Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6560281B2 - Web service providing system, web service providing method, web server, authentication server, and computer program - Google Patents
[go: Go Back, main page]

JP6560281B2 - Web service providing system, web service providing method, web server, authentication server, and computer program - Google Patents

Web service providing system, web service providing method, web server, authentication server, and computer program Download PDF

Info

Publication number
JP6560281B2
JP6560281B2 JP2017046783A JP2017046783A JP6560281B2 JP 6560281 B2 JP6560281 B2 JP 6560281B2 JP 2017046783 A JP2017046783 A JP 2017046783A JP 2017046783 A JP2017046783 A JP 2017046783A JP 6560281 B2 JP6560281 B2 JP 6560281B2
Authority
JP
Japan
Prior art keywords
user
authentication
web service
identification information
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017046783A
Other languages
Japanese (ja)
Other versions
JP2018151795A (en
Inventor
正之 瀬川
正之 瀬川
伸 佐分利
伸 佐分利
剛 御手洗
剛 御手洗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone West Corp
Original Assignee
Nippon Telegraph and Telephone West Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone West Corp filed Critical Nippon Telegraph and Telephone West Corp
Priority to JP2017046783A priority Critical patent/JP6560281B2/en
Publication of JP2018151795A publication Critical patent/JP2018151795A/en
Application granted granted Critical
Publication of JP6560281B2 publication Critical patent/JP6560281B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、シングルサインオン技術に関する。   The present invention relates to single sign-on technology.

複数サイトの認証を統合する技術としてシングルサイオンが知られている。シングルサインオンは、複数サイト間で認証情報を共有することにより認証の統合を実現する技術である。シングルサインオンの実現方式としては、リバースプロキシ型及びエージェント型が代表的である。例えば、特許文献1にはエージェント型のシングルサインオンを実現する認証システムについて記載されている。   Single Scion is known as a technology that integrates multi-site authentication. Single sign-on is a technology that realizes integration of authentication by sharing authentication information among multiple sites. Typical implementation methods for single sign-on include a reverse proxy type and an agent type. For example, Patent Document 1 describes an authentication system that realizes agent-type single sign-on.

特開2005−293088号公報JP 2005-293088 A

しかしながら、従来方式でシングルサインオンを実現しようとした場合、リバースプロキシ型及びエージェント型のいずれの方式においても、各サイトの認証を統合して管理するSSO(Single Sign-On)サーバが必要となる。そのため、シングルサインオンの実現には多額の費用がかかり、経済的な負荷を理由に実現が困難な場合があるという課題があった。   However, when attempting to implement single sign-on using the conventional method, an SSO (Single Sign-On) server that integrates and manages authentication at each site is required in both the reverse proxy type and agent type methods. . Therefore, the realization of single sign-on requires a large amount of money, and there is a problem that it may be difficult to realize due to an economic load.

上記事情に鑑み、本発明は、より安価にシングルサインオンを実現することができる技術を提供することを目的としている。   In view of the above circumstances, an object of the present invention is to provide a technique capable of realizing single sign-on at a lower cost.

本発明の一態様は、認証されたユーザに対してウェブサービスを提供するウェブサービス提供部と、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供部に送信させる認証部と、を備え、前記ウェブサービス提供部は、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、ウェブサービス提供システムである。   According to an aspect of the present invention, a web service providing unit that provides a web service to an authenticated user and a user authentication process are performed, and different identification information is assigned to each authenticated user. An authentication unit that causes the user terminal used to receive provision of a desired web service to transmit the identification information given to the user to a web service providing unit that provides the web service desired by the user; The web service providing unit identifies an authentication state of the user by using the identification information received from the user terminal, and provides the web service to the user when the user has been authenticated. It is a web service providing system that permits the use of.

本発明の一態様は、上記のウェブサービス提供システムであって、前記ウェブサービス提供部は、前記ユーザ端末から受信された前記識別情報を前記認証部に送信し、送信した前記識別情報に対する応答として、前記認証部から前記ユーザの認証状態を示す情報を取得することにより前記ユーザの認証状態を識別する。   One aspect of the present invention is the web service providing system described above, wherein the web service providing unit transmits the identification information received from the user terminal to the authentication unit, and as a response to the transmitted identification information. The authentication status of the user is identified by acquiring information indicating the authentication status of the user from the authentication unit.

本発明の一態様は、上記のウェブサービス提供システムであって、前記認証部は、前記ユーザに付与した前記識別情報を記憶するための記憶部を有し、前記ウェブサービス提供部から受信した前記識別情報が前記記憶部に記憶されている識別情報に一致する場合に、前記識別情報に対応づけられたユーザが認証済みであることを前記ウェブサービス提供部に応答する。   One aspect of the present invention is the above-described web service providing system, wherein the authentication unit includes a storage unit for storing the identification information given to the user, and is received from the web service providing unit. If the identification information matches the identification information stored in the storage unit, the web service providing unit responds that the user associated with the identification information has been authenticated.

本発明の一態様は、上記のウェブサービス提供システムであって、前記識別情報は、前記ユーザごとに異なるハッシュ値を出力するハッシュ関数を用いて生成される。   One aspect of the present invention is the web service providing system described above, wherein the identification information is generated using a hash function that outputs a different hash value for each user.

本発明の一態様は、上記のウェブサービス提供システムであって、前記認証部は、認証が完了したユーザに前記識別情報を付与する際、前記識別情報に有効期限を設定し、有効期限内の識別情報が付与されているユーザの認証状態を認証済みと識別し、有効期限を満了した識別情報が付与されているユーザの認証状態を未認証と識別する。   One aspect of the present invention is the web service providing system described above, wherein the authentication unit sets an expiration date in the identification information when giving the identification information to a user who has been authenticated, The authentication state of the user to whom the identification information is assigned is identified as authenticated, and the authentication state of the user to which the identification information whose expiration date has expired is assigned is identified as unauthenticated.

本発明の一態様は、認証されたユーザに対してウェブサービスを提供するウェブサービス提供ステップと、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供部に送信させる認証ステップと、を有し、前記ウェブサービス提供ステップでは、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、ウェブサービス提供方法である。   According to one aspect of the present invention, a web service providing step of providing a web service to an authenticated user, a user authentication process, and providing different identification information for each authenticated user, An authentication step for causing a user terminal used for receiving provision of a desired web service to transmit the identification information given to the user to a web service providing unit that provides the web service desired by the user; In the web service providing step, the authentication status of the user is identified using the identification information received from the user terminal, and the web provided to the user when the user has been authenticated. This is a web service provision method that permits the use of a service.

本発明の一態様は、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供サーバに送信させる認証サーバと通信するための通信部と、認証されたユーザに対してウェブサービスを提供するウェブサービス提供部と、を備え、前記ウェブサービス提供部は、前記ユーザ端末から受信される前記識別情報を用いて前記ユーザの認証状態を識別し、前記ユーザが認証済みである場合に、前記ユーザに対して自身の提供するウェブサービスの利用を許可する、サーバである。   According to an aspect of the present invention, a user authentication process is performed, and different identification information is given to each user who has been authenticated, and the user terminal used for receiving provision of a desired web service is described above. A communication unit for communicating the identification information given to the user to a web service providing server that provides the web service desired by the user, and a web service that provides the authenticated user with the web service A providing unit, wherein the web service providing unit identifies an authentication state of the user using the identification information received from the user terminal, and the user is authenticated when the user has been authenticated. It is a server that permits the use of the web service that it provides.

本発明の一態様は、認証されたユーザに対してウェブサービスを提供するウェブサービス提供サーバであって、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末から受信される識別情報を用いて前記ユーザの認証状態を識別するウェブサービス提供サーバと通信する通信部と、ユーザの認証処理を行い、認証が完了したユーザごとに異なる識別情報を付与するとともに、前記ユーザが所望のウェブサービスの提供を受けるために用いるユーザ端末に対して、前記ユーザに付与した識別情報を、前記ユーザの所望するウェブサービスを提供するウェブサービス提供サーバに送信させる認証部と、を備えるサーバである。   One aspect of the present invention is a web service providing server that provides a web service to an authenticated user, the identification information received from a user terminal used by the user to receive a desired web service. A communication unit that communicates with a web service providing server that identifies the user's authentication state, and performs user authentication processing, assigns different identification information to each user who has been authenticated, and provides the user with a desired web service An authentication unit that causes the user terminal used to receive the provision of the information to transmit the identification information given to the user to a web service providing server that provides the web service desired by the user.

本発明の一態様は、上記のサーバとしてコンピュータを機能させるためのコンピュータプログラムである。   One embodiment of the present invention is a computer program for causing a computer to function as the above-described server.

本発明により、より安価にシングルサインオンを実現することが可能となる。   According to the present invention, single sign-on can be realized at a lower cost.

実施形態におけるウェブサービス提供システム100のシステム構成の概略を示す図である。It is a figure which shows the outline of the system configuration | structure of the web service provision system 100 in embodiment. 実施形態における代表サーバ1の機能構成の具体例を示すブロック図である。It is a block diagram which shows the specific example of a function structure of the representative server 1 in embodiment. 記憶部13に記憶される認証情報、サーバ間ユーザ識別子及び認証状態管理情報の具体例を示す図である。It is a figure which shows the specific example of the authentication information memorize | stored in the memory | storage part 13, the user identifier between servers, and authentication status management information. 実施形態における外部サーバ2の機能構成の具体例を示すブロック図である。It is a block diagram which shows the specific example of a function structure of the external server 2 in embodiment. 実施形態のウェブサービス提供システム100におけるユーザ認証の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the user authentication in the web service provision system 100 of embodiment.

図1は、実施形態におけるウェブサービス提供システム100のシステム構成の概略を示す図である。ウェブサービス提供システム100は、ユーザ端末3に対してウェブサービスを提供するシステムである。ウェブサービス提供システム100は、代表サーバ1、及び一以上の外部サーバ2を備える。代表サーバ1は、第1ネットワーク41を介してユーザ端末3と通信可能であり、第2ネットワーク42を介して各外部サーバ2と通信可能である。なお、ウェブサービス提供システム100のネットワーク構成は、代表サーバ1が各外部サーバ2及びユーザ端末3と通信可能であれば図1と異なる構成であってもよい。例えば、第1ネットワーク41及び第2ネットワーク42は、有線通信で実現されてもよいし無線通信で実現されてもよい。また、第1ネットワーク41及び第2ネットワーク42は、同一ネットワークとして構成されてもよい。また、第2ネットワーク42は、外部サーバ2ごとに異なる複数のネットワークとして構成されてもよい。   FIG. 1 is a diagram illustrating an outline of a system configuration of a web service providing system 100 according to the embodiment. The web service providing system 100 is a system that provides a web service to the user terminal 3. The web service providing system 100 includes a representative server 1 and one or more external servers 2. The representative server 1 can communicate with the user terminal 3 via the first network 41 and can communicate with each external server 2 via the second network 42. Note that the network configuration of the web service providing system 100 may be different from that of FIG. 1 as long as the representative server 1 can communicate with each external server 2 and the user terminal 3. For example, the first network 41 and the second network 42 may be realized by wired communication or wireless communication. Further, the first network 41 and the second network 42 may be configured as the same network. The second network 42 may be configured as a plurality of different networks for each external server 2.

代表サーバ1は、外部サーバ2とユーザ端末3との間に介在し、ユーザ端末3に対する各外部サーバ2の認証を一元管理することによりシングルサインオンを実現する。   The representative server 1 is interposed between the external server 2 and the user terminal 3, and realizes single sign-on by centrally managing authentication of each external server 2 with respect to the user terminal 3.

外部サーバ2は、ウェブサービスの提供要求(以下「ウェブサービスリクエスト」という。)を受け付け、要求されたウェブサービスに対応する所定の処理を実行する。外部サーバ2が提供するウェブサービスはどのようなものであってもよい。外部サーバ2は、認証されたユーザのウェブサービスリクエストのみを受け付ける。   The external server 2 accepts a web service provision request (hereinafter referred to as “web service request”) and executes a predetermined process corresponding to the requested web service. Any web service provided by the external server 2 may be used. The external server 2 accepts only authenticated user web service requests.

ユーザ端末3は、外部サーバ2に対してウェブサービスリクエストを送信する端末である。例えば、ユーザ端末3は、ウェブブラウザがインストールされたPC(Personal Computer)やスマートフォン、タブレット等の端末装置である。上述のとおり、ユーザ端末3のウェブサービスリクエストは、ユーザが認証されていることを条件として外部サーバ2に受け付けられる。ユーザ端末3は、ユーザが所望するウェブサービスを代表サーバ1に通知することで、そのウェブサービスを提供する外部サーバ2の認証を受けることが可能である。   The user terminal 3 is a terminal that transmits a web service request to the external server 2. For example, the user terminal 3 is a terminal device such as a PC (Personal Computer), a smartphone, or a tablet in which a web browser is installed. As described above, the web service request of the user terminal 3 is accepted by the external server 2 on the condition that the user is authenticated. The user terminal 3 can receive authentication of the external server 2 that provides the web service by notifying the representative server 1 of the web service desired by the user.

図2は、実施形態における代表サーバ1の機能構成の具体例を示すブロック図である。代表サーバ1は、バスで接続されたCPU(Central Processing Unit)やメモリや補助記憶装置などを備え、プログラムを実行する。代表サーバ1は、プログラムの実行によって第1通信部11、第2通信部12、記憶部13及び認証部14を備える装置として機能する。なお、代表サーバ1の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されてもよい。プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。プログラムは、電気通信回線を介して送信されてもよい。   FIG. 2 is a block diagram illustrating a specific example of a functional configuration of the representative server 1 in the embodiment. The representative server 1 includes a CPU (Central Processing Unit), a memory, an auxiliary storage device, and the like connected by a bus, and executes a program. The representative server 1 functions as an apparatus including the first communication unit 11, the second communication unit 12, the storage unit 13, and the authentication unit 14 by executing the program. All or some of the functions of the representative server 1 may be realized by using hardware such as an application specific integrated circuit (ASIC), a programmable logic device (PLD), and a field programmable gate array (FPGA). The program may be recorded on a computer-readable recording medium. The computer-readable recording medium is, for example, a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in the computer system. The program may be transmitted via a telecommunication line.

第1通信部11は、自装置を第1ネットワーク41に接続するための通信インタフェースを含んで構成される。第1通信部11は、第1ネットワーク41を介してユーザ端末3と通信する。また、第2通信部12は、自装置を第2ネットワーク42に接続するための通信インタフェースを含んで構成される。第2通信部12は、第2ネットワーク42を介して各外部サーバ2と通信する。   The first communication unit 11 includes a communication interface for connecting the own apparatus to the first network 41. The first communication unit 11 communicates with the user terminal 3 via the first network 41. The second communication unit 12 includes a communication interface for connecting the own device to the second network 42. The second communication unit 12 communicates with each external server 2 via the second network 42.

記憶部13は、磁気ハードディスク装置や半導体記憶装置などの記憶装置を用いて構成される。記憶部13は、認証情報、サーバ間ユーザ識別子及び認証状態管理情報を記憶する。認証情報は、ユーザの認証に必要な情報であり、ユーザの識別情報と資格情報とを含む。サーバ間ユーザ識別子は、代表サーバ1が外部サーバ2との間で同じユーザを識別するために用いるユーザの識別情報である。サーバ間ユーザ識別子は、認証情報に含まれる各ユーザの識別情報のそれぞれに一意な値として設定される。認証状態管理情報は、代表サーバ1が各ユーザの認証状態(認証済み又は未認証)を管理するための情報である。記憶部13には、認証情報及びサーバ間ユーザ識別子が予め記憶される一方で、認証状態管理情報は認証状態の変化に応じて登録又は更新される。   The storage unit 13 is configured using a storage device such as a magnetic hard disk device or a semiconductor storage device. The storage unit 13 stores authentication information, an inter-server user identifier, and authentication state management information. The authentication information is information necessary for user authentication, and includes user identification information and qualification information. The inter-server user identifier is user identification information used for the representative server 1 to identify the same user with the external server 2. The inter-server user identifier is set as a unique value for each user identification information included in the authentication information. The authentication status management information is information for the representative server 1 to manage the authentication status (authenticated or unauthenticated) of each user. While the authentication information and the server-to-server user identifier are stored in the storage unit 13 in advance, the authentication status management information is registered or updated according to a change in the authentication status.

認証部14は、ウェブサービス提供システム100に対するユーザの認証要求を受け付けるとともに、認証結果を要求元のユーザ端末3に応答する。認証部14は、認証の完了に応じて当該ユーザに関する認証状態管理情報を生成し、生成した認証状態管理情報に基づいて認証済みのユーザの認証状態を管理する。一方で、認証部14は、外部サーバ2の要求に応じて、所定ユーザの認証状態を応答する機能をさらに有する。   The authentication unit 14 accepts a user authentication request to the web service providing system 100 and returns an authentication result to the requesting user terminal 3. The authentication unit 14 generates authentication state management information related to the user in response to the completion of authentication, and manages the authentication state of the authenticated user based on the generated authentication state management information. On the other hand, the authentication unit 14 further has a function of responding to an authentication state of a predetermined user in response to a request from the external server 2.

図3は、記憶部13に記憶される認証情報、サーバ間ユーザ識別子及び認証状態管理情報の具体例を示す図である。例えば、実施形態の認証情報、サーバ間ユーザ識別子及び認証状態管理情報は、図3に示すテーブルM1として記憶される。テーブルM1は、ユーザIDごとのレコードを有し、各レコードはユーザID、パスワード、エイリアスID、ハッシュ値及び有効期限の各値を有する。ユーザID及びパスワードは、ウェブサービス提供システム100を利用可能なユーザの識別情報及び資格情報であり、各ユーザの認証情報の一例である。エイリアスIDは、各ユーザIDに対して一意に定められた値であって、かつ対応するユーザIDとは異なる値を示す情報である。その意味で、エイリアスIDは、ユーザIDの別名(エイリアス)ということができる。このエイリアスIDは、サーバ間ユーザ識別子の一具体例であり、外部サーバ2との間でユーザIDの代わりに送受信される。このように、ユーザIDを間接的に示すエイリアスIDを送受信することによって、セキュリティをより強固なものにすることができる。セキュリティの観点では、エイリアスIDは、その値からユーザIDを取得又は推測することができないように設定されることが望ましい。   FIG. 3 is a diagram illustrating a specific example of authentication information, an inter-server user identifier, and authentication state management information stored in the storage unit 13. For example, the authentication information, the inter-server user identifier, and the authentication state management information of the embodiment are stored as a table M1 illustrated in FIG. The table M1 has a record for each user ID, and each record has a user ID, a password, an alias ID, a hash value, and an expiration date. The user ID and password are identification information and qualification information of a user who can use the web service providing system 100, and are an example of authentication information of each user. The alias ID is information that is uniquely determined for each user ID and that indicates a value different from the corresponding user ID. In that sense, the alias ID can be called an alias of the user ID. The alias ID is a specific example of the inter-server user identifier, and is transmitted / received to / from the external server 2 instead of the user ID. As described above, the security can be further strengthened by transmitting / receiving the alias ID indirectly indicating the user ID. From the viewpoint of security, the alias ID is desirably set so that the user ID cannot be obtained or estimated from the value.

また、ハッシュ値は、所定のハッシュ関数に基づいて、少なくともユーザごとに異なる値として算出される値である。ハッシュ関数は、同じデータの入力に対して同じハッシュ値を出力し、異なるデータの入力に対して異なるハッシュ値を出力する性質を有する。また、ハッシュ値から元のデータを復元することは不可能である。このような性質を利用し、代表サーバ1は、認証が完了したユーザについてハッシュ値を生成し、その有効期限と対応づけてテーブルM1に登録する。このハッシュ値と有効期限との組み合わせは、代表サーバ1において、認証済みのユーザの認証状態を管理するために参照又は更新される。このようなハッシュ値及び有効期限は、本実施形態における認証状態管理情報の一具体例である。   The hash value is a value calculated as a value that differs at least for each user based on a predetermined hash function. The hash function has a property of outputting the same hash value for the same data input and outputting different hash values for different data inputs. Also, it is impossible to restore the original data from the hash value. Using such a property, the representative server 1 generates a hash value for the user who has been authenticated, and registers it in the table M1 in association with the expiration date. The combination of the hash value and the expiration date is referred to or updated in the representative server 1 in order to manage the authentication state of the authenticated user. Such a hash value and expiration date are a specific example of authentication state management information in the present embodiment.

図4は、実施形態における外部サーバ2の機能構成の具体例を示すブロック図である。外部サーバ2は、バスで接続されたCPUやメモリや補助記憶装置などを備え、プログラムを実行する。外部サーバ2は、プログラムの実行によって通信部21、リクエスト処理部22及び認証状態確認部23を備える装置として機能する。なお、外部サーバ2の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されてもよい。プログラムは、コンピュータ読み取り可能な記録媒体に記録されてもよい。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置である。プログラムは、電気通信回線を介して送信されてもよい。   FIG. 4 is a block diagram illustrating a specific example of a functional configuration of the external server 2 in the embodiment. The external server 2 includes a CPU, a memory, an auxiliary storage device, and the like connected by a bus, and executes a program. The external server 2 functions as a device including the communication unit 21, the request processing unit 22, and the authentication state confirmation unit 23 by executing a program. All or some of the functions of the external server 2 may be realized using hardware such as an ASIC, PLD, or FPGA. The program may be recorded on a computer-readable recording medium. The computer-readable recording medium is, for example, a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in the computer system. The program may be transmitted via a telecommunication line.

通信部21は、自装置を第2ネットワーク42に接続するための通信インタフェースを含んで構成される。通信部21は、第2ネットワーク42を介して代表サーバ1と通信する。   The communication unit 21 includes a communication interface for connecting the own device to the second network 42. The communication unit 21 communicates with the representative server 1 via the second network 42.

リクエスト処理部22は、自装置に対するウェブサービスリクエストを受け付け、受け付けたリクエストに応じた処理を実行する。具体的には、リクエスト処理部22は、ウェブサービスリクエストが受信されると、そのリクエストを送信したユーザの認証状態を、認証状態確認部23を介して代表サーバ1に確認する。リクエスト処理部22は、代表サーバ1から当該ユーザが認証済みであることが応答された場合にのみ、当該リクエストを受け付ける。   The request processing unit 22 receives a web service request for the device itself, and executes processing according to the received request. Specifically, when a web service request is received, the request processing unit 22 confirms the authentication state of the user who transmitted the request with the representative server 1 via the authentication state confirmation unit 23. The request processing unit 22 accepts the request only when a response is received from the representative server 1 that the user has been authenticated.

認証状態確認部23は、リクエスト処理部22の要求に応じて、指定されたユーザの認証状態を代表サーバ1に問い合わせる。認証状態確認部23は、問い合わせの結果(認証済み又は未認証)をリクエスト処理部22に応答する。   The authentication status confirmation unit 23 inquires the representative server 1 about the authentication status of the designated user in response to a request from the request processing unit 22. The authentication status confirmation unit 23 responds to the request processing unit 22 with the inquiry result (authenticated or unauthenticated).

なお、外部サーバ2は、上記問い合わせの結果を記憶する記憶部を備えても良い。例えば、問い合わせの結果として、各ユーザの有効期限を取得可能である場合、認証状態確認部23は、認証済みのユーザの有効期限を識別情報に対応づけた情報(以下「認証済みユーザ情報」という。)を記憶部に記憶させてもよい。この場合、リクエスト処理部22は、認証済みユーザ情報を参照することでユーザの認証状態を識別し、認証済みユーザ情報に登録されていないユーザの認証状態を代表サーバ1に問い合わせるように構成されてもよい。   The external server 2 may include a storage unit that stores the result of the inquiry. For example, when the expiration date of each user can be acquired as a result of the inquiry, the authentication status confirmation unit 23 associates the expiration date of the authenticated user with the identification information (hereinafter referred to as “authenticated user information”). .) May be stored in the storage unit. In this case, the request processing unit 22 is configured to identify the authentication status of the user by referring to the authenticated user information and inquire the representative server 1 about the authentication status of the user not registered in the authenticated user information. Also good.

図5は、実施形態のウェブサービス提供システム100におけるユーザ認証の流れを示すシーケンス図である。まず、ユーザ端末3において、代表URL(Uniform Resource Locater)にアクセスする操作が入力される(イベントE1)。この操作に応じて、ユーザ端末3は、代表URLへのアクセスを実行する。ここで、代表URLは、代表サーバ1が提供するウェブサイトのURLであり、アクセスには代表サーバ1によるユーザ認証が必要となる。ユーザ端末3は、代表URLにアクセスする際、ユーザID及びパスワードを取得して代表サーバ1に送信する(ステップS101)。ユーザ認証が完了すると、ユーザ端末3には、各外部サーバ2が提供するウェブサービスを要求するためのリンクが記載された代表画面が表示される。   FIG. 5 is a sequence diagram illustrating a flow of user authentication in the web service providing system 100 according to the embodiment. First, in the user terminal 3, an operation for accessing a representative URL (Uniform Resource Locater) is input (event E1). In response to this operation, the user terminal 3 executes access to the representative URL. Here, the representative URL is a URL of a website provided by the representative server 1, and user authentication by the representative server 1 is required for access. When accessing the representative URL, the user terminal 3 acquires the user ID and password and transmits them to the representative server 1 (step S101). When the user authentication is completed, a representative screen on which a link for requesting a web service provided by each external server 2 is displayed on the user terminal 3.

具体的には、代表サーバ1の認証部14は、ユーザ端末3から代表URLへのアクセス要求を受けると、まず、送信された認証情報(ユーザID及びパスワード)を用いて当該ユーザの認証処理を行う(ステップS102)。認証処理は、送信された認証情報と、記憶部13に予め記憶されている当該ユーザの認証情報との比較によって行われる。   Specifically, when the authentication unit 14 of the representative server 1 receives a request for access to the representative URL from the user terminal 3, first, the authentication processing of the user is performed using the transmitted authentication information (user ID and password). Perform (step S102). The authentication process is performed by comparing the transmitted authentication information with the user authentication information stored in advance in the storage unit 13.

認証部14は、ユーザの認証が完了すると、当該ユーザの認証状態管理情報を生成して記憶部13に記憶させる。具体的には、認証部14は、当該ユーザに固有のハッシュ値を生成する(ステップS103)。例えば、ハッシュ値は、ユーザIDに基づいて生成されてもよいし、エイリアスIDに基づいて生成されてもよい。認証部14は、生成したハッシュ値をその有効期限とともにテーブルM1に登録する。一方で、認証部14は、ユーザ端末3のアクセス要求に対する応答として、代表画面を表示させるためのデータ(以下「代表画面データ」という。)と、生成したハッシュ値とをユーザ端末3に送信する(ステップS104)。   When the authentication of the user is completed, the authentication unit 14 generates authentication state management information for the user and stores it in the storage unit 13. Specifically, the authentication unit 14 generates a hash value unique to the user (step S103). For example, the hash value may be generated based on the user ID or based on the alias ID. The authentication unit 14 registers the generated hash value together with the expiration date in the table M1. On the other hand, the authentication unit 14 transmits data for displaying a representative screen (hereinafter referred to as “representative screen data”) and the generated hash value to the user terminal 3 as a response to the access request from the user terminal 3. (Step S104).

ユーザ端末3は、代表サーバ1から送信された代表画面データに基づいて代表画面を表示する(ステップS105)。上述したとおり、代表画面には各外部サーバ2が提供するウェブサービスを要求するためのリンクが記載されており、このリンクには、自装置のアクセス要求に応じて代表サーバ1が生成したハッシュ値がパラメータとして付加される。例えば、ユーザが所望するウェブサービスが“https://xxxxx”というURLで公開されており、生成されたハッシュ値が“yyyyy”である場合、そのウェブサービスのリンクは“https://xxxxx?hash=yyyyy”と記載される。そして、このリンクを選択する操作が入力される(イベントE2)と、ユーザ端末3は当該ウェブサービスを提供する外部サーバ2に対して、ウェブサービスリクエストをハッシュ値とともに送信する(ステップS106)。   The user terminal 3 displays a representative screen based on the representative screen data transmitted from the representative server 1 (step S105). As described above, the link for requesting the web service provided by each external server 2 is described in the representative screen, and the hash value generated by the representative server 1 in response to the access request of the own device is included in this link. Is added as a parameter. For example, when the web service desired by the user is published at the URL “https: // xxxxx” and the generated hash value is “yyyyy”, the link of the web service is “https: // xxxxx? “hash = yyyyy”. When an operation for selecting this link is input (event E2), the user terminal 3 transmits a web service request together with a hash value to the external server 2 that provides the web service (step S106).

外部サーバ2は、ユーザ端末3から送信されたウェブサービスリクエストを受けると、そのリクエストが示すハッシュ値に基づいて、当該リクエストを送信したユーザの認証状態を確認する。具体的には、外部サーバ2のリクエスト処理部22が、ユーザ端末3からウェブサービスリクエストを受信する。リクエスト処理部22は、受信したウェブサービスリクエストが示すハッシュ値を認証状態確認部23に出力する。認証状態確認部23は、リクエスト処理部22から出力されたハッシュ値を代表サーバ1に送信し、代表サーバ1に対して当該リクエストを送信したユーザの認証状態を問い合わせる(ステップS107)。この問い合わせに応じて、代表サーバ1の認証部14は、記憶部13に記憶している認証状態管理情報を参照し、受信したハッシュ値が登録済みであるか否かを判定する(ステップS108)。すなわち、受信したハッシュ値がテーブルM1に登録済みである場合、当該ユーザは認証済みの状態であると判定され(ステップS109)、未登録の場合、当該ユーザは未認証の状態であると判定される(ステップS110)。認証部14は、判定結果を認証状態確認部23に応答し(ステップS111)、認証状態確認部23は、認証部14から応答されたユーザの認証状態をリクエスト処理部22に出力する。   When the external server 2 receives the web service request transmitted from the user terminal 3, the external server 2 checks the authentication state of the user who transmitted the request based on the hash value indicated by the request. Specifically, the request processing unit 22 of the external server 2 receives a web service request from the user terminal 3. The request processing unit 22 outputs the hash value indicated by the received web service request to the authentication state confirmation unit 23. The authentication state confirmation unit 23 transmits the hash value output from the request processing unit 22 to the representative server 1 and inquires the representative server 1 about the authentication state of the user who transmitted the request (step S107). In response to this inquiry, the authentication unit 14 of the representative server 1 refers to the authentication state management information stored in the storage unit 13 and determines whether or not the received hash value has been registered (step S108). . That is, if the received hash value is already registered in the table M1, it is determined that the user is in an authenticated state (step S109). If the received hash value is not registered, it is determined that the user is in an unauthenticated state. (Step S110). The authentication unit 14 returns the determination result to the authentication state confirmation unit 23 (step S111), and the authentication state confirmation unit 23 outputs the user authentication state returned from the authentication unit 14 to the request processing unit 22.

リクエスト処理部22は、認証部14から応答された判定結果に基づいて、リクエストを送信したユーザが認証済みであるか否かを判定する(ステップS112)。ユーザが認証済みである場合(ステップS112−YES)、リクエスト処理部22は、送信元のユーザ端末3に対して、自サーバが提供するウェブサービスを利用させるための画面(以下「サービス画面」という。)を表示させるサービス画面データを送信する(ステップS113)。ユーザ端末3は、外部サーバ2から受信されたサービス画面データに基づいて、サービス画面を表示する(ステップS114)。ユーザは、表示されたサービス画面を操作することにより、所望するウェブサービスの提供を外部サーバ2に要求することが可能となる。一方で、ユーザが未認証である場合、リクエスト処理部22は、受信したウェブサービスリクエスト受け付けない。この場合、リクエスト処理部22は、ユーザ端末3に対してエラーを通知してもよいし、ユーザ端末3の画面を代表画面に遷移させてもよい(ステップS115)。   The request processing unit 22 determines whether the user who transmitted the request has been authenticated based on the determination result returned from the authentication unit 14 (step S112). If the user has been authenticated (step S112—YES), the request processing unit 22 causes the transmission source user terminal 3 to use a web service provided by the server (hereinafter referred to as “service screen”). .) Is displayed (step S113). The user terminal 3 displays a service screen based on the service screen data received from the external server 2 (step S114). The user can request the external server 2 to provide a desired web service by operating the displayed service screen. On the other hand, when the user is unauthenticated, the request processing unit 22 does not accept the received web service request. In this case, the request processing unit 22 may notify the user terminal 3 of an error, or may change the screen of the user terminal 3 to the representative screen (step S115).

なお、ステップS113において、リクエスト処理部22は、認証済みのユーザ端末3に対してユーザに応じたデータを送信するように構成されてもよい。例えば、リクエスト処理部22は、認証済みのユーザ端末3に対してユーザごとに異なる専用のサービス画面を表示させるサービス画面データを送信してもよい。この場合、外部サーバ2には、ユーザごとの認証情報及びサーバ間ユーザ識別子が予め記憶される。また、代表サーバ1は、前段のステップS111において、判定結果を示す情報とともに、当該ユーザのサーバ間ユーザ識別子を外部サーバ2に送信する。リクエスト処理部22は、代表サーバ1から受信されたサーバ間ユーザ識別子に基づいて認証されたユーザを識別し、識別されたユーザに専用のサービス画面データを取得又は生成する。   In step S113, the request processing unit 22 may be configured to transmit data corresponding to the user to the authenticated user terminal 3. For example, the request processing unit 22 may transmit service screen data for displaying a different dedicated service screen for each user to the authenticated user terminal 3. In this case, the external server 2 stores in advance authentication information for each user and an inter-server user identifier. In addition, the representative server 1 transmits the inter-server user identifier of the user to the external server 2 together with information indicating the determination result in the previous step S111. The request processing unit 22 identifies an authenticated user based on the inter-server user identifier received from the representative server 1, and acquires or generates service screen data dedicated to the identified user.

このように構成された実施形態のウェブサービス提供システム100は、ユーザ端末3が各外部サーバ2にアクセスする際の起点となり、ユーザ認証及び認証状態の管理を行う代表サーバ1を備えることにより、SSOサーバを必要とせずにSSO機能を実現することができる。そのため、実施形態のウェブサービス提供システム100によれば、より安価にシングルサインオンを実現することが可能となる。   The web service providing system 100 according to the embodiment configured as described above has a representative server 1 that is a starting point when the user terminal 3 accesses each external server 2 and manages user authentication and authentication status. The SSO function can be realized without requiring a server. Therefore, according to the web service providing system 100 of the embodiment, single sign-on can be realized at a lower cost.

また、実施形態のウェブサービス提供システム100では、代表サーバ1と外部サーバ2との間でユーザの認証情報が送信されることはない。代表サーバ1と外部サーバ2との間では、ユーザの認証情報に代えて、ユーザを間接的に識別可能にするサーバ間ユーザ識別子が送受信される。このような構成を備えることにより、実施形態のウェブサービス提供システム100は、より安価に、かつセキュリティ性の高いシングルサインオンを実現することが可能となる。   Further, in the web service providing system 100 of the embodiment, user authentication information is not transmitted between the representative server 1 and the external server 2. Between the representative server 1 and the external server 2, an inter-server user identifier that enables the user to be indirectly identified is transmitted and received instead of the user authentication information. By providing such a configuration, the web service providing system 100 according to the embodiment can realize single sign-on with higher security and lower cost.

<変形例>
上記の実施形態では、代表サーバ1におけるユーザ認証(すなわち代表サーバ1へのログインに相当する)に応じて、認証部14が認証状態管理情報を生成する構成について説明したが、認証部14は所定のタイミングで認証状態管理情報を更新又は削除してもよい。例えば、認証部14は、定期的にテーブルM1を確認し、有効期限が切れた認証状態管理情報を削除してもよい。また、認証部14は、ユーザがウェブサービスの利用を終了した(例えば、ログアウトした)ことに応じて、当該ユーザの認証状態管理情報を削除してもよい。
<Modification>
In the above-described embodiment, the configuration in which the authentication unit 14 generates the authentication state management information in response to user authentication in the representative server 1 (that is, corresponding to login to the representative server 1) has been described. The authentication status management information may be updated or deleted at this timing. For example, the authentication unit 14 may periodically check the table M1 and delete authentication state management information whose expiration date has expired. Further, the authentication unit 14 may delete the authentication status management information of the user in response to the user ending use of the web service (for example, logging out).

上述した実施形態における代表サーバ1又は外部サーバ2をコンピュータで実現するようにしてもよい。その場合、この機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって実現してもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含んでもよい。また上記プログラムは、前述した機能の一部を実現するためのものであってもよく、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよく、FPGA(Field Programmable Gate Array)等のプログラマブルロジックデバイスを用いて実現されるものであってもよい。   The representative server 1 or the external server 2 in the above-described embodiment may be realized by a computer. In that case, a program for realizing this function may be recorded on a computer-readable recording medium, and the program recorded on this recording medium may be read into a computer system and executed. Here, the “computer system” includes an OS and hardware such as peripheral devices. The “computer-readable recording medium” refers to a storage device such as a flexible medium, a magneto-optical disk, a portable medium such as a ROM and a CD-ROM, and a hard disk incorporated in a computer system. Furthermore, the “computer-readable recording medium” dynamically holds a program for a short time like a communication line when transmitting a program via a network such as the Internet or a communication line such as a telephone line. In this case, a volatile memory inside a computer system serving as a server or a client in that case may be included and a program held for a certain period of time. Further, the program may be a program for realizing a part of the above-described functions, and may be a program capable of realizing the functions described above in combination with a program already recorded in a computer system. You may implement | achieve using programmable logic devices, such as FPGA (Field Programmable Gate Array).

以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes designs and the like that do not depart from the gist of the present invention.

本発明は、ユーザ認証を行うシステムに適用可能である。   The present invention is applicable to a system that performs user authentication.

100…ウェブサービス提供システム、 1…代表サーバ、 11…第1通信部、 12…第2通信部、 13…記憶部、 14…認証部、 2…外部サーバ、 21…通信部、 22…リクエスト処理部、 23…認証状態確認部、 3…ユーザ端末、 41…第1ネットワーク、 42…第2ネットワーク DESCRIPTION OF SYMBOLS 100 ... Web service provision system, 1 ... Representative server, 11 ... 1st communication part, 12 ... 2nd communication part, 13 ... Memory | storage part, 14 ... Authentication part, 2 ... External server, 21 ... Communication part, 22 ... Request processing , 23 ... Authentication status confirmation unit, 3 ... User terminal, 41 ... First network, 42 ... Second network

Claims (10)

ウェブサービスを提供する複数のウェブサービス提供部と、
前記ウェブサービスを利用するユーザの認証処理を行う認証部と、
を備え、
前記認証部は、前記認証処理認証されたユーザごとに異なる識別情報を生成し、生成した前記識別情報を前記複数のウェブサービス提供部のいずれかに送信するためのURL(Uniform Resource Locator)が記載された代表画面を示す情報を前記ユーザのユーザ端末に送信し、
前記ウェブサービス提供部は、前記ユーザ端末に表示された前記代表画面に対して行われた前記URLの選択操作に応じて前記ユーザ端末から前記識別情報を取得し、取得した前記識別情報に基づいて前記ユーザの認証状態を判定し、前記ユーザが認証済みである場合に、前記ユーザ端末に対して自身の提供するウェブサービスの利用画面を示す情報を送信する、
ウェブサービス提供システム。
A plurality of web service providing units for providing web services;
An authentication unit that performs authentication processing of a user who uses the web service;
With
The authentication unit generates different identification information for each user authenticated in the authentication process , and a URL (Uniform Resource Locator) for transmitting the generated identification information to any of the plurality of web service providing units. Send information indicating the representative screen described to the user terminal of the user,
The web service providing unit acquires the identification information from the user terminal in response to the URL selection operation performed on the representative screen displayed on the user terminal, and based on the acquired identification information The authentication status of the user is determined, and when the user has been authenticated, information indicating a web service usage screen provided by the user terminal is transmitted to the user terminal .
Web service provision system.
前記ウェブサービス提供部は、前記ユーザ端末から取得した前記識別情報を前記認証部に送信し、この識別情報の送信に対する応答として、前記識別情報に基づいて判定された前記ユーザの認証状態を示す通知を前記認証部から受信する、
請求項1に記載のウェブサービス提供システム。
The web service providing unit transmits the identification information acquired from the user terminal to the authentication unit, and a notification indicating the authentication state of the user determined based on the identification information as a response to the transmission of the identification information Is received from the authentication unit,
The web service providing system according to claim 1.
前記認証部は、自身の生成した識別情報を第1識別情報とし、前記ウェブサービス提供部から取得した識別情報を第2識別情報とした場合、前記第1識別情報が前記第2識別情報に一致する場合には前記ユーザが認証済みであると判定し、前記第1識別情報が前記第2識別情報に一致しない場合には前記ユーザが未認証であると判定し、この判定結果を前記ウェブサービス提供部に通知する、
請求項2に記載のウェブサービス提供システム。
The authentication unit, when the identification information generated by itself is the first identification information and the identification information acquired from the web service providing unit is the second identification information, the first identification information matches the second identification information. If the user is authenticated, it is determined that the user has been authenticated. If the first identification information does not match the second identification information, the user is determined to be unauthenticated. Notify the provider
The web service providing system according to claim 2.
前記識別情報は、前記ユーザごとに異なるハッシュ値を出力するハッシュ関数を用いて生成される、
請求項1から3のいずれか一項に記載のウェブサービス提供システム。
The identification information is generated using a hash function that outputs a different hash value for each user.
The web service providing system according to any one of claims 1 to 3.
前記認証部は、前記認証処理において認証されたユーザについて前記識別情報を生成する際、前記識別情報に有効期限を設定し、有効期限内の識別情報に対応するユーザの認証状態を認証済みと識別し、有効期限を満了した識別情報に対応するユーザの認証状態を未認証と識別する、
請求項1から4のいずれか一項に記載のウェブサービス提供システム。
When generating the identification information for the user authenticated in the authentication process, the authentication unit sets an expiration date in the identification information, and identifies the authentication status of the user corresponding to the identification information within the expiration date as authenticated. And identifying the authentication status of the user corresponding to the identification information that has expired as unauthenticated,
The web service providing system according to any one of claims 1 to 4.
複数のウェブサービス提供部がウェブサービスを提供するウェブサービス提供ステップと、
前記ウェブサービスを利用するユーザの認証処理を行う認証ステップと、
を有し、
前記認証ステップにおいて、前記認証処理認証されたユーザごとに異なる識別情報を生成し、生成した前記識別情報を前記複数のウェブサービス提供部のいずれかに送信するためのURL(Uniform Resource Locater)が記載された代表画面を示す情報を前記ユーザのユーザ端末に送信し、
前記ウェブサービス提供ステップにおいて、前記ユーザ端末に表示された前記代表画面に対して行われた前記URLの選択操作に応じて前記ユーザ端末から前記識別情報を取得し、取得した前記識別情報に基づいて前記ユーザの認証状態を判定し、前記ユーザが認証済みである場合に、前記ユーザ端末に対して自身の提供するウェブサービスの利用画面を示す情報を送信する、
ウェブサービス提供方法。
And roux Ebusabisu providing step a plurality of web service providing unit provides a web service,
An authentication step of performing an authentication process of a user who uses the web service;
Have
In the authentication step , a URL (Uniform Resource Locater) for generating different identification information for each user authenticated in the authentication process and transmitting the generated identification information to any of the plurality of web service providing units is provided. Send information indicating the representative screen described to the user terminal of the user,
In the web service providing step , the identification information is acquired from the user terminal in response to the URL selection operation performed on the representative screen displayed on the user terminal, and based on the acquired identification information The authentication status of the user is determined, and when the user has been authenticated, information indicating a web service usage screen provided by the user terminal is transmitted to the user terminal .
Web service provision method.
ウェブサービスを利用するユーザの認証処理を行う認証サーバと通信する通信部と、
ウェブサービスを提供するウェブサービス提供部と、
を備えるウェブサーバであって、
前記認証サーバは、前記認証処理認証されたユーザごとに異なる識別情報を生成し、生成した前記識別情報を自装置又は他のウェブサーバのいずれかに送信するためのURL(Uniform Resource Locater)が記載された代表画面を示す情報を前記ユーザのユーザ端末に送信し、
前記ウェブサービス提供部は、前記代表画面に対して行われた前記URLの選択操作に応じて前記ユーザ端末から前記識別情報を取得し、取得した前記識別情報に基づいて前記ユーザの認証状態を判定し、前記ユーザが認証済みである場合に、前記ユーザ端末に対して自身の提供するウェブサービスの利用画面を示す情報を送信する、
ウェブサーバ。
A communication unit that communicates with an authentication server that performs authentication processing of a user who uses a web service;
A web service provider that provides web services;
A web server comprising:
The authentication server generates different identification information for each user authenticated by the authentication process , and there is a URL (Uniform Resource Locater) for transmitting the generated identification information to either the own device or another web server. Send information indicating the representative screen described to the user terminal of the user,
The web service providing unit acquires the identification information from the user terminal in response to the URL selection operation performed on the representative screen, and determines the authentication state of the user based on the acquired identification information And, when the user is authenticated , transmits information indicating a use screen of a web service provided by the user terminal to the user terminal .
Web server.
ウェブサービスを提供する複数のウェブサーバと通信する通信部と、
前記ウェブサービスを利用するユーザの認証処理を行う認証部と、
を備える認証サーバであって、
前記認証部は、前記認証処理認証されたユーザごとに異なる識別情報を生成し、生成した前記識別情報を前記複数のウェブサーバのいずれかに送信するためのURL(Uniform Resource Locater)が記載された代表画面を示す情報を前記ユーザのユーザ端末に送信し、
前記複数のウェブサーバは、前記代表画面に対して行われた前記URLの選択操作に応じて前記ユーザ端末から前記識別情報を取得し、取得した前記識別情報に基づいて前記ユーザの認証状態を判定し、前記ユーザが認証済みである場合に、前記ユーザ端末に対して自身の提供するウェブサービスの利用画面を示す情報を送信する、
認証サーバ。
A communication unit that communicates with a plurality of web servers that provide web services;
An authentication unit that performs authentication processing of a user who uses the web service;
An authentication server comprising:
The authentication unit generates different identification information for each user authenticated in the authentication process , and a URL (Uniform Resource Locater) for transmitting the generated identification information to any of the plurality of web servers is described. Information indicating the representative screen is transmitted to the user terminal of the user,
The plurality of web servers acquire the identification information from the user terminal in response to the URL selection operation performed on the representative screen, and determine the authentication state of the user based on the acquired identification information And, when the user is authenticated , transmits information indicating a use screen of a web service provided by the user terminal to the user terminal .
Authentication server.
請求項7に記載のウェブサーバとしてコンピュータを機能させるためのコンピュータプログラム。   A computer program for causing a computer to function as the web server according to claim 7. 請求項8に記載の認証サーバとしてコンピュータを機能させるためのコンピュータプログラム。   A computer program for causing a computer to function as the authentication server according to claim 8.
JP2017046783A 2017-03-10 2017-03-10 Web service providing system, web service providing method, web server, authentication server, and computer program Active JP6560281B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017046783A JP6560281B2 (en) 2017-03-10 2017-03-10 Web service providing system, web service providing method, web server, authentication server, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017046783A JP6560281B2 (en) 2017-03-10 2017-03-10 Web service providing system, web service providing method, web server, authentication server, and computer program

Publications (2)

Publication Number Publication Date
JP2018151795A JP2018151795A (en) 2018-09-27
JP6560281B2 true JP6560281B2 (en) 2019-08-14

Family

ID=63681660

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017046783A Active JP6560281B2 (en) 2017-03-10 2017-03-10 Web service providing system, web service providing method, web server, authentication server, and computer program

Country Status (1)

Country Link
JP (1) JP6560281B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012128726A (en) * 2010-12-16 2012-07-05 Kddi Corp Network authentication system, network authentication method and program
JP5727661B2 (en) * 2014-10-30 2015-06-03 株式会社 ディー・エヌ・エー Authentication method, authentication system, service providing server, and authentication server
JP2017004133A (en) * 2015-06-08 2017-01-05 株式会社リコー Service providing system, information processing system, information processing device, service providing method, and program

Also Published As

Publication number Publication date
JP2018151795A (en) 2018-09-27

Similar Documents

Publication Publication Date Title
US10686794B2 (en) System in which redirect URL is set for each access range of resource, method for the system, and storage medium for the method
JP6857065B2 (en) Authentication authorization server, resource server, authentication authorization system, authentication method and program
CN111416822B (en) Method for access control, electronic device and storage medium
US8635679B2 (en) Networked identity framework
US9288213B2 (en) System and service providing apparatus
CN105007280B (en) A kind of application login method and device
US10193871B2 (en) Information processing apparatus, control method, and program
US20100077467A1 (en) Authentication service for seamless application operation
JP5723300B2 (en) Server system, service providing server, and control method
CN104364792A (en) Account management for multiple network sites
US20200035339A1 (en) Blockchain security system for secure record access across multiple computer systems
US11165768B2 (en) Technique for connecting to a service
US10498710B2 (en) System, relay client, control method, and storage medium having password reset for authentication
JP2006031064A (en) Session management system and management method
US20160205091A1 (en) Information processing system, control method of information processing apparatus, and storage medium
US9203828B2 (en) Service usage management method, recording medium, and information processing device
JP6848275B2 (en) Program, authentication system and authentication cooperation system
CN110945503A (en) User authentication service providing method, web server and user terminal
CN104065674A (en) Terminal device and information processing method
CN111600900A (en) Blockchain-based single sign-on method, server and system
KR101803535B1 (en) Single Sign-On Service Authentication Method Using One-Time-Token
CN111783044B (en) A method and device for sharing login status
JP6560281B2 (en) Web service providing system, web service providing method, web server, authentication server, and computer program
JP2011145754A (en) Single sign-on system and method, authentication server, user terminal, service server, and program
US12315320B2 (en) Handling access rights for access to a physical space

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181016

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20181024

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20181130

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190718

R150 Certificate of patent or registration of utility model

Ref document number: 6560281

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350