JP2016152042A - 情報処理装置、それにおける認証処理方法、及びプログラム - Google Patents

情報処理装置、それにおける認証処理方法、及びプログラム Download PDF

Info

Publication number
JP2016152042A
JP2016152042A JP2015044036A JP2015044036A JP2016152042A JP 2016152042 A JP2016152042 A JP 2016152042A JP 2015044036 A JP2015044036 A JP 2015044036A JP 2015044036 A JP2015044036 A JP 2015044036A JP 2016152042 A JP2016152042 A JP 2016152042A
Authority
JP
Japan
Prior art keywords
information
authentication
processing apparatus
information processing
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015044036A
Other languages
English (en)
Inventor
吉田 晋
Susumu Yoshida
晋 吉田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CONNECTONE CO Ltd
Original Assignee
CONNECTONE CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CONNECTONE CO Ltd filed Critical CONNECTONE CO Ltd
Priority to JP2015044036A priority Critical patent/JP2016152042A/ja
Publication of JP2016152042A publication Critical patent/JP2016152042A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】シングルサインの機能を実現しながら、管理を容易にする。【解決手段】携帯端末やパソコン等の情報処理装置1であって、セキュアブラウザプログラムがインストールされ、セキュアブラウザプログラムに従い、主に使用するプライマリサーバ2pへの認証成否を管理する。認証が成功した場合は、他の認証ウェブサーバへのオートコンプリートによる自動ログインを可能とし、プライマリサーバ2pへの認証が一定回数失敗した場合は、自動ログインのための設定データを初期化する。【選択図】図1

Description

本発明は、情報処理装置、それにおける認証処理方法、及びプログラムに関する。
一つの代表したアカウントとパスワードによって複数のサーバにおける認証を行うシステム(シングルサインオンシステム)が知られている。具体的に、複数の認証付きWebサーバ(以下「認証Webサーバ」と呼ぶ)に対応した従来のシングルサインオンシステムの場合、シングルサインオン管理サーバが、代表となるアカウントとパスワードを保持し、認証代行すべき認証Webサーバのアカウントやパスワードなどの認証情報はこの代表となる認証情報に紐付けて管理されていた。
このため企業等がシングルサインオンシステムを導入するときには、複数の既存の認証Webサーバのアカウント情報に加えて新たにシングルサインオンシステム自体のアカウント情報を用意し、管理することとしていた。
特許文献1には、複数の既存認証Webサーバのアカウントとシングルサインオン管理サーバの主となるアカウントを連携管理する技術が開示されている。
特開2013−250875公報
このように従来のシングルサインオンシステムは、新たに全ユーザ分のシングルサインオンシステム用のアカウントを用意し、運用管理しなくてはならなかった。また、シングルサインオンシステムのアカウントのデータが漏洩すると、関連する既存の認証Webサーバへのハッキングの危険性が高まるため、そのセキュリティ管理もより厳重にしなければならず、管理負荷が増大することとなっていた。
本発明は上記実情に鑑みて為されたもので、従来のシングルサインオンシステムと同等の機能を実現しながら、管理負荷を軽減できる情報処理装置、それにおける認証処理方法、及びプログラムを提供することを、その目的の一つとする。
上記従来例の問題点を解決するための本発明は、情報処理装置であって、予め定められた認証ウェブサーバであるプライマリサーバにアクセスして当該プライマリサーバにおける認証の成否を判断する手段と、前記プライマリサーバでの認証の成否を管理し、当該成否に基づいてプライマリサーバ以外の、認証を要するウェブサーバとの間での情報送受態様を変更する手段と、を含むこととしたもものである。
本発明によると、従来のシングルサインオンシステムと同等の機能を実現しながら、管理負荷を軽減できる。
本発明の実施の形態に係る情報処理装置の構成例、及び接続例を表すブロック図である。 本発明の実施の形態に係る情報処理装置が保持する設定データの例を表す説明図である。 本発明の実施の形態に係る情報処理装置の例を表す機能ブロック図である。
本発明の実施の形態について図面を参照しながら説明する。本発明の実施の形態に係る情報処理装置1は、図1に例示するように、制御部11と、記憶部12と、操作部13と、表示部14と、通信部15とを含んで構成され、ネットワーク等の通信手段を介してウェブサーバ2a,2b…との間で通信可能に接続される。さらに、本実施の形態の一例に係る情報処理装置1は、ネットワーク等の通信手段を介してアクティベーション管理サーバ3との間で通信可能に接続されてもよい。この情報処理装置1は、パーソナルコンピュータ(PC)によって実現されてもよいし、スマートフォンやタブレット端末等の携帯端末によって実現されてもよい。
制御部11は、CPU等のプログラム制御デバイスであり、記憶部12に格納されたプログラムに従って動作する。本実施の形態の制御部11は、情報処理装置1が例えばPCであれば、記憶部12に格納されているオペレーティングシステムや、本発明の実施の形態に係るブラウザプログラム(以下、セキュアブラウザプログラムと呼ぶ)を含む各種アプリケーションプログラムの処理を実行する。また本実施の形態の制御部11は、認証処理として、予め定められた、ユーザ認証を行うウェブサーバ2(以下、プライマリサーバと呼ぶ)との間の認証の成否状態を調べ、当該成否状態に応じた処理を行う。この制御部11による認証処理の具体的な内容は、後に詳しく述べる。
記憶部12は、ハードディスクドライブや、フラッシュメモリ等の記憶デバイスを含んで構成される。この記憶部12は、制御部11によって実行されるプログラムを格納している。このプログラムはDVD−ROM等のコンピュータ可読かつ非一時的な記憶媒体に格納されて提供され、この記憶部12にインストールされたものであってもよい。また、このプログラムは、ネットワーク等の通信手段を介して提供され、この記憶部12にインストールされたものであってもよい。さらに本実施の形態において、この記憶部12は、制御部11のワークメモリとしても動作し、認証情報を記憶する。この認証情報の例についても後述する。
操作部13は、キーボードやマウス、あるいはキーパッドないしタッチパネル等であり、ユーザの操作を受け入れて、当該操作の内容を表す情報を制御部11に出力する。表示部14は、例えば液晶ディスプレイ等であり、制御部11から入力される指示に従って、情報を表示する。
通信部15は、有線または無線のネットワークインタフェース等であり、制御部11から入力される指示に従って、外部の通信先との間で情報を送受する。この通信部15は、外部の通信先からネットワーク等を介して到来した、情報処理装置1宛の情報を受信して制御部11に対して出力するとともに、制御部11から入力される指示に従い、指示された宛先に対してネットワーク等を介して指示された情報を送出する。
ウェブサーバ2は、情報処理装置1等からURL(Uniform Resource Locators)の指定とともにウェブページや画像情報の要求を受けると、当該URLで特定されるウェブページ等の情報を送出する処理を実行している。また、このウェブサーバ2の少なくとも一部には、認証を要するウェブサーバ(認証ウェブサーバ)として動作し、ユーザ(またはユーザが使用する情報処理装置1)に対してユーザ名やパスワード等の認証情報の入力を求めるウェブページ等を送出し、ユーザが使用する情報処理装置1から送出された認証情報と、予めウェブサーバ2側で保持する認証情報とを比較して、それらが一致するまでは所定のウェブページ等の送出を行わないといったユーザ認証の処理を行う。
また、本実施の形態の情報処理装置1側では、こうした認証ウェブサーバ2の一つを予めプライマリサーバ2pとして定めておく。このプライマリサーバ2pのURL等の情報を記憶部12に予め格納しておく。なお、プライマリサーバ2pにおけるユーザ認証の方法も、アクセスしたユーザに対してユーザ名とパスワードとを入力させ、当該入力されたユーザ名とパスワードとの組が予め設定されたものに一致するか否かを判断するもので構わない。
また、本実施の形態の情報処理装置1は、プライマリサーバ2pを特定する情報(プライマリサーバ2pのURL等の情報)に対して、プライマリサーバ2p以外の認証ウェブサーバ2を特定する情報(当該ウェブサーバのホームページのURLでよい)の一覧を記憶部12に格納している(図2)。またこの一覧に含まれる、認証ウェブサーバ2を特定する情報のそれぞれには、対応する認証ウェブサーバ2へ送出するべき認証情報を関連付けて記憶しておく(S)。この記憶部12に格納された情報を以下、設定データと呼ぶ。なお、この認証情報としてどのような種類の情報を保持させるか(ユーザ名のみ、あるいはパスワードのみ、あるいはユーザ名及びパスワード、などの種別の情報)は、管理者が任意に設定可能としておいてもよい。情報処理装置1は、当該管理者の設定に従って、認証情報を取得して保持する。
本実施の形態において制御部11は、記憶部12に格納されたセキュアブラウザプログラムを実行することにより、機能的には、図3に例示するように、ブラウザ処理部21と、ログイン試行部22と、成否管理部23と、設定データ初期化部24とを含む装置として動作する。
ブラウザ処理部21は、基本的には一般的なウェブブラウザとしての処理を実行し、ユーザからURLの入力を受け入れて、当該URLにより識別されるウェブサーバから、当該URLによって識別されるウェブページの情報を取得する。そして当該ウェブページの情報(一般的にはHTMLで記述された情報や、画像データなど)に基づいて、表示用の画面情報を生成して、表示部14を制御して、当該生成した画面情報を表示出力させる。また本実施の形態において、このブラウザ処理部21は、その起動時(または起動後、ユーザから最初にURLの指定を受けたとき)に、ログイン試行部22に対して処理開始を指示する。そしてログイン試行部22から処理完了の入力があるまで待機し、処理完了の入力があったときに、一般的なウェブブラウザとしての処理を開始することとする。
このブラウザ処理部21は、ユーザから入力されたURLが、プライマリサーバ2p以外の認証ウェブサーバ2であれば、いわゆるオートコンプリートおよび自動ログインの処理を実行する。具体的にブラウザ処理部21は、ユーザから入力されたURLが、プライマリサーバ2p以外の認証ウェブサーバ2が提供するウェブページ等のURLであったときには、当該URLで識別されるウェブページの情報を取得したときに、当該ウェブページの情報内に、認証情報の入力を求める記述が含まれているか否かを調べる。この処理は、例えば属性が「password」として設定された入力欄(inputタグで識別される部分)があるか否かを調べるなど、広く知られた処理があるので、ここでの詳しい説明を省略する。
ブラウザ処理部21は、ここで認証情報の入力を求める記述があれば、後に説明する成否管理部23により記憶部12に格納される認証の結果の情報を参照する。そして当該認証の結果の情報が、認証に失敗した旨の情報であるときには、ブラウザ処理部21は、
(a)オートコンプリートの処理をせず、認証情報の入力欄を空欄としたままウェブページに基づく画面の表示を行う、
(b)認証情報の入力欄を入力不能とする(disabledまたはreadonlyの属性を付加した場合と同様とするなど、セキュアブラウザプログラムの処理における、認証に関係する情報の受け入れを拒否する設定とする)、
(c)当該認証ウェブサーバ2から提供されたウェブページの表示ができない旨の表示を行う(セキュアブラウザプログラムの処理におけるウェブサイトへのアクセスを拒否する)
(d)ブラウザ処理部21としての動作を行うプログラムに係る処理を終了する(セキュアブラウザプログラムの処理を終了する)
のいずれかの処理を行う。なお、(d)のようにセキュアブラウザプログラムの処理を終了したときには、さらに、セキュアブラウザプログラムの処理の再度の起動を許可しないよう(例えばセキュアブラウザプログラムのモジュールの一部を削除するなどして)設定してもよい。
一方、後に説明する成否管理部23により記憶部12に格納される認証の結果の情報を参照したときに、当該認証の結果の情報が、認証に成功した旨の情報であったときには、ブラウザ処理部21は、ユーザから入力されたURLで特定される認証ウェブサーバ2を特定する情報に関連付けて設定データに記録されている認証情報を記憶部12から読み出す。
そして当該読み出した認証情報をデフォルトの値として、認証情報の入力欄に含めて、上記認証ウェブサーバ2から受信したウェブページに基づく画面の表示を行う。この処理はいわゆるオートコンプリートの処理と同様のものでよい。
この場合、ユーザは、認証情報が既に入力されたウェブページを見ることとなり、そのまま認証情報を認証ウェブサーバ2へ送出する指示を行うことが可能となる(自動ログイン)。つまり本実施の形態によれば、プライマリサーバ2pへの認証が成功した時のみ、プライマリサーバ2p以外の他の認証ウェブサーバ2への自動ログインが許可される。
ログイン試行部22は、ブラウザ処理部21から処理開始が指示されると、予め定められているプライマリサーバ2pへのログインを試行する。具体的にこのログイン試行部22は、記憶部12に格納されているプライマリサーバ2pのURLを読み出して、当該URLで特定されるウェブサーバ2(プライマリサーバ2p)に対して、当該読み出したURLで特定されるウェブページを要求する。
そしてこの要求に対する応答としてプライマリサーバ2pから送信されたウェブページの情報を受信し、当該受信した情報に基づいて、ログイン試行部22が、ウェブページの画面情報(認証画面)を生成して表示部14に表示出力する。本実施の形態の一例では、ここで表示されるウェブページの画面情報には、ユーザ名とパスワードとの入力欄(認証情報の入力欄)が含まれる。
ユーザがこれらの入力欄にそれぞれユーザ名とパスワードとを入力して送信の指示を行うと、ログイン試行部22は、プライマリサーバ2pに対して当該入力されたユーザ名とパスワードとを送出する。プライマリサーバ2pでは、当該送出されたユーザ名及びパスワードの組と、事前にプライマリサーバ2p側に格納されているユーザ名とパスワードとの組とが一致するか否かを調べる。ここで情報処理装置1のログイン試行部22が送出したユーザ名及びパスワードの組と、事前にプライマリサーバ2p側に格納されているユーザ名とパスワードとの組とが一致すると判断すると、プライマリサーバ2pは、認証が成功した旨の情報を情報処理装置1に対して送出する。
一方、情報処理装置1のログイン試行部22が送出したユーザ名及びパスワードの組と、事前にプライマリサーバ2p側に格納されているユーザ名とパスワードとの組とが一致しないと判断した場合、プライマリサーバ2pは、認証に失敗した旨の情報を情報処理装置1に対して送出する。ここで具体的に認証に失敗した旨の情報とは、再度のログインを促す、認証画面を表すウェブページの情報である。ログイン試行部22は、認証情報を送出した後に、再度、認証情報の入力欄を含むウェブページが送出されたときには、つまり、認証処理の実行結果としてプライマリサーバ2pから受信する情報に含まれるHTMLのソースコード内に予め指定された文字列(ここでは認証情報の入力欄を表すHTMLの文字列)があるときには、認証に失敗した旨の情報を受信したと判断する。具体的にpassworrd属性を含んだinputタグを表すHTML文字列等が含まれれ、パスワードフィールドが存在する場合は、ログインに失敗して再度ログインが促されていると判断できるため、プライマリサーバ2pでの認証が失敗したと判断できる。
ログイン試行部22では、プライマリサーバ2pから送出された認証の結果の情報(認証に成功した旨の情報、または認証に失敗した旨の情報)を受け入れる。ログイン試行部22は、プライマリサーバ2pから受信した認証の結果の情報を成否管理部23に出力するとともに、処理完了の情報をブラウザ処理部21に出力する。
成否管理部23は、ログイン試行部22から、プライマリサーバ2pにおける認証の結果の情報を受け入れて、記憶部12に保持する。成否管理部23は、ログイン試行部22から入力された認証の結果の情報が、認証に失敗した旨の情報であれば、設定データ初期化部24に対して、設定データの初期化を指示する。
設定データ初期化部24は、成否管理部23から設定データの初期化の指示を受けると、記憶部12に格納されている設定データ(図2に例示した、認証ウェブサーバ2を特定する情報と認証情報との組)を削除する。
なお、上記の例で、ログイン試行部22がプライマリサーバ2pにおける認証に成功したか否かを判断するにあたり、認証情報の送出後にその応答としてプライマリサーバ2pが出力した情報に含まれるHTMLのソースコード内に予め指定された文字列があるか否かを調べることとしていた。特に上記の例では、上記情報に含まれるHTMLのソースコード内に、認証情報の入力欄を表す情報(例えばpassword属性を含んだinputタグを表すHTML文字列等)がある場合に認証に失敗したと判断することとしていた。
しかし本実施の形態はこの限りではない。例えばログイン試行部22は、上記情報に含まれるHTMLのソースコード内に、ログアウト用のボタンを規定するHTML文字列があれば、認証に成功したと判断することとしてもよい。
またログイン試行部22は、認証情報の送出後にプライマリサーバ2pから受信する応答の情報に含まれるHTTPレスポンスに予め指定されたコードがあるか否かにより、認証の成否を判断してもよい。具体的にはHTTPレスポンスに含まれるステータスコードが「401」(Unauthorized)等、認証を経ていないことを表すものである場合に、認証に失敗したと判断してもよい。またHTTPレスポンスに含まれるコードが「200」(OK)等、リクエストの処理に成功したことを表すもの等であるときに、認証に成功したと判断してもよい。
さらにログイン試行部22は、認証情報の送出後にその応答としてプライマリサーバ2pが出力した情報に含まれるHTMLのソースコード内に、リダイレクトの指示が含まれ、当該リダイレクトの指示において指定されたリダイレクト先が、予め定められたリダイレクト先であるか否かによって認証の成否を判断してもよい。例えばリダイレクト先が、プライマリサーバ2pのホームページ(プライマリサーバ2pにおける認証前にアクセス可能なページ)であれば、認証に失敗したと判断してもよい。
またログイン試行部22は、プライマリサーバ2pから受信される情報によるのではなく、例えば認証情報を送出してからプライマリサーバ2pが応答となる情報を送出するまで(プライマリサーバ2pから情報を受信するまで)の時間をログイン試行部22が測定し、当該時間が予め定めた条件を満足するか否かにより、認証の成否を判断してもよい。この例ではたとえば、予め定めた時間を超えた場合に、認証に失敗したと判断するようにする。
これらのログイン試行部22の認証の成否の判断の方法は、プライマリサーバ2pが現実にどのような応答をするかに応じて選択可能としておき、プライマリサーバ2pごとに当該選択の結果を記憶しておいて、当該記憶している内容を利用して設定を行ってもよい。
さらに本実施の形態の一例では、ログイン試行部22は、プライマリサーバ2pにおける認証が失敗したときに、認証失敗の回数をカウントし、当該カウント値が所定回数未満の場合には成否管理部23に対して認証の結果を出力することなく、またブラウザ処理部21に対して処理完了の情報を出力することなく、再度、プライマリサーバ2pに対するログインを試行してもよい。
またこの例では認証失敗の回数が所定回数に達した場合には、ログイン試行部22は、認証の結果の情報(認証に失敗した旨の情報)を成否管理部23に出力するとともに、処理完了の情報をブラウザ処理部21に出力する。この所定回数(しきい値)は、管理者等が任意に設定できるようになっていてもよい。
さらに、既に説明したように、本実施の形態の情報処理装置1では、図2に例示した設定データとして、認証ウェブサーバ2を特定する情報に関連付けて、対応する認証ウェブサーバ2へ送出するべき認証情報を記憶している。この設定データにおける認証情報は、過去、初めて(あるいは認証情報の設定時に)対応する認証ウェブサーバ2へアクセスしたときに入力した認証情報を記憶したものでよいが、例えばより高いセキュリティレベルが求められる認証ウェブサーバに対しての認証情報は、ユーザが毎回入力する形式とするほうが好ましい場合もある。
そこで本実施の形態の一例では、管理者が予め、認証情報を設定データに記憶しないよう制御すべき認証ウェブサーバ2を設定可能としておいてもよい。この例では、認証情報を設定データに記憶しないよう制御すべき認証ウェブサーバを特定する情報(例えばそのURL)のリストを、管理者が生成して、制限リストとして記憶部12に格納しておく。
その後、ある認証ウェブサーバ2に対して初めて(あるいはその認証情報の設定時に)アクセスしたときにユーザが入力した認証情報を認証ウェブサーバ2に対して送出するとともに、制限リストを参照して、当該認証ウェブサーバ2を特定する情報が制限リストに含まれているか否かを調べる。ここで制限リストに、当該認証ウェブサーバ2を特定する情報が含まれていれば、情報処理装置1は、設定データに当該認証ウェブサーバ2を特定する情報と入力された認証情報とを記憶しない。
また制限リストに、当該認証ウェブサーバ2を特定する情報が含まれていれば、情報処理装置1は、当該認証ウェブサーバ2を特定する情報と入力された認証情報とを関連付けて設定データに追記する。
さらに本実施の形態の一例では、設定データに含めて記憶する認証情報は暗号化されていてもよい。この場合、成否管理部23がログイン試行部22からプライマリサーバ2pにおける認証の結果の情報を受け入れたときに、当該認証の結果の情報が、認証に成功した旨の情報であるときに、当該認証情報を復号することとしてもよい。この例では例えばブラウザ処理部21がある認証ウェブサーバ2にアクセスしたときに、当該アクセスした認証ウェブサーバ2に対応する認証情報を読み出そうとしても、プライマリサーバ2pにおける認証に成功していない間は、当該認証情報が暗号化されているために用いることができなくなっている。またプライマリサーバ2pにおける認証に成功すると、当該認証情報が復号されるので、この復号後の認証情報を用いて認証ウェブサーバ2における認証の処理を行わせることが可能となる。
なお、この場合、ブラウザ処理部21としての処理を終了する(ウェブブラウザを終了する)指示が為されたときには、再度、上記設定データに含まれる認証情報を暗号化する。またこの暗号化の際の暗号鍵は、プライマリサーバ2pに対するログインの際に送出するべきパスワードなどの認証情報そのものであってもよいし、また当該認証情報に関連した情報(例えばパスワードなどの認証情報を所定の方法で符号化したものなど)であってもよい。
また本実施の形態において、情報処理装置1は、セキュアブラウザプログラムのアクティベーションを実行してもよい。具体的には、セキュアブラウザプログラムを使用(実行)を許可するユーザに対して予めアクティベーションコード情報を告知しておくとともに、アクティベーション管理サーバ3に対して当該アクティベーションコード情報を保持させておく。本実施の形態の一例では情報処理装置1においてユーザがセキュアブラウザプログラムの実行開始の指示を行ったときなど所定のタイミングで、ユーザに対して、情報処理装置1がアクティベーションコード情報の入力を求める。ユーザがこの求めに応じて情報を入力すると、情報処理装置1は当該入力された情報をアクティベーション管理サーバ3に対して認証用情報として送出する。
アクティベーション管理サーバ3は、情報処理装置1から認証用情報を受信し、当該受信した認証用情報に一致するアクティベーションコード情報を保持しているか否かを調べ、保持していればアクティベーションを許可する情報を情報処理装置1へ送出する。
情報処理装置1では、アクティベーションを許可する情報を受信すると、セキュアブラウザプログラムの実行を開始して、認証を要するウェブサーバ2(プライマリサーバ2pを含む)へのアクセスを可能とする。またアクティベーションを許可する情報が受信できなかったときには、セキュアブラウザプログラムの実行を行わない。
また、アクティベーション管理サーバ3においては、ユーザが入力するアクティベーションコード情報だけでなく、ユーザが利用する情報処理装置1に係る情報を併せて用いてもよい。この場合、アクティベーション管理サーバ3では、ユーザごとに、当該ユーザに予め告知されているアクティベーションコード情報のほか、当該ユーザが使用する少なくとも一つの情報処理装置1に係る情報である、例えば情報処理装置1の機種情報やオペレーティングシステムの情報、個体識別子(情報処理装置1が携帯電話機であればその契約者固有情報等)などをアクティベーションポリシー情報として、対応するユーザのアクティベーションコード情報に関連付けて記憶しておく。
なお、アクティベーションコード情報は、ユーザが告知された情報であれば、どのようなものであってもよく、例えばユーザ自身の社員番号や学籍番号等、ユーザが属する組織内では周知して使用されているが組織外の第三者には個人を特定することが困難な値を用いることとしてもよい。
この例では、ユーザは当該ユーザが使用するものとして予めアクティベーション管理サーバ3に対して、その情報を保持させてある情報処理装置1を用いて、セキュアブラウザプログラムの実行開始の指示を行う。
すると情報処理装置1がユーザに対してアクティベーションコード情報の入力を求める。ユーザがこの求めに応じて情報を入力すると、情報処理装置1は当該入力された情報とともに、予め定められている自己に係る情報をアクティベーション管理サーバ3に対して認証用情報として送出する。
アクティベーション管理サーバ3は、情報処理装置1から認証用情報を受信し、当該受信した認証用情報に一致するアクティベーションコード情報を保持しているか否かを調べ、保持していれば当該アクティベーションコード情報に関連付けられたアクティベーションポリシー情報と、情報処理装置1から受信した情報処理装置1に係る情報とを比較する。そしてこれらが一致する場合には、アクティベーションを許可する情報を情報処理装置1へ送出する。
情報処理装置1では、アクティベーションを許可する情報を受信すると、セキュアブラウザプログラムの実行を開始して、認証を要するウェブサーバ2(プライマリサーバ2pを含む)へのアクセスを可能とする。またアクティベーションを許可する情報が受信できなかったときには、セキュアブラウザプログラムの実行を行わない。
このようにアクティベーション管理サーバ3はアクティベーションコード情報(社員番号など)に紐付けられた情報処理装置1に係る許可条件(アクティベーションポリシー情報)と、ユーザが操作する情報処理装置1から受信した情報とを照合し、アクティベーションの要求のあった情報処理装置1から受信した情報がアクティベーションポリシー情報と合致しているかを確認する。そして合致した場合は当該情報処理装置1におけるセキュアブラウザプログラムの実行(アクティベーション)が許可され、ユーザは当該情報処理装置1上でのセキュアブラウザプログラムの使用が許可される。
この例によると、アクティベーション時に情報処理装置1に係る情報も用いられるため、情報処理装置1の盗難紛失時には、管理者は当該情報処理装置1に係る情報をディアクティベート(アクティベーションポリシー情報から削除するなど)することで、当該情報処理装置1でのセキュアブラウザプログラムの使用を禁止することができる。
またアクティベーションポリシー情報は、情報処理装置1ごとに固有な情報を用いてもよいし、複数の情報処理装置1に共通の情報を用いてもよい。また情報処理装置1に固有な情報を用いる場合、例えば製造番号の範囲等を用いてもよい。この場合、当該範囲にある製造番号の情報処理装置1を用いるユーザが対応するアクティベーションコード情報を入力した場合、当該情報処理装置1でのセキュアブラウザプログラムの利用が可能となる。
また、アクティベーション管理サーバ3には一度にアクティベート可能な情報処理装置1の台数を制限する情報を設定しておいてもよい。この場合、情報処理装置1はセキュアブラウザプログラムの終了時には、処理の終了をアクティベーション管理サーバ3に通知するようにしておいてもよい。
アクティベーション管理サーバ3は、アクティベーションを許可する情報を送出するごとに、アクティベーションを許可した情報処理装置1の数をカウントするカウンタ(初期化時には「0」とする)を「1」ずつインクリメントする。また、アクティベーション管理サーバ3は、情報処理装置1から処理の終了が通知されると、上記カウンタを「1」だけデクリメントする。
アクティベーション管理サーバ3は、いずれかの情報処理装置1からアクティベーションの要求(ユーザがアクティベーションコード情報として入力した情報等)を受信したときに、このカウンタの値と、設定された一度にアクティベート可能な情報処理装置1の台数とを比較して、これらが一致しているときには、入力されたアクティベーションコード情報が正当なものであっても、アクティベーションを許可する情報を送出しない。これにより、管理者はユーザがアクティベーションできる情報処理装置1の台数の制限できる。
なお、ここでの一例では、アクティベーション管理サーバ3に対してアクティベーションコード情報等を送出するタイミングは、セキュアブラウザプログラムの実行開始時としたが、本実施の形態はこれに限らず、セキュアブラウザプログラムのインストール時としてもよい。この場合は、情報処理装置1は、インストーラの起動時にユーザに対してアクティベーションコード情報の入力を求め、上述の例と同様にしてアクティベーション管理サーバ3との通信により、アクティベーションの可否を確認することとする。
さらにアクティベーション管理サーバ3に対する情報の設定にあたっては、アクティベーションを許可する情報処理装置1の機種やオペレーティングシステムの種類やバージョン、あるいは一度にアクティベーション可能な情報処理装置1の数などを含むプリセットのアクティベーションポリシー情報を複数設定しておき、ユーザの役職、部署、所属組織などの組織属性に対応して、いずれかのプリセットのアクティベーションポリシー情報を設定することで、ユーザごとの設定を簡易にすることとしてもよい。
さらに本実施の形態において情報処理装置1は、設定データを、各ユーザのアクティベーションコード情報に関連付けて複数保持していてもよい。この場合、アクティベーション管理サーバ3がアクティベーションを許可したときに、ユーザがセキュアブラウザプログラムの起動時に入力したアクティベーションコード情報を参照し、プライマリサーバ2pにおける認証に成功した後に、当該アクティベーションコード情報に関連付けて記憶された設定データを用いて、プライマリサーバ2p以外の認証ウェブサーバ2に対する認証情報の自動ログイン処理を実行することとしてもよい。
この例では、一つの情報処理装置1を複数のユーザが共用し、またそれぞれのユーザがセキュアブラウザプログラムの起動時に自分のアクティベーションコード情報を入力することによって、自分の認証情報が用いられるように設定され、認証ウェブサーバ2への自己のアカウントでの自動ログインが可能となる。
このように本実施の形態の情報処理装置1によれば、セキュアブラウザプログラムの実行により、シングルサインオンを実現しながらもプライマリサーバ2pへの認証の成否をもって他の認証ウェブサーバ2への代理認証を行うことができる。このため、従来のようにシングルサインオンシステム用のアカウントを追加管理する必要がない。これによりシングルサインオン導入時のシステム管理者の運用管理コストを大幅に低減することができる。
また本実施の形態によれば、社員番号などユーザが普段使用しているが企業外の人間には当該人物を特定困難な値をアクティベーションコードとしてシステム管理者が端末登録管理することができる。つまりアクティベーション管理サーバには個人を特定しづらいアクティベーションコードしか保存されておらず、業務システムの認証に関わる情報は保存されない。このため、外部からのハッキングに対するセキュリティも堅牢に保つことができる。
さらにセキュアブラウザ内に保存されているシングルサインオンに使用する認証ウェブサーバ2への認証情報も暗号化でき、さらに当該暗号化の際には、ユーザしか知り得ないプライマリサーバ2pのパスワードなどの認証情報を暗号鍵とすることができる。さらに、プライマリサーバ2pの認証が一定回数以上失敗するとセキュアブラウザプログラムにおいて用いられるシングルサインオンのためのデータ(設定データ)が抹消されるように設定可能になっているので、端末の盗難紛失時のなりすまし認証に対するセキュリティも堅牢に保つことができる。
本実施の形態の情報処理装置1は以上の構成を含み、例えば携帯端末またはパーソナルコンピュータである情報処理装置1に対してセキュアブラウザプログラムがインストールされている場合に、次のように動作する。
このセキュアブラウザプログラムは、ウェブサーバから受信されるコンテンツを表示するブラウザモジュールと、プライマリサーバ2pにおける認証の成否を管理する認証モジュールとを含んで成り立っている。情報処理装置1は、このセキュアブラウザプログラムを実行することで、インターネットを経由してプライマリサーバ2pおよびその他の認証ウェブサーバ2に接続する。
情報処理装置1は、セキュアブラウザプログラムが起動されると、プライマリサーバ2pへアクセスし、プライマリサーバ2pから受信したコンテンツのデータに従って、プライマリサーバ2pへのログイン画面を表示させる。情報処理装置1は、このログイン画面でのログインの成否を、例えば認証情報を送出した後、プライマリサーバ2pから送信される応答に、さらにパスワードの入力欄が含まれているか否かを調べるなどして、プライマリサーバ2pでの認証の成否の情報を取得する。情報処理装置1は、一定の回数だけプライマリサーバ2pへのログインに失敗した場合は、セキュアブラウザプログラムの設定データを初期化し、登録された認証ウェブサーバ2へアクセスをできないように制御する。
また、プライマリサーバ2pへのログインに成功したときには、ユーザの指示により他の認証ウェブサーバ2へアクセスしたときに、当該認証ウェブサーバ2に対して過去に送出した認証情報を、設定データから読み出して、認証ウェブサーバ2へ送出する。これにより、いわゆるシングルサインオンが実現される。
1 情報処理装置、2 ウェブサーバ、3 アクティベーション管理サーバ、11 制御部、12 記憶部、13 操作部、14 表示部、15 通信部、21 ブラウザ処理部、22 ログイン試行部、23 成否管理部、24 設定データ初期化部、

Claims (8)

  1. 予め定められた認証ウェブサーバであるプライマリサーバにアクセスして当該プライマリサーバにおける認証の成否を判断する手段と、
    前記プライマリサーバでの認証の成否を管理し、当該成否に基づいてプライマリサーバ以外の、認証を要するウェブサーバとの間での情報送受態様を変更する手段と、
    を含む情報処理装置。
  2. 請求項1に記載の情報処理装置であって、
    ユーザによるブラウザプログラムの起動時、または前記プライマリサーバへのアクセスの指示があった時に、前記プライマリサーバに対して認証処理の開始を要求する情報処理装置。
  3. 請求項1または2に記載の情報処理装置であって、
    前記プライマリサーバから、認証のための情報を入力させるウェブページの情報を受信する手段と、
    当該ウェブページの情報に基づいてユーザから入力される認証のための情報を前記プライマリサーバへ送出して認証処理の実行を要求する手段と、
    前記認証処理の実行結果として前記プライマリサーバから受信する情報に基づき、
    1.当該情報に含まれるHTMLのソースコード内に予め指定された文字列があるか、
    2.当該情報に含まれるHTTPレスポンスに予め指定されたコードがあるか、
    3.当該情報に含まれるリダイレクトの指示において指定されたリダイレクト先が、予め定められたリダイレクト先であるか、
    4.当該情報が受信されるまでの時間が、予め定めた条件を満足するか、
    のうち、少なくとも一つを判断し、当該判断の結果により、認証の成否を判断する判断手段をさらに含む情報処理装置。
  4. 請求項1から3のいずれか一項に記載の情報処理装置であって、
    前記認証の成否を判断する手段は、前記プライマリサーバにおける認証が所定回数だけ失敗したときに認証失敗として、
    1.ブラウザプログラムの処理における、認証に関係する情報の受け入れ拒否、
    2.ブラウザプログラムの処理における、ウェブサイトへのアクセス拒否、
    3.所定の設定情報の初期化
    の少なくとも一つの処理を実行する情報処理装置。
  5. 請求項1から4のいずれか一項に記載の情報処理装置であって、
    この情報処理装置は、ブラウザプログラムの使用を許可したユーザに予め告知されるアクティベーションコード情報を保持し、当該保持するアクティベーションコード情報を用いてアクティベーションの可否を判断するアクティベーション管理サーバとの間で通信可能に接続され、
    所定のタイミングで、前記アクティベーションコード情報の入力をユーザに求め、当該求めに応じてユーザが入力した情報をアクティベーション管理サーバに送出してアクティベーションの可否に係る情報を受信し、
    アクティベーションを許可する情報を受信したときに、認証を要するウェブサーバへのアクセスを可能とする情報処理装置。
  6. 請求項5記載の情報処理装置であって、
    前記アクティベーション管理サーバは、前記アクティベーションコード情報と、ユーザが利用する情報処理装置に固有の情報とを用いてアクティベーションの可否を判断するアクティベーション管理サーバであり、
    前記アクティベーション管理サーバへユーザが入力した情報を送出する際には、情報処理装置が情報処理装置に係る、所定の情報を併せて送出し、アクティベーションの可否に係る情報を受信する情報処理装置。
  7. 情報処理装置における認証処理方法であって、
    情報処理装置の制御部が、予め定められた認証ウェブサーバであるプライマリサーバにアクセスして当該プライマリサーバにおける認証の成否を判断する工程、及び、前記プライマリサーバでの認証の成否を管理し、当該成否に基づいてプライマリサーバ以外の、認証を要するウェブサーバとの間での情報送受態様を変更する工程、
    を実行する認証処理方法。
  8. コンピュータを、
    予め定められた認証ウェブサーバであるプライマリサーバにアクセスして当該プライマリサーバにおける認証の成否を判断する手段と、
    前記プライマリサーバでの認証の成否を管理し、当該成否に基づいてプライマリサーバ以外の、認証を要するウェブサーバとの間での情報送受態様を変更する手段と、
    として機能させるプログラム。
JP2015044036A 2015-02-18 2015-02-18 情報処理装置、それにおける認証処理方法、及びプログラム Pending JP2016152042A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015044036A JP2016152042A (ja) 2015-02-18 2015-02-18 情報処理装置、それにおける認証処理方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015044036A JP2016152042A (ja) 2015-02-18 2015-02-18 情報処理装置、それにおける認証処理方法、及びプログラム

Publications (1)

Publication Number Publication Date
JP2016152042A true JP2016152042A (ja) 2016-08-22

Family

ID=56696512

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015044036A Pending JP2016152042A (ja) 2015-02-18 2015-02-18 情報処理装置、それにおける認証処理方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP2016152042A (ja)

Similar Documents

Publication Publication Date Title
US20240080311A1 (en) Managing security credentials
CN110463161B (zh) 用于访问受保护资源的口令状态机
JP6904857B2 (ja) 権限委譲システム、制御方法、およびプログラム
JP6727799B2 (ja) 権限委譲システム、情報処理装置、認可サーバ、制御方法およびプログラム
US20170257363A1 (en) Secure mobile device two-factor authentication
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
US20160197914A1 (en) System and method for converting one-time passcodes to app-based authentication
US10326758B2 (en) Service provision system, information processing system, information processing apparatus, and service provision method
KR20190024817A (ko) 권한 위양 시스템, 그 제어 방법 및 클라이언트
KR20140044784A (ko) 운영체제 및 애플리케이션 사이에서 사용자 id의 공유
US10270774B1 (en) Electronic credential and analytics integration
US10205717B1 (en) Virtual machine logon federation
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
US10547599B1 (en) Multi-factor authentication for managed directories
US20220303268A1 (en) Passwordless login
CN106161475B (zh) 用户鉴权的实现方法和装置
KR20110055542A (ko) 유저 인증을 관리하기 위한 장치
JP2022113037A (ja) 多要素認証機能を備えた画像形成装置
US20220286435A1 (en) Dynamic variance mechanism for securing enterprise resources using a virtual private network
KR101278926B1 (ko) 본인확인이 가능한 소셜 인증 로그인 시스템 및 그 제공방법
US20100095372A1 (en) Trusted relying party proxy for information card tokens
JP6287213B2 (ja) 代行ログイン装置、端末、制御方法およびプログラム
JP2008226015A (ja) セッション権限管理方法
US9246902B1 (en) Device-agnostic user authentication
US9479492B1 (en) Authored injections of context that are resolved at authentication time