JP4750020B2 - ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 - Google Patents

ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 Download PDF

Info

Publication number
JP4750020B2
JP4750020B2 JP2006512273A JP2006512273A JP4750020B2 JP 4750020 B2 JP4750020 B2 JP 4750020B2 JP 2006512273 A JP2006512273 A JP 2006512273A JP 2006512273 A JP2006512273 A JP 2006512273A JP 4750020 B2 JP4750020 B2 JP 4750020B2
Authority
JP
Japan
Prior art keywords
authentication
user
server
servers
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006512273A
Other languages
English (en)
Other versions
JPWO2005101220A1 (ja
Inventor
正弘 竹日
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2006512273A priority Critical patent/JP4750020B2/ja
Publication of JPWO2005101220A1 publication Critical patent/JPWO2005101220A1/ja
Application granted granted Critical
Publication of JP4750020B2 publication Critical patent/JP4750020B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Tires In General (AREA)

Description

本発明は、一般的には、ユーザ認証技術に関し、より詳細には、連邦化されたコンピューティング環境において、ユーザを認証するシステム、方法およびプログラムに関する。
近年、多くのコンピュータ関連企業は、インターネット技術を利用してビジネス取引を自動化するためにウェブ・サービス関連技術の開発を進めている。ウェブ・サービスは、複数の企業システム間での電子商取引の効率化を実現することを目的の一つとする。より詳細には、ウェブ・サービスは、ウェブベースのアプリケーション・プログラムが自動的に関連する他のアプリケーション・プログラムを探し出すことで、複数の企業システム間の連携を実現する仕組みを提供する。
そのようなウェブ・サービスのためのセキュリティ仕様である”WS−Security”がインターナショナル・ビジネス・マシーンズ・コーポレーション、マイクロソフト・コーポレーションおよびベリサイン・インクによって公開された(非特許文献1)。“WS−Security”では、互いに信頼関係が確立された複数のサーバを含む連邦化されたコンピューティング環境でシングル・サインオンを実現する仕組みを定義している。ここで、「信頼関係」とは、2以上のサーバのうちのいずれか1つの認証システムにおいてユーザ認証に成功したことをもって、他のサーバに対してもそのユーザを認証されたとして取り扱う場合の当該2以上のサーバの間の関係をいう。なお、前述の連邦化の仕様の一例は、”WS−Federation”として公開されている(非特許文献2)。
背景技術では、ユーザは、複数のサーバを含む連邦化されたコンピューティング環境を利用しようとする場合、セキュリティ・トークンを取得するために複数のサーバのうちのいずれかのサーバの認証システムを使用してユーザ認証を行う。次に、取得したセキュリティ・トークンを含むSOAP(Simple Object Access Protocol)メッセージに署名をした上で、ウェブ・サービスを提供するサーバにそのSOAPメッセージを送信する。SOAPメッセージを受信したサーバは、そのSOAPメッセージに含まれるセキュリティ・トークンを検証し、検証に成功したことに応じて、ユーザに対してサービスの返信をする。
上記の”WS−Security”の仕様が正式に受理され、製品として実装されることで普及すれば、企業間システムのシームレスな連携が加速され、例えば、多数の企業システムが参加する大規模なサプライチェーン・システムが実現するだろう。
丸山宏ほか著、「Web Service Security(WS−Security)」、2002年 4月 5日、インターナショナル・ビジネス・マシーンズ・コーポレーション/マイクロソフト・コーポレーション/ベリサイン・インク発行 丸山宏ほか著、「Web Service Federation Language(WS−Federation)」、2003年 7月 8日、インターナショナル・ビジネス・マシーンズ・コーポレーション/マイクロソフト・コーポレーション/ベリサイン・インク発行
連邦化されたコンピューティング環境において、すべてのサーバの認証システムが同一の認証ポリシー(認証ポリシーは、指紋認証、声紋認証その他の認証形式や個々の認証形式における規約(文字数、有効期限、データサイズその他)、およびそれらの組合せを含むユーザ認証の形式の全てを含む概念である。)を採用しているのであれば、ユーザは、同一の認証情報を登録することで、いずれのサーバの認証システムを自分が使用しているのかを意識することなく、自己の「唯一の」認証情報を使用してユーザ認証を行い、連邦化されたコンピューティング環境を利用することができるだろう。
しかしながら、連邦化されたコンピューティング環境に含まれる複数のサーバの認証システムは、それぞれ異なる認証ポリシーを採用することが多い。なぜなら、連邦化されたコンピューティング環境は、独立して運用され得る複数のシステムが参加することが予定されているからである。そのような性質に起因して連邦化されたコンピューティング環境に含まれる第1のサーバと第2のサーバが異なる認証ポリシーを採用している場合、ユーザは第1のサーバと第2のサーバそれぞれに対して、異なった認証ポリシーに適合する認証情報を設定することになる。
このようなコンピューティング環境では、ユーザは、サーバの認証システムと認証情報の対応を記憶した上で、いま自分がどの認証システムにおいて認証を試みているかを正確に意識して当該認証システムに対応する認証情報を入力することを強いられる。連邦化されたコンピューティング環境に参加するサーバの増加に比例して、ユーザが記憶すべき認証情報の数も増加するので、このオペレーションはユーザの大きな負担となる可能性がある。
そこで本発明は、上記の課題を解決することができる認証システム、認証方法、認証プログラムを提供することを目的とする。
上記課題を解決するために、本発明の第1の態様によれば、互いに信頼関係が確立された複数のサーバを含むコンピューティング環境に対するユーザ認証を行うためのシステムであって、複数のサーバのうちの少なくとも1つの認証ポリシーを登録した認証ポリシーテーブルと、ユーザから認証情報を受ける手段と、認証ポリシーテーブルを用いて、複数のサーバから認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定する手段と、サーバを特定する手段によって特定されたサーバの認証機構に、認証情報を用いてユーザ認証を行うように命令する信号を送信する手段と、ユーザ認証が成功したことを条件として、ユーザのコンピューティング環境へのアクセスを許可する手段と、を備えたシステムが提供される。
また、本発明の第2の態様によれば、互いに信頼関係が確立された複数のサーバを含むコンピューティング環境における方法であって、複数のサーバのうちの少なくとも1つの認証ポリシーを登録した認証ポリシーテーブルを少なくとも1つ保持し、ユーザから認証情報を受けるステップと、認証ポリシーテーブルを用いて、複数のサーバから認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定するステップと、サーバを特定するステップにおいて特定されたサーバの認証機構に、認証情報を用いてユーザ認証を行うように命令する信号を送信するステップと、ユーザ認証が成功したことを条件として、コンピューティング環境へのアクセスが許可されるステップと、を含む方法が提供される。
さらに、本発明の第3の態様によれば、互いに信頼関係が確立された複数のサーバを含むコンピューティング環境におけるプログラムであって、複数のサーバの少なくとも1つの認証ポリシーを登録した認証ポリシーテーブルを少なくとも1つ保持し、認証プログラムは、ユーザから認証情報を受けるステップと、認証ポリシーテーブルを用いて、複数のサーバから認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定するステップと、サーバを特定するステップにおいて特定されたサーバの認証機構に、認証情報を用いてユーザ認証を行うように命令する信号を送信するステップと、ユーザ認証が成功したことを条件として、コンピューティング環境へのアクセスが許可されるステップと、をコンピュータに実行させるプログラムが提供される。
