[go: up one dir, main page]

JP5751029B2 - 認証装置、プログラムおよび記録媒体 - Google Patents

認証装置、プログラムおよび記録媒体 Download PDF

Info

Publication number
JP5751029B2
JP5751029B2 JP2011124896A JP2011124896A JP5751029B2 JP 5751029 B2 JP5751029 B2 JP 5751029B2 JP 2011124896 A JP2011124896 A JP 2011124896A JP 2011124896 A JP2011124896 A JP 2011124896A JP 5751029 B2 JP5751029 B2 JP 5751029B2
Authority
JP
Japan
Prior art keywords
item
item value
authentication
synchronization
scheduled
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011124896A
Other languages
English (en)
Other versions
JP2012252540A (ja
Inventor
純 太田
純 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2011124896A priority Critical patent/JP5751029B2/ja
Priority to US13/476,295 priority patent/US8621565B2/en
Publication of JP2012252540A publication Critical patent/JP2012252540A/ja
Application granted granted Critical
Publication of JP5751029B2 publication Critical patent/JP5751029B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

本発明は、認証サービスに関し、より詳細には、認証装置間でデータ同期を効率的に行うための認証装置、プログラムおよび記録媒体に関する。
従来、大規模な組織においては、認証サービスやディレクトリ・サービスに関して、マスタとなるマスタ認証サーバに対して、中間層となる認証サーバを1以上準備することにより、認証サーバの冗長化が行われている。冗長化されたシステムでは、例えば複合機、ネットワーク装置、アプリケーションなどのクライアントは、マスタ認証サーバから直接サービスを受ける代わりに、中間層の認証サーバからサービスを受けることができるよう構成されている。これにより、データ取得の高速化、効率化および耐障害性の向上が図られる。
しかしながら、複数の認証サーバが設けられる冗長化システムでは、各認証サーバで保持する情報の整合性を維持する必要がある。このため、マスタ認証サーバと中間層の認証サーバとの間で適切にデータ同期を行う必要がある。
上述したデータ同期は、効率的に行うことが求められるが、データ同期に関連して、種々の従来技術が知られる。例えば特開2011−48549号公報(特許文献1)は、データ保護ポリシの更新を行うにあたり同期で更新されないデータに関するデータ保護ポリシがマスタ・コンピュータで変更されている場合に、スレーブ・コンピュータで当該変更がされているデータ保護ポリシの同期を行う構成を開示する。
特開2003−296172号公報(特許文献2)は、データベースの同期を取るためのネットワーク・トラフィックを低減することを目的とした文書管理装置を開示する。この文書管理装置は、第1の文書管理データベースに格納されたオブジェクトの参照関係情報を検出する検出機能と、その検出機能に参照関係情報が検出されたレコードを第1の文書管理データベースから取得して第2の文書管理データベースに同期させる機能とを実現する。
しかしながら、従来技術の認証サービスにおけるデータ同期では、中間層の認証サーバがマスタ認証サーバ上のデータと同期する方法が固定されており、要求される同期の間隔が異なるなどデータの重要性にかかわらず、一律に同期が行われていた。同期間隔を短くする必要のないデータが、重要度の高いデータの更新に併せて一律に同期されると、余分なデータトラフィックを発生させてしまうことになりかねない。このように、従来技術の認証サービスにおけるデータ同期は、データ同期の効率性の観点から、充分なものではなかった。
データ同期に関連して、上記特許文献1および特許文献2の従来技術も知られているが、いずれも、上述したデータに要求される同期間隔のレベルを考慮するものではなく、認証処理に関するデータ同期の効率を向上する観点から、充分とはいえなかった。
本発明は、上記従来技術における不充分な点に鑑みてなされたものであり、本発明は、外部の認証装置と連携して情報処理装置を認証する認証装置と該外部の認証装置とのデータ同期に関して、要求される同期間隔が異なる複数のレベルの情報を、適切な同期機構を利用して、適時に同期することにより、高効率、かつ、高品質なデータ同期が実現可能な認証装置、プログラムおよび記録媒体を提供することを目的とする。
本発明では、上記課題を解決するために、以下の特徴を有する、外部の認証装置と連携して情報処理装置を認証する認証装置を提供する。本認証装置は、情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段と、認証が行われることに応答して、都度同期する項目として設定された項目名に対応する項目値を外部の認証装置から取得する都度項目値取得手段と、都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段とを含む。上記都度項目値取得手段および都度項目値更新手段は、通常とは異なる要求の都度同期する同期機構を提供する。本認証装置は、さらに、上記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段と、上記認証手段より得られた認証結果と項目値セット取得手段により得られた項目値セットとを情報処理装置に返却する返却手段とを含む。
本発明では、さらに、コンピュータを上記各手段として機能させる、外部の認証装置と連携して情報処理装置を認証する認証装置をコンピュータ上に実現するためのコンピュータ実行可能なプログラムを提供することができる。さらに、本発明では、上記プログラムをコンピュータ可読に格納する記録媒体を提供することができる。
上記構成によれば、当該認証装置が外部の認証装置とデータ同期をする際に、提供する情報のうちの都度同期する項目を区分し、該項目に対応して要求に応じて都度同期するデータ同期機構が別途準備される。これにより、クライアントからのサービス要求に応答して一のレベルの情報を都度同期し、他のレベルの情報と異なるデータ同期機構で同期することが可能となる。これにより、同期されるデータの品質および効率を両立させることが可能となる。
本実施形態の認証システムを示す概略図。 本実施形態による中間層認証サーバ装置のハードウェア構成図。 本実施形態による認証システムの機能ブロック図。 (A)予定同期項目登録テーブル、(B)都度同期項目登録テーブル、(C,E)タスクスケジューラが管理するスケジュール、(D)予定同期項目および都度同期項目を登録するテーブルのデータ構造を示す図。 本実施形態の中間層認証サーバ装置が実行する認証要求時のデータ同期処理を示すフローチャート。 本実施形態の中間層認証サーバ装置が実行するスケジュールに従ったデータ同期処理を示すフローチャート。 (A)マスタデータベースに保持されるエントリ、(B,C)ローカル・データベースに保持されているエントリのデータ構造を示す図。 本実施形態による都度同期項目値および予定同期項目値の設定機能に関連する機能ブロック図。 本実施形態による同期項目設定データを設定するための管理画面を例示する図。
以下、本発明の実施形態について説明するが、本発明の実施形態は、以下に説明する実施形態に限定されるものではない。なお、以下に説明する実施形態では、マスタ認証サーバ装置と、中間層認証サーバ装置とを含み構成される認証システムを用いて説明する。
図1は、本実施形態の認証システムを示す概略図である。図1に示す認証システム100は、マスタ認証サーバ装置110と、1以上の中間層認証サーバ装置120と、認証サービスにおいてクライアントとなる1以上の複数の装置150〜154と、管理端末160とを含む。これらの装置110,120,150〜154,160は、ネットワーク102を介して相互接続されている。
マスタ認証サーバ装置110および中間層認証サーバ装置120は、それぞれ、クライアントに対し認証サービスないしディレクトリ・サービスを提供するサーバ機能を備える。認証サービスないしディレクトリ・サービスのプロトコルとしては、LDAP(Lightweight Directory Access Protocol)などが代表的であり、その他、既知の汎用プロトコルまたは独自プロトコルを対象とすることができる。
マスタ認証サーバ装置110は、認証情報およびディレクトリ情報を含むアカウント情報のマスタデータを保有する。マスタ認証サーバ装置110は、クライアントとなる装置150〜154からのアカウント認証要求に応答し、上述したアカウント情報を用いて、アカウント認証を行い、情報を提供することができる。アカウント情報の追加、変更および削除は、マスタ認証サーバ装置110上のマスタデータに対して行われる。なお、マスタ認証サーバ装置110は、本実施形態における外部の認証装置を構成する。
中間層認証サーバ装置120は、マスタ認証サーバ装置110が保有するマスタデータのレプリカデータを保有する。中間層認証サーバ装置120は、マスタ認証サーバ装置110の代わりに、クライアントとなる装置150〜154からの認証要求を受け付けて、マスタ認証サーバ装置110と連携してアカウント認証を行う。中間層認証サーバ装置120a,120bと、マスタ認証サーバ装置110との間では、詳細は後述する本実施形態のデータ同期機構により、アカウント情報のデータ同期が適時に行われる。これにより、サービスの負荷分散、高速化および冗長化が図られる。なお、中間層認証サーバ装置120は、本実施形態における、上記外部の認証装置と連携して情報処理装置を認証する認証装置を構成する。
複合機150、プリンタ152、パーソナル・コンピュータ154は、それぞれ、上述した認証サービスないしディレクトリ・サービスの提供を受けるクライアントとなる装置である。以下、これらの装置150〜154を総称してクライアント150〜154と参照する。クライアント150〜154は、それぞれ、各クライアントを操作する利用者から、ユーザ名およびパスワードやIC認証カード情報などアカウント認証情報の入力を受け付けて、サーバ装置110,120に対し、認証処理を要求する。マスタ認証サーバ装置110および1以上の中間層認証サーバ装置120のいずれに認証要求が行われるかは、特に限定されるものではないが、予めクライアント毎に主となる認証要求先を定めておいてもよいし、ロードバランサ等を用いて振り分けるよう構成されていてもよい。
クライアントとしては、図1には、複合機150a,150b、プリンタ152a,152b、パーソナル・コンピュータ154a,154bを例示するが、特にこれに限定されるものではない。クライアントとしては、ワークステーションやサーバなどのその他の汎用コンピュータ装置、スマートフォンやPDA(Personal Digital Assistance)などの携帯情報端末、ファクシミリなどの画像通信装置といった、認証サービスにアクセスするアプリケーションが動作する種々の情報処理装置を採用することができる。またクライアントの数は、特に限定されるものではなく、1または複数備えることができる。
管理端末160は、マスタ認証サーバ装置110にリモートでアクセスし、アカウント情報の追加、変更、削除等を行うための端末である。管理端末160は、さらに、中間層認証サーバ装置120にリモートでアクセスし、データ同期に関連した各種設定を行うために使用される。
上記ネットワーク102は、特に限定されるものではないが、イーサネット(登録商標)やTCP/IP(Transmission Control Protocol / Internet Protocol)などのトランザクション・プロトコルによるLAN(Local Area Network)、VPN(Virtual Private Network)や専用線を使用して接続されるWAN(Wide Area Network)などとして構成することができる。
図2は、本実施形態による中間層認証サーバ装置120のハードウェア構成を示す図である。中間層認証サーバ装置120は、マイクロプロセッサ・ユニット(MPU)12と、BIOS(Basic Input Output System)を格納する不揮発性メモリ14と、MPU12によるプログラム処理を可能とする実行記憶空間を提供するメモリ16とを含む。MPU12は、起動時に、不揮発性メモリ14からBIOSを読み出し、システム診断を行なうとともに入出力装置26の管理を行う。
MPU12は、また、内部バス22を介して記憶制御用インタフェース18に接続される。記憶制御用インタフェース18としては、IDE(Integrated Device Electronics)、ATA(AT Attachment)、SATA、eSATAなどの規格により、ハードディスク20の入出力を管理するインタフェースを使用することができる。ハードディスク20は、MPU12からの入出力要求に応答してデータの書込または読み出しを実行する。なお、本実施形態において、ハードディスク20は、アカウント情報を保持するローカル用のデータベースの記憶領域を構成する。
MPU12は、さらに、内部バス22を介してUSB、IEEE1164などのシリアルまたはパラレル・インタフェース24を制御して、キーボード、マウス、プリンタなどの入出力装置26と通信し、ユーザからの入力を受け取ることができる。
中間層認証サーバ装置120は、さらに、VRAM28とグラフィック・チップ30とを含んで構成することができる。グラフィック・チップ30は、MPU12からの指令に応答して、ビデオ信号を処理し、ディスプレイ装置32へと表示させる。本認証システム100の管理者は、上記ディスプレイ装置32および入出力装置26を介して、中間層認証サーバ装置120に対し、コンソールから各種設定を行うことができる。
MPU12は、また、内部バス22を介してネットワークI/F(NIC;Network Interface Card)34と接続される。これにより、ネットワーク102を通して、中間層認証サーバ装置120は、クライアント150〜154、管理端末160などの外部装置と通信することができる。また、管理者は、上記ネットワークI/F34を介して、中間層認証サーバ装置120に対し、リモートで各種設定を行うことができる。
中間層認証サーバ装置120は、不揮発性メモリ14やハードディスク20などの記憶装置に格納されたプログラム(図示せず)を読み出し、メモリ16のメモリ領域に展開する。これにより、中間層認証サーバ装置120は、適切なオペレーティング・システム(OS)の下、後述する各機能手段および各処理を実現する。上記OSとしては、Windows(登録商標)、UNIX(登録商標)またはLINUX(登録商標)など、如何なるアーキテクチャを有するOSを採用することができる。
なお、詳細な説明は割愛するが、本実施形態におけるマスタ認証サーバ装置110、クライアントのパーソナル・コンピュータ154および管理端末160についても、図2に示すハードウェア構成と同様の構成とすることができる。この場合、ハードウェア構成は、特定の用途に応じて、コンポーネントを追加または削除されてもよい。複合機150および152については、詳細なハードウェア構成の説明は割愛するが、既知の如何なるハードウェア構成を採用することができる。
以下、図3〜図7を参照しながら、本実施形態によるマスタ認証サーバ装置110および中間層認証サーバ装置120間で行われる、データ同期処理について説明する。図3は、本実施形態による認証システム100の機能ブロック図である。図3には、マスタ認証サーバ装置110上に実現される機能ブロックと、中間層認証サーバ装置120上に実現される機能ブロックとが示されている。
図3に示すように、マスタ認証サーバ装置110は、マスタデータベース112と、認証処理部114と、項目値提供部116とを含む。マスタデータベース112は、アカウント情報のマスタデータを格納するデータベースである。マスタデータベース112は、ハードディスク20などの永続的な記憶領域として提供される。
認証処理部114は、中間層認証サーバ装置120がクライアント150〜154から受け取った認証要求を処理する際に、中間層認証サーバ装置120からの要求を受けて、アカウント認証をし、認証結果を返却する機能部である。項目値提供部116は、中間層認証サーバ装置120とデータ同期するため、中間層認証サーバ装置120にアカウント情報を提供する機能部である。
なお、図3は、中間層認証サーバ装置120から開始されるデータ同期に関連する機能ブロック中心に示すものである。マスタ認証サーバ装置110自体がクライアント150〜154から認証要求を受信してアカウント認証するための機能部については、図3からは省略されていることに留意されたい。
図3に示す中間層認証サーバ装置120上の機能ブロックを参照すると、中間層認証サーバ装置120は、ローカル・データベース122と、タスクスケジューラ124と、同期実行部126と、認証実行部132とを含む。ローカル・データベース122は、上述したマスタデータベース112内のマスタデータのレプリカを格納する、当該中間層認証サーバ装置120が直接アクセス可能なデータベースである。ローカル・データベース122は、図2に示したハードディスク20などの永続的な記憶領域として提供される。
本実施形態において、認証サービスないしディレクトリ・サービスに関連するデータ同期は、少なくとも2つのデータ同期機構を利用して実施される。タスクスケジューラ124および同期実行部126は、第1のデータ同期機構を実現するための機能部である。タスクスケジューラ124は、第1のデータ同期機構によるデータ同期を実施するスケジュールを管理する。タスクスケジューラ124は、予め設定されたスケジュールに従って、定期的または不定期に同期実行部126を呼び出す。同期実行部126は、上記タスクスケジューラ124からの呼び出しに応答して、予定に従ったデータ同期処理を実施する。
同期実行部126は、より詳細には、項目値取得部128と、項目値更新部130とを含み構成される。ここで、項目値とは、認証サーバ装置110,120がクライアント150〜154に対し提供するユーザ名、ユーザ表示名、電子メールアドレス、ファクシミリ番号、固定電話番号、IP電話番号、会社の電話番号、自宅の電話番号、グループメンバシップ、公開キー、社員番号、オフィス、自宅住所、写真、アクセス制御情報などクライアントに提供する種々の情報を含む。その他、同期される項目値としては、パスワード、ICカード認証データ、生態認証データなどの認証情報を含んでいてもよい。以下、予定に従ったデータ同期を行うための同期実行部126が備える項目値取得部128および項目値更新部130を、それぞれ、予定項目値取得部128および予定項目値更新部130と参照する。
予定項目値取得部128は、予定に従いデータ同期を行うものとして予め設定された項目について、マスタ認証サーバ装置110に対し項目値を要求して、取得する。以下、予定に従いデータ同期を行うものとして予め設定される項目を予定同期項目と参照する。予定同期項目は、通常、クライアントからの認証処理において必要性の低いデータとすることができ、電子メールアドレス、ファクシミリ番号、電話番号その他利用権限の決定に影響しないデータを挙げることができる。予定項目値更新部130は、予定項目値取得部128が取得した各予定同期項目の項目値でローカル・データベース122のレプリカデータを更新する。
図4(A)は、予め設定された予定同期項目を登録する予定同期項目登録テーブルのデータ構造を示す図である。図4(C)は、本実施形態のタスクスケジューラ124が管理するスケジュールのデータ構造を示す図である。図4(C)に示すスケジュールは、毎週火曜日の午前1時に、予定同期項目の項目値を同期対象として、同期実行部126を呼び出してデータ同期を実施する旨を規定している。
なお、説明の便宜上、説明する実施形態では、第1のデータ同期機構では、全アカウントの全予定同期項目の項目値がマスタ認証サーバ装置110から取得されて、上書により更新されるものとして説明する。しかしながら、不必要なネットワーク・トラフィックを削減する観点からは、好適には、エントリの更新日時等の属性を利用して、マスタデータベース112とローカル・データベース122との間の差分となる、追加、変更または削除されたアカウントのエントリだけを同期対象とすることができる。
これに対して、認証実行部132は、第2のデータ同期機構を実現する機能部である。認証実行部132は、クライアント150〜154からの認証要求を受け取り、マスタ認証サーバ装置110と連携してアカウント認証を行うとともに、要求にかかるアカウントについて都度のデータ同期を実行する。
認証実行部132は、より詳細には、受付部134と、認証要求部136と、項目値取得部138と、項目値更新部140と、セット取得部142と、返却部144とを含み構成される。以下、認証要求が行われる都度データ同期を行うための認証実行部132における項目値取得部138および項目値更新部140を、それぞれ、都度項目値取得部138および都度項目値更新部140と参照する。
受付部134は、クライアント150〜154からの認証要求および項目値取得要求を受け付ける。認証要求には、クライアント150〜154にログインした利用者のユーザ名およびパスワード、IC認証データなどのユーザ認証情報が含まれる。
認証要求部136は、受付部134が認証要求および項目値取得要求を受け付けたことに応答して、マスタ認証サーバ装置110に対し、上記ユーザ認証情報を渡して認証処理を要求する。さらに認証要求部136は、上記認証処理の要求とともに、認証要求が行われる都度データ同期を行うものとして設定された項目について、当該認証要求にかかるアカウントの項目値をマスタ認証サーバ装置110に対し要求して、認証結果および項目値を取得する。以下、認証要求がある都度データ同期を行うものとして設定された項目を都度同期項目と参照する。都度項目値更新部140は、都度項目値取得部138が取得した各都度同期項目の項目値で、ローカル・データベース122上のレプリカデータを更新する。
なお、説明する実施形態では、認証要求部136が、マスタ認証サーバ装置110に認証処理を要求するものとして説明する。しかしながら、ユーザ認証情報もデータ同期の対象とする実施形態では、中間層認証サーバ装置120内でアカウント認証を行ってもよい。認証要求部136は、外部のマスタ認証サーバ装置110に要求して、または単独で、クライアントからの認証要求に応答して、求められたアカウントに対する認証を行う、本実施形態における認証手段を構成する。
図4(B)は、予め設定された都度同期項目を登録する都度同期項目登録テーブルのデータ構造を示す図である。都度同期項目は、認証要求毎にデータ同期される項目であり、クライアントからの認証処理において必要性の高く、高い整合性が求められるデータが設定されることが好ましい。都度同期項目としては、ユーザの名称や識別子、所属グループの名称や識別子、アクセス権限情報その他利用権限の決定に影響するデータを挙げることができる。
なお、説明の便宜上、説明する実施形態では、第2のデータ同期機構においては、認証要求が求められるアカウントの全都度同期項目の項目値がマスタ認証サーバ装置110から取得されて、上書により更新されるものとして説明する。しかしながら、不必要なネットワーク・トラフィックを削減する観点からは、好適には、当該アカウントのエントリにおける更新日時等の属性を利用して、マスタデータベース112とローカル・データベース122との間に差分があった場合だけ、実際の同期を行う構成とすることができる。
セット取得部142は、認証に成功した場合に、クライアント150〜154に対し、要求された情報を返却するために、ローカル・データベース122から当該アカウントのエントリの必要な項目値セットを取得する。返却部144は、クライアント150〜154に対し、認証要求および項目値取得要求に対する応答として、認証結果と、セット取得部142が取得した項目値セットとを返却する。
なお、説明する実施形態では、アカウント情報は、予定同期項目および都度同期項目の2つに分けられ、それぞれの項目群について、異なる2つのデータ同期機構によってデータ同期をするものとして説明してきた。しかしながら、アカウント情報の区分は、上述した2つに限定されるものではなく、図4(D)に例示する「高」、「中」、「低」の優先度などように、3つ以上のレベルに区分されてもよい。その場合には、アカウント情報を、都度同期項目と、複数の異なるスケジュールで同期される複数の予定同期項目とに区分し、図4(E)に示すように、予定同期項目毎にスケジュールを設定すればよい。
以下、図5〜図7を参照しながら、本実施形態において実行されるデータ同期処理について、中間層認証サーバ装置120を主体として詳細に説明する。図5は、本実施形態の中間層認証サーバ装置120が実行する、認証要求時のデータ同期処理を示すフローチャートである。図5に示す処理は、中間層認証サーバ装置120が、認証サービスないしディレクトリ・サービスを開始させたことに応答して、ステップS100から開始される。
ステップS101では、中間層認証サーバ装置120は、受付部134がクライアント150〜154から認証要求を受信したか否かを判定する。ステップS101で、認証要求を受信していないと判定された場合(NO)には、ステップS101をループさせて、認証要求を待ち受ける。一方、ステップS101で、クライアント150〜154から認証要求を受信したと判定された場合(YES)は、ステップS102へ処理が進められる。
ステップS102では、中間層認証サーバ装置120は、認証要求部136により、マスタ認証サーバ装置110に対し、認証が求められているアカウントの認証処理の要求を行うとともに、当該アカウントの都度同期項目の取得要求を行う。このとき、マスタ認証サーバ装置110は、認証処理部114により、マスタデータベース112を参照して、要求されたアカウントについての認証処理を行う。認証に成功した場合には、マスタ認証サーバ装置110は、項目値提供部116により、マスタデータベース112から当該アカウントのエントリを読み出し、要求された都度同期項目の項目値を中間層認証サーバ装置120に返却する。
ステップS103では、中間層認証サーバ装置120は、都度同期項目値取得部138により、マスタ認証サーバ装置110から認証結果および都度同期項目の項目値を取得する。認証結果は、認証に成功した結果または認証に失敗した結果を含む。
ステップS104では、中間層認証サーバ装置120は、認証が成功したか否かに応じて処理を分岐させる。ステップS104で、認証結果から認証が成功したと判定された場合(YES)は、ステップS105へ処理が分岐される。ステップS105では、中間層認証サーバ装置120は、都度同期項目値更新部140により、マスタ認証サーバ装置110から取得した項目値で、ローカル・データベース122の当該アカウントのエントリを更新する。
例えば、図7(A)に示すエントリがマスタデータベース112に保持されており、一方で中間層認証サーバ装置120のローカル・データベース122に当初「USER01」に対するアカウント情報が存在しなかった場合、図7(B)に示すエントリがローカル・データベース122に登録される。ここでは、図4(B)に示す項目が都度同期項目として設定される場合を例示している。図7(B)に示すように、この段階では、エントリのユーザ名および表示名以外の項目値が空の状態となっている。
ステップS106では、中間層認証サーバ装置120は、セット取得部142により、ローカル・データベース122から、少なくともクライアント150〜154に返却することが求められる項目値のセットを読み出す。ここでは、エントリの全項目値のセットが返却されるものとして説明する。ステップS107では、中間層認証サーバ装置120は、返却部144により、クライアント150〜154に対し、認証要求および項目値取得要求に対する応答として、認証が成功した旨の認証結果および項目値セットを返却し、ステップS101へ処理をループさせ、次の認証要求を待ち受ける。
上記図7(A)および(B)の例によれば、項目値セットは、ユーザ名および表示名の項目値を含み、メールアドレスやファクシミリ番号など都度同期項目以外の項目値については空(NULL)のまま、クライアント150〜154に返却されることになる。
一方、ステップS104で、認証が失敗したと判定された場合(NO)は、ステップS108へ処理が分岐される。ステップS108では、中間層認証サーバ装置120は、返却部144により、クライアント150〜154に対し、認証が失敗した旨の認証結果を返却する。この場合、項目値セットは返却されない。
図6は、本実施形態の中間層認証サーバ装置120が実行する、スケジュールに従ったデータ同期処理を示すフローチャートである。図6に示す処理は、中間層認証サーバ装置120が起動し、タスクスケジューラ124が起動したことに応答して、ステップS200から開始される。
ステップS201では、中間層認証サーバ装置120は、タスクスケジューラ124により、スケジュールとして規定したタイミングが到来したか否かを判定する。ステップS201で、未だタイミングが到来していないと判定された場合(NO)には、ステップS201をループして、タイミングの到来を待ち受ける。一方、ステップS201で、所与のタイミングが到来したと判定された場合(YES)は、ステップS202へ処理が進められる。
ステップS202では、中間層認証サーバ装置120は、予定同期項目値取得部128により、マスタ認証サーバ装置110に対し、すべてのアカウントについての予定同期項目の取得要求を行う。ステップS203では、中間層認証サーバ装置120は、予定同期項目値取得部128により、マスタ認証サーバ装置110から予定同期項目の項目値を取得する。ステップS204では、中間層認証サーバ装置120は、予定同期項目値更新部140により、マスタ認証サーバ装置110から取得した項目値で、ローカル・データベース122の当該アカウントのエントリを更新し、ステップS201へ処理をループさせ、次のタイミングの到来を待ち受ける。
上述した予定に従ったデータ同期により、都度同期項目および予定同期項目を含む項目値がデータ同期されることになる。図6に示すデータ同期処理が行われた以降に認証要求が行われた場合は、上記図7(A)および(B)の例によれば、図7(C)に示す全ての項目値の値を含む項目値セットが、クライアント150〜154に返却されることになる。
以下、図8および図9を参照しながら、都度同期項目値および予定同期項目値を設定する機能について説明する。本実施形態においては、都度同期項目値および予定同期項目値は、中間層認証サーバ装置120のローカルのコンソールから、または管理端末160からリモートで予め設定することができるように構成されている。
図8は、本実施形態による都度同期項目値および予定同期項目値の設定機能に関連する機能ブロック図である。図8に示すように、中間層認証サーバ装置120は、さらに、同期実行部126および認証実行部132が参照する同期項目設定データ146と、該同期項目設定データ146を編集するための管理ツール148とを備える。
同期項目設定データ146は、都度同期項目および予定同期項目を規定するデータである。管理ツール148は、ディスプレイ装置32および入出力装置26を使用して中間層認証サーバ装置120のローカルから、または外部の管理端末160からのリモート接続により、同期項目設定データ146を編集するためグラフィカル・ユーザ・インタフェース(GUI)を提供する機能部である。管理ツール148は、特定の実施形態では、管理画面をウェブページとして公開するウェブサーバとして構成することができる。
図9は、本実施形態による同期項目設定データ146を設定するための管理画面を例示する図である。図9に示す管理画面300は、予定同期項目を設定するための領域310と、都度同期項目を設定するための領域320と、設定を反映させるためのボタン330と、設定内容をキャンセルするためのボタン340とを含む。
領域310,320には、各アカウント情報における各項目を予定同期項目値または都度同期項目値として設定するための選択ボタン312a〜312fおよび選択ボタン322a〜322fとを備える。図9中において、反転表示されたボタンは、予定同期項目値または都度同期項目値として現在選択されていることを示す。図9に示す管理画面において、予定同期項目および都度同期項目が選択された状態で、ボタン330がクリックされると、その設定内容が同期項目設定データ146に反映される。
以上説明したように、実施形態では、中間層認証サーバ装置が外部のマスタ認証サーバ装置とデータ同期をする際に、アカウント情報を複数のレベルに区分して、各レベルに対応して複数のデータ同期機構が準備される。上記構成により、一のレベルの情報はクライアントからのサービス要求に応答して都度同期する一方で、他のレベルの情報は予定に従って同期することができる。例えばクライアントからの認証処理において必要性の低いデータは、スケジュールに従ってデータ同期する一方で、クライアントからの認証処理において必要性の高いデータは、認証要求毎にデータ同期を行うよう構成することができる。
上述したようにデータの重要度に応じた頻度およびタイミングでデータ同期を行うことができるため、余分なネットワーク・トラフィックの発生を回避し、同期処理の処理コストも削減し、かつ、マスタデータとレプリカデータの整合性を充分なレベルで維持することができる。ひいては、同期されるデータの品質および効率を両立させることが可能となる。
以上説明したように、本実施形態によれば、外部の認証装置と連携して情報処理装置を認証する認証装置と、該外部の認証装置とのデータ同期に関して、要求される同期間隔が異なる複数のレベルの情報を、適切な同期機構を利用して、適時にデータ同期することにより、高効率、かつ、高品質なデータ同期が実現可能な認証装置、プログラムおよび記録媒体を提供することができる。
なお、上記機能部は、アセンブラ、C、C++、C#、Java(登録商標)、などのレガシープログラミング言語やオブジェクト指向プログラミング言語などで記述されたコンピュータ実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MOなど装置可読な記録媒体に格納して、あるいは電気通信回線を通じて頒布することができる。
これまで本発明の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
12…MPU、14…不揮発性メモリ、16…メモリ、18…記憶制御用インタフェース、20…ハードディスク、22…内部バス、24…インタフェース、26…入出力装置、28…VRAM、30…グラフィック・チップ、32…ディスプレイ装置、34…ネットワークI/F、100…認証システム、102…ネットワーク、110…マスタ認証サーバ装置、112…マスタデータベース、114…認証処理部、116…項目値提供部、120…中間層認証サーバ装置、122…ローカル・データベース、124…タスクスケジューラ、126…同期実行部、128…項目値取得部、130…項目値更新部、132…認証実行部、134…受付部、136…認証要求部、138…項目値取得部、140…項目値更新部、142…セット取得部、144…返却部、146…同期項目設定データ、148…管理ツール、150〜154…クライアント、160…管理端末、300…管理画面、310,320…領域、312,322…選択ボタン、330,340…ボタン
特開2011−48549号公報 特開2003−296172号公報

Claims (8)

  1. 外部の認証装置と連携して情報処理装置を認証する認証装置であって、
    前記情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段と、
    前記認証が行われることに応答して、前記外部の認証装置に対し要求し、前記求められたアカウントのエントリを構成する複数の項目のうちの予定に従って同期する予定同期項目群とは異なった都度同期する都度同期項目群のひとつとして設定された項目名に対応する項目値を取得する都度項目値取得手段と、
    前記都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段と、
    前記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段と、
    前記認証手段より得られた認証結果と前記項目値セット取得手段により得られた前記項目値セットとを前記情報処理装置に返却する返却手段と
    含み、前記予定同期項目群は、それぞれ優先度が設定された1以上の項目を含み、前記予定同期項目群の項目各々についての同期処理の実行は、項目各々に設定された前記優先度に応じた更新期間が設定されて行われることを特徴とする、認証装置。
  2. 前記優先度に応じた同期実行の予定に従って、前記外部の認証装置から、少なくとも追加、変更または削除されたアカウントのエントリに関し、前記予定同期項目群のひとつとして設定された項目名に対応する項目値を取得する予定項目値取得手段と、
    前記予定項目値取得手段により取得した項目値で前記ローカル・データベースの項目値を更新する予定項目値更新手段と
    をさらに含み、前記項目値セット取得手段により取得される前記項目値セットは、前記予定項目値更新手段によって更新された項目値をさらに含むことを特徴とする、請求項1に記載の認証装置。
  3. 前記認証装置は、前記都度同期項目群と、前記予定同期項目群設定するための管理インタフェースを提供する管理ツール手段をさらに備えることを特徴とする、請求項2に記載の認証装置。
  4. 前記都度項目値取得手段は、前記都度同期項目群のひとつとして設定された項目名に対応する項目値が更新された日時を用いて、外部の認証装置が備えるマスタデータベースと前記ローカル・データベースとの間の差分を同期対象とする、請求項1〜のいずれか1項に記載の認証装置。
  5. 前記外部の認証装置は、マスタ認証サーバであり、当該認証装置は、中間層の認証サーバである、請求項1〜のいずれか1項に記載の認証装置。
  6. 外部の認証装置と連携して情報処理装置を認証する認証装置をコンピュータ上に実現するためのコンピュータ実行可能なプログラムであって、前記プログラムは、前記コンピュータを、
    前記情報処理装置からの認証および項目値取得の要求に応答して、求められたアカウントに対する認証を行う認証手段、
    前記認証が行われることに応答して、前記外部の認証装置に対し要求し、前記アカウントのエントリを構成する複数の項目のうちの予定に従って同期する予定同期項目群とは異なった都度同期する都度同期項目群のひとつとして設定された項目名に対応する項目値を取得する都度項目値取得手段、
    前記都度項目値取得手段により取得された項目値で、ローカル・データベース内の項目値を更新する都度項目値更新手段、
    前記都度項目値更新手段によって更新された項目値を含む項目値セットを取得する項目値セット取得手段、および
    前記認証手段より得られた認証結果と前記項目値セット取得手段により得られた前記項目値セットとを前記情報処理装置に返却する返却手段
    として機能させるためのプログラムであり、前記予定同期項目群は、それぞれ優先度が設定された1以上の項目を含み、前記予定同期項目群の項目各々についての同期処理の実行は、項目各々に設定された前記優先度に応じた更新期間が設定されて行われることを特徴とする、プログラム
  7. 前記コンピュータを、さらに
    前記優先度に応じた同期実行の予定に従って、前記外部の認証装置から、少なくとも追加、変更または削除されたアカウントのエントリに関し、前記予定同期項目群のひとつとして設定された項目名に対応する項目値を取得する予定項目値取得手段、
    前記予定項目値取得手段により取得した項目値で前記ローカル・データベースの項目値を更新する予定項目値更新手段
    として機能させるためのプログラムであって、前記項目値セット取得手段により取得される前記項目値セットは、前記予定項目値更新手段によって更新された項目値をさらに含むことを特徴とする、請求項に記載のプログラム。
  8. 請求項または請求項に記載のコンピュータ実行可能なプログラムをコンピュータ可読に格納する記録媒体。
JP2011124896A 2011-06-03 2011-06-03 認証装置、プログラムおよび記録媒体 Active JP5751029B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2011124896A JP5751029B2 (ja) 2011-06-03 2011-06-03 認証装置、プログラムおよび記録媒体
US13/476,295 US8621565B2 (en) 2011-06-03 2012-05-21 Authentication apparatus, authentication method and computer readable information recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011124896A JP5751029B2 (ja) 2011-06-03 2011-06-03 認証装置、プログラムおよび記録媒体

Publications (2)

Publication Number Publication Date
JP2012252540A JP2012252540A (ja) 2012-12-20
JP5751029B2 true JP5751029B2 (ja) 2015-07-22

Family

ID=47262773

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011124896A Active JP5751029B2 (ja) 2011-06-03 2011-06-03 認証装置、プログラムおよび記録媒体

Country Status (2)

Country Link
US (1) US8621565B2 (ja)
JP (1) JP5751029B2 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012054055A1 (en) * 2010-10-22 2012-04-26 Hewlett-Packard Development Company, L.P. Distributed network instrumentation system
JP2014050064A (ja) * 2012-09-04 2014-03-17 Sony Corp 情報処理装置、情報処理システム、情報処理方法、プログラム及びクライアント端末
US9282093B2 (en) * 2013-04-30 2016-03-08 Microsoft Technology Licensing, Llc Synchronizing credential hashes between directory services
JP6292810B2 (ja) * 2013-10-02 2018-03-14 キヤノン株式会社 データ同期方法、データ同期装置およびプログラム
US9361432B2 (en) * 2014-01-15 2016-06-07 Hewlett-Packard Development Company, L.P. Configuring a security setting for a set of devices using a security policy
JP6414875B2 (ja) * 2014-07-16 2018-10-31 Necプラットフォームズ株式会社 データ管理システム、データ管理装置、プログラム及びデータ管理方法
JP6714832B2 (ja) * 2016-03-18 2020-07-01 株式会社リコー 情報処理装置、プログラムおよび更新方法
WO2019191320A1 (en) 2018-03-27 2019-10-03 Netflix, Inc. Techniques for scheduled anti-entropy repair design

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000035911A (ja) * 1998-07-21 2000-02-02 Mitsubishi Electric Corp データベースの等価方法
US6158010A (en) * 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
JP2002007192A (ja) * 2000-06-27 2002-01-11 Mitsubishi Electric Corp データ更新方法およびそのシステム
US6986038B1 (en) * 2000-07-11 2006-01-10 International Business Machines Corporation Technique for synchronizing security credentials from a master directory, platform, or registry
JP2003110576A (ja) * 2001-09-26 2003-04-11 Toshiba Corp 無線ネットワークシステム、無線ネットワークの管理方法、及び、コンピュータで実行可能な無線ネットワークの管理プログラム
US8776230B1 (en) * 2001-10-02 2014-07-08 Mcafee, Inc. Master security policy server
JP2003296172A (ja) 2002-04-05 2003-10-17 Ricoh Co Ltd 文書管理プログラム及び該プログラムを記録したコンピュータ読取可能な記録媒体並びに文書管理方法
US7665125B2 (en) * 2002-09-23 2010-02-16 Heard Robert W System and method for distribution of security policies for mobile devices
GB0322876D0 (en) * 2003-09-30 2003-10-29 British Telecomm Method and system for authenticating a user
JP2005267157A (ja) * 2004-03-18 2005-09-29 Equos Research Co Ltd 情報同期装置及び情報処理装置
US20060090196A1 (en) * 2004-10-21 2006-04-27 Van Bemmel Jeroen Method, apparatus and system for enforcing security policies
EP1866789B8 (en) * 2005-02-28 2020-04-15 McAfee, LLC Mobile data security system and methods
US20070157304A1 (en) * 2006-01-05 2007-07-05 International Business Machines Corporation Method, apparatus and computer program product for automatic cookie synchronization between distinct web browsers
JP4849962B2 (ja) * 2006-06-06 2012-01-11 株式会社リコー 画像処理装置、認証サーバ選択方法及びプログラム
JP4893272B2 (ja) * 2006-11-29 2012-03-07 コニカミノルタビジネステクノロジーズ株式会社 画像形成装置、同装置における認証方法及び認証処理プログラム
US8089339B2 (en) * 2006-12-21 2012-01-03 Cingular Wireless Ii, Llc Wireless device as programmable vehicle key
JP5090834B2 (ja) * 2007-09-11 2012-12-05 株式会社リコー 情報処理装置及び認証制御プログラム
KR100949808B1 (ko) * 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법
JP2009146286A (ja) * 2007-12-17 2009-07-02 Fuji Xerox Co Ltd 認証サーバー、認証プログラムおよび認証システム
CN101516131B (zh) * 2008-02-18 2012-04-04 华为技术有限公司 一种数据同步的方法、系统和装置
US7996357B2 (en) * 2008-02-29 2011-08-09 Plaxo, Inc. Enabling synchronization with a difference unaware data source
KR101018435B1 (ko) * 2008-08-14 2011-02-28 한국전자통신연구원 사용자 단말기의 보안 관리 장치 및 방법
US20100125897A1 (en) * 2008-11-20 2010-05-20 Rahul Jain Methods and apparatus for establishing a dynamic virtual private network connection
US9330100B2 (en) * 2009-02-26 2016-05-03 Red Hat, Inc. Protocol independent mirroring
US8694578B2 (en) * 2009-05-29 2014-04-08 Microsoft Corporation Swarm-based synchronization over a network of object stores
US8972553B2 (en) * 2009-08-10 2015-03-03 Qualcomm Incorporated Method and apparatus for handling policy and charging control rule or quality of service rule modification failures
JP5471168B2 (ja) 2009-08-26 2014-04-16 日本電気株式会社 データ同期システム、データ同期装置、データ同期方法及びデータ同期用プログラム
US8756650B2 (en) * 2010-03-15 2014-06-17 Broadcom Corporation Dynamic authentication of a user

Also Published As

Publication number Publication date
JP2012252540A (ja) 2012-12-20
US8621565B2 (en) 2013-12-31
US20120311667A1 (en) 2012-12-06

Similar Documents

Publication Publication Date Title
JP5751029B2 (ja) 認証装置、プログラムおよび記録媒体
US11088903B2 (en) Hybrid cloud network configuration management
US11522720B1 (en) Dynamic object creation and certificate management
EP2706719B1 (en) File synchronization method and device
CN103180842B (zh) 云计算系统和用于该云计算系统的数据同步方法
US8763145B2 (en) Cloud system, license management method for cloud service
CN1846202B (zh) 基于邮件服务器的应用记录同步
KR102303681B1 (ko) 컴퓨팅 디바이스 사이에서의 디바이스 연관 데이터의 동기화
CN108377200B (zh) 基于ldap与slurm的云用户管理方法及系统
CN102045353B (zh) 一种公有云服务的分布式网络安全控制方法
KR101685215B1 (ko) 대체 메일박스들의 자동 검색
US20170041504A1 (en) Service providing system, information processing apparatus, program, and method for generating service usage information
CN105897946A (zh) 一种访问地址的获取方法及系统
JPH09198294A (ja) ローカル・エリア・ネットワークと分散コンピューティング環境との間の同期化をするシステム
US10547587B2 (en) Method and system for near real-time IP user mapping
CN101771723A (zh) 数据同步方法
JP2020177537A (ja) 認証認可サーバー、クライアント、サービス提供システム、アクセス管理方法とプログラム
US11818112B2 (en) Directory service user synchronization
US7908384B2 (en) Information processing system, a management apparatus, an information processing method and a management method
US20130182288A1 (en) Account management system
CN101699436B (zh) 资源管理的方法、装置和系统
CN106303130A (zh) 图像形成装置以及图像形成方法
JP2009245268A (ja) 業務管理システム
US11681486B2 (en) Information processing apparatus, method of controlling the same, and recording medium for setting a default printing apparatus
JP2011215688A (ja) データベースアクセスシステム及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140516

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150421

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150504

R151 Written notification of patent or utility model registration

Ref document number: 5751029

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250