JP2005346571A - Authentication system and authentication method - Google Patents
Authentication system and authentication method Download PDFInfo
- Publication number
- JP2005346571A JP2005346571A JP2004167539A JP2004167539A JP2005346571A JP 2005346571 A JP2005346571 A JP 2005346571A JP 2004167539 A JP2004167539 A JP 2004167539A JP 2004167539 A JP2004167539 A JP 2004167539A JP 2005346571 A JP2005346571 A JP 2005346571A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- request
- information
- server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークを介してWebアプリケーションを利用する利用者の認証を行う認証システム及び認証方法に関するものである。 The present invention relates to an authentication system and an authentication method for authenticating a user who uses a Web application via a network.
従来、利用者が利用者端末よりネットワークを介してアプリケーションサーバにログインする時には、アプリケーションサーバは、あらかじめ利用者に対して発行したユーザIDとパスワードを参照して、ログイン時に利用者端末から受信したユーザID及びパスワードが参照したものと一致するか否かを検証し、一致すれば利用者を認証し、そのログインを許可していた。 Conventionally, when a user logs in to an application server from a user terminal via a network, the application server refers to the user ID and password issued to the user in advance, and the user received from the user terminal at the time of login It is verified whether the ID and password match those referenced, and if they match, the user is authenticated and the login is permitted.
また、複数のアプリケーションサーバを利用する時に、それらのうちの一つにログインが許可されることで他のアプリケーションサーバにも自動的にログインが許可されるSSO(シングルサインオン)と呼ばれる機能がある。 In addition, when using a plurality of application servers, there is a function called SSO (single sign-on) in which one of them is allowed to log in, and other application servers are automatically allowed to log in. .
一般的に、SSOを実現するためには、ユーザID及びパスワードを集約的に管理し、一元的に利用者を認証する認証サーバが用いられている。特に、SSOに参加するアプリケーションサーバの各々が異なるインターネットドメインに属する場合、ユーザID及びパスワードなどの認証情報を共有するために認証サーバを利用することが必須となっていた(例えば、特許文献1参照。)。 Generally, in order to realize SSO, an authentication server that centrally manages user IDs and passwords and centrally authenticates users is used. In particular, when each of application servers participating in SSO belongs to different Internet domains, it is essential to use an authentication server in order to share authentication information such as a user ID and a password (see, for example, Patent Document 1). .)
しかしながら、上述した認証システムにおいては、アプリケーションサーバが認証サーバを利用できなくなると、ユーザを全く認証できなくなってしまうため、他のアプリケーションサーバとのSSOを実現できないだけでなく、個々のアプリケーションサーバも利用できなくなってしまうという問題がある。例えば、運用者が認証サーバの定期的なメンテナンスを行う場合や、認証サーバが故障した場合や、認証サーバとアプリケーションサーバとの間での通信障害があった場合などに、アプリケーションサーバは認証サーバを利用できなくなる。 However, in the above-described authentication system, if the application server cannot use the authentication server, the user cannot be authenticated at all. Therefore, SSO with other application servers cannot be realized, and individual application servers are also used. There is a problem that it will not be possible. For example, when an operator performs regular maintenance of the authentication server, when the authentication server fails, or when there is a communication failure between the authentication server and the application server, the application server It becomes unavailable.
本発明は、上述した事情を考慮してなされたもので、シングルサインオンの環境を実現する認証サーバが機能しなくなった場合でも、各アプリケーションサーバにおいて利用者の認証処理を可能とすることができる認証システム及び認証方法を提供することを目的とする。 The present invention has been made in consideration of the above-described circumstances, and even when an authentication server that realizes a single sign-on environment stops functioning, it is possible to perform user authentication processing in each application server. An object is to provide an authentication system and an authentication method.
この発明は、上述した課題を解決すべくなされたもので、本発明による認証システムにおいては、ネットワークを介して利用者端末へ種々のサービスを提供する複数のアプリケーションサーバと、前記サービスの利用を要求する前記利用者端末の利用者の認証を行う認証サーバシステムとを備える認証システムであって、前記アプリケーションサーバは、前記ネットワークを介して前記利用者端末からサービスの要求を受信する受信手段と、前記受信手段がサービスの要求を受信した場合に、前記利用者端末経由で前記認証サーバシステムに利用者の認証を行うための認証情報を発行するよう依頼する認証情報依頼手段と、前記認証情報依頼手段の依頼に応じて前記認証サーバシステムから前記利用者端末経由で認証情報を得た場合に、前記認証情報を基に利用者の認証を行う認証手段と、前記認証手段により認証された利用者の利用者端末に前記要求に応じたサービスを提供するサービス提供手段とを具備し、前記認証サーバシステムは、前記認証情報に関する処理を行う認証サーバと、前記アプリケーションサーバの前記認証情報依頼手段からの前記依頼を前記利用者端末経由で受信する受信手段と、前記受信手段の前記依頼の受信に応じて前記認証サーバが停止しているか否かを判断する停止判断手段と、前記停止判断手段において前記認証サーバが停止していると判断した場合には、停止情報を前記依頼の元となるアプリケーションサーバへ通知する通知手段と、前記停止判断手段が停止していないと判断した場合には、前記受信手段が受信した前記依頼を前記認証サーバへ伝達する伝達手段とを具備し、前記認証サーバは、前記伝達手段により伝達された前記依頼に応じて前記認証情報を発行する認証情報発行手段と、前記認証情報発行手段が発行した前記認証情報を前記依頼の元となる前記アプリケーションサーバへ前記利用者端末経由で送信する送信手段とを具備し、前記アプリケーションサーバの前記認証情報依頼手段は、前記停止情報を受信した場合には前記利用者端末へ認証に必要な情報を要求し、前記認証手段は、前記情報の要求に応じて前記利用者端末から得た前記認証に必要な情報を基に利用者の認証を行うことを特徴とする。 The present invention has been made to solve the above-described problems. In the authentication system according to the present invention, a plurality of application servers for providing various services to a user terminal via a network and the use of the services are requested. An authentication server system that authenticates a user of the user terminal, wherein the application server receives a service request from the user terminal via the network; and Authentication information requesting means for requesting the authentication server system to issue authentication information for authenticating a user via the user terminal when the receiving means receives a service request; and the authentication information requesting means When obtaining authentication information from the authentication server system via the user terminal in response to the request, Authentication means for authenticating a user based on certificate information; and service providing means for providing a service in response to the request to a user terminal of the user authenticated by the authentication means, the authentication server system An authentication server that performs processing related to the authentication information, a receiving unit that receives the request from the authentication information requesting unit of the application server via the user terminal, and in response to reception of the request of the receiving unit Stop determination means for determining whether or not the authentication server is stopped; and when the stop determination means determines that the authentication server is stopped, stop information is sent to the application server that is the source of the request. When it is determined that the notifying means for notifying and the stop determining means are not stopped, the request received by the receiving means is sent to the authentication server. A communication means for transmitting, wherein the authentication server issues authentication information issuing means for issuing the authentication information in response to the request transmitted by the transmitting means, and the authentication information issued by the authentication information issuing means. Transmitting means for transmitting via the user terminal to the application server that is the source of the request, and the authentication information requesting means of the application server to the user terminal when receiving the stop information Information required for authentication is requested, and the authentication means authenticates the user based on the information required for the authentication obtained from the user terminal in response to the request for the information.
また、本発明による認証方法においては、ネットワークを介して利用者端末へ種々のサービスを提供する複数のアプリケーションサーバと、前記サービスの利用を要求する前記利用者端末の利用者の認証を行う認証サーバシステムとを備える認証システムを利用した認証方法であって、前記ネットワークを介して前記利用者端末からサービスの要求を受信する受信ステップと、前記受信ステップでサービスの要求を受信した場合に、前記利用者端末経由で前記認証サーバシステムに利用者の認証を行うための認証情報を発行するよう依頼する認証情報依頼ステップと、前記認証情報依頼ステップの依頼に応じて前記認証サーバシステムから前記利用者端末経由で認証情報を得た場合に、前記認証情報を基に利用者の認証を行う第1の認証ステップと、前記認証サーバシステムから認証サーバの停止情報を受信した場合には前記利用者端末へ認証に必要な情報を要求する要求ステップと、前記要求ステップの要求に応じて前記利用者端末から得た前記認証に必要な情報を基に利用者の認証を行う第2の認証ステップと、前記第1の認証ステップまたは前記第2の認証ステップにより認証された利用者の利用者端末に前記要求に応じたサービスを提供するサービス提供ステップとを前記アプリケーションサーバにより行い、前記アプリケーションサーバの前記認証情報依頼ステップによる前記依頼を前記利用者端末経由で受信する受信ステップと、前記受信ステップでの前記依頼の受信に応じて認証サーバが停止しているか否かを判断する停止判断ステップと、前記停止判断ステップにおいて前記認証サーバが停止していると判断した場合には、停止情報を前記依頼の元となるアプリケーションサーバへ通知する通知ステップと、前記停止判断ステップで停止していないと判断した場合には、前記受信ステップで受信した前記依頼を前記認証サーバへ伝達する伝達ステップと、前記伝達ステップにより伝達された前記依頼に応じて前記認証情報を発行する認証情報発行ステップと、前記認証情報発行ステップで発行した前記認証情報を前記依頼の元となる前記アプリケーションサーバへ前記利用者端末経由で送信する送信ステップとを前記認証サーバシステムにより行うことを特徴とする。 In the authentication method according to the present invention, a plurality of application servers that provide various services to a user terminal via a network, and an authentication server that authenticates the user of the user terminal that requests use of the service An authentication method using an authentication system comprising: a receiving step for receiving a service request from the user terminal via the network; and when the service request is received in the receiving step, An authentication information requesting step for requesting the authentication server system to issue authentication information for authenticating a user via a user terminal, and from the authentication server system to the user terminal in response to a request of the authentication information requesting step A first authentication step for authenticating a user based on the authentication information when the authentication information is obtained via And a requesting step for requesting the user terminal for information required for authentication when receiving authentication server stop information from the authentication server system, and obtaining from the user terminal in response to the request of the requesting step. A second authentication step for authenticating a user based on the information necessary for the authentication, and the user terminal of the user authenticated in the first authentication step or the second authentication step in response to the request. A service providing step of providing a corresponding service by the application server, a receiving step of receiving the request by the authentication information requesting step of the application server via the user terminal, and a request of the request in the receiving step A stop determination step for determining whether or not the authentication server is stopped in response to reception, and the stop determination step If it is determined that the authentication server is stopped, a notification step of notifying the stop information to the application server that is the source of the request, and a determination that the stop is not stopped in the stop determination step, A transmission step of transmitting the request received in the reception step to the authentication server; an authentication information issuing step of issuing the authentication information in response to the request transmitted in the transmission step; and issuing in the authentication information issuing step The authentication server system performs a transmission step of transmitting the authentication information to the application server that is the source of the request via the user terminal.
また、本発明によるプログラムは、ネットワークを介して利用者端末へ種々のサービスを提供する複数のアプリケーションサーバと、前記サービスの利用を要求する前記利用者端末の利用者の認証を行う認証サーバシステムとを備える認証システム用のプログラムであって、前記ネットワークを介して前記利用者端末からサービスの要求を受信する受信ステップと、前記受信ステップでサービスの要求を受信した場合に、前記利用者端末経由で前記認証サーバシステムに利用者の認証を行うための認証情報を発行するよう依頼する認証情報依頼ステップと、前記認証情報依頼ステップの依頼に応じて前記認証サーバシステムから前記利用者端末経由で認証情報を得た場合に、前記認証情報を基に利用者の認証を行う第1の認証ステップと、前記認証サーバシステムから認証サーバの停止情報を受信した場合には前記利用者端末へ認証に必要な情報を要求する要求ステップと、前記要求ステップの要求に応じて前記利用者端末から得た前記認証に必要な情報を基に利用者の認証を行う第2の認証ステップと、前記第1の認証ステップまたは前記第2の認証ステップにより認証された利用者の利用者端末に前記要求に応じたサービスを提供するサービス提供ステップとを前記アプリケーションサーバにより行い、前記アプリケーションサーバの前記認証情報依頼ステップによる前記依頼を前記利用者端末経由で受信する受信ステップと、前記受信ステップでの前記依頼の受信に応じて認証サーバが停止しているか否かを判断する停止判断ステップと、前記停止判断ステップにおいて前記認証サーバが停止していると判断した場合には、停止情報を前記依頼の元となるアプリケーションサーバへ通知する通知ステップと、前記停止判断ステップで停止していないと判断した場合には、前記受信ステップで受信した前記依頼を前記認証サーバへ伝達する伝達ステップと、前記伝達ステップにより伝達された前記依頼に応じて前記認証情報を発行する認証情報発行ステップと、前記認証情報発行ステップで発行した前記認証情報を前記依頼の元となる前記アプリケーションサーバへ前記利用者端末経由で送信する送信ステップとを前記認証サーバシステムにより行うことをコンピュータに実行させるためのプログラムである。 In addition, a program according to the present invention includes a plurality of application servers that provide various services to a user terminal via a network, and an authentication server system that authenticates a user of the user terminal that requests use of the service. A program for an authentication system comprising: a receiving step for receiving a service request from the user terminal via the network; and when a service request is received in the receiving step, via the user terminal An authentication information requesting step for requesting the authentication server system to issue authentication information for authenticating a user, and authentication information from the authentication server system via the user terminal in response to a request of the authentication information requesting step A first authentication step for authenticating a user based on the authentication information, and When receiving stop information of the authentication server from the authentication server system, a request step for requesting information necessary for authentication to the user terminal, and the authentication obtained from the user terminal in response to the request of the request step A second authentication step for authenticating the user based on necessary information, and a service in response to the request to the user terminal of the user authenticated by the first authentication step or the second authentication step. A service providing step to be provided by the application server, a reception step of receiving the request by the authentication information requesting step of the application server via the user terminal, and in response to reception of the request in the receiving step In the stop determination step for determining whether the authentication server is stopped, and in the stop determination step, If it is determined that the certificate server is stopped, a notification step of notifying the request server of the stop information and a reception step if it is determined that the certificate server is not stopped in the stop determination step Transmitting the request received in step to the authentication server; issuing an authentication information in response to the request transmitted in the transmission step; issuing the authentication information in the authentication information issuing step A program for causing a computer to execute a transmission step of transmitting authentication information to the application server that is a source of the request via the user terminal by the authentication server system.
本発明による認証システム及び認証方法は、シングルサインオンの環境を実現する認証サーバが機能しなくなった場合でも、各アプリケーションサーバにおいて利用者の認証処理を可能とすることができる。 The authentication system and the authentication method according to the present invention can enable user authentication processing in each application server even when an authentication server that realizes a single sign-on environment stops functioning.
以下添付図面を参照して本発明の好適な実施形態について詳細に説明する。
まず、本発明の一実施形態である認証サーバシステムを含む認証システムの概略構成について説明する。本実施形態における認証システムは、認証サーバシステム自体に各アプリケーションに応じたユーザ情報を持たず、認証サーバシステムが各アプリケーションサーバにユーザ情報を問い合わせることで認証を行なうという分散系の認証システムである。ここで、アプリケーションサーバは、ネットワークを介して利用者端末(クライアントコンピュータ)にアプリケーションサービスを提供するサーバである。図1は、本発明の一実施形態である認証サーバシステムを含む認証システムの構成を模式的に示す図である。
Preferred embodiments of the present invention will be described below in detail with reference to the accompanying drawings.
First, a schematic configuration of an authentication system including an authentication server system according to an embodiment of the present invention will be described. The authentication system in this embodiment is a distributed authentication system in which the authentication server system itself does not have user information corresponding to each application, and the authentication server system performs authentication by inquiring user information from each application server. Here, the application server is a server that provides an application service to a user terminal (client computer) via a network. FIG. 1 is a diagram schematically showing a configuration of an authentication system including an authentication server system according to an embodiment of the present invention.
図1において、100は、インターネットであり、種々のサービスが提供されている通信ネットワークである。インターネット100上では、インターネットサービスプロバイダ(Internet Service Provider, ISP)などの接続手段を用いて世界規模でコンピュータが接続される。各コンピュータはTCP/IPなどの接続プロトコルで通信可能であり、特にHTTP(Hypertext Transfer Protocol)を用いたWWW(World Wide Web)サービスも利用可能である。
In FIG. 1,
図1は、インターネット100上に接続されたクライアントコンピュータ101と、利用者がクライアントコンピュータ101を用いて利用できる複数のアプリケーションサーバ102、104が接続されている。また、認証システムの必要構成要素として、認証サーバシステム106がインターネット100に接続されている。
In FIG. 1, a
ここで、認証サーバシステム106は、アプリケーションサーバ102、104が提供するアプリケーションサービスを利用する利用者の認証処理を行う。すなわち、ネットワーク100を介して接続されたアプリケーションサーバ102、104と、認証サーバシステム106により本実施形態における認証システムが構築されている。また、アプリケーションサーバ102、104には、各々ユーザ情報データベースA・103、ユーザ情報データベースB・105が接続されている。ユーザ情報データベースA・103及びユーザ情報データベースB・105は、利用者に固有のユーザIDと、ユーザIDに関連付けられたパスワードなどの情報を格納する。
Here, the
また、利用者がアプリケーションサービスを利用するには、クライアントコンピュータ101よりブラウザにて「http://www.serviceA.com/」のURLを指定することでアプリケーションサーバ102にアクセスしてアプリケーションサービスAを利用することができる。同様に、クライアントコンピュータ101よりブラウザにて「http://www.serviceB.com/」のURLを指定することでアプリケーションサーバ104にアクセスしてアプリケーションサービスBを利用することができる。但し、利用者が上述したアプリケーションサービスA、Bを利用するには、認証システムにより認証される必要がある。
In order for the user to use the application service, the
次に、図1に示した認証システムにおける機能構成について説明する。
図2は、図1に示した認証システムの機能構成を示す図である。クライアントコンピュータ101は、ユーザエージェント211を備える。ユーザエージェント211としてはNetscape(登録商標)、Mozilla(登録商標)など一般的に入手可能なブラウザを利用することができる。ユーザエージェント211は、利用者が利用を所望するアプリケーションサーバ102にHTTPを主としたプロトコルで接続を行う。この際、利用者を識別するために、あるいは利用者の接続の可否を判断するために認証と呼ばれる処理を行う。矢印26、27に示すように、ユーザエージェント211は、アプリケーションサーバ102、あるいは認証サーバシステム106と通信を行い、アプリケーションサーバ102、あるいは認証サーバシステム106のいずれかによって認証を受ける。
Next, a functional configuration in the authentication system shown in FIG. 1 will be described.
FIG. 2 is a diagram showing a functional configuration of the authentication system shown in FIG. The
尚、本実施形態におけるアプリケーションサーバ102は、インターネットドメイン「serviceA.com」に属し、認証サーバシステム106はアプリケーションサーバ102とは異なるインターネットドメイン「authService.com」に属しているものとする。
In this embodiment, the
アプリケーションサーバ102は、Webサーバ部221、利用者の認証を行う認証エージェント222、Webアプリケーション部223から構成される。ユーザエージェント211から発せられたHTTP要求は、Webサーバ部221によって受信、解析され、認証エージェント222における認証処理を通過できた場合(認証された場合)、Webアプリケーション部223に転送される。さらに認証エージェント部222はユーザ認証部222aおよび認証中継処理部222bによって構成される。
The
ユーザ認証部222aは、主に利用者が入力したユーザIDとパスワードをユーザ情報データベースA・103に問い合わせを行うことでユーザ認証する機能を有する。認証中継処理部222bは、認証サーバシステム106からの認証中継要求を受信し、同じ認証エージェント部222内のユーザ認証部222aの提供する機能を用いて認証を行う。
The
一般的にアプリケーションサーバは、利用者の情報を登録するために、アプリケーション毎に用意されたユーザ情報を格納するユーザ情報データベースを備える。本実施形態のユーザ情報データベースA・103は、市販あるいは無料で手に入れることができるリレーショナルデータベース管理サーバ上に配置され、データベースベンダーの独自プロトコル、あるいはJDBC(Java(登録商標) DataBase Connectivity)など標準技術を用いた接続方式により、アプリケーションサーバ102に接続される。
In general, an application server includes a user information database that stores user information prepared for each application in order to register user information. The user information database A 103 of this embodiment is arranged on a relational database management server that can be obtained commercially or free of charge, and is a database vendor's original protocol, or a standard such as JDBC (Java (registered trademark) DataBase Connectivity). The
図9は、ユーザ情報データベースA・103の構成例を示す図である。図9に示すように、ユーザ情報データベースA・103は、アプリケーションサービスAを利用する利用者のユーザID(901)及び、そのユーザIDの認証に必要なパスワード(902)をはじめとした、利用者に固有の情報を格納する。具体的には、ユーザ情報データベースA・103は、例えばリレーショナルデータベース管理サーバによる管理の基で実現され、アプリケーションサーバ102からリレーショナルデータベース管理サーバに対してSQLなどの問い合わせ言語を発行することによって、所望のユーザIDを持つ利用者のユーザ情報を取得・変更・削除することができる。
FIG. 9 is a diagram showing a configuration example of the user information database A · 103. As shown in FIG. 9, the user information database A / 103 includes user IDs (901) of users who use the application service A and passwords (902) necessary for authentication of the user IDs. Stores information specific to. Specifically, the user information database A103 is realized based on, for example, management by a relational database management server, and by issuing an inquiry language such as SQL from the
また本実施形態の特徴の一つは、認証エージェント222において、認証のために二つのインターフェースを持つことである。先に説明した、ユーザエージェント211からの認証情報を受け取るユーザ認証部222aはそのうちの一つである。他方のインターフェースは、認証中継処理部222bによって実現される。認証中継処理部222bは、後述する認証サーバシステム106からの認証中継要求を受信し、同じ認証エージェント222内のユーザ認証部222aの提供する機能を用いて認証を行なう。本実施形態では、認証中継処理部222bは、一般の利用者からは利用されることなく、認証サーバシステム106からの要求のみを受け付ける。また、認証中継処理部222bと認証サーバシステム106間の通信(矢印28)は、例えば、例えばW3C(World Wide Web Consortium)が定めるSOAP(Simple Object Access Protocol)1.1によるRPC(Remote Procedure Call)に応じた通信を行う。
Also, one of the features of this embodiment is that the
また、本実施形態の認証エージェント222は、後述する認証サーバシステム106内の認証サーバ310の稼動状態によって認証モードを、ユーザ認証部222aを用いて自分自身で認証を行うローカル認証モードまたは、認証サーバ310と認証中継処理部222bを用いて認証を行うリモート認証モードのいずれかに設定し、その設定モードに関する情報を、認証モード記憶部222cに記憶する。
Further, the
次に、図1、2に示した認証サーバシステム106の内部構成について説明する。図3は、図1、2に示した認証サーバシステム106の内部構成例を示す図である。図3に示すように認証サーバシステム106は、仮想IP提供装置301、認証サーバ310、代替サーバ(通知サーバ)320から構成される。
Next, the internal configuration of the
仮想IP提供装置301は、認証サーバ310および代替サーバ320の前段に位置し、ユーザエージェント211および認証エージェント222から送信された認証サーバシステム106に対する処理要求は全て仮想IP提供装置301によって受信される。すなわち、図3には示していないが仮想IP提供装置301は、インターネット100に接続されている。仮想IP提供装置301は、認証サーバ310の稼動状態を監視しており、認証サーバ310が稼動状態にある場合は、受け取った要求を認証サーバ310へ転送し、認証サーバ310が停止状態にある場合は受け取った要求を代替サーバ320へ転送する機能を持つ。
The virtual IP providing apparatus 301 is positioned in front of the authentication server 310 and the alternative server 320, and all processing requests for the
認証サーバ310は、Webサーバ部311、ユーザ認証部313、認証中継要求部312から構成される。ユーザエージェント211からの認証要求は、Webサーバ部311によって、受信、解析されユーザ認証部313に転送される。本実施形態の特徴の一つは、認証サーバ310にユーザ情報のデータベースを持たないことであるため、認証サーバ310は、対象アプリケーションの認証エージェント(例えばアプリケーションサーバ102の認証エージェント222)に認証を依頼する。また、本実施形態の認証サーバ310において、ユーザ認証部313は、ユーザの認証を、認証中継要求部312に依頼し、さらに認証中継要求部312は、前述したSOAPによるRPCに応じた通信(図2の矢印28)により、認証エージェント222内の認証中継処理部222bに認証要求を行なう。
The authentication server 310 includes a
代替サーバ320は、Webサーバ部321および認証サーバ停止通知部322から構成される。ユーザエージェント211および認証エージェント222からの処理要求は、Webサーバ部321によって受信、解析され認証サーバ停止通知部322へ転送される。認証サーバ停止通知部322は、要求が認証エージェント222からのものであった場合は認証サーバ310が停止している旨を通知し、要求がユーザエージェント211からのものであった場合は認証サーバ310が停止している旨を表す識別子を付加し、アプリケーションサーバ102へ処理要求をリダイレクト(HTTPリダイレクト)する機能を持つ。この認証サーバ310が停止している旨を表す識別子は、例えばURLのパラメータとして付与される。また、認証サーバ310が停止している旨を表す識別子は、HTTPのエラーコードであってもよい。
The alternative server 320 includes a
このように、認証サーバ310が停止時にのみ要求を受け付け、認証サーバ310が停止している旨をアプリケーションサーバ102に通知する代替サーバ320を認証サーバシステム106内に有することで、認証サーバ310を利用したシングルサインオンを利用しながら、認証サーバ310が稼動できない場合には、アプリケーション102に認証処理を依頼する認証システムを構築することができる。また、上述したように認証エージェント222と認証サーバ310に用意された計2系統の認証経路を用意することにより、認証サーバ310を利用したSSOを実現しつつも、アプリケーションサーバ102単独の認証に自動的に切り替えることが可能となり、アプリケーションサーバ102が提供するアプリケーションの利用率を高めることができる。尚、代替サーバ320は、予め登録された複数のアプリケーションサーバに対して認証サーバ310が停止している旨を通知する機能を更に備えてもよい。また、認証サーバ310は、停止した状態から稼動状態へ移行した際に、稼動状態であることを通知する稼動情報を、予め登録した複数のアプリケーションサーバへ通知する機能を備えてもよい。
In this way, the
尚、図2に示すアプリケーションサーバ102は、図1に示した複数台のアプリケーションサーバ102、104のうち、任意の一台を便宜上示している。また、認証システムに含まれるアプリケーションサーバは、図1では2台であったが、これに限定されるものではなく、認証システムが任意の数のアプリケーションサーバを含む構成であってもよい。
The
次に、本実施形態における認証システムにおける利用者の認証処理について図4〜図7及び図10を用いて説明する。
まず、本実施形態の認証システムにおけるログインページを表示するか否かを判断する処理について説明する。図10は、本実施形態におけるログインページを表示するか否かを判断する処理を示す図である。まず、ステップ1001において、利用者が例えばブラウザを操作することにより、クライアントコンピュータ101上にインストールされたユーザエージェント211が、アプリケーションサーバ102に接続要求を送信する。この利用者によるブラウザの操作とは、例えばアプリケーションサーバ102がサービスを提供するURL(Uniform Resource Locator)をブラウザ(ユーザエージェント211)に対して入力する操作である。ユーザエージェント211よって発信された接続要求は、アプリケーションサーバ102内にインストールされたWebサーバ211によって受信され、認証エージェント222内のユーザ認証部222aに転送される。
Next, user authentication processing in the authentication system according to the present embodiment will be described with reference to FIGS.
First, processing for determining whether or not to display a login page in the authentication system of the present embodiment will be described. FIG. 10 is a diagram showing processing for determining whether or not to display a login page in the present embodiment. First, in
ユーザ認証処理部222aでは、まずユーザエージェント211に対して認証情報の入力を要求する必要があるか否かを判断する。ユーザエージェント211に対して認証情報の要求が必要である場合、認証エージェント222は、例えば図12−1のようなHTML記述データ1200を送信することでクライアントコンピュータ101の画面に図12−2に示すログインページ(ログインページ)1210を表示し、利用者に予め利用者登録時に決定したユーザIDとパスワードを入力するよう促す。すなわち、アプリケーションサーバ102は、必要に応じてユーザエージェント211に対してログインページ1210を提示するHTML記述データ1200を送信する。
The user
ユーザエージェント211は、受け取ったHTML記述データ1200を基にログインページ1210を表示し、利用者に入力を促す。利用者は、記憶しているユーザIDとパスワードを入力し、ログインページ1210上に表示されている転送ボタン(図12−2の「Submit」ボタン)を押すことで、アプリケーションサーバ102へのログインを試みる。アプリケーションサーバ102は、ログインページ1210に対して利用者が入力したユーザIDとパスワードの組を、図9に示したユーザ情報データベースA・103に格納されているユーザID(901)、パスワード(902)の組と照合することで、認証を行なう。
The user agent 211 displays a
次に、ステップ1002において、ユーザエージェント211からの要求がログインページへの要求である場合は、認証エージェント222は、明示的なログイン要求を意味するため、条件によらずログインページを生成する(ステップ1003)。具体的には、認証エージェント222は、図12−1に示したようなHTML記述データ1200を生成する。
Next, in
また、ステップ1002において、明示的なログイン要求でない場合、認証エージェント222のユーザ認証部222aは、利用者が既に認証済みであるか否かの判断、即ち、ログインページ1210を表示せずにアプリケーションを利用させて良いか否かの判断を、有効なセッションが存在するか否かで判断する(ステップ1004)。本実施形態においては、ユーザ認証部222aは、有効なセッションの存在確認処理としてCookie(クッキー)と呼ばれる情報を利用することで実現する。
In
Cookieは、Webサーバ221とユーザエージェント211の間で、前回の接続状態を持続的に保持するための情報として広く用いられているものである。本実施形態では、セッションを識別する識別子をセッションCookieとして保持する。セッションCookieとして保持される識別子は、アプリケーションサーバ102とユーザエージェント211間に確立したセッションに対して一対一に生成されるセッションオブジェクトを一意に識別できる識別子であり、利用者が認証された際にセッションオブジェクトに認証済みであるという情報を付加することによって、それ以降の処理要求の際に有効なセッションの確認により認証済みであるか否かも確認することができる。セッションCookieはユーザエージェント211が起動して初めてアプリケーションサーバ102にアクセスした応答に対して発行される。一般にWebアプリケーションでは利用者に対してログアウトボタンを設けており、利用者がこのログアウトボタンを押すことで、セッションを終了することができ、アプリケーションサーバ102上のセッションオブジェクトも破棄される。
Cookie is widely used as information for continuously maintaining the previous connection state between the
次に、ステップ1004において有効なセッション識別子が確認された場合、すでに認証済みの利用者として判断することで認証エージェント222の処理を終了し、Webアプリケーション部223へ処理要求を転送する(ステップ1005)。
Next, when a valid session identifier is confirmed in
また、ステップ1004において有効なセッション識別子が確認されない場合、認証エージェント222は、現在の認証モードがローカル認証モードであるか、リモート認証モードであるかを確認する(ステップ1006)。認証モードは前述の通り、認証サーバ310の稼動状態によって変化し、認証エージェント222の認証モード記憶部222cによって記憶されている。このステップ1006において認証モードがローカル認証モードであると確認された場合は、認証エージェント222はログインページ1210を表示するためのHTML記述データ1200を生成してユーザエージェント211に対して送信する(ステップ1003)。
If a valid session identifier is not confirmed in
一方、ステップ1006において認証モードがリモート認証モードであると確認された場合は、認証エージェント222は認証サーバ310に対してユーザがログインしているか否かを判断するためにリモート認証確認処理に移る(ステップ1007)。すでに認証サーバ310に対してログインが成立していれば、アプリケーションサーバ102に対してもログインを認めることでSSOを実現することができる。
On the other hand, if it is confirmed in
次に、図10のステップ1007におけるリモート認証確認処理について図4を用いて説明する。図4は、図10のステップ1007におけるリモート認証確認処理の詳細を示す図である。
Next, the remote authentication confirmation processing in
まず、認証エージェント222はユーザエージェント211から受け取った要求に認証サーバ310の停止を表す識別子が含まれるか否かを確認する(ステップ401)。この識別子は、前述の代替サーバ320によって処理要求に付加されるものであり、認証サーバ310の稼動中はこの識別子が処理要求に含まれることはないため、処理要求に認証サーバ310の停止を表す識別子が含まれる場合は、認証モード記憶部222cの認証モードをローカル認証モードに変更し(ステップ402)、ログインページ生成処理に進む(ステップ420)。
First, the
一方、ステップ401において受け取った要求に認証サーバ310の停止を表す識別子が含まれない場合は、認証エージェント222は、受け取った要求に後述するSAML(Security Assertion Markup Language) Artifactが含まれているか否かを確認し(ステップ403)、要求にSAML Artifactも含まれていない場合は、ユーザエージェント211が既に認証サーバ310で認証されているか否かを確認する認証確認要求を発行する(ステップ405)。この認証確認要求は、認証サーバシステム106に対するリダイレクト要求をユーザエージェント211に発行することで実現される。
On the other hand, if the request received in
ステップ405の処理による認証サーバシステム106に対する処理要求は、前述の通り、仮想IP提供装置301によって受信される。処理要求を受信した仮想IP提供装置301は、認証サーバ310が稼動中であるか否かを確認し(ステップ409)、認証サーバ310が稼動中であった場合は処理要求を認証サーバ310へ転送することでステップ411へ移行し、認証サーバ310が停止中であると確認された場合は処理要求を代替サーバ320へ転送することでステップ417へ移行する。
The processing request to the
ステップ409において認証確認要求が代替サーバ320へ転送された場合は、要求はWebサーバ部321で受信、解析され、認証サーバ停止通知部322に転送される。これにより認証サーバ停止通知部322は、認証サーバ310の停止を表す識別子を処理要求に付加してユーザエージェント211をアプリケーションサーバ102へリダイレクトして処理を終了する(ステップ417)。ここで付加された識別子は前述の通り、ステップ401において認証エージェント222によって確認される。
If the authentication confirmation request is transferred to the alternative server 320 in
ステップ409において認証確認要求が認証サーバ310へ転送された場合は、要求はWebサーバ部311によって受信、解析され、ユーザ認証処理部313へ転送される。これによりユーザ認証処理部313は、処理要求を受け取ると、認証サーバ310とユーザエージェント211の間で既に有効なセッションが確立しているか否かを判断する(ステップ411)。
If the authentication confirmation request is transferred to the authentication server 310 in
セッションの確認は、アプリケーションサーバ102とユーザエージェント211間でのセッションと同じくセッションCookieによって確認されるが、本実施形態では、認証サーバ310は、アプリケーションサーバ102とは異なるインターネットドメインに属するサーバとして構成されているため、アプリケーションサーバ102に対するセッションとは本質的に異なるセッションとして認識される。有効なセッションが確立している場合は、すでに認証サーバ310にログイン済みであると判断される。セッションの確立が確認できない場合は、認証サーバ310に対するログインが行なわれていない状況と判断し、後述するログイン処理に移る(ステップ413)。
The confirmation of the session is confirmed by the session cookie as in the session between the
認証サーバ310上で有効なセッションが確立された場合、アプリケーションサーバ102に対してログイン済みのユーザ名を一意に通知することが必要である。このための技術としては、標準化団体であるOASIS(Organization for the Advancement of Structured Information Standards)が策定しているSAMLを採用することが望ましい。OASISが発行する標準仕様書Assertions and Protocol for the OASIS Security Assertion Markup Language (SAML) V1.1、およびBindings and Profiles for OASIS Security Assertion Markup Language (SAML) V1.1で詳細に述べられているので本実施形態では詳細に述べないが、認証サーバ310が認証した利用者の認証情報をアプリケーションサーバ102に対して通知する技術として利用することができる(SAML Artifact/Browser Profile)。
When a valid session is established on the authentication server 310, it is necessary to uniquely notify the user name of the user who has logged in to the
以下、本実施形態に適用される、SAML Artifact/Browser Profileについて図8を用いて簡単に説明する。図8は、本実施形態の認証システムにおいてSAMLを利用した認証処理例を示す図である。SAML Artifact/Browser Profileでは、認証サーバ310は、利用者の認証に成功すると、SAML SSO Assertion(以下、Assertionとする)と呼ばれるXML(eXtensible Markup Language)で記述された認証情報を生成する。好適な例としてはSAML SSO Assertionは、アプリケーションサーバ102上での利用者のユーザIDを含む。
Hereinafter, the SAML Artifact / Browser Profile applied to the present embodiment will be briefly described with reference to FIG. FIG. 8 is a diagram showing an example of authentication processing using SAML in the authentication system of the present embodiment. In the SAML Artifact / Browser Profile, the authentication server 310 generates authentication information described in XML (extensible Markup Language) called SAML SSO Association (hereinafter referred to as “Assertion”) when the user is successfully authenticated. As a suitable example, the SAML SSO Association includes the user ID of the user on the
また、認証サーバ310はAssertion(認証情報)を生成するのと同時に、SAML Artifactと呼ばれるAssertionと一対一に対応する短ストリングの識別子を発行する。発行されたSAML Artifactは、アプリケーションサーバ102の認証エージェント222にリダイレクトによって通知される(ステップ5、6)。リダイレクトによる接続要求を受け取ったアプリケーションサーバ102は接続要求に含まれているSAML Artifactを取り出し、SAMLで定められるSOAP上に実現されたプロトコルにより、Assertionを要求する(ステップ7)。このとき、Assertion要求は、受け取ったSAML Artifactを引数として発行される。SOAPエンジンを介してAssertion要求を受け取った認証サーバ310は、Assertion要求に含まれるSAML Artifactと一意に対応するAssertionを検索する。該当するAssertionが見つかった場合、認証サーバ310は、アプリケーションサーバ102に対して、先のAssertion要求の返答として、見つかったAssertion(認証情報)を送信する(ステップ8)。アプリケーションサーバ102は、Assertionを解析することによって、ユーザエージェント211を利用する利用者のアプリケーションサーバ102上でのユーザIDを知ることができる。
Further, at the same time as generating the authentication (authentication information), the authentication server 310 issues a short string identifier corresponding to the assertion called SAML Artifact. The issued SAML Artifact is notified to the
ここで、図4の処理の説明に戻り、ステップ411において、有効なセッションIDが確認された場合は、ユーザ認証部313はSAML Artifactを付加してユーザエージェント211をアプリケーションサーバ102へリダイレクトする(ステップ412)。ここで付加されたSAML Artifactは、ステップ403において確認される。尚、このステップ412の処理は、図8のステップ5、6の処理に対応する。
Returning to the description of the processing in FIG. 4, when a valid session ID is confirmed in
ステップ403において処理要求にSAML Artifactが含まれていた場合、認証エージェント222は認証サーバシステム106に対してAssertion(認証情報)を要求する(ステップ404)。尚、このステップ404の処理は、図8のステップ7の処理に対応する。
If SAML Artifact is included in the processing request in
Assertion要求は認証確認要求と同様に、仮想IP提供装置301によって受信され、認証サーバ310が稼動中の場合は認証サーバ310へ、認証サーバ310が停止中の場合は代替サーバ320へ転送される(ステップ410)。ここで、Assertion要求が代替サーバ320へ転送された場合、ステップ418へ移行し、代替サーバ320は認証サーバ310の停止を認証エージェント222に対して通知する。これにより、ステップ419において、認証サーバ310が停止している旨の通知を受け取った認証エージェント222は、認証モード記憶部222cに記憶されている認証モードをローカル認証モードに変更する。次に、認証エージェント222は、ステップ420に進み、ログインページ1210を表示するためのHTML記述データ1200を生成し、ユーザエージェント211に対して送信する。
The assertion request is received by the virtual IP providing apparatus 301 in the same manner as the authentication confirmation request, and transferred to the authentication server 310 when the authentication server 310 is in operation, and to the alternative server 320 when the authentication server 310 is stopped ( Step 410). Here, when the Assertion request is transferred to the alternative server 320, the process proceeds to step 418, and the alternative server 320 notifies the
一方、ステップ410で認証サーバ310が稼動中と判断され、Assertion要求が認証サーバ310へ転送された場合は、認証サーバ310は、前述のSAML Artifact/Browser Profileの通り、ユーザ認証部313において受け取ったSAML Artifactに対応するAssertionを検索する(ステップ414)。ここで、対応するAssertionが存在した場合は、ステップ415に進み、認証サーバ310は、Assertionを認証エージェント222に返信する。尚、このステップ415の処理は、図8のステップ8の処理に対応する。
On the other hand, when it is determined in
また、ステップ414で対応するAssertionが存在しない場合は、ステップ416に進み、認証サーバ310は、ユーザエージェント211が認証サーバ310でも未認証な状態である旨を認証エージェント222へ通知する。これにより、ステップ420において、認証エージェント222は、ユーザエージェント211に対してログインページ1210を送信する。
If there is no corresponding assertion in
ステップ415の処理によりAssertionを受け取った認証エージェント222は、Assertionを解析し(ステップ407)、ユーザIDを取得する。認証エージェント222は取得したユーザIDを持つ利用者としてユーザエージェント211を認証し、Webアプリケーション部223へ処理要求を転送する(ステップ408)。尚、アプリケーションサーバ102とユーザエージェント211の間のセッションは、この段階から有効なものとして識別される。図4のフローで示されるリモート認証確認処理でユーザエージェント211が認証されなかった場合、認証エージェント222はログイン処理に移る。
The
ログイン処理においては、ユーザエージェント211に対して、ログインページ1210のように、ユーザIDおよびパスワードの入力を行うための画面を提供する。本実施形態では図12−1の符号1201に示したように<FORM>タグを内包するHTML記述データ1200を利用する。ログインページ1210を表示するためのHTML記述データ1200は図7のフローに従って生成される。図7は、ログインページ1210を表示するためのHTML記述データ1200を生成する処理を示す図である。
In the login process, a screen for inputting the user ID and password is provided to the user agent 211 as in the
図7に示すように、まず、ステップ701において、認証エージェント222は、ログインページ1210を表示するためのHTML記述データ1200を生成する処理(以下、単に「ログインページ1210を生成する処理」とする)を開始する。次に、ステップ702において、認証エージェント222は、認証モードがリモート認証モードであるか否かを判断する。
As shown in FIG. 7, first, in
本実施形態においては、認証サーバ310の稼動状態によって変化する認証モードによって、認証サーバ310を用いたリモート認証および認証エージェント222を用いたローカル認証を使い分ける。このため、ステップ702において、リモート認証と判断した場合には、認証エージェント222は、HTML記述データ1200に示すように<FORM>タグにおけるACTION属性に、認証サーバ310上に実装されたユーザ認証部313のURLを埋め込む(ステップ703)。また、ローカル認証と判断した場合には、認証エージェント222は、HTML記述データの<FORM>タグにおけるACTION属性に、アプリケーションサーバ102上に実装された認証処理URL(ユーザ認証部222aのURL)を埋め込む(ステップ704)。ステップ703または704の次に、ステップ705において、認証エージェント222は、リモート認証またはローカル認証に応じた認証情報の送付先を指定したHTML記述データ1200が生成し、ユーザエージェント211へ送信する。
In the present embodiment, remote authentication using the authentication server 310 and local authentication using the
ユーザエージェント211は、アプリケーションサーバ102から受信したHTML記述データを解析し、ユーザエージェント211上にログインページを表示し、利用者に対してユーザIDとパスワードの入力を促す。ユーザエージェント211の利用者は、予めアプリケーションサーバ102に登録されているユーザIDとそれに対応するパスワードを入力する。入力されたユーザIDおよびパスワードの確認処理、すなわちログイン認証は、ローカル認証モードであるか、リモート認証モードであるかにより処理が異なる。本実施形態におけるリモート認証時のログイン認証フローを図5に示し、ローカル認証時のログイン認証フローを図6に示す。
The user agent 211 analyzes the HTML description data received from the
尚、リモートログイン処理時に用いられるログインページ1210には、ユーザエージェント211には表示されないHIDDEN属性として、図12−1の符号1202に示すようにサービスを識別するための識別子(ServiceID)が埋め込まれる。ServiceIDは予め認証サーバシステム106の管理者によって、認証サーバシステム106に接続されるアプリケーションサーバ102に対して一意に割り当てられた識別子である。本実施形態では、アプリケーションサーバ102に組み込まれる認証エージェント222はサービスを識別するための識別子として、該当するServiceIDをログインページに埋め込むように構成されている。
In the
また、本実施形態では、認証サーバ310は図11で示されるサービス情報テーブルを記述した構成情報記述ファイルを読み込むことにより、各サービスの認証中継処理部222bを表す通信経路を取得することができる。
In this embodiment, the authentication server 310 can acquire a communication path representing the authentication
ここで、認証モードがリモート認証時のログイン認証処理について説明する。図5は、認証モードがリモート認証時のログイン認証フローを示す図である。図5に示すように、利用者によって入力されたユーザIDおよびパスワードは、画面上の送信ボタンを押下することにより、<FORM>タグのACTION属性に記述されたURLへ送信される(ステップ501)。ステップ703で示したように、リモート認証モードでは、ACTION属性に記述されているURLは認証サーバ310上のユーザ認証処理部313であるため、ユーザIDおよびパスワードは、認証サーバシステム106へ送信される。
Here, login authentication processing when the authentication mode is remote authentication will be described. FIG. 5 is a diagram showing a login authentication flow when the authentication mode is remote authentication. As shown in FIG. 5, the user ID and password input by the user are transmitted to the URL described in the ACTION attribute of the <FORM> tag by pressing the transmission button on the screen (step 501). . As shown in
前述の通り、認証サーバシステム106に対する処理要求は仮想IP提供装置301が受信し、認証サーバ310が稼動中である場合は認証サーバ310へ処理要求を転送し、認証サーバ310が停止中である場合は代替サーバ320へ処理要求を転送する(ステップ502)。ここで、要求が代替サーバ320へ転送された場合、代替サーバ320は、認証サーバ停止通知部322において認証サーバ310の停止を表す識別子を付加し、ユーザエージェント211をアプリケーションサーバ102へリダイレクトする(ステップ507)。
As described above, when the virtual IP providing apparatus 301 receives a processing request for the
また、ステップ502において要求が認証サーバ310へ転送された場合は、認証サーバ310上のユーザ認証処理部313は、HIDDEN属性として受け取ったサービス名から、ユーザ認証の依頼先を決定し、認証要求中継部312を用いて、認証エージェント222上に外部ユーザ認証API(Application Programming Interface)として設けられた認証中継処理部222bに対して受け取ったユーザIDおよびパスワードの認証を依頼する(ステップ503)。尚、本実施形態においては、外部ユーザ認証APIは、前述したSAMLによるユーザ認証処理例図8と同じく、SOAPにより実装する。これにより、認証サーバ310の認証中継要求部312は、ユーザIDとパスワードを引数に、前記ServiceIDを持つアプリケーションサーバ上の認証中継処理部222bに対して認証要求を送信する。
When the request is transferred to the authentication server 310 in
認証要求を受け取った認証エージェント222は、ユーザIDとパスワードが合致するデータがあるか否かを、アプリケーションサーバ102に接続されたユーザ情報データベースA・103から検索する(ステップ508)。外部ユーザ認証APIの返り値は真偽値であり、ユーザIDとパスワードが一致する登録ユーザが検索された場合は、外部ユーザ認証APIの呼び出しに対する応答として真が、そうでない場合は偽が返される。
Upon receiving the authentication request, the
ステップ509において、偽の返答を受け取った認証サーバ310は、再度ログイン要求を発行するために、ログイン処理に移る(ステップ506)。また、ステップ509において真の返答を受け取った認証サーバ310は、ユーザの認証が成功したと判断し、認証情報をあらわすAssertionを生成する(ステップ504)と同時に、ユーザエージェント211との間に有効なセッションを確立し、アプリケーションサーバ102に対して認証されたユーザIDを通知するために、前述した認証確認要求段階と同様のSAML ArtifactとAssertionによる手続きが実行される(ステップ505)。
In step 509, the authentication server 310 that has received the false response moves to login processing in order to issue a login request again (step 506). The authentication server 310 that has received the true response in step 509 determines that the user authentication has succeeded, generates an assertion representing the authentication information (step 504), and at the same time, is valid between the user agent 211 and the user agent 211. In order to establish a session and notify the authenticated user ID to the
次に、認証モードがローカル認証時のログイン認証処理について説明する。図6は、認証モードがローカル認証時のログイン認証フローを示す図である。図6に示すように、ローカル認証の場合、ステップ704に示したように、ログインページ生成処理によってログインページに埋め込まれる<FORM>タグのACTION属性は、アプリケーションサーバ102上に実装されたユーザ認証部222aのURLとなる。利用者はローカル認証においてもリモート認証と同様に、ログインページにユーザIDおよびパスワードの入力を行う(ステップ601)が、ユーザIDおよびパスワードの送信先は、認証サーバシステム106ではなくアプリケーションサーバ102となる。
Next, login authentication processing when the authentication mode is local authentication will be described. FIG. 6 is a diagram showing a login authentication flow when the authentication mode is local authentication. As shown in FIG. 6, in the case of local authentication, as shown in
ユーザIDとパスワードを受信したユーザ認証部222aは、ユーザIDとパスワードが合致することを、アプリケーションサーバ102に接続されたユーザ情報データベースA・103から検索する(ステップ602)。ユーザIDおよびパスワードが一致する登録ユーザが検索された場合は、利用者によるログインが成功したものとみなされ、ユーザエージェント211との間に確立したセッションを認証済み状態に設定し、Webアプリケーション部223に処理要求が転送される(ステップ605)。これにより、転送された処理要求は図10のステップ1004において有効なセッションとして識別されるため、ステップ1005に移行して利用者が所望した処理が実行される。
Receiving the user ID and password, the
以上に示したように、本実施形態では、アプリケーションサーバ102と認証サーバシステム106の組み合わせにより、ローカル認証、リモート認証の切り替えが自動的に行われるが、さらに前記のアプリケーションサーバ102とは別のドメインに属する第二のアプリケーションサーバを導入した認証システムであっても、第二のアプリケーションサーバ上において図4〜図7及び図10に示した認証処理を行なうことによりSSOに対応した認証システムを実現することができる。より具体的には、第一のアプリケーションサーバ(アプリケーションサーバ102)に対して、利用者の認証が完了している場合、認証サーバ310上には、利用者のセッション情報が生成されており、それに対応するセッションCookieが利用者のユーザエージェント211に保存されている。この状態において、利用者が第二のアプリケーションサーバに接続要求を発した場合、図4のステップ405における認証確認要求において、ユーザエージェントから認証サーバ310に対して、事前に第一のアプリケーションサーバの認証時に生成したセッションCookieが送信される。認証サーバ310は、セッションCookieおよび対応するセッションオブジェクトを検証することにより、利用者が第一のアプリケーションサーバにログイン中であることを確認することができる。
As described above, in this embodiment, switching between local authentication and remote authentication is automatically performed by a combination of the
ここで、図4のステップ412において、認証サーバ310は、第二のアプリケーションサーバに対して、該当する利用者の第二のアプリケーションサーバに登録されたユーザIDを知らせることが必要になる。この問題は、本実施形態の認証サーバ310上に図13に示したユーザIDマッピングテーブルを事前に用意することで解決される。認証サーバ310は、該当するユーザエージェントとの間に有効なセッションが確立した段階で、セッションオブジェクトに、利用者に対してあらかじめ一意に発行した識別子(ここではSSO IDと呼ぶ)を格納する。以後、認証サーバ310とユーザエージェントにセッションが確立されている間は、セッションオブジェクトに格納されているSSO IDおよび、図13に示されるユーザIDマッピングテーブルを参照することにより、そのSSO IDを持つユーザの各サービス上でのユーザIDを取得し、ステップ412において各アプリケーションサーバへユーザIDを通知することが可能となる。
Here, in
以上に示したように、本実施形態の認証システムにおいては、認証サーバシステム106により、認証サーバ310の稼動確認および認証サーバ310が稼動停止した際の認証方法の切り替えを実現している。これにより、認証サーバ310を利用したシングルサインオンを利用しながら、認証サーバ310が稼動できない場合には各アプリケーションサーバに認証処理させる認証システムを構築することができる。また、本認証システムによれば、認証サーバ310の停止時にも、各アプリケーションサーバは独自に認証を継続することができるため、各サービスで定めたサービスレベルを維持することができる。更には、認証サーバ310の稼動停止を回避するためコストを削減できるので、認証サーバ310の構築を安価に行なうことができる。
As described above, in the authentication system of this embodiment, the
尚、上述した実施形態において、
また、上述した実施形態におけるクライアントコンピュータ101、アプリケーションサーバ102、104、認証サーバシステム106内の仮想IP提供装置301、認証サーバ310及び代替サーバ320は、CPU(中央演算装置)及びメモリを備えるハードウェア構成である。そして、例えばアプリケーションサーバ102の認証エージェント222の機能や、認証サーバ310の認証機能を実現する為のプログラムをメモリから読み出してCPUが実行することによりその機能を実現させるものである。
In the above-described embodiment,
Further, the
尚、上述したプログラム処理により機能を実現する構成に限定さるものではなく、各処理の全部または一部の機能を専用のハードウェアにより実現してもよい。また、上述したメモリは、光磁気ディスク装置、フラッシュメモリ等の不揮発性のメモリや、CD−ROM等の読み出しのみが可能な記録媒体、RAM以外の揮発性のメモリ、あるいはこれらの組合せによるコンピュータ読み取り、書き込み可能な記録媒体より構成されてもよい。 Note that the present invention is not limited to the configuration in which the functions are realized by the program processing described above, and all or a part of the functions of each processing may be realized by dedicated hardware. The above-mentioned memory is a non-volatile memory such as a magneto-optical disk device or a flash memory, a recording medium such as a CD-ROM that can only be read, a volatile memory other than RAM, or a computer read by a combination thereof. The recording medium may be a writable recording medium.
また、アプリケーションサーバ102の認証エージェント222における各種処理を行う機能や、認証サーバシステム106の認証機能を実現する為のプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより各処理を行っても良い。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。具体的には、記憶媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書きこまれた後、そのプログラムの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含む。
In addition, a function for performing various processes in the
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。 The “computer-readable recording medium” refers to a portable medium such as a flexible disk, a magneto-optical disk, a ROM, and a CD-ROM, and a storage device such as a hard disk built in the computer system. Further, the “computer-readable recording medium” refers to a volatile memory (RAM) in a computer system that becomes a server or a client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line. In addition, those holding a program for a certain period of time are also included.
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現する為のものであっても良い。さらに、前述した機能をコンピュータシステムに既に記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
また、上記のプログラムを記録したコンピュータ読み取り可能な記録媒体等のプログラムプロダクトも本発明の実施形態として適用することができる。上記のプログラム、記録媒体、伝送媒体およびプログラムプロダクトは、本発明の範疇に含まれる。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
A program product such as a computer-readable recording medium in which the above program is recorded can also be applied as an embodiment of the present invention. The above program, recording medium, transmission medium, and program product are included in the scope of the present invention.
The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design and the like within the scope not departing from the gist of the present invention.
100 インターネット
101 クライアントコンピュータ
102、104 アプリケーションサーバ
103 ユーザ情報データベースA
105 ユーザ情報データベースB
106 認証サーバシステム
211 ユーザエージェント
221 Webサーバ部
222 認証エージェント
222a ユーザ認証部
222b 認証中継処理部
222c 認証モード記憶部
223 Webアプリケーション部
301 仮想IP提供装置
310 認証サーバ
311 Webサーバ
312 認証中継要求部
313 ユーザ認証処理部
320 代替サーバ
321 Webサーバ
322 認証サーバ停止通知部
100
105 User information database B
106 Authentication Server System 211
Claims (9)
前記アプリケーションサーバは、
前記ネットワークを介して前記利用者端末からサービスの要求を受信する受信手段と、
前記受信手段がサービスの要求を受信した場合に、前記利用者端末経由で前記認証サーバシステムに利用者の認証を行うための認証情報を発行するよう依頼する認証情報依頼手段と、
前記認証情報依頼手段の依頼に応じて前記認証サーバシステムから前記利用者端末経由で認証情報を得た場合に、前記認証情報を基に利用者の認証を行う認証手段と、
前記認証手段により認証された利用者の利用者端末に前記要求に応じたサービスを提供するサービス提供手段と
を具備し、
前記認証サーバシステムは、
前記認証情報に関する処理を行う認証サーバと、
前記アプリケーションサーバの前記認証情報依頼手段からの前記依頼を前記利用者端末経由で受信する受信手段と、
前記受信手段の前記依頼の受信に応じて前記認証サーバが停止しているか否かを判断する停止判断手段と、
前記停止判断手段において前記認証サーバが停止していると判断した場合には、停止情報を前記依頼の元となるアプリケーションサーバへ通知する通知手段と、
前記停止判断手段が停止していないと判断した場合には、前記受信手段が受信した前記依頼を前記認証サーバへ伝達する伝達手段と
を具備し、
前記認証サーバは、
前記伝達手段により伝達された前記依頼に応じて前記認証情報を発行する認証情報発行手段と、
前記認証情報発行手段が発行した前記認証情報を前記依頼の元となる前記アプリケーションサーバへ前記利用者端末経由で送信する送信手段と
を具備し、
前記アプリケーションサーバの前記認証情報依頼手段は、前記停止情報を受信した場合には前記利用者端末へ認証に必要な情報を要求し、前記認証手段は、前記情報の要求に応じて前記利用者端末から得た前記認証に必要な情報を基に利用者の認証を行うこと
を特徴とする認証システム。 An authentication system comprising a plurality of application servers that provide various services to a user terminal via a network, and an authentication server system that authenticates a user of the user terminal that requests use of the service,
The application server is
Receiving means for receiving a service request from the user terminal via the network;
Authentication information requesting means for requesting the authentication server system to issue authentication information for authenticating a user via the user terminal when the receiving means receives a service request;
An authentication means for authenticating a user based on the authentication information when authentication information is obtained from the authentication server system via the user terminal in response to a request from the authentication information request means;
Service providing means for providing a service in response to the request to the user terminal of the user authenticated by the authentication means,
The authentication server system includes:
An authentication server for performing processing related to the authentication information;
Receiving means for receiving the request from the authentication information requesting means of the application server via the user terminal;
Stop determination means for determining whether or not the authentication server is stopped in response to reception of the request of the reception means;
If the stop determination means determines that the authentication server is stopped, a notification means for notifying the application server that is the source of the request of stop information;
A transmission means for transmitting the request received by the reception means to the authentication server when the stop determination means determines that it has not stopped;
The authentication server is
Authentication information issuing means for issuing the authentication information in response to the request transmitted by the transmitting means;
Transmitting means for transmitting the authentication information issued by the authentication information issuing means to the application server that is the source of the request via the user terminal;
The authentication information requesting unit of the application server requests the user terminal for information necessary for authentication when the stop information is received, and the authentication unit responds to the request for the information. An authentication system characterized in that user authentication is performed based on the information necessary for authentication obtained from the above.
前記アプリケーションサーバの前記認証情報依頼手段は、前記保持手段が前記停止情報を保持している場合には前記利用者端末へ認証に必要な情報を要求し、前記保持手段が前記停止情報を保持していない場合には前記利用者端末経由で前記認証サーバシステムに前記認証情報を発行するよう依頼すること
を特徴とする請求項1に記載の認証システム。 The application server further comprises holding means for holding the stop information received from the authentication server,
The authentication information requesting means of the application server requests information required for authentication from the user terminal when the holding means holds the stop information, and the holding means holds the stop information. 2. The authentication system according to claim 1, wherein if not, the authentication server system is requested to issue the authentication information via the user terminal.
前記認証サーバシステムの前記受信手段、前記停止判断手段及び前記伝達手段を含む構成である停止判断装置と、
前記認証サーバシステムの前記通知手段を含む構成である通知サーバとから構成され、
前記停止判断装置は、前記停止判断手段において前記認証サーバが停止していると判断した場合には、前記受信手段が受信した前記依頼を前記通知サーバへ伝達し、
前記通知サーバの通知手段は、伝達された前記依頼に前記停止情報を付与した情報を前記依頼の元となるアプリケーションサーバへ返信すること
を特徴とする請求項1または2に記載の認証システム。 The authentication server system includes:
A stop determination device configured to include the reception unit, the stop determination unit, and the transmission unit of the authentication server system;
A notification server that is configured to include the notification means of the authentication server system,
When the stop determination device determines that the authentication server is stopped in the stop determination means, the stop determination device transmits the request received by the reception means to the notification server,
The authentication system according to claim 1, wherein the notification unit of the notification server returns information obtained by adding the stop information to the transmitted request to an application server that is a source of the request.
前記ネットワークを介して前記利用者端末からサービスの要求を受信する受信ステップと、
前記受信ステップでサービスの要求を受信した場合に、前記利用者端末経由で前記認証サーバシステムに利用者の認証を行うための認証情報を発行するよう依頼する認証情報依頼ステップと、
前記認証情報依頼ステップの依頼に応じて前記認証サーバシステムから前記利用者端末経由で認証情報を得た場合に、前記認証情報を基に利用者の認証を行う第1の認証ステップと、
前記認証サーバシステムから認証サーバの停止情報を受信した場合には前記利用者端末へ認証に必要な情報を要求する要求ステップと、
前記要求ステップの要求に応じて前記利用者端末から得た前記認証に必要な情報を基に利用者の認証を行う第2の認証ステップと、
前記第1の認証ステップまたは前記第2の認証ステップにより認証された利用者の利用者端末に前記要求に応じたサービスを提供するサービス提供ステップと
を前記アプリケーションサーバにより行い、
前記アプリケーションサーバの前記認証情報依頼ステップによる前記依頼を前記利用者端末経由で受信する受信ステップと、
前記受信ステップでの前記依頼の受信に応じて認証サーバが停止しているか否かを判断する停止判断ステップと、
前記停止判断ステップにおいて前記認証サーバが停止していると判断した場合には、停止情報を前記依頼の元となるアプリケーションサーバへ通知する通知ステップと、
前記停止判断ステップで停止していないと判断した場合には、前記受信ステップで受信した前記依頼を前記認証サーバへ伝達する伝達ステップと、
前記伝達ステップにより伝達された前記依頼に応じて前記認証情報を発行する認証情報発行ステップと、
前記認証情報発行ステップで発行した前記認証情報を前記依頼の元となる前記アプリケーションサーバへ前記利用者端末経由で送信する送信ステップと
を前記認証サーバシステムにより行うこと
を特徴とする認証方法。 Authentication using an authentication system comprising a plurality of application servers that provide various services to a user terminal via a network, and an authentication server system that authenticates the user of the user terminal that requests use of the service A method,
Receiving a service request from the user terminal via the network;
An authentication information requesting step for requesting the authentication server system to issue authentication information for authenticating the user via the user terminal when a service request is received in the receiving step;
A first authentication step for authenticating a user based on the authentication information when the authentication information is obtained from the authentication server system via the user terminal in response to the request of the authentication information request step;
A request step for requesting information required for authentication to the user terminal when receiving stop information of the authentication server from the authentication server system;
A second authentication step for authenticating a user based on information necessary for the authentication obtained from the user terminal in response to the request of the request step;
A service providing step of providing a service according to the request to a user terminal of a user who has been authenticated by the first authentication step or the second authentication step;
A receiving step of receiving the request by the authentication information requesting step of the application server via the user terminal;
A stop determination step of determining whether an authentication server is stopped in response to reception of the request in the reception step;
If it is determined that the authentication server is stopped in the stop determination step, a notification step of notifying the application server that is the source of the request of stop information;
If it is determined that the stop is not stopped in the stop determination step, a transmission step of transmitting the request received in the reception step to the authentication server;
An authentication information issuing step for issuing the authentication information in response to the request transmitted by the transmitting step;
An authentication method comprising: performing a transmission step of transmitting the authentication information issued in the authentication information issuance step via the user terminal to the application server that is the source of the request.
前記ネットワークを介して前記利用者端末からサービスの要求を受信する受信ステップと、
前記受信ステップでサービスの要求を受信した場合に、前記利用者端末経由で前記認証サーバシステムに利用者の認証を行うための認証情報を発行するよう依頼する認証情報依頼ステップと、
前記認証情報依頼ステップの依頼に応じて前記認証サーバシステムから前記利用者端末経由で認証情報を得た場合に、前記認証情報を基に利用者の認証を行う第1の認証ステップと、
前記認証サーバシステムから認証サーバの停止情報を受信した場合には前記利用者端末へ認証に必要な情報を要求する要求ステップと、
前記要求ステップの要求に応じて前記利用者端末から得た前記認証に必要な情報を基に利用者の認証を行う第2の認証ステップと、
前記第1の認証ステップまたは前記第2の認証ステップにより認証された利用者の利用者端末に前記要求に応じたサービスを提供するサービス提供ステップと
を前記アプリケーションサーバにより行い、
前記アプリケーションサーバの前記認証情報依頼ステップによる前記依頼を前記利用者端末経由で受信する受信ステップと、
前記受信ステップでの前記依頼の受信に応じて認証サーバが停止しているか否かを判断する停止判断ステップと、
前記停止判断ステップにおいて前記認証サーバが停止していると判断した場合には、停止情報を前記依頼の元となるアプリケーションサーバへ通知する通知ステップと、
前記停止判断ステップで停止していないと判断した場合には、前記受信ステップで受信した前記依頼を前記認証サーバへ伝達する伝達ステップと、
前記伝達ステップにより伝達された前記依頼に応じて前記認証情報を発行する認証情報発行ステップと、
前記認証情報発行ステップで発行した前記認証情報を前記依頼の元となる前記アプリケーションサーバへ前記利用者端末経由で送信する送信ステップと
を前記認証サーバシステムにより行うこと
をコンピュータに実行させるためのプログラム。 A program for an authentication system, comprising: a plurality of application servers that provide various services to a user terminal via a network; and an authentication server system that authenticates a user of the user terminal that requests use of the service. There,
Receiving a service request from the user terminal via the network;
An authentication information requesting step for requesting the authentication server system to issue authentication information for authenticating the user via the user terminal when a service request is received in the receiving step;
A first authentication step for authenticating a user based on the authentication information when the authentication information is obtained from the authentication server system via the user terminal in response to the request of the authentication information request step;
A request step for requesting information required for authentication to the user terminal when receiving stop information of the authentication server from the authentication server system;
A second authentication step for authenticating a user based on information necessary for the authentication obtained from the user terminal in response to the request of the request step;
A service providing step of providing a service according to the request to a user terminal of a user who has been authenticated by the first authentication step or the second authentication step;
A receiving step of receiving the request by the authentication information requesting step of the application server via the user terminal;
A stop determination step of determining whether an authentication server is stopped in response to reception of the request in the reception step;
If it is determined that the authentication server is stopped in the stop determination step, a notification step of notifying the application server that is the source of the request of stop information;
If it is determined that the stop is not stopped in the stop determination step, a transmission step of transmitting the request received in the reception step to the authentication server;
An authentication information issuing step for issuing the authentication information in response to the request transmitted by the transmitting step;
A program for causing a computer to execute, by the authentication server system, a transmission step of transmitting, via the user terminal, the authentication information issued in the authentication information issuing step to the application server that is the source of the request.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004167539A JP2005346571A (en) | 2004-06-04 | 2004-06-04 | Authentication system and authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004167539A JP2005346571A (en) | 2004-06-04 | 2004-06-04 | Authentication system and authentication method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005346571A true JP2005346571A (en) | 2005-12-15 |
Family
ID=35498864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004167539A Pending JP2005346571A (en) | 2004-06-04 | 2004-06-04 | Authentication system and authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005346571A (en) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007200134A (en) * | 2006-01-27 | 2007-08-09 | Ricoh Co Ltd | Log information management device, log information management method, log information management program, and recording medium |
| JP2009245303A (en) * | 2008-03-31 | 2009-10-22 | Fujitsu Ltd | Biometric authentication apparatus and program |
| JP2010146169A (en) * | 2008-12-17 | 2010-07-01 | Nippon Telegr & Teleph Corp <Ntt> | Web system and request processing method |
| JP2014178961A (en) * | 2013-03-15 | 2014-09-25 | Mitsubishi Electric Corp | Data processing device, data processing method, data processing program, and cooperative business system |
| JP2015197747A (en) * | 2014-03-31 | 2015-11-09 | キヤノン株式会社 | Device, method, and program |
| US10326758B2 (en) | 2015-06-08 | 2019-06-18 | Ricoh Company, Ltd. | Service provision system, information processing system, information processing apparatus, and service provision method |
-
2004
- 2004-06-04 JP JP2004167539A patent/JP2005346571A/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007200134A (en) * | 2006-01-27 | 2007-08-09 | Ricoh Co Ltd | Log information management device, log information management method, log information management program, and recording medium |
| JP4625412B2 (en) * | 2006-01-27 | 2011-02-02 | 株式会社リコー | Log management system and log management method |
| JP2009245303A (en) * | 2008-03-31 | 2009-10-22 | Fujitsu Ltd | Biometric authentication apparatus and program |
| JP2010146169A (en) * | 2008-12-17 | 2010-07-01 | Nippon Telegr & Teleph Corp <Ntt> | Web system and request processing method |
| JP2014178961A (en) * | 2013-03-15 | 2014-09-25 | Mitsubishi Electric Corp | Data processing device, data processing method, data processing program, and cooperative business system |
| JP2015197747A (en) * | 2014-03-31 | 2015-11-09 | キヤノン株式会社 | Device, method, and program |
| US10326758B2 (en) | 2015-06-08 | 2019-06-18 | Ricoh Company, Ltd. | Service provision system, information processing system, information processing apparatus, and service provision method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11706218B2 (en) | Systems and methods for controlling sign-on to web applications | |
| JP5357246B2 (en) | System, method and program product for integrated authentication | |
| TWI400922B (en) | Authentication of a principal in a federation | |
| US7475146B2 (en) | Method and system for accessing internet resources through a proxy using the form-based authentication | |
| US7296077B2 (en) | Method and system for web-based switch-user operation | |
| JP4729651B2 (en) | Authentication apparatus, authentication method, and authentication program implementing the method | |
| US20080301784A1 (en) | Native Use Of Web Service Protocols And Claims In Server Authentication | |
| US20100071056A1 (en) | Method and system for multi-protocol single logout | |
| JPH11212912A (en) | Session management system and method | |
| JP2005317022A (en) | Account creation via mobile device | |
| JP2002334056A (en) | System and method for executing log-in in behalf of user | |
| CN112468481A (en) | Single-page and multi-page web application identity integrated authentication method based on CAS | |
| US20100037301A1 (en) | Management of user authentication | |
| US8763151B2 (en) | Mediation processing method, mediation apparatus and system | |
| JP2006031064A (en) | Session management system and management method | |
| JP2005346570A (en) | Authentication system, authentication method and computer program | |
| CN113411324B (en) | Method and system for realizing login authentication based on CAS and third-party server | |
| JP2000106552A (en) | Authentication method | |
| JP2005267529A (en) | Login authentication method, login authentication system, authentication program, communication program, and storage medium | |
| JP2005346571A (en) | Authentication system and authentication method | |
| JP2011197874A (en) | Server apparatus and program | |
| JP2016218825A (en) | Single sign-on system, single sign-on method, and computer program | |
| JP2005301424A (en) | Distributed authentication system, load distribution device, authentication server, load distribution program, and authentication program | |
| JP2005293161A (en) | Authentication system, authentication method and computer program | |
| JP2008077614A (en) | Session management program and session management method |