TOP > 国内特許検索 > シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ

シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ

国内特許コード P140010841
整理番号 1991
掲載日 2014年8月11日
出願番号 特願2008-044038
公開番号 特開2009-205223
登録番号 特許第5177505号
出願日 平成20年2月26日(2008.2.26)
公開日 平成21年9月10日(2009.9.10)
登録日 平成25年1月18日(2013.1.18)
発明者
  • 青柳 真紀子
  • 高橋 健司
  • 永井 靖浩
  • 古村 隆明
出願人
  • 日本電信電話株式会社
  • 国立大学法人京都大学
発明の名称 シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
発明の概要 【課題】SSO環境における組織内(グループ内)の代理アクセスを簡単に行う。
【解決手段】この発明のグループ内サービス認可方法は、サービス提供サーバが認証情報を認可するシングルサインオン過程と、認証情報に権限が不足している場合にサービス提供サーバが認証サーバに権限委譲情報を問い合わせる権限委譲情報問い合わせ過程と、認証サーバが端末に権限委譲情報を要求する委譲情報要求過程と、認証サーバが委譲権限情報を認証し認可情報を生成する委譲権限認証過程と、サービス提供サーバが認可情報を認可する委譲権限認可過程と、を有する。認可情報には、例えばSAMLアサーションの拡張仕様を用いる。
【選択図】図2
従来技術、競合技術の概要



組織においてサービスや業務上の事務処理の電子化が急速であり、特にクライアント-サーバによるWebアプリケーションが利用されている。このようなオンラインサービスを利用する際には、アクセスしようとするユーザの本人性の確認が必要であり、その手段としてID/パスワード、ICカード、電子証明書、バイオメトリクスなどの認証情報を利用した本人性の確認、つまり個人認証が行われている。





組織内では、あるユーザ(仮にユーザAとする)の業務や事務処理を他のユーザ(仮にユーザBとする)が代理で行うようなケースが考えられる。そのような場合の一手段としては、ユーザBがユーザAのID/パスワードを使ってログインし、ユーザAに成りすまして業務を行う方法がある。しかしこの方法は、不正利用などの問題をはらんでおり、セキュリティ上好ましい方法とはいえない。





そこで、ある組織の共有リソースに対するアクセス権限の委譲方法については、例えば特許文献1開示されたものが知られている。図9に特許文献1の共有リソース管理システムのブロック構成を示して簡単に説明する。





共有リソース管理システムは、リソース管理サーバ1と、譲渡クライアント2と、被譲渡クライアント3とで構成される。譲渡クライアント2は、リソースに対するn個のアクセス権限51と委譲権限証明書発行機能21を備え、被譲渡クライアント3に譲渡するアクセス権限情報を委譲権限証明書52として被譲渡クライアント3に発行する。署名はPKCS#7に基づいた形式とされる。





被譲渡クライアント3は、委譲権限証明書格納機能32とディジタル代理署名生成機能31を備え、ディジタル代理署名生成機能31が委譲権限証明書52に基づいて図示しないディジタル代理署名53を生成してリソース管理サーバ1にアクセス要求する。





リソース管理サーバ1は、ディジタル代理署名検証機能12と委譲権限検証機能11と管理対象リソース13を備え、ディジタル代理署名検証機能12がディジタル代理署名53を検証する。検証に成功した場合、ディジタル代理署名検証機能12は委譲権限検証機能11にディジタル代理署名53を受け渡す。





委譲権限検証機能11は、ディジタル代理署名53から処理要求と委譲権限証明書の委譲内容を抽出し、リソース管理サーバ1が別途保持するアクセスコントロールリストとマッチングをとることによって被譲渡クライアント3が正しくアクセスしているかどうかを検証する。検証が成功した場合のみに管理対象リソース13へのアクセスを許可する。このようにすることで譲渡された権限の不正利用を防ぐことができる。





また、社内システム向けのソリューションサービスとして、権限委譲を含めたID管理システムが提供されている(例えば非特許文献1参照)。このサービスでは権限委譲のケースとして、人事異動に伴う権限の再設定や、ヘルプデスク担当や派遣社員への部分的なアクセス権限付与などが挙げられている。人事異動の場合は、アクセス権限を前任者から後任者に付け替えるものであり、権限を与えられた後任者は本人のアカウントでアクセスを実行する。部分的なアクセス権限付与の場合は、システム管理者によって与えられた権限を使って、ユーザ本人としてアプリケーションサービスへアクセスする利用形態が想定されている。

【特許文献1】

開2002-163235号公報(図1)

【非特許文献1】

セラコミュニケーションシステム(株)「ID管理システム(Green Office Directory),http://www.kccs.co.jp/products/directory/index.html

産業上の利用分野



この発明は、シングルサインオン環境において電子的なサービスやアプリケーションを代理アクセスして利用する際のグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、そのシステムを構成する各サーバに関する。

特許請求の範囲 【請求項1】
認証サーバが、端末から送信される情報を元にユーザを認証して認証情報を生成するユーザ認証過程と、
サービス提供サーバが、上記認証情報を取得するシングルサインオン過程と、
上記認証情報に権限が不足している場合に上記サービス提供サーバが、上記認証サーバに権限委譲情報を問い合わせる権限委譲情報問い合わせ過程と、
上記権限委譲情報の問い合わせがあった場合に上記認証サーバが、上記端末に権限委譲情報を要求する権限委譲情報要求過程と、
上記認証サーバが、上記権限委譲情報を認証して認可情報を生成する権限委譲認証過程と、
上記サービス提供サーバが、上記認可情報を認可する認可過程と、
を有するグループ内サービス認可方法であって、
上記サービス提供サーバにおいて、上記認可過程で認可された認可情報で上記シングルサインオン過程を制御し、上記シングルサインオン過程に対する新たなユーザアカウントを生成しないように制御することを特徴とするグループ内サービス認可方法。

【請求項2】
請求項1に記載のサービス認可方法において、
上記認証情報はSAMLアサーションであり、上記認可情報は上記SAMLアサーションの拡張仕様を用いたものであることを特徴とするグループ内サービス認可方法。

【請求項3】
ユーザの認証情報を取得してシングルサインオンでサービスを提供するサービス提供サーバと、
ユーザの操作により上記サービスを要求する端末と、
上記ユーザと上記端末とを認証する認証サーバとを具備し、
上記認証サーバは、上記端末の権限委譲情報を要求する権限委譲情報要求部と、上記権限委譲情報を認証して認可情報を生成する権限委譲認証部とを備え、
上記サービス提供サーバは、ユーザ情報を認可する認証情報認可部と、上記認証サーバに権限委譲情報を問い合わせる権限委譲情報問い合わせ部と、認可情報を認可する認可部と、
を備え
上記サービス提供サーバにおいて、上記認可過程で認可された認可情報で上記シングルサインオン過程を制御し、上記シングルサインオン過程に対する新たなユーザアカウントを生成しないように制御することを特徴とするグループ内サービス提供システム。

【請求項4】
請求項3に記載したグループ内サービス提供システムを構成する認証サーバであって、
上記端末から入力されるユーザ情報を認証して認証情報を生成するユーザ認証部と、
上記サービス提供サーバから権限委譲情報の問い合わせに応答して上記端末に権限委譲情報を要求する権限委譲情報要求部と、
上記権限委譲情報を認証して認可情報を生成する権限委譲認証部と、
を具備したことを特徴とする認証サーバ。

【請求項5】
請求項3に記載したグループ内サービス提供システムを構成するサービス提供サーバであって、
上記認証情報を認可する認証情報認可部と、
上記認証情報に権限が不足している場合に上記認証サーバに権限委譲情報を問い合わせる権限委譲情報問い合わせ部と、
上記認証サーバから入力される認可情報を認可する認可部と、
上記認証情報認可部と上記権限委譲認可部の認可結果に基づいてサービスを上記端末に提供するサービス提供部と、
を具備したことを特徴とするサービス提供サーバ。

【請求項6】
請求項5に記載のサービス提供サーバにおいて、
上記認可部の認可結果に基づいて被権限委譲者の一時的なアカウントを生成する一時アカウント生成部も、
具備することを特徴とするサービス提供サーバ。
国際特許分類(IPC)
Fターム
画像

※ 画像をクリックすると拡大します。

JP2008044038thum.jpg
出願権利状態 登録
ライセンスをご希望の方、特許の内容に興味を持たれた方は、下記までご連絡ください。


PAGE TOP

close
close
close
close
close
close
close