JP4867486B2 - 制御プログラムおよび通信システム - Google Patents
制御プログラムおよび通信システム Download PDFInfo
- Publication number
- JP4867486B2 JP4867486B2 JP2006162261A JP2006162261A JP4867486B2 JP 4867486 B2 JP4867486 B2 JP 4867486B2 JP 2006162261 A JP2006162261 A JP 2006162261A JP 2006162261 A JP2006162261 A JP 2006162261A JP 4867486 B2 JP4867486 B2 JP 4867486B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- resource
- terminal
- server
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、制御プログラムおよび通信システムに関する。
ユーザが最初に一度認証を受けると、その認証で許可された全ての機能を利用できるようにするSSO(Single Sign-On)システムが提案されている。このシステムは、例えば、特許文献1に記載された構成で実現でき、あるサーバへの接続に際し認証、別のサーバへの接続に際し認証…といった認証操作を複数回繰り返す煩わしさを解消させることができる。
学校、企業等において、ネットワークシステムを運用する場合には、セキュリティを強化するために、内部ネットワークと外部ネットワーク(例えば、インターネット)との境に、内部ネットワークのコンピュータの代理として外部ネットワークへ接続を行うプロキシサーバが設けられる。このプロキシサーバは、外部ネットワーク上のサーバを、内部ネットワークから利用することを目的とし、特に、フォワードプロキシと呼ばれることもある。
これに対しリバースプロキシは、フォワードプロキシが内部ネットワークから外部ネットワークへの接続を中継するのとは逆に、外部ネットワークから内部ネットワークへの接続を中継する。なお、リバースプロキシの用途は、外部ネットワークから内部ネットワークへの接続に限らず、同一のネットワーク内で用いられることも少なくない。
特開2005−267529号
SSOシステムの1つに、リバースプロキシを配し、外部ネットワーク側からの接続を集中的に管理ならびに監査するリバースプロキシ型のSSOシステムがある。このタイプのシステムでは、WebブラウザからWebサーバに対する全てのリクエストを一旦、このリバースプロキシが受け取り、Webサーバに転送することによって動作することになる。そのため、全てのリクエストがこのリバースプロキシを通過することになるので、リバースプロキシがボトルネックとなり、処理速度や可用性が低下してしまう恐れがある。
リバースプロキシ型のSSOシステムの場合、ブラウザ側からは、コンテンツがすべてリバースプロキシに存在するように見える。このため、リバースプロキシでは、コンテンツ(例えば、HTML(HyperText Markup Language)、スタイルシート(CSS)、クライアントサイドスクリプト言語(Java(登録商標)Script、VBScript)等で構成される)内にリンクなどが設定してある場合、このリンク先のURLに変更が生じるため、これに伴ってコンテンツを書き換える必要がでてくる。これらのコンテンツはユーザが手作業で作成、あるいは、サーバ側へのアクセス時にプログラムが動的に生成したものであるため、構文上正しい保証がなく、往々にして誤りが含まれている。
構文が間違っていれば、書き換えが上手くいかないので、事前に構文チェックをしておく等の、サーバ側での対応が必要になってくるケースがある。このため、任意のサービスをSSOシステムに参加させることが難しい場合が多かった。
また、上述したリバースプロキシ型のSSOシステムの他、Webサーバに認証モジュールを組み込みWebアプリケーション等に至る前に、認証を済ませるエージェント型のSSOシステムも提案されているが、この場合、Webサーバに組み込むことになるため、プラットフォームや種類に依存してしまう。場合によっては、Webサーバ側で大掛かりな対応が必要になってくる。
また、エージェント型のリバースプロキシと呼ばれるタイプのSSOシステムでは一般に、Webサーバ毎に仮想サーバが必要になってくるため、IP(Internet Protocol)アドレスを余計に消費してしまうことになる。
そこで、本発明は上記問題点に鑑みてなされたものであり、プラットフォームへの依存や、コンテンツの書き換えを無くすとともに、パフォーマンスを向上させるようにした制御プログラムおよび通信システムを提供することを目的とする。
上記目的を達成するため、請求項1の制御プログラムの発明は、リソース端末がリソースを記憶し、該リソースにアクセスする際に行う認証処理を該リソース端末とは別の端末に配設されたコンピュータに実行させる制御プログラムであって、該コンピュータは、前記リソース端末の名前を該コンピュータに解決するネームサーバと接続され、ブラウザからの前記リソースに対するリクエストに該リクエストを送信したユーザの認証済みを示す情報が提示されているか否かを判断する判断ステップと、前記判断ステップによる判断の結果、認証済みを示す情報が提示されていない場合に、認証済みであるか否かを確認する確認ステップと、前記確認ステップにより認証済みであることが確認された場合、認証済みを示す情報を前記ブラウザに発行する発行ステップと、前記認証済みを示す情報が提示された場合は、前記ブラウザと前記リソース間のデータ通信を前記ネームサーバを介して中継する中継ステップとを含む。
また、請求項2の発明は、請求項1の発明において、前記確認ステップは、前記コンピュータと接続される特定の端末への問い合わせに基づき認証済みであるか否かの確認を行う。
また、請求項3の発明は、請求項2の発明において、認証済みであることが確認できない場合、該ブラウザからのリクエストを前記特定の端末へリダイレクトすることにより認証を行わせるリダイレクト手段を更に含む。
また、請求項4の発明は、請求項1の発明において、前記データ通信に際して、リソースに対するアクセスの認可を行う認可ステップを更に含む。
また、請求項5の発明は、請求項4の発明において、前記認可ステップは、前記特定の端末への問い合わせに基づき前記認可を行う。
また、請求項6の発明は、請求項1の発明において、別端末へログを出力するログ出力ステップを更に含む。
また、請求項7の通信システムの発明は、第1の端末と、第2の端末と、リソース端末と、ネームサーバとが通信手段を介して接続される通信システムであって、前記リソース端末は、リソースを記憶し、前記ネームサーバは、前記リソース端末の名前を前記第2の端末に解決し、前記第1の端末は、認証情報に基づき認証を行う認証手段と、認可情報に基づきリソースに対するアクセスの認可を行う第1の認可手段とを具備し、前記第2の端末は、ブラウザからの前記リソースに対するリクエストに認証済みを示す情報が提示されているか否かを判断する判断手段と、前記判断手段による判断の結果、認証済みを示す情報が提示されていない場合に、前記認証手段への問合せに基づき認証済みであるか否かを確認する確認手段と、前記確認手段により認証済みであることが確認された場合、認証済みを示す情報を前記ブラウザに発行する発行手段と、前記認証済みを示す情報が提示された場合は、前記第1の認可手段への問い合わせに基づき該リソースに対するアクセスの認可を行う認可手段と、前記認証済みを示す情報が提示された場合は、前記ブラウザと前記リソース間のデータ通信を前記ネームサーバを介して中継する中継手段とを具備するように構成される。
また、請求項8の発明は、請求項7の発明において、前記リソース端末が複数存在し、前記複数のリソース端末に応じて前記第2の端末を一つ以上備えるように構成される。
本発明によれば、リバースプロキシ型のように隘路ができないので、パフォーマンスが向上する。
また、本発明によれば、プラットフォームへの依存や、コンテンツの書き換えがなく、SSOに参加するサーバ端末側での対応が不要であるため、任意のサービスをSSOに参加させることができる。
また、本発明によれば、コンテンツを書き換える必要がないので、性能の劣化を招かない。
以下、この発明に係わる制御プログラムおよび通信システムの実施形態について添付図面を参照して詳細に説明する。
図1は、本発明に係わる通信システムの全体構成の一例を示す図である。
この通信システムは、LAN(Local Area Network)やWAN(Wide Area Network)等で構成されたネットワーク50を介して1または複数台のクライアント端末10と、1または複数台のサービス提供サーバ20と、SSO情報サーバ30と、ログサーバ40とが接続されている。この通信システムでは、SSO情報サーバ30の認証部33と、サービス提供サーバ20内のSSOモジュール21の制御によりSSOが実現される。すなわち、この認証部33において、1度認証が有効に行われると、Webブラウザ11、SSOモジュール21、認証部33が協調動作することで、以後、どのサービス提供サーバ20にアクセスしたとしても、ユーザが認証を要求されることはない。なお、この通信システムにおけるネットワーク構成は、あくまで一例であり、ネットワーク50上にはこの他、各種ネットワーク端末が接続されていても良い。
ここで、クライアント端末10には、HTMLコンテンツ等を閲覧するためのアプリケーションとしてWebブラウザ11が備わっており、このWebブラウザ11を用いることでサービス提供サーバ20等とのデータ通信が実現されることになる。
SSO情報サーバ30は、認証情報管理部31において認証情報31aを、認可情報管理部32において認可情報32aを記憶管理するとともに、この認証情報31aに基づき認証を行う認証部33と、この認可情報32aに基づき認可を行う認可部34とを具備して構成される。
サービス提供サーバ20は、HTMLコンテンツ、画像などの各種情報や、Webアプリケーションなどのリソースを保持するWebサーバ22を具備して構成されており、クライアント端末10からのWebブラウザ11を介したhttp(HyperText Transfer Protocol)リクエスト(以下、単にリクエストと略す場合もある)に応じてこれら情報等を提供する。
ここで、Webサーバ22では、Webブラウザ11からのリクエストを直接受信することはせず、必ず、SSOモジュール21を介して受信する。また、このリクエストに対するWebサーバ22からの応答もこのSSOモジュール21を介してWebブラウザ11へ返送することになる。すなわち、クライアント端末10とWebサーバ22間のデータ通信は、必ずSSOモジュール21を中継して行われることになり、このSSOモジュール21とWebサーバとが同一サーバ内に配置されているため、コンテンツの書き換えを行う必要がなくなる。
また、SSOモジュール21では、SSO情報サーバ30と連携し、認証、認可を行うことになるが、このときの処理内容を示すログをログサーバ40へ出力する。このログサーバ40へ出力されたログは、ログサーバ40のログ管理部41において、記憶管理されることになる。
このログサーバ40においては、各サービス提供サーバ20から送られてくるログ41aを一元して管理するため、保守、保全の面でも使い勝手が良いといえる。また、SSOモジュール21から切り離してログが管理されることになるため、万一SSOモジュール21が配置されたサーバが不正アクセスされたとしても、侵入者がログを削除あるいは改竄して形跡を隠す脅威を軽減することができる。なお、このログサーバ40に改竄検知機能を組み込んでもよい。また、ログサーバ40は、1台でなく複数台配してもよく、その場合、可用性の向上や改竄防止を見込める。
次に、図2を用いて、この図1に示すサービス提供サーバ20の機能的な構成の一部について説明する。
サービス提供サーバ20は、その機能構成として大きく、SSOモジュール21と、Webサーバ22とに分けられ、ここで、SSOモジュール21内部には、各種処理機能部として、ネットワーク通信部61と、制御部62と、認証部63と、認可部64と、ログ出力部65と、Webサーバ通信部66とが備えられる。
ネットワーク通信部61は、ネットワーク50上の各端末からの通信を司る機能を果たす。すなわち、Webサーバ22に対するネットワーク50からのリクエストを、このネットワーク通信部61において受け付け、これをWebサーバ22へ中継することになる。
制御部62は、SSOモジュール21の動作を統括制御する。すなわち、このSSOモジュール21を構成する各種処理機能は、この制御部62からの指示に従って動作する。また、制御部62は、各処理機能部間で発生するデータの入出力を制御する。
認証部63は、SSO情報サーバ30の認証部33と連携することで、認証処理を実行する機能を果たす。この認証部63における認証処理の詳細については、後述する図4および図5を用いて説明することとする。
認可部64は、認証後、ユーザから指定されたリソースへのアクセスを許可するか否かの認可を行う機能を果たす。この認可は、SSO情報サーバ30への問い合わせに基づき行われる。なお、この認可は従来からの一般的な方法で実現でき、例えば、リソースの特定には、リクエストが指し示すホスト、パス、拡張子などを参照することで行える。SSO情報サーバ30との通信がボトルネックにならないように認可結果をキャッシュするようにしてもよい。この認可部64における認可処理の詳細については、後述する図6を用いて説明することとする。
ログ出力部65は、SSOモジュール21においてなされた処理、特に、認証や、認可に関する処理内容を示すログを作成し、それを出力する機能を果たす。なお、Webサーバ22間とのデータ通信等に関するログなども作成ならびに出力するようにしてもよく、認証、認可に関するログだけに限られず、幅広くログを採るようにしてもよい。
Webサーバ通信部66は、Webサーバ22との通信を司る機能を果たす。すなわち、Webサーバ通信部66では、Webブラウザ11からのリクエスト等を、Webサーバ22へ転送することになる。このとき、Webサーバ22側へは、Cookieを含むhttpリクエストヘッダでユーザの識別情報等を渡すことになる。ここで、このhttpリクエストヘッダが偽装されていないことを保証するために、このヘッダにメッセージ認証子やデジタル署名を付与するように構成してもよい。なお、Webサーバ22側で、ローカルからのリクエストだけを受け付けるように設定しておき、このWebサーバ通信部66以外からのデータ通信を受け付けないようにすることで、SSOモジュール21をバイパスしてWebサーバ22に直接アクセスしたり、IPアドレス偽装攻撃(IP Spoofing)等によって、SSOモジュール21以外からアクセスされる危険を回避することができる。
ここで、図3を用いて、この図1および図2に示す通信システムの動作について説明する。なお、ここでは、サービス提供サーバ20において、Webブラウザ11からのhttpリクエストを受け付けた場合の動作について説明する。
SSOモジュール21のネットワーク通信部61で、Webブラウザ11からのhttpリクエストを受け付けると、この処理は開始される(ステップS101でYES)。この処理が開始されると、まず、認証部63において、このリクエスト送信元のユーザに対する認証が済んでいるか否かを判断する。なお、認証済みであるか否かの判断は、SSO情報サーバ30への問い合わせや、Cookieを参照することで行うことができる。
ここで、未認証であると判断された場合(ステップS102でNO)、認証処理が行われることになるが(ステップS103)、既に認証済みであると判断された場合には(ステップS102でYES)、次に、認可部64において、リソースに対するアクセスを許可するか否かを判断する認可処理が行われる(ステップS104)。なお、このステップS103における認証処理、ステップS104における認可処理の詳細については後述する。
この認可処理の結果、当該リソースに対するアクセス権がないと判断された場合には(ステップS105でNO)、アクセス権が無い旨をユーザに伝えるなどしてこの処理を終了することになるが、アクセス権があると判断された場合には(ステップS105でYES)、SSOモジュール21のWebサーバ通信部66では、Webブラウザ11からのリクエストを、Webサーバ22へ転送する(ステップS106)。
このリクエストの転送を受けたWebサーバ22では、当該リクエストに応じてWebアプリケーション等を実行するとともに、その結果をWebサーバ通信部66へと返す(ステップS107)。これを受けたWebサーバ通信部66では、この応答をネットワーク通信部61に伝え、そこからさらにWebブラウザ11へと転送し(ステップS108)、この処理は終了することになる。
次に、図4を用いて、図3のステップS103における認証処理の流れについて説明する。図4には、図1および図2に示す通信システムにおける認証処理の流れの一例を示すシーケンス図が示されており、ここでは、ユーザ認証前の処理の流れについて説明する。
Webブラウザ11からのhttpリクエストが送られてくると(ステップS201)、SSOモジュール21では、まず、認証部63において、リクエスト送信元のWebブラウザ11との間にセッションが存在するか否かを判断する。ここでは、初回のアクセスであるため、セッションは存在しない(ステップS202)。そのため、認証部63は、SSO情報サーバ30へのリダイレクトをWebブラウザ11に指示する(ステップS203)。このとき、Webブラウザ11へは、リダイレクト先であるSSO情報サーバ30のURLとともに、戻り先であるサービス提供サーバ20のURLを含む情報が送られる。
Webブラウザ11は、リダイレクトに従って自動的に、SSO情報サーバ30へアクセスする(ステップS204)。このSSO情報サーバ30へのアクセスは、リダイレクトによって行われるため、ユーザが特段の操作を行う必要はない。
SSO情報サーバ30では、Webブラウザ11からのリクエストを受けると、この時点では、Webブラウザ11との間にセッションがないため(ステップS205)、新規にセッションを生成するとともに、Webブラウザ11へ認証画面を送信する(ステップS206)。この認証画面の送信は、認証部33により行われ、認証画面には、アカウントやパスワード等の認証情報を入力するための入力項目が設けられる。
Webブラウザ11上に認証画面が表示され、それに伴ってユーザが認証情報を入力すると(ステップS207)、入力された認証情報がWebブラウザ11からSSO情報サーバ30へと送られる(ステップS208)。すると、SSO情報サーバ30の認証部33において、ユーザ認証が行われる(ステップS209)。この認証は、送られてきた認証情報と、認証情報管理部31で管理された認証情報31aとに基づき行われる。
この認証の結果、認証情報に誤りがあれば、Webブラウザ11には認証失敗が応答され、これを受けたユーザは再度認証を行うか、あるいは処理を終了することになるが、認証が正常に行われると、Webブラウザ11に対してSSO情報サーバ30への第1の認証チケット(Cookie)が発行される(ステップS210)。なお、この第1の認証チケットは、SSO情報サーバ30に対してのみ提示されるため、この第1の認証チケットでは、SSOモジュール21を利用することはできない。
また、この応答では、サービス提供サーバ20のURLが指定され、サービス提供サーバ20へのリダイレクトが指示される(ステップS211)。これは、ユーザのもともとのアクセス先がサービス提供サーバ20であったためである。
このリダイレクトによって、Webブラウザ11は自動的に、サービス提供サーバ20へアクセスする(ステップS212)。SSOモジュール21では、認証部63において、リクエスト送信元のWebブラウザ11との間にセッションが存在するか否かを判断する。ここでは、上述したステップS201におけるアクセスによりセッションが存在しているため、セッションありとなる(ステップS213)。
セッションが存在すると、認証部63は、SSO情報サーバ30の認証部33に対し、ユーザの認証状況を問い合わせる(ステップS214)。この問い合わせの結果、認証済みが返送されると(ステップS215)、この通知を受けた認証部63は、SSOモジュール21のみに有効な第2の認証チケットをWebブラウザ11に対して発行する(ステップS216)。これにより、SSOモジュール21に対する認証が済むことになり、2度目以降のアクセスに際しては、Webブラウザ11が、この第2の認証チケットを提示することで、再度認証が要求されることはない。
認証処理が済むと、SSOモジュール21のログ出力部65では、この上述したSSOモジュール21での認証処理の処理内容を示すログを、ログサーバ40へと送信する(ステップS217)。なお、この図4においては、認証処理が終了した段階でログサーバ40へログを送信することになるが、この認証処理の過程で随時、ログを送信するようにしてもよい。
次に、図5を用いて、図3のステップS103における認証処理の流れについて説明する。図5には、図1および図2に示す通信システムにおける認証処理の流れの一例を示すシーケンス図が示される。この図5に示すシーケンスと、上記図4で説明したシーケンスは、Webブラウザ11とSSO情報サーバ30との間でセッションが存在するか否かと言う点において異なる(図4のステップS205と図5のステップS305)。すなわち、この図5には、ユーザ認証が済んでいる状態で(あるサービス提供サーバ20を利用したため)、別のセッションのないサービス提供サーバ20へアクセスした場合の処理の流れが示される。
Webブラウザ11からのhttpリクエストが送られてくると(ステップS301)、SSOモジュール21では、まず、認証部63において、リクエスト送信元のWebブラウザ11との間にセッションが存在するか否かを判断する。ここでは、当該SSOモジュール21へのアクセスは初めてであるため、セッションは存在しない(ステップS302)。そのため、認証部63は、SSO情報サーバ30へのリダイレクトをWebブラウザ11に指示する(ステップS303)。このとき、Webブラウザ11へは、リダイレクト先であるSSO情報サーバ30のURLとともに、戻り先であるサービス提供サーバ20のURLを含む情報が送られる。
Webブラウザ11は、リダイレクトに従って自動的に、SSO情報サーバ30へアクセスする(ステップS304)。このSSO情報サーバ30へのアクセスは、リダイレクトによって行われるため、ユーザが特段の操作を行う必要はない。
Webブラウザ11とSSO情報サーバ30との間にはセッションが存在し(ステップS305)、また、認証済みであるため、Webブラウザ11からSSO情報サーバ30に対して第1の認証チケットが提示される。SSO情報サーバ30は、Webブラウザ11から第1の認証チケットが提示されたことによって、認証済であることが分かり、改めてユーザの認証を行うことはない。SSO情報サーバ30は、サービス提供サーバ20へのリダイレクトをWebブラウザ11に対して指示する(ステップS306)。
このリダイレクトによって、Webブラウザ11は自動的に、サービス提供サーバ20へアクセスする(ステップS307)。SSOモジュール21では、認証部63において、リクエスト送信元のWebブラウザ11との間にセッションが存在するか否かを判断する。ここでは、上述したステップS301におけるアクセスによりセッションが存在しているため、セッションありとなる(ステップS308)。
セッションが存在すると、認証部63は、SSO情報サーバ30の認証部33に対し、ユーザの認証状況を問い合わせる(ステップS309)。この問い合わせの結果、認証済みが返送されると(ステップS310)、この通知を受けた認証部63は、SSOモジュール21のみに有効な第2の認証チケットをWebブラウザ11に対して発行する(ステップS311)。これにより、当該SSOモジュール21に対する認証が済むことになり、2度目以降のアクセスに際しては、Webブラウザ11が、この第2の認証チケットを提示することで、再度認証が要求されることはない。
認証処理が済むと、SSOモジュール21のログ出力部65では、この上述したSSOモジュール21での認証処理の処理内容を示すログを、ログサーバ40へと送信する(ステップS312)。なお、この図5においては、認証処理が終了した段階でログサーバ40へログを送信することになるが、この認証処理の過程で随時、ログを送信するようにしてもよい。
次に、図6を用いて、図3のステップS104における認可処理の流れについて説明する。図6には、図1および図2に示す通信システムにおける認可処理の流れの一例を示すシーケンス図が示される。
Webブラウザ11からのリソースを指定したhttpリクエストが送られてくると(ステップS401)、SSOモジュール21の認可部64では、当該ユーザによる当該リソースに対するアクセスを許可するか否かの判断を行う。そのため、認可部64においては、まず、SSO情報サーバ30の認可部34に対し、アクセス権を問い合わせることになる(ステップS402)。このとき、SSO情報サーバ30へは当該ユーザのユーザ識別情報とリソース指定情報とを含む情報が送られる。
SSO情報サーバ30の認可部34においては、これら送られてきた情報に基づいて認可処理を行う(ステップS403)。すなわち、送られてきたユーザ識別情報およびリソース指定情報と、認可情報管理部32で管理された認可情報32aとに基づき当該ユーザによる当該リソースに対するアクセスを許可するか否かの判断を行う。
この認可の結果、アクセス権がないならばFALSEが、アクセス権があるならばTRUEが、SSO情報サーバ30からSSOモジュール21へと返され(ステップS404)、これを受けた認可部64では、この結果に基づきリソースに対するアクセスの認可を行う(ステップS405)。
認可処理が済むと、SSOモジュール21のログ出力部65では、この上述したSSOモジュール21での認可処理の処理内容を示すログを、ログサーバ40へと送信する(ステップS406)。なお、この図6においては、認可処理が終了した段階でログサーバ40へログを送信することになるが、この認可処理の過程で随時、ログを送信するようにしてもよい。
以上が本発明の代表的な実施形態の一例であるが、本発明は、上記および図面に示す実施例に限定することなく、その要旨を変更しない範囲内で適宜変形して実施できるものである。
例えば、フォーム認証の場合、SSO情報サーバ30の認証部33を用いず、フォーム認証のページにSSOモジュール21がアカウントとパスワードとを埋める。このとき、SSOモジュール21とWebサーバ22間は、ローカル通信であるため、パスワード等のデータが平文で通信されてもセキュリティの心配はない。
また、SSL(Secure Socket Layer)非対応のWebアプリケーションがある場合、Webアプリケーションとのデータ通信はhttpのままにしておき、クライアント端末10とSSOモジュール21間のデータ通信をhttps(Hypertext Transfer Protocol Security)にするとSSL化にも対応できる。但し、URLのスキーム(コロン「:」の前の部分)の書き換えが伴わないよう、このWebサーバ自身の配下にあるコンテンツのパスが相対で書かれていることを前提とする。
また、SSOモジュール21とWebサーバ22とを別々のマシンへ配置しても良い。これは、DNS(Domain Name System)の設定と組み合わせることで実現できる。例えば、図7に示すように、DNSサーバ70を配し、アクセス先のWebサーバ22の名前が、SSOモジュール21を配置したマシン(管理サーバ80)に解決されるようにすることで、コンテンツの書き換えを回避できる。また、DNSの設定次第では、SSOモジュール21を複数配置することもでき(例えば、サブネットごとにSSOモジュール21を配置する)、この場合、性能上のボトルネックを避けることができる。
また、認証機能を持たないhttp以外のプロトコルであっても、トランスポート層にSSLを用いて相互認証することで対応することができる。
また、この通信システムに、IDS(侵入検知システム)やIPS(侵入防止システム)を組み合わせてセキュリティの強化を図るようにしてもよい。
また、SSOモジュール21の認証部63において、ユーザ認証を行うようにしてもよい。すなわち、これは、上述したSSO情報サーバ30の認証部33の機能を、SSOモジュール21の認証部63に持たせると言うことである。この場合、認証情報31aは、上述した実施例と同様に、SSO情報サーバ30側で記憶管理し、SSO情報サーバ30への問い合わせに基づき認証を行うよう構成することが望ましいが、もちろん、認証情報31aをSSOモジュール21と同一端末上に配するようにしてもよい。なお、認可部64についても、この認証部63と同様の構成で実現してもよい。
また、上記実施例においては、SSOモジュール21に認証部63と認可部64とを設け、認証と認可の両方を行う場合を例に挙げて説明したが、認可は必ずしも行う必要はなく、認可は行わないようにしてもよい。なお、認可を行う場合、コンテンツ単位ではなく、Webアプリケーション全体で設定してもよい。
また、上記実施例においては、SSOモジュール21にログ出力部65を設け、処理内容を示すログを出力する場合を例に挙げて説明したが、このログの出力は必ずしも行う必要はなく、ログの出力を行わないようにしてもよい。
また、上記実施例においては、本発明に係わる通信システムにより処理を実施する場合を説明したが、この処理をコンピュータにインストールされた制御プログラムにより実施するように構成してもよい。なお、この制御プログラムは、ネットワーク等の通信手段により提供することはもちろん、CD−ROM等の記録媒体に格納して提供することも可能である。
本発明の制御プログラムおよび通信システムは、リソースに対する認証処理をコンピュータに実行させる制御プログラムおよび通信システム全般に適用可能である。
10 クライアント端末
11 Webブラウザ
20 サービス提供サーバ
21 SSOモジュール
22 Webサーバ
30 SSO情報サーバ
31 認証情報管理部
31a 認証情報
32 認可情報管理部
32a 認可情報
33 認証部
34 認可部
40 ログサーバ
41 ログ管理部
41a ログ
50 ネットワーク
61 ネットワーク通信部
62 制御部
63 認証部
64 認可部
65 ログ出力部
66 Webサーバ通信部
70 DNSサーバ
80 管理サーバ
11 Webブラウザ
20 サービス提供サーバ
21 SSOモジュール
22 Webサーバ
30 SSO情報サーバ
31 認証情報管理部
31a 認証情報
32 認可情報管理部
32a 認可情報
33 認証部
34 認可部
40 ログサーバ
41 ログ管理部
41a ログ
50 ネットワーク
61 ネットワーク通信部
62 制御部
63 認証部
64 認可部
65 ログ出力部
66 Webサーバ通信部
70 DNSサーバ
80 管理サーバ
Claims (8)
- リソース端末がリソースを記憶し、該リソースにアクセスする際に行う認証処理を該リソース端末とは別の端末に配設されたコンピュータに実行させる制御プログラムであって、
該コンピュータは、前記リソース端末の名前を該コンピュータに解決するネームサーバと接続され、
ブラウザからの前記リソースに対するリクエストに該リクエストを送信したユーザの認証済みを示す情報が提示されているか否かを判断する判断ステップと、
前記判断ステップによる判断の結果、認証済みを示す情報が提示されていない場合に、認証済みであるか否かを確認する確認ステップと、
前記確認ステップにより認証済みであることが確認された場合、認証済みを示す情報を前記ブラウザに発行する発行ステップと、
前記認証済みを示す情報が提示された場合は、前記ブラウザと前記リソース間のデータ通信を前記ネームサーバを介して中継する中継ステップと
を含む制御プログラム。 - 前記確認ステップは、
前記コンピュータと接続される特定の端末への問い合わせに基づき認証済みであるか否かの確認を行う
請求項1記載の制御プログラム。 - 認証済みであることが確認できない場合、前記ブラウザからのリクエストを前記特定の端末へリダイレクトすることにより認証を行わせるリダイレクトステップ
を更に含む請求項2記載の制御プログラム。 - 前記データ通信に際して、リソースに対するアクセスの認可を行う認可ステップ
を更に含む請求項1記載の制御プログラム。 - 前記認可ステップは、
前記特定の端末への問い合わせに基づき前記認可を行う
請求項4記載の制御プログラム。 - 別端末へログを出力するログ出力ステップ
を更に含む請求項1記載の制御プログラム。 - 第1の端末と、第2の端末と、リソース端末と、ネームサーバとが通信手段を介して接続される通信システムであって、
前記リソース端末は、
リソースを記憶し、
前記ネームサーバは、
前記リソース端末の名前を前記第2の端末に解決し、
前記第1の端末は、
認証情報に基づき認証を行う認証手段と、
認可情報に基づきリソースに対するアクセスの認可を行う第1の認可手段と
を具備し、
前記第2の端末は、
ブラウザからの前記リソースに対するリクエストに認証済みを示す情報が提示されているか否かを判断する判断手段と、
前記判断手段による判断の結果、認証済みを示す情報が提示されていない場合に、前記認証手段への問合せに基づき認証済みであるか否かを確認する確認手段と、
前記確認手段により認証済みであることが確認された場合、認証済みを示す情報を前記ブラウザに発行する発行手段と、
前記認証済みを示す情報が提示された場合は、前記第1の認可手段への問い合わせに基づき該リソースに対するアクセスの認可を行う認可手段と、
前記認証済みを示す情報が提示された場合は、前記ブラウザと前記リソース間のデータ通信を前記ネームサーバを介して中継する中継手段と
を具備する通信システム。 - 前記リソース端末が複数存在し、
前記複数のリソース端末に応じて前記第2の端末を一つ以上備える
請求項7記載の通信システム。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006162261A JP4867486B2 (ja) | 2006-06-12 | 2006-06-12 | 制御プログラムおよび通信システム |
| US11/601,825 US20070288634A1 (en) | 2006-06-12 | 2006-11-20 | Computer readable recording medium storing control program, communication system and computer data signal embedded in carrier wave |
| CN200710006922.3A CN101090319B (zh) | 2006-06-12 | 2007-01-30 | 控制装置、通信***及存储有控制程序的计算机可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006162261A JP4867486B2 (ja) | 2006-06-12 | 2006-06-12 | 制御プログラムおよび通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007334411A JP2007334411A (ja) | 2007-12-27 |
| JP4867486B2 true JP4867486B2 (ja) | 2012-02-01 |
Family
ID=38823238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006162261A Expired - Fee Related JP4867486B2 (ja) | 2006-06-12 | 2006-06-12 | 制御プログラムおよび通信システム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070288634A1 (ja) |
| JP (1) | JP4867486B2 (ja) |
| CN (1) | CN101090319B (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005080523A (ja) * | 2003-09-05 | 2005-03-31 | Sony Corp | 生体遺伝子に導入するdna、遺伝子導入ベクター、細胞、生体遺伝子への情報導入方法、情報処理装置および方法、記録媒体、並びにプログラム |
| US7647404B2 (en) * | 2007-01-31 | 2010-01-12 | Edge Technologies, Inc. | Method of authentication processing during a single sign on transaction via a content transform proxy service |
| US9800614B2 (en) * | 2007-05-23 | 2017-10-24 | International Business Machines Corporation | Method and system for global logoff from a web-based point of contact server |
| US8627493B1 (en) * | 2008-01-08 | 2014-01-07 | Juniper Networks, Inc. | Single sign-on for network applications |
| US20100043065A1 (en) * | 2008-08-12 | 2010-02-18 | International Business Machines Corporation | Single sign-on for web applications |
| WO2011089712A1 (ja) * | 2010-01-22 | 2011-07-28 | 富士通株式会社 | 認証方法、認証システムおよび認証プログラム |
| CN102065141B (zh) * | 2010-12-27 | 2014-05-07 | 广州欢网科技有限责任公司 | 一种跨应用与浏览器实现单点登录的方法及*** |
| JP5962261B2 (ja) * | 2012-07-02 | 2016-08-03 | 富士ゼロックス株式会社 | 中継装置 |
| US8769651B2 (en) * | 2012-09-19 | 2014-07-01 | Secureauth Corporation | Mobile multifactor single-sign-on authentication |
| JP6311214B2 (ja) * | 2013-01-30 | 2018-04-18 | 富士通株式会社 | アプリケーション認証プログラム、認証サーバ、端末およびアプリケーション認証方法 |
| DE202014011530U1 (de) * | 2013-12-27 | 2021-12-17 | Abbott Diabetes Care, Inc. | Systeme und Vorrichtungen zur Authentifizierung in einer Analytüberwachungsumgebung |
| US20160352731A1 (en) * | 2014-05-13 | 2016-12-01 | Hewlett Packard Enterprise Development Lp | Network access control at controller |
| CN106209913B (zh) * | 2016-08-30 | 2019-07-23 | 江苏天联信息科技发展有限公司 | 数据访问方法及装置 |
| CN109492375B (zh) * | 2018-11-01 | 2021-07-16 | 北京京航计算通讯研究所 | 基于java中间件集成模式的sap erp单点登录*** |
| JP2021043675A (ja) * | 2019-09-10 | 2021-03-18 | 富士通株式会社 | 制御方法、制御プログラム、情報処理装置及び情報処理システム |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09266475A (ja) * | 1996-03-28 | 1997-10-07 | Hitachi Ltd | アドレス情報管理装置およびネットワークシステム |
| JPH11282804A (ja) * | 1998-03-31 | 1999-10-15 | Secom Joho System Kk | ユーザ認証機能付き通信システム及びユーザ認証方法 |
| US7134137B2 (en) * | 2000-07-10 | 2006-11-07 | Oracle International Corporation | Providing data to applications from an access system |
| US7421731B2 (en) * | 2001-02-23 | 2008-09-02 | Microsoft Corporation | Transparent authentication using an authentication server |
| US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| CN100456712C (zh) * | 2001-12-30 | 2009-01-28 | 华为技术有限公司 | 互联网内容付费的实现方法 |
| JP2003296277A (ja) * | 2002-03-29 | 2003-10-17 | Fuji Xerox Co Ltd | ネットワーク装置、認証サーバ、ネットワークシステム、認証方法 |
| KR100470303B1 (ko) * | 2002-04-23 | 2005-02-05 | 에스케이 텔레콤주식회사 | 공중 무선 근거리 통신망에서 이동성을 갖는 인증 시스템및 방법 |
| EP1552414A4 (en) * | 2002-06-10 | 2010-11-24 | Akonix Systems Inc | SYSTEM AND METHOD FOR A PROTOCOL GATEWAY |
| US20040002878A1 (en) * | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
| CN1212716C (zh) * | 2002-07-16 | 2005-07-27 | 北京创原天地科技有限公司 | 因特网上不同应用***间用户认证信息共享的方法 |
| JP2004112018A (ja) * | 2002-09-13 | 2004-04-08 | Johnson Controls Inc | インターネットアクセスWeb監視制御システム |
| JP4305146B2 (ja) * | 2003-11-27 | 2009-07-29 | 富士ゼロックス株式会社 | 通信制御装置、アプリケーションサーバ、およびプログラム |
| CN1627683A (zh) * | 2003-12-09 | 2005-06-15 | 鸿富锦精密工业(深圳)有限公司 | 单一认证授权管理***及方法 |
| JP2005267529A (ja) * | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 |
-
2006
- 2006-06-12 JP JP2006162261A patent/JP4867486B2/ja not_active Expired - Fee Related
- 2006-11-20 US US11/601,825 patent/US20070288634A1/en not_active Abandoned
-
2007
- 2007-01-30 CN CN200710006922.3A patent/CN101090319B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101090319A (zh) | 2007-12-19 |
| CN101090319B (zh) | 2013-01-02 |
| JP2007334411A (ja) | 2007-12-27 |
| US20070288634A1 (en) | 2007-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4867486B2 (ja) | 制御プログラムおよび通信システム | |
| JP4882546B2 (ja) | 情報処理システムおよび制御プログラム | |
| KR100856674B1 (ko) | 클라이언트 서버 환경에서 클라이언트를 인증하는 시스템및 방법 | |
| US8850017B2 (en) | Brokering state information and identity among user agents, origin servers, and proxies | |
| CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| JP4867482B2 (ja) | 制御プログラムおよび通信システム | |
| JP5030967B2 (ja) | 認証方法を拡張するための方法及びシステム | |
| CN100544361C (zh) | 用于管理会话标识符的方法和设备 | |
| EP1216533B1 (en) | Multi-domain access control | |
| US8640202B2 (en) | Synchronizing user sessions in a session environment having multiple web services | |
| EP2347559B1 (en) | Service access control | |
| JP2005538434A (ja) | 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム | |
| US8769128B2 (en) | Method for extranet security | |
| US20020091757A1 (en) | Method and apparatus for processing requests in a network data processing system based on a trust association between servers | |
| US20020069366A1 (en) | Tunnel mechanis for providing selective external access to firewall protected devices | |
| WO2009158019A1 (en) | Method and service integration platform system for providing internet services | |
| JPH11282804A (ja) | ユーザ認証機能付き通信システム及びユーザ認証方法 | |
| JP2007293760A (ja) | 個別認証を用いたシングルサインオン連携方法およびシステム | |
| JP2000057112A (ja) | ネットワーク上で遠隔手続き呼び出しを実行するための方法、及び、遠隔手続き呼び出しを実行可能なネットワーク・システム | |
| US20030028646A1 (en) | Method of establishing a secure data connection | |
| WO2012017561A1 (ja) | 仲介処理方法、仲介装置及びシステム | |
| JP2007257500A (ja) | 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット | |
| JP4573559B2 (ja) | 分散認証システム、負荷分散装置及び認証サーバ、並びに負荷分散プログラム及び認証プログラム | |
| CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和*** | |
| JP2005157822A (ja) | 通信制御装置、アプリケーションサーバ、通信制御方法、およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090210 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110729 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110802 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110928 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111018 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111031 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4867486 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141125 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees | ||
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R370 | Written measure of declining of transfer procedure |
Free format text: JAPANESE INTERMEDIATE CODE: R370 |