認証情報を用いたシングルサインオンの連携方法、そのシステム、仲介サーバ、動作方法及び動作プログラム
【課題】方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要を回避する。
【解決手段】シングルサインオンシステムは、クライアント31との間でインターネット31を介して通信可能に接続されるシングルサインオンドメイン1、2を有する。ドメイン1は、シングルサインオンによる認証を行い所定の独自認証識別子を生成する認証サーバ11と、複数のWebサーバ12とを有する。ドメイン2は、シングルサインオンによる認証を行い所定の認証アサーションを生成する認証サーバ21と、複数のWebサーバ22とを有する。仲介サーバ10は、両ドメイン1、2に属し、独自認証識別子及び認証アサーションを認識し、クライアント32からWebサーバ22へのアクセス時に、クライアント32から認独自証識別子を認識して認証サーバ21に通知する。
【解決手段】シングルサインオンシステムは、クライアント31との間でインターネット31を介して通信可能に接続されるシングルサインオンドメイン1、2を有する。ドメイン1は、シングルサインオンによる認証を行い所定の独自認証識別子を生成する認証サーバ11と、複数のWebサーバ12とを有する。ドメイン2は、シングルサインオンによる認証を行い所定の認証アサーションを生成する認証サーバ21と、複数のWebサーバ22とを有する。仲介サーバ10は、両ドメイン1、2に属し、独自認証識別子及び認証アサーションを認識し、クライアント32からWebサーバ22へのアクセス時に、クライアント32から認独自証識別子を認識して認証サーバ21に通知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証情報を用いたシングルサインオン連携方法、シングルサインオンシステム、仲介サーバ、その動作方法及び動作プログラムに関する。
【背景技術】
【0002】
コンピュータネットワークでは、通常、ネットワークを通して利用可能なWebサーバによるWebコンテンツ等の複数のリソースへのアクセスやその利用権限をユーザに応じて制限している。このため、ユーザは各リソースへのアクセス時にユーザ名やパスワード等の情報を入力して、その都度認証を得る必要があった。しかし、個々のリソースへアクセスする度にユーザ名やパスワード等の情報を入力する操作は、ユーザにとっては大変煩わしく、またセキュリティ上の理由でリソース毎に異なるパスワードを設定していれば、パスワード数がリソース数に比例して増えるため、必ずしも利便性のよいものではなかった。
【0003】
そこで、近年、このような複数のリソースにアクセスする際、一度だけ認証を行うことで、同じドメインに属するネットワーク内のアクセス許可されている全てのリソースを利用できる「シングルサインオン(Single Sign-on)」と呼ばれる認証方法が知られている。このシングルサインオン方法を用いたシステム(以下、「シングルサインオンシステム」と呼ぶ)では、例えばクッキー等既存の独自認証識別子を使用した認証情報をクライアント(ユーザ端末)に保管し、同じドメインに属するネットワーク内のWebコンテンツ等のリソースへのアクセス時にサーバ側でその認証情報を用いて認証を行う方式等が知られている。
【0004】
なお、本発明に関連する先行技術文献としては、次のものがある。
【特許文献1】特開2004−355073号公報
【特許文献2】特開2004−234329号公報
【特許文献3】特開2004−185396号公報
【特許文献4】特許第3505058号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来、シングルサインオンを行う為には、クッキー等既存の独自認証識別子を使用する必要があった。クッキー等既存の独自認証識別子は、異なるドメイン間でやりとりすることは難しい上、クッキー等既存の独自認証識別子そのものに互換性が無いために、方式の異なるシングルサインオンシステムを連携させる場合、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要があった。
【0006】
このように方式の異なるシングルサインオンシステム同士を連携させる場合、シングルサインオンサーバが連携相手となるシングルサインオン方式を理解する必要があったため、認証サーバの置き換えや接続先毎の対応が発生するという問題があった。上述した先行技術文献では、このような方式の異なるシングルサインオンシステム同士を連携させる場合の問題解決を必ずしも意図したものではない。
【0007】
本発明は、このような従来の事情を考慮してなされたもので、方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要がなく、認証サーバの置き換えや接続先毎の対応が発生しないようにすることを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本発明に係る認証情報を用いたシングルサインオンの連携方法は、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いる認証情報を用いたシングルサインオンの連携方法であって、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを用意するステップと、前記クライアントから前記第2のサーバへのアクセス前に、前記第1の認証サーバが、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、前記クライアントから前記第2のサーバへのアクセス時に、前記仲介サーバが、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップと、前記第2の認証サーバが、前記仲介サーバからの通知を受けて前記認証アサーションを生成するステップと、その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとを有することを特徴とする。
【0009】
本発明において、前記クライアントから前記第2のサーバへのアクセス時に、前記第2の認証サーバが、前記クライアントに対し認証を行い前記認証アサーションを生成するステップと前記仲介サーバが、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップと、前記第1の認証サーバが、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとをさらに有してもよい。
【0010】
本発明において、前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いてもよい。前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていてもよい。
【0011】
また、本発明に係るシングルサインオンシステムは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムであって、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを備え、前記第1の認証サーバは、前記クライアントから前記第2のサーバへのアクセス前に、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成し、前記仲介サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知し、前記第2の認証サーバは、前記仲介サーバからの通知を受けて、前記認証アサーションを生成することを特徴とする。
【0012】
本発明において、前記第2の認証サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントに対し認証を行い前記認証アサーションを生成し、前記仲介サーバは、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出し、前記第1の認証サーバは、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成してもよい。
【0013】
また、本発明に係る仲介サーバは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識すると共に、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする。
【0014】
本発明において、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出してもよい。
【0015】
また、本発明に係る仲介サーバの動作方法は、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする。
【0016】
本発明において、さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出してもよい。
【0017】
さらに、本発明に係る仲介サーバの動作プログラムは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップをコンピュータに実行させることを特徴とする。
【0018】
本発明において、さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップをコンピュータに実行させてもよい。
【発明の効果】
【0019】
本発明によれば、方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要がなく、認証サーバの置き換えや接続先毎の対応が発生しない。
【発明を実施するための最良の形態】
【0020】
次に、本発明に係る認証情報を用いたシングルサインオン連携方法、シングルサインオンシステム、仲介サーバ、その動作方法及び動作プログラムを実施するための最良の形態について図面を参照して詳細に説明する。
【0021】
本実施の形態は、方式の異なるシングルサインオンシステムに対して仲介となるサーバを用意するだけで連携することを可能とするものである。即ち、本実施の形態では、既存のシングルサインオンシステムに新たに新方式のシングルサインオンシステムを連携させる場合において、既存のシングルサインオンシステムに、既存のシングルサインオン方式を新しいシングルサインオン方式で解釈できる仲介サーバを追加することで、新方式のシングルサインオンシステムで、既存のシングルサインオンシステムを使用することを可能とする。
【実施例】
【0022】
図1を参照すると、本実施例によるシングルサインオンシステムは、ドメインの異なるネットワークシステムで構成され且つシングルサインオンによる認証方式が異なるシングルサインオンシステム(以下、シングルサインオンドメイン)を備えている。図1の例では、この方式が異なるシングルサインオンシステムとして、既存のシングルサインオンドメイン(第1のシングルサインオンシステム)1と、既存のシングルサインオンドメイン1に接続させようとする新方式のシングルサインオンドメイン(第2のシングルサインオンシステム)2とを有し、両シングルサインオンドメイン1、2にインターネット31を介してユーザ操作用のクライアント32が接続されている。
【0023】
既存のシングルサインオンドメイン1は、認証情報としてクッキー等既存の独自認証識別子を使用する既存のシングルサインオンによる認証を行うもので、ユーザの認証を行う認証サーバ(第1の認証サーバ)11と、認証サーバ11によって認証を受けたユーザに対してWebコンテンツを提供するWebサーバ(第1のサーバ)12と、既存のシングルサインオンドメイン1に属する仲介サーバ10とを有している。認証サーバ11、Webサーバ12、及び仲介サーバ10は、ネットワーク13に接続され、そのネットワーク13がインターネット31に接続されている。
【0024】
新方式のシングルサインオンドメイン2は、認証情報としてクッキー等既存の独自認証識別子を使用せずに所定の認証アサーションを使用する新方式(例えば、既知のSAML(Security Assertion Markup Language)プロトコルに従って認証情報を交換する方式等)のシングルサインオンによる認証を行うもので、ユーザの認証を行う認証サーバ(第2の認証サーバ)21と、認証サーバ21によって認証を受けたユーザに対してWebコンテンツを提供するWebサーバ(第2のサーバ)22と、既存のシングルサインオンドメイン1に属すると共に新方式のシングルサインオンドメイン2に属する仲介サーバ10とを有している。認証サーバ21及びWebサーバ22は、ネットワーク23に接続され、そのネットワーク23がインターネット31に接続されている。
【0025】
仲介サーバ10は、既存のシングルサインオンドメイン1にも新方式のシングルサインオンドメイン2にも属し、新方式のシングルサインオンドメイン2の認証サーバ21に対して、クライアント32が既存のシングルサインオンドメイン1で認証を受けている場合、それを認証サーバ21に通知する機能を持つ。また、認証サーバ11に対して、クッキー等既存の独自認証識別子の生成要求を行う機能を持つ。図1の例では、Webサーバとしての機能も兼ねている。これらの機能は、仲介サーバ10を構成するコンピュータ機が予め設定された認証プログラム等のプログラムを実行することで実現される。
【0026】
認証サーバ11は、ユーザの認証とクッキー等既存の独自認証識別子の作成を行う機能を持つ。また、認証サーバ11は、仲介サーバ10からのクッキー等既存の独自認証識別子の生成要求に対し、クッキー等既存の独自認証識別子の作成を行う機能を持つ。これらの機能は、認証サーバ11を構成するコンピュータ機が予め設定された認証プログラム等の動作プログラムを実行することで実現される。
【0027】
Webサーバ12は、通常のWebサーバが有している既存の機能のほか、認証サーバ11で発行されたクッキー等既存の独自認証識別子を理解することができ、認証されたユーザに対しコンテンツの提供を行う機能を持つ。これらの機能は、Webサーバ12を構成するコンピュータ機が予め設定されたWebサーバソフトウェア等の動作プログラムを実行することで実現される。Webサーバ12は、提供するコンテンツにより複数存在するものとする。
【0028】
認証サーバ21は、ユーザの認証と認証アサーションの作成を行う機能と、認証アサーションの検証を行う機能とを持つ。認証アサーションは、認証されたことを示す情報で、認証した方式や有効期限などの情報から構成される。これらの機能は、認証サーバ21を構成するコンピュータ機が予め設定された認証プログラム等の動作プログラムを実行することで実現される。なお、認証アサーションの例として、SAMLプロトコルに従い規定されるSAMLアサーションがある。
【0029】
Webサーバ22は、通常のWebサーバが有している既存の機能のほか、認証サーバ21で発行された認証アサーションの検証を行うことができ、認証されたユーザに対しコンテンツの提供を行う機能を持つ。これらの機能は、Webサーバ22を構成するコンピュータ機が予め設定されたWebサーバソフトウェア等の動作プログラムを実行することで実現される。Webサーバ22は、提供するコンテンツにより複数存在するものとする。
【0030】
クライアント32は、PC(パーソナルコンピュータ)等のコンピュータ機で構成され、インターネット31を介して両シングルサインオンドメイン1、2とシングルサインオンを行う。本実施例では、既存のシングルサインオンドメイン1で認証済みのユーザ用のクライアント32が、新方式のシングルサインオンドメイン2でシングルサインオンを行う場合を想定している。
【0031】
なお、上記の各種サーバ10〜12、21〜22及びクライアント32を構成するコンピュータ機内のハードウェア構成(CPU、メモリ(ROM/RAM)及びその他の記録媒体、通信I/F等の各種I/O装置等)の詳細については、既存のマシンがそのまま適用され、本発明とは直接関係しないため、その説明を省略する。
【0032】
次に、図2及び図2を参照して、本実施例の動作について詳細に説明する。
【0033】
まず、図2を参照して、既存のシングルサインオンドメイン1でユーザを認証した場合に、新方式のシングルサインオンドメイン2からシングルサインオンを実施する場合を考える。
【0034】
まず、クライアント32は、既存のシングルサインオンドメイン1に対してユーザID及びパスワード等の情報を用いてシングルサインオン(SSO)を行う。これにより、認証サーバ11は、SSO認証を行い、既存のシングルサインオンドメイン1内で読むことができるクッキー等既存の独自認証識別子を発行する(ステップ11)。この独自認証識別子は、仲介サーバ10から参照することができる。
【0035】
次に、クライアント32からWebサーバ22に対してアクセスを行う(ステップ12)。アクセスされたWebサーバ22は、クライアント32がまだ認証されていないことを検出する(ステップ103)と、認証サーバ21で認証を行わせるために、リダイレクトをクライアント32に対して返す(ステップ104)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ105)。
【0036】
認証サーバ21は、クライアント32が認証されていないことを検出する(ステップ106)と、仲介サーバ10に対してクライアント32がシングルサインオンドメイン1で認証を受けているかどうかを問い合わせるために、リダイレクトを発行する(ステップ107)。リダイレクトの結果、クライアント32は、仲介サーバ10に対してアクセスを行う(ステップ108)。このときのアクセス情報には、認証サーバ11で発行された第1のシングルサインオンドメイン1のクッキー等既存の独自認証識別子が含まれる。
【0037】
次いで、仲介サーバ10は、クライアント32のアクセス情報から認証サーバ11で発行された既存のシングルサインオンドメイン1のクッキー等既存の独自認証識別子を読み出すと、上記ステップ11にて既存のシングルサインオンドメイン1の認証サーバ11により認証されていることを検出する(ステップ109)。
【0038】
これにより、仲介サーバ10は、既存のシングルサインオンドメイン1で認証されていることを示す認証アサーションを発行し(ステップ110)、発行された認証アサーションとともに、認証サーバ21に戻るようにリダイレクトをかける(ステップ111)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ112)。
【0039】
認証サーバ21は、クライアント32から、仲介サーバ10により発行された認証アサーションを受け取る(ステップ113)と、認証アサーションの中身を確認し(ステップ114)、受け入れが確認できる場合は、認証サーバ21で新たにシングルサインオンドメイン2の認証アサーションを生成する(ステップ115)。
【0040】
次いで、認証サーバ21は、発行された認証アサーションとともに、Webサーバ22に戻るようにリダイレクトをかける(ステップ116)。リダイレクトの結果、クライアント32は、Webサーバ22に対してアクセスを行う(ステップ117)。
【0041】
Webサーバ22は、クライアント32から認証アサーションを受け取り、中身を確認する(ステップ118)。この認証アサーションの確認後、Webサーバ22は、情報を開示する(ステップ119)。
【0042】
次に、図3を参照して、新方式のシングルサインオンドメイン2でユーザを認証したことを、既存のシングルサインオンドメイン1から利用する場合を考える。
【0043】
まず、クライアント32(ユーザ)は、新方式のシングルサインオンドメイン2に対してシングルサインオン(SSO)を行うために、Webサーバ22へアクセスする(ステップ21)。
【0044】
アクセスされたWebサーバ22は、クライアント32が認証されていないことを検出し(ステップ22)、認証サーバ21へリダイレクトを行う(ステップ203)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ204)。
【0045】
これにより、認証サーバ21は、SSO認証を行い(ステップ205)、認証後、認証アサーションを発行し(ステップ206)、発行された認証アサーションとともに、仲介サーバ10に対してクライアント32が認証されていることを示すためにリダイレクトをかける(ステップ207)。リダイレクトの結果、クライアント32は、仲介サーバ10に対してアクセスを行う(ステップ208)。
【0046】
仲介サーバ10は、クライアント32から受け取った認証アサーションの中身を確認し(ステップ209)、受け入れが確認できる場合は、認証サーバ11に対してクライアント32のクッキー等既存の独自認証識別子の発行依頼(生成要求)を行う(ステップ210)。
【0047】
認証サーバ11は、クライアント32に対してSSO認証を行い、クッキー等既存の独自認証識別子を発行する(ステップ211)。認証サーバ11は、仲介サーバ10に対して認証終了を通知する(ステップ212)。
【0048】
仲介サーバ10は、認証サーバ21に戻るようにリダイレクトをかける(ステップ213)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ214)。
【0049】
その後、認証サーバ21は、発行された認証アサーションとともに、Webサーバ22に戻るように、リダイレクトをかける(ステップ215)。リダイレクトの結果、クライアント32は、認証アサーションと共に、Webサーバ22に対してアクセスを行う(ステップ216)。
【0050】
Webサーバ22は、送られた認証アサーションを検証し(ステップ217)、その認証アサーションの中身を確認後、情報開示を行い(ステップ218)、これによりシングルサインオンが成立する。
【0051】
従って、本実施例によれば、仲介サーバを用いることにより、クッキー等既存の独自認証識別子を使用している既存のシングルサインオンシステムと、クッキー等既存の独自認証識別子を使用することのできない新方式のシングルサインオンシステムとを連携させることが可能となる。
【0052】
また、本実施例によれば、既存のシングルサインオンドメイン側の修正が不要であり、修正のためのコストがかからない。これは、従来、異なるシングルサインオン方式を連携させるためには、認証サーバで他のシングルサインオン方式で使用されるクッキー等既存の独自認証識別子を理解し、自身が使用する識別子へ変換する必要があったが、本実施例で示した通りこれが不要となる。
【0053】
なお、上記実施例では、各サーバ間で認証アサーションを直接渡す場合を説明しているが、その他の実施例として、「アーティファクト」と呼ばれる認証アサーションと結びつけられた識別子を渡し、アーティファクトを渡されたサーバがアサーションを取得する方法を採用することもできる。この場合、上記実施例と比べて、認証アサーションを渡す部分が、アーティファクトを渡すこととなり、また、渡されたサーバの処理にアーティファクトからアサーションを取得しにいくという動作が追加されることになる。なお、アーティファクトの例として、SAMLプロトコルに従い規定されるSAMLアーティファクトがある。
【0054】
また、上記実施例のステップ113を省略することもできる。この場合、Webサーバ22が、仲介サーバ10の認証アサーションを直接検証を行うことで実施することが可能となる。
【0055】
また、上記実施例では、新方式のシングルサインオンドメイン2でユーザを認証したことを既存のシングルサインオンドメイン1から利用する場合において、仲介サーバを使用しているが、その他の実施例として、仲介サーバを使用しない場合でも適用可能である。この場合、認証サーバ11が、他の認証サーバ(ここでは、認証サーバ21)からの認証受け入れ要求を受け付ける機能を持つ必要がある。認証サーバ21での認証後、ステップ206において、仲介サーバにリダイレクトを行う代わりに、直接認証サーバ11に対して認証受け入れ要求を行う。これにより、認証サーバ11でクッキー等既存の独自認証識別子を発行することで、シングルサインオンの連携を行うことが可能となる。
【0056】
さらに、上記実施例では、認証サーバ11が、仲介サーバ10からのクッキー等既存の独自認証識別子の生成要求に対し、クッキー等既存の独自認証識別子の作成を行う機能を持っているが、その他の実施例として、この機能を持たない場合でも適用可能である。この場合、上記実施例と比べて、新方式のシングルサインオンドメイン2でユーザを認証したことを、既存のシングルサインオンドメイン1からの利用ができなくなる。つまり、ステップ21以降の実施が不可能となる以外は、上記実施例と同様となる。
【図面の簡単な説明】
【0057】
【図1】本発明の実施例によるシングルサインオンシステムの全体構成を示す図である。
【図2】既存のシングルサインオンドメインでユーザを認証した場合に新方式のシングルサインオンドメインからシングルサインオンを実施する場合の動作を説明するシーケンス図である。
【図3】新方式のシングルサインオンドメインでユーザを認証したことを既存のシングルサインオンドメインから利用する場合の動作を説明するシーケンス図である。
【符号の説明】
【0058】
1 既存のシングルサインオンドメイン
2 新方式のシングルサインオンドメイン
10 仲介サーバ
11、21 認証サーバ
12、22 Webサーバ
13、23 ネットワーク
【技術分野】
【0001】
本発明は、認証情報を用いたシングルサインオン連携方法、シングルサインオンシステム、仲介サーバ、その動作方法及び動作プログラムに関する。
【背景技術】
【0002】
コンピュータネットワークでは、通常、ネットワークを通して利用可能なWebサーバによるWebコンテンツ等の複数のリソースへのアクセスやその利用権限をユーザに応じて制限している。このため、ユーザは各リソースへのアクセス時にユーザ名やパスワード等の情報を入力して、その都度認証を得る必要があった。しかし、個々のリソースへアクセスする度にユーザ名やパスワード等の情報を入力する操作は、ユーザにとっては大変煩わしく、またセキュリティ上の理由でリソース毎に異なるパスワードを設定していれば、パスワード数がリソース数に比例して増えるため、必ずしも利便性のよいものではなかった。
【0003】
そこで、近年、このような複数のリソースにアクセスする際、一度だけ認証を行うことで、同じドメインに属するネットワーク内のアクセス許可されている全てのリソースを利用できる「シングルサインオン(Single Sign-on)」と呼ばれる認証方法が知られている。このシングルサインオン方法を用いたシステム(以下、「シングルサインオンシステム」と呼ぶ)では、例えばクッキー等既存の独自認証識別子を使用した認証情報をクライアント(ユーザ端末)に保管し、同じドメインに属するネットワーク内のWebコンテンツ等のリソースへのアクセス時にサーバ側でその認証情報を用いて認証を行う方式等が知られている。
【0004】
なお、本発明に関連する先行技術文献としては、次のものがある。
【特許文献1】特開2004−355073号公報
【特許文献2】特開2004−234329号公報
【特許文献3】特開2004−185396号公報
【特許文献4】特許第3505058号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
従来、シングルサインオンを行う為には、クッキー等既存の独自認証識別子を使用する必要があった。クッキー等既存の独自認証識別子は、異なるドメイン間でやりとりすることは難しい上、クッキー等既存の独自認証識別子そのものに互換性が無いために、方式の異なるシングルサインオンシステムを連携させる場合、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要があった。
【0006】
このように方式の異なるシングルサインオンシステム同士を連携させる場合、シングルサインオンサーバが連携相手となるシングルサインオン方式を理解する必要があったため、認証サーバの置き換えや接続先毎の対応が発生するという問題があった。上述した先行技術文献では、このような方式の異なるシングルサインオンシステム同士を連携させる場合の問題解決を必ずしも意図したものではない。
【0007】
本発明は、このような従来の事情を考慮してなされたもので、方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要がなく、認証サーバの置き換えや接続先毎の対応が発生しないようにすることを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本発明に係る認証情報を用いたシングルサインオンの連携方法は、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いる認証情報を用いたシングルサインオンの連携方法であって、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを用意するステップと、前記クライアントから前記第2のサーバへのアクセス前に、前記第1の認証サーバが、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、前記クライアントから前記第2のサーバへのアクセス時に、前記仲介サーバが、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップと、前記第2の認証サーバが、前記仲介サーバからの通知を受けて前記認証アサーションを生成するステップと、その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとを有することを特徴とする。
【0009】
本発明において、前記クライアントから前記第2のサーバへのアクセス時に、前記第2の認証サーバが、前記クライアントに対し認証を行い前記認証アサーションを生成するステップと前記仲介サーバが、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップと、前記第1の認証サーバが、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとをさらに有してもよい。
【0010】
本発明において、前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いてもよい。前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていてもよい。
【0011】
また、本発明に係るシングルサインオンシステムは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムであって、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを備え、前記第1の認証サーバは、前記クライアントから前記第2のサーバへのアクセス前に、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成し、前記仲介サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知し、前記第2の認証サーバは、前記仲介サーバからの通知を受けて、前記認証アサーションを生成することを特徴とする。
【0012】
本発明において、前記第2の認証サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントに対し認証を行い前記認証アサーションを生成し、前記仲介サーバは、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出し、前記第1の認証サーバは、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成してもよい。
【0013】
また、本発明に係る仲介サーバは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識すると共に、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする。
【0014】
本発明において、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出してもよい。
【0015】
また、本発明に係る仲介サーバの動作方法は、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする。
【0016】
本発明において、さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出してもよい。
【0017】
さらに、本発明に係る仲介サーバの動作プログラムは、クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップをコンピュータに実行させることを特徴とする。
【0018】
本発明において、さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップをコンピュータに実行させてもよい。
【発明の効果】
【0019】
本発明によれば、方式の異なるシングルサインオンシステムを連携させる場合に、双方のクッキー等既存の独自認証識別子を合わせたり、変換したりする必要がなく、認証サーバの置き換えや接続先毎の対応が発生しない。
【発明を実施するための最良の形態】
【0020】
次に、本発明に係る認証情報を用いたシングルサインオン連携方法、シングルサインオンシステム、仲介サーバ、その動作方法及び動作プログラムを実施するための最良の形態について図面を参照して詳細に説明する。
【0021】
本実施の形態は、方式の異なるシングルサインオンシステムに対して仲介となるサーバを用意するだけで連携することを可能とするものである。即ち、本実施の形態では、既存のシングルサインオンシステムに新たに新方式のシングルサインオンシステムを連携させる場合において、既存のシングルサインオンシステムに、既存のシングルサインオン方式を新しいシングルサインオン方式で解釈できる仲介サーバを追加することで、新方式のシングルサインオンシステムで、既存のシングルサインオンシステムを使用することを可能とする。
【実施例】
【0022】
図1を参照すると、本実施例によるシングルサインオンシステムは、ドメインの異なるネットワークシステムで構成され且つシングルサインオンによる認証方式が異なるシングルサインオンシステム(以下、シングルサインオンドメイン)を備えている。図1の例では、この方式が異なるシングルサインオンシステムとして、既存のシングルサインオンドメイン(第1のシングルサインオンシステム)1と、既存のシングルサインオンドメイン1に接続させようとする新方式のシングルサインオンドメイン(第2のシングルサインオンシステム)2とを有し、両シングルサインオンドメイン1、2にインターネット31を介してユーザ操作用のクライアント32が接続されている。
【0023】
既存のシングルサインオンドメイン1は、認証情報としてクッキー等既存の独自認証識別子を使用する既存のシングルサインオンによる認証を行うもので、ユーザの認証を行う認証サーバ(第1の認証サーバ)11と、認証サーバ11によって認証を受けたユーザに対してWebコンテンツを提供するWebサーバ(第1のサーバ)12と、既存のシングルサインオンドメイン1に属する仲介サーバ10とを有している。認証サーバ11、Webサーバ12、及び仲介サーバ10は、ネットワーク13に接続され、そのネットワーク13がインターネット31に接続されている。
【0024】
新方式のシングルサインオンドメイン2は、認証情報としてクッキー等既存の独自認証識別子を使用せずに所定の認証アサーションを使用する新方式(例えば、既知のSAML(Security Assertion Markup Language)プロトコルに従って認証情報を交換する方式等)のシングルサインオンによる認証を行うもので、ユーザの認証を行う認証サーバ(第2の認証サーバ)21と、認証サーバ21によって認証を受けたユーザに対してWebコンテンツを提供するWebサーバ(第2のサーバ)22と、既存のシングルサインオンドメイン1に属すると共に新方式のシングルサインオンドメイン2に属する仲介サーバ10とを有している。認証サーバ21及びWebサーバ22は、ネットワーク23に接続され、そのネットワーク23がインターネット31に接続されている。
【0025】
仲介サーバ10は、既存のシングルサインオンドメイン1にも新方式のシングルサインオンドメイン2にも属し、新方式のシングルサインオンドメイン2の認証サーバ21に対して、クライアント32が既存のシングルサインオンドメイン1で認証を受けている場合、それを認証サーバ21に通知する機能を持つ。また、認証サーバ11に対して、クッキー等既存の独自認証識別子の生成要求を行う機能を持つ。図1の例では、Webサーバとしての機能も兼ねている。これらの機能は、仲介サーバ10を構成するコンピュータ機が予め設定された認証プログラム等のプログラムを実行することで実現される。
【0026】
認証サーバ11は、ユーザの認証とクッキー等既存の独自認証識別子の作成を行う機能を持つ。また、認証サーバ11は、仲介サーバ10からのクッキー等既存の独自認証識別子の生成要求に対し、クッキー等既存の独自認証識別子の作成を行う機能を持つ。これらの機能は、認証サーバ11を構成するコンピュータ機が予め設定された認証プログラム等の動作プログラムを実行することで実現される。
【0027】
Webサーバ12は、通常のWebサーバが有している既存の機能のほか、認証サーバ11で発行されたクッキー等既存の独自認証識別子を理解することができ、認証されたユーザに対しコンテンツの提供を行う機能を持つ。これらの機能は、Webサーバ12を構成するコンピュータ機が予め設定されたWebサーバソフトウェア等の動作プログラムを実行することで実現される。Webサーバ12は、提供するコンテンツにより複数存在するものとする。
【0028】
認証サーバ21は、ユーザの認証と認証アサーションの作成を行う機能と、認証アサーションの検証を行う機能とを持つ。認証アサーションは、認証されたことを示す情報で、認証した方式や有効期限などの情報から構成される。これらの機能は、認証サーバ21を構成するコンピュータ機が予め設定された認証プログラム等の動作プログラムを実行することで実現される。なお、認証アサーションの例として、SAMLプロトコルに従い規定されるSAMLアサーションがある。
【0029】
Webサーバ22は、通常のWebサーバが有している既存の機能のほか、認証サーバ21で発行された認証アサーションの検証を行うことができ、認証されたユーザに対しコンテンツの提供を行う機能を持つ。これらの機能は、Webサーバ22を構成するコンピュータ機が予め設定されたWebサーバソフトウェア等の動作プログラムを実行することで実現される。Webサーバ22は、提供するコンテンツにより複数存在するものとする。
【0030】
クライアント32は、PC(パーソナルコンピュータ)等のコンピュータ機で構成され、インターネット31を介して両シングルサインオンドメイン1、2とシングルサインオンを行う。本実施例では、既存のシングルサインオンドメイン1で認証済みのユーザ用のクライアント32が、新方式のシングルサインオンドメイン2でシングルサインオンを行う場合を想定している。
【0031】
なお、上記の各種サーバ10〜12、21〜22及びクライアント32を構成するコンピュータ機内のハードウェア構成(CPU、メモリ(ROM/RAM)及びその他の記録媒体、通信I/F等の各種I/O装置等)の詳細については、既存のマシンがそのまま適用され、本発明とは直接関係しないため、その説明を省略する。
【0032】
次に、図2及び図2を参照して、本実施例の動作について詳細に説明する。
【0033】
まず、図2を参照して、既存のシングルサインオンドメイン1でユーザを認証した場合に、新方式のシングルサインオンドメイン2からシングルサインオンを実施する場合を考える。
【0034】
まず、クライアント32は、既存のシングルサインオンドメイン1に対してユーザID及びパスワード等の情報を用いてシングルサインオン(SSO)を行う。これにより、認証サーバ11は、SSO認証を行い、既存のシングルサインオンドメイン1内で読むことができるクッキー等既存の独自認証識別子を発行する(ステップ11)。この独自認証識別子は、仲介サーバ10から参照することができる。
【0035】
次に、クライアント32からWebサーバ22に対してアクセスを行う(ステップ12)。アクセスされたWebサーバ22は、クライアント32がまだ認証されていないことを検出する(ステップ103)と、認証サーバ21で認証を行わせるために、リダイレクトをクライアント32に対して返す(ステップ104)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ105)。
【0036】
認証サーバ21は、クライアント32が認証されていないことを検出する(ステップ106)と、仲介サーバ10に対してクライアント32がシングルサインオンドメイン1で認証を受けているかどうかを問い合わせるために、リダイレクトを発行する(ステップ107)。リダイレクトの結果、クライアント32は、仲介サーバ10に対してアクセスを行う(ステップ108)。このときのアクセス情報には、認証サーバ11で発行された第1のシングルサインオンドメイン1のクッキー等既存の独自認証識別子が含まれる。
【0037】
次いで、仲介サーバ10は、クライアント32のアクセス情報から認証サーバ11で発行された既存のシングルサインオンドメイン1のクッキー等既存の独自認証識別子を読み出すと、上記ステップ11にて既存のシングルサインオンドメイン1の認証サーバ11により認証されていることを検出する(ステップ109)。
【0038】
これにより、仲介サーバ10は、既存のシングルサインオンドメイン1で認証されていることを示す認証アサーションを発行し(ステップ110)、発行された認証アサーションとともに、認証サーバ21に戻るようにリダイレクトをかける(ステップ111)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ112)。
【0039】
認証サーバ21は、クライアント32から、仲介サーバ10により発行された認証アサーションを受け取る(ステップ113)と、認証アサーションの中身を確認し(ステップ114)、受け入れが確認できる場合は、認証サーバ21で新たにシングルサインオンドメイン2の認証アサーションを生成する(ステップ115)。
【0040】
次いで、認証サーバ21は、発行された認証アサーションとともに、Webサーバ22に戻るようにリダイレクトをかける(ステップ116)。リダイレクトの結果、クライアント32は、Webサーバ22に対してアクセスを行う(ステップ117)。
【0041】
Webサーバ22は、クライアント32から認証アサーションを受け取り、中身を確認する(ステップ118)。この認証アサーションの確認後、Webサーバ22は、情報を開示する(ステップ119)。
【0042】
次に、図3を参照して、新方式のシングルサインオンドメイン2でユーザを認証したことを、既存のシングルサインオンドメイン1から利用する場合を考える。
【0043】
まず、クライアント32(ユーザ)は、新方式のシングルサインオンドメイン2に対してシングルサインオン(SSO)を行うために、Webサーバ22へアクセスする(ステップ21)。
【0044】
アクセスされたWebサーバ22は、クライアント32が認証されていないことを検出し(ステップ22)、認証サーバ21へリダイレクトを行う(ステップ203)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ204)。
【0045】
これにより、認証サーバ21は、SSO認証を行い(ステップ205)、認証後、認証アサーションを発行し(ステップ206)、発行された認証アサーションとともに、仲介サーバ10に対してクライアント32が認証されていることを示すためにリダイレクトをかける(ステップ207)。リダイレクトの結果、クライアント32は、仲介サーバ10に対してアクセスを行う(ステップ208)。
【0046】
仲介サーバ10は、クライアント32から受け取った認証アサーションの中身を確認し(ステップ209)、受け入れが確認できる場合は、認証サーバ11に対してクライアント32のクッキー等既存の独自認証識別子の発行依頼(生成要求)を行う(ステップ210)。
【0047】
認証サーバ11は、クライアント32に対してSSO認証を行い、クッキー等既存の独自認証識別子を発行する(ステップ211)。認証サーバ11は、仲介サーバ10に対して認証終了を通知する(ステップ212)。
【0048】
仲介サーバ10は、認証サーバ21に戻るようにリダイレクトをかける(ステップ213)。リダイレクトの結果、クライアント32は、認証サーバ21に対してアクセスを行う(ステップ214)。
【0049】
その後、認証サーバ21は、発行された認証アサーションとともに、Webサーバ22に戻るように、リダイレクトをかける(ステップ215)。リダイレクトの結果、クライアント32は、認証アサーションと共に、Webサーバ22に対してアクセスを行う(ステップ216)。
【0050】
Webサーバ22は、送られた認証アサーションを検証し(ステップ217)、その認証アサーションの中身を確認後、情報開示を行い(ステップ218)、これによりシングルサインオンが成立する。
【0051】
従って、本実施例によれば、仲介サーバを用いることにより、クッキー等既存の独自認証識別子を使用している既存のシングルサインオンシステムと、クッキー等既存の独自認証識別子を使用することのできない新方式のシングルサインオンシステムとを連携させることが可能となる。
【0052】
また、本実施例によれば、既存のシングルサインオンドメイン側の修正が不要であり、修正のためのコストがかからない。これは、従来、異なるシングルサインオン方式を連携させるためには、認証サーバで他のシングルサインオン方式で使用されるクッキー等既存の独自認証識別子を理解し、自身が使用する識別子へ変換する必要があったが、本実施例で示した通りこれが不要となる。
【0053】
なお、上記実施例では、各サーバ間で認証アサーションを直接渡す場合を説明しているが、その他の実施例として、「アーティファクト」と呼ばれる認証アサーションと結びつけられた識別子を渡し、アーティファクトを渡されたサーバがアサーションを取得する方法を採用することもできる。この場合、上記実施例と比べて、認証アサーションを渡す部分が、アーティファクトを渡すこととなり、また、渡されたサーバの処理にアーティファクトからアサーションを取得しにいくという動作が追加されることになる。なお、アーティファクトの例として、SAMLプロトコルに従い規定されるSAMLアーティファクトがある。
【0054】
また、上記実施例のステップ113を省略することもできる。この場合、Webサーバ22が、仲介サーバ10の認証アサーションを直接検証を行うことで実施することが可能となる。
【0055】
また、上記実施例では、新方式のシングルサインオンドメイン2でユーザを認証したことを既存のシングルサインオンドメイン1から利用する場合において、仲介サーバを使用しているが、その他の実施例として、仲介サーバを使用しない場合でも適用可能である。この場合、認証サーバ11が、他の認証サーバ(ここでは、認証サーバ21)からの認証受け入れ要求を受け付ける機能を持つ必要がある。認証サーバ21での認証後、ステップ206において、仲介サーバにリダイレクトを行う代わりに、直接認証サーバ11に対して認証受け入れ要求を行う。これにより、認証サーバ11でクッキー等既存の独自認証識別子を発行することで、シングルサインオンの連携を行うことが可能となる。
【0056】
さらに、上記実施例では、認証サーバ11が、仲介サーバ10からのクッキー等既存の独自認証識別子の生成要求に対し、クッキー等既存の独自認証識別子の作成を行う機能を持っているが、その他の実施例として、この機能を持たない場合でも適用可能である。この場合、上記実施例と比べて、新方式のシングルサインオンドメイン2でユーザを認証したことを、既存のシングルサインオンドメイン1からの利用ができなくなる。つまり、ステップ21以降の実施が不可能となる以外は、上記実施例と同様となる。
【図面の簡単な説明】
【0057】
【図1】本発明の実施例によるシングルサインオンシステムの全体構成を示す図である。
【図2】既存のシングルサインオンドメインでユーザを認証した場合に新方式のシングルサインオンドメインからシングルサインオンを実施する場合の動作を説明するシーケンス図である。
【図3】新方式のシングルサインオンドメインでユーザを認証したことを既存のシングルサインオンドメインから利用する場合の動作を説明するシーケンス図である。
【符号の説明】
【0058】
1 既存のシングルサインオンドメイン
2 新方式のシングルサインオンドメイン
10 仲介サーバ
11、21 認証サーバ
12、22 Webサーバ
13、23 ネットワーク
【特許請求の範囲】
【請求項1】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いる認証情報を用いたシングルサインオンの連携方法であって、
前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを用意するステップと、
前記クライアントから前記第2のサーバへのアクセス前に、前記第1の認証サーバが、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、
前記クライアントから前記第2のサーバへのアクセス時に、前記仲介サーバが、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップと、
前記第2の認証サーバが、前記仲介サーバからの通知を受けて前記認証アサーションを生成するステップと、
その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとを有することを特徴とする認証情報を用いたシングルサインオンの連携方法。
【請求項2】
前記クライアントから前記第2のサーバへのアクセス時に、前記第2の認証サーバが、前記クライアントに対し認証を行い前記認証アサーションを生成するステップと
前記仲介サーバが、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップと、
前記第1の認証サーバが、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、
その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとをさらに有することを特徴とする請求項1に記載の認証情報を用いたシングルサインオンの連携方法。
【請求項3】
前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いることを特徴とする請求項1又は2に記載の認証情報を用いたシングルサインオンの連携方法。
【請求項4】
前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていることを特徴とする請求項1から3のいずれか1項に記載の認証情報を用いたシングルサインオンの連携方法。
【請求項5】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムであって、
前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを備え、
前記第1の認証サーバは、前記クライアントから前記第2のサーバへのアクセス前に、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成し、
前記仲介サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知し、
前記第2の認証サーバは、前記仲介サーバからの通知を受けて、前記認証アサーションを生成することを特徴とするシングルサインオンシステム。
【請求項6】
前記第2の認証サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントに対し認証を行い前記認証アサーションを生成し、
前記仲介サーバは、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出し、
前記第1の認証サーバは、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成することを特徴とする請求項5に記載のシングルサインオンシステム。
【請求項7】
前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いることを特徴とする請求項5又は6に記載のシングルサインオンシステム。
【請求項8】
前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていることを特徴とする請求項5から7のいずれか1項に記載のシングルサインオンシステム。
【請求項9】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、
前記第1及び第2のシングルサインオンシステムに接続され、
前記独自認証識別子及び前記認証アサーションを認識すると共に、
前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする仲介サーバ。
【請求項10】
前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すことを特徴とする請求項9に記載の仲介サーバ。
【請求項11】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、
前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする仲介サーバの動作方法。
【請求項12】
さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すことを特徴とする請求項11に記載の仲介サーバの動作方法。
【請求項13】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、
前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップをコンピュータに実行させることを特徴とする仲介サーバの動作プログラム。
【請求項14】
さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップをコンピュータに実行させることを特徴とする請求項13に記載の仲介サーバの動作プログラム。
【請求項1】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いる認証情報を用いたシングルサインオンの連携方法であって、
前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを用意するステップと、
前記クライアントから前記第2のサーバへのアクセス前に、前記第1の認証サーバが、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、
前記クライアントから前記第2のサーバへのアクセス時に、前記仲介サーバが、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップと、
前記第2の認証サーバが、前記仲介サーバからの通知を受けて前記認証アサーションを生成するステップと、
その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとを有することを特徴とする認証情報を用いたシングルサインオンの連携方法。
【請求項2】
前記クライアントから前記第2のサーバへのアクセス時に、前記第2の認証サーバが、前記クライアントに対し認証を行い前記認証アサーションを生成するステップと
前記仲介サーバが、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップと、
前記第1の認証サーバが、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成するステップと、
その後、前記第2のサーバが、前記クライアントから前記認証アサーションを認識して前記クライアントからのアクセスに応答するステップとをさらに有することを特徴とする請求項1に記載の認証情報を用いたシングルサインオンの連携方法。
【請求項3】
前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いることを特徴とする請求項1又は2に記載の認証情報を用いたシングルサインオンの連携方法。
【請求項4】
前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていることを特徴とする請求項1から3のいずれか1項に記載の認証情報を用いたシングルサインオンの連携方法。
【請求項5】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行いその認証情報として所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行いその認証情報として所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムであって、
前記第1及び第2のシングルサインオンシステムに接続され、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバを備え、
前記第1の認証サーバは、前記クライアントから前記第2のサーバへのアクセス前に、前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成し、
前記仲介サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知し、
前記第2の認証サーバは、前記仲介サーバからの通知を受けて、前記認証アサーションを生成することを特徴とするシングルサインオンシステム。
【請求項6】
前記第2の認証サーバは、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントに対し認証を行い前記認証アサーションを生成し、
前記仲介サーバは、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出し、
前記第1の認証サーバは、前記生成要求を受けて前記クライアントに対し前記シングルサインオンによる認証を行い前記独自認証識別子を生成することを特徴とする請求項5に記載のシングルサインオンシステム。
【請求項7】
前記認証アサーションに代えて、当該認証アサーションに関連付けられた識別子から成るアーティファクトを用いることを特徴とする請求項5又は6に記載のシングルサインオンシステム。
【請求項8】
前記仲介サーバは、前記第1の認証サーバと共に一体に構成されていることを特徴とする請求項5から7のいずれか1項に記載のシングルサインオンシステム。
【請求項9】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、
前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、
前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、
前記第1及び第2のシングルサインオンシステムに接続され、
前記独自認証識別子及び前記認証アサーションを認識すると共に、
前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする仲介サーバ。
【請求項10】
前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すことを特徴とする請求項9に記載の仲介サーバ。
【請求項11】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、
前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知することを特徴とする仲介サーバの動作方法。
【請求項12】
さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すことを特徴とする請求項11に記載の仲介サーバの動作方法。
【請求項13】
クライアントとの間でネットワークを介して通信可能に接続され、互いに方式の異なるシングルサインオンによる認証を行う第1及び第2のシングルサインオンシステムとを有し、前記第1のシングルサインオンシステムは、前記クライアントに対し前記シングルサインオンによる認証を行い所定の独自認証識別子を生成する第1の認証サーバと、前記独自認証識別子を認識して前記クライアントからのアクセスに応答する第1のサーバとを有し、前記第2のシングルサインオンシステムは、前記クライアントに対しシングルサインオンによる認証を行い所定の認証アサーションを生成する第2の認証サーバと、前記認証アサーションを認識して前記クライアントからのアクセスに応答する第2のサーバとを有するシングルサインオンシステムで用いられ、且つ、前記第1及び第2のシングルサインオンシステムに接続されると共に、前記独自認証識別子及び前記認証アサーションを認識可能な仲介サーバが、
前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認独自証識別子を認識して前記第2の認証サーバに通知するステップをコンピュータに実行させることを特徴とする仲介サーバの動作プログラム。
【請求項14】
さらに、前記クライアントから前記第2のサーバへのアクセス時に、前記クライアントから前記認証アサーションを認識して前記第1の認証サーバに前記独自認証識別子の生成要求を出すステップをコンピュータに実行させることを特徴とする請求項13に記載の仲介サーバの動作プログラム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2006−252418(P2006−252418A)
【公開日】平成18年9月21日(2006.9.21)
【国際特許分類】
【出願番号】特願2005−71029(P2005−71029)
【出願日】平成17年3月14日(2005.3.14)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成18年9月21日(2006.9.21)
【国際特許分類】
【出願日】平成17年3月14日(2005.3.14)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]