JP2020053100A - 情報処理システムと、その制御方法とプログラム - Google Patents
情報処理システムと、その制御方法とプログラム Download PDFInfo
- Publication number
- JP2020053100A JP2020053100A JP2019238008A JP2019238008A JP2020053100A JP 2020053100 A JP2020053100 A JP 2020053100A JP 2019238008 A JP2019238008 A JP 2019238008A JP 2019238008 A JP2019238008 A JP 2019238008A JP 2020053100 A JP2020053100 A JP 2020053100A
- Authority
- JP
- Japan
- Prior art keywords
- authorization
- token
- user
- server
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
図1を用いて、本発明の実施形態に係る情報処理システムについて説明する。情報処理システムは、図1に示すようなネットワーク構成で実現される。WAN(Wide Area Network)100はWWW(World Wide Web)システムによって構築されている。WAN100と各種デバイス200〜500はLAN(LocalArea Network)101を介して接続されている。
ここで、認可エンドポイントの特定方法について説明する。トークンプロバイダー440は適切な認可サーバーを選択して認可トークンを取得するために、まず全リージョン共通URIに対して認可リクエストを送信する。認可リクエストが送信された結果アクセスされるDNS(Domain Name System)サーバーには、認可エンドポイントURLとIPアドレスの紐付けデータ(DNSレコード)が管理されている。Webブラウザーを介して認可サーバーにアクセスする際にはこのDNSサーバーを経由し、DNSレコードに基づいて全リージョン共通の認可エンドポイントURLがIPアドレスに変換(名前解決)される。その際、Geo Routing機能(AWSの場合はGeoRouting機能)は、認可リクエスト元(クライアント400)のIPアドレスから地理データベースを参照し、適切な認可エンドポイントURIに変換され、認可リクエスト送信元に送信される。
トークンプロバイダー440が送信する認可リクエストについて説明する。トークンプロバイダー440が認可リクエストを送信する際、セキュリティ情報(後述のid_token)の取得依頼も送信する。
認可サーバー201で生成されるid_tokenは、認可サーバーによるエンドユーザー認証に関するクレームを含んだセキュリティトークンであり、OpenID Connect仕様(OpenID Foundation OpenID Connect Core 1.0)で規定されている。id_tokenには、認可トークンの利用先リージョン情報が含まれ、署名付きのJSON Web Token(JWT RFC7518、JWT RFC7515)で表される。一般にid_tokenには、エンドユーザー認証に関するクレーム群(Claims about the Authentication)と、その他のユーザー属性に関するクレーム群が含まれる。本実施例におけるid_tokenは、ペイロードクレームに「iss」、「sub」、「aud」、「exp」、「iat」、「nonce」を含む。
実施例2では、認可リクエスト(S1.2)と認可レスポンス(S1.9)が正常に終了した後、トークン要求(S2.0)までの間にユーザーが別のリージョンに移動した場合に、トークン取得を継続する手段を説明する。
上記の実施例では、Geo Routing機能を用いることで、トークンプロバイダー440(クライアント400)と地理的に近い認可サーバー200に、認可リクエストが送信される形態を示した。それは、アクセス時間等を考慮したことによるものだが、ユーザー所属リージョン表(表3)が共有されている認可サーバーであれば、認可リクエストの送信先の決定方法は問わない。
420 クライアントアプリケーション
440 トークンプロバイダー部
Claims (13)
- クライアントによるリソースサーバーへのアクセスをユーザーが認可するための認可リクエストを送信するクライアントと、
互いに異なるリージョンに存在する2つ以上の認可サーバーと、
を含む情報処理システムであって、
前記認可サーバーは、
前記アクセスを認可するユーザーのユーザー情報が所在する第一の認可サーバーを特定する第一の特定手段と、
前記クライアントは、
前記リージョンのリージョン情報に基づいて、前記リージョンに存在する認可サーバーを特定する第二の特定手段と、
を有し、
前記認可サーバーは、
前記認可リクエストを受信したことに伴って、前記アクセスを認可するユーザーのユーザー情報が所在する第一の認可サーバーを前記第一の特定手段によって特定し、特定された第一の認可サーバーに対して、前記ユーザーを認証するための認証要求を送信する第一の送信手段と、
前記第一の認可サーバーは、
前記第一の送信手段によって前記認証要求が送信されたことに伴って、前記ユーザーを認証し、認証されたユーザーのユーザー情報が所在する第一の認可サーバーを送信先として示す情報とともに、前記認可リクエストに対する応答である認可レスポンスを前記クライアントに送信する第二の送信手段と、
前記クライアントは、
前記第二の送信手段によって送信された認可レスポンスに基づいて、前記第二の特定手段により前記第一の認可サーバーを特定し、特定された第一の認可サーバーに対して、前記リソースサーバーにアクセスするための認可トークンを要求するトークン要求を送信する第三の送信手段と、
前記第一の認可サーバーは、
前記第三の送信手段によって送信されたトークン要求に対して前記認可トークンを発行する発行手段と、
を有する情報処理システム。 - 前記クライアントは、
前記発行手段によって発行された認可トークンを取得し、取得した認可トークンを用いて前記リソースサーバーにアクセスする請求項1に記載の情報処理システム。 - 前記クライアントから前記認可サーバーに送信される前記認可リクエストは、
前記クライアントからWebブラウザーを介して共通URLに送信され、互いに異なるリージョンに存在する2つ以上の認可サーバーのいずれか一つの認可サーバーに送信される請求項1または2に記載の情報処理システム。 - 前記共通URLに送信された前記認可リクエストは、
前記認可リクエストの送信元であるクライアントと地理的に近い認可サーバーに送信されることを特徴とする請求項3に記載の情報処理システム。 - 前記第一の特定手段は、
前記ユーザーを識別するユーザー識別子のハッシュ値と、前記ユーザーのユーザー情報が存在する第一の認可サーバーのリージョン情報とが関連付いた第一の情報に管理し、
前記認証要求に含まれるユーザー識別子のハッシュ値を算出し、算出されたハッシュ値と前記第一の情報とに基づいて、前記第一の認可サーバーのリージョン情報を特定することを特徴とする請求項1乃至4のいずれか一項に記載の情報処理システム。 - 前記認可レスポンスは、
前記第一の認可サーバーを宛先として示す情報と、前記第一の認可サーバーを宛先として示す情報の署名情報とを含むことを特徴とする請求項1乃至5のいずれか一項に記載の情報処理システム。 - 前記第一の認可サーバーは、
前記認可レスポンスに対して前記署名情報を付与するための暗号鍵を管理する第一の管理手段と、
前記クライアントは、
前記署名情報を検証するための復号鍵を管理する第二の管理手段と、を更に有する請求項6に記載の情報処理システム。 - 前記クライアントは、
前記認可リクエストに署名情報を付与するための暗号鍵を管理する第三の管理手段と、前記第一の認可サーバーは、
前記認可リクエストに付与された署名情報を検証するための復号鍵を管理する第四の管理手段と、を更に有し、
前記第三の管理手段によって管理される暗号鍵は、
前記認可トークンを取得するための前記トークン要求に署名情報を付与し、
前記第四の管理手段によって管理された復号鍵は、
前記トークン要求に付与された署名情報を検証する請求項1乃至7のいずれか一項に記載の情報処理システム。 - 前記第四の管理手段によって管理された復号鍵は、
前記互いに異なるリージョンに存在する2つ以上の認可サーバーにおいて共有されることを特徴とする請求項8に記載の情報処理システム。 - 前記認可サーバーは、
前記ユーザー情報が移動した移動先の認可サーバーを特定する第三の特定手段と、
前記クライアントは、
前記認可トークンを取得するためのトークン要求に対する応答に、前記認可トークンが含まれているかを検証する第一の検証手段と、
前記認可トークンを取得するためのトークン要求に対する応答に、前記第三の特定手段によって特定された、前記ユーザー情報の移動先に関する情報と含むかを検証する第二の検証手段と、を更に有し、
前記第一の検証手段によって、前記トークン要求に対する応答に前記認可トークンが含まれないと判定された場合に、
前記第二の検証手段によって、前記トークン要求に対する応答に前記移動先に関する情報を含むかを検証することを特徴とする請求項1乃至9のいずれか一項に記載の情報処理システム。 - 前記第二の検証手段によって前記トークン要求に対する応答に、前記移動先に関する情報を含むことが検証された場合、
前記移動先に対して、前記認可トークンを要求するためのトークン要求を送信することを特徴とする請求項10に記載の情報処理システム。 - 前記第三の特定手段は、
前記クライアントから受信したトークン要求に含まれるユーザー識別子を用いて、前記移動先を特定することを特徴とする請求項10または11に記載の情報処理システム。 - クライアントによるリソースサーバーへのアクセスをユーザーが認可するための認可リクエストを送信するクライアントと、
互いに異なるリージョンに存在する2つ以上の認可サーバーと、
を含む情報処理システムの制御方法であって、
前記認可サーバーは、
前記アクセスを認可するユーザーのユーザー情報が所在する第一の認可サーバーを特定する第一の特定ステップと、
前記クライアントは、
前記リージョンのリージョン情報に基づいて、前記リージョンに存在する認可サーバーを特定する第二の特定ステップと、
を有し、
前記認可サーバーは、
前記認可リクエストを受信したことに伴って、前記アクセスを認可するユーザーのユーザー情報が所在する第一の認可サーバーを前記第一の特定ステップによって特定し、特定された第一の認可サーバーに対して、前記ユーザーを認証するための認証要求を送信する第一の送信ステップと、
前記第一の認可サーバーは、
前記第一の送信ステップによって前記認証要求が送信されたことに伴って、前記ユーザーを認証し、認証されたユーザーのユーザー情報が所在する第一の認可サーバーを送信先として示す情報とともに、前記認可リクエストに対する応答である認可レスポンスを前記クライアントに送信する第二の送信ステップと、
前記クライアントは、
前記第二の送信ステップによって送信された認可レスポンスに基づいて、前記第二の特定ステップにより前記第一の認可サーバーを特定し、特定された第一の認可サーバーに対して、前記リソースサーバーにアクセスするための認可トークンを要求するトークン要求を送信する第三の送信ステップと、
前記第一の認可サーバーは、
前記第三の送信ステップによって送信されたトークン要求に対して前記認可トークンを発行する発行ステップと、
を有する情報処理システムの制御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019238008A JP7043480B2 (ja) | 2019-12-27 | 2019-12-27 | 情報処理システムと、その制御方法とプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019238008A JP7043480B2 (ja) | 2019-12-27 | 2019-12-27 | 情報処理システムと、その制御方法とプログラム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018022405A Division JP6643373B2 (ja) | 2018-02-09 | 2018-02-09 | 情報処理システムと、その制御方法とプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020053100A true JP2020053100A (ja) | 2020-04-02 |
JP2020053100A5 JP2020053100A5 (ja) | 2020-12-10 |
JP7043480B2 JP7043480B2 (ja) | 2022-03-29 |
Family
ID=69997490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019238008A Active JP7043480B2 (ja) | 2019-12-27 | 2019-12-27 | 情報処理システムと、その制御方法とプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7043480B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE112021001788T5 (de) | 2020-03-24 | 2023-01-12 | Honda Motor Co., Ltd. | Fahrzeug |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015228068A (ja) * | 2014-05-30 | 2015-12-17 | キヤノン株式会社 | 権限委譲システム、方法、認証サーバーシステム、およびプログラム |
JP2016009299A (ja) * | 2014-06-24 | 2016-01-18 | キヤノン株式会社 | シングルサインオンシステム、端末装置、制御方法およびコンピュータプログラム |
JP2016057656A (ja) * | 2014-09-05 | 2016-04-21 | 株式会社リコー | 情報処理装置、アクセス制御方法、通信システム、及びプログラム |
US9537865B1 (en) * | 2015-12-03 | 2017-01-03 | International Business Machines Corporation | Access control using tokens and black lists |
JP2018032085A (ja) * | 2016-08-22 | 2018-03-01 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
JP2019096076A (ja) * | 2017-11-22 | 2019-06-20 | キヤノン株式会社 | アクセス制御システム、その制御方法およびプログラム |
-
2019
- 2019-12-27 JP JP2019238008A patent/JP7043480B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015228068A (ja) * | 2014-05-30 | 2015-12-17 | キヤノン株式会社 | 権限委譲システム、方法、認証サーバーシステム、およびプログラム |
JP2016009299A (ja) * | 2014-06-24 | 2016-01-18 | キヤノン株式会社 | シングルサインオンシステム、端末装置、制御方法およびコンピュータプログラム |
JP2016057656A (ja) * | 2014-09-05 | 2016-04-21 | 株式会社リコー | 情報処理装置、アクセス制御方法、通信システム、及びプログラム |
US9537865B1 (en) * | 2015-12-03 | 2017-01-03 | International Business Machines Corporation | Access control using tokens and black lists |
JP2018032085A (ja) * | 2016-08-22 | 2018-03-01 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
JP2019096076A (ja) * | 2017-11-22 | 2019-06-20 | キヤノン株式会社 | アクセス制御システム、その制御方法およびプログラム |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE112021001788T5 (de) | 2020-03-24 | 2023-01-12 | Honda Motor Co., Ltd. | Fahrzeug |
Also Published As
Publication number | Publication date |
---|---|
JP7043480B2 (ja) | 2022-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6643373B2 (ja) | 情報処理システムと、その制御方法とプログラム | |
KR102362456B1 (ko) | 권한 위양 시스템, 그 제어 방법 및 저장 매체 | |
KR102313859B1 (ko) | 권한 위양 시스템, 그 제어 방법 및 클라이언트 | |
JP6335657B2 (ja) | 権限委譲システム、方法、認証サーバーシステム、およびプログラム | |
KR102509688B1 (ko) | 디지털 신원 인증 방법, 장치, 기기 및 저장 매체 | |
JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
JP7096736B2 (ja) | システム、及びデータ処理方法 | |
JP7100561B2 (ja) | 認証システム、認証サーバおよび認証方法 | |
KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
JP2016115260A (ja) | 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム | |
JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
JP5086024B2 (ja) | ユーザ認証システム、装置、及び方法 | |
JP7043480B2 (ja) | 情報処理システムと、その制御方法とプログラム | |
JP7226457B2 (ja) | トークン保護方法、認可システム、装置、及び、プログラム記録媒体 | |
KR102062851B1 (ko) | 토큰 관리 데몬을 이용한 싱글 사인 온 서비스 인증 방법 및 시스템 | |
KR101073685B1 (ko) | 사용자의 위치 정보를 이용한 데이터 액세스 제어방법 | |
JP5860421B2 (ja) | 復号方法、復号システム | |
JP2018180692A (ja) | 認証認可システム、認証認可サーバー、認証方法及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201029 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201029 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211221 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220131 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220215 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220316 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7043480 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |