[go: up one dir, main page]

JP2008310409A - Information processing system, authentication device, and program - Google Patents

Information processing system, authentication device, and program Download PDF

Info

Publication number
JP2008310409A
JP2008310409A JP2007155048A JP2007155048A JP2008310409A JP 2008310409 A JP2008310409 A JP 2008310409A JP 2007155048 A JP2007155048 A JP 2007155048A JP 2007155048 A JP2007155048 A JP 2007155048A JP 2008310409 A JP2008310409 A JP 2008310409A
Authority
JP
Japan
Prior art keywords
information
authentication
user
processing apparatus
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007155048A
Other languages
Japanese (ja)
Inventor
Toru Araya
徹 荒谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2007155048A priority Critical patent/JP2008310409A/en
Publication of JP2008310409A publication Critical patent/JP2008310409A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide an information processing system capable of outputting authentication information from an authentication device to an information processor even if a user is not authenticated, and to provide the authentication device and a program. <P>SOLUTION: The information processor 12, the authentication device 14, and a user side device 16 communicate one another. The information processor 12 executes prescribed processing according to a user's request, acquire user's authentication information, and determines whether processing is executed based on the authentication information. The authentication device 14 authenticates a user of processing that the information processor 12 executes, outputs the authenticated user's authentication information to the information processor 12, stores information on the user authenticated by the authentication means and output destination information including information on processing to be executed by the information processor 12, and outputs the user's authentication information to the information processor 12, based on the information on the user included in the output destination information and information showing processing to be executed by the information processor 12. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、情報処理システム、認証装置及びプログラムに関する。   The present invention relates to an information processing system, an authentication device, and a program.

サービスを提供する情報処理装置と、これらのサービスの利用者を認証する認証装置との間で、利用者のIDを連携するID連携技術を活用したシステムが増えてきている。Organization for the Advancement of Structured Information Standards (OASIS)では、認証などに関する情報交換のための仕組みを規定したSecurity Assertion Markup Language(SAML)の標準化が行われている。   An increasing number of systems utilize ID linkage technology for linking user IDs between information processing devices that provide services and authentication devices that authenticate users of these services. In the Organization for the Advancement of Structured Information Standards (OASIS), Security Assertion Markup Language (SAML) standardizing a mechanism for exchanging information regarding authentication and the like is standardized.

特許文献1、乃至、特許文献3には、ID連携技術に関する発明が開示されている。
特開2002−335239号公報 特開2003−58503号公報 特開2003−85141号公報 Patent Documents 1 to 3 disclose inventions related to ID linkage technology.
JP 2002-335239 A JP 2003-58503 A JP 2003-85141 A

ID連携技術を活用したシステムでは、利用者が認証された際に、その利用者の認証情報が認証装置から情報処理装置に出力される。   In a system that utilizes ID linkage technology, when a user is authenticated, the authentication information of the user is output from the authentication device to the information processing device.

本発明は上記課題に鑑みてなされたものであって、その目的は、利用者が認証された際でなくても認証情報を認証装置から情報処理装置へ出力することができる情報処理システム、認証装置及びプログラムを提供することにある。   The present invention has been made in view of the above problems, and an object of the present invention is to provide an information processing system and authentication system that can output authentication information from the authentication device to the information processing device even when the user is not authenticated. To provide an apparatus and a program.

請求項1に記載の発明は、情報処理装置と認証装置とを含む情報処理システムであって、前記情報処理装置が、利用者の要求に応じて所定の処理を実行する手段と、前記利用者の認証情報を取得する手段と、前記認証情報に基づいて前記処理を実行するか否かを判断する手段と、を備え、前記認証装置が、前記情報処理装置が実行する前記所定の処理の利用者の認証を行い、認証された前記利用者の認証情報を、前記情報処理装置へ出力する第1の認証情報出力手段と、前記認証手段により認証された前記利用者の情報と、前記情報処理装置が実行する前記所定の処理の情報を含む出力先情報を記憶する手段と、前記出力先情報に含まれる前記利用者の情報と、前記情報処理装置が実行する前記所定の処理を示す情報とに基づいて、前記利用者の認証情報を、前記情報処理装置へ出力する第2の認証情報出力手段とを有することとしたものである。   The invention according to claim 1 is an information processing system including an information processing device and an authentication device, wherein the information processing device executes a predetermined process in response to a user request, and the user Means for acquiring the authentication information, and means for determining whether or not to execute the process based on the authentication information, wherein the authentication apparatus uses the predetermined process executed by the information processing apparatus. A first authentication information output means for authenticating the user and outputting the authenticated user authentication information to the information processing apparatus, the user information authenticated by the authentication means, and the information processing Means for storing output destination information including information on the predetermined process executed by the apparatus; information on the user included in the output destination information; and information indicating the predetermined process executed by the information processing apparatus. Based on the use Authentication information, and is obtained by the fact that a second authentication information output means for outputting to the information processing apparatus.

請求項2に記載の発明は、請求項1に記載の情報処理システムであって、前記情報処理装置が、前記認証装置が有する第2の認証情報出力手段が出力する前記認証情報を検証する手段をさらに含むこととしたものである。   The invention according to claim 2 is the information processing system according to claim 1, wherein the information processing apparatus verifies the authentication information output by a second authentication information output means of the authentication apparatus. Is further included.

請求項3に記載の発明は、認証装置であって、利用者の要求に応じて所定の処理を実行し、前記利用者の認証情報を取得し、前記認証情報に基づいて前記処理を実行するか否かを判断する、情報処理装置と通信する手段と、前記情報処理装置が実行する前記所定の処理の利用者の認証を行い、認証された前記利用者の認証情報を、前記情報処理装置へ出力する第1の認証情報出力手段と、前記認証手段により認証された前記利用者の情報と、前記情報処理装置が実行する前記所定の処理の情報を含む出力先情報を記憶する手段と、前記出力先情報に含まれる前記利用者の情報と、前記情報処理装置が実行する前記所定の処理を示す情報とに基づいて、前記利用者の認証情報を、前記情報処理装置へ出力する第2の認証情報出力手段とを含むこととしたものである。   The invention according to claim 3 is an authentication apparatus, which executes predetermined processing in response to a user request, acquires authentication information of the user, and executes the processing based on the authentication information. And means for communicating with the information processing apparatus, authenticating a user of the predetermined process executed by the information processing apparatus, and obtaining the authenticated user authentication information as the information processing apparatus First authentication information output means for outputting to, means for storing output destination information including information on the user authenticated by the authentication means, and information on the predetermined processing executed by the information processing apparatus; A second unit for outputting the user authentication information to the information processing device based on the user information included in the output destination information and information indicating the predetermined processing executed by the information processing device; Authentication information output means It is obtained by the.

請求項4に記載の発明は、請求項3に記載の認証装置であって、前記第1の認証情報出力手段が出力する前記認証情報は、前記利用者に関する情報を記憶することを前記情報処理装置に指示する第1の認証情報であり、前記第2の認証情報出力手段が出力する前記認証情報は、前記情報処理装置が記憶した前記利用者に関する情報を上書きすることを前記情報処理装置に指示する第2の認証情報であることとしたものである。   The invention according to claim 4 is the authentication apparatus according to claim 3, wherein the authentication information output by the first authentication information output means stores information about the user. 1st authentication information instruct | indicating to an apparatus, The said authentication information which the said 2nd authentication information output means outputs to the said information processing apparatus overwriting the information regarding the said user which the said information processing apparatus memorize | stored This is the second authentication information to be instructed.

請求項5に記載の発明は、請求項3又は4に記載の認証装置であって、前記第2の認証情報出力手段が、所定の出力要求に応じて前記認証情報を出力することとしたものである。   The invention according to claim 5 is the authentication device according to claim 3 or 4, wherein the second authentication information output means outputs the authentication information in response to a predetermined output request. It is.

請求項6に記載の発明は、プログラムであって、利用者の要求に応じて所定の処理を実行し、前記利用者の認証情報を取得し、前記認証情報に基づいて前記処理を実行するか否かを判断する、情報処理装置と通信する手段、前記情報処理装置が実行する前記所定の処理の利用者の認証を行い、認証された前記利用者の認証情報を、前記情報処理装置へ出力する第1の認証情報出力手段、前記認証手段により認証された前記利用者の情報と、前記情報処理装置が実行する前記所定の処理の情報を含む出力先情報を記憶する手段、前記出力先情報に含まれる前記利用者の情報と、前記情報処理装置が実行する前記所定の処理を示す情報とに基づいて、前記利用者の認証情報を、前記情報処理装置へ出力する第2の認証情報出力手段、としてコンピュータを機能させることとしたものである。   The invention according to claim 6 is a program that executes predetermined processing in response to a user request, acquires authentication information of the user, and executes the processing based on the authentication information. Means for determining whether to communicate with the information processing apparatus, authenticating a user of the predetermined processing executed by the information processing apparatus, and outputting the authenticated authentication information of the user to the information processing apparatus First authentication information output means, means for storing output destination information including information on the user authenticated by the authentication means and information on the predetermined process executed by the information processing apparatus, the output destination information Second authentication information output for outputting the user authentication information to the information processing device based on the user information included in the information and information indicating the predetermined processing executed by the information processing device Means, as a compilation In which it was decided to work over data.

また、上記のプログラムはコンピュータ読み取り可能な情報記憶媒体に格納することもできる。   The above program can also be stored in a computer-readable information storage medium.

請求項1,3,6に記載の発明によれば、利用者が認証された際でなくても認証情報を認証装置から情報処理装置へ出力することができる。   According to the first, third, and sixth aspects of the invention, the authentication information can be output from the authentication device to the information processing device even when the user is not authenticated.

請求項2に記載の発明によれば、利用者が認証された際でないタイミングで出力された認証情報も検証される。   According to the second aspect of the present invention, the authentication information output at a timing not when the user is authenticated is also verified.

請求項4に記載の発明によれば、認証時に第1の認証情報に基づいて情報処理装置に記憶された、利用者に関する情報を、第2の認証情報に基づいて上書きすることができる。   According to the fourth aspect of the present invention, the information about the user stored in the information processing apparatus based on the first authentication information at the time of authentication can be overwritten based on the second authentication information.

請求項5に記載の発明によれば、認証情報を認証装置から情報処理装置へ出力するタイミングを調整することができる。   According to the fifth aspect of the present invention, the timing for outputting the authentication information from the authentication device to the information processing device can be adjusted.

以下、本発明の一実施形態について図面に基づき詳細に説明する。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.

図1は、本発明の実施形態に係る情報処理システムの全体構成を示す図である。同図に示すように、情報処理システム10は、情報処理装置12と、認証装置14と、利用者側装置(クライアント装置)16を含んで構成される。   FIG. 1 is a diagram showing an overall configuration of an information processing system according to an embodiment of the present invention. As illustrated in FIG. 1, the information processing system 10 includes an information processing device 12, an authentication device 14, and a user side device (client device) 16.

情報処理装置12と利用者側装置16とは、インターネット等のネットワークを介して接続される。利用者側装置16と認証装置14とはLocal Area Network(LAN)に接続される。   The information processing device 12 and the user side device 16 are connected via a network such as the Internet. The user side device 16 and the authentication device 14 are connected to a local area network (LAN).

情報処理装置12は、Central Processing Unit(CPU)等のプログラム制御デバイスを備え、利用者側装置16の利用者によって利用される所定の処理(例えば、業務サービスや文書共有サービスなど)を、利用者の要求に応じて実行する。また、Random Access Memory(RAM)等の記憶素子やハードディスク、及び、ネットワークインタフェースも備える。   The information processing apparatus 12 includes a program control device such as a central processing unit (CPU), and performs predetermined processing (for example, business service or document sharing service) used by the user of the user side device 16. Execute on request. In addition, a storage element such as a random access memory (RAM), a hard disk, and a network interface are also provided.

情報処理装置12は、利用者の認証情報を取得して、この認証情報に基づき、所定の処理を実行するか否かを判断する。必要に応じて、あらかじめ記憶された認証装置14に関する情報に基づいて、利用者の認証情報を検証する。認証されていない利用者に対しては認証を要求する。また、認証情報に基づいて生成される、利用者の氏名、メールアドレス、所属部署などの属性を示す共有情報を記憶したり、上書きしたりする。情報処理装置12は、この共有情報を利用して所定の処理を実行する。   The information processing apparatus 12 acquires user authentication information and determines whether or not to execute a predetermined process based on the authentication information. If necessary, the authentication information of the user is verified based on information relating to the authentication device 14 stored in advance. Request authentication for unauthenticated users. Also, it stores or overwrites shared information that is generated based on the authentication information and indicates attributes such as the user's name, e-mail address, department, etc. The information processing apparatus 12 executes a predetermined process using this shared information.

認証装置14は、図2に例示するように、制御部20、記憶部22、通信部24を含んで構成される。制御部20はCentral Processing Unit(CPU)等のプログラム制御デバイスであり、記憶部22に格納されたプログラムに従って動作する。   As illustrated in FIG. 2, the authentication device 14 includes a control unit 20, a storage unit 22, and a communication unit 24. The control unit 20 is a program control device such as a Central Processing Unit (CPU), and operates according to a program stored in the storage unit 22.

また、記憶部22には、図3に例示する、利用者の利用者ID、パスワード、氏名、メールアドレス、所属部署などの属性情報などを含んだ利用者情報26が記憶されている。制御部20が利用者情報26を記憶部22に記憶する。制御部20は、利用者情報26に含まれるパスワードなどを暗号化などしてから記憶部22に記憶してもよい。制御部20は記憶部22に記憶された利用者情報26の操作(追加、変更、削除など)を行う。   The storage unit 22 stores user information 26 including attribute information such as the user ID, password, name, mail address, and department to which the user is exemplified, as illustrated in FIG. The control unit 20 stores user information 26 in the storage unit 22. The control unit 20 may encrypt the password or the like included in the user information 26 and store it in the storage unit 22. The control unit 20 performs operations (addition, change, deletion, etc.) on the user information 26 stored in the storage unit 22.

通信部24は、情報処理装置12や利用者側装置16などと互いに通信を行う。   The communication unit 24 communicates with the information processing apparatus 12, the user side apparatus 16, and the like.

利用者側装置16は、例えば、CPU等の制御部、ハードディスク等の記憶部、ディスプレイ等の出力部、キーボード等の入力部、ネットワークボード等の通信部を備えた公知のパーソナルコンピュータにより構成されている。   The user side device 16 is constituted by a known personal computer including a control unit such as a CPU, a storage unit such as a hard disk, an output unit such as a display, an input unit such as a keyboard, and a communication unit such as a network board. Yes.

次に、本実施形態の認証装置14の制御部20の動作の概要について述べる。この制御部20は記憶部22に格納されたプログラムに従って動作し、機能的には、図4に示すように、利用者情報記憶部30、認証画面生成部32、第1の認証情報出力部34、出力先情報記憶部36、第2の認証情報出力部38を含むものとして機能する。   Next, an outline of the operation of the control unit 20 of the authentication device 14 of the present embodiment will be described. The control unit 20 operates in accordance with a program stored in the storage unit 22, and functionally, as shown in FIG. 4, a user information storage unit 30, an authentication screen generation unit 32, and a first authentication information output unit 34. , Functioning as an output destination information storage unit 36 and a second authentication information output unit 38.

利用者情報記憶部30は、認証装置14によって認証される利用者に関する利用者情報26を記憶部22に記憶する。また、記憶された利用者情報26の操作(変更や削除など)も行う。   The user information storage unit 30 stores user information 26 related to the user authenticated by the authentication device 14 in the storage unit 22. The stored user information 26 is also operated (changed or deleted).

認証画面生成部32は、情報処理装置12からの認証要求を受け、認証画面を生成し、この認証画面を利用者側装置16のディスプレイ等の出力部へ出力する。   The authentication screen generation unit 32 receives an authentication request from the information processing device 12, generates an authentication screen, and outputs this authentication screen to an output unit such as a display of the user side device 16.

第1の認証情報出力部34は、情報処理装置12が実行する処理の利用者の認証を行い、認証された利用者の第1の認証情報を出力する。出力した第1の認証情報を、利用者側装置16を経由して情報処理装置12へ送信する。   The first authentication information output unit 34 authenticates the user of the process executed by the information processing apparatus 12 and outputs the first authentication information of the authenticated user. The output first authentication information is transmitted to the information processing apparatus 12 via the user side apparatus 16.

出力先情報記憶部36は、第1の認証情報出力部34から認証情報が出力された利用者の情報と、その認証情報が出力された情報処理装置12が実行する処理の情報とを含む出力先情報を記憶部22に記憶する。また、この出力先情報の操作(変更や削除)も行う。   The output destination information storage unit 36 includes an output including information on the user whose authentication information has been output from the first authentication information output unit 34 and information on processing executed by the information processing apparatus 12 from which the authentication information has been output. The previous information is stored in the storage unit 22. The output destination information is also manipulated (changed or deleted).

第2の認証情報出力部38は、記憶部22から出力先情報を読み出し、この出力先情報に含まれる利用者の情報と、情報処理装置12が実行する処理の情報とに基づいて、利用者の第2の認証情報を生成し、出力する。出力した第2の認証情報を、利用者側装置16を経由して情報処理装置12へ送信する。   The second authentication information output unit 38 reads the output destination information from the storage unit 22, and based on the user information included in the output destination information and the information of the process executed by the information processing apparatus 12, the user The second authentication information is generated and output. The output second authentication information is transmitted to the information processing apparatus 12 via the user side apparatus 16.

これらの要素は、コンピュータである認証装置14にインストールされた認証プログラムを、認証装置14に含まれるCPU等の制御部20で実行することにより実現されている。なお、この認証プログラムは、例えば、CD−ROM、DVD−ROM等の情報伝達媒体を介して、あるいは、インターネット等の通信ネットワークを介して認証装置14に供給される。   These elements are realized by executing an authentication program installed in the authentication device 14, which is a computer, by the control unit 20 such as a CPU included in the authentication device 14. The authentication program is supplied to the authentication device 14 via an information transmission medium such as a CD-ROM or DVD-ROM, or via a communication network such as the Internet.

次に、本発明の実施形態に係る情報処理システム10の詳細な処理の流れについて図5及び図6に示すフロー図を参照しながら説明する。   Next, the detailed processing flow of the information processing system 10 according to the embodiment of the present invention will be described with reference to the flowcharts shown in FIGS.

認証装置14の利用者情報記憶部30は、図3に例示する、利用者情報26を記憶部22に記憶する(S101)。   The user information storage unit 30 of the authentication device 14 stores the user information 26 illustrated in FIG. 3 in the storage unit 22 (S101).

情報処理装置12が実行する所定の処理の利用者が利用者側装置16を操作する(例えば、利用者側装置16上で実行されるWebブラウザに情報を入力する。)。すると、利用者側装置16は情報処理装置12に処理要求を送信する(S102)。   A user of a predetermined process executed by the information processing device 12 operates the user side device 16 (for example, inputs information to a Web browser executed on the user side device 16). Then, the user side device 16 transmits a processing request to the information processing device 12 (S102).

ここで、情報処理装置12は、処理要求に利用者の認証情報(第1の認証情報又は第2の認証情報)が含まれているか否かを判断する(S103)。ここで、情報処理装置12が、あらかじめ記憶された認証装置14に関する情報に基づいて、利用者の認証情報を検証する構成としてもよい。ここでは、処理要求に利用者の第1の認証情報が含まれていないので、情報処理装置12は利用者側装置16に対して、認証装置14での認証を要求する(S104)。そして、利用者側装置16が認証装置14に利用者の認証を要求する(S105)。   Here, the information processing apparatus 12 determines whether or not the processing request includes user authentication information (first authentication information or second authentication information) (S103). Here, the information processing apparatus 12 may be configured to verify user authentication information based on information related to the authentication apparatus 14 stored in advance. Here, since the first authentication information of the user is not included in the processing request, the information processing device 12 requests the user side device 16 to authenticate with the authentication device 14 (S104). Then, the user side device 16 requests the authentication device 14 to authenticate the user (S105).

認証装置14の認証画面生成部32は、図7に示す認証画面40を生成し(S106)、利用者側装置16のディスプレイなどの出力装置に出力する(S107)。   The authentication screen generator 32 of the authentication device 14 generates the authentication screen 40 shown in FIG. 7 (S106), and outputs it to an output device such as a display of the user side device 16 (S107).

利用者は、利用者側装置16が有する、キーボードなどの入力装置を用いて、例えば、利用者IDとパスワードを入力する。すると、利用者側装置16が、入力された情報を認証装置14へ送信する(S108)。ここでは、利用者側装置16が、「0011」という利用者IDと、「XXXX」というパスワードを含む情報を認証装置14へ送信したとする。   The user inputs a user ID and a password, for example, using an input device such as a keyboard of the user side device 16. Then, the user side device 16 transmits the input information to the authentication device 14 (S108). Here, it is assumed that the user side device 16 transmits information including a user ID “0011” and a password “XXXX” to the authentication device 14.

認証装置14は、利用者側装置16から送信された、例えば、利用者IDとパスワードに基づいて、利用者の認証を行う(S109)。具体的には、認証装置14は、送信された情報と、認証装置14の記憶部22に記憶されている利用者情報26(図3参照)とに基づいて利用者の認証が成功したか失敗したかを判断する。例えば、認証装置14に送信された利用者IDとパスワードの組合せと、利用者情報26に含まれる利用者IDとパスワードのそれぞれの組合せとを比較して、対応する組合せが見つかった場合は成功したと判断し、見つからなかった場合は失敗したと判断する。   The authentication device 14 authenticates the user based on, for example, the user ID and password transmitted from the user side device 16 (S109). Specifically, the authentication device 14 determines whether the user has been successfully authenticated based on the transmitted information and the user information 26 (see FIG. 3) stored in the storage unit 22 of the authentication device 14. Determine if you did. For example, the combination of the user ID and password transmitted to the authentication device 14 is compared with the combination of the user ID and password included in the user information 26, and if the corresponding combination is found, the combination is successful. If it is not found, it is determined to have failed.

認証が失敗すると(S109:N)、再度、認証装置14は、認証画面40を利用者側装置16のディスプレイに出力する(S107)。ここで、例えば、所定の回数認証が失敗した場合に、エラー画面を利用者側装置16のディスプレイに出力するなどしてもよい。   If the authentication fails (S109: N), the authentication device 14 outputs the authentication screen 40 to the display of the user side device 16 again (S107). Here, for example, an error screen may be output to the display of the user device 16 when the authentication has failed a predetermined number of times.

ここでは、利用者ID「0011」の利用者についての認証が成功したとする。認証が成功すると(S109:Y)、認証装置14は、利用者情報26に基づいて、図8に例示する第1の認証情報42を生成する(S110)。図8には、利用者ID「0011」の利用者が認証された場合に生成される第1の認証情報42が例示されている。第1の認証情報42は、利用者ID、氏名、メールアドレス、所属部署などの属性情報、及び、この認証情報が第1の認証情報42であることを示すフラグを含む。なお、認証装置14は、フラグ以外の方法で、この認証情報が第1の認証情報42であることを示してもよい。   Here, it is assumed that the authentication for the user with the user ID “0011” has succeeded. If the authentication is successful (S109: Y), the authentication device 14 generates the first authentication information 42 illustrated in FIG. 8 based on the user information 26 (S110). FIG. 8 illustrates the first authentication information 42 generated when the user with the user ID “0011” is authenticated. The first authentication information 42 includes attribute information such as a user ID, name, e-mail address, department to which the user belongs, and a flag indicating that the authentication information is the first authentication information 42. Note that the authentication device 14 may indicate that the authentication information is the first authentication information 42 by a method other than the flag.

そして、認証装置14は第1の認証情報42を利用者側装置16に送信する(S111)。利用者側装置16は、この第1の認証情報42を含む処理要求を情報処理装置12へ送信する(S112)。   And the authentication apparatus 14 transmits the 1st authentication information 42 to the user side apparatus 16 (S111). The user side device 16 transmits a processing request including the first authentication information 42 to the information processing device 12 (S112).

そして、認証装置14は、図9に例示するように、第1の認証情報42が送信された利用者の情報と、認証の対象となった処理に関する情報(例えば、処理を実行しているWebサイトのUniform Resource Locator(URL))を含む出力先情報44を認証装置14の記憶部22へ記憶する(S113)。本実施形態では、出力先情報44は、最後に認証情報が情報処理装置12へ出力された日時(最終出力日時)も含んでいる。なお、認証装置14は、S113の処理をS111の処理より前に実行しても構わない。   Then, as illustrated in FIG. 9, the authentication device 14 includes the information on the user to which the first authentication information 42 has been transmitted and the information related to the process to be authenticated (for example, the Web executing the process). The output destination information 44 including the Uniform Resource Locator (URL) of the site is stored in the storage unit 22 of the authentication device 14 (S113). In the present embodiment, the output destination information 44 includes the date and time when the authentication information was last output to the information processing apparatus 12 (final output date and time). Note that the authentication device 14 may execute the process of S113 before the process of S111.

そして、情報処理装置12は、処理要求に第1の認証情報42が含まれているか否かを判断する(S114)。ここで、情報処理装置12が、処理要求に含まれる、第1の認証情報42を、あらかじめ記憶された認証装置14に関する情報に基づいて検証する構成としてもよい。例えば、認証装置14において認証されたものであるかを検証してもよい。ここでは、利用者ID「0011」の認証情報が処理要求に含まれている(S114:Y)。そのため、情報処理装置12が、例えば、文書共有サービスの処理の実行画面を生成し(S115)、利用者側装置16のディスプレイに出力する(S116)。このようにして、情報処理装置12は、利用者の要求に応じて所定の処理を実行する。   Then, the information processing apparatus 12 determines whether or not the first authentication information 42 is included in the processing request (S114). Here, the information processing apparatus 12 may be configured to verify the first authentication information 42 included in the processing request based on information related to the authentication apparatus 14 stored in advance. For example, it may be verified whether the authentication device 14 is authenticated. Here, the authentication information of the user ID “0011” is included in the processing request (S114: Y). Therefore, for example, the information processing apparatus 12 generates an execution screen for the processing of the document sharing service (S115) and outputs it to the display of the user side apparatus 16 (S116). In this way, the information processing apparatus 12 executes a predetermined process in response to a user request.

また、このとき、情報処理装置12は、第1の認証情報42から、図10に例示する、利用者間で共有するための共有情報46を抽出して記憶する(S117)。図10の例では、利用者ID、氏名、メールアドレス、所属部署の情報を共有情報46として記憶する。このようにして、情報処理装置12は、各利用者に関する共有情報46を記憶し、これらの共有情報46を用いた所定の処理を実行できる。なお、情報処理装置12は、S117の処理をS115の処理より前に実行しても構わない。   Further, at this time, the information processing apparatus 12 extracts and stores the shared information 46 for sharing among the users exemplified in FIG. 10 from the first authentication information 42 (S117). In the example of FIG. 10, the user ID, name, mail address, and department information are stored as shared information 46. In this way, the information processing apparatus 12 can store the shared information 46 related to each user and execute a predetermined process using the shared information 46. The information processing apparatus 12 may execute the process of S117 before the process of S115.

認証装置14の管理者などが、認証装置14を操作する。それに伴い、認証装置14の出力先情報記憶部36が、利用者ID「0011」の利用者情報26の所属部署を、図11に例示するように、「経理部」に変更する(S201)。   An administrator of the authentication device 14 operates the authentication device 14. Accordingly, the output destination information storage unit 36 of the authentication device 14 changes the department to which the user information 26 with the user ID “0011” belongs to “accounting unit” as illustrated in FIG. 11 (S201).

認証装置14の第2の認証情報出力部38は、所定の時間間隔(例えば、数時間間隔)で記憶部22に記憶されている出力先情報44の最終出力日時の確認を行う(S202)。そして、最終出力日時から所定の時間が経過した出力先情報44が存在する場合には(S202:Y)、この出力先情報44に対応する利用者情報26に基づいて、第2の認証情報を生成する(S203)。   The second authentication information output unit 38 of the authentication device 14 confirms the final output date and time of the output destination information 44 stored in the storage unit 22 at a predetermined time interval (for example, every several hours) (S202). If there is output destination information 44 for which a predetermined time has passed since the last output date and time (S202: Y), the second authentication information is obtained based on the user information 26 corresponding to the output destination information 44. Generate (S203).

ここでは、第2の認証情報出力部38が利用者ID「0011」の認証情報(第1の認証情報又は第2の認証情報)が文書共有サービスに出力されたことを示す出力先情報44の最終出力日時から所定の時間が経過していたことを確認したとする。   Here, the second authentication information output unit 38 outputs the destination information 44 indicating that the authentication information (first authentication information or second authentication information) of the user ID “0011” has been output to the document sharing service. Suppose that it is confirmed that a predetermined time has passed since the last output date.

このとき、S203において生成される第2の認証情報48は、図12に例示するように、利用者ID、氏名、メールアドレス、所属部署などの属性情報、及び、この認証情報が第2の認証情報48であることを示すフラグを含む。なお、認証装置14は、フラグ以外の方法で、認証情報が第2の認証情報48であることを示してもよい。図12に例示した第2の認証情報48が含む所属部署の情報は「経理部」である。   At this time, as illustrated in FIG. 12, the second authentication information 48 generated in S203 includes attribute information such as a user ID, name, e-mail address, department, and the authentication information. A flag indicating information 48 is included. Note that the authentication device 14 may indicate that the authentication information is the second authentication information 48 by a method other than the flag. The department information included in the second authentication information 48 illustrated in FIG. 12 is “accounting department”.

第2の認証情報出力部38は、この第2の認証情報48を、出力先情報44が示す処理(例えば、文書共有サービス)を実行する情報処理装置12へ送信する(S204)。   The second authentication information output unit 38 transmits the second authentication information 48 to the information processing apparatus 12 that executes processing (for example, a document sharing service) indicated by the output destination information 44 (S204).

このとき、利用者側装置16を経由して送信する必要はない。   At this time, there is no need to transmit via the user side device 16.

認証装置14の出力先情報記憶部36は、第2の認証情報48が情報処理装置12へ送信されたことを示す情報を認証装置14の記憶部22に記憶する。例えば、出力先情報44の最終送信日時の情報を更新する(S205)。   The output destination information storage unit 36 of the authentication device 14 stores information indicating that the second authentication information 48 has been transmitted to the information processing device 12 in the storage unit 22 of the authentication device 14. For example, the information of the last transmission date in the output destination information 44 is updated (S205).

第2の認証情報48を受信した情報処理装置12は、記憶されている共有情報46のうちから、第2の認証情報48に含まれる利用者IDに対応する共有情報46を選択する(S206)。ここで、情報処理装置12が、処理要求に含まれる、第2の認証情報46を、あらかじめ記憶された認証装置14に関する情報に基づいて検証する構成としてもよい。例えば、認証装置14において認証されたものであるかを検証してもよい。   The information processing apparatus 12 that has received the second authentication information 48 selects the shared information 46 corresponding to the user ID included in the second authentication information 48 from the stored shared information 46 (S206). . Here, the information processing apparatus 12 may be configured to verify the second authentication information 46 included in the processing request based on information related to the authentication apparatus 14 stored in advance. For example, it may be verified whether the authentication device 14 is authenticated.

情報処理装置12は、この共有情報46を、第2の認証情報48に含まれる情報により上書きする(S207)。図13に例示するように、ここでは、利用者ID「0011」の利用者の所属部署が「経理部」と上書きされる。なお、このように、情報処理装置12が第2の認証情報48を受信した場合は、情報処理装置12は利用者側装置16のディスプレイに所定の処理の実行画面を出力しない。このようにして、利用者が認証された際でなくても第2の認証情報48を認証装置14から情報処理装置12へ出力することができる。   The information processing apparatus 12 overwrites the shared information 46 with information included in the second authentication information 48 (S207). As illustrated in FIG. 13, the department to which the user with the user ID “0011” belongs is overwritten with “Accounting Department”. As described above, when the information processing apparatus 12 receives the second authentication information 48, the information processing apparatus 12 does not output an execution screen for a predetermined process on the display of the user side apparatus 16. In this way, the second authentication information 48 can be output from the authentication device 14 to the information processing device 12 even when the user is not authenticated.

なお、本発明は上記実施形態に限定されるものではない。   The present invention is not limited to the above embodiment.

例えば、情報処理システム10に含まれる情報処理装置12、認証装置14、利用者側装置16はそれぞれ複数でもよい。   For example, a plurality of information processing devices 12, authentication devices 14, and user devices 16 may be included in the information processing system 10.

また、例えば、情報処理装置12と利用者側装置16との間のネットワークはインターネットに限られない。認証装置14と利用者側装置16との間のネットワークはLANに限られない。   For example, the network between the information processing device 12 and the user device 16 is not limited to the Internet. The network between the authentication device 14 and the user device 16 is not limited to a LAN.

また、例えば、認証装置14の管理者が認証装置14の管理操作などを行い、認証装置14の利用者情報記憶部30が、利用者情報26を変更したタイミングで、その利用者情報26に基づく第2の認証情報48を生成して、情報処理装置12へ送信してもよい。   Further, for example, when the administrator of the authentication device 14 performs a management operation of the authentication device 14 and the user information storage unit 30 of the authentication device 14 changes the user information 26, the user information 26 is based on the user information 26. The second authentication information 48 may be generated and transmitted to the information processing apparatus 12.

また、例えば、認証装置14の利用者情報記憶部30が、利用者情報26を変更したタイミングで、変更が加えられたことを示す変更情報を記憶部22に記憶して、この変更情報に基づいて第2の認証情報48を生成してもよい。   Further, for example, at the timing when the user information storage unit 30 of the authentication device 14 changes the user information 26, change information indicating that a change has been made is stored in the storage unit 22, and based on this change information. Thus, the second authentication information 48 may be generated.

また、例えば、情報処理装置12が、認証装置14への認証要求の際に、第2の認証情報48の出力タイミングを指定して、この指定されたタイミングに応じて認証装置14が情報処理装置12へ第2の認証情報48を出力してもよい。   Further, for example, when the information processing apparatus 12 makes an authentication request to the authentication apparatus 14, the output timing of the second authentication information 48 is specified, and the authentication apparatus 14 responds to the specified timing. The second authentication information 48 may be output to 12.

また、例えば、第2の認証情報出力部38が、情報処理装置12に記憶されている共有情報46を利用停止にしたり、破棄したりすることを指示する情報を含む第2の認証情報48を生成してもよい。   Also, for example, the second authentication information output unit 38 includes the second authentication information 48 including information instructing to stop using or discard the shared information 46 stored in the information processing apparatus 12. It may be generated.

また、例えば、S104及びS105(図5参照)において、情報処理装置12が、出力先情報44を記憶することを指示する情報を含む認証要求を認証装置14へ送信した場合にのみ、認証装置14が記憶部22に出力先情報44を記憶するようにしてもよい。   Further, for example, in S104 and S105 (see FIG. 5), only when the information processing apparatus 12 transmits an authentication request including information instructing to store the output destination information 44 to the authentication apparatus 14. However, the output destination information 44 may be stored in the storage unit 22.

また、例えば、S104やS105(図5参照)において、情報処理装置12は、利用者側装置16を経由せずに、認証装置14へ直接認証要求を送信してもよい。S111やS112(図5参照)において、認証装置14は、利用者側装置16を経由せずに、情報処理装置12へ直接第1の認証情報42を送信してもよい。   Further, for example, in S104 and S105 (see FIG. 5), the information processing apparatus 12 may directly transmit an authentication request to the authentication apparatus 14 without going through the user side apparatus 16. In S <b> 111 and S <b> 112 (see FIG. 5), the authentication device 14 may directly transmit the first authentication information 42 to the information processing device 12 without going through the user side device 16.

また、例えば、第1の認証情報42や第2の認証情報48が、SAMLなどの標準に準拠した情報であってもよい。   Further, for example, the first authentication information 42 and the second authentication information 48 may be information based on a standard such as SAML.

また、例えば、出力先情報記憶部36は、第1の認証情報42や第2の認証情報48を含む出力先情報44を記憶部22に記憶するようにしてもよい。   Further, for example, the output destination information storage unit 36 may store the output destination information 44 including the first authentication information 42 and the second authentication information 48 in the storage unit 22.

また、例えば、第1の認証情報42が発行された後に、別途、利用者側装置16が情報処理装置12へ処理要求を行い、第1の認証情報42が情報処理装置12へ送信された際に、出力先情報44の最終更新日時を更新してもよい。   In addition, for example, after the first authentication information 42 is issued, when the user side device 16 makes a processing request to the information processing device 12 and the first authentication information 42 is transmitted to the information processing device 12. In addition, the last update date and time of the output destination information 44 may be updated.

また、例えば、S202(図6参照)に示す出力先情報44の確認を行う処理を、認証装置14ではなく、別途設けた専用のサーバもしくはアプリケーションで行ってもよい。   Further, for example, the process of confirming the output destination information 44 shown in S202 (see FIG. 6) may be performed by a dedicated server or application provided separately instead of the authentication device 14.

また、例えば、利用者が、利用者側装置16で実行されるWebブラウザを操作するのではなく、Simple Object Access Protocol(SOAP)クライアントを操作することによって、利用者側装置16が情報処理装置12に処理要求を送信するようにしてもよい。   Further, for example, when the user operates the Simple Object Access Protocol (SOAP) client instead of operating the Web browser executed by the user side device 16, the user side device 16 causes the information processing device 12 to operate. You may make it transmit a process request to.

本発明の一実施形態に係る情報処理システムを示す図である。It is a figure showing an information processing system concerning one embodiment of the present invention. 本発明の一実施形態に係る認証装置を示す図である。It is a figure which shows the authentication apparatus which concerns on one Embodiment of this invention. 利用者情報の一例を示す図である。It is a figure which shows an example of user information. 本発明の一実施形態に係る認証装置の機能ブロック図である。It is a functional block diagram of the authentication apparatus which concerns on one Embodiment of this invention. 情報処理システムで行われる処理のフローを示す図である。It is a figure which shows the flow of the process performed with an information processing system. 情報処理システムで行われる処理のフローを示す図である。It is a figure which shows the flow of the process performed with an information processing system. 認証画面の一例を示す図である。It is a figure which shows an example of an authentication screen. 第1の認証情報の一例を示す図である。It is a figure which shows an example of 1st authentication information. 出力先情報の一例を示す図である。It is a figure which shows an example of output destination information. 共有情報の一例を示す図である。It is a figure which shows an example of shared information. 利用者情報の一例を示す図である。It is a figure which shows an example of user information. 第2の認証情報の一例を示す図である。It is a figure which shows an example of 2nd authentication information. 共有情報の一例を示す図である。It is a figure which shows an example of shared information.

符号の説明Explanation of symbols

10 情報処理システム、12 情報処理装置、14 認証装置、16 利用者側装置、20 制御部、22 記憶部、24 通信部、26 利用者情報、30 利用者情報記憶部、32 認証画面生成部、34 第1の認証情報出力部、36 出力先情報記憶部、38 第2の認証情報出力部、40 認証画面、42 第1の認証情報、44 出力先情報、46 共有情報、48 第2の認証情報。   DESCRIPTION OF SYMBOLS 10 Information processing system, 12 Information processing apparatus, 14 Authentication apparatus, 16 User side apparatus, 20 Control part, 22 Storage part, 24 Communication part, 26 User information, 30 User information storage part, 32 Authentication screen generation part, 34 first authentication information output unit, 36 output destination information storage unit, 38 second authentication information output unit, 40 authentication screen, 42 first authentication information, 44 output destination information, 46 shared information, 48 second authentication information.

Claims (6)

情報処理装置と認証装置とを含む情報処理システムであって、
前記情報処理装置が、
利用者の要求に応じて所定の処理を実行する手段と、
前記利用者の認証情報を取得する手段と、
前記認証情報に基づいて前記処理を実行するか否かを判断する手段と、
を備え、
前記認証装置が、
前記情報処理装置が実行する前記所定の処理の利用者の認証を行い、認証された前記利用者の認証情報を、前記情報処理装置へ出力する第1の認証情報出力手段と、
前記認証手段により認証された前記利用者の情報と、前記情報処理装置が実行する前記所定の処理の情報を含む出力先情報を記憶する手段と、
前記出力先情報に含まれる前記利用者の情報と、前記情報処理装置が実行する前記所定の処理を示す情報とに基づいて、前記利用者の認証情報を、前記情報処理装置へ出力する第2の認証情報出力手段と、
を有する、
ことを特徴とする情報処理システム。 An information processing system including an information processing device and an authentication device,
The information processing apparatus is
Means for executing a predetermined process in response to a user request;
Means for obtaining authentication information of the user;
Means for determining whether to execute the process based on the authentication information;
With
The authentication device is
First authentication information output means for authenticating a user of the predetermined process executed by the information processing apparatus and outputting the authenticated authentication information of the user to the information processing apparatus;
Means for storing output destination information including information on the user authenticated by the authentication means and information on the predetermined processing executed by the information processing apparatus;
A second unit for outputting the user authentication information to the information processing apparatus based on the user information included in the output destination information and information indicating the predetermined processing executed by the information processing apparatus; Authentication information output means,
Having
An information processing system characterized by this. 前記情報処理装置が、
前記認証装置が有する第2の認証情報出力手段が出力する前記認証情報を検証する手段をさらに含む、
ことを特徴とする請求項1に記載の情報処理システム。 The information processing apparatus is
Means for verifying the authentication information output by the second authentication information output means of the authentication device;
The information processing system according to claim 1. 利用者の要求に応じて所定の処理を実行し、前記利用者の認証情報を取得し、前記認証情報に基づいて前記処理を実行するか否かを判断する、情報処理装置と通信する手段と、
前記情報処理装置が実行する前記所定の処理の利用者の認証を行い、認証された前記利用者の認証情報を、前記情報処理装置へ出力する第1の認証情報出力手段と、
前記認証手段により認証された前記利用者の情報と、前記情報処理装置が実行する前記所定の処理の情報を含む出力先情報を記憶する手段と、
前記出力先情報に含まれる前記利用者の情報と、前記情報処理装置が実行する前記所定の処理を示す情報とに基づいて、前記利用者の認証情報を、前記情報処理装置へ出力する第2の認証情報出力手段と、
を含むことを特徴とする認証装置。 Means for communicating with an information processing device for executing predetermined processing in response to a user request, obtaining authentication information of the user, and determining whether to execute the processing based on the authentication information; ,
First authentication information output means for authenticating a user of the predetermined process executed by the information processing apparatus and outputting the authenticated authentication information of the user to the information processing apparatus;
Means for storing output destination information including information on the user authenticated by the authentication means and information on the predetermined processing executed by the information processing apparatus;
A second unit for outputting the user authentication information to the information processing apparatus based on the user information included in the output destination information and information indicating the predetermined processing executed by the information processing apparatus; Authentication information output means,
An authentication device comprising: 前記第1の認証情報出力手段が出力する前記認証情報は、前記利用者に関する情報を記憶することを前記情報処理装置に指示する第1の認証情報であり、
前記第2の認証情報出力手段が出力する前記認証情報は、前記情報処理装置が記憶した前記利用者に関する情報を上書きすることを前記情報処理装置に指示する第2の認証情報である、
ことを特徴とする請求項3に記載の認証装置。 The authentication information output by the first authentication information output means is first authentication information that instructs the information processing apparatus to store information about the user,
The authentication information output by the second authentication information output means is second authentication information that instructs the information processing apparatus to overwrite information on the user stored in the information processing apparatus.
The authentication apparatus according to claim 3. 前記第2の認証情報出力手段が、
所定の出力要求に応じて前記認証情報を出力する、
ことを特徴とする請求項3又は4に記載の認証装置。 The second authentication information output means comprises:
Outputting the authentication information in response to a predetermined output request;
The authentication apparatus according to claim 3 or 4, wherein 利用者の要求に応じて所定の処理を実行し、前記利用者の認証情報を取得し、前記認証情報に基づいて前記処理を実行するか否かを判断する、情報処理装置と通信する手段、
前記情報処理装置が実行する前記所定の処理の利用者の認証を行い、認証された前記利用者の認証情報を、前記情報処理装置へ出力する第1の認証情報出力手段、
前記認証手段により認証された前記利用者の情報と、前記情報処理装置が実行する前記所定の処理の情報を含む出力先情報を記憶する手段、
前記出力先情報に含まれる前記利用者の情報と、前記情報処理装置が実行する前記所定の処理を示す情報とに基づいて、前記利用者の認証情報を、前記情報処理装置へ出力する第2の認証情報出力手段、
としてコンピュータを機能させることを特徴とするプログラム。 Means for communicating with an information processing device for executing predetermined processing in response to a user request, obtaining authentication information of the user, and determining whether to execute the processing based on the authentication information;
First authentication information output means for authenticating a user of the predetermined process executed by the information processing apparatus and outputting the authenticated authentication information of the user to the information processing apparatus;
Means for storing output destination information including information on the user authenticated by the authentication means and information on the predetermined processing executed by the information processing apparatus;
A second unit for outputting the user authentication information to the information processing apparatus based on the user information included in the output destination information and information indicating the predetermined processing executed by the information processing apparatus; Authentication information output means,
A program characterized by causing a computer to function.
JP2007155048A 2007-06-12 2007-06-12 Information processing system, authentication device, and program Pending JP2008310409A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007155048A JP2008310409A (en) 2007-06-12 2007-06-12 Information processing system, authentication device, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007155048A JP2008310409A (en) 2007-06-12 2007-06-12 Information processing system, authentication device, and program

Publications (1)

Publication Number Publication Date
JP2008310409A true JP2008310409A (en) 2008-12-25

Family

ID=40237981

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007155048A Pending JP2008310409A (en) 2007-06-12 2007-06-12 Information processing system, authentication device, and program

Country Status (1)

Country Link
JP (1) JP2008310409A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015519636A (en) * 2012-04-09 2015-07-09 ミディアム、アクセス、システムズ、プライベート、リミテッドMedium Access Systemsprivate Ltd. Method and system for providing secure transactions using cyber IDs

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015519636A (en) * 2012-04-09 2015-07-09 ミディアム、アクセス、システムズ、プライベート、リミテッドMedium Access Systemsprivate Ltd. Method and system for providing secure transactions using cyber IDs

Similar Documents

Publication Publication Date Title
JP7547603B2 (en) PRINTING DEVICE COMPATIBLE WITH CLOUD PRINT SERVICE, AND METHOD AND PROGRAM FOR CONTRO
EP3525415B1 (en) Information processing system and control method therefor
JP7228977B2 (en) Information processing device, authorization system and verification method
CN100534092C (en) Method for performing authentication operation and apparatus therefor
JP6929181B2 (en) Devices and their control methods and programs
JP2018163616A (en) Authentication authorization server, resource server, authentication authorization system, authentication method and program
JP6278651B2 (en) Network system, management server system, control method and program
JP2019086937A (en) Image processing apparatus, control method of image processing apparatus, program, system, and control method of system
JP7409618B2 (en) Information processing device and its control method and program
US10397198B2 (en) Information communication system, information communication program, and information communication method
JP2016115260A (en) Authority transfer system, authorization server used for authority transfer system, resource server, client, mediation device, authority transfer method and program
JP2016085638A (en) Server device, terminal device, system, information processing method, and program
WO2016009497A1 (en) Data falsification detection device, network service providing device, data falsification detection method, network service providing method, and program
JP5204457B2 (en) Information processing system, information processing apparatus, authentication server, information processing method, and program
JP2008310409A (en) Information processing system, authentication device, and program
JP2007257500A (en) Authenticated device, authenticated program, authenticated method, Web browser plug-in, and Web browser bookmarklet
JP2013008106A (en) Information processing apparatus and information processing method
JP2020053100A (en) Information processing system, control method and program therefor
JP5402301B2 (en) Authentication program, authentication system, and authentication method
JP4543789B2 (en) Certificate verification information management method based on transactions
JP7313232B2 (en) Information processing device, its control method, and program
KR101987579B1 (en) Method and system for sending and receiving of secure mail based on webmail using by otp and diffie-hellman key exchange
JP5686689B2 (en) Electronic authentication alternative system and electronic authentication alternative method
JP2018107514A (en) Positional information assurance device, positional information assurance method, positional information assurance program, and communication system
AU2014101079A4 (en) Secure communication method