JP4667908B2 - クライアント端末及びシングルサインオンシステム - Google Patents
クライアント端末及びシングルサインオンシステム Download PDFInfo
- Publication number
- JP4667908B2 JP4667908B2 JP2005054013A JP2005054013A JP4667908B2 JP 4667908 B2 JP4667908 B2 JP 4667908B2 JP 2005054013 A JP2005054013 A JP 2005054013A JP 2005054013 A JP2005054013 A JP 2005054013A JP 4667908 B2 JP4667908 B2 JP 4667908B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- client terminal
- authentication
- authentication ticket
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
この発明は、一度のログイン処理で複数のWebシステムに対するアクセスを可能にするシングルサインオンを実現するクライアント端末及びシングルサインオンシステムに関するものである。
近年、Web技術を活用する「Webシステム」が広く利用されるようになっており、社内システムにおいても、様々なシステムがWebシステムとして実現されている。
ここで、Webシステムとは、クライアント端末にWebブラウザを搭載し、そのWebブラウザがWebアプリケーションサーバとデータ通信を行うことで、様々な処理を実現するシステムの総称である。
ここで、Webシステムとは、クライアント端末にWebブラウザを搭載し、そのWebブラウザがWebアプリケーションサーバとデータ通信を行うことで、様々な処理を実現するシステムの総称である。
Webシステムでは、通常、利用者を特定するために「ログイン」処理を実施する。即ち、ユーザIDやパスワードなどの個人情報の入力を促し、その個人情報を照合することで個人認証を実施する。
このようなログイン処理は、Webシステム毎に実施されるのが一般的であるが、異なるWebシステムを利用する毎に、ユーザIDやパスワードなどの個人情報の入力を促すのは、利用者にとって煩雑であるため、一度のログイン処理で複数のWebシステムに対するアクセスを実現する「シングルサインオン」の技術が開発されている。
「シングルサインオン」の技術を搭載しているシングルサインオンシステムでは、認証処理装置が認証済みを保証する認証チケット(認証情報)を発行し、クライアント端末のWebブラウザがWebアプリケーションサーバ(Webシステム)とデータ通信を実施する際、その認証チケットを含むデータをWebアプリケーションサーバに送信し、Webアプリケーションサーバがデータに含まれている認証チケットを参照して、ログイン済みであることを確認するようにしている(例えば、特許文献1参照)。
このようなログイン処理は、Webシステム毎に実施されるのが一般的であるが、異なるWebシステムを利用する毎に、ユーザIDやパスワードなどの個人情報の入力を促すのは、利用者にとって煩雑であるため、一度のログイン処理で複数のWebシステムに対するアクセスを実現する「シングルサインオン」の技術が開発されている。
「シングルサインオン」の技術を搭載しているシングルサインオンシステムでは、認証処理装置が認証済みを保証する認証チケット(認証情報)を発行し、クライアント端末のWebブラウザがWebアプリケーションサーバ(Webシステム)とデータ通信を実施する際、その認証チケットを含むデータをWebアプリケーションサーバに送信し、Webアプリケーションサーバがデータに含まれている認証チケットを参照して、ログイン済みであることを確認するようにしている(例えば、特許文献1参照)。
一方、Webブラウザを利用するWebシステムでは、HTMLの制約上、ユーザインタフェースに種々の制約が課せられている。そこで、より複雑なユーザインタフェースを実現するために、「リッチクライアント」技術が開発されている。
ここで、リッチクライアント技術とは、Web技術(例えば、HTTP通信、Cookie)を利用しつつも、一般的なアプリケーション(例えば、ワープロソフト、表計算ソフト)と同等のユーザインタフェースを実現することができる技術のことである。
以下、この明細書では、リッチクライアント技術を搭載しているアプリケーション(Webブラウザ以外のアプリケーション)を「リッチクライアントアプリケーション」と称する。
ここで、リッチクライアント技術とは、Web技術(例えば、HTTP通信、Cookie)を利用しつつも、一般的なアプリケーション(例えば、ワープロソフト、表計算ソフト)と同等のユーザインタフェースを実現することができる技術のことである。
以下、この明細書では、リッチクライアント技術を搭載しているアプリケーション(Webブラウザ以外のアプリケーション)を「リッチクライアントアプリケーション」と称する。
従来のシングルサインオンシステムは以上のように構成されているので、Webブラウザが一度ログイン処理を実施して認証チケットを獲得すれば、再度、ログイン処理を実施することなく、複数のWebシステムをアクセスすることができる。しかし、Webブラウザとリッチクライアントアプリケーションが認証チケットを共有する技術が確立されていないため、Webブラウザが認証チケットを獲得しても、リッチクライアントアプリケーションがWebシステムをアクセスする際には、ログイン処理を実施しなければならない課題があった。
この発明は上記のような課題を解決するためになされたもので、Webブラウザが認証チケットを獲得すれば、リッチクライアントアプリケーションがWebシステムをアクセスする場合でもログイン処理を実施することなく、Webシステムをアクセスすることができるクライアント端末及びシングルサインオンシステムを得ることを目的とする。
この発明に係るシングルサインオンシステムは、クライアント端末からアクセスを受けたとき、そのクライアント端末から認証チケットを受信すると、アプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末に送信するアプリ起動用ファイル生成装置を設け、クライアント端末がアプリ起動用ファイル生成装置からアプリケーション起動用ファイルを受信すると、そのアプリケーション起動用ファイルに含まれているアプリ情報にしたがってアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットを当該アプリケーションに引き渡すようにしたものである。
この発明によれば、クライアント端末からアクセスを受けたとき、そのクライアント端末から認証チケットを受信すると、アプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末に送信するアプリ起動用ファイル生成装置を設け、クライアント端末がアプリ起動用ファイル生成装置からアプリケーション起動用ファイルを受信すると、そのアプリケーション起動用ファイルに含まれているアプリ情報にしたがってアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットを当該アプリケーションに引き渡すように構成したので、Webブラウザが認証チケットを獲得すれば、Webブラウザ以外のアプリケーション(リッチクライアントアプリケーション)がアプリケーションサーバ(Webシステム)をアクセスする場合でもログイン処理を実施することなく、アプリケーションサーバをアクセスすることができる効果がある。
実施の形態1.
図1はこの発明の実施の形態1によるシングルサインオンシステムを示す構成図であり、図において、クライアント端末1は例えばインターネットなどのネットワーク5に接続され、クライアント端末1のWebブラウザがアプリ起動用ファイル生成装置3からアプリケーション起動用ファイルを受信するとアプリ起動用アプリケーションを呼び出し、そのアプリ起動用アプリケーションがアプリケーション起動用ファイルに含まれているアプリ情報にしたがってリッチクライアントアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをリッチクライアントアプリケーションに引き渡す処理などを実施する。
図1はこの発明の実施の形態1によるシングルサインオンシステムを示す構成図であり、図において、クライアント端末1は例えばインターネットなどのネットワーク5に接続され、クライアント端末1のWebブラウザがアプリ起動用ファイル生成装置3からアプリケーション起動用ファイルを受信するとアプリ起動用アプリケーションを呼び出し、そのアプリ起動用アプリケーションがアプリケーション起動用ファイルに含まれているアプリ情報にしたがってリッチクライアントアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをリッチクライアントアプリケーションに引き渡す処理などを実施する。
認証処理装置2はネットワーク5に接続され、クライアント端末1から個人情報を受信すると、その個人情報とデータベースに登録されている個人情報を照合し、一致する個人情報がデータベースに登録されていれば、認証済みを保証する認証チケットをクライアント端末1に送信するなどの処理を実施する。
アプリ起動用ファイル生成装置3はネットワーク5に接続され、クライアント端末1からアクセスを受けたとき、そのクライアント端末1から認証チケットを受信すると、リッチクライアントアプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末1に送信するなどの処理を実施する。
アプリケーションサーバ4はネットワーク5に接続され、リッチクライアントアプリケーションを管理しているWebシステムである。
アプリ起動用ファイル生成装置3はネットワーク5に接続され、クライアント端末1からアクセスを受けたとき、そのクライアント端末1から認証チケットを受信すると、リッチクライアントアプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末1に送信するなどの処理を実施する。
アプリケーションサーバ4はネットワーク5に接続され、リッチクライアントアプリケーションを管理しているWebシステムである。
図2はこの発明の実施の形態1によるクライアント端末を示す構成図であり、図において、マンマシンI/F11は例えばキーボードやマウスなどから構成され、ユーザが例えばユーザIDやパスワードなどの個人情報を入力する際に使用される。
認証処理要求部12はユーザがマンマシンI/F11を操作して、ユーザIDやパスワードなどの個人情報を入力すると、ネットワークI/F13を介して、その個人情報を認証処理装置2に送信して認証処理を要求するなどの処理を実施する。
ネットワークI/F13はネットワーク5に接続され、そのネットワーク5に対するデータの入出力処理を実施する。
認証チケット取得部14はネットワークI/F13が認証処理装置2から送信された認証チケットを受信すると、ネットワークI/F13から認証チケットを取得する。
なお、認証処理要求部12、ネットワークI/F13及び認証チケット取得部14から認証チケット取得手段が構成されている。
認証処理要求部12はユーザがマンマシンI/F11を操作して、ユーザIDやパスワードなどの個人情報を入力すると、ネットワークI/F13を介して、その個人情報を認証処理装置2に送信して認証処理を要求するなどの処理を実施する。
ネットワークI/F13はネットワーク5に接続され、そのネットワーク5に対するデータの入出力処理を実施する。
認証チケット取得部14はネットワークI/F13が認証処理装置2から送信された認証チケットを受信すると、ネットワークI/F13から認証チケットを取得する。
なお、認証処理要求部12、ネットワークI/F13及び認証チケット取得部14から認証チケット取得手段が構成されている。
認証チケット送信部15はネットワークI/F13を介して、認証チケット取得部14により取得された認証チケットをアプリ起動用ファイル生成装置3に送信する。
起動用ファイル取得部16はネットワークI/F13がアプリ起動用ファイル生成装置3から送信されたアプリケーション起動用ファイルを受信すると、ネットワークI/F13からアプリケーション起動用ファイルを取得する。
なお、ネットワークI/F13、認証チケット送信部15及び起動用ファイル取得部16から起動用ファイル取得手段が構成されている。
起動用ファイル取得部16はネットワークI/F13がアプリ起動用ファイル生成装置3から送信されたアプリケーション起動用ファイルを受信すると、ネットワークI/F13からアプリケーション起動用ファイルを取得する。
なお、ネットワークI/F13、認証チケット送信部15及び起動用ファイル取得部16から起動用ファイル取得手段が構成されている。
アプリダウンロード部17は起動用ファイル取得部16により取得されたアプリケーション起動用ファイルに含まれているアプリ情報を参照して、アプリケーションサーバ4からネットワークI/F13を介してリッチクライアントアプリケーションをダウンロードする。
アプリ起動部18はアプリダウンロード部17によりダウンロードされたリッチクライアントアプリケーションの起動指令をアプリ実行部19に出力するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをアプリ実行部19に出力する。
アプリ実行部19はアプリ起動部18から起動指令を受けると、リッチクライアントアプリケーションの実行を開始させるとともに、その認証チケットをリッチクライアントアプリケーションに引き渡すなどの処理を実施する。
なお、ネットワークI/F13、アプリダウンロード部17、アプリ起動部18及びアプリ実行部19からアプリ起動手段が構成されている。
アプリ起動部18はアプリダウンロード部17によりダウンロードされたリッチクライアントアプリケーションの起動指令をアプリ実行部19に出力するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをアプリ実行部19に出力する。
アプリ実行部19はアプリ起動部18から起動指令を受けると、リッチクライアントアプリケーションの実行を開始させるとともに、その認証チケットをリッチクライアントアプリケーションに引き渡すなどの処理を実施する。
なお、ネットワークI/F13、アプリダウンロード部17、アプリ起動部18及びアプリ実行部19からアプリ起動手段が構成されている。
この実施の形態1では、クライアント端末1の構成要素である認証処理要求部12、認証チケット取得部14、認証チケット送信部15、起動用ファイル取得部16、アプリダウンロード部17、アプリ起動部18及びアプリ実行部19が、例えば、CPUやメモリや半導体スイッチなどを実装している半導体集積回路基板などのハードウェアで構成されているものを想定しているが、クライアント端末1がコンピュータである場合、認証処理要求部12、認証チケット取得部14、認証チケット送信部15、起動用ファイル取得部16、アプリダウンロード部17、アプリ起動部18及びアプリ実行部19の処理内容が記述されているプログラムをコンピュータのメモリに格納し、コンピュータのCPUがメモリに格納されているプログラムを実行するようにしてもよい。
この場合、Webブラウザが認証処理要求部12、認証チケット取得部14、認証チケット送信部15及び起動用ファイル取得部16の処理を実施することになる。
この場合、Webブラウザが認証処理要求部12、認証チケット取得部14、認証チケット送信部15及び起動用ファイル取得部16の処理を実施することになる。
図3はこの発明の実施の形態1による認証処理装置を示す構成図であり、図において、ネットワークI/F21はネットワーク5に接続され、そのネットワーク5に対するデータの入出力処理を実施する。
個人情報管理DB22はログインを許可するユーザの個人情報(例えば、ユーザID/パスワード)を管理しているデータベースである。
認証処理部23はネットワークI/F21がクライアント端末1から送信された個人情報を受信すると、その個人情報と個人情報管理DB22に管理されている個人情報を照合し、一致する個人情報が個人情報管理DB22に管理されていれば、ネットワークI/F21を介して、認証済みを保証する認証チケットをクライアント端末1に送信するなどの処理を実施する。
個人情報管理DB22はログインを許可するユーザの個人情報(例えば、ユーザID/パスワード)を管理しているデータベースである。
認証処理部23はネットワークI/F21がクライアント端末1から送信された個人情報を受信すると、その個人情報と個人情報管理DB22に管理されている個人情報を照合し、一致する個人情報が個人情報管理DB22に管理されていれば、ネットワークI/F21を介して、認証済みを保証する認証チケットをクライアント端末1に送信するなどの処理を実施する。
この実施の形態1では、認証処理装置2の構成要素である認証処理部23が、例えば、CPUやメモリや半導体スイッチなどを実装している半導体集積回路基板などのハードウェアで構成されているものを想定しているが、認証処理装置2がコンピュータである場合、認証処理部23の処理内容が記述されているプログラムをコンピュータのメモリに格納し、コンピュータのCPUがメモリに格納されているプログラムを実行するようにしてもよい。
図4はこの発明の実施の形態1によるアプリ起動用ファイル生成装置を示す構成図であり、図において、ネットワークI/F31はネットワーク5に接続され、そのネットワーク5に対するデータの入出力処理を実施する。
ログイン確認部32はネットワークI/F31がクライアント端末1からアクセスを受けたとき、ネットワークI/F31がクライアント端末1から認証チケットを受信していれば、ログイン済みであると認定し、クライアント端末1から認証チケットを受信していなければ、未ログインであると認定する。
なお、ネットワークI/F31及びログイン確認部32から認証チケット受信手段が構成されている。
ログイン確認部32はネットワークI/F31がクライアント端末1からアクセスを受けたとき、ネットワークI/F31がクライアント端末1から認証チケットを受信していれば、ログイン済みであると認定し、クライアント端末1から認証チケットを受信していなければ、未ログインであると認定する。
なお、ネットワークI/F31及びログイン確認部32から認証チケット受信手段が構成されている。
基本設定情報格納部33はリッチクライアントアプリケーションの起動に必要なアプリ情報を生成するための基本設定情報(例えば、リッチクライアントアプリケーションの名称、モジュール名、リッチクライアントアプリケーションが管理されているアプリケーションサーバ4のURL、チケットID)を格納しているメモリである。
起動用ファイル生成部34はログイン確認部32がログイン済みであると認定すると、基本設定情報格納部33に格納されている基本設定情報に基づいてアプリケーション起動用ファイルを生成する。
認証チケット埋込部35はネットワークI/F31により受信された認証チケットを起動用ファイル生成部34により生成されたアプリケーション起動用ファイルに埋め込む処理を実施する。
なお、基本設定情報格納部33、起動用ファイル生成部34及び認証チケット埋込部35から起動用ファイル生成手段が構成されている。
起動用ファイル生成部34はログイン確認部32がログイン済みであると認定すると、基本設定情報格納部33に格納されている基本設定情報に基づいてアプリケーション起動用ファイルを生成する。
認証チケット埋込部35はネットワークI/F31により受信された認証チケットを起動用ファイル生成部34により生成されたアプリケーション起動用ファイルに埋め込む処理を実施する。
なお、基本設定情報格納部33、起動用ファイル生成部34及び認証チケット埋込部35から起動用ファイル生成手段が構成されている。
起動用ファイル送信部36はネットワークI/F31を介して、認証チケット埋込部35により認証チケットが埋め込まれたアプリケーション起動用ファイルをクライアント端末1に送信する。
なお、ネットワークI/F31及び起動用ファイル送信部36から起動用ファイル送信手段が構成されている。
なお、ネットワークI/F31及び起動用ファイル送信部36から起動用ファイル送信手段が構成されている。
この実施の形態1では、アプリ起動用ファイル生成装置3の構成要素であるログイン確認部32、起動用ファイル生成部34、認証チケット埋込部35及び起動用ファイル送信部36が、例えば、CPUやメモリや半導体スイッチなどを実装している半導体集積回路基板などのハードウェアで構成されているものを想定しているが、アプリ起動用ファイル生成装置3がコンピュータである場合、ログイン確認部32、起動用ファイル生成部34、認証チケット埋込部35及び起動用ファイル送信部36の処理内容が記述されているプログラムをコンピュータのメモリに格納し、コンピュータのCPUがメモリに格納されているプログラムを実行するようにしてもよい。
図5はこの発明の実施の形態1によるシングルサインオンシステムの処理内容を示す処理シーケンス図である。
図5はこの発明の実施の形態1によるシングルサインオンシステムの処理内容を示す処理シーケンス図である。
次に動作について説明する。
ユーザがクライアント端末1のマンマシンI/F11を操作して、アプリ起動用ファイル生成装置3のURLを指定すると、クライアント端末1のWebブラウザである認証処理要求部12がネットワークI/F13を介して、ページ取得要求をアプリ起動用ファイル生成装置3に送信する(ステップST1)。
アプリ起動用ファイル生成装置3のログイン確認部32は、ネットワークI/F31がクライアント端末1から送信されたページ取得要求を受信したとき、ネットワークI/F31がクライアント端末1から認証チケットを受信することができたか否かを判定することにより、ログイン済みであるか否かを認定する。
この段階では、クライアント端末1から認証チケットを受信することができないので、未ログインであると認定する。
ログイン確認部32は、未ログインであると認定すると、アプリケーション起動用ファイルを取得するには、認証処理装置2から認証チケットを獲得する必要がある旨を示すメッセージ(認証処理装置2のURLを含むメッセージ)をクライアント端末1に通知する(ステップST2)。
ユーザがクライアント端末1のマンマシンI/F11を操作して、アプリ起動用ファイル生成装置3のURLを指定すると、クライアント端末1のWebブラウザである認証処理要求部12がネットワークI/F13を介して、ページ取得要求をアプリ起動用ファイル生成装置3に送信する(ステップST1)。
アプリ起動用ファイル生成装置3のログイン確認部32は、ネットワークI/F31がクライアント端末1から送信されたページ取得要求を受信したとき、ネットワークI/F31がクライアント端末1から認証チケットを受信することができたか否かを判定することにより、ログイン済みであるか否かを認定する。
この段階では、クライアント端末1から認証チケットを受信することができないので、未ログインであると認定する。
ログイン確認部32は、未ログインであると認定すると、アプリケーション起動用ファイルを取得するには、認証処理装置2から認証チケットを獲得する必要がある旨を示すメッセージ(認証処理装置2のURLを含むメッセージ)をクライアント端末1に通知する(ステップST2)。
クライアント端末1の認証処理要求部12は、ネットワークI/F13がアプリ起動用ファイル生成装置3から送信されたメッセージを受信すると、そのメッセージから認証処理装置2のURLを抽出して、認証処理装置2をアクセスする(ステップST3)。
認証処理装置2の認証処理部23は、ネットワークI/F21がクライアント端末1からアクセスを受けると、ネットワークI/F21を介して、個人情報(例えば、ユーザIDとパスワード)の入力を促すログイン画面の画面データをクライアント端末1に送信する(ステップST4)。
ここでは、個人情報として、ユーザIDとパスワードの入力を促すものについて示しているが、これに限るものではなく、例えば、指紋やIDカード情報などの入力を促すようにしてもよい。
認証処理装置2の認証処理部23は、ネットワークI/F21がクライアント端末1からアクセスを受けると、ネットワークI/F21を介して、個人情報(例えば、ユーザIDとパスワード)の入力を促すログイン画面の画面データをクライアント端末1に送信する(ステップST4)。
ここでは、個人情報として、ユーザIDとパスワードの入力を促すものについて示しているが、これに限るものではなく、例えば、指紋やIDカード情報などの入力を促すようにしてもよい。
クライアント端末1の認証処理要求部12は、ネットワークI/F13が認証処理装置2から送信されたログイン画面の画面データを受信すると、その画面データにしたがってログイン画面を図示せぬディスプレイに表示する。
認証処理要求部12は、ユーザがマンマシンI/F11を操作して、ユーザID/パスワードなどの個人情報を入力すると、ネットワークI/F13を介して、その個人情報を認証処理装置2に送信して、認証処理を要求する(ステップST5)。
認証処理要求部12は、ユーザがマンマシンI/F11を操作して、ユーザID/パスワードなどの個人情報を入力すると、ネットワークI/F13を介して、その個人情報を認証処理装置2に送信して、認証処理を要求する(ステップST5)。
認証処理装置2の認証処理部23は、ネットワークI/F21がクライアント端末1から送信された個人情報を受信すると、その個人情報と個人情報管理DB22に管理されている個人情報を照合する(ステップST6)。
例えば、個人情報がユーザID/パスワードであれば、そのユーザID/パスワードと一致するユーザID/パスワードが個人情報管理DB22に管理されているか否かを判定し、一致するユーザID/パスワードが個人情報管理DB22に管理されていれば、ログインを許可し、一致するユーザID/パスワードが個人情報管理DB22に管理されていなければ、ログインを拒否する。
認証処理部23は、ログインを許可する場合、ネットワークI/F21を介して、認証済みを保証する認証チケットをクライアント端末1に送信する(ステップST7)。
なお、認証チケットは、例えば、ユーザID、アクセス権限、有効期限などを含む暗号化された認証情報である。
例えば、個人情報がユーザID/パスワードであれば、そのユーザID/パスワードと一致するユーザID/パスワードが個人情報管理DB22に管理されているか否かを判定し、一致するユーザID/パスワードが個人情報管理DB22に管理されていれば、ログインを許可し、一致するユーザID/パスワードが個人情報管理DB22に管理されていなければ、ログインを拒否する。
認証処理部23は、ログインを許可する場合、ネットワークI/F21を介して、認証済みを保証する認証チケットをクライアント端末1に送信する(ステップST7)。
なお、認証チケットは、例えば、ユーザID、アクセス権限、有効期限などを含む暗号化された認証情報である。
クライアント端末1のWebブラウザである認証チケット取得部14は、ネットワークI/F13が認証処理装置2から送信された認証チケットを受信すると、ネットワークI/F13から認証チケットを取得する。
クライアント端末1のWebブラウザである認証チケット送信部15は、認証チケット取得部14が認証チケットを取得すると、ネットワークI/F13を介して、その認証チケットをアプリ起動用ファイル生成装置3に送信する。
クライアント端末1のWebブラウザである認証チケット送信部15は、認証チケット取得部14が認証チケットを取得すると、ネットワークI/F13を介して、その認証チケットをアプリ起動用ファイル生成装置3に送信する。
アプリ起動用ファイル生成装置3のログイン確認部32は、ネットワークI/F31がクライアント端末1から送信された認証チケットを受信すると、その認証チケットの暗号化を解除し、その認証チケットの内容を見てログイン済みであることを確認する。
ログイン確認部32は、ログイン済みであることを確認すると、アプリケーション起動用ファイル生成モジュールである起動用ファイル生成部34の呼び出しを行う(ステップST9)。
アプリ起動用ファイル生成装置3の起動用ファイル生成部34は、ログイン確認部32から呼び出されると、基本設定情報格納部33に格納されている基本設定情報に基づいてアプリケーション起動用ファイルを生成する。
例えば、リッチクライアントアプリケーションの名称、モジュール名、リッチクライアントアプリケーションが管理されているアプリケーションサーバ4のURL、チケットIDなどから構成されているアプリケーション起動用ファイルを生成する。
ログイン確認部32は、ログイン済みであることを確認すると、アプリケーション起動用ファイル生成モジュールである起動用ファイル生成部34の呼び出しを行う(ステップST9)。
アプリ起動用ファイル生成装置3の起動用ファイル生成部34は、ログイン確認部32から呼び出されると、基本設定情報格納部33に格納されている基本設定情報に基づいてアプリケーション起動用ファイルを生成する。
例えば、リッチクライアントアプリケーションの名称、モジュール名、リッチクライアントアプリケーションが管理されているアプリケーションサーバ4のURL、チケットIDなどから構成されているアプリケーション起動用ファイルを生成する。
アプリ起動用ファイル生成装置3のアプリケーション起動用ファイル生成モジュールである認証チケット埋込部35は、起動用ファイル生成部34がアプリケーション起動用ファイルを生成すると、ネットワークI/F31により受信された認証チケットをアプリケーション起動用ファイルに埋め込む処理を実施する。
アプリ起動用ファイル生成装置3の起動用ファイル送信部36は、認証チケット埋込部35が認証チケットをアプリケーション起動用ファイルに埋め込むと、ネットワークI/F31を介して、そのアプリケーション起動用ファイルをクライアント端末1に送信する(ステップST10,ST11)。
アプリ起動用ファイル生成装置3の起動用ファイル送信部36は、認証チケット埋込部35が認証チケットをアプリケーション起動用ファイルに埋め込むと、ネットワークI/F31を介して、そのアプリケーション起動用ファイルをクライアント端末1に送信する(ステップST10,ST11)。
クライアント端末1のWebブラウザである起動用ファイル取得部16は、ネットワークI/F13がアプリ起動用ファイル生成装置3から送信されたアプリケーション起動用ファイルを受信すると、ネットワークI/F13からアプリケーション起動用ファイルを取得し、アプリ起動用アプリケーションであるアプリダウンロード部17の呼び出しを行うとともに、そのアプリケーション起動用ファイルをアプリダウンロード部17に出力する(ステップST12)。
クライアント端末1のアプリダウンロード部17は、起動用ファイル取得部16から呼び出されてアプリケーション起動用ファイルを受けると、そのアプリケーション起動用ファイルに含まれているアプリ情報を参照して、リッチクライアントアプリケーションの名称や、リッチクライアントアプリケーションが管理されているアプリケーションサーバ4のURL等を確認し、ネットワークI/F13を介して、リッチクライアントアプリケーションのダウンロードをアプリケーションサーバ4に依頼する(ステップST13)。
なお、アプリダウンロード部17は、リッチクライアントアプリケーションのダウンロードを依頼する際、アプリケーション起動用ファイルに含まれている認証チケットをアプリケーションサーバ4に送信する。
なお、アプリダウンロード部17は、リッチクライアントアプリケーションのダウンロードを依頼する際、アプリケーション起動用ファイルに含まれている認証チケットをアプリケーションサーバ4に送信する。
アプリケーションサーバ4は、クライアント端末1からリッチクライアントアプリケーションのダウンロードの依頼を受けたとき、クライアント端末1から認証チケットを受信すると、その認証チケットの暗号化を解除し、その認証チケットの内容を見てログイン済みであることを確認する。
アプリケーションサーバ4は、ログイン済みであることを確認すると、クライアント端末1により指定されたリッチクライアントアプリケーションをクライアント端末1に送信する(ステップST14)。
クライアント端末1のアプリダウンロード部17は、ネットワークI/F13がアプリケーションサーバ4から送信されたリッチクライアントアプリケーションを受信すると、そのリッチクライアントアプリケーションをダウンロードしてアプリ実行部19に出力する。
アプリケーションサーバ4は、ログイン済みであることを確認すると、クライアント端末1により指定されたリッチクライアントアプリケーションをクライアント端末1に送信する(ステップST14)。
クライアント端末1のアプリダウンロード部17は、ネットワークI/F13がアプリケーションサーバ4から送信されたリッチクライアントアプリケーションを受信すると、そのリッチクライアントアプリケーションをダウンロードしてアプリ実行部19に出力する。
クライアント端末1のアプリ起動用アプリケーションであるアプリ起動部18は、アプリダウンロード部17がリッチクライアントアプリケーションをダウンロードすると、そのリッチクライアントアプリケーションの起動指令をアプリ実行部19に出力するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをアプリ実行部19に出力する。
クライアント端末1のアプリ実行部19は、アプリ起動部18から起動指令を受けると、リッチクライアントアプリケーションの実行を開始させるとともに、その認証チケットをリッチクライアントアプリケーションに引き渡すなどの処理を実施する(ステップST15)。
クライアント端末1のアプリ実行部19は、アプリ起動部18から起動指令を受けると、リッチクライアントアプリケーションの実行を開始させるとともに、その認証チケットをリッチクライアントアプリケーションに引き渡すなどの処理を実施する(ステップST15)。
これにより、リッチクライアントアプリケーションは実行を開始するが、実行中、例えば、アプリケーションサーバ4とデータ通信を実施する必要がある場合、アプリ実行部19から引き渡された認証チケットをアプリケーションサーバ4に送信する(ステップST16)。
アプリケーションサーバ4は、リッチクライアントアプリケーションから認証チケットを受信すると、その認証チケットの暗号化を解除し、その認証チケットの内容を見てログイン済みであることを確認する。
したがって、リッチクライアントアプリケーションは、特にログイン処理を実施することなく、認証チケットをアプリケーションサーバ4に送信するだけで、アプリケーションサーバ4をアクセスすることができる。
アプリケーションサーバ4は、リッチクライアントアプリケーションから認証チケットを受信すると、その認証チケットの暗号化を解除し、その認証チケットの内容を見てログイン済みであることを確認する。
したがって、リッチクライアントアプリケーションは、特にログイン処理を実施することなく、認証チケットをアプリケーションサーバ4に送信するだけで、アプリケーションサーバ4をアクセスすることができる。
以上で明らかなように、この実施の形態1によれば、クライアント端末1からアクセスを受けたとき、そのクライアント端末1から認証チケットを受信すると、リッチクライアントアプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末1に送信するアプリ起動用ファイル生成装置3を設け、クライアント端末1がアプリ起動用ファイル生成装置3からアプリケーション起動用ファイルを受信すると、そのアプリケーション起動用ファイルに含まれているアプリ情報にしたがってリッチクライアントアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットをリッチクライアントアプリケーションに引き渡すように構成したので、Webブラウザが認証チケットを獲得すれば、リッチクライアントアプリケーションがアプリケーションサーバ4をアクセスする場合でもログイン処理を実施することなく、アプリケーションサーバ4をアクセスすることができる効果を奏する。
また、この実施の形態1によれば、アプリケーション起動用ファイルに含まれているアプリ情報を参照して、アプリケーションサーバ4からリッチクライアントアプリケーションをダウンロードするように構成したので、リッチクライアントアプリケーションをユーザに普及するに際して、CD−ROMなどの配布による普及を止めることができる。このため、一旦、適正な利用者にCD−ROMが配布されたのち、不適切な利用者にCD−ROMが流通してしまうなどの事態を回避することができる効果を奏する。
また、この実施の形態1によれば、クライアント端末1から送信された認証チケットが受信された場合、リッチクライアントアプリケーションの起動に必要なアプリ情報と認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルをクライアント端末1に送信するように構成したので、Webブラウザがリッチクライアントアプリケーションを起動して、リッチクライアントアプリケーションに対する認証チケットの引渡しを可能にするアプリケーション起動用ファイルを生成することができる効果を奏する。
1 クライアント端末、2 認証処理装置、3 アプリ起動用ファイル生成装置、4 アプリケーションサーバ、5 ネットワーク、11 マンマシンI/F、12 認証処理要求部(認証チケット取得手段)、13 ネットワークI/F(認証チケット取得手段,起動用ファイル取得手段,アプリ起動手段)、14 認証チケット取得部(認証チケット取得手段)、15 認証チケット送信部(起動用ファイル取得手段)、16 起動用ファイル取得部(起動用ファイル取得手段)、17 アプリダウンロード部(アプリ起動手段)、18 アプリ起動部(アプリ起動手段)、19 アプリ実行部(アプリ起動手段)、21 ネットワークI/F、22 個人情報管理DB、23 認証処理部、31 ネットワークI/F(認証チケット受信手段、起動用ファイル送信手段)、32 ログイン確認部(認証チケット受信手段)、33 基本設定情報格納部(起動用ファイル生成手段)、34 起動用ファイル生成部(起動用ファイル生成手段)、35 認証チケット埋込部(起動用ファイル生成手段)、36 起動用ファイル送信部(起動用ファイル送信手段)。
Claims (5)
- 個人情報を認証処理装置に送信して認証処理を要求し、その認証処理装置から認証済みを保証する認証チケットを受信する認証チケット取得手段と、上記認証チケット取得手段により受信された認証チケットをアプリ起動用ファイル生成装置に送信して、そのアプリ起動用ファイル生成装置からアプリケーションの起動に必要なアプリ情報と当該認証チケットを含むアプリケーション起動用ファイルを受信する起動用ファイル取得手段と、上記起動用ファイル取得手段により受信されたアプリケーション起動用ファイルに含まれているアプリ情報にしたがってアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットを当該アプリケーションに引き渡すアプリ起動手段とを備えたクライアント端末。
- アプリ起動手段は、アプリケーションサーバとデータ通信を実施する際、認証チケットをアプリケーションサーバに送信する機能を有するアプリケーションを起動することを特徴とする請求項1記載のクライアント端末。
- アプリ起動手段は、アプリケーション起動用ファイルに含まれているアプリ情報を参照して、アプリケーションサーバからアプリケーションをダウンロードし、そのアプリケーションを起動することを特徴とする請求項1または請求項2記載のクライアント端末。
- クライアント端末から個人情報を受信すると、その個人情報とデータベースに登録されている個人情報を照合し、一致する個人情報が上記データベースに登録されていれば、認証済みを保証する認証チケットを上記クライアント端末に送信する認証処理装置を備えたシングルサインオンシステムにおいて、上記クライアント端末からアクセスを受けたとき、そのクライアント端末から当該認証チケットを受信すると、アプリケーションの起動に必要なアプリ情報と当該認証チケットを含むアプリケーション起動用ファイルを生成し、そのアプリケーション起動用ファイルを上記クライアント端末に送信するアプリ起動用ファイル生成装置を設け、上記クライアント端末が上記アプリ起動用ファイル生成装置からアプリケーション起動用ファイルを受信すると、そのアプリケーション起動用ファイルに含まれているアプリ情報にしたがってアプリケーションを起動するとともに、そのアプリケーション起動用ファイルに含まれている認証チケットを当該アプリケーションに引き渡すことを特徴とするシングルサインオンシステム。
- クライアント端末は、アプリケーション起動用ファイルに含まれているアプリ情報を参照して、アプリケーションサーバからアプリケーションをダウンロードし、そのアプリケーションを起動することを特徴とする請求項4記載のシングルサインオンシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005054013A JP4667908B2 (ja) | 2005-02-28 | 2005-02-28 | クライアント端末及びシングルサインオンシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005054013A JP4667908B2 (ja) | 2005-02-28 | 2005-02-28 | クライアント端末及びシングルサインオンシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006236281A JP2006236281A (ja) | 2006-09-07 |
| JP4667908B2 true JP4667908B2 (ja) | 2011-04-13 |
Family
ID=37043816
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005054013A Expired - Fee Related JP4667908B2 (ja) | 2005-02-28 | 2005-02-28 | クライアント端末及びシングルサインオンシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4667908B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8656472B2 (en) | 2007-04-20 | 2014-02-18 | Microsoft Corporation | Request-specific authentication for accessing web service resources |
| US8516136B2 (en) * | 2007-07-09 | 2013-08-20 | Alcatel Lucent | Web-based over-the-air provisioning and activation of mobile terminals |
| JP4760842B2 (ja) * | 2008-03-10 | 2011-08-31 | Kddi株式会社 | 認証システム |
| US8095972B1 (en) | 2008-10-06 | 2012-01-10 | Southern Company Services, Inc. | Secure authentication for web-based applications |
| JP5219770B2 (ja) * | 2008-12-12 | 2013-06-26 | キヤノンソフトウェア株式会社 | 情報処理装置、セッション管理方法、プログラム、及び、記録媒体 |
| US8719905B2 (en) | 2010-04-26 | 2014-05-06 | Authentify Inc. | Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices |
| US8756665B2 (en) | 2011-07-08 | 2014-06-17 | International Business Machines Corporation | Authenticating a rich client from within an existing browser session |
| JP5929175B2 (ja) * | 2011-12-27 | 2016-06-01 | 株式会社リコー | 情報処理装置、情報処理システムおよびプログラム |
| JP6652074B2 (ja) * | 2017-01-10 | 2020-02-19 | 京セラドキュメントソリューションズ株式会社 | 認証システムおよび認証方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004234640A (ja) * | 2003-01-08 | 2004-08-19 | Ricoh Co Ltd | 情報提供装置,情報提供処理システム,画像形成装置、情報提供方法および不正利用防止方法 |
-
2005
- 2005-02-28 JP JP2005054013A patent/JP4667908B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004234640A (ja) * | 2003-01-08 | 2004-08-19 | Ricoh Co Ltd | 情報提供装置,情報提供処理システム,画像形成装置、情報提供方法および不正利用防止方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006236281A (ja) | 2006-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4667908B2 (ja) | クライアント端末及びシングルサインオンシステム | |
| US10382426B2 (en) | Authentication context transfer for accessing computing resources via single sign-on with single use access tokens | |
| JP5534520B2 (ja) | スマートカードにブラウザベースでアクセスするシステムおよび方法 | |
| US8516239B2 (en) | Virtual authentication proxy server and terminal authentication server | |
| JP4886508B2 (ja) | 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム | |
| US7117243B2 (en) | Methods for distributed program execution with file-type association in a client-server network | |
| US6952714B2 (en) | Method for distributed program execution with server-based file type association | |
| US9548975B2 (en) | Authentication method, authentication system, and service delivery server | |
| AU2002332001B2 (en) | Methods for distributed program execution with file-type association in a client-server network | |
| US9407626B2 (en) | Security token management service hosting in application server | |
| US20030069924A1 (en) | Method for distributed program execution with web-based file-type association | |
| CN108712372B (zh) | 一种客户端接入web第三方登录的方法及*** | |
| JP5644770B2 (ja) | アクセス制御システム、サーバ、およびアクセス制御方法 | |
| AU2002332001A1 (en) | Methods for distributed program execution with file-type association in a client-server network | |
| US8490198B2 (en) | Techniques for local personalization of content | |
| CN111062023A (zh) | 多应用***实现单点登录的方法及装置 | |
| JP2004334330A (ja) | 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体 | |
| US20190102534A1 (en) | Single sign-on management for multiple independent identity providers | |
| US20070299984A1 (en) | Application firewall validation bypass for impromptu components | |
| CN107315948B (zh) | 数据调用方法及装置 | |
| CN113626840A (zh) | 接口认证方法、装置、计算机设备和存储介质 | |
| US11316856B2 (en) | Transparency mechanism for the local composition of personal user data stored in a distributed fashion | |
| JP5687455B2 (ja) | サーバ、端末、プログラムおよびサービス提供方法 | |
| EP3900289B1 (en) | Method to monitor sensitive web embedded code authenticity | |
| JP2009223638A (ja) | Webアプリケーション向け生体認証システム及び方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071010 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080128 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080722 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101012 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101210 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110104 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110112 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140121 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4667908 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |