IDマッピング情報登録装置及びIDマッピング情報登録方法
【課題】シングルサインオン環境で、複数情報サービスを共通IDで利用可能なIDマッピングは、既存IDで新サービスは使用できず、IDマッピング登録を行うがサービスやユーザ増加の管理者負荷増大の軽減や管理者・ユーザのサービス不正利用防止が必要。
【解決手段】一度の認証で複数情報サービスが利用可能なIDマッピング情報登録装置は、自情報サービス用のログインIDと共通IDのIDマッピング情報登録指示を出力するIDマッピング指示手段を情報サービス部に、共通IDと上記ログインIDのマッピング情報を記録するIDマッピングテーブルと、共通IDの認証と上記のログインIDの認証、IDマッピングテーブルに既登録他情報サービス用ログインIDの各認証成功時IDマッピングテーブルにIDマッピング情報を登録するセキュアIDマッピング編集手段を認証基盤に備える。
【解決手段】一度の認証で複数情報サービスが利用可能なIDマッピング情報登録装置は、自情報サービス用のログインIDと共通IDのIDマッピング情報登録指示を出力するIDマッピング指示手段を情報サービス部に、共通IDと上記ログインIDのマッピング情報を記録するIDマッピングテーブルと、共通IDの認証と上記のログインIDの認証、IDマッピングテーブルに既登録他情報サービス用ログインIDの各認証成功時IDマッピングテーブルにIDマッピング情報を登録するセキュアIDマッピング編集手段を認証基盤に備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一度の認証で複数の情報サービスを個別のIDで利用可能とする環境において、認証用共通IDと情報サービス用のログインIDとのIDマッピング情報を記録するIDマッピングテーブルへのIDマッピング情報の登録装置及びその方法に関する。
【背景技術】
【0002】
ユーザの情報サービス利用の増大に伴い、一度の認証で複数のサービスを利用可能とするシングルサインオンが活用されている。シングルサインオン環境において、サービス毎に個別のIDを維持したまま、ユーザが全てのサービスを共通のIDで利用可能とする技術として、IDマッピングがある。IDマッピングを用いたシングルサインオンについては、例えば非特許文献1に記載されている。
また、特許文献1ではユーザが認証基盤で認証に成功すると、各情報サービスのログインIDを自動生成し、各情報サービスに自動生成したログインIDを送付し、情報サービスが送付されたログインIDを登録することにより、IDマッピングを実現している。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010-033562号公報、「通信端末、認証情報生成装置、認証システム、認証情報生成プログラム、認証情報生成方法および認証方法」、エヌ・ティ・ティ・コミュニケーションズ株式会社
【非特許文献】
【0004】
【非特許文献1】Liberty AllianceのLiberty Identity Web Services Framework(ID-WSF) 2.0、 specifications/?f=liberty/resource_center/specifications
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1では、新たにシングルサインオン環境に参加する情報サービスに、既に登録されたユーザのログインIDが使用できないという課題がある。また、IDマッピング情報の更新・削除処理については開示されていない。
非特許文献1では、事前にIDマッピング情報を登録する必要があり、IDマッピング情報の登録は通常は管理者が実施する。しかし、利用対象のサービスやユーザの増加に伴い、管理負荷が増加するとともに、管理者がIDマッピング情報を使って不正にサービスを利用するという課題がある。一方、ユーザ自身が登録を行う場合、他人のログインID/共通IDを不正入手すれば、ユーザ自身のIDと他人のIDとのIDマッピング情報を登録することが出来る為、他人へのなりすましが可能となる。
本発明は、IDマッピング情報登録者の管理負荷を軽減するとともに、管理者やユーザによるサービスの不正利用を防止するIDマッピング情報登録装置およびIDマッピング情報登録方法の提供を目的とする。
また、本発明は、IDマッピング情報の登録処理だけでなく、更新・削除処理も実現するIDマッピング情報登録装置及びIDマッピング情報登録方法の提供を目的とする。
【課題を解決するための手段】
【0006】
本発明のIDマッピング情報登録装置は、
ユーザが操作するユーザ端末と、ユーザ端末からの認証要求処理を実施する認証基盤と、ユーザ端末からの要求に応じ情報サービスを提供する情報サービス部とを備え、これらが互いに通信可能に接続され、認証基盤での一度の認証で、複数の情報サービス部を個別のIDで利用可能とするIDマッピング情報登録装置において、
前記情報サービス部は、
ユーザ端末からのIDマッピング情報登録の信号により自情報サービス用のログインIDと認証用共通IDとをマッピングするIDマッピング情報の登録を指示する信号を出力するIDマッピング指示手段を備え、
前記認証基盤は、
認証用共通IDと情報サービス用のログインIDとのIDマッピング情報を記録するIDマッピングテーブルと、
前記IDマッピング指示手段からの指示信号を受付け、認証用共通IDでの認証と情報サービス用のログインIDでの認証、及び、前記IDマッピングテーブルに既に登録された他の情報サービス用のログインIDが存在する場合に、そのログインIDを用いた認証が成功した場合に前記IDマッピングテーブルにIDマッピング指示手段が指示するIDマッピング情報を登録するセキュアIDマッピング編集手段と
を備える
【発明の効果】
【0007】
本発明によるIDマッピング情報登録装置によれば、
IDマッピング情報の登録指示をユーザが情報サービス部のIDマッピング指示手段から実施することができ、管理者による全ユーザのIDマッピング情報登録作業に比べ、登録者の管理負荷を軽減できる。
また、ユーザがIDマッピング情報を登録する際にマッピングする各ログインIDでの認証と、IDマッピングテーブルに既に登録された情報のユーザに対する認証確認をセキュアIDマッピング編集部で行うことにより、ユーザのなりすましを防ぐことができる。
【図面の簡単な説明】
【0008】
【図1】本発明の実施の形態1に係るIDマッピング登録装置のシステム構成を表すブロック図である。
【図2】本発明の実施の形態1に係るセキュアIDマッピング編集部の処理フロー図である。
【図3】本発明の実施の形態2に係るIDマッピング登録装置のシステム構成を表すブロック図である。
【図4】本発明の実施の形態2に係るセキュアIDマッピング編集部の処理フロー図である。
【図5】本発明の実施の形態3に係るIDマッピング登録装置のシステム構成を表すブロック図である。
【図6】本発明の実施の形態4に係るIDマッピング登録装置のシステム構成を表すブロック図である。
【図7】本発明の実施の形態4に係るセキュアIDマッピング編集部の処理フロー図である。
【発明を実施するための形態】
【0009】
実施の形態1.
図1に本実施の形態1に係るIDマッピング登録装置のシステム構成を表すブロック図を示す。
本実施の形態において、IDマッピング登録装置10は、情報サービス部100、および認証基盤200から構成され、情報サービス部100と認証基盤200は、これら両方にアクセスするユーザの端末とネットワークによる接続で繋がっている。
【0010】
情報サービス部100は、
・自サービス所属ユーザの認証を行う認証処理部110、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120、
・自サービス所属ユーザのログインIDと認証基盤での認証共通IDのIDマッピング情報の編集(登録・更新・削除)を指示するIDマッピング指示部130、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140
から構成される。
【0011】
認証基盤200は、
・認証用共通IDでのユーザの認証を行う認証処理部210、
・IDマッピング指示部130から要求を受付け、IDマッピング情報を登録するセキュアIDマッピング編集部220、
・認証用共通IDと情報サービス部とのIDのIDマッピング情報を管理するIDマッピングテーブル250、
・IDマッピングテーブルを参照し、IDの変換を行うID変換処理部230、
・認証用共通ID情報を管理する共通ID管理テーブル240
から構成される。
【0012】
本発明によるIDマッピング情報登録装置は、キーボード等の入力手段、液晶等の表示手段、メモリ等の記憶手段、中央演算装置等により構成されるもので、図1の情報サービス部100の認証処理部110、アカウント編集部120、IDマッピング指示部130、及び認証基盤200の認証処理部210、セキュアIDマッピング編集部220、ID変換処理部230はそれぞれ情報サービス部100及び認証基盤200の中央演算装置の動作を制御するプログラムのモジュールに従って前記中央演算装置を便宜的に分割したものであり、ログインID管理テーブル140、共通ID管理テーブル240、IDマッピングテーブル250は記憶手段によって構成される。
【0013】
本実施の形態では、ユーザが端末により情報サービス用のアカウント情報をアカウント編集部120で編集するのと連動して、自動でIDマッピングテーブル250の編集を指示するIDマッピング指示部130と、ユーザに対する複数の認証処理を実施した後にIDマッピングテーブル250を編集するセキュアIDマッピング編集部220を持つことにより、既存のアカウントまたは新規作成したアカウントを用いて、ユーザが端末を介してIDマッピングテーブル250を編集することができ、編集するユーザのなりすましが防止できる複数の認証処理の実施を可能とする。
【0014】
以下、実施の形態1の処理の流れを説明する。図1中の○枠数字は、以下に説明する( )内数字の処理との対応関係を示す。
(1).ユーザは端末により、まず認証基盤200を経由せず、情報サービス部100に対してWebブラウザ等により直接アクセスする。情報サービス部100では、認証処理部110によりログインID管理テーブル140を参照し、ユーザの認証を行う。認証処理部110で認証した結果はセッション情報などに認証情報として格納され、ユーザの端末−情報サービス部100間で、例えば情報サービス部100に一定期間保持される。
(2).認証情報が保持された状態でユーザが端末によりIDマッピング指示部130にIDマッピング情報登録のアクセスをすると、IDマッピング指示部130は認証情報に包含された情報サービスを利用する際のユーザのログインIDを取得する。
(3).IDマッピング指示部130は取得したログインIDを認証基盤200のセキュアIDマッピング編集部220に送信し、認証用共通IDとのマッピング要求を行う。
図2はセキュアIDマッピング編集部220の処理フローを示す。以下図2の処理フローをも参照し説明する。
(4).セキュアIDマッピング編集部220は、IDマッピング指示部130からマッピング要求を受けるとIDマッピングテーブル250を参照し、受信したログインIDのIDマッピング情報がIDマッピングテーブル250に存在するか確認する(ST 1)。確認結果を判定し(ST 2)、存在しない場合、ユーザに認証用共通IDでの認証を要求するように伝える(ST 3)。存在する場合、IDマッピング指示部130にその旨を伝え(ST 4)、終了する。
【0015】
(5).セキュアIDマッピング編集部220からの認証要求を受け付けたユーザ端末は、表示装置に表示してユーザに報知し、ユーザがユーザ端末により認証用共通IDでの認証情報を認証処理部210に伝える。
(6).認証処理部210は共通ID管理テーブル240を参照し認証用共通IDでのユーザの認証を行い、認証結果及び認証情報をセキュアIDマッピング編集部220に伝える。
(7).セキュアIDマッピング編集部220は取得した認証結果がOKか否かの確認を行い(ST 5)認証結果がOKである場合、ユーザに対し追加認証を実施する。セキュアIDマッピング編集部220は、追加認証を実施する為、取得した認証情報から認証用共通IDを抽出し、認証用共通IDと既にマッピングされた他情報サービス用のログインIDをIDマッピングテーブル250から検索する(ST 6)。検索結果を判定し(ST 7)、他情報サービス用のログインIDが存在しない場合は、IDマッピング指示部130から受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250に登録する(ST 10)。
【0016】
(8).他情報サービス用のログインIDが存在する場合、セキュアIDマッピング編集部220はユーザに他情報サービス用でのログインIDを要求し、ユーザに他情報サービス用でのログインIDを入力してもらう。他サービス用のログインIDが複数存在した場合は、セキュアIDマッピング編集部220が1つの情報サービス用のログインIDをランダムに選択する(ST 8)。
(9).入力されたログインIDの正誤を判定し(ST 9)、入力ログインIDが正しければ、セキュアIDマッピング編集部220はIDマッピング指示部130から受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250に登録し(ST 10)、登録済の旨、IDマッピング指示部130に返送する(ST 11)。入力されたログインIDが正しくない場合は、IDマッピング情報の登録を中止し、ユーザ端末の表示手段にエラー画面等を表示しユーザに提示し(ST 12)、登録不可の旨、IDマッピング指示部130に返送する(ST 13)。
【0017】
このようにIDマッピングテーブル250にIDマッピング情報を格納することで、次回ユーザは認証基盤200にアクセスし、認証用共通IDで認証された後、情報サービス用のログインIDを用いて情報サービス部100にアクセス可能となる。
この際、認証基盤200では、認証処理部210がID変換処理部230に認証用共通IDを伝え、ID変換処理部230 はIDマッピングテーブル250から、取得した認証用共通IDに合致する情報サービス用のログインIDを検索する。見つかった場合、そのログインIDを用いて情報サービス部100にアクセスする。見つからなかった場合は、ユーザ端末の表示手段にエラー画面等を表示する。
【0018】
以上のように、実施の形態1ではIDマッピングの指示をユーザが情報サービス部100から実施することができ、管理者による全ユーザのIDマッピング情報登録作業に比べ、管理者の登録管理負荷を軽減できる。
また、実施の形態1では、ユーザがIDマッピング情報を登録するが、IDマッピング登録時にマッピングする各IDでの認証と、IDマッピングテーブル250に既に登録された情報をユーザに確認することにより、ユーザのなりすましを防ぐことができる。
また、実施の形態1では、既存のアカウントを用いて各ユーザが情報サービス部100にアクセスした際にユーザ自身のIDマッピング情報の登録を行うことが可能であり、既存のアカウント情報を活用することができる。
【0019】
実施の形態2.
実施の形態1は、マッピングする各IDの認証後にIDマッピングテーブル250に登録された情報をユーザが確認、成功した場合IDマッピング情報を登録するものでしたが、実施の形態2は、マッピングする各IDの認証後にユーザの認証用共通IDと既にマッピングされた他の情報サービス用のログインIDをIDマッピングテーブルから検索し、該当する情報サービス用のログインIDでユーザの認証を実施した結果が成功であれば、IDマッピング情報を登録するものである。実施の形態2に係るIDマッピング登録装置のシステム構成ブロックを図3に示す。
【0020】
図3に示すIDマッピング登録装置において、IDマッピング登録装置10は、情報サービス部A100a、情報サービス部B100bおよび認証基盤200から構成され、情報サービス部A100aと情報サービス部B100bおよび認証基盤200は、これらにアクセスするユーザのユーザ端末とネットワークによる接続で繋がっている。
情報サービス部A100aは、
・自サービス所属ユーザの認証を行う認証処理部110a、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120a、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の登録を指示するIDマッピング指示部130a、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140a
から構成される。
【0021】
情報サービス部B100bは、情報サービス部100aと同様に、
・自サービス所属ユーザの認証を行う認証処理部110b、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120b、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の登録を指示するIDマッピング指示部130b、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140b
から構成される。
【0022】
また、認証基盤200は実施の形態1と同様に、
・認証用共通IDでのユーザの認証を行う認証処理部210、
・IDマッピング指示部130a,130bから要求を受付け、IDマッピング情報を登録するセキュアIDマッピング編集部220、
・認証用共通IDと情報サービス用のログインIDとのIDマッピング情報を管理するIDマッピングテーブル250、
・IDマッピングテーブル250を参照し、IDの変換を行うID変換処理部230、
・認証用共通ID情報を管理する共通ID管理テーブル240
から構成される。
【0023】
実施の形態2の処理の流れを以下に示す。図3中の○枠数字は、以下に説明する( )内数字の処理との対応関係を示す。
(1).ユーザはユーザ端末により、まず認証基盤200を経由せず、情報サービス部A100aに対してWebブラウザ等により直接アクセスする。情報サービス部A100aでは、認証処理部110aでログインID管理テーブル140aを参照し、ユーザの認証を行う。認証処理部110aで認証した結果はセッション情報などに認証情報として格納され、ユーザ端末−情報サービス部A100a間で、例えば情報サービス部A100aに一定期間保持される。
(2).認証情報が保持された状態でユーザがユーザ端末によりIDマッピング指示部130aにアクセスすると、IDマッピング指示部130aは認証情報に格納された情報サービスA100aを利用する際のユーザのログインIDを取得する。
(3).マッピング登録の要求を受けたIDマッピング指示部130aは、セキュアIDマッピング編集部220にログインIDを送信し、IDマッピング情報の登録を指示する。
【0024】
セキュアIDマッピング編集部220の処理フローを図4に示す。以下図4の処理フローをも参照し説明する。
(4).セキュアIDマッピング編集部220は、マッピング要求を受けるとIDマッピングテーブル250を参照し、受信したログインIDのIDマッピング情報がIDマッピングテーブル250に存在するかを確認する(ST 1)。確認結果を判定し(ST 2)、存在しない場合、ユーザに認証用共通IDでの認証を行うよう要求する(ST 3)。存在する場合、IDマッピング指示部130aにその旨を伝え(ST 4)、処理を終了する。
(5).ユーザがユーザ端末により認証用共通IDでの認証情報を認証処理部210に伝える。
(6).認証処理部210は、共通ID管理テーブル240を参照し認証用共通IDでのユーザの認証を行い、認証結果及び認証情報をセキュアIDマッピング編集部220に伝える。
(7).セキュアIDマッピング編集部220は取得した認証結果がOKか否かの判定を行い(ST 5)、認証結果がOKである場合、ユーザに対し追加認証を実施する。セキュアIDマッピング編集部220は、追加認証を実施する為、取得した認証情報から認証用共通IDを抽出し、認証用共通IDと既にマッピングされた他サービス用のログインIDをIDマッピングテーブル250から検索する(ST 6)。検索結果を判定し(ST 7)、他サービス用のログインIDが存在しない場合は、IDマッピング指示部130aから受信した情報サービスのログインIDと認証共通IDとのIDマッピング情報をIDマッピングテーブル250に登録する(ST 10)。
【0025】
(8).他サービス用のログインIDが存在する場合、セキュアIDマッピング編集部220は該当する他の情報サービスB100bのIDマッピング指示部130bにユーザの認証を要求する。情報サービス部B100b以外の他サービス用のログインIDが複数存在した場合は、セキュアIDマッピング編集部220が1つの情報サービス用のログインIDを選択する(ST 8)。この際、ランダムに選択する方法や情報サービスに優先度を設定しておく方法がある。
(9).IDマッピング指示部130bはユーザに情報サービス部B100bのログインIDでの認証を要求する(ST 8)。
(10).ユーザが情報サービス部B100bのログインIDでの認証情報を認証処理部110bに伝える。
(11).認証処理部110bは認証結果及び認証情報をIDマッピング指示部130b経由でセキュアIDマッピング編集部220に伝える。
(12).セキュアIDマッピング編集部220は取得した認証結果がOKであり、かつ、認証処理部110bから取得した認証情報から抽出したログインIDとユーザの認証用共通IDとマッピングされた情報サービス部100bのログインIDが一致か否かを判定し(ST 14)、一致する場合、IDマッピング情報をIDマッピングテーブル250に登録し(ST 10)、登録済の旨、IDマッピング指示部130bに返送する(ST 11)。上記の条件に当てはまらない場合、IDマッピング情報の登録を中止し、ユーザ端末の表示手段にエラー画面等を表示してユーザに提示し(ST 12)、登録不可の旨、IDマッピング指示部130bに返送する(ST 13)。
【0026】
実施の形態1では、認証基盤管理者が認証基盤200上の情報(認証共通ID情報とIDマッピング情報)を不正入手した場合にはIDマッピング情報の不正登録が可能であったが、実施の形態2では、認証基盤200だけでなく、マッピング要求した情報サービス部以外の情報サービス部でも認証処理を実施することにより、前述の認証基盤管理者による不正登録を防ぐことができる。
【0027】
実施の形態3.
実施の形態2では、ユーザが情報サービス部のIDマッピング指示部にアクセスすることにより、IDマッピング情報の登録処理を実施することができた。実施の形態3では、ユーザが情報サービス部に新規アカウントを作成した際に、自動でIDマッピング情報の登録処理を起動する。
図5に実施の形態3に係るIDマッピング登録装置のシステム構成を表すブロック図を示す。
【0028】
図5に示すIDマッピング登録装置において、IDマッピング登録装置10は、情報サービス部A100a、情報サービス部B100bおよび認証基盤200から構成され、情報サービス部A100aと情報サービス部B100bおよび認証基盤200は、これらにアクセスするユーザのユーザ端末とネットワークによる接続で繋がっている。
情報サービス部A100aは、
・自サービス所属ユーザの認証を行う認証処理部110a、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120a、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の登録を指示するIDマッピング指示部130a、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140a
から構成される。
【0029】
情報サービス部B100bは、情報サービス部100aと同様に、
・自サービス所属ユーザの認証を行う認証処理部110b、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120b、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の登録を指示するIDマッピング指示部130b、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140b
から構成される。
【0030】
本発明の実施の形態3に係る認証基盤200は、
・認証用共通IDでのユーザの認証を行う認証処理部210、
・IDマッピング指示部130a、130bから要求を受付け、IDマッピング情報を登録するセキュアIDマッピング編集部220、
・認証用共通IDと情報サービスとのIDのIDマッピング情報を管理するIDマッピングテーブル250、
・IDマッピングテーブル250を参照し、IDの変換を行うID変換処理部230、
・認証用共通ID情報を管理する共通ID管理テーブル240
から構成される。
【0031】
実施の形態3の処理の流れを以下に示す。図5中の○枠数字が( )内数字の処理に対応する。
(1).ユーザが端末により情報サービス部A100aにアクセスし、アカウント編集部120aにより新規アカウント(情報サービス部A100aのログインID、パスワード等)を作成する。作成したアカウント情報はログインID管理テーブル140aに格納する。
(2).アカウント編集部120aはログインID管理テーブル140aへのアカウント情報の格納が完了すると、新規作成したアカウントのログインIDをIDマッピング指示部130aに伝え、認証用共通IDとのマッピングの登録を要求する。
(3).マッピング登録の要求を受けたIDマッピング指示部130aは、セキュアIDマッピング編集部220にログインIDを送信し、IDマッピング情報の登録を指示する。
(4).セキュアIDマッピング編集部220は、マッピング要求を受けるとIDマッピングテーブル250を参照し、受信したログインIDのIDマッピング情報がIDマッピングテーブル250に存在するか確認する。存在しない場合、ユーザに認証用共通IDでの認証を要求する。存在する場合、IDマッピング指示部130aにその旨を伝え、処理を終了する。
【0032】
(5).ユーザが認証用共通IDでの認証情報を認証処理部210に伝える。
(6).認証処理部210は共通ID管理テーブル240を参照し認証用共通IDでのユーザの認証を行い、認証結果及び認証情報をセキュアIDマッピング編集部220に伝える。
(7).セキュアIDマッピング編集部220は取得した認証結果がOKである場合、ユーザに対し追加認証を実施する。セキュアIDマッピング編集部220は、追加認証を実施する為、取得した認証情報から認証用共通IDを抽出し、認証用共通IDと既にマッピングされた他サービス用のログインIDをIDマッピングテーブル250から検索する。他サービス用のログインIDが存在しない場合は、IDマッピング指示部130aから受信した情報サービスのログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250に登録する。
(8).他サービス用のログインIDが存在する場合、セキュアIDマッピング編集部220は該当する他サービスB100bのIDマッピング指示部130bにユーザの認証を要求する。他サービス用のログインIDが複数存在した場合は、セキュアIDマッピング編集部220が1つの情報サービス用のログインIDを選択する。この際、ランダムに選択する方法や情報サービスに優先度を設定しておく方法がある。
【0033】
(9).IDマッピング指示部130bはユーザに情報サービス部B100bのログインIDでの認証を行うように要求する。
(10).ユーザが情報サービス部B100bのログインIDでの認証情報を認証処理部110bに伝える。
(11).認証処理部110bは認証結果及び認証情報をIDマッピング指示部130b経由でセキュアIDマッピング編集部220に伝える。
(12).セキュアIDマッピング編集部220は取得した認証結果がOKであり、かつ、認証処理部110bから取得した認証情報から抽出したログインIDとユーザの認証用共通IDとマッピングされた情報サービス部B100bのログインIDが一致する場合、IDマッピング情報を登録する。上記の条件に当てはまらない場合、IDマッピング情報の登録を中止し、ユーザ端末の表示装置にエラー画面等を表示する。
【0034】
実施の形態2では、ユーザが情報サービスに新規アカウントを作成した場合にIDマッピング情報の登録をするにはIDマッピング指示部にアクセスする必要があったが、実施の形態3では新規アカウントを作成するのと連動してIDマッピング情報の登録処理を起動することができる。これにより、IDマッピング情報の登録処理の手間を省き、またユーザのIDマッピング情報登録処理の未実施を防ぐことが可能となる。
【0035】
実施の形態4.
実施の形態3では、IDマッピング情報の登録しか実施できなかった。実施の形態4では、情報サービスのアカウント編集部とIDマッピング指示部、認証基盤200のセキュアIDマッピング編集部にIDマッピングの登録処理以外に、更新、削除処理も扱えるように拡張する。実施の形態4に係るIDマッピング登録装置のシステム構成ブロックを図6に示す。
【0036】
図6に示す実施の形態4に係るIDマッピング登録装置において、IDマッピング登録装置10は、情報サービス部A100a、情報サービス部B100bおよび認証基盤200から構成され、情報サービス部A100aと情報サービス部B100bおよび認証基盤200は、これらにアクセスするユーザのユーザ端末とネットワークによる接続で繋がっている。
情報サービス部A100aは、
・自サービス所属ユーザの認証を行う認証処理部110a、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120a、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の編集(登録・更新・削除)を指示するIDマッピング指示部130a、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140a
から構成される。
【0037】
情報サービス部B100bは、情報サービス部100aと同様に、
・自サービス所属ユーザの認証を行う認証処理部110b、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120b、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の編集(登録・更新・削除)を指示するIDマッピング指示部130b、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140b
から構成される。
【0038】
また、本実施の形態4に係る認証基盤200は実施の形態2と同様に、
・認証用共通IDでのユーザの認証を行う認証処理部210、
・IDマッピング指示部130a,130bから要求を受付け、IDマッピング情報を編集するセキュアIDマッピング編集部220、
・認証用共通IDと情報サービスとのIDのIDマッピング情報を管理するIDマッピングテーブル250、
・IDマッピングテーブル250を参照し、IDの変換を行うID変換処理部230、
・認証共通ID情報を管理する共通ID管理テーブル240
から構成される。
【0039】
実施の形態4の処理の流れを以下に説明する。以下では削除処理について述べる。尚、登録、更新時も同様の処理の流れである。また、図6中の○枠数字は、以下に説明する( )内数字の処理との対応関係を示す。
(1).ユーザが情報サービスA100aにアクセスし、認証処理部110aで認証を行う。認証した結果はセッション情報などに認証情報として格納され、ユーザ端末−Web情報サービスA間で、例えばユーザ端末に一定期間保持される。
(2).認証情報を保持したユーザ端末を用いてユーザがアカウント編集部120aにアクセスし、ユーザ自身のログインIDの削除要求を行う。アカウント編集部120aはログインID管理テーブル140aからユーザ情報を削除する。
(3).アカウント編集部120aはログインID管理テーブル140aへの削除処理が完了すると、削除したログインIDをIDマッピング指示部130aに伝え、認証用共通IDとのIDマッピング情報のIDマッピングテーブル250からの削除を要求する。
(4).IDマッピング情報削除の要求を受けたIDマッピング指示部130aは、セキュアIDマッピング編集部220にログインIDを送信し、IDマッピング情報のIDマッピングテーブル250からの削除を指示する。
【0040】
セキュアIDマッピング編集部220の処理フローを図7に示す。
(5).セキュアIDマッピング編集部220は、IDマッピング情報の削除要求を受けるとIDマッピングテーブル250を参照し、受信したログインIDのIDマッピング情報がIDマッピングテーブル250に存在するか確認する(ST 1)。次に確認結果を判定する(ST 2)。
このWebサービスのログインID登録確認(ST 1)後の判定「(登録済み?)==(要求が登録?)」(ST 2)は、要求がIDマッピング情報の登録で、IDマッピングテーブル250に既にマッピング要求したログインIDが存在する場合に真(Yes)となり、要求NGの旨をIDマッピング指示部130に返す。また、要求がIDマッピング情報の更新または削除で、IDマッピングテーブル250にマッピング要求したログインIDが存在しない場合も真(Yes)となり、要求NGの旨をIDマッピング指示部130に返す。
判定(ST 2)結果が、マッピング要求したログインIDが存在しない場合Yesとなり、IDマッピング指示部130aにその旨を伝え(ST 4)、終了する。判定結果が、マッピング要求したログインIDが存在する場合Noとなり、ユーザに認証用共通IDでの認証を要求する(ST 3)。
(6).ユーザが認証用共通IDでの認証情報を認証処理部210に伝える。
(7).認証処理部210は、共通ID管理テーブル240を参照し認証用共通IDでのユーザの認証を行い、認証結果及び認証情報をセキュアIDマッピング編集部220に伝える。
(8).セキュアIDマッピング編集部220は認証処理部210から取得した認証結果がOKか否かの判定を行い(ST 5)、認証結果がNOである場合、ユーザ端末の表示手段にエラー画面等を表示してユーザに提示し(ST 12)、削除不可の旨、IDマッピング指示部130bに返送 (ST 13)し、処理を終了する。
認証の判定(ST 5)結果がOKである場合、ユーザに対し追加認証を実施する。セキュアIDマッピング編集部220は、追加認証を実施する為、取得した認証情報から認証用共通IDを抽出し、認証用共通IDと既にマッピングされた他サービス用のログインIDをIDマッピングテーブル250から検索する(ST 6)。この検索結果を判定し(ST 7)、他サービス用のログインIDが存在しない場合は、要求が何であったかを判定し(ST 19)、要求がIDマッピング情報の削除であることを確認し、IDマッピング指示部130aから受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250から削除する(ST 17)。その後、削除した旨、IDマッピング指示部130aに返送する(ST 18)。
【0041】
(9).検索結果の判定(ST 7)により、他サービス用のログインIDが存在する場合、セキュアIDマッピング編集部220は該当する他サービス部100bのIDマッピング指示部130bにユーザの認証を要求する。他サービス用のログインIDが複数存在した場合は、セキュアIDマッピング編集部220が1つの情報サービス用のログインIDを選択する。この際、ランダムに選択する方法や情報サービスに優先度を設定しておく方法がある。
(10).IDマッピング指示部130bはユーザに情報サービス部100bのログインIDでの認証を要求する(ST 8)。
(11).ユーザが情報サービス部100bのログインIDでの認証情報を認証処理部110bに伝える。
(12).認証処理部110bは、情報サービス部100bのログインIDでのユーザの認証を行い、認証結果及び認証情報をIDマッピング指示部130b経由でセキュアIDマッピング編集部220に伝える。
(13).セキュアIDマッピング編集部220は取得した認証結果がOKであり、かつ、認証処理部110bから取得した認証情報から抽出したログインIDとユーザの認証用共通IDとマッピングされた情報システム100bのログインIDが一致するか否かを判定し(ST 9)、一致する場合、要求が何であったかを判定し(ST 19)、IDマッピング情報の削除であることを確認し、IDマッピング指示部130bから受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250から削除し(ST 17) 、削除した旨、IDマッピング指示部130bに返送する(ST 18)。
【0042】
セキュアIDマッピング編集部220は、認証処理部110bから取得した認証情報から抽出したログインIDとユーザの認証用共通IDとマッピングされた情報システム100bのログインIDが一致、不一致の判定結果(ST 9)が不一致の場合、ユーザ端末の表示手段にエラー画面等を表示してユーザに提示し(ST 12)、削除不可の旨、IDマッピング指示部130bに返送する(ST 13)。
【0043】
IDマッピング情報の更新時も削除と同様な処理の流れであり、要求の処理が何であったかを確認する判定(ST 19)結果が、IDマッピング情報の更新の場合は、セキュアIDマッピング編集部220は、IDマッピング指示部130bから受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250のIDマッピング情報と更新し(ST 15) 、更新した旨、IDマッピング指示部130bに返送する(ST 16)。
【0044】
また、IDマッピング情報の登録時も削除と同様な処理の流れであり、要求の処理が何であったかを確認する判定(ST 19)結果が、IDマッピング情報の登録の場合は、セキュアIDマッピング編集部220は、IDマッピング指示部130bから受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250のIDマッピング情報を登録し(ST 10) 、更新した旨、IDマッピング指示部130bに返送する(ST 11)。
【0045】
実施の形態3では、IDマッピング情報の登録処理しか実施できなかったが、実施の形態4ではIDマッピング情報の更新・削除処理を実施することができる。
また、実施の形態4では、情報サービスでのアカウント情報の更新・削除に連動して、IDマッピング情報の更新・削除処理が実施の可能であり、IDマッピング情報の更新・削除処理の手間を省き、またユーザのIDマッピング情報更新・削除処理の未実施を防ぐことが可能となる。
【産業上の利用可能性】
【0046】
本発明は電子的な証明情報に基づいてサービスを利用する情報処理装置に利用可能であり、特に複数の異なる情報検索サービス部門を利用する情報検索サービスシステムへの利用に適する。
【符号の説明】
【0047】
10;IDマッピング登録装置、100;情報サービス部、110,110a,110b;認証処理部、120,120a,120b;アカウント編集部、130,130a,130b;IDマッピング指示部、140,140a,140b;ログインID管理テーブル、200;認証基盤、210;認証処理部、220;セキュアIDマッピング編集部、230;ID変換処理部、240;共通ID管理テーブル、250;IDマッピングテーブル。
【技術分野】
【0001】
本発明は、一度の認証で複数の情報サービスを個別のIDで利用可能とする環境において、認証用共通IDと情報サービス用のログインIDとのIDマッピング情報を記録するIDマッピングテーブルへのIDマッピング情報の登録装置及びその方法に関する。
【背景技術】
【0002】
ユーザの情報サービス利用の増大に伴い、一度の認証で複数のサービスを利用可能とするシングルサインオンが活用されている。シングルサインオン環境において、サービス毎に個別のIDを維持したまま、ユーザが全てのサービスを共通のIDで利用可能とする技術として、IDマッピングがある。IDマッピングを用いたシングルサインオンについては、例えば非特許文献1に記載されている。
また、特許文献1ではユーザが認証基盤で認証に成功すると、各情報サービスのログインIDを自動生成し、各情報サービスに自動生成したログインIDを送付し、情報サービスが送付されたログインIDを登録することにより、IDマッピングを実現している。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2010-033562号公報、「通信端末、認証情報生成装置、認証システム、認証情報生成プログラム、認証情報生成方法および認証方法」、エヌ・ティ・ティ・コミュニケーションズ株式会社
【非特許文献】
【0004】
【非特許文献1】Liberty AllianceのLiberty Identity Web Services Framework(ID-WSF) 2.0、 specifications/?f=liberty/resource_center/specifications
【発明の概要】
【発明が解決しようとする課題】
【0005】
特許文献1では、新たにシングルサインオン環境に参加する情報サービスに、既に登録されたユーザのログインIDが使用できないという課題がある。また、IDマッピング情報の更新・削除処理については開示されていない。
非特許文献1では、事前にIDマッピング情報を登録する必要があり、IDマッピング情報の登録は通常は管理者が実施する。しかし、利用対象のサービスやユーザの増加に伴い、管理負荷が増加するとともに、管理者がIDマッピング情報を使って不正にサービスを利用するという課題がある。一方、ユーザ自身が登録を行う場合、他人のログインID/共通IDを不正入手すれば、ユーザ自身のIDと他人のIDとのIDマッピング情報を登録することが出来る為、他人へのなりすましが可能となる。
本発明は、IDマッピング情報登録者の管理負荷を軽減するとともに、管理者やユーザによるサービスの不正利用を防止するIDマッピング情報登録装置およびIDマッピング情報登録方法の提供を目的とする。
また、本発明は、IDマッピング情報の登録処理だけでなく、更新・削除処理も実現するIDマッピング情報登録装置及びIDマッピング情報登録方法の提供を目的とする。
【課題を解決するための手段】
【0006】
本発明のIDマッピング情報登録装置は、
ユーザが操作するユーザ端末と、ユーザ端末からの認証要求処理を実施する認証基盤と、ユーザ端末からの要求に応じ情報サービスを提供する情報サービス部とを備え、これらが互いに通信可能に接続され、認証基盤での一度の認証で、複数の情報サービス部を個別のIDで利用可能とするIDマッピング情報登録装置において、
前記情報サービス部は、
ユーザ端末からのIDマッピング情報登録の信号により自情報サービス用のログインIDと認証用共通IDとをマッピングするIDマッピング情報の登録を指示する信号を出力するIDマッピング指示手段を備え、
前記認証基盤は、
認証用共通IDと情報サービス用のログインIDとのIDマッピング情報を記録するIDマッピングテーブルと、
前記IDマッピング指示手段からの指示信号を受付け、認証用共通IDでの認証と情報サービス用のログインIDでの認証、及び、前記IDマッピングテーブルに既に登録された他の情報サービス用のログインIDが存在する場合に、そのログインIDを用いた認証が成功した場合に前記IDマッピングテーブルにIDマッピング指示手段が指示するIDマッピング情報を登録するセキュアIDマッピング編集手段と
を備える
【発明の効果】
【0007】
本発明によるIDマッピング情報登録装置によれば、
IDマッピング情報の登録指示をユーザが情報サービス部のIDマッピング指示手段から実施することができ、管理者による全ユーザのIDマッピング情報登録作業に比べ、登録者の管理負荷を軽減できる。
また、ユーザがIDマッピング情報を登録する際にマッピングする各ログインIDでの認証と、IDマッピングテーブルに既に登録された情報のユーザに対する認証確認をセキュアIDマッピング編集部で行うことにより、ユーザのなりすましを防ぐことができる。
【図面の簡単な説明】
【0008】
【図1】本発明の実施の形態1に係るIDマッピング登録装置のシステム構成を表すブロック図である。
【図2】本発明の実施の形態1に係るセキュアIDマッピング編集部の処理フロー図である。
【図3】本発明の実施の形態2に係るIDマッピング登録装置のシステム構成を表すブロック図である。
【図4】本発明の実施の形態2に係るセキュアIDマッピング編集部の処理フロー図である。
【図5】本発明の実施の形態3に係るIDマッピング登録装置のシステム構成を表すブロック図である。
【図6】本発明の実施の形態4に係るIDマッピング登録装置のシステム構成を表すブロック図である。
【図7】本発明の実施の形態4に係るセキュアIDマッピング編集部の処理フロー図である。
【発明を実施するための形態】
【0009】
実施の形態1.
図1に本実施の形態1に係るIDマッピング登録装置のシステム構成を表すブロック図を示す。
本実施の形態において、IDマッピング登録装置10は、情報サービス部100、および認証基盤200から構成され、情報サービス部100と認証基盤200は、これら両方にアクセスするユーザの端末とネットワークによる接続で繋がっている。
【0010】
情報サービス部100は、
・自サービス所属ユーザの認証を行う認証処理部110、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120、
・自サービス所属ユーザのログインIDと認証基盤での認証共通IDのIDマッピング情報の編集(登録・更新・削除)を指示するIDマッピング指示部130、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140
から構成される。
【0011】
認証基盤200は、
・認証用共通IDでのユーザの認証を行う認証処理部210、
・IDマッピング指示部130から要求を受付け、IDマッピング情報を登録するセキュアIDマッピング編集部220、
・認証用共通IDと情報サービス部とのIDのIDマッピング情報を管理するIDマッピングテーブル250、
・IDマッピングテーブルを参照し、IDの変換を行うID変換処理部230、
・認証用共通ID情報を管理する共通ID管理テーブル240
から構成される。
【0012】
本発明によるIDマッピング情報登録装置は、キーボード等の入力手段、液晶等の表示手段、メモリ等の記憶手段、中央演算装置等により構成されるもので、図1の情報サービス部100の認証処理部110、アカウント編集部120、IDマッピング指示部130、及び認証基盤200の認証処理部210、セキュアIDマッピング編集部220、ID変換処理部230はそれぞれ情報サービス部100及び認証基盤200の中央演算装置の動作を制御するプログラムのモジュールに従って前記中央演算装置を便宜的に分割したものであり、ログインID管理テーブル140、共通ID管理テーブル240、IDマッピングテーブル250は記憶手段によって構成される。
【0013】
本実施の形態では、ユーザが端末により情報サービス用のアカウント情報をアカウント編集部120で編集するのと連動して、自動でIDマッピングテーブル250の編集を指示するIDマッピング指示部130と、ユーザに対する複数の認証処理を実施した後にIDマッピングテーブル250を編集するセキュアIDマッピング編集部220を持つことにより、既存のアカウントまたは新規作成したアカウントを用いて、ユーザが端末を介してIDマッピングテーブル250を編集することができ、編集するユーザのなりすましが防止できる複数の認証処理の実施を可能とする。
【0014】
以下、実施の形態1の処理の流れを説明する。図1中の○枠数字は、以下に説明する( )内数字の処理との対応関係を示す。
(1).ユーザは端末により、まず認証基盤200を経由せず、情報サービス部100に対してWebブラウザ等により直接アクセスする。情報サービス部100では、認証処理部110によりログインID管理テーブル140を参照し、ユーザの認証を行う。認証処理部110で認証した結果はセッション情報などに認証情報として格納され、ユーザの端末−情報サービス部100間で、例えば情報サービス部100に一定期間保持される。
(2).認証情報が保持された状態でユーザが端末によりIDマッピング指示部130にIDマッピング情報登録のアクセスをすると、IDマッピング指示部130は認証情報に包含された情報サービスを利用する際のユーザのログインIDを取得する。
(3).IDマッピング指示部130は取得したログインIDを認証基盤200のセキュアIDマッピング編集部220に送信し、認証用共通IDとのマッピング要求を行う。
図2はセキュアIDマッピング編集部220の処理フローを示す。以下図2の処理フローをも参照し説明する。
(4).セキュアIDマッピング編集部220は、IDマッピング指示部130からマッピング要求を受けるとIDマッピングテーブル250を参照し、受信したログインIDのIDマッピング情報がIDマッピングテーブル250に存在するか確認する(ST 1)。確認結果を判定し(ST 2)、存在しない場合、ユーザに認証用共通IDでの認証を要求するように伝える(ST 3)。存在する場合、IDマッピング指示部130にその旨を伝え(ST 4)、終了する。
【0015】
(5).セキュアIDマッピング編集部220からの認証要求を受け付けたユーザ端末は、表示装置に表示してユーザに報知し、ユーザがユーザ端末により認証用共通IDでの認証情報を認証処理部210に伝える。
(6).認証処理部210は共通ID管理テーブル240を参照し認証用共通IDでのユーザの認証を行い、認証結果及び認証情報をセキュアIDマッピング編集部220に伝える。
(7).セキュアIDマッピング編集部220は取得した認証結果がOKか否かの確認を行い(ST 5)認証結果がOKである場合、ユーザに対し追加認証を実施する。セキュアIDマッピング編集部220は、追加認証を実施する為、取得した認証情報から認証用共通IDを抽出し、認証用共通IDと既にマッピングされた他情報サービス用のログインIDをIDマッピングテーブル250から検索する(ST 6)。検索結果を判定し(ST 7)、他情報サービス用のログインIDが存在しない場合は、IDマッピング指示部130から受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250に登録する(ST 10)。
【0016】
(8).他情報サービス用のログインIDが存在する場合、セキュアIDマッピング編集部220はユーザに他情報サービス用でのログインIDを要求し、ユーザに他情報サービス用でのログインIDを入力してもらう。他サービス用のログインIDが複数存在した場合は、セキュアIDマッピング編集部220が1つの情報サービス用のログインIDをランダムに選択する(ST 8)。
(9).入力されたログインIDの正誤を判定し(ST 9)、入力ログインIDが正しければ、セキュアIDマッピング編集部220はIDマッピング指示部130から受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250に登録し(ST 10)、登録済の旨、IDマッピング指示部130に返送する(ST 11)。入力されたログインIDが正しくない場合は、IDマッピング情報の登録を中止し、ユーザ端末の表示手段にエラー画面等を表示しユーザに提示し(ST 12)、登録不可の旨、IDマッピング指示部130に返送する(ST 13)。
【0017】
このようにIDマッピングテーブル250にIDマッピング情報を格納することで、次回ユーザは認証基盤200にアクセスし、認証用共通IDで認証された後、情報サービス用のログインIDを用いて情報サービス部100にアクセス可能となる。
この際、認証基盤200では、認証処理部210がID変換処理部230に認証用共通IDを伝え、ID変換処理部230 はIDマッピングテーブル250から、取得した認証用共通IDに合致する情報サービス用のログインIDを検索する。見つかった場合、そのログインIDを用いて情報サービス部100にアクセスする。見つからなかった場合は、ユーザ端末の表示手段にエラー画面等を表示する。
【0018】
以上のように、実施の形態1ではIDマッピングの指示をユーザが情報サービス部100から実施することができ、管理者による全ユーザのIDマッピング情報登録作業に比べ、管理者の登録管理負荷を軽減できる。
また、実施の形態1では、ユーザがIDマッピング情報を登録するが、IDマッピング登録時にマッピングする各IDでの認証と、IDマッピングテーブル250に既に登録された情報をユーザに確認することにより、ユーザのなりすましを防ぐことができる。
また、実施の形態1では、既存のアカウントを用いて各ユーザが情報サービス部100にアクセスした際にユーザ自身のIDマッピング情報の登録を行うことが可能であり、既存のアカウント情報を活用することができる。
【0019】
実施の形態2.
実施の形態1は、マッピングする各IDの認証後にIDマッピングテーブル250に登録された情報をユーザが確認、成功した場合IDマッピング情報を登録するものでしたが、実施の形態2は、マッピングする各IDの認証後にユーザの認証用共通IDと既にマッピングされた他の情報サービス用のログインIDをIDマッピングテーブルから検索し、該当する情報サービス用のログインIDでユーザの認証を実施した結果が成功であれば、IDマッピング情報を登録するものである。実施の形態2に係るIDマッピング登録装置のシステム構成ブロックを図3に示す。
【0020】
図3に示すIDマッピング登録装置において、IDマッピング登録装置10は、情報サービス部A100a、情報サービス部B100bおよび認証基盤200から構成され、情報サービス部A100aと情報サービス部B100bおよび認証基盤200は、これらにアクセスするユーザのユーザ端末とネットワークによる接続で繋がっている。
情報サービス部A100aは、
・自サービス所属ユーザの認証を行う認証処理部110a、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120a、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の登録を指示するIDマッピング指示部130a、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140a
から構成される。
【0021】
情報サービス部B100bは、情報サービス部100aと同様に、
・自サービス所属ユーザの認証を行う認証処理部110b、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120b、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の登録を指示するIDマッピング指示部130b、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140b
から構成される。
【0022】
また、認証基盤200は実施の形態1と同様に、
・認証用共通IDでのユーザの認証を行う認証処理部210、
・IDマッピング指示部130a,130bから要求を受付け、IDマッピング情報を登録するセキュアIDマッピング編集部220、
・認証用共通IDと情報サービス用のログインIDとのIDマッピング情報を管理するIDマッピングテーブル250、
・IDマッピングテーブル250を参照し、IDの変換を行うID変換処理部230、
・認証用共通ID情報を管理する共通ID管理テーブル240
から構成される。
【0023】
実施の形態2の処理の流れを以下に示す。図3中の○枠数字は、以下に説明する( )内数字の処理との対応関係を示す。
(1).ユーザはユーザ端末により、まず認証基盤200を経由せず、情報サービス部A100aに対してWebブラウザ等により直接アクセスする。情報サービス部A100aでは、認証処理部110aでログインID管理テーブル140aを参照し、ユーザの認証を行う。認証処理部110aで認証した結果はセッション情報などに認証情報として格納され、ユーザ端末−情報サービス部A100a間で、例えば情報サービス部A100aに一定期間保持される。
(2).認証情報が保持された状態でユーザがユーザ端末によりIDマッピング指示部130aにアクセスすると、IDマッピング指示部130aは認証情報に格納された情報サービスA100aを利用する際のユーザのログインIDを取得する。
(3).マッピング登録の要求を受けたIDマッピング指示部130aは、セキュアIDマッピング編集部220にログインIDを送信し、IDマッピング情報の登録を指示する。
【0024】
セキュアIDマッピング編集部220の処理フローを図4に示す。以下図4の処理フローをも参照し説明する。
(4).セキュアIDマッピング編集部220は、マッピング要求を受けるとIDマッピングテーブル250を参照し、受信したログインIDのIDマッピング情報がIDマッピングテーブル250に存在するかを確認する(ST 1)。確認結果を判定し(ST 2)、存在しない場合、ユーザに認証用共通IDでの認証を行うよう要求する(ST 3)。存在する場合、IDマッピング指示部130aにその旨を伝え(ST 4)、処理を終了する。
(5).ユーザがユーザ端末により認証用共通IDでの認証情報を認証処理部210に伝える。
(6).認証処理部210は、共通ID管理テーブル240を参照し認証用共通IDでのユーザの認証を行い、認証結果及び認証情報をセキュアIDマッピング編集部220に伝える。
(7).セキュアIDマッピング編集部220は取得した認証結果がOKか否かの判定を行い(ST 5)、認証結果がOKである場合、ユーザに対し追加認証を実施する。セキュアIDマッピング編集部220は、追加認証を実施する為、取得した認証情報から認証用共通IDを抽出し、認証用共通IDと既にマッピングされた他サービス用のログインIDをIDマッピングテーブル250から検索する(ST 6)。検索結果を判定し(ST 7)、他サービス用のログインIDが存在しない場合は、IDマッピング指示部130aから受信した情報サービスのログインIDと認証共通IDとのIDマッピング情報をIDマッピングテーブル250に登録する(ST 10)。
【0025】
(8).他サービス用のログインIDが存在する場合、セキュアIDマッピング編集部220は該当する他の情報サービスB100bのIDマッピング指示部130bにユーザの認証を要求する。情報サービス部B100b以外の他サービス用のログインIDが複数存在した場合は、セキュアIDマッピング編集部220が1つの情報サービス用のログインIDを選択する(ST 8)。この際、ランダムに選択する方法や情報サービスに優先度を設定しておく方法がある。
(9).IDマッピング指示部130bはユーザに情報サービス部B100bのログインIDでの認証を要求する(ST 8)。
(10).ユーザが情報サービス部B100bのログインIDでの認証情報を認証処理部110bに伝える。
(11).認証処理部110bは認証結果及び認証情報をIDマッピング指示部130b経由でセキュアIDマッピング編集部220に伝える。
(12).セキュアIDマッピング編集部220は取得した認証結果がOKであり、かつ、認証処理部110bから取得した認証情報から抽出したログインIDとユーザの認証用共通IDとマッピングされた情報サービス部100bのログインIDが一致か否かを判定し(ST 14)、一致する場合、IDマッピング情報をIDマッピングテーブル250に登録し(ST 10)、登録済の旨、IDマッピング指示部130bに返送する(ST 11)。上記の条件に当てはまらない場合、IDマッピング情報の登録を中止し、ユーザ端末の表示手段にエラー画面等を表示してユーザに提示し(ST 12)、登録不可の旨、IDマッピング指示部130bに返送する(ST 13)。
【0026】
実施の形態1では、認証基盤管理者が認証基盤200上の情報(認証共通ID情報とIDマッピング情報)を不正入手した場合にはIDマッピング情報の不正登録が可能であったが、実施の形態2では、認証基盤200だけでなく、マッピング要求した情報サービス部以外の情報サービス部でも認証処理を実施することにより、前述の認証基盤管理者による不正登録を防ぐことができる。
【0027】
実施の形態3.
実施の形態2では、ユーザが情報サービス部のIDマッピング指示部にアクセスすることにより、IDマッピング情報の登録処理を実施することができた。実施の形態3では、ユーザが情報サービス部に新規アカウントを作成した際に、自動でIDマッピング情報の登録処理を起動する。
図5に実施の形態3に係るIDマッピング登録装置のシステム構成を表すブロック図を示す。
【0028】
図5に示すIDマッピング登録装置において、IDマッピング登録装置10は、情報サービス部A100a、情報サービス部B100bおよび認証基盤200から構成され、情報サービス部A100aと情報サービス部B100bおよび認証基盤200は、これらにアクセスするユーザのユーザ端末とネットワークによる接続で繋がっている。
情報サービス部A100aは、
・自サービス所属ユーザの認証を行う認証処理部110a、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120a、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の登録を指示するIDマッピング指示部130a、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140a
から構成される。
【0029】
情報サービス部B100bは、情報サービス部100aと同様に、
・自サービス所属ユーザの認証を行う認証処理部110b、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120b、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の登録を指示するIDマッピング指示部130b、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140b
から構成される。
【0030】
本発明の実施の形態3に係る認証基盤200は、
・認証用共通IDでのユーザの認証を行う認証処理部210、
・IDマッピング指示部130a、130bから要求を受付け、IDマッピング情報を登録するセキュアIDマッピング編集部220、
・認証用共通IDと情報サービスとのIDのIDマッピング情報を管理するIDマッピングテーブル250、
・IDマッピングテーブル250を参照し、IDの変換を行うID変換処理部230、
・認証用共通ID情報を管理する共通ID管理テーブル240
から構成される。
【0031】
実施の形態3の処理の流れを以下に示す。図5中の○枠数字が( )内数字の処理に対応する。
(1).ユーザが端末により情報サービス部A100aにアクセスし、アカウント編集部120aにより新規アカウント(情報サービス部A100aのログインID、パスワード等)を作成する。作成したアカウント情報はログインID管理テーブル140aに格納する。
(2).アカウント編集部120aはログインID管理テーブル140aへのアカウント情報の格納が完了すると、新規作成したアカウントのログインIDをIDマッピング指示部130aに伝え、認証用共通IDとのマッピングの登録を要求する。
(3).マッピング登録の要求を受けたIDマッピング指示部130aは、セキュアIDマッピング編集部220にログインIDを送信し、IDマッピング情報の登録を指示する。
(4).セキュアIDマッピング編集部220は、マッピング要求を受けるとIDマッピングテーブル250を参照し、受信したログインIDのIDマッピング情報がIDマッピングテーブル250に存在するか確認する。存在しない場合、ユーザに認証用共通IDでの認証を要求する。存在する場合、IDマッピング指示部130aにその旨を伝え、処理を終了する。
【0032】
(5).ユーザが認証用共通IDでの認証情報を認証処理部210に伝える。
(6).認証処理部210は共通ID管理テーブル240を参照し認証用共通IDでのユーザの認証を行い、認証結果及び認証情報をセキュアIDマッピング編集部220に伝える。
(7).セキュアIDマッピング編集部220は取得した認証結果がOKである場合、ユーザに対し追加認証を実施する。セキュアIDマッピング編集部220は、追加認証を実施する為、取得した認証情報から認証用共通IDを抽出し、認証用共通IDと既にマッピングされた他サービス用のログインIDをIDマッピングテーブル250から検索する。他サービス用のログインIDが存在しない場合は、IDマッピング指示部130aから受信した情報サービスのログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250に登録する。
(8).他サービス用のログインIDが存在する場合、セキュアIDマッピング編集部220は該当する他サービスB100bのIDマッピング指示部130bにユーザの認証を要求する。他サービス用のログインIDが複数存在した場合は、セキュアIDマッピング編集部220が1つの情報サービス用のログインIDを選択する。この際、ランダムに選択する方法や情報サービスに優先度を設定しておく方法がある。
【0033】
(9).IDマッピング指示部130bはユーザに情報サービス部B100bのログインIDでの認証を行うように要求する。
(10).ユーザが情報サービス部B100bのログインIDでの認証情報を認証処理部110bに伝える。
(11).認証処理部110bは認証結果及び認証情報をIDマッピング指示部130b経由でセキュアIDマッピング編集部220に伝える。
(12).セキュアIDマッピング編集部220は取得した認証結果がOKであり、かつ、認証処理部110bから取得した認証情報から抽出したログインIDとユーザの認証用共通IDとマッピングされた情報サービス部B100bのログインIDが一致する場合、IDマッピング情報を登録する。上記の条件に当てはまらない場合、IDマッピング情報の登録を中止し、ユーザ端末の表示装置にエラー画面等を表示する。
【0034】
実施の形態2では、ユーザが情報サービスに新規アカウントを作成した場合にIDマッピング情報の登録をするにはIDマッピング指示部にアクセスする必要があったが、実施の形態3では新規アカウントを作成するのと連動してIDマッピング情報の登録処理を起動することができる。これにより、IDマッピング情報の登録処理の手間を省き、またユーザのIDマッピング情報登録処理の未実施を防ぐことが可能となる。
【0035】
実施の形態4.
実施の形態3では、IDマッピング情報の登録しか実施できなかった。実施の形態4では、情報サービスのアカウント編集部とIDマッピング指示部、認証基盤200のセキュアIDマッピング編集部にIDマッピングの登録処理以外に、更新、削除処理も扱えるように拡張する。実施の形態4に係るIDマッピング登録装置のシステム構成ブロックを図6に示す。
【0036】
図6に示す実施の形態4に係るIDマッピング登録装置において、IDマッピング登録装置10は、情報サービス部A100a、情報サービス部B100bおよび認証基盤200から構成され、情報サービス部A100aと情報サービス部B100bおよび認証基盤200は、これらにアクセスするユーザのユーザ端末とネットワークによる接続で繋がっている。
情報サービス部A100aは、
・自サービス所属ユーザの認証を行う認証処理部110a、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120a、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の編集(登録・更新・削除)を指示するIDマッピング指示部130a、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140a
から構成される。
【0037】
情報サービス部B100bは、情報サービス部100aと同様に、
・自サービス所属ユーザの認証を行う認証処理部110b、
・自サービス所属ユーザのアカウント情報を編集するアカウント編集部120b、
・自サービス所属ユーザのログインIDと認証基盤での認証用共通IDのIDマッピング情報の編集(登録・更新・削除)を指示するIDマッピング指示部130b、
・自サービス所属ユーザのアカウント情報を管理するログインID管理テーブル140b
から構成される。
【0038】
また、本実施の形態4に係る認証基盤200は実施の形態2と同様に、
・認証用共通IDでのユーザの認証を行う認証処理部210、
・IDマッピング指示部130a,130bから要求を受付け、IDマッピング情報を編集するセキュアIDマッピング編集部220、
・認証用共通IDと情報サービスとのIDのIDマッピング情報を管理するIDマッピングテーブル250、
・IDマッピングテーブル250を参照し、IDの変換を行うID変換処理部230、
・認証共通ID情報を管理する共通ID管理テーブル240
から構成される。
【0039】
実施の形態4の処理の流れを以下に説明する。以下では削除処理について述べる。尚、登録、更新時も同様の処理の流れである。また、図6中の○枠数字は、以下に説明する( )内数字の処理との対応関係を示す。
(1).ユーザが情報サービスA100aにアクセスし、認証処理部110aで認証を行う。認証した結果はセッション情報などに認証情報として格納され、ユーザ端末−Web情報サービスA間で、例えばユーザ端末に一定期間保持される。
(2).認証情報を保持したユーザ端末を用いてユーザがアカウント編集部120aにアクセスし、ユーザ自身のログインIDの削除要求を行う。アカウント編集部120aはログインID管理テーブル140aからユーザ情報を削除する。
(3).アカウント編集部120aはログインID管理テーブル140aへの削除処理が完了すると、削除したログインIDをIDマッピング指示部130aに伝え、認証用共通IDとのIDマッピング情報のIDマッピングテーブル250からの削除を要求する。
(4).IDマッピング情報削除の要求を受けたIDマッピング指示部130aは、セキュアIDマッピング編集部220にログインIDを送信し、IDマッピング情報のIDマッピングテーブル250からの削除を指示する。
【0040】
セキュアIDマッピング編集部220の処理フローを図7に示す。
(5).セキュアIDマッピング編集部220は、IDマッピング情報の削除要求を受けるとIDマッピングテーブル250を参照し、受信したログインIDのIDマッピング情報がIDマッピングテーブル250に存在するか確認する(ST 1)。次に確認結果を判定する(ST 2)。
このWebサービスのログインID登録確認(ST 1)後の判定「(登録済み?)==(要求が登録?)」(ST 2)は、要求がIDマッピング情報の登録で、IDマッピングテーブル250に既にマッピング要求したログインIDが存在する場合に真(Yes)となり、要求NGの旨をIDマッピング指示部130に返す。また、要求がIDマッピング情報の更新または削除で、IDマッピングテーブル250にマッピング要求したログインIDが存在しない場合も真(Yes)となり、要求NGの旨をIDマッピング指示部130に返す。
判定(ST 2)結果が、マッピング要求したログインIDが存在しない場合Yesとなり、IDマッピング指示部130aにその旨を伝え(ST 4)、終了する。判定結果が、マッピング要求したログインIDが存在する場合Noとなり、ユーザに認証用共通IDでの認証を要求する(ST 3)。
(6).ユーザが認証用共通IDでの認証情報を認証処理部210に伝える。
(7).認証処理部210は、共通ID管理テーブル240を参照し認証用共通IDでのユーザの認証を行い、認証結果及び認証情報をセキュアIDマッピング編集部220に伝える。
(8).セキュアIDマッピング編集部220は認証処理部210から取得した認証結果がOKか否かの判定を行い(ST 5)、認証結果がNOである場合、ユーザ端末の表示手段にエラー画面等を表示してユーザに提示し(ST 12)、削除不可の旨、IDマッピング指示部130bに返送 (ST 13)し、処理を終了する。
認証の判定(ST 5)結果がOKである場合、ユーザに対し追加認証を実施する。セキュアIDマッピング編集部220は、追加認証を実施する為、取得した認証情報から認証用共通IDを抽出し、認証用共通IDと既にマッピングされた他サービス用のログインIDをIDマッピングテーブル250から検索する(ST 6)。この検索結果を判定し(ST 7)、他サービス用のログインIDが存在しない場合は、要求が何であったかを判定し(ST 19)、要求がIDマッピング情報の削除であることを確認し、IDマッピング指示部130aから受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250から削除する(ST 17)。その後、削除した旨、IDマッピング指示部130aに返送する(ST 18)。
【0041】
(9).検索結果の判定(ST 7)により、他サービス用のログインIDが存在する場合、セキュアIDマッピング編集部220は該当する他サービス部100bのIDマッピング指示部130bにユーザの認証を要求する。他サービス用のログインIDが複数存在した場合は、セキュアIDマッピング編集部220が1つの情報サービス用のログインIDを選択する。この際、ランダムに選択する方法や情報サービスに優先度を設定しておく方法がある。
(10).IDマッピング指示部130bはユーザに情報サービス部100bのログインIDでの認証を要求する(ST 8)。
(11).ユーザが情報サービス部100bのログインIDでの認証情報を認証処理部110bに伝える。
(12).認証処理部110bは、情報サービス部100bのログインIDでのユーザの認証を行い、認証結果及び認証情報をIDマッピング指示部130b経由でセキュアIDマッピング編集部220に伝える。
(13).セキュアIDマッピング編集部220は取得した認証結果がOKであり、かつ、認証処理部110bから取得した認証情報から抽出したログインIDとユーザの認証用共通IDとマッピングされた情報システム100bのログインIDが一致するか否かを判定し(ST 9)、一致する場合、要求が何であったかを判定し(ST 19)、IDマッピング情報の削除であることを確認し、IDマッピング指示部130bから受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250から削除し(ST 17) 、削除した旨、IDマッピング指示部130bに返送する(ST 18)。
【0042】
セキュアIDマッピング編集部220は、認証処理部110bから取得した認証情報から抽出したログインIDとユーザの認証用共通IDとマッピングされた情報システム100bのログインIDが一致、不一致の判定結果(ST 9)が不一致の場合、ユーザ端末の表示手段にエラー画面等を表示してユーザに提示し(ST 12)、削除不可の旨、IDマッピング指示部130bに返送する(ST 13)。
【0043】
IDマッピング情報の更新時も削除と同様な処理の流れであり、要求の処理が何であったかを確認する判定(ST 19)結果が、IDマッピング情報の更新の場合は、セキュアIDマッピング編集部220は、IDマッピング指示部130bから受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250のIDマッピング情報と更新し(ST 15) 、更新した旨、IDマッピング指示部130bに返送する(ST 16)。
【0044】
また、IDマッピング情報の登録時も削除と同様な処理の流れであり、要求の処理が何であったかを確認する判定(ST 19)結果が、IDマッピング情報の登録の場合は、セキュアIDマッピング編集部220は、IDマッピング指示部130bから受信した情報サービス用のログインIDと認証用共通IDとのIDマッピング情報をIDマッピングテーブル250のIDマッピング情報を登録し(ST 10) 、更新した旨、IDマッピング指示部130bに返送する(ST 11)。
【0045】
実施の形態3では、IDマッピング情報の登録処理しか実施できなかったが、実施の形態4ではIDマッピング情報の更新・削除処理を実施することができる。
また、実施の形態4では、情報サービスでのアカウント情報の更新・削除に連動して、IDマッピング情報の更新・削除処理が実施の可能であり、IDマッピング情報の更新・削除処理の手間を省き、またユーザのIDマッピング情報更新・削除処理の未実施を防ぐことが可能となる。
【産業上の利用可能性】
【0046】
本発明は電子的な証明情報に基づいてサービスを利用する情報処理装置に利用可能であり、特に複数の異なる情報検索サービス部門を利用する情報検索サービスシステムへの利用に適する。
【符号の説明】
【0047】
10;IDマッピング登録装置、100;情報サービス部、110,110a,110b;認証処理部、120,120a,120b;アカウント編集部、130,130a,130b;IDマッピング指示部、140,140a,140b;ログインID管理テーブル、200;認証基盤、210;認証処理部、220;セキュアIDマッピング編集部、230;ID変換処理部、240;共通ID管理テーブル、250;IDマッピングテーブル。
【特許請求の範囲】
【請求項1】
ユーザが操作するユーザ端末と、ユーザ端末からの認証要求処理を実施する認証基盤と、ユーザ端末からの要求に応じ情報サービスを提供する情報サービス部とを備え、これらが互いに通信可能に接続され、認証基盤での一度の認証で、複数の情報サービス部を個別のIDで利用可能とするIDマッピング情報登録装置において、
前記情報サービス部は、
ユーザ端末からのIDマッピング情報登録の信号により自情報サービス用のログインIDと認証用共通IDとをマッピングするIDマッピング情報の登録を指示する信号を出力するIDマッピング指示手段を備え、
前記認証基盤は、
認証用共通IDと情報サービス用のログインIDとのマッピング情報を記録するIDマッピングテーブルと、
前記IDマッピング指示手段からの指示信号を受付け、認証用共通IDでの認証と情報サービス用のログインIDでの認証、及び、前記IDマッピングテーブルに既に登録された他の情報サービス用のログインIDが存在する場合に、そのログインIDを用いた認証が成功した場合に前記IDマッピングテーブルにIDマッピング指示手段が指示するIDマッピング情報を登録するセキュアIDマッピング編集手段と
を備えることを特徴とするIDマッピング情報登録装置。
【請求項2】
前記情報サービス部に自情報サービス用のログインIDを含有する新規アカウントを作成するアカウント編集部と、アカウント編集部が作成したログインIDを格納するログインID管理テーブルを備え、
アカウント編集部はユーザ端末から新規ログインIDの登録要求の信号があったとき、ログインIDを含有する新規アカウントを作成し、作成した新規アカウントのログインIDをログインID管理テーブルに格納した後、IDマッピング指示手段が自情報サービス用のログインIDと認証用共通IDとのIDマッピング情報の登録を指示する信号用の新規作成ログインIDをIDマッピング指示手段に送信する構成にされたことを特徴とする請求項1に記載のIDマッピング情報登録装置。
【請求項3】
アカウント編集部は、ユーザ端末からIDマッピングテーブルに登録されたマッピング情報の削除または更新ログインIDが付随されて更新要求の信号があったとき、所属する情報サービス部のログインID管理テーブルのログインIDを削除またはアカウント編集部作成の更新ログインIDに更新した後、自情報サービス部のIDマッピング指示手段を介して、認証基盤のセキュアIDマッピング編集手段にIDマッピングテーブルに登録されたマッピング情報の削除または更新要求の信号を送信し、
セキュアIDマッピング編集手段は、マッピング情報の削除または更新要求のあったIDマッピング指示手段が属する情報サービス部用のログインIDとIDマッピングテーブルに他情報サービス部用のログインIDが存在するとき、双方のログインIDのユーザに対する認証が正しいとき、IDマッピングテーブルのマッピング情報を削除または更新する構成にされたことを特徴とする請求項2に記載のIDマッピング情報登録装置。
【請求項4】
互いに通信可能に接続されたユーザの操作するユーザ端末と、ユーザ端末からの認証要求処理を実施する認証基盤と、ユーザ端末からの要求に応じ情報サービスを提供する情報サービス部とを用い、認証基盤での一度のユーザ認証で、複数の情報サービス部を個別のIDで利用可能とするIDマッピング情報登録方法において、
ユーザ端末からのIDマッピング情報登録の信号により、前記情報サービス部が自情報サービス用のログインIDと認証用共通IDとのマッピングを指示する信号を出力するIDマッピング指示工程、
前記認証基盤が前記IDマッピング指示工程からの指示信号を受付け、認証用共通IDでの認証と情報サービス用のログインIDでの認証を行う工程と、認証用共通IDと情報サービス用のログインIDとのマッピング情報が記録されたIDマッピングテーブルに既に登録されている他の情報サービス用のログインIDが存在するか否かを検索する工程と、他の情報サービス用のログインIDが存在するとき、他の情報サービス用のログインIDを用いた認証を行う工程と、認証用共通IDでの認証と情報サービス用のログインIDでの認証、および他の情報サービス用のログインIDを用いた認証が成功した場合、前記IDマッピングテーブルにIDマッピング指示工程が指示するIDマッピング情報を登録するセキュアIDマッピング編集工程と
を備えることを特徴とするIDマッピング情報登録方法。
【請求項1】
ユーザが操作するユーザ端末と、ユーザ端末からの認証要求処理を実施する認証基盤と、ユーザ端末からの要求に応じ情報サービスを提供する情報サービス部とを備え、これらが互いに通信可能に接続され、認証基盤での一度の認証で、複数の情報サービス部を個別のIDで利用可能とするIDマッピング情報登録装置において、
前記情報サービス部は、
ユーザ端末からのIDマッピング情報登録の信号により自情報サービス用のログインIDと認証用共通IDとをマッピングするIDマッピング情報の登録を指示する信号を出力するIDマッピング指示手段を備え、
前記認証基盤は、
認証用共通IDと情報サービス用のログインIDとのマッピング情報を記録するIDマッピングテーブルと、
前記IDマッピング指示手段からの指示信号を受付け、認証用共通IDでの認証と情報サービス用のログインIDでの認証、及び、前記IDマッピングテーブルに既に登録された他の情報サービス用のログインIDが存在する場合に、そのログインIDを用いた認証が成功した場合に前記IDマッピングテーブルにIDマッピング指示手段が指示するIDマッピング情報を登録するセキュアIDマッピング編集手段と
を備えることを特徴とするIDマッピング情報登録装置。
【請求項2】
前記情報サービス部に自情報サービス用のログインIDを含有する新規アカウントを作成するアカウント編集部と、アカウント編集部が作成したログインIDを格納するログインID管理テーブルを備え、
アカウント編集部はユーザ端末から新規ログインIDの登録要求の信号があったとき、ログインIDを含有する新規アカウントを作成し、作成した新規アカウントのログインIDをログインID管理テーブルに格納した後、IDマッピング指示手段が自情報サービス用のログインIDと認証用共通IDとのIDマッピング情報の登録を指示する信号用の新規作成ログインIDをIDマッピング指示手段に送信する構成にされたことを特徴とする請求項1に記載のIDマッピング情報登録装置。
【請求項3】
アカウント編集部は、ユーザ端末からIDマッピングテーブルに登録されたマッピング情報の削除または更新ログインIDが付随されて更新要求の信号があったとき、所属する情報サービス部のログインID管理テーブルのログインIDを削除またはアカウント編集部作成の更新ログインIDに更新した後、自情報サービス部のIDマッピング指示手段を介して、認証基盤のセキュアIDマッピング編集手段にIDマッピングテーブルに登録されたマッピング情報の削除または更新要求の信号を送信し、
セキュアIDマッピング編集手段は、マッピング情報の削除または更新要求のあったIDマッピング指示手段が属する情報サービス部用のログインIDとIDマッピングテーブルに他情報サービス部用のログインIDが存在するとき、双方のログインIDのユーザに対する認証が正しいとき、IDマッピングテーブルのマッピング情報を削除または更新する構成にされたことを特徴とする請求項2に記載のIDマッピング情報登録装置。
【請求項4】
互いに通信可能に接続されたユーザの操作するユーザ端末と、ユーザ端末からの認証要求処理を実施する認証基盤と、ユーザ端末からの要求に応じ情報サービスを提供する情報サービス部とを用い、認証基盤での一度のユーザ認証で、複数の情報サービス部を個別のIDで利用可能とするIDマッピング情報登録方法において、
ユーザ端末からのIDマッピング情報登録の信号により、前記情報サービス部が自情報サービス用のログインIDと認証用共通IDとのマッピングを指示する信号を出力するIDマッピング指示工程、
前記認証基盤が前記IDマッピング指示工程からの指示信号を受付け、認証用共通IDでの認証と情報サービス用のログインIDでの認証を行う工程と、認証用共通IDと情報サービス用のログインIDとのマッピング情報が記録されたIDマッピングテーブルに既に登録されている他の情報サービス用のログインIDが存在するか否かを検索する工程と、他の情報サービス用のログインIDが存在するとき、他の情報サービス用のログインIDを用いた認証を行う工程と、認証用共通IDでの認証と情報サービス用のログインIDでの認証、および他の情報サービス用のログインIDを用いた認証が成功した場合、前記IDマッピングテーブルにIDマッピング指示工程が指示するIDマッピング情報を登録するセキュアIDマッピング編集工程と
を備えることを特徴とするIDマッピング情報登録方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−234435(P2012−234435A)
【公開日】平成24年11月29日(2012.11.29)
【国際特許分類】
【出願番号】特願2011−103611(P2011−103611)
【出願日】平成23年5月6日(2011.5.6)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成24年11月29日(2012.11.29)
【国際特許分類】
【出願日】平成23年5月6日(2011.5.6)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]