認証装置及びプログラム
【課題】共有資源を利用しようとする利用者を認証する場合に、それぞれの共有資源を共有する利用者群のニーズに応じた認証条件を設定できる認証装置を提供する。
【解決手段】複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持し、当該複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付けた場合に、複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる認証条件情報に応じて決まる認証条件に基づいて、当該利用者の認証を行う認証装置である。
【解決手段】複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持し、当該複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付けた場合に、複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる認証条件情報に応じて決まる認証条件に基づいて、当該利用者の認証を行う認証装置である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証装置及びプログラムに関する。
【背景技術】
【0002】
例えばウェブサービスなどにおいては、当該サービスによって管理される資源(データやアプリケーションプログラムなど)を利用する利用者を、電子署名などの方法で認証する場合がある。利用者を認証する方法としては、様々なものが提案されている(例えば特許文献1参照)。このような認証技術の一例として、シングル・サイン・オンを実現するものがある。この技術においては、既に他の認証装置によって認証済みの利用者からサービスの利用要求があった場合、認証装置は、この利用者に対して他の認証装置によってなされた認証結果を検証する(例えば、他の認証装置によって生成された電子署名を検証する)ことにより、利用者の認証を行う。このような技術によれば、認証装置は、信頼する他の認証装置によってなされた認証結果を検証する手段を備えていれば、サービスを利用する全ての利用者に関する情報を予め保持しておく必要はないことになる。
【特許文献1】特開2003−132023号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述した認証技術の例においては、提供される資源に対して要求されるセキュリティのレベルに応じて、例えば他の認証装置によって生成された電子署名の検証をどの程度厳密に行うかなどの認証条件が決定される。しかしながら、サービス利用者に提供される資源が、複数の利用者群(例えば、企業などの組織)によって共有される共有資源である場合、このような資源を共有する利用者群ごとにセキュリティレベルに対するニーズも異なることがある。そのため、認証装置が複数の共有資源を管理する場合、個々の共有資源に対して要求されるセキュリティのレベルも異なることとなり、これらの共有資源のそれぞれに対して利用者群ごとのニーズに応じた認証条件を柔軟に設定することは、煩雑となる場合がある。
【0004】
本発明の目的は、共有資源を利用しようとする利用者を認証する場合に、それぞれの共有資源を共有する利用者群のニーズに応じた認証条件を設定できる認証装置及びプログラムを提供することにある。
【課題を解決するための手段】
【0005】
請求項1記載の発明は、認証装置であって、複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持する情報保持手段と、前記複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付ける要求受付手段と、前記利用要求を受け付けた場合に、前記複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、当該利用要求を行う利用者の認証を行う認証手段と、を含むことを特徴とする。
【0006】
請求項2記載の発明は、請求項1に記載の認証装置であって、前記認証手段は、前記利用許可利用者群のうち、前記利用者が属する利用者群を除く利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、前記利用者の認証を行うことを特徴とする。
【0007】
請求項3記載の発明は、請求項1又は2に記載の認証装置であって、前記利用要求を行う利用者に関する認証情報を取得する認証情報取得手段をさらに含み、前記情報保持手段は、前記認証条件情報として、認証の際に前記認証情報に対して検証すべき少なくとも一つの検証項目を示す情報を保持し、前記認証手段は、前記利用許可利用者群のそれぞれに関連づけられる前記認証条件情報のうち、少なくとも一つの認証条件情報に含まれる検証項目について、前記取得した認証情報の検証を行うことを前記認証条件として、前記利用者の認証を行うことを特徴とする。
【0008】
請求項4記載の発明は、複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持する情報保持手段を備えるコンピュータを、前記複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付ける要求受付手段、及び前記利用要求を受け付けた場合に、前記複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、当該利用要求を行う利用者の認証を行う認証手段、として機能させるためのプログラムである。
【発明の効果】
【0009】
請求項1及び4記載の発明によれば、共有資源を利用しようとする利用者を認証する場合に、それぞれの共有資源を共有する利用者群のニーズに応じた認証条件を設定できる。
【0010】
請求項2記載の発明によれば、共有資源を利用しようとする利用者を認証する場合に、当該共有資源を共有する、利用者が属する利用者群以外の他の利用者群のニーズに応じた認証を行うことができる。
【0011】
請求項3記載の発明によれば、共有資源を共有する利用者群によって要求される検証項目について認証情報の検証を行うことによって、各利用者群のニーズに応じた認証を行うことができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態について、図面を参照しながら説明する。
【0013】
図1は、本発明の一実施形態に係る認証装置を含んだ情報処理システムの一例を示す概要図である。本実施形態に係る情報処理システムは、サービス提供装置1と、それぞれ独立した組織(例えば企業や、企業内の部署など)によって管理される複数のローカルネットワーク2と、これらを相互に接続する通信手段(例えばインターネットなど)と、を含んで構成されている。図1では、ローカルネットワーク2の具体例として、組織aによって管理されるローカルネットワーク2aと、組織bによって管理されるローカルネットワーク2bと、組織cによって管理されるローカルネットワーク2cと、がそれぞれ通信手段を介してサービス提供装置1に接続されている。
【0014】
各ローカルネットワーク2には、それぞれの組織に所属する利用者が使用する利用者端末3が複数接続されている。利用者端末3は、例えばパーソナルコンピュータ等である。また、各ローカルネットワーク2には、それぞれの組織に所属する利用者の認証を行う組織内認証装置4が接続されている。
【0015】
組織内認証装置4は、サーバコンピュータ等であって、組織に所属する利用者の認証を行う。例えば組織内認証装置4は、組織に所属する利用者のデータを保持するディレクトリサービス・サーバとして動作する。組織内認証装置4は、同じローカルネットワーク2に接続された利用者端末3からの認証要求に応じて、利用者の認証を行う。そして、認証に成功した場合、その旨を示す認証情報を発行する。この場合において、組織内認証装置4は、自分自身が保持する秘密鍵を用いて電子署名(デジタル署名など)を生成し、認証情報に添付するものとする。この認証情報は、例えばXML(Extensible Markup Language)などのデータ形式で記述されてよい。
【0016】
サービス提供装置1は、サーバコンピュータ等であって、図2に示すように、制御部11と、記憶部12と、通信部13と、を含んで構成される。本実施形態においては、このサービス提供装置1が、共有資源を保持するとともに、共有資源を利用しようとする利用者を認証する認証装置として機能する。
【0017】
制御部11は、CPU等であって、記憶部12に格納されるプログラムに従って動作する。本実施形態において、制御部11は、複数の組織のいずれかに所属する利用者からの利用要求を受け付けた場合に、利用要求を行った利用者の認証を行う。制御部11が実行する処理の具体例については、後述する。
【0018】
記憶部12は、RAMやROM等のメモリ素子、バードディスク等のディスクデバイスなどを含んで構成される。記憶部12は、制御部11によって実行されるプログラムを保持する。また、記憶部12は、制御部11のワークメモリとしても動作する。
【0019】
通信部13は、例えばネットワークインタフェースなどであり、通信手段を介して、各組織のローカルネットワーク2に接続された利用者端末3との間で情報の送受信を行う。
【0020】
さらに、本実施形態において記憶部12内には、共有資源Rが保持される。共有資源Rは、サービス提供装置1によって提供されるサービスの利用者がアクセスして、利用する資源である。共有資源Rは、例えば複数のデータの集合であってもよいし、ウェブサービスなどにおいて用いられるプログラムであってもよい。また、このようなデータが格納される所定の領域(リポジトリなど)であってもよい。さらに、これらを組み合わせたものであってもよい。具体例として、サービス提供装置1が文書共有サービスを提供するASP(Application Service Provider)を実現するものである場合、共有資源Rは、文書共有サービスによって共有される文書のデータなどである。
【0021】
ここで、共有資源Rを利用する利用者は、複数の利用者グループ(利用者群)のいずれかに属するものとする。利用者グループは、利用できる共有資源Rが共通する利用者のグループである。本実施形態においては、前述した複数の組織のそれぞれに所属する利用者の集合が、この利用者グループに対応している。すなわち、組織aに所属する利用者のグループが利用者グループGaである。また、利用者グループGbは組織bに、利用者グループGcは組織cに、それぞれ所属する利用者のグループとなっている。
【0022】
この共有資源Rは、記憶部12内に複数単位保持されている。そして、それぞれの共有資源Rには、当該共有資源Rの利用が許可される1又は複数の利用者グループ(利用許可グループ)を示す情報が関連づけられている。共有資源Rに対して関連づけられる利用許可グループの情報は、例えばサービス提供装置1を運営するサービス提供者と、サービス提供装置1によって提供されるサービスを利用する各組織との間の取り決めによって決定される。
【0023】
具体例として、以下では、記憶部12内には2つの共有資源R1及びR2が保持されているものとする。また、共有資源R1には利用者グループGa及びGbが、共有資源R2には利用者グループGb及びGcが、それぞれ利用許可グループとして関連づけられているものとする。すなわち、共有資源R1は組織a及び組織bの構成員によって共有されており、共有資源R2は組織b及び組織cの構成員によって共有されている。そして、組織bに所属する利用者は共有資源R1及びR2のいずれも利用可能であるのに対して、組織aに所属する利用者は共有資源R2を利用することはできない。また、同様に組織cに所属する利用者は共有資源R1を利用することはできない。
【0024】
さらに、記憶部12は、これら複数の利用者グループのそれぞれに関連づけて、各利用者を認証する際の認証条件を示す認証条件情報Pを保持している。具体的に、記憶部12には、利用者グループGaに関連づけられた認証条件情報Pa、利用者グループGbに関連づけられた認証条件情報Pb、利用者グループGcに関連づけられた認証条件情報Pcが、それぞれ保持されているものとする。認証条件情報Pは、利用者を認証する際の認証処理に関して、各利用者グループ(すなわち、各組織)が要求する条件を示す情報である。認証条件情報Pは、各組織が定めているセキュリティポリシーなど、各組織のセキュリティに対するニーズによって決定される。なお、認証条件情報Pの内容の具体例については、後述する。
【0025】
以下、本実施形態において、サービス提供装置1が実行する機能の具体例について、説明する。制御部11は、図3に示すように、機能的に、利用要求受付部21と、認証情報取得部22と、認証処理部23と、を含んで構成される。これらの機能は、例えば制御部11が記憶部12に格納されたプログラムを実行することによって実現できる。このプログラムは、例えばCD−ROMやDVD−ROM等のコンピュータ読み取り可能な各種の情報記憶媒体に格納されて提供されてもよいし、インターネット等の通信手段を介して提供されてもよい。
【0026】
利用要求受付部21は、複数の利用者グループのいずれかに属する利用者から、複数の共有資源Rのいずれかに対する利用要求を受け付ける。利用者が利用者端末3に対して所定の指示操作を行うことによって、利用者端末3は、当該利用者が属する利用者グループを特定する情報、及び当該利用者が利用を要求する共有資源Rを特定する情報を含む利用要求を、サービス提供装置1に対して送信する。利用要求受付部21は、このような各利用者端末3からの利用要求を受け付ける。利用要求は、例えばサービスの利用開始の要求であってもよいし、共有資源Rに含まれる所定のデータに対する編集、ダウンロード等の処理要求であってもよい。
【0027】
認証情報取得部22は、利用要求を行う利用者に関する認証情報を取得する。具体例として、利用要求受付部21が利用要求を受け付けた場合に、認証情報取得部22は、利用要求を行った利用者が所属する組織の組織内認証装置4に対して、認証情報の送信を要求する。組織内認証装置4は、前述したように、予め当該利用者の認証(ローカル認証)を行い、電子署名付きの認証情報を発行しているものとする。そして、サービス提供装置1から認証情報の送信要求があった場合、これに応じて、発行した認証情報をサービス提供装置1に送信する。認証情報取得部22は、組織内認証装置4から送信されるデータを受信することによって、認証情報を取得する。
【0028】
認証処理部23は、利用要求受付部21が利用要求を受け付けた場合に、利用要求を行った利用者の認証を行い、当該利用者に対して要求された共有資源Rの利用(すなわち、要求された共有資源Rへのアクセス)を許可するか否か判定する。
【0029】
具体的に、本実施形態においては、認証処理部23は、認証情報取得部22が取得した認証情報の検証を行うことで、利用要求を行った利用者の認証を行う。認証情報には、当該利用者が所属する組織の組織内認証装置4によって生成された電子署名が添付されている。認証処理部23は、この電子署名の生成に用いられた秘密鍵に対応する公開鍵を用いて、電子署名の検証を行う。これにより、認証処理部23は、利用要求を行った利用者が、要求された共有資源Rの利用が許可される利用許可グループに属していることを確認する。すなわち、電子署名の検証の結果、当該電子署名が利用許可グループの組織内認証装置4によって生成されたものであることを確認できれば、認証処理部23は、利用要求を行った利用者が利用許可グループに属していると判定し、要求された共有資源Rの利用を許可する。一方、電子署名の検証に失敗した場合、認証処理部23は、利用要求を行った利用者に対し、利用が許可されない旨を示す情報を通知する。
【0030】
ここで、電子署名を検証する際の検証項目について、説明する。一般に、電子署名の検証を行う場合、単に公開鍵により電子署名自体の内容を検証するだけでなく、この公開鍵の信頼性を検証したい場合がある。通常、公開鍵に対応する秘密鍵の所持者が誰であるかを保証するため、認証局(CA)によって公開鍵証明書が発行される。認証処理部23は、この公開鍵証明書を取得し、証明書の有効期間が切れていないか、証明書が失効していないか、また公開鍵証明書に対して認証局によってなされた電子署名が正しいか、などを検証することによって、認証情報に添付された電子署名の正当性を検証してもよい。また、複数の認証局は、ツリー構造のCAチェーンを構成し、上位の認証局が下位の認証局の正当性を保証している場合がある。このような場合において、検証対象となる公開鍵証明書を発行した認証局が、サービス提供装置1が信頼している認証局ではないときには、認証処理部23は、自分自身が信頼している認証局(信頼点)に到達するまで、CAチェーンをたどりながら公開鍵証明書の検証を繰り返してもよい。以上のような各種の検証項目のうち、どの項目を検証すべきであるかは、共有資源Rを共有する各組織のセキュリティに関するニーズによって異なる。
【0031】
そこで、認証処理部23は、以下のようにして決定される認証条件に基づいて、利用要求を行った利用者の認証を行う。すなわち、認証条件は、利用要求の対象となった共有資源Rの利用が許可される利用許可グループのそれぞれに関連づけられた認証条件情報Pに応じて決まる。具体的には、認証条件情報Pによって示される、認証条件に関する各利用許可グループの要求を満たすように、利用要求を行った利用者の認証条件が決定される。以下、認証条件情報Pの内容、及び認証条件情報Pに基づいて決定される認証条件の具体例について、説明する。
【0032】
本実施形態においては、認証条件情報Pは、認証の際に利用者の認証情報について検証すべき1又は複数の検証項目を示す情報であるものとする。図4(a)、図4(b)及び図4(c)は、それぞれ認証条件情報Pa、Pb及びPcの内容の具体例を示している。図4(a)に示すように、利用者グループGaに関連づけられた認証条件情報Paは、認証情報に対する電子署名の内容の検証(検証項目1)、公開鍵証明書に対する電子署名の内容の検証(検証項目2)、及び公開鍵証明書の有効期間の検証(検証項目3)をすべきであることを示す情報である。また、図4(b)に示すように、利用者グループGbに関連づけられた認証条件情報Pbは、認証条件情報Paに含まれる検証項目1から3に加えて、公開鍵証明書が失効していないかの検証(検証項目4)をすべきであることを示す情報である。また、図4(c)に示すように、利用者グループGcに関連づけられた認証条件情報Pcは、これらの検証項目1から4に加えて、公開鍵証明書に含まれる制約条件を満足するか否かの検証(検証項目5)、また信頼点までの全ての公開鍵証明書に対する検証項目2,3及び4の検証(検証項目6)をすべきであることを示す情報となっている。
【0033】
このような認証条件情報Pが保持される場合に、認証処理部23が利用者を認証する際の認証条件は、利用許可グループのそれぞれに関連づけられる認証条件情報Pのうち、少なくとも一つの認証条件情報に含まれる検証項目について、認証情報に対する検証を行うことであるものとする。認証処理部23は、この各検証項目について検証に成功すれば、要求された共有資源Rの利用を許可する。
【0034】
具体例として、組織bに所属する利用者Ubが、共有資源R1の利用要求を行ったものとする。前述したように、共有資源R1の利用許可グループは、利用者グループGa及びGbである。そこで、これらの利用者グループに関連づけられた認証条件情報Pa及びPbに応じて、認証処理部23が利用者Ubを認証する際の認証条件が決定される。具体的に、認証処理部23は、認証条件情報Pa及びPbの少なくとも一方に含まれる検証項目(すなわち、検証項目1,2,3,及び4)について、認証情報取得部22が取得した認証情報の検証を行う。その結果、これら4つの検証項目の全てについて検証に成功すれば、利用者Ubは組織bに所属するものと判定し、共有資源R1の利用を許可する。このとき、認証条件情報Pa及びPbのいずれにも含まれない検証項目5及び6については、検証は行われない。
【0035】
一方、同じ利用者Ubが共有資源R2の利用要求を行った場合には、認証処理部23は、共有資源R2の利用許可グループである利用者グループGb及びGcに関連づけられた認証条件情報Pb及びPcに応じて決まる認証条件により、利用者Ubの認証を行う。すなわち、認証条件情報Pb及びPcの少なくとも一方に含まれる検証項目である、検証項目1,2,3,4,5及び6について、認証情報の検証を行う。このように、同じ利用者が利用要求を行った場合でも、要求対象の共有資源Rがどの組織によって共有されているかによって、認証条件は変化することとなる。そして、この認証条件は、要求対象の共有資源Rを共有する各組織のセキュリティ上の要請を満たすものとなる。
【0036】
なお、これまでの説明においては、利用要求の対象となった共有資源Rを共有する全ての利用許可グループに関連づけられた認証条件情報Pにより、認証条件が決まることとしている。しかし、これに限らず、認証処理部23は、利用許可グループのうち、利用要求を行った利用者が属する利用者グループを除く利用者グループに関連づけられた認証条件情報Pに応じて決まる認証条件に基づいて、当該利用者の認証を行ってもよい。例えば前述した組織bに所属する利用者Ubが、共有資源R1に対する利用要求を行った場合、認証条件は、共有資源R1を共有する利用許可グループのうち、利用者Ubが属する利用者グループGbを除いた、利用者グループGaの認証条件情報Paに応じて決められてもよい。この場合、認証処理部23は、検証項目1,2及び3について、認証情報の検証を行う。一方、同じ共有資源R1に対して組織aに所属する利用者が利用要求を行った場合には、認証条件情報Pbに含まれる検証項目1,2,3及び4について、認証情報の検証が行われることとなる。
【0037】
また、ある利用者が複数の共有資源Rのいずれかに対して利用要求を行い、認証処理部23が当該利用者の認証を行った後、当該利用者からこの共有資源Rとは異なる別の共有資源Rに対する利用要求を利用要求受付部21がさらに受け付けた場合、認証処理部23は、以下のようにして決まる認証条件に基づいて、当該利用者の認証を行ってもよい。すなわち、認証処理部23は、当該別の共有資源Rに対する利用要求の際の認証条件として、この共有資源Rを共有する利用許可グループに関連づけられる認証条件情報Pに含まれる検証項目のうち、既に検証済みの検証項目を除く検証項目について、認証情報の検証を行う。具体例として、組織bに所属する利用者Ubが、まず共有資源R1に対して利用要求を行ったものとする。このとき認証処理部23は、前述したように、検証項目1,2,3及び4について認証情報の検証を行う。さらに、利用者Ubが共有資源R1を利用した後、継続して共有資源R2への利用要求を行った場合、サービス提供装置1は、既に利用者Ubの認証を行っているにも関わらず、再度利用者Ubの認証を行う必要がある。なぜなら、各共有資源Rを共有する利用許可グループによって、認証条件が変化するからである。この場合において、認証処理部23は、前回の認証処理において既に検証済みの検証項目は除いて、まだ検証を行っていない検証項目(この例においては、検証項目5及び6)について、検証を行うこととしてもよい。
【0038】
なお、本発明の実施の形態は、以上説明した例に限られない。例えば以上の説明においては、サービス提供装置1は共有資源Rを保持する1台のコンピュータであることとしたが、これに限らずサービス提供装置1の機能は複数のコンピュータによって実現されてもよい。例えば、共有資源を保持して利用者に対するサービス提供を行う情報処理装置と、要求される共有資源に応じて利用者の認証を行う認証装置とは、異なるものであってもよい。
【0039】
また、以上の説明においては、各組織に所属する利用者は、それぞれ自分が所属する組織のローカルネットワーク2からサービス提供装置1に接続することとし、各ローカルネットワーク2は互いに独立しているものとしたが、これに限らず、各利用者が使用する利用者端末3は1つのネットワーク内に混在してもよい。
【0040】
また、以上の説明においては、サービス提供装置1は利用者端末3から利用要求を受け付け、組織内認証装置4から認証情報を取得することとしている。しかしながら、例えば組織内認証装置4は、利用者端末3からの利用要求を受け付けて、当該利用要求を行った利用者に対する認証情報を発行し、発行した認証情報を当該利用要求とともにサービス提供装置1に送信することとしてもよい。この場合、サービス提供装置1は組織内認証装置4を介して利用要求を受け付けるとともに、認証情報を取得することとなる。
【0041】
さらに、本実施形態においては組織内認証装置4が発行する認証情報に添付された電子署名の検証を行うことによって、利用者の認証を行うこととしたが、認証方法はこのようなものに限られない。また、認証条件情報も、認証情報に対して検証すべき検証項目を示す情報だけに限られず、認証の際に要求される各種の条件を指定するものであってよい。
【図面の簡単な説明】
【0042】
【図1】本発明の実施の形態に係る情報処理システムの全体構成を表す概要図である。
【図2】本発明の実施の形態に係る認証装置の構成例を表すブロック図である。
【図3】本発明の実施の形態に係る認証装置の機能例を表す機能ブロック図である。
【図4】本発明の実施の形態に係る認証装置が保持する認証条件情報の具体例を表す図である。
【符号の説明】
【0043】
1 サービス提供装置(認証装置)、2 ローカルネットワーク、3 利用者端末、4 組織内認証装置、11 制御部、12 記憶部、13 通信部、21 利用要求受付部、22 認証情報取得部、23 認証処理部。
【技術分野】
【0001】
本発明は、認証装置及びプログラムに関する。
【背景技術】
【0002】
例えばウェブサービスなどにおいては、当該サービスによって管理される資源(データやアプリケーションプログラムなど)を利用する利用者を、電子署名などの方法で認証する場合がある。利用者を認証する方法としては、様々なものが提案されている(例えば特許文献1参照)。このような認証技術の一例として、シングル・サイン・オンを実現するものがある。この技術においては、既に他の認証装置によって認証済みの利用者からサービスの利用要求があった場合、認証装置は、この利用者に対して他の認証装置によってなされた認証結果を検証する(例えば、他の認証装置によって生成された電子署名を検証する)ことにより、利用者の認証を行う。このような技術によれば、認証装置は、信頼する他の認証装置によってなされた認証結果を検証する手段を備えていれば、サービスを利用する全ての利用者に関する情報を予め保持しておく必要はないことになる。
【特許文献1】特開2003−132023号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
上述した認証技術の例においては、提供される資源に対して要求されるセキュリティのレベルに応じて、例えば他の認証装置によって生成された電子署名の検証をどの程度厳密に行うかなどの認証条件が決定される。しかしながら、サービス利用者に提供される資源が、複数の利用者群(例えば、企業などの組織)によって共有される共有資源である場合、このような資源を共有する利用者群ごとにセキュリティレベルに対するニーズも異なることがある。そのため、認証装置が複数の共有資源を管理する場合、個々の共有資源に対して要求されるセキュリティのレベルも異なることとなり、これらの共有資源のそれぞれに対して利用者群ごとのニーズに応じた認証条件を柔軟に設定することは、煩雑となる場合がある。
【0004】
本発明の目的は、共有資源を利用しようとする利用者を認証する場合に、それぞれの共有資源を共有する利用者群のニーズに応じた認証条件を設定できる認証装置及びプログラムを提供することにある。
【課題を解決するための手段】
【0005】
請求項1記載の発明は、認証装置であって、複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持する情報保持手段と、前記複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付ける要求受付手段と、前記利用要求を受け付けた場合に、前記複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、当該利用要求を行う利用者の認証を行う認証手段と、を含むことを特徴とする。
【0006】
請求項2記載の発明は、請求項1に記載の認証装置であって、前記認証手段は、前記利用許可利用者群のうち、前記利用者が属する利用者群を除く利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、前記利用者の認証を行うことを特徴とする。
【0007】
請求項3記載の発明は、請求項1又は2に記載の認証装置であって、前記利用要求を行う利用者に関する認証情報を取得する認証情報取得手段をさらに含み、前記情報保持手段は、前記認証条件情報として、認証の際に前記認証情報に対して検証すべき少なくとも一つの検証項目を示す情報を保持し、前記認証手段は、前記利用許可利用者群のそれぞれに関連づけられる前記認証条件情報のうち、少なくとも一つの認証条件情報に含まれる検証項目について、前記取得した認証情報の検証を行うことを前記認証条件として、前記利用者の認証を行うことを特徴とする。
【0008】
請求項4記載の発明は、複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持する情報保持手段を備えるコンピュータを、前記複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付ける要求受付手段、及び前記利用要求を受け付けた場合に、前記複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、当該利用要求を行う利用者の認証を行う認証手段、として機能させるためのプログラムである。
【発明の効果】
【0009】
請求項1及び4記載の発明によれば、共有資源を利用しようとする利用者を認証する場合に、それぞれの共有資源を共有する利用者群のニーズに応じた認証条件を設定できる。
【0010】
請求項2記載の発明によれば、共有資源を利用しようとする利用者を認証する場合に、当該共有資源を共有する、利用者が属する利用者群以外の他の利用者群のニーズに応じた認証を行うことができる。
【0011】
請求項3記載の発明によれば、共有資源を共有する利用者群によって要求される検証項目について認証情報の検証を行うことによって、各利用者群のニーズに応じた認証を行うことができる。
【発明を実施するための最良の形態】
【0012】
以下、本発明の実施の形態について、図面を参照しながら説明する。
【0013】
図1は、本発明の一実施形態に係る認証装置を含んだ情報処理システムの一例を示す概要図である。本実施形態に係る情報処理システムは、サービス提供装置1と、それぞれ独立した組織(例えば企業や、企業内の部署など)によって管理される複数のローカルネットワーク2と、これらを相互に接続する通信手段(例えばインターネットなど)と、を含んで構成されている。図1では、ローカルネットワーク2の具体例として、組織aによって管理されるローカルネットワーク2aと、組織bによって管理されるローカルネットワーク2bと、組織cによって管理されるローカルネットワーク2cと、がそれぞれ通信手段を介してサービス提供装置1に接続されている。
【0014】
各ローカルネットワーク2には、それぞれの組織に所属する利用者が使用する利用者端末3が複数接続されている。利用者端末3は、例えばパーソナルコンピュータ等である。また、各ローカルネットワーク2には、それぞれの組織に所属する利用者の認証を行う組織内認証装置4が接続されている。
【0015】
組織内認証装置4は、サーバコンピュータ等であって、組織に所属する利用者の認証を行う。例えば組織内認証装置4は、組織に所属する利用者のデータを保持するディレクトリサービス・サーバとして動作する。組織内認証装置4は、同じローカルネットワーク2に接続された利用者端末3からの認証要求に応じて、利用者の認証を行う。そして、認証に成功した場合、その旨を示す認証情報を発行する。この場合において、組織内認証装置4は、自分自身が保持する秘密鍵を用いて電子署名(デジタル署名など)を生成し、認証情報に添付するものとする。この認証情報は、例えばXML(Extensible Markup Language)などのデータ形式で記述されてよい。
【0016】
サービス提供装置1は、サーバコンピュータ等であって、図2に示すように、制御部11と、記憶部12と、通信部13と、を含んで構成される。本実施形態においては、このサービス提供装置1が、共有資源を保持するとともに、共有資源を利用しようとする利用者を認証する認証装置として機能する。
【0017】
制御部11は、CPU等であって、記憶部12に格納されるプログラムに従って動作する。本実施形態において、制御部11は、複数の組織のいずれかに所属する利用者からの利用要求を受け付けた場合に、利用要求を行った利用者の認証を行う。制御部11が実行する処理の具体例については、後述する。
【0018】
記憶部12は、RAMやROM等のメモリ素子、バードディスク等のディスクデバイスなどを含んで構成される。記憶部12は、制御部11によって実行されるプログラムを保持する。また、記憶部12は、制御部11のワークメモリとしても動作する。
【0019】
通信部13は、例えばネットワークインタフェースなどであり、通信手段を介して、各組織のローカルネットワーク2に接続された利用者端末3との間で情報の送受信を行う。
【0020】
さらに、本実施形態において記憶部12内には、共有資源Rが保持される。共有資源Rは、サービス提供装置1によって提供されるサービスの利用者がアクセスして、利用する資源である。共有資源Rは、例えば複数のデータの集合であってもよいし、ウェブサービスなどにおいて用いられるプログラムであってもよい。また、このようなデータが格納される所定の領域(リポジトリなど)であってもよい。さらに、これらを組み合わせたものであってもよい。具体例として、サービス提供装置1が文書共有サービスを提供するASP(Application Service Provider)を実現するものである場合、共有資源Rは、文書共有サービスによって共有される文書のデータなどである。
【0021】
ここで、共有資源Rを利用する利用者は、複数の利用者グループ(利用者群)のいずれかに属するものとする。利用者グループは、利用できる共有資源Rが共通する利用者のグループである。本実施形態においては、前述した複数の組織のそれぞれに所属する利用者の集合が、この利用者グループに対応している。すなわち、組織aに所属する利用者のグループが利用者グループGaである。また、利用者グループGbは組織bに、利用者グループGcは組織cに、それぞれ所属する利用者のグループとなっている。
【0022】
この共有資源Rは、記憶部12内に複数単位保持されている。そして、それぞれの共有資源Rには、当該共有資源Rの利用が許可される1又は複数の利用者グループ(利用許可グループ)を示す情報が関連づけられている。共有資源Rに対して関連づけられる利用許可グループの情報は、例えばサービス提供装置1を運営するサービス提供者と、サービス提供装置1によって提供されるサービスを利用する各組織との間の取り決めによって決定される。
【0023】
具体例として、以下では、記憶部12内には2つの共有資源R1及びR2が保持されているものとする。また、共有資源R1には利用者グループGa及びGbが、共有資源R2には利用者グループGb及びGcが、それぞれ利用許可グループとして関連づけられているものとする。すなわち、共有資源R1は組織a及び組織bの構成員によって共有されており、共有資源R2は組織b及び組織cの構成員によって共有されている。そして、組織bに所属する利用者は共有資源R1及びR2のいずれも利用可能であるのに対して、組織aに所属する利用者は共有資源R2を利用することはできない。また、同様に組織cに所属する利用者は共有資源R1を利用することはできない。
【0024】
さらに、記憶部12は、これら複数の利用者グループのそれぞれに関連づけて、各利用者を認証する際の認証条件を示す認証条件情報Pを保持している。具体的に、記憶部12には、利用者グループGaに関連づけられた認証条件情報Pa、利用者グループGbに関連づけられた認証条件情報Pb、利用者グループGcに関連づけられた認証条件情報Pcが、それぞれ保持されているものとする。認証条件情報Pは、利用者を認証する際の認証処理に関して、各利用者グループ(すなわち、各組織)が要求する条件を示す情報である。認証条件情報Pは、各組織が定めているセキュリティポリシーなど、各組織のセキュリティに対するニーズによって決定される。なお、認証条件情報Pの内容の具体例については、後述する。
【0025】
以下、本実施形態において、サービス提供装置1が実行する機能の具体例について、説明する。制御部11は、図3に示すように、機能的に、利用要求受付部21と、認証情報取得部22と、認証処理部23と、を含んで構成される。これらの機能は、例えば制御部11が記憶部12に格納されたプログラムを実行することによって実現できる。このプログラムは、例えばCD−ROMやDVD−ROM等のコンピュータ読み取り可能な各種の情報記憶媒体に格納されて提供されてもよいし、インターネット等の通信手段を介して提供されてもよい。
【0026】
利用要求受付部21は、複数の利用者グループのいずれかに属する利用者から、複数の共有資源Rのいずれかに対する利用要求を受け付ける。利用者が利用者端末3に対して所定の指示操作を行うことによって、利用者端末3は、当該利用者が属する利用者グループを特定する情報、及び当該利用者が利用を要求する共有資源Rを特定する情報を含む利用要求を、サービス提供装置1に対して送信する。利用要求受付部21は、このような各利用者端末3からの利用要求を受け付ける。利用要求は、例えばサービスの利用開始の要求であってもよいし、共有資源Rに含まれる所定のデータに対する編集、ダウンロード等の処理要求であってもよい。
【0027】
認証情報取得部22は、利用要求を行う利用者に関する認証情報を取得する。具体例として、利用要求受付部21が利用要求を受け付けた場合に、認証情報取得部22は、利用要求を行った利用者が所属する組織の組織内認証装置4に対して、認証情報の送信を要求する。組織内認証装置4は、前述したように、予め当該利用者の認証(ローカル認証)を行い、電子署名付きの認証情報を発行しているものとする。そして、サービス提供装置1から認証情報の送信要求があった場合、これに応じて、発行した認証情報をサービス提供装置1に送信する。認証情報取得部22は、組織内認証装置4から送信されるデータを受信することによって、認証情報を取得する。
【0028】
認証処理部23は、利用要求受付部21が利用要求を受け付けた場合に、利用要求を行った利用者の認証を行い、当該利用者に対して要求された共有資源Rの利用(すなわち、要求された共有資源Rへのアクセス)を許可するか否か判定する。
【0029】
具体的に、本実施形態においては、認証処理部23は、認証情報取得部22が取得した認証情報の検証を行うことで、利用要求を行った利用者の認証を行う。認証情報には、当該利用者が所属する組織の組織内認証装置4によって生成された電子署名が添付されている。認証処理部23は、この電子署名の生成に用いられた秘密鍵に対応する公開鍵を用いて、電子署名の検証を行う。これにより、認証処理部23は、利用要求を行った利用者が、要求された共有資源Rの利用が許可される利用許可グループに属していることを確認する。すなわち、電子署名の検証の結果、当該電子署名が利用許可グループの組織内認証装置4によって生成されたものであることを確認できれば、認証処理部23は、利用要求を行った利用者が利用許可グループに属していると判定し、要求された共有資源Rの利用を許可する。一方、電子署名の検証に失敗した場合、認証処理部23は、利用要求を行った利用者に対し、利用が許可されない旨を示す情報を通知する。
【0030】
ここで、電子署名を検証する際の検証項目について、説明する。一般に、電子署名の検証を行う場合、単に公開鍵により電子署名自体の内容を検証するだけでなく、この公開鍵の信頼性を検証したい場合がある。通常、公開鍵に対応する秘密鍵の所持者が誰であるかを保証するため、認証局(CA)によって公開鍵証明書が発行される。認証処理部23は、この公開鍵証明書を取得し、証明書の有効期間が切れていないか、証明書が失効していないか、また公開鍵証明書に対して認証局によってなされた電子署名が正しいか、などを検証することによって、認証情報に添付された電子署名の正当性を検証してもよい。また、複数の認証局は、ツリー構造のCAチェーンを構成し、上位の認証局が下位の認証局の正当性を保証している場合がある。このような場合において、検証対象となる公開鍵証明書を発行した認証局が、サービス提供装置1が信頼している認証局ではないときには、認証処理部23は、自分自身が信頼している認証局(信頼点)に到達するまで、CAチェーンをたどりながら公開鍵証明書の検証を繰り返してもよい。以上のような各種の検証項目のうち、どの項目を検証すべきであるかは、共有資源Rを共有する各組織のセキュリティに関するニーズによって異なる。
【0031】
そこで、認証処理部23は、以下のようにして決定される認証条件に基づいて、利用要求を行った利用者の認証を行う。すなわち、認証条件は、利用要求の対象となった共有資源Rの利用が許可される利用許可グループのそれぞれに関連づけられた認証条件情報Pに応じて決まる。具体的には、認証条件情報Pによって示される、認証条件に関する各利用許可グループの要求を満たすように、利用要求を行った利用者の認証条件が決定される。以下、認証条件情報Pの内容、及び認証条件情報Pに基づいて決定される認証条件の具体例について、説明する。
【0032】
本実施形態においては、認証条件情報Pは、認証の際に利用者の認証情報について検証すべき1又は複数の検証項目を示す情報であるものとする。図4(a)、図4(b)及び図4(c)は、それぞれ認証条件情報Pa、Pb及びPcの内容の具体例を示している。図4(a)に示すように、利用者グループGaに関連づけられた認証条件情報Paは、認証情報に対する電子署名の内容の検証(検証項目1)、公開鍵証明書に対する電子署名の内容の検証(検証項目2)、及び公開鍵証明書の有効期間の検証(検証項目3)をすべきであることを示す情報である。また、図4(b)に示すように、利用者グループGbに関連づけられた認証条件情報Pbは、認証条件情報Paに含まれる検証項目1から3に加えて、公開鍵証明書が失効していないかの検証(検証項目4)をすべきであることを示す情報である。また、図4(c)に示すように、利用者グループGcに関連づけられた認証条件情報Pcは、これらの検証項目1から4に加えて、公開鍵証明書に含まれる制約条件を満足するか否かの検証(検証項目5)、また信頼点までの全ての公開鍵証明書に対する検証項目2,3及び4の検証(検証項目6)をすべきであることを示す情報となっている。
【0033】
このような認証条件情報Pが保持される場合に、認証処理部23が利用者を認証する際の認証条件は、利用許可グループのそれぞれに関連づけられる認証条件情報Pのうち、少なくとも一つの認証条件情報に含まれる検証項目について、認証情報に対する検証を行うことであるものとする。認証処理部23は、この各検証項目について検証に成功すれば、要求された共有資源Rの利用を許可する。
【0034】
具体例として、組織bに所属する利用者Ubが、共有資源R1の利用要求を行ったものとする。前述したように、共有資源R1の利用許可グループは、利用者グループGa及びGbである。そこで、これらの利用者グループに関連づけられた認証条件情報Pa及びPbに応じて、認証処理部23が利用者Ubを認証する際の認証条件が決定される。具体的に、認証処理部23は、認証条件情報Pa及びPbの少なくとも一方に含まれる検証項目(すなわち、検証項目1,2,3,及び4)について、認証情報取得部22が取得した認証情報の検証を行う。その結果、これら4つの検証項目の全てについて検証に成功すれば、利用者Ubは組織bに所属するものと判定し、共有資源R1の利用を許可する。このとき、認証条件情報Pa及びPbのいずれにも含まれない検証項目5及び6については、検証は行われない。
【0035】
一方、同じ利用者Ubが共有資源R2の利用要求を行った場合には、認証処理部23は、共有資源R2の利用許可グループである利用者グループGb及びGcに関連づけられた認証条件情報Pb及びPcに応じて決まる認証条件により、利用者Ubの認証を行う。すなわち、認証条件情報Pb及びPcの少なくとも一方に含まれる検証項目である、検証項目1,2,3,4,5及び6について、認証情報の検証を行う。このように、同じ利用者が利用要求を行った場合でも、要求対象の共有資源Rがどの組織によって共有されているかによって、認証条件は変化することとなる。そして、この認証条件は、要求対象の共有資源Rを共有する各組織のセキュリティ上の要請を満たすものとなる。
【0036】
なお、これまでの説明においては、利用要求の対象となった共有資源Rを共有する全ての利用許可グループに関連づけられた認証条件情報Pにより、認証条件が決まることとしている。しかし、これに限らず、認証処理部23は、利用許可グループのうち、利用要求を行った利用者が属する利用者グループを除く利用者グループに関連づけられた認証条件情報Pに応じて決まる認証条件に基づいて、当該利用者の認証を行ってもよい。例えば前述した組織bに所属する利用者Ubが、共有資源R1に対する利用要求を行った場合、認証条件は、共有資源R1を共有する利用許可グループのうち、利用者Ubが属する利用者グループGbを除いた、利用者グループGaの認証条件情報Paに応じて決められてもよい。この場合、認証処理部23は、検証項目1,2及び3について、認証情報の検証を行う。一方、同じ共有資源R1に対して組織aに所属する利用者が利用要求を行った場合には、認証条件情報Pbに含まれる検証項目1,2,3及び4について、認証情報の検証が行われることとなる。
【0037】
また、ある利用者が複数の共有資源Rのいずれかに対して利用要求を行い、認証処理部23が当該利用者の認証を行った後、当該利用者からこの共有資源Rとは異なる別の共有資源Rに対する利用要求を利用要求受付部21がさらに受け付けた場合、認証処理部23は、以下のようにして決まる認証条件に基づいて、当該利用者の認証を行ってもよい。すなわち、認証処理部23は、当該別の共有資源Rに対する利用要求の際の認証条件として、この共有資源Rを共有する利用許可グループに関連づけられる認証条件情報Pに含まれる検証項目のうち、既に検証済みの検証項目を除く検証項目について、認証情報の検証を行う。具体例として、組織bに所属する利用者Ubが、まず共有資源R1に対して利用要求を行ったものとする。このとき認証処理部23は、前述したように、検証項目1,2,3及び4について認証情報の検証を行う。さらに、利用者Ubが共有資源R1を利用した後、継続して共有資源R2への利用要求を行った場合、サービス提供装置1は、既に利用者Ubの認証を行っているにも関わらず、再度利用者Ubの認証を行う必要がある。なぜなら、各共有資源Rを共有する利用許可グループによって、認証条件が変化するからである。この場合において、認証処理部23は、前回の認証処理において既に検証済みの検証項目は除いて、まだ検証を行っていない検証項目(この例においては、検証項目5及び6)について、検証を行うこととしてもよい。
【0038】
なお、本発明の実施の形態は、以上説明した例に限られない。例えば以上の説明においては、サービス提供装置1は共有資源Rを保持する1台のコンピュータであることとしたが、これに限らずサービス提供装置1の機能は複数のコンピュータによって実現されてもよい。例えば、共有資源を保持して利用者に対するサービス提供を行う情報処理装置と、要求される共有資源に応じて利用者の認証を行う認証装置とは、異なるものであってもよい。
【0039】
また、以上の説明においては、各組織に所属する利用者は、それぞれ自分が所属する組織のローカルネットワーク2からサービス提供装置1に接続することとし、各ローカルネットワーク2は互いに独立しているものとしたが、これに限らず、各利用者が使用する利用者端末3は1つのネットワーク内に混在してもよい。
【0040】
また、以上の説明においては、サービス提供装置1は利用者端末3から利用要求を受け付け、組織内認証装置4から認証情報を取得することとしている。しかしながら、例えば組織内認証装置4は、利用者端末3からの利用要求を受け付けて、当該利用要求を行った利用者に対する認証情報を発行し、発行した認証情報を当該利用要求とともにサービス提供装置1に送信することとしてもよい。この場合、サービス提供装置1は組織内認証装置4を介して利用要求を受け付けるとともに、認証情報を取得することとなる。
【0041】
さらに、本実施形態においては組織内認証装置4が発行する認証情報に添付された電子署名の検証を行うことによって、利用者の認証を行うこととしたが、認証方法はこのようなものに限られない。また、認証条件情報も、認証情報に対して検証すべき検証項目を示す情報だけに限られず、認証の際に要求される各種の条件を指定するものであってよい。
【図面の簡単な説明】
【0042】
【図1】本発明の実施の形態に係る情報処理システムの全体構成を表す概要図である。
【図2】本発明の実施の形態に係る認証装置の構成例を表すブロック図である。
【図3】本発明の実施の形態に係る認証装置の機能例を表す機能ブロック図である。
【図4】本発明の実施の形態に係る認証装置が保持する認証条件情報の具体例を表す図である。
【符号の説明】
【0043】
1 サービス提供装置(認証装置)、2 ローカルネットワーク、3 利用者端末、4 組織内認証装置、11 制御部、12 記憶部、13 通信部、21 利用要求受付部、22 認証情報取得部、23 認証処理部。
【特許請求の範囲】
【請求項1】
複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持する情報保持手段と、
前記複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付ける要求受付手段と、
前記利用要求を受け付けた場合に、前記複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、当該利用要求を行う利用者の認証を行う認証手段と、
を含むことを特徴とする認証装置。
【請求項2】
請求項1に記載の認証装置において、
前記認証手段は、前記利用許可利用者群のうち、前記利用者が属する利用者群を除く利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、前記利用者の認証を行う
ことを特徴とする認証装置。
【請求項3】
請求項1又は2に記載の認証装置において、
前記利用要求を行う利用者に関する認証情報を取得する認証情報取得手段をさらに含み、
前記情報保持手段は、前記認証条件情報として、認証の際に前記認証情報に対して検証すべき少なくとも一つの検証項目を示す情報を保持し、
前記認証手段は、前記利用許可利用者群のそれぞれに関連づけられる前記認証条件情報のうち、少なくとも一つの認証条件情報に含まれる検証項目について、前記取得した認証情報の検証を行うことを前記認証条件として、前記利用者の認証を行う
ことを特徴とする認証装置。
【請求項4】
複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持する情報保持手段を備えるコンピュータを、
前記複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付ける要求受付手段、及び
前記利用要求を受け付けた場合に、前記複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、当該利用要求を行う利用者の認証を行う認証手段、
として機能させるためのプログラム。
【請求項1】
複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持する情報保持手段と、
前記複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付ける要求受付手段と、
前記利用要求を受け付けた場合に、前記複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、当該利用要求を行う利用者の認証を行う認証手段と、
を含むことを特徴とする認証装置。
【請求項2】
請求項1に記載の認証装置において、
前記認証手段は、前記利用許可利用者群のうち、前記利用者が属する利用者群を除く利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、前記利用者の認証を行う
ことを特徴とする認証装置。
【請求項3】
請求項1又は2に記載の認証装置において、
前記利用要求を行う利用者に関する認証情報を取得する認証情報取得手段をさらに含み、
前記情報保持手段は、前記認証条件情報として、認証の際に前記認証情報に対して検証すべき少なくとも一つの検証項目を示す情報を保持し、
前記認証手段は、前記利用許可利用者群のそれぞれに関連づけられる前記認証条件情報のうち、少なくとも一つの認証条件情報に含まれる検証項目について、前記取得した認証情報の検証を行うことを前記認証条件として、前記利用者の認証を行う
ことを特徴とする認証装置。
【請求項4】
複数の利用者群のそれぞれに関連づけて、利用者を認証する際の認証条件を示す認証条件情報を保持する情報保持手段を備えるコンピュータを、
前記複数の利用者群のいずれかに属する利用者から、複数の共有資源のいずれかに対する利用要求を受け付ける要求受付手段、及び
前記利用要求を受け付けた場合に、前記複数の利用者群のうち、当該利用要求の対象となる共有資源の利用が許可される利用許可利用者群のそれぞれに関連づけられる前記認証条件情報に応じて決まる認証条件に基づいて、当該利用要求を行う利用者の認証を行う認証手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2008−287359(P2008−287359A)
【公開日】平成20年11月27日(2008.11.27)
【国際特許分類】
【出願番号】特願2007−129614(P2007−129614)
【出願日】平成19年5月15日(2007.5.15)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成20年11月27日(2008.11.27)
【国際特許分類】
【出願日】平成19年5月15日(2007.5.15)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]