JP2019168956A - ログイン代行システムおよびログイン代行方法 - Google Patents

ログイン代行システムおよびログイン代行方法 Download PDF

Info

Publication number
JP2019168956A
JP2019168956A JP2018056672A JP2018056672A JP2019168956A JP 2019168956 A JP2019168956 A JP 2019168956A JP 2018056672 A JP2018056672 A JP 2018056672A JP 2018056672 A JP2018056672 A JP 2018056672A JP 2019168956 A JP2019168956 A JP 2019168956A
Authority
JP
Japan
Prior art keywords
login
proxy
information
server
business
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018056672A
Other languages
English (en)
Other versions
JP7031415B2 (ja
Inventor
毅 柴田
Takeshi Shibata
毅 柴田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2018056672A priority Critical patent/JP7031415B2/ja
Publication of JP2019168956A publication Critical patent/JP2019168956A/ja
Application granted granted Critical
Publication of JP7031415B2 publication Critical patent/JP7031415B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】アプリケーションへのログインの代行で使用される情報をアプリケーションシステムと同期できるログイン代行システムを提供する。【解決手段】ログイン代行サーバ701〜ログイン代行サーバ70Kは、ログインで求められる情報であるログイン情報を用いてログインを代行する代行部71と、代行部71によるログインの代行結果を示す情報である代行結果情報を記憶する第1記憶部72とを有し、管理サーバ60は、ログイン情報を記憶する第2記憶部61と、ログインの代行が失敗した代行部71を有するログイン代行サーバ701以外のログイン代行サーバ702〜ログイン代行サーバ70Kが有する第1記憶部72から代行結果情報を取得する取得部62と、取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を第2記憶部61に記憶されている失敗したログインの代行で用いられたログイン情報に反映する反映部63とを有する。【選択図】図8

Description

本発明は、ログイン代行システムおよびログイン代行方法に関する。
1度の認証で複数の業務アプリケーションに対するログインおよびアクセスが可能になるシングルサインオン(Single Sign-ON:SSO)技術が知られている。シングルサインオン技術の方式には、以下の3つがある。
1つ目の方式は、各業務アプリケーションに認証機能が用意されず、全ての認証がシングルサインオンシステムで実行される方式である。
2つ目の方式は、各業務アプリケーションが有する認証機能に対してシングルサインオンシステムがログインを代行する方式であるログイン代行方式である。
2つ目の方式を実現する方法として、例えば、業務アプリケーションが表示するログイン画面に対してIDの文字列、およびパスワードの文字列を入力する方法がある。また、業務アプリケーションサーバに対して、BASIC認証や統合Windows(登録商標)認証等の認証ヘッダを送信する方法、またはFORM認証等のPOSTデータを送信する方法がある。
3つ目の方式は、シングルサインオンシステムが認証したことを示す情報を各業務アプリケーションへ送信し、各業務アプリケーションが送信された情報を信頼する方式である。3つ目の方式を実現する方法として、例えば、SAML(Security Assertion Markup Language)やOpenID等のプロトコルを使用する方法がある。
運用中の多くの業務アプリケーションは、既に認証機能を個別に有している。よって、シングルサインオンシステムが導入される場合、シングルサインオンシステムに1つ目の方式のシングルサインオン技術が採用されることは無意味である。
また、運用中の多くの業務アプリケーションは、SAMLやOpenID等のプロトコルに対応していない。よって、導入されるシングルサインオンシステムに、3つ目の方式のシングルサインオン技術は、採用されにくい。
しかし、上記の業務アプリケーションに対して、2つ目の方式であるログイン代行方式によるログインは実行可能である。よって、導入されるシングルサインオンシステムにログイン代行方式が採用されることが多い。
上記のように、シングルサインオン技術の方式の1つに、業務アプリケーションに対してIDとパスワードを利用者に代わって入力するログイン代行方式がある。ログイン代行方式が用いられると、利用者が何も対応することなく、ログインが自動で実行される。
ログイン代行方式が採用されたシングルサインオンシステムであるログイン代行システムには、業務アプリケーションへのログインに要する業務アカウントIDとパスワードとを管理することが求められる。また、ログイン代行システムと業務アプリケーションとの間で、同じ内容の業務アカウントIDとパスワードとが同期されていることが求められる。
また、ログイン代行システムは、業務アプリケーションのパスワードを示す情報を利用者に通知する形態で運用されていてもよいし、利用者に通知しない形態で運用されていてもよい。
パスワードを示す情報を利用者に通知する形態でログイン代行システムが運用されている場合、利用者は、パスワードを把握できる。よって、利用者は、ログイン代行システムを介さずに直接業務アプリケーションにログインできる。上記の形態は、例えば、利用者が容易に業務アプリケーションを利用できることが求められる場合に取られる。
パスワードを示す情報を利用者に通知しない形態でログイン代行システムが運用されている場合、利用者は、パスワードを把握できない。よって、利用者は、ログイン代行システムを介してのみ業務アプリケーションにログインできる。上記の形態は、例えば、業務アプリケーションへのログインが可能な限りIT(Information Technology)技術で統制されることが求められる場合に取られる。
パスワード等を同期させる方法の1つに、ログイン代行システムと業務アプリケーションシステムの両システムにおいて、一方のシステムがパスワードを示す情報を出力し、他方のシステムが出力された情報を取り込む方法がある。
また、特許文献1には、パスワード変更画面を有するアプリケーションプログラムのパスワード変更方法が記載されている。特許文献1に記載されているパスワード変更方法は、クライアント側でパスワード変更が検知された後に両システムで管理されているパスワードを更新する方法である。
特開2002−14926号公報
上記の2つ目の方式では、2つのシステムのいずれかで障害が発生した際、例えばバックアップされたデータが用いられて復旧が行われる。しかし、復旧が行われると、両システム間でパスワードの不一致が生じる。
業務アプリケーションシステムにおいて障害が発生した際のパスワードの不一致を解消する方法は、既に提示されている。しかし、上記の2つ目の方式では、ログイン代行システムにおいて障害が発生した場合が考慮されていない。
ログイン代行システムで何らかの障害が発生した際にバックアップされたデータが用いられて復旧が行われると、ログイン代行システムで管理されているパスワードが、過去に使用されたパスワードに戻る。
ログイン代行システムで管理されているパスワードが過去に使用されたパスワードに戻ると、ログイン代行システムと業務アプリケーションシステムとの間で、パスワードの不一致が生じる。シングルサインオンが実行されるためには再度のパスワードの同期が求められるが、再度のパスワードの同期の実行には以下の課題がある。
業務アプリケーションシステムにパスワードを示す情報を抽出するためのインタフェースが用意されていない場合、業務アプリケーションシステムがログイン代行システムからパスワードを示す情報を取り込む方法は、使用されない。
上記の抽出用のインタフェースが用意されているログイン代行システムは、業務アプリケーションシステムからパスワードを示す情報を取り込むことができる。しかし、業務アプリケーションシステムが暗号化された状態のパスワード、またはハッシュ化された状態のパスワードを保持していれば、抽出用のインタフェースが用意されていても、ログイン代行システムは、パスワードを示す情報を取り込むことができない場合がある。
また、クライアント側からログイン代行システムで管理されているパスワードと業務アプリケーションシステムで管理されているパスワードを更新する場合、そもそもパスワードが不一致の状態であるため、クライアントは、業務アプリケーションにログインできない。すなわち、クライアントはパスワード変更画面にアクセスできないため、特許文献1に記載されている方法は、使用されない。
パスワードの不一致を解消するために、利用者自身が過去に使用されたパスワードを業務アプリケーションシステムに登録し直す方法も考えられる。しかし、利用者が過去に使用されたパスワードを覚えていない可能性は高い。
また、パスワードの不一致を解消するために、利用者自身がログイン代行システム側のパスワードを最新のパスワードに変更する方法も考えられる。しかし、パスワードを利用者に通知しない形態でログイン代行システムが運用されている場合、利用者は、最新のパスワードを把握していない。
[発明の目的]
そこで、本発明は、上述した課題を解決する、アプリケーションへのログインの代行で使用される情報をアプリケーションシステムと同期できるログイン代行システムおよびログイン代行方法を提供することを目的とする。
本発明によるログイン代行システムは、管理サーバと、複数のログイン代行サーバとを含むログイン代行システムであって、ログイン代行サーバは、ログインで求められる情報であるログイン情報を用いてログインを代行する代行部と、代行部によるログインの代行結果を示す情報である代行結果情報を記憶する第1記憶部とを有し、管理サーバは、ログイン情報を記憶する第2記憶部と、ログインの代行が失敗した代行部を有するログイン代行サーバ以外のログイン代行サーバが有する第1記憶部から代行結果情報を取得する取得部と、取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を第2記憶部に記憶されている失敗したログインの代行で用いられたログイン情報に反映する反映部とを有することを特徴とする。
本発明によるログイン代行方法は、管理サーバと、複数のログイン代行サーバとを含むログイン代行システムで実行されるログイン代行方法であって、ログイン代行サーバは、ログインで求められる情報であるログイン情報を用いてログインを代行し、ログインの代行結果を示す情報である代行結果情報を第1記憶部に記憶させ、管理サーバは、ログイン情報を第2記憶部に記憶させ、ログインの代行が失敗したログイン代行サーバ以外のログイン代行サーバが有する第1記憶部から代行結果情報を取得し、取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を第2記憶部に記憶されている失敗したログインの代行で用いられたログイン情報に反映することを特徴とする。
本発明によれば、アプリケーションへのログインの代行で使用される情報をアプリケーションシステムと同期できる。
本発明によるログイン代行システムの第1の実施形態の構成例を示すブロック図である。 ログイン代行情報データベース210に格納されている利用者アカウント情報の例を示す説明図である。 ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報の例を示す説明図である。 ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報の例を示す説明図である。 業務システムパスワード履歴情報データベース160に格納されている業務システムパスワード履歴情報の例を示す説明図である。 第1の実施形態のログイン代行システム10によるログイン代行処理の動作を示すフローチャートである。 第1の実施形態のログイン代行システム10によるパスワード同期処理の動作を示すフローチャートである。 本発明によるログイン代行システムの概要を示すブロック図である。
実施形態1.
[構成の説明]
以下、本発明の実施形態を、図面を参照して説明する。図1は、本発明によるログイン代行システムの第1の実施形態の構成例を示すブロック図である。
図1に示すように、本実施形態のログイン代行システム10は、ログイン代行サーバ100〜ログイン代行サーバ100と、管理サーバ200と、クライアント端末300〜クライアント端末300と、業務アプリケーションサーバ400とを含む(Nは2以上の自然数、Mは自然数)。
ログイン代行サーバ100〜ログイン代行サーバ100は、それぞれ異なるクライアント端末に対応している。以下、ログイン代行サーバ100〜ログイン代行サーバ100をまとめてログイン代行サーバ100とも記載する。また、クライアント端末300〜クライアント端末300をまとめてクライアント端末300とも記載する。
図1に示すログイン代行サーバ100は、業務アプリケーションのログイン画面へのIDとパスワードの入力を代行することによって、シングルサインオン技術を実現するサーバである。
本実施形態のログイン代行サーバ100は、例えば、クライアント端末300において稼働するエージェントソフトウェアに業務アプリケーションへのログインを代行させるサーバである。すなわち、ログイン代行サーバ100の一部がクライアント端末300に配置される。
ログイン代行サーバ100は、各業務アプリケーションとパスワードを示す情報を同期する。また、各業務アプリケーションとの間でパスワードの不一致が生じた場合、ログイン代行サーバ100は、自身が管理するパスワードを補正する。
図1に示すように、ログイン代行サーバ100は、ログイン処理部110と、ログイン画面検知部120と、入力代行部130と、ログイン後画面検知部140と、業務システムパスワード履歴処理部150と、業務システムパスワード履歴情報データベース160とを有する。
ログイン処理部110は、利用者のログイン代行サーバ100へのログインを許可するか否かを判定する機能を有する。また、ログイン画面検知部120は、業務アプリケーションログイン画面が表示されたことを検知する機能を有する。
また、入力代行部130は、利用者による業務アプリケーションログイン画面へのログインを代行する機能を有する。ログインを代行するために、入力代行部130は、ログインに求められる情報の業務アプリケーションログイン画面への入力を代行する。
また、ログイン後画面検知部140は、業務アプリケーションログイン画面が遷移した画面を検知する機能を有する。また、業務システムパスワード履歴処理部150は、ログイン代行の結果を示す情報である業務システムパスワード履歴情報を生成する機能を有する。
業務システムパスワード履歴処理部150は、生成された業務システムパスワード履歴情報を業務システムパスワード履歴情報データベース160に格納する。業務システムパスワード履歴情報データベース160は、格納された業務システムパスワード履歴情報を暗号化して所定期間保持する機能を有する。
業務システムパスワード履歴情報には、ログイン代行対象の業務アプリケーションに対するパスワード変更時またはログイン代行成功時の時刻と、業務アカウントパスワードとが含まれる。
また、図1に示すように、管理サーバ200は、ログイン代行情報データベース210と、認証情報復旧処理部220とを有する。
ログイン代行情報データベース210は、利用者のアカウント情報、業務アプリケーションの画面の定義情報、および業務アプリケーションのアカウント情報を保持する機能を有する。保持される各情報は、認証情報復旧処理部220によりログイン代行情報データベース210に格納される。
認証情報復旧処理部220は、バックアップデータが用いられた復旧が行われた際にパスワードが過去に使用されたパスワードに戻った場合、業務アプリケーションの各アカウント情報に復旧直後の状態であることを記録する。
また、図1に示すように、クライアント端末300は、ログイン代行サーバログイン画面、業務アプリケーションログイン画面、業務アプリケーションログイン成功画面、および業務アプリケーションログイン失敗画面を表示する。以下、業務アプリケーションログイン画面、業務アプリケーションログイン成功画面、および業務アプリケーションログイン失敗画面を、まとめて業務アプリケーション画面と呼ぶ。
Web型アプリケーションの業務アプリケーション画面は、Webブラウザで表示される。また、クライアント/サーバ型アプリケーションの業務アプリケーション画面は、独自のユーザインタフェースで表示される。
業務アプリケーションサーバ400は、クライアント端末300〜クライアント端末300に業務アプリケーション画面の表示に使用される情報を送信する機能を有する。業務アプリケーションサーバ400は、各端末に同じ情報を送信する。
以下、本実施形態のログイン代行システム10の使用例を説明する。利用者は、クライアント端末300においてログイン代行サーバログイン画面を表示する。次いで、利用者は、表示された画面に利用者のIDおよびパスワードを入力して、ログイン代行サーバ100へのログインを要求する。
ログイン代行サーバ100のログイン処理部110は、クライアント端末300から入力された利用者からのログイン要求を受け付ける。次いで、ログイン処理部110は、管理サーバ200のログイン代行情報データベース210に格納されている利用者アカウント情報を参照する。
図2は、ログイン代行情報データベース210に格納されている利用者アカウント情報の例を示す説明図である。図2に示すように、利用者アカウント情報は、利用者IDと、利用者パスワードとで構成されている。
ログイン要求に含まれている利用者のIDおよびパスワードがいずれかの利用者アカウント情報の利用者IDおよび利用者パスワードと一致する場合、ログイン処理部110は、利用者のログイン代行サーバ100へのログインを許可する。
ログイン要求に含まれている利用者のIDおよびパスワードがいずれの利用者アカウント情報の利用者IDおよび利用者パスワードとも一致しない場合、ログイン処理部110は、利用者のログイン代行サーバ100へのログインを拒否する。
ログイン代行サーバ100へのログインが許可された利用者は、クライアント端末300において業務アプリケーションログイン画面を表示する。業務アプリケーションログイン画面が表示されると、ログイン代行サーバ100のログイン画面検知部120は、画面が表示されたことを検知する。
次いで、ログイン画面検知部120は、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を利用して、どの業務アプリケーション画面が表示されているかを特定する。
図3は、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報の例を示す説明図である。図3に示すように、業務アプリケーション画面定義情報は、業務アプリケーションIDと、種別と、業務アプリケーション画面定義とで構成されている。
業務アプリケーションIDは、業務アプリケーションの識別情報である。また、種別は、表示される画面の種別であり、ログイン画面、ログイン成功画面、またはログイン失敗画面のいずれかを示す。
また、業務アプリケーション画面定義は、業務アプリケーションIDと種別とで特定される業務アプリケーション画面の定義情報である。図3に示すように、業務アプリケーション画面定義には、画面タイトルや、プロセス名が含まれる。
ログイン画面検知部120は、ログイン代行サーバ100にログインしている利用者の利用者IDと、特定された業務アプリケーションログイン画面に関する業務アプリケーションIDを入力代行部130に入力する。次いで、入力代行部130は、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報の業務アカウントIDおよび業務アカウントパスワードを取得する。
図4は、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報の例を示す説明図である。図4に示すように、業務アプリケーションアカウント情報は、利用者IDと、業務アプリケーションIDと、業務アカウントIDと、業務アカウントパスワードと、更新日時と、復旧状態とで構成されている。
利用者IDは、利用者アカウント情報の利用者IDである。また、業務アプリケーションIDは、業務アプリケーション画面定義情報の業務アプリケーションIDである。また、業務アカウントIDおよび業務アカウントパスワードは、業務アプリケーションログイン画面に入力される情報である。また、更新日時は、業務アプリケーションアカウント情報が更新された日時を示す情報である。
また、復旧状態は、業務アプリケーションアカウント情報の状態を示す情報である。復旧状態の「0」は、復旧済の状態であることを意味する。また、復旧状態の「1」は、復旧試行済の状態であることを意味する。また、復旧状態の「2」は、復旧直後の状態であることを意味する。
管理サーバ200において障害が発生した場合、システム管理者が、バックアップデータを用いてログイン代行情報データベース210を復旧する。ログイン代行情報データベース210が復旧される際、認証情報復旧処理部220は、ログイン代行情報データベース210に格納されている各業務アプリケーションアカウント情報の復旧状態を、復旧直後であることを意味する「2」に設定する。
入力代行部130は、現在ログイン代行サーバ100にログインしている利用者の利用者ID、および表示されている業務アプリケーションログイン画面に関する業務アプリケーションIDをキーとして、業務アカウントIDおよび業務アカウントパスワードを取得する。
次いで、入力代行部130は、取得された情報の業務アプリケーションログイン画面への入力を代行する。情報が入力された後、業務アプリケーションログイン画面は、業務アプリケーションログイン成功画面、または業務アプリケーションログイン失敗画面のいずれかに遷移する。
ログイン代行サーバ100のログイン後画面検知部140は、画面が遷移したことを検知する。次いで、ログイン後画面検知部140は、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を利用して、ログイン成功画面とログイン失敗画面のどちらが表示されているかを判別する。
業務アプリケーションログイン成功画面が表示されていると判別された場合、業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報を業務システムパスワード履歴情報データベース160に暗号化して保存する。
図5は、業務システムパスワード履歴情報データベース160に格納されている業務システムパスワード履歴情報の例を示す説明図である。図5に示すように、業務システムパスワード履歴情報は、利用者IDと、業務アプリケーションIDと、業務アカウントIDと、処理種別と、業務アカウントパスワードと、処理日時とで構成されている。
利用者ID、業務アプリケーションID、業務アカウントID、および業務アカウントパスワードは、それぞれ業務アプリケーションアカウント情報の利用者ID、業務アプリケーションID、業務アカウントID、および業務アカウントパスワードである。
また、処理種別は、ログイン代行の結果の種別であり、認証成功、またはパスワード変更のいずれかを示す。また、処理日時は、ログイン代行が実行された日時を示す情報である。
業務システムパスワード履歴情報データベース160に利用者IDが同一、業務アプリケーションIDが同一、処理種別が同一の業務システムパスワード履歴情報が既に格納されている場合、業務システムパスワード履歴処理部150は、格納されている情報を更新する。
なお上述したように、本実施形態のログイン代行システム10には、複数のクライアント端末が含まれている。よって、利用者IDが同一である業務システムパスワード履歴情報も、複数のログイン代行サーバに分散されて保持されている。
業務アプリケーションログイン失敗画面が表示されていると判別された場合、業務システムパスワード履歴処理部150は、ログイン代行情報データベース210に格納されている、ログイン代行に使用された情報を含む業務アプリケーションアカウント情報を参照する。
参照された業務アプリケーションアカウント情報の復旧状態が「2(復旧直後)」である場合、業務システムパスワード履歴処理部150は、認証情報復旧処理部220にログイン代行失敗情報を送信する。送信されるログイン代行失敗情報には、ログイン代行に失敗した際の利用者ID、業務アプリケーションID、業務アカウントID、およびログイン失敗の結果を示す情報が含まれる。
ログイン代行失敗情報を受信した場合、認証情報復旧処理部220は、クライアント端末300〜クライアント端末300に対して稼働する各業務システムパスワード履歴処理部150に、受信されたログイン代行失敗情報を送信する。
ログイン代行失敗情報を受信した業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報データベース160に、受信されたログイン代行失敗情報に含まれる利用者ID、業務アプリケーションID、および業務アカウントIDを含む業務システムパスワード履歴情報が格納されているか否かを確認する。
該当する業務システムパスワード履歴情報の存在が確認された場合、業務システムパスワード履歴処理部150は、確認された業務システムパスワード履歴情報を認証情報復旧処理部220に送信する。
認証情報復旧処理部220は、各業務システムパスワード履歴処理部150から業務システムパスワード履歴情報を収集する。次いで、認証情報復旧処理部220は、収集された情報のうち処理日時が最新の業務システムパスワード履歴情報に基づいて、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報を更新する。更新する際、認証情報復旧処理部220は、業務アプリケーションアカウント情報の復旧状態を「1(復旧試行済)」に更新する。
次いで、認証情報復旧処理部220は、最初にログイン代行失敗情報を送信した業務システムパスワード履歴処理部150に対してログイン代行再試行指示を通知する。認証情報復旧処理部220からログイン代行再試行指示が通知された後、業務システムパスワード履歴処理部150は、入力代行部130に対してログイン代行の再試行を指示する。
入力代行部130は、ログイン代行情報データベース210に格納されている、ログイン代行再試行指示に対応する業務アプリケーションアカウント情報の業務アカウントIDおよび業務アカウントパスワードを取得する。次いで、入力代行部130は、取得された情報を用いて再度業務アプリケーションログイン画面への入力を代行する。
ログイン代行が成功した場合、ログイン後画面検知部140は、ログイン代行の成功を示す情報を業務システムパスワード履歴処理部150に入力する。次いで、業務システムパスワード履歴処理部150は、認証情報復旧処理部220にログイン代行の成功を示す情報を送信する。
ログイン代行の成功を示す情報を受信した後、認証情報復旧処理部220は、ログイン代行情報データベース210に格納されている情報のうち、該当する利用者ID、業務アプリケーションID、および業務アカウントIDを含む業務アプリケーションアカウント情報の復旧状態を「0(復旧済)」に変更する。
なお、本実施形態における同期処理のトリガは、クライアント端末300でのログイン代行処理の実行である。しかし、管理サーバ200がバックアップされたデータを用いて復旧処理を行った後、全てのログイン代行サーバ100〜ログイン代行サーバ100に対してログイン代行失敗情報に準ずる情報を送信し、送信への応答として業務パスワードシステム履歴情報を受信した後にパスワードの同期処理を実行してもよい。
[動作の説明]
以下、本実施形態のログイン代行システム10においてログインが代行される動作を図6を参照して説明する。図6は、第1の実施形態のログイン代行システム10によるログイン代行処理の動作を示すフローチャートである。
最初に、利用者は、クライアント端末300においてログイン代行サーバログイン画面を表示し、ログイン代行サーバ100へのログインを要求する(ステップS110)。クライアント端末300は、ログイン処理部110にログイン要求を入力する。
次いで、ログイン処理部110は、ログイン代行情報データベース210に格納されている利用者アカウント情報を参照して、ログインを要求した利用者のログイン代行サーバ100へのログインを許可するか否かを判定する(ステップS120)。ログインが拒否された場合(ステップS130におけるNo)、ログイン代行システム10は、ログイン代行処理を終了する。
ログインが許可された場合(ステップS130におけるYes)、利用者は、クライアント端末300において業務アプリケーションログイン画面を表示する(ステップS140)。
次いで、ログイン画面検知部120は、画面が表示されたことを検知し、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を参照して表示されている業務アプリケーション画面を特定する(ステップS150)。ログイン画面検知部120は、特定された業務アプリケーションログイン画面に関する業務アプリケーションIDを入力代行部130に入力する。
次いで、入力代行部130は、利用者IDと、入力された業務アプリケーションIDを用いて、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報の業務アカウントIDおよび業務アカウントパスワードを取得する(ステップS160)。
次いで、入力代行部130は、取得された情報の業務アプリケーションログイン画面への入力を代行する(ステップS170)。ログイン後画面検知部140は、入力が代行された後に画面が遷移したことを検知し、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を参照して表示されている業務アプリケーション画面を特定する(ステップS180)。
業務アプリケーションログイン成功画面が表示されていると特定された場合(ステップS190におけるYes)、業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報を業務システムパスワード履歴情報データベース160に保存する(ステップS200)。保存した後、ログイン代行システム10は、ログイン代行処理を終了する。
業務アプリケーションログイン失敗画面が表示されていると特定された場合(ステップS190におけるNo)、業務システムパスワード履歴処理部150は、パスワード同期処理を実行する(ステップS210)。パスワード同期処理を実行した後、ログイン代行システム10は、ログイン代行処理を終了する。
次に、図6に示すログイン代行処理を構成する副処理であるステップS210のパスワード同期処理を図7を参照して説明する。図7は、第1の実施形態のログイン代行システム10によるパスワード同期処理の動作を示すフローチャートである。
業務システムパスワード履歴処理部150は、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報に基づいて、認証情報復旧処理部220にログイン代行失敗情報を送信する(ステップS211)。
次いで、認証情報復旧処理部220は、他のログイン代行サーバ100〜ログイン代行サーバ100の各業務システムパスワード履歴処理部150に、受信されたログイン代行失敗情報を送信する(ステップS212)。
次いで、各業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報データベース160に格納されている、受信されたログイン代行失敗情報に対応する業務システムパスワード履歴情報を認証情報復旧処理部220に送信する(ステップS213)。
次いで、認証情報復旧処理部220は、送信された情報のうち処理日時が最新の業務システムパスワード履歴情報に基づいて、ログイン代行情報データベース210に格納されている業務アプリケーションアカウント情報を更新する(ステップS214)。
次いで、認証情報復旧処理部220は、ログイン代行サーバ100の業務システムパスワード履歴処理部150に対してログイン代行再試行指示を通知する(ステップS215)。ログイン代行再試行指示が通知された業務システムパスワード履歴処理部150は、入力代行部130に対してログイン代行の再試行を指示する。
次いで、入力代行部130は、ログイン代行情報データベース210に格納されている、ログイン代行再試行指示に対応する業務アプリケーションアカウント情報の業務アカウントIDおよび業務アカウントパスワードを取得する(ステップS216)。
次いで、入力代行部130は、取得された情報の業務アプリケーションログイン画面への入力を代行する(ステップS217)。ログイン後画面検知部140は、入力が代行された後に画面が遷移したことを検知し、ログイン代行情報データベース210に格納されている業務アプリケーション画面定義情報を参照して表示されている業務アプリケーション画面を特定する(ステップS218)。
業務アプリケーションログイン失敗画面が表示されていると特定された場合(ステップS219におけるNo)、業務システムパスワード履歴処理部150は、再度ステップS211の処理を行う。
業務アプリケーションログイン成功画面が表示されていると特定された場合(ステップS219におけるYes)、ログイン後画面検知部140は、ログイン代行の成功を示す情報を業務システムパスワード履歴処理部150に入力する。
次いで、業務システムパスワード履歴処理部150は、業務システムパスワード履歴情報を業務システムパスワード履歴情報データベース160に保存する(ステップS220)。次いで、業務システムパスワード履歴処理部150は、認証情報復旧処理部220にログイン代行の成功を示す情報を送信する(ステップS221)。
次いで、認証情報復旧処理部220は、ログイン代行情報データベース210に格納されている該当する業務アプリケーションアカウント情報の復旧状態を「0(復旧済)」に変更する(ステップS222)。変更した後、ログイン代行システム10は、パスワード同期処理を終了する。
[効果の説明]
本実施形態のログイン代行システム10の利用者が業務アプリケーションを起動した後、ログイン代行サーバ100は、業務アプリケーションへのログインを代行する。ログインの代行が失敗した場合、管理サーバ200で管理されている利用者の業務アプリケーションのアカウント情報が復旧直後の状態であれば、業務システムパスワード履歴処理部150は、ログインに失敗した業務アプリケーションを示す情報を含むログイン代行失敗情報を管理サーバ200に送信する。
ログイン代行失敗情報を受信した場合、管理サーバ200は、各ログイン代行サーバに対して利用者の業務システムパスワード履歴情報の送信を要求する。業務システムパスワード履歴情報の送信要求を受信した各ログイン代行サーバは、利用者の業務システムパスワード履歴情報を保持している場合、保持している情報を管理サーバ200に送信する。
管理サーバ200は、各ログイン代行サーバから収集された情報のうち、最新の業務システムパスワード履歴情報の内容をログイン代行情報データベース210に格納することによって、不整合を解消する。
さらに、管理サーバ200は、ログイン代行失敗情報を送信した業務システムパスワード履歴処理部150に対して、復旧試行の完了を通知する。一部がクライアント端末300で稼働するログイン代行失敗情報を送信したログイン代行サーバ100は、業務アプリケーションへのログイン代行を再度試みる。
本実施形態のログイン代行サーバ100〜ログイン代行サーバ100は、ログイン代行対象の業務アプリケーションに対するパスワード変更時およびログイン代行成功時の時刻および業務アカウントパスワードを含む業務システムパスワード履歴情報を、暗号化して所定期間保持する。
また、本実施形態の管理サーバ200は、バックアップされたデータを用いて復旧を行った際にパスワードが過去に使用されたパスワードに戻った場合、適切なタイミングで各ログイン代行サーバに保持されている業務システムパスワード履歴情報を収集してパスワードの同期を試みる。
ログイン代行方式のシングルサインオンシステム(ログイン代行システム10)に含まれる管理サーバ200側で障害が発生した際、管理サーバ200は、バックアップデータを用いて復旧を行う。復旧が行われた後、ログイン代行に使用されるパスワードが過去に使用されたパスワードに戻ってしまっても、上記の構成の管理サーバ200は、パスワードの再同期を実行できる。
パスワードの再同期は利用者側の操作を契機に自動的に行われるため、管理者は、パスワードの再同期のために対応を行わなくてもよい。
また、各ログイン代行サーバが業務システムパスワード履歴情報を管理し、自動でパスワードを同期する。よって、本実施形態のログイン代行システム10は、利用者が業務アカウントパスワードを覚えていない場合や、業務アカウントパスワードが利用者に通知されない運用が行われている場合にも対応できる。
また、本実施形態では、ログイン代行サーバ100側のパスワードが復旧されることによってパスワードが同期される。よって、本実施形態のログイン代行システム10は、業務アプリケーション側にパスワードを出力するインタフェースが設けられていない場合にも対応できる。
また、本実施形態では、ログイン代行サーバ100が業務システムパスワード履歴情報を保持する。よって、本実施形態のログイン代行システム10は、業務アプリケーション側で暗号化されたパスワードが保持されている場合にも対応できる。
本発明は、クライアント端末にエージェントソフトウェアが導入されるログイン代行システムだけでなく、クライアント端末と業務アプリケーションサーバとの間に配置されるリバースプロキシが業務アプリケーションへのログインを代行するログイン代行システムにも好適に適用される。
リバースプロキシは、業務アプリケーションサーバとクライアント端末との間で行われる通信を中継する。通信を中継する際、リバースプロキシは、通信の内容を確認することによって業務アプリケーションの画面を検知し、本実施形態のログイン代行処理と同様の処理を行う。
なお、本実施形態のログイン代行サーバ100〜ログイン代行サーバ100、管理サーバ200は、例えば、非一時的な記憶媒体に格納されているプログラムに従って処理を実行するCPU(Central Processing Unit)によって実現されてもよい。すなわち、ログイン処理部110、ログイン画面検知部120、入力代行部130、ログイン後画面検知部140、業務システムパスワード履歴処理部150、および認証情報復旧処理部220は、例えば、プログラム制御に従って処理を実行するCPUによって実現されてもよい。
また、業務システムパスワード履歴情報データベース160、およびログイン代行情報データベース210は、例えばRAM(Random Access Memory) で実現されてもよい。
また、本実施形態のログイン代行サーバ100〜ログイン代行サーバ100、管理サーバ200は、ハードウェア回路によって実現されてもよい。一例として、ログイン処理部110、ログイン画面検知部120、入力代行部130、ログイン後画面検知部140、業務システムパスワード履歴処理部150、業務システムパスワード履歴情報データベース160、ログイン代行情報データベース210、および認証情報復旧処理部220が、それぞれLSI(Large Scale Integration)で実現される。また、それらが1つのLSIで実現されていてもよい。
次に、本発明の概要を説明する。図8は、本発明によるログイン代行システムの概要を示すブロック図である。本発明によるログイン代行システム50は、管理サーバ60(例えば、管理サーバ200)と、ログイン代行サーバ70〜ログイン代行サーバ70(例えば、ログイン代行サーバ100〜ログイン代行サーバ100、Kは2以上の自然数)とを含むログイン代行システムであって、ログイン代行サーバ70〜ログイン代行サーバ70は、ログインで求められる情報であるログイン情報(例えば、業務アプリケーションアカウント情報)を用いてログインを代行する代行部71(例えば、入力代行部130)と、代行部71によるログインの代行結果を示す情報である代行結果情報(例えば、業務システムパスワード履歴情報)を記憶する第1記憶部72(例えば、業務システムパスワード履歴情報データベース160)とを有し、管理サーバ60は、ログイン情報を記憶する第2記憶部61(例えば、ログイン代行情報データベース210)と、ログインの代行が失敗した代行部71を有するログイン代行サーバ70以外のログイン代行サーバ70〜ログイン代行サーバ70が有する第1記憶部72から代行結果情報を取得する取得部62(例えば、認証情報復旧処理部220)と、取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を第2記憶部61に記憶されている失敗したログインの代行で用いられたログイン情報に反映する反映部63(例えば、認証情報復旧処理部220)とを有する。
そのような構成により、ログイン代行システムは、アプリケーションへのログインの代行で使用される情報をアプリケーションシステムと同期できる。
また、取得部62は、ログインの代行が失敗した代行部71に所定の条件を満たす代行結果情報の内容が反映されたログイン情報を用いてログインを代行することを指示する情報である指示情報を入力してもよい。
そのような構成により、ログイン代行システムは、同期された後の情報を用いて再度ログインを代行できる。
また、代行部71は、入力された指示情報に基づいてログインを代行し、ログインの代行が成功したことを示す情報である成功情報を取得部62に入力してもよい。
そのような構成により、ログイン代行システムは、同期された後の情報が用いられたログインの代行結果を把握できる。
また、反映部63は、取得部62に入力された成功情報に基づいて所定の条件を満たす代行結果情報の内容が反映されたログイン情報に含まれている試行状態であることを示す情報を削除してもよい。
そのような構成により、ログイン代行システムは、ログインの代行で使用される情報の状態を管理できる。
また、所定の条件は、最新のログインの代行結果を示す情報であることでもよい。また、所定の条件は、同一の利用者からのログインの要求に対するログインの代行結果を示す情報であることでもよい。
そのような構成により、ログイン代行システムは、より確実にログインの代行で使用される情報をアプリケーションシステムと同期できる。
本発明は、統合ID管理、アクセス管理、およびシングルサインオンの各技術分野で好適に利用される。
10、50 ログイン代行システム
61 第2記憶部
62 取得部
63 反映部
70〜70、100、100〜100 ログイン代行サーバ
71 代行部
72 第1記憶部
110 ログイン処理部
120 ログイン画面検知部
130 入力代行部
140 ログイン後画面検知部
150 業務システムパスワード履歴処理部
160 業務システムパスワード履歴情報データベース
200、60 管理サーバ
210 ログイン代行情報データベース
220 認証情報復旧処理部
300、300〜300 クライアント端末
400 業務アプリケーションサーバ

Claims (10)

  1. 管理サーバと、複数のログイン代行サーバとを含むログイン代行システムであって、
    前記ログイン代行サーバは、
    ログインで求められる情報であるログイン情報を用いてログインを代行する代行部と、
    前記代行部によるログインの代行結果を示す情報である代行結果情報を記憶する第1記憶部とを有し、
    前記管理サーバは、
    前記ログイン情報を記憶する第2記憶部と、
    ログインの代行が失敗した代行部を有するログイン代行サーバ以外のログイン代行サーバが有する第1記憶部から代行結果情報を取得する取得部と、
    取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を前記第2記憶部に記憶されている失敗したログインの代行で用いられたログイン情報に反映する反映部とを有する
    ことを特徴とするログイン代行システム。
  2. 取得部は、ログインの代行が失敗した代行部に所定の条件を満たす代行結果情報の内容が反映されたログイン情報を用いてログインを代行することを指示する情報である指示情報を入力する
    請求項1記載のログイン代行システム。
  3. 代行部は、
    入力された指示情報に基づいてログインを代行し、
    ログインの代行が成功したことを示す情報である成功情報を取得部に入力する
    請求項2記載のログイン代行システム。
  4. 反映部は、取得部に入力された成功情報に基づいて所定の条件を満たす代行結果情報の内容が反映されたログイン情報に含まれている試行状態であることを示す情報を削除する
    請求項3記載のログイン代行システム。
  5. 所定の条件は、最新のログインの代行結果を示す情報であることである
    請求項1から請求項4のうちのいずれか1項に記載のログイン代行システム。
  6. 管理サーバと、複数のログイン代行サーバとを含むログイン代行システムで実行されるログイン代行方法であって、
    前記ログイン代行サーバは、
    ログインで求められる情報であるログイン情報を用いてログインを代行し、
    ログインの代行結果を示す情報である代行結果情報を第1記憶部に記憶させ、
    前記管理サーバは、
    前記ログイン情報を第2記憶部に記憶させ、
    ログインの代行が失敗したログイン代行サーバ以外のログイン代行サーバが有する第1記憶部から代行結果情報を取得し、
    取得された代行結果情報のうち所定の条件を満たす代行結果情報の内容を前記第2記憶部に記憶されている失敗したログインの代行で用いられたログイン情報に反映する
    ことを特徴とするログイン代行方法。
  7. 管理サーバは、ログインの代行が失敗したログイン代行サーバに所定の条件を満たす代行結果情報の内容が反映されたログイン情報を用いてログインを代行することを指示する情報である指示情報を入力する
    請求項6記載のログイン代行方法。
  8. ログイン代行サーバは、
    入力された指示情報に基づいてログインを代行し、
    ログインの代行が成功したことを示す情報である成功情報を管理サーバに入力する
    請求項7記載のログイン代行方法。
  9. 管理サーバは、入力された成功情報に基づいて所定の条件を満たす代行結果情報の内容が反映されたログイン情報に含まれている試行状態であることを示す情報を削除する
    請求項8記載のログイン代行方法。
  10. 所定の条件は、最新のログインの代行結果を示す情報であることである
    請求項6から請求項9のうちのいずれか1項に記載のログイン代行方法。
JP2018056672A 2018-03-23 2018-03-23 ログイン代行システムおよびログイン代行方法 Active JP7031415B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018056672A JP7031415B2 (ja) 2018-03-23 2018-03-23 ログイン代行システムおよびログイン代行方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018056672A JP7031415B2 (ja) 2018-03-23 2018-03-23 ログイン代行システムおよびログイン代行方法

Publications (2)

Publication Number Publication Date
JP2019168956A true JP2019168956A (ja) 2019-10-03
JP7031415B2 JP7031415B2 (ja) 2022-03-08

Family

ID=68106814

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018056672A Active JP7031415B2 (ja) 2018-03-23 2018-03-23 ログイン代行システムおよびログイン代行方法

Country Status (1)

Country Link
JP (1) JP7031415B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032611A (zh) * 2022-12-28 2023-04-28 北京深盾科技股份有限公司 网络设备的登录方法、***及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297551A (ja) * 2001-03-30 2002-10-11 Mitsubishi Electric Corp 認証システム
JP2006331044A (ja) * 2005-05-26 2006-12-07 Hitachi Ltd シングルサインオン実現方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297551A (ja) * 2001-03-30 2002-10-11 Mitsubishi Electric Corp 認証システム
JP2006331044A (ja) * 2005-05-26 2006-12-07 Hitachi Ltd シングルサインオン実現方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032611A (zh) * 2022-12-28 2023-04-28 北京深盾科技股份有限公司 网络设备的登录方法、***及存储介质

Also Published As

Publication number Publication date
JP7031415B2 (ja) 2022-03-08

Similar Documents

Publication Publication Date Title
CN106874389B (zh) 数据的迁移方法和装置
US8341249B2 (en) Synchronizing configuration information among multiple clients
EP1702423B1 (en) Time synchronizing device and process and associated products
US8082316B2 (en) Resolving conflicts while synchronizing configuration information among multiple clients
US10263778B1 (en) Synchronizable hardware security module
CN100544361C (zh) 用于管理会话标识符的方法和设备
US11343081B2 (en) Synchronizable hardware security module
CN111683045B (zh) 会话信息处理方法、装置、设备及存储介质
Hine et al. An architecture for distributed OASIS services
CN111651747B (zh) 登录票据同步***及方法、相关设备
US9524172B2 (en) Fast start
US20190305951A1 (en) Synchronizable hardware security module
US20080046576A1 (en) System and method for detecting unused accounts in a distributed directory service
CN112883119B (zh) 数据同步方法、装置、计算机设备及计算机可读存储介质
JP2002189646A (ja) 中継装置
CN114079653B (zh) 一种通信方法、装置、计算机设备和存储介质
JP7031415B2 (ja) ログイン代行システムおよびログイン代行方法
CN111339551A (zh) 数据的验证方法及相关装置、设备
JP2010049647A (ja) クライアントサーバシステム、クライアントコンピュータ、サーバ、ファイル管理方法及びそのプログラム
JP6852510B2 (ja) 情報処理装置、情報処理システム、情報処理方法、およびプログラム
Barbulescu et al. A simple files backup component for a Flight Dynamics System
CN116132453A (zh) 一种网络服务间的数据同步方法及设备
CN117763617A (zh) 一种基于区块链的数据共享方法、***及部署方法
CN116522306A (zh) 用于触屏一体机的身份验证***及方法
CN116501403A (zh) 一种开发框架的加载方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220125

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220207

R151 Written notification of patent or utility model registration

Ref document number: 7031415

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151