また、本発明の第4の態様として、上述したプログラムを記録したコンピュータ可読の記憶媒体のようなコンピュータ・プログラム製品が提供される。
本発明によれば、連邦化されたコンピューティング環境において、より利便性の高いユーザ認証が可能となる。
以下、本発明を実施するための最良の形態を図面に基づいて詳細に説明する。なお、本発明は多くの異なる態様で実施することが可能であり、実施の形態の記載内容に限定して解釈されるべきものではなく、また実施の形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須とは限らないことに留意されたい。また、実施の形態の説明の全体を通じて同じ要素には同じ番号を付している。
以下の実施の形態では、主に方法およびシステムについて説明するが、当業者であれば明らかな通り、本発明はコンピュータで使用可能なプログラムとしても実施できる。したがって、本発明は、ハードウェアとしての実施形態、ソフトウェアとしての実施形態またはソフトウェアとハードウェアとの組合せの実施形態をとることができる。プログラムは、ハードディスク、CD−ROM、光記憶装置または磁気記憶装置等の任意のコンピュータ可読媒体に記録できる。
図1は、本発明の実施の形態における連邦化されたコンピューティング環境1000のシステム構成の一例を示した概念図である。連邦化されたコンピューティング環境1000は、ネットワーク200で互いに接続されたクライアント100および複数のサーバ300−1〜300−N(以下、必要に応じてサーバ300と総称する)を含んでいる。
クライアント100は、周知のインターネットに接続可能な端末である。当業者は、そのようなクライアント100を容易に実施することができる。また、クライアント100とネットワーク200の接続は、ダイアルアップ接続等によりISP(Internet Service Provier、図示せず)を介して行うとよい。なお、クライアント100からISPへの接続はダイアルアップ接続に制限されるものではなく、例えば、専用線、LAN(Local Area Network)、WAN(Wide Area Network)、ADSL(Asymmetric Digital Subscriber Line)、CATV(Cable TeleviSion)を用いた常時接続により行ってもよい。
ネットワーク200は、クライアント100、サーバ300を接続する通信経路であり、一例としてインターネットにより実現することができる。インターネットであるネットワーク200は周知の通り、TCP/IP(Transmission Control Protocol/Internet Protocol)を用いてシステム間を接続する。ネットワーク200ではグローバルアドレスまたはローカルアドレスで表されるIPアドレスによって相互に通信するシステムが特定される。
サーバ300は、クライアント100からの要求に応じてサービスを提供するコンピュータ装置である。より詳細には、サーバ300−1〜300−Nは、周知のウェブ・サービス技術を使用して、クライアント100からのサービス要求に対して、互いに連携してウェブ・サービスを提供する。好適には、サーバ300−1〜300−Nは、前述の”WS−Federation”仕様に従って、互いに信頼関係が確立された連邦化されたコンピューティング環境1000を形成する。
図2は、本実施の形態におけるサーバ300の機能ブロック図である。図2の機能ブロック図に示す各要素は、後述する図11に例示したハードウェア構成を有するコンピュータにおいて、ハードウェア資源とソフトウェアを協働させることで実現することができる。
サーバ300は、通信制御部310、ユーザ認証処理部320、アプリケーション実行部330を含む。通信制御部310は、ネットワーク200から受けたデータを、ユーザ認証処理部320またはアプリケーション実行部330へ転送する。通信制御部310は、ユーザ認証処理部320またはアプリケーション実行部330から受けたデータを、ネットワーク200へ送出することもできる。
ユーザ認証処理部320は、通信制御部310を通じて受けたクライアント100のユーザのアクセス要求に応じて認証処理を行う。好適には、アクセス要求は、クライアント100のウェブ・ブラウザにおいて生成され、ネットワーク200に送出されサーバ300に受信されたHTTP(HyperText Transfer Protocol)リクエストとして実装されるが、これに限定されない。ユーザ認証処理部320は、認証要求処理部321、認証情報管理部322、LDAPクライアント323、認証ポリシーテーブル324、例外IDテーブル325および認証情報LDAP326を含む。
認証要求処理部321は、クライアント100のユーザからのアクセス要求を解析し、アクセス要求を送信したユーザが未認証であると判定された場合は、ユーザ認証を実行する。つまり、認証要求処理部321は、認証ポリシーテーブル324を参照して、連邦化されたコンピューティング環境1000に含まれる他のサーバの認証システムと連携してユーザ認証を実行する。
より詳細には、認証要求処理部321は、アクセス要求を送信したクライアント100のユーザが未認証であると判定されたことに応じて、認証情報の入力を促すウェブ・ページのデータをクライアント100に送信する機能を有する。また、認証要求処理部321は、認証情報入力用ウェブ・ページ使用して入力されたユーザの認証情報を受け、認証ポリシーテーブル324を使用して、当該認証情報が、連邦化されたコンピューティング環境1000に含まれる複数のサーバのうち、いずれのサーバの認証システムの認証ポリシーに適合するかを特定し、特定されたサーバの認証システムの認証機構において、認証情報を用いてユーザ認証を命令する信号を送信する機能を有する。
さらに、認証要求処理部321は、認証情報が自身の認証ポリシーに適合すると判定された場合に、当該認証情報と、LDAPクライアント323を通じて入手した認証情報LDAP326に格納された認証情報の突き合わせを行う認証機構を有する。さらに、認証要求処理部321は、ユーザ認証が成功した場合に、クライアント100に連邦化されたコンピューティング環境1000へのアクセスを許可するセキュリティ・トークンを送信する機能している。本実施の形態では、好適には、セキュリティ・トークンは、クレデンシャルおよびクッキーである。
認証情報管理部322は、連邦化されたコンピューティング環境1000における認証情報の管理を行う。好適には、認証情報管理部322は、連邦化されたコンピューティング環境1000に含まれるサーバの認証システムの認証ポリシーの認証ポリシーテーブル324への登録、更新および参照の処理を行う機能を有する。また、認証情報管理部322は、LDAPクライアント323を通じて、ユーザから受けた認証情報を認証情報LDAPへ登録する機能を有する。さらに、認証情報管理部322は、新規ユーザのユーザIDを登録する際に、同一の認証ポリシーを採用する他のサーバの認証システムに同一のユーザIDが既に登録されているかどうかを判定し、同一のユーザIDが登録されていると判定された場合に、当該ユーザIDを例外IDテーブル325に登録する機能を有する。
LDAPクライアント323は、認証情報LDAP326へのインターフェースを提供する。より詳細には、LDAPクライアント323は、サーバ300のプログラム・コンポーネントまたは他のコンピュータからの認証情報LDAP326へのアクセスを制御する機能を有する。LDAPクライアント323は、少なくとも、認証情報管理部322から受けた認証情報を認証情報LDAP326へ登録することができ、また、認証要求処理部321等の要求に応じて認証情報LDAP326に登録されている認証情報を取り出すことができる。
認証ポリシーテーブル324は、連邦化されたコンピューティング環境1000に含まれる各サーバの認証システムの認証ポリシーを登録するテーブルである。
図9は、本発明の実施形態における認証ポリシーテーブル324の一例を示した図である。認証ポリシーテーブル324には、連邦化されたコンピューティング環境1000に含まれるサーバの一部または全部のアドレス・ロケーション(好適には、当該サーバのURLアドレス)が、認証ポリシーと関連付けられて登録されている。図9に例示する認証ポリシーテーブル324では、第一列に認証ポリシーが登録され、第二列に第一列の認証ポリシーを採用するサーバのアドレスが登録されている。
なお、認証ポリシーテーブル324には、連邦化されたコンピューティング環境1000に含まれるすべてのサーバのアドレス・ロケーションおよび認証ポリシーが登録されることが好ましい。しかし、後述するように、本実施形態のユーザ認証は、認証ポリシーテーブル324にアドレス・ロケーションおよび認証ポリシーが登録されたサーバのいずれかにおいてユーザ認証が成功したことに応じて連邦化されたコンピューティング環境1000へのアクセスを許可するものであるので、連邦化されたコンピューティング環境1000に含まれるサーバのアドレス・ロケーションおよび認証ポリシーが登録されていなくても本実施形態のユーザ認証は動作可能であることに留意されたい。
さらに、本発明の実施形態における認証ポリシーテーブル324では、同一の認証ポリシーを採用するサーバが複数存在する場合に、どのサーバの認証システムからユーザ認証の処理を行うかを示すプライオリティがサーバアドレスと関連付けて登録される。プライオリティの値は、システム管理者がマニュアルで入力をしてもよいし、認証システムに登録されているユーザ数の多い順で値を割り振るなど、自動的に決定してもよい。
より具体的には、本発明の実施形態における認証ポリシーテーブル324には、ユーザIDが「アルファベット3文字+数字3文字」かつパスワードが「アルファベット4文字」の認証ポリシーを採用する3つのサーバ(アドレスは”server300-1.com”、”server300-2.com”、”server300-3.com”)が登録されている。また、ユーザIDが「アルファベット8文字」かつパスワードが「任意」の認証ポリシーを採用する2つのサーバ(アドレスは”server300-4.com”、”server300-5.com”)も登録されている。
さらに、認証ポリシーテーブル324には、「指紋認証」かつ指紋認証のバイナリデータのサイズが「100bytes」の認証ポリシーを採用する2つのサーバ(アドレスは”server300-6.com”、”server300-7.com”)および「声紋認証」かつ声紋認証のバイナリデータのサイズが「200bytes」の認証ポリシーを採用する1つのサーバ(アドレスは”server300-8.com”)も登録されている。
例外IDテーブル325は、連邦化されたコンピューティング環境1000に含まれる各サーバの認証システムの間で同一のユーザIDを別のユーザが使用している場合に、当該ユーザIDを例外IDとして登録するテーブルである。
図10は、本発明の実施形態における例外IDテーブル325の一例を示した図である。例外IDテーブル325には、連邦化されたコンピューティング環境1000に含まれるサーバの一部または全部のアドレス・ロケーション(好適には、当該サーバのURLアドレス)が、例外IDと関連付けられて登録されている。図10に例示する例外IDテーブル325では、第一列にサーバアドレスが登録され、第二列に第一列のサーバの認証システムの例外IDが登録されている。
アプリケーション実行部330は、認証されたユーザのサービス要求を実現するために、クライアント100および/または連邦化されたコンピューティング環境1000に含まれるサーバからの要求に応じて、種々のアプリケーション・プログラムを実行する。好適には、アプリケーション実行部330によって実行されるアプリケーション・プログラムは、ウェブベースのアプリケーション・プログラムとして実現される。本発明の実施の形態においては、アプリケーションA(331)、アプリケーションB(332)、アプリケーションC(333)およびアプリケーションD(334)の4種類のアプリケーションを実行することができるようにされている。
図3は、複数のサーバ間の信頼関係を確立する動作フローを示したフローチャートである。本実施の形態においては、複数のサーバ300−1〜300−Nが互いに信頼関係を確立する場合、まず、サーバ300−1が、図3に記載した動作フローに従ってまだ信頼関係の確立されていないサーバ300−2〜300−Nとの信頼関係を確立する。次に、サーバ300−2が、同様に図4に記載した動作フローに従って、まだ信頼関係の確立されていないサーバ300−3〜300−Nとの信頼関係を確立する。これをサーバ300−(N−1)まで繰り返すことで、複数のサーバ300−1〜300−Nの互いの信頼関係がすべて確立され、連邦化されたコンピューティング環境1000が形成される。
以下に、サーバ300−1がサーバ300−2〜300−Nとの間で信頼関係を確立する場合を例として、図3に示す動作フローを詳細に説明する。最初に、サーバ300−1は、自己の認証ポリシーを認証ポリシーテーブル324へ登録する(S3010)。次に、周知のPKI(Pubulic Key Infrastracture)方式に従って電子証明書を交換することで、サーバ300−1とサーバ300−2の間の信頼関係を確立する(S4020)。
次に、サーバ300−1は、S3020において信頼関係を確立した相手方のサーバであるサーバ300−2の認証ポリシーを入手する。具体的には、サーバ300−1は、サーバ300−2にローカルに存在するサーバ300−2の管理者が作成した認証ポリシーを記述したプロファイル・テーブルにアクセスすることで、サーバ300−2の認証ポリシーを入手する。そして、入手したサーバ300−2の認証ポリシーを認証ポリシーテーブル324に登録した上で(S3030)、自己の認証ポリシーと相手方サーバ300−2の認証ポリシーが同一かどうかを判定する(S3040)。サーバ300−1とサーバ300−2の認証ポリシーが同一でないと判定された場合は、信頼関係をまだ確立していないサーバが存在するかどうかを判定するためにNOの矢印からS3090へ進む。
S3040においてサーバ300−1とサーバ300−2の認証ポリシーが同一と判定された場合は、YESの矢印からS3050へ進み、サーバ300−1とサーバ300−2の認証情報LDAP326に同一のユーザIDが存在するかどうかを調べる。S3050においてサーバ300−1とサーバ300−2の認証情報LDAP325に同一のユーザIDが存在しないと判定された場合は、信頼関係をまだ確立していないサーバが存在するかどうかを判定するためにNOの矢印からS3090へ進む。
S3050においてサーバ300−1とサーバ300−2の認証情報LDAPに同一のユーザIDが存在すると判定された場合は、YESの矢印からステップ3060へ進み、図6に示す例外ID登録確認画面を、サーバ間の信頼関係を確立しようとしているシステム管理者の操作する端末へ表示する。本実施の形態では、サーバ300−1とサーバ300−2の双方に、“ABC001”というユーザIDが登録されていたとして、システム管理者に当該ユーザIDが同一のユーザが使用するものかどうかについて確認を促している。なお、例外ID登録確認画面には、システム管理者に確認のヒントを提示するために、サーバ名、ユーザIDと関連付けて登録名(サーバ300−1のユーザID“ABC001”に対する登録名として“Tanaka Taro”、サーバ300−2のユーザID“ABC001”に対する登録名として“Hirota Keisuke”)が表示される。
次に、S3070に進み、システム管理者が、例外ID確認画面に表示されたユーザIDが、サーバ300−1とサーバ300−2で異なるユーザが使用していると判断した場合、システム管理者は、例外ID確認画面で“登録する”ボタンを押すことになる。“登録する”ボタンが押されたことに応じてフローはS3080に進み、当該ユーザIDは、例外IDテーブル325に登録される。その後、信頼関係をまだ確立していないサーバが存在するかどうかを判定するためにNOの矢印からS3090へ進む。
S3070において、システム管理者が、例外ID確認画面に表示されたユーザIDが、サーバ300−1とサーバ300−2で同一のユーザが使用していると判断した場合、ユーザは例外ID確認画面で“登録しない”ボタンを押すことになる。“登録しない”ボタンが押されたことに応じて、フローは、信頼関係をまだ確立していないサーバが存在するかどうかを判定するためにNOの矢印からS3090へ進む。
S3090では、サーバ300−1がまだ信頼関係を確立していないサーバがあるかどうかが判定される。S3090でまだ信頼関係を確立していないサーバがあると判定された場合は、フローはS3030へ戻り、まだ信頼関係を確立していないサーバとS3030〜S3080のステップを実行することでサーバ300−1は、すべての他のサーバ300−2〜300−Nと信頼関係を確立することとなる。S3090でまだ信頼関係を確立していないサーバがもう存在しないと判定された場合は、YESの矢印に進み、フローは終了する。
上記は、サーバ300−1が、他のサーバ300−2〜300−Nと信頼関係を確立することについて説明した。同様の処理を300−2〜300−Nについても実行することで、サーバ300−1〜300−Nの間で互いに信頼関係を確立した連邦化されたコンピューティング環境1000が形成される。
図4は、新規ユーザ認証情報の登録の動作フローを示したフローチャートである。以下に、既に複数のサーバ300−1〜300−Nで互いに信頼関係が確立された連邦化されたコンピューティング環境1000に参加するサーバ300−1の認証システムにおいて、新規ユーザ認証情報を登録する流れを、図4を参照して詳細に説明する。なお、他のサーバ300−2〜300−Nの認証システムにおいて新規ユーザ認証情報を登録する流れも同様の処理で実現可能であることに留意されたい。
まず、ユーザの操作するクライアント100から新規認証情報を受け付ける(S4010)。なお、S4010では、サーバ300−1は、サーバ300−1の管理者が作成した認証ポリシーを記述したプロファイル・テーブルを使用して、新規認証情報が自己の認証ポリシーに適合しているかどうかの検証も行っている。次に、自己の認証情報LDAP326に、クライアント100から受けた認証情報に含まれるユーザIDと同一のユーザIDが存在するかどうかを判定する(S4020)。S4020で同一のユーザIDが存在すると判定された場合は、同一のサーバの認証システムでは同一のユーザIDが存在をすることは許されないので、別の認証情報をユーザから受け付けるためにYESの矢印からS4010へ戻り、再度新規ユーザ認証情報を受け付ける。S4020で同一のユーザIDが存在しないと判定された場合は、NOの矢印からS4030へ進む。
S4030では、サーバ300−1は、自己の記憶装置に記憶されている認証ポリシーテーブルを用いて、連邦化されたコンピューティング環境1000に存在する自己と同一の認証ポリシーを採用する認証システムを持つサーバを特定する。次に、S4030で自己と同一の認証ポリシーを採用する認証システムを持つサーバとして特定されたサーバのうちの一つの認証情報LDAP326に新規ユーザ認証情報に含まれるユーザIDと同一のユーザIDが存在するかどうかを判定する(S4040)。
S4040において、S4030で特定されたサーバのうちの一つの認証情報LDAP326に同一のユーザIDが存在しないと判定された場合は、他にS4030で特定された300−1と同一の認証ポリシーを採用するサーバが存在するかどうかを判定するためにNOの矢印からS4080へ進む。
S4040において、S4030で特定されたサーバのうちの一つの認証情報LDAP326に同一のユーザIDが存在すると判定された場合は、YESの矢印からS4050へ進み、図6に示す例外ID登録確認画面を、認証情報を登録しようとしているユーザが操作するクライアントへ表示する。例外ID登録確認画面については、図3の説明において既にしたので、ここでは詳細には説明しない。
次に、S4060に進み、認証情報を登録しようとするユーザが、例外ID確認画面に表示されたユーザIDを自分が使用しているものではないと判断した場合、ユーザは例外ID確認画面で“登録する”ボタンを押すことになる。“登録する”ボタンが押されたことに応じてフローはS4070に進み、当該ユーザIDは、例外IDテーブル325に登録される。その後、他にS4030で特定された300−1と同一の認証ポリシーを採用するサーバが存在するかどうかを判定するためにNOの矢印からS4080へ進む。
なお、S4060において、認証情報を登録しようとするユーザが、例外ID確認画面に表示されたユーザIDを自分が使用しているものであると判断した場合、ユーザは例外ID確認画面で“登録しない”ボタンを押すことになる。“登録しない”ボタンが押されたことに応じて、他にS4030で特定された300−1と同一の認証ポリシーを採用するサーバが存在するかどうかを判定するためにYESの矢印からS4080へ進む。
S4080では、S4030で特定されたサーバ300−1と同一の認証ポリシーを採用するサーバがまだ残っているかが判定される。S4080でまだ同一の認証ポリシーを採用するサーバが残っていると判定された場合は、フローはS4040へ戻り、残っているサーバとS4040〜S4070のステップを実行することで、サーバ300−1は、必要な情報を例外IDテーブルに登録する。S4080でまだ同一の認証ポリシーを採用するサーバが残っていないと判定された場合は、NOの矢印からS4090へ進み、サーバ300−1は、新規ユーザ認証情報を自己の認証情報LDAP326に登録する。
図5は、本発明の実施形態におけるユーザ認証の流れを示したフローチャートである。以下、未認証のユーザの操作するクライアント100から連邦化されたコンピュータ環境1000に含まれる複数のサーバの一つであるサーバ300−1に対してアクセス要求があった場合のユーザ認証の流れを図5のフローチャートに従って詳細に説明する。なお、他のサーバ300−2〜300−Nの認証システムにおいてユーザ認証を行う場合も同様の処理で実現可能であることに留意されたい。
サーバ300−1は、ユーザからアクセス要求を受ける(S5010)。そして、アクセス要求にセキュリティ・トークンが含まれるかどうかを調査することによって当該アクセス要求を発したユーザが未認証であると判定したサーバ300−1は、ユーザの操作するクライアントに、図7に示す認証モード選択画面のデータを送信することで、ユーザに認証モードの選択を促す(S5020)。ユーザが、図7に例示する認証モード選択画面に“はい”のボタンを押し、マルチ認証モードを選択した場合は、処理はS5040へ進む。なお、ユーザが図7に例示する認証モード選択画面に“いいえ”のボタンを押し、通常認証モードが選択した場合は、処理はS5030へ進み、認証ポリシーテーブルを使わない通常認証でユーザ認証が行われる。通常認証は、周知であるのでここでは詳細には説明されない。
次に、サーバ300−1は、図8に示すマルチ認証モードで用いられる認証画面のデータをユーザのクライアントに送信する(S5040)。認証画面のデータを受けたユーザは、認証情報を入力する(S5050)。クライアントは、入力された認証情報をサーバ300−1へ送信する。
より詳細には、ユーザIDを使用してユーザ認証を行う場合は、ユーザは、図8に示す認証情報入力画面の第一行にキーボードを操作することでユーザIDを入力する。ユーザIDを使用せずにユーザ認証を行う場合は、ユーザは、第一行の“使用しない”のチェックボックスをチェックする。また、パスワードを使用してユーザ認証を行う場合は、ユーザは、図8に示す認証画面の第二行にキーボードを操作することでパスワードを入力する。パスワードを使用せずにユーザ認証を行う場合は、ユーザは、第二行の“使用しない”のチェックボックスをチェックする。指紋認証、声紋認証などテキストデータ以外(すなわち、バイナリデータ)を使用してユーザ認証を行う場合は、ユーザは、図8に示す認証画面の第三行の“使用しない”のチェックボックスをチェックせずに“OK”ボタンを押し、続けてバイナリデータの入力(例えば、指紋認証に対して指紋データ入力パッドに指を置く、声紋認証に対してはマイクに向かって発声するなど)を行う。パスワードを使用せずにユーザ認証を行う場合は、ユーザは、第二行の“使用しない”のチェックボックスをチェックする。
処理はS5050に進み、サーバ300−1は、自己の認証ポリシーテーブルを参照し、ユーザが入力した認証情報と適合する認証ポリシーを採用する1以上のサーバのアドレスを取得する(S5060)。例えば、サーバ300−1が図9の認証ポリシーテーブルを使用し、認証情報にユーザIDが“XYZ001”、パスワードが“WXYZ”が含まれる場合は、ユーザIDが「アルファベット3文字+数字3文字」かつパスワードが「アルファベット4文字」の認証ポリシーに適合するので、サーバ300−1は、3つのアドレス”server300-1.com”、”server300-2.com”、”server300-3.com”を取得する。
次に、サーバ300−1は、ユーザからの認証情報に含まれるユーザIDが例外IDテーブルに登録されているかどうかを、S5060で取得されたアドレスの示すサーバに対して問合せを行うことで判定する(S5070)。認証情報に含まれるユーザIDが例外IDテーブルに登録されていると判定された場合は、YESの矢印からS5080へ進み例外処理が行われる。例外IDテーブルに登録されているユーザIDは、いずれの認証システムにおいてユーザ認証すべきかを判別することができないので、例外処理では、サーバ300−1は、ユーザのクライアントに「このユーザIDは例外IDですので、マルチ認証モードを使用することはできません。通常認証にてユーザ認証を行ってください。」というメッセージを返し、処理を終了する。
S5070において、ユーザからの認証情報に含まれるユーザIDがいずれかのサーバの例外IDテーブルにも登録されてないと判定された場合は、NOの矢印からS5090へ進む。S5090では、サーバ300−1は、S5060において取得したアドレスを使用して、認証ポリシーの合致するサーバに認証情報を送信し、認証情報を受信したサーバの認証機構を使用してユーザ認証を行う。好適には、サーバ300−1は、いずれのサーバからユーザ認証を行うかを、認証ポリシーテーブル中のプライオリティの値に従って決定する。例えば、サーバ300−1が図9の認証ポリシーテーブルを使用し、S5070においてサーバ300−1が3つのアドレス”server300-1.com”、”server300-2.com”、”server300-3.com”を取得した場合は、プライオリティの値が最も高い”server300-1.com”の認証システムがユーザ認証を最初に試みることとなる。
処理はS5100へ進み、ユーザ認証が成功したと判定された場合は、ユーザ認証を行ったサーバは、アイデンティティ情報を取得し(S5110)、取得したアイデンティティ情報を使用して、クレデンシャルおよびクッキーを作成し、ユーザに返信する(S5120)。なお、クレデンシャルおよびクッキーの作成およびユーザへの返信は、ユーザ認証を行ったサーバからユーザ認証が成功した旨の通知を受けたサーバ300−1が行ってもよい。そして、ユーザは受信したクレデンシャルおよびクッキーを使用して、連邦化されたコンピューティング環境1000にアクセスをすることが許可され、認証処理は終了する。
なお、本発明の実施形態では、ユーザに連邦化されたコンピューティング環境へのアクセスを許可するために、クレデンシャルおよびクッキーを使用する態様によって説明をした。しかし、クレデンシャルおよびクッキーの代替としてURLエンコーディング、SAMLトークンのような他のいかなる公知の認証技術も使用可能であることは当業者には自明である。
S5100でユーザ認証が失敗したと判定された場合は、S5060で特定されたユーザの認証情報に認証ポリシーが適合するサーバが残っているかどうかが判定される(S6130)。S5130において、まだS5060で特定されたユーザの認証情報に認証ポリシーに適合するサーバが残っていると判定された場合は、フローはS5090へ戻り、他の残っているサーバに対してS5090以降の処理を行うことで、再びユーザ認証を試みることとなる。前述のサーバ300−1が図9の認証ポリシーテーブルを使用し、S5070においてサーバ300−1が3つのアドレス”server300-1.com”、”server300-2.com”、”server300-3.com”を取得した場合は、既に”server300-1.com”の認証システムによる認証は失敗したので、サーバ300−1は、プライオリティの値が次に高い”server300-2.com”の認証システムがユーザ認証を最初に試み、それも失敗した場合は、”server300-3.com”の認証システムがユーザ認証を試みることとなる。
S5130で特定されたユーザの認証情報に認証ポリシーに適合するサーバが残っていない、すなわちすべてのサーバにおいて認証が失敗したと判定された場合は、フローはS5140へ進み、認証失敗としてユーザは連邦化されたコンピューティング環境1000へのアクセスを許可されないこととなり、認証処理は終了する。
図11は、本発明の実施の形態において使用されるサーバ300を実現するために好適なコンピュータ装置のハードウェア構成を例示する図である。サーバ300は、中央処理装置(CPU)1とメインメモリ4を含んでいる。CPU1とメインメモリ4は、バス2を介して、補助記憶装置としてのハードディスク装置13と接続されている。また、フレキシブルディスク装置20、MO装置28、CR−ROM装置26、29などのリムーバブルストレージ(記録メディアを交換可能な外部記憶システム)が関連するフレキシブルディスク・コントローラ19、IDEコントローラ25、SCSIコントローラ27などを介してバス2へ接続されている。
フレキシブルディスク装置20、MO装置28、CR−ROM装置26、29などのリムーバブルストレージには、それぞれフレキシブルディスク、MO、CD−ROMなどの記憶媒体が挿入され、このフレキシブルディスク等やハードディスク装置13、ROM14には、オペレーティング・システムと協働してCPU等に命令を与え、本発明を実施するためのコンピュータ・プログラムのコードを記録することができる。メインメモリ4にロードされることによってコンピュータ・プログラムは実行される。コンピュータ・プログラムは圧縮し、また複数に分割して複数の媒体に記録することもできる。
サーバ300は、さらに、ユーザ・インターフェイス・ハードウェアとして、マウス等のポインティング・デバイス7、キーボード6や視覚データをユーザに提示するためのディスプレイ12を有することができる。また、パラレルポート16を介してプリンタ(図示せず)と接続することや、シリアルポート15を介してモデム(図示せず)を接続することが可能である。サーバ300は、シリアルポート15及びモデムを介し、また、通信アダプタ18(イーサネット(R)・カードやトークンリング・カード)等を介してネットワークに接続し、他のコンピュータ等と通信を行うことが可能である。
スピーカ23は、オーディオ・コントローラ21によってD/A変換(デジタル/アナログ変換)された音声信号をアンプ22を介して受け取り、音声として出力する。また、オーディオ・コントローラ21は、マイクロフォン24から受け取った音声情報をA/D変換(アナログ/デジタル変換)し、システム外部の音声情報をシステムに取り込むことを可能にしている。
以上の説明により、本発明の実施の形態におけるサーバ300は、メインフレーム、ワークステーション、通常のパーソナルコンピュータ(PC)等の情報処理装置、または、これらの組み合わせによって実現されることが容易に理解されるであろう。ただし、これらの構成要素は例示であり、そのすべての構成要素が本発明の必須構成要素となるわけではない。
特に、ここで説明したハードウェア構成のうち、フレキシブルディスク装置20、MO装置28、CR−ROM装置26、29などのリムーバブルストレージ、パラレルポート16、プリンタ、シリアルポート15、モデム、通信アダプタ18、スピーカ23、オーディオ・コントローラ21、アンプ22、マイクロフォン24などはなくても、本発明の実施の形態は実現可能であるので、本発明の実施の形態におけるサーバ300に含めなくともよい。
本発明の実施に使用されるサーバ300の各ハードウェア構成要素を、複数のマシンを組み合わせ、それらに機能を配分し実施する等の種々の変更は当業者によって容易に想定され得るものであり、それらの変更は、当然に本発明の思想に包含される概念である。
サーバ300は、オペレーティング・システムとして、マイクロソフト・コーポレーションが提供するWindows(R)オペレーティング・システム、インターナショナル・ビジネス・マシーンズ・コーポレーションが提供するAIX、アップル・コンピュータ・インコーポレイテッドが提供するMacOS、あるいはLinuxなどのGUIマルチウィンドウ環境をサポートするものを採用することができる。
サーバ300は、オペレーティング・システムとして、インターナショナル・ビジネス・マシーンズ・コーポレーションが提供するPC−DOS、マイクロソフト・コーポレーションが提供するMS−DOSなどのキャラクタ・ベース環境のもの採用することもできる。さらに、サーバ300は、インターナショナル・ビジネス・マシーンズ・コーポレーションが提供するOS/Open、Wind River Systems,Inc.のVx WorksなどのリアルタイムOS、Java(R)OSなどのネットワーク・コンピュータに組み込みオペレーティング・システムを採用することもできる。
以上から、サーバ300は、特定のオペレーティング・システム環境に限定されるものではないことを理解することができる。サーバ300−1〜300−Nはそれぞれ異なるオペレーティング・システム環境で動作するようにしてもよいことは勿論である。
以上、本実施の形態によれば、ユーザは、連邦化されたコンピューティング環境1000のいずれかのサーバの認証システムに対するいずれかの認証情報を入力することで、サーバの認証システムと認証情報の対応を記憶することなく、また、いま自分がどの認証システムにおいて認証を試みているかを正確に意識することなくユーザ認証を受けることが可能となる。
また、本実施の形態では、ユーザから受けた認証情報に適合する認証ポリシーを採用するサーバの認証システムにおいてのみユーザ認証を行うので、高速なユーザ認証が実現される。
以上、本発明によれば、連邦化されたコンピューティング環境において、より利便性の高いユーザ認証を実現できることが容易に理解できる。
以上、本発明の実施の形態を用いて説明したが、本発明の技術範囲は上記実施の形態に記載の範囲には限定されない。上記の実施の形態に、種々の変更または改良を加えることが可能であることが当業者に明らかである。従って、そのような変更または改良を加えた形態も当然に本発明の技術的範囲に含まれる。
本発明の実施の形態の連邦化されたコンピューティング環境100のシステム構成の一例を示した概念図である。 本発明の実施形態におけるサーバ300の機能ブロック図である。 本発明の実施形態におけるサーバ間の信頼関係を確立する動作フローを示したフローチャートである。 本発明の実施形態における新規ユーザ認証情報の登録の動作フローを示したフローチャートである。 本発明の実施形態におけるユーザ認証の動作フローを示したフローチャートである。 本発明の実施形態における例外ID登録確認画面のイメージを示した図である。 本発明の実施形態における認証モード選択画面のイメージを示した図である。 本発明の実施形態における認証情報入力画面のイメージを示した図である。 本発明の実施形態における認証ポリシーテーブル324の一例を示した概念図である。 本発明の実施形態における例外IDテーブル325の一例を示した概念図である。 本発明の実施形態におけるサーバ300として機能するコンピュータのハードウェア構成の一例を示した図である。

Claims (14)

  1. 互いにシステム的に信頼関係が確立された複数のサーバを含むコンピューティング環境に対するユーザ認証を行うためのシステムであって、
    前記複数のサーバのうちの少なくとも1つのユーザ認証の形式の情報を表す認証ポリシーを登録した認証ポリシーテーブルと、
    ユーザから認証情報を受ける手段と、
    前記認証ポリシーテーブルを用いて、前記複数のサーバから前記認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定する手段と、
    前記サーバを特定する手段によって特定されたサーバの認証機構に、前記認証情報を用いてユーザ認証を行うように命令する信号を送信する手段と、
    前記複数のサーバのうちの少なくとも1つの認証ポリシーを、各認証ポリシーを採用するサーバの識別子と関連付けて前記認証ポリシーテーブルに登録する手段と、
    を備える、システム。
  2. 前記認証ポリシーは、文字列のユーザIDによる認証、クライアント証明書による認証、生体認証、手書き認証のうちの少なくとも一つである、請求項1に記載のシステム。
  3. 前記コンピューティング環境へのアクセスを行うためのトークンを生成する手段を含む、請求項1に記載のシステム。
  4. 前記トークンは、クッキー、URLエンコーディングによる認証情報、SAMLトークンのいずれかである、請求項に記載のシステム。
  5. 互いにシステム的に信頼関係が確立された複数のサーバを含むコンピューティング環境における方法であって、コンピュータに以下のステップを実行させることを含み、該ステップが、
    前記複数のサーバのうちの少なくとも1つのユーザ認証の形式の情報を表す認証ポリシーを登録した認証ポリシーテーブルを少なくとも1つ保持し、
    ユーザから認証情報を受けるステップと、
    前記認証ポリシーテーブルを用いて、前記複数のサーバから前記認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定するステップと、
    前記サーバを特定するステップにおいて特定されたサーバの認証機構に、前記認証情報を用いてユーザ認証を行うように命令する信号を送信するステップと、
    複数のサーバのうちの少なくとも1つの認証ポリシーを、各認証ポリシーを採用するサーバの識別子と関連付けて前記認証ポリシーテーブルに登録するステップと、
    を含む、方法。
  6. 前記認証ポリシーは、文字列のユーザIDによる認証、クライアント証明書による認証、生体認証、手書き認証のうちの少なくとも一つである、請求項に記載の方法。
  7. 前記コンピュータに以下のステップをさらに実行させることを含み、該ステップが、前記コンピューティング環境へのアクセスを行うためのトークンを生成するステップを含む、請求項に記載の方法。
  8. 前記トークンは、クッキー、URLエンコーディングによる認証情報、SAMLトークンのいずれかである、請求項に記載の方法。
  9. 前記コンピュータに以下のステップをさらに実行させることを含み、該ステップが、
    (A)前記認証ポリシーテーブル登録されている同一の認証ポリシーを採用する2以上のサーバのそれぞれに対してプライオリティを付与するステップと、
    (B)前記ユーザの認証情報が前記2以上のサーバの採用する認証ポリシーに適合したことに応じて、前記2以上のサーバのうちの前記プライオリティの最も高いサーバの認証機構に、前記認証情報を用いてユーザ認証を行うように命令するステップと、
    (C)前記ユーザ認証が失敗したことに応じて、前記2以上のサーバのうち次にプライオリティの高いサーバの認証機構に、ユーザ認証を行うように命令するステップと、
    (D)前記2以上のサーバのいずれかのサーバにおいてユーザ認証が成功するか、前記2以上のサーバすべてにおいてユーザ認証が失敗するまで、前記ステップ(C)を繰り返すステップと、
    (E)前記ユーザ認証が成功したことを条件として、前記ユーザの前記コンピューティング環境へのアクセスを許可するステップと、
    を含む請求項に記載の方法。
  10. 互いにシステム的に信頼関係が確立された複数のサーバを含むコンピューティング環境におけるプログラムであって、
    前記複数のサーバの少なくとも1つのユーザ認証の形式の情報を表す認証ポリシーを登録した認証ポリシーテーブルを少なくとも1つ保持し、
    前記認証プログラムは、
    ユーザから認証情報を受けるステップと、
    前記認証ポリシーテーブルを用いて、前記複数のサーバから前記認証情報と適合する認証ポリシーを採用するサーバを少なくとも1つ特定するステップと、
    前記サーバを特定するステップにおいて特定されたサーバの認証機構に、前記認証情報を用いてユーザ認証を行うように命令する信号を送信するステップと、
    前記複数のサーバのうちの1つの認証ポリシーを、各認証ポリシーを採用するサーバの識別子と関連付けて前記認証ポリシーテーブルに登録するステップと、
    をコンピュータに実行させる、プログラム。
  11. 前記認証ポリシーは、文字列のユーザIDによる認証、クライアント証明書による認証、生体認証、手書き認証のうちの少なくとも一つである、請求項10に記載のプログラム。
  12. 前記コンピューティング環境へのアクセスを行うためのトークンを生成するステップをさらにコンピュータに実行させる、請求項10に記載のプログラム。
  13. 前記トークンは、クッキー、URLエンコーディングによる認証情報、SAMLトークンのいずれかである、請求項12に記載のプログラム。
  14. 請求項10ないし13のいずれかのプログラムを記録したコンピュータ可読の記憶媒体。
JP2006512273A 2004-03-30 2005-02-14 ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体 Expired - Fee Related JP4750020B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006512273A JP4750020B2 (ja) 2004-03-30 2005-02-14 ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2004099243 2004-03-30
JP2004099243 2004-03-30
JP2006512273A JP4750020B2 (ja) 2004-03-30 2005-02-14 ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体
PCT/JP2005/002143 WO2005101220A1 (ja) 2004-03-30 2005-02-14 ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体

Publications (2)

Publication Number Publication Date
JPWO2005101220A1 JPWO2005101220A1 (ja) 2008-03-06
JP4750020B2 true JP4750020B2 (ja) 2011-08-17

Family

ID=35150179

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006512273A Expired - Fee Related JP4750020B2 (ja) 2004-03-30 2005-02-14 ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体

Country Status (8)

Country Link
US (5) US7712129B2 (ja)
EP (1) EP1732008A4 (ja)
JP (1) JP4750020B2 (ja)
KR (1) KR100968179B1 (ja)
CN (1) CN1965304B (ja)
CA (1) CA2561906C (ja)
TW (1) TWI350095B (ja)
WO (1) WO2005101220A1 (ja)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8468126B2 (en) 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US7917468B2 (en) * 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
CN1965304B (zh) 2004-03-30 2011-06-01 国际商业机器公司 用户认证***、方法、程序以及记录有该程序的记录介质
US20190268430A1 (en) 2005-08-01 2019-08-29 Seven Networks, Llc Targeted notification of content availability to a mobile device
WO2007092715A2 (en) 2006-02-06 2007-08-16 Solidus Networks, Inc. Method and system for providing online authentication utilizing biometric data
US20080066158A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Authorization Decisions with Principal Attributes
US8095969B2 (en) 2006-09-08 2012-01-10 Microsoft Corporation Security assertion revocation
US20080065899A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Variable Expressions in Security Assertions
US8201215B2 (en) 2006-09-08 2012-06-12 Microsoft Corporation Controlling the delegation of rights
US8060931B2 (en) 2006-09-08 2011-11-15 Microsoft Corporation Security authorization queries
US7814534B2 (en) * 2006-09-08 2010-10-12 Microsoft Corporation Auditing authorization decisions
US20080066169A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Fact Qualifiers in Security Scenarios
US20080066147A1 (en) * 2006-09-11 2008-03-13 Microsoft Corporation Composable Security Policies
US8656503B2 (en) 2006-09-11 2014-02-18 Microsoft Corporation Security language translations with logic resolution
US8938783B2 (en) * 2006-09-11 2015-01-20 Microsoft Corporation Security language expressions for logic resolution
US9807096B2 (en) * 2014-12-18 2017-10-31 Live Nation Entertainment, Inc. Controlled token distribution to protect against malicious data and resource access
US8220032B2 (en) * 2008-01-29 2012-07-10 International Business Machines Corporation Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
US20090307744A1 (en) * 2008-06-09 2009-12-10 Microsoft Corporation Automating trust establishment and trust management for identity federation
US20100162369A1 (en) * 2008-12-19 2010-06-24 Iomega Corporation Automatically Adding User Names to Server User List
CN101505217B (zh) * 2008-12-31 2011-07-20 成都市华为赛门铁克科技有限公司 一种管理内网主机的方法、装置及***
KR101156087B1 (ko) * 2009-07-28 2012-06-20 인하대학교 산학협력단 다중 서버 환경의 생체인증시스템을 위한 작업량 예측기반 작업 스케줄링 방법
KR101147683B1 (ko) * 2009-10-08 2012-05-22 최운호 생체인식 카드와 csd를 활용한 컨테이너 및 물류추적시스템
JP5355487B2 (ja) * 2010-04-26 2013-11-27 キヤノン株式会社 画像送信装置、画像送信装置の認証方法
EP2698758A1 (en) * 2011-04-12 2014-02-19 Panasonic Corporation Server collaboration system
JP2013037704A (ja) * 2012-09-11 2013-02-21 Fuji Xerox Co Ltd 利用制限管理装置、方法、プログラム
CN102970308B (zh) * 2012-12-21 2016-08-10 北京网康科技有限公司 一种用户认证方法及服务器
JP5429414B2 (ja) * 2013-01-15 2014-02-26 富士通株式会社 識別情報統合管理システム,識別情報統合管理サーバ及び識別情報統合管理プログラム
US20150242597A1 (en) * 2014-02-24 2015-08-27 Google Inc. Transferring authorization from an authenticated device to an unauthenticated device
JP2015194947A (ja) * 2014-03-31 2015-11-05 ソニー株式会社 情報処理装置及びコンピュータプログラム
US10547599B1 (en) * 2015-02-19 2020-01-28 Amazon Technologies, Inc. Multi-factor authentication for managed directories
US9961076B2 (en) * 2015-05-11 2018-05-01 Genesys Telecommunications Laboratoreis, Inc. System and method for identity authentication
CN105141586B (zh) * 2015-07-31 2018-07-10 广州华多网络科技有限公司 一种对用户进行验证的方法和***
US10522154B2 (en) 2017-02-13 2019-12-31 Google Llc Voice signature for user authentication to electronic device
KR101986244B1 (ko) * 2017-10-12 2019-06-05 한국인터넷진흥원 모바일 기기 기반의 생체인식 정보 검증 방법
JP7215234B2 (ja) 2019-03-05 2023-01-31 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
JP7234699B2 (ja) * 2019-03-05 2023-03-08 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
JP7222792B2 (ja) * 2019-04-03 2023-02-15 キヤノン株式会社 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム
CN110210200A (zh) * 2019-05-28 2019-09-06 浪潮商用机器有限公司 服务器智能操作方法、装置、智能服务器及存储介质
US11627138B2 (en) * 2019-10-31 2023-04-11 Microsoft Technology Licensing, Llc Client readiness system
CN111611572B (zh) * 2020-06-28 2022-11-22 支付宝(杭州)信息技术有限公司 一种基于人脸认证的实名认证方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000106552A (ja) * 1998-09-29 2000-04-11 Hitachi Ltd 認証方法
JP2000311138A (ja) * 1999-04-28 2000-11-07 Nec Corp サーバの分散認証システム及び方法
JP2003224562A (ja) * 2002-01-28 2003-08-08 Toshiba Corp 個人認証システム及びプログラム
JP2004032311A (ja) * 2002-06-25 2004-01-29 Nec Corp Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5963915A (en) * 1996-02-21 1999-10-05 Infoseek Corporation Secure, convenient and efficient system and method of performing trans-internet purchase transactions
US7580919B1 (en) * 1997-03-10 2009-08-25 Sonicwall, Inc. Query interface to policy server
US6021496A (en) * 1997-07-07 2000-02-01 International Business Machines Corporation User authentication from non-native server domains in a computer network
US5948064A (en) * 1997-07-07 1999-09-07 International Business Machines Corporation Discovery of authentication server domains in a computer network
EP0956818B1 (en) * 1998-05-11 2004-11-24 Citicorp Development Center, Inc. System and method of biometric smart card user authentication
US6449615B1 (en) * 1998-09-21 2002-09-10 Microsoft Corporation Method and system for maintaining the integrity of links in a computer network
US6832377B1 (en) * 1999-04-05 2004-12-14 Gateway, Inc. Universal registration system
US6697948B1 (en) * 1999-05-05 2004-02-24 Michael O. Rabin Methods and apparatus for protecting information
JP3636948B2 (ja) * 1999-10-05 2005-04-06 株式会社日立製作所 ネットワークシステム
EP1104133A1 (en) * 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Network access arrangement
US20010020231A1 (en) * 2000-04-24 2001-09-06 Desktopdollars.Com Marketing System and Method
AU2002221266A1 (en) * 2000-10-03 2002-04-15 Omtool, Ltd Electronically verified digital signature and document delivery system and method
US7362868B2 (en) * 2000-10-20 2008-04-22 Eruces, Inc. Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US8117254B2 (en) * 2000-12-15 2012-02-14 Microsoft Corporation User name mapping in a heterogeneous network
US7941669B2 (en) 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
US6959336B2 (en) 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets
US20020194499A1 (en) * 2001-06-15 2002-12-19 Audebert Yves Louis Gabriel Method, system and apparatus for a portable transaction device
GB2378010A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Mulit-Domain authorisation and authentication
US7530099B2 (en) * 2001-09-27 2009-05-05 International Business Machines Corporation Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US7584262B1 (en) * 2002-02-11 2009-09-01 Extreme Networks Method of and system for allocating resources to resource requests based on application of persistence policies
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US20040002878A1 (en) * 2002-06-28 2004-01-01 International Business Machines Corporation Method and system for user-determined authentication in a federated environment
US7328237B1 (en) * 2002-07-25 2008-02-05 Cisco Technology, Inc. Technique for improving load balancing of traffic in a data network using source-side related information
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
JP2004070416A (ja) * 2002-08-01 2004-03-04 Ricoh Co Ltd ネットワークシステムにおけるユーザ認証方法及びシステム
US7249177B1 (en) * 2002-11-27 2007-07-24 Sprint Communications Company L.P. Biometric authentication of a client network connection
US7599959B2 (en) * 2002-12-02 2009-10-06 Sap Ag Centralized access and management for multiple, disparate data repositories
US7219154B2 (en) * 2002-12-31 2007-05-15 International Business Machines Corporation Method and system for consolidated sign-off in a heterogeneous federated environment
US20040162996A1 (en) * 2003-02-18 2004-08-19 Nortel Networks Limited Distributed security for industrial networks
US8244841B2 (en) * 2003-04-09 2012-08-14 Microsoft Corporation Method and system for implementing group policy operations
US7640324B2 (en) * 2003-04-15 2009-12-29 Microsoft Corporation Small-scale secured computer network group without centralized management
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
WO2005003907A2 (en) * 2003-06-26 2005-01-13 Ebay Inc. Method and apparatus to authenticate and authorize user access to a system
US7346923B2 (en) * 2003-11-21 2008-03-18 International Business Machines Corporation Federated identity management within a distributed portal server
US7849320B2 (en) * 2003-11-25 2010-12-07 Hewlett-Packard Development Company, L.P. Method and system for establishing a consistent password policy
CN1965304B (zh) 2004-03-30 2011-06-01 国际商业机器公司 用户认证***、方法、程序以及记录有该程序的记录介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000106552A (ja) * 1998-09-29 2000-04-11 Hitachi Ltd 認証方法
JP2000311138A (ja) * 1999-04-28 2000-11-07 Nec Corp サーバの分散認証システム及び方法
JP2003224562A (ja) * 2002-01-28 2003-08-08 Toshiba Corp 個人認証システム及びプログラム
JP2004032311A (ja) * 2002-06-25 2004-01-29 Nec Corp Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム

Also Published As

Publication number Publication date
TWI350095B (en) 2011-10-01
US9584548B2 (en) 2017-02-28
KR20070014124A (ko) 2007-01-31
EP1732008A1 (en) 2006-12-13
CN1965304A (zh) 2007-05-16
TW200610351A (en) 2006-03-16
US8839393B2 (en) 2014-09-16
US20100212000A1 (en) 2010-08-19
US20160142444A1 (en) 2016-05-19
CA2561906A1 (en) 2005-10-27
US20130305313A1 (en) 2013-11-14
EP1732008A4 (en) 2010-05-26
CN1965304B (zh) 2011-06-01
US20140366083A1 (en) 2014-12-11
WO2005101220A1 (ja) 2005-10-27
US7712129B2 (en) 2010-05-04
US9253217B2 (en) 2016-02-02
JPWO2005101220A1 (ja) 2008-03-06
KR100968179B1 (ko) 2010-07-07
US8689302B2 (en) 2014-04-01
CA2561906C (en) 2014-03-25
US20070199059A1 (en) 2007-08-23

Similar Documents

Publication Publication Date Title
JP4750020B2 (ja) ユーザ認証のためのシステム、方法、およびプログラムならびに該プログラムを記録した記録媒体
JP6682254B2 (ja) 認証連携システム及び認証連携方法、認可サーバー及びプログラム
EP2441208B1 (en) Access control to secured application features using client trust levels
US8418234B2 (en) Authentication of a principal in a federation
JP6056384B2 (ja) システム及びサービス提供装置
JP5264775B2 (ja) デジタルアイデンティティ表現のプロビジョニング
US9432355B2 (en) Single sign-on method in multi-application framework
JP4543322B2 (ja) 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム
US9185102B2 (en) Server system and control method
JP2009514262A (ja) 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム
US8806195B2 (en) User interface generation in view of constraints of a certificate profile
US20160359849A1 (en) Service provision system, information processing system, information processing apparatus, and service provision method
US20110173688A1 (en) Information processing apparatus and method
JP2013250612A (ja) 連携システム、その連携方法、情報処理システム、およびそのプログラム。
JP6237868B2 (ja) クラウドサービス提供システム及びクラウドサービス提供方法
JP6128958B2 (ja) 情報処理サーバーシステム、制御方法、およびプログラム
Rehman Get Ready for OpenID: A Comprehensive Guide to OpenID Protocol and Running OpenID Enabled Web Sites
WO2022259315A1 (ja) 登録申請支援システム及び登録申請支援方法
JP5460493B2 (ja) 認証システム及び認証基盤装置及び認証プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090728

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110405

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110510

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110518

R150 Certificate of patent or registration of utility model

Ref document number: 4750020

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140527

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees