[go: up one dir, main page]

JP2008197973A - User authentication system - Google Patents

User authentication system Download PDF

Info

Publication number
JP2008197973A
JP2008197973A JP2007033405A JP2007033405A JP2008197973A JP 2008197973 A JP2008197973 A JP 2008197973A JP 2007033405 A JP2007033405 A JP 2007033405A JP 2007033405 A JP2007033405 A JP 2007033405A JP 2008197973 A JP2008197973 A JP 2008197973A
Authority
JP
Japan
Prior art keywords
cookie
authentication
domain
terminal
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007033405A
Other languages
Japanese (ja)
Inventor
Takeshi Kusaka
武 日下
Takashi Komiya
崇 小宮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2007033405A priority Critical patent/JP2008197973A/en
Publication of JP2008197973A publication Critical patent/JP2008197973A/en
Pending legal-status Critical Current

Links

Images

Abstract

【課題】クライアントがサーバへのアクセス順序を意識することなく異なるドメインに属する複数のWebサーバに対してシングルサインオンを実現するユーザ認証システムを得ること。
【解決手段】中継認証サーバ23は、端末3がWebサーバ21,22にクッキー#2の発行前にアクセス要求した場合には端末3に認証サーバ13へアクセスさせ、端末3からクッキー#1を含むアクセス要求を受信した場合にはクッキー#2を生成してWebサーバ21,22および端末3に送信し、認証サーバ13は、クッキー#1の発行前にアクセス要求を受けた場合には端末3から認証情報を取得してログインによる認証処理を実行してクッキー#1を生成してWebサーバ11,12および端末3に送信し、クッキー#1の発行後に端末3からのアクセス要求を受信した場合にはクッキー#1を端末3に送信する。
【選択図】 図3A user authentication system that realizes a single sign-on for a plurality of Web servers belonging to different domains without being aware of the access order to the servers.
The relay authentication server 23 causes the terminal 3 to access the authentication server 13 when the terminal 3 makes an access request to the Web servers 21 and 22 before issuing the cookie # 2, and includes the cookie # 1 from the terminal 3. When the access request is received, the cookie # 2 is generated and transmitted to the Web servers 21 and 22 and the terminal 3, and the authentication server 13 receives the access request before issuing the cookie # 1 from the terminal 3. When authentication information is acquired and authentication processing by login is executed to generate cookie # 1 and transmitted to the Web servers 11 and 12 and the terminal 3, and when an access request from the terminal 3 is received after the cookie # 1 is issued Sends cookie # 1 to terminal 3.
[Selection] Figure 3

Description

複数のWebサーバのユーザ認証に関するものであり、特に、異なるドメインに属する複数のWebサーバに対してシングルサインオンを実現するユーザ認証システムに関するものである。   The present invention relates to user authentication of a plurality of Web servers, and particularly relates to a user authentication system that realizes single sign-on for a plurality of Web servers belonging to different domains.

複数のWebサーバへのシングルサインオンを実現する方法として、ログイン成功時に認証に成功した旨の情報をクッキーに設定し、以降のログイン操作を省略する方法がある。しかしながら、クッキーはWebブラウザなどのWebクライアントからクッキーの発行元ドメインに対してだけ送られるデータであるため、通常は複数ドメインに跨るシングルサインオンに利用することは難しい。   As a method for realizing single sign-on to a plurality of Web servers, there is a method in which information indicating that authentication is successful upon successful login is set in a cookie, and subsequent login operations are omitted. However, since a cookie is data sent only from a web client such as a web browser to the cookie issuer domain, it is usually difficult to use it for single sign-on across multiple domains.

このようなクッキーの制約を回避するための従来技術として、たとえば、特許文献1がある。特許文献1には、第1サーバが、第2サーバへのリンク情報であってユーザが第1サーバにより認証済みであることを示すユーザ認証情報を有するリンク情報を含むユーザの認証完了画面構成データをユーザ端末に送信し、ユーザ端末のブラウザがユーザの認証完了画面構成データに含まれるリンク情報解釈する際に、ユーザ端末がユーザ認証情報を第2サーバに送信し、第2サーバがユーザ認証情報を含むクッキーを送信し、ユーザが第2サーバにアクセスした際に、第2サーバがクッキーを受信してクッキー内のユーザ認証情報を参照することでユーザを認証する技術が開示されている。   As a conventional technique for avoiding such restrictions on cookies, there is, for example, Patent Document 1. Patent Document 1 discloses user authentication completion screen configuration data including link information including link authentication information indicating that the first server is link information to the second server and the user has been authenticated by the first server. When the browser of the user terminal interprets the link information included in the user authentication completion screen configuration data, the user terminal transmits the user authentication information to the second server, and the second server transmits the user authentication information. When a user accesses a second server by transmitting a cookie including the cookie, a technique is disclosed in which the second server receives the cookie and refers to the user authentication information in the cookie to authenticate the user.

特開2003−58503号公報JP 2003-58503 A

しかしながら、上記特許文献1に記載の従来技術は、第1サーバにアクセスした後に第1サーバからのリンク情報によって第2サーバにアクセスするものであり、シングルサインオン対象のサーバ群へのアクセス順序が規定されているため、ブラウザのブックマーク等から直接任意のサーバにアクセスすることができないという問題があった。   However, the prior art described in the above-mentioned Patent Document 1 accesses the second server by link information from the first server after accessing the first server, and the order of access to the server group targeted for single sign-on is as follows. Because it is defined, there is a problem that it is not possible to directly access an arbitrary server from a browser bookmark or the like.

本発明は、上記に鑑みてなされたものであって、クライアントがサーバへのアクセス順序を意識することなく異なるドメインに属する複数のWebサーバに対してシングルサインオンを実現するユーザ認証システムを得ることを目的とする。   The present invention has been made in view of the above, and provides a user authentication system that realizes single sign-on for a plurality of Web servers belonging to different domains without the client being aware of the order of access to the servers. With the goal.

上述した課題を解決し、目的を達成するために、本発明は、第1のドメインに属する1〜複数のWebサーバおよびログインによる認証処理によってクライアントに対して前記第1のドメインに対する第1のクッキーを発行する認証サーバと、第2のドメインに属する1〜複数のWebサーバおよびログインによる認証処理によってクライアントに対して前記第2のドメインの第2クッキーを発行する中継認証サーバと、前記第1および第2のクッキーを含むアクセス要求によって第1および第2のドメインに属するWebサーバのサービスを受けるクライアント端末とがネットワークに接続されるユーザ認証システムにおいて、前記中継認証サーバは、前記クライアント端末が前記第2のドメインに属するWebサーバに前記第2のクッキーの発行前にアクセス要求した場合には前記クライアント端末に前記認証サーバへのアクセス指示を送信し、前記クライアント端末から前記第1のドメインに対する第1のクッキーを含むアクセス要求を受信した場合には前記第2のドメインに対する第2のクッキーを生成し、生成した第2のクッキーを前記第2のドメインに属するWebサーバおよび前記クライアント端末に送信する第2のクッキーの発行処理を実行し、前記認証サーバは、前記クライアント端末が前記第1のクッキーの発行前にアクセス要求を受けた場合には前記クライアント端末から認証情報を取得して前記クライアント端末を利用するクライアントを認証するログインによる認証処理を実行して前記第1のクッキーを生成し、生成した第1のクッキーを前記第1のドメインに属するWebサーバおよびクライアント端末に送信する第1のクッキーの発行処理を実行し、前記第1のクッキーの発行処理を実行した後に前記クライアント端末からのアクセス要求を受信した場合には前記第1のクッキーを前記クライアント端末に送信し、前記クライアント端末は、前記中継認証サーバからのアクセス指示によって前記認証サーバにアクセスした場合には前記認証サーバから受信した第1のクッキーの値をデータとして含めたアクセス要求を前記中継認証サーバに送信し、第1および第2のドメインに属するWebサーバにアクセスする際には第1および第2のクッキーをアクセス要求に含めること、を特徴とする。   In order to solve the above-described problems and achieve the object, the present invention provides a first cookie for the first domain to the client by one or more Web servers belonging to the first domain and authentication processing by login. An authentication server that issues a second cookie of the second domain to a client through an authentication process by login, and an authentication server that issues a second cookie of the second domain, In a user authentication system in which a client terminal receiving a service of a Web server belonging to the first and second domains is connected to a network by an access request including a second cookie, the relay authentication server is configured so that the client terminal The second cookie on the Web server belonging to the second domain. When an access request is made before issuance, an instruction to access the authentication server is transmitted to the client terminal, and when an access request including a first cookie for the first domain is received from the client terminal, Generating a second cookie for a second domain, executing a second cookie issuing process for transmitting the generated second cookie to a Web server belonging to the second domain and the client terminal; Performs an authentication process by login to authenticate a client using the client terminal by acquiring authentication information from the client terminal when the client terminal receives an access request before issuing the first cookie. The first cookie is generated, and the generated first cookie is When the first cookie issuance process transmitted to the Web server and client terminal belonging to the inn is executed, and the access request from the client terminal is received after the first cookie issuance process is executed, the first cookie is issued. The client terminal included the value of the first cookie received from the authentication server as data when the client terminal accessed the authentication server according to an access instruction from the relay authentication server. The access request is transmitted to the relay authentication server, and the first and second cookies are included in the access request when accessing the Web server belonging to the first and second domains.

この発明によれば、第1のドメインに属する1〜複数のWebサーバおよびログインによる認証処理によってクライアントに対して第1のドメインに対する第1のクッキーを発行する認証サーバと、第2のドメインに属する1〜複数のWebサーバおよびログインによる認証処理によってクライアントに対して第2のドメインの第2クッキーを発行する中継認証サーバと、第1および第2のクッキーを含むアクセス要求によって第1および第2のドメインに属するWebサーバのサービスを受けるクライアント端末とがネットワークに接続されるユーザ認証システムにおいて、中継認証サーバは、クライアント端末が第2のドメインに属するWebサーバに第2のクッキーの発行前にアクセス要求した場合にはクライアント端末に認証サーバへのアクセス指示を送信し、クライアント端末から第1のドメインに対する第1のクッキーを含むアクセス要求を受信した場合には第2のドメインに対する第2のクッキーを生成し、生成した第2のクッキーを第2のドメインに属するWebサーバおよびクライアント端末に送信する第2のクッキーの発行処理を実行し、認証サーバは、クライアント端末から第1のクッキーの発行前にアクセス要求を受けた場合にはクライアント端末から認証情報を取得してクライアント端末を利用するクライアントを認証するログインによる認証処理を実行して第1のクッキーを生成し、生成した第1のクッキーを第1のドメインに属するWebサーバおよびクライアント端末に送信する第1のクッキーの発行処理を実行し、第1のクッキーの発行処理を実行した後にクライアント端末からのアクセス要求を受信した場合には第1のクッキーをクライアント端末に送信し、クライアント端末は、中継認証サーバからのアクセス指示によって認証サーバにアクセスした場合には認証サーバから受信した第1のクッキーの値をデータとして含めたアクセス要求を中継認証サーバに送信し、第1および第2のドメインに属するWebサーバにアクセスする際には第1および第2のクッキーをアクセス要求に含めるようにしている。   According to the present invention, one or more Web servers belonging to the first domain, an authentication server that issues a first cookie for the first domain to the client by an authentication process by login, and belonging to the second domain A relay authentication server that issues a second cookie of the second domain to a client by an authentication process by one or a plurality of Web servers and login; and first and second by an access request including the first and second cookies In a user authentication system in which a client terminal receiving a service of a Web server belonging to a domain is connected to a network, the relay authentication server requests an access before the client terminal issues a second cookie to a Web server belonging to the second domain If the authentication server When the access request including the first cookie for the first domain is received from the client terminal, the second cookie for the second domain is generated, and the generated second cookie is The second cookie issuance processing to be transmitted to the Web server and the client terminal belonging to the domain 2 is executed, and the authentication server receives the access request from the client terminal before issuing the first cookie from the client terminal. Authentication information is acquired and a client that uses the client terminal is authenticated to execute an authentication process by login to generate a first cookie, and the generated first cookie is sent to the Web server and client terminal belonging to the first domain. Execute the process of issuing the first cookie to be sent and execute the process of issuing the first cookie. 1st cookie is sent to the client terminal when an access request is received from the client terminal after receiving the request, and the client terminal receives from the authentication server when accessing the authentication server in response to an access instruction from the relay authentication server The access request including the value of the first cookie as data is transmitted to the relay authentication server, and when accessing the Web server belonging to the first and second domains, the first and second cookies are used as the access request. I am trying to include it.

すなわち、認証サーバを持たないドメインには認証サーバにクライアント端末を接続させる中継認証サーバを備えることで、クライアントのログインによる認証処理はシステム内のどのドメインにアクセスした場合でも認証サーバが実行し、クッキーの発行については、ログインによる認証処理が終了した後にクライアント端末がアクセスしようとしたWebサーバが属するドメイン内の認証サーバまたは中継認証サーバが実行するようにしている。これにより、クライアントはサーバへのアクセス順序を意識することなく異なるドメインに属する複数のWebサーバに対してシングルサインオンを実現するユーザ認証システムを得ることという効果を奏する。   In other words, a domain that does not have an authentication server is equipped with a relay authentication server that connects the client terminal to the authentication server, so that authentication processing by the client login is executed by the authentication server regardless of which domain in the system is accessed, and a cookie Is issued by the authentication server or the relay authentication server in the domain to which the Web server to which the client terminal tried to access after the authentication process by login is completed. As a result, the client can obtain a user authentication system that realizes single sign-on for a plurality of Web servers belonging to different domains without being aware of the access order to the servers.

以下に、本発明にかかるユーザ認証システムおよび中継認証サーバの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。   Embodiments of a user authentication system and a relay authentication server according to the present invention will be described below in detail with reference to the drawings. Note that the present invention is not limited to the embodiments.

実施の形態1.
図1〜図3を参照して、この発明の実施の形態1を説明する。図1は、この発明におけるユーザ認証システムの構成の一例を示す図である。図1において、ユーザ認証システムは、複数(この場合は4台)のWebサーバ11,12,21,22と、認可情報データベース(以下、認可情報DBという)およびユーザデータベース(以下、ユーザDBという)と接続される認証サーバ13と、端末3とがネットワーク4を介して接続される。Webサーバ11,12、認証サーバ13、認可情報DB14、およびユーザDB15はドメイン1に属し、Webサーバ21,22および中継認証サーバ23はドメイン2に属している。このユーザ認証システムでは、クライアントは端末3を用いてユーザ登録(たとえば、ユーザIDおよびパスワードの登録)を行ない、登録したユーザIDおよびパスワードを認証情報として用いてドメイン1,2にログインすることによりWebサーバ11,12,21,22へのアクセスが可能となり各種サービスの提供を受けることができる。 Embodiment 1 FIG.
A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a diagram showing an example of the configuration of a user authentication system according to the present invention. In FIG. 1, a user authentication system includes a plurality of (in this case, four) Web servers 11, 12, 21, and 22, an authorization information database (hereinafter referred to as an authorization information DB), and a user database (hereinafter referred to as a user DB). And the terminal 3 are connected via the network 4. Web servers 11 and 12, authentication server 13, authorization information DB 14, and user DB 15 belong to domain 1, and web servers 21 and 22 and relay authentication server 23 belong to domain 2. In this user authentication system, a client performs user registration (for example, registration of a user ID and a password) using the terminal 3 and logs in to the domains 1 and 2 using the registered user ID and password as authentication information. Access to the servers 11, 12, 21, and 22 is possible, and various services can be provided.

端末3は、たとえば、ブラウザがインストールされたパーソナルコンピュータなどで構成され、クライアントによって操作され、Webサーバ11,12,21,22にアクセスして所望のサービスの提供を受けるための装置である。   The terminal 3 is, for example, a personal computer on which a browser is installed, and is a device that is operated by a client and accesses the Web servers 11, 12, 21, and 22 to receive a desired service.

ユーザDB15には、クライアントが端末3を介して登録したユーザIDおよびパスワードが登録される。認可情報DB14には、Webサーバ11,12,21,22が有するコンテンツに関連付けてそのコンテンツを利用可能なユーザIDが登録される。   The user ID and password registered by the client via the terminal 3 are registered in the user DB 15. In the authorization information DB 14, user IDs that can use the contents in association with the contents of the Web servers 11, 12, 21, and 22 are registered.

認証サーバ13は、ユーザDB15認可情報DB14に基づいて、自装置が属するドメイン1のWebサーバ11,12へのログイン、および自装置が属するドメイン1とは異なるドメイン2のWebサーバ21,22へのログインの認証処理を行ない、自装置が属するドメイン1に対するクッキーを発行するとともに認可チケットを発行する。   Based on the user DB 15 authorization information DB 14, the authentication server 13 logs in to the Web servers 11 and 12 in the domain 1 to which the own device belongs, and connects to the Web servers 21 and 22 in the domain 2 different from the domain 1 to which the own device belongs. It performs login authentication processing, issues a cookie for domain 1 to which the device belongs, and issues an authorization ticket.

中継認証サーバ23は、自装置が属するドメイン2のWebサーバ21,22へのログインの要求を認証サーバ13に中継する。中継認証サーバ23は、認証サーバ13によってログインの認証処理が実行された後に、認証サーバ13が発行したドメイン1に対するクッキーと認可チケットに基づいて、自装置が属するドメイン2に対するクッキーおよび認可チケットを発行する。   The relay authentication server 23 relays a login request to the Web servers 21 and 22 in the domain 2 to which the own device belongs to the authentication server 13. The relay authentication server 23 issues a cookie and an authorization ticket for the domain 2 to which the own device belongs based on the cookie and the authorization ticket for the domain 1 issued by the authentication server 13 after the login server performs the login authentication process. To do.

つぎに、図2および図3のシーケンス図と図1とを参照して、この実施の形態1のユーザ認証システムの動作について説明する。まず、図2のシーケンス図を参照して、ドメイン1のWebサーバ11にクライアントがアクセス要求を行った場合のシングルサインオンの動作について説明する。なお、クライアントは、端末3を用いてユーザ登録処理を行なっており、ユーザDB15にはユーザIDおよびパスワードが登録され、認可情報DB14には認可情報が登録されているものとする。   Next, the operation of the user authentication system according to the first embodiment will be described with reference to the sequence diagrams of FIGS. 2 and 3 and FIG. First, a single sign-on operation when a client makes an access request to the Web server 11 of the domain 1 will be described with reference to the sequence diagram of FIG. It is assumed that the client performs user registration processing using the terminal 3, the user ID and password are registered in the user DB 15, and the authorization information is registered in the authorization information DB 14.

クライアントは、端末3を用いてWebサーバ11に所望のサービスの提供(Webサイトへのアクセス)を要求する。端末3は、Webサーバ11にアクセス要求を送信する(ステップS100)。すでに、ドメイン1のWebサーバ11,12のWebサイトにアクセスしている場合はログインの認証処理が行われて端末3にはドメイン1に対するクッキー#1が記憶されているので、クッキー#1を含むアクセス要求を送信する。Webサーバ11のアクセスがドメイン1のWebサーバ11,12への最初のアクセスの場合はログインの認証処理が行われていないため端末3にはドメイン1に対するクッキー#1が記憶されていないため、クッキー#1を含めないアクセス要求を送信する。   The client uses the terminal 3 to request the Web server 11 to provide a desired service (access to the Web site). The terminal 3 transmits an access request to the Web server 11 (Step S100). If the website of the domain 1 web servers 11 and 12 is already accessed, the login authentication process is performed and the terminal 3 stores the cookie # 1 for the domain 1 and therefore includes the cookie # 1. Send an access request. When the access of the Web server 11 is the first access to the Web servers 11 and 12 of the domain 1, since the authentication process of login is not performed, the cookie # 1 for the domain 1 is not stored in the terminal 3, so the cookie An access request not including # 1 is transmitted.

Webサーバ11は、クライアントに対してログインの認証済みであるか否かを判定する(ステップS101)。クッキーは、後述するが、認証サーバ13のログインによる認証処理によってクライアントが用いる端末3およびドメイン1内のWebサーバ11,12に通知される。よって、Webサーバ11は、アクセス要求に自装置が記憶しているクッキーと一致するクッキーが含まれている場合にはログインによる認証処理が行われ認証済みのクライアントであると判定し、アクセス要求に自装置が記憶しているクッキーと一致するクッキーが含まれていない場合にはログインによる認証処理が行われていない未認証のクライアントであると判定する。   The Web server 11 determines whether login for the client has been authenticated (step S101). As will be described later, the cookie is notified to the terminal 3 used by the client and the Web servers 11 and 12 in the domain 1 by the authentication process by login of the authentication server 13. Therefore, if the access request includes a cookie that matches the cookie stored in the own device, the Web server 11 determines that the client is an authenticated client by performing an authentication process by login, and determines that the access request If a cookie that matches the cookie stored in the device itself is not included, it is determined that the client is an unauthenticated client that has not been authenticated by login.

認証済みではない場合(ステップS101,No)、Webサーバ11は、認証サーバ13へのアクセス指示を端末3に送信する(ステップS102)。端末3は、アクセス指示に基づいて認証サーバ13にアクセス要求を送信する(ステップS103)。認証サーバ13は、アクセス要求を受けると、ログインの操作を促し認証情報(ユーザIDおよびパスワード)を要求する認証情報要求を端末3に送信する(ステップS104)。端末3は、認証情報要求に基づいてクライアントに認証情報の入力を促すログイン画面を表示する。端末3は、クライアントによって認証情報が入力されると、入力された認証情報を含む認証情報応答を認証サーバ13に送信する(ステップS105)。   If not authenticated (No at Step S101), the Web server 11 transmits an instruction to access the authentication server 13 to the terminal 3 (Step S102). The terminal 3 transmits an access request to the authentication server 13 based on the access instruction (step S103). Upon receiving the access request, the authentication server 13 transmits an authentication information request for prompting a login operation and requesting authentication information (user ID and password) to the terminal 3 (step S104). The terminal 3 displays a login screen that prompts the client to input authentication information based on the authentication information request. When the authentication information is input by the client, the terminal 3 transmits an authentication information response including the input authentication information to the authentication server 13 (step S105).

認証サーバ13は、認証情報応答、ユーザDB15、および認可情報DB14に基づいてログインの認証処理を実行する(ステップS106)。具体的には、認証サーバ13は、認証情報応答に含まれる認証情報、すなわちユーザIDおよびパスワードの組がユーザDB15に登録されているか否かを判定する。認証情報応答に含まれるユーザIDおよびパスワードの組がユーザDB15に登録されている場合、認証サーバ13はログインを許可して、このユーザIDが示すクライアントに対してドメイン1のクッキー#1を生成する。このクッキー#1にはログインによる認証処理が実行され認証が成功した旨の情報が含まれている。また、認証サーバ13は、認証情報応答に含まれるユーザIDに関連付けられて認可情報DB14に登録されているコンテンツを抽出してドメイン1の認可チケット#1を生成する。一方、認証情報応答に含まれるユーザIDおよびパスワードの組がユーザDB15に登録されていない場合、認証サーバ13は、予め定められた所定の処理、たとえば、端末3に対してパスワードが異なるなどとメッセージを表示させて認証情報を再度入力させるなどの指示を行う処理を実行する。   The authentication server 13 executes a login authentication process based on the authentication information response, the user DB 15 and the authorization information DB 14 (step S106). Specifically, the authentication server 13 determines whether or not authentication information included in the authentication information response, that is, a set of user ID and password is registered in the user DB 15. When the combination of the user ID and password included in the authentication information response is registered in the user DB 15, the authentication server 13 permits login and generates cookie # 1 of domain 1 for the client indicated by this user ID. . This cookie # 1 includes information indicating that the authentication process by login is executed and the authentication is successful. Further, the authentication server 13 extracts the content registered in the authorization information DB 14 in association with the user ID included in the authentication information response, and generates the authorization ticket # 1 for the domain 1. On the other hand, when the combination of the user ID and password included in the authentication information response is not registered in the user DB 15, the authentication server 13 sends a message indicating that the password is different from the terminal 3 for a predetermined process, for example, Is displayed, and an instruction is given to input authentication information again.

認証サーバ13は、認証処理によってクッキー#1および認可チケット#1を生成すると、生成したクッキー#1および認可チケット#1を含む認証許可を端末3に送信する(ステップS106)。なお、端末3に送信する認証許可にはログイン前に端末3がアクセス要求したWebサーバ11へのアクセス指示を含めておく。また、認証サーバ13は、生成したクッキー#1を記憶するとともに、生成したクッキー#1および認可チケット#1をドメイン1内のすべてのWebサーバ11,12に送信する(ステップS107)。Webサーバ11,12は、受信したクッキー#1および認可チケット#1を記憶し、以後、端末3からクッキー#1を含むアクセス要求を受けた場合、認可チケット#1によってアクセスが認可されたWebサイトのサービスを端末3に提供する。   When the authentication server 13 generates the cookie # 1 and the authorization ticket # 1 by the authentication process, the authentication server 13 transmits an authentication permission including the generated cookie # 1 and the authorization ticket # 1 to the terminal 3 (step S106). Note that the authentication permission transmitted to the terminal 3 includes an instruction to access the Web server 11 requested by the terminal 3 before login. The authentication server 13 stores the generated cookie # 1 and transmits the generated cookie # 1 and the authorization ticket # 1 to all the Web servers 11 and 12 in the domain 1 (step S107). The Web servers 11 and 12 store the received cookie # 1 and the authorization ticket # 1, and when an access request including the cookie # 1 is received from the terminal 3 thereafter, the website whose access is authorized by the authorization ticket # 1 Are provided to the terminal 3.

認証許可を受信すると、端末3は、認証許可に含まれるクッキー#1および認可チケット#1を記憶する。端末3は、認証許可に含まれるクッキー#1を含むWebサーバ11へのアクセス要求をWebサーバ11に送信する(ステップS108)。Webサーバ11は、先のステップS101で説明したように、受信したアクセス要求にクッキー#1が含まれているか否かによってログインの認証済みであるか否かを判定する。ここでは、アクセス要求にクッキー#1が含まれているので、Webサーバ11は、アクセス要求によって要求されたサービスを端末3に提供する(ステップS109)。   When receiving the authentication permission, the terminal 3 stores the cookie # 1 and the authorization ticket # 1 included in the authentication permission. The terminal 3 transmits an access request to the Web server 11 including the cookie # 1 included in the authentication permission to the Web server 11 (Step S108). As described in the previous step S101, the Web server 11 determines whether or not the login has been authenticated based on whether or not the received access request includes cookie # 1. Here, since cookie # 1 is included in the access request, the Web server 11 provides the terminal 3 with the service requested by the access request (step S109).

その後、クライアントが端末3を介してWebサーバ11,12のWebサイトにアクセスを要求した場合、端末3は記憶しているクッキー#1を含むアクセス要求をWebサーバ11,12に送信する。Webサーバ11,12には、認証サーバ13からクッキー#1および認可チケット#1が通知されているので、Webサーバ11,12は、ログインによる認証済みであることを認識し、認可チケット#1に含まれるコンテンツのサービスを端末3を介してクライアントに提供する。このように、認証サーバ13が属するドメイン1のWebサーバ11,12へのアクセス動作は、従来のクッキーを用いたシングルサインオンの動作と同様となる。   Thereafter, when the client requests access to the websites of the Web servers 11 and 12 via the terminal 3, the terminal 3 transmits an access request including the stored cookie # 1 to the Web servers 11 and 12. Since the cookie # 1 and the authorization ticket # 1 are notified from the authentication server 13 to the web servers 11 and 12, the web servers 11 and 12 recognize that the authentication has been performed by login, and the authorization tickets # 1 The content service included is provided to the client via the terminal 3. As described above, the access operation to the Web servers 11 and 12 in the domain 1 to which the authentication server 13 belongs is the same as the single sign-on operation using the conventional cookie.

つぎに、図3のシーケンス図を参照して、ドメイン2のWebサーバ21,22にクライアントがアクセス要求を行った場合のシングルサインオンの動作について説明する。なお、クライアントは、端末3を用いてユーザ登録処理を行なっており、ユーザDB15にはユーザIDおよびパスワードが登録され、認可情報DB14には認可情報が登録されているものとする。   Next, a single sign-on operation when a client makes an access request to the Web servers 21 and 22 in the domain 2 will be described with reference to the sequence diagram of FIG. It is assumed that the client performs user registration processing using the terminal 3, the user ID and password are registered in the user DB 15, and the authorization information is registered in the authorization information DB 14.

クライアントは、端末3を用いてWebサーバ21,22に所望のサービスの提供を要求する。端末3は、Webサーバ21,22にアクセス要求を送信する(ステップS200)。端末3は、すでに、ドメイン2のWebサーバ21,22のWebサイトにアクセスしている場合にはドメイン2に対するクッキー#2が端末3に記憶されているのでクッキー#2を含むアクセス要求を送信し、Webサーバ21,22のWebサイトへの最初のアクセスの場合にはクッキー#2が記憶されていないので、クッキー#2を含めないアクセス要求を送信する。   The client requests the Web servers 21 and 22 to provide a desired service using the terminal 3. The terminal 3 transmits an access request to the Web servers 21 and 22 (Step S200). If the terminal 3 has already accessed the Web sites of the Web servers 21 and 22 in the domain 2, since the cookie # 2 for the domain 2 is stored in the terminal 3, the terminal 3 transmits an access request including the cookie # 2. In the case of the first access to the Web site of the Web servers 21 and 22, since the cookie # 2 is not stored, an access request not including the cookie # 2 is transmitted.

Webサーバ21,22は、受信したアクセス要求にクッキー#2が含まれているか否かによってドメイン2に対するログインの認証済みであるか否かを判定する(ステップS201)。認証済みである場合(ステップS201,Yes)、すなわちアクセス要求にクッキー#2が含まれている場合、Webサーバ21,22は要求されたサービスを提供する(ステップS202)。   The Web servers 21 and 22 determine whether or not the login to the domain 2 has been authenticated based on whether or not the received access request includes cookie # 2 (step S201). If authenticated (step S201, Yes), that is, if the access request includes cookie # 2, the Web servers 21 and 22 provide the requested service (step S202).

認証済みではない場合(ステップS201,No)、すなわちアクセス要求にクッキー#2が含まれていない場合、Webサーバ21,22は、中継認証サーバ23へのアクセス指示を端末3に送信する(ステップS203)。端末3は、アクセス指示に基づいて中継認証サーバ23にアクセス要求を送信する(ステップS204)。中継認証サーバ23は、アクセス要求を受けると、認証サーバ13へのアクセス指示を端末3に送信する(ステップS205)。端末3は、アクセス指示に基づいて認証サーバ13にアクセス要求を送信する(ステップS206)。なお、端末3は、認証サーバ13が属するドメイン1のクッキー#1を記憶している場合にはクッキー#1を含めたアクセス要求を送信する。   If authentication has not been completed (No at Step S201), that is, if cookie # 2 is not included in the access request, the Web servers 21 and 22 transmit an access instruction to the relay authentication server 23 to the terminal 3 (Step S203). ). The terminal 3 transmits an access request to the relay authentication server 23 based on the access instruction (step S204). When receiving the access request, the relay authentication server 23 transmits an instruction to access the authentication server 13 to the terminal 3 (step S205). The terminal 3 transmits an access request to the authentication server 13 based on the access instruction (step S206). The terminal 3 transmits an access request including the cookie # 1 when the cookie # 1 of the domain 1 to which the authentication server 13 belongs is stored.

認証サーバ13は、クライアントに対してログインの認証済みであるか否かを判定する(ステップS207)。クッキーは、ログインによる認証処理によってクライアントが用いる端末3に通知される。よって、認証サーバ13は、アクセス要求にクッキー(この場合はクッキー#1)が含まれている場合にはログインによる認証処理が行われ認証済みのクライアントであると判定し、アクセス要求にクッキー#1が含まれていない場合にはログインによる認証処理が行われていない未認証のクライアントであると判定する。   The authentication server 13 determines whether login of the client has been authenticated (step S207). The cookie is notified to the terminal 3 used by the client through an authentication process by login. Therefore, if the access request includes a cookie (in this case, cookie # 1), the authentication server 13 determines that the client is an authenticated client by performing an authentication process by login, and determines that the access request includes cookie # 1. Is not included, it is determined that the client is an unauthenticated client that has not been authenticated by login.

認証済みではない場合(ステップS207,No)、認証サーバ13は、ログインの操作を促し認証情報(ユーザIDおよびパスワード)を要求する認証情報要求を端末3に送信する(ステップS208)。端末3は、認証情報要求に基づいてクライアントに認証情報の入力を促すログイン画面を表示する。端末3は、クライアントによって認証情報が入力されると、入力された認証情報を含む認証情報応答を認証サーバ13に送信する(ステップS209)。   If it has not been authenticated (No at Step S207), the authentication server 13 transmits an authentication information request for prompting a login operation and requesting authentication information (user ID and password) to the terminal 3 (Step S208). The terminal 3 displays a login screen that prompts the client to input authentication information based on the authentication information request. When the authentication information is input by the client, the terminal 3 transmits an authentication information response including the input authentication information to the authentication server 13 (step S209).

認証サーバ13は、認証情報応答、ユーザDB15、および認可情報DB14に基づいてログインの認証処理を実行する(ステップS210)。認証処理は、先の図2のシーケンス図を参照して説明したステップS106の処理と同様であるのでここではその詳細な説明を省略する。   The authentication server 13 executes a login authentication process based on the authentication information response, the user DB 15 and the authorization information DB 14 (step S210). Since the authentication process is the same as the process of step S106 described with reference to the sequence diagram of FIG. 2, detailed description thereof is omitted here.

認証処理によってクッキー#1および認可チケット#1を生成した後、または認証済みである場合(ステップS207,Yes)、認証処理によってクライアントが用いる端末3に対するクッキー#1および認可チケット#1を含む認証許可を端末3に送信する(ステップS211)。なお、認証許可には、中継認証サーバ23へのアクセス指示を含めておく。また、認証サーバ13は、生成したクッキー#1および認可チケット#1をドメイン1内のすべてのWebサーバ11,12に送信する(ステップS212)。Webサーバ11,12は、受信したクッキー#1および認可チケット#1を記憶する。   Authentication permission including cookie # 1 and authorization ticket # 1 for terminal 3 used by the client by authentication processing after generating cookie # 1 and authorization ticket # 1 by authentication processing, or when authenticated (step S207, Yes) Is transmitted to the terminal 3 (step S211). The authentication permission includes an instruction to access the relay authentication server 23. Further, the authentication server 13 transmits the generated cookie # 1 and authorization ticket # 1 to all the Web servers 11 and 12 in the domain 1 (step S212). The Web servers 11 and 12 store the received cookie # 1 and authorization ticket # 1.

なお、認証済みである場合は、端末3およびWebサーバ11,12にクッキー#1および認可チケット#1を通知済みであるので、端末3に対して中継認証サーバ23へのアクセス指示のみを送信するようにしてもよい。   If authenticated, the terminal 3 and the Web servers 11 and 12 have been notified of the cookie # 1 and the authorization ticket # 1, and therefore only an access instruction to the relay authentication server 23 is transmitted to the terminal 3. You may do it.

認証許可を受信すると、端末3は、認証許可に含まれるクッキー#1および認可チケット#1を記憶する。端末3は、中継認証サーバ23へのアクセス要求を中継認証サーバ23に送信する(ステップS213)。このとき、端末3は、認証サーバ13から通知されたドメイン1におけるクッキー#1の値をデータとしてアクセス要求に含めておく。たとえば、HTMLのPOSTパラメータなどを用いればよい。   When receiving the authentication permission, the terminal 3 stores the cookie # 1 and the authorization ticket # 1 included in the authentication permission. The terminal 3 transmits an access request to the relay authentication server 23 to the relay authentication server 23 (step S213). At this time, the terminal 3 includes the value of cookie # 1 in the domain 1 notified from the authentication server 13 as data in the access request. For example, HTML POST parameters may be used.

データとしてクッキー#1の値が含まれているアクセス要求を受信すると、中継認証サーバ23は、クッキー#1に基づいてドメイン2におけるクライアントへのクッキー#2および認可チケット#2を生成する(ステップS214)。中継認証サーバ23は、生成したクッキー#2および認可チケットを含む認証許可を端末3に送信する(ステップS215)。なお、端末3に送信する認証許可には、端末3がアクセス要求したWebサーバ21,22へのアクセス指示を含めておく。また、中継認証サーバ23は、生成したクッキー#2を記憶するとともに、生成したクッキー#2および認可チケット#2をドメイン2内のすべてのWebサーバ21,22に送信する(ステップS216)。Webサーバ21,22は、受信したクッキー#2および認可チケット#2を記憶し、以後、端末3からクッキー#2を含むアクセス要求を受けた場合、認可チケット#2によってアクセスが許可されたWebサイトのサービスを端末3に提供する。   When receiving the access request including the value of cookie # 1 as data, relay authentication server 23 generates cookie # 2 and authorization ticket # 2 for the client in domain 2 based on cookie # 1 (step S214). ). The relay authentication server 23 transmits authentication permission including the generated cookie # 2 and the authorization ticket to the terminal 3 (step S215). The authentication permission transmitted to the terminal 3 includes an access instruction to the Web servers 21 and 22 requested by the terminal 3 for access. Further, the relay authentication server 23 stores the generated cookie # 2 and transmits the generated cookie # 2 and the authorization ticket # 2 to all the Web servers 21 and 22 in the domain 2 (step S216). The Web servers 21 and 22 store the received cookie # 2 and the authorization ticket # 2, and when an access request including the cookie # 2 is received from the terminal 3 thereafter, the Web site to which access is permitted by the authorization ticket # 2 Are provided to the terminal 3.

認証許可を受信すると、端末3は、認証許可に含まれるクッキー#2および認可チケット#2を記憶する。端末3は、認証許可に含まれるクッキー#2を含むWebサーバ21,22へのアクセス要求をWebサーバ21,22に送信する(ステップS217)。Webサーバ21,22は、先のステップS201で説明したように、受信したアクセス要求にクッキー#2が含まれているか否かによってログインの認証済みであるか否かを判定する。ここでは、アクセス要求にクッキー#2が含まれているので、Webサーバ21,22はアクセス要求によって要求されたサービスを端末3に提供する(ステップS218)。   When receiving the authentication permission, the terminal 3 stores the cookie # 2 and the authorization ticket # 2 included in the authentication permission. The terminal 3 transmits an access request to the Web servers 21 and 22 including the cookie # 2 included in the authentication permission to the Web servers 21 and 22 (Step S217). As described in the previous step S201, the Web servers 21 and 22 determine whether or not the login has been authenticated based on whether or not the received access request includes cookie # 2. Here, since cookie # 2 is included in the access request, the Web servers 21 and 22 provide the service requested by the access request to the terminal 3 (step S218).

その後、クライアントが端末3を介してドメイン1に属するWebサーバ11,12のWebサイトにアクセスを要求した場合、端末3はドメイン1に対するクッキー#1を記憶していので、クッキー#1を含めたWebサーバ11,12へのアクセス要求を送信する。よって、ドメイン2のWebサーバ21、22からドメイン1のWebサーバ11,12にアクセスする場合でも、ログインによる認証処理を行なうことなくWebサーバ11,12へのアクセスが可能となる。   Thereafter, when the client requests access to the Web sites of the Web servers 11 and 12 belonging to the domain 1 via the terminal 3, the terminal 3 stores the cookie # 1 for the domain 1, and thus the Web including the cookie # 1. An access request to the servers 11 and 12 is transmitted. Therefore, even when accessing the Web servers 11 and 12 in the domain 1 from the Web servers 21 and 22 in the domain 2, it is possible to access the Web servers 11 and 12 without performing authentication processing by login.

以上説明したように、この実施の形態1においては、中継認証サーバ23は、端末3がドメイン2に属するWebサーバ21,22にドメイン2のクッキー#2の発行前にアクセス要求した場合には端末3に認証サーバ13へのアクセス指示を送信し、端末3からドメイン1に対するクッキー#1を含むアクセス要求を受信した場合にはドメイン2に対するクッキー#2を生成し、生成した第2のクッキーをドメイン2に属するWebサーバ21,22および端末3に送信するクッキーの発行処理を実行し、認証サーバ13は、ドメイン1に対するクッキー#1の発行前にアクセス要求を受けた場合には端末3から認証情報を取得して端末3を利用するクライアントを認証するログインによる認証処理を実行してクッキー#1を生成し、生成したクッキー#1をドメイン1に属するWebサーバ11,12および端末3に送信するクッキーの発行処理を実行し、クッキー#1の発行処理を実行した後に端末3からのアクセス要求を受信した場合にはクッキー#1を端末3に送信し、端末3が、中継認証サーバ23からのアクセス指示によって認証サーバ13にアクセスした場合には認証サーバ13から受信したクッキー#1の値をデータとして含めたアクセス要求を中継認証サーバ23に送信し、ドメイン1,2に属するWebサーバ11,12,21,22にアクセスする際にはクッキー#1,#2をアクセス要求に含めるようにしている。   As described above, in the first embodiment, when the terminal 3 requests the Web server 21 or 22 belonging to the domain 2 to access before the issuance of the cookie # 2 of the domain 2 in the relay authentication server 23, the terminal 3, an access instruction to the authentication server 13 is transmitted, and when an access request including the cookie # 1 for the domain 1 is received from the terminal 3, the cookie # 2 for the domain 2 is generated, and the generated second cookie is set to the domain 2 is executed, and the authentication server 13 receives authentication information from the terminal 3 when receiving an access request before issuing the cookie # 1 for the domain 1. Authenticate client using terminal 3 to authenticate client and execute authentication process by login to generate cookie # 1 and generate Cookie # 1 is transmitted to the Web servers 11 and 12 belonging to the domain 1 and the terminal 3, and when the cookie # 1 issuance process is executed, the access request from the terminal 3 is received. Cookie # 1 is transmitted to the terminal 3, and when the terminal 3 accesses the authentication server 13 by an access instruction from the relay authentication server 23, an access request including the value of the cookie # 1 received from the authentication server 13 as data Is transmitted to the relay authentication server 23, and when accessing the Web servers 11, 12, 21, and 22 belonging to the domains 1 and 2, cookies # 1 and # 2 are included in the access request.

すなわち、認証サーバ13を持たないドメイン2には認証サーバ13に端末3を接続させる中継認証サーバ23を備えることで、クライアントのログインによる認証処理はシステム内のどのドメイン1,2にアクセスした場合でも認証サーバ13が実行し、クッキー#1,#2の発行については、ログインによる認証処理が終了した後に端末3がアクセスしようとしたWebサーバ11,12,21,22が属するドメイン1,2内の認証サーバ13または中継認証サーバ23が実行するようにしている。これにより、クライアントはWebサーバ11,12,21,22へのアクセス順序を意識することなく1回のログイン操作で異なるドメイン1,2に属する複数のWebサーバ11,12,21,22に対してシングルサインオンを実現することができ、ブラウザのブックマーク等から直接どのWebサーバ11,12,21,22ヘもアクセスすることが可能となる。   In other words, the domain 2 that does not have the authentication server 13 includes the relay authentication server 23 that connects the terminal 3 to the authentication server 13, so that the authentication process by login of the client can access any domain 1 or 2 in the system. The authentication server 13 executes and issues the cookies # 1 and # 2 in the domains 1 and 2 to which the Web servers 11, 12, 21, and 22 to which the terminal 3 tries to access after the authentication process by the login ends. The authentication server 13 or the relay authentication server 23 is configured to execute. As a result, the client can access a plurality of Web servers 11, 12, 21, 22 belonging to different domains 1, 2 by one login operation without being aware of the access order to the Web servers 11, 12, 21, 22. Single sign-on can be realized, and any Web server 11, 12, 21, or 22 can be directly accessed from a browser bookmark or the like.

また、クライアントのログインによる認証処理はシステム内のどのドメイン1,2にアクセスした場合でも認証サーバ13が実行し、認証サーバ13を持たないドメインには認証サーバ13に端末3を接続させるとともに当該ドメインに対するクッキーを発行する中継認証サーバ23を備えるだけでよいため、ユーザ管理機能やシングルサインオンの対象となるWebサーバ11,12,22,21の情報等は認証サーバ13で集中管理することができ、メンテナンスコストを小さくすることができる。   Further, the authentication process by the login of the client is executed by the authentication server 13 regardless of which domain 1 or 2 in the system is accessed, and the terminal 3 is connected to the authentication server 13 in a domain that does not have the authentication server 13 and Therefore, the authentication server 13 can centrally manage the user management function and the information of the Web servers 11, 12, 22, and 21 that are subject to single sign-on. Maintenance costs can be reduced.

さらに、ログインによる認証処理が終了した後に、認証に成功した旨の情報がクッキーに設定されシングルサインオンの対象の中継認証サーバ23に送信されるため、クライアントがログアウトを実行してクライアントが切り替わった場合にはクッキーの情報が更新され、Webサーバ11,12,21,22はクライアントが切り替わったことを認識することが可能となる。   Furthermore, after the authentication process by login is completed, information indicating that the authentication is successful is set in a cookie and transmitted to the relay authentication server 23 that is the target of single sign-on, so that the client executes logout and the client is switched. In this case, the cookie information is updated, and the Web servers 11, 12, 21, and 22 can recognize that the client has been switched.

なお、この実施の形態1においては、自装置が属するドメインに対するクッキーが含まれていないアクセス要求を受けた場合、中継認証サーバ23が認証サーバ13へのアクセス指示を端末3に送信して認証サーバ13にアクセスさせ、認証サーバ13がログインによる認証処理が実行されているか否かを判定するようにしたが、中継認証サーバ23が端末3が認証サーバ13が属するドメイン1に対するクッキー#1を記憶しているか否かによってログインによる認証処理が実行されているか否かを判定するようにしてもよい。この場合、端末3は、中継認証サーバ23へのアクセス要求にログインによる認証処理によって発行されたクッキー#1を記憶している場合にはクッキー#1の値をデータとして含めたアクセス要求を送信し、中継認証サーバ23は、アクセス要求のデータにクッキー#1の値が含まれているか否かによってログインによる認証処理が実行されているか否かを判定し、アクセス要求のデータにクッキー#1の値が含まれている場合には認証サーバ13へのアクセス指示を送信することなくドメイン2にたいするクッキー#2を発行し、アクセス要求のデータにクッキー#1の値が含まれていない場合のみ認証サーバ13へのアクセス指示を送信すればよい。   In the first embodiment, when an access request that does not include a cookie for the domain to which the device belongs is received, the relay authentication server 23 transmits an access instruction to the authentication server 13 to the terminal 3 to send the authentication server 13, the authentication server 13 determines whether or not the authentication process by login is executed, but the relay authentication server 23 stores the cookie # 1 for the domain 1 to which the terminal 3 belongs. Whether or not the authentication process by login is being executed may be determined depending on whether or not the authentication is performed. In this case, if the terminal 3 stores the cookie # 1 issued by the login authentication process in the access request to the relay authentication server 23, the terminal 3 transmits an access request including the value of the cookie # 1 as data. Then, the relay authentication server 23 determines whether or not the authentication process by login is executed depending on whether or not the value of the cookie # 1 is included in the access request data, and the value of the cookie # 1 is included in the access request data. Is included, the cookie # 2 for the domain 2 is issued without transmitting an access instruction to the authentication server 13, and the authentication server 13 is only included when the value of the cookie # 1 is not included in the access request data. It is sufficient to send an access instruction to.

実施の形態2.
図4を参照してこの発明の実施の形態2を説明する。先の実施の形態1では、異なるドメインに属するWebサーバにアクセスする際に、1回のログインによる認証処理でそれぞれのドメインのクッキーを発行することで複数のドメインにおけるシングルサインオンを実現するようにした。この実施の形態2では、ログアウト時の動作について説明する。 Embodiment 2. FIG.
A second embodiment of the present invention will be described with reference to FIG. In the first embodiment, when accessing a Web server belonging to a different domain, a single sign-on in a plurality of domains is realized by issuing a cookie for each domain in a single login authentication process. did. In the second embodiment, an operation at the time of logout will be described.

ログアウト操作時には、認証サーバは発行したクッキーを消去する。クッキーの消去は、Java(登録商標)Scriptを用いるのが一般的である。しかしながら、Java(登録商標)Scriptを用いてクッキーを消去する場合、Java(登録商標)Scriptの制約がありスクリプトを受信したサーバが属するドメインに対するクッキーしか消去できない。そのため、従来技術では、先の実施の形態1で説明したユーザ認証システムにおいて、複数のドメインにおけるシングルサインオンを実現しても、ログアウト時には、ログインしたドメイン毎にログアウト操作を行わなければならないという問題があった。このような問題を改善するために、この実施の形態2では、1回のログアウト操作で複数のドメインのクッキーを消去するものである。なお、この実施の形態2のユーザ認証システムの構成は、先の図1に示した実施の形態1のユーザ認証システムと同様であるので、ここではその説明を省略する。   At the time of logout operation, the authentication server erases the issued cookie. Cookies are generally erased using Java (registered trademark) Script. However, when deleting a cookie using Java (registered trademark) Script, there is a limitation of Java (registered trademark) Script, and only the cookie for the domain to which the server that received the script belongs can be deleted. Therefore, in the prior art, in the user authentication system described in the first embodiment, even when single sign-on in a plurality of domains is realized, a logout operation must be performed for each logged-in domain when logging out. was there. In order to improve such a problem, in the second embodiment, cookies of a plurality of domains are erased by one logout operation. The configuration of the user authentication system according to the second embodiment is the same as that of the user authentication system according to the first embodiment shown in FIG. 1, and the description thereof is omitted here.

クライアントは、ドメイン1,2内のWebサーバ11,12,21,22の所望のサービスを受けた後、ログアウト操作を行う。クライアントからログアウトの要求が入力されると、端末3は、ブラウザから認証サーバ13のログアウトのページへのアクセス要求を認証サーバ13に送信する。認証サーバ13は、アクセス要求によって指定されたログアウトのページ画面の表示情報を端末3に送信してログアウトのページを表示させる。   The client performs a logout operation after receiving a desired service of the Web servers 11, 12, 21, and 22 in the domains 1 and 2. When a logout request is input from the client, the terminal 3 transmits an access request to the logout page of the authentication server 13 from the browser to the authentication server 13. The authentication server 13 sends the logout page screen display information designated by the access request to the terminal 3 to display the logout page.

ログアウトのページの表示情報は、図4に示すように、複数のHTMLフレームで構成され、端末3のブラウザ上には、ログアウト実行ボタンが表示されたフレームを表示する記述と、ユーザ認証システムにおけるシングルサインオンの対象となる各ドメインのログアウト(この場合はドメイン1とドメイン2のログアウト)のソースがブラウザ上ではクライアントが認識できない大きさで表示されるフレームを表示する記述とを含んでいる。   As shown in FIG. 4, the logout page display information is composed of a plurality of HTML frames. On the browser of the terminal 3, a description of displaying a frame in which a logout execution button is displayed and a single in the user authentication system. The logout source for each domain that is the target of sign-on (in this case, logout for domain 1 and domain 2) includes a description that displays a frame that is displayed in a size that the client cannot recognize on the browser.

図4において、「mainlogput.html」のHTMLファイルには、ログアウトボタンが含まれ、ログアウトボタンを押下すると「http://server.domainl/logout.html」および「http://server.domain2/logout.html」に含まれるJava(登録商標)Scriptを実行するJava(登録商標)Scriptを含んでいる。「http://serve.domainl/logollt.html」のHTMLファイルには、ドメイン1のクッキーを消去するJava(登録商標)Scriptを含んでおり、「http://server.domain2/logout.html」のHTMLファイルには、ドメイン2のクッキーを消去するJava(登録商標)Scriptを含んでいる。   In FIG. 4, the HTML file of “mainlogput.html” includes a logout button. When the logout button is pressed, “http: //server.domain/logout.html” and “http: //server.domain2/logout” Java (registered trademark) Script that executes Java (registered trademark) Script included in “.html” is included. The HTML file of “http: //server.domain/logolt.html” includes Java (registered trademark) Script that erases the domain 1 cookie, and “http: //server.domain2/logout.html”. The HTML file includes Java (registered trademark) Script that erases the domain 2 cookie.

クライアントは、ログアウトのページ画面の表示情報によって端末3のブラウザ上に表示されたログアウトボタンを、入力手段であるマウスによって押下する。これにより、HTML中のJava(登録商標)Scriptが実行され、端末3は、ドメイン1の認証サーバ13にログアウト処理を要求してクッキー#1を消去させ、ドメイン2の中継認証サーバ23にログアウト処理を要求してクッキー#2を消去させるとともに、自身が記憶したドメイン1に対するクッキー#1および認可チケット#1と、ドメイン2に対するクッキー#2および認可チケット#2とを消去する。   The client presses the logout button displayed on the browser of the terminal 3 by the display information on the logout page screen with the mouse as the input means. As a result, Java (registered trademark) Script in HTML is executed, and the terminal 3 requests the authentication server 13 of the domain 1 to log out, erases the cookie # 1, and logs out to the relay authentication server 23 of the domain 2. And erases cookie # 2 and erases cookie # 1 and authorization ticket # 1 for domain 1 and cookie # 2 and authorization ticket # 2 for domain 2.

一方、認証サーバ13は、クッキー#1および認可チケット#1を消去するとともに、Webサーバ11,12にクッキー#1および認可チケット#1の消去を要求してWebサーバ11,12が記憶したクッキー#1および認可チケット#1を消去する。また、中継認証サーバ23は、クッキー#2および認可チケット#2を消去するとともに、Webサーバ11,12にクッキー#2および認可チケット#2の消去を要求してWebサーバ11,12が記憶したクッキー#2および認可チケット#2を消去する。   On the other hand, the authentication server 13 erases the cookie # 1 and the authorization ticket # 1, and requests the web servers 11 and 12 to erase the cookie # 1 and the authorization ticket # 1, and stores the cookie # stored in the web servers 11 and 12 1 and authorization ticket # 1 are deleted. The relay authentication server 23 deletes the cookie # 2 and the authorization ticket # 2, and requests the Web servers 11 and 12 to delete the cookie # 2 and the authorization ticket # 2, and stores the cookies stored in the Web servers 11 and 12. Delete # 2 and authorization ticket # 2.

以上説明したように、この実施の形態2においては、認証サーバ13が、端末3からログアウト操作を要求された場合、ログアウト処理を実行させる入力画面と、ログアウト処理の実行が入力された場合にドメイン1のクッキー#1を消去する指示とを含む表示画面情報を端末3に送信し、端末3は、表示画面情報を表示するとともに、クライアントからログアウト処理の実行指示が入力されると、ログアウト処理要求を認証サーバ13に送信してクッキー#1を消去させるとともに、ログアウト処理要求を中継認証サーバ23に送信してクッキー#2を消去させるようにしているため、異なるドメインに属するWebサーバにアクセスする際に、1回のログインによる認証処理でそれぞれのドメインのクッキーを発行することで複数のドメインにおけるシングルサインオンを実現した場合に、ログアウトの操作についても1回のログアウトの実行で複数のドメインから発行されたすべてのクッキーを消去してログアウト処理を実行することができる。   As described above, in the second embodiment, when the authentication server 13 is requested to perform a logout operation from the terminal 3, the input screen for executing the logout process and the domain when the execution of the logout process is input. Display screen information including an instruction to delete one cookie # 1 is transmitted to the terminal 3, and the terminal 3 displays the display screen information, and when a logout process execution instruction is input from the client, the logout process request Is sent to the authentication server 13 to delete the cookie # 1, and the logout processing request is sent to the relay authentication server 23 to delete the cookie # 2, so that when accessing a Web server belonging to a different domain In addition, multiple domains can be created by issuing a cookie for each domain in a single login authentication process. In case of realizing single sign-on in the emissions, to erase all cookies issued from multiple domains also one logout execution for operations logout may perform logout processing.

以上のように、本発明にかかるユーザ認証システムは、クッキーを用いたシングルサインオンに有用であり、特に、複数のドメインに跨ってサービスを提供するシステムに適している。   As described above, the user authentication system according to the present invention is useful for single sign-on using cookies, and is particularly suitable for a system that provides a service across a plurality of domains.

この発明におけるユーザ認証システムの構成の一例を示す図である。It is a figure which shows an example of a structure of the user authentication system in this invention. 実施の形態1のユーザ認証システムの動作を説明するためのシーケンス図である。FIG. 6 is a sequence diagram for explaining an operation of the user authentication system according to the first embodiment. 実施の形態1のユーザ認証システムの動作を説明するためのシーケンス図である。FIG. 6 is a sequence diagram for explaining an operation of the user authentication system according to the first embodiment. 実施の形態2のユーザ認証システムのログアウトのページを表示する表示情報の記述の一例を示す図である。FIG. 10 is a diagram illustrating an example of a description of display information for displaying a logout page of the user authentication system according to the second embodiment.

符号の説明Explanation of symbols

1,2 ドメイン
3 端末
4 ネットワーク
11,12,21,22 Webサーバ
13 認証サーバ
14 認可情報DB
15 ユーザDB
23 中継認証サーバ 1, 2 Domain 3 Terminal 4 Network 11, 12, 21, 22 Web server 13 Authentication server 14 Authorization information DB
15 User DB
23 Relay authentication server

Claims (2)

第1のドメインに属する1〜複数のWebサーバおよびログインによる認証処理によってクライアントに対して前記第1のドメインに対する第1のクッキーを発行する認証サーバと、第2のドメインに属する1〜複数のWebサーバおよびログインによる認証処理によってクライアントに対して前記第2のドメインの第2クッキーを発行する中継認証サーバと、前記第1および第2のクッキーを含むアクセス要求によって第1および第2のドメインに属するWebサーバのサービスを受けるクライアント端末とがネットワークに接続されるユーザ認証システムにおいて、
前記中継認証サーバは、
前記クライアント端末が前記第2のドメインに属するWebサーバに前記第2のクッキーの発行前にアクセス要求した場合には前記クライアント端末に前記認証サーバへのアクセス指示を送信し、前記クライアント端末から前記第1のドメインに対する第1のクッキーを含むアクセス要求を受信した場合には前記第2のドメインに対する第2のクッキーを生成し、生成した第2のクッキーを前記第2のドメインに属するWebサーバおよび前記クライアント端末に送信する第2のクッキーの発行処理を実行し、
前記認証サーバは、
前記クライアント端末が前記第1のクッキーの発行前にアクセス要求を受けた場合には前記クライアント端末から認証情報を取得して前記クライアント端末を利用するクライアントを認証するログインによる認証処理を実行して前記第1のクッキーを生成し、生成した第1のクッキーを前記第1のドメインに属するWebサーバおよびクライアント端末に送信する第1のクッキーの発行処理を実行し、前記第1のクッキーの発行処理を実行した後に前記クライアント端末からのアクセス要求を受信した場合には前記第1のクッキーを前記クライアント端末に送信し、
前記クライアント端末は、
前記中継認証サーバからのアクセス指示によって前記認証サーバにアクセスした場合には前記認証サーバから受信した第1のクッキーの値をデータとして含めたアクセス要求を前記中継認証サーバに送信し、第1および第2のドメインに属するWebサーバにアクセスする際には第1および第2のクッキーをアクセス要求に含めること、
を特徴とするユーザ認証システム。 One to a plurality of Web servers belonging to the first domain, an authentication server for issuing a first cookie for the first domain to the client by an authentication process by login, and one to a plurality of Webs belonging to the second domain A relay authentication server that issues a second cookie of the second domain to the client by an authentication process by server and login, and belongs to the first and second domains by an access request including the first and second cookies In a user authentication system in which a client terminal receiving a Web server service is connected to a network,
The relay authentication server
When the client terminal makes an access request to a Web server belonging to the second domain before issuing the second cookie, the client terminal transmits an access instruction to the authentication server to the client terminal, and the client terminal When an access request including a first cookie for one domain is received, a second cookie for the second domain is generated, and the generated second cookie is used as a Web server belonging to the second domain, and Execute the second cookie issue process to be sent to the client terminal,
The authentication server is
When the client terminal receives an access request before issuing the first cookie, the authentication information is acquired from the client terminal and an authentication process by login is performed to authenticate the client using the client terminal, A first cookie is generated, a first cookie issuance process is performed for transmitting the generated first cookie to a Web server and a client terminal belonging to the first domain, and the first cookie issuance process is performed. When the access request from the client terminal is received after execution, the first cookie is transmitted to the client terminal,
The client terminal is
When the authentication server is accessed by an access instruction from the relay authentication server, an access request including the value of the first cookie received from the authentication server as data is transmitted to the relay authentication server, and the first and first Including the first and second cookies in the access request when accessing a web server belonging to domain 2;
A user authentication system. 前記認証サーバは、
前記クライアント端末からログアウト操作を要求された場合、ログアウト処理を実行させる入力画面と、前記ログアウト処理の実行が入力された場合に前記第1および第2のクッキーを消去する指示とを含む表示画面情報を前記クライアント端末に送信し、
前記クライアント端末は、
前記表示画面情報を表示するとともに、クライアントからログアウト処理の実行指示が入力されると、ログアウト処理要求を認証サーバに送信して第1のクッキーを消去させるとともに、ログアウト処理要求を中継認証サーバに送信して第2のクッキーを消去させること、
を特徴とする請求項1に記載のユーザ認証システム。 The authentication server is
Display screen information including an input screen for executing a logout process when a logout operation is requested from the client terminal, and an instruction for deleting the first and second cookies when the execution of the logout process is input To the client terminal,
The client terminal is
When the display screen information is displayed and a logout process execution instruction is input from the client, the logout process request is transmitted to the authentication server to erase the first cookie, and the logout process request is transmitted to the relay authentication server. To erase the second cookie,
The user authentication system according to claim 1.
JP2007033405A 2007-02-14 2007-02-14 User authentication system Pending JP2008197973A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007033405A JP2008197973A (en) 2007-02-14 2007-02-14 User authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007033405A JP2008197973A (en) 2007-02-14 2007-02-14 User authentication system

Publications (1)

Publication Number Publication Date
JP2008197973A true JP2008197973A (en) 2008-08-28

Family

ID=39756847

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007033405A Pending JP2008197973A (en) 2007-02-14 2007-02-14 User authentication system

Country Status (1)

Country Link
JP (1) JP2008197973A (en)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008242684A (en) * 2007-03-27 2008-10-09 Fujitsu Ltd Authentication processing method and system
JP2010140351A (en) * 2008-12-12 2010-06-24 Canon Software Inc Information processor, session management method, program and recording medium
WO2012176506A1 (en) * 2011-06-23 2012-12-27 株式会社日立システムズ Single sign-on system, single sign-on method, and authentication server linking program
JP2013109620A (en) * 2011-11-22 2013-06-06 Nippon Telegr & Teleph Corp <Ntt> Information system and authentication state management method thereof
JP2013140480A (en) * 2012-01-04 2013-07-18 Nomura Research Institute Ltd Server system, service providing server, and control method
JP2015036862A (en) * 2013-08-12 2015-02-23 キヤノン株式会社 Information processing device, information processing method, and program
JP2016071561A (en) * 2014-09-29 2016-05-09 ブラザー工業株式会社 Service provider apparatus, program, and service providing method
JP2017033583A (en) * 2012-02-01 2017-02-09 アマゾン テクノロジーズ インク Account management for multiple network sites
JP2017194843A (en) * 2016-04-20 2017-10-26 ヤフー株式会社 Transfer device, transfer method, and transfer program
JP2018514832A (en) * 2015-03-02 2018-06-07 シトリックス・システムズ・インコーポレイテッドCitrix Systems,Inc. Perform operations on file repositories located in different authentication domains using REST (Representational State Transfer) compliant clients
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
JP2019164590A (en) * 2018-03-20 2019-09-26 楽天銀行株式会社 API providing system, authentication server, API providing method, and program
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US10505914B2 (en) 2012-02-01 2019-12-10 Amazon Technologies, Inc. Sharing account information among multiple users
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008242684A (en) * 2007-03-27 2008-10-09 Fujitsu Ltd Authentication processing method and system
JP2010140351A (en) * 2008-12-12 2010-06-24 Canon Software Inc Information processor, session management method, program and recording medium
WO2012176506A1 (en) * 2011-06-23 2012-12-27 株式会社日立システムズ Single sign-on system, single sign-on method, and authentication server linking program
JP2013008140A (en) * 2011-06-23 2013-01-10 Hitachi Systems Ltd Single sign-on system, single sign-on method and authentication server cooperation program
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
JP2013109620A (en) * 2011-11-22 2013-06-06 Nippon Telegr & Teleph Corp <Ntt> Information system and authentication state management method thereof
JP2013140480A (en) * 2012-01-04 2013-07-18 Nomura Research Institute Ltd Server system, service providing server, and control method
JP2017033583A (en) * 2012-02-01 2017-02-09 アマゾン テクノロジーズ インク Account management for multiple network sites
US10505914B2 (en) 2012-02-01 2019-12-10 Amazon Technologies, Inc. Sharing account information among multiple users
US11381550B2 (en) 2012-02-01 2022-07-05 Amazon Technologies, Inc. Account management using a portable data store
US12177201B2 (en) 2012-02-01 2024-12-24 Amazon Technologies, Inc. Managing security credentials
JP2015036862A (en) * 2013-08-12 2015-02-23 キヤノン株式会社 Information processing device, information processing method, and program
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US11004054B2 (en) 2013-11-29 2021-05-11 Amazon Technologies, Inc. Updating account data for multiple account providers
JP2016071561A (en) * 2014-09-29 2016-05-09 ブラザー工業株式会社 Service provider apparatus, program, and service providing method
JP2018514832A (en) * 2015-03-02 2018-06-07 シトリックス・システムズ・インコーポレイテッドCitrix Systems,Inc. Perform operations on file repositories located in different authentication domains using REST (Representational State Transfer) compliant clients
JP2017194843A (en) * 2016-04-20 2017-10-26 ヤフー株式会社 Transfer device, transfer method, and transfer program
JP2019164590A (en) * 2018-03-20 2019-09-26 楽天銀行株式会社 API providing system, authentication server, API providing method, and program

Similar Documents

Publication Publication Date Title
JP2008197973A (en) User authentication system
CN111416822B (en) Method for access control, electronic device and storage medium
US7673045B1 (en) Multiple site automated logout
US9021570B2 (en) System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium
US8418234B2 (en) Authentication of a principal in a federation
CN107172054B (en) Authority authentication method, device and system based on CAS
JP5988699B2 (en) Cooperation system, its cooperation method, information processing system, and its program.
US8281374B2 (en) Attested identities
JP6248641B2 (en) Information processing system and authentication method
CN113411324B (en) Method and system for realizing login authentication based on CAS and third-party server
JP2005516533A (en) Single sign-on on the Internet using public key cryptography
JP5193787B2 (en) Information processing method, relay server, and network system
US7234158B1 (en) Separate client state object and user interface domains
JP2006031064A (en) Session management system and management method
JP4336547B2 (en) Information processing apparatus, authentication method, authentication program, and recording medium
US20190222582A1 (en) Decentralized method of tracking user login status
US7941840B2 (en) Secure resource access
US7503061B2 (en) Secure resource access
US20030055966A1 (en) Information processing system
KR101803535B1 (en) Single Sign-On Service Authentication Method Using One-Time-Token
JP2010128593A (en) Communication system, information recording device, provision device and communication method
US20050138435A1 (en) Method and system for providing a login and arbitrary user verification function to applications
JPWO2012032628A1 (en) Information processing device
JP6897103B2 (en) Equipment, authentication system, and authentication method
JP2007257500A (en) Authenticated device, authenticated program, authenticated method, Web browser plug-in, and Web browser bookmarklet