[go: up one dir, main page]

JP7680988B2 - Single sign-on authentication system and single sign-on authentication device - Google Patents

Single sign-on authentication system and single sign-on authentication device Download PDF

Info

Publication number
JP7680988B2
JP7680988B2 JP2022111692A JP2022111692A JP7680988B2 JP 7680988 B2 JP7680988 B2 JP 7680988B2 JP 2022111692 A JP2022111692 A JP 2022111692A JP 2022111692 A JP2022111692 A JP 2022111692A JP 7680988 B2 JP7680988 B2 JP 7680988B2
Authority
JP
Japan
Prior art keywords
authentication
user
registered
mac address
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022111692A
Other languages
Japanese (ja)
Other versions
JP2024010384A (en
Inventor
浩志 西野宮
勝人 小野
功克 柴田
Original Assignee
エイチ・シー・ネットワークス株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エイチ・シー・ネットワークス株式会社 filed Critical エイチ・シー・ネットワークス株式会社
Priority to JP2022111692A priority Critical patent/JP7680988B2/en
Publication of JP2024010384A publication Critical patent/JP2024010384A/en
Application granted granted Critical
Publication of JP7680988B2 publication Critical patent/JP7680988B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、シングルサインオン(SSO:Single Sign On)認証システムおよびSSO認証装置に関する。 The present invention relates to a single sign-on (SSO) authentication system and an SSO authentication device.

特許文献1には、SAML(Security Assertion Markup Language)を用いたSSO後に、SSO前の情報に応じたサービスを、サービス利用者へ提供することが可能な認証システムが示される。具体的には、SP(Service Provider)サーバは、ユーザ端末からSSOのアクセスを受けた場合、ユーザ端末のSSO前の通信セッション情報をSSO前情報として情報保持部に保存し、ユーザ端末をIdP(Identify Provider)サーバへリダイレクトさせる。IdPサーバは、ユーザ端末から入力された認証情報を用いて、SSO認証DBを参照してSSO認証を行い、SSO認証の成功の場合、ユーザ端末をSPサーバへリダイレクトさせる。SPサーバは、SSO認証の成功後、SSO前情報を情報保持部から取得し、SSO前情報の内容に応じたサービスをユーザ端末へ提供する。 Patent Document 1 shows an authentication system capable of providing a service user with a service according to pre-SSO information after SSO using SAML (Security Assertion Markup Language). Specifically, when a Service Provider (SP) server receives SSO access from a user terminal, it stores the pre-SSO communication session information of the user terminal in an information storage unit as pre-SSO information, and redirects the user terminal to an Identify Provider (IdP) server. The IdP server performs SSO authentication by referring to an SSO authentication DB using authentication information input from the user terminal, and redirects the user terminal to the SP server if the SSO authentication is successful. After the SSO authentication is successful, the SP server acquires the pre-SSO information from the information storage unit, and provides the user terminal with a service according to the contents of the pre-SSO information.

特開2016-118930号公報JP 2016-118930 A

例えば、特許文献1に記載されるSAMLを用いる方式を代表に、1回の認証手続きで複数のWebサービスやアプリケーション等へのログインを可能にするSSO認証システムが知られている。認証手続きに際し、ユーザは、通常、ユーザ識別子およびパスワードを入力する必要がある。一方、ユーザ識別子およびパスワードの入力を省略する方式として、証明書認証や生体認証が存在する。しかしながら、証明書認証を用いる場合、被認証装置に予め証明書をインストールする作業が必要となり得る。また、生体認証を用いる場合、生体認証に対応した装置を別途設ける必要がある。 For example, SSO authentication systems, such as the method using SAML described in Patent Document 1, are known that enable login to multiple web services, applications, etc. with a single authentication procedure. During the authentication procedure, the user is usually required to input a user identifier and password. On the other hand, certificate authentication and biometric authentication exist as methods that omit the input of a user identifier and password. However, when certificate authentication is used, it may be necessary to install a certificate in advance on the device to be authenticated. Furthermore, when biometric authentication is used, a separate device compatible with biometric authentication must be provided.

本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、ユーザの作業負荷を軽減することが可能なSSO認証システムおよびSSO認証装置を提供することにある。 The present invention has been made in light of the above, and one of its objectives is to provide an SSO authentication system and an SSO authentication device that can reduce the user's workload.

本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。 The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。 A brief overview of a representative embodiment of the invention disclosed in this application is as follows:

一実施の形態によるSSO認証システムは、ユーザ端末にIPアドレスを割り当てるDHCPサーバと、ネットワークを介してユーザ端末およびDHCPサーバに接続され、ユーザ端末からの認証要求に応じてSSOの認証許否を判定するSSO認証サーバと、を備える。DHCPサーバは、ユーザ端末にIPアドレスを割り当てた際に、割り当てたIPアドレスと、ユーザ端末のMACアドレスとの対応関係を記憶する。SSO認証サーバは、SSOの認証を許可するMACアドレスが予め登録される認証テーブルを保持する。そして、SSO認証サーバは、ユーザ端末から認証要求を含むパケットを受信した際に、受信したパケットの送信元IPアドレスに対応するMACアドレスをDHCPサーバから取得し、取得したMACアドレスの認証テーブルへの登録有無に基づいて、SSOの認証許否を判定する。 An SSO authentication system according to one embodiment includes a DHCP server that assigns an IP address to a user terminal, and an SSO authentication server that is connected to the user terminal and the DHCP server via a network and determines whether or not to permit SSO authentication in response to an authentication request from the user terminal. When the DHCP server assigns an IP address to the user terminal, it stores the correspondence between the assigned IP address and the MAC address of the user terminal. The SSO authentication server holds an authentication table in which MAC addresses that permit SSO authentication are registered in advance. Then, when the SSO authentication server receives a packet including an authentication request from the user terminal, it acquires from the DHCP server the MAC address that corresponds to the source IP address of the received packet, and determines whether or not to permit SSO authentication based on whether or not the acquired MAC address is registered in the authentication table.

本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、ユーザの作業負荷を軽減することが可能になる。 To briefly explain the effect of a representative embodiment of the invention disclosed in this application, it is possible to reduce the workload of the user.

実施の形態1によるSSO認証システムの構成例を示す概略図である。FIG. 1 is a schematic diagram illustrating a configuration example of an SSO authentication system according to a first embodiment. 図1におけるSSO認証システムの主要部の処理内容の一例を示すシーケンス図である。2 is a sequence diagram showing an example of processing contents of a main part of the SSO authentication system in FIG. 1 . 図1におけるSSO認証サーバの主要部の構成例を示すブロック図である。2 is a block diagram showing a configuration example of a main part of an SSO authentication server in FIG. 1 . 実施の形態2によるSSO認証システムの構成例を示す概略図である。FIG. 11 is a schematic diagram showing a configuration example of an SSO authentication system according to a second embodiment. 図4におけるSSO認証システムの主要部の処理内容の一例を示すシーケンス図である。5 is a sequence diagram showing an example of processing contents of a main part of the SSO authentication system in FIG. 4. 図4におけるSSO認証サーバの主要部の構成例を示すブロック図である。5 is a block diagram showing a configuration example of a main part of an SSO authentication server in FIG. 4. 実施の形態3によるSSO認証システムの構成例を示す概略図である。FIG. 11 is a schematic diagram showing a configuration example of an SSO authentication system according to a third embodiment. 図7におけるSSO認証システムの主要部の処理内容の一例を示すシーケンス図である。8 is a sequence diagram showing an example of processing contents of a main part of the SSO authentication system in FIG. 7 . 図7におけるSSO認証サーバの主要部の構成例を示すブロック図である。8 is a block diagram showing a configuration example of a main part of an SSO authentication server in FIG. 7 . 実施の形態4によるSSO認証システムの構成例を示す概略図である。FIG. 13 is a schematic diagram showing a configuration example of an SSO authentication system according to a fourth embodiment. 図10におけるSSO認証システムの主要部の処理内容の一例を示すシーケンス図である。11 is a sequence diagram showing an example of processing contents of a main part of the SSO authentication system in FIG. 10. 図11とは異なる処理内容の一例を示すシーケンス図である。FIG. 12 is a sequence diagram showing an example of processing content different from that shown in FIG. 11 . 図10における認証管理テーブルの図10とは異なる構成例を示す概略図である。11 is a schematic diagram showing an example of a configuration of the authentication management table in FIG. 10 that is different from that in FIG. 10 .

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。 The following describes in detail an embodiment of the present invention with reference to the drawings. In all drawings used to explain the embodiment, the same components are generally designated by the same reference numerals, and repeated explanations will be omitted.

(実施の形態1)
<SSO認証システムの概略>
図1は、実施の形態1によるSSO認証システムの構成例を示す概略図である。ここでは、SSO認証システムとして、SAML方式を用いる場合を例とする。図1に示すSSO認証システムは、DHCP(Dynamic Host Configuration Protocol)サーバ11と、SSO認証サーバ12と、ディレクトリサーバ13と、サービスプロバイダSPa,SPbと、ユーザ端末TM10,TM20とを備える。これらの装置は、互いにネットワーク10を介して接続される。 (Embodiment 1)
<Outline of SSO authentication system>
Fig. 1 is a schematic diagram showing a configuration example of an SSO authentication system according to a first embodiment. Here, a case where the SAML method is used as the SSO authentication system is taken as an example. The SSO authentication system shown in Fig. 1 includes a DHCP (Dynamic Host Configuration Protocol) server 11, an SSO authentication server 12, a directory server 13, service providers SPa and SPb, and user terminals TM10 and TM20. These devices are connected to each other via a network 10.

サービスプロバイダSPa,SPbは、Webサービスやアプリケーション等を提供するサーバである。明細書では、複数のサービスプロバイダSPa,SPbを総称して、サービスプロバイダSPと呼ぶ。また、ユーザ端末TM10,TM20を総称してユーザ端末TMと呼ぶ。 Service providers SPa and SPb are servers that provide web services, applications, and the like. In this specification, multiple service providers SPa and SPb are collectively referred to as service provider SP. Also, user terminals TM10 and TM20 are collectively referred to as user terminals TM.

ネットワーク10は、OSI参照モデルのレイヤ2(L2)の処理を担う図示しないL2スイッチや、レイヤ3(L3)の処理を担うルータ15を備える。この例では、少なくとも、SSO認証サーバ12は、ルータ15を介して、ユーザ端末TM10,TM20を含む各装置に接続される。ルータ15は、L3スイッチであってもよく、明細書では、ルータ15とL3スイッチを特に区別しない。 The network 10 includes an L2 switch (not shown) that handles Layer 2 (L2) processing of the OSI reference model, and a router 15 that handles Layer 3 (L3) processing. In this example, at least the SSO authentication server 12 is connected to each device including user terminals TM10 and TM20 via the router 15. The router 15 may be an L3 switch, and the specification does not make any particular distinction between the router 15 and the L3 switch.

DHCPサーバ11は、ユーザ端末TMにIPアドレスを割り当てる。DHCPサーバ11は、IP管理テーブル22を保持する記憶部21を備える。記憶部21および後述する記憶部23,25は、例えば、RAMおよび不揮発性メモリの組み合わせで構成される。IP管理テーブル22には、IPアドレスとMACアドレスとの対応関係がIPアドレス割り当て情報として登録される。DHCPサーバ11は、ユーザ端末TMにIPアドレスを割り当てた際に、割り当てたIPアドレスと、ユーザ端末TMのMACアドレスとの対応関係を記憶する。 The DHCP server 11 assigns an IP address to the user terminal TM. The DHCP server 11 has a memory unit 21 that holds an IP management table 22. The memory unit 21 and memory units 23 and 25 described below are configured, for example, by a combination of RAM and non-volatile memory. In the IP management table 22, the correspondence between IP addresses and MAC addresses is registered as IP address assignment information. When the DHCP server 11 assigns an IP address to the user terminal TM, it stores the correspondence between the assigned IP address and the MAC address of the user terminal TM.

この例では、DHCPサーバ11は、端末TM10からのIPアドレスの割り当て要求に応じてIPアドレスIPA10を割り当て、IP管理テーブル22に、IPアドレスIPA10と、端末TM10のMACアドレスMA10との対応関係を登録する。また、DHCPサーバ11は、端末TM20からのIPアドレスの割り当て要求に応じてIPアドレスIPA20を割り当て、IP管理テーブル22に、IPアドレスIPA20と、端末TM20のMACアドレスMA20との対応関係を登録する。 In this example, DHCP server 11 assigns IP address IPA10 in response to a request for IP address assignment from terminal TM10, and registers the correspondence between IP address IPA10 and MAC address MA10 of terminal TM10 in IP management table 22. DHCP server 11 also assigns IP address IPA20 in response to a request for IP address assignment from terminal TM20, and registers the correspondence between IP address IPA20 and MAC address MA20 of terminal TM20 in IP management table 22.

SSO認証サーバ(SSO認証装置)12は、ユーザ端末TMからの認証要求に応じてSSOの認証許否を判定する。SSO認証サーバ12は、SAML方式ではIdpと呼ばれる。SSO認証サーバ12は、認証テーブル24を保持する記憶部23を備える。認証テーブル24には、SSOの認証を許可するMACアドレスが許可MACアドレス情報として予め登録される。また、認証テーブル24には、MACアドレスに加えて、当該MACアドレスに対応するユーザ識別子UIDが予め登録されてもよい。この例では、認証テーブル24には、端末TM10のMACアドレスMA10と、端末TM10を使用するユーザ14aのユーザ識別子UID10との対応関係が登録される。 The SSO authentication server (SSO authentication device) 12 determines whether or not to permit SSO authentication in response to an authentication request from a user terminal TM. The SSO authentication server 12 is called Idp in the SAML method. The SSO authentication server 12 includes a storage unit 23 that holds an authentication table 24. In the authentication table 24, MAC addresses that permit SSO authentication are registered in advance as permitted MAC address information. In addition to the MAC addresses, the authentication table 24 may also register in advance a user identifier UID that corresponds to the MAC addresses. In this example, the authentication table 24 registers the correspondence between the MAC address MA10 of the terminal TM10 and the user identifier UID10 of the user 14a who uses the terminal TM10.

ディレクトリサーバ13は、例えば、ネットワーク10に接続される各種リソースを管理するLDAP(Lightweigth Directory Access Protocol)サーバ等である。ディレクトリサーバ13は、リソース管理テーブル26を保持する記憶部25を備える。リソース管理テーブル26には、ネットワーク10に接続される各種リソースを管理するためのリソース管理情報が予め登録される。なお、ネットワーク10を使用するためには、ネットワーク10を使用するリソースがリソース管理テーブル26に予め登録されている必要がある。 The directory server 13 is, for example, an LDAP (Lightweight Directory Access Protocol) server that manages various resources connected to the network 10. The directory server 13 has a storage unit 25 that holds a resource management table 26. Resource management information for managing various resources connected to the network 10 is registered in advance in the resource management table 26. Note that in order to use the network 10, the resources that use the network 10 must be registered in advance in the resource management table 26.

この例では、リソース管理テーブル26には、ユーザアカウントとして、ユーザ端末TM10,TM20を使用するユーザ14a,14bのユーザ識別子UID10,UID20が予め登録される。また、リソース管理テーブル26には、コンピュータアカウントとして、プリンタやサーバ等に設定されたコンピュータ識別子も登録され得る。さらに、各アカウントには、属性情報が紐づけられる。例えば、ユーザアカウントの属性情報には、ユーザの社員番号、所属、メールアドレス等の情報や、パスワードの情報や、アクセス権限の情報といった各種ユーザ情報が含まれ得る。 In this example, the user identifiers UID10 and UID20 of users 14a and 14b who use user terminals TM10 and TM20 are preregistered in the resource management table 26 as user accounts. Computer identifiers set in printers, servers, etc. may also be registered in the resource management table 26 as computer accounts. Furthermore, attribute information is linked to each account. For example, the attribute information of a user account may include various types of user information such as the user's employee number, affiliation, email address, password information, and access authority information.

このように構成において、SSO認証サーバ12は、概略的には、ユーザ端末TMからSSOの認証要求を含むパケットを受信した際に、受信したパケットの送信元IPアドレスに対応するMACアドレスをDHCPサーバ11から取得する。そして、SSO認証サーバ12は、取得したMACアドレスの認証テーブル24への登録有無に基づいて、SSOの認証許否を判定する。 In this configuration, when the SSO authentication server 12 receives a packet including an SSO authentication request from the user terminal TM, it acquires the MAC address corresponding to the source IP address of the received packet from the DHCP server 11. Then, the SSO authentication server 12 determines whether or not to permit SSO authentication based on whether or not the acquired MAC address is registered in the authentication table 24.

すなわち、SSO認証サーバ12は、ユーザ端末TMのMACアドレスに基づいてSSOの認証を行い、具体的には、ユーザ端末TMからのL3のパケットを受信し、L2のMACアドレスに基づいてSSOの認証を行う。これにより、ユーザは、SSOの認証に際し、ユーザ識別子UIDおよびパスワードを入力する必要はない。その結果、ユーザの作業負荷を軽減することが可能になる。なお、SSOの認証が許可されたユーザ端末TMは、SSOの機能によって、その後もユーザ識別子UIDおよびパスワードを入力することなく複数のサービスプロバイダSPa,SPbへアクセスできる。 That is, the SSO authentication server 12 performs SSO authentication based on the MAC address of the user terminal TM; specifically, it receives an L3 packet from the user terminal TM and performs SSO authentication based on the L2 MAC address. This eliminates the need for the user to enter a user identifier UID and password during SSO authentication. As a result, it is possible to reduce the user's workload. Note that a user terminal TM that has been granted SSO authentication can access multiple service providers SPa and SPb using the SSO function without having to enter a user identifier UID and password.

また、SSO認証サーバ12は、取得したMACアドレスが認証テーブル24に登録有りの場合、当該MACアドレスに対応するユーザ識別子UIDを認証テーブル24から取得する。そして、SSO認証サーバ12は、取得したユーザ識別子UIDをディレクトリサーバ13に送信することでユーザ識別子UIDのリソース管理テーブル26への登録有無を判定し、登録有りの場合にSSOの認証を許可する。これにより、ネットワーク10の使用を許可されているユーザであることを確認した上で、SSOの認証を許可することができる。すなわち、セキュリティを向上できる。 Furthermore, if the acquired MAC address is registered in the authentication table 24, the SSO authentication server 12 acquires the user identifier UID corresponding to the MAC address from the authentication table 24. The SSO authentication server 12 then determines whether the user identifier UID is registered in the resource management table 26 by sending the acquired user identifier UID to the directory server 13, and permits SSO authentication if the user identifier UID is registered. This makes it possible to permit SSO authentication after confirming that the user is authorized to use the network 10. In other words, security can be improved.

<SSO認証システムの動作>
図2は、図1におけるSSO認証システムの主要部の処理内容の一例を示すシーケンス図である。図2において、まず、ユーザ端末TMは、DHCPサーバ11との間で所定のDHCP処理を行うことで、DHCPサーバ11からIPアドレスが割り当てられる(ステップS101)。具体的には、DHCPサーバ11は、ユーザ端末TMから、DHCPディスカバーを含んだL2のブロードキャストフレームを受信し、当該DHCPディスカバーに応答することで、ユーザ端末TMにIPアドレスを割り当てる。そして、DHCPサーバ11は、ステップS101でIPアドレスを割り当てた際に、ユーザ端末TMからのフレームに含まれるユーザ端末TMのMACアドレスと、割り当てたIPアドレスとの対応関係をIP管理テーブル22に登録する(ステップS102)。 <Operation of SSO authentication system>
Fig. 2 is a sequence diagram showing an example of the processing contents of the main part of the SSO authentication system in Fig. 1. In Fig. 2, first, the user terminal TM performs a predetermined DHCP process with the DHCP server 11, and an IP address is assigned by the DHCP server 11 (step S101). Specifically, the DHCP server 11 receives an L2 broadcast frame including a DHCP discover from the user terminal TM, and responds to the DHCP discover to assign an IP address to the user terminal TM. Then, when the DHCP server 11 assigns the IP address in step S101, it registers the correspondence between the MAC address of the user terminal TM included in the frame from the user terminal TM and the assigned IP address in the IP management table 22 (step S102).

その後、ユーザ端末TMは、SSO認証サーバ12に、L3のパケットを用いてSSOの認証要求を送信する(ステップS103)。これに応じて、SSO認証サーバ12は、当該パケットに含まれる送信元のIPアドレスをキーにDHCPサーバ11のIP管理テーブル22を参照することで、当該IPアドレスに対応するMACアドレスをDHCPサーバ11から取得する(ステップS104)。続いて、SSO認証サーバ12は、ステップS104で取得したMACアドレスの認証テーブル24への登録有無を判定する(ステップS105)。 Then, the user terminal TM sends an SSO authentication request to the SSO authentication server 12 using an L3 packet (step S103). In response, the SSO authentication server 12 acquires a MAC address corresponding to the IP address from the DHCP server 11 by referring to the IP management table 22 of the DHCP server 11 using the source IP address included in the packet as a key (step S104). Next, the SSO authentication server 12 determines whether the MAC address acquired in step S104 is registered in the authentication table 24 (step S105).

ステップS105にて、MACアドレスが認証テーブル24に登録無しの場合、SSO認証サーバ12は、ユーザに、ユーザ識別子UIDおよびパスワードPWの入力を要求する(ステップS106-2)。具体的には、SSO認証サーバ12は、ユーザ端末TMに、ユーザ識別子UIDおよびパスワードPWの入力画面を表示させる。一方、ステップS105にて、MACアドレスが認証テーブル24に登録有りの場合、SSO認証サーバ12は、ステップS104で取得したMACアドレスをキーに認証テーブル24を参照する。これにより、SSO認証サーバ12は、当該MACアドレスに対応するユーザ識別子UIDを取得する(ステップS106-1)。 If the MAC address is not registered in the authentication table 24 in step S105, the SSO authentication server 12 requests the user to input the user identifier UID and password PW (step S106-2). Specifically, the SSO authentication server 12 causes the user terminal TM to display an input screen for the user identifier UID and password PW. On the other hand, if the MAC address is registered in the authentication table 24 in step S105, the SSO authentication server 12 refers to the authentication table 24 using the MAC address acquired in step S104 as a key. As a result, the SSO authentication server 12 acquires the user identifier UID corresponding to the MAC address (step S106-1).

続いて、SSO認証サーバ12は、ステップS106-1で取得したユーザ識別子UIDをディレクトリサーバ13に送信することで、ユーザ識別子IDのリソース管理テーブル26への登録有無を判定する(ステップS107,S108)。具体的には、SSO認証サーバ12は、例えばLDAPを用いて、ユーザ識別子UIDをディレクトリサーバ13に送信し、ディレクトリサーバ13からユーザ識別子UIDの登録有無の情報を受信する。登録有りの場合、SSO認証サーバ12は、加えてユーザ情報、すなわち属性情報も受信する(ステップS107)。SSO認証サーバ12は、受信した情報に基づいて、ユーザ識別子IDのリソース管理テーブル26への登録有無を判定する(ステップS108)。 Then, the SSO authentication server 12 judges whether the user identifier ID is registered in the resource management table 26 by sending the user identifier UID acquired in step S106-1 to the directory server 13 (steps S107, S108). Specifically, the SSO authentication server 12 sends the user identifier UID to the directory server 13 using, for example, LDAP, and receives information on whether the user identifier UID is registered from the directory server 13. If the user identifier UID is registered, the SSO authentication server 12 also receives user information, i.e., attribute information (step S107). Based on the received information, the SSO authentication server 12 judges whether the user identifier ID is registered in the resource management table 26 (step S108).

ステップS108にて、ユーザ識別子IDがリソース管理テーブル26に登録有りの場合、SSO認証サーバ12は、SSOの認証を許可し、ユーザ端末TMに許可応答を送信する(ステップS109-1)。一方、ステップS108にて、ユーザ識別子IDがリソース管理テーブル26に登録無しの場合、SSO認証サーバ12は、SSOの認証を拒否し、ユーザ端末TMに拒否応答を送信する(ステップS109-2)。 If the user identifier ID is registered in the resource management table 26 in step S108, the SSO authentication server 12 permits the SSO authentication and transmits a permission response to the user terminal TM (step S109-1). On the other hand, if the user identifier ID is not registered in the resource management table 26 in step S108, the SSO authentication server 12 rejects the SSO authentication and transmits a rejection response to the user terminal TM (step S109-2).

図2に示した処理の具体例として、図1におけるユーザ端末TM10が、SSO認証サーバ12に認証要求を送信した場合を想定する(ステップS103)。この場合、ユーザ端末TM10のIPアドレスIPA10に基づいてMACアドレスMA10が取得される(ステップS104)。MACアドレスMA10は、認証テーブル24に登録有りであり、MACアドレスMA10に対応するユーザ識別子UID10は、リソース管理テーブル26に登録有りである(ステップS105,S108)。このため、ユーザ端末TM10には、許可応答が送信される(ステップS109-1)。 As a specific example of the process shown in FIG. 2, assume that the user terminal TM10 in FIG. 1 sends an authentication request to the SSO authentication server 12 (step S103). In this case, the MAC address MA10 is obtained based on the IP address IPA10 of the user terminal TM10 (step S104). The MAC address MA10 is registered in the authentication table 24, and the user identifier UID10 corresponding to the MAC address MA10 is registered in the resource management table 26 (steps S105, S108). Therefore, an authorization response is sent to the user terminal TM10 (step S109-1).

一方、図1におけるユーザ端末TM20が、SSO認証サーバ12に認証要求を送信した場合を想定する(ステップS103)。この場合、ユーザ端末TM20のIPアドレスIPA20に基づいてMACアドレスMA20が取得される(ステップS104)。MACアドレスMA20は、認証テーブル24に登録無しである(ステップS105)。このため、ユーザ端末TM20、詳細にはユーザ14bには、ユーザ識別子UIDおよびパスワードPWの入力が要求される(ステップS106-2)。詳細は省略するが、ユーザ14bがユーザ識別子UIDおよびパスワードPWを入力すると、SSO認証サーバ12は、ディレクトリサーバ13内のリソース管理テーブル26と照合することで、認証許否を判定する。 On the other hand, assume that the user terminal TM20 in FIG. 1 sends an authentication request to the SSO authentication server 12 (step S103). In this case, the MAC address MA20 is obtained based on the IP address IPA20 of the user terminal TM20 (step S104). The MAC address MA20 is not registered in the authentication table 24 (step S105). For this reason, the user terminal TM20, specifically the user 14b, is requested to input a user identifier UID and password PW (step S106-2). Although details are omitted, when the user 14b inputs the user identifier UID and password PW, the SSO authentication server 12 checks them against the resource management table 26 in the directory server 13 to determine whether or not to allow authentication.

また、ステップS107において、ユーザ情報、すなわち属性情報には、例えば、2個のサービスプロバイダSPa,SPbの中の1個のサービスプロバイダSPaのみにアクセスが可能といった、アクセス権限が含まれ得る。この場合、SSO認証サーバ12は、ユーザ端末TMがサービスプロバイダSPaにアクセスする場合に限って、ステップS109-1において、許可応答を送信する。 In addition, in step S107, the user information, i.e., attribute information, may include access authority, such as the ability to access only one service provider SPa among two service providers SPa and SPb. In this case, the SSO authentication server 12 transmits an authorization response in step S109-1 only when the user terminal TM accesses the service provider SPa.

具体例として、SAMLでは、ユーザ端末TMが、サービスプロバイダSPaに対してアクセスを行い、サービスプロバイダSPaからユーザ端末TMを介してリダイレクトする形でステップS103における認証要求が生じ得る。SSO認証サーバ12は、ステップS107でのユーザ情報の中にサービスプロバイダSPaへのアクセス権限が含まれているため、ユーザ端末TMに許可応答を送信する。許可応答は、サービスプロバイダSPaへのアクセスを許可するための認証トークン等である。一方、SSO認証サーバ12は、ユーザ端末TMがサービスプロバイダSPbに対してアクセスを行うことで生じた認証要求に対しては、ステップS107でのユーザ情報の中にサービスプロバイダSPbへのアクセス権限が含まれていないため、ユーザ端末TMに拒否応答を送信する。 As a specific example, in SAML, the user terminal TM accesses the service provider SPa, and an authentication request in step S103 may occur in the form of a redirect from the service provider SPa via the user terminal TM. The SSO authentication server 12 transmits an authorization response to the user terminal TM because the user information in step S107 includes access authority to the service provider SPa. The authorization response is an authentication token or the like for permitting access to the service provider SPa. On the other hand, in response to an authentication request generated by the user terminal TM accessing the service provider SPb, the SSO authentication server 12 transmits a rejection response to the user terminal TM because the user information in step S107 does not include access authority to the service provider SPb.

なお、実施の形態によるSSO認証システムは、必ずしもSAML方式に限らず、例えば、リバースプロキシ方式等といった他の方式にも適用可能である。リバースプロキシ方式では、例えば、SSO認証サーバ12をリバースプロキシサーバとして、ユーザ端末TMからサービスプロバイダSPa,SPbへのアクセスが常にリバースプロキシサーバを経由して行われるように構成される。この場合、リバースプロキシサーバは、ユーザ端末TMからの認証要求に応じて図2に示したような処理を行い、ステップS109-1における許可応答として認証済みクッキー等を送信すればよい。 The SSO authentication system according to the embodiment is not necessarily limited to the SAML method, but can also be applied to other methods such as the reverse proxy method. In the reverse proxy method, for example, the SSO authentication server 12 is configured as a reverse proxy server, and access from the user terminal TM to the service providers SPa and SPb is always performed via the reverse proxy server. In this case, the reverse proxy server performs the process shown in FIG. 2 in response to an authentication request from the user terminal TM, and transmits an authenticated cookie or the like as an authorization response in step S109-1.

<SSO認証サーバの詳細>
図3は、図1におけるSSO認証サーバの主要部の構成例を示すブロック図である。図3に示すSSO認証サーバ(SSO認証装置)12は、図1に示した認証テーブル24を保持する記憶部23に加えて、処理部30と、通信部31とを備える。処理部30は、例えば、プロセッサが記憶部23に保存される図示しない制御プログラムを実行すること等で実現される。ただし、処理部30は、これに限らず、一部または全てがFPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)等で実現されてもよい。通信部31は、例えば、イーサネット(登録商標)のインタフェース回路等によって実現される。 <SSO authentication server details>
Fig. 3 is a block diagram showing an example of the configuration of the main part of the SSO authentication server in Fig. 1. The SSO authentication server (SSO authentication device) 12 shown in Fig. 3 includes a processing unit 30 and a communication unit 31 in addition to the storage unit 23 that holds the authentication table 24 shown in Fig. 1. The processing unit 30 is realized, for example, by a processor executing a control program (not shown) stored in the storage unit 23. However, the processing unit 30 is not limited to this, and may be realized in part or in whole by an FPGA (Field Programmable Gate Array), an ASIC (Application Specific Integrated Circuit), or the like. The communication unit 31 is realized, for example, by an interface circuit of Ethernet (registered trademark), or the like.

処理部30は、送信元IPアドレス取得部35と、MACアドレス取得部36と、ユーザ識別子取得部37と、ユーザ情報検証部38と、認証判定部39とを備える。送信元IPアドレス取得部35は、ユーザ端末TM10からの認証要求パケットARQを、通信部31を介して受信し、当該認証要求パケットARQの送信元IPアドレスS-IPを取得する。 The processing unit 30 includes a source IP address acquisition unit 35, a MAC address acquisition unit 36, a user identifier acquisition unit 37, a user information verification unit 38, and an authentication judgment unit 39. The source IP address acquisition unit 35 receives an authentication request packet ARQ from the user terminal TM10 via the communication unit 31, and acquires the source IP address S-IP of the authentication request packet ARQ.

MACアドレス取得部36は、取得された送信元IPアドレスS-IPに対応するMACアドレスを、通信部31を介してDHCPサーバ11から取得する。ユーザ識別子取得部37は、取得されたMACアドレスの認証テーブル24への登録有無を判定する。そして、ユーザ識別子取得部37は、MACアドレスが認証テーブル24に登録有りの場合、当該MACアドレスをキーとして認証テーブル24を参照することで、当該MACアドレスに対応するユーザ識別子UIDを取得する。 The MAC address acquisition unit 36 acquires the MAC address corresponding to the acquired source IP address S-IP from the DHCP server 11 via the communication unit 31. The user identifier acquisition unit 37 determines whether the acquired MAC address is registered in the authentication table 24. If the MAC address is registered in the authentication table 24, the user identifier acquisition unit 37 acquires the user identifier UID corresponding to the MAC address by referring to the authentication table 24 using the MAC address as a key.

ユーザ情報検証部38は、ユーザ識別子取得部37で取得されたユーザ識別子UIDを、通信部31を介してディレクトリサーバ13に送信することで、ユーザ識別子UIDのリソース管理テーブル26への登録有無を判定する。また、ユーザ情報検証部38は、ユーザ識別子UIDがリソース管理テーブル26に登録有りの場合、当該ユーザ識別子UIDに対応するユーザ情報IMu、すなわち属性情報をリソース管理テーブル26から取得する。 The user information verification unit 38 transmits the user identifier UID acquired by the user identifier acquisition unit 37 to the directory server 13 via the communication unit 31 to determine whether the user identifier UID is registered in the resource management table 26. If the user identifier UID is registered in the resource management table 26, the user information verification unit 38 acquires user information IMu corresponding to the user identifier UID, i.e., attribute information, from the resource management table 26.

認証判定部39は、ユーザ識別子取得部37での判定結果、すなわちMACアドレスの認証テーブル24への登録有無情報IMrに基づいて、SSOの認証許否を判定する。より望ましくは、認証判定部39は、当該登録有無情報IMrに加えて、ユーザ情報検証部38での判定結果、すなわちユーザ識別子UIDのリソース管理テーブル26への登録有無および登録有りの際のユーザ情報IMuに基づいて、SSOの認証許否を判定する。詳細には、認証判定部39は、MACアドレスが認証テーブル24に登録有り、かつ、ユーザ識別子UIDがリソース管理テーブル26に登録有りの場合に、認証許可と判定する。この際には、認証判定部39は、ユーザ情報IMuに含まれ得るアクセス権限を反映して、認証許否を判定してもよい。 The authentication judgment unit 39 judges whether or not to permit SSO authentication based on the judgment result of the user identifier acquisition unit 37, i.e., the registration information IMr of the MAC address in the authentication table 24. More preferably, the authentication judgment unit 39 judges whether or not to permit SSO authentication based on the judgment result of the user information verification unit 38, i.e., whether or not the user identifier UID is registered in the resource management table 26 and the user information IMu when registered, in addition to the registration information IMr. In detail, the authentication judgment unit 39 judges that authentication is permitted when the MAC address is registered in the authentication table 24 and the user identifier UID is registered in the resource management table 26. At this time, the authentication judgment unit 39 may judge whether or not to permit authentication by reflecting the access rights that may be included in the user information IMu.

<実施の形態1の主要な効果>
以上、実施の形態1の方式では、SSO認証サーバ12は、DHCPサーバ11と連携してユーザ端末TMに割り当てられたIPアドレスに対応するMACアドレスを取得し、当該MACアドレスに基づいて、SSOの認証を行う。その結果、SSOの認証に際し、ユーザ識別子UIDやパスワードPWの入力が不要となり、証明書の準備等も不要となるため、ユーザの作業負荷を軽減することが可能になる。また、SSOの認証に際し、生体認証デバイス等も不要となるため、コストを低減することが可能になる。 <Major Effects of First Embodiment>
As described above, in the method of the first embodiment, the SSO authentication server 12 cooperates with the DHCP server 11 to obtain a MAC address corresponding to the IP address assigned to the user terminal TM, and performs SSO authentication based on the MAC address. As a result, input of a user identifier UID and a password PW is not required for SSO authentication, and preparation of a certificate is also not required, so that the user's workload can be reduced. In addition, a biometric authentication device is not required for SSO authentication, so that costs can be reduced.

(実施の形態2)
<SSO認証システムの概略>
図4は、実施の形態2によるSSO認証システムの構成例を示す概略図である。図4に示すSSO認証システムは、図1に示した構成例と比較して次の2点が異なっている。1点目の相違点として、図1におけるディレクトリサーバ13が設けられず、その代わりに、SSO認証サーバ12aが、当該ディレクトリサーバ13内のリソース管理テーブル26を記憶部23に保持する。2点目の相違点として、1点目の相違点に伴いSSO認証サーバ12aは、図1の場合とは異なる処理を行う。 (Embodiment 2)
<Outline of SSO authentication system>
Fig. 4 is a schematic diagram showing a configuration example of an SSO authentication system according to the second embodiment. The SSO authentication system shown in Fig. 4 differs from the configuration example shown in Fig. 1 in the following two points. As a first difference, the directory server 13 in Fig. 1 is not provided, and instead, the SSO authentication server 12a holds the resource management table 26 in the directory server 13 in the storage unit 23. As a second difference, due to the first difference, the SSO authentication server 12a performs a process different from that in the case of Fig. 1.

すなわち、SSO認証サーバ12a内の記憶部23は、SSOの認証を許可するMACアドレスとユーザ識別子UIDとの対応関係を表す認証テーブル24に加えて、ネットワークに接続される各種リソースを管理するためのリソース管理テーブル26を保持する。そして、概略的には、SSO認証サーバ12aは、図1の場合と同様に、DHCPサーバ11から取得したMACアドレスが認証テーブル24に登録有りの場合、当該MACアドレスに対応するユーザ識別子UIDを認証テーブル24から取得する。ただし、SSO認証サーバ12aは、図1の場合と異なり、ディレクトリサーバ13と通信することなく、取得したユーザ識別子UIDのリソース管理テーブル26への登録有無を判定し、登録有りの場合に、SSOの認証を許可する。 That is, the storage unit 23 in the SSO authentication server 12a holds an authentication table 24 that indicates the correspondence between MAC addresses and user identifiers UIDs that permit SSO authentication, as well as a resource management table 26 for managing various resources connected to the network. Then, in general, as in the case of FIG. 1, if the MAC address acquired from the DHCP server 11 is registered in the authentication table 24, the SSO authentication server 12a acquires the user identifier UID corresponding to the MAC address from the authentication table 24. However, unlike the case of FIG. 1, the SSO authentication server 12a determines whether the acquired user identifier UID is registered in the resource management table 26 without communicating with the directory server 13, and if registered, permits SSO authentication.

<SSO認証システムの動作>
図5は、図4におけるSSO認証システムの主要部の処理内容の一例を示すシーケンス図である。図5において、ステップS101からステップS106-1,S106-2までの処理内容に関しては、図2の場合と同様である。その後、ステップS108aにおいて、SSO認証サーバ(SSO認証装置)12aは、図2の場合と異なり、ステップS107での処理を経ることなく、ステップS106-1で取得したユーザ識別子UIDのリソース管理テーブル26への登録有無を判定する。 <Operation of SSO authentication system>
Fig. 5 is a sequence diagram showing an example of the processing contents of the main parts of the SSO authentication system in Fig. 4. In Fig. 5, the processing contents from step S101 to steps S106-1 and S106-2 are the same as those in Fig. 2. Thereafter, in step S108a, the SSO authentication server (SSO authentication device) 12a, unlike the case in Fig. 2, determines whether the user identifier UID acquired in step S106-1 is registered in the resource management table 26 without going through the processing in step S107.

その後は、図2の場合と同様に、SSO認証サーバ12aは、ユーザ識別子UIDのリソース管理テーブル26への登録有無に基づいて、ユーザ端末TMに、許可応答または拒否応答を送信する(ステップS109-1,S109-2)。なお、図示は省略されるが、SSO認証サーバ12aは、ステップS108aにてユーザ識別子UIDがリソース管理テーブル26に登録されている場合、図2の場合と同様にして、当該ユーザ識別子UIDのユーザ情報、すなわち属性情報を適宜処理する。 2, the SSO authentication server 12a transmits an approval response or a rejection response to the user terminal TM based on whether the user identifier UID is registered in the resource management table 26 (steps S109-1 and S109-2). Although not shown, if the user identifier UID is registered in the resource management table 26 in step S108a, the SSO authentication server 12a appropriately processes the user information, i.e., attribute information, of the user identifier UID in the same manner as in FIG. 2.

<SSO認証サーバの詳細>
図6は、図4におけるSSO認証サーバの主要部の構成例を示すブロック図である。図6に示されるSSO認証サーバ12aは、図3に示した構成例と比較して次の2点が異なっている。1点目の相違点として、記憶部23は、認証テーブル24に加えて、リソース管理テーブル26を保持する。2点目の相違点として、ユーザ情報検証部38aは、図3の場合とは異なる処理を行う。 <SSO authentication server details>
Fig. 6 is a block diagram showing a configuration example of the main part of the SSO authentication server in Fig. 4. The SSO authentication server 12a shown in Fig. 6 is different from the configuration example shown in Fig. 3 in the following two points. The first difference is that the storage unit 23 holds a resource management table 26 in addition to the authentication table 24. The second difference is that the user information verification unit 38a performs a process different from that in Fig. 3.

すなわち、ユーザ情報検証部38aは、ユーザ識別子取得部37で取得されたユーザ識別子UIDのリソース管理テーブル26への登録有無を、ディレクトリサーバ13との通信を経ることなく判定する。また、ユーザ情報検証部38aは、図3の場合と同様に、ユーザ識別子UIDがリソース管理テーブル26に登録有りの場合、当該ユーザ識別子UIDに対応するユーザ情報IMu、すなわち属性情報をリソース管理テーブル26から取得する。 That is, the user information verification unit 38a determines whether the user identifier UID acquired by the user identifier acquisition unit 37 is registered in the resource management table 26 without communicating with the directory server 13. Also, as in the case of FIG. 3, if the user identifier UID is registered in the resource management table 26, the user information verification unit 38a acquires user information IMu corresponding to the user identifier UID, that is, attribute information, from the resource management table 26.

<実施の形態2の主要な効果>
以上、実施の形態2の方式を用いることで、実施の形態1で述べた各種効果と同様の効果が得られる。さらに、SSO認証サーバ12aがリソース管理テーブル26を備えることで、ディレクトリサーバ13が不要となり、装置コストの低減や通信負荷の軽減等が実現可能になる。 <Major Effects of the Second Embodiment>
As described above, by using the method of the second embodiment, it is possible to obtain the same effects as those described in the first embodiment. Furthermore, by providing the SSO authentication server 12a with the resource management table 26, the directory server 13 becomes unnecessary, and it becomes possible to reduce the device cost and the communication load, etc.

(実施の形態3)
<SSO認証システムの概略>
図7は、実施の形態3によるSSO認証システムの構成例を示す概略図である。図7に示すSSO認証システムは、図4に示した構成例と比較して次の点が異なっている。すなわち、SSO認証サーバ12b内の記憶部23は、認証管理テーブル45を保持する。これに伴い、SSO認証サーバ12bは、図4の場合とは異なる処理を行う。 (Embodiment 3)
<Outline of SSO authentication system>
Fig. 7 is a schematic diagram showing a configuration example of an SSO authentication system according to embodiment 3. The SSO authentication system shown in Fig. 7 is different from the configuration example shown in Fig. 4 in the following respects. That is, the storage unit 23 in the SSO authentication server 12b holds an authentication management table 45. Accordingly, the SSO authentication server 12b performs a process different from that in Fig. 4.

認証管理テーブル45には、ネットワーク10に接続される各種リソースを管理するための情報が予め登録され、当該情報の一部としてSSOの認証を許可するMACアドレスが登録される。すなわち、認証管理テーブル45は、図4に示した認証テーブル24とリソース管理テーブル26とを統合したようなものとなっている。SSO認証サーバ12bは、概略的には、DHCPサーバ11から取得したMACアドレスの認証管理テーブル45への登録有無に基づいて、SSOの認証許否を判定する。 In the authentication management table 45, information for managing various resources connected to the network 10 is registered in advance, and as part of this information, the MAC addresses for which SSO authentication is permitted are registered. In other words, the authentication management table 45 is a combination of the authentication table 24 and the resource management table 26 shown in FIG. 4. In general, the SSO authentication server 12b determines whether or not to permit SSO authentication based on whether or not the MAC address obtained from the DHCP server 11 is registered in the authentication management table 45.

この例では、認証管理テーブル45には、ユーザアカウントであるユーザ識別子UID10に紐づけられた属性情報、すなわちユーザ情報の一つとして、SSOの認証を許可するMACアドレスMA10が登録される。この場合、SSO認証サーバ12bは、MACアドレスMA10を有するユーザ端末TM10からの認証要求を受信した際、MACアドレスによるSSOの認証を許可する。 In this example, the MAC address MA10 that allows SSO authentication is registered in the authentication management table 45 as attribute information linked to the user identifier UID10, which is a user account, i.e., as one piece of user information. In this case, when the SSO authentication server 12b receives an authentication request from a user terminal TM10 having the MAC address MA10, it allows SSO authentication using the MAC address.

一方、認証管理テーブル45において、ユーザ識別子UID20の属性情報の中には、MACアドレスは登録されない。この場合、SSO認証サーバ12bは、MACアドレスMA20を有するユーザ端末TM20からの認証要求を受信した際、MACアドレスによるSSOの認証は許可しない。その代わりに、SSO認証サーバ12bは、ユーザ14bにユーザ識別子UIDおよびパスワードの入力を要求する。 On the other hand, in the authentication management table 45, the MAC address is not registered in the attribute information of the user identifier UID20. In this case, when the SSO authentication server 12b receives an authentication request from the user terminal TM20 having the MAC address MA20, the SSO authentication server 12b does not allow SSO authentication based on the MAC address. Instead, the SSO authentication server 12b requests the user 14b to input the user identifier UID and password.

<SSO認証システムの動作>
図8は、図7におけるSSO認証システムの主要部の処理内容の一例を示すシーケンス図である。図8において、ステップS101からステップS104までの処理内容に関しては、図5の場合と同様である。その後、ステップS105aにおいて、SSO認証サーバ(SSO認証装置)12bは、ステップS104で取得したMACアドレスの認証管理テーブル45への登録有無を判定する。ただし、ステップS105aでは、図5におけるステップS105の場合と異なり、MACアドレスが認証管理テーブル45に登録有りの際に、必然的に、ユーザ識別子UIDも認証管理テーブル45に登録有りとなる。 <Operation of SSO authentication system>
Fig. 8 is a sequence diagram showing an example of the processing contents of the main part of the SSO authentication system in Fig. 7. In Fig. 8, the processing contents from step S101 to step S104 are the same as those in Fig. 5. After that, in step S105a, the SSO authentication server (SSO authentication device) 12b determines whether the MAC address acquired in step S104 is registered in the authentication management table 45. However, in step S105a, unlike the case of step S105 in Fig. 5, when the MAC address is registered in the authentication management table 45, the user identifier UID is also necessarily registered in the authentication management table 45.

その後、SSO認証サーバ12bは、MACアドレスが認証管理テーブル45に登録有りの場合、ユーザ端末TMに、許可応答を送信する(ステップS106a-1)。一方、SSO認証サーバ12bは、MACアドレスが認証管理テーブル45に登録無しの場合、ユーザ端末TMを使用するユーザに、ユーザ識別子UIDおよびパスワードPWの入力を要求する(ステップS106a-2)。なお、図示は省略されるが、SSO認証サーバ12bは、ステップS105aにてMACアドレスが認証管理テーブル45に登録有りの場合、図2の場合と同様にして、対応するユーザ識別子UIDのユーザ情報、すなわち属性情報を適宜処理する。 After that, if the MAC address is registered in the authentication management table 45, the SSO authentication server 12b sends an authorization response to the user terminal TM (step S106a-1). On the other hand, if the MAC address is not registered in the authentication management table 45, the SSO authentication server 12b requests the user who uses the user terminal TM to input the user identifier UID and password PW (step S106a-2). Although not shown, if the MAC address is registered in the authentication management table 45 in step S105a, the SSO authentication server 12b appropriately processes the user information, i.e., attribute information, of the corresponding user identifier UID in the same manner as in FIG. 2.

<SSO認証サーバの詳細>
図9は、図7におけるSSO認証サーバの主要部の構成例を示すブロック図である。図9に示されるSSO認証サーバ12bは、図6に示した構成例と比較して次の2点が異なっている。1点目の相違点として、記憶部23は、認証管理テーブル45を保持する。2点目の相違点として、ユーザ識別子取得部37およびユーザ情報検証部38aは設けられず、図5の場合とは異なる処理を行う認証判定部46が設けられる。 <SSO authentication server details>
Fig. 9 is a block diagram showing a configuration example of the main part of the SSO authentication server in Fig. 7. The SSO authentication server 12b shown in Fig. 9 is different from the configuration example shown in Fig. 6 in the following two points. The first difference is that the storage unit 23 holds an authentication management table 45. The second difference is that the user identifier acquisition unit 37 and the user information verification unit 38a are not provided, and an authentication determination unit 46 that performs processing different from that in the case of Fig. 5 is provided.

認証判定部46は、MACアドレス取得部36で取得されたMACアドレスの認証管理テーブル45への登録有無に基づいて、SSOの認証許否を判定する。具体的には、認証判定部46は、取得されたMACアドレスをキーに認証管理テーブル45を参照することで、MACアドレスの登録有無を判定し、登録有りの場合には、対応するユーザ情報IMu、すなわちMACアドレスを除く属性情報を取得する。そして、認証判定部46は、MACアドレスが認証管理テーブル45に登録有りの場合には、SSOの認証を許可する。 The authentication determination unit 46 determines whether or not to permit SSO authentication based on whether or not the MAC address acquired by the MAC address acquisition unit 36 is registered in the authentication management table 45. Specifically, the authentication determination unit 46 determines whether or not the MAC address is registered by referring to the authentication management table 45 using the acquired MAC address as a key, and if registered, acquires the corresponding user information IMu, i.e., attribute information excluding the MAC address. Then, if the MAC address is registered in the authentication management table 45, the authentication determination unit 46 permits SSO authentication.

<実施の形態3の主要な効果>
以上、実施の形態3の方式を用いることで、実施の形態1,2で述べた各種効果と同様の効果が得られる。さらに、1個の認証管理テーブル45に基づいてSSOの認証を管理できるため、ネットワーク管理を効率化することが可能になる。 <Major Effects of Third Embodiment>
As described above, by using the method of the third embodiment, it is possible to obtain the same effects as those described in the first and second embodiments. Furthermore, since SSO authentication can be managed based on one authentication management table 45, it is possible to improve the efficiency of network management.

(実施の形態4)
<SSO認証システムの概略>
図10は、実施の形態4によるSSO認証システムの構成例を示す概略図である。図10に示されるSSO認証システムは、図7の場合とほぼ同様の構成を備える。ただし、図7の場合とは、SSO認証サーバ12c内の記憶部23が保持する認証管理テーブル45cの構成が異なっている。これに伴い、図7の場合とは、SSO認証サーバ12cの処理内容も異なっている。 (Embodiment 4)
<Outline of SSO authentication system>
Fig. 10 is a schematic diagram showing a configuration example of an SSO authentication system according to the fourth embodiment. The SSO authentication system shown in Fig. 10 has a configuration almost similar to that of Fig. 7. However, the configuration of the authentication management table 45c held by the storage unit 23 in the SSO authentication server 12c is different from that of Fig. 7. Accordingly, the processing contents of the SSO authentication server 12c are also different from that of Fig. 7.

認証管理テーブル45cには、SSOの認証を許可するMACアドレス毎に、厳密には、ユーザ識別子UID毎に、SSOの対象とするサービスプロバイダSPを表すエンティティIDが、属性情報の一つとして予め登録されている。言い換えれば、属性情報の一つとして、アクセス権限が登録されている。図10の例では、MACアドレスMA10に対応するユーザ識別子UID10に対して、サービスプロバイダSPaのみのアクセス権限が付与されている。一方、ユーザ識別子UID20に対しては、サービスプロバイダSPa,SPbへのアクセス権限が付与されている。 In the authentication management table 45c, for each MAC address for which SSO authentication is permitted, or more precisely, for each user identifier UID, an entity ID representing the service provider SP that is the target of SSO is preregistered as one piece of attribute information. In other words, access authority is registered as one piece of attribute information. In the example of FIG. 10, the user identifier UID10 corresponding to the MAC address MA10 is granted access authority only to the service provider SPa. On the other hand, the user identifier UID20 is granted access authority to the service providers SPa and SPb.

SSO認証サーバ12cは、DHCPサーバ11から取得したMACアドレスが認証管理テーブル45cに登録有りの場合、当該MACアドレスに対応するエンティティIDが表すサービスプロバイダSPへのSSOの認証を許可する。この例では、SSO認証サーバ12cは、MACアドレスMA10を有するユーザ端末TM10からの認証要求を受信した際、MACアドレスによるSSOの認証を許可し、サービスプロバイダSPaのみへのアクセスを許可する。 If the MAC address obtained from the DHCP server 11 is registered in the authentication management table 45c, the SSO authentication server 12c allows SSO authentication to the service provider SP represented by the entity ID corresponding to the MAC address. In this example, when the SSO authentication server 12c receives an authentication request from a user terminal TM10 having a MAC address MA10, it allows SSO authentication based on the MAC address and allows access only to the service provider SPa.

一方、SSO認証サーバ12bは、MACアドレスMA20を有するユーザ端末TM20からの認証要求を受信した際、MACアドレスによるSSOの認証は許可せず、ユーザ14bにユーザ識別子UIDおよびパスワードの入力を要求する。SSO認証サーバ12bは、ユーザ14bによって正しいユーザ識別子UID20およびパスワードが入力された場合、SSOの認証を許可し、サービスプロバイダSPa,SPbへのアクセスを許可する。 On the other hand, when the SSO authentication server 12b receives an authentication request from the user terminal TM20 having the MAC address MA20, it does not allow SSO authentication based on the MAC address and requests the user 14b to enter a user identifier UID and password. If the user 14b enters the correct user identifier UID20 and password, the SSO authentication server 12b allows SSO authentication and permits access to the service providers SPa and SPb.

<SSO認証システムの動作>
図11は、図10におけるSSO認証システムの主要部の処理内容の一例を示すシーケンス図である。図12は、図11とは異なる処理内容の一例を示すシーケンス図である。SAMLによる認証方式として、サービスプロバイダSPへのアクセスを起点とする方式と、IdpであるSSO認証サーバ12cへのアクセスを起点とする方式とが存在する。図11は、前者の方式を表し、図12は、後者の方式を表す。 <Operation of SSO authentication system>
Fig. 11 is a sequence diagram showing an example of the processing contents of the main part of the SSO authentication system in Fig. 10. Fig. 12 is a sequence diagram showing an example of the processing contents different from those in Fig. 11. As authentication methods using SAML, there are a method that starts from access to the service provider SP, and a method that starts from access to the SSO authentication server 12c which is the Idp. Fig. 11 shows the former method, and Fig. 12 shows the latter method.

図11において、ステップS101,S102の処理内容に関しては、図8の場合と同様である。その後、ステップS201において、ユーザ端末TMは、図8の場合と異なり、サービスプロバイダSPへアクセスする。具体例として、サービスプロバイダSPaへのアクセスが生じた場合を想定する。サービスプロバイダSPaは、ユーザ端末TMからのアクセスに応じて、サービスプロバイダSPaのエンティティIDを含む認証要求を、ユーザ端末TMを介してSSO認証サーバ12cにリダイレクトさせる(ステップS103a)。 In FIG. 11, the processing contents of steps S101 and S102 are the same as in FIG. 8. Then, in step S201, the user terminal TM accesses the service provider SP, unlike in FIG. 8. As a specific example, assume that access to the service provider SPa occurs. In response to access from the user terminal TM, the service provider SPa redirects an authentication request including the entity ID of the service provider SPa to the SSO authentication server 12c via the user terminal TM (step S103a).

これに伴い、SSO認証サーバ12cは、図8の場合と同様に、当該認証要求に含まれる送信元IPアドレスに対応するMACアドレスを、DHCPサーバ11から取得する(ステップS104)。そして、SSO認証サーバ12cは、取得されたMACアドレスの認証管理テーブル45cへの登録有無を判定する(ステップS105a)。MACアドレスが認証管理テーブル45cに登録無しの場合、SSO認証サーバ12cは、ユーザ端末TMを使用するユーザに、ユーザ識別子UIDおよびパスワードPWの入力を要求する(ステップS202-2)。 As a result, the SSO authentication server 12c, as in the case of FIG. 8, acquires from the DHCP server 11 the MAC address corresponding to the source IP address included in the authentication request (step S104). Then, the SSO authentication server 12c determines whether the acquired MAC address is registered in the authentication management table 45c (step S105a). If the MAC address is not registered in the authentication management table 45c, the SSO authentication server 12c requests the user using the user terminal TM to input a user identifier UID and a password PW (step S202-2).

一方、ステップS105aにて、MACアドレスが認証管理テーブル45cに登録有りの場合、SSO認証サーバ12cは、図8の場合と異なり、ステップS103aでの認証要求に含まれるサービスプロバイダSPaのエンティティIDの、認証管理テーブル45cへの登録有無を判定する(ステップS202-1)。具体的には、SSO認証サーバ12cは、認証管理テーブル45cにおいて、対象のMACアドレス、厳密には対象のユーザ識別子UIDに紐づいて、サービスプロバイダSPaのエンティティIDが登録されているか否かを判定する。 On the other hand, if the MAC address is registered in the authentication management table 45c in step S105a, the SSO authentication server 12c, unlike the case of FIG. 8, determines whether the entity ID of the service provider SPa included in the authentication request in step S103a is registered in the authentication management table 45c (step S202-1). Specifically, the SSO authentication server 12c determines whether the entity ID of the service provider SPa is registered in the authentication management table 45c in association with the target MAC address, or more precisely, the target user identifier UID.

ステップS202-1にて、サービスプロバイダSPaのエンティティIDが認証管理テーブル45cに登録有りの場合、SSO認証サーバ12cは、許可応答を表す認証トークン等を、ユーザ端末TMを介してサービスプロバイダSPaにリダイレクトさせる(ステップS203-1)。一方、ステップS202-1にて、サービスプロバイダSPaのエンティティIDが認証管理テーブル45cに登録無しの場合、SSO認証サーバ12cは、ユーザ端末TMに、拒否応答を送信する(ステップS203-2)。 If the entity ID of the service provider SPa is registered in the authentication management table 45c in step S202-1, the SSO authentication server 12c redirects an authentication token or the like representing an approval response to the service provider SPa via the user terminal TM (step S203-1). On the other hand, if the entity ID of the service provider SPa is not registered in the authentication management table 45c in step S202-1, the SSO authentication server 12c sends a rejection response to the user terminal TM (step S203-2).

図12において、ステップS101からステップS105aまでの処理内容に関しては、図8の場合と同様である。ステップS105aにて、MACアドレスが認証管理テーブル45cに登録無しの場合、SSO認証サーバ12cは、ユーザ端末TMを使用するユーザに、ユーザ識別子UIDおよびパスワードPWの入力を要求する(ステップS301-2)。 In FIG. 12, the process from step S101 to step S105a is the same as in FIG. 8. If the MAC address is not registered in the authentication management table 45c in step S105a, the SSO authentication server 12c requests the user using the user terminal TM to input a user identifier UID and a password PW (step S301-2).

一方、ステップS105aにて、MACアドレスが認証管理テーブル45cに登録有りの場合、SSO認証サーバ12cは、ユーザ端末TMに、サービスプロバイダSPの選択肢情報を送信する(ステップS301-1)。具体的には、SSO認証サーバ12cは、ユーザ端末TMの画面上に、SSOの対象となる各サービスプロバイダSPa,SPbを表すアイコン等を表示させる。 On the other hand, if the MAC address is registered in the authentication management table 45c in step S105a, the SSO authentication server 12c transmits selection information for the service provider SP to the user terminal TM (step S301-1). Specifically, the SSO authentication server 12c displays icons or the like representing each of the service providers SPa and SPb that are targets of the SSO on the screen of the user terminal TM.

その後、ユーザ端末TMを使用するユーザは、画面上に表示されたアイコンをクリックすること等で、アクセスしたいサービスプロバイダSPを選択する(ステップS302)。具体例として、サービスプロバイダSPaが選択された場合を想定する。これに応じて、ユーザ端末TMは、選択されたサービスプロバイダSPaのエンティティIDを含んだログイン要求を、SSO認証サーバ12cに送信する(ステップS303)。 Then, the user of the user terminal TM selects the service provider SP that he or she wishes to access, for example by clicking on an icon displayed on the screen (step S302). As a specific example, assume that service provider SPa is selected. In response, the user terminal TM transmits a login request including the entity ID of the selected service provider SPa to the SSO authentication server 12c (step S303).

SSO認証サーバ12cは、ステップS303でのログイン要求を受信し、当該ログイン要求に含まれるサービスプロバイダSPaのエンティティIDの、認証管理テーブル45cへの登録有無を判定する(ステップS304)。具体的には、SSO認証サーバ12cは、認証管理テーブル45cにおいて、対象のMACアドレス、厳密には対象のユーザ識別子UIDに紐づいて、サービスプロバイダSPaのエンティティIDが登録されているか否かを判定する。 The SSO authentication server 12c receives the login request in step S303 and determines whether the entity ID of the service provider SPa included in the login request is registered in the authentication management table 45c (step S304). Specifically, the SSO authentication server 12c determines whether the entity ID of the service provider SPa is registered in the authentication management table 45c in association with the target MAC address, or more precisely, the target user identifier UID.

ステップS304にて、サービスプロバイダSPaのエンティティIDが認証管理テーブル45cに登録有りの場合、SSO認証サーバ12cは、許可応答を表す認証トークン等を、ユーザ端末TMを介してサービスプロバイダSPaにリダイレクトさせる(ステップS305-1)。一方、ステップS304にて、サービスプロバイダSPaのエンティティIDが認証管理テーブル45cに登録無しの場合、SSO認証サーバ12cは、ユーザ端末TMに、拒否応答を送信する(ステップS305-2)。 If the entity ID of the service provider SPa is registered in the authentication management table 45c in step S304, the SSO authentication server 12c redirects the authentication token or the like representing the permission response to the service provider SPa via the user terminal TM (step S305-1). On the other hand, if the entity ID of the service provider SPa is not registered in the authentication management table 45c in step S304, the SSO authentication server 12c sends a rejection response to the user terminal TM (step S305-2).

<SSO認証サーバの詳細>
図10におけるSSO認証サーバ12cの構成に関しては、図9の場合とほぼ同様である。ただし、実施の形態4では、記憶部23は、図10に示した認証管理テーブル45cを保持し、また、認証判定部46が認証管理テーブル45cから取得するユーザ情報IMuの中には、サービスプロバイダSPのエンティティIDが含まれる。認証判定部46は、MACアドレス取得部36で取得されたMACアドレスが認証管理テーブル45cに登録有りの場合、当該MACアドレスに対応するエンティティIDが表すサービスプロバイダSPへのSSOの認証を許可する。 <SSO authentication server details>
The configuration of the SSO authentication server 12c in Fig. 10 is almost the same as that in Fig. 9. However, in the fourth embodiment, the storage unit 23 holds the authentication management table 45c shown in Fig. 10, and the entity ID of the service provider SP is included in the user information IMu acquired from the authentication management table 45c by the authentication assessment unit 46. When the MAC address acquired by the MAC address acquisition unit 36 is registered in the authentication management table 45c, the authentication assessment unit 46 permits SSO authentication to the service provider SP represented by the entity ID corresponding to the MAC address.

<認証管理テーブルの変形例>
図13は、図10における認証管理テーブルの図10とは異なる構成例を示す概略図である。図13に示す認証管理テーブル45dは、図10の場合と異なり、ユーザ識別子UID10に対応して2個のMACアドレスMA10,MA11が登録されている。さらに、MACアドレスMA10に対応してサービスプロバイダSPaのエンティティIDが登録され、MACアドレスMA12に対応してサービスプロバイダSPbのエンティティIDが登録されている。 <Modification of the authentication management table>
Fig. 13 is a schematic diagram showing an example of a configuration of the authentication management table in Fig. 10 that is different from that of Fig. 10. Unlike the case of Fig. 10, the authentication management table 45d shown in Fig. 13 has two MAC addresses MA10 and MA11 registered corresponding to a user identifier UID10. Furthermore, the entity ID of the service provider SPa is registered corresponding to the MAC address MA10, and the entity ID of the service provider SPb is registered corresponding to the MAC address MA12.

この場合、SSO認証サーバ12cは、MACアドレスMA10を有するユーザ端末TM10からの認証要求を受信した際には、サービスプロバイダSPaのみへのSSOの認証を許可する。また。SSO認証サーバ12cは、MACアドレスMA11を有するユーザ端末からの認証要求を受信した際には、サービスプロバイダSPbのみへのSSOの認証を許可する。 In this case, when the SSO authentication server 12c receives an authentication request from a user terminal TM10 having a MAC address MA10, it allows SSO authentication only to service provider SPa. Also, when the SSO authentication server 12c receives an authentication request from a user terminal having a MAC address MA11, it allows SSO authentication only to service provider SPb.

<実施の形態4の主要な効果>
以上、実施の形態4の方式を用いることで、実施の形態1~3で述べた各種効果と同様の効果が得られる。さらに、MACアドレスに紐づけられたアクセス権限の情報、詳細には、エンティティIDに基づいて、サービスプロバイダSPへのアクセスを制限できる。その結果、自由度が高いネットワーク管理を実現することが可能になる。 <Major Effects of Fourth Embodiment>
As described above, by using the method of the fourth embodiment, it is possible to obtain the same effects as those described in the first to third embodiments. Furthermore, it is possible to restrict access to the service provider SP based on information on access authority linked to a MAC address, more specifically, on an entity ID. As a result, it is possible to realize a highly flexible network management.

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 The invention made by the inventor has been specifically described above based on the embodiments, but the present invention is not limited to the above-mentioned embodiments and can be modified in various ways without departing from the gist of the invention. For example, the above-mentioned embodiments have been described in detail to explain the invention in an easy-to-understand manner, and the invention is not necessarily limited to having all of the configurations described. It is also possible to replace part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. It is also possible to add, delete, or replace part of the configuration of each embodiment with other configurations.

10:ネットワーク、11:DHCPサーバ、12,12a,12b:SSO認証サーバ(SSO認証装置)、13:ディレクトリサーバ、14a,14b:ユーザ、15:ルータ、21,23,25:記憶部、22:IP管理テーブル、24:認証テーブル、26:リソース管理テーブル、30:処理部、31:通信部、35:送信元IPアドレス取得部、36:MACアドレス取得部、37:ユーザ識別子取得部、38:ユーザ情報検証部、39:認証判定部、45,45c:認証管理テーブル、SP:サービスプロバイダ、TM:ユーザ端末 10: Network, 11: DHCP server, 12, 12a, 12b: SSO authentication server (SSO authentication device), 13: Directory server, 14a, 14b: User, 15: Router, 21, 23, 25: Storage unit, 22: IP management table, 24: Authentication table, 26: Resource management table, 30: Processing unit, 31: Communication unit, 35: Source IP address acquisition unit, 36: MAC address acquisition unit, 37: User identifier acquisition unit, 38: User information verification unit, 39: Authentication judgment unit, 45, 45c: Authentication management table, SP: Service provider, TM: User terminal

Claims (3)

ユーザ端末にIPアドレスを割り当てるDHCPサーバと、
ネットワークを介して前記ユーザ端末および前記DHCPサーバに接続され、前記ユーザ端末からの認証要求に応じてシングルサインオンの認証許否を判定するシングルサインオン認証サーバと、
認証を許可するユーザ識別子が登録されるリソース管理テーブルと、
を備え、
前記DHCPサーバは、前記ユーザ端末にIPアドレスを割り当てた際に、割り当てたIPアドレスと、前記ユーザ端末のMACアドレスとの対応関係を記憶し、
前記シングルサインオン認証サーバは、
シングルサインオンの認証を許可するMACアドレス、および当該MACアドレスに対応するユーザ識別子が予め登録される認証テーブルを保持し、
前記ユーザ端末から前記認証要求を含むパケットを受信した際に、受信したパケットの送信元IPアドレスに対応するMACアドレスを前記DHCPサーバから取得し、取得したMACアドレスの前記認証テーブルへの登録有無を判定し、
取得したMACアドレスが前記認証テーブルに登録有りの場合、当該MACアドレスに対応する前記ユーザ識別子を前記認証テーブルから取得し、取得した前記ユーザ識別子の前記リソース管理テーブルへの登録有無を判定し、前記リソース管理テーブルに登録有りの場合、前記シングルサインオンの認証を許可し、
取得したMACアドレスが前記認証テーブルに登録無しの場合、前記ユーザ端末を介してユーザに、前記ユーザ識別子およびパスワードの入力を要求し、
前記シングルサインオン認証サーバに前記ネットワークを介して接続され、前記ユーザ識別子を含めて前記ネットワークに接続される各種リソースを管理するための前記リソース管理テーブルを保持するディレクトリサーバをさらに備え、
前記シングルサインオン認証サーバは、前記DHCPサーバから取得したMACアドレスが前記認証テーブルに登録有りの場合、前記認証テーブルから取得した前記ユーザ識別子を前記ディレクトリサーバに送信することで前記ユーザ識別子の前記リソース管理テーブルへの登録有無を判定する、
シングルサインオン認証システム。 A DHCP server that assigns IP addresses to user terminals;
a single sign-on authentication server that is connected to the user terminal and the DHCP server via a network and determines whether or not to permit single sign-on authentication in response to an authentication request from the user terminal;
a resource management table in which user identifiers permitted to be authenticated are registered;
Equipped with
When the DHCP server assigns an IP address to the user terminal, the DHCP server stores a correspondence relationship between the assigned IP address and a MAC address of the user terminal;
The single sign-on authentication server,
holding an authentication table in which MAC addresses for which single sign-on authentication is permitted and user identifiers corresponding to the MAC addresses are registered in advance;
When receiving a packet including the authentication request from the user terminal, obtain a MAC address corresponding to a source IP address of the received packet from the DHCP server, and determine whether the obtained MAC address is registered in the authentication table;
If the acquired MAC address is registered in the authentication table, the user identifier corresponding to the MAC address is acquired from the authentication table, and it is determined whether the acquired user identifier is registered in the resource management table. If the acquired user identifier is registered in the resource management table, the single sign-on authentication is permitted.
If the acquired MAC address is not registered in the authentication table, the user is requested to input the user identifier and password via the user terminal ;
a directory server connected to the single sign-on authentication server via the network and holding the resource management table for managing various resources connected to the network, including the user identifier;
when the MAC address acquired from the DHCP server is registered in the authentication table, the single sign-on authentication server transmits the user identifier acquired from the authentication table to the directory server to determine whether the user identifier is registered in the resource management table;
Single sign-on authentication system. 請求項1に記載のシングルサインオン認証システムにおいて、
前記ネットワークは、前記ユーザ端末と前記DHCPサーバとの間に接続され、OSI参照モデルのレイヤ3の処理を担うルータを備える、
シングルサインオン認証システム。 2. The single sign-on authentication system according to claim 1 ,
The network includes a router connected between the user terminal and the DHCP server and performing layer 3 processing of the OSI reference model.
Single sign-on authentication system. DHCPサーバが、ユーザ端末にIPアドレスを割り当てた際に、割り当てたIPアドレスと、前記ユーザ端末のMACアドレスとの対応関係を記憶することを前提として、さらに、認証を許可するユーザ識別子が登録されるリソース管理テーブルが設けられることを前提として、ネットワークを介して前記ユーザ端末および前記DHCPサーバに接続され、前記ユーザ端末からの認証要求に応じてシングルサインオンの認証許否を判定するシングルサインオン認証装置であって、
シングルサインオンの認証を許可するMACアドレス、および当該MACアドレスに対応するユーザ識別子が予め登録される認証テーブルを保持する記憶部と、
前記ユーザ端末から前記認証要求を含むパケットを受信した際に、受信したパケットの送信元IPアドレスに対応するMACアドレスを前記DHCPサーバから取得するMACアドレス取得部と、
取得したMACアドレスが前記認証テーブルに登録有りの場合、当該MACアドレスに対応する前記ユーザ識別子を前記認証テーブルから取得するユーザ識別子取得部と、
取得した前記ユーザ識別子の前記リソース管理テーブルへの登録有無を判定するユーザ情報検証部と、
前記ユーザ識別子が前記リソース管理テーブルに登録有りの場合、前記シングルサインオンの認証を許可し、前記MACアドレス取得部で取得されたMACアドレスが前記認証テーブルに登録無しの場合、前記ユーザ端末を介してユーザに、前記ユーザ識別子およびパスワードの入力を要求する認証判定部と、
を備え、
前記シングルサインオン認証装置は、前記ユーザ識別子を含めて前記ネットワークに接続される各種リソースを管理するための前記リソース管理テーブルを保持するディレクトリサーバに、前記ネットワークを介して接続され、
前記ユーザ情報検証部は、前記ユーザ識別子取得部で取得された前記ユーザ識別子を前記ディレクトリサーバに送信することで前記ユーザ識別子の前記リソース管理テーブルへの登録有無を判定する、
シングルサインオン認証装置。 A single sign-on authentication device that is connected to the user terminal and the DHCP server via a network and determines whether or not to permit single sign-on authentication in response to an authentication request from the user terminal, on the premise that a DHCP server stores a correspondence relationship between the assigned IP address and a MAC address of the user terminal when the DHCP server assigns an IP address to the user terminal, and further on the premise that a resource management table is provided in which user identifiers for which authentication is permitted are registered, comprising:
a storage unit that holds an authentication table in which MAC addresses that are permitted to be authenticated for single sign-on and user identifiers corresponding to the MAC addresses are registered in advance;
a MAC address acquisition unit that, when receiving a packet including the authentication request from the user terminal, acquires a MAC address corresponding to a source IP address of the received packet from the DHCP server;
a user identifier acquiring unit that acquires the user identifier corresponding to the MAC address from the authentication table when the acquired MAC address is registered in the authentication table;
a user information verification unit that determines whether the acquired user identifier is registered in the resource management table;
an authentication determination unit that permits authentication of the single sign-on when the user identifier is registered in the resource management table, and requests a user to input the user identifier and a password via the user terminal when the MAC address acquired by the MAC address acquisition unit is not registered in the authentication table;
Equipped with
the single sign-on authentication device is connected via the network to a directory server that holds the resource management table for managing various resources connected to the network, including the user identifier;
the user information verification unit transmits the user identifier acquired by the user identifier acquisition unit to the directory server to determine whether the user identifier is registered in the resource management table;
Single sign-on authentication device.
JP2022111692A 2022-07-12 2022-07-12 Single sign-on authentication system and single sign-on authentication device Active JP7680988B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022111692A JP7680988B2 (en) 2022-07-12 2022-07-12 Single sign-on authentication system and single sign-on authentication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022111692A JP7680988B2 (en) 2022-07-12 2022-07-12 Single sign-on authentication system and single sign-on authentication device

Publications (2)

Publication Number Publication Date
JP2024010384A JP2024010384A (en) 2024-01-24
JP7680988B2 true JP7680988B2 (en) 2025-05-21

Family

ID=89620993

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022111692A Active JP7680988B2 (en) 2022-07-12 2022-07-12 Single sign-on authentication system and single sign-on authentication device

Country Status (1)

Country Link
JP (1) JP7680988B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287524A (en) 2007-05-17 2008-11-27 Canon Inc Authentication method, authentication apparatus, and program
JP2016110300A (en) 2014-12-03 2016-06-20 日立電線ネットワークス株式会社 Authentication system
JP2021165977A (en) 2020-04-08 2021-10-14 エイチ・シー・ネットワークス株式会社 Server device and network system
JP2022087192A (en) 2018-08-31 2022-06-09 ベーステクノロジー株式会社 Authentication system and its method, and its program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008287524A (en) 2007-05-17 2008-11-27 Canon Inc Authentication method, authentication apparatus, and program
JP2016110300A (en) 2014-12-03 2016-06-20 日立電線ネットワークス株式会社 Authentication system
JP2022087192A (en) 2018-08-31 2022-06-09 ベーステクノロジー株式会社 Authentication system and its method, and its program
JP2021165977A (en) 2020-04-08 2021-10-14 エイチ・シー・ネットワークス株式会社 Server device and network system

Also Published As

Publication number Publication date
JP2024010384A (en) 2024-01-24

Similar Documents

Publication Publication Date Title
US8838986B2 (en) Invocation of third party&#39;s service
JP5357246B2 (en) System, method and program product for integrated authentication
US20030226036A1 (en) Method and apparatus for single sign-on authentication
US6807577B1 (en) System and method for network log-on by associating legacy profiles with user certificates
US7117359B2 (en) Default credential provisioning
US6892307B1 (en) Single sign-on framework with trust-level mapping to authentication requirements
TWI400922B (en) Authentication of a principal in a federation
RU2337399C2 (en) Stable authorisation context based on external identification
US7860883B2 (en) Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments
JP6057666B2 (en) Image forming apparatus, information processing method, and program
US8347403B2 (en) Single point authentication for web service policy definition
US10432604B2 (en) System and method for pool-based identity authentication for service access without use of stored credentials
US20060230438A1 (en) Single sign-on to remote server sessions using the credentials of the local client
US6785729B1 (en) System and method for authorizing a network user as entitled to access a computing node wherein authenticated certificate received from the user is mapped into the user identification and the user is presented with the opprtunity to logon to the computing node only after the verification is successful
JP2005516533A (en) Single sign-on on the Internet using public key cryptography
WO2011089712A1 (en) Authentication method, authentication system, and authentication program
WO2007115209A2 (en) Identity and access management framework
JP2004536359A (en) System and method for authenticating a user to a web server
CN101316219A (en) Virtual network connection device, system and method for controlling virtual network connection
CN101971184A (en) Client/server system for communicating according to the standard protocol opc ua and having single sign-on mechanisms for authenticating, and method for performing single sign-on in such a system
JP7680988B2 (en) Single sign-on authentication system and single sign-on authentication device
JP2018180692A (en) Authentication authorization system, authentication authorization server, authentication method and program
JP2004302869A (en) Access management server, network device, network system and access management method
US20250343800A1 (en) Method and system for authenticating a user on an idaas server to access an application
WO2005050422A1 (en) Apparatus for providing a service in an identity federation framework

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240403

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20241108

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20241119

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250107

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250324

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250430

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250509

R150 Certificate of patent or registration of utility model

Ref document number: 7680988

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150