KR100968179B1 - 사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체 - Google Patents

사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체 Download PDF

Info

Publication number
KR100968179B1
KR100968179B1 KR1020067016914A KR20067016914A KR100968179B1 KR 100968179 B1 KR100968179 B1 KR 100968179B1 KR 1020067016914 A KR1020067016914 A KR 1020067016914A KR 20067016914 A KR20067016914 A KR 20067016914A KR 100968179 B1 KR100968179 B1 KR 100968179B1
Authority
KR
South Korea
Prior art keywords
server
authentication
user
authentication policy
authentication information
Prior art date
Application number
KR1020067016914A
Other languages
English (en)
Other versions
KR20070014124A (ko
Inventor
마사히로 다케히
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20070014124A publication Critical patent/KR20070014124A/ko
Application granted granted Critical
Publication of KR100968179B1 publication Critical patent/KR100968179B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Tires In General (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 보다 편리성이 높은 사용자 인증을 실현하는 것을 목적으로 한다.
상호 신뢰 관계가 확립된 복수의 서버를 포함하는 컴퓨팅 환경에 대한 사용자 인증을 행하기 위한 시스템으로서, 복수의 서버 중 적어도 하나의 인증 정책을 등록한 인증 정책 테이블과, 사용자로부터 인증 정보를 받는 수단과, 인증 정책 테이블을 이용하여, 복수의 서버로부터 인증 정보와 적합한 인증 정책을 채용하는 서버를 적어도 하나 특정하는 수단과, 서버를 특정하는 수단에 의해 특정된 서버의 인증 기구에, 인증 정보를 이용하여 사용자 인증을 행하도록 명령하는 신호를 송신하는 수단과, 사용자 인증이 성공한 것을 조건으로 하여, 사용자의 컴퓨팅 환경에의 액세스를 허가하는 수단을 구비한 시스템이 제공된다.

Description

사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체{USER AUTHENTICATION METHOD, SYSTEM, AND RECORDING MEDIUM CONTAINING THE PROGRAM}
본 발명은 일반적으로는 사용자 인증 기술에 관한 것으로서, 보다 상세하게는, 연방화된(federated) 컴퓨팅 환경에서 사용자를 인증하는 시스템, 방법 및 프로그램에 관한 것이다.
최근, 많은 컴퓨터 관련 기업은 인터넷 기술을 이용하여 비즈니스 거래를 자동화하기 위해 웹 서비스 관련 기술의 개발을 진행시키고 있다. 웹 서비스는 복수의 기업 시스템 사이에서의 전자 상거래의 효율화를 실현하는 것을 목적의 하나로 한다. 보다 상세하게는, 웹 서비스는 웹 베이스의 애플리케이션 프로그램이 자동으로 관련되는 다른 애플리케이션 프로그램을 찾아내는 것으로써 복수의 기업 시스템 간의 링크를 실현하는 구조를 제공한다.
그와 같은 웹 서비스를 위한 시큐러티 사양인 "WS-Security"가 인터내셔널 비즈니스 머신즈 코퍼레이션, 마이크로 소프트 코퍼레이션 및 베리사인 잉크에 의해서 공개되었다(비 특허 문헌 1). "WS-Security"에서는 상호 신뢰 관계가 확립된 복수의 서버를 포함하는 연방화된 컴퓨팅 환경에서 싱글 사인온을 실현하는 구조를 정의하고 있다. 여기서, 「신뢰 관계」란, 2 이상의 서버 중 어느 하나의 인증 시스템에 있어서 사용자 인증에 성공한 것을 가지고, 다른 서버에 대해서도 그 사용자를 인증되었다고 하여 취급하는 경우의 상기 2 이상의 서버 사이의 관계를 말한다. 또, 전술한 연방화의 사양의 일례는 "WS-Federation"으로서 공개되어 있다(비 특허 문헌 2).
배경 기술에서는, 사용자는 복수의 서버를 포함하는 연방화된 컴퓨팅 환경을 이용하고자 하는 경우, 시큐러티 토큰을 취득하기 위해 복수의 서버 중 어느 하나의 서버의 인증 시스템을 사용하여 사용자 인증을 행한다. 다음에, 취득한 시큐러티 토큰을 포함하는 SOAP(Simple Object Access Protocol) 메시지에 서명을 한 후에, 웹 서비스를 제공하는 서버로 그 SOAP 메시지를 송신한다. SOAP 메시지를 수신한 서버는 그 SOAP 메시지에 포함되는 시큐러티 토큰을 검증하여, 검증에 성공한 것에 따라, 사용자에 대해 서비스를 회신한다.
상기한 "WS-Security"의 사양이 정식으로 수리되어, 제품으로서 실장됨으로써 보급되면, 기업 간 시스템의 심리스인 링크가 가속되어, 예컨대, 다수의 기업 시스템이 참가하는 대규모의 서플라이 체인 시스템을 실현할 수 있을 것이다.
비 특허 문헌 1: 마루야마 히로시 외 저, 「Web Service Security (WS-Security)」, 2002년 4월 5일, 인터내셔널 비즈니스 머신즈 코퍼레이션/마이크로 소프트 코퍼레이션/베리사인 잉크 발행
비 특허 문헌 2: 마루야마 히로시 외 저, 「Web Service Federation Language(WS-Federation)」, 2003년 7월 8일, 인터내셔널 비즈니스 머신즈 코퍼레 이션/마이크로 소프트 코퍼레이션/베리사인 잉크 발행
연방화된 컴퓨팅 환경에서, 모든 서버의 인증 시스템이 동일한 인증 정책[인증 정책은 지문 인증, 성문 인증 그 밖의 인증 형식이나 개개의 인증 형식에 있어서의 규약(문자수, 유효 기한, 데이터 사이즈 기타) 및 이들의 편성을 포함하는 사용자 인증의 형식의 모두를 포함하는 개념]을 채용하고 있는 것이라면, 사용자는 동일한 인증 정보를 등록하는 것으로, 어느 쪽 서버의 인증 시스템을 자기가 사용하고 있는 것인지를 의식하지 않고, 자기의「유일한」인증 정보를 사용하여 사용자 인증을 행하여, 연방화된 컴퓨팅 환경을 이용할 수 있을 것이다.
그러나, 연방화된 컴퓨팅 환경에 포함되는 복수의 서버 인증 시스템은 각각 다른 인증 정책을 채용하는 것이 많다. 왜냐하면, 연방화된 컴퓨팅 환경은 독립적으로 운용될 수 있는 복수의 시스템이 참가하는 것이 예정되어 있기 때문이다. 그와 같은 성질에 기인하여 연방화된 컴퓨팅 환경에 포함되는 제1 서버와 제2 서버가 다른 인증 정책을 채용하고 있는 경우, 사용자는 제1 서버와 제2 서버 각각에 대하여, 다른 인증 정책에 적합한 인증 정보를 설정하는 것이 된다.
이러한 컴퓨팅 환경에서는 사용자는 서버의 인증 시스템과 인증 정보의 대응을 기억한 후에, 지금 자기가 어떤 인증 시스템에서 인증을 시도하고 있는지를 정확히 의식하여 상기 인증 시스템에 대응하는 인증 정보를 입력하는 것을 강요받는다. 연방화된 컴퓨팅 환경에 참가하는 서버의 증가에 비례하여, 사용자가 기억하여야 할 인증 정보의 수도 증가하므로, 이 오퍼레이션은 사용자의 큰 부담이 될 가능성이 있다.
그래서 본 발명은 상기의 과제를 해결할 수 있는 인증 시스템, 인증 방법, 인증 프로그램을 제공하는 것을 목적으로 한다.
상기 과제를 해결하기 위해, 본 발명의 제1 형태에 의하면, 상호 신뢰 관계가 확립된 복수의 서버를 포함하는 컴퓨팅 환경에 대한 사용자 인증을 행하기 위한 시스템으로서, 복수의 서버 중 적어도 하나의 인증 정책을 등록한 인증 정책 테이블과, 사용자로부터 인증 정보를 받는 수단과, 인증 정책 테이블을 이용하여, 복수의 서버로부터 인증 정보와 적합한 인증 정책을 채용하는 서버를 적어도 하나 특정하는 수단과, 서버를 특정하는 수단에 의해 특정된 서버의 인증 기구에, 인증 정보를 이용하여 사용자 인증을 행하도록 명령하는 신호를 송신하는 수단과, 사용자 인증이 성공한 것을 조건으로 하여, 사용자의 컴퓨팅 환경에의 액세스를 허가하는 수단을 구비한 것인 시스템이 제공된다.
또한, 본 발명의 제2 형태에 의하면, 상호 신뢰 관계가 확립된 복수의 서버를 포함하는 컴퓨팅 환경에서의 방법으로서, 복수의 서버 중 적어도 하나의 인증 정책을 등록한 인증 정책 테이블을 적어도 하나 유지하고, 사용자로부터 인증 정보를 받는 단계와, 인증 정책 테이블을 이용하여, 복수의 서버로부터 인증 정보와 적합한 인증 정책을 채용하는 서버를 적어도 하나 특정하는 단계와, 서버를 특정하는 단계에서 특정된 서버의 인증 기구에, 인증 정보를 이용하여 사용자 인증을 하도록 명령하는 신호를 송신하는 단계와, 사용자 인증이 성공한 것을 조건으로 하여, 컴퓨팅 환경에의 액세스가 허가되는 단계를 포함하는 것인 방법이 제공된다.
또한, 본 발명의 제3의 형태에 따르면, 상호 신뢰 관계가 확립된 복수의 서버를 포함하는 컴퓨팅 환경에서의 프로그램으로서, 복수의 서버는 적어도 하나의 인증 정책을 등록한 인증 정책 테이블을 적어도 하나 유지하며, 인증 프로그램은, 사용자로부터 인증 정보를 받는 단계와, 인증 정책 테이블을 이용하여, 복수의 서버로부터 인증 정보와 적합한 인증 정책을 채용하는 서버를 적어도 하나 특정하는 단계와, 서버를 특정하는 단계에서 특정된 서버의 인증 기구에, 인증 정보를 이용하여 사용자 인증을 하도록 명령하는 신호를 송신하는 단계와, 사용자 인증이 성공한 것을 조건으로 하여, 컴퓨팅 환경에의 액세스가 허가되는 단계를 컴퓨터로 하여금 실행시키는 것인 프로그램이 제공된다.
또한, 본 발명의 제4 형태로서, 상술한 프로그램을 기록한 컴퓨터 판독 가능한 기억 매체와 같은 컴퓨터 프로그램 제품이 제공된다.
도 1은 본 발명의 실시 형태의 연방화된 컴퓨팅 환경(100)의 시스템 구성의 일례를 도시한 개념도.
도 2는 본 발명의 실시 형태에 있어서의 서버(300)의 기능 블록도.
도 3은 본 발명의 실시 형태에 있어서의 서버 사이의 신뢰 관계를 확립하는 동작 흐름을 도시한 흐름도.
도 4는 본 발명의 실시 형태에 있어서의 신규 사용자 인증 정보의 등록의 동작 흐름을 도시한 흐름도.
도 5는 본 발명의 실시 형태에 있어서의 사용자 인증의 동작 흐름을 도시한 흐름도.
도 6은 본 발명의 실시 형태에 있어서의 예외 ID 등록 확인 화면의 이미지를 도시한 도면.
도 7은 본 발명의 실시 형태에 있어서의 인증 모드 선택 화면의 이미지를 도시한 도면.
도 8은 본 발명의 실시 형태에 있어서의 인증 정보 입력 화면의 이미지를 도시한 도면.
도 9는 본 발명의 실시 형태에 있어서의 인증 정책 테이블(324)의 일례를 도시한 개념도.
도 10은 본 발명의 실시 형태에 있어서의 예외 ID 테이블(325)의 일례를 도시한 개념도.
도 11은 본 발명의 실시 형태에 있어서의 서버(300)로서 기능하는 컴퓨터의 하드웨어 구성의 일례를 도시한 도면.
이하, 본 발명을 실시하기 위한 최선의 형태를 도면에 기초하여 상세하게 설명한다. 또한, 본 발명은 많은 다른 형태로 실시하는 것이 가능하고, 실시 형태의 기재 내용에 한정하여 해석되는 것이 아니며, 또한 실시 형태 중에서 설명되고 있는 특징의 편성의 전부가 발명의 해결 수단에 필수적이라고는 한정하지 않는다는 점을 유의하기 바란다. 또한, 실시 형태의 설명의 전체를 통해 동일한 요소에는 동일한 번호를 부여하고 있다.
이하의 실시 형태에서는, 주로 방법 및 시스템에 대해 설명하지만, 당업자 라면 밝힌 바와 같이, 본 발명은 컴퓨터에서 사용 가능한 프로그램으로서 실시할 수 있다. 따라서, 본 발명은 하드웨어로서의 실시 형태, 소프트웨어로서의 실시 형태 또는 소프트웨어와 하드웨어의 편성의 실시 형태를 들 수 있다. 프로그램은 하드 디스크, CD-ROM, 광 기억 장치 또는 자기 기억 장치 등의 임의의 컴퓨터 판독 가능 매체에 기록할 수 있다.
도 1은 본 발명의 실시 형태에 있어서의 연방화된 컴퓨팅 환경(1000)의 시스템 구성의 일례를 도시한 개념도이다. 연방화된 컴퓨팅 환경(1000)은 네트워크(200)로 상호 접속된 클라이언트(100) 및 복수의 서버(300-1∼300-N)[이하, 필요에 따라 서버 300)로 총칭]를 포함하고 있다.
클라이언트(100)는 주지의 인터넷에 접속 가능한 단말이다. 당업자는 그와 같은 클라이언트(100)를 용이하게 실시할 수 있다. 또한, 클라이언트(100)와 네트워크(200)의 접속은 다이얼 업 접속 등에 의해 ISP(Internet Service Provier, 도시하지 않음)를 통하여 행하면 좋다. 또, 클라이언트(100)로부터 ISP로의 접속은 다이얼 업 접속에 제한되는 것이 아니라, 예컨대, 전용선, LAN(Local Area Network), WAN(Wide Area Network), ADSL(Asymmetric Digital Subscriber Line), CATV(Cable TeleviSion)을 이용한 상시 접속에 의해 행하더라도 좋다.
네트워크(200)는 클라이언트(100), 서버(300)를 접속하는 통신 경로이며, 일례로서 인터넷에 의해 실현할 수 있다. 인터넷인 네트워크(200)는 주지한 바와 같이, TCP/IP(Transmission Control Protocol/Internet Protocol)를 이용하여 시스템 간을 접속한다. 네트워크(200)에서는 글로벌 어드레스 또는 로컬 어드레스로 나타내는 IP 어드레스에 의해 서로 통신하는 시스템이 특정된다.
서버(300)는 클라이언트(100)로부터의 요구에 따라 서비스를 제공하는 컴퓨터 장치이다. 보다 상세하게는, 서버(300-1∼300-N)는 주지의 웹 서비스 기술을 사용하여, 클라이언트(100)로부터의 서비스 요구에 대해, 상호 링크하여 웹 서비스를 제공한다. 적합하게는, 서버(300-1∼300-N)는 전술한 "WS-Federation" 사양에 따라, 상호 신뢰 관계가 확립된 연방화된 컴퓨팅 환경(1000)을 형성한다.
도 2는 본 실시 형태에서의 서버(300)의 기능 블록도이다. 도 2의 기능 블록도에 도시하는 각 요소는, 후술하는 도 11에 예시한 하드웨어 구성을 갖는 컴퓨터에서, 하드웨어 자원과 소프트웨어를 함께 동작시키는 것으로 실현할 수 있다.
서버(300)는 통신 제어부(310), 사용자 인증 처리부(320), 애플리케이션 실행부(330)를 포함한다. 통신 제어부(310)는 네트워크(200)로부터 받은 데이터를 사용자 인증 처리부(320) 또는 애플리케이션 실행부(330)에 전송한다. 통신 제어부(310)는 사용자 인증 처리부(320) 또는 애플리케이션 실행부(330)로부터 받은 데이터를 네트워크(200)에 송출할 수도 있다.
사용자 인증 처리부(320)는 통신 제어부(310)를 통하여 받은 클라이언트(100)의 사용자의 액세스 요구에 따라 인증 처리를 한다. 적합하게는, 액세스 요구는 클라이언트(100)의 웹 브라우저에서 생성되어, 네트워크(200)로 송출되고 서버(300)에 수신된 HJTP(Hyper Text Transfer Protocol) 요청으로서 실장되지만, 이에 한정되지 않는다. 사용자 인증 처리부(320)는 인증 요구 처리부(321), 인증 정 보 관리부(322), LDAP 클라이언트(323), 인증 정책 테이블(324), 예외 ID 테이블(325) 및 인증 정보 LDAP(326)를 포함한다.
인증 요구 처리부(321)는 클라이언트(100)의 사용자로부터의 액세스 요구를 해석하여, 액세스 요구를 송신한 사용자가 미인증(未認證)으로 판정된 경우는 사용자 인증을 실행한다. 즉, 인증 요구 처리부(321), 인증 정책 테이블(324)을 참조하여, 연방화된 컴퓨팅 환경(1000)에 포함되는 다른 서버의 인증 시스템과 링크하여 사용자 인증을 실행한다.
보다 상세하게는, 인증 요구 처리부(321), 액세스 요구를 송신한 클라이언트(100)의 사용자가 미인증으로 판정됨에 따라, 인증 정보의 입력을 재촉하는 웹 페이지의 데이터를 클라이언트(100)로 송신하는 기능을 갖는다. 또한, 인증 요구 처리부(321)는 인증 정보 입력용 웹 페이지를 사용하여 입력된 사용자의 인증 정보를 받아, 인증 정책 테이블(324)을 사용하여, 상기 인증 정보가, 연방화된 컴퓨팅 환경(1000)에 포함되는 복수의 서버 중 어느 하나의 서버의 인증 시스템의 인증 정책에 적합하는지를 특정하고, 특정된 서버의 인증 시스템의 인증 기구에, 인증 정보를 이용하여 사용자 인증을 명령하는 신호를 송신하는 기능을 갖는다. 또한, 인증 요구 처리부(321)는 인증 정보가 자신의 인증 정책에 적합하다고 판정된 경우에, 상기 인증 정보와, LDAP 클라이언트(323)를 통하여 입수한 인증 정보 LDAP(326)에 저장된 인증 정보의 대조를 행하는 인증 기구를 갖는다. 또한, 인증 요구 처리부(321)는 사용자 인증이 성공한 경우에, 클라이언트(100)에 연방화된 컴퓨팅 환경(1000)에의 액세스를 허가하는 시큐러티 토큰을 송신하는 기능하고 있다. 본실시 형태에서는, 적합하게는, 시큐러티 토큰은 크리덴셜 및 쿠키이다.
인증 정보 관리부(322)는 연방화된 컴퓨팅 환경(1000)에서의 인증 정보의 관리를 행한다. 적합하게는, 인증 정보 관리부(322)는 연방화된 컴퓨팅 환경(1000)에 포함되는 서버 인증 시스템의 인증 정책의 인증 정책 테이블(324)에의 등록, 갱신 및 참조의 처리를 행하는 기능을 갖는다. 또한, 인증 정보 관리부(322)는 LDAP 클라이언트(323)를 통해, 사용자로부터 받은 인증 정보를 인증 정보 LDAP에 등록하는 기능을 갖는다. 또한, 인증 정보 관리부(322)는 신규 사용자의 사용자 ID를 등록할 때에, 동일한 인증 정책을 채용하는 다른 서버의 인증 시스템에 동일한 사용자 ID가 이미 등록되어 있는지의 여부를 판정하여, 동일한 사용자 ID가 등록되어 있다고 판정된 경우에, 상기 사용자 ID를 예외 ID 테이블(325)에 등록하는 기능을 갖는다.
LDAP 클라이언트(323)는 인증 정보 LDAP(326)로의 인터페이스를 제공한다. 보다 상세하게는, LDAP 클라이언트(323)는 서버(300)의 프로그램 성분 또는 다른 컴퓨터로부터의 인증 정보 LDAP(326)에의 액세스를 제어하는 기능을 갖는다. LDAP 클라이언트(323)는 적어도, 인증 정보 관리부(322)로부터 받은 인증 정보를 인증 정보 LDAP(326)로 등록할 수 있고, 또한, 인증 요구 처리부(321) 등의 요구에 따라 인증 정보 LDAP(326)에 등록되어 있는 인증 정보를 추출할 수 있다.
인증 정책 테이블(324)은 연방화된 컴퓨팅 환경(1000)에 포함되는 각 서버의 인증 시스템의 인증 정책을 등록하는 테이블이다.
도 9는 본 발명의 실시 형태에서 인증 정책 테이블(324)의 일례를 도시한 도면이다. 인증 정책 테이블(324)에는 연방화된 컴퓨팅 환경(1000)에 포함되는 서버 의 일부 또는 전부의 어드레스 로케이션(적합하게는, 상기 서버의 URL 어드레스)이 인증 정책과 관련지어 등록되어 있다. 도 9에 예시하는 인증 정책 테이블(324)에서 제1 열에 인증 정책이 등록되고, 제2 열에 제1 열의 인증 정책을 채용하는 서버의 어드레스가 등록되어 있다.
또한, 인증 정책 테이블(324)에는 연방화된 컴퓨팅 환경(1000)에 포함되는 모든 서버의 어드레스 로케이션 및 인증 정책이 등록되는 것이 바람직하다. 그러나, 후술하는 바와 같이, 본 실시 형태의 사용자 인증은 인증 정책 테이블(324)에 어드레스 로케이션 및 인증 정책이 등록된 서버 중 어느 하나에 있어서 사용자 인증이 성공한 것에 따라 연방화된 컴퓨팅 환경(1000)에의 액세스를 허가하는 것이므로, 연방화된 컴퓨팅 환경(1000)에 포함되는 서버의 어드레스 로케이션 및 인증 정책이 등록되어 있지 않더라도 본실시 형태의 사용자 인증은 동작 가능한 것을 유의하기 바란다.
또한, 본 발명의 실시 형태에서의 인증 정책 테이블(324)에서는 동일한 인증 정책을 채용하는 서버가 복수 존재하는 경우에, 어떤 서버의 인증 시스템으로부터 사용자 인증의 처리를 행하는지를 나타내는 우선 순위가 서버 어드레스와 관련지어 등록된다. 우선 순위의 값은, 시스템 관리자가 매뉴얼로 입력하여도 좋고, 인증 시스템에 등록되어 있는 사용자수가 많은 순으로 값을 할당하는 등, 자동으로 결정하더라도 좋다.
보다 구체적으로는 본 발명의 실시 형태에서의 인증 정책 테이블(324)에는 사용자 ID가 「알파벳 3문자+숫자 3문자」이면서 패스워드가「알파벳 4문자」인 인 증 정책을 채용하는 3개의 서버(어드레스는 "server300-1.com", "server300-2.com", "server300-3.com")가 등록되어 있다. 또한, 사용자 ID가「알파벳 8문자」이면서 패스워드가 「임의」인 인증 정책을 채용하는 2개의 서버(어드레스는 "server300-4.com", "server300-5.com")도 등록되어 있다.
또한, 인증 정책 테이블(324)에는 「지문 인증」이면서 지문 인증의 바이너리 데이터의 사이즈가「100 바이트」인 인증 정책을 채용하는 2개의 서버(어드레스는 "server300-6.com", "server300-7.com") 및 「성문 인증」이면서 성문 인증의 바이너리 데이터의 사이즈가「200 바이트」인 인증 정책을 채용하는 하나의 서버(어드레스는 "server300-8.com")도 등록되어 있다.
예외 ID 테이블(325)은 연방화된 컴퓨팅 환경(1000)에 포함되는 각 서버의 인증 시스템 사이에서 동일한 사용자 ID를 별도의 사용자가 사용하고 있는 경우에, 상기 사용자 ID를 예외 ID로서 등록하는 테이블이다.
도 10은 본 발명의 실시 형태에서의 예외 ID 테이블(325)의 일례를 도시한 도면이다. 예외 ID 테이블(325)에는 연방화된 컴퓨팅 환경(1000)에 포함되는 서버의 일부 또는 전부의 어드레스 로케이션(적합하게는, 상기 서버의 URL 어드레스)이 예외 ID와 관련지어 등록되어 있다. 도 10에 예시하는 예외 ID 테이블(325)에서는, 제1 열에 서버 어드레스가 등록되고, 제2 열에 제1 열의 서버의 인증 시스템의 예외 ID가 등록되어 있다.
애플리케이션 실행부(330)는 인증된 사용자의 서비스 요구를 실현하기 위해, 클라이언트(100) 및/또는 연방화된 컴퓨팅 환경(1000)에 포함되는 서버로부터의 요 구에 따라, 여러 가지 애플리케이션 프로그램을 실행한다. 적합하게는, 애플리케이션 실행부(330)에 의해 실행되는 애플리케이션 프로그램은 웹 베이스의 애플리케이션 프로그램으로서 실현된다. 본 발명의 실시 형태에서는, 애플리케이션 A(331), 애플리케이션 B(332), 애플리케이션 C(333) 및 애플리케이션 D(334)의 4종류의 애플리케이션을 실행할 수 있도록 되어 있다.
도 3은 복수의 서버간의 신뢰 관계를 확립하는 동작 흐름을 나타내는 흐름도이다. 본 실시 형태에 있어서는 복수의 서버(300-1∼300-N)가 상호 신뢰 관계를 확립하는 경우, 우선, 서버 300-1이 도 3에 기재한 동작 흐름에 따라 아직 신뢰 관계가 확립되어 있지 않은 서버 300-2∼300-N과의 신뢰 관계를 확립한다. 다음에, 서버 300-2가, 동일하게 도 4에 기재한 동작 흐름에 따라, 아직 신뢰 관계가 확립되어 있지 않은 서버 300-3∼300-N과의 신뢰 관계를 확립한다. 이것을 서버 300-(N-1)까지 반복함으로써 복수의 서버(300-1∼300-N)의 상호 신뢰 관계가 모두 확립되어, 연방화된 컴퓨팅 환경(1000)이 형성된다.
이하에, 서버 300-1이 서버 300-2∼300-N과의 사이에서 신뢰 관계를 확립하는 경우를 예로 들어, 도 3에 도시하는 동작 흐름을 상세히 설명한다. 최초에, 서버 300-1은 자기의 인증 정책을 인증 정책 테이블(324)에 등록한다(S3010). 다음에, 주지의 PKI(Public Key Infrastructure) 방식에 따라 전자 증명서를 교환하는 것으로, 서버 300-1과 서버 300-2 사이의 신뢰 관계를 확립한다(S3020).
다음에, 서버 300-1은 S3020에서 신뢰 관계를 확립한 상대방의 서버인 서버 300-2의 인증 정책을 입수한다. 구체적으로는, 서버 300-1은 서버 300-2에 국부적 으로 존재하는 서버 300-2의 관리자가 작성한 인증 정책을 기술한 프로필 테이블에 액세스하여, 서버 300-2의 인증 정책을 입수한다. 그리고, 입수한 서버 300-2의 인증 정책을 인증 정책 테이블(324)에 등록한 후에(S3030), 자기 인증 정책과 상대방 서버 300-2의 인증 정책이 동일한지의 여부를 판정한다(S3040). 서버 300-1과 서버 300-2의 인증 정책이 동일하지 않다고 판정된 경우에는 신뢰 관계를 아직 확립하지 않은 서버가 존재하는지의 여부를 판정하기 위해 '아니오'의 화살표를 따라 S3090으로 진행한다.
S3040에서 서버 300-1과 서버 300-2의 인증 정책이 동일하다고 판정된 경우에는 '예'의 화살표를 따라 S3050으로 진행하여, 서버 300-1과 서버 300-2의 인증 정보 LDAP(326)에 동일한 사용자 ID가 존재하는지의 여부를 조사한다. S3050에서 서버 300-1과 서버 300-2의 인증 정보 LDAP(326)에 동일한 사용자 ID가 존재하지 않는다고 판정된 경우에는, 신뢰 관계를 아직 확립하지 않은 서버가 존재하는지의 여부를 판정하기 위해 '아니오'의 화살표를 따라 S3090으로 진행한다.
S3050에서 서버 300-1과 서버 300-2의 인증 정보 LDAP에 동일한 사용자 ID가 존재한다고 판정된 경우에는 '예'의 화살표를 따라 S3060으로 진행하고, 도 6에 도시하는 예외 ID 등록 확인 화면을 서버 간의 신뢰 관계를 확립하려고 하는 시스템 관리자가 조작하는 단말에 표시한다. 본 실시 형태에서는 서버 300-1과 서버 300-2의 쌍방에 "ABC001"이라는 사용자 ID가 등록되어 있다면, 시스템 관리자에게 상기 사용자 ID가 동일한 사용자가 사용하는 것인지의 여부에 관해 확인을 재촉한다. 또한, 예외 ID 등록 확인 화면에는 시스템 관리자에게 확인의 힌트를 제시하기 위해, 서버명, 사용자 ID와 관련지어진 등록명[서버 300-1의 사용자 ID "ABC001"에 대한 등록명으로서 "Tanaka Taro", 서버 300-2의 사용자 ID"ABC001"에 대한 등록명으로서 "Hirota Keisuke")가 표시된다.
다음에, S3070으로 진행하여, 시스템 관리자가, 예외 ID 확인 화면에 표시된 사용자 ID가 서버 300-1과 서버 300-2를 이용하여 다른 사용자가 사용하고 있다라고 판단한 경우, 시스템 관리자는 예외 ID 확인 화면에서 "등록한다" 버튼을 누르게 된다. "등록한다" 버튼이 눌러지면 이에 따라 흐름은 S3080으로 진행하고, 상기 사용자 ID는 예외 ID 테이블(325)에 등록된다. 그 후, 신뢰 관계를 아직 확립하지 않은 서버가 존재하는지의 여부를 판정하기 위해 '아니오'의 화살표를 따라 S3090으로 진행한다.
S3070에서, 시스템 관리자는 예외 ID 확인 화면에 표시된 사용자 ID가 서버 300-1과 서버 300-2를 이용하여 동일한 사용자가 사용하고 있다라고 판단한 경우, 사용자는 예외 ID 확인 화면에 "등록하지 않는다" 버튼을 누르게 된다. "등록하지 않는다" 버튼이 눌러지면 이에 따라, 흐름은, 신뢰 관계를 아직 확립하지 않은 서버가 존재하는지의 여부를 판정하기 위해 '아니오'의 화살표를 따라 S3090으로 진행한다.
S3090에서는 서버 300-1이 아직 신뢰 관계를 확립하지 않은 서버가 있는지의 여부가 판정된다. S3090에서 아직 신뢰 관계를 확립하지 않은 서버가 있다고 판정된 경우에는, 흐름은 S3020으로 되돌아가, 아직 신뢰 관계를 확립하지 않은 서버와 S3030∼S3080의 단계를 실행하는 것으로 서버 300-1은 모든 다른 서버 300-2∼300- N과 신뢰 관계를 확립하게 된다. S3090에서 아직 신뢰 관계를 확립하지 않은 서버가 이미 존재하지 않는다고 판정된 경우에는, '예'의 화살표로 진행하여, 흐름은 종료한다.
상기는, 서버 300-1이 다른 서버 300-2∼300-N과 신뢰 관계를 확립하는 것에 대해 설명했다. 동일한 처리를 서버 300-2∼300-N에 대해서도 실행함으로써, 서버(300-1∼300-N)의 사이에서 상호 신뢰 관계를 확립한 연방화된 컴퓨팅 환경(1000)이 형성된다.
도 4는 신규 사용자 인증 정보의 등록 동작 흐름을 도시한 흐름도이다. 이하에, 이미 복수의 서버(300-1∼300-N)에서 상호 신뢰 관계가 확립된 연방화된 컴퓨팅 환경(1000)에 참가하는 서버 300-1의 인증 시스템에 있어서, 신규 사용자 인증 정보를 등록하는 흐름을, 도 4를 참조하여 상세하게 설명한다. 또한, 다른 서버 300-2∼300-N의 인증 시스템에서 신규 사용자 인증 정보를 등록하는 흐름도 동일한 처리를 이용하여 실현할 수 있다는 점을 유의하기 바란다.
우선, 사용자가 조작하는 클라이언트(100)로부터 신규 인증 정보를 접수한다(S4010). 또한, S4010에서는, 서버 300-1은 서버 300-1의 관리자가 작성한 인증 정책을 기술한 프로필 테이블을 이용하여, 신규 인증 정보가 자기의 인증 정책에 적합한지 여부의 검증도 행하고 있다. 다음에, 자기 인증 정보 LDAP(326)에 클라이언트(100)로부터 받은 인증 정보에 포함되는 사용자 ID와 동일한 사용자 ID가 존재하는지의 여부를 판정한다(S4020). S4020에서 동일한 사용자 ID가 존재한다고 판정된 경우에는, 동일한 서버의 인증 시스템에서는 동일한 사용자 ID가 존재하는 것이 허가되지 않기 때문에, 별도의 인증 정보를 사용자로부터 받기 위해 '예'의 화살표를 따라 S4010으로 되돌아가서, 다시 신규 사용자 인증 정보를 받는다. S4020에서 동일한 사용자 ID가 존재하지 않는다고 판정된 경우에는, '아니오'의 화살표를 따라 S4030으로 진행한다.
S4030에서는, 서버 300-1은 자기 기억 장치에 기억되어 있는 인증 정책 테이블을 이용하여, 연방화된 컴퓨팅 환경(1000)에 존재하는 자기와 동일한 인증 정책을 채용하는 인증 시스템을 갖는 서버를 특정한다. 다음에, S4030에서 자기와 동일한 인증 정책을 채용하는 인증 시스템을 갖는 서버로서 특정된 서버 중 하나의 인증 정보 LDAP(326)를 이용하여 신규 사용자 인증 정보에 포함되는 사용자 ID와 동일한 사용자 ID가 존재하는지의 여부를 판정한다(S4040).
S4040에서는, S4030에서 특정된 서버 중 하나의 인증 정보 LDAP(326)에 동일한 사용자 ID가 존재하지 않는다고 판정된 경우에는, 그 외의 S4030에서 특정된 300-1과 동일한 인증 정책을 채용하는 서버가 존재하는지의 여부를 판정하기 위해 '아니오'의 화살표를 따라 S4080으로 진행한다.
S4040에서는, S4030에서 특정된 서버 중 하나의 인증 정보 LDAP(326)에 동일한 사용자 ID가 존재한다고 판정된 경우에는, '예'의 화살표를 따라 S4050으로 진행하고, 도 6에 도시하는 예외 ID 등록 확인 화면을 인증 정보를 등록하려고 하는 사용자가 조작하는 클라이언트에 표시한다. 예외 ID 등록 확인 화면에 대해서는, 도 3의 설명에서 이미 했기 때문에, 여기에서는 상세하게 설명하지 않는다.
다음에, S4060으로 진행하여, 인증 정보를 등록하고자 하는 사용자가 예외 ID 확인 화면에 표시된 사용자 ID를 자기가 사용하고 있는 것이 아니라고 판단한 경우, 사용자는 예외 ID 확인 화면에서 "등록한다" 버튼을 누르게 된다. "등록한다" 버튼이 눌러지면 이에 따라 흐름은 S4070으로 진행하고, 상기 사용자 ID는 예외 ID 테이블(325)에 등록된다. 그 후, 그 외에 S4030에서 특정된 서버 300-1과 동일한 인증 정책을 채용하는 서버가 존재하는지의 여부를 판정하기 위해 '아니오'의 화살표를 따라 S4080으로 진행한다.
또한, S4060에 있어서, 인증 정보를 등록하고자 하는 사용자가 예외 ID 확인 화면에 표시된 사용자 ID를 자기가 사용하고 있는 것이라고 판단한 경우, 사용자는 예외 ID 확인 화면에서 "등록하지 않는다" 버튼을 누르게 된다. "등록하지 않는다" 버튼이 눌러지면 이에 따라, 그 외에 S4030에서 특정된 서버 300-1과 동일한 인증 정책을 채용하는 서버가 존재하는지의 여부를 판정하기 위해 '예'의 화살표를 따라 S4080으로 진행한다.
S4080에서는 S4030에서 특정된 서버 300-1과 동일한 인증 정책을 채용하는 서버가 아직 남아 있는지의 여부가 판정된다. S4080에서 아직 동일한 인증 정책을 채용하는 서버가 남아 있다고 판정된 경우에는, 흐름은 S4040으로 되돌아가고, 남아 있는 서버와 S4040∼S4070의 단계를 실행함으로써, 서버 300-1은 필요한 정보를 예외 ID 테이블에 등록한다. S4080에서 아직 동일한 인증 정책을 채용하는 서버가 남아 있지 않다고 판정된 경우에는, '아니오'의 화살표를 따라 S4090으로 진행하고, 서버 300-1은 신규 사용자 인증 정보를 자기 인증 정보 LDAP(326)에 등록한다.
도 5는 본 발명의 실시 형태에서의 사용자 인증의 흐름을 도시한 흐름도이 다. 이하, 미인증의 사용자가 조작하는 클라이언트(100)로부터 연방화된 컴퓨터 환경(1000)에 포함되는 복수의 서버 중 하나인 서버 300-1에 대해 액세스 요구가 있었던 경우의 사용자 인증의 흐름을 도 5의 흐름도에 따라 상세하게 설명한다. 또한, 다른 서버 300-2∼300-N의 인증 시스템에서 사용자 인증을 행하는 경우도 동일한 처리를 실현할 수 있다는 점을 유의하기 바란다.
서버 300-1은 사용자로부터 액세스 요구를 받는다(S5010). 그리고, 액세스 요구에 시큐러티 토큰이 포함되는지의 여부를 조사함으로써 상기 액세스 요구를 발송한 사용자가 미인증인 것을 판정한 서버 300-1은 사용자가 조작하는 클라이언트로 도 7에 도시하는 인증 모드 선택 화면의 데이터를 송신함으로써, 사용자에게 인증 모드의 선택을 재촉한다(S5020). 사용자가, 도 7에 예시하는 인증 모드 선택 화면에 "예"의 버튼을 누르고, 멀티 인증 모드를 선택한 경우에는, 처리는 S5040으로 진행된다. 또한, 사용자가 도 7에 예시하는 인증 모드 선택 화면에 "아니오"의 버튼을 누르면, 통상 인증 모드가 선택된 경우에는, 처리는 S5030으로 진행하고, 인증 정책 테이블을 사용하지 않는 통상 인증으로 사용자 인증이 행해진다. 통상 인증은, 주지와 같으므로 여기에서는 상세하게 설명하지 않는다.
다음에, 서버 300-1은 도 8에 도시하는 멀티 인증 모드에서 이용되는 인증 화면의 데이터를 사용자의 클라이언트에 송신한다(S5040). 인증 화면의 데이터를 받은 사용자는 인증 정보를 입력한다(S5050). 클라이언트는 입력된 인증 정보를 서버 300-1에 송신한다.
보다 상세하게는, 사용자 ID를 사용하여 사용자 인증을 행하는 경우에, 사용 자는 도 8에 도시하는 인증 정보 입력 화면의 제1 행에 키보드를 조작함으로써 사용자 ID를 입력한다. 사용자 ID를 사용하지 않고 사용자 인증을 행하는 경우에는, 사용자는 제1 행의 "사용하지 않는다"의 체크 박스를 체크한다. 또한, 패스워드를 사용하여 사용자 인증을 행하는 경우에는, 사용자는 도 8에 도시하는 인증 화면의 제2 행에 키보드를 조작함으로써 패스워드를 입력한다. 패스워드를 사용하지 않고 사용자 인증을 행하는 경우에는, 사용자는 제2 행의 "사용하지 않는다"의 체크 박스를 체크한다. 지문 인증, 성문 인증 등 텍스트 데이터 이외(즉, 바이너리 데이터)를 사용하여 사용자 인증을 행하는 경우에는, 사용자는 도 8에 도시하는 인증 화면의 제3 행의 "사용하지 않는다"의 체크 박스를 체크하지 않고서 "OK" 버튼을 누르고, 계속하여 바이너리 데이터의 입력(예컨대, 지문 인증에 대해 지문 데이터 입력 패드에 손가락을 두고, 성문 인증에 대해서는 마이크를 향해 발성하는 등)을 행한다. 패스워드를 사용하지 않고서 사용자 인증을 하는 경우에는, 사용자는 제2 행의 "사용하지 않는다"의 체크 박스를 체크한다.
처리는 S5050으로 진행하여, 서버 300-1은 자기 인증 정책 테이블을 참조하여, 사용자가 입력한 인증 정보와 적합한 인증 정책을 채용하는 하나 이상의 서버의 어드레스를 취득한다(S5060). 예컨대, 서버 300-1이 도 9의 인증 정책 테이블을 사용하여, 인증 정보에 사용자 ID가 "XYZ001", 패스워드가 "WXYZ"가 포함되는 경우는, 사용자 ID가「알파벳 3문자+숫자 3문자」이면서 패스워드가「알파벳 4문자」의 인증 정책에 적합하므로, 서버 300-1은, 3개의 어드레스 "server300-1.com", "server300-2.com", "server300-3.com"를 취득한다.
다음에, 서버 300-1은 사용자로부터의 인증 정보에 포함되는 사용자 ID가 예외 ID 테이블에 등록되어 있는지의 여부를 S5060에서 취득된 어드레스가 도시되는 서버에 대해 조회를 행함으로써 판정한다(S5070). 인증 정보에 포함되는 사용자 ID가 예외 ID 테이블에 등록되어 있다고 판정된 경우에는, '예'의 화살표를 따라 S5080으로 진행하여 예외 처리가 행하여진다. 예외 ID 테이블에 등록되어 있는 사용자 ID는 어느 인증 시스템에서 사용자 인증을 할지의 여부를 판별할 수 없으므로, 예외 처리에서는, 서버 300-1은 사용자의 클라이언트에「이 사용자 ID는 예외 ID이므로, 멀티 인증 모드를 사용할 수 없습니다. 통상 인증으로써 사용자 인증을 행하여 주십시오.」라는 메시지를 보내어, 처리를 종료한다.
S5070에서, 사용자로부터의 인증 정보에 포함되는 사용자 ID가 어느 하나의 서버의 예외 ID 테이블에도 등록되어 있지 않다고 판정된 경우에는, '아니오'의 화살표를 따라 S5090으로 진행한다. S5090에서는, 서버 300-1은 S5060에서 취득한 어드레스를 사용하여, 인증 정책에 합치하는 서버에 인증 정보를 송신하고, 인증 정보를 수신한 서버의 인증 기구를 사용하여 사용자 인증을 행한다. 적합하게는, 서버 300-1은 어느 하나의 서버로부터 사용자 인증을 행하는지를, 인증 정책 테이블 중 우선 순위의 값에 따라 결정한다. 예컨대, 서버 300-1이 도 9의 인증 정책 테이블을 사용하고, S5070에서 서버 300-1이 3개의 어드레스 "server300-1.com", "server300-2.com", "server300-3.com"를 취득한 경우에는, 우선 순위의 값이 가장 높은 "server300-1.com"의 인증 시스템이 사용자 인증을 최초에 시도하게 된다.
처리는 S5100으로 진행하여, 사용자 인증이 성공했다고 판정된 경우에는, 사 용자 인증을 행한 서버는 개인 정보를 취득하고(S5110), 취득한 개인 정보를 사용하여, 크리덴셜 및 쿠키를 작성하여, 사용자에게 회신한다(되돌린다)(S5120). 또한, 크리덴셜 및 쿠키의 작성 및 사용자에의 회신은 사용자 인증을 행한 서버로부터 사용자 인증이 성공한 취지의 통지를 받은 서버 300-1이 행하여도 좋다. 그리고, 사용자는 수신한 크리덴셜 및 쿠키를 사용하여, 연방화된 컴퓨팅 환경(1000)에 액세스를 행하는 것이 허가되고, 인증 처리를 종료한다.
또한, 본 발명의 실시 형태에서는, 사용자에게 연방화된 컴퓨팅 환경에의 액세스를 허가하기 위해, 크리덴셜 및 쿠키를 사용하는 형태에 의해 설명을 했다. 그러나, 크리덴셜 및 쿠키의 대체로서 URL 인코딩, SAML 토큰과 같은 다른 어떠한 공지의 인증 기술도 사용 가능한 것은 당업자라면 자명하다.
S5100로부터 사용자 인증이 실패했다고 판정된 경우는, S5060에서 특정된 사용자의 인증 정보에 인증 정책이 적합한 서버가 남아있는지의 여부가 판정된다(S6130). S5130에서, 아직 S5060에서 특정된 사용자의 인증 정보에 인증 정책에 적합한 서버가 남아 있다고 판정된 경우에는, 흐름은 S5090으로 되돌아가고, 다른 남아 있는 서버에 대해 S5090 이후의 처리를 행함으로써 다시 사용자 인증을 시도하게 된다. 전술의 서버 300-1이 도 9의 인증 정책 테이블을 사용하고, S5070에서 서버 300-1이 3개의 어드레스 "server300-1.com", "server300-2.com", "server300-3. com"를 취득한 경우에는, 이미 "server300-1.com"의 인증 시스템에 의한 인증은 실패했으므로, 서버 300-1은 우선 순위의 값이 다음으로 높은 "server300-2.com"의 인증 시스템이 사용자 인증을 처음에 시도하고, 그것도 실패한 경우에는, "server300-3.com"의 인증 시스템이 사용자 인증을 시도하게 된다.
S5130에서 특정된 사용자의 인증 정보에 인증 정책에 적합한 서버가 남아 있지 않은, 즉 모든 서버에서 인증이 실패했다고 판정된 경우에는 흐름은 S5140으로 진행하고, 인증 실패로서 사용자는 연방화된 컴퓨팅 환경(1000)에의 액세스를 허가하지 않게 되어, 인증 처리는 종료한다.
도 11은 본 발명의 실시 형태에서 사용되는 서버(300)를 실현하기 위해 적합한 컴퓨터 장치의 하드웨어 구성을 예시하는 도면이다. 서버(300)는 메인 중앙 처리 장치(CPU)(1)와 메인 메모리(4)를 포함하고 있다. 메인 CPU(1)와 메인 메모리(4)는 버스(2)를 통해, 보조 기억 장치로서의 하드 디스크 장치(HDD)(13)와 접속되어 있다. 또한, 플렉시블 디스크 장치(FDD)(20), MO 장치(28), CR-ROM 장치(26, 29) 등의 착탈 가능형 스토리지(기록 미디어를 교환 가능한 외부 기억 시스템)가 관련되는 플렉시블 디스크 컨트롤러(FDC)(19), IDE 컨트롤러(25), SCSI 컨트롤러(27) 등을 통해 버스(2)에 접속되어 있다.
플렉시블 디스크 장치(20), MO 장치(28), CR-ROM 장치(26, 29) 등의 착탈 가능형 스토리지에는, 각각 플렉시블 디스크, MO, CD-ROM 등의 기억 매체가 삽입되고, 이 플렉시블 디스크 등이나 하드 디스크 장치(13), ROM(14)에는 오퍼레이팅 시스템과 협동하여 CPU 등에 명령을 전하고, 본 발명을 실시하기 위한 컴퓨터 프로그램의 코드를 기록할 수 있다. 메인 메모리(4)에 로드되는 것에 의해 컴퓨터 프로그램은 실행된다. 컴퓨터 프로그램은 압축하여, 또한 복수로 분할하여 복수의 매체에 기록할 수도 있다.
서버(300)는 나아가, 사용자 인터페이스 하드웨어로서, 마우스 등의 포인팅 디바이스(7), 키보드(6)나 시각 데이터를 사용자에게 제시하기 위한 디스플레이(12)를 가질 수 있다. 또한, 병렬 포트(16)를 통해 프린터(도시하지 않음)로 접속하는 것이나, 직렬 포트(15)를 통해 모뎀(도시하지 않음)을 접속하는 것이 가능하다. 서버(300)는 직렬 포트(15) 및 모뎀을 통해, 또한, 통신 어댑터(18)[이더넷(R) 카드나 토큰링 카드] 등을 통해 네트워크에 접속하여 다른 컴퓨터 등과 통신을 행하는 것이 가능하다.
스피커(23)는 오디오 컨트롤러(21)에 의해 D/A 변환(디지털/아날로그 변환)된 음성 신호를 증폭기(22)를 통해 수취하여 음성으로서 출력한다. 또한, 오디오 컨트롤러(21)는 마이크로 폰(24)으로부터 수취한 음성 정보를 A/D 변환(아날로그/디지털 변환)하여, 시스템 외부의 음성 정보를 시스템에 받아들이는 것을 가능하게 하고 있다.
이상의 설명에 의해, 본 발명의 실시 형태에서의 서버(300)는 메인 프레임, 워크 스테이션, 통상의 퍼스널 컴퓨터(PC) 등의 정보 처리 장치, 또는, 이들의 조합에 의해 실현되는 것이 용이하게 이해될 것이다. 다만, 이들의 구성 요소는 예시이며, 그 모든 구성 요소가 본 발명의 필수 구성 요소가 되는 것은 아니다.
특히, 여기서 설명한 하드웨어 구성 중, 플렉시블 디스크 장치(20), MO 장치(28), CR-ROM 장치(26, 29) 등의 착탈 가능형 스토리지, 병렬 포트(16), 프린터, 직렬 포트(15), 모뎀, 통신 어댑터(18), 스피커(23), 오디오 컨트롤러(21), 증폭기(22), 마이크로 폰(24) 등은 없더라도, 본 발명의 실시 형태는 실현 가능하므로, 본 발명의 실시 형태에서 서버(300)에 포함하지 않더라도 좋다.
본 발명의 실시에 사용되는 서버(300)의 각 하드웨어 구성 요소를 복수의 머신을 조합시켜, 이들에 기능을 배분하여 실시하는 등의 여러 가지의 변경은 당업자에 의해 용이하게 상정되어 얻을 수 있으며, 이들의 변경은 당연히 본 발명의 사상에 포함되는 개념이다.
서버(300)는 오퍼레이팅 시스템으로서, 마이크로 소프트 코퍼레이션이 제공하는 윈도우즈(R) 오퍼레이팅 시스템, 인터내셔널 비즈니스 머신즈 코퍼레이션이 제공하는 AIX, 애플 컴퓨터 인코퍼레이티드가 제공하는 맥OS, 혹은 리눅스 등의 GUI 멀티 윈도우 환경을 지원하는 것을 채용할 수 있다.
서버(300)는 오퍼레이팅 시스템으로서, 인터내셔널 비즈니스 머신즈 코퍼레이션이 제공하는 PC-DOS, 마이크로 소프트 코퍼레이션이 제공하는 MS-DOS 등의 캐릭터 베이스 환경의 것도 채용할 수도 있다. 또한, 서버(300)는 인터내셔널 비즈니스 머신즈 코퍼레이션이 제공하는 OS/Open, 윈드 리버 시스템즈 인크(Wind River Systems, Inc.)의 Vx Works 등의 리얼 타임 OS, 자바(R) OS 등의 네트워크 컴퓨터에 내장하여 오퍼레이팅 시스템을 채용할 수도 있다.
이상으로부터, 서버(300)는 특정한 오퍼레이팅 시스템 환경에 한정되는 것이 아닌 것을 이해할 수 있다. 서버 300-1∼300-N은 물론 각각 다른 오퍼레이팅 시스템 환경에서 동작하도록 하여도 좋다.
이상, 본 실시 형태에 따르면, 사용자는 연방화된 컴퓨팅 환경(1000) 중 어느 하나의 서버의 인증 시스템에 대한 어느 하나에 인증 정보를 입력하는 것으로, 서버의 인증 시스템과 인증 정보의 대응을 기억하는 것이 아니며, 또한, 지금 자기가 어떤 인증 시스템에서 인증을 시도하고 있는지를 정확히 의식하는 일 없이 사용자 인증을 받는 것이 가능해진다.
또한, 본 실시 형태에서는, 사용자로부터 받은 인증 정보에 적합한 인증 정책을 채용하는 서버의 인증 시스템에서만 사용자 인증을 행하므로, 고속인 사용자 인증이 실현된다.
이상, 본 발명에 의하면, 연방화된 컴퓨팅 환경에서 더욱 편리성이 높은 사용자 인증을 실현할 수 있다는 것이 용이하게 이해된다.
이상, 본 발명의 실시 형태를 이용하여 설명했지만, 본 발명의 기술 범위는 상기 실시 형태에 기재의 범위에만 한정되지 않는다. 상기의 실시 형태에, 여러 가지의 변경 또는 개량을 가하는 것이 가능한 것은 당업자에 있어 명확하다. 따라서, 그와 같은 변경 또는 개량을 가한 형태도 당연히 본 발명의 기술적 범위에 포함된다.
본 발명에 따르면, 연방화된 컴퓨팅 환경에서, 보다 편리성이 높은 사용자 인증이 가능해진다.

Claims (24)

  1. 서버 인증 정보를 기록하기 위한 방법으로서,
    연합된(federated) 컴퓨팅 환경 내의 복수의 서버들 중 제1 서버에 의해, 상기 제1 서버와 상기 복수의 서버들 중 제2 서버 간의 신뢰 관계를 확립(establishing)-이 신뢰 관계의 확립은 상기 제1 서버에 의해 PKI(Public Key Infrastructure; 공개키 기반구조) 방식에 따라 상기 제1 서버의 전자 증명서(certificate)를 상기 제2 서버의 전자 증명서와 교환하는 것을 포함함-하고,
    상기 신뢰 관계의 확립 후에, 상기 제1 서버에 의해 상기 제2 서버의 인증 정책-상기 복수의 서버들의 각 서버에 대한 인증 정책은 상기 연합된 컴퓨팅 환경의 사용자들을 인증하기 위한 각 서버의 적어도 하나의 규약(rule)으로서 정의됨-을 획득하며;
    상기 제2 서버의 인증 정책을 획득한 후에, 상기 제1 서버에 의해 상기 제1 서버 내에 상기 제2 서버의 인증 정책을 등록하는 것
    을 포함하는, 서버 인증 정보의 기록 방법.
  2. 제1항에 있어서,
    상기 적어도 하나의 규약은, 지문 인증을 위한 데이터 크기, 성문(voice print) 인증을 위한 데이터 크기, 또는 이들의 조합을 포함하는 것인, 서버 인증 정보의 기록 방법.
  3. 제1항에 있어서,
    상기 제2 서버의 인증 정책의 등록은, 상기 제1 서버의 인증 정책 테이블 내에 상기 제2 서버의 인증 정책을 등록하는 것을 포함하고,
    상기 제1 서버의 인증 정책 테이블은, 이 인증 정책 테이블 내에 기록된 복수의 서버들의 각 서버의 인증 정책을 포함하며,
    상기 제1 서버의 인증 정책 테이블은, 이 인증 정책 테이블 내에 기록된 각 서버의 서버 어드레스와, 상기 인증 정책 테이블 내에서 동일한 인증 정책을 갖는 서버 그룹의 각 서버의 상대적인 우선순위를 더 포함하는 것인, 서버 인증 정보의 기록 방법.
  4. 제1항에 있어서,
    상기 제2 서버의 인증 서버의 인증 정책의 등록은, 상기 제1 서버의 인증 정책 테이블 내에 상기 제2 서버의 인증 정책을 등록하는 것을 포함하고,
    상기 제1 서버의 인증 정책 테이블은, 이 인증 정책 테이블에 등록된 복수의 서버들 중 각 서버의 인증 정책을 포함하고,
    상기 제2 서버의 인증 정책은 상기 제1 서버의 인증 정책과 동일하고,
    상기 제1 서버의 인증 정보 LDAP(Lightweight Directory Access Protocol; 라이트웨이트 디렉토리 액세스 프로토콜)와 상기 제2 서버의 인증 정보 LDAP 내에 제1 공통 사용자 ID(identifier; 식별자)가 존재하고,
    상기 제1 공통 사용자 ID는 상기 제1 서버에서 제1 사용자에 의해 사용되고, 상기 제2 서버에서 제2 사용자-이 제2 사용자는 상기 제1 사용자와 다름-에 의해 사용되며,
    상기 서버 인증 정보의 기록 방법은,
    상기 제2 서버의 인증 정책 등록 후에, 상기 제1 서버에 의해, 상기 제1 공통 사용자 ID를 상기 제1 서버의 예외 ID 테이블-이 제1 서버의 예외 ID 테이블은 공통 사용자 ID들과, 상기 제1 서버의 예외 ID 테이블 내에 저장된 각 공통 사용자 ID와 연관된 하나 이상의 서버의 표시를 포함함- 내에 등록하는 것
    을 더 포함하는 것인, 서버 인증 정보의 기록 방법.
  5. 제1항에 있어서, 상기 적어도 하나의 규약은 네 개의 규약으로 이루어지고,
    상기 네 개의 규약은, 사용자 ID의 알파벳 문자의 개수, 상기 사용자 ID의 숫자의 개수, 지문 인증을 위한 데이터 크기, 및 성문 인증을 위한 데이터 크기로 이루어지는 것인, 서버 인증 정보의 기록 방법.
  6. 제1항에 있어서.
    상기 제1 서버-이 제1 서버는, 인증 정책 테이블 내에 등록된 복수의 서버들의 각 서버의 인증 정책을 포함하는 상기 인증 정책 테이블을 포함함-에 의해, 상기 연합된 컴퓨팅 환경에 액세스하기 위한 액세스 요청을 사용자로부터 수신하고,
    상기 액세스 요청의 수신 후에, 상기 제1 서버에 의해, 상기 사용자로부터 입력 인증 정보를 수신하고;
    상기 제1 서버에 의해, 상기 제2 서버-이 제2 서버의 인증 정책은 상기 제1 서버의 인증 정책과 일치함-의 서버 주소를 획득하고;
    상기 제1 서버에 의해, 상기 입력 인증 정보를 상기 제2 서버의 서버 어드레스를 통해 상기 제2 서버로 송신하고;
    상기 입력 인증 정보를 상기 제2 서버로 송신한 후에, 상기 제1 서버에 의해, 상기 제2 서버가 상기 사용자를 성공적으로 인증했다는 통지를 상기 제2 서버로부터 수신하며;
    상기 제2 서버가 상기 사용자를 성공적으로 인증했다는 통지의 수신 후에, 상기 제1 사용자에 의해, 상기 사용자가 상기 연합된 컴퓨팅 환경에 액세스할 수 있도록 허가하는 것
    을 더 포함하는, 서버 인증 정보의 기록 방법.
  7. 제6항에 있어서,
    상기 입력 인증 정보의 송신 후에 그리고 상기 사용자가 상기 연합된 컴퓨터 환경에 액세스할 수 있도록 허락하기 전에,
    상기 제1 서버에 의해, 상기 사용자가 상기 연합된 컴퓨팅 환경에 액세스하는데 이용될 수 있는 토큰을 상기 제2 서버로부터 수신하고;
    상기 제1 서버에 의해, 상기 토큰을 상기 사용자에게 전송하는 것
    을 더 포함하는, 서버 인증 정보의 기록 방법.
  8. 제7항에 있어서, 상기 토큰은 자격증명서(credential) 및 쿠키(cookie)인 것인, 서버 인증 정보의 기록 방법.
  9. 제1항 내지 제8항 중 어느 한 항에 따른 방법의 각 단계를 수행하는 수단들을 포함하는 서버 인증 정보 기록 시스템.
  10. 제1항 내지 제8항 중 어느 한 항에 따른 방법의 각 단계를 수행하는 프로그램을 기록한 컴퓨터 판독가능한 기록 매체.
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 삭제
  22. 삭제
  23. 삭제
  24. 삭제
KR1020067016914A 2004-03-30 2005-02-14 사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체 KR100968179B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004099243 2004-03-30
JPJP-P-2004-00099243 2004-03-30

Publications (2)

Publication Number Publication Date
KR20070014124A KR20070014124A (ko) 2007-01-31
KR100968179B1 true KR100968179B1 (ko) 2010-07-07

Family

ID=35150179

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067016914A KR100968179B1 (ko) 2004-03-30 2005-02-14 사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체

Country Status (8)

Country Link
US (5) US7712129B2 (ko)
EP (1) EP1732008A4 (ko)
JP (1) JP4750020B2 (ko)
KR (1) KR100968179B1 (ko)
CN (1) CN1965304B (ko)
CA (1) CA2561906C (ko)
TW (1) TWI350095B (ko)
WO (1) WO2005101220A1 (ko)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7917468B2 (en) * 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US8468126B2 (en) 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
CN1965304B (zh) 2004-03-30 2011-06-01 国际商业机器公司 用户认证***、方法、程序以及记录有该程序的记录介质
US20190268430A1 (en) 2005-08-01 2019-08-29 Seven Networks, Llc Targeted notification of content availability to a mobile device
US7502761B2 (en) 2006-02-06 2009-03-10 Yt Acquisition Corporation Method and system for providing online authentication utilizing biometric data
US20080066158A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Authorization Decisions with Principal Attributes
US7814534B2 (en) * 2006-09-08 2010-10-12 Microsoft Corporation Auditing authorization decisions
US8201215B2 (en) 2006-09-08 2012-06-12 Microsoft Corporation Controlling the delegation of rights
US8060931B2 (en) 2006-09-08 2011-11-15 Microsoft Corporation Security authorization queries
US20080066169A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Fact Qualifiers in Security Scenarios
US20080065899A1 (en) * 2006-09-08 2008-03-13 Microsoft Corporation Variable Expressions in Security Assertions
US8095969B2 (en) 2006-09-08 2012-01-10 Microsoft Corporation Security assertion revocation
US8938783B2 (en) * 2006-09-11 2015-01-20 Microsoft Corporation Security language expressions for logic resolution
US20080066147A1 (en) * 2006-09-11 2008-03-13 Microsoft Corporation Composable Security Policies
US8656503B2 (en) 2006-09-11 2014-02-18 Microsoft Corporation Security language translations with logic resolution
US9807096B2 (en) 2014-12-18 2017-10-31 Live Nation Entertainment, Inc. Controlled token distribution to protect against malicious data and resource access
US8220032B2 (en) * 2008-01-29 2012-07-10 International Business Machines Corporation Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
US20090307744A1 (en) * 2008-06-09 2009-12-10 Microsoft Corporation Automating trust establishment and trust management for identity federation
US20100162369A1 (en) * 2008-12-19 2010-06-24 Iomega Corporation Automatically Adding User Names to Server User List
CN101505217B (zh) * 2008-12-31 2011-07-20 成都市华为赛门铁克科技有限公司 一种管理内网主机的方法、装置及***
KR101156087B1 (ko) * 2009-07-28 2012-06-20 인하대학교 산학협력단 다중 서버 환경의 생체인증시스템을 위한 작업량 예측기반 작업 스케줄링 방법
KR101147683B1 (ko) * 2009-10-08 2012-05-22 최운호 생체인식 카드와 csd를 활용한 컨테이너 및 물류추적시스템
JP5355487B2 (ja) * 2010-04-26 2013-11-27 キヤノン株式会社 画像送信装置、画像送信装置の認証方法
EP2698737A4 (en) * 2011-04-12 2014-09-24 Panasonic Corp AUTHENTICATION SYSTEM, INFORMATION RECORDING SYSTEM, SERVER, PROGRAM, AND AUTHENTICATION METHOD
JP2013037704A (ja) * 2012-09-11 2013-02-21 Fuji Xerox Co Ltd 利用制限管理装置、方法、プログラム
CN102970308B (zh) * 2012-12-21 2016-08-10 北京网康科技有限公司 一种用户认证方法及服务器
JP5429414B2 (ja) * 2013-01-15 2014-02-26 富士通株式会社 識別情報統合管理システム,識別情報統合管理サーバ及び識別情報統合管理プログラム
US20150242597A1 (en) * 2014-02-24 2015-08-27 Google Inc. Transferring authorization from an authenticated device to an unauthenticated device
JP2015194947A (ja) * 2014-03-31 2015-11-05 ソニー株式会社 情報処理装置及びコンピュータプログラム
US10547599B1 (en) * 2015-02-19 2020-01-28 Amazon Technologies, Inc. Multi-factor authentication for managed directories
US9961076B2 (en) * 2015-05-11 2018-05-01 Genesys Telecommunications Laboratoreis, Inc. System and method for identity authentication
CN105141586B (zh) * 2015-07-31 2018-07-10 广州华多网络科技有限公司 一种对用户进行验证的方法和***
US10522154B2 (en) 2017-02-13 2019-12-31 Google Llc Voice signature for user authentication to electronic device
KR101986244B1 (ko) * 2017-10-12 2019-06-05 한국인터넷진흥원 모바일 기기 기반의 생체인식 정보 검증 방법
JP7234699B2 (ja) * 2019-03-05 2023-03-08 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
JP7215234B2 (ja) 2019-03-05 2023-01-31 ブラザー工業株式会社 アプリケーションプログラムおよび情報処理装置
JP7222792B2 (ja) * 2019-04-03 2023-02-15 キヤノン株式会社 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム
CN110210200A (zh) * 2019-05-28 2019-09-06 浪潮商用机器有限公司 服务器智能操作方法、装置、智能服务器及存储介质
US11627138B2 (en) * 2019-10-31 2023-04-11 Microsoft Technology Licensing, Llc Client readiness system
CN111611572B (zh) * 2020-06-28 2022-11-22 支付宝(杭州)信息技术有限公司 一种基于人脸认证的实名认证方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000106552A (ja) 1998-09-29 2000-04-11 Hitachi Ltd 認証方法
JP2000311138A (ja) 1999-04-28 2000-11-07 Nec Corp サーバの分散認証システム及び方法

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5963915A (en) * 1996-02-21 1999-10-05 Infoseek Corporation Secure, convenient and efficient system and method of performing trans-internet purchase transactions
US7580919B1 (en) 1997-03-10 2009-08-25 Sonicwall, Inc. Query interface to policy server
US5948064A (en) * 1997-07-07 1999-09-07 International Business Machines Corporation Discovery of authentication server domains in a computer network
US6021496A (en) * 1997-07-07 2000-02-01 International Business Machines Corporation User authentication from non-native server domains in a computer network
ATE282990T1 (de) * 1998-05-11 2004-12-15 Citicorp Dev Ct Inc System und verfahren zur biometrischen authentifizierung eines benutzers mit einer chipkarte
US6449615B1 (en) * 1998-09-21 2002-09-10 Microsoft Corporation Method and system for maintaining the integrity of links in a computer network
US6832377B1 (en) * 1999-04-05 2004-12-14 Gateway, Inc. Universal registration system
US6697948B1 (en) * 1999-05-05 2004-02-24 Michael O. Rabin Methods and apparatus for protecting information
JP3636948B2 (ja) * 1999-10-05 2005-04-06 株式会社日立製作所 ネットワークシステム
EP1104133A1 (en) * 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Network access arrangement
US20010020231A1 (en) * 2000-04-24 2001-09-06 Desktopdollars.Com Marketing System and Method
AU2002221266A1 (en) * 2000-10-03 2002-04-15 Omtool, Ltd Electronically verified digital signature and document delivery system and method
US7362868B2 (en) * 2000-10-20 2008-04-22 Eruces, Inc. Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US8117254B2 (en) * 2000-12-15 2012-02-14 Microsoft Corporation User name mapping in a heterogeneous network
US7941669B2 (en) * 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
US6959336B2 (en) 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets
US20020194499A1 (en) * 2001-06-15 2002-12-19 Audebert Yves Louis Gabriel Method, system and apparatus for a portable transaction device
GB2378010A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Mulit-Domain authorisation and authentication
US7530099B2 (en) * 2001-09-27 2009-05-05 International Business Machines Corporation Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
JP2003224562A (ja) * 2002-01-28 2003-08-08 Toshiba Corp 個人認証システム及びプログラム
US7584262B1 (en) * 2002-02-11 2009-09-01 Extreme Networks Method of and system for allocating resources to resource requests based on application of persistence policies
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
JP4304362B2 (ja) * 2002-06-25 2009-07-29 日本電気株式会社 Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
US20040002878A1 (en) * 2002-06-28 2004-01-01 International Business Machines Corporation Method and system for user-determined authentication in a federated environment
US7328237B1 (en) * 2002-07-25 2008-02-05 Cisco Technology, Inc. Technique for improving load balancing of traffic in a data network using source-side related information
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
JP2004070416A (ja) 2002-08-01 2004-03-04 Ricoh Co Ltd ネットワークシステムにおけるユーザ認証方法及びシステム
US7249177B1 (en) * 2002-11-27 2007-07-24 Sprint Communications Company L.P. Biometric authentication of a client network connection
US7599959B2 (en) * 2002-12-02 2009-10-06 Sap Ag Centralized access and management for multiple, disparate data repositories
US7219154B2 (en) * 2002-12-31 2007-05-15 International Business Machines Corporation Method and system for consolidated sign-off in a heterogeneous federated environment
US20040162996A1 (en) * 2003-02-18 2004-08-19 Nortel Networks Limited Distributed security for industrial networks
US8244841B2 (en) * 2003-04-09 2012-08-14 Microsoft Corporation Method and system for implementing group policy operations
US7640324B2 (en) * 2003-04-15 2009-12-29 Microsoft Corporation Small-scale secured computer network group without centralized management
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
WO2005003907A2 (en) * 2003-06-26 2005-01-13 Ebay Inc. Method and apparatus to authenticate and authorize user access to a system
US7346923B2 (en) * 2003-11-21 2008-03-18 International Business Machines Corporation Federated identity management within a distributed portal server
US7849320B2 (en) * 2003-11-25 2010-12-07 Hewlett-Packard Development Company, L.P. Method and system for establishing a consistent password policy
CN1965304B (zh) 2004-03-30 2011-06-01 国际商业机器公司 用户认证***、方法、程序以及记录有该程序的记录介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000106552A (ja) 1998-09-29 2000-04-11 Hitachi Ltd 認証方法
JP2000311138A (ja) 1999-04-28 2000-11-07 Nec Corp サーバの分散認証システム及び方法

Also Published As

Publication number Publication date
CN1965304B (zh) 2011-06-01
US20100212000A1 (en) 2010-08-19
US20130305313A1 (en) 2013-11-14
US7712129B2 (en) 2010-05-04
TWI350095B (en) 2011-10-01
WO2005101220A1 (ja) 2005-10-27
US9253217B2 (en) 2016-02-02
EP1732008A4 (en) 2010-05-26
US20140366083A1 (en) 2014-12-11
EP1732008A1 (en) 2006-12-13
US20070199059A1 (en) 2007-08-23
US8839393B2 (en) 2014-09-16
KR20070014124A (ko) 2007-01-31
JPWO2005101220A1 (ja) 2008-03-06
US8689302B2 (en) 2014-04-01
CN1965304A (zh) 2007-05-16
US9584548B2 (en) 2017-02-28
CA2561906A1 (en) 2005-10-27
JP4750020B2 (ja) 2011-08-17
CA2561906C (en) 2014-03-25
TW200610351A (en) 2006-03-16
US20160142444A1 (en) 2016-05-19

Similar Documents

Publication Publication Date Title
KR100968179B1 (ko) 사용자 인증을 위한 방법, 시스템 및 프로그램을 기록한 기록 매체
JP6682254B2 (ja) 認証連携システム及び認証連携方法、認可サーバー及びプログラム
US8879099B2 (en) Printing system and method including authentication and owner name acquisition
US8418234B2 (en) Authentication of a principal in a federation
US9064105B2 (en) Information processing apparatus, control method therefor, and program
JP4108461B2 (ja) 認証システム、認証振り分けサーバ、認証方法およびプログラム
US9185102B2 (en) Server system and control method
US8191127B2 (en) Information processing apparatus and method
JP4543322B2 (ja) 仲介サーバ、第2の認証サーバ、これらの動作方法、及び通信システム
JP2019046059A (ja) 権限委譲システム、制御方法、およびプログラム
JP2007323340A (ja) アカウントリンクシステム,アカウントリンク用コンピュータ,およびアカウントリンク方法
EP1617620A1 (en) Method and apparatus for user authentication and authorization
JP2006031064A (ja) セッション管理システム及び管理方法
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
WO2022259315A1 (ja) 登録申請支援システム及び登録申請支援方法
JP6128958B2 (ja) 情報処理サーバーシステム、制御方法、およびプログラム
JP2021060924A (ja) 情報処理装置、情報処理システム及びプログラム
JP2020160628A (ja) 情報処理装置、情報処理システム、及び情報処理プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee