JP2017120502A - クラウドサービスへのIoT機器の登録方法 - Google Patents
クラウドサービスへのIoT機器の登録方法 Download PDFInfo
- Publication number
- JP2017120502A JP2017120502A JP2015256465A JP2015256465A JP2017120502A JP 2017120502 A JP2017120502 A JP 2017120502A JP 2015256465 A JP2015256465 A JP 2015256465A JP 2015256465 A JP2015256465 A JP 2015256465A JP 2017120502 A JP2017120502 A JP 2017120502A
- Authority
- JP
- Japan
- Prior art keywords
- information
- processing apparatus
- information processing
- client
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】機器が持つ情報をテナントの情報として管理することができる権限委譲システムを提供する。
【解決手段】端末からの連携アプリケーションの作成要求に応じて、アクセス管理サーバ102は、ユーザのテナントを識別するための第1の認証情報を発行し、これを含む連携アプリケーションを作成し、デバイス105に提供する。デバイス105は、連携アプリケーションが有する第1の認証情報を基に、アクセス管理サーバ102へクライアント登録を要求する。アクセス管理サーバ102は、クライアント登録の要求に含まれるテナントと紐付けて管理されるクライアントに対応する第2の認証情報を発行する。デバイス105は、第2の認証情報を基に、特定の権限が前記クライアントに委譲されたことを示す認可情報の取得を要求する。
【選択図】図6
【解決手段】端末からの連携アプリケーションの作成要求に応じて、アクセス管理サーバ102は、ユーザのテナントを識別するための第1の認証情報を発行し、これを含む連携アプリケーションを作成し、デバイス105に提供する。デバイス105は、連携アプリケーションが有する第1の認証情報を基に、アクセス管理サーバ102へクライアント登録を要求する。アクセス管理サーバ102は、クライアント登録の要求に含まれるテナントと紐付けて管理されるクライアントに対応する第2の認証情報を発行する。デバイス105は、第2の認証情報を基に、特定の権限が前記クライアントに委譲されたことを示す認可情報の取得を要求する。
【選択図】図6
Description
本発明は、Webサービス上で機器の情報を利用する場合に、機器利用者のWebサービス上でのグループと機器とを紐付ける方法に関する。
現在、Internet of Things(IoT)と呼ばれる、様々な機器をインターネットに接続し、それらの情報を利用する仕組みが広がってきている。このとき、機器が持つデータを利用者が利用するためには、機器とその利用者を紐付ける必要がある。
現在、Webサービス上で機器と利用者とを紐付ける手段として、システム間のアクセス制御をセキュア且つ容易に行う仕組みであるOAuthと呼ばれる技術がある。特許文献1はOAuthを利用し、Webサービスに機器を登録した際に、自動的に権限を付与し、機器と利用者との紐付けを行い、機器の情報を利用者が利用することが出来る技術を公開している。特許文献1が開示する権限委譲システムでは、アプリケーションが保持しているX.509形式のクライアント証明書を利用する事で、認可サーバに対して動的にクライアントが登録される。そして、自動的に取得されたクライアントIDおよびシークレットを利用する事で、OAuth 2.0の各種プロトコルを利用することが可能となる。
現在、Webサービス上で機器と利用者とを紐付ける手段として、システム間のアクセス制御をセキュア且つ容易に行う仕組みであるOAuthと呼ばれる技術がある。特許文献1はOAuthを利用し、Webサービスに機器を登録した際に、自動的に権限を付与し、機器と利用者との紐付けを行い、機器の情報を利用者が利用することが出来る技術を公開している。特許文献1が開示する権限委譲システムでは、アプリケーションが保持しているX.509形式のクライアント証明書を利用する事で、認可サーバに対して動的にクライアントが登録される。そして、自動的に取得されたクライアントIDおよびシークレットを利用する事で、OAuth 2.0の各種プロトコルを利用することが可能となる。
各機器が持つデータについて、機器の利用者に関係なく機器を提供しているテナントが利用する形態があるが、従来の権限委譲システムでは、クラウドサービスに登録されたクライアントが、どのテナントのクライアントなのかが特定される仕組みがなかった。
本発明は、機器が持つ情報をテナントの情報として管理することができる権限委譲システムを提供することを目的とする。
本発明の一実施形態の権限委譲システムは、情報処理装置と、ネットワークを介してサービスを提供するサービス提供装置と、認可サーバとを含む。前記情報処理装置は、連携アプリケーションの作成を要求する作成要求手段を有する。前記認可サーバは、前記情報処理装置からの前記連携アプリケーションの作成要求に応じて、ユーザのテナントを識別するための第1の認証情報を発行する第1の発行手段と、前記第1の認証情報を含む連携アプリケーションを作成し、情報処理装置に提供する作成手段と、を有する。前記認可サーバから提供された前記連携アプリケーションを備えた情報処理装置は、認可サーバから提供された前記連携アプリケーションが有する前記第1の認証情報を基に、認可サーバへクライアント登録を要求する登録要求手段を有する。さらに、認可サーバは、前記クライアント登録の登録要求に含まれる前記テナントと紐付けて管理されるクライアントに対応する第2の認証情報を発行する第2の発行手段を有する。さらに、前記連携アプリケーションを備えた情報処理装置は、前記第2の認証情報を基に、特定の権限が前記クライアントに委譲されたことを示す認可情報の取得を要求する認可情報要求手段を有する。
本発明によれば、機器が持つ情報をテナントの情報として管理することができる権限委譲システムを提供することを目的とする。
(実施例1)
本実施の形態においては、端末利用者が端末からクラウドサービスを利用する際に、端末は端末利用者が所属するテナントに対してデータのやり取りを行う。そのために、端末をクラウドサービスに登録し、当該端末であることを証明するための情報を取得しておく必要がある。この情報は、OAuth 2.0で言うところのクライアントIDおよび、クライアントシークレットである。本実施例では、この端末登録の方法として、SSL/TLSのX.509証明書を用いたクライアント認証を用いて、端末自身が能動的に登録処理を実施し、クライアントID、クライアントシークレットを取得するフローで説明する。しかしながら、手段を限定するわけではない。例えば、ID、パスワードや、何かしらのトークンを用いてクライアント認証を受け、動的に登録処理するよう構成する事もできる。
本実施の形態においては、端末利用者が端末からクラウドサービスを利用する際に、端末は端末利用者が所属するテナントに対してデータのやり取りを行う。そのために、端末をクラウドサービスに登録し、当該端末であることを証明するための情報を取得しておく必要がある。この情報は、OAuth 2.0で言うところのクライアントIDおよび、クライアントシークレットである。本実施例では、この端末登録の方法として、SSL/TLSのX.509証明書を用いたクライアント認証を用いて、端末自身が能動的に登録処理を実施し、クライアントID、クライアントシークレットを取得するフローで説明する。しかしながら、手段を限定するわけではない。例えば、ID、パスワードや、何かしらのトークンを用いてクライアント認証を受け、動的に登録処理するよう構成する事もできる。
なお、ここで言うクラウドサービスとは、Webサイト、Webアプリケーション、Webサービスなどが提供する機能群のことである。Webサイト、Webアプリケーション、Webサービスなどは、サーバコンピュータで実行されるソフトウェアである。
また、本実施の形態においては、クラウドサービス上のユーザグループであるテナント単位で、クライアント情報を発行して利用する。そのため、テナント単位で発行するクライアント情報を、テナント専用クライアントクレデンシャルと呼ぶものとする。また、端末登録のためのクライアント認証情報も、テナント単位で発行する。このテナント単位で発行するクライアント認証情報をテナント専用デフォルトクレデンシャルと呼ぶものとする。
また、本実施の形態においては、クラウドサービス上のユーザグループであるテナント単位で、クライアント情報を発行して利用する。そのため、テナント単位で発行するクライアント情報を、テナント専用クライアントクレデンシャルと呼ぶものとする。また、端末登録のためのクライアント認証情報も、テナント単位で発行する。このテナント単位で発行するクライアント認証情報をテナント専用デフォルトクレデンシャルと呼ぶものとする。
図1は、各種オンラインサービスが存在する権限委譲システムのネットワーク構成を示している。
インターネット100は、インターネットなどの外部から接続可能なパブリックなネットワークである。イントラネット101は、LANなどの外部から接続不可能なプライベートなネットワークである。
アクセス管理サーバ102は、ユーザの認証情報および認可情報を管理する認可サーバである。
インターネット100は、インターネットなどの外部から接続可能なパブリックなネットワークである。イントラネット101は、LANなどの外部から接続不可能なプライベートなネットワークである。
アクセス管理サーバ102は、ユーザの認証情報および認可情報を管理する認可サーバである。
リソースサーバ103、印刷サービスや帳票サービスといったリソースサービスを提供しているサービス提供装置である。リソースサーバ103は、インターネット100を介したデバイス105あるいは不図示の外部サービスシステムからのリクエストに応じて、リソースサービスを提供する。なおリソースサーバに設置されるリソースサービスは1つでもよく、複数でもよい。また、アクセス管理サーバ102とリソースサーバは、同一のサーバ上に構成されてもよいし、それぞれ個別のLAN上に構成されてもよい。実施例1において各サーバは1台ずつ設置されているが、複数台で構成されていてもよい。
端末104およびデバイス105は、PCや、スマートフォンやタブレットと呼ばれる携帯端末や、画像形成装置などの情報処理装置である。
端末104およびデバイス105は、PCや、スマートフォンやタブレットと呼ばれる携帯端末や、画像形成装置などの情報処理装置である。
図2は、図1に示した各種サービスが配置されているサーバの論理構成である。
ユーザインターフェース201は、ディスプレイ、キーボード、マウスなどによる、情報の入出力を行うハードウェアである。これらのハードウェアを備えないコンピュータは、リモートデスクトップなどにより、他のコンピュータから接続・操作することも可能である。
ネットワークインターフェース202は、LANなどのネットワークに接続して、他のコンピュータやネットワーク機器との通信を行うハードウェアである。
ユーザインターフェース201は、ディスプレイ、キーボード、マウスなどによる、情報の入出力を行うハードウェアである。これらのハードウェアを備えないコンピュータは、リモートデスクトップなどにより、他のコンピュータから接続・操作することも可能である。
ネットワークインターフェース202は、LANなどのネットワークに接続して、他のコンピュータやネットワーク機器との通信を行うハードウェアである。
CPU203は、ROM204、RAM205、二次記憶装置206などから読み込んだプログラムを実行し、各種サービスを実現する。ROM204は、組込済みプログラムおよびデータが記録されている記憶装置である。RAM205は、一時メモリ領域である。二次記憶装置206は、HDDに代表されるような外部記憶装置である。各部は入出力インターフェース207を介して接続されている。
図3は本実施の形態に係る、アクセス管理サーバ102、リソースサーバ103、端末104、デバイス105それぞれのモジュール構成を示す図である。
アクセス管理サーバ102は、リクエスト処理部300、アクセス制御部301、データ管理部302からなるアクセス管理サービスを提供する。リクエスト処理部300は、アクセス管理サーバ102がインターネット及びイントラネットを経由して受信したアクセス管理サーバへのリクエストを処理する処理部であり、アクセス制御部301から返される応答データを呼び出し元に返す。また、SSL/TLSによる通信が可能に構成されており、不図示の証明書ストアを持つ。また本実施例では、後述するクライアント登録要求を受け付けるエンドポイントにて、要求元に対してX.509形式の証明書による認証を要求するように構成している。アクセス制御部301は、データ管理部302から取得するデータに基づき、認証および認可要求を処理する処理部である。また、データ管理部302に対して、アカウント追加やアカウント情報変更を行う。データ管理部302は、アカウントのデータや、認可情報を管理する。
アクセス管理サーバ102は、リクエスト処理部300、アクセス制御部301、データ管理部302からなるアクセス管理サービスを提供する。リクエスト処理部300は、アクセス管理サーバ102がインターネット及びイントラネットを経由して受信したアクセス管理サーバへのリクエストを処理する処理部であり、アクセス制御部301から返される応答データを呼び出し元に返す。また、SSL/TLSによる通信が可能に構成されており、不図示の証明書ストアを持つ。また本実施例では、後述するクライアント登録要求を受け付けるエンドポイントにて、要求元に対してX.509形式の証明書による認証を要求するように構成している。アクセス制御部301は、データ管理部302から取得するデータに基づき、認証および認可要求を処理する処理部である。また、データ管理部302に対して、アカウント追加やアカウント情報変更を行う。データ管理部302は、アカウントのデータや、認可情報を管理する。
リソースサーバ103は、リクエスト処理部310、機能制御部311からなるリソースサービスを提供する。リクエスト処理部310は、リソースサーバ103、104がインターネット及びイントラネットを経由して受信したリソースサービスへのリクエストを処理する処理部である。また、リクエスト処理部310は、機能制御部311から返される処理結果を呼び出し元に返す。機能制御部311は、リクエスト処理部310が受信したリクエストに応じて必要な処理を行い、応答データを呼び出し元に返す。
端末104は、Webブラウザ320からなる。Webブラウザ320は、WWWを利用するためのユーザエージェントであり、インターネット100を経由してアクセス管理サーバ102へのアクセスを行う。
デバイス105は、Webブラウザ320およびアプリケーションモジュール331からなる。Webブラウザ320は、WWWを利用するためのユーザエージェントであり、インターネット100を経由してアクセス管理サーバ102やリソースサーバ103へのアクセスを行う。アプリケーションモジュール331は、デバイス105にて動作するアプリケーションプログラムであり、アクセス管理サーバ102および、リソースサーバ103を利用する。また、アプリケーションモジュール331は、自身を証明するためのX.509形式の証明書および、その秘密鍵を所有している。なおデバイス105は、不図示の認証モジュールを備えていても良い。認証モジュールを備えている場合、デバイス105は認証モジュールを利用してデバイス利用者を認証する事ができる。
デバイス105は、Webブラウザ320およびアプリケーションモジュール331からなる。Webブラウザ320は、WWWを利用するためのユーザエージェントであり、インターネット100を経由してアクセス管理サーバ102やリソースサーバ103へのアクセスを行う。アプリケーションモジュール331は、デバイス105にて動作するアプリケーションプログラムであり、アクセス管理サーバ102および、リソースサーバ103を利用する。また、アプリケーションモジュール331は、自身を証明するためのX.509形式の証明書および、その秘密鍵を所有している。なおデバイス105は、不図示の認証モジュールを備えていても良い。認証モジュールを備えている場合、デバイス105は認証モジュールを利用してデバイス利用者を認証する事ができる。
図4を用いて、端末利用者がアクセス管理サーバ102において、端末利用者が所属するテナント専用の連携用アプリケーションを作成する作成処理のフローを説明する。
ステップS401において、端末104上のWebブラウザ320を用いて、アクセス管理サーバ102の連携用アプリケーション作成画面へのアクセス要求を行う。
S402において、アクセス管理サーバ102は、認証処理を行う。認証処理では、まず、アクセス管理サーバ102が端末104に認証情報を要求する。認証情報の要求を受けた端末104はユーザ認証情報として、例えば、ユーザIDとパスワードをアクセス管理サーバ102に送信する。アクセス管理サーバ102は、端末104から受信したユーザIDとパスワードの組み合せがアカウントテーブルに登録されている情報の組と一致する場合に認証する。表1に、アクセス管理サーバ102が、アカウントテーブルとしてデータ管理部302で管理しているアカウント情報の例を示す。
ステップS401において、端末104上のWebブラウザ320を用いて、アクセス管理サーバ102の連携用アプリケーション作成画面へのアクセス要求を行う。
S402において、アクセス管理サーバ102は、認証処理を行う。認証処理では、まず、アクセス管理サーバ102が端末104に認証情報を要求する。認証情報の要求を受けた端末104はユーザ認証情報として、例えば、ユーザIDとパスワードをアクセス管理サーバ102に送信する。アクセス管理サーバ102は、端末104から受信したユーザIDとパスワードの組み合せがアカウントテーブルに登録されている情報の組と一致する場合に認証する。表1に、アクセス管理サーバ102が、アカウントテーブルとしてデータ管理部302で管理しているアカウント情報の例を示す。
なおユーザを認証する手段として他の手段、例えば、X.509の証明書や、パスワードを複数回入力する多段階認証等、別の手段を構成する事も可能であり、本手段に限定するものではない。本実施例では、ユーザID「admin@1001AA」で認証したものとする。
ステップS403において、アクセス管理サーバ102は、アカウントテーブルとロールテーブルから、認証したユーザの権限を確認し、サービステーブルから、認証したユーザが連携アプリケーション作成権限を持つか確認する。表2に、ロールテーブルの例を示す。また、表3に、サービステーブルの例を示す。表2及び表3は、アクセス管理サーバ102がデータ管理部302で管理している。
本実施例のロールテーブルには、ユーザID「admin@1001AA」に対してロールID「ロールA」が設定されている。そしてサービステーブルから、ロールID「ロールA」には「サービスA」の「管理者」としての権限があり、連携用のアプリケーション作成権限を持つと判断される。なお、ステップS403では、ユーザが連携アプリケーション作成権限を持つかを、ユーザに設定されたロールによって判定したが、ユーザのその他の属性情報や、ユーザが所属するグループの権限などで判断してもよい。
ユーザが連携アプリケーション作成権限を持たない場合はステップS404に進み、権限なしエラーとして処理を終了する。連携アプリケーション作成権限を持つ場合はステップS405に進み、処理を継続する。
ステップS403において、アクセス管理サーバ102は、アカウントテーブルとロールテーブルから、認証したユーザの権限を確認し、サービステーブルから、認証したユーザが連携アプリケーション作成権限を持つか確認する。表2に、ロールテーブルの例を示す。また、表3に、サービステーブルの例を示す。表2及び表3は、アクセス管理サーバ102がデータ管理部302で管理している。
ユーザが連携アプリケーション作成権限を持たない場合はステップS404に進み、権限なしエラーとして処理を終了する。連携アプリケーション作成権限を持つ場合はステップS405に進み、処理を継続する。
ステップS405において、アクセス管理サーバ102は、図5に示される連携用アプリケーション作成画面500を提供する。
図5は本実施形態において、連携用アプリケーション作成画面を示した図である。連携用アプリケーション作成画面500は、作成ボタン501、キャンセルボタン502から構成される。作成ボタン501が押下された場合は、S406に進む。キャンセルボタン502が押下された場合は、処理を終了する。
図5は本実施形態において、連携用アプリケーション作成画面を示した図である。連携用アプリケーション作成画面500は、作成ボタン501、キャンセルボタン502から構成される。作成ボタン501が押下された場合は、S406に進む。キャンセルボタン502が押下された場合は、処理を終了する。
ステップS406において、アクセス管理サーバ102は、テナント専用デフォルトクレデンシャルとしてX.509形式のクライアント証明書およびその秘密鍵を生成し、デフォルトクレデンシャルテーブルに情報を格納する。表4に、アクセス管理サーバ102がデータ管理部302で管理しているテナント専用デフォルトクレデンシャル情報の例を示す。
本実施例では、テナントを識別するためのテナントID「1001AA」に対し、テナント専用デフォルトクレデンシャル「1001AA.p12」を作成したものとする。作成時は、テナント専用デフォルトクレデンシャルは無効になっておらず有効であるため、状態欄は有効となっている。なお、X.509形式の証明書については、ファイルの参照先として格納する例を示しているが、バイナリデータとして直接データを格納しても良い。
ステップS407において、アクセス管理サーバ102は、ステップS406で作成したテナント専用デフォルトクレデンシャルと、対象のテナント情報を含む連携用アプリケーションを作成する。表5に、アクセス管理サーバ102がデータ管理部302で管理している連携用アプリケーション情報の例を示す。
本実施例では、テナント専用デフォルトクレデンシャル「1001AA.p12」と、テナント情報「1001AA」を含み、アプリケーションIDが「AP0001」である連携用アプリケーションを作成する。
ステップS408において、アクセス管理サーバ102はステップS407で作成した連携用アプリケーションを提供可能状態とする。本実施例では、連携用アプリケーションが提供可能状態となると、連携用アプリケーション作成画面500にアプリケーション取得用リンクを提供し、端末104から連携用アプリケーションを取得できるようにする。例えば、テナント作成ボタン押下時に、アクセス管理サーバ102から提供された連携用アプリケーション取得用リンクへアクセスし、連携用アプリケーションを取得する。なお、不図示の連携用アプリケーション取得用ボタンや、連携用アプリケーション取得用リンクを利用してもよい。なお本実施例では、画面から連携用アプリケーションを取得出来るようにしたが、これに限られるものではなく、不図示のアプリケーション配布サービスなどの外部サービスに連携用アプリケーションを登録してもよい。
図6を用いて、デバイス105が連携用アプリケーションを用いて、リソースサーバを利用する際のフローを説明する。デバイス105には、図4で説明したフローで作成された連携用アプリケーションがアプリケーションモジュール331としてインストールされている。
ステップS601において、デバイス105上のアプリケーションモジュール331を用いて、アクセス管理サーバ102にテナント専用クライアントクレデンシャルの登録要求を行う。この登録要求には、登録先のテナントIDとして連携アプリケーションに登録されているテナントIDと、デバイス105のデバイスシリアルIDを含む。本実施例では、アプリケーションモジュール331が、アクセス管理サーバ102に対し、登録先テナントID「1001AA」、デバイスシリアルID「S0001」を送り、テナント専用クライアントクレデンシャル登録要求を行う。
ステップS601において、デバイス105上のアプリケーションモジュール331を用いて、アクセス管理サーバ102にテナント専用クライアントクレデンシャルの登録要求を行う。この登録要求には、登録先のテナントIDとして連携アプリケーションに登録されているテナントIDと、デバイス105のデバイスシリアルIDを含む。本実施例では、アプリケーションモジュール331が、アクセス管理サーバ102に対し、登録先テナントID「1001AA」、デバイスシリアルID「S0001」を送り、テナント専用クライアントクレデンシャル登録要求を行う。
S602において、アクセス管理サーバ102は、テナント専用デフォルトクレデンシャルを用いた認証処理を行う。まず、登録要求を受けたアクセス管理サーバ102は、SSL/TLS通信のネゴシエーションを開始し、アプリケーションモジュール331に対してクライアント認証を要求する。要求を受けたアプリケーションモジュール331は、クライアント認証情報として、証明書を含むテナント専用デフォルトクレデンシャルの情報をアクセス管理サーバ102に送信する。アクセス管理サーバ102は、不図示の証明書ストアにて設定されている証明書を用いて、取得したクライアント認証情報を検証し、アプリケーションモジュール331をテナント専用クライアント登録要求元として認証する。
ステップS603において、アクセス管理サーバ102は、ステップS602で認証したテナント専用デフォルトクレデンシャルが、作成要求があったテナントに登録されているかを、デフォルトクレデンシャルテーブルを検証し確認する。本実施例では、表4のデフォルトクレデンシャルテーブルにて、テナント「1001AA」に「1001AA.p12」が登録されている事から、テナント専用デフォルトクレデンシャルは登録ありと判断される。
対象のテナントに認証したテナント専用デフォルトクレデンシャルが登録されていなかった場合は、ステップS604に進み、作成エラーとして処理を終了する。対象のテナントにテナント専用デフォルトクレデンシャルが登録されていた場合は、ステップS605に進み、処理を継続する。
対象のテナントに認証したテナント専用デフォルトクレデンシャルが登録されていなかった場合は、ステップS604に進み、作成エラーとして処理を終了する。対象のテナントにテナント専用デフォルトクレデンシャルが登録されていた場合は、ステップS605に進み、処理を継続する。
ステップS605において、アクセス管理サーバ102はテナント専用クライアントクレデンシャルの作成を行う。アクセス管理サーバ102は、テナント専用クライアントクレデンシャルのクライアントID、及び、クライアントを認証するための秘匿情報であるクライアントシークレットを発行する。そして、クライアント登録要求で取得した情報と合わせてデータをテナント専用クライアントクレデンシャルテーブルに格納する。表6に、アクセス管理サーバ102が管理している、テナント専用クライアントクレデンシャル情報の例を示す。なお、表6においてはテナント専用デフォルトクレデンシャル情報を合わせて保存した例を示したが、実施例1においては、テナント専用クライアン発行時に、テナント専用デフォルトクレデンシャル情報を合わせて保存しなくてもよい。
本実施例では、クライアントID「ID0001」のテナント専用クライアントクレデンシャルを発行したものとする。その後、テナント専用クライアントクレデンシャル作成要求元に、作成したテナント専用クライアントのクライアントIDおよびクライアントシークレットを返す。
以降、ステップS606からステップS613を用いて、デバイス105上のアプリケーションモジュール331が、リソースサーバ103を利用するためのフローを説明する。本実施例では、OAuth 2.0で言うところのClient Credentials Grantを用いて、認可トークンを発行するフローとして説明する。
ステップS606において、デバイス105は受け取ったテナント専用クライアントクレデンシャルクライアントIDおよびシークレットを、アプリケーションモジュール331にテナント専用クライアントクレデンシャルとして保存する。本実施例では、クライアントID「ID0001」、クライアントシークレット「*****」をテナント専用クライアントクレデンシャルとして保存する。
ステップS606において、デバイス105は受け取ったテナント専用クライアントクレデンシャルクライアントIDおよびシークレットを、アプリケーションモジュール331にテナント専用クライアントクレデンシャルとして保存する。本実施例では、クライアントID「ID0001」、クライアントシークレット「*****」をテナント専用クライアントクレデンシャルとして保存する。
ステップS607において、デバイス105上のアプリケーションモジュール331を用いて、アクセス管理サーバ102にクライアント認証情報を送り、特定の権限が前記クライアントに委譲されたことを示す認可トークンの取得要求(認可情報要求)を行う。本実施例では、クライアント認証情報として、テナント専用クライアントクレデンシャルのクライアントID「ID0001」、クライアントシークレット「*****」を送る。
ステップS608において、アクセス管理サーバ102は、取得要求によって受け取ったクライアントIDとクライアントシークレットによってクライアントを認証する。その上で認可トークンを発行し、テナント専用クライアントテーブルの情報と合わせて認可トークンテーブルに格納する。その後、認可トークン発行要求元に、発行した認可トークンを応答する。表7に、アクセス管理サーバ102がデータ管理部302で管理している認可トークン情報の例を示す。
本実施例では、トークンID「AT0001」を発行したものとし、テナント専用クライアントテーブルから取得したクライアントID「ID0001」、テナントID「1001AA」、デバイスシリアル「S0001」を合わせて保存したものとする。
ステップS609において、デバイス105上のアプリケーションモジュール331は発行された認可トークンを用いて、リソースサーバ103にリソース利用要求を行う。
ステップS610において、リソースサーバ103はアクセス管理サーバ102に対して、受け取った認可トークンの検証要求を行う。本実施例では、認可トークンとして「AT0001」を利用する。
ステップS610において、リソースサーバ103はアクセス管理サーバ102に対して、受け取った認可トークンの検証要求を行う。本実施例では、認可トークンとして「AT0001」を利用する。
ステップS611において、アクセス管理サーバ102は、検証要求された認可トークンのトークンIDを検証し、検証結果としてトークンに紐付く情報を応答する。より具体的には、認可トークンテーブルに登録されているか、かつ有効期限内かを検証し、特定された認可トークンに紐付く情報を認可トークン情報として利用する。本実施例では、トークンID「AT0001」に紐付くクライアントID「ID0001」、テナントID「1001AA」、デバイスシリアルID「S0001」が認可トークン情報として利用される。
ステップS612において、リソースサーバ103は、認可トークン情報を元にリソースの提供を行う。リソースサーバ103は、認可トークン情報に含まれるテナントIDおよびデバイスシリアルIDを元に、リソース利用要求をしてきたデバイスとそのデバイスの所属テナントを特定する。リソースサーバ103は、そのデバイスのものとして処理を行い、処理内容などのデータを対象のテナントの持ち物として管理する。本実施例では、テナント「1001AA」のデバイスシリアルID「S0001」が利用しているものとして処理を行う。
ステップS613において、デバイス105上のアプリケーションモジュール331はリソースサーバ103のリソースを利用する。
ステップS613において、デバイス105上のアプリケーションモジュール331はリソースサーバ103のリソースを利用する。
実施例1により、連携アプリケーションを介してサービスを利用するので、デバイス105を利用している端末利用者が所属するテナントを特定できる。これにより、端末利用者の情報をテナントの情報として管理でき、より詳細な情報を利用する事ができる。また、連携用アプリケーションをデバイスからアンインストールすることで、これまでアクセスしていたテナントにアクセス出来なくなる。そのため、端末利用者が別テナントのユーザになった場合でも、以前の端末利用者が所属していたテナントの情報として処理されることがなくなり、情報漏洩などのリスクがなくなる。
(実施例2)
次に、作成済みの連携用アプリケーションを無効化する場合の第2の形態について説明する。連携用アプリケーションやテナント専用クライアントクレデンシャルが流出した場合や、利用している暗号技術の危殆化などで、セキュリティの観点から作成済みの連携用アプリケーションを無効化したい場合がある。本形態では、作成済みの連携用アプリケーションを一斉に無効化する方法について説明する。
次に、作成済みの連携用アプリケーションを無効化する場合の第2の形態について説明する。連携用アプリケーションやテナント専用クライアントクレデンシャルが流出した場合や、利用している暗号技術の危殆化などで、セキュリティの観点から作成済みの連携用アプリケーションを無効化したい場合がある。本形態では、作成済みの連携用アプリケーションを一斉に無効化する方法について説明する。
図7を用いて、端末利用者がアクセス管理サーバ102において、端末利用者が作成済みの連携用アプリケーションを無効化する無効化処理のフローを説明する。
ステップS701において、端末104上のWebブラウザ320を用いて、アクセス管理サーバ102の連携用アプリケーション無効化画面に対してアクセスを行う。
アクセス管理サーバ102は、前述のステップS402と同じ認証処理を行う。本実施例では、ユーザID「admin@1001AA」で認証したものとする。
ステップS701において、端末104上のWebブラウザ320を用いて、アクセス管理サーバ102の連携用アプリケーション無効化画面に対してアクセスを行う。
アクセス管理サーバ102は、前述のステップS402と同じ認証処理を行う。本実施例では、ユーザID「admin@1001AA」で認証したものとする。
ステップS702において、アクセス管理サーバ102は、アカウントテーブル(表1)とロールテーブル(表2)から認証したユーザの権限を確認し、サービステーブル(表3)から、認証したユーザが連携用のアプリケーション無効化権限を持つか確認する。本実施例では、ユーザID「admin@1001AA」に対してロールID「ロールA」が設定されている。そしてサービステーブルから、ロールID「ロールA」には「サービスA」の「管理者」としての権限があり、連携用のアプリケーション無効化権限を持つと判断される。なお、ステップS402では、ユーザが連携用のアプリケーション無効化権限を持つかを、ユーザに設定されたロールによって判定したが、ユーザのその他の属性情報や、ユーザが所属するグループの権限などで判断してもよい。
ユーザが連携用のアプリケーション無効化権限を持たない場合はステップS703に進み、権限なしエラーとして処理を終了する。アプリケーション無効化権限を持つ場合はステップS704に進み、処理を継続する。
ユーザが連携用のアプリケーション無効化権限を持たない場合はステップS703に進み、権限なしエラーとして処理を終了する。アプリケーション無効化権限を持つ場合はステップS704に進み、処理を継続する。
S704において、アクセス管理サーバ102は、連携用アプリケーション無効化画面800を提供する。
図8は本実施形態において、連携用アプリケーション無効化画面を示した図である。連携用アプリケーション無効化画面800は、無効化要求ボタン801、無効化キャンセルボタン802から構成される。また本画面は、複数の連携用アプリケーションが作成されていた場合などに備え、不図示のテナント専用アプリケーション一覧を表示し、無効化対象を選択できるように構成してもよい。無効化要求ボタン801が押下された場合は、S705に進む。一方、無効化キャンセルボタン802は処理を終了する。
図8は本実施形態において、連携用アプリケーション無効化画面を示した図である。連携用アプリケーション無効化画面800は、無効化要求ボタン801、無効化キャンセルボタン802から構成される。また本画面は、複数の連携用アプリケーションが作成されていた場合などに備え、不図示のテナント専用アプリケーション一覧を表示し、無効化対象を選択できるように構成してもよい。無効化要求ボタン801が押下された場合は、S705に進む。一方、無効化キャンセルボタン802は処理を終了する。
ステップS705において、アクセス管理サーバ102は、アプリケーションの無効化実行を行う。
ステップS706において、アクセス管理サーバ102は、連携用アプリケーションテーブル(表5)を参照し、無効化実行されたアプリケーションに紐付いているテナント専用デフォルトクレデンシャルの無効化を行う。表8に、テナント専用デフォルトクレデンシャルの無効化を行った場合の、アクセス管理サーバ102がデータ管理部302で管理しているテナント専用デフォルトクレデンシャル情報の例を示す。
本実施例では、アプリケーションID「AP0001」を無効化したものとし、該アプリケーションに紐付くテナント専用デフォルトクレデンシャル「1001AA.p12」が無効化される。表4では「有効」だったテナント専用デフォルトクレデンシャルの状態欄が、無効化後の表8では「無効」に変更されている。
ステップS706において、アクセス管理サーバ102は、連携用アプリケーションテーブル(表5)を参照し、無効化実行されたアプリケーションに紐付いているテナント専用デフォルトクレデンシャルの無効化を行う。表8に、テナント専用デフォルトクレデンシャルの無効化を行った場合の、アクセス管理サーバ102がデータ管理部302で管理しているテナント専用デフォルトクレデンシャル情報の例を示す。
ステップS707において、アクセス管理サーバ102は、無効化されたテナント専用デフォルトクレデンシャルを利用しているテナント専用クライアントクレデンシャルを無効化する。実施例2においては、テナント専用クライアント発行時に、テナント専用デフォルトクレデンシャル情報を合わせて保存する必要がある。表9に、テナント専用クライアントクレデンシャルテーブル情報の無効化を行った場合のテナント専用クライアントクレデンシャルテーブル情報の例を示す。
本実施例では、テナント専用デフォルトクレデンシャル「1001AA.p12」を利用しているテナント専用クライアントクレデンシャルである、クライアントID「ID0001」が無効化される。
実施例2の方法により、テナントの全ての連携用アプリケーションからのサービス利用を停止できる。発行済みのテナント専用デフォルトクレデンシャルを無効化する事で、連携用アプリケーションの新規利用が出来なくなる。さらにそのテナント専用デフォルトクレデンシャルで登録されたテナント専用クライアントクレデンシャルを無効化する事で、既に利用されているアプリケーションからの認可トークン発行が行えなくなる。これにより、セキュリティが向上する。なお本実施例では、テナント専用クライアントクレデンシャルの無効化のみ行ったが、合わせて発行済みの認可トークンの無効化も行っても良い。
(実施例3)
次に、端末利用者が利用しているデバイスを更新するための形態について説明する。端末利用者が利用しているデバイスを物理的に更新する場合があるが、デバイスを変えて連携用アプリケーションを利用すると、新たなテナント専用クライアントクレデンシャルが発行されるため、これまでの利用データが引き継げないという問題がある。本形態では、デバイスを変更した場合に、以前のデータを引き継ぐ方法を説明する。
次に、端末利用者が利用しているデバイスを更新するための形態について説明する。端末利用者が利用しているデバイスを物理的に更新する場合があるが、デバイスを変えて連携用アプリケーションを利用すると、新たなテナント専用クライアントクレデンシャルが発行されるため、これまでの利用データが引き継げないという問題がある。本形態では、デバイスを変更した場合に、以前のデータを引き継ぐ方法を説明する。
図9及び図10を用いて、デバイスを変更する際のフローを説明する。なお図9は、デバイス変更前の設定フロー、図10は、デバイス変更フローを示す図である。
ステップS901において、端末104上のWebブラウザ320を用いて、アクセス管理サーバ102のデバイス変更設定画面に対してアクセスを行う。アクセス管理サーバ102は、前述のステップS402と同じ認証処理を行う。本実施例では、ユーザID「admin@1001AA」で認証したものとする。
ステップS901において、端末104上のWebブラウザ320を用いて、アクセス管理サーバ102のデバイス変更設定画面に対してアクセスを行う。アクセス管理サーバ102は、前述のステップS402と同じ認証処理を行う。本実施例では、ユーザID「admin@1001AA」で認証したものとする。
ステップS902において、アクセス管理サーバ102は、アカウントテーブル(表1)とロールテーブル(表2)から、認証したユーザの権限を確認し、サービステーブル(表3)から、認証したユーザがデバイス変更権限を持つか確認する。本実施例では、ユーザID「admin@1001AA」に対してロールID「ロールA」が設定されている。そしてサービステーブルから、ロールID「ロールA」には「サービスA」の「管理者」としての権限があり、デバイス変更権限を持つと判断される。なお、ステップS402では、ユーザがデバイス変更権限を持つかを、ユーザに設定されたロールによって判定したが、ユーザのその他の属性情報や、ユーザが所属するグループの権限などで判断してもよい。ユーザがデバイス変更権限を持たない場合はステップS903に進み、権限なしエラーとして処理を終了する。デバイス変更権限を持つ場合はステップS904に進み、処理を継続する。
ステップS904において、アクセス管理サーバ102は、デバイス変更設定画面1100の提供を行う。
図11は本実施形態において、デバイス変更設定画面を示した図である。デバイス変更設定画面1100は、変更前デバイスシリアルID入力欄1101、変更後デバイスシリアルID入力欄1102、設定ボタン1103、設定キャンセルボタン1104から構成される。設定ボタン1103が押下された場合は、S905に進む。一方。設定キャンセルボタン1104が押下された場合は、処理を終了する。本実施例では、変更前デバイスシリアルID入力欄1101に「S0001」が、変更後デバイスシリアルID入力欄1102に「S0002」が入力され、設定ボタン1103が押下されたとする。
図11は本実施形態において、デバイス変更設定画面を示した図である。デバイス変更設定画面1100は、変更前デバイスシリアルID入力欄1101、変更後デバイスシリアルID入力欄1102、設定ボタン1103、設定キャンセルボタン1104から構成される。設定ボタン1103が押下された場合は、S905に進む。一方。設定キャンセルボタン1104が押下された場合は、処理を終了する。本実施例では、変更前デバイスシリアルID入力欄1101に「S0001」が、変更後デバイスシリアルID入力欄1102に「S0002」が入力され、設定ボタン1103が押下されたとする。
ステップS905において、アクセス管理サーバ102は、変更前のデバイスシリアルIDと変更後のデバイスシリアルIDを紐付けて、変更用デバイスシリアルID管理テーブルに格納する。表10に、デバイス変更設定を行った場合の、アクセス管理サーバ102がデータ管理部302で管理している変更用デバイスシリアルID管理テーブル情報の例を示す。
本実施例では、これまで利用していたデバイスシリアルID「S0001」を、デバイスシリアルID「S0002」に変更するものとする。
図10は、変更したデバイスでのデバイス変更設定のフローチャートである。図10のデバイス105は、デバイスの物理的な変更後の新しいデバイスであり、連携用アプリケーションがアプリケーションモジュール331としてインストールされている。
ステップS1001において、デバイス105上のアプリケーションモジュール331を用いて、アクセス管理サーバ102にテナント専用クライアントクレデンシャルの変更要求を行う。本実施例では、アプリケーションモジュール331が、アクセス管理サーバ102に対し、登録先テナントID「1001AA」、デバイスシリアルID「S0002」を送り、テナント専用クライアントクレデンシャル変更要求を行う。
アクセス管理サーバ102は、前述のステップS602と同じ認証処理を行う。
ステップS1001において、デバイス105上のアプリケーションモジュール331を用いて、アクセス管理サーバ102にテナント専用クライアントクレデンシャルの変更要求を行う。本実施例では、アプリケーションモジュール331が、アクセス管理サーバ102に対し、登録先テナントID「1001AA」、デバイスシリアルID「S0002」を送り、テナント専用クライアントクレデンシャル変更要求を行う。
アクセス管理サーバ102は、前述のステップS602と同じ認証処理を行う。
ステップS1002において、アクセス管理サーバ102は、変更要求されたデバイスシリアルIDが、変更用デバイスシリアルID管理テーブル(表10)に登録されているか確認する。本実施例では、表10の変更用デバイスシリアルID管理テーブルにて、変更後デバイスシリアル「S0002」が登録されているため、変更実施可能と判断される。
変更要求されたデバイスシリアルIDが登録されていなかった場合は、ステップS1003に進み、変更エラーとして処理を終了する。なおここで、図6で説明したテナント専用クライアントクレデンシャル作成を実施しても良い。一方、変更要求されたデバイスシリアルIDが登録されていた場合は、変更実施可能と判断し、ステップS1004に進み、処理を継続する。
変更要求されたデバイスシリアルIDが登録されていなかった場合は、ステップS1003に進み、変更エラーとして処理を終了する。なおここで、図6で説明したテナント専用クライアントクレデンシャル作成を実施しても良い。一方、変更要求されたデバイスシリアルIDが登録されていた場合は、変更実施可能と判断し、ステップS1004に進み、処理を継続する。
ステップS913において、アクセス管理サーバ102は、テナント専用クライアントクレデンシャルの変更を行う。アクセス管理サーバ102は、変更用デバイスシリアルID管理テーブルから、変更前デバイスシリアルIDを取得し、そのデバイスシリアルIDに対応するテナント専用クライアントクレデンシャルを特定する。その上でアクセス管理サーバ102は、対象のクライアントIDを引き継ぎ、新たにそのクライアントを認証するためのクライアントシークレットを発行し、データを格納する。したがって、デバイスの変更前と後で、クライアントIDは共通であり、シークレットのみが異なる。その後、テナント専用クライアントクレデンシャル変更要求元に、作成したテナント専用クライアントクレデンシャルのクライアントIDおよびクライアントシークレットを返す。表11に、第3の形態でのテナント専用クライアントクレデンシャルテーブル情報の例を示す。
本実施例では、デバイスシリアルID「S0001」に紐付いていたクライアントID「ID0001」を引き継ぎ、新たに作成したクライアントシークレットと合わせて格納する。なおここで、変更前のテナント専用クライアントクレデンシャルはテナント専用クライアントテーブルから削除してもよく、無効状態にしてもよい。
ステップS914において、デバイス105は、受け取ったクライアントIDおよびシークレットを、アプリケーションモジュール331にテナント専用クライアントクレデンシャルとして保存する。本実施例では、クライアントID「ID0001」及びクライアントシークレット「******」をテナント専用クライアントクレデンシャルとして保存する。
実施例3の方法により、デバイスを更新する際に、発行済みのクライアントIDを引き継いてテナント専用クライアントクレデンシャルを発行することで、更新前のデバイスシリアルID「S0001」で利用していたデータを引き継いで利用する事が出来る。
(実施例4)
次に、デバイス105上の連携用アプリケーションを再インストールする際の形態について説明する。連携用アプリケーションの更新やデバイス105の都合で、インストールされている連携用アプリケーションを再インストールする場合がある。ここで、連携用アプリケーションを再インストールして再度クライアントクレデンシャル作成を行うと、新たなテナント専用クライアントクレデンシャルが発行されるため、これまでの利用データが引き継げない。本実施例では、連携用アプリケーションを再インストールした場合に、以前のデータを引き継ぐ方法を説明する。
次に、デバイス105上の連携用アプリケーションを再インストールする際の形態について説明する。連携用アプリケーションの更新やデバイス105の都合で、インストールされている連携用アプリケーションを再インストールする場合がある。ここで、連携用アプリケーションを再インストールして再度クライアントクレデンシャル作成を行うと、新たなテナント専用クライアントクレデンシャルが発行されるため、これまでの利用データが引き継げない。本実施例では、連携用アプリケーションを再インストールした場合に、以前のデータを引き継ぐ方法を説明する。
図12を用いて、アプリケーション再インストール時のフローを説明する。
ステップS1201において、デバイス105上のアプリケーションモジュール331を用いて、アクセス管理サーバ102にテナント専用クライアントクレデンシャルの再登録要求を行う。本実施例では、アプリケーションモジュール331が、アクセス管理サーバ102に対し、登録先テナントID「1001AA」、デバイスシリアルID「S0001」を送り、テナント専用クライアントクレデンシャル再登録要求を行う。
アクセス管理サーバ102は、前述のステップS602と同じ認証処理を行う。
ステップS1201において、デバイス105上のアプリケーションモジュール331を用いて、アクセス管理サーバ102にテナント専用クライアントクレデンシャルの再登録要求を行う。本実施例では、アプリケーションモジュール331が、アクセス管理サーバ102に対し、登録先テナントID「1001AA」、デバイスシリアルID「S0001」を送り、テナント専用クライアントクレデンシャル再登録要求を行う。
アクセス管理サーバ102は、前述のステップS602と同じ認証処理を行う。
ステップS1202において、アクセス管理サーバ102は、再登録要求されたデバイスシリアルIDが、テナント専用クライアントクレデンシャルテーブルに登録されているか登録確認を行う。再登録要求されたデバイスシリアルIDがテナント専用クライアントクレデンシャルテーブルに登録されていなかった場合は、ステップS1203に進み、再登録エラーとして処理を終了する。再登録要求されたデバイスシリアルIDがテナント専用クライアントクレデンシャルテーブルに登録されていた場合は、ステップS1204に進み、処理を継続する。本実施例では、表6のテナント専用クライアントクレデンシャルテーブルにて、デバイスシリアル「S0001」が登録されているため、再登録実施可能と判断される。
ステップS1204において、アクセス管理サーバ102は、テナント専用クライアントクレデンシャルを認証するための新しいクライアントシークレットを作成し、テナント専用クライアントの更新を行う。したがって、再インストール後の連携アプリケーションは、再インストール前のクライアントIDが共通で、シークレットのみが異なる。その後、テナント専用クライアントクレデンシャル再登録要求元に、テナント専用クライアントクレデンシャルのクライアントIDおよび再作成したクライアントシークレットを返す。
ステップS1205において、デバイス105は受け取ったクライアントIDおよびシークレットを、アプリケーションモジュール331にテナント専用クライアントクレデンシャルとして保存する。
ステップS1205において、デバイス105は受け取ったクライアントIDおよびシークレットを、アプリケーションモジュール331にテナント専用クライアントクレデンシャルとして保存する。
実施例4の方法により、デバイス105上の連携用アプリケーションを再インストールした場合に、再インストール前のクライアントIDを継続して利用出来るため、以前のデータを引き継いで利用する事が出来る。
(その他の実施形態)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
以上、本発明の好ましい実施形態について説明したが、本発明は、これらの実施形態に限定されず、その要旨の範囲内で種々の変形および変更が可能である。
Claims (13)
- 情報処理装置と、ネットワークを介してサービスを提供するサービス提供装置と、認可サーバとを含む権限委譲システムであって、
前記情報処理装置は、
連携アプリケーションの作成を要求する作成要求手段を有し、
前記認可サーバは、
前記情報処理装置からの前記連携アプリケーションの作成要求に応じて、ユーザのテナントを識別するための第1の認証情報を発行する第1の発行手段と、
前記第1の認証情報を含む連携アプリケーションを作成し、情報処理装置に提供する作成手段と、を有し、
前記認可サーバから提供された前記連携アプリケーションを備えた情報処理装置は、
認可サーバから提供された前記連携アプリケーションが有する前記第1の認証情報を基に、認可サーバへクライアント登録を要求する登録要求手段を有し、
さらに、認可サーバは、
前記クライアント登録の登録要求に含まれる前記テナントと紐付けて管理されるクライアントに対応する第2の認証情報を発行する第2の発行手段を有し、
さらに、前記連携アプリケーションを備えた情報処理装置は、
前記第2の認証情報を基に、特定の権限が前記クライアントに委譲されたことを示す認可情報の取得を要求する認可情報要求手段を有する
ことを特徴とする権限委譲システム。 - 前記連携アプリケーションを備えた情報処理装置は、
前記認可情報要求手段による前記認可情報の取得要求によって取得された前記認可情報を基に、前記サービス提供装置のサービスを利用する利用手段を有し、
前記認可サーバは、
前記認可情報要求手段からの前記認可情報の取得要求に応じて、前記認可情報を提供する提供手段と、
前記利用手段による前記サービス提供装置のサービスの利用の際に送信される前記認可情報を基に、前記利用手段が前記特定の権限で前記サービス提供装置のサービスを利用することを認可するか否かを検証する認可手段と、を有する
ことを特徴とする請求項1に記載の権限委譲システム。 - 前記第1の発行手段は、前記情報処理装置からのユーザ認証情報を基に、前記ユーザがテナントに属するユーザであるか認証し、さらに、前記ユーザが連携アプリケーション作成権限を有するユーザであるか確認して、前記第1の認証情報を生成する
ことを特徴とする請求項1または請求項2に記載の権限委譲システム。 - 前記認可サーバは、前記連携アプリケーションを管理する管理手段を有し、
前記連携アプリケーションは、アプリケーションIDと、前記第1の認証情報として前記テナントを示すテナントIDと前記テナントIDに紐付く証明書を含む
ことを特徴とする請求項1乃至3のいずれか1項に記載の権限委譲システム。 - 前記第2の認証情報の発行要求は、前記連携アプリケーションを備えた情報処理装置を示すシリアルIDと、前記テナントIDとを含み、
前記第2の認証情報は、前記テナントIDと、前記シリアルIDと、前記クライアントを示すクライアントIDとシークレットとを含む
ことを特徴とする請求項4に記載の権限委譲システム。 - 前記認可情報の取得を要求する認可情報要求は、前記クライアントIDと前記シークレットを含む
ことを特徴とする請求項5に記載の権限委譲システム。 - 前記第2の認証情報は、さらに、前記第1の認証情報に紐付けられ、
前記連携アプリケーションを備えた情報処理装置は、さらに、
前記認可サーバに、前記連携アプリケーションの無効化を要求する無効化要求手段を有し、
前記認可サーバは、さらに、
前記連携アプリケーションの無効化要求に基づいて、前記第1の認証情報を無効化する第1の無効化手段と、
前記第1の無効化手段により無効化された前記第1の認証情報に紐付く前記第2の認証情報を無効化する第2の無効化手段と、を有する
ことを特徴とする請求項1乃至6のいずれか1項に記載の権限委譲システム。 - 前記情報処理装置は、
前記認可サーバに、前記クライアントとして第1の情報処理装置が有する前記特定の権限を、前記連携アプリケーションを備えた第2の情報処理装置に引き継ぐ変更要求を行う変更要求手段を有し、
前記認可サーバは、
前記変更要求に基づいて、前記第1の情報処理装置を示すシリアルIDと、前記第2の情報処理装置を示すシリアルIDとを紐付けて保存する保存手段と、
前記第2の情報処理装置を示すシリアルIDが前記保存手段に保存されているか確認する確認手段と、を有し、
前記第2の情報処理装置を示すシリアルIDが前記保存手段に保存されていると確認できた場合、前記第2の発行手段は、前記第2の情報処理装置に、前記第2の認証情報を発行する
ことを特徴とする請求項1乃至7のいずれか1項に記載の権限委譲システム。 - 前記第1の情報処理装置に発行される第2の認証情報と、前記第2の情報処理装置に発行される第2の認証情報とでは、クライアントIDは共通であり、クライアントシークレットが異なる
ことを特徴とする請求項8に記載の権限委譲システム。 - 前記連携アプリケーションを備えた情報処理装置は、
前記第2の認証情報の再インストールを要求する再インストール手段を有し、
前記認可サーバは、
前記連携アプリケーションを備えた情報処理装置から前記第2の認証情報の発行を要求された場合、前記連携アプリケーションを備えた情報処理装置のシリアルIDが、前記第2の認証情報に紐付けられているか確認する登録確認手段を有し、
前記再インストールの要求に含まれるシリアルIDが、前記第2の認証情報に紐付けられていると確認された場合、前記第2の発行手段により前記第2の認証情報を再インストールし、
再インストール前と再インストール後の第2の認証情報では、クライアントIDは共通であり、クライアントシークレットが異なる
ことを特徴とする請求項1乃至9のいずれか1項に記載の権限委譲システム。 - 情報処理装置をクライアントとして登録し、前記情報処理装置がネットワークを介してサービス提供装置が提供するサービスを利用するための認可処理を行う認可サーバであって、
前記情報処理装置からの連携アプリケーションの作成要求に応じて、ユーザのテナントを識別するための第1の認証情報を発行するする第1の発行手段と、
前記第1の認証情報を含む連携アプリケーションを作成し、情報処理装置に提供する作成手段と、
前記認可サーバから提供された前記連携アプリケーションを備えた情報処理装置からのクライアント登録の登録要求に含まれる前記テナントと紐付けて管理されるクライアントに対応する第2の認証情報を発行する第2の発行手段と、
前記連携アプリケーションを備えた情報処理装置からの前記第2の認証情報を基にした、特定の権限が前記クライアントに委譲されたことを示す認可情報の取得要求に応じて、前記認可情報を提供する提供手段と、
前記連携アプリケーションを備えた情報処理装置による前記サービス提供装置のサービスの利用の際に送信される前記認可情報を基に、前記連携アプリケーションを備えた情報処理装置が前記特定の権限で前記サービス提供装置のサービスを利用することを認可するか否かを検証する認可手段と、を有する
ことを特徴とする認可サーバ。 - 情報処理装置と、ネットワークを介してサービスを提供するサービス提供装置と、認可サーバとを含む権限委譲システムの制御方法であって、
前記情報処理装置が、連携アプリケーションの作成を要求する工程と、
前記認可サーバが、前記情報処理装置からの前記連携アプリケーションの作成要求に応じて、ユーザのテナントを識別するための第1の認証情報を発行するする工程と、
前記認可サーバが、前記第1の認証情報を含む連携アプリケーションを作成し、情報処理装置に提供する工程と、
前記認可サーバから提供された前記連携アプリケーションを備えた情報処理装置が、認可サーバから提供された前記連携アプリケーションが有する前記第1の認証情報を基に、認可サーバへクライアント登録を要求する工程と、
認可サーバが、前記クライアント登録の登録要求に含まれる前記テナントと紐付けて管理されるクライアントに対応する第2の認証情報を発行する工程と、
前記連携アプリケーションを備えた情報処理装置が、前記第2の認証情報を基に、特定の権限が前記クライアントに委譲されたことを示す認可情報の取得を要求する工程と、
認可サーバが、前記認可情報の取得要求に応じて、前記認可情報を提供する工程と、
前記連携アプリケーションを備えた情報処理装置が、取得した前記認可情報を基に、前記サービス提供装置のサービスを利用する工程と、
前記認可サーバが、前記サービスの利用の際に送信される前記認可情報を基に、前記連携アプリケーションを備えた情報処理装置が、前記特定の権限で前記サービス提供装置のサービスを利用することを認可するか否かを検証する工程と、を有する
ことを特徴とする権限委譲システムの制御方法。 - 請求項11に記載の認可サーバの各手段としてコンピュータを機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015256465A JP2017120502A (ja) | 2015-12-28 | 2015-12-28 | クラウドサービスへのIoT機器の登録方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015256465A JP2017120502A (ja) | 2015-12-28 | 2015-12-28 | クラウドサービスへのIoT機器の登録方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2017120502A true JP2017120502A (ja) | 2017-07-06 |
Family
ID=59272109
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015256465A Pending JP2017120502A (ja) | 2015-12-28 | 2015-12-28 | クラウドサービスへのIoT機器の登録方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2017120502A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019187367A1 (ja) * | 2018-03-30 | 2019-10-03 | パナソニックIpマネジメント株式会社 | 管理システム、管理方法、プログラム |
| JP2020095569A (ja) * | 2018-12-14 | 2020-06-18 | キヤノン株式会社 | デバイス管理システム及びデバイス管理方法 |
| JP2020197766A (ja) * | 2019-05-30 | 2020-12-10 | キヤノン株式会社 | システム、ネットワークデバイス、制御方法、およびプログラム |
| EP3819796A1 (en) | 2019-11-06 | 2021-05-12 | Ricoh Company, Ltd. | At least one information processing apparatus, information processing system, and role setting method |
-
2015
- 2015-12-28 JP JP2015256465A patent/JP2017120502A/ja active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019187367A1 (ja) * | 2018-03-30 | 2019-10-03 | パナソニックIpマネジメント株式会社 | 管理システム、管理方法、プログラム |
| TWI692231B (zh) * | 2018-03-30 | 2020-04-21 | 日商松下知識產權經營股份有限公司 | 管理系統、管理方法、及記憶媒體 |
| JPWO2019187367A1 (ja) * | 2018-03-30 | 2020-08-20 | パナソニックIpマネジメント株式会社 | 管理システム、管理方法、プログラム |
| JP2020095569A (ja) * | 2018-12-14 | 2020-06-18 | キヤノン株式会社 | デバイス管理システム及びデバイス管理方法 |
| JP7166902B2 (ja) | 2018-12-14 | 2022-11-08 | キヤノン株式会社 | デバイス管理システム及びデバイス管理方法 |
| JP2020197766A (ja) * | 2019-05-30 | 2020-12-10 | キヤノン株式会社 | システム、ネットワークデバイス、制御方法、およびプログラム |
| JP7242430B2 (ja) | 2019-05-30 | 2023-03-20 | キヤノン株式会社 | システム、ネットワークデバイス、制御方法、およびプログラム |
| EP3819796A1 (en) | 2019-11-06 | 2021-05-12 | Ricoh Company, Ltd. | At least one information processing apparatus, information processing system, and role setting method |
| US11595394B2 (en) | 2019-11-06 | 2023-02-28 | Ricoh Company, Ltd. | Information processing system, apparatus, and method for setting a role in an application package |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2975843C (en) | Apparatus, system, and methods for a blockchain identity translator | |
| CN109428947B (zh) | 权限转移***及其控制方法和存储介质 | |
| JP6198477B2 (ja) | 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム | |
| CN109428891B (zh) | 权限转移***及其控制方法和客户端 | |
| JP6066647B2 (ja) | デバイス装置、その制御方法、およびそのプログラム | |
| JP6727799B2 (ja) | 権限委譲システム、情報処理装置、認可サーバ、制御方法およびプログラム | |
| JP6124687B2 (ja) | 画像形成装置、サーバー装置、情報処理方法及びプログラム | |
| CN110138718B (zh) | 信息处理***及其控制方法 | |
| JP6675163B2 (ja) | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム | |
| US9571494B2 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
| JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
| JP6376869B2 (ja) | データ同期システム、その制御方法、認可サーバー、およびそのプログラム | |
| WO2016092630A1 (ja) | 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム | |
| JP2017004301A (ja) | 認証サーバーシステム、方法、プログラムおよび記憶媒体 | |
| JP7096736B2 (ja) | システム、及びデータ処理方法 | |
| JP2018092446A (ja) | 認証認可システム及び情報処理装置と認証認可方法とプログラム | |
| JP2017120502A (ja) | クラウドサービスへのIoT機器の登録方法 | |
| JP2019096077A (ja) | 情報処理装置、情報処理装置における方法、およびプログラム | |
| JP2019086937A (ja) | 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法 | |
| JP6719875B2 (ja) | 認証サーバ、認証方法およびプログラム | |
| JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
| JP6199506B2 (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
| JP2009123154A (ja) | 属性証明書管理方法及び装置 | |
| JP2016085638A (ja) | サーバー装置、端末装置、システム、情報処理方法及びプログラム | |
| CN109428725A (zh) | 信息处理设备、控制方法和存储介质 |