ホーム > 特許ランキング > 株式会社サテライトオフィス
特開2023-172125ログイン認証システム、ログイン認証システムのプログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023172125
(43)【公開日】2023-12-06
(54)【発明の名称】ログイン認証システム、ログイン認証システムのプログラム
(51)【国際特許分類】
G06F 21/41 20130101AFI20231129BHJP
G06F 21/32 20130101ALI20231129BHJP
【FI】
G06F21/41
G06F21/32
【審査請求】未請求
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2022083723
(22)【出願日】2022-05-23
【新規性喪失の例外の表示】特許法第30条第2項適用申請有り 令和3年7月6日にマイナビニュースに掲載 https://news.mynavi.jp/techplus/kikaku/googleworkspace_hardware-1/ 令和3年10月1日に「サテライトオフィス・シングルサインオン for Google Workspace」ページに資料アップロード https://www.sateraito.jp/Google_Apps_SSO.html 令和3年12月25日にYouTubeページに動画アップロード https://www.youtube.com/watch?v=b1wU4cscw1M&t=1s 令和3年12月25日に「シングルサインオン+ログインゲートウェイ機能について」のマニュアルページに動画アップロード https://sites.sateraito.jp/sateraitooffice/site/manual/home/sso 令和3年12月27日にYouTubeページに動画アップロード https://www.youtube.com/watch?v=ETEmSqPcZ2A 令和3年12月27日に「サテライトオフィス・シングルサインオン for Google Workspace」ページに動画アップロード https://www.sateraito.jp/Google_Apps_SSO.html
【新規性喪失の例外の表示】特許法第30条第2項適用申請有り 令和4年3月1日にサテライトオフィストップページにバナー掲載 https://www.sateraito.jp/ 令和4年3月1日に「指紋認証(生体認証)による2要素認証FIDO機能」ページに掲載 https://www.sateraito.jp/Chrome/ATkeypro.html 令和4年3月1日に「指紋認証(生体認証)による2要素認証FIDO機能」ページに動画アップロード https://www.sateraito.jp/Chrome/ATkeypro.html 令和4年3月1日に「FIDO2セキュリティキーの生体認証(指紋認証)による自動ログイン&二要素認証」のマニュアルページに掲載 https://sites.sateraito.jp/sateraitooffice/site/manual/home/sso/securitykey 令和4年3月1日に「サテライトオフィス・シングルサインオン for Google Workspace」ページに掲載 https://www.sateraito.jp/Google_Apps_SSO.html 令和4年3月1日に「サテライトオフィス・シングルサインオン for Google Workspace」ページに資料アップロード https://www.sateraito.jp/Google_Apps_SSO.html
【新規性喪失の例外の表示】特許法第30条第2項適用申請有り 令和4年3月5日にYouTubeページに動画アップロード https://www.youtube.com/watch?v=qAWvLgkvXss 令和4年3月5日に「指紋認証(生体認証)による2要素認証FIDO機能」ページに動画アップロード https://www.sateraito.jp/Chrome/ATkeypro.html 令和4年3月7日に「シングルサインオン+ログインゲートウェイ機能について」のマニュアルページに掲載 https://sites.sateraito.jp/sateraitooffice/site/manual/home/sso 令和4年5月19日にマイナビニュースに掲載 https://news.mynavi.jp/techplus/kikaku/googleworkspace-12/
【新規性喪失の例外の表示】特許法第30条第2項適用申請有り 令和4年3月1日に「ネクストセット・シングルサインオン for Microsoft365」ページに掲載 https://www.nextset.co.jp/sso.html 令和4年3月1日に「ネクストセット・シングルサインオン for Microsoft365」ページに資料アップロード https://www.nextset.co.jp/sso.html 令和4年3月1日に「ネクストセット・シングルサインオン for Microsoft365 とは!?」のマニュアルページに掲載 https://sites.sateraito.jp/sateraitooffice/site/nextset-manual/home/sso 令和4年3月1日に「FIDO2セキュリティキーの生体認証(指紋認証)による自動ログイン&二要素認証」のマニュアルページに掲載 https://sites.sateraito.jp/sateraitooffice/site/nextset-manual/home/sso/securitykey
【新規性喪失の例外の表示】特許法第30条第2項適用申請有り 令和4年5月8日にYouTubeページに動画アップロード https://www.youtube.com/watch?v=4M40AVxP_XA 令和4年5月8日にYouTubeページに動画アップロード https://www.youtube.com/watch?v=xYOzf5lnX_8 令和4年5月8日にYouTubeページに動画アップロード https://www.youtube.com/watch?v=R4VwfiGvKSo 令和4年5月8日にYouTubeページに動画アップロード https://www.youtube.com/watch?v=764LBdN7Ysc 令和4年5月8日にYouTubeページに動画アップロード https://www.youtube.com/watch?v=yGrbq1-NlOU
(71)【出願人】
【識別番号】516346218
【氏名又は名称】株式会社サテライトオフィス
(74)【代理人】
【識別番号】100168538
【弁理士】
【氏名又は名称】加藤 来
(72)【発明者】
【氏名】原口 豊
(72)【発明者】
【氏名】原口 優
(57)【要約】 (修正有)
【課題】ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができるログイン認証システムを提供する。
【解決手段】ログイン認証システム100は、ユーザー端末110とサービス供給サーバ120とシングルサインオン認証サーバ130Aと指紋認証サーバ130Bと指紋スキャン端末140とを備えている。指紋スキャン端末が、読み取ったユーザーの指紋データとユーザーの指紋登録データとを比較して同一人物であると判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信し、ユーザー端末が、ユーザー情報をシングルサインオン認証サーバへ送信する。シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信および受信したユーザー情報に基づいてセキュリティ認証応答を発行して、これに基づいてサービス供給サーバが、ユーザー端末のログインを許可する。
【選択図】図1
【解決手段】ログイン認証システム100は、ユーザー端末110とサービス供給サーバ120とシングルサインオン認証サーバ130Aと指紋認証サーバ130Bと指紋スキャン端末140とを備えている。指紋スキャン端末が、読み取ったユーザーの指紋データとユーザーの指紋登録データとを比較して同一人物であると判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信し、ユーザー端末が、ユーザー情報をシングルサインオン認証サーバへ送信する。シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信および受信したユーザー情報に基づいてセキュリティ認証応答を発行して、これに基づいてサービス供給サーバが、ユーザー端末のログインを許可する。
【選択図】図1
【特許請求の範囲】
【請求項1】
ユーザー端末とサービス供給サーバとシングルサインオン認証サーバと指紋認証サーバとを備えてユーザー端末がサービス供給サーバにアクセスする際に入力データが所定要件を満たした場合にログインを許可するログイン認証システムであって、
前記ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信したとき、サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内し、
前記シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示し、
前記ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信し、前記ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信し、
前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内し、
前記サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する構成であることを特徴とするログイン認証システム。
前記ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信したとき、サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内し、
前記シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示し、
前記ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信し、前記ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信し、
前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内し、
前記サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する構成であることを特徴とするログイン認証システム。
【請求項2】
前記指紋スキャン端末が、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信し、
前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信に基づいて予め設定された認証サーバログイン用ユーザー情報をユーザー端末のブラウザにおいて選択自在に表示し、
ユーザー端末のブラウザにおいて認証サーバログイン用ユーザー情報の選択操作があったとき、ユーザー端末が、選択された認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信し、
前記シングルサインオン認証サーバが、受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内する構成であることを特徴とする請求項1に記載のログイン認証システム。
前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信に基づいて予め設定された認証サーバログイン用ユーザー情報をユーザー端末のブラウザにおいて選択自在に表示し、
ユーザー端末のブラウザにおいて認証サーバログイン用ユーザー情報の選択操作があったとき、ユーザー端末が、選択された認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信し、
前記シングルサインオン認証サーバが、受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内する構成であることを特徴とする請求項1に記載のログイン認証システム。
【請求項3】
前記指紋スキャン端末が、ユーザーの指紋登録データを指紋スキャン端末の記憶部に事前に登録する構成であることを特徴とする請求項1または請求項2に記載のログイン認証システム。
【請求項4】
ユーザー端末がサービス供給サーバにアクセスする際に入力データが所定要件を満たした場合にログインを許可するログイン認証システムのプログラムであって、
前記ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信するアクセスステップと、
前記サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内するリダイレクトステップと、
前記シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示する認証要求ステップと、
前記ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信する指紋判定ステップと、
前記ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信するユーザー情報送信ステップと、
前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内する認証応答発行・送信ステップと、
前記サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する認証応答検証ステップとを具備していることを特徴とするログイン認証システムのプログラム。
前記ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信するアクセスステップと、
前記サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内するリダイレクトステップと、
前記シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示する認証要求ステップと、
前記ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信する指紋判定ステップと、
前記ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信するユーザー情報送信ステップと、
前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内する認証応答発行・送信ステップと、
前記サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する認証応答検証ステップとを具備していることを特徴とするログイン認証システムのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザー端末とサービス供給サーバとシングルサインオン認証サーバと指紋認証サーバとを備えてユーザー端末がサービス供給サーバにアクセスする際に入力データが所定要件を満たした場合にログインを許可するログイン認証システム、および、そのプログラムに関する。
【背景技術】
【0002】
従来、引継情報を記憶する引継情報記憶部と、ユーザー端末、関連サーバに接続される制御部とを備え、制御部が、ユーザー端末からログイン要求を受け付けた場合、ユーザー端末から取得した認証情報を用いて第1の認証処理を実行してログインを許可し、ログインしたユーザー端末から関連サーバへの遷移要求を取得した場合、引継情報を生成し、引継情報記憶部に記録し、関連サーバに対して引継情報を提供し、関連サーバから、引継情報を取得した場合、パスワードを生成して引継情報記憶部に記録して、関連サーバに提供し、ユーザー端末から、再ログイン要求を受け付けた場合、引継情報及びパスワードを関連サーバから取得し、引継情報記憶部に記録された引継情報及びパスワードと、取得した引継情報及びパスワードとを用いて第2の認証処理を実行することを特徴とするログイン管理システムが知られている(例えば、特許文献1)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許6495996号公報(特に、請求項1、請求項11参照)
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した従来のログイン管理システムは、第1の認証処理を実行してログインを許可する構成であったため、セキュリティレベルが十分でないという問題があった。
例えば、ログインパスワードが1時間のみ有効な構成であったとしても、ユーザーIDおよびログインパスワードが盗まれて1時間以内に使用された場合に対応できないという問題があった。
例えば、ログインパスワードが1時間のみ有効な構成であったとしても、ユーザーIDおよびログインパスワードが盗まれて1時間以内に使用された場合に対応できないという問題があった。
【0005】
そこで、本発明は、前述したような従来技術の問題を解決するものであって、すなわち、本発明の目的は、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができるログイン認証システム、および、ログイン認証システムのプログラムを提供することである。
【課題を解決するための手段】
【0006】
本請求項1に係る発明は、ユーザー端末とサービス供給サーバとシングルサインオン認証サーバと指紋認証サーバとを備えてユーザー端末がサービス供給サーバにアクセスする際に入力データが所定要件を満たした場合にログインを許可するログイン認証システムであって、前記ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信したとき、サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内し、前記シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示し、前記ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信し、前記ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信し、前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内し、前記サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する構成であることにより、前述した課題を解決するものである。
【0007】
本請求項2に係る発明は、請求項1に記載されたログイン認証システムの構成に加えて、前記指紋スキャン端末が、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信し、前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信に基づいて予め設定された認証サーバログイン用ユーザー情報をユーザー端末のブラウザにおいて選択自在に表示し、ユーザー端末のブラウザにおいて認証サーバログイン用ユーザー情報の選択操作があったとき、ユーザー端末が、選択された認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信し、前記シングルサインオン認証サーバが、受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内する構成であることにより、前述した課題をさらに解決するものである。
【0008】
本請求項3に係る発明は、請求項1または請求項2に記載されたログイン認証システムの構成に加えて、前記指紋スキャン端末が、ユーザーの指紋登録データを指紋スキャン端末の記憶部に事前に登録する構成であることにより、前述した課題をさらに解決するものである。
【0009】
本請求項4に係る発明は、ユーザー端末がサービス供給サーバにアクセスする際に入力データが所定要件を満たした場合にログインを許可するログイン認証システムのプログラムであって、前記ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信するアクセスステップと、前記サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内するリダイレクトステップと、前記シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示する認証要求ステップと、前記ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信する指紋判定ステップと、前記ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信するユーザー情報送信ステップと、前記シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内する認証応答発行・送信ステップと、前記サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する認証応答検証ステップとを具備していることにより、前述した課題を解決するものである。
【発明の効果】
【0010】
本発明のログイン認証システムは、ユーザー端末とサービス供給サーバとシングルサインオン認証サーバとを備えていることにより、ユーザー端末がサービス供給サーバにアクセスする際に入力データが所定要件を満たした場合にログインを許可することができるばかりでなく、以下のような特有の効果を奏することができる。
【0011】
本請求項1に係る発明のログイン認証システムによれば、指紋スキャン端末が読み取ったユーザーの指紋データによる指紋認証が所謂、シングルサインオンの認証に用いられるため、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができる。
さらに、指紋スキャン端末に事前に登録したユーザーの指紋データと、現在読み取ったユーザーの指紋データとが比較されて同一人物判定が行われる指紋スキャン端末によって認証成功トークンが発行されて指紋認証サーバへ送信され、それがシングルサインオン認証サーバによってチェックされるため、所謂、シングルサインオンの認証に指紋スキャン端末による認証を組み合わせることができ、セキュリティレベルを一層高めることができる。
また、パスワード入力に代えて指紋情報が認証で用いられるため、ユーザーの利便性を高めることができる。
さらに、ユーザーの指紋データが指紋スキャン端末内で処理されて指紋の画像データなどの生体データは指紋認証サーバおよびシングルサインオン認証サーバのいずれにもアップロードされずに指紋の生体認証が行われるため、安全、かつ、レベルの高い認証を実現することができる。
また、指紋認証サーバでは、誰の指紋認証が指紋スキャン端末において成功したのか不明であるが、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータがあることにより、シングルサインオン認証サーバが指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報に対して、関連付けデータを付き合わせることで誰の指紋認証が成功したかが判明するため、認証サーバログイン用ユーザー情報を受信することで安全、かつ、レベルの高い認証処理を行うことができる。
さらに、指紋スキャン端末に事前に登録したユーザーの指紋データと、現在読み取ったユーザーの指紋データとが比較されて同一人物判定が行われる指紋スキャン端末によって認証成功トークンが発行されて指紋認証サーバへ送信され、それがシングルサインオン認証サーバによってチェックされるため、所謂、シングルサインオンの認証に指紋スキャン端末による認証を組み合わせることができ、セキュリティレベルを一層高めることができる。
また、パスワード入力に代えて指紋情報が認証で用いられるため、ユーザーの利便性を高めることができる。
さらに、ユーザーの指紋データが指紋スキャン端末内で処理されて指紋の画像データなどの生体データは指紋認証サーバおよびシングルサインオン認証サーバのいずれにもアップロードされずに指紋の生体認証が行われるため、安全、かつ、レベルの高い認証を実現することができる。
また、指紋認証サーバでは、誰の指紋認証が指紋スキャン端末において成功したのか不明であるが、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータがあることにより、シングルサインオン認証サーバが指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報に対して、関連付けデータを付き合わせることで誰の指紋認証が成功したかが判明するため、認証サーバログイン用ユーザー情報を受信することで安全、かつ、レベルの高い認証処理を行うことができる。
【0012】
本請求項2に係る発明のログイン認証システムによれば、請求項1に係る発明が奏する効果に加えて、予め設定された認証サーバログイン用ユーザー情報がユーザー端末のブラウザにおいて選択自在に表示されるため、1ユーザーに対してユーザー情報が複数ある場合、ユーザーは選択操作をするだけで用途に応じて複数のユーザー情報を使い分けることができる。
さらに、シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータに基づいて、データを付き合わせて、誰の指紋認証が成功したのかが特定されるため、シングルサインオン認証サーバが、認証サーバログイン用ユーザー情報としてのアカウントの候補を挙げて、ユーザー端末のブラウザのSSOのログイン画面に候補のアカウントを表示することができ、ユーザーは簡単にログイン操作を行うことができる。
さらに、シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータに基づいて、データを付き合わせて、誰の指紋認証が成功したのかが特定されるため、シングルサインオン認証サーバが、認証サーバログイン用ユーザー情報としてのアカウントの候補を挙げて、ユーザー端末のブラウザのSSOのログイン画面に候補のアカウントを表示することができ、ユーザーは簡単にログイン操作を行うことができる。
【0013】
本請求項3に係る発明のログイン認証システムによれば、請求項1または請求項2に係る発明が奏する効果に加えて、判定基準となる指紋登録データが指紋スキャン端末の内部にあって指紋の同一人物の判定が指紋スキャン端末内で行われて指紋データが指紋スキャン端末の外部へ送信されないため、安全、かつ、レベルの高い認証を実現することができる。
【0014】
本請求項4に係る発明のログイン認証システムのプログラムによれば、請求項1に係る発明が奏する効果と同様、指紋スキャン端末が読み取ったユーザーの指紋データによる指紋認証が所謂、シングルサインオンの認証に用いられるため、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができる。
さらに、指紋スキャン端末に事前に登録したユーザーの指紋データと、現在読み取ったユーザーの指紋データとが比較されて同一人物判定が行われる指紋スキャン端末によって認証成功トークンが発行されて指紋認証サーバへ送信され、それがシングルサインオン認証サーバによってチェックされるため、所謂、シングルサインオンの認証に指紋スキャン端末による認証を組み合わせることができ、セキュリティレベルを一層高めることができる。
また、パスワード入力に代えて指紋情報が認証で用いられるため、ユーザーの利便性を高めることができる。
さらに、ユーザーの指紋データが指紋スキャン端末内で処理されて指紋の画像データなどの生体データは指紋認証サーバおよびシングルサインオン認証サーバのいずれにもアップロードされずに指紋の生体認証が行われるため、安全、かつ、レベルの高い認証を実現することができる。
また、指紋認証サーバでは、誰の指紋認証が指紋スキャン端末において成功したのか不明であるが、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータがあることにより、シングルサインオン認証サーバが指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報に対して、関連付けデータを付き合わせることで誰の指紋認証が成功したかが判明するため、認証サーバログイン用ユーザー情報を受信することで安全、かつ、レベルの高い認証処理を行うことができる。
さらに、指紋スキャン端末に事前に登録したユーザーの指紋データと、現在読み取ったユーザーの指紋データとが比較されて同一人物判定が行われる指紋スキャン端末によって認証成功トークンが発行されて指紋認証サーバへ送信され、それがシングルサインオン認証サーバによってチェックされるため、所謂、シングルサインオンの認証に指紋スキャン端末による認証を組み合わせることができ、セキュリティレベルを一層高めることができる。
また、パスワード入力に代えて指紋情報が認証で用いられるため、ユーザーの利便性を高めることができる。
さらに、ユーザーの指紋データが指紋スキャン端末内で処理されて指紋の画像データなどの生体データは指紋認証サーバおよびシングルサインオン認証サーバのいずれにもアップロードされずに指紋の生体認証が行われるため、安全、かつ、レベルの高い認証を実現することができる。
また、指紋認証サーバでは、誰の指紋認証が指紋スキャン端末において成功したのか不明であるが、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータがあることにより、シングルサインオン認証サーバが指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報に対して、関連付けデータを付き合わせることで誰の指紋認証が成功したかが判明するため、認証サーバログイン用ユーザー情報を受信することで安全、かつ、レベルの高い認証処理を行うことができる。
【図面の簡単な説明】
【0015】
【図1】本発明の実施例であるログイン認証システムの概念を示す図。
【図2】本発明の実施例であるログイン認証システムの動作例を示すチャート図。
【図3】(A)(B)は本発明の実施例であるログイン認証システムのユーザー端末のブラウザに表示されたサービスのログイン画面を示す図およびSSOのログイン画面を示す図。
【図4】(A)(B)は本発明の実施例であるログイン認証システムのユーザー端末に接続された指紋スキャン端末を用いて指紋スキャンをする様子を示す図およびユーザー端末のブラウザに表示されたSSOのログイン画面のアカウント選択ウィンドウを示す図。
【図5】(A)(B)は本発明の実施例であるログイン認証システムのシングルサインオン認証サーバがユーザーの認証をした際のユーザー端末のブラウザの様子を示す図およびユーザー端末のブラウザがサービスの電子メール画面を表示した様子を示す図。
【発明を実施するための形態】
【0016】
本発明のログイン認証システムは、ユーザー端末とサービス供給サーバとシングルサインオン認証サーバと指紋認証サーバとを備えてユーザー端末がサービス供給サーバにアクセスする際に入力データが所定要件を満たした場合にログインを許可するログイン認証システムであって、ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信したとき、サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内し、シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示し、ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信し、ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信し、シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内し、サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する構成であることにより、所謂、シングルサインオンの認証に指紋スキャン端末による認証を組み合わせて、セキュリティレベルを一層高めるとともに、ユーザーの利便性を高めることができるものであれば、その具体的な実施態様は、如何なるものであっても構わない。
また、本発明のログイン認証システムのプログラムは、ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信するアクセスステップと、サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内するリダイレクトステップと、シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示する認証要求ステップと、ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信する指紋判定ステップと、ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信するユーザー情報送信ステップと、シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内する認証応答発行・送信ステップと、サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する認証応答検証ステップとを具備していることにより、所謂、シングルサインオンの認証に指紋スキャン端末による認証を組み合わせて、セキュリティレベルを一層高めるとともに、ユーザーの利便性を高めることができるものであれば、その具体的な実施態様は、如何なるものであっても構わない。
また、本発明のログイン認証システムのプログラムは、ユーザー端末が、ユーザーの操作に基づいてサービス供給サーバにアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信するアクセスステップと、サービス供給サーバが、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバへ直接送信する、または、ユーザー端末を介してシングルサインオン認証サーバへ間接的に送信するとともに、シングルサインオン認証サーバのアクセス先情報をユーザー端末のブラウザに案内するリダイレクトステップと、シングルサインオン認証サーバが、受信したセキュリティ認証要求に基づいてユーザー端末のブラウザにおいて認証要求を表示する認証要求ステップと、ユーザー端末と接続された指紋スキャン端末が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末を介して指紋認証サーバへ送信する指紋判定ステップと、ユーザー端末が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバへ送信するユーザー情報送信ステップと、シングルサインオン認証サーバが、指紋認証サーバによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバへ直接送信する、または、ユーザー端末のブラウザを介してサービス供給サーバへ間接的に送信するとともに、サービス供給サーバのアクセス先情報をユーザー端末のブラウザに案内する認証応答発行・送信ステップと、サービス供給サーバが、受信したセキュリティ認証応答を検証してユーザー端末のログインを許可する認証応答検証ステップとを具備していることにより、所謂、シングルサインオンの認証に指紋スキャン端末による認証を組み合わせて、セキュリティレベルを一層高めるとともに、ユーザーの利便性を高めることができるものであれば、その具体的な実施態様は、如何なるものであっても構わない。
【0017】
例えば、ユーザー端末は、デスクトップ型パーソナルコンピュータ端末、ノート型パーソナルコンピュータ端末、スマートフォン端末、タブレット端末、腕時計型端末、眼鏡型端末など、データをユーザー端末の表示部のブラウザにおいて画面表示するものであって、所謂インターネットである広域ネットワーク、ローカルネットワーク、電話回線などを含む通信ネットワークによりサーバと接続してデータを送受信するものであれば如何なるものであっても構わない。
また、サービス供給サーバ、シングルサインオン認証サーバおよび指紋認証サーバは、クラウド環境に作られたクラウドサーバでもよいし、サーバを構成する物理サーバの数は1つでも複数でもよい。
さらに、指紋スキャン端末は、ユーザー端末と有線、無線を問わず接続可能であり、ユーザーの指紋を登録して読み取った指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定するものであれば如何なるものであっても構わない。
指紋スキャン端末のタイプとしては、USB端子型でもよいし、カード型でもよい。
また、サービス供給サーバ、シングルサインオン認証サーバおよび指紋認証サーバは、クラウド環境に作られたクラウドサーバでもよいし、サーバを構成する物理サーバの数は1つでも複数でもよい。
さらに、指紋スキャン端末は、ユーザー端末と有線、無線を問わず接続可能であり、ユーザーの指紋を登録して読み取った指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定するものであれば如何なるものであっても構わない。
指紋スキャン端末のタイプとしては、USB端子型でもよいし、カード型でもよい。
【実施例0018】
以下に、本発明の実施例であるログイン認証システム100について、図1乃至図5(B)に基づいて説明する。
ここで、図1は、本発明の実施例であるログイン認証システム100の概念を示す図であり、図2は、本発明の実施例であるログイン認証システム100の動作例を示すチャート図であり、図3(A)は、本発明の実施例であるログイン認証システム100のユーザー端末110のブラウザ111に表示されたサービスのログイン画面SVを示す図であり、図3(B)は、本発明の実施例であるログイン認証システム100のユーザー端末110のブラウザ111に表示されたSSOのログイン画面SSを示す図であり、図4(A)は、本発明の実施例であるログイン認証システム100のユーザー端末110に接続された指紋スキャン端末140を用いて指紋スキャンをする様子を示す図であり、図4(B)は、本発明の実施例であるログイン認証システム100のユーザー端末110のブラウザ111に表示されたSSOのログイン画面SSのアカウント選択ウィンドウSS2を示す図であり、図5(A)は、本発明の実施例であるログイン認証システム100のシングルサインオン認証サーバ130Aがユーザーの認証をした際のユーザー端末110のブラウザ111の様子を示す図であり、図5(B)は、本発明の実施例であるログイン認証システム100のユーザー端末110のブラウザ111がサービスの電子メール画面SV3を表示した様子を示す図である。
ここで、図1は、本発明の実施例であるログイン認証システム100の概念を示す図であり、図2は、本発明の実施例であるログイン認証システム100の動作例を示すチャート図であり、図3(A)は、本発明の実施例であるログイン認証システム100のユーザー端末110のブラウザ111に表示されたサービスのログイン画面SVを示す図であり、図3(B)は、本発明の実施例であるログイン認証システム100のユーザー端末110のブラウザ111に表示されたSSOのログイン画面SSを示す図であり、図4(A)は、本発明の実施例であるログイン認証システム100のユーザー端末110に接続された指紋スキャン端末140を用いて指紋スキャンをする様子を示す図であり、図4(B)は、本発明の実施例であるログイン認証システム100のユーザー端末110のブラウザ111に表示されたSSOのログイン画面SSのアカウント選択ウィンドウSS2を示す図であり、図5(A)は、本発明の実施例であるログイン認証システム100のシングルサインオン認証サーバ130Aがユーザーの認証をした際のユーザー端末110のブラウザ111の様子を示す図であり、図5(B)は、本発明の実施例であるログイン認証システム100のユーザー端末110のブラウザ111がサービスの電子メール画面SV3を表示した様子を示す図である。
【0019】
本発明の実施例であるログイン認証システム100は、図1に示すように、ユーザー端末110と、サービス供給サーバ120と、シングルサインオン認証サーバ130Aと、指紋認証サーバ130Bと、指紋スキャン端末140とを備えている。
このうち、指紋スキャン端末140は、ユーザー端末110と接続されている。
そして、ログイン認証システム100は、ユーザー端末110がサービス供給サーバ120にアクセスする際に入力データが所定要件を満たした場合にユーザー端末110のログインを許可するように設けられている。
このうち、指紋スキャン端末140は、ユーザー端末110と接続されている。
そして、ログイン認証システム100は、ユーザー端末110がサービス供給サーバ120にアクセスする際に入力データが所定要件を満たした場合にユーザー端末110のログインを許可するように設けられている。
【0020】
具体的には、ユーザー端末110が、ユーザーの操作に基づいてサービス供給サーバ120にアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信する。
すると、サービス供給サーバ120が、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバ130Aへ直接送信する、または、ユーザー端末110を介してシングルサインオン認証サーバ130Aへ間接的に送信するとともに、シングルサインオン認証サーバ130Aのアクセス先情報をユーザー端末110のブラウザ111に案内(リダイレクト)する。
そして、シングルサインオン認証サーバ130Aが、受信したセキュリティ認証要求に基づいてユーザー端末110のブラウザ111において認証要求を表示する。
なお、事前にサービス供給サーバ120と、シングルサインオン認証サーバ130Aと、指紋認証サーバ130Bとの連携を管理者が設定し、サービス供給サーバ120のログインID(サービス供給サーバログイン用ユーザー情報)と、シングルサインオン認証サーバ130AのログインID(認証サーバログイン用ユーザー情報)とを関連付けているものとする。
すると、サービス供給サーバ120が、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバ130Aへ直接送信する、または、ユーザー端末110を介してシングルサインオン認証サーバ130Aへ間接的に送信するとともに、シングルサインオン認証サーバ130Aのアクセス先情報をユーザー端末110のブラウザ111に案内(リダイレクト)する。
そして、シングルサインオン認証サーバ130Aが、受信したセキュリティ認証要求に基づいてユーザー端末110のブラウザ111において認証要求を表示する。
なお、事前にサービス供給サーバ120と、シングルサインオン認証サーバ130Aと、指紋認証サーバ130Bとの連携を管理者が設定し、サービス供給サーバ120のログインID(サービス供給サーバログイン用ユーザー情報)と、シングルサインオン認証サーバ130AのログインID(認証サーバログイン用ユーザー情報)とを関連付けているものとする。
【0021】
ここで、ユーザーは、ユーザー端末110と接続された指紋スキャン端末140を用いて指紋スキャンを行う。
すると、指紋スキャン端末140が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定する。
そして、指紋スキャン端末140が、同一人物と判定した場合、認証成功トークンを発行してユーザー端末110を介して指紋認証サーバ130Bへ送信する。
さらに、ユーザー端末110が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信する。
すると、指紋スキャン端末140が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定する。
そして、指紋スキャン端末140が、同一人物と判定した場合、認証成功トークンを発行してユーザー端末110を介して指紋認証サーバ130Bへ送信する。
さらに、ユーザー端末110が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信する。
【0022】
すると、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行する。
そして、シングルサインオン認証サーバ130Aが、セキュリティ認証応答をサービス供給サーバ120へ直接送信する、または、ユーザー端末110のブラウザ111を介してサービス供給サーバ120へ間接的に送信するとともに、サービス供給サーバ120のアクセス先情報をユーザー端末110のブラウザ111に案内する。
そして、サービス供給サーバ120が、受信したセキュリティ認証応答を検証してユーザー端末110のログインを許可するように構成されている。
これにより、指紋スキャン端末140が読み取ったユーザーの指紋データによる指紋認証が所謂、シングルサインオンの認証に用いられる。
その結果、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができる。
そして、シングルサインオン認証サーバ130Aが、セキュリティ認証応答をサービス供給サーバ120へ直接送信する、または、ユーザー端末110のブラウザ111を介してサービス供給サーバ120へ間接的に送信するとともに、サービス供給サーバ120のアクセス先情報をユーザー端末110のブラウザ111に案内する。
そして、サービス供給サーバ120が、受信したセキュリティ認証応答を検証してユーザー端末110のログインを許可するように構成されている。
これにより、指紋スキャン端末140が読み取ったユーザーの指紋データによる指紋認証が所謂、シングルサインオンの認証に用いられる。
その結果、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができる。
【0023】
さらに、指紋スキャン端末140に事前に登録したユーザーの指紋データと、現在読み取ったユーザーの指紋データとが比較されて同一人物判定が行われる指紋スキャン端末140によって認証成功トークンが発行されて指紋認証サーバ130Bへ送信され、それがシングルサインオン認証サーバ130Aによってチェックされる。
その結果、所謂、シングルサインオンの認証に指紋スキャン端末140による認証を組み合わせることができ、セキュリティレベルを一層高めることができる。
また、パスワード入力に代えて指紋情報が認証で用いられる。
その結果、ユーザーの利便性を高めることができる。
さらに、ユーザーの指紋データが指紋スキャン端末140内で処理されて指紋の画像データなどの生体データは指紋認証サーバ130Bおよびシングルサインオン認証サーバ130Aのいずれにもアップロードされずに指紋の生体認証が行われる。
その結果、安全、かつ、レベルの高い認証を実現することができる。
また、指紋認証サーバ130Bでは、誰の指紋認証が指紋スキャン端末140において成功したのか不明であるが、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータがあることにより、シングルサインオン認証サーバ130Aが指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報に対して、関連付けデータを付き合わせることで誰の指紋認証が成功したかが判明する。
その結果、シングルサインオン認証サーバ130Aが認証サーバログイン用ユーザー情報を受信することで安全、かつ、レベルの高い認証処理を行うことができる。
その結果、所謂、シングルサインオンの認証に指紋スキャン端末140による認証を組み合わせることができ、セキュリティレベルを一層高めることができる。
また、パスワード入力に代えて指紋情報が認証で用いられる。
その結果、ユーザーの利便性を高めることができる。
さらに、ユーザーの指紋データが指紋スキャン端末140内で処理されて指紋の画像データなどの生体データは指紋認証サーバ130Bおよびシングルサインオン認証サーバ130Aのいずれにもアップロードされずに指紋の生体認証が行われる。
その結果、安全、かつ、レベルの高い認証を実現することができる。
また、指紋認証サーバ130Bでは、誰の指紋認証が指紋スキャン端末140において成功したのか不明であるが、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータがあることにより、シングルサインオン認証サーバ130Aが指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報に対して、関連付けデータを付き合わせることで誰の指紋認証が成功したかが判明する。
その結果、シングルサインオン認証サーバ130Aが認証サーバログイン用ユーザー情報を受信することで安全、かつ、レベルの高い認証処理を行うことができる。
【0024】
続いて、ログイン認証システム100の動作例について、より詳しく説明する。
図2に示すように、ステップS1では、アクセスステップ(アクセス操作判定ステップ)として、ユーザー端末110においてユーザーがサービス供給サーバ120にアクセスする操作を行ったか否かを、ユーザー端末110が判定する。
具体的には、ユーザー端末110のブラウザ111においてサービス供給サーバ120にアクセスするためのURLの選択・入力の有無を判定することによりアクセス操作の有無を判定する。
アクセス操作を行ったと判定した場合はステップS2へ進み、他方、まだないと判定した場合はステップS1を繰り返す。
図2に示すように、ステップS1では、アクセスステップ(アクセス操作判定ステップ)として、ユーザー端末110においてユーザーがサービス供給サーバ120にアクセスする操作を行ったか否かを、ユーザー端末110が判定する。
具体的には、ユーザー端末110のブラウザ111においてサービス供給サーバ120にアクセスするためのURLの選択・入力の有無を判定することによりアクセス操作の有無を判定する。
アクセス操作を行ったと判定した場合はステップS2へ進み、他方、まだないと判定した場合はステップS1を繰り返す。
【0025】
ステップS2では、アクセスステップとして、ユーザー端末110が、ユーザーの操作に基づいてサービス供給サーバ120にアクセスする。
すると、図3(A)に示すように、ユーザー端末110のブラウザ111が、サービス供給サーバ120へhttpリクエストを送信し、サービス供給サーバ120からのhttpレスポンスによりサービスのログイン画面SVを表示する。
すると、図3(A)に示すように、ユーザー端末110のブラウザ111が、サービス供給サーバ120へhttpリクエストを送信し、サービス供給サーバ120からのhttpレスポンスによりサービスのログイン画面SVを表示する。
【0026】
ここで、サービスのログイン画面SVには、一例として、ユーザー情報入力欄SV1と、「次へ」ボタンSV2とが設けられている。
そして、ユーザーが、ユーザー情報入力欄SV1に予め設定されたユーザー特定情報としてのサービス供給サーバログイン用ユーザー情報の一例であるメールアドレス「sato@abc.co.jp」を入力する。
なお、ブラウザ111において一度入力されたものを記憶しておき、自動入力されるように設定してもよい。
さらに、ユーザーが、「次へ」ボタンSV2を操作すると、ユーザー端末110が、入力されたサービス供給サーバログイン用ユーザー情報をサービス供給サーバ120へ送信する。
そして、ユーザーが、ユーザー情報入力欄SV1に予め設定されたユーザー特定情報としてのサービス供給サーバログイン用ユーザー情報の一例であるメールアドレス「sato@abc.co.jp」を入力する。
なお、ブラウザ111において一度入力されたものを記憶しておき、自動入力されるように設定してもよい。
さらに、ユーザーが、「次へ」ボタンSV2を操作すると、ユーザー端末110が、入力されたサービス供給サーバログイン用ユーザー情報をサービス供給サーバ120へ送信する。
【0027】
ステップS3では、サービス供給サーバ120が、受信したサービス供給サーバログイン用ユーザー情報に基づいてユーザーアカウントの有無を確認し、シングルサインオン(SSO)の事前の連携設定の有無を確認する。
ここでは、ユーザーアカウントあり、かつ、シングルサインオンの事前の連携設定ありと判定する。
そして、リダイレクトステップとして、サービス供給サーバ120が、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行する。
ここでは、ユーザーアカウントあり、かつ、シングルサインオンの事前の連携設定ありと判定する。
そして、リダイレクトステップとして、サービス供給サーバ120が、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行する。
【0028】
さらに、サービス供給サーバ120が、セキュリティ認証要求をシングルサインオン認証サーバ130Aへ直接送信する、または、ユーザー端末110を介してシングルサインオン認証サーバ130Aへ間接的に送信するとともに、シングルサインオン認証サーバ130Aのアクセス先情報をユーザー端末110のブラウザ111に案内(リダイレクト)する。
これにより、ユーザー端末110が、アクセス先情報のURLに基づいてシングルサインオン認証サーバ130Aにアクセスして、ブラウザ111が、httpリクエストを送信する。
セキュリティ認証要求は、認証要求メッセージ(SAMLリクエスト)とも呼ばれるものであり、セキュリティ認証要求には、一例として、セキュリティ認証要求の識別情報(認証要求メッセージごとにユニークな英数字)、認証要求メッセージの発行日時情報、サービス供給サーバ120がセキュリティ認証応答(認証応答メッセージ(SAMLレスポンス))を受け取るためのエンドポイントURL情報、サービス供給サーバ120の識別情報が含まれている。
これにより、ユーザー端末110が、アクセス先情報のURLに基づいてシングルサインオン認証サーバ130Aにアクセスして、ブラウザ111が、httpリクエストを送信する。
セキュリティ認証要求は、認証要求メッセージ(SAMLリクエスト)とも呼ばれるものであり、セキュリティ認証要求には、一例として、セキュリティ認証要求の識別情報(認証要求メッセージごとにユニークな英数字)、認証要求メッセージの発行日時情報、サービス供給サーバ120がセキュリティ認証応答(認証応答メッセージ(SAMLレスポンス))を受け取るためのエンドポイントURL情報、サービス供給サーバ120の識別情報が含まれている。
【0029】
ステップS4では、認証要求ステップとして、シングルサインオン認証サーバ130Aが、受信したセキュリティ認証要求に基づいてユーザー端末110のブラウザ111において認証要求を表示する。
具体的には、図3(B)に示すように、ブラウザ111が、シングルサインオン認証サーバ130AからのhttpレスポンスによりSSOのログイン画面SSを表示する。
ここで、SSOのログイン画面SSには、指紋スキャン案内ウィンドウSS1が表示されている。
図4(A)に示すように、ユーザーは、指紋スキャン案内ウィンドウSS1の案内に沿って、ユーザー端末110に指紋スキャン端末140を接続する。
ここで、指紋スキャン端末140は、ユーザー端末110のSSOのログイン画面SSにおいて事前登録されているものとする。
具体的には、図3(B)に示すように、ブラウザ111が、シングルサインオン認証サーバ130AからのhttpレスポンスによりSSOのログイン画面SSを表示する。
ここで、SSOのログイン画面SSには、指紋スキャン案内ウィンドウSS1が表示されている。
図4(A)に示すように、ユーザーは、指紋スキャン案内ウィンドウSS1の案内に沿って、ユーザー端末110に指紋スキャン端末140を接続する。
ここで、指紋スキャン端末140は、ユーザー端末110のSSOのログイン画面SSにおいて事前登録されているものとする。
【0030】
ステップS5では、指紋判定ステップ(指紋スキャン判定ステップ)として、指紋スキャン端末140が、指紋を読み取ったか否かを判定する。
図4(A)に示すように、ユーザーが手の指を指紋スキャン端末140の読み取り部にタップすることにより読み取りが行われる。
読み取ったと判定した場合はステップS6へ進み、他方、まだないと判定した場合はステップS5を繰り返す。
図4(A)に示すように、ユーザーが手の指を指紋スキャン端末140の読み取り部にタップすることにより読み取りが行われる。
読み取ったと判定した場合はステップS6へ進み、他方、まだないと判定した場合はステップS5を繰り返す。
【0031】
ステップS6では、指紋判定ステップとして、指紋スキャン端末140が、読み取ったユーザーの指紋データと、事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定する。
なお、事前登録については、ユーザーが、指紋スキャン端末140をユーザー端末110に接続して、未登録の場合、指紋スキャン端末140に設けられたボタンを操作すると、読み取り可能となり、ユーザーが手の指を指紋スキャン端末140の読み取り部にタップすると、指紋が読み取られて指紋スキャン端末140の記憶部に指紋登録データとして登録されるように設けられている。
ユーザーが指を指紋スキャン端末140の読み取り部にタップする際、アングルを少しずつ動かしながら変えると、登録される指紋の範囲を広くすることができる。
登録可能な指紋の数は、一例として、10個までであり、複数個の指紋が登録可能である。
指紋スキャン端末140は、複数のユーザー端末110に対して使用可能であるが、1つのユーザー端末110に対しては、1つの指紋スキャン端末140のみが許可されるように設定されている。
さらに、指紋を指紋登録データとして登録する際、指紋登録データの識別情報が、シングルサインオン認証サーバ130Aのデータベースにおいて、認証サーバログイン用ユーザー情報と関連付けてデータ登録されるものとする。
つまり、1つの指紋登録データに対して、1つの指紋(指紋登録データ)の識別情報が付与され、指紋(指紋登録データ)の識別情報は、それぞれ認証サーバログイン用ユーザー情報と関連付けて登録される。
1つの指紋(指紋登録データ)の識別情報に対して複数の認証サーバログイン用ユーザー情報が関連付けされている場合もある。
例えば、管理者が、通常のユーザーとして利用するためのものと、管理者として利用するためのものなど、複数の認証サーバログイン用ユーザー情報が設定されている場合もある。
なお、事前登録については、ユーザーが、指紋スキャン端末140をユーザー端末110に接続して、未登録の場合、指紋スキャン端末140に設けられたボタンを操作すると、読み取り可能となり、ユーザーが手の指を指紋スキャン端末140の読み取り部にタップすると、指紋が読み取られて指紋スキャン端末140の記憶部に指紋登録データとして登録されるように設けられている。
ユーザーが指を指紋スキャン端末140の読み取り部にタップする際、アングルを少しずつ動かしながら変えると、登録される指紋の範囲を広くすることができる。
登録可能な指紋の数は、一例として、10個までであり、複数個の指紋が登録可能である。
指紋スキャン端末140は、複数のユーザー端末110に対して使用可能であるが、1つのユーザー端末110に対しては、1つの指紋スキャン端末140のみが許可されるように設定されている。
さらに、指紋を指紋登録データとして登録する際、指紋登録データの識別情報が、シングルサインオン認証サーバ130Aのデータベースにおいて、認証サーバログイン用ユーザー情報と関連付けてデータ登録されるものとする。
つまり、1つの指紋登録データに対して、1つの指紋(指紋登録データ)の識別情報が付与され、指紋(指紋登録データ)の識別情報は、それぞれ認証サーバログイン用ユーザー情報と関連付けて登録される。
1つの指紋(指紋登録データ)の識別情報に対して複数の認証サーバログイン用ユーザー情報が関連付けされている場合もある。
例えば、管理者が、通常のユーザーとして利用するためのものと、管理者として利用するためのものなど、複数の認証サーバログイン用ユーザー情報が設定されている場合もある。
【0032】
指紋登録データは、画像データでもよいが、読み取られた指紋に基づいて作成されたデジタルデータの羅列されたものであり、読み取ったユーザーの指紋データに基づいて作成されたデジタルデータの羅列されたものと比較されて、同一人物か否かを指紋スキャン端末140が判定する。
つまり、同一人物か否かの判定については、事前登録した指紋登録データの指紋の指と同じ指の指紋を読み取って、指紋データと、指紋登録データとを比較することによって行われる。
例えば、各デジタルデータの羅列されたものを比較して複数のポイントのマッチング度数でみて、そのマッチング度数の割合が所定値以上であれば、同一人物であると判定する。
そして、同一人物であると判定した場合はステップS7へ進み、他方、同一人物でないと判定した場合はステップS5に戻る。
つまり、同一人物か否かの判定については、事前登録した指紋登録データの指紋の指と同じ指の指紋を読み取って、指紋データと、指紋登録データとを比較することによって行われる。
例えば、各デジタルデータの羅列されたものを比較して複数のポイントのマッチング度数でみて、そのマッチング度数の割合が所定値以上であれば、同一人物であると判定する。
そして、同一人物であると判定した場合はステップS7へ進み、他方、同一人物でないと判定した場合はステップS5に戻る。
【0033】
ステップS7では、指紋判定ステップとして、同一人物と判定した場合、指紋スキャン端末140が、認証成功トークンを発行してユーザー端末110を介して指紋認証サーバ130Bへ送信する。
より具体的には、ユーザー端末110のブラウザ111には、SSOのログイン画面SSおよび指紋スキャン案内ウィンドウSS1が表示されていて、シングルサインオン認証サーバ130Aの制御部でもある所謂、Appエンジンが、認証成功トークンを指紋認証サーバ130Bへ送信する。
そのため、シングルサインオン認証サーバ130Aは、ユーザー端末110から指紋認証サーバ130Bへの認証成功トークンを把握している。
認証成功トークンの内容は、指紋スキャン端末140の秘密キーで暗号化され、指紋認証サーバ130Bにおいて公開キーで復元される。
認証成功トークンの内容には、一例として、指紋認証の識別情報、指紋(指紋登録データ)の識別情報、指紋スキャン端末140の識別情報、指紋認証の日時情報、指紋認証した際のログイン画面SSの情報(ユーザー情報を含む)が含まれている。
ステップS8では、ユーザー情報送信ステップとして、ユーザー端末110が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信する。
ここで、認証サーバログイン用ユーザー情報のシングルサインオン認証サーバ130Aへの送信については、同一人物と判定したことに基づいて、自動でユーザー端末110が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信してもよい。
または、先ず、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bをチェックして指紋認証サーバ130Bによる認証成功トークンの受信に基づいて予め設定された認証サーバログイン用ユーザー情報をユーザー端末110のブラウザ111において選択自在に表示する。
つまり、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータに基づいて、データを付き合わせて、誰の指紋認証が成功したのかを特定し、認証サーバログイン用ユーザー情報としてのアカウントの候補を挙げる。
そして、図4(B)に示すように、ユーザー端末110のブラウザ111が、SSOのログイン画面SSでアカウント選択ウィンドウSS2を表示する。
そして、ユーザー端末110のブラウザ111において認証サーバログイン用ユーザー情報の選択操作があったとき、ユーザー端末110が、選択された認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信するように構成してもよい。
より具体的には、ユーザー端末110のブラウザ111には、SSOのログイン画面SSおよび指紋スキャン案内ウィンドウSS1が表示されていて、シングルサインオン認証サーバ130Aの制御部でもある所謂、Appエンジンが、認証成功トークンを指紋認証サーバ130Bへ送信する。
そのため、シングルサインオン認証サーバ130Aは、ユーザー端末110から指紋認証サーバ130Bへの認