提供装置から前記共通IDマッピング要求を受信した場合には、前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させることを特徴とする請求項4記載の認証基盤装置。
【請求項6】
前記サービス提供装置は、
前記ユーザ端末装置から前記所定のサービスのIDとして設定された複数のIDからなるIDグループに属する一つのIDであるグループ所属IDを含む前記認証要求を受信し、前記認証要求を受信すると、前記認証要求に含まれる前記グループ所属IDが前記マッピング装置の前記対応付け情報に登録されているかどうかの確認を要求する登録確認要求を送信し、
前記認証側登録機能部は、
前記サービス提供装置から送信された前記登録確認要求を受信し、前記登録確認要求を受信すると前記マッピング装置に前記対応付け情報を検索させて、検索結果を前記サービス側IDマッピング指示機能部に送信し、送信後に前記サービス提供装置から前記グループ所属IDを含む前記共通IDマッピング要求を受信した場合には、前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記グループ所属IDとの対応付けをマッピング装置に実行させて対応付け情報として登録させることを特徴とする請求項5記載の認証基盤装置。
【請求項7】
所定のサービスを提供するサービス提供装置であって、ユーザ端末装置から認証を要求すると共に前記所定のサービスのIDを示すサービスIDを含む認証要求を受信すると認証処理を実行し、認証が成立すると認証が成立したことを示すと共に前記サービスIDを含む認証情報を一定期間保持し、前記認証情報が保持されている前記一定期間の間に前記ユーザ端末装置から前記所定のサービスに対してアクセスされると前記認証情報に含まれる前記サービスIDを含むと共に前記サービスIDと、前記サービスIDに対応する共通IDとの対応付けを要求する共通IDマッピング要求を送信する前記サービス提供装置から前記共通IDマッピング要求を受信する処理と、
前記共通IDマッピング要求を受信すると前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させる処理と
をコンピュータに実行させることを特徴とする認証プログラム。
【請求項1】
所定のサービスを提供するサービス提供装置と、前記サービス提供装置の提供する前記所定のサービスの利用に必要なID(IDentification)の登録処理を実行する認証基盤装置とを備えた認証システムにおいて、
前記サービス提供装置は、
ユーザ端末装置から認証を要求すると共に前記所定のサービスのIDを示すサービスIDを含む認証要求を受信すると認証処理を実行し、認証が成立すると認証が成立したことを示すと共に前記サービスIDを含む認証情報を一定期間保持するサービス側認証機能部と、
前記認証情報が保持されている前記一定期間の間に前記ユーザ端末装置から前記所定のサービスに対してアクセスされると前記認証情報に含まれる前記サービスIDを含むと共に前記サービスIDと、前記サービスIDに対応する共通IDとの対応付けを要求する共通IDマッピング要求を前記認証基盤装置に送信するサービス側IDマッピング指示機能部と
を備え、
前記認証基盤装置は、
前記共通IDマッピング要求を受信すると前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させる認証側登録機能部を
備えたことを特徴とする認証システム。
【請求項2】
前記サービス提供装置の前記サービス側認証機能部は、
前記ユーザ端末装置から前記認証要求を受信すると、前記サービス側IDマッピング指示機能部を呼び出し、
前記サービス側IDマッピング指示機能部は、
前記サービス側認証機能部に呼び出されると、前記認証要求に含まれる前記サービスIDが前記マッピング装置の前記対応付け情報に登録されているかどうかの確認を要求する登録確認要求を前記認証基盤装置に送信し、
前記認証基盤装置の前記認証側登録機能部は、
前記サービス側IDマッピング指示機能部から前記登録確認要求を受信すると前記マッピング装置に前記対応付け情報を検索させて、検索結果を前記サービス側IDマッピング指示機能部に送信し、
前記サービス側IDマッピング指示機能部は、
前記認証側登録機能部から送信された前記検索結果がヒットなしの場合は前記共通IDマッピング要求を前記認証基盤装置に送信し、前記検索結果がヒットありの場合は処理を終了することを特徴とする請求項1記載の認証システム。
【請求項3】
前記サービス提供装置の前記サービス側認証機能部は、
前記ユーザ端末装置から前記所定のサービスのIDとして設定された複数のIDからなるIDグループに属する一つのIDであるグループ所属IDを含む前記認証要求を受信し、前記認証要求を受信すると、前記サービス側IDマッピング指示機能部を呼び出し、
前記サービス側IDマッピング指示機能部は、
前記サービス側認証機能部に呼び出されると、前記認証要求に含まれる前記グループ所属IDが前記マッピング装置の前記対応付け情報に登録されているかどうかの確認を要求する登録確認要求を前記認証基盤装置に送信し、
前記認証基盤装置の前記認証側登録機能部は、
前記サービス側IDマッピング指示機能部から前記登録確認要求を受信すると前記マッピング装置の前記対応付け情報を検索させて、検索結果を前記サービス側IDマッピング指示機能部に送信し、
前記サービス側IDマッピング指示機能部は、
前記認証側登録機能部から送信された前記検索結果がヒットなしの場合は前記グループ所属IDと前記共通IDとの対応付けを求める前記共通IDマッピング要求を前記認証基盤装置に送信し、前記検索結果がヒットありの場合は処理を終了することを特徴とする請求項1または2のいずれかに記載の認証システム。
【請求項4】
所定のサービスを提供するサービス提供装置であって、ユーザ端末装置から認証を要求すると共に前記所定のサービスのIDを示すサービスIDを含む認証要求を受信すると認証処理を実行し、認証が成立すると認証が成立したことを示すと共に前記サービスIDを含む認証情報を一定期間保持し、前記認証情報が保持されている前記一定期間の間に前記ユーザ端末装置から前記所定のサービスに対してアクセスされると前記認証情報に含まれる前記サービスIDを含むと共に前記サービスIDと、前記サービスIDに対応する共通IDとの対応付けを要求する共通IDマッピング要求を送信する前記サービス提供装置から、
前記共通IDマッピング要求を受信し、前記共通IDマッピング要求を受信すると前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させる認証側登録機能部を
備えたことを特徴とする認証基盤装置。
【請求項5】
前記サービス提供装置は、
前記ユーザ端末装置から前記認証要求を受信すると、前記認証要求に含まれる前記サービスIDが前記マッピング装置の前記対応付け情報に登録されているかどうかの確認を要求する登録確認要求を前記認証基盤装置に送信し、
前記認証側登録機能部は、
前記サービス提供装置から前記登録確認要求を受信すると前記マッピング装置に前記対応付け情報を検索させて、検索結果を前記サービス提供装置に送信し、送信後に前記サービス提供装置から前記共通IDマッピング要求を受信した場合には、前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させることを特徴とする請求項4記載の認証基盤装置。
【請求項6】
前記サービス提供装置は、
前記ユーザ端末装置から前記所定のサービスのIDとして設定された複数のIDからなるIDグループに属する一つのIDであるグループ所属IDを含む前記認証要求を受信し、前記認証要求を受信すると、前記認証要求に含まれる前記グループ所属IDが前記マッピング装置の前記対応付け情報に登録されているかどうかの確認を要求する登録確認要求を送信し、
前記認証側登録機能部は、
前記サービス提供装置から送信された前記登録確認要求を受信し、前記登録確認要求を受信すると前記マッピング装置に前記対応付け情報を検索させて、検索結果を前記サービス側IDマッピング指示機能部に送信し、送信後に前記サービス提供装置から前記グループ所属IDを含む前記共通IDマッピング要求を受信した場合には、前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記グループ所属IDとの対応付けをマッピング装置に実行させて対応付け情報として登録させることを特徴とする請求項5記載の認証基盤装置。
【請求項7】
所定のサービスを提供するサービス提供装置であって、ユーザ端末装置から認証を要求すると共に前記所定のサービスのIDを示すサービスIDを含む認証要求を受信すると認証処理を実行し、認証が成立すると認証が成立したことを示すと共に前記サービスIDを含む認証情報を一定期間保持し、前記認証情報が保持されている前記一定期間の間に前記ユーザ端末装置から前記所定のサービスに対してアクセスされると前記認証情報に含まれる前記サービスIDを含むと共に前記サービスIDと、前記サービスIDに対応する共通IDとの対応付けを要求する共通IDマッピング要求を送信する前記サービス提供装置から前記共通IDマッピング要求を受信する処理と、
前記共通IDマッピング要求を受信すると前記ユーザ端末装置に前記共通IDの送信を要求し、前記ユーザ端末装置から前記共通IDを受信すると受信した前記共通IDと前記サービス提供装置から受信した前記共通IDマッピング要求に含まれる前記サービスIDとの対応付けをマッピング装置に実行させて対応付け情報として登録させる処理と
をコンピュータに実行させることを特徴とする認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−14536(P2012−14536A)
【公開日】平成24年1月19日(2012.1.19)
【国際特許分類】
【出願番号】特願2010−151527(P2010−151527)
【出願日】平成22年7月2日(2010.7.2)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成24年1月19日(2012.1.19)
【国際特許分類】
【出願日】平成22年7月2日(2010.7.2)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]