Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7008595B2 - Service integrated authentication authorization system and service integrated authentication authorization method - Google Patents
[go: Go Back, main page]

JP7008595B2 - Service integrated authentication authorization system and service integrated authentication authorization method - Google Patents

Service integrated authentication authorization system and service integrated authentication authorization method Download PDF

Info

Publication number
JP7008595B2
JP7008595B2 JP2018162007A JP2018162007A JP7008595B2 JP 7008595 B2 JP7008595 B2 JP 7008595B2 JP 2018162007 A JP2018162007 A JP 2018162007A JP 2018162007 A JP2018162007 A JP 2018162007A JP 7008595 B2 JP7008595 B2 JP 7008595B2
Authority
JP
Japan
Prior art keywords
integrated
service
authentication
user
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018162007A
Other languages
Japanese (ja)
Other versions
JP2020035227A (en
Inventor
祐輔 石川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2018162007A priority Critical patent/JP7008595B2/en
Publication of JP2020035227A publication Critical patent/JP2020035227A/en
Application granted granted Critical
Publication of JP7008595B2 publication Critical patent/JP7008595B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Telephonic Communication Services (AREA)

Description

本発明は、ユーザが一度の認証で複数のサービスの利用を可能とするサービス統合認証認可システムおよびサービス統合認証認可方法に関する。 The present invention relates to a service integrated authentication / authorization system and a service integrated authentication / authorization method that enable a user to use a plurality of services with one authentication.

近年、クラウドサービスの普及が進んでいる。かかるクラウドサービスは、クラウドコンピューティング技術により提供されるサービスであり、複数の企業に対応可能なマルチテナント構成で提供されることが多くなってきている。 In recent years, cloud services have become widespread. Such cloud services are services provided by cloud computing technology, and are often provided in a multi-tenant configuration that can support a plurality of companies.

マルチテナント構成によって、複数のサービスがクラウド上で共存することが可能になるが、各サービスにおいて個別に認証および認可を行う認証認可機能がある。そのため、これらのサービスを利用するユーザは、それぞれのサービスにそれぞれのユーザID(Identifier)およびパスワードを入力し、認証する必要があった。 The multi-tenant configuration allows multiple services to coexist on the cloud, but each service has an authentication and authorization function that individually authenticates and authorizes. Therefore, a user who uses these services needs to input each user ID (Identifier) and password for each service to authenticate.

ユーザの入力を簡略化するための技術として、クラウドサービス同士を連携させる技術が知られている。例えば、特許文献1には、連携元となるサービスが連携先のサービスと連携する際に、連携元となるサービスを操作しているユーザの権限に応じてアクセス管理システムから連携先の許可トークンを発行し、権限を委譲する技術が開示されている。 As a technology for simplifying user input, a technology for linking cloud services with each other is known. For example, in Patent Document 1, when the linking source service cooperates with the linking destination service, the permission token of the linking destination is provided from the access management system according to the authority of the user who is operating the linking source service. The technology for issuing and delegating authority is disclosed.

特開2013-145506号公報Japanese Unexamined Patent Publication No. 2013-14505

しかしながら、上記特許文献1に記載の技術では、例えば、既存サービスの認証認可機能の改修をしなければならず、開発コストがかかるなどの問題がある。かかる問題は、クラウドサービスに限定されず、クラウドサービス以外のサービスでも同様である。 However, the technique described in Patent Document 1 has a problem that, for example, the authentication / authorization function of an existing service must be modified, resulting in high development cost. This problem is not limited to cloud services, and the same applies to services other than cloud services.

本発明は、上記に鑑みてなされたものであって、既存サービスの認証認可機能の改修を行うことなく、ユーザが一度の認証で複数のサービスの利用を可能とするサービス統合認証認可システムを得ることを目的とする。 The present invention has been made in view of the above, and obtains a service integrated authentication / authorization system that enables a user to use a plurality of services with one authentication without modifying the authentication / authorization function of an existing service. The purpose is.

上述した課題を解決し、目的を達成するために、本発明のサービス統合認証認可システムは、ユーザの認証を行う統合認証装置と、統合認証装置による認証の結果に基づき、ユーザの端末装置と各サービス提供装置とを連携する統合認可装置とを備える。統合認証装置は、ユーザの端末装置から送信される認証情報に基づいてユーザの認証を行う統合認証部と、各サービス提供装置が提供するサービスにおけるユーザのアカウント情報であるサービスアカウント情報を暗号化した暗号化情報を記憶する認証情報記憶部と、を備える。統合認可装置は、統合認証装置から暗号化情報を取得する取得部と、暗号化情報をサービスアカウント情報に復号する復号部と、復号されたサービスアカウント情報に基づき、統合認証部による認証が行われた端末装置のユーザの認証を各サービス提供装置に実行させる統合認可部とを備える。統合認可部は、統合認証部によって認証が行われた後、統合認証部によって認証が行われたユーザである統合認証済ユーザの利用頻度が高い順に予め決められた数のサービスを判定し、判定したサービスを提供するサービス提供装置に対し、統合認証済ユーザによるサービスの選択の前に、統合認証済ユーザの認証を実行させる。 In order to solve the above-mentioned problems and achieve the object, the service integrated authentication / authorization system of the present invention includes an integrated authentication device that authenticates the user, and a user terminal device and each based on the result of authentication by the integrated authentication device. It is equipped with an integrated authorization device that cooperates with the service providing device. The integrated authentication device encrypts the integrated authentication unit that authenticates the user based on the authentication information transmitted from the user's terminal device and the service account information that is the user's account information in the service provided by each service providing device. It is provided with an authentication information storage unit for storing encrypted information. The integrated authorization device is authenticated by the integrated authentication unit based on the acquisition unit that acquires the encrypted information from the integrated authentication device, the decryption unit that decrypts the encrypted information into the service account information, and the decrypted service account information. It is provided with an integrated authorization unit that causes each service providing device to authenticate the user of the terminal device. After the authentication is performed by the integrated authentication unit, the integrated authorization unit determines and determines a predetermined number of services in descending order of frequency of use of the integrated authenticated user who is the user authenticated by the integrated authentication unit. The service providing device that provides the provided service is made to authenticate the integrated authenticated user before the integrated authenticated user selects the service.

本発明によれば、既存サービスの認証認可機能の改修を行うことなく、ユーザが一度の認証で複数のサービスを利用することができる、という効果を奏する。 According to the present invention, there is an effect that a user can use a plurality of services with one authentication without modifying the authentication / authorization function of the existing service.

本発明の実施の形態1にかかる情報処理システムの構成例を示す図The figure which shows the structural example of the information processing system which concerns on Embodiment 1 of this invention. 実施の形態1にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図The figure which shows the configuration example of the service integrated authentication authorization system and the service providing apparatus which concerns on Embodiment 1. 実施の形態1にかかる認証認可テーブルの一例を示す図The figure which shows an example of the authentication authorization table which concerns on Embodiment 1. 実施の形態1にかかるサービス認証認可テーブルの一例を示す図The figure which shows an example of the service authentication authorization table which concerns on Embodiment 1. 実施の形態1にかかるサービス認証認可テーブルの一例を示す図The figure which shows an example of the service authentication authorization table which concerns on Embodiment 1. 実施の形態1にかかるサービス統合認証認可システムの処理の一例を示すフローチャートA flowchart showing an example of processing of the service integrated authentication authorization system according to the first embodiment. 実施の形態1にかかる統合認証処理の一例を示すフローチャートA flowchart showing an example of the integrated authentication process according to the first embodiment. 実施の形態1にかかるサービス認証処理の一例を示すフローチャートA flowchart showing an example of the service authentication process according to the first embodiment. 実施の形態1にかかる暗号化サービスアカウント処理の一例を示すフローチャートA flowchart showing an example of the encryption service account processing according to the first embodiment. 実施の形態1にかかるサービス統合認証認可システムのハードウェア構成の一例を示す図The figure which shows an example of the hardware configuration of the service integrated authentication authorization system which concerns on Embodiment 1. 本発明の実施の形態2にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図The figure which shows the configuration example of the service integrated authentication authorization system and the service providing apparatus which concerns on Embodiment 2 of this invention. 実施の形態2にかかる統合認証テーブルの一例を示す図The figure which shows an example of the integrated authentication table which concerns on Embodiment 2. 実施の形態2にかかるサービスアカウントテーブルの一例を示す図The figure which shows an example of the service account table which concerns on Embodiment 2. 実施の形態2にかかる統合認証処理の一例を示すフローチャートA flowchart showing an example of the integrated authentication process according to the second embodiment. 実施の形態2にかかるサービス認証処理の一例を示すフローチャートA flowchart showing an example of the service authentication process according to the second embodiment. 本発明の実施の形態3にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図The figure which shows the configuration example of the service integrated authentication authorization system and the service providing apparatus which concerns on Embodiment 3 of this invention. 実施の形態3にかかる認証認可テーブルの一例を示す図The figure which shows an example of the authentication authorization table which concerns on Embodiment 3. 本発明の実施の形態4にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図The figure which shows the configuration example of the service integrated authentication authorization system and the service providing apparatus which concerns on Embodiment 4 of this invention. 実施の形態4にかかる認証認可テーブルの一例を示す図The figure which shows an example of the authentication authorization table which concerns on Embodiment 4. 本発明の実施の形態5にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図The figure which shows the configuration example of the service integrated authentication authorization system and the service providing apparatus which concerns on Embodiment 5 of this invention. 実施の形態5にかかる認証認可テーブルの一例を示す図The figure which shows an example of the authentication authorization table which concerns on Embodiment 5. 実施の形態1にかかるサービス統合認証認可システムの処理の一例を示すフローチャートA flowchart showing an example of processing of the service integrated authentication authorization system according to the first embodiment. 実施の形態5にかかるサービス認証処理の一例を示すフローチャートA flowchart showing an example of the service authentication process according to the fifth embodiment. 実施の形態5にかかる移行処理の一例を示すフローチャートA flowchart showing an example of the migration process according to the fifth embodiment. 実施の形態5にかかる統合認証情報設定処理の一例を示すフローチャートA flowchart showing an example of the integrated authentication information setting process according to the fifth embodiment.

以下に、本発明の実施の形態にかかるサービス統合認証認可システムおよびサービス統合認証認可方法を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。 Hereinafter, the service integrated certification / authorization system and the service integrated certification / authorization method according to the embodiment of the present invention will be described in detail with reference to the drawings. The present invention is not limited to this embodiment.

実施の形態1.
図1は、本発明の実施の形態1にかかる情報処理システムの構成例を示す図である。図1に示すように、実施の形態1にかかる情報処理システム100は、サービス統合認証認可システム1と、サービス提供装置2,2と、複数の端末装置3,3,・・・,3とを備える。複数の端末装置3,3,・・・,3は、複数のユーザU,U,・・・,Uによって用いられる。nは、例えば、3以上の整数である。複数のユーザU,U,・・・,Uは、例えば、後述するクラウドサービスを契約した企業の従業員などである。
Embodiment 1.
FIG. 1 is a diagram showing a configuration example of an information processing system according to the first embodiment of the present invention. As shown in FIG. 1, the information processing system 100 according to the first embodiment includes a service integrated authentication / authorization system 1, service providing devices 2 1 , 2 2 , and a plurality of terminal devices 3 1 , 32 , ... , 3 n and so on. A plurality of terminal devices 3 1 , 32 2 , ..., 3 n are used by a plurality of users U 1 , U 2 , ..., Un . n is, for example, an integer of 3 or more. The plurality of users U 1 , U 2 , ..., Un are, for example, employees of a company that has a contract for a cloud service described later.

以下、サービス提供装置2,2の各々を区別せずに示す場合、サービス提供装置2と記載する。また、複数の端末装置3,3,・・・,3の各々を区別せずに示す場合、端末装置3と記載し、複数のユーザU,U,・・・,Uの各々を区別せずに示す場合、ユーザUと記載する。なお、図1に示す例では、サービス提供装置2は2台であるが、サービス提供装置2は3台以上であってもよい。 Hereinafter, when each of the service providing devices 2 1 and 2 2 is shown without distinction, it is described as the service providing device 2. Further, when each of a plurality of terminal devices 3 1 , 32, ..., 3 n is shown without distinction, it is described as terminal device 3, and a plurality of users U 1 , U 2 , ..., Un . When each of the above is shown without distinction, it is described as user U. In the example shown in FIG. 1, the number of service providing devices 2 is two, but the number of service providing devices 2 may be three or more.

サービス統合認証認可システム1と各端末装置3とは、互いにネットワーク4を介して通信可能に接続される。ネットワーク4は、インターネットであるが、例えば、インターネット以外のWAN(Wide Area Network)であってもよい。 The service integrated authentication / authorization system 1 and each terminal device 3 are connected to each other so as to be able to communicate with each other via the network 4. The network 4 is the Internet, but may be a WAN (Wide Area Network) other than the Internet, for example.

サービス統合認証認可システム1およびサービス提供装置2,2の各々は、インターネット上に配置されたクラウドサービスプラットフォーム10に配置される1以上の仮想装置から構成される。クラウドサービスプラットフォーム10は、物理的なサーバおよびネットワーク機器などのIT(Information Technology)リソースを、論理的に分割したテナントと呼ばれる単位で提供する。 Each of the service integrated authentication authorization system 1 and the service providing devices 2 1 and 2 2 is composed of one or more virtual devices arranged on the cloud service platform 10 arranged on the Internet. The cloud service platform 10 provides IT (Information Technology) resources such as physical servers and network devices in units called tenants that are logically divided.

テナントには、論理的に分割されたサーバ上で動作する仮想的な計算機であるVM(Virtual Machine)および仮想的なネットワークなどが含まれる。仮想的なネットワークは、例えば、VLAN(Virtual Local Area Network)などである。サービス統合認証認可システム1およびサービス提供装置2,2の各々は、互いに異なるテナントに割り当てられる。以下、説明の便宜上、サービス提供装置2が提供するサービスをサービスAとし、サービス提供装置2が提供するサービスをサービスBとする。サービスA,Bは、クラウドサービスであり、例えば、PaaS(Platform as a Service)またはIaaS(Infrastructure as a Service)によって提供されるサービスである。 Tenants include VMs (Virtual Machines), which are virtual computers that operate on logically divided servers, and virtual networks. The virtual network is, for example, a VLAN (Virtual Local Area Network). The service integrated authentication authorization system 1 and the service providing devices 2 1 and 2 2 are assigned to different tenants. Hereinafter, for convenience of explanation, the service provided by the service providing device 21 is referred to as a service A, and the service provided by the service providing device 2 2 is referred to as a service B. The services A and B are cloud services, and are, for example, services provided by PaaS (Platform as a Service) or IaaS (Infrastructure as a Service).

サービス統合認証認可システム1は、統合認可装置11と統合認証装置12とを備え、端末装置3のユーザUが一度の認証によって、複数のサービス提供装置2が提供するサービスの利用をユーザUに認可する。統合認証装置12は、ユーザUの統合認証を行う。統合認可装置11は、統合認証の結果に基づき、各々サービスを提供する複数のサービス提供装置2とユーザUの端末装置3とを連携する統合認可装置11とを備える。統合認可装置11と統合認証装置12とは、互いに異なる仮想装置で構成されるが、同一の仮想装置で構成されてもよい。 The service integrated authentication / authorization system 1 includes an integrated authorization device 11 and an integrated authentication device 12, and the user U of the terminal device 3 authorizes the user U to use the services provided by the plurality of service providing devices 2 by one authentication. do. The integrated authentication device 12 performs integrated authentication of the user U. The integrated authorization device 11 includes a plurality of service providing devices 2 that each provide a service and an integrated authorization device 11 that cooperates with the terminal device 3 of the user U based on the result of the integrated authentication. The integrated authorization device 11 and the integrated authentication device 12 are configured by different virtual devices, but may be configured by the same virtual device.

なお、統合認証とは、複数のサービス提供装置2が提供するサービスの利用を一括して認可するための認証である。また、サービス提供装置2とユーザUの端末装置3との連携とは、端末装置3のユーザUにサービス提供装置2が提供するサービスを利用可能にサービス提供装置2と端末装置3とを接続することを意味する。 The integrated authentication is an authentication for collectively authorizing the use of the services provided by the plurality of service providing devices 2. Further, the cooperation between the service providing device 2 and the terminal device 3 of the user U means that the service providing device 2 and the terminal device 3 are connected so that the service provided by the service providing device 2 can be used by the user U of the terminal device 3. Means that.

統合認証装置12は、端末装置3から送信されるユーザUの統合認証情報に基づいて、ユーザUの統合認証を行う。統合認証情報は、サービス統合認証認可システム1において、各サービス提供装置2が提供するサービスを一括して認証および認可するための認証情報であり、サービス統合認証認可システム1におけるユーザUのアカウント情報である。統合認可装置11は、統合認証装置12による統合認証の結果に基づき、各サービス提供装置2が提供するサービスの利用をユーザUに認可する。 The integrated authentication device 12 performs integrated authentication of the user U based on the integrated authentication information of the user U transmitted from the terminal device 3. The integrated authentication information is authentication information for collectively authenticating and authorizing the services provided by each service providing device 2 in the service integrated authentication / authorization system 1, and is the account information of the user U in the service integrated authentication / authorization system 1. be. The integrated authorization device 11 authorizes the user U to use the service provided by each service providing device 2 based on the result of the integrated authentication by the integrated authentication device 12.

統合認可装置11は、例えば、統合認証装置12による統合認証が完了した場合、統合認証装置12からユーザUのサービスA,Bのアカウント情報であるサービスアカウント情報を暗号化した暗号化サービスアカウント情報を取得する。統合認可装置11は、取得した暗号化サービスアカウント情報をサービスアカウント情報に復号し、復号したサービスアカウント情報をサービス提供装置2,2へ送信する。これにより、サービス提供装置2,2において、サービスA,Bの認証が行われ、ユーザUは、サービスA,Bのサービスアカウント情報を端末装置3に入力することなく、一つの統合認証情報でサービスA,Bを利用することができる。暗号化サービスアカウント情報は、暗号化情報の一例である。 For example, when the integrated authentication by the integrated authentication device 12 is completed, the integrated authorization device 11 obtains the encrypted service account information obtained by encrypting the service account information which is the account information of the services A and B of the user U from the integrated authentication device 12. get. The integrated authorization device 11 decrypts the acquired encrypted service account information into service account information, and transmits the decrypted service account information to the service providing devices 2 1 and 22. As a result, the services A and B are authenticated in the service providing devices 2 1 and 22, and the user U does not need to input the service account information of the services A and B into the terminal device 3, and the user U does not need to input the service account information of the services A and B into the terminal device 3. You can use services A and B at. The encryption service account information is an example of encryption information.

以下、サービス統合認証認可システム1およびサービス提供装置2,2についてさらに詳細に説明する。図2は、実施の形態1にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図である。なお、図2に示す例では、端末装置3を一つのみ示しているが、図1に示すように、端末装置3は複数設けられる。 Hereinafter, the service integrated authentication / authorization system 1 and the service providing devices 2 1 and 2 2 will be described in more detail. FIG. 2 is a diagram showing a configuration example of the service integrated authentication / authorization system and the service providing device according to the first embodiment. In the example shown in FIG. 2, only one terminal device 3 is shown, but as shown in FIG. 1, a plurality of terminal devices 3 are provided.

図2に示すように、サービス統合認証認可システム1の統合認可装置11は、端末装置3と各サービス提供装置2とを連携する統合認可部111と、統合認証装置12から暗号化されたサービスA,Bのサービスアカウント情報である暗号化サービスアカウント情報を取得する取得部112とを備える。また、統合認可装置11は、取得部112で取得された暗号化サービスアカウント情報をサービスアカウント情報に復号する復号部113を備える。 As shown in FIG. 2, the integrated authorization device 11 of the service integrated authentication authorization system 1 includes an integrated authorization unit 111 that links the terminal device 3 and each service providing device 2, and a service A encrypted from the integrated authentication device 12. , B is provided with an acquisition unit 112 for acquiring the encrypted service account information which is the service account information of B. Further, the integrated authorization device 11 includes a decryption unit 113 that decrypts the encrypted service account information acquired by the acquisition unit 112 into the service account information.

統合認可部111は、端末装置3からのログイン情報を受け付けると、統合認証装置12に統合認証を要求する。統合認証装置12において統合認可部111から取得したログイン情報が統合認証情報として記憶されている場合、統合認証装置12において統合認証が成功する。 Upon receiving the login information from the terminal device 3, the integrated authorization unit 111 requests the integrated authentication device 12 for integrated authentication. When the login information acquired from the integrated authorization unit 111 in the integrated authentication device 12 is stored as the integrated authentication information, the integrated authentication device 12 succeeds in the integrated authentication.

統合認可部111は、統合認証装置12において統合認証が成功した場合、復号部113からユーザUのサービスA,Bのサービスアカウント情報を取得し、取得したサービスアカウント情報をサービス提供装置2,2へ送信する。これにより、ユーザUは、サービスA,Bの認証情報であるサービスアカウント情報を入力することなく、端末装置3を用いて、サービスA,Bを利用することができる。 When the integrated authentication is successful in the integrated authentication device 12, the integrated authorization unit 111 acquires the service account information of the services A and B of the user U from the decryption unit 113, and the acquired service account information is used as the service providing devices 2 1 and 2. Send to 2 . As a result, the user U can use the services A and B by using the terminal device 3 without inputting the service account information which is the authentication information of the services A and B.

サービス統合認証認可システム1の統合認証装置12は、統合認可装置11からの要求に基づいて、端末装置3のユーザUの統合認証を行う統合認証部121と、ユーザUの統合サービスアカウント情報とサービスA,Bのサービスアカウント情報とを記憶する認証情報記憶部122とを備える。また、統合認証装置12は、サービス提供装置2,2からユーザUのサービスA,Bのサービスアカウント情報を取得し、取得したサービスアカウント情報を暗号化して認証情報記憶部122に記憶する収集部123を備える。 The integrated authentication device 12 of the service integrated authentication authorization system 1 includes the integrated authentication unit 121 that performs integrated authentication of the user U of the terminal device 3 based on the request from the integrated authorization device 11, and the integrated service account information and service of the user U. It is provided with an authentication information storage unit 122 that stores the service account information of A and B. Further, the integrated authentication device 12 acquires the service account information of the services A and B of the user U from the service providing devices 2 1 and 22, encrypts the acquired service account information, and stores the acquired service account information in the authentication information storage unit 122. A unit 123 is provided.

統合認証部121は、統合認可装置11からの要求に基づいて、認証情報記憶部122に記憶されたサービスA,Bのサービスアカウント情報を取得し、取得したサービスA,Bのサービスアカウント情報を統合認可装置11へ送信する。 The integrated authentication unit 121 acquires the service account information of the services A and B stored in the authentication information storage unit 122 based on the request from the integrated authorization device 11, and integrates the acquired service account information of the services A and B. It is transmitted to the authorization device 11.

図3は、実施の形態1にかかる認証認可テーブルの一例を示す図である。図3に示すように、認証情報記憶部122に記憶される認証認可テーブル50は、「統合認証情報」、「サービスURL」、「暗号化サービスアカウント情報」、および「復号鍵」が互いに関連付けられた情報を含む。 FIG. 3 is a diagram showing an example of the authentication / authorization table according to the first embodiment. As shown in FIG. 3, in the authentication authorization table 50 stored in the authentication information storage unit 122, "integrated authentication information", "service URL", "encryption service account information", and "decryption key" are associated with each other. Includes information.

「統合認証情報」は、統合認証部121による統合認証に用いられる情報であり、統合ユーザID(Identifier)と統合ユーザPW(Password)とを含む。統合ユーザIDは、ユーザU毎に割り当てられる識別情報であり、統合ユーザPWは、統合ユーザPW毎に設定されるパスワードである。統合ユーザID「UID001」は、ユーザUの統合ユーザIDであり、統合ユーザID「UID002」は、ユーザUの統合ユーザIDである。 The "integrated authentication information" is information used for integrated authentication by the integrated authentication unit 121, and includes an integrated user ID (Identifier) and an integrated user PW (Password). The integrated user ID is identification information assigned to each user U, and the integrated user PW is a password set for each integrated user PW. The integrated user ID "UID001" is the integrated user ID of the user U 1 , and the integrated user ID "UID002" is the integrated user ID of the user U 2 .

「サービスURL」は、クラウドサービスプラットフォーム10内におけるサービス提供装置2のURL(Uniform Resource Locator)である。図3に示す例では、サービス提供装置2のURLは、「http://A.co.jp」であり、サービス提供装置2のURLは、「http://B.co.jp」である。かかる「サービスURL」は、サービス統合認証認可システム1がサービス提供装置2へアクセスする際にサービス統合認証認可システム1によって宛先URLとして用いられる。 The "service URL" is a URL (Uniform Resource Locator) of the service providing device 2 in the cloud service platform 10. In the example shown in FIG. 3, the URL of the service providing device 21 is "http://A.co.jp", and the URL of the service providing device 2 2 is "http://B.co.jp". Is. Such a "service URL" is used as a destination URL by the service integrated authentication / authorization system 1 when the service integrated authentication / authorization system 1 accesses the service providing device 2.

「暗号化サービスアカウント情報」は、サービス提供装置2が提供するサービスを利用するためのユーザUのアカウント情報を暗号化した情報である。図3に示す例では、サービスAの暗号化サービスアカウント情報「Spojsprog4w04psr」とサービスBの暗号化サービスアカウント情報「aspoj39pdfjp39kff」とが統合ユーザID「UID001」に関連付けられている。「復号鍵」は、暗号化サービスアカウント情報を復号するための復号鍵の情報である。 The "encrypted service account information" is information obtained by encrypting the account information of the user U for using the service provided by the service providing device 2. In the example shown in FIG. 3, the encrypted service account information "Spojsprog4w04psr" of the service A and the encrypted service account information "aspoj39pdfjp39kff" of the service B are associated with the integrated user ID "UID001". The "decryption key" is the information of the decryption key for decrypting the encryption service account information.

図2に戻って、サービス提供装置2,2の説明を行う。サービス提供装置2は、ユーザUの認証およびサービスAの利用をユーザUに認可するサービス認証認可部21と、認証および認可されたユーザUにサービスAを提供するサービス提供部22と、サービスAのサービスアカウント情報をユーザU毎に記憶するサービス認証情報記憶部23とを備える。 Returning to FIG. 2, the service providing devices 2 1 and 22 will be described. The service providing device 2 1 includes a service authentication and authorization unit 21 1 that authorizes the user U to authenticate the user U and uses the service A, and a service providing unit 22 1 that provides the service A to the authenticated and authorized user U. It is provided with a service authentication information storage unit 231 that stores the service account information of the service A for each user U.

同様に、サービス提供装置2は、ユーザUの認証およびサービスBの利用をユーザUに認可するサービス認証認可部21と、認証および認可されたユーザUにサービスBを提供するサービス提供部22と、サービスBのサービスアカウント情報をユーザU毎に記憶するサービス認証情報記憶部23とを備える。 Similarly, the service providing device 2 2 has a service authentication and authorization unit 21 2 that authorizes the user U to authenticate and use the service B, and a service providing unit 22 that provides the service B to the authenticated and authorized user U. 2 and a service authentication information storage unit 23 2 that stores the service account information of the service B for each user U.

図4および図5は、実施の形態1にかかるサービスアカウントテーブルの一例を示す図である。図4に示すサービスアカウントテーブル51は、サービス認証情報記憶部23に記憶される情報であり、ユーザU毎のサービスAのサービスアカウント情報を含む。図4に示すサービスアカウントテーブル51は、サービスAのユーザIDであるサービスユーザIDとサービスAのユーザPWであるサービスユーザPWとが関連付けられた情報を含む。図4に示す例では、サービスユーザID「AID001」は、ユーザUのサービスユーザIDであり、サービスユーザID「AID002」は、ユーザUのサービスユーザIDである。 4 and 5 are diagrams showing an example of a service account table according to the first embodiment. The service account table 51 shown in FIG. 4 is information stored in the service authentication information storage unit 231 and includes the service account information of the service A for each user U. The service account table 51 shown in FIG. 4 includes information in which the service user ID, which is the user ID of the service A, and the service user PW, which is the user PW of the service A, are associated with each other. In the example shown in FIG. 4, the service user ID "AID001" is the service user ID of the user U 1 , and the service user ID "AID002" is the service user ID of the user U 2 .

また、図5に示すサービスアカウントテーブル52は、サービス認証情報記憶部23に記憶される情報であり、ユーザU毎のサービスBのサービスアカウント情報を含む。図5に示すサービスアカウントテーブル52は、サービスBのユーザIDであるサービスユーザIDとサービスBのユーザPWであるサービスユーザPWとが関連付けられた情報を含む。図5に示す例では、サービスユーザID「BID001」は、ユーザUのサービスユーザIDであり、サービスユーザID「BID002」は、ユーザUのサービスユーザIDである。 Further, the service account table 52 shown in FIG. 5 is information stored in the service authentication information storage unit 232 , and includes the service account information of the service B for each user U. The service account table 52 shown in FIG. 5 includes information in which the service user ID, which is the user ID of the service B, and the service user PW, which is the user PW of the service B, are associated with each other. In the example shown in FIG. 5, the service user ID "BID001" is the service user ID of the user U 1 , and the service user ID "BID002" is the service user ID of the user U 2 .

以下、サービス認証認可部21,21の各々を区別せずに示す場合、サービス認証認可部21と記載し、サービス提供部22,22の各々を区別せずに示す場合、サービス提供部22と記載する。また、サービス認証情報記憶部23,23の各々を区別せずに示す場合、サービス認証情報記憶部23と記載する。 Hereinafter, when each of the service authentication and authorization units 21 1 and 211 is shown without distinction, it is described as the service authentication and authorization unit 21, and when each of the service provision units 22 1 and 22 2 is shown without distinction, the service is provided. It is described as a part 22. Further, when each of the service authentication information storage units 23 1 and 23 2 is shown without distinction, it is described as the service authentication information storage unit 23.

次に、サービス統合認証認可システム1およびサービス提供装置2,2の動作についてさらに詳細に説明する。図6は、実施の形態1にかかるサービス統合認証認可システムの処理の一例を示すフローチャートであり、サービス統合認証認可システム1によって繰り返し実行される。 Next, the operations of the service integrated authentication / authorization system 1 and the service providing devices 2 1 and 22 will be described in more detail. FIG. 6 is a flowchart showing an example of the processing of the service integrated authentication / authorization system according to the first embodiment, and is repeatedly executed by the service integrated authentication / authorization system 1.

図6に示すように、サービス統合認証認可システム1における統合認可装置11の統合認可部111は、端末装置3からアクセスがあるか否かを判定する(ステップS11)。サービス統合認証認可システム1は、統合認可部111が端末装置3からアクセスがあると判定した場合(ステップS11:Yes)、統合認証処理を実行する(ステップS12)。かかるステップS12の処理は、図7に示すステップS21からS26の処理であり、後で詳述する。なお、以下において、サービス統合認証認可システム1にアクセスした端末装置3のユーザUをアクセスユーザと記載する場合がある。 As shown in FIG. 6, the integrated authorization unit 111 of the integrated authorization device 11 in the service integrated authentication authorization system 1 determines whether or not there is access from the terminal device 3 (step S11). When the integrated authorization unit 111 determines that the terminal device 3 has access (step S11: Yes), the service integrated authentication authorization system 1 executes the integrated authentication process (step S12). The process of step S12 is the process of steps S21 to S26 shown in FIG. 7, which will be described in detail later. In the following, the user U of the terminal device 3 that has accessed the service integrated authentication / authorization system 1 may be described as an access user.

サービス統合認証認可システム1は、ステップS12の処理が終了した場合、サービス認証処理を実行する(ステップS13)。かかるステップS13の処理は、図8に示すステップS31からS38の処理であり、後で詳述する。 When the process of step S12 is completed, the service integrated authentication / authorization system 1 executes the service authentication process (step S13). The process of step S13 is the process of steps S31 to S38 shown in FIG. 8, which will be described in detail later.

サービス統合認証認可システム1は、ステップS13の処理が終了した場合、または、端末装置3からアクセスがないと判定した場合(ステップS11:No)、図6に示す処理を終了する。 When the process of step S13 is completed or when it is determined that there is no access from the terminal device 3 (step S11: No), the service integrated authentication / authorization system 1 ends the process shown in FIG.

図7は、実施の形態1にかかる統合認証処理の一例を示すフローチャートである。図7に示すように、統合認可装置11の統合認可部111は、アクセスユーザが認証済であるか否かを統合認証装置12の統合認証部121へ問い合わせる(ステップS21)。 FIG. 7 is a flowchart showing an example of the integrated authentication process according to the first embodiment. As shown in FIG. 7, the integrated authorization unit 111 of the integrated authorization device 11 inquires to the integrated authentication unit 121 of the integrated authentication device 12 whether or not the access user has been authenticated (step S21).

統合認証部121は、統合認可部111からアクセスユーザが認証済であるか否かの問い合わせがあると、アクセスユーザが認証済であるか否かを判定する(ステップS22)。統合認証部121は、例えば、各ユーザUの認証状態を示す認証状態情報を有しており、かかる認証状態情報に基づいて、アクセスユーザが認証済であるか否かを判定することができる。 When the integrated authentication unit 121 receives an inquiry from the integrated authorization unit 111 as to whether or not the access user has been authenticated, the integrated authentication unit 121 determines whether or not the access user has been authenticated (step S22). The integrated authentication unit 121 has, for example, authentication status information indicating the authentication status of each user U, and can determine whether or not the access user has been authenticated based on the authentication status information.

統合認証部121は、アクセスユーザが認証済ではないと判定した場合(ステップS22:No)、統合ログイン画面の情報を統合認可部111経由でアクセスユーザの端末装置3へ送信する(ステップS23)。これにより、アクセスユーザの端末装置3には、統合ログイン画面が表示される。統合ログイン画面は、統合ユーザIDおよび統合ユーザPWを含むログイン情報をアクセスユーザに入力させるための画面である。アクセスユーザは、端末装置3を操作して統合ログイン画面にユーザIDおよびユーザPWを含むログイン情報である統合ログイン情報を入力し、かかる統合ログイン情報を端末装置3からサービス統合認証認可システム1へ送信させる。 When the integrated authentication unit 121 determines that the access user has not been authenticated (step S22: No), the integrated authentication unit 121 transmits the information on the integrated login screen to the access user's terminal device 3 via the integrated authorization unit 111 (step S23). As a result, the integrated login screen is displayed on the terminal device 3 of the access user. The integrated login screen is a screen for allowing the access user to input login information including the integrated user ID and the integrated user PW. The access user operates the terminal device 3 to input the integrated login information which is the login information including the user ID and the user PW on the integrated login screen, and transmits the integrated login information from the terminal device 3 to the service integrated authentication / authorization system 1. Let me.

統合認証部121は、統合認可部111経由でアクセスユーザの端末装置3から統合ログイン情報を取得したか否かを判定する(ステップS24)。統合認証部121は、統合ログイン情報を取得していないと判定した場合(ステップS24:No)、ステップS24の処理を繰り返す。 The integrated authentication unit 121 determines whether or not the integrated login information has been acquired from the terminal device 3 of the access user via the integrated authorization unit 111 (step S24). When the integrated authentication unit 121 determines that the integrated login information has not been acquired (step S24: No), the integrated authentication unit 121 repeats the process of step S24.

統合認証部121は、統合ログイン情報を取得したと判定した場合(ステップS24:Yes)、ステップS24で取得したと判定した統合ログイン情報を認証情報記憶部122に記憶されている統合認証情報と比較する(ステップS25)。 When the integrated authentication unit 121 determines that the integrated login information has been acquired (step S24: Yes), the integrated authentication unit 121 compares the integrated login information determined to have been acquired in step S24 with the integrated authentication information stored in the authentication information storage unit 122. (Step S25).

統合認証部121は、ステップS25における比較の結果に基づいて、アクセスユーザの認証である統合認証が成功したか否かを判定する(ステップS26)。ステップS26において、統合認証部121は、統合ログイン情報と一致する統合認証情報が認証情報記憶部122に記憶されている場合、統合認証が成功したと判定し、統合ログイン情報と一致する統合認証情報が認証情報記憶部122に記憶されていない場合、統合認証が失敗したと判定する。 The integrated authentication unit 121 determines whether or not the integrated authentication, which is the authentication of the access user, has succeeded based on the result of the comparison in step S25 (step S26). In step S26, if the integrated authentication information matching the integrated login information is stored in the authentication information storage unit 122, the integrated authentication unit 121 determines that the integrated authentication was successful, and the integrated authentication information matching the integrated login information. Is not stored in the authentication information storage unit 122, it is determined that the integrated authentication has failed.

サービス統合認証認可システム1は、統合認証部121によって統合認証が成功していないと判定された場合(ステップS26:No)、処理をステップS23へ移行する。また、サービス統合認証認可システム1は、統合認証部121によって統合認証が成功したと判定された場合(ステップS26:Yes)、または、統合認証部121によってアクセスユーザが認証済であると判定された場合(ステップS22:Yes)、図7に示す処理を終了する。 When the integrated authentication unit 121 determines that the integrated authentication is not successful (step S26: No), the service integrated authentication / authorization system 1 shifts the process to step S23. Further, in the service integrated authentication / authorization system 1, when the integrated authentication unit 121 determines that the integrated authentication is successful (step S26: Yes), or the integrated authentication unit 121 determines that the access user has been authenticated. In the case (step S22: Yes), the process shown in FIG. 7 is terminated.

図8は、実施の形態1にかかるサービス認証処理の一例を示すフローチャートである。図8に示すように、統合認証部121は、サービス選択画面の情報を統合認可部111経由でアクセスユーザの端末装置3へ送信する(ステップS31)。これにより、アクセスユーザの端末装置3には、サービス選択画面が表示される。 FIG. 8 is a flowchart showing an example of the service authentication process according to the first embodiment. As shown in FIG. 8, the integrated authentication unit 121 transmits the information on the service selection screen to the terminal device 3 of the access user via the integrated authorization unit 111 (step S31). As a result, the service selection screen is displayed on the terminal device 3 of the access user.

サービス選択画面には、例えば、サービスAを選択するための選択ボタンと、サービスBを選択するための選択ボタンが表示されている。アクセスユーザは、端末装置3を操作して選択ボタンを選択することで、選択されたサービスを示す選択情報が端末装置3からサービス統合認証認可システム1へ送信される。 On the service selection screen, for example, a selection button for selecting service A and a selection button for selecting service B are displayed. By operating the terminal device 3 and selecting the selection button, the access user transmits selection information indicating the selected service from the terminal device 3 to the service integrated authentication / authorization system 1.

統合認証部121は、アクセスユーザがサービスを選択したか否かを判定する(ステップS32)。ステップS32において、統合認証部121は、アクセスユーザの端末装置3から選択情報を取得した場合に、アクセスユーザがサービスを選択したと判定する。 The integrated authentication unit 121 determines whether or not the access user has selected the service (step S32). In step S32, the integrated authentication unit 121 determines that the access user has selected the service when the selection information is acquired from the terminal device 3 of the access user.

統合認証部121は、アクセスユーザがサービスを選択していないと判定した場合(ステップS32:No)、ステップS32の処理を繰り返す。統合認証部121は、アクセスユーザがサービスを選択したと判定した場合(ステップS32:Yes)、認証情報記憶部122に選択されたサービスにおけるアクセスユーザの暗号化サービスアカウント情報があるか否かを判定する(ステップS33)。 When the integrated authentication unit 121 determines that the access user has not selected the service (step S32: No), the integrated authentication unit 121 repeats the process of step S32. When the integrated authentication unit 121 determines that the access user has selected the service (step S32: Yes), the integrated authentication unit 121 determines whether or not the authentication information storage unit 122 has the encrypted service account information of the access user in the selected service. (Step S33).

例えば、認証認可テーブル50が図3に示す状態であり、且つアクセスユーザの統合ユーザIDが「UID002」であるとする。この場合、統合認証部121は、アクセスユーザがサービスAを選択した場合に、暗号化サービスアカウント情報があると判定し、アクセスユーザがサービスBを選択した場合に、暗号化サービスアカウント情報がないと判定する。 For example, it is assumed that the authentication / authorization table 50 is in the state shown in FIG. 3 and the integrated user ID of the access user is “UID002”. In this case, the integrated authentication unit 121 determines that there is encryption service account information when the access user selects service A, and when the access user selects service B, there is no encryption service account information. judge.

統合認証装置12は、統合認証部121によって暗号化サービスアカウント情報がないと判定された場合(ステップS33:No)、暗号化サービスアカウントを生成して記憶する暗号化サービスアカウント処理を実行する(ステップS34)。かかるステップS34の処理は、図9に示すステップS41からS48の処理であり、後で詳述する。 When the integrated authentication device 12 determines that there is no encryption service account information by the integrated authentication unit 121 (step S33: No), the integrated authentication device 12 executes an encryption service account process for generating and storing the encryption service account (step S33: No). S34). The process of step S34 is the process of steps S41 to S48 shown in FIG. 9, which will be described in detail later.

取得部112は、統合認証部121によって暗号化サービスアカウント情報があると判定された場合(ステップS33:Yes)、アクセスユーザの統合ユーザIDと選択されたサービスとに関連付けられた暗号化サービスアカウント情報と復号鍵とを認証情報記憶部122から取得する(ステップS35)。 When the integrated authentication unit 121 determines that the encrypted service account information exists (step S33: Yes), the acquisition unit 112 has the encrypted service account information associated with the integrated user ID of the access user and the selected service. And the decryption key are acquired from the authentication information storage unit 122 (step S35).

復号部113は、取得部112によって取得された復号鍵を用いて、取得部112によって取得された暗号化サービスアカウント情報をサービスアカウント情報に復号する(ステップS36)。例えば、認証認可テーブル50が図3に示す状態であり、アクセスユーザの統合ユーザIDが「UID001」であり、かつ選択されたサービスがサービスAであるとする。この場合、復号部113によって復号されたサービスアカウント情報は、サービスユーザID「AID001」およびサービスユーザPWM「aesijpf9eupi43topjaef」を含む。 The decryption unit 113 decrypts the encrypted service account information acquired by the acquisition unit 112 into the service account information by using the decryption key acquired by the acquisition unit 112 (step S36). For example, it is assumed that the authentication / authorization table 50 is in the state shown in FIG. 3, the integrated user ID of the access user is “UID001”, and the selected service is service A. In this case, the service account information decrypted by the decryption unit 113 includes the service user ID "AID001" and the service user PWM "aesijpf9eupi43topjaef".

統合認可部111は、復号部113によって復号されたサービスアカウント情報をリクエストに格納し、かかるリクエストを選択されたサービスを提供するサービス提供装置2へ送信する(ステップS37)。例えば、認証認可テーブル50が図3に示す状態であり、アクセスユーザの統合ユーザIDが「UID001」であり、かつ選択されたサービスがサービスAであるとする。この場合、統合認可部111は、サービスユーザID「AID001」およびサービスユーザPW「aesijpf9eupi43topjaef」を含むリクエストを「http://A.co.jp」を宛先URLとしてサービス提供装置2へ送信する。 The integrated authorization unit 111 stores the service account information decrypted by the decryption unit 113 in the request, and transmits the request to the service providing device 2 that provides the selected service (step S37). For example, it is assumed that the authentication / authorization table 50 is in the state shown in FIG. 3, the integrated user ID of the access user is “UID001”, and the selected service is service A. In this case, the integrated authorization unit 111 transmits a request including the service user ID “AID001” and the service user PW “aesijpf9eupi43topjaef” to the service providing device 21 with “ http://A.co.jp ” as the destination URL.

統合認可部111からリクエストを受信したサービス提供装置2のサービス認証認可部21は、受信したリクエストに含まれるサービスユーザIDおよびサービスユーザPWの組み合わせがサービス認証情報記憶部23に記憶されているか否かを判定する。サービス認証認可部21は、受信したリクエストに含まれるサービスユーザIDおよびサービスユーザPWの組み合わせがサービス認証情報記憶部23に記憶されている場合に、アクセスユーザの認証が成功したと判定する。 Whether or not the service authentication / authorization unit 21 of the service providing device 2 that has received the request from the integrated authorization unit 111 stores the combination of the service user ID and the service user PW included in the received request in the service authentication information storage unit 23. Is determined. The service authentication authorization unit 21 determines that the authentication of the access user is successful when the combination of the service user ID and the service user PW included in the received request is stored in the service authentication information storage unit 23.

サービス認証認可部21は、アクセスユーザの認証が成功したと判定すると、サービスAを利用するための利用画面の情報を統合認可部111経由でアクセスユーザの端末装置3へ送信する。また、サービス認証認可部21は、アクセスユーザの認証が失敗したと判定すると、認証が失敗したことを示す情報を統合認可部111へ送信する。 When the service authentication authorization unit 21 determines that the authentication of the access user is successful, the service authentication authorization unit 21 transmits information on the usage screen for using the service A to the access user terminal device 3 via the integrated authorization unit 111. Further, when the service authentication / authorization unit 21 determines that the authentication of the access user has failed, the service authentication / authorization unit 21 transmits information indicating that the authentication has failed to the integrated authorization unit 111.

統合認可部111は、ステップS37で送信したリクエストに応答してサービス提供装置2から送信される情報に基づいて、サービス認証が成功したか否かを判定する(ステップS38)。例えば、統合認可部111は、サービスAを利用するための利用画面の情報をサービス提供装置2から受信した場合にサービス認証が成功したと判定する。また、統合認可部111は、サービス提供装置2からサービス認証が失敗したことを示す情報を受信すると、サービス認証が失敗したと判定する。 The integrated authorization unit 111 determines whether or not the service authentication is successful based on the information transmitted from the service providing device 2 in response to the request transmitted in step S37 (step S38). For example, the integrated authorization unit 111 determines that the service authentication is successful when the information on the usage screen for using the service A is received from the service providing device 2. Further, when the integrated authorization unit 111 receives the information indicating that the service authentication has failed from the service providing device 2, it determines that the service authentication has failed.

統合認可部111は、サービス認証が失敗したと判定した場合(ステップS38:No)、処理をステップS31へ移行する。また、統合認可部111は、サービス認証が成功したと判定した場合(ステップS38:Yes)、または、ステップS34の処理が終了した場合、図8に示す処理を終了する。なお、統合認可部111は、サービス認証が失敗したと判定した場合(ステップS38:No)、処理をステップS34へ移行することもできる。 When the integrated authorization unit 111 determines that the service authentication has failed (step S38: No), the integrated authorization unit 111 shifts the process to step S31. Further, when it is determined that the service authentication is successful (step S38: Yes), or when the process of step S34 is completed, the integrated authorization unit 111 ends the process shown in FIG. If the integrated authorization unit 111 determines that the service authentication has failed (step S38: No), the integrated authorization unit 111 may shift the process to step S34.

図9は、実施の形態1にかかる暗号化サービスアカウント処理の一例を示すフローチャートである。かかる暗号化サービスアカウント処理は、未登録の暗号化サービスアカウント情報を統合認証装置12に登録するための処理である。図9に示すように、統合認可部111は、ステップS32で選択されたと判定したサービスを提供するサービス提供装置2へリクエストを送信する(ステップS41)。 FIG. 9 is a flowchart showing an example of the encryption service account processing according to the first embodiment. The encryption service account process is a process for registering unregistered encryption service account information in the integrated authentication device 12. As shown in FIG. 9, the integrated authorization unit 111 transmits a request to the service providing device 2 that provides the service determined to be selected in step S32 (step S41).

統合認可部111は、ステップS41で送信したリクエストに応答してサービス提供装置2から送信されるサービスログイン画面の情報をアクセスユーザの端末装置3へ送信する(ステップS42)。これにより、アクセスユーザの端末装置3には、サービスログイン画面が表示される。アクセスユーザは、端末装置3を操作してサービスログイン画面にユーザIDおよびユーザPWを含むサービスログイン情報を入力し、端末装置3からサービス統合認証認可システム1へ送信させる。 The integrated authorization unit 111 transmits the information on the service login screen transmitted from the service providing device 2 to the terminal device 3 of the access user in response to the request transmitted in step S41 (step S42). As a result, the service login screen is displayed on the terminal device 3 of the access user. The access user operates the terminal device 3 to input the service login information including the user ID and the user PW on the service login screen, and causes the terminal device 3 to transmit the service login information to the service integrated authentication / authorization system 1.

統合認可部111は、アクセスユーザの端末装置3から送信されたサービスログイン情報を選択されたサービス提供装置2へ送信する(ステップS43)。統合認可部111からサービスログイン情報を受信したサービス提供装置2のサービス認証認可部21は、受信したサービスログイン情報と一致するサービスアカウント情報がサービス認証情報記憶部23に記憶されているか否かを判定する。 The integrated authorization unit 111 transmits the service login information transmitted from the terminal device 3 of the access user to the selected service providing device 2 (step S43). The service authentication authorization unit 21 of the service providing device 2 that has received the service login information from the integrated authorization unit 111 determines whether or not the service account information that matches the received service login information is stored in the service authentication information storage unit 23. do.

サービス認証認可部21は、サービスログイン情報と一致するサービスアカウント情報がサービス認証情報記憶部23に記憶されている場合に、アクセスユーザの認証が成功したと判定し、サービスログイン情報と一致するサービスアカウント情報がサービス認証情報記憶部23に記憶されていない場合に、アクセスユーザの認証が失敗したと判定する。 The service authentication authorization unit 21 determines that the authentication of the access user is successful when the service account information matching the service login information is stored in the service authentication information storage unit 23, and the service account matching the service login information. When the information is not stored in the service authentication information storage unit 23, it is determined that the authentication of the access user has failed.

サービス認証認可部21は、アクセスユーザの認証が成功したと判定すると、サービスAを利用するための利用画面の情報を統合認可部111経由でアクセスユーザの端末装置3へ送信する。また、サービス認証認可部21は、アクセスユーザの認証が失敗したと判定すると、認証が失敗したことを示す情報を統合認可部111へ送信する。 When the service authentication authorization unit 21 determines that the authentication of the access user is successful, the service authentication authorization unit 21 transmits information on the usage screen for using the service A to the access user terminal device 3 via the integrated authorization unit 111. Further, when the service authentication / authorization unit 21 determines that the authentication of the access user has failed, the service authentication / authorization unit 21 transmits information indicating that the authentication has failed to the integrated authorization unit 111.

統合認可部111は、ステップS43で送信したサービスログイン情報に応答してサービス提供装置2から送信される情報に基づいて、選択されたサービスを提供するサービス提供装置2による認証であるサービス認証が成功したか否かを判定する(ステップS44)。例えば、統合認可部111は、サービスAを利用するための利用画面の情報をサービス提供装置2から受信した場合にサービス認証が成功したと判定する。また、統合認可部111は、サービス提供装置2から認証が失敗したことを示す情報を受信すると、サービス認証が失敗したと判定する。 The integrated authorization unit 111 succeeds in service authentication, which is authentication by the service providing device 2 that provides the selected service based on the information transmitted from the service providing device 2 in response to the service login information transmitted in step S43. It is determined whether or not it has been done (step S44). For example, the integrated authorization unit 111 determines that the service authentication is successful when the information on the usage screen for using the service A is received from the service providing device 2. Further, when the integrated authorization unit 111 receives the information indicating that the authentication has failed from the service providing device 2, it determines that the service authentication has failed.

統合認可部111は、サービス認証が失敗したと判定した場合(ステップS44:No)、処理をステップS42へ移行する。なお、サービス提供装置2から認証が失敗したことを示す情報は、例えば、ログイン情報の再入力を促すサービスログイン画面の情報であり、かかるサービスログイン画面の情報がステップS42において端末装置3へ送信される。 When the integrated authorization unit 111 determines that the service authentication has failed (step S44: No), the integrated authorization unit 111 shifts the process to step S42. The information indicating that the authentication has failed from the service providing device 2 is, for example, the information on the service login screen for prompting the re-input of the login information, and the information on the service login screen is transmitted to the terminal device 3 in step S42. To log in.

また、統合認可部111は、サービス認証が成功したと判定した場合(ステップS44:Yes)、サービス提供装置2からの利用画面の情報を端末装置3へ送信する(ステップS45)。これにより、アクセスユーザは、端末装置3において、選択したサービスの利用が可能になる。 Further, when the integrated authorization unit 111 determines that the service authentication is successful (step S44: Yes), the integrated authorization unit 111 transmits the information on the usage screen from the service providing device 2 to the terminal device 3 (step S45). As a result, the access user can use the selected service in the terminal device 3.

統合認証装置12の収集部123は、サービス認証が成功したアクセスユーザのサービスアカウント情報をサービス提供装置2から取得する(ステップS46)。収集部123は、サービス提供装置2から取得したサービスアカウント情報を暗号化して暗号化サービスアカウント情報を生成する(ステップS47)。 The collection unit 123 of the integrated authentication device 12 acquires the service account information of the access user whose service authentication is successful from the service providing device 2 (step S46). The collecting unit 123 encrypts the service account information acquired from the service providing device 2 to generate the encrypted service account information (step S47).

具体的には、収集部123は、サービスユーザIDとサービスユーザPWを組み合わせた文字列に対し、暗号鍵を使用し暗号化する。このとき、収集部123は、復号時にサービスユーザIDとサービスユーザPWとを各々認識できるように、サービスユーザIDとサービスユーザPWを組み合わせた文字列を、サービスユーザIDまたはサービスユーザPWを識別子で囲んだ状態にする。例えば、サービスユーザIDが「AID001」であり、サービスユーザPWが「aesijpf9eupi43topjaef」である場合、サービスユーザIDまたはサービスユーザPWを組み合わせた文字列は、「AID001$aesijpf9eupi43topjaef$」である。 Specifically, the collecting unit 123 encrypts the character string in which the service user ID and the service user PW are combined by using the encryption key. At this time, the collecting unit 123 encloses the character string combining the service user ID and the service user PW with an identifier so that the service user ID and the service user PW can be recognized at the time of decryption. Put it in a state. For example, when the service user ID is "AID001" and the service user PW is "aesijpf9eupi43topjaef", the character string combining the service user ID or the service user PW is "AID001 $ aesijpf9eupi43topjaef $".

収集部123は、生成した暗号化サービスアカウント情報をアクセスユーザの統合ユーザIDに関連付けて認証情報記憶部122に記憶する(ステップS48)。ステップS48の処理が終了すると、図9に示す処理が終了する。 The collecting unit 123 associates the generated encryption service account information with the integrated user ID of the access user and stores it in the authentication information storage unit 122 (step S48). When the process of step S48 is completed, the process shown in FIG. 9 is completed.

なお、収集部123は、サービス認証が成功したアクセスユーザのサービスアカウント情報をサービス提供装置2から統合認可装置11を介して収集することができる。また、統合認可部111は、ステップS43でサービス提供装置2へ送信したサービスログイン情報をアクセスユーザのサービスアカウント情報として取得し、取得したサービスアカウント情報を収集部123へ出力することもできる。 The collection unit 123 can collect the service account information of the access user who has succeeded in the service authentication from the service providing device 2 via the integrated authorization device 11. Further, the integrated authorization unit 111 can acquire the service login information transmitted to the service providing device 2 in step S43 as the service account information of the access user, and output the acquired service account information to the collection unit 123.

図10は、実施の形態1にかかるサービス統合認証認可システムのハードウェア構成の一例を示す図である。図10に示すように、サービス統合認証認可システム1は、プロセッサ101と、メモリ102と、インタフェース回路103とを備えるコンピュータを含む。 FIG. 10 is a diagram showing an example of the hardware configuration of the service integrated authentication / authorization system according to the first embodiment. As shown in FIG. 10, the service integrated authentication / authorization system 1 includes a computer including a processor 101, a memory 102, and an interface circuit 103.

プロセッサ101、メモリ102およびインタフェース回路103は、バス104によって互いにデータの送受信が可能である。プロセッサ101は、メモリ102に記憶されたプログラムを読み出して実行することによって、統合認可装置11および統合認証装置12の機能を実行する。プロセッサ101は、処理回路の一例であり、CPU(Central Processing Unit)、DSP(Digital Signal Processer)、およびシステムLSI(Large Scale Integration)のうち一つ以上を含む。 The processor 101, the memory 102, and the interface circuit 103 can send and receive data to and from each other by the bus 104. The processor 101 executes the functions of the integrated authorization device 11 and the integrated authentication device 12 by reading and executing the program stored in the memory 102. The processor 101 is an example of a processing circuit, and includes one or more of a CPU (Central Processing Unit), a DSP (Digital Signal Processer), and a system LSI (Large Scale Integration).

メモリ102は、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ、およびEPROM(Erasable Programmable Read Only Memory)のうち一つ以上を含む。また、メモリ102は、コンピュータが読み取り可能な上述のプログラムが記録された記録媒体を含む。かかる記録媒体は、不揮発性または揮発性の半導体メモリ、磁気ディスク、フレキシブルメモリ、光ディスク、コンパクトディスク、およびDVDのうち一つ以上を含む。なお、サービス統合認証認可システム1は、ASIC(Application Specific Integrated Circuit)およびFPGA(Field Programmable Gate Array)などの集積回路を含んでいてもよい。また、統合認可装置11および統合認証装置は各々図10に示すハードウェア構成を有していてもよい。 The memory 102 includes one or more of a RAM (Random Access Memory), a ROM (Read Only Memory), a flash memory, and an EPROM (Erasable Programmable Read Only Memory). Further, the memory 102 includes a recording medium in which the above-mentioned program readable by a computer is recorded. Such recording media include one or more of non-volatile or volatile semiconductor memories, magnetic disks, flexible memories, optical discs, compact disks, and DVDs. The service integrated certification / authorization system 1 may include integrated circuits such as an ASIC (Application Specific Integrated Circuit) and an FPGA (Field Programmable Gate Array). Further, the integrated authorization device 11 and the integrated authentication device may each have the hardware configuration shown in FIG.

以上のように、実施の形態1にかかるサービス統合認証認可システム1は、ユーザUの認証を行う統合認証装置12と、統合認証装置12による認証の結果に基づき、ユーザUの端末装置3と各サービス提供装置2とを連携する統合認可装置11とを備える。統合認証装置12は、ユーザUの端末装置3から送信される統合認証情報に基づいてユーザUの認証を行う統合認証部121と、各サービス提供装置2が提供するサービスにおけるユーザUのアカウント情報であるサービスアカウント情報を暗号化した暗号化サービスアカウント情報を記憶する認証情報記憶部122とを備える。暗号化サービスアカウント情報は、暗号化情報の一例である。統合認可装置11は、統合認証装置12から暗号化サービスアカウント情報を取得する取得部112と、暗号化サービスアカウント情報をサービスアカウント情報に復号する復号部113と、復号されたサービスアカウント情報に基づき、統合認証装置12による認証が行われたユーザUのサービス認証と各サービス提供装置2に実行させる統合認可部111とを備える。これにより、既存サービスの認証認可機能の改修を行うことなく、ユーザUが一度の認証で複数のサービスを利用することができる。 As described above, the service integrated authentication / authorization system 1 according to the first embodiment includes the integrated authentication device 12 that authenticates the user U and the terminal device 3 of the user U based on the result of the authentication by the integrated authentication device 12. It is provided with an integrated authorization device 11 that cooperates with the service providing device 2. The integrated authentication device 12 is the account information of the user U in the service provided by each service providing device 2 and the integrated authentication unit 121 that authenticates the user U based on the integrated authentication information transmitted from the terminal device 3 of the user U. It is provided with an authentication information storage unit 122 for storing encrypted service account information obtained by encrypting certain service account information. The encryption service account information is an example of encryption information. The integrated authorization device 11 is based on the acquisition unit 112 that acquires the encrypted service account information from the integrated authentication device 12, the decryption unit 113 that decrypts the encrypted service account information into the service account information, and the decrypted service account information. It includes a service authentication of the user U authenticated by the integrated authentication device 12 and an integrated authorization unit 111 to be executed by each service providing device 2. As a result, the user U can use a plurality of services with one authentication without modifying the authentication / authorization function of the existing service.

また、統合認証装置12は、各サービス提供装置2からサービスアカウント情報を収集し、暗号化する収集部123を備える。これにより、ユーザUは、手動でサービスアカウント情報を設定する手間を省くことができる。 Further, the integrated authentication device 12 includes a collection unit 123 that collects and encrypts service account information from each service providing device 2. As a result, the user U can save the trouble of manually setting the service account information.

また、統合認可部111は、統合認証装置12によるユーザUの認証後、ユーザUによって選択されたサービスを提供するサービス提供装置2にユーザUの認証を実行させる。これにより、ユーザUが利用したサービスのみが認証されるため、認証処理の負荷を低減することができる。 Further, the integrated authorization unit 111 causes the service providing device 2 that provides the service selected by the user U to authenticate the user U after the integrated authentication device 12 authenticates the user U. As a result, only the service used by the user U is authenticated, so that the load of the authentication process can be reduced.

また、複数のサービス提供装置2は、クラウドサービスにおけるマルチテナントによって構成される。これにより、クラウドサービスにおいて、既存サービスの認証認可機能の改修を行うことなく、ユーザUが一度の認証で複数のサービスを利用することができる。 Further, the plurality of service providing devices 2 are configured by a multi-tenant in the cloud service. As a result, in the cloud service, the user U can use a plurality of services with one authentication without modifying the authentication / authorization function of the existing service.

実施の形態2.
実施の形態2では、統合認証情報と暗号化サービスアカウント情報とを分離して記憶する点で、実施の形態1と異なる。以下においては、実施の形態1にかかるサービス統合認証認可システム1と同様の構成については同一符号を付して説明を省略し、実施の形態1にかかるサービス統合認証認可システム1と異なる構成について主に説明するものとする。
Embodiment 2.
The second embodiment is different from the first embodiment in that the integrated authentication information and the encryption service account information are stored separately. In the following, the same components as those of the service integrated authentication / authorization system 1 according to the first embodiment are designated by the same reference numerals and the description thereof will be omitted, and the configurations different from the service integrated authentication / authorization system 1 according to the first embodiment will be mainly described. It shall be explained to.

図11は、本発明の実施の形態2にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図である。図11に示すように、実施の形態2にかかる情報処理システム100Aは、サービス統合認証認可システム1Aと、サービス提供装置2,2と、端末装置3を備える。なお、図11に示す例では、端末装置3を一つのみ示しているが、実施の形態1と同様に、端末装置3は複数設けられる。 FIG. 11 is a diagram showing a configuration example of the service integrated authentication / authorization system and the service providing device according to the second embodiment of the present invention. As shown in FIG. 11, the information processing system 100A according to the second embodiment includes a service integrated authentication / authorization system 1A, service providing devices 2 1 and 22 and a terminal device 3. In the example shown in FIG. 11, only one terminal device 3 is shown, but as in the first embodiment, a plurality of terminal devices 3 are provided.

サービス統合認証認可システム1Aは、統合認可装置11と、統合認証装置12Aとを備える。統合認証装置12Aは、図2に示す認証情報記憶部122に代えて、統合情報記憶部124および認証情報記憶部122Aを有する点で、図2に示す統合認証装置12と異なる。 The service integrated authentication / authorization system 1A includes an integrated authorization device 11 and an integrated authentication device 12A. The integrated authentication device 12A differs from the integrated authentication device 12 shown in FIG. 2 in that it has an integrated information storage unit 124 and an authentication information storage unit 122A in place of the authentication information storage unit 122 shown in FIG.

統合情報記憶部124には、各ユーザUの統合認証情報が記憶される。統合認証部121は、統合情報記憶部124に記憶される統合認証情報に基づいて、ユーザUの統合認証を行う。 The integrated information storage unit 124 stores the integrated authentication information of each user U. The integrated authentication unit 121 performs integrated authentication of the user U based on the integrated authentication information stored in the integrated information storage unit 124.

図12は、実施の形態2にかかる統合認証テーブルの一例を示す図である。図12に示すように、統合情報記憶部124に記憶される統合認証テーブル53は、「統合ユーザID」および「統合ユーザPW」が互いに関連付けられた情報を含む。統合認証部121は、統合認証テーブル53に含まれる統合認証情報に基づいて、ユーザUの統合認証を行う。 FIG. 12 is a diagram showing an example of the integrated authentication table according to the second embodiment. As shown in FIG. 12, the integrated authentication table 53 stored in the integrated information storage unit 124 includes information in which the “integrated user ID” and the “integrated user PW” are associated with each other. The integrated authentication unit 121 performs integrated authentication of the user U based on the integrated authentication information included in the integrated authentication table 53.

認証情報記憶部122Aには、各ユーザUの暗号化サービスアカウント情報が記憶される。統合認可装置11は、統合認証装置12Aにおいて統合認証が成功した場合、認証情報記憶部122Aに記憶された暗号化サービスアカウント情報を取得する。統合認可装置11は、取得した暗号化サービスアカウント情報をサービスアカウント情報に復号し、復号したサービスアカウント情報をサービス提供装置2へ送信する。 The authentication information storage unit 122A stores the encryption service account information of each user U. When the integrated authentication device 12A succeeds in the integrated authentication, the integrated authorization device 11 acquires the encryption service account information stored in the authentication information storage unit 122A. The integrated authorization device 11 decrypts the acquired encrypted service account information into service account information, and transmits the decrypted service account information to the service providing device 2.

図13は、実施の形態2にかかるサービスアカウントテーブルの一例を示す図である。図13に示すように、認証情報記憶部122Aに記憶されるサービスアカウントテーブル54は、「統合ユーザID」、「サービスURL」、「暗号化サービスアカウント情報」、および「復号鍵」が互いに関連付けられた情報を含む。 FIG. 13 is a diagram showing an example of a service account table according to the second embodiment. As shown in FIG. 13, in the service account table 54 stored in the authentication information storage unit 122A, the "integrated user ID", the "service URL", the "encrypted service account information", and the "decryption key" are associated with each other. Includes information.

取得部112は、サービスアカウントテーブル54からアクセスユーザの暗号化サービスアカウント情報を取得し、復号部113は、取得部112によって取得された暗号化サービスアカウント情報をサービスアカウント情報に復号する。統合認可部111は、復号部113によって復号されたサービスアカウント情報を用いて、サービス提供装置2にサービス認証を実行させる。 The acquisition unit 112 acquires the encrypted service account information of the access user from the service account table 54, and the decryption unit 113 decrypts the encrypted service account information acquired by the acquisition unit 112 into the service account information. The integrated authorization unit 111 causes the service providing device 2 to execute the service authentication by using the service account information decrypted by the decryption unit 113.

図14は、実施の形態2にかかる統合認証処理の一例を示すフローチャートである。図14に示すステップS21からS24の処理は、図7に示すステップS21からS24の処理と同じであるため説明を省略する。 FIG. 14 is a flowchart showing an example of the integrated authentication process according to the second embodiment. Since the processing of steps S21 to S24 shown in FIG. 14 is the same as the processing of steps S21 to S24 shown in FIG. 7, the description thereof will be omitted.

統合認証部121は、ステップS24で取得したと判定した統合ログイン情報を統合情報記憶部124に記憶されている統合認証情報と比較する(ステップS25A)。そして、統合認証部121は、ステップS25Aにおける比較の結果に基づいて、アクセスユーザの認証である統合認証が成功したか否かを判定する(ステップS26A)。ステップS26Aにおいて、統合認証部121は、統合ログイン情報と一致する統合認証情報が統合情報記憶部124に記憶されている場合、統合認証が成功したと判定し、統合ログイン情報と一致する統合認証情報が統合情報記憶部124に記憶されていない場合、統合認証が失敗したと判定する。 The integrated authentication unit 121 compares the integrated login information determined in step S24 with the integrated authentication information stored in the integrated information storage unit 124 (step S25A). Then, the integrated authentication unit 121 determines whether or not the integrated authentication, which is the authentication of the access user, has succeeded based on the result of the comparison in step S25A (step S26A). In step S26A, if the integrated authentication information matching the integrated login information is stored in the integrated information storage unit 124, the integrated authentication unit 121 determines that the integrated authentication was successful, and the integrated authentication information matching the integrated login information. Is not stored in the integrated information storage unit 124, it is determined that the integrated authentication has failed.

統合認証部121は、統合認証が成功したと判定した場合(ステップS26A:Yes)、ステップS24で取得したと判定したアクセスユーザの統合ユーザIDを保持する(ステップS27)。また、統合認証部121は、アクセスユーザが認証済であると判定した場合(ステップS22)、アクセスユーザのCookie情報を参照し、統合ユーザIDを保持する(ステップS27)。 When it is determined that the integrated authentication is successful (step S26A: Yes), the integrated authentication unit 121 holds the integrated user ID of the access user determined to have been acquired in step S24 (step S27). Further, when the integrated authentication unit 121 determines that the access user has been authenticated (step S22), the integrated authentication unit 121 refers to the cookie information of the access user and holds the integrated user ID (step S27).

図15は、実施の形態2にかかるサービス認証処理の一例を示すフローチャートである。図15に示すステップS31からS34,S36からS38の処理は、図8に示すステップS31からS34,S36からS38の処理と同じであるため説明を省略する。 FIG. 15 is a flowchart showing an example of the service authentication process according to the second embodiment. Since the processes of steps S31 to S34 and S36 to S38 shown in FIG. 15 are the same as the processes of steps S31 to S34 and S36 to S38 shown in FIG. 8, the description thereof will be omitted.

取得部112は、ステップS35Aにおいて、ステップS27で保持した統合ユーザIDと選択されたサービスとに関連付けられた暗号化サービスアカウント情報と復号鍵とを認証情報記憶部122Aから取得する。取得部112で取得された暗号化サービスアカウント情報は復号部113でサービスアカウント情報に復号され、選択されたサービスを提供するサービス提供装置2へ送信される。 In step S35A, the acquisition unit 112 acquires the encryption service account information and the decryption key associated with the integrated user ID held in step S27 and the selected service from the authentication information storage unit 122A. The encrypted service account information acquired by the acquisition unit 112 is decrypted into the service account information by the decryption unit 113, and is transmitted to the service providing device 2 that provides the selected service.

なお、実施の形態2にかかるサービス統合認証認可システム1Aのハードウェア構成例は、実施の形態1にかかるサービス統合認証認可システム1と同じである。例えば、図10に示すプロセッサ101は、メモリ102に記憶されたプログラムを読み出して実行することによって、統合認可装置11および統合認証装置12Aの機能を実行することができる。 The hardware configuration example of the service integrated authentication / authorization system 1A according to the second embodiment is the same as the service integrated authentication / authorization system 1 according to the first embodiment. For example, the processor 101 shown in FIG. 10 can execute the functions of the integrated authorization device 11 and the integrated authentication device 12A by reading and executing the program stored in the memory 102.

以上のように、実施の形態2にかかるサービス統合認証認可システム1Aは、統合認証を行うためユーザUの統合認証情報を記憶する統合情報記憶部124と、認証情報記憶部122Aとを備える。統合認証部121は、統合情報記憶部124に記憶された統合認証情報に基づいて、統合認証を行う。また、統合認可部111は、認証情報記憶部122Aに記憶された暗号化サービスアカウント情報を復号して生成されるサービスアカウント情報に基づいて、統合認証が行われたユーザUの認証を各サービス提供装置2に実行させる。これにより、統合認証情報と暗号化サービスアカウント情報とを分離して管理することができるため、セキュリティを強化した状態で、端末装置3と各サービス提供装置2とを連携することができる。 As described above, the service integrated authentication / authorization system 1A according to the second embodiment includes an integrated information storage unit 124 for storing the integrated authentication information of the user U and an authentication information storage unit 122A for performing integrated authentication. The integrated authentication unit 121 performs integrated authentication based on the integrated authentication information stored in the integrated information storage unit 124. Further, the integrated authorization unit 111 provides each service with the authentication of the user U for which the integrated authentication has been performed, based on the service account information generated by decrypting the encrypted service account information stored in the authentication information storage unit 122A. Let device 2 execute. As a result, the integrated authentication information and the encryption service account information can be managed separately, so that the terminal device 3 and each service providing device 2 can be linked with each other in a state where the security is strengthened.

実施の形態3.
実施の形態3では、セキュリティキーが記憶されたデバイスを用いて統合認証処理が行われる点で、ユーザがユーザIDとユーザPWを手作業で入力する実施の形態1と異なる。以下においては、実施の形態1にかかるサービス統合認証認可システム1と同様の構成については同一符号を付して説明を省略し、実施の形態1にかかるサービス統合認証認可システム1と異なる構成について主に説明するものとする。
Embodiment 3.
The third embodiment is different from the first embodiment in that the integrated authentication process is performed using the device in which the security key is stored, and the user manually inputs the user ID and the user PW. In the following, the same components as those of the service integrated authentication / authorization system 1 according to the first embodiment are designated by the same reference numerals and the description thereof will be omitted, and the configurations different from the service integrated authentication / authorization system 1 according to the first embodiment will be mainly described. It shall be explained to.

図16は、本発明の実施の形態3にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図である。図16に示すように、実施の形態2にかかる情報処理システム100Bは、サービス統合認証認可システム1Bと、サービス提供装置2,2と、端末装置3とを備える。端末装置3には、セキュリティキーが記憶されたデバイス5が接続される。かかるデバイス5は、例えば、端末装置3にUSB(Universal Serial Bus)接続されるドングルである。なお、図16に示す例では、端末装置3を一つのみ示しているが、実施の形態1と同様に端末装置3は複数設けられる。 FIG. 16 is a diagram showing a configuration example of the service integrated authentication / authorization system and the service providing device according to the third embodiment of the present invention. As shown in FIG. 16, the information processing system 100B according to the second embodiment includes a service integrated authentication / authorization system 1B, service providing devices 2 1 and 22 and a terminal device 3. A device 5 in which a security key is stored is connected to the terminal device 3. The device 5 is, for example, a dongle connected to the terminal device 3 via USB (Universal Serial Bus). In the example shown in FIG. 16, only one terminal device 3 is shown, but a plurality of terminal devices 3 are provided as in the first embodiment.

サービス統合認証認可システム1Bは、統合認可装置11と、統合認証装置12Bとを備える。統合認証装置12Bは、図2に示す認証情報記憶部122に代えて、認証情報記憶部122Bを有する点で、図2に示す統合認証装置12と異なる。 The service integrated authentication / authorization system 1B includes an integrated authorization device 11 and an integrated authentication device 12B. The integrated authentication device 12B differs from the integrated authentication device 12 shown in FIG. 2 in that it has an authentication information storage unit 122B instead of the authentication information storage unit 122 shown in FIG.

図17は、実施の形態3にかかる認証認可テーブルの一例を示す図である。図17に示すように、認証情報記憶部122Bに記憶され認証認可テーブル55は、「セキュリティキー」、「サービスURL」、「暗号化サービスアカウント情報」、および「復号鍵」が互いに関連付けられた情報を含む。「セキュリティキー」は、デバイス5が記憶している固有のセキュリティキーであり、サービス統合認証認可システム1Bへのログイン時に認証情報として用いられる。かかるセキュリティキーは、統合認証情報の一例である。 FIG. 17 is a diagram showing an example of the authentication / authorization table according to the third embodiment. As shown in FIG. 17, the authentication authorization table 55 stored in the authentication information storage unit 122B is information in which a "security key", a "service URL", an "encryption service account information", and a "decryption key" are associated with each other. including. The "security key" is a unique security key stored in the device 5, and is used as authentication information when logging in to the service integrated authentication / authorization system 1B. Such a security key is an example of integrated authentication information.

ここで、サービス統合認証認可システム1Bによる統合認証処理について説明する。サービス統合認証認可システム1Bによる統合認証処理は、図7に示すサービス統合認証認可システム1による統合認証処理と同様の処理であるが、統合認証情報がセキュリティキーである点で異なる。 Here, the integrated authentication process by the service integrated authentication authorization system 1B will be described. The integrated authentication process by the service integrated authentication / authorization system 1B is the same process as the integrated authentication process by the service integrated authentication / authorization system 1 shown in FIG. 7, except that the integrated authentication information is a security key.

デバイス5が接続された端末装置3は、サービス統合認証認可システム1Bから統合ログイン画面の情報を受信すると、デバイス5に記憶されたセキュリティキーをデバイス5から読み出し、読み出したセキュリティキーをサービス統合認証認可システム1Bへ送信する。なお、端末装置3は、統合ログイン画面の情報を受信していない状態で、セキュリティキーをサービス統合認証認可システム1Bへ送信することもできる。統合認証部121は、図7に示すステップS24で端末装置3からセキュリティキーを取得したか否かを判定する。統合認証部121は、セキュリティキーを取得したと判定した場合(ステップS24:Yes)、ステップS24で取得したと判定したセキュリティキーを認証情報記憶部122Bに記憶されているセキュリティキーと比較する(ステップS25)。 When the terminal device 3 to which the device 5 is connected receives the information on the integrated login screen from the service integrated authentication / authorization system 1B, the security key stored in the device 5 is read from the device 5, and the read security key is used for the service integrated authentication / authorization. Send to system 1B. The terminal device 3 can also transmit the security key to the service integrated authentication / authorization system 1B without receiving the information on the integrated login screen. The integrated authentication unit 121 determines whether or not the security key has been acquired from the terminal device 3 in step S24 shown in FIG. When the integrated authentication unit 121 determines that the security key has been acquired (step S24: Yes), the integrated authentication unit 121 compares the security key determined to have been acquired in step S24 with the security key stored in the authentication information storage unit 122B (step S24: Yes). S25).

統合認証部121は、ステップS25における比較の結果に基づいて、アクセスユーザの認証である統合認証が成功したか否かを判定する(ステップS26)。ステップS26において、統合認証部121は、ステップS24で取得したと判定したセキュリティキーと一致する統合セキュリティキーが認証情報記憶部122Bに記憶されている場合、アクセスユーザの認証である統合認証が成功したと判定し、ステップS24で取得したと判定したセキュリティキーと一致する統合セキュリティキーが認証情報記憶部122Bに記憶されていない場合、統合認証が失敗したと判定する。 The integrated authentication unit 121 determines whether or not the integrated authentication, which is the authentication of the access user, has succeeded based on the result of the comparison in step S25 (step S26). In step S26, when the integrated security key matching the security key determined to be acquired in step S24 is stored in the authentication information storage unit 122B, the integrated authentication unit 121 succeeds in the integrated authentication which is the authentication of the access user. If the integrated security key that matches the security key determined to be acquired in step S24 is not stored in the authentication information storage unit 122B, it is determined that the integrated authentication has failed.

なお、実施の形態3にかかるサービス統合認証認可システム1Bのハードウェア構成例は、実施の形態1にかかるサービス統合認証認可システム1と同じである。例えば、図10に示すプロセッサ101は、メモリ102に記憶されたプログラムを読み出して実行することによって、統合認可装置11および統合認証装置12Bの機能を実行することができる。 The hardware configuration example of the service integrated authentication / authorization system 1B according to the third embodiment is the same as the service integrated authentication / authorization system 1 according to the first embodiment. For example, the processor 101 shown in FIG. 10 can execute the functions of the integrated authorization device 11 and the integrated authentication device 12B by reading and executing the program stored in the memory 102.

また、統合認証装置12Bは、実施の形態2の統合認証装置12Aと同様に、統合認証情報の一例であるセキュリティキーと暗号化サービスアカウント情報とを分離して記憶する構成であってもよい。すなわち、統合認証装置12Bは、認証情報記憶部122Bに代えて、セキュリティキーと統合ユーザIDとを記憶する統合情報記憶部と、統合ユーザID、暗号化サービスアカウント情報、および復号鍵を記憶する認証情報記憶部とを含む構成であってもよい。 Further, the integrated authentication device 12B may be configured to separately store the security key, which is an example of the integrated authentication information, and the encryption service account information, as in the integrated authentication device 12A of the second embodiment. That is, the integrated authentication device 12B replaces the authentication information storage unit 122B with an integrated information storage unit that stores a security key and an integrated user ID, and an authentication that stores an integrated user ID, an encryption service account information, and a decryption key. It may be configured to include an information storage unit.

以上のように、実施の形態3にかかる統合認証部121は、セキュリティキーが記憶されたデバイス5が接続された端末装置3から送信されるセキュリティキーと認証情報記憶部122Bに記憶された統合認証情報の一例であるセキュリティキーとを比較することで、統合認証を行う。これにより、例えば、ドングルなどの外部USB機器による認証動作が可能となり、ユーザIDおよびパスワードを管理する必要がない。また、固有のセキュリティキーによる認証が可能となるため、セキュリティを強化することができる。なお、実施の形態1のように、ユーザIDおよびパスワードを入力する方法と組み合わせてもよく、これにより、セキュリティをさらに強化することができる。 As described above, the integrated authentication unit 121 according to the third embodiment has the integrated authentication stored in the security key and the authentication information storage unit 122B transmitted from the terminal device 3 to which the device 5 in which the security key is stored is connected. Integrated authentication is performed by comparing with the security key, which is an example of information. As a result, for example, an authentication operation by an external USB device such as a dongle becomes possible, and it is not necessary to manage the user ID and password. In addition, security can be enhanced because authentication using a unique security key is possible. In addition, as in the first embodiment, it may be combined with the method of inputting the user ID and the password, which can further enhance the security.

実施の形態4.
実施の形態4では、バイオメトリクスにより統合認証処理が行われる点で、ユーザがユーザIDとユーザPWを手作業で入力する実施の形態1と異なる。以下においては、実施の形態1にかかるサービス統合認証認可システム1と同様の構成については同一符号を付して説明を省略し、実施の形態1にかかるサービス統合認証認可システム1と異なる構成について主に説明するものとする。
Embodiment 4.
The fourth embodiment is different from the first embodiment in that the user manually inputs the user ID and the user PW in that the integrated authentication process is performed by biometrics. In the following, the same components as those of the service integrated authentication / authorization system 1 according to the first embodiment are designated by the same reference numerals and the description thereof will be omitted, and the configurations different from the service integrated authentication / authorization system 1 according to the first embodiment will be mainly described. It shall be explained to.

図18は、本発明の実施の形態4にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図である。図18に示すように、実施の形態2にかかる情報処理システム100Cは、サービス統合認証認可システム1Cと、サービス提供装置2,2と、端末装置3とを備える。端末装置3には、ユーザUの身体特徴情報を検出するバイオメトリクス装置6が接続される。 FIG. 18 is a diagram showing a configuration example of the service integrated authentication / authorization system and the service providing device according to the fourth embodiment of the present invention. As shown in FIG. 18, the information processing system 100C according to the second embodiment includes a service integrated authentication / authorization system 1C, service providing devices 2 1 and 22 and a terminal device 3. A biometrics device 6 for detecting the body characteristic information of the user U is connected to the terminal device 3.

バイオメトリクス装置6は、例えば、端末装置3にUSB接続されるが、端末装置3に内蔵されていてもよい。バイオメトリクス装置6は、例えば、ユーザUの指紋、顔、虹彩、声紋、および掌形の少なくとも一つの情報である身体特徴情報をユーザUのユーザ固有身体特徴情報として取得する。なお、図18に示す例では、端末装置3を一つのみ示しているが、実施の形態1と同様に端末装置3は複数設けられる。 The biometrics device 6 is connected to the terminal device 3 by USB, for example, but may be built in the terminal device 3. The biometrics device 6 acquires, for example, physical characteristic information which is at least one information of the fingerprint, face, iris, voiceprint, and palm shape of the user U as the user-specific physical characteristic information of the user U. In the example shown in FIG. 18, only one terminal device 3 is shown, but a plurality of terminal devices 3 are provided as in the first embodiment.

サービス統合認証認可システム1Cは、統合認可装置11と、統合認証装置12Cとを備える。統合認証装置12Cは、図2に示す認証情報記憶部122に代えて、認証情報記憶部122Cを有する点で、図2に示す統合認証装置12と異なる。 The service integrated authentication / authorization system 1C includes an integrated authorization device 11 and an integrated authentication device 12C. The integrated authentication device 12C is different from the integrated authentication device 12 shown in FIG. 2 in that it has the authentication information storage unit 122C instead of the authentication information storage unit 122 shown in FIG.

図19は、実施の形態4にかかる認証認可テーブルの一例を示す図である。図19に示すように、認証情報記憶部122Cに記憶された認証認可テーブル56は、「ユーザ固有身体特徴情報」、「サービスURL」、「暗号化サービスアカウント情報」、および「復号鍵」が互いに関連付けられた情報を含む。「ユーザ固有身体特徴情報」は、例えば、ユーザUの指紋、顔、虹彩、声紋、および掌形の少なくとも一つの情報であり、サービス統合認証認可システム1Cへのログイン時に認証情報として用いられる。かかるユーザ固有身体特徴情報は、統合認証情報の一例である。 FIG. 19 is a diagram showing an example of the authentication / authorization table according to the fourth embodiment. As shown in FIG. 19, in the authentication authorization table 56 stored in the authentication information storage unit 122C, the "user-specific physical feature information", the "service URL", the "encrypted service account information", and the "decryption key" are mutually exclusive. Contains associated information. The "user-specific physical feature information" is, for example, at least one piece of information about the fingerprint, face, iris, voiceprint, and palm shape of the user U, and is used as authentication information when logging in to the service integrated authentication / authorization system 1C. Such user-specific physical characteristic information is an example of integrated authentication information.

ここで、サービス統合認証認可システム1Cによる統合認証処理について説明する。サービス統合認証認可システム1Cによる統合認証処理は、図7に示すサービス統合認証認可システム1による統合認証処理と同様の処理であるが、統合認証情報がユーザ固有身体特徴情報である点で異なる。 Here, the integrated authentication process by the service integrated authentication authorization system 1C will be described. The integrated authentication process by the service integrated authentication / authorization system 1C is the same process as the integrated authentication process by the service integrated authentication / authorization system 1 shown in FIG. 7, except that the integrated authentication information is the user-specific physical characteristic information.

バイオメトリクス装置6が接続された端末装置3は、サービス統合認証認可システム1Cから統合ログイン画面の情報を受信すると、バイオメトリクス装置6から出力されるユーザ固有身体特徴情報をサービス統合認証認可システム1Cへ送信する。なお、端末装置3は、統合ログイン画面の情報を受信していない状態で、ユーザ固有身体特徴情報をサービス統合認証認可システム1Bへ送信することもできる。統合認証部121は、図7に示すステップS24で端末装置3からユーザ固有身体特徴情報を取得したか否かを判定する。統合認証部121は、ユーザ固有身体特徴情報を取得したと判定した場合(ステップS24:Yes)、ステップS24で取得したと判定したユーザ固有身体特徴情報を認証情報記憶部122Cに記憶されているユーザ固有身体特徴情報と比較する(ステップS25)。 When the terminal device 3 to which the biometrics device 6 is connected receives the information on the integrated login screen from the service integrated authentication / authorization system 1C, the user-specific physical characteristic information output from the biometrics apparatus 6 is sent to the service integrated authentication / authorization system 1C. Send. The terminal device 3 can also transmit the user-specific physical feature information to the service integrated authentication / authorization system 1B without receiving the information on the integrated login screen. The integrated authentication unit 121 determines whether or not the user-specific physical feature information has been acquired from the terminal device 3 in step S24 shown in FIG. When the integrated authentication unit 121 determines that the user-specific body feature information has been acquired (step S24: Yes), the user who has determined that the user-specific body feature information has been acquired in step S24 is stored in the authentication information storage unit 122C. Compare with the intrinsic body characteristic information (step S25).

統合認証部121は、ステップS25における比較の結果に基づいて、アクセスユーザの認証である統合認証が成功したか否かを判定する(ステップS26)。ステップS26において、統合認証部121は、ステップS24で取得したと判定したユーザ固有身体特徴情報と一致するユーザ固有身体特徴情報が認証情報記憶部122Cに記憶されている場合、アクセスユーザの認証である統合認証が成功したと判定する。統合認証部121は、ステップS24で取得したと判定したユーザ固有身体特徴情報と一致するユーザ固有身体特徴情報が認証情報記憶部122Cに記憶されていない場合、統合認証が失敗したと判定する。 The integrated authentication unit 121 determines whether or not the integrated authentication, which is the authentication of the access user, has succeeded based on the result of the comparison in step S25 (step S26). In step S26, the integrated authentication unit 121 authenticates the access user when the user-specific body feature information matching the user-specific body feature information determined to be acquired in step S24 is stored in the authentication information storage unit 122C. Judge that the integrated authentication was successful. The integrated authentication unit 121 determines that the integrated authentication has failed when the user-specific body feature information matching the user-specific body feature information determined to be acquired in step S24 is not stored in the authentication information storage unit 122C.

なお、実施の形態4にかかるサービス統合認証認可システム1Cのハードウェア構成例は、実施の形態1にかかるサービス統合認証認可システム1と同じである。例えば、図10に示すプロセッサ101は、メモリ102に記憶されたプログラムを読み出して実行することによって、統合認可装置11および統合認証装置12Cの機能を実行することができる。 The hardware configuration example of the service integrated authentication / authorization system 1C according to the fourth embodiment is the same as the service integrated authentication / authorization system 1 according to the first embodiment. For example, the processor 101 shown in FIG. 10 can execute the functions of the integrated authorization device 11 and the integrated authentication device 12C by reading and executing the program stored in the memory 102.

また、統合認証装置12Cは、実施の形態2の統合認証装置12Aと同様に、統合認証情報の一例であるユーザ固有身体特徴情報と暗号化サービスアカウント情報とを分離して記憶する構成であってもよい。すなわち、統合認証装置12Cは、認証情報記憶部122Cに代えて、ユーザ固有身体特徴情報と統合ユーザIDとを記憶する統合情報記憶部と、統合ユーザID、暗号化サービスアカウント情報、および復号鍵を記憶する認証情報記憶部とを含む構成であってもよい。 Further, the integrated authentication device 12C has a configuration in which the user-specific physical feature information and the encryption service account information, which are examples of the integrated authentication information, are separately stored, as in the integrated authentication device 12A of the second embodiment. May be good. That is, instead of the authentication information storage unit 122C, the integrated authentication device 12C stores the integrated information storage unit that stores the user-specific physical feature information and the integrated user ID, the integrated user ID, the encryption service account information, and the decryption key. It may be configured to include an authentication information storage unit to be stored.

以上のように、実施の形態4にかかる統合認証部121は、バイオメトリクス装置6によって取得され端末装置3から送信されるユーザUの身体特徴情報と認証情報記憶部122Cに記憶された統合認証情報の一例であるユーザ固有身体特徴情報とを比較することで、統合認証を行う。これにより、バイオメトリクスによる認証動作が可能となり、ユーザIDおよびパスワードを管理する必要がない。また、ユーザ固有の身体特徴情報による認証が可能となるため、セキュリティを強化することができる。なお、実施の形態1のように、ユーザIDおよびパスワードを入力する方法と組み合わせてもよく、これにより、セキュリティをさらに強化することができる。 As described above, the integrated authentication unit 121 according to the fourth embodiment is the physical characteristic information of the user U acquired by the biometrics device 6 and transmitted from the terminal device 3, and the integrated authentication information stored in the authentication information storage unit 122C. Integrated authentication is performed by comparing with the user-specific physical characteristic information, which is an example. As a result, the authentication operation by biometrics becomes possible, and it is not necessary to manage the user ID and password. In addition, since authentication based on user-specific physical characteristic information is possible, security can be enhanced. In addition, as in the first embodiment, it may be combined with the method of inputting the user ID and the password, which can further enhance the security.

実施の形態5.
実施の形態5では、ユーザによるサービスの選択の前に、複数のサービス提供装置に端末装置のユーザの認証を実行させる点、サービスユーザIDおよびサービスユーザPWを統合認証情報として用いる点、およびサービスを提供するサービス提供装置をクラウドに移行するための処理を行う点で、実施の形態1と異なる。以下においては、実施の形態1にかかるサービス統合認証認可システム1と同様の構成については同一符号を付して説明を省略し、実施の形態1にかかるサービス統合認証認可システム1と異なる構成について主に説明するものとする。
Embodiment 5.
In the fifth embodiment, before the user selects a service, a plurality of service providing devices are made to authenticate the user of the terminal device, a service user ID and a service user PW are used as integrated authentication information, and a service is used. It differs from the first embodiment in that the process for migrating the service providing device to be provided to the cloud is performed. In the following, the same components as those of the service integrated authentication / authorization system 1 according to the first embodiment are designated by the same reference numerals and the description thereof will be omitted, and the configurations different from the service integrated authentication / authorization system 1 according to the first embodiment will be mainly described. It shall be explained to.

図20は、本発明の実施の形態5にかかるサービス統合認証認可システムおよびサービス提供装置の構成例を示す図である。図20に示すように、実施の形態5にかかる情報処理システム100Dは、サービス統合認証認可システム1Dと、サービス提供装置2,2,7,7と、複数の端末装置3,3,・・・,3を備える。 FIG. 20 is a diagram showing a configuration example of the service integrated authentication / authorization system and the service providing device according to the fifth embodiment of the present invention. As shown in FIG. 20, the information processing system 100D according to the fifth embodiment includes a service integrated authentication / authorization system 1D, a service providing device 2 1 , 2 2 , 7 1 , 7 2 , and a plurality of terminal devices 31 ,. 3 2 , ..., 3 n is provided.

サービス提供装置7は、サービスAを提供し、サービス提供装置7は、サービスBを提供する。実施の形態5にかかる情報処理システム100Dでは、サービスA,Bの提供をサービス提供装置7,7からサービス提供装置2,2へ移行する過程にある。以下、サービス提供装置7,7の各々を区別せずに示す場合、サービス提供装置7と記載する場合がある。 The service providing device 7 1 provides the service A, and the service providing device 7 2 provides the service B. In the information processing system 100D according to the fifth embodiment, the provision of services A and B is in the process of shifting from the service providing devices 7 1 and 72 to the service providing devices 2 1 and 22 . Hereinafter, when each of the service providing devices 7 1 and 7 2 is shown without distinction, it may be described as the service providing device 7.

サービス提供装置7は、端末装置3からアクセスがあると、ログイン画面の情報を端末装置3へ送信する。端末装置3のユーザUが端末装置3を操作してログイン画面にサービスユーザIDおよびサービスユーザPWを含むサービスアカウント情報を入力し、かかるサービスアカウント情報を端末装置3からサービス提供装置7へ送信させる。サービス提供装置7は、端末装置3から送信されるサービスアカウント情報でサービス認証が成功すると、認証されたサービスアカウント情報を含み且つサービス統合認証認可システム1Dをアクセス先とするリダイレクト情報を端末装置3へ送信する。端末装置3は、サービス提供装置7からリダイレクト情報を取得すると、リダイレクト情報によるリクエストをサービス統合認証認可システム1Dへ送信する。かかるリクエストには、リダイレクト情報に含まれるサービスアカウント情報が含まれる。 When the service providing device 7 is accessed from the terminal device 3, the service providing device 7 transmits the information on the login screen to the terminal device 3. The user U of the terminal device 3 operates the terminal device 3 to input the service account information including the service user ID and the service user PW on the login screen, and causes the terminal device 3 to transmit the service account information to the service providing device 7. When the service authentication is successful with the service account information transmitted from the terminal device 3, the service providing device 7 includes the authenticated service account information and transfers the redirect information to the terminal device 3 with the service integrated authentication / authorization system 1D as the access destination. Send. When the terminal device 3 acquires the redirect information from the service providing device 7, the terminal device 3 transmits a request based on the redirect information to the service integrated authentication / authorization system 1D. Such request includes the service account information contained in the redirect information.

サービス統合認証認可システム1Dは、統合認可装置11Dと、統合認証装置12Dとを備える。統合認可装置11Dは、図2に示す統合認可部111に代えて、統合認可部111Dを備える。統合認可部111Dは、ユーザUによるサービスの選択の前に複数のサービス提供装置2にユーザUの認証を実行させる処理と、サービスの提供をサービス提供装置7,7からサービス提供装置2,2へ移行するための処理とを行う点で、図2に示す統合認可部111の処理と異なる。 The service integrated authentication / authorization system 1D includes an integrated authorization device 11D and an integrated authentication device 12D. The integrated authorization device 11D includes an integrated authorization unit 111D in place of the integrated authorization unit 111 shown in FIG. The integrated authorization unit 111D performs a process of causing a plurality of service providing devices 2 to authenticate the user U before the user U selects a service, and provides the service from the service providing devices 7 1 and 7 2 to the service providing device 2 1 , 22 is different from the processing of the integrated authorization unit 111 shown in FIG. 2 in that the processing for shifting to 2 is performed.

統合認証装置12Dは、図2に示す統合認証部121および認証情報記憶部122に代えて、統合認証部121Dおよび認証情報記憶部122Dを有する点で、図2に示す統合認証装置12と異なる。統合認証部121Dは、統合認証部121の処理に加え、サービスの提供をサービス提供装置7,7からサービス提供装置2,2へ移行するための処理を行う点で異なる。 The integrated authentication device 12D differs from the integrated authentication device 12 shown in FIG. 2 in that it has an integrated authentication unit 121D and an authentication information storage unit 122D in place of the integrated authentication unit 121 and the authentication information storage unit 122 shown in FIG. The integrated authentication unit 121D differs in that, in addition to the processing of the integrated authentication unit 121, processing for shifting the service provision from the service providing devices 7 1 and 72 to the service providing devices 2 1 and 22 is performed.

認証情報記憶部122Dは、サービスユーザIDおよびサービスユーザPWを統合認証情報として記憶する点で、図2に示す認証情報記憶部122と異なる。図21は、実施の形態5にかかる認証認可テーブルの一例を示す図である。図21に示すように、認証情報記憶部122Dに記憶される認証認可テーブル57は、「統合認証情報」、「サービスURL」、「暗号化サービスアカウント情報」、および「復号鍵」が互いに関連付けられた情報を含む。 The authentication information storage unit 122D differs from the authentication information storage unit 122 shown in FIG. 2 in that the service user ID and the service user PW are stored as integrated authentication information. FIG. 21 is a diagram showing an example of the authentication / authorization table according to the fifth embodiment. As shown in FIG. 21, in the authentication authorization table 57 stored in the authentication information storage unit 122D, the "integrated authentication information", the "service URL", the "encryption service account information", and the "decryption key" are associated with each other. Includes information.

認証認可テーブル57は、「統合認証情報」として、ユーザUが利用できるサービスのうち選択された一つのサービスアカウント情報が設定される。具体的には、統合ユーザIDとして、ユーザUによって選択されたサービスユーザIDが設定され、サービスユーザPWとして、ユーザUによって選択された統合ユーザPWが設定される。 In the authentication / authorization table 57, one service account information selected from the services available to the user U is set as the "integrated authentication information". Specifically, the service user ID selected by the user U is set as the integrated user ID, and the integrated user PW selected by the user U is set as the service user PW.

次に、サービス統合認証認可システム1Dの動作についてさらに詳細に説明する。図22は、実施の形態1にかかるサービス統合認証認可システムの処理の一例を示すフローチャートであり、サービス統合認証認可システム1Dによって繰り返し実行される。なお、図22に示すステップS53からS55,S57からS59の処理は、図7に示すステップS21からS26の処理と同じ処理であるため、説明を一部省略する。 Next, the operation of the service integrated authentication / authorization system 1D will be described in more detail. FIG. 22 is a flowchart showing an example of the processing of the service integrated authentication / authorization system according to the first embodiment, which is repeatedly executed by the service integrated authentication / authorization system 1D. Since the processes of steps S53 to S55 and S57 to S59 shown in FIG. 22 are the same as the processes of steps S21 to S26 shown in FIG. 7, some description thereof will be omitted.

図22に示すように、サービス統合認証認可システム1Dにおける統合認可装置11Dの統合認可部111Dは、ステップS51の処理において、端末装置3からアクセスがあると判定した場合(ステップS51:Yes)、端末装置3のアクセスがサービス提供装置7からのリダイレクト情報によるリクエストであるか否かを判定する(ステップS52)。 As shown in FIG. 22, when the integrated authorization unit 111D of the integrated authorization device 11D in the service integrated authentication authorization system 1D determines that there is access from the terminal device 3 in the process of step S51 (step S51: Yes), the terminal It is determined whether or not the access of the device 3 is a request based on the redirect information from the service providing device 7 (step S52).

統合認可部111Dは、リダイレクト情報によるリクエストではないと判定した場合(ステップS52:No)、ステップS53の処理へ移行する。また、リダイレクト情報によるリクエストであると判定した場合(ステップS52:Yes)、移行処理を行う(ステップS61)。かかるステップS61の処理は、図24に示すステップS81からS83の処理であり、後で詳述する。 When the integrated authorization unit 111D determines that the request is not based on the redirect information (step S52: No), the integrated authorization unit 111D proceeds to the process of step S53. Further, when it is determined that the request is based on the redirect information (step S52: Yes), the migration process is performed (step S61). The process of step S61 is the process of steps S81 to S83 shown in FIG. 24, and will be described in detail later.

ステップS55の処理において、統合認証部121Dが統合ログイン画面の情報を統合認可部111D経由で端末装置3へ送信すると、端末装置3には、統合ログイン画面が表示される。かかるログイン画面には、統合認証情報を入力する入力枠の他に、統合認証情報の設定ボタンが配置されている。端末装置3のユーザUが統合ログイン画面の設定ボタンを操作すると、端末装置3から統合認証情報の設定要求がサービス統合認証認可システム1Dへ送信される。 In the process of step S55, when the integrated authentication unit 121D transmits the information of the integrated login screen to the terminal device 3 via the integrated authorization unit 111D, the integrated login screen is displayed on the terminal device 3. On the login screen, in addition to the input box for inputting the integrated authentication information, a button for setting the integrated authentication information is arranged. When the user U of the terminal device 3 operates the setting button on the integrated login screen, the terminal device 3 sends a request for setting the integrated authentication information to the service integrated authentication authorization system 1D.

統合認証部121Dは、統合認可部111D経由でアクセスユーザの端末装置3から統合認証情報の設定要求があるか否かを判定する(ステップS56)。統合認証部121Dは、統合認証情報の設定要求があると判定した場合(ステップS56:Yes)、統合認証情報設定処理を行う(ステップS62)。かかるステップS62の処理は、図25に示すステップS91からS97の処理であり、後で詳述する。 The integrated authentication unit 121D determines whether or not there is a request to set the integrated authentication information from the terminal device 3 of the access user via the integrated authentication unit 111D (step S56). When the integrated authentication unit 121D determines that there is a request to set the integrated authentication information (step S56: Yes), the integrated authentication information setting process is performed (step S62). The process of step S62 is the process of steps S91 to S97 shown in FIG. 25, which will be described in detail later.

統合認証部121Dは、統合認証情報の設定要求がないと判定した場合(ステップS56:No)、処理をステップS57に移行する。統合認証部121Dは、統合ログイン情報を取得していないと判定した場合(ステップS57:No)、ステップS56の処理へ移行する。 When the integrated authentication unit 121D determines that there is no request to set the integrated authentication information (step S56: No), the integrated authentication unit 121D shifts the process to step S57. When the integrated authentication unit 121D determines that the integrated login information has not been acquired (step S57: No), the integrated authentication unit 121D proceeds to the process of step S56.

サービス統合認証認可システム1Dは、統合認証部121Dによって統合認証が失敗したと判定された場合(ステップS59:No)、処理をステップS55へ移行する。また、サービス統合認証認可システム1Dは、統合認証部121Dによって統合認証が成功したと判定された場合(ステップS59:Yes)、または、アクセスユーザが認証済であると判定した場合(ステップS54:Yes)、サービス認証処理を行う(ステップS60)。サービス統合認証認可システム1Dは、サービス認証処理が終了した場合、図22に示す処理を終了する。なお、サービス統合認証認可システム1Dは、ステップS61の処理が終了した後、ステップS60の処理を行うこともできる。 When the integrated authentication unit 121D determines that the integrated authentication has failed (step S59: No), the service integrated authentication authorization system 1D shifts the process to step S55. Further, the service integrated authentication / authorization system 1D determines that the integrated authentication is successful by the integrated authentication unit 121D (step S59: Yes), or determines that the access user has been authenticated (step S54: Yes). ), The service authentication process is performed (step S60). When the service authentication process is completed, the service integrated authentication / authorization system 1D ends the process shown in FIG. 22. The service integrated authentication / authorization system 1D can also perform the process of step S60 after the process of step S61 is completed.

ここで、ステップS60のサービス認証処理について説明する。図23は、実施の形態5にかかるサービス認証処理の一例を示すフローチャートである。図23のステップS70,S74,S75,S76,S78,S79,S80の処理は、図8に示すステップS33,S38,S31,S32,S31,S32,S34の処理と同様の処理であり、一部説明を省略する。 Here, the service authentication process in step S60 will be described. FIG. 23 is a flowchart showing an example of the service authentication process according to the fifth embodiment. The processing of steps S70, S74, S75, S76, S78, S79, and S80 of FIG. 23 is the same processing as the processing of steps S33, S38, S31, S32, S31, S32, and S34 shown in FIG. The explanation is omitted.

統合認証部121Dは、認証情報記憶部122Dにアクセスユーザの暗号化サービスアカウント情報があるか否かを判定する(ステップS70)。取得部112は、統合認証部121Dによって暗号化サービスアカウント情報があると判定された場合(ステップS70:Yes)、アクセスユーザの統合ユーザIDに関連付けられたすべての暗号化サービスアカウント情報と復号鍵とを取得する(ステップS71)。復号部113は、取得部112によって取得された復号鍵を用いて、取得部112によって取得された暗号化サービスアカウント情報を暗号化サービスアカウント情報に復号する(ステップS72)。 The integrated authentication unit 121D determines whether or not the authentication information storage unit 122D has the encryption service account information of the access user (step S70). When the integrated authentication unit 121D determines that the encryption service account information exists (step S70: Yes), the acquisition unit 112 includes all the encryption service account information and the decryption key associated with the integrated user ID of the access user. (Step S71). The decryption unit 113 decrypts the encryption service account information acquired by the acquisition unit 112 into the encryption service account information by using the decryption key acquired by the acquisition unit 112 (step S72).

統合認可部111Dは、復号部113によって復号されたサービスアカウント情報をリクエストに格納して各サービスアカウント情報に対応するサービス提供装置2へ送信する(ステップS73)。統合認可部111Dは、ステップS73で送信したリクエストに応答してサービス提供装置2から送信される情報に基づいて、サービス認証が成功したか否かを判定する(ステップS74)。 The integrated authorization unit 111D stores the service account information decrypted by the decryption unit 113 in a request and transmits it to the service providing device 2 corresponding to each service account information (step S73). The integrated authorization unit 111D determines whether or not the service authentication is successful based on the information transmitted from the service providing device 2 in response to the request transmitted in step S73 (step S74).

統合認証部121Dは、統合認可部111Dによってサービス認証が成功したと判定された場合(ステップS74:Yes)、サービス選択画面の情報を統合認可部111D経由でアクセスユーザの端末装置3へ送信する(ステップS75)。そして、統合認証部121Dは、アクセスユーザがサービスを選択したか否かを判定する(ステップS76)。統合認証部121Dは、アクセスユーザがサービスを選択したと判定した場合(ステップS76:Yes)、アクセスユーザが選択したサービスを提供するサービス提供装置2からの利用画面の情報を端末装置3へ送信する(ステップS77)。 When the integrated authentication unit 121D determines that the service authentication is successful by the integrated authorization unit 111D (step S74: Yes), the integrated authentication unit 121D transmits the information on the service selection screen to the access user's terminal device 3 via the integrated authorization unit 111D (step S74: Yes). Step S75). Then, the integrated authentication unit 121D determines whether or not the access user has selected the service (step S76). When the integrated authentication unit 121D determines that the access user has selected the service (step S76: Yes), the integrated authentication unit 121D transmits information on the usage screen from the service providing device 2 that provides the service selected by the access user to the terminal device 3. (Step S77).

統合認証部121Dは、統合認可部111Dによって暗号化サービスアカウント情報がないと判定された場合(ステップS70:No)、サービス選択画面の情報を統合認可部111D経由でアクセスユーザの端末装置3へ送信する(ステップS78)。そして、統合認証部121Dは、アクセスユーザがサービスを選択したか否かを判定する(ステップS79)。統合認証部121Dは、アクセスユーザがサービスを選択したと判定した場合(ステップS79:Yes)、暗号化サービスアカウントを生成して記憶する暗号化サービスアカウント処理を実行する(ステップS80)。 When the integrated authentication unit 121D determines that there is no encrypted service account information by the integrated authorization unit 111D (step S70: No), the integrated authentication unit 121D transmits the information on the service selection screen to the access user's terminal device 3 via the integrated authorization unit 111D. (Step S78). Then, the integrated authentication unit 121D determines whether or not the access user has selected the service (step S79). When it is determined that the access user has selected the service (step S79: Yes), the integrated authentication unit 121D executes the encryption service account process for generating and storing the encryption service account (step S80).

サービス統合認証認可システム1Dは、ステップS77の処理が終了した場合、またはステップS80の処理が終了した場合、図23に示す処理を終了する。なお、上述した例では、統合認証部121Dは、ユーザUの選択前にアクセスユーザが利用可能な全てのサービスを認証するが、かかる例に限定されない。 When the process of step S77 is completed or the process of step S80 is completed, the service integrated authentication / authorization system 1D ends the process shown in FIG. 23. In the above-mentioned example, the integrated authentication unit 121D authenticates all the services available to the access user before the user U is selected, but the present invention is not limited to this example.

例えば、統合認可装置11Dは、ユーザUの利用頻度が高いサービスについてのみユーザUの選択前に認証することもできる。この場合、統合認可部111Dは、各ユーザUのアクセス履歴の情報を有しており、利用頻度が高い順に予め決められた数のサービスを判定し、判定したサービスについてのみアクセスユーザの選択前に認証することができる。この場合、取得部112は、アクセスユーザの利用頻度が高い順に予め決められた数のサービスの暗号化サービスアカウント情報を取得する。なお、ユーザUの利用頻度とは、ユーザU毎の利用頻度であってもよく、ユーザU全体の利用頻度であってもよい。 For example, the integrated authorization device 11D can authenticate only the services frequently used by the user U before the user U is selected. In this case, the integrated authorization unit 111D has information on the access history of each user U, determines a predetermined number of services in descending order of frequency of use, and only the determined services are before the access user is selected. Can be authenticated. In this case, the acquisition unit 112 acquires the encryption service account information of a predetermined number of services in descending order of frequency of use by the access user. The usage frequency of the user U may be the usage frequency of each user U or the usage frequency of the entire user U.

また、統合認可部111Dは、サービス統合認証認可システム1Dまたは統合認可装置11Dの処理負荷に応じて、上述した予め決められた数を変更することができる。例えば、統合認可部111Dは、サービス統合認証認可システム1Dまたは統合認可装置11Dの処理負荷が高いほど、上述した予め決められた数を減少させることができる。これにより、サービス統合認証認可システム1Dまたは統合認可装置11Dの処理負荷が高くなりすぎることを防止することができる。 Further, the integrated authorization unit 111D can change the predetermined number described above according to the processing load of the service integrated authentication authorization system 1D or the integrated authorization device 11D. For example, the integrated authorization unit 111D can reduce the predetermined number as described above as the processing load of the service integrated authentication authorization system 1D or the integrated authorization device 11D increases. This makes it possible to prevent the processing load of the service integrated authentication authorization system 1D or the integrated authorization device 11D from becoming too high.

また、統合認可部111Dは、ユーザU毎またはユーザU全体でサービス提供装置2が提供するサービスを利用する頻度であるサービス利用頻度に基づいて、上述した予め決められた数を変更することができる。例えば、統合認可部111Dは、サービス利用頻度が低いほど、上述した予め決められた数を減少させることができる。これによっても、サービス統合認証認可システム1Dまたは統合認可装置11Dの処理負荷が高くなりすぎることを防止することができる。 Further, the integrated authorization unit 111D can change the predetermined number described above based on the service usage frequency, which is the frequency of using the service provided by the service providing device 2 for each user U or for the entire user U. .. For example, the integrated authorization unit 111D can reduce the predetermined number as described above as the service usage frequency becomes lower. This also prevents the processing load of the service integrated authentication authorization system 1D or the integrated authorization device 11D from becoming too high.

また、統合認可部111Dは、サービス利用頻度が閾値以上のアクセスユーザについては、図23に示すサービス認証処理を行い、サービス利用頻度が閾値未満のアクセスユーザについては、図8に示すサービス認証処理を行うこともできる。これによっても、サービス統合認証認可システム1Dまたは統合認可装置11Dの処理負荷が高くなりすぎることを防止することができる。 Further, the integrated authorization unit 111D performs the service authentication process shown in FIG. 23 for the access user whose service usage frequency is equal to or higher than the threshold value, and performs the service authentication process shown in FIG. 8 for the access user whose service usage frequency is less than the threshold value. You can also do it. This also prevents the processing load of the service integrated authentication authorization system 1D or the integrated authorization device 11D from becoming too high.

なお、サービス統合認証認可システム1Dは、図23に示すステップS71からS74の処理と、ステップS75およびS76の処理とを並行して実行することもできる。 The service integrated authentication / authorization system 1D can also execute the processes of steps S71 to S74 shown in FIG. 23 and the processes of steps S75 and S76 in parallel.

次に、ステップS61の移行処理について説明する。図24は、実施の形態5にかかる移行処理の一例を示すフローチャートである。図24に示すように、統合認証部121Dは、統合認可部111D経由で端末装置3のリクエストに含まれるサービスアカウント情報を取得する(ステップS81)。 Next, the transition process in step S61 will be described. FIG. 24 is a flowchart showing an example of the transition process according to the fifth embodiment. As shown in FIG. 24, the integrated authentication unit 121D acquires the service account information included in the request of the terminal device 3 via the integrated authorization unit 111D (step S81).

取得部112は、統合認証部121Dによって取得されたサービスアカウント情報を暗号化して暗号化サービスアカウント情報を生成し(ステップS82)、生成した暗号化サービスアカウント情報を認証情報記憶部122Dに記憶する(ステップS83)。サービス統合認証認可システム1Dは、ステップS83の処理を終了した場合、図24に示す処理を終了する。 The acquisition unit 112 encrypts the service account information acquired by the integrated authentication unit 121D to generate the encrypted service account information (step S82), and stores the generated encrypted service account information in the authentication information storage unit 122D (step S82). Step S83). When the process of step S83 is completed, the service integrated authentication / authorization system 1D ends the process shown in FIG. 24.

次に、ステップS62の統合認証情報設定処理について説明する。図25は、実施の形態5にかかる統合認証情報設定処理の一例を示すフローチャートである。図25に示すように、統合認証部121Dは、サービスアカウント情報を入力するための入力画面の情報
を統合認可部111D経由でアクセスユーザの端末装置3へ送信する(ステップS91)。
Next, the integrated authentication information setting process in step S62 will be described. FIG. 25 is a flowchart showing an example of the integrated authentication information setting process according to the fifth embodiment. As shown in FIG. 25, the integrated authentication unit 121D transmits the information on the input screen for inputting the service account information to the terminal device 3 of the access user via the integrated authorization unit 111D (step S91).

これにより、アクセスユーザの端末装置3には、入力画面が表示される。入力画面は、サービスユーザIDおよびサービスユーザPWを含むサービスアカウント情報をアクセスユーザに入力させるための画面である。アクセスユーザは、端末装置3を操作して入力画面にサービスアカウント情報を入力し、かかる統合ログイン情報を端末装置3からサービス統合認証認可システム1Dへ送信させる。 As a result, the input screen is displayed on the terminal device 3 of the access user. The input screen is a screen for causing the access user to input the service account information including the service user ID and the service user PW. The access user operates the terminal device 3 to input the service account information on the input screen, and causes the terminal device 3 to transmit the integrated login information to the service integrated authentication / authorization system 1D.

統合認証部121Dは、端末装置3からのサービスアカウント情報を取得すると、端末装置3からのサービスアカウント情報を含むリクエストをサービス提供装置2へ統合認可部111D経由で送信する(ステップS92)。統合認可部111Dは、ステップS92で送信したリクエストに応答してサービス提供装置2から送信される情報に基づいて、上述したステップS38の処理と同様の処理によって、サービス認証が成功したか否かを判定する(ステップS93)。 When the integrated authentication unit 121D acquires the service account information from the terminal device 3, the integrated authentication unit 121D transmits a request including the service account information from the terminal device 3 to the service providing device 2 via the integrated authorization unit 111D (step S92). Based on the information transmitted from the service providing device 2 in response to the request transmitted in step S92, the integrated authorization unit 111D determines whether or not the service authentication has succeeded by the same processing as the processing in step S38 described above. Determination (step S93).

統合認証部121Dは、サービス認証が成功したと判定された場合(ステップS93:Yes)、端末装置3から取得したサービスアカウント情報を統合認証情報として認証情報記憶部122Dに設定する(ステップS94)。また、収集部123は、統合認証部121Dによって取得されたサービスアカウント情報を暗号化して暗号化サービスアカウント情報を生成し(ステップS95)、生成した暗号化サービスアカウント情報を認証情報記憶部122Dに記憶する(ステップS96)。 When it is determined that the service authentication is successful (step S93: Yes), the integrated authentication unit 121D sets the service account information acquired from the terminal device 3 in the authentication information storage unit 122D as the integrated authentication information (step S94). Further, the collecting unit 123 encrypts the service account information acquired by the integrated authentication unit 121D to generate the encrypted service account information (step S95), and stores the generated encrypted service account information in the authentication information storage unit 122D. (Step S96).

統合認証部121Dは、認証が失敗したと判定された場合(ステップS93:No)、統合認可部111D経由でアクセスユーザの端末装置3へエラー画面の情報を送信する(ステップS97)。サービス統合認証認可システム1Dは、ステップS96の処理が終了した場合、または、ステップS97の処理が終了した場合、図25に示す処理を終了する。 When the integrated authentication unit 121D determines that the authentication has failed (step S93: No), the integrated authentication unit 121D transmits the error screen information to the access user's terminal device 3 via the integrated authorization unit 111D (step S97). The service integrated authentication / authorization system 1D ends the process shown in FIG. 25 when the process of step S96 is completed or when the process of step S97 is completed.

なお、実施の形態5にかかるサービス統合認証認可システム1Dのハードウェア構成例は、実施の形態1にかかるサービス統合認証認可システム1と同じである。例えば、図10に示すプロセッサ101は、メモリ102に記憶されたプログラムを読み出して実行することによって、統合認可装置11Dおよび統合認証装置12Dの機能を実行することができる。 The hardware configuration example of the service integrated authentication / authorization system 1D according to the fifth embodiment is the same as that of the service integrated authentication / authorization system 1 according to the first embodiment. For example, the processor 101 shown in FIG. 10 can execute the functions of the integrated authorization device 11D and the integrated authentication device 12D by reading and executing the program stored in the memory 102.

また、統合認証装置12Dは、実施の形態2の統合認証装置12Aと同様に、統合認証情報と暗号化サービスアカウント情報とを分離して記憶する構成であってもよい。すなわち、統合認証装置12Dは、認証情報記憶部122Dに代えて、統合認証情報を記憶する統合情報記憶部と、統合ユーザID、暗号化サービスアカウント情報、および復号鍵を記憶する認証情報記憶部とを含む構成であってもよい。また、統合認証情報は、セキュリティキーであってもよく、ユーザUの身体特徴情報であってもよい。 Further, the integrated authentication device 12D may be configured to separately store the integrated authentication information and the encryption service account information, as in the integrated authentication device 12A of the second embodiment. That is, the integrated authentication device 12D replaces the authentication information storage unit 122D with an integrated information storage unit that stores the integrated authentication information, and an authentication information storage unit that stores the integrated user ID, the encryption service account information, and the decryption key. It may be a configuration including. Further, the integrated authentication information may be a security key or physical characteristic information of the user U.

以上のように、実施の形態5にかかるサービス統合認証認可システム1Dの統合認可部111Dは、統合認証後、ユーザUによるサービスの選択の前に、複数のサービス提供装置2に端末装置3のユーザUの認証を実行させる。これにより、端末装置3のユーザUは、サービス提供装置2が提供するサービスを迅速に利用することができる。 As described above, the integrated authorization unit 111D of the service integrated authentication authorization system 1D according to the fifth embodiment has the user of the terminal device 3 on the plurality of service providing devices 2 after the integrated authentication and before the service selection by the user U. Authenticate U. As a result, the user U of the terminal device 3 can quickly use the service provided by the service providing device 2.

また、実施の形態5にかかるサービス統合認証認可システム1Dでは、統合認証部121Dは、端末装置3のリクエストに含まれるサービスアカウント情報を取得する。そして、収集部123は、統合認証部121Dによって取得されたサービスアカウント情報を暗号化して暗号化サービスアカウント情報を生成する。生成した暗号化サービスアカウント情報を認証情報記憶部122Dに記憶する。これにより、クラウドサービスプラットフォーム10外のサービス提供装置7が提供するサービスをクラウドサービスプラットフォーム10のサービス提供装置2へ容易に移行することができる。 Further, in the service integrated authentication / authorization system 1D according to the fifth embodiment, the integrated authentication unit 121D acquires the service account information included in the request of the terminal device 3. Then, the collecting unit 123 encrypts the service account information acquired by the integrated authentication unit 121D to generate the encrypted service account information. The generated encryption service account information is stored in the authentication information storage unit 122D. As a result, the service provided by the service providing device 7 outside the cloud service platform 10 can be easily transferred to the service providing device 2 of the cloud service platform 10.

また、実施の形態5にかかるサービス統合認証認可システム1Dでは、統合認証部121Dは、ユーザUによって選択されたサービスのサービスアカウント情報を統合認証情報として設定する。これにより、ユーザUは、例えば、主に使用するサービスのサービスアカウント情報を用いて、複数のサービスを利用することができる。 Further, in the service integrated authentication / authorization system 1D according to the fifth embodiment, the integrated authentication unit 121D sets the service account information of the service selected by the user U as the integrated authentication information. Thereby, the user U can use a plurality of services, for example, by using the service account information of the service mainly used.

また、上述した実施の形態1にかかるサービス統合認証認可システム1では、統合認可装置11と統合認証装置12とは別体で構成されるが、統合認可装置11と統合認証装置12とは一体的に構成されてもよい。このことは、サービス統合認証認可システム1A,1B,1C,1Dについても同様である。 Further, in the service integrated authentication / authorization system 1 according to the above-described first embodiment, the integrated authorization device 11 and the integrated authentication device 12 are configured separately, but the integrated authorization device 11 and the integrated authentication device 12 are integrated. It may be configured in. This also applies to the service integrated authentication and authorization systems 1A, 1B, 1C, and 1D.

以上の実施の形態に示した構成は、本発明の内容の一例を示すものであり、別の公知の技術と組み合わせることも可能であるし、本発明の要旨を逸脱しない範囲で、構成の一部を省略、変更することも可能である。 The configuration shown in the above-described embodiment shows an example of the content of the present invention, can be combined with another known technique, and is one of the configurations as long as it does not deviate from the gist of the present invention. It is also possible to omit or change the part.

1,1A,1B,1C,1D サービス統合認証認可システム、2,2,2,7,7,7 サービス提供装置、3,3,3,・・・,3 端末装置、4 ネットワーク、5 デバイス、6 バイオメトリクス装置、10 クラウドサービスプラットフォーム、11,11D 統合認可装置、12,12A,12B,12C,12D 統合認証装置、21,21,21 サービス認証認可部、22,22,22 サービス提供部、23,23,23 サービス認証情報記憶部、50,55,56,57 認証認可テーブル、51,52,54 サービスアカウントテーブル、53 統合認証テーブル、100,100A,100B,100C,100D 情報処理システム、111,111D 統合認可部、112 取得部、113 復号部、121,121D 統合認証部、122,122A,122B,122C,122D 認証情報記憶部、123 収集部、124 統合情報記憶部。 1,1A, 1B , 1C , 1D service integrated authentication and authorization system, 2,2 1,2 2,7,7 1,7 2 service providing device, 3,3 1,3 2 , ..., 3n terminal device 4 networks, 5 devices, 6 biometrics devices, 10 cloud service platforms, 11, 11D integrated authorization device, 12, 12A, 12B, 12C, 12D integrated authentication device, 21,21 1 , 211 2 service authentication authorization unit, 22 , 22 1 , 22 2 Service provider, 23, 23 1 , 23 2 Service authentication information storage unit, 50, 55, 56, 57 Authentication authorization table, 51, 52, 54 Service account table, 53 Integrated authentication table, 100, 100A, 100B, 100C, 100D Information processing system, 111,111D integrated authorization unit, 112 acquisition unit, 113 decoding unit, 121,121D integrated authentication unit, 122, 122A, 122B, 122C, 122D authentication information storage unit, 123 collection unit , 124 Integrated information storage.

Claims (7)

ユーザの認証を行う統合認証装置と、前記統合認証装置による認証の結果に基づき、前記ユーザの端末装置と各サービス提供装置とを連携する統合認可装置と、を備え、
前記統合認証装置は、
前記ユーザの端末装置から送信される認証情報に基づいて前記ユーザの認証を行う統合認証部と、
前記各サービス提供装置が提供するサービスにおける前記ユーザのアカウント情報であるサービスアカウント情報を暗号化した暗号化情報を記憶する認証情報記憶部と、を備え、
前記統合認可装置は、
前記統合認証装置から前記暗号化情報を取得する取得部と、
前記暗号化情報を前記サービスアカウント情報に復号する復号部と、
前記復号されたサービスアカウント情報に基づき、前記統合認証部による認証が行われた前記端末装置のユーザの認証を前記各サービス提供装置に実行させる統合認可部と、を備え
前記統合認可部は、
前記統合認証部によって認証が行われた後、前記統合認証部によって認証が行われたユーザである統合認証済ユーザの利用頻度が高い順に予め決められた数のサービスを判定し、判定したサービスを提供するサービス提供装置に対し、前記統合認証済ユーザによる前記サービスの選択の前に、前記統合認証済ユーザの認証を実行させる
ことを特徴とするサービス統合認証認可システム。
It is equipped with an integrated authentication device that authenticates the user, and an integrated authorization device that links the terminal device of the user and each service providing device based on the result of authentication by the integrated authentication device.
The integrated authentication device is
An integrated authentication unit that authenticates the user based on the authentication information transmitted from the terminal device of the user, and
It is provided with an authentication information storage unit for storing encrypted information obtained by encrypting service account information which is account information of the user in the service provided by each service providing device.
The integrated authorization device is
An acquisition unit that acquires the encryption information from the integrated authentication device,
A decryption unit that decrypts the encrypted information into the service account information,
It is provided with an integrated authorization unit that causes each service providing device to authenticate the user of the terminal device that has been authenticated by the integrated authentication unit based on the decrypted service account information .
The integrated approval department
After the authentication is performed by the integrated authentication unit, a predetermined number of services are determined in descending order of frequency of use of the integrated authenticated user who is the user authenticated by the integrated authentication unit, and the determined services are determined. The service providing device to be provided is made to authenticate the integrated authenticated user before the integrated authenticated user selects the service.
A service integrated certification authorization system characterized by that.
前記統合認証装置は、
前記各サービス提供装置から前記サービスアカウント情報を収集し、暗号化する収集部を備える
ことを特徴とする請求項1に記載のサービス統合認証認可システム。
The integrated authentication device is
The service integrated authentication / authorization system according to claim 1, further comprising a collecting unit that collects and encrypts the service account information from each service providing device.
前記ユーザの認証情報を記憶する統合情報記憶部を備え、
前記統合認証部は、
前記端末装置から送信される認証情報と前記統合情報記憶部に記憶された認証情報とに基づいて、前記ユーザの認証を行う
ことを特徴とする請求項1または2に記載のサービス統合認証認可システム。
It is provided with an integrated information storage unit that stores the user's authentication information.
The integrated certification unit is
The service integrated authentication / authorization system according to claim 1 or 2, wherein the user is authenticated based on the authentication information transmitted from the terminal device and the authentication information stored in the integrated information storage unit. ..
前記統合認証部は、
セキュリティキーが記憶されたデバイスが接続された前記端末装置から送信される前記セキュリティキーを、前記端末装置から送信される認証情報として、前記ユーザの認証を行う
ことを特徴とする請求項1から3のいずれか一つに記載のサービス統合認証認可システム。
The integrated certification unit is
Claims 1 to 3 characterized in that the user is authenticated using the security key transmitted from the terminal device to which the device in which the security key is stored is connected as authentication information transmitted from the terminal device. Service integrated certification authorization system described in any one of.
前記統合認証部は、
バイオメトリクス装置によって取得され前記端末装置から送信される前記ユーザの身体特徴情報を、前記端末装置から送信される認証情報として、前記ユーザの認証を行う
ことを特徴とする請求項1から3のいずれか一つに記載のサービス統合認証認可システム。
The integrated certification unit is
Any of claims 1 to 3, wherein the user is authenticated by using the physical characteristic information of the user acquired by the biometrics device and transmitted from the terminal device as authentication information transmitted from the terminal device. The service integrated certification and authorization system described in one.
複数の前記サービス提供装置は、クラウドサービスにおけるマルチテナントによって構成される
ことを特徴とする請求項1からのいずれか一つに記載のサービス統合認証認可システム。
The service integrated authentication / authorization system according to any one of claims 1 to 5 , wherein the plurality of service providing devices are configured by a multi-tenant in a cloud service.
コンピュータによって実行されるサービス統合認証認可方法であって、
ユーザの端末装置から送信される認証情報に基づいて、前記ユーザの認証を行う統合認証ステップと、
前記ユーザの認証後、各サービス提供装置が提供するサービスにおける前記ユーザのアカウント情報であるサービスアカウント情報を暗号化した暗号化情報を記憶する認証情報記憶部から前記暗号化情報を取得する取得ステップと、
前記取得された前記暗号化情報をサービスアカウント情報に復号する復号ステップと、
前記復号されたサービスアカウント情報に基づき、前記認証情報によって認証が行われたユーザの認証を前記各サービス提供装置に実行させる統合認可ステップと、を含み、
前記統合認可ステップは、
前記統合認証ステップによって認証が行われた後、前記統合認証ステップによって認証が行われたユーザである統合認証済ユーザの利用頻度が高い順に予め決められた数のサービスを判定し、判定したサービスを提供するサービス提供装置に対し、前記統合認証済ユーザによる前記サービスの選択の前に、前記統合認証済ユーザの認証を実行させる
ことを特徴とするサービス統合認証認可方法。
A method of integrated service authentication and authorization performed by a computer.
An integrated authentication step that authenticates the user based on the authentication information transmitted from the user's terminal device, and
After the authentication of the user, the acquisition step of acquiring the encrypted information from the authentication information storage unit that stores the encrypted information obtained by encrypting the service account information which is the account information of the user in the service provided by each service providing device. ,
A decryption step for decrypting the acquired encrypted information into service account information, and
Including an integrated authorization step of causing each service providing device to authenticate a user authenticated by the authentication information based on the decrypted service account information.
The integrated authorization step is
After the authentication is performed by the integrated authentication step, a predetermined number of services are determined in descending order of frequency of use of the integrated authenticated user who is the user authenticated by the integrated authentication step, and the determined services are determined. The service providing device to be provided is made to authenticate the integrated authenticated user before the integrated authenticated user selects the service.
A service integrated authentication authorization method characterized by that.
JP2018162007A 2018-08-30 2018-08-30 Service integrated authentication authorization system and service integrated authentication authorization method Active JP7008595B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018162007A JP7008595B2 (en) 2018-08-30 2018-08-30 Service integrated authentication authorization system and service integrated authentication authorization method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018162007A JP7008595B2 (en) 2018-08-30 2018-08-30 Service integrated authentication authorization system and service integrated authentication authorization method

Publications (2)

Publication Number Publication Date
JP2020035227A JP2020035227A (en) 2020-03-05
JP7008595B2 true JP7008595B2 (en) 2022-01-25

Family

ID=69668164

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018162007A Active JP7008595B2 (en) 2018-08-30 2018-08-30 Service integrated authentication authorization system and service integrated authentication authorization method

Country Status (1)

Country Link
JP (1) JP7008595B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7511994B2 (en) * 2021-02-15 2024-07-08 富士通フロンテック株式会社 Voting processing system and voting processing terminal
KR102643163B1 (en) * 2021-12-28 2024-03-04 주식회사 올라핀테크 Service providing server that can collect and provide personal site use history information on the website through third-party authentication and operating method thereof
JP7578855B1 (en) 2024-03-11 2024-11-06 株式会社Z会 Authorization server, login management method, and program
JP7603357B1 (en) * 2024-10-07 2024-12-20 株式会社Definer History management system, history management method, and program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002149605A (en) 2000-11-07 2002-05-24 Bank Of Tokyo-Mitsubishi Ltd Procuration device and method for authentication and recording medium
JP2003132022A (en) 2001-10-22 2003-05-09 Nec Corp User authentication system and method
JP2004062876A (en) 2002-06-05 2004-02-26 Hitachi Ltd Total service support system for employees and its support method
JP2011003100A (en) 2009-06-19 2011-01-06 Nippon Telegr & Teleph Corp <Ntt> Authentication request conversion apparatus, authentication request conversion method, and authentication request conversion program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10177552A (en) * 1996-12-17 1998-06-30 Fuji Xerox Co Ltd Authentication answer method and authentication answer device using the answer method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002149605A (en) 2000-11-07 2002-05-24 Bank Of Tokyo-Mitsubishi Ltd Procuration device and method for authentication and recording medium
JP2003132022A (en) 2001-10-22 2003-05-09 Nec Corp User authentication system and method
JP2004062876A (en) 2002-06-05 2004-02-26 Hitachi Ltd Total service support system for employees and its support method
JP2011003100A (en) 2009-06-19 2011-01-06 Nippon Telegr & Teleph Corp <Ntt> Authentication request conversion apparatus, authentication request conversion method, and authentication request conversion program

Also Published As

Publication number Publication date
JP2020035227A (en) 2020-03-05

Similar Documents

Publication Publication Date Title
US10728044B1 (en) User authentication with self-signed certificate and identity verification and migration
JP4733167B2 (en) Information processing apparatus, information processing method, information processing program, and information processing system
US9094212B2 (en) Multi-server authentication token data exchange
US8140843B2 (en) Content control method using certificate chains
US9185146B2 (en) Service providing system
CN113474774A (en) System and method for approving a new validator
JP7008595B2 (en) Service integrated authentication authorization system and service integrated authentication authorization method
US20070283427A1 (en) Simplified identity management of a common area endpoint
JP2013514587A (en) Content management method using certificate revocation list
US9894062B2 (en) Object management for external off-host authentication processing systems
CN108959878A (en) The method that is used in customer certification system and including information processing unit
US12556527B2 (en) PACS modification to incorporate LACS authentication
JP2009543208A (en) Content management system and method using certificate chain
CN116707849A (en) Method for setting cloud service access rights and cloud management platform for enclave instances
CN115834074B (en) An identity authentication method, device and equipment
JP2022190213A (en) Method and device for multi-factor authentication
JP6581611B2 (en) Authentication key sharing system and authentication key sharing method
JP2011221729A (en) Id linking system
KR101545897B1 (en) A server access control system by periodic authentification of the smart card
EP4330837A1 (en) Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control
US12063210B1 (en) Secure authentication for a virtual computer
JP4979210B2 (en) Login information management apparatus and method
US20250007712A1 (en) Transaction security techniques
JP5511449B2 (en) Information processing apparatus, information processing apparatus authentication method, and program
CN118101314A (en) Business authority verification method and device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210915

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210928

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211109

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20211214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220111

R150 Certificate of patent or registration of utility model

Ref document number: 7008595

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250