認証装置、プログラムおよび記録媒体
【課題】 認証装置間でデータ同期を効率的に行うための認証装置、プログラムおよび記録媒体を提供すること。
【解決手段】 本認証装置120は、外部の認証装置110と連携して情報処理装置150〜154を認証する。本認証装置120は、情報処理装置150〜154からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段136と、認証が行われることに応答して、外部の認証装置110から、都度同期する項目として設定された項目名に対応する項目値を取得する都度項目値取得手段138と、取得された項目値で、ローカル・データベース122内の項目値を更新する都度項目値更新手段140と、更新された項目値を含む項目値セットを取得する項目値セット取得手段142と、得られた認証結果と項目値セットとを情報処理装置150〜154に返却する返却手段144とを含む。
【解決手段】 本認証装置120は、外部の認証装置110と連携して情報処理装置150〜154を認証する。本認証装置120は、情報処理装置150〜154からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段136と、認証が行われることに応答して、外部の認証装置110から、都度同期する項目として設定された項目名に対応する項目値を取得する都度項目値取得手段138と、取得された項目値で、ローカル・データベース122内の項目値を更新する都度項目値更新手段140と、更新された項目値を含む項目値セットを取得する項目値セット取得手段142と、得られた認証結果と項目値セットとを情報処理装置150〜154に返却する返却手段144とを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証サービスに関し、より詳細には、認証装置間でデータ同期を効率的に行うための認証装置、プログラムおよび記録媒体に関する。
【背景技術】
【0002】
従来、大規模な組織においては、認証サービスやディレクトリ・サービスに関して、マスタとなるマスタ認証サーバに対して、中間層となる認証サーバを1以上準備することにより、認証サーバの冗長化が行われている。冗長化されたシステムでは、例えば複合機、ネットワーク装置、アプリケーションなどのクライアントは、マスタ認証サーバから直接サービスを受ける代わりに、中間層の認証サーバからサービスを受けることができるよう構成されている。これにより、データ取得の高速化、効率化および耐障害性の向上が図られる。
【0003】
しかしながら、複数の認証サーバが設けられる冗長化システムでは、各認証サーバで保持する情報の整合性を維持する必要がある。このため、マスタ認証サーバと中間層の認証サーバとの間で適切にデータ同期を行う必要がある。
【0004】
上述したデータ同期は、効率的に行うことが求められるが、データ同期に関連して、種々の従来技術が知られる。例えば特開2011−48549号公報(特許文献1)は、データ保護ポリシの更新を行うにあたり同期で更新されないデータに関するデータ保護ポリシがマスタ・コンピュータで変更されている場合に、スレーブ・コンピュータで当該変更がされているデータ保護ポリシの同期を行う構成を開示する。
【0005】
特開2003−296172号公報(特許文献2)は、データベースの同期を取るためのネットワーク・トラフィックを低減することを目的とした文書管理装置を開示する。この文書管理装置は、第1の文書管理データベースに格納されたオブジェクトの参照関係情報を検出する検出機能と、その検出機能に参照関係情報が検出されたレコードを第1の文書管理データベースから取得して第2の文書管理データベースに同期させる機能とを実現する。
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、従来技術の認証サービスにおけるデータ同期では、中間層の認証サーバがマスタ認証サーバ上のデータと同期する方法が固定されており、要求される同期の間隔が異なるなどデータの重要性にかかわらず、一律に同期が行われていた。同期間隔を短くする必要のないデータが、重要度の高いデータの更新に併せて一律に同期されると、余分なデータトラフィックを発生させてしまうことになりかねない。このように、従来技術の認証サービスにおけるデータ同期は、データ同期の効率性の観点から、充分なものではなかった。
【0007】
データ同期に関連して、上記特許文献1および特許文献2の従来技術も知られているが、いずれも、上述したデータに要求される同期間隔のレベルを考慮するものではなく、認証処理に関するデータ同期の効率を向上する観点から、充分とはいえなかった。
【0008】
本発明は、上記従来技術における不充分な点に鑑みてなされたものであり、本発明は、外部の認証装置と連携して情報処理装置を認証する認証装置と該外部の認証装置とのデータ同期に関して、要求される同期間隔が異なる複数のレベルの情報を、適切な同期機構を利用して、適時に同期することにより、高効率、かつ、高品質なデータ同期が実現可能な認証装置、プログラムおよび記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明では、上記課題を解決するために、以下の特徴を有する、外部の認証装置と連携して情報処理装置を認証する認証装置を提供する。本認証装置は、情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段と、認証が行われることに応答して、都度同期する項目として設定された項目名に対応する項目値を外部の認証装置から取得する都度項目値取得手段と、都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段とを含む。上記都度項目値取得手段および都度項目値更新手段は、通常とは異なる要求の都度同期する同期機構を提供する。本認証装置は、さらに、上記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段と、上記認証手段より得られた認証結果と項目値セット取得手段により得られた項目値セットとを情報処理装置に返却する返却手段とを含む。
【0010】
本発明では、さらに、コンピュータを上記各手段として機能させる、外部の認証装置と連携して情報処理装置を認証する認証装置をコンピュータ上に実現するためのコンピュータ実行可能なプログラムを提供することができる。さらに、本発明では、上記プログラムをコンピュータ可読に格納する記録媒体を提供することができる。
【発明の効果】
【0011】
上記構成によれば、当該認証装置が外部の認証装置とデータ同期をする際に、提供する情報のうちの都度同期する項目を区分し、該項目に対応して要求に応じて都度同期するデータ同期機構が別途準備される。これにより、クライアントからのサービス要求に応答して一のレベルの情報を都度同期し、他のレベルの情報と異なるデータ同期機構で同期することが可能となる。これにより、同期されるデータの品質および効率を両立させることが可能となる。
【図面の簡単な説明】
【0012】
【図1】本実施形態の認証システムを示す概略図。
【図2】本実施形態による中間層認証サーバ装置のハードウェア構成図。
【図3】本実施形態による認証システムの機能ブロック図。
【図4】(A)予定同期項目登録テーブル、(B)都度同期項目登録テーブル、(C,E)タスクスケジューラが管理するスケジュール、(D)予定同期項目および都度同期項目を登録するテーブルのデータ構造を示す図。
【図5】本実施形態の中間層認証サーバ装置が実行する認証要求時のデータ同期処理を示すフローチャート。
【図6】本実施形態の中間層認証サーバ装置が実行するスケジュールに従ったデータ同期処理を示すフローチャート。
【図7】(A)マスタデータベースに保持されるエントリ、(B,C)ローカル・データベースに保持されているエントリのデータ構造を示す図。
【図8】本実施形態による都度同期項目値および予定同期項目値の設定機能に関連する機能ブロック図。
【図9】本実施形態による同期項目設定データを設定するための管理画面を例示する図。
【発明を実施するための形態】
【0013】
以下、本発明の実施形態について説明するが、本発明の実施形態は、以下に説明する実施形態に限定されるものではない。なお、以下に説明する実施形態では、マスタ認証サーバ装置と、中間層認証サーバ装置とを含み構成される認証システムを用いて説明する。
【0014】
図1は、本実施形態の認証システムを示す概略図である。図1に示す認証システム100は、マスタ認証サーバ装置110と、1以上の中間層認証サーバ装置120と、認証サービスにおいてクライアントとなる1以上の複数の装置150〜154と、管理端末160とを含む。これらの装置110,120,150〜154,160は、ネットワーク102を介して相互接続されている。
【0015】
マスタ認証サーバ装置110および中間層認証サーバ装置120は、それぞれ、クライアントに対し認証サービスないしディレクトリ・サービスを提供するサーバ機能を備える。認証サービスないしディレクトリ・サービスのプロトコルとしては、LDAP(Lightweight Directory Access Protocol)などが代表的であり、その他、既知の汎用プロトコルまたは独自プロトコルを対象とすることができる。
【0016】
マスタ認証サーバ装置110は、認証情報およびディレクトリ情報を含むアカウント情報のマスタデータを保有する。マスタ認証サーバ装置110は、クライアントとなる装置150〜154からのアカウント認証要求に応答し、上述したアカウント情報を用いて、アカウント認証を行い、情報を提供することができる。アカウント情報の追加、変更および削除は、マスタ認証サーバ装置110上のマスタデータに対して行われる。なお、マスタ認証サーバ装置110は、本実施形態における外部の認証装置を構成する。
【0017】
中間層認証サーバ装置120は、マスタ認証サーバ装置110が保有するマスタデータのレプリカデータを保有する。中間層認証サーバ装置120は、マスタ認証サーバ装置110の代わりに、クライアントとなる装置150〜154からの認証要求を受け付けて、マスタ認証サーバ装置110と連携してアカウント認証を行う。中間層認証サーバ装置120a,120bと、マスタ認証サーバ装置110との間では、詳細は後述する本実施形態のデータ同期機構により、アカウント情報のデータ同期が適時に行われる。これにより、サービスの負荷分散、高速化および冗長化が図られる。なお、中間層認証サーバ装置120は、本実施形態における、上記外部の認証装置と連携して情報処理装置を認証する認証装置を構成する。
【0018】
複合機150、プリンタ152、パーソナル・コンピュータ154は、それぞれ、上述した認証サービスないしディレクトリ・サービスの提供を受けるクライアントとなる装置である。以下、これらの装置150〜154を総称してクライアント150〜154と参照する。クライアント150〜154は、それぞれ、各クライアントを操作する利用者から、ユーザ名およびパスワードやIC認証カード情報などアカウント認証情報の入力を受け付けて、サーバ装置110,120に対し、認証処理を要求する。マスタ認証サーバ装置110および1以上の中間層認証サーバ装置120のいずれに認証要求が行われるかは、特に限定されるものではないが、予めクライアント毎に主となる認証要求先を定めておいてもよいし、ロードバランサ等を用いて振り分けるよう構成されていてもよい。
【0019】
クライアントとしては、図1には、複合機150a,150b、プリンタ152a,152b、パーソナル・コンピュータ154a,154bを例示するが、特にこれに限定されるものではない。クライアントとしては、ワークステーションやサーバなどのその他の汎用コンピュータ装置、スマートフォンやPDA(Personal Digital Assistance)などの携帯情報端末、ファクシミリなどの画像通信装置といった、認証サービスにアクセスするアプリケーションが動作する種々の情報処理装置を採用することができる。またクライアントの数は、特に限定されるものではなく、1または複数備えることができる。
【0020】
管理端末160は、マスタ認証サーバ装置110にリモートでアクセスし、アカウント情報の追加、変更、削除等を行うための端末である。管理端末160は、さらに、中間層認証サーバ装置120にリモートでアクセスし、データ同期に関連した各種設定を行うために使用される。
【0021】
上記ネットワーク102は、特に限定されるものではないが、イーサネット(登録商標)やTCP/IP(Transmission Control Protocol / Internet Protocol)などのトランザクション・プロトコルによるLAN(Local Area Network)、VPN(Virtual Private Network)や専用線を使用して接続されるWAN(Wide Area Network)などとして構成することができる。
【0022】
図2は、本実施形態による中間層認証サーバ装置120のハードウェア構成を示す図である。中間層認証サーバ装置120は、マイクロプロセッサ・ユニット(MPU)12と、BIOS(Basic Input Output System)を格納する不揮発性メモリ14と、MPU12によるプログラム処理を可能とする実行記憶空間を提供するメモリ16とを含む。MPU12は、起動時に、不揮発性メモリ14からBIOSを読み出し、システム診断を行なうとともに入出力装置26の管理を行う。
【0023】
MPU12は、また、内部バス22を介して記憶制御用インタフェース18に接続される。記憶制御用インタフェース18としては、IDE(Integrated Device Electronics)、ATA(AT Attachment)、SATA、eSATAなどの規格により、ハードディスク20の入出力を管理するインタフェースを使用することができる。ハードディスク20は、MPU12からの入出力要求に応答してデータの書込または読み出しを実行する。なお、本実施形態において、ハードディスク20は、アカウント情報を保持するローカル用のデータベースの記憶領域を構成する。
【0024】
MPU12は、さらに、内部バス22を介してUSB、IEEE1164などのシリアルまたはパラレル・インタフェース24を制御して、キーボード、マウス、プリンタなどの入出力装置26と通信し、ユーザからの入力を受け取ることができる。
【0025】
中間層認証サーバ装置120は、さらに、VRAM28とグラフィック・チップ30とを含んで構成することができる。グラフィック・チップ30は、MPU12からの指令に応答して、ビデオ信号を処理し、ディスプレイ装置32へと表示させる。本認証システム100の管理者は、上記ディスプレイ装置32および入出力装置26を介して、中間層認証サーバ装置120に対し、コンソールから各種設定を行うことができる。
【0026】
MPU12は、また、内部バス22を介してネットワークI/F(NIC;Network Interface Card)34と接続される。これにより、ネットワーク102を通して、中間層認証サーバ装置120は、クライアント150〜154、管理端末160などの外部装置と通信することができる。また、管理者は、上記ネットワークI/F34を介して、中間層認証サーバ装置120に対し、リモートで各種設定を行うことができる。
【0027】
中間層認証サーバ装置120は、不揮発性メモリ14やハードディスク20などの記憶装置に格納されたプログラム(図示せず)を読み出し、メモリ16のメモリ領域に展開する。これにより、中間層認証サーバ装置120は、適切なオペレーティング・システム(OS)の下、後述する各機能手段および各処理を実現する。上記OSとしては、Windows(登録商標)、UNIX(登録商標)またはLINUX(登録商標)など、如何なるアーキテクチャを有するOSを採用することができる。
【0028】
なお、詳細な説明は割愛するが、本実施形態におけるマスタ認証サーバ装置110、クライアントのパーソナル・コンピュータ154および管理端末160についても、図2に示すハードウェア構成と同様の構成とすることができる。この場合、ハードウェア構成は、特定の用途に応じて、コンポーネントを追加または削除されてもよい。複合機150および152については、詳細なハードウェア構成の説明は割愛するが、既知の如何なるハードウェア構成を採用することができる。
【0029】
以下、図3〜図7を参照しながら、本実施形態によるマスタ認証サーバ装置110および中間層認証サーバ装置120間で行われる、データ同期処理について説明する。図3は、本実施形態による認証システム100の機能ブロック図である。図3には、マスタ認証サーバ装置110上に実現される機能ブロックと、中間層認証サーバ装置120上に実現される機能ブロックとが示されている。
【0030】
図3に示すように、マスタ認証サーバ装置110は、マスタデータベース112と、認証処理部114と、項目値提供部116とを含む。マスタデータベース112は、アカウント情報のマスタデータを格納するデータベースである。マスタデータベース112は、ハードディスク20などの永続的な記憶領域として提供される。
【0031】
認証処理部114は、中間層認証サーバ装置120がクライアント150〜154から受け取った認証要求を処理する際に、中間層認証サーバ装置120からの要求を受けて、アカウント認証をし、認証結果を返却する機能部である。項目値提供部116は、中間層認証サーバ装置120とデータ同期するため、中間層認証サーバ装置120にアカウント情報を提供する機能部である。
【0032】
なお、図3は、中間層認証サーバ装置120から開始されるデータ同期に関連する機能ブロック中心に示すものである。マスタ認証サーバ装置110自体がクライアント150〜154から認証要求を受信してアカウント認証するための機能部については、図3からは省略されていることに留意されたい。
【0033】
図3に示す中間層認証サーバ装置120上の機能ブロックを参照すると、中間層認証サーバ装置120は、ローカル・データベース122と、タスクスケジューラ124と、同期実行部126と、認証実行部132とを含む。ローカル・データベース122は、上述したマスタデータベース112内のマスタデータのレプリカを格納する、当該中間層認証サーバ装置120が直接アクセス可能なデータベースである。ローカル・データベース122は、図2に示したハードディスク20などの永続的な記憶領域として提供される。
【0034】
本実施形態において、認証サービスないしディレクトリ・サービスに関連するデータ同期は、少なくとも2つのデータ同期機構を利用して実施される。タスクスケジューラ124および同期実行部126は、第1のデータ同期機構を実現するための機能部である。タスクスケジューラ124は、第1のデータ同期機構によるデータ同期を実施するスケジュールを管理する。タスクスケジューラ124は、予め設定されたスケジュールに従って、定期的または不定期に同期実行部126を呼び出す。同期実行部126は、上記タスクスケジューラ124からの呼び出しに応答して、予定に従ったデータ同期処理を実施する。
【0035】
同期実行部126は、より詳細には、項目値取得部128と、項目値更新部130とを含み構成される。ここで、項目値とは、認証サーバ装置110,120がクライアント150〜154に対し提供するユーザ名、ユーザ表示名、電子メールアドレス、ファクシミリ番号、固定電話番号、IP電話番号、会社の電話番号、自宅の電話番号、グループメンバシップ、公開キー、社員番号、オフィス、自宅住所、写真、アクセス制御情報などクライアントに提供する種々の情報を含む。その他、同期される項目値としては、パスワード、ICカード認証データ、生態認証データなどの認証情報を含んでいてもよい。以下、予定に従ったデータ同期を行うための同期実行部126が備える項目値取得部128および項目値更新部130を、それぞれ、予定項目値取得部128および予定項目値更新部130と参照する。
【0036】
予定項目値取得部128は、予定に従いデータ同期を行うものとして予め設定された項目について、マスタ認証サーバ装置110に対し項目値を要求して、取得する。以下、予定に従いデータ同期を行うものとして予め設定される項目を予定同期項目と参照する。予定同期項目は、通常、クライアントからの認証処理において必要性の低いデータとすることができ、電子メールアドレス、ファクシミリ番号、電話番号その他利用権限の決定に影響しないデータを挙げることができる。予定項目値更新部130は、予定項目値取得部128が取得した各予定同期項目の項目値でローカル・データベース122のレプリカデータを更新する。
【0037】
図4(A)は、予め設定された予定同期項目を登録する予定同期項目登録テーブルのデータ構造を示す図である。図4(C)は、本実施形態のタスクスケジューラ124が管理するスケジュールのデータ構造を示す図である。図4(C)に示すスケジュールは、毎週火曜日の午前1時に、予定同期項目の項目値を同期対象として、同期実行部126を呼び出してデータ同期を実施する旨を規定している。
【0038】
なお、説明の便宜上、説明する実施形態では、第1のデータ同期機構では、全アカウントの全予定同期項目の項目値がマスタ認証サーバ装置110から取得されて、上書により更新されるものとして説明する。しかしながら、不必要なネットワーク・トラフィックを削減する観点からは、好適には、エントリの更新日時等の属性を利用して、マスタデータベース112とローカル・データベース122との間の差分となる、追加、変更または削除されたアカウントのエントリだけを同期対象とすることができる。
【0039】
これに対して、認証実行部132は、第2のデータ同期機構を実現する機能部である。認証実行部132は、クライアント150〜154からの認証要求を受け取り、マスタ認証サーバ装置110と連携してアカウント認証を行うとともに、要求にかかるアカウントについて都度のデータ同期を実行する。
【0040】
認証実行部132は、より詳細には、受付部134と、認証要求部136と、項目値取得部138と、項目値更新部140と、セット取得部142と、返却部144とを含み構成される。以下、認証要求が行われる都度データ同期を行うための認証実行部132における項目値取得部138および項目値更新部140を、それぞれ、都度項目値取得部138および都度項目値更新部140と参照する。
【0041】
受付部134は、クライアント150〜154からの認証要求および項目値取得要求を受け付ける。認証要求には、クライアント150〜154にログインした利用者のユーザ名およびパスワード、IC認証データなどのユーザ認証情報が含まれる。
【0042】
認証要求部136は、受付部134が認証要求および項目値取得要求を受け付けたことに応答して、マスタ認証サーバ装置110に対し、上記ユーザ認証情報を渡して認証処理を要求する。さらに認証要求部136は、上記認証処理の要求とともに、認証要求が行われる都度データ同期を行うものとして設定された項目について、当該認証要求にかかるアカウントの項目値をマスタ認証サーバ装置110に対し要求して、認証結果および項目値を取得する。以下、認証要求がある都度データ同期を行うものとして設定された項目を都度同期項目と参照する。都度項目値更新部140は、都度項目値取得部138が取得した各都度同期項目の項目値で、ローカル・データベース122上のレプリカデータを更新する。
【0043】
なお、説明する実施形態では、認証要求部136が、マスタ認証サーバ装置110に認証処理を要求するものとして説明する。しかしながら、ユーザ認証情報もデータ同期の対象とする実施形態では、中間層認証サーバ装置120内でアカウント認証を行ってもよい。認証要求部136は、外部のマスタ認証サーバ装置110に要求して、または単独で、クライアントからの認証要求に応答して、求められたアカウントに対する認証を行う、本実施形態における認証手段を構成する。
【0044】
図4(B)は、予め設定された都度同期項目を登録する都度同期項目登録テーブルのデータ構造を示す図である。都度同期項目は、認証要求毎にデータ同期される項目であり、クライアントからの認証処理において必要性の高く、高い整合性が求められるデータが設定されることが好ましい。都度同期項目としては、ユーザの名称や識別子、所属グループの名称や識別子、アクセス権限情報その他利用権限の決定に影響するデータを挙げることができる。
【0045】
なお、説明の便宜上、説明する実施形態では、第2のデータ同期機構においては、認証要求が求められるアカウントの全都度同期項目の項目値がマスタ認証サーバ装置110から取得されて、上書により更新されるものとして説明する。しかしながら、不必要なネットワーク・トラフィックを削減する観点からは、好適には、当該アカウントのエントリにおける更新日時等の属性を利用して、マスタデータベース112とローカル・データベース122との間に差分があった場合だけ、実際の同期を行う構成とすることができる。
【0046】
セット取得部142は、認証に成功した場合に、クライアント150〜154に対し、要求された情報を返却するために、ローカル・データベース122から当該アカウントのエントリの必要な項目値セットを取得する。返却部144は、クライアント150〜154に対し、認証要求および項目値取得要求に対する応答として、認証結果と、セット取得部142が取得した項目値セットとを返却する。
【0047】
なお、説明する実施形態では、アカウント情報は、予定同期項目および都度同期項目の2つに分けられ、それぞれの項目群について、異なる2つのデータ同期機構によってデータ同期をするものとして説明してきた。しかしながら、アカウント情報の区分は、上述した2つに限定されるものではなく、図4(D)に例示する「高」、「中」、「低」の優先度などように、3つ以上のレベルに区分されてもよい。その場合には、アカウント情報を、都度同期項目と、複数の異なるスケジュールで同期される複数の予定同期項目とに区分し、図4(E)に示すように、予定同期項目毎にスケジュールを設定すればよい。
【0048】
以下、図5〜図7を参照しながら、本実施形態において実行されるデータ同期処理について、中間層認証サーバ装置120を主体として詳細に説明する。図5は、本実施形態の中間層認証サーバ装置120が実行する、認証要求時のデータ同期処理を示すフローチャートである。図5に示す処理は、中間層認証サーバ装置120が、認証サービスないしディレクトリ・サービスを開始させたことに応答して、ステップS100から開始される。
【0049】
ステップS101では、中間層認証サーバ装置120は、受付部134がクライアント150〜154から認証要求を受信したか否かを判定する。ステップS101で、認証要求を受信していないと判定された場合(NO)には、ステップS101をループさせて、認証要求を待ち受ける。一方、ステップS101で、クライアント150〜154から認証要求を受信したと判定された場合(YES)は、ステップS102へ処理が進められる。
【0050】
ステップS102では、中間層認証サーバ装置120は、認証要求部136により、マスタ認証サーバ装置110に対し、認証が求められているアカウントの認証処理の要求を行うとともに、当該アカウントの都度同期項目の取得要求を行う。このとき、マスタ認証サーバ装置110は、認証処理部114により、マスタデータベース112を参照して、要求されたアカウントについての認証処理を行う。認証に成功した場合には、マスタ認証サーバ装置110は、項目値提供部116により、マスタデータベース112から当該アカウントのエントリを読み出し、要求された都度同期項目の項目値を中間層認証サーバ装置120に返却する。
【0051】
ステップS103では、中間層認証サーバ装置120は、都度同期項目値取得部138により、マスタ認証サーバ装置110から認証結果および都度同期項目の項目値を取得する。認証結果は、認証に成功した結果または認証に失敗した結果を含む。
【0052】
ステップS104では、中間層認証サーバ装置120は、認証が成功したか否かに応じて処理を分岐させる。ステップS104で、認証結果から認証が成功したと判定された場合(YES)は、ステップS105へ処理が分岐される。ステップS105では、中間層認証サーバ装置120は、都度同期項目値更新部140により、マスタ認証サーバ装置110から取得した項目値で、ローカル・データベース122の当該アカウントのエントリを更新する。
【0053】
例えば、図7(A)に示すエントリがマスタデータベース112に保持されており、一方で中間層認証サーバ装置120のローカル・データベース122に当初「USER01」に対するアカウント情報が存在しなかった場合、図7(B)に示すエントリがローカル・データベース122に登録される。ここでは、図4(B)に示す項目が都度同期項目として設定される場合を例示している。図7(B)に示すように、この段階では、エントリのユーザ名および表示名以外の項目値が空の状態となっている。
【0054】
ステップS106では、中間層認証サーバ装置120は、セット取得部142により、ローカル・データベース122から、少なくともクライアント150〜154に返却することが求められる項目値のセットを読み出す。ここでは、エントリの全項目値のセットが返却されるものとして説明する。ステップS107では、中間層認証サーバ装置120は、返却部144により、クライアント150〜154に対し、認証要求および項目値取得要求に対する応答として、認証が成功した旨の認証結果および項目値セットを返却し、ステップS101へ処理をループさせ、次の認証要求を待ち受ける。
【0055】
上記図7(A)および(B)の例によれば、項目値セットは、ユーザ名および表示名の項目値を含み、メールアドレスやファクシミリ番号など都度同期項目以外の項目値については空(NULL)のまま、クライアント150〜154に返却されることになる。
【0056】
一方、ステップS104で、認証が失敗したと判定された場合(NO)は、ステップS108へ処理が分岐される。ステップS108では、中間層認証サーバ装置120は、返却部144により、クライアント150〜154に対し、認証が失敗した旨の認証結果を返却する。この場合、項目値セットは返却されない。
【0057】
図6は、本実施形態の中間層認証サーバ装置120が実行する、スケジュールに従ったデータ同期処理を示すフローチャートである。図6に示す処理は、中間層認証サーバ装置120が起動し、タスクスケジューラ124が起動したことに応答して、ステップS200から開始される。
【0058】
ステップS201では、中間層認証サーバ装置120は、タスクスケジューラ124により、スケジュールとして規定したタイミングが到来したか否かを判定する。ステップS201で、未だタイミングが到来していないと判定された場合(NO)には、ステップS201をループして、タイミングの到来を待ち受ける。一方、ステップS201で、所与のタイミングが到来したと判定された場合(YES)は、ステップS202へ処理が進められる。
【0059】
ステップS202では、中間層認証サーバ装置120は、予定同期項目値取得部128により、マスタ認証サーバ装置110に対し、すべてのアカウントについての予定同期項目の取得要求を行う。ステップS203では、中間層認証サーバ装置120は、予定同期項目値取得部128により、マスタ認証サーバ装置110から予定同期項目の項目値を取得する。ステップS204では、中間層認証サーバ装置120は、予定同期項目値更新部140により、マスタ認証サーバ装置110から取得した項目値で、ローカル・データベース122の当該アカウントのエントリを更新し、ステップS201へ処理をループさせ、次のタイミングの到来を待ち受ける。
【0060】
上述した予定に従ったデータ同期により、都度同期項目および予定同期項目を含む項目値がデータ同期されることになる。図6に示すデータ同期処理が行われた以降に認証要求が行われた場合は、上記図7(A)および(B)の例によれば、図7(C)に示す全ての項目値の値を含む項目値セットが、クライアント150〜154に返却されることになる。
【0061】
以下、図8および図9を参照しながら、都度同期項目値および予定同期項目値を設定する機能について説明する。本実施形態においては、都度同期項目値および予定同期項目値は、中間層認証サーバ装置120のローカルのコンソールから、または管理端末160からリモートで予め設定することができるように構成されている。
【0062】
図8は、本実施形態による都度同期項目値および予定同期項目値の設定機能に関連する機能ブロック図である。図8に示すように、中間層認証サーバ装置120は、さらに、同期実行部126および認証実行部132が参照する同期項目設定データ146と、該同期項目設定データ146を編集するための管理ツール148とを備える。
【0063】
同期項目設定データ146は、都度同期項目および予定同期項目を規定するデータである。管理ツール148は、ディスプレイ装置32および入出力装置26を使用して中間層認証サーバ装置120のローカルから、または外部の管理端末160からのリモート接続により、同期項目設定データ146を編集するためグラフィカル・ユーザ・インタフェース(GUI)を提供する機能部である。管理ツール148は、特定の実施形態では、管理画面をウェブページとして公開するウェブサーバとして構成することができる。
【0064】
図9は、本実施形態による同期項目設定データ146を設定するための管理画面を例示する図である。図9に示す管理画面300は、予定同期項目を設定するための領域310と、都度同期項目を設定するための領域320と、設定を反映させるためのボタン330と、設定内容をキャンセルするためのボタン340とを含む。
【0065】
領域310,320には、各アカウント情報における各項目を予定同期項目値または都度同期項目値として設定するための選択ボタン312a〜312fおよび選択ボタン322a〜322fとを備える。図9中において、反転表示されたボタンは、予定同期項目値または都度同期項目値として現在選択されていることを示す。図9に示す管理画面において、予定同期項目および都度同期項目が選択された状態で、ボタン330がクリックされると、その設定内容が同期項目設定データ146に反映される。
【0066】
以上説明したように、実施形態では、中間層認証サーバ装置が外部のマスタ認証サーバ装置とデータ同期をする際に、アカウント情報を複数のレベルに区分して、各レベルに対応して複数のデータ同期機構が準備される。上記構成により、一のレベルの情報はクライアントからのサービス要求に応答して都度同期する一方で、他のレベルの情報は予定に従って同期することができる。例えばクライアントからの認証処理において必要性の低いデータは、スケジュールに従ってデータ同期する一方で、クライアントからの認証処理において必要性の高いデータは、認証要求毎にデータ同期を行うよう構成することができる。
【0067】
上述したようにデータの重要度に応じた頻度およびタイミングでデータ同期を行うことができるため、余分なネットワーク・トラフィックの発生を回避し、同期処理の処理コストも削減し、かつ、マスタデータとレプリカデータの整合性を充分なレベルで維持することができる。ひいては、同期されるデータの品質および効率を両立させることが可能となる。
【0068】
以上説明したように、本実施形態によれば、外部の認証装置と連携して情報処理装置を認証する認証装置と、該外部の認証装置とのデータ同期に関して、要求される同期間隔が異なる複数のレベルの情報を、適切な同期機構を利用して、適時にデータ同期することにより、高効率、かつ、高品質なデータ同期が実現可能な認証装置、プログラムおよび記録媒体を提供することができる。
【0069】
なお、上記機能部は、アセンブラ、C、C++、C#、Java(登録商標)、などのレガシープログラミング言語やオブジェクト指向プログラミング言語などで記述されたコンピュータ実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MOなど装置可読な記録媒体に格納して、あるいは電気通信回線を通じて頒布することができる。
【0070】
これまで本発明の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
【符号の説明】
【0071】
12…MPU、14…不揮発性メモリ、16…メモリ、18…記憶制御用インタフェース、20…ハードディスク、22…内部バス、24…インタフェース、26…入出力装置、28…VRAM、30…グラフィック・チップ、32…ディスプレイ装置、34…ネットワークI/F、100…認証システム、102…ネットワーク、110…マスタ認証サーバ装置、112…マスタデータベース、114…認証処理部、116…項目値提供部、120…中間層認証サーバ装置、122…ローカル・データベース、124…タスクスケジューラ、126…同期実行部、128…項目値取得部、130…項目値更新部、132…認証実行部、134…受付部、136…認証要求部、138…項目値取得部、140…項目値更新部、142…セット取得部、144…返却部、146…同期項目設定データ、148…管理ツール、150〜154…クライアント、160…管理端末、300…管理画面、310,320…領域、312,322…選択ボタン、330,340…ボタン
【先行技術文献】
【特許文献】
【0072】
【特許文献1】特開2011−48549号公報
【特許文献2】特開2003−296172号公報
【技術分野】
【0001】
本発明は、認証サービスに関し、より詳細には、認証装置間でデータ同期を効率的に行うための認証装置、プログラムおよび記録媒体に関する。
【背景技術】
【0002】
従来、大規模な組織においては、認証サービスやディレクトリ・サービスに関して、マスタとなるマスタ認証サーバに対して、中間層となる認証サーバを1以上準備することにより、認証サーバの冗長化が行われている。冗長化されたシステムでは、例えば複合機、ネットワーク装置、アプリケーションなどのクライアントは、マスタ認証サーバから直接サービスを受ける代わりに、中間層の認証サーバからサービスを受けることができるよう構成されている。これにより、データ取得の高速化、効率化および耐障害性の向上が図られる。
【0003】
しかしながら、複数の認証サーバが設けられる冗長化システムでは、各認証サーバで保持する情報の整合性を維持する必要がある。このため、マスタ認証サーバと中間層の認証サーバとの間で適切にデータ同期を行う必要がある。
【0004】
上述したデータ同期は、効率的に行うことが求められるが、データ同期に関連して、種々の従来技術が知られる。例えば特開2011−48549号公報(特許文献1)は、データ保護ポリシの更新を行うにあたり同期で更新されないデータに関するデータ保護ポリシがマスタ・コンピュータで変更されている場合に、スレーブ・コンピュータで当該変更がされているデータ保護ポリシの同期を行う構成を開示する。
【0005】
特開2003−296172号公報(特許文献2)は、データベースの同期を取るためのネットワーク・トラフィックを低減することを目的とした文書管理装置を開示する。この文書管理装置は、第1の文書管理データベースに格納されたオブジェクトの参照関係情報を検出する検出機能と、その検出機能に参照関係情報が検出されたレコードを第1の文書管理データベースから取得して第2の文書管理データベースに同期させる機能とを実現する。
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、従来技術の認証サービスにおけるデータ同期では、中間層の認証サーバがマスタ認証サーバ上のデータと同期する方法が固定されており、要求される同期の間隔が異なるなどデータの重要性にかかわらず、一律に同期が行われていた。同期間隔を短くする必要のないデータが、重要度の高いデータの更新に併せて一律に同期されると、余分なデータトラフィックを発生させてしまうことになりかねない。このように、従来技術の認証サービスにおけるデータ同期は、データ同期の効率性の観点から、充分なものではなかった。
【0007】
データ同期に関連して、上記特許文献1および特許文献2の従来技術も知られているが、いずれも、上述したデータに要求される同期間隔のレベルを考慮するものではなく、認証処理に関するデータ同期の効率を向上する観点から、充分とはいえなかった。
【0008】
本発明は、上記従来技術における不充分な点に鑑みてなされたものであり、本発明は、外部の認証装置と連携して情報処理装置を認証する認証装置と該外部の認証装置とのデータ同期に関して、要求される同期間隔が異なる複数のレベルの情報を、適切な同期機構を利用して、適時に同期することにより、高効率、かつ、高品質なデータ同期が実現可能な認証装置、プログラムおよび記録媒体を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明では、上記課題を解決するために、以下の特徴を有する、外部の認証装置と連携して情報処理装置を認証する認証装置を提供する。本認証装置は、情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段と、認証が行われることに応答して、都度同期する項目として設定された項目名に対応する項目値を外部の認証装置から取得する都度項目値取得手段と、都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段とを含む。上記都度項目値取得手段および都度項目値更新手段は、通常とは異なる要求の都度同期する同期機構を提供する。本認証装置は、さらに、上記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段と、上記認証手段より得られた認証結果と項目値セット取得手段により得られた項目値セットとを情報処理装置に返却する返却手段とを含む。
【0010】
本発明では、さらに、コンピュータを上記各手段として機能させる、外部の認証装置と連携して情報処理装置を認証する認証装置をコンピュータ上に実現するためのコンピュータ実行可能なプログラムを提供することができる。さらに、本発明では、上記プログラムをコンピュータ可読に格納する記録媒体を提供することができる。
【発明の効果】
【0011】
上記構成によれば、当該認証装置が外部の認証装置とデータ同期をする際に、提供する情報のうちの都度同期する項目を区分し、該項目に対応して要求に応じて都度同期するデータ同期機構が別途準備される。これにより、クライアントからのサービス要求に応答して一のレベルの情報を都度同期し、他のレベルの情報と異なるデータ同期機構で同期することが可能となる。これにより、同期されるデータの品質および効率を両立させることが可能となる。
【図面の簡単な説明】
【0012】
【図1】本実施形態の認証システムを示す概略図。
【図2】本実施形態による中間層認証サーバ装置のハードウェア構成図。
【図3】本実施形態による認証システムの機能ブロック図。
【図4】(A)予定同期項目登録テーブル、(B)都度同期項目登録テーブル、(C,E)タスクスケジューラが管理するスケジュール、(D)予定同期項目および都度同期項目を登録するテーブルのデータ構造を示す図。
【図5】本実施形態の中間層認証サーバ装置が実行する認証要求時のデータ同期処理を示すフローチャート。
【図6】本実施形態の中間層認証サーバ装置が実行するスケジュールに従ったデータ同期処理を示すフローチャート。
【図7】(A)マスタデータベースに保持されるエントリ、(B,C)ローカル・データベースに保持されているエントリのデータ構造を示す図。
【図8】本実施形態による都度同期項目値および予定同期項目値の設定機能に関連する機能ブロック図。
【図9】本実施形態による同期項目設定データを設定するための管理画面を例示する図。
【発明を実施するための形態】
【0013】
以下、本発明の実施形態について説明するが、本発明の実施形態は、以下に説明する実施形態に限定されるものではない。なお、以下に説明する実施形態では、マスタ認証サーバ装置と、中間層認証サーバ装置とを含み構成される認証システムを用いて説明する。
【0014】
図1は、本実施形態の認証システムを示す概略図である。図1に示す認証システム100は、マスタ認証サーバ装置110と、1以上の中間層認証サーバ装置120と、認証サービスにおいてクライアントとなる1以上の複数の装置150〜154と、管理端末160とを含む。これらの装置110,120,150〜154,160は、ネットワーク102を介して相互接続されている。
【0015】
マスタ認証サーバ装置110および中間層認証サーバ装置120は、それぞれ、クライアントに対し認証サービスないしディレクトリ・サービスを提供するサーバ機能を備える。認証サービスないしディレクトリ・サービスのプロトコルとしては、LDAP(Lightweight Directory Access Protocol)などが代表的であり、その他、既知の汎用プロトコルまたは独自プロトコルを対象とすることができる。
【0016】
マスタ認証サーバ装置110は、認証情報およびディレクトリ情報を含むアカウント情報のマスタデータを保有する。マスタ認証サーバ装置110は、クライアントとなる装置150〜154からのアカウント認証要求に応答し、上述したアカウント情報を用いて、アカウント認証を行い、情報を提供することができる。アカウント情報の追加、変更および削除は、マスタ認証サーバ装置110上のマスタデータに対して行われる。なお、マスタ認証サーバ装置110は、本実施形態における外部の認証装置を構成する。
【0017】
中間層認証サーバ装置120は、マスタ認証サーバ装置110が保有するマスタデータのレプリカデータを保有する。中間層認証サーバ装置120は、マスタ認証サーバ装置110の代わりに、クライアントとなる装置150〜154からの認証要求を受け付けて、マスタ認証サーバ装置110と連携してアカウント認証を行う。中間層認証サーバ装置120a,120bと、マスタ認証サーバ装置110との間では、詳細は後述する本実施形態のデータ同期機構により、アカウント情報のデータ同期が適時に行われる。これにより、サービスの負荷分散、高速化および冗長化が図られる。なお、中間層認証サーバ装置120は、本実施形態における、上記外部の認証装置と連携して情報処理装置を認証する認証装置を構成する。
【0018】
複合機150、プリンタ152、パーソナル・コンピュータ154は、それぞれ、上述した認証サービスないしディレクトリ・サービスの提供を受けるクライアントとなる装置である。以下、これらの装置150〜154を総称してクライアント150〜154と参照する。クライアント150〜154は、それぞれ、各クライアントを操作する利用者から、ユーザ名およびパスワードやIC認証カード情報などアカウント認証情報の入力を受け付けて、サーバ装置110,120に対し、認証処理を要求する。マスタ認証サーバ装置110および1以上の中間層認証サーバ装置120のいずれに認証要求が行われるかは、特に限定されるものではないが、予めクライアント毎に主となる認証要求先を定めておいてもよいし、ロードバランサ等を用いて振り分けるよう構成されていてもよい。
【0019】
クライアントとしては、図1には、複合機150a,150b、プリンタ152a,152b、パーソナル・コンピュータ154a,154bを例示するが、特にこれに限定されるものではない。クライアントとしては、ワークステーションやサーバなどのその他の汎用コンピュータ装置、スマートフォンやPDA(Personal Digital Assistance)などの携帯情報端末、ファクシミリなどの画像通信装置といった、認証サービスにアクセスするアプリケーションが動作する種々の情報処理装置を採用することができる。またクライアントの数は、特に限定されるものではなく、1または複数備えることができる。
【0020】
管理端末160は、マスタ認証サーバ装置110にリモートでアクセスし、アカウント情報の追加、変更、削除等を行うための端末である。管理端末160は、さらに、中間層認証サーバ装置120にリモートでアクセスし、データ同期に関連した各種設定を行うために使用される。
【0021】
上記ネットワーク102は、特に限定されるものではないが、イーサネット(登録商標)やTCP/IP(Transmission Control Protocol / Internet Protocol)などのトランザクション・プロトコルによるLAN(Local Area Network)、VPN(Virtual Private Network)や専用線を使用して接続されるWAN(Wide Area Network)などとして構成することができる。
【0022】
図2は、本実施形態による中間層認証サーバ装置120のハードウェア構成を示す図である。中間層認証サーバ装置120は、マイクロプロセッサ・ユニット(MPU)12と、BIOS(Basic Input Output System)を格納する不揮発性メモリ14と、MPU12によるプログラム処理を可能とする実行記憶空間を提供するメモリ16とを含む。MPU12は、起動時に、不揮発性メモリ14からBIOSを読み出し、システム診断を行なうとともに入出力装置26の管理を行う。
【0023】
MPU12は、また、内部バス22を介して記憶制御用インタフェース18に接続される。記憶制御用インタフェース18としては、IDE(Integrated Device Electronics)、ATA(AT Attachment)、SATA、eSATAなどの規格により、ハードディスク20の入出力を管理するインタフェースを使用することができる。ハードディスク20は、MPU12からの入出力要求に応答してデータの書込または読み出しを実行する。なお、本実施形態において、ハードディスク20は、アカウント情報を保持するローカル用のデータベースの記憶領域を構成する。
【0024】
MPU12は、さらに、内部バス22を介してUSB、IEEE1164などのシリアルまたはパラレル・インタフェース24を制御して、キーボード、マウス、プリンタなどの入出力装置26と通信し、ユーザからの入力を受け取ることができる。
【0025】
中間層認証サーバ装置120は、さらに、VRAM28とグラフィック・チップ30とを含んで構成することができる。グラフィック・チップ30は、MPU12からの指令に応答して、ビデオ信号を処理し、ディスプレイ装置32へと表示させる。本認証システム100の管理者は、上記ディスプレイ装置32および入出力装置26を介して、中間層認証サーバ装置120に対し、コンソールから各種設定を行うことができる。
【0026】
MPU12は、また、内部バス22を介してネットワークI/F(NIC;Network Interface Card)34と接続される。これにより、ネットワーク102を通して、中間層認証サーバ装置120は、クライアント150〜154、管理端末160などの外部装置と通信することができる。また、管理者は、上記ネットワークI/F34を介して、中間層認証サーバ装置120に対し、リモートで各種設定を行うことができる。
【0027】
中間層認証サーバ装置120は、不揮発性メモリ14やハードディスク20などの記憶装置に格納されたプログラム(図示せず)を読み出し、メモリ16のメモリ領域に展開する。これにより、中間層認証サーバ装置120は、適切なオペレーティング・システム(OS)の下、後述する各機能手段および各処理を実現する。上記OSとしては、Windows(登録商標)、UNIX(登録商標)またはLINUX(登録商標)など、如何なるアーキテクチャを有するOSを採用することができる。
【0028】
なお、詳細な説明は割愛するが、本実施形態におけるマスタ認証サーバ装置110、クライアントのパーソナル・コンピュータ154および管理端末160についても、図2に示すハードウェア構成と同様の構成とすることができる。この場合、ハードウェア構成は、特定の用途に応じて、コンポーネントを追加または削除されてもよい。複合機150および152については、詳細なハードウェア構成の説明は割愛するが、既知の如何なるハードウェア構成を採用することができる。
【0029】
以下、図3〜図7を参照しながら、本実施形態によるマスタ認証サーバ装置110および中間層認証サーバ装置120間で行われる、データ同期処理について説明する。図3は、本実施形態による認証システム100の機能ブロック図である。図3には、マスタ認証サーバ装置110上に実現される機能ブロックと、中間層認証サーバ装置120上に実現される機能ブロックとが示されている。
【0030】
図3に示すように、マスタ認証サーバ装置110は、マスタデータベース112と、認証処理部114と、項目値提供部116とを含む。マスタデータベース112は、アカウント情報のマスタデータを格納するデータベースである。マスタデータベース112は、ハードディスク20などの永続的な記憶領域として提供される。
【0031】
認証処理部114は、中間層認証サーバ装置120がクライアント150〜154から受け取った認証要求を処理する際に、中間層認証サーバ装置120からの要求を受けて、アカウント認証をし、認証結果を返却する機能部である。項目値提供部116は、中間層認証サーバ装置120とデータ同期するため、中間層認証サーバ装置120にアカウント情報を提供する機能部である。
【0032】
なお、図3は、中間層認証サーバ装置120から開始されるデータ同期に関連する機能ブロック中心に示すものである。マスタ認証サーバ装置110自体がクライアント150〜154から認証要求を受信してアカウント認証するための機能部については、図3からは省略されていることに留意されたい。
【0033】
図3に示す中間層認証サーバ装置120上の機能ブロックを参照すると、中間層認証サーバ装置120は、ローカル・データベース122と、タスクスケジューラ124と、同期実行部126と、認証実行部132とを含む。ローカル・データベース122は、上述したマスタデータベース112内のマスタデータのレプリカを格納する、当該中間層認証サーバ装置120が直接アクセス可能なデータベースである。ローカル・データベース122は、図2に示したハードディスク20などの永続的な記憶領域として提供される。
【0034】
本実施形態において、認証サービスないしディレクトリ・サービスに関連するデータ同期は、少なくとも2つのデータ同期機構を利用して実施される。タスクスケジューラ124および同期実行部126は、第1のデータ同期機構を実現するための機能部である。タスクスケジューラ124は、第1のデータ同期機構によるデータ同期を実施するスケジュールを管理する。タスクスケジューラ124は、予め設定されたスケジュールに従って、定期的または不定期に同期実行部126を呼び出す。同期実行部126は、上記タスクスケジューラ124からの呼び出しに応答して、予定に従ったデータ同期処理を実施する。
【0035】
同期実行部126は、より詳細には、項目値取得部128と、項目値更新部130とを含み構成される。ここで、項目値とは、認証サーバ装置110,120がクライアント150〜154に対し提供するユーザ名、ユーザ表示名、電子メールアドレス、ファクシミリ番号、固定電話番号、IP電話番号、会社の電話番号、自宅の電話番号、グループメンバシップ、公開キー、社員番号、オフィス、自宅住所、写真、アクセス制御情報などクライアントに提供する種々の情報を含む。その他、同期される項目値としては、パスワード、ICカード認証データ、生態認証データなどの認証情報を含んでいてもよい。以下、予定に従ったデータ同期を行うための同期実行部126が備える項目値取得部128および項目値更新部130を、それぞれ、予定項目値取得部128および予定項目値更新部130と参照する。
【0036】
予定項目値取得部128は、予定に従いデータ同期を行うものとして予め設定された項目について、マスタ認証サーバ装置110に対し項目値を要求して、取得する。以下、予定に従いデータ同期を行うものとして予め設定される項目を予定同期項目と参照する。予定同期項目は、通常、クライアントからの認証処理において必要性の低いデータとすることができ、電子メールアドレス、ファクシミリ番号、電話番号その他利用権限の決定に影響しないデータを挙げることができる。予定項目値更新部130は、予定項目値取得部128が取得した各予定同期項目の項目値でローカル・データベース122のレプリカデータを更新する。
【0037】
図4(A)は、予め設定された予定同期項目を登録する予定同期項目登録テーブルのデータ構造を示す図である。図4(C)は、本実施形態のタスクスケジューラ124が管理するスケジュールのデータ構造を示す図である。図4(C)に示すスケジュールは、毎週火曜日の午前1時に、予定同期項目の項目値を同期対象として、同期実行部126を呼び出してデータ同期を実施する旨を規定している。
【0038】
なお、説明の便宜上、説明する実施形態では、第1のデータ同期機構では、全アカウントの全予定同期項目の項目値がマスタ認証サーバ装置110から取得されて、上書により更新されるものとして説明する。しかしながら、不必要なネットワーク・トラフィックを削減する観点からは、好適には、エントリの更新日時等の属性を利用して、マスタデータベース112とローカル・データベース122との間の差分となる、追加、変更または削除されたアカウントのエントリだけを同期対象とすることができる。
【0039】
これに対して、認証実行部132は、第2のデータ同期機構を実現する機能部である。認証実行部132は、クライアント150〜154からの認証要求を受け取り、マスタ認証サーバ装置110と連携してアカウント認証を行うとともに、要求にかかるアカウントについて都度のデータ同期を実行する。
【0040】
認証実行部132は、より詳細には、受付部134と、認証要求部136と、項目値取得部138と、項目値更新部140と、セット取得部142と、返却部144とを含み構成される。以下、認証要求が行われる都度データ同期を行うための認証実行部132における項目値取得部138および項目値更新部140を、それぞれ、都度項目値取得部138および都度項目値更新部140と参照する。
【0041】
受付部134は、クライアント150〜154からの認証要求および項目値取得要求を受け付ける。認証要求には、クライアント150〜154にログインした利用者のユーザ名およびパスワード、IC認証データなどのユーザ認証情報が含まれる。
【0042】
認証要求部136は、受付部134が認証要求および項目値取得要求を受け付けたことに応答して、マスタ認証サーバ装置110に対し、上記ユーザ認証情報を渡して認証処理を要求する。さらに認証要求部136は、上記認証処理の要求とともに、認証要求が行われる都度データ同期を行うものとして設定された項目について、当該認証要求にかかるアカウントの項目値をマスタ認証サーバ装置110に対し要求して、認証結果および項目値を取得する。以下、認証要求がある都度データ同期を行うものとして設定された項目を都度同期項目と参照する。都度項目値更新部140は、都度項目値取得部138が取得した各都度同期項目の項目値で、ローカル・データベース122上のレプリカデータを更新する。
【0043】
なお、説明する実施形態では、認証要求部136が、マスタ認証サーバ装置110に認証処理を要求するものとして説明する。しかしながら、ユーザ認証情報もデータ同期の対象とする実施形態では、中間層認証サーバ装置120内でアカウント認証を行ってもよい。認証要求部136は、外部のマスタ認証サーバ装置110に要求して、または単独で、クライアントからの認証要求に応答して、求められたアカウントに対する認証を行う、本実施形態における認証手段を構成する。
【0044】
図4(B)は、予め設定された都度同期項目を登録する都度同期項目登録テーブルのデータ構造を示す図である。都度同期項目は、認証要求毎にデータ同期される項目であり、クライアントからの認証処理において必要性の高く、高い整合性が求められるデータが設定されることが好ましい。都度同期項目としては、ユーザの名称や識別子、所属グループの名称や識別子、アクセス権限情報その他利用権限の決定に影響するデータを挙げることができる。
【0045】
なお、説明の便宜上、説明する実施形態では、第2のデータ同期機構においては、認証要求が求められるアカウントの全都度同期項目の項目値がマスタ認証サーバ装置110から取得されて、上書により更新されるものとして説明する。しかしながら、不必要なネットワーク・トラフィックを削減する観点からは、好適には、当該アカウントのエントリにおける更新日時等の属性を利用して、マスタデータベース112とローカル・データベース122との間に差分があった場合だけ、実際の同期を行う構成とすることができる。
【0046】
セット取得部142は、認証に成功した場合に、クライアント150〜154に対し、要求された情報を返却するために、ローカル・データベース122から当該アカウントのエントリの必要な項目値セットを取得する。返却部144は、クライアント150〜154に対し、認証要求および項目値取得要求に対する応答として、認証結果と、セット取得部142が取得した項目値セットとを返却する。
【0047】
なお、説明する実施形態では、アカウント情報は、予定同期項目および都度同期項目の2つに分けられ、それぞれの項目群について、異なる2つのデータ同期機構によってデータ同期をするものとして説明してきた。しかしながら、アカウント情報の区分は、上述した2つに限定されるものではなく、図4(D)に例示する「高」、「中」、「低」の優先度などように、3つ以上のレベルに区分されてもよい。その場合には、アカウント情報を、都度同期項目と、複数の異なるスケジュールで同期される複数の予定同期項目とに区分し、図4(E)に示すように、予定同期項目毎にスケジュールを設定すればよい。
【0048】
以下、図5〜図7を参照しながら、本実施形態において実行されるデータ同期処理について、中間層認証サーバ装置120を主体として詳細に説明する。図5は、本実施形態の中間層認証サーバ装置120が実行する、認証要求時のデータ同期処理を示すフローチャートである。図5に示す処理は、中間層認証サーバ装置120が、認証サービスないしディレクトリ・サービスを開始させたことに応答して、ステップS100から開始される。
【0049】
ステップS101では、中間層認証サーバ装置120は、受付部134がクライアント150〜154から認証要求を受信したか否かを判定する。ステップS101で、認証要求を受信していないと判定された場合(NO)には、ステップS101をループさせて、認証要求を待ち受ける。一方、ステップS101で、クライアント150〜154から認証要求を受信したと判定された場合(YES)は、ステップS102へ処理が進められる。
【0050】
ステップS102では、中間層認証サーバ装置120は、認証要求部136により、マスタ認証サーバ装置110に対し、認証が求められているアカウントの認証処理の要求を行うとともに、当該アカウントの都度同期項目の取得要求を行う。このとき、マスタ認証サーバ装置110は、認証処理部114により、マスタデータベース112を参照して、要求されたアカウントについての認証処理を行う。認証に成功した場合には、マスタ認証サーバ装置110は、項目値提供部116により、マスタデータベース112から当該アカウントのエントリを読み出し、要求された都度同期項目の項目値を中間層認証サーバ装置120に返却する。
【0051】
ステップS103では、中間層認証サーバ装置120は、都度同期項目値取得部138により、マスタ認証サーバ装置110から認証結果および都度同期項目の項目値を取得する。認証結果は、認証に成功した結果または認証に失敗した結果を含む。
【0052】
ステップS104では、中間層認証サーバ装置120は、認証が成功したか否かに応じて処理を分岐させる。ステップS104で、認証結果から認証が成功したと判定された場合(YES)は、ステップS105へ処理が分岐される。ステップS105では、中間層認証サーバ装置120は、都度同期項目値更新部140により、マスタ認証サーバ装置110から取得した項目値で、ローカル・データベース122の当該アカウントのエントリを更新する。
【0053】
例えば、図7(A)に示すエントリがマスタデータベース112に保持されており、一方で中間層認証サーバ装置120のローカル・データベース122に当初「USER01」に対するアカウント情報が存在しなかった場合、図7(B)に示すエントリがローカル・データベース122に登録される。ここでは、図4(B)に示す項目が都度同期項目として設定される場合を例示している。図7(B)に示すように、この段階では、エントリのユーザ名および表示名以外の項目値が空の状態となっている。
【0054】
ステップS106では、中間層認証サーバ装置120は、セット取得部142により、ローカル・データベース122から、少なくともクライアント150〜154に返却することが求められる項目値のセットを読み出す。ここでは、エントリの全項目値のセットが返却されるものとして説明する。ステップS107では、中間層認証サーバ装置120は、返却部144により、クライアント150〜154に対し、認証要求および項目値取得要求に対する応答として、認証が成功した旨の認証結果および項目値セットを返却し、ステップS101へ処理をループさせ、次の認証要求を待ち受ける。
【0055】
上記図7(A)および(B)の例によれば、項目値セットは、ユーザ名および表示名の項目値を含み、メールアドレスやファクシミリ番号など都度同期項目以外の項目値については空(NULL)のまま、クライアント150〜154に返却されることになる。
【0056】
一方、ステップS104で、認証が失敗したと判定された場合(NO)は、ステップS108へ処理が分岐される。ステップS108では、中間層認証サーバ装置120は、返却部144により、クライアント150〜154に対し、認証が失敗した旨の認証結果を返却する。この場合、項目値セットは返却されない。
【0057】
図6は、本実施形態の中間層認証サーバ装置120が実行する、スケジュールに従ったデータ同期処理を示すフローチャートである。図6に示す処理は、中間層認証サーバ装置120が起動し、タスクスケジューラ124が起動したことに応答して、ステップS200から開始される。
【0058】
ステップS201では、中間層認証サーバ装置120は、タスクスケジューラ124により、スケジュールとして規定したタイミングが到来したか否かを判定する。ステップS201で、未だタイミングが到来していないと判定された場合(NO)には、ステップS201をループして、タイミングの到来を待ち受ける。一方、ステップS201で、所与のタイミングが到来したと判定された場合(YES)は、ステップS202へ処理が進められる。
【0059】
ステップS202では、中間層認証サーバ装置120は、予定同期項目値取得部128により、マスタ認証サーバ装置110に対し、すべてのアカウントについての予定同期項目の取得要求を行う。ステップS203では、中間層認証サーバ装置120は、予定同期項目値取得部128により、マスタ認証サーバ装置110から予定同期項目の項目値を取得する。ステップS204では、中間層認証サーバ装置120は、予定同期項目値更新部140により、マスタ認証サーバ装置110から取得した項目値で、ローカル・データベース122の当該アカウントのエントリを更新し、ステップS201へ処理をループさせ、次のタイミングの到来を待ち受ける。
【0060】
上述した予定に従ったデータ同期により、都度同期項目および予定同期項目を含む項目値がデータ同期されることになる。図6に示すデータ同期処理が行われた以降に認証要求が行われた場合は、上記図7(A)および(B)の例によれば、図7(C)に示す全ての項目値の値を含む項目値セットが、クライアント150〜154に返却されることになる。
【0061】
以下、図8および図9を参照しながら、都度同期項目値および予定同期項目値を設定する機能について説明する。本実施形態においては、都度同期項目値および予定同期項目値は、中間層認証サーバ装置120のローカルのコンソールから、または管理端末160からリモートで予め設定することができるように構成されている。
【0062】
図8は、本実施形態による都度同期項目値および予定同期項目値の設定機能に関連する機能ブロック図である。図8に示すように、中間層認証サーバ装置120は、さらに、同期実行部126および認証実行部132が参照する同期項目設定データ146と、該同期項目設定データ146を編集するための管理ツール148とを備える。
【0063】
同期項目設定データ146は、都度同期項目および予定同期項目を規定するデータである。管理ツール148は、ディスプレイ装置32および入出力装置26を使用して中間層認証サーバ装置120のローカルから、または外部の管理端末160からのリモート接続により、同期項目設定データ146を編集するためグラフィカル・ユーザ・インタフェース(GUI)を提供する機能部である。管理ツール148は、特定の実施形態では、管理画面をウェブページとして公開するウェブサーバとして構成することができる。
【0064】
図9は、本実施形態による同期項目設定データ146を設定するための管理画面を例示する図である。図9に示す管理画面300は、予定同期項目を設定するための領域310と、都度同期項目を設定するための領域320と、設定を反映させるためのボタン330と、設定内容をキャンセルするためのボタン340とを含む。
【0065】
領域310,320には、各アカウント情報における各項目を予定同期項目値または都度同期項目値として設定するための選択ボタン312a〜312fおよび選択ボタン322a〜322fとを備える。図9中において、反転表示されたボタンは、予定同期項目値または都度同期項目値として現在選択されていることを示す。図9に示す管理画面において、予定同期項目および都度同期項目が選択された状態で、ボタン330がクリックされると、その設定内容が同期項目設定データ146に反映される。
【0066】
以上説明したように、実施形態では、中間層認証サーバ装置が外部のマスタ認証サーバ装置とデータ同期をする際に、アカウント情報を複数のレベルに区分して、各レベルに対応して複数のデータ同期機構が準備される。上記構成により、一のレベルの情報はクライアントからのサービス要求に応答して都度同期する一方で、他のレベルの情報は予定に従って同期することができる。例えばクライアントからの認証処理において必要性の低いデータは、スケジュールに従ってデータ同期する一方で、クライアントからの認証処理において必要性の高いデータは、認証要求毎にデータ同期を行うよう構成することができる。
【0067】
上述したようにデータの重要度に応じた頻度およびタイミングでデータ同期を行うことができるため、余分なネットワーク・トラフィックの発生を回避し、同期処理の処理コストも削減し、かつ、マスタデータとレプリカデータの整合性を充分なレベルで維持することができる。ひいては、同期されるデータの品質および効率を両立させることが可能となる。
【0068】
以上説明したように、本実施形態によれば、外部の認証装置と連携して情報処理装置を認証する認証装置と、該外部の認証装置とのデータ同期に関して、要求される同期間隔が異なる複数のレベルの情報を、適切な同期機構を利用して、適時にデータ同期することにより、高効率、かつ、高品質なデータ同期が実現可能な認証装置、プログラムおよび記録媒体を提供することができる。
【0069】
なお、上記機能部は、アセンブラ、C、C++、C#、Java(登録商標)、などのレガシープログラミング言語やオブジェクト指向プログラミング言語などで記述されたコンピュータ実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MOなど装置可読な記録媒体に格納して、あるいは電気通信回線を通じて頒布することができる。
【0070】
これまで本発明の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
【符号の説明】
【0071】
12…MPU、14…不揮発性メモリ、16…メモリ、18…記憶制御用インタフェース、20…ハードディスク、22…内部バス、24…インタフェース、26…入出力装置、28…VRAM、30…グラフィック・チップ、32…ディスプレイ装置、34…ネットワークI/F、100…認証システム、102…ネットワーク、110…マスタ認証サーバ装置、112…マスタデータベース、114…認証処理部、116…項目値提供部、120…中間層認証サーバ装置、122…ローカル・データベース、124…タスクスケジューラ、126…同期実行部、128…項目値取得部、130…項目値更新部、132…認証実行部、134…受付部、136…認証要求部、138…項目値取得部、140…項目値更新部、142…セット取得部、144…返却部、146…同期項目設定データ、148…管理ツール、150〜154…クライアント、160…管理端末、300…管理画面、310,320…領域、312,322…選択ボタン、330,340…ボタン
【先行技術文献】
【特許文献】
【0072】
【特許文献1】特開2011−48549号公報
【特許文献2】特開2003−296172号公報
【特許請求の範囲】
【請求項1】
外部の認証装置と連携して情報処理装置を認証する認証装置であって、
前記情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段と、
前記認証が行われることに応答して、前記外部の認証装置から、都度同期する項目として設定された項目名に対応する項目値を取得する都度項目値取得手段と、
前記都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段と、
前記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段と、
前記認証手段より得られた認証結果と前記項目値セット取得手段により得られた前記項目値セットとを前記情報処理装置に返却する返却手段と
を含む、認証装置。
【請求項2】
同期実行の予定に従って、前記外部の認証装置から、予定に従って同期する項目として設定された項目名に対応する項目値を取得する予定項目値取得手段と、
前記予定項目値取得手段により取得した項目値で前記ローカル・データベースの項目値を更新する予定項目値更新手段と
をさらに含み、前記項目値セット取得手段により取得される前記項目値セットは、前記予定項目値更新手段によって更新された項目値をさらに含むことを特徴とする、請求項1に記載の認証装置。
【請求項3】
前記認証装置は、前記都度同期する項目と、前記予定に従って同期する項目と設定するための管理インタフェースを提供する管理ツール手段をさらに備えることを特徴とする、請求項2に記載の認証装置。
【請求項4】
前記予定に従って同期する項目には、1以上の優先度が設定され、前記予定に従って同期する項目についての同期処理の実行は、前記優先度に応じた更新期間が設定されて定期的に行われることを特徴とする、請求項1〜3のいずれか1項に記載の認証装置。
【請求項5】
前記都度項目値取得手段は、前記都度同期する項目として設定された項目名に対応する項目値が更新された日時を用いて、外部の認証装置が備えるマスタデータベースと前記ローカル・データベースとの間の差分を同期対象とする、請求項1〜4のいずれか1項に記載の認証装置。
【請求項6】
前記外部の認証装置は、マスタ認証サーバであり、当該認証装置は、中間層の認証サーバである、請求項1〜5のいずれか1項に記載の認証装置。
【請求項7】
外部の認証装置と連携して情報処理装置を認証する認証装置をコンピュータ上に実現するためのコンピュータ実行可能なプログラムであって、前記プログラムは、前記コンピュータを、
前記情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段、
前記認証が行われることに応答して、前記外部の認証装置から、都度同期する項目として設定された項目名に対応する項目値を取得する都度項目値取得手段、
前記都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段、
前記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段、および
前記認証手段より得られた認証結果と前記項目値セット取得手段により得られた前記項目値セットとを前記情報処理装置に返却する返却手段
として機能させるためのプログラム。
【請求項8】
前記コンピュータを、さらに
同期実行の予定に従って、前記外部の認証装置から、予定に従って同期する項目として設定された項目名に対応する項目値を取得する予定項目値取得手段、
前記予定項目値取得手段により取得した項目値で前記ローカル・データベースの項目値を更新する予定項目値更新手段
として機能させるためのプログラムであって、前記項目値セット取得手段により取得される前記項目値セットは、前記予定項目値更新手段によって更新された項目値をさらに含むことを特徴とする、請求項7に記載のプログラム。
【請求項9】
請求項7または請求項8に記載のコンピュータ実行可能なプログラムをコンピュータ可読に格納する記録媒体。
【請求項1】
外部の認証装置と連携して情報処理装置を認証する認証装置であって、
前記情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段と、
前記認証が行われることに応答して、前記外部の認証装置から、都度同期する項目として設定された項目名に対応する項目値を取得する都度項目値取得手段と、
前記都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段と、
前記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段と、
前記認証手段より得られた認証結果と前記項目値セット取得手段により得られた前記項目値セットとを前記情報処理装置に返却する返却手段と
を含む、認証装置。
【請求項2】
同期実行の予定に従って、前記外部の認証装置から、予定に従って同期する項目として設定された項目名に対応する項目値を取得する予定項目値取得手段と、
前記予定項目値取得手段により取得した項目値で前記ローカル・データベースの項目値を更新する予定項目値更新手段と
をさらに含み、前記項目値セット取得手段により取得される前記項目値セットは、前記予定項目値更新手段によって更新された項目値をさらに含むことを特徴とする、請求項1に記載の認証装置。
【請求項3】
前記認証装置は、前記都度同期する項目と、前記予定に従って同期する項目と設定するための管理インタフェースを提供する管理ツール手段をさらに備えることを特徴とする、請求項2に記載の認証装置。
【請求項4】
前記予定に従って同期する項目には、1以上の優先度が設定され、前記予定に従って同期する項目についての同期処理の実行は、前記優先度に応じた更新期間が設定されて定期的に行われることを特徴とする、請求項1〜3のいずれか1項に記載の認証装置。
【請求項5】
前記都度項目値取得手段は、前記都度同期する項目として設定された項目名に対応する項目値が更新された日時を用いて、外部の認証装置が備えるマスタデータベースと前記ローカル・データベースとの間の差分を同期対象とする、請求項1〜4のいずれか1項に記載の認証装置。
【請求項6】
前記外部の認証装置は、マスタ認証サーバであり、当該認証装置は、中間層の認証サーバである、請求項1〜5のいずれか1項に記載の認証装置。
【請求項7】
外部の認証装置と連携して情報処理装置を認証する認証装置をコンピュータ上に実現するためのコンピュータ実行可能なプログラムであって、前記プログラムは、前記コンピュータを、
前記情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段、
前記認証が行われることに応答して、前記外部の認証装置から、都度同期する項目として設定された項目名に対応する項目値を取得する都度項目値取得手段、
前記都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段、
前記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段、および
前記認証手段より得られた認証結果と前記項目値セット取得手段により得られた前記項目値セットとを前記情報処理装置に返却する返却手段
として機能させるためのプログラム。
【請求項8】
前記コンピュータを、さらに
同期実行の予定に従って、前記外部の認証装置から、予定に従って同期する項目として設定された項目名に対応する項目値を取得する予定項目値取得手段、
前記予定項目値取得手段により取得した項目値で前記ローカル・データベースの項目値を更新する予定項目値更新手段
として機能させるためのプログラムであって、前記項目値セット取得手段により取得される前記項目値セットは、前記予定項目値更新手段によって更新された項目値をさらに含むことを特徴とする、請求項7に記載のプログラム。
【請求項9】
請求項7または請求項8に記載のコンピュータ実行可能なプログラムをコンピュータ可読に格納する記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−252540(P2012−252540A)
【公開日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願番号】特願2011−124896(P2011−124896)
【出願日】平成23年6月3日(2011.6.3)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願日】平成23年6月3日(2011.6.3)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]