[go: up one dir, main page]

JP4738791B2 - サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体 - Google Patents

サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体 Download PDF

Info

Publication number
JP4738791B2
JP4738791B2 JP2004319692A JP2004319692A JP4738791B2 JP 4738791 B2 JP4738791 B2 JP 4738791B2 JP 2004319692 A JP2004319692 A JP 2004319692A JP 2004319692 A JP2004319692 A JP 2004319692A JP 4738791 B2 JP4738791 B2 JP 4738791B2
Authority
JP
Japan
Prior art keywords
authentication
document
user
service
service providing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004319692A
Other languages
English (en)
Other versions
JP2005166024A (ja
Inventor
博靖 黒瀬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2004319692A priority Critical patent/JP4738791B2/ja
Priority to US10/983,030 priority patent/US20050193211A1/en
Priority to CN200410103766.9A priority patent/CN1674498A/zh
Publication of JP2005166024A publication Critical patent/JP2005166024A/ja
Application granted granted Critical
Publication of JP4738791B2 publication Critical patent/JP4738791B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、認証サービス提供装置、Webサービス提供装置、ユーザ端末装置、認証サービス提供方法、Webサービス提供方法、Webサービス利用方法、認証サービス提供プログラム、Webサービス提供プログラム、Webサービス利用プログラム及び記録媒体に関する。
近年、アカウントとパスワードとを組み合わせたパスワード認証や、指紋や声紋等を用いたバイオメトリカル認証や、RFID(Radio Frequency Identification)等のデバイスを用いた認証等様々な認証手段が存在している。また、これらの認証手段は、その認証の強弱も様々である。
一方、例えば指紋認証等は、この指紋はこのアカウントのユーザかどうかを認証するのは、簡単に行えるが、この指紋は誰の指紋かという認証を行うのは困難な問題があった。これは、一つ一つの指紋の照合に時間がかかるため、対象とするユーザ全員の指紋と照合し、誰の指紋かを判断することが時間的に困難なためであった。したがって、指紋認証等はパスワード認証等、他の認証と組み合わせて用いられるのが一般的であった。例えば、パスワード認証等でユーザを特定した後に、指紋認証で本当にこのユーザかどうかを認証していた。
このように、ユーザを特定するのに、認証の強弱が異なる複数の認証が組み合わされて用いられることがある。このような中、従来技術においては、Webサービス、例えば、文書管理サービス等において、ユーザからの文書に対するアクセスを制限しようとした場合、1つ1つの文書に対してどの認証手段又はどの認証手段とどの認証手段とを組み合わせて行えば、ユーザに対してRead権限又はRead/Write権限等のアクセス権(又はアクセス権に係る情報)を与えるか、といったように、文書と、認証手段とを対応付けてアクセス権に係る情報を設定し、管理していた。
しかしながら、上述したように、文書と、認証手段とを対応付けてアクセス権に係る情報を設定し、管理していた場合、認証手段がn個存在すると、認証手段の組み合わせとして2のn乗個存在してしまい、文書1つ1つに対して認証の強弱が異なる認証手段の2のn乗個の組み合わせを考慮して、アクセス権に係る情報を管理するのは著しく困難な問題があった。
また、文書と、認証手段とを対応付けてアクセス権に係る情報を設定し、管理していた場合、認証手段が変更されたり、認証手段が増減したりした場合、その都度アクセス権に係る情報を管理しているテーブル等を変更したり、新たに作成したりしなくてはならない問題もあった。
本発明は、上記の点に鑑みなされたもので、効率的にWebサービスが提供するオブジェクトのアクセス権に係る情報を管理することを目的とする。
そこで、上記問題を解決するため、本発明は、認証に係るサービスを提供する認証サービス提供手段を有する認証サービス提供装置であって、前記認証サービス提供手段は、認証の強弱を表す認証レベルを計算する認証レベル計算手段と、前記認証レベル計算手段において計算された認証レベルと関連付けられたユーザの認証に係るユーザ認証情報を管理するユーザ認証情報管理手段と、を有することを特徴とする。
なお、認証サービス提供装置は、例えば後述する認証サービス提供サーバ1に対応する。また、認証サービス提供手段は、例えば後述する認証サービス30に対応する。また、認証レベル計算手段は、例えば後述する認証レベル計算部32に対応する。また、ユーザ認証情報管理手段は、例えば後述するチケット管理部33に対応する。また、ユーザ認証情報は、例えば後述する認証チケット60に対応する。
また、本発明は、Webサービスを提供するWebサービス提供手段を有するWebサービス提供装置であって、前記Webサービス提供手段は、ユーザを識別するユーザ識別子と、認証の強弱を表す認証レベルと、Webサービス提供手段が提供するオブジェクトを識別するオブジェクト識別子と、前記オブジェクトに対するアクセス権に係る情報と、を含むアクセス権管理データを管理するアクセス権管理手段を有することを特徴とする。
なお、Webサービス提供装置は、例えば後述するWebサービス提供サーバ2に対応する。また、Webサービス提供手段は、例えば後述する文書管理サービス40に対応する。また、アクセス権管理データは、例えば後述するアクセス権管理テーブル90に対応する。また、アクセス権管理手段は、例えば後述するアクセス権管理部43に対応する。
また、本発明は、Webサービスを利用するWebサービス利用手段を有するユーザ端末装置であって、前記Webサービス利用手段は、ユーザの認証に係るユーザ認証情報又は該ユーザ認証情報を識別するユーザ認証情報識別子を管理するユーザ認証情報管理手段と、前記ユーザの認証に係る認証結果及び/又は前記ユーザ認証情報と関連付けられた認証の強弱を表す認証レベルを表示する表示手段と、を有することを特徴とする。
なお、ユーザ端末装置は、例えば後述するユーザ端末装置3に対応する。また、Webサービス利用手段は、例えば後述するクライアントサービス50に対応する。また、ユーザ認証情報管理手段は、例えば後述するチケットID管理部52に対応する。また、表示手段は、例えば後述する表示制御部54に対応する。
また、本発明は、認証に係るサービスを提供する認証サービス提供方法であって、Webサービスを利用するWebサービス利用手段からのユーザの認証要求を受信するユーザ認証要求受信段階と、認証の強弱を表す認証レベルを計算する第一認証レベル計算段階と、前記第一認証レベル計算段階において計算された認証レベルと関連付けられたユーザの認証に係るユーザ認証情報を作成するユーザ認証情報作成段階と、を有することを特徴とする。
なお、ユーザ認証要求受信段階は、例えば後述するステップS10に対応する。また、第一認証レベル計算段階は、例えば後述するステップS14に対応する。また、ユーザ認証情報作成段階は、例えば後述するステップS15に対応する。
また、本発明は、Webサービスを提供するWebサービス提供方法であって、Webサービスを利用するWebサービス利用手段からの、Webサービス提供手段が提供するオブジェクトを識別するオブジェクト識別子と、要求するアクセスの種別を識別するアクセス種別と、を含む前記オブジェクトのアクセス要求を受信するアクセス要求受信段階と、ユーザを識別するユーザ識別子を取得するユーザ識別子取得段階と、認証の強弱を表す認証レベルを取得する第一認証レベル取得段階と、前記オブジェクト識別子と、前記ユーザ識別子と、認証の強弱を示す認証レベルと、に基づいて、前記ユーザ識別子と、前記認証レベルと、前記オブジェクト識別子と、前記オブジェクトに対するアクセス権に係る情報と、を含むアクセス権管理データより、対応するオブジェクトに対するアクセス権に係る情報を取得するアクセス権取得段階と、前記アクセス権取得段階において取得したアクセス権に係る情報と、前記アクセス種別と、に基づいて、要求された文書にアクセス可能か否かを判定するアクセス判定段階と、を有することを特徴とする。
なお、アクセス要求受信段階は、例えば後述するステップS50又はステップS110に対応する。また、ユーザ識別子取得段階は、例えば後述するステップS52の一部、又はステップS116に対応する。また、第一認証レベル取得段階は、例えば後述するステップS52の一部、又はステップS114に対応する。また、アクセス権取得段階は、例えば後述するステップS53又はステップS117に対応する。また、アクセス判定段階は、例えば後述するステップS54又はステップS118に対応する。また、特許請求の範囲に記載の第二認証レベル取得段階は、例えば後述するステップS113に対応する。
また、本発明は、Webサービスを利用するWebサービス利用方法であって、認証に係るサービスを提供する認証サービス提供手段に対して、ユーザの認証要求を送信するユーザ認証要求送信段階と、前記認証サービス提供手段において計算された認証の強弱を表す認証レベルと関連付けられたユーザの認証に係るユーザ認証情報又は該ユーザ認証情報を識別するユーザ認証情報識別子を受信するユーザ認証情報受信段階と、前記ユーザの認証に係る認証結果を表示するユーザ認証結果表示段階と、を有することを特徴とする。
なお、ユーザ認証要求送信段階は、例えば後述するステップS62に対応する。また、ユーザ認証情報受信段階は、例えば後述するステップS63に対応する。また、ユーザ認証結果表示段階は、例えば後述するステップS65に対応する。
本発明によれば、効率的にWebサービスが提供するオブジェクトのアクセス権に係る情報を管理することができる。
なお、上記課題を解決するための手段として、認証サービス提供プログラム、Webサービス提供プログラム、Webサービス利用プログラム及び記録媒体としてもよい。
本発明によれば、効率的にWebサービスが提供するオブジェクトのアクセス権に係る情報を管理することができる。
以下、本発明の実施の形態について図面に基づいて説明する。
図1は、認証サービス提供サーバの一例のハードウェア構成図である。
図1に示される認証サービス提供サーバ1のハードウェア構成は、それぞれバスで相互に接続されている入力装置11と、表示装置12と、ドライブ装置13と、記録媒体14と、ROM(Read Only Memory)15と、RAM(Random Access Memory)16と、CPU(Central Processing Unit)17と、インターフェース装置18と、HDD(Hard Disk Drive)19とから構成されている。
入力装置11は、認証サービス提供サーバ1の利用者が操作するキーボード及びマウス等で構成され、認証サービス提供サーバ1に各種操作信号を入力するのに用いられる。
表示装置12は、認証サービス提供サーバ1の利用者が利用するディスプレイ等で構成され、各種情報を表示する。
インターフェース装置18は、認証サービス提供サーバ1をネットワーク等に接続するインターフェースである。
後述する認証サービス30に対応するアプリケーションプログラムや、認証サービス提供サーバ1の全体の処理を制御するメインプログラム等は、例えば、CD−ROM等の記録媒体14によって認証サービス提供サーバ1に提供されるか、ネットワークを通じてダウンロードされる。記録媒体14は、ドライブ装置13にセットされ、前記アプリケーションプログラムや前記メインプログラム等が記録媒体14からドライブ装置13を介してROM15にインストールされる。
ROM15は、データや前記アプリケーションプログラムや前記メインプログラム等を格納する。RAM16は、認証サービス提供サーバ1の起動時にROM15から前記アプリケーションプログラムや前記メインプログラム等を読み出して格納する。CPU17は、RAM16に読み出され、格納された前記アプリケーションプログラムや前記メインプログラム等に従って処理を実行する。
HDD19は、データやファイル等を格納する。例えば、HDD19は、後述する認証チケット60、追加認証チケット70、ユーザ情報、グループ情報等を格納する。
以下、Webサービス提供サーバ2の一例のハードウェア構成を、図2を用いて説明する。
図2は、Webサービス提供サーバの一例のハードウェア構成図である。
図2に示されるWebサービス提供サーバ2のハードウェア構成は、それぞれバスで相互に接続されている入力装置21と、表示装置22と、ドライブ装置23と、記録媒体24と、ROM25と、RAM26と、CPU27と、インターフェース装置28と、HDD29とから構成されている。
入力装置21は、Webサービス提供サーバ2の利用者が操作するキーボード及びマウス等で構成され、Webサービス提供サーバ2に各種操作信号を入力するのに用いられる。
表示装置22は、Webサービス提供サーバ2の利用者が利用するディスプレイ等で構成され、各種情報を表示する。
インターフェース装置28は、Webサービス提供サーバ2をネットワーク等に接続するインターフェースである。
後述する文書管理サービス40に対応するアプリケーションプログラムや、Webサービス提供サーバ2の全体の処理を制御するメインプログラム等は、例えば、CD−ROM等の記録媒体24によってWebサービス提供サーバ2に提供されるか、ネットワークを通じてダウンロードされる。記録媒体24は、ドライブ装置23にセットされ、前記アプリケーションプログラムや前記メインプログラム等が記録媒体24からドライブ装置23を介してROM25にインストールされる。
ROM25は、データや前記アプリケーションプログラムや前記メインプログラム等を格納する。RAM26は、Webサービス提供サーバ2の起動時にROM25から前記アプリケーションプログラムや前記メインプログラム等を読み出して格納する。CPU27は、RAM26に読み出され、格納された前記アプリケーションプログラムや前記メインプログラム等に従って処理を実行する。
HDD29は、データやファイル等を格納する。例えば、HDD29は、後述するセッション80や、認証に係るサービスを提供する認証サービス30のURL(Uniform Resource Locators)や、アクセス権管理テーブル90等を格納する。
上述したように、本発明の実施の形態においては、後述する認証サービス30は、認証サービス提供サーバ1に実装され、後述する文書管理サービス40は、Webサービス提供サーバ2に実装されているものとして説明を行う。なお、認証サービス30及び文書管理サービス40は同じサーバ等に実装されていてもよい。
以下、ユーザ端末装置3の一例のハードウェア構成を、図3を用いて説明する。
図3は、ユーザ端末装置の一例のハードウェア構成図である。
図3に示されるユーザ端末装置3のハードウェア構成は、それぞれバスで相互に接続されている入力装置31と、表示装置32と、ドライブ装置33と、記録媒体34と、ROM35と、RAM36と、CPU37と、インターフェース装置38と、HDD39とから構成されている。
入力装置31は、ユーザ端末装置3の利用者が操作するキーボード及びマウス等で構成され、ユーザ端末装置3に各種操作信号を入力するのに用いられる。
表示装置32は、ユーザ端末装置3の利用者が利用するディスプレイ等で構成され、各種情報を表示する。
インターフェース装置38は、ユーザ端末装置3をネットワーク等に接続するインターフェースである。
後述するクライアントサービス50に対応するアプリケーションプログラムや、ユーザ端末装置3の全体の処理を制御するメインプログラム等は、例えば、CD−ROM等の記録媒体34によってユーザ端末装置3に提供されるか、ネットワークを通じてダウンロードされる。記録媒体34は、ドライブ装置33にセットされ、前記アプリケーションプログラムや前記メインプログラム等が記録媒体34からドライブ装置33を介してROM35にインストールされる。
ROM35は、データや前記アプリケーションプログラムや前記メインプログラム等を格納する。RAM36は、ユーザ端末装置3の起動時にROM35から前記アプリケーションプログラムや前記メインプログラム等を読み出して格納する。CPU37は、RAM36に読み出され、格納された前記アプリケーションプログラムや前記メインプログラム等に従って処理を実行する。
HDD39は、データやファイル等を格納する。例えば、HDD39は、後述する認証チケットID、追加認証チケットID、認証レベル等を格納する。
なお、認証サービス30、文書管理サービス40、クライアントサービス50、は、Webサービスとして、例えばお互いSOAP(Simple Object Access Protocol)に基づいてメッセージのやり取りを行う。
以下、認証サービス提供方法、Webサービス提供方法及びWebサービス利用方法の一例を、図4を用いて説明する。
図4は、認証サービス提供方法、Webサービス提供方法及びWebサービス利用方法の一例を説明するための図である。
図4に示されるように、Webサービス提供サーバ2が提供するWebサービスを利用するユーザ端末装置3は、ユーザ端末装置3のユーザの認証に係るユーザ認証リクエストを作成し、認証サービス提供サーバ1に送信する(シーケンスSQ1。)。
認証サービス提供サーバ1は、ユーザ認証リクエストに含まれる、例えばユーザ名、パスワード等に基づいて認証を行い、後述するように認証レベルを計算し、該認証レベルを含む認証チケット60を作成する。認証サービス提供サーバ1は、作成した認証チケット60を識別する認証チケットIDを含むユーザ認証レスポンスを作成し、ユーザ端末装置3に送信する(シーケンスSQ2。)。
なお、シーケンスSQ1においてユーザ端末装置3から送信されたユーザ認証リクエストには、(ユーザ名、パスワード)のように1つの認証を行うためのデータだけでなく、(ユーザ名、パスワード、人差し指の指紋データ)のように複数の認証を行うためのデータが含まれていてもよい。ユーザ認証リクエストに複数の認証を行うためのデータが含まれていた場合、認証サービス提供サーバ1は、対応する認証手段(認証エンジン)においてそれぞれ認証を行い、認証レベルを計算し、該認証レベルを含む認証チケット60を作成する。
また、ユーザ端末装置3は、例えば認証レベルを上げるため、認証チケットIDと追加の認証のためのデータ、例えばシーケンスSQ1においてユーザ名とパスワードとを含むユーザ認証リクエストを送信していた場合は指紋データ等、を含む追加のユーザ認証に係る追加ユーザ認証リクエストを作成し、認証サービス提供サーバ1に送信する(シーケンスSQ3。)。
認証サービス提供サーバ1は、追加ユーザ認証リクエストに含まれる、認証チケットIDと指紋データとに基づいて認証を行い、認証レベルを計算し、該認証レベルを含む追加認証チケット70を作成する。認証サービス提供サーバ1は、作成した追加認証チケット70を識別する追加認証チケットIDを含む追加認証レスポンスを作成し、ユーザ端末装置3に送信する(シーケンスSQ4。)。
なお、図4においては、ユーザ端末装置3は、追加ユーザ認証リクエストを1回しか認証サービス提供サーバ1に送信していないが、これは本発明の実施を制限するものではない。例えば認証レベルを上げるため、2回、3回、・・・と追加の認証用のデータを含んだ追加ユーザ認証リクエストを認証サービス提供サーバ1に送信し、認証サービス提供サーバ1ではその都度認証を行い、認証レベルを計算してもよい。以下においても同様である。
また、逆に認証レベルを上げる必要が無い場合等は、シーケンスSQ3及びシーケンスSQ4の処理は行われなくてもよい。
次に、ユーザ端末装置3は、シーケンスSQ2又はシーケンスSQ4において取得した認証チケットID又は追加認証チケットIDを含んだセッション開始リクエストを作成し、Webサービス提供サーバ2に送信する(シーケンスSQ5。)。
Webサービス提供サーバ2は、セッション開始リクエストに含まれる認証チケットID又は追加認証チケットIDを含んだチケット解読リクエストを作成し、認証サービス提供サーバ1に送信する(シーケンスSQ6。)。
認証サービス提供サーバ1は、チケット解読リクエストに含まれる認証チケットID又は追加認証チケットIDに基づいて、対応する認証チケット60又は追加認証チケット70に含まれる認証レベルやユーザ情報等を取得し、該認証レベルやユーザ情報等を含むチケット解読レスポンスを作成し、Webサービス提供サーバ2に送信する(シーケンスSQ7。)。
Webサービス提供サーバ2は、認証サービス提供サーバ1よりチケット解読レスポンスを受信し、シーケンスSQ5において受信したセッション開始リクエストに含まれていた認証チケットID又は追加認証チケットIDが有効な認証チケットID又は追加認証チケットIDであることを確認すると、セッション80を作成する。Webサービス提供サーバ2は、作成したセッション80を識別するセッションIDを含むセッション開始レスポンスを作成し、ユーザ端末装置2に送信する(シーケンスSQ8。)。
ユーザ端末装置3は、セッションIDと、アクセスする文書を識別する文書IDと、アクセス種別(例えばRead、Write等)を含んだ文書アクセスリクエストを作成し、Webサービス提供サーバ2に送信する(シーケンスSQ9。)。
Webサービス提供サーバ2は、文書アクセスリクエストに含まれる文書IDと、シーケンスSQ7において取得し、セッションIDと関連付けて保持していた認証レベル及びユーザ情報に基づいて、文書に対するアクセス権に係る情報を管理する後述するアクセス権管理テーブル90を検索し、対応するアクセス権に係る情報が存在する場合は、該アクセス権に係る情報を取得する。Webサービス提供サーバ2は、取得したアクセス権に係る情報と、文書アクセスリクエストに含まれていたアクセス種別とを比較し、要求されたアクセス種別でアクセス可能な場合は、文書IDに対応する文書に対してアクセス(Read又はWrite等)しにいき、アクセス結果を含む文書アクセスレスポンスを作成し、ユーザ端末装置3に送信する。
上述したような認証サービス提供方法、Webサービス提供方法及びWebサービス利用方法をとることによって、複数の認証手段(認証エンジン)とアクセス権に係る情報とを対応付けて管理すること無しに、効率的に文書に対するアクセス権に係る情報を管理し、文書の係るサービスを提供することができる。
以下、認証サービス30の一例の機能構成を、図5を用いて説明する。図5は、認証サービスの一例の機能構成図である。
図5に示されるように、認証サービス30は、認証統合部31と、認証レベル計算部32と、チケット管理部33と、認証プロバイダA34と、認証プロバイダB35と、を含む。
認証統合部31は、認証サービス30の全体の動作を制御する共に、クライアントサービス50及び文書管理サービス40に対して共通のインターフェースを提供するモジュールである。
認証レベル計算部32は、認証を行った認証エンジン及び該認証エンジンの認証レベルに基づいて、認証レベルを計算するモジュールである。なお、認証レベルの計算方法の詳細は後述する。
チケット管理部33は、後述する認証チケット60及び/又は追加認証チケット70等を管理するモジュールである。
認証プロバイダA34及び認証プロバイダB35等は、「認証プロバイダ」と呼ばれるモジュールである。ここで、認証プロバイダとは、様々な認証エンジンを認証サービス30に組み込むためのアダプタ、又は仲介者のような役割を果たすものである。なお、認証エンジンとは、ここでは実際にパスワードの照合や指紋の照合等の認証処理を行うシステムをいう。
即ち、個々の認証エンジンは、それぞれ独自のインターフェース(プロトコル)を有している。一方、それぞれの認証エンジンにおける認証機能をWebサービスとしてクライアントサービス50に提供するには認証統合部31との間で規定される所定のインターフェースに従う必要がある。かかる個々の認証エンジンによる独自のプロトコルを吸収し、認証統合部31に対して共通のインターフェースを提供するのが、認証プロバイダである。従って、新たな認証エンジンを認証サービス30に組み込むには、認証プロバイダを一つ実装することになる。但し、認証プロバイダ自身が、認証エンジンとしての機能を有していてもよい。以下では特に言及しない限り、認証エンジンが認証プロバイダ自身に含まれているものとする。
なお、図5においては、認証サービス30に認証プロバイダA34と、認証プロバイダB35の2つの認証プロバイダが含まれる例を用いて認証サービス30の構成を説明したが、これは本発明の実施を制限するものではない。認証プロバイダは1つであってもよいし、2つ以上であってもよい。
以下、文書管理サービス40の一例の機能構成を、図6を用いて説明する。図6は、文書管理サービスの一例の機能構成図である。
図6に示されるように、文書管理サービス40は、文書管理統合部41と、セッション管理部42と、アクセス権管理部43と、文書管理部44と、を含む。
文書管理統合部41は、文書管理サービス40の全体の動作を制御する共に、クライアントサービス50及び認証サービス30に対して共通のインターフェースを提供するモジュールである。
セッション管理部42は、後述するセッション80を管理するモジュールである。
アクセス権管理部43は、後述するアクセス権管理テーブル90を管理するモジュールである。
文書管理部44は、文書を管理するモジュールである。
以下、クライアントサービス50の一例の機能構成を、図7を用いて説明する。図7は、クライアントサービスの一例の機能構成図である。
図7に示されるように、クライアント50は、クライアント統合部51と、チケットID管理部52と、入力制御部53と、表示制御部54と、を含む。
クライアント統合部51は、クライアントサービス50の全体の動作を制御すると共に、認証サービス30及び文書管理サービス40に対して共通のインターフェースを提供するモジュールである。
チケットID管理部52は、認証チケットID及び/又は追加認証チケットIDを管理するモジュールである。
入力制御部53は、ユーザ端末装置3のユーザからの入力情報を制御するモジュールである。例えば、入力制御部53は、表示装置32に表示されている画面などを用いてユーザが入力した入力情報を取得する。
表示制御部54は、表示装置32に対する表示を制御するモジュールである。例えば、表示制御部54は、ユーザ認証に対する認証結果及び/又は追加ユーザ認証に対する認証結果を含む画面を作成し、表示装置32に表示したり、認証チケット60に含まれる認証レベル及び/又は追加認証チケット70に含まれる認証レベルを含む画面を作成し、表示装置32に表示したりする。
以下、認証サービス30における認証に係る処理の一例を、図8を用いて説明する。図8は、認証サービスにおける認証に係る処理の一例を説明するための図である。
認証統合部31は、クライアントサービス50から送信されたユーザ認証リクエストを受信する(シーケンスSQ20。)。なお、図8のユーザ認証リクエストには、例えば、ユーザ名、パスワード、人差し指の指紋データ、認証を行う認証プロバイダ名が含まれているものとする。
認証統合部31は、ユーザ認証リクエストに含まれる認証を行う認証プロバイダ名に基づいて、対応する認証に係るデータ(例えば、ユーザ名と、パスワードと)を認証プロバイダA34に送信する(シーケンスSQ21。)。
認証統合部31は、認証プロバイダA34を識別する識別子及び該認証プロバイダA34の、対応する認証の強弱を表す認証レベル(例えば1)を含む認証結果を認証プロバイダA34より受信する(シーケンスSQ22。)。
また、認証統合部31は、ユーザ認証リクエストに含まれる認証を行う認証プロバイダ名に基づいて、対応する認証に係るデータ(例えば、ユーザ名と、人差し指の指紋データと)を認証プロバイダB35に送信する(シーケンスSQ23。)。
認証統合部31は、認証プロバイダB35を識別する識別子及び該認証プロバイダB35の、対応する認証の強弱を表す認証レベル(例えば2)を含む認証結果を認証プロバイダB35より受信する(シーケンスSQ24。)。
認証統合部31は、シーケンスSQ22において受け取った認証プロバイダA34を識別する識別子と認証プロバイダA34の認証レベル(例えば1)と、シーケンスSQ24において受け取った認証プロバイダB35を識別する識別子と認証プロバイダB35の認証レベルと、を含む認証レベルの計算要求を認証レベル計算部32に渡す(シーケンスSQ25。)。
認証レベル計算部32は、認証統合部31より渡された認証プロバイダを識別する識別子及び該認証プロバイダの認証レベルに基づいて、認証レベルを計算し、該計算した認証レベル(例えば3)を計算結果として認証統合部31に渡す(シーケンスSQ26。)。
ここで、認証レベル計算部32における認証レベルの計算方法の例を示す。計算方法1として、引数として渡された認証レベルの内、最も強い認証レベルを計算結果の認証レベルとする方法がある。説明のため、例えばWindows(登録商標)NT認証プロバイダ及びNotes(登録商標)認証プロバイダが返す認証レベルを1、指紋認証プロバイダが返す認証レベルを人差し指のみの認証なら2、10指全部の認証なら3、磁気カード認証プロバイダが返す認証レベルを1、ICカード認証プロバイダが返す認証レベルを2とする。例えば、認証レベル計算部32は、引数としてWindows(登録商標)NT認証プロバイダを識別する識別子と、該Windows(登録商標)NT認証プロバイダの認証レベル1及び指紋認証プロバイダを識別する識別子と、該指紋認証プロバイダの人差し指のみの認証レベルとして認証レベル2を取得した場合、最も強い認証レベルである認証レベル2を当該認証レベル計算部32の計算結果とする。
また、計算方法2として、引数として渡された認証レベルの合計値を計算結果の認証レベルとする方法がある。例えば、認証レベル計算部32は、引数としてWindows(登録商標)NT認証プロバイダを識別する識別子と、該Windows(登録商標)NT認証プロバイダの認証レベル1及び指紋認証プロバイダを識別する識別子と、該指紋認証プロバイダの人差し指のみの認証レベルとして認証レベル2を取得した場合、引数として渡された2つの認証レベルの合計値である認証レベル3を当該認証レベル計算部32の計算結果とする。
また、計算方法3として、引数として渡された認証プロバイダの識別子に基づいて、認証プロバイダを予め定められたカテゴリ(例えば、パスワード認証、バイオメトリカル認証、デバイス認証等)に分類し、各カテゴリの中の認証レベルの最大値を合計したものを計算結果の認証レベルとする方法がある。例えば、認証レベル計算部32は、引数としてWindows(登録商標)NT認証プロバイダを識別する識別子と、該Windows(登録商標)NT認証プロバイダの認証レベル1及びNotes(登録商標)認証プロバイダを識別する識別子と、該Notes(登録商標)認証プロバイダの認証レベル1及び指紋認証プロバイダを識別する識別子と、該指紋認証プロバイダの人差し指のみの認証レベルとして認証レベル2及び磁気カード認証プロバイダを識別する識別子と、該磁気カード認証プロバイダの認証レベル1及びICカード認証プロバイダを識別する識別子と、該ICカード認証プロバイダの認証レベル2を取得した場合、パスワード認証であるWindows(登録商標)NT認証とNotes(登録商標)認証及びバイオメトリカル認証である指紋認証及びデバイス認証である磁気カード認証とICカード認証とにそれぞれ分類し、その中の最大値の認証レベルの合計値である認証レベル5(MAX(1、1)+2+MAX(1、2)=1+2+2=5)を当該認証レベル計算部32の計算結果とする。
認証サービス30(又は認証レベル計算部32)は、上述した計算方法のうち、予め定められた計算方法のみを実行するように実装してもよいし、認証サービス提供サーバ1のHDD19に保存されている定義ファイル等に記述されている計算方法を識別するフラグをチェックし、該フラグに応じて計算方法を変更するように実装してもよい。
図8において、認証統合部31は、シーケンスSQ26において認証レベル計算部32より受け取った認証レベルを含む認証チケット60の作成要求をチケット管理部33に渡す(シーケンスSQ27。)。
チケット管理部33は、認証統合部31より渡された認証レベルを含む認証チケット60を作成し、該認証チケット60を管理すると共に認証チケット60を識別する認証チケットIDを認証チケット60として認証統合部31に渡す(シーケンスSQ28。)。なお、認証チケット60の詳細は、後述する図16を用いて説明する。
認証統合部31は、チケット管理部33より渡された認証チケットIDを含むユーザ認証レスポンスを作成し、クライアントサービス50に送信する(シーケンスSQ29。)。
図8に示したような処理を行うことによって、認証サービス30は、クライアントサービス50からのユーザ認証リクエストに応じて、認証レベルを含む認証チケット60を作成し、該認証チケット60を識別する認証チケットIDを含んだユーザ認証レスポンスをクライアントサービス50に送信することができる。
なお、図8の説明においては、ユーザ認証リクエストに認証を行う認証プロバイダ名が含まれているものとして説明を行ったが、ユーザ認証リクエストに認証プロバイダ名が含まれていない場合は、認証統合部31が、認証サービス30に含まれている認証プロバイダ全てに対して、総当りでユーザの認証要求を送信するようにしてもよい。以下においても同様である。
以下、認証サービス30における追加認証に係る処理の一例を、図9を用いて説明する。図9は、認証サービスにおける追加認証に係る処理の一例を説明するための図である。
認証統合部31は、クライアントサービス50から送信された追加ユーザ認証リクエストを受信する(シーケンスSQ30。)。なお、図9の追加ユーザ認証リクエストには、例えば、追加認証を行う認証プロバイダ、認証チケットID、10指の指紋データが含まれているものとする。
認証統合部31は、追加ユーザ認証リクエストに含まれる認証チケットIDをチケット管理部33に渡して、認証チケット60の解読を要求する(シーケンスSQ31。)。
チケット管理部33は、認証統合部31より渡された認証チケットIDに応じて、対応する認証チケット60より、該認証チケット60に含まれる認証レベル、ユーザ情報、グループ情報等を取得し、認証チケット60の解読結果として認証統合部31に渡す(シーケンスSQ32。)。
認証統合部31は、追加ユーザ認証リクエストに含まれる追加の認証を行う認証プロバイダ名に基づいて、対応する追加の認証に係るデータ(例えば、認証チケット60の解読結果と、10指の指紋データと)を認証プロバイダB35に送信する(シーケンスSQ33。)。
認証統合部31は、認証プロバイダB35を識別する識別子及び該認証プロバイダB35の、対応する認証の強弱を表す認証レベルを含む認証結果を認証プロバイダB35より受信する(シーケンスSQ34。)。例えば、上述したように、10指による指紋認証の場合、認証レベル3を含む認証結果を認証プロバイダB35より、受信する(シーケンスSQ34。)。
認証統合部31は、シーケンスSQ34において受け取った認証プロバイダB35を識別する識別子と認証プロバイダB35の認証レベルと、認証チケット60の解読結果と、を含む認証レベルの計算要求を認証レベル計算部32に渡す(シーケンスSQ35。)。
認証レベル計算部32は、認証統合部31より渡された認証プロバイダを識別する識別子と、該認証プロバイダの認証レベルと、認証チケット60の解読結果(又は認証チケット60の解読結果に含まれる認証プロバイダ名と、認証レベル)と、に基づいて、認証レベルを計算し、該計算した認証レベルを計算結果として認証統合部31に渡す(シーケンスSQ36。)。
例えば、認証レベル計算部32が上述した計算方法3で認証レベルの計算をする場合、認証プロバイダB35が指紋認証プロバイダで、10指による認証で認証レベル3が引数に含まれ、また引数として渡された認証チケット60の解読結果に含まれる認証プロバイダが指紋認証プロバイダと、Windows(登録商標)NT認証プロバイダと、で、また認証チケット60の解読結果に含まれる認証レベルが3であった場合、認証レベル計算部32は、該認証レベル3がWindows(登録商標)NT認証プロバイダの認証レベル1と、指紋認証プロバイダの人差し指による認証レベル2との合計値であると判定し、認証プロバイダをカテゴリに分類し、その中の最大値の認証レベルの合計値である認証レベル4(MAX(1)+MAX(2、3)=1+3=4)を当該認証レベル計算部32の計算結果とする。
認証統合部31は、受け取った認証レベルを含む追加認証チケット70の作成要求をチケット管理部33に渡す(シーケンスSQ37。)。
チケット管理部33は、認証統合部31より渡された認証レベルを含む追加認証チケット70を作成し、該追加認証チケット70を管理すると共に追加認証チケット70を識別する追加認証チケットIDを追加認証チケット70として認証統合部31に渡す(シーケンスSQ38。)。なお、追加認証チケット70の詳細は、後述する図19を用いて説明する。
認証統合部31は、チケット管理部33より渡された追加認証チケットIDを含む追加ユーザ認証レスポンスを作成し、クライアントサービス50に送信する(シーケンスSQ39。)。
図9に示したような処理を行うことによって、認証サービス30は、クライアントサービス50からの追加ユーザ認証リクエストに応じて、認証レベルを含む追加認証チケット70を作成し、該追加認証チケット70を識別する認証チケットIDを含んだ追加ユーザ認証レスポンスをクライアントサービス50に送信することができる。
以下、認証サービス30におけるチケット解読に係る処理の一例を、図10を用いて説明する。図10は、認証サービスにおけるチケット解読に係る処理の一例を説明するための図である。
認証統合部31は、クライアントサービス50又は文書管理サービス40から送信された、認証チケットID又は追加認証チケットIDを含むチケット解読リクエストを受信する(シーケンスSQ50。)。
認証統合部31は、チケット解読リクエストに含まれる認証チケットID又は追加認証チケットIDをチケット管理部33に渡して、認証チケット60又は追加認証チケット70の解読を要求する(シーケンスSQ51。)。
チケット管理部33は、認証統合部31より渡された認証チケットID又は追加認証チケットIDに応じて、対応する認証チケット60又は追加認証チケット70に含まれる認証レベル、ユーザ情報、グループ情報等を取得し、認証チケット60又は追加認証チケット70の解読結果として認証統合部31に渡す(シーケンスSQ52。)。
認証統合部31は、チケット管理部33より渡された認証チケット60又は追加認証チケット70に含まれる認証レベル、ユーザ情報、グループ情報等を含むチケット解読レスポンスを作成し、クライアントサービス50又は文書管理サービス40に送信する(シーケンスSQ53。)。
図10に示したような処理を行うことによって、認証サービス30は、クライアントサービス50又は文書管理サービス40からのチケット解読リクエストに応じて、認証チケット60又は追加認証チケット70を解読し、認証チケット60又は追加認証チケット70に含まれる認証レベル、ユーザ情報、グループ情報等を含むチケット解読レスポンスをクライアントサービス50又は文書管理サービス40に送信することができる。
以下、文書管理サービス40におけるセッションの開始に係る処理の一例を、図11を用いて説明する。図11は、文書管理サービスにおけるセッションの開始に係る処理の一例を説明するための図である。
文書管理統合部41は、クライアントサービス50から送信された、認証チケットID又は追加認証チケットIDを含むセッション開始リクエストを受信する(シーケンスSQ60。)。
文書管理統合部41は、セッション開始リクエストに含まれる認証チケットID又は追加認証チケットIDをセッション管理部42に渡して、セッションの開始を要求する(シーケンスSQ61。)。
セッション管理部42は、文書管理統合部41より認証チケットID又は追加認証チケットIDを含むセッションの開始要求を受け取ると、受け取った認証チケットID又は追加認証チケットIDを含むチケット解読リクエストを作成し、文書管理統合部41を介して対応する認証サービス30に送信する(シーケンスSQ62、シーケンスSQ63。)。
また、セッション管理部42は、文書管理統合部41を介して認証サービス30より送信された認証チケット60又は追加認証チケット70に含まれる認証レベル、ユーザ情報、グループ情報等を含むチケット解読レスポンスを受信する(シーケンスSQ64、シーケンスSQ65。)。
セッション管理部42は、チケット解読レスポンスに含まれる認証レベル、ユーザ情報、グループ情報等を含むセッション80を作成し、該セッション80を管理すると共に、セッション80を識別するセッションIDをセッション80として文書管理統合部41に渡す(シーケンスSQ66。)。なお、セッション80の詳細は、後述する図20を用いて説明する。なお、本実施例においては、認証レベル、ユーザ情報、グループ情報等をセッション80に含めるようにしたが、認証レベル、ユーザ情報、グループ情報等をセッション80に含めず、セッション80と関連付けてセッション管理部80において管理するようにしてもよい。
文書管理統合部41は、セッション管理部42より受け取ったセッションIDを含むセッション開始レスポンスを作成し、クライアントサービス50に送信する(シーケンスSQ67。)。
図11に示したような処理を行うことによって、文書管理サービス40は、クライアントサービス50からのセッション開始リクエストに応じて、セッション80を作成し、セッションIDを含むセッション開始レスポンスをクライアントサービス50に送信することができる。
以下、文書管理サービス40における文書のアクセスに係る処理の一例を、図12を用いて説明する。図12は、文書管理サービスにおける文書のアクセスに係る処理の一例を説明するための図である。
文書管理統合部41は、クライアントサービス50から送信された、セッションIDと、文書IDと、アクセス種別(例えばRead、Write等)と、を含む文書アクセスリクエストを受信する(シーケンスSQ70。)。
文書管理統合部41は、文書アクセスリクエストに含まれるセッションIDをセッション管理部42に渡して、対応する認証レベル、ユーザ情報の取得を要求する(シーケンスSQ71。)。
セッション管理部42は、文書管理統合部41より渡されたセッションIDに対応する認証レベル、ユーザ情報をセッション80等より取得し、文書管理統合部41に渡す(シーケンスSQ72。)。
文書管理統合部41は、セッション管理部42より渡された認証レベルと、セッション管理部42より渡されたユーザ情報に含まれるユーザIDと、文書アクセスリクエストに含まれていた文書IDと、をアクセス権管理部43に渡してアクセス権に係る情報のチェックの要求を行う(シーケンスSQ73。)。
アクセス権管理部43は、文書管理統合部41より渡された認証レベルと、ユーザIDと、文書IDと、に基づいて、アクセス権管理テーブル90を検索し、対応するアクセス権に係る情報が存在する場合は、該アクセス権に係る情報をチェック結果として文書管理統合部41に渡す(シーケンスSQ74。)。なお、アクセス権に係る情報自身をチェック結果として文書管理統合部41に渡さず、例えばOKやNG等をチェック結果として文書管理統合部41に渡すようにしてもよい。以下においても同様である。また、アアクセス権管理テーブル90の詳細は、後述する図21を用いて説明する。
後述するように、本発明に係る認証レベルと関連付けてアクセス権に係る情報を管理することによって、認証手段(認証エンジン)とアクセス権に係る情報とを関連付けて管理する場合と比べて、効率的にアクセス権に係る情報を管理することができる。例えば、認証手段(認証エンジン)とアクセス権に係る情報とを関連付けて管理していた場合、複数の認証手段(認証エンジン)が存在すると、その認証手段(認証エンジン)の組み合わせ毎にアクセス権に係る情報を設定及び/又は管理しなくてはならず、管理が繁雑となると共に、認証手段(認証エンジン)が増えると、管理しきれなくなっていた。しかしながら、認証レベルを用いることによって、認証レベルに応じて文書に対するアクセス権に係る情報を設定及び/又は管理すればよく、認証手段(認証エンジン)が多数存在しても管理は複雑とはならない。
また、認証手段(認証エンジン)が変わった場合も、直接アクセス権管理テーブル90に影響は無く、例えば同レベルの認証手段(認証エンジン)に変わったのであれば、アクセス権管理テーブル90を変更しなくてもよい。
図12において文書管理統合部41は、アクセス権管理部43より渡されたチェック結果に基づいて、該チェック結果に有効なアクセス権に係る情報が含まれていた場合(例えば、文書アクセスリクエストに含まれるアクセス種別が、Readで、アクセス権管理部43より渡されたチェック結果がRead又はRead/Writeであったような場合)は、文書に対するアクセス種別を含むアクセス要求を、文書管理部44に渡す(シーケンスSQ75。)。
文書管理部44は、文書管理統合部41より渡されたアクセス要求に含まれるアクセス種別に基づいて、処理を行い、アクセス結果を文書管理統合部41に渡す(シーケンスSQ76。)。
文書管理統合部41は、文書管理部44より渡されたアクセス結果を含む文書アクセスレスポンスを作成し、クライアントサービス50に送信する(シーケンスSQ77。)。
図12に示すような処理を行うことによって、文書管理サービス40は、クライアントサービス50からの文書アクセスリクエストに応じて、アクセス権に係る情報のチェックを行い、有効なアクセス権に係る情報が存在する場合は、対応する文書に対してアクセスを行い、アクセス結果を含む文書アクセスレスポンスをクライアントサービス50に送信することができる。
以下、クライアントサービス50における認証及びチケット解読に係る処理の一例を、図13を用いて説明する。図13は、クライアントサービスにおける認証及びチケット解読に係る処理の一例を説明するための図である。
入力制御部53は、ユーザによって入力された認証に係るデータ(例えば、ユーザ名、パスワード、人差し指の指紋データ)を含む、認証を要求する旨の情報をクライアント統合部51に渡す(シーケンスSQ80。)。
クライアント統合部51は、入力制御部53より渡された、認証に係るデータを含む認証を要求する旨の情報を、チケットID管理部52に渡す(シーケンスSQ81。)。
チケットID管理部52は、クライアント統合部51より渡された認証に係るデータを含むユーザ認証リクエストを作成し、クライアント統合部51を介して認証サービス30に送信する(シーケンスSQ82、シーケンスSQ83。)。
また、チケットID管理部52は、クライアント統合部51を介して、認証サービス30より送信された認証結果及び/又は認証チケットIDを含むユーザ認証レスポンスを受信する(シーケンスSQ84、シーケンスSQ85。)。チケットID管理部52は、ユーザ認証レスポンスに含まれる認証チケットIDを管理する。
また、チケットID管理部52は、認証チケットIDを含むチケット解読リクエストを作成し、クライアント統合部51を介して認証サービス30に送信する(シーケンスSQ86、シーケンスSQ87。)。
チケットID管理部52は、クライアント統合部51を介して、認証サービス30より送信された認証チケットIDに対応する認証チケット60に含まれる認証レベル、ユーザ情報、グループ情報等を含むチケット解読レスポンスを受信する(シーケンスSQ88、シーケンスSQ89。)。
チケットID管理部52は、ユーザ認証レスポンスに含まれる認証結果及び/又はチケット解読レスポンスに含まれる認証レベル等をクライアント統合部51に渡して、認証結果及び/又は認証レベル等を含む画面の表示を要求する(シーケンスSQ90。)。
クライアント統合部51は、チケットID管理部52より渡された認証結果及び/又は認証レベル等を表示制御部54に渡して、認証結果及び/又は認証レベル等を含む画面の表示を要求する(シーケンスSQ91。)。
表示制御部54は、クライアント統合部51より渡された認証結果及び/又は認証レベル等を含む画面を作成し、ディスプレイ等に表示する。
図13に示すような処理を行うことによって、クライアントサービス50は、認証サービス30に対してユーザ認証リクエストを送信し、認証チケットIDを含むユーザ認証レスポンスを受信することができる。また、クライアントサービス50は、ユーザ認証レスポンスに含まれる認証チケットIDを用いてチケット解読リクエストを作成し、認証サービス30に送信し、認証レベル等を含むチケット解読レスポンスを受信し、認証結果及び/又は認証レベル等を含む画面を表示することができる。
以下、クライアントサービス50における追加認証及びチケット解読に係る処理の一例を、図14を用いて説明する。図14は、クライアントサービスにおける追加認証及びチケット解読に係る処理の一例を説明するための図である。
入力制御部53は、ユーザによって入力された追加の認証に係るデータ(例えば、10指の指紋データ)を含む追加の認証を要求する旨の情報をクライアント統合部51に渡す(シーケンスSQ100。)。
クライアント統合部51は、入力制御部53より渡された、追加の認証に係るデータを含む追加の認証を要求する旨の情報を、チケットID管理部52に渡す(シーケンスSQ101。)。
チケットID管理部52は、クライアント統合部51より渡された追加の認証に係るデータ及び対応する認証チケットIDを含む追加ユーザ認証リクエストを作成し、クライアント統合部51を介して認証サービス30に送信する(シーケンスSQ102、シーケンスSQ103。)。
また、チケットID管理部52は、クライアント統合部51を介して、認証サービス30より送信された追加認証結果及び/又は追加認証チケットIDを含む追加ユーザ認証レスポンスを受信する(シーケンスSQ104、シーケンスSQ105。)。なお、チケットID管理部52は、追加ユーザ認証レスポンスに含まれる追加認証チケットIDを管理する。
また、チケットID管理部52は、追加認証チケットIDを含むチケット解読リクエストを作成し、クライアント統合部51を介して認証サービス30に送信する(シーケンスSQ106、シーケンスSQ107。)。
チケットID管理部52は、クライアント統合部51を介して、認証サービス30より送信された追加認証チケットIDに対応する追加認証チケット70に含まれる認証レベル、ユーザ情報、グループ情報等を含むチケット解読レスポンスを受信する(シーケンスSQ108、シーケンスSQ109。)。
チケットID管理部52は、追加ユーザ認証レスポンスに含まれる追加認証結果及び/又はチケット解読レスポンスに含まれる認証レベル等をクライアント統合部51に渡して、追加認証結果及び/又は認証レベル等を含む画面の表示を要求する(シーケンスSQ110。)。
クライアント統合部51は、チケットID管理部52より渡された認証結果及び/又は認証レベル等を表示制御部54に渡して、追加認証結果及び/又は認証レベル等を含む画面の表示を要求する(シーケンスSQ111。)。
表示制御部54は、クライアント統合部51より渡された追加認証結果及び/又は認証レベル等を含む画面を作成し、ディスプレイ等に表示する。
図14に示すような処理を行うことによって、クライアントサービス50は、認証サービス30に対して追加ユーザ認証リクエストを送信し、追加認証チケットIDを含む追加ユーザ認証レスポンスを受信することができる。また、クライアントサービス50は、追加ユーザ認証レスポンスに含まれる追加認証チケットIDを用いてチケット解読リクエストを作成し、認証サービス30に送信し、認証レベル等を含むチケット解読レスポンスを受信し、追加認証結果及び/又は認証レベル等を含む画面を表示することができる。
以下、クライアントサービス50における文書のアクセスに係る処理の一例を、図15を用いて説明する。図15は、クライアントサービスにおける文書のアクセスに係る処理の一例を説明するための図である。
入力制御部53は、ユーザによって入力又は選択された文書を識別する文書IDと、アクセス種別(例えばRead、Write等)と、を含む文書に対するアクセスを要求する旨の情報を、クライアント統合部51に渡す(シーケンスSQ120。)。
クライアント統合部51は、入力制御部53より渡された、文書IDと、アクセス種別と、を保持し、文書に対するアクセスを要求する旨の情報を、チケットID管理部52に渡す(シーケンスSQ121。)。
チケットID管理部52は、対応する認証チケットID又は追加認証チケットIDを含むセッション開始リクエストを作成し、クライアント統合部51を介して文書管理サービス40に送信する(シーケンスSQ122、シーケンスSQ123。)。
クライアント統合部51は、文書管理サービス40より送信されたセッションIDを含むセッション開始レスポンスを受信する(シーケンスSQ124。)。クライアント統合部51は、セッション開始レスポンスに含まれるセッションIDを管理する。なお、図示していないが、セッションIDを管理するセッションID管理部をクライアントサービス50に設けるようにしてもよい。
クライアント統合部51は、セッションIDと、前記保持していた文書IDと、アクセス種別と、を含む文書アクセスリクエストを作成し、文書管理サービス40に送信する(シーケンスSQ125。)。
また、クライアント統合部51は、文書管理サービス40より送信されたアクセス結果を含む文書アクセスレスポンスを受信する(シーケンスSQ126。)。
クライアント統合部51は、アクセス結果を表示制御部54に渡して、アクセス結果等を含む画面の表示を要求する(シーケンスSQ127。)。
表示制御部54は、クライアント統合部51より渡されたアクセス結果等を含む画面を作成し、ディスプレイ等に表示する。
図15に示すような処理を行うことによって、クライアントサービス50は、文書管理サービス40に対してセッション開始リクエストを送信し、セッションIDを含むセッション開始レスポンスを受信することができる。また、クライアントサービス50は、セッション開始レスポンスに含まれるセッションIDを用いて文書アクセスリクエストを作成し、文書管理サービス40に送信し、アクセス結果等を含む文書アクセスレスポンスを受信し、該アクセス結果等を含む画面を表示することができる。
以下、認証サービス30のチケット管理部33において管理される認証チケット60の内部構造の一例を、図16を用いて説明する。図16は、認証チケットの内部構造の一例を説明するための図である。
図16に示されるように、認証チケット60には、例えば、認証チケットIDと、プロバイダ名と、有効期限と、ユーザ情報と、グループ情報と、パスワードと、人差し指の指紋データと、認証レベルと、が含まれる。
認証チケットIDには、当該認証チケット60を識別する識別子が格納されている。プロバイダ名には、認証を行った認証プロバイダの名前が格納されている。なお、図16の例においては、認証を行った2つの認証プロバイダの名前が格納されている。
有効期限には、当該認証チケット60の有効期限が格納されている。ユーザ情報には、認証されたユーザのユーザ情報の構造体がそのまま格納されている。グループ情報には、前記ユーザが所属するグループのグループ情報の構造体へのポインタの配列が格納されている。
パスワードには、認証(Windows(登録商標)NT認証)に用いたパスワードが格納されている。人差し指の指紋データには、認証(指紋認証)に用いた人差し指の指紋データが格納されている。
認証レベルには、上述したように、認証レベル計算部32において計算された認証レベルが格納されている。
以下、ユーザ情報構造体の一例を、図17を用いて説明する。図17は、ユーザ構造体の一例を説明するための図である。
図17に示されるように、ユーザ情報構造体には、ユーザIDと、ドメイン名と、名前と、が含まれる。
ユーザIDには、ユーザを識別する識別子が格納されている。ドメイン名には、前記ユーザに対応するドメイン名が格納されている。名前には、前記ユーザの名前が格納されている。
以下、グループ情報構造体の一例を、図18を用いて説明する。図18は、グループ情報構造体の一例を説明するための図である。
図18に示されるようにグループ情報構造体には、グループIDと、ドメイン名と、名前と、が含まれる。
グループIDには、前記ユーザが所属するグループを識別する識別子が格納されている。ドメイン名には、該グループに対応するドメイン名が格納されている。名前には、該グループの名前が格納されている。
以下、認証サービス30のチケット管理部33において管理される追加認証チケット70の内部構造の一例を、図19を用いて説明する。図19は、追加認証チケットの内部構造の一例を説明するための図である。
図19に示されるように、追加認証チケット70には、例えば、追加認証チケットIDと、プロバイダ名と、有効期限と、ユーザ情報と、グループ情報と、パスワードと、人差し指の指紋データと、10指の指紋データと、認証レベルと、が含まれる。
追加認証チケットIDには、当該追加認証チケット70を識別する識別子が格納されている。プロバイダ名には、認証を行った認証プロバイダの名前が格納されている。なお、図19の例においては、認証を行った2つの認証プロバイダの名前が格納されている。
有効期限には、当該追加認証チケット70の有効期限が格納されている。ユーザ情報には、認証されたユーザのユーザ情報の構造体がそのまま格納されている。グループ情報には、前記ユーザが所属するグループのグループ情報の構造体へのポインタの配列が格納されている。
パスワードには、認証(Windows(登録商標)NT認証)に用いたパスワードが格納されている。人差し指の指紋データには、認証(指紋認証)に用いた人差し指の指紋データが格納されている。10指の指紋データには、認証(指紋認証)に用いた10指の指紋データが格納されている。
認証レベルには、上述したように、認証レベル計算部32において計算された認証レベルが格納されている。なお、図19の認証レベルは、図16の認証レベルと比べて認証レベルが1つあがっている。
以下、文書管理サービス40のセッション管理部42において管理されるセッション80の内部構造の一例を、図20を用いて説明する。図20は、セッションの内部構造の一例を説明するための図である。なお、以下では、認証チケット60に基づいて作成されたセッション80の一例を示してある。
図20に示されるように、セッション80には、例えば、セッションIDと、認証チケットIDと、有効期限と、ユーザ情報と、グループ情報と、認証レベルと、が含まれる。
セッションIDには、セッション80を識別する識別子が格納されている。認証チケットIDには、認証チケット60に含まれる、認証チケット60を識別する識別子が格納されている。有効期限には、当該セッション80の有効期限が格納されている。
ユーザ情報には、認証チケット60に含まれる、図17において説明したような認証されたユーザのユーザ情報の構造体がそのまま格納されている。グループ情報には、認証チケット60に含まれる、図18において説明したような前記ユーザが所属するグループのグループ情報の構造体へのポインタの配列が格納されている。
認証レベルには、認証チケット60に含まれる、認証レベルが格納されている。
以下、文書管理サービス40のアクセス権管理部43において管理されるアクセス権管理テーブル90の内部構造の一例を、図21を用いて説明する。図21は、アクセス権管理テーブルの一例を説明するための図である。
図21に示されるように、アクセス権管理テーブル90には、文書IDと、ユーザIDと、認証レベルと、アクセス権と、が項目として含まれる。
文書IDには、文書を識別する識別子が格納されている。ユーザIDには、ユーザを識別する識別子が格納されている。認証レベルには、文書IDに対応する文書に対して、アクセス権に格納されている処理を行うために必要な認証レベルが格納されている。アクセス権には、文書IDに対応する文書に対して、認証レベルに格納されている認証レベルで許可される処理が格納されている。
例えば図21に示されるアクセス権管理テーブル90では、ユーザIDC549AAで識別されるユーザの文書ID1234で識別される文書への権限は、認証レベルが1の場合は、Read権限だけが許可され、認証レベルが2になると、Read権限と、Write権限とが許可されている。
また、図21に示されるアクセス権管理テーブル90では、認証レベルが3のユーザは誰でも文書ID1589で識別される文書を読むことが許可されている。また、図21に示されるアクセス権管理テーブル90では、認証レベルが4のユーザは全ての文書を読むことが許可されている。また、図21に示されるアクセス権管理テーブル90では、ユーザIDF234Cで識別されるユーザが、認証レベル3で認証されれば全ての文書を読むことが許可されている。
図21に示されるように、文書に対するアクセス権に係る情報を、認証プロバイダでなく、認証レベルで許可することによって、認証プロバイダの組み合わせを考慮する必要がなくなり、効率的に文書に対するアクセス権に係る情報を管理することができる。
また、認証プロバイダが変わったり、認証プロバイダが増減したりした場合も、認証レベルを用いて管理することによって、文書に対するアクセス権に係る情報を効率的に管理することができる。
以下、認証サービス30における認証に係る処理の一例を、図22を用いて説明する。図22は、認証サービスにおける認証に係る処理の一例を説明するためのフローチャートである。なお、以下では、認証エンジンは、認証サービス提供サーバ1以外の外部の認証サーバ等に含まれているものとして説明を行う。
ステップS10において認証サービス30は、クライアントサービス50から送信された例えばユーザ名、パスワード、人差し指の指紋データ、認証を行う認証プロバイダ名等が含まれたユーザ認証リクエストを受信する。
ステップS10に続いてステップS11に進み、認証サービス30は、ユーザ認証リクエストに含まれる認証プロバイダ名が有効な認証プロバイダ名かどうかを判定する。認証サービス30は、有効な認証プロバイダ名であると判定すると(ステップS11においてYES)、ステップS12に進み、有効な認証プロバイダ名でないと判定すると(ステップS11においてNO)、処理を終了する。
例えば、認証サービス30は、保持、管理している認証プロバイダ名と、ユーザ認証リクエストに含まれる認証プロバイダ名と、を比較して、対応する有効なプロバイダ名が存在するかどうかを判定する。
ステップS12では、認証サービス30が、外部の認証サーバが動作中かどうかを判定する。認証サービス30は、対応する外部の認証サーバが動作中であると判定すると(ステップS12においてYES)、対応する外部の認証サーバに、例えば(ユーザ名、パスワード)及び/又は(ユーザ名、人差し指の指紋データ)等の認証に用いるデータを含むユーザの認証要求を送信する。
一方、認証サービス30は、対応する外部の認証サーバが動作していないと判定すると(ステップS12においてNO)、処理を終了する。
例えば、認証サービス30は、対応する外部の認証サーバにping(Packet Internet Groper)を打って、前記外部の認証サーバが動作中かどうかを判定する。
ステップS13では、認証サービス30が、認証が成功したかどうかを判定する。認証サービス30は、認証が成功したと判定すると(ステップS13においてYES)、ステップS14に進み、認証が失敗したと判定すると(ステップS13においてNO)、処理を終了する。
例えば、認証サービス30は、前記外部の認証サーバより、認証が成功した旨の認証結果等を受信すると、認証が成功したと判定する。例えば、認証結果には、認証プロバイダを識別する識別子及び該認証プロバイダの認証レベル等が含まれる。
なお、ステップS11からステップS13までの処理は、認証の数だけ繰り返す。
ステップS14では、認証サービス30が、認証プロバイダを識別する識別子及び該認証プロバイダの認証レベルに基づいて、認証レベルを計算する。
ステップS14に続いてステップS15に進み、認証サービス30は、ステップS14において計算した認証レベルを含む認証チケット60を作成する。
ステップS15に続いてステップS16に進み、認証サービス30は、ステップS15において作成した認証チケット60を識別する認証チケットIDを含むユーザ認証レスポンスを作成する。
ステップS16に続いてステップS17に進み、認証サービス30は、ステップS15において作成したユーザ認証レスポンスを、要求元であるクライアントサービス50に送信する。
図22に示すような処理を行うことによって、認証サービス30は、認証レベルを含んだ認証チケット60を作成することができる。
以下、認証サービス30における追加認証に係る処理の一例を、図23を用いて説明する。図23は、認証サービスにおける追加認証に係る処理の一例を説明するためのフローチャートである。
ステップS20において認証サービス30は、クライアントサービス50から送信された例えば追加認証を行う認証プロバイダ、認証チケットID、10指の指紋データ等が含まれた追加ユーザ認証リクエストを受信する。
ステップS20に続いてステップS21に進み、認証サービス30は、追加ユーザ認証リクエストに含まれる認証チケットIDが有効な認証チケットIDかどうかを判定する。認証サービス30は、有効な認証チケットIDであると判定すると(ステップS21においてYES)、ステップS22に進み、有効な認証チケットIDでないと判定すると(ステップS21においてNO)、処理を終了する。
認証サービス30は、例えば、認証チケットIDに基づいて、対応する有効な認証チケット60が存在するかどうかチェックし、有効な認証チケットIDかどうかを判定する。
ステップS22では、認証サービス30が、追加ユーザ認証リクエストに含まれる認証チケットIDに対応する認証チケット60の解読を行う。
ステップS22に続いてステップS23に進み、認証サービス30は、ステップS22において解読した解読結果である、認証チケット60に含まれる認証レベルや、ユーザ情報、グループ情報等を取得する。
ステップS23に続いてステップS24に進み、認証サービス30は、追加ユーザ認証リクエストに含まれる認証プロバイダ名が有効な認証プロバイダ名かどうかを判定する。認証サービス30は、有効な認証プロバイダ名であると判定すると(ステップS24においてYES)、ステップS25に進み、有効な認証プロバイダ名でないと判定すると(ステップS24においてNO)、処理を終了する。
例えば、認証サービス30は、保持、管理している認証プロバイダ名と、追加ユーザ認証リクエストに含まれる認証プロバイダ名と、を比較して、対応する有効なプロバイダ名が存在するかどうかを判定する。
ステップS25では、認証サービス30が、外部の認証サーバが動作中かどうかを判定する。認証サービス30は、対応する外部の認証サーバが動作中であると判定すると(ステップS25においてYES)、対応する外部の認証サーバに、例えば(ユーザ名、10指の指紋データ)等を含む追加のユーザの認証要求を送信する。一方、認証サービス30は、対応する外部の認証サーバが動作していないと判定すると(ステップS25においてNO)、処理を終了する。
例えば、認証サービス30は、対応する外部の認証サーバにpingを打って、前記外部の認証サーバが動作中かどうかを判定する。
ステップS26では、認証サービス30が、追加の認証が成功したかどうかを判定する。認証サービス30は、追加の認証が成功したと判定すると(ステップS26においてYES)、ステップS27に進み、認証が失敗したと判定すると(ステップS26においてNO)、処理を終了する。
例えば、認証サービス30は、前記外部の認証サーバより、追加の認証が成功した旨の認証結果を受信すると、追加の認証が成功したと判定する。例えば、認証結果には、認証プロバイダを識別する識別子及び該認証プロバイダの認証レベル等が含まれる。
なお、ステップS24からステップS26までの処理は、追加の認証の数だけ繰り返す。
ステップS27では、認証サービス30が、追加の認証を行った認証プロバイダを識別する識別子、該認証プロバイダの認証レベル、追加ユーザ認証リクエストに含まれる認証チケットIDに対応する認証チケット60に含まれる認証レベル等に基づいて、新たに認証レベルを計算する。
ステップS27に続いてステップS28に進み、認証サービス30は、ステップS27において新たに計算した認証レベルを含む追加認証チケット70を作成する。
ステップS28に続いてステップS29に進み、認証サービス30は、ステップS28において作成した追加認証チケット70を識別する追加認証チケットIDを含む追加ユーザ認証レスポンスを作成する。
ステップS29に続いてステップS30に進み、認証サービス30は、ステップS29において作成した追加ユーザ認証レスポンスを、要求元であるクライアントサービス50に送信する。
図23に示すような処理を行うことによって、認証サービス30は、新たに計算された認証レベルを含む追加認証チケット70を作成することができる。
以下、認証サービス30におけるチケット解読に係る処理の一例を、図24を用いて説明する。図24は、認証サービスにおけるチケット解読に係る処理の一例を説明するためのフローチャートである。
ステップS30において認証サービス30は、クライアントサービス50又は文書管理サービス40から認証チケットID又は追加認証チケットIDを含む認証チケット60又は追加認証チケット70の解読リクエストを受信する。なお、以下では説明の簡略化のため、追加認証チケットIDを含む追加認証チケット70の解読リクエストを受信したものとして説明を行う。
ステップS30に続いてステップS31に進み、認証サービス30は、追加認証チケット70の解読リクエストに含まれる追加認証チケットIDが有効な追加認証チケットIDかどうかを判定する。認証サービス30は、有効な追加認証チケットIDであると判定すると(ステップS31においてYES)、ステップS33に進み、有効な追加認証チケットIDでないと判定すると(ステップS31においてNO)、ステップS32に進む。
例えば、認証サービス30は、追加認証チケット70の解読リクエストに含まれる追加認証チケットIDに基づいて、有効な追加認証チケット70が存在するかどうかチェックし、有効な追加認証チケットIDかどうかを判定する。
ステップS32では、認証サービス30が、解読が失敗した旨を表す、「NO」を含む追加認証チケット70の解読レスポンスを作成する。
一方、ステップS33では、認証サービス30が、追加認証チケット70の解読リクエストに含まれる追加認証チケットIDに対応する追加認証チケット70の解読を行う。
ステップS33に続いてステップS34に進み、認証サービス30は、ステップS33において解読した解読結果である、追加認証チケット70に含まれる認証レベルや、ユーザ情報、グループ情報等を取得する。
ステップS34に続いてステップS35に進み、認証サービス30は、ステップS34において取得した認証レベルや、ユーザ情報、グループ情報及び解読が成功した旨を表す、「YES」を含む追加認証チケット70の解読レスポンスを作成する。
ステップS36では、認証サービス30が、ステップS32又はステップS35において作成した追加認証チケット70の解読レスポンスを、要求元のクライアントサービス50又は文書管理サービス40に送信する。
図24に示すような処理を行うことによって、認証サービス30は、認証チケット60又は追加認証チケット70の解読を行うことができる。
以下、文書管理サービス40におけるセッションの開始に係る処理の一例を、図25を用いて説明する。図25は、文書管理サービスにおけるセッションの開始に係る処理の一例を説明するための図である。
ステップS40において、文書管理サービス40は、クライアントサービス50から送信された例えば認証チケットID又は追加認証チケットIDを含んだセッションの開始リクエストを受信する。
ステップS40に続いてステップS41に進み、文書管理サービス40は、認証チケットID又は追加認証チケットIDを含んだチケットの解読リクエストを作成する。
ステップS41に続いてステップS42に進み、文書管理サービス40は、ステップS40において作成したチケットの解読リクエストを対応する認証サービス30に送信する。
ステップS42に続いてステップS43に進み、文書管理サービス40は、チケットの解読リクエストを送信した送信先である認証サービス40より、解読結果を含むチケット解読レスポンスを受信する。
ステップS43に続いてステップS44に進み、文書管理サービス40は、ステップS43において受信したチケット解読レスポンスに基づいて、ステップS40において受信したセッションの開始リクエストに含まれる認証チケットID又は追加認証チケットIDが、有効な認証チケットID又は追加認証チケットIDかどうかを判定する。文書管理サービス40は、有効な認証チケットID又は追加認証チケットIDであると判定すると(ステップS44においてYES)、ステップS45に進み、有効な認証チケットID又は追加認証チケットIDでないと判定すると(ステップS44においてNO)、処理を終了する。
例えば、文書管理サービス40は、ステップS43において受信したチケット解読レスポンスに含まれるパレメータに「YES」が含まれていた場合、チケットの解読が成功したものと判断し、有効な認証チケットID又は追加認証チケットIDであると判定する。一方、文書管理サービス40は、ステップS43において受信したチケット解読レスポンスに含まれるパレメータに「NO」が含まれていた場合、チケットの解読が失敗したものと判断し、有効な認証チケットID又は追加認証チケットIDでなかったと判定する。
ステップS45では、文書管理サービス40が、ステップS43において受信したチケット解読レスポンスに含まれる解読結果(例えば、認証レベル等)を含むセッション80を作成する。
ステップS45に続いてステップS46に進み、文書管理サービス40は、ステップS45において作成したセッション80を識別するセッションIDを含むセッション開始レスポンスを作成する。
ステップS46に続いてステップS47に進み、文書管理サービス40は、ステップS46において作成したセッション開始レスポンスを、要求元であるクライアントサービス50に送信する。
図25に示すような処理を行うことによって、文書管理サービス40は、認証チケット60又は追加認証チケット70に含まれる認証レベル等を含むセッション80を作成することができる。
以下、文書管理サービス40における文書のアクセスに係る処理の一例を、図26を用いて説明する。図26は、文書管理サービスにおける文書のアクセスに係る処理の一例を説明するためのフローチャートである。
ステップS50において、文書管理サービス40は、クライアントサービス50から送信された例えばセッションIDと、文書IDと、アクセス種別(例えばRead、Write等)を含んだ文書アクセスリクエストを受信する。
ステップS50に続いてステップS51に進み、文書管理サービス40は、ステップS50において受信した文書アクセスリクエストに含まれるセッションIDが有効なセッションIDかどうかを判定する。文書管理サービス40は、有効なセッションIDであると判定すると(ステップS51においてYES)、ステップS52に進み、有効なセッションIDでないと判定すると(ステップS51においてNO)、処理を終了する。
例えば、文書管理サービス40は、文書アクセスリクエストに含まれるセッションIDに基づいて、対応する有効なセッション80が存在するかどうかをチェックし、有効なセッションIDかどうかを判定する。
ステップS51に続いてステップS52に進み、文書管理サービス40は、文書アクセスリクエストに含まれるセッションIDに対応するセッション80より、ユーザ情報や、認証レベル等を取得する。
ステップS52に続いて、ステップS53に進み、文書管理サービス40は、ステップS50において受信した文書アクセスリクエストに含まれる文書IDと、ステップS52において取得したユーザ情報と認証レベルと、に基づいて、アクセス権管理テーブル90を参照し、アクセス権に係る情報をチェックする。なお、ステップS53では、文書管理サービス40が、ステップS50において受信した文書アクセスリクエストに含まれる文書IDと、ステップS52において取得したユーザ情報と、認証レベルと、に基づいて、アクセス権管理テーブル90より、対応するアクセス権に係る情報を取得するようにしてもよい。
ステップS53に続いてステップS54に進み、文書管理サービス40は、ステップS53においてチェックしたアクセス権に係る情報に基づいて、要求された文書に、要求されたアクセス種別でアクセス可能かどうかを判定する。文書管理サービス40は、アクセス可能であると判定すると(ステップS54においてYES)、ステップS55に進み、アクセス不可能であると判定すると(ステップS54においてNO)、処理を終了する。なお、ステップS53において対応するアクセス権に係る情報を、アクセス管理テーブル90より取得した場合は、文書管理サービス40は、該取得したアクセス権に係る情報と、ステップS50において取得した文書アクセスリクエストに含まれるアクセス種別と、に基づいて、要求された文書に、要求されたアクセス種別でアクセス可能か否かを判定する。
ステップS55では、文書管理サービス40が、文書IDに対応する文書に対して要求されたアクセス種別でアクセスを要求する。
ステップS55に続いてステップS56に進み、文書管理サービス40は、アクセス結果を取得する。
ステップS56に続いてステップS57に進み、文書管理サービス40は、ステップS56において取得したアクセス結果を含む文書アクセスレスポンスを作成する。
ステップS57に続いてステップS58に進み、文書管理サービス40は、ステップS57において作成した文書アクセスレスポンスを、要求元であるクライアントサービス50に送信する。
図26に示すような処理を行うことによって、文書管理サービス40は、文書に対するアクセス要求を、効率よく処理することができる。
以下、クライアントサービス50における認証及びチケット解読に係る処理の一例を、図27を用いて説明する。図27は、クライアントサービスにおける認証及びチケット解読に係る処理の一例を説明するためのフローチャートである。
ステップS60において、クライアントサービス50は、ユーザによって入力された認証に係るデータ(例えば、ユーザ名、パスワード、人差し指の指紋データ)を含む認証を行う旨の認証要求を取得する。
ステップS60に続いてステップS61に進み、クライアントサービス50は、前記認証に係るデータを含むユーザ認証リクエストを作成する。
ステップS61に続いてステップS62に進み、クライアントサービス50は、ステップS61において作成したユーザ認証リクエストを、認証サービス30に送信する。
ステップS62に続いてステップS63に進み、クライアントサービス50は、ステップS62においてユーザ認証リクエストを送信した送信先の認証サービス30より、認証チケットIDを含むユーザ認証レスポンスを受信する。
ステップS63に続いてステップS64に進み、クライアントサービス50は、認証チケット60の解読を要求するかどうか判定する。クライアントサービス50は、認証チケット60の解読を要求すると判定すると(ステップS64においてYES)、ステップS66に進み、認証チケット60の解読を要求しないと判定すると(ステップS64においてNO)、ステップS65に進む。
例えば、クライアントサービス50は、HDD39等に格納されている定義ファイル等を参照し、認証チケット60の解読を行う旨のフラグ等が立っていた場合は、認証チケット60の解読を要求すると判定する。
ステップS65では、クライアントサービス50が、認証結果(例えば、認証が成功した旨)を含む画面を作成し、表示する。
ステップS66では、クライアントサービス50が、ステップS63において受信したユーザ認証レスポンスに含まれる認証チケットIDを含む認証チケット解読リクエストを作成する。
ステップS66に続いてステップS67に進み、クライアントサービス50は、ステップS66において作成した認証チケット解読リクエストを、ステップS62においてユーザ認証リクエストを送信した送信先の認証サービス30に送信する。
ステップS67に続いてステップS68に進み、クライアントサービス50は、ステップS67において認証チケット解読リクエストを送信した送信先の認証サービス30より、認証チケット解読レスポンスを受信する。
ステップS68に続いてステップS69に進み、クライアントサービス50は、認証結果(例えば、認証が成功した旨)及びステップS68において受信した認証チケット解読レスポンスに含まれる認証レベル等を含む画面を作成し、表示する。
図27に示すような処理を行うことによって、クライアントサービス50は、認証を要求し、認証結果及び/又は認証レベルを含む画面を作成し、表示することができる。
以下、クライアントサービス50における追加認証及びチケット解読に係る処理の一例を、図28を用いて説明する。図28は、クライアントサービスにおける追加認証及びチケット解読に係る処理の一例を説明するためのフローチャートである。
ステップS70において、クライアントサービス50は、ユーザによって入力された追加認証に係るデータ(例えば、10指の指紋データ)を含む追加の認証を行う旨の追加認証要求を取得する。
ステップS71に続いてステップS72に進み、クライアントサービス50は、前記認証識別子に対応する認証チケットIDを取得する。
ステップS72に続いてステップS73に進み、クライアントサービス50は、前記追加の認証に係るデータと、ステップS71において取得した認証チケットIDとを含む追加ユーザ認証リクエストを作成する。
ステップS73に続いてステップS74に進み、クライアントサービス50は、ステップS73において作成した追加ユーザ認証リクエストを、対応する認証サービス30に送信する。
ステップS74に続いてステップS75に進み、クライアントサービス50は、ステップS74において追加ユーザ認証リクエストを送信した送信先の認証サービス30より、追加認証チケットIDを含む追加ユーザ認証レスポンスを受信する。
ステップS74に続いてステップS75に進み、クライアントサービス50は、追加認証チケット70の解読を要求するかどうか判定する。クライアントサービス50は、追加認証チケット70の解読を要求すると判定すると(ステップS75においてYES)、ステップS77に進み、追加認証チケット70の解読を要求しないと判定すると(ステップS75においてNO)、ステップS76に進む。
例えば、クライアントサービス50は、HDD39等に格納されている定義ファイル等を参照し、追加認証チケット70の解読を行う旨のフラグ等が立っていた場合は、追加認証チケット70の解読を要求すると判定する。
ステップS76では、クライアントサービス50が、追加認証結果(例えば、追加認証が成功した旨)を含む画面を作成し、表示する。
ステップS77では、クライアントサービス50が、ステップS74において受信した追加ユーザ認証レスポンスに含まれる追加認証チケットIDを含む追加認証チケット解読リクエストを作成する。
ステップS77に続いてステップS78に進み、クライアントサービス50は、ステップS77において作成した追加認証チケット解読リクエストを、ステップS73において追加ユーザ認証リクエストを送信した送信先の認証サービス30に送信する。
ステップS78に続いてステップS79に進み、クライアントサービス50は、ステップS78において追加認証チケット解読リクエストを送信した送信先の認証サービス30より、追加認証チケット解読レスポンスを受信する。
ステップS79に続いてステップS80に進み、クライアントサービス50は、追加認証結果(例えば、追加認証が成功した旨)及びステップS79において受信した追加認証チケット解読レスポンスに含まれる認証レベル等を含む画面を作成し、表示する。
図28に示すような処理を行うことによって、クライアントサービス50は、追加認証を要求し、追加認証結果及び/又は認証レベルを含む画面を作成し、表示することができる。
以下、クライアントサービス50におけるセッションの開始に係る処理の一例を、図29を用いて説明する。図29は、クライアントサービスにおけるセッションの開始に係る処理の一例を説明するためのフローチャートである。
ステップS90において、クライアントサービス50は、ユーザより、文書管理サービス40とのセッションを開始する旨の要求を取得する。
ステップS90に続いてステップS91に進み、クライアントサービス50は、クライアントサービス50において保持、管理している認証チケットID又は追加認証チケットIDの中から、対応する認証チケットID又は追加認証チケットIDを取得する。
ステップS91に続いてステップS92に進み、クライアントサービス50は、ステップS91において取得した認証チケットID又は追加認証チケットIDを含むセッション開始リクエストを作成する。
ステップS92に続いてステップS93に進み、クライアントサービス50は、ステップS92において作成したセッション開始リクエストを、対応する文書管理サービス40に送信する。
ステップS93に続いてステップS94に進み、クライアントサービス50は、ステップS93においてセッション開始リクエストを送信した送信先の文書管理サービス40より、セッションIDを含むセッション開始レスポンスを受信する。
図29に示すような処理を行うことによって、クライアントサービス50は、認証チケットID又は追加認証チケットIDを用いて文書管理サービス40とセッションを張ることができる。
以下、クライアントサービス50における文書のアクセスに係る処理の一例を、図30を用いて説明する。図30は、クライアントサービスにおける文書のアクセスに係る処理の一例を説明するためのフローチャートである。
ステップS100において、クライアントサービス50は、ユーザより、文書IDと、アクセス種別(例えばRead、Write等)を含んだ文書のアクセス要求を受け取る。
ステップS100に続いてステップS101に進み、クライアントサービス50は、クライアントサービス50において保持、管理しているセッションIDの中から、対応するセッションIDを取得する。
ステップS101に続いてステップS102に進み、クライアントサービス50は、ステップS100において取得した文書IDとアクセス種別と、ステップS101において取得したセッションIDと、を含む文書アクセスリクエストを作成する。
ステップS102に続いてステップS103に進み、クライアントサービス50は、ステップS102において作成した文書アクセスリクエストを、対応する文書管理サービス40に送信する。
ステップS103に続いてステップS104に進み、クライアントサービス50は、ステップS103において文書アクセスリクエストを送信した送信先の文書管理サービス40より、文書に対するアクセス結果を含む文書アクセスレスポンスを受信する。
ステップS104に続いてステップS105に進み、クライアントサービス50は、ステップS104において受信した文書アクセスレスポンスに含まれる文書に対するアクセス結果を含む画面を作成し、表示する。
図30に示すような処理を行うことによって、クライアントサービス50は、文書に対してアクセスを行い、アクセス結果を含む画面を作成し、表示することができる。
以下、ユーザ端末装置3に表示した認証結果に係る画面の一例を、図31を用いて説明する。図31は、ユーザ端末装置に表示した認証結果に係る画面の一例を説明するための図である。
上述したように、クライアントサービス50の表示制御部54は、例えばユーザ認証に対する認証結果及び/又は認証レベル等を含む画面を作成し、表示する。図31に示される画面には、認証した結果、認証レベルが1であった旨、また、認証レベル2にするためには、指紋認証又はICカード認証を行う必要がある旨が含まれている。該画面を見たユーザは、認証レベルを1つ上げるために、指紋認証又はICカード認証を行えばよいことがわかる。
以下、文書管理サービス40の機能構成及び文書管理サービス40における文書のアクセスに係る処理の他の例を、実施例2に示す。なお、以下では主に実施例1との相違点について示す。
以下、文書管理サービス40の他の例の機能構成を、図32を用いて説明する。図32は、文書管理サービスの他の例の機能構成図である。
図32に示されるように、文書管理サービス40は、文書管理統合部41と、セッション管理部42と、アクセス権管理部43と、文書管理部44と、秘密レベル管理部45と、を含む。
文書管理統合部41は、文書管理サービス40の全体の動作を制御する共に、クライアントサービス50及び認証サービス30に対して共通のインターフェースを提供するモジュールである。
セッション管理部42は、セッション80を管理するモジュールである。
アクセス権管理部43は、アクセス権管理テーブル90を管理するモジュールである。
文書管理部44は、文書及び後述する文書属性テーブル110を管理するモジュールである。
秘密レベル管理部45は、後述する秘密レベル管理テーブル100を管理するモジュールである。なお、秘密レベル管理テーブル100の秘密レベルの更新(又は変更)等は、秘密レベル管理部45が行う。
以下、文書管理サービス40の秘密レベル管理部45において管理される秘密レベル管理テーブル100の内部構造の一例を、図33を用いて説明する。図33は、秘密レベル管理テーブルの一例を説明するための図である。
図33に示されるように、秘密レベル管理テーブル100には、秘密レベルと、認証レベルと、が項目として含まれる。
秘密レベルには、秘密レベルが格納されている。認証レベルには、秘密レベルに対応する認証レベルが格納されている。
図33に示されるように、秘密レベル管理テーブル100では、秘密レベルに応じて、アクセスに必要な認証レベルが定義されている。例えば、文書管理サービス40の管理者等は、後述する文書属性テーブルの110の秘密レベルを文書毎に変更する代わりに、秘密レベル管理テーブル100の認証レベルを変更することによって、文書に対するセキュリティの強さ等を変更することができる。
以下、文書管理サービス40の文書管理部44において管理されている文書属性テーブル110の内部構造の一例を、図34を用いて説明する。図34は、文書属性テーブルの一例を説明するための図である。
図34に示されるように、文書属性テーブル110には、タイトルと、作成者と、秘密レベルと、が項目として含まれる。
タイトルには、タイトルが格納されている。作成者には、対応する文書の作成者のユーザID等が格納されている。秘密レベルには、対応する文書の秘密レベルが格納されている。
例えば、図34に示されるような文書属性テーブル110は、各文書毎に存在し、文書と対応付けられて、文書管理部44において管理されている。
以下、文書管理サービス40における文書のアクセスに係る処理の他の例を、図35を用いて説明する。図35は、文書管理サービスにおける文書のアクセスに係る処理の一例を説明するためのフローチャートである。
ステップS110において、文書管理サービス40は、クライアントサービス50から送信された例えばセッションIDと、文書IDと、アクセス種別(例えばRead、Write等)と、を含んだ文書アクセスリクエストを受信する。
ステップS110に続いてステップS111に進み、文書管理サービス40は、ステップS110において受信した文書アクセスリクエストに含まれるセッションIDが有効なセッションIDかどうかを判定する。文書管理サービス40は、有効なセッションIDであると判定すると(ステップS111においてYES)、ステップS112に進み、有効なセッションIDでないと判定すると(ステップS111においてNO)、処理を終了する。
例えば、文書管理サービス40は、文書アクセスリクエストに含まれるセッションIDに基づいて、対応する有効なセッション80が存在するかどうかをチェックし、有効なセッションIDかどうかを判定する。
なお、説明の簡略化のため、処理を終了するとしているが、ステップS111においてNOとなった場合、文書管理サービス40が、有効なセッションではない旨のエラーメッセージ等を含む文書アクセスレスポンスを作成し、要求元のクライアントサービス50に送信するようにしてもよい。
ステップS112では、文書管理サービス40が、文書アクセスリクエストに含まれる文書IDに基づいて、文書属性テーブル110より、文書の秘密レベルを取得する。
ステップS112に続いてステップS113に進み、文書管理サービス40は、ステップS112において取得した文書の秘密レベルに基づいて、秘密レベル管理テーブル110より、対応する認証レベル(認証レベルA)を取得する。
ステップS113に続いてステップS114に進み、文書管理サービス40は、文書アクセスリクエストに含まれるセッションIDに対応するセッション80より、認証レベル(認証レベルB)を取得する。なお、ステップS114の処理は、ステップS112の処理の前に行ってもよい。
ステップS114に続いてステップS115に進み、文書管理サービス40は、認証レベルAと、認証レベルBと、を比較し、認証レベルBが、認証レベルA以上か否かを判定する。文書管理サービス40は、認証レベルBが、認証レベルA以上であると判定すると(ステップS115においてYES)、ステップS116に進み、認証レベルBが、認証レベルA以上でないと判定すると(ステップS115においてNO)、処理を終了する。なお、説明の簡略化のため、処理を終了するとしているが、ステップS115においてNOとなった場合、文書管理サービス40が、認証レベルが足りなかった旨のエラーメッセージ等を含む文書アクセスレスポンスを作成し、要求元のクライアントサービス50に送信するようにしてもよい。
ステップS116では、文書管理サービス40が、文書アクセスリクエストに含まれるセッションIDに対応するセッション80より、ユーザ情報を取得する。なお、ステップS116の処理は、ステップS111と、ステップS115と、の間なら何処で行ってもよい。
ステップS116に続いてステップS117に進み、文書管理サービス40は、ステップS110において受信した文書アクセスリクエストに含まれる文書IDと、ステップS113において取得した認証レベル(認証レベルA)と、ステップS116において取得したユーザ情報と、に基づいて、アクセス権管理テーブル90を参照し、該アクセス権管理テーブル90より、認証レベルA以上に付与されるアクセス権に係る情報を取得する。
例えば、文書管理サービス40は、アクセス権管理テーブル90を参照し、対応する文書が、認証レベルが1でRead権限があったとしても、認証レベルAが2のときは、該Read権限を無視し、認証レベルが2以上に付与されるアクセス権に係る情報を取得する。
ステップS117に続いてステップS118に進み、文書管理サービス40は、ステップS117において取得したアクセス権に係る情報に基づいて、要求された文書に、要求されたアクセス種別でアクセス可能かどうかを判定する。文書管理サービス40は、アクセス可能であると判定すると(ステップS118においてYES)、ステップS119に進み、アクセス不可能であると判定すると(ステップS118においてNO)、処理を終了する。なお、説明の簡略化のため、処理を終了するとしているが、ステップS118においてNOとなった場合、文書管理サービス40が、アクセスできなかった旨のエラーメッセージ等を含む文書アクセスレスポンスを作成し、要求元のクライアントサービス50に送信するようにしてもよい。
ステップS119では、文書管理サービス40が、文書IDに対応する文書に対して、要求されたアクセス種別でアクセスを要求する。
ステップS119に続いてステップS120に進み、文書管理サービス40は、アクセス結果を取得する。
ステップS120に続いてステップS121に進み、文書管理サービス40は、ステップS120において取得したアクセス結果を含む文書アクセスレスポンスを作成する。
ステップS121に続いてステップS122に進み、文書管理サービス40は、ステップS121において作成した文書アクセスレスポンスを、要求元であるクライアントサービス50に送信する。
図35に示すような処理を行うことによって、文書管理サービス40は、文書に対するアクセス要求を、適切且つ効率よく処理することができる。
上述したように、本発明によれば、効率的にWebサービスが提供するオブジェクトのアクセス権に係る情報を管理することができる。
以上、本発明の好ましい実施例について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
例えば、本実施例においては、認証サービス提供サーバ1と、ユーザ端末装置3と、Webサービス提供サーバ2との間では、認証チケットID又は追加認証チケットIDを用いてやり取りを行ったが、認証チケットID又は追加認証チケットIDの変わりに認証チケット60又は追加認証チケット70を用いてやり取りを行ってもよいし、認証チケット60の一部又は追加認証チケット70の一部を用いてやり取りを行ってもよい。また、これらを暗号化してやり取りを行うようにしてもよい。
認証サービス提供サーバの一例のハードウェア構成図である。 Webサービス提供サーバの一例のハードウェア構成図である。 ユーザ端末装置の一例のハードウェア構成図である。 認証サービス提供方法、Webサービス提供方法及びWebサービス利用方法の一例を説明するための図である。 認証サービスの一例の機能構成図である。 文書管理サービスの一例の機能構成図である。 クライアントサービスの一例の機能構成図である。 認証サービスにおける認証に係る処理の一例を説明するための図である。 認証サービスにおける追加認証に係る処理の一例を説明するための図である。 認証サービスにおけるチケット解読に係る処理の一例を説明するための図である。 文書管理サービスにおけるセッションの開始に係る処理の一例を説明するための図である。 文書管理サービスにおける文書のアクセスに係る処理の一例を説明するための図である。 クライアントサービスにおける認証及びチケット解読に係る処理の一例を説明するための図である。 クライアントサービスにおける追加認証及びチケット解読に係る処理の一例を説明するための図である。 クライアントサービスにおける文書のアクセスに係る処理の一例を説明するための図である。 認証チケットの内部構造の一例を説明するための図である。 ユーザ構造体の一例を説明するための図である。 グループ情報構造体の一例を説明するための図である。 追加認証チケットの内部構造の一例を説明するための図である。 セッションの内部構造の一例を説明するための図である。 アクセス権管理テーブルの一例を説明するための図である。 認証サービスにおける認証に係る処理の一例を説明するためのフローチャートである。 認証サービスにおける追加認証に係る処理の一例を説明するためのフローチャートである。 認証サービスにおけるチケット解読に係る処理の一例を説明するためのフローチャートである。 文書管理サービスにおけるセッションの開始に係る処理の一例を説明するための図である。 文書管理サービスにおける文書のアクセスに係る処理の一例を説明するためのフローチャートである。 クライアントサービスにおける認証及びチケット解読に係る処理の一例を説明するためのフローチャートである。 クライアントサービスにおける追加認証及びチケット解読に係る処理の一例を説明するためのフローチャートである。 クライアントサービスにおけるセッションの開始に係る処理の一例を説明するためのフローチャートである。 クライアントサービスにおける文書のアクセスに係る処理の一例を説明するためのフローチャートである。 ユーザ端末装置に表示した認証結果に係る画面の一例を説明するための図である。 文書管理サービスの他の例の機能構成図である。 秘密レベル管理テーブルの一例を説明するための図である。 文書属性テーブルの一例を説明するための図である。 文書管理サービスにおける文書のアクセスに係る処理の他の例を説明するためのフローチャートである。
符号の説明
1 認証サービス提供サーバ
2 Webサービス提供サーバ
3 ユーザ端末装置
11、21、31 入力装置
12、22、32 表示装置
13、23、33 ドライブ装置
14、24、34 記録媒体
15、25、35 ROM(Read Only Memory)
16、26、36 RAM(Random Access Memory)
17、27、37 CPU(Central Processing Unit)
18、28、38 インターフェース装置
19、29、39 HDD(Hard Disk Drive)
30 認証サービス
31 認証統合部
32 認証レベル計算部
33 チケット管理部
34 認証プロバイダA
35 認証プロバイダB
40 文書管理サービス
41 文書管理統合部
42 セッション管理部
43 アクセス権管理部
44 文書管理部
45 秘密レベル管理部
50 クライアントサービス
51 クライアント統合部
52 チケットID管理部
53 入力制御部
54 表示制御部
60 認証チケット
70 追加認証チケット
80 セッション
90 アクセス権管理テーブル
100 秘密レベル管理テーブル
110 文書属性テーブル

Claims (10)

  1. 文書サービスを提供するサービス提供手段を有するサービス提供装置と、前記文書サービスを利用するサービス利用手段を有するユーザ端末装置と、前記ユーザ端末装置が前記サービス提供手段の文書サービスの利用に係る認証サービスを提供する認証サービス提供装置と、を含み構成されるサービス提供システムであって、
    前記ユーザ端末装置は、
    前記認証サービス提供装置に対し、複数のユーザ認証情報を含むユーザ認証要求を送信する手段と、
    前記認証サービス提供装置から、ユーザ認証要求の結果として認証レベルを受信する手段と、
    前記サービス提供装置に対し、ユーザを識別するユーザ識別子と、アクセスする文書を識別する文書識別子と、該文書に対する処理要求内容と、受信した認証レベルとの情報を含む文書アクセス要求を送信する手段と、
    を有し、
    前記認証サービス提供装置は、
    前記ユーザ端末装置からのユーザ認証要求に含まれた複数のユーザ認証情報に基づいてユーザ認証情報毎にユーザ認証を行うとともに、該ユーザ認証されたときにユーザ認証毎に対して予め与えられた認証レベルを複数取得し、該複数の認証レベルに基づいて1の認証レベルを計算する手段と、
    前記ユーザ端末装置に対し、該1の認証レベルをユーザ認証要求の結果として送信する手段と、
    を有し、
    前記サービス提供装置は、
    ユーザを識別する複数のユーザ識別子と、文書を識別する複数の文書識別子と、ユーザ識別子毎及び文書識別子毎に規定された該文書に対する複数の処理内容と、該処理内容の処理を該文書に行うために必要な認証レベルとを対応付けて記憶したテーブルを記憶した手段と、
    前記ユーザ端末装置から前記文書アクセス要求を受信すると、前記テーブルを参照し、該文書アクセス要求に含まれたユーザ識別子、文書識別子及び認証レベルと対応付けられている文書に対する処理内容を取得し、取得した文書に対する処理内容が、該文書アクセス要求に含まれた文書に対する処理要求内容を満たす場合、該文書に対する処理を許可し実行する手段と、
    を有することを特徴とするサービス提供システム。
  2. 前記ユーザ端末装置は、
    前記認証サービス提供装置から受信した認証レベルを表示する手段と、
    前記認証サービス提供装置に対し、前記複数のユーザ認証情報とは異なる他のユーザ認証情報と、ユーザ認証要求の結果として受信した認証レベルとを含むユーザ認証要求を送信する手段と、
    を有し、
    前記認証サービス提供装置は、
    前記ユーザ端末装置からのユーザ認証要求に含まれた前記他のユーザ認証情報に基づいてユーザ認証を行うとともに、ユーザ認証されたときに該ユーザ認証に対して予め与えられた認証レベルを取得し、該認証レベルと、ユーザ認証要求に含まれた認証レベルとに基づいて1の認証レベルを再計算する手段と、
    を有することを特徴とする請求項1記載のサービス提供システム。
  3. 前記計算する手段は、前記複数の認証レベルのうち、最も大きい認証レベルの値を、前記1の認証レベルとして計算すること、
    を特徴とする請求項1又は2記載のサービス提供システム。
  4. 前記計算する手段は、前記複数の認証レベルの値の合計値を、前記1の認証レベルとして計算すること、
    を特徴とする請求項1又は2記載のサービス提供システム。
  5. 前記計算する手段は、前記ユーザ認証情報に応じて前記複数の認証レベルをカテゴリに分類し、各カテゴリ内の最も大きい認証レベルの値の合計値を、前記1の認証レベルとして計算すること、
    を特徴とする請求項1又は2記載のサービス提供システム。
  6. 文書サービスを利用するサービス利用手段を有するユーザ端末装置と、前記ユーザ端末装置が前記文書サービスの利用に係る認証サービスを提供する認証サービス提供装置とネットワークを介し接続され、文書サービスを提供するサービス提供手段を有するサービス提供装置であって、
    ユーザを識別する複数のユーザ識別子と、文書を識別する複数の文書識別子と、ユーザ識別子毎及び文書識別子毎に規定された該文書に対する複数の処理内容と、該処理内容の処理を該文書に行うために必要な認証レベルとを対応付けて記憶したテーブルを記憶した手段と、
    前記ユーザ端末装置から、ユーザを識別するユーザ識別子と、アクセスする文書を識別する文書識別子と、該文書に対する処理要求内容と、認証レベルとの情報を含む文書アクセス要求を受信する手段と、
    前記ユーザ端末装置から文書アクセス要求を受信すると、前記テーブルを参照し、該文書アクセス要求に含まれたユーザ識別子、文書識別子及び認証レベルと対応付けられている文書に対する処理内容を取得し、取得した文書に対する処理内容が、該文書アクセス要求に含まれた文書に対する処理要求内容を満たす場合、該文書に対する処理を許可し実行する手段と、
    を有することを特徴とするサービス提供装置。
  7. 文書サービスを提供するサービス提供手段を有するサービス提供装置と、前記文書サービスを利用するサービス利用手段を有するユーザ端末装置と、前記ユーザ端末装置が前記サービス提供手段の文書サービスの利用に係る認証サービスを提供する認証サービス提供装置と、を含み構成されるサービス提供システムにおけるサービス提供方法であって、
    前記ユーザ端末装置は、
    前記認証サービス提供装置に対し、複数のユーザ認証情報を含むユーザ認証要求を送信する段階と、
    前記認証サービス提供装置から、ユーザ認証要求の結果として認証レベルを受信する段階と、
    前記サービス提供装置に対し、ユーザを識別するユーザ識別子と、アクセスする文書を識別する文書識別子と、該文書に対する処理要求内容と、受信した認証レベルとの情報を含む文書アクセス要求を送信する段階と、
    を有し、
    前記認証サービス提供装置は、
    前記ユーザ端末装置からのユーザ認証要求に含まれた複数のユーザ認証情報に基づいてユーザ認証情報毎にユーザ認証を行うとともに、該ユーザ認証されたときにユーザ認証毎に対して予め与えられた認証レベルを複数取得し、該複数の認証レベルに基づいて1の認証レベルを計算する段階と、
    前記ユーザ端末装置に対し、該1の認証レベルをユーザ認証要求の結果として送信する段階と、
    を有し、
    前記サービス提供装置は、
    ユーザを識別する複数のユーザ識別子と、文書を識別する複数の文書識別子と、ユーザ識別子毎及び文書識別子毎に規定された該文書に対する複数の処理内容と、該処理内容の処理を該文書に行うために必要な認証レベルとを対応付けて記憶したテーブルを記憶した手段を有し、
    前記ユーザ端末装置から前記文書アクセス要求を受信すると、前記テーブルを参照し、該文書アクセス要求に含まれたユーザ識別子、文書識別子及び認証レベルと対応付けられている文書に対する処理内容を取得し、取得した文書に対する処理内容が、該文書アクセス要求に含まれた文書に対する処理要求内容を満たす場合、該文書に対する処理を許可し実行する段階と、
    を有することを特徴とするサービス提供方法。
  8. 文書サービスを利用するサービス利用手段を有するユーザ端末装置と、前記ユーザ端末装置が前記文書サービスの利用に係る認証サービスを提供する認証サービス提供装置とネットワークを介し接続され、文書サービスを提供するサービス提供手段を有するサービス提供装置におけるサービス提供方法であって、
    前記サービス提供装置が、
    ユーザを識別する複数のユーザ識別子と、文書を識別する複数の文書識別子と、ユーザ識別子毎及び文書識別子毎に規定された該文書に対する複数の処理内容と、該処理内容の処理を該文書に行うために必要な認証レベルとを対応付けて記憶したテーブルを記憶した手段を有し、
    前記ユーザ端末装置から、ユーザを識別するユーザ識別子と、アクセスする文書を識別する文書識別子と、該文書に対する処理要求内容と、認証レベルとの情報を含む文書アクセス要求を受信する段階と、
    前記ユーザ端末装置から文書アクセス要求を受信すると、前記テーブルを参照し、該文書アクセス要求に含まれたユーザ識別子、文書識別子及び認証レベルと対応付けられている文書に対する処理内容を取得し、取得した文書に対する処理内容が、該文書アクセス要求に含まれた文書に対する処理要求内容を満たす場合、該文書に対する処理を許可し実行する段階と、
    を有することを特徴とするサービス提供方法。
  9. 請求項記載のサービス提供方法をコンピュータに実行させるためのサービス提供プログラム。
  10. 請求項記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
JP2004319692A 2003-11-12 2004-11-02 サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体 Expired - Fee Related JP4738791B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004319692A JP4738791B2 (ja) 2003-11-12 2004-11-02 サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体
US10/983,030 US20050193211A1 (en) 2003-11-12 2004-11-08 Management of user authentication information together with authentication level
CN200410103766.9A CN1674498A (zh) 2003-11-12 2004-11-12 用户验证信息与验证等级的管理

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2003382760 2003-11-12
JP2003382760 2003-11-12
JP2004319692A JP4738791B2 (ja) 2003-11-12 2004-11-02 サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体

Publications (2)

Publication Number Publication Date
JP2005166024A JP2005166024A (ja) 2005-06-23
JP4738791B2 true JP4738791B2 (ja) 2011-08-03

Family

ID=34741705

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004319692A Expired - Fee Related JP4738791B2 (ja) 2003-11-12 2004-11-02 サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体

Country Status (3)

Country Link
US (1) US20050193211A1 (ja)
JP (1) JP4738791B2 (ja)
CN (1) CN1674498A (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9614772B1 (en) 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
JP4095639B2 (ja) * 2004-12-22 2008-06-04 キヤノン株式会社 画像処理装置及び画像処理装置の制御方法
WO2006084960A1 (fr) * 2005-02-10 2006-08-17 France Telecom Systeme de selection automatique d’authentification
EP1915009B1 (en) * 2005-07-28 2015-12-02 Kyocera Corporation Communication method, communication system, and communication terminal
WO2007023756A1 (ja) * 2005-08-24 2007-03-01 Nec Corporation 本人認証システム、ユーザ端末、サービス事業者装置、信頼性保証サーバ、これらの動作方法と動作プログラム
JP4572151B2 (ja) * 2005-09-14 2010-10-27 Necビッグローブ株式会社 セッション管理装置、セッション管理方法、セッション管理プログラム
US7921456B2 (en) * 2005-12-30 2011-04-05 Microsoft Corporation E-mail based user authentication
JP4838610B2 (ja) * 2006-03-24 2011-12-14 キヤノン株式会社 文書管理装置、文書管理方法、プログラム
JP4913457B2 (ja) * 2006-03-24 2012-04-11 株式会社野村総合研究所 認証強度の異なるサーバに対応した連携型認証方法及びシステム
JP4903079B2 (ja) 2006-04-25 2012-03-21 株式会社リコー スキャン文書管理システム
US8032922B2 (en) * 2006-12-18 2011-10-04 Oracle International Corporation Method and apparatus for providing access to an application-resource
JP5002259B2 (ja) * 2006-12-25 2012-08-15 パナソニック株式会社 認証システム
US8205790B2 (en) * 2007-03-16 2012-06-26 Bank Of America Corporation System and methods for customer-managed device-based authentication
US8656472B2 (en) * 2007-04-20 2014-02-18 Microsoft Corporation Request-specific authentication for accessing web service resources
US8418222B2 (en) * 2008-03-05 2013-04-09 Microsoft Corporation Flexible scalable application authorization for cloud computing environments
US8196175B2 (en) * 2008-03-05 2012-06-05 Microsoft Corporation Self-describing authorization policy for accessing cloud-based resources
US9832069B1 (en) 2008-05-30 2017-11-28 F5 Networks, Inc. Persistence based on server response in an IP multimedia subsystem (IMS)
EP2413261A4 (en) * 2009-03-24 2013-12-25 Nec Corp COMPUTING DEVICE, COMPUTING PROCESS, PROGRAM AND MEDIATION SYSTEM
JP2011081768A (ja) * 2009-09-14 2011-04-21 Ricoh Co Ltd 画像処理装置、情報処理方法、及びプログラム
JP5564968B2 (ja) * 2010-02-05 2014-08-06 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
NL1037813C2 (en) * 2010-03-18 2011-09-20 Stichting Bioxs System and method for checking the authenticity of the identity of a person logging into a computer network.
CN102281141B (zh) * 2011-07-26 2013-11-06 华为数字技术(成都)有限公司 一种文档权限管理方法、装置及系统
CN102497354A (zh) * 2011-11-08 2012-06-13 陈嘉贤 用于对用户身份进行认证的方法、系统及其使用的设备
JP5414774B2 (ja) * 2011-12-05 2014-02-12 株式会社野村総合研究所 認証強度の異なるサーバに対応した連携型認証方法及びシステム
JP6099384B2 (ja) * 2012-12-17 2017-03-22 三菱電機株式会社 情報通信システム及び認証装置及び情報通信システムのアクセス制御方法及びアクセス制御プログラム
US20150106883A1 (en) * 2013-10-10 2015-04-16 Fharo Miller System and method for researching and accessing documents online
US9699160B2 (en) 2014-01-10 2017-07-04 Verato, Inc. System and methods for exchanging identity information among independent enterprises which may include person enabled correlation
US9705870B2 (en) 2014-01-10 2017-07-11 Verato, Inc. System and methods for exchanging identity information among independent enterprises
US9306930B2 (en) 2014-05-19 2016-04-05 Bank Of America Corporation Service channel authentication processing hub
US9836594B2 (en) 2014-05-19 2017-12-05 Bank Of America Corporation Service channel authentication token
GB2529632A (en) * 2014-08-26 2016-03-02 Ibm Authentication management
WO2016206059A1 (zh) * 2015-06-25 2016-12-29 宇龙计算机通信科技(深圳)有限公司 指纹验证方法、指纹验证装置和终端
US10218698B2 (en) * 2015-10-29 2019-02-26 Verizon Patent And Licensing Inc. Using a mobile device number (MDN) service in multifactor authentication
US10671712B1 (en) 2017-03-01 2020-06-02 United Services Automobile Association (Usaa) Virtual notarization using cryptographic techniques and biometric information
US11762975B2 (en) 2018-02-01 2023-09-19 Equifax Inc. Verification of access to secured electronic resources
JP7332079B1 (ja) 2023-04-03 2023-08-23 日本電気株式会社 端末、システム、端末の制御方法及びプログラム
KR102621560B1 (ko) * 2023-05-15 2024-01-08 주식회사 디지털존 증명서 발급 시스템을 이용한 인증 장치 및 그것의 제어 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63191226A (ja) * 1987-02-03 1988-08-08 Ricoh Co Ltd B↑+tree上における同時実行制御方式
US6178505B1 (en) * 1997-03-10 2001-01-23 Internet Dynamics, Inc. Secure delivery of information in a network
JPH1125045A (ja) * 1997-06-30 1999-01-29 Nec Corp アクセス制御方法とその装置及び属性証明書発行装置並びに機械読み取り可能な記録媒体
JP2001155161A (ja) * 1999-11-30 2001-06-08 Canon Inc 署名認証装置、署名認証方法、及び署名認証プログラムを格納した記憶媒体
JP2001256193A (ja) * 2000-03-13 2001-09-21 Nippon Telegr & Teleph Corp <Ntt> コンテンツ流通管理方法および装置とコンテンツ流通管理プログラムを記録した記録媒体
JP2001306521A (ja) * 2000-04-20 2001-11-02 Nec Corp 属性別アクセス制御方法及びシステム並びに認証用プログラム又はアクセス制御用データを記憶した記憶媒体
JP2002288135A (ja) * 2001-03-23 2002-10-04 Matsushita Electric Ind Co Ltd ユーザ情報アクセス制御装置
JP2003006161A (ja) * 2001-06-20 2003-01-10 Mitsubishi Electric Corp クライアントコンピュータにサービスを提供するサーバ、サービスを提供する方法およびサービスを提供するためのプログラム
JP3668175B2 (ja) * 2001-10-24 2005-07-06 株式会社東芝 個人認証方法、個人認証装置および個人認証システム
JP2003296770A (ja) * 2002-04-03 2003-10-17 Hitachi Ltd 入出場管理システム

Also Published As

Publication number Publication date
US20050193211A1 (en) 2005-09-01
JP2005166024A (ja) 2005-06-23
CN1674498A (zh) 2005-09-28

Similar Documents

Publication Publication Date Title
JP4738791B2 (ja) サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体
US6510236B1 (en) Authentication framework for managing authentication requests from multiple authentication devices
US7774611B2 (en) Enforcing file authorization access
CN1681238B (zh) 用于加密通信的密钥分配方法及系统
TWI438642B (zh) 供應數位身份表徵的系統及方法
RU2417422C2 (ru) Услуга распределенной единой регистрации в сети
US20090271635A1 (en) Methods and systems for authentication
JP5604176B2 (ja) 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム
JP4173866B2 (ja) 通信装置
US20100095127A1 (en) Tunable encryption system
US20040186880A1 (en) Management apparatus, terminal apparatus, and management system
JP2005527909A (ja) 電子メールアドレスとハードウェア情報とを利用したユーザ認証方法及びシステム
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
CN101547202B (zh) 处理网络上的装置的安全等级的方法和设备
WO2001043344A1 (en) System and method for generating and managing attribute certificates
WO2021107755A1 (en) A system and method for digital identity data change between proof of possession to proof of identity
Chen et al. A self-sovereign decentralized identity platform based on blockchain
CN112383401A (zh) 一种提供身份鉴别服务的用户名生成方法及系统
JPH05298174A (ja) 遠隔ファイルアクセスシステム
US20060136425A1 (en) Data-centric distributed computing
US20030163707A1 (en) Information management apparatus and method
US20070101125A1 (en) Method of authorising a computing entity
JP5161053B2 (ja) ユーザ認証方法、ユーザ認証システム、サービス提供装置、及び認証制御装置
US20060248578A1 (en) Method, system, and program product for connecting a client to a network
US7716481B2 (en) System and method for secure exchange of trust information

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110311

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110427

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140513

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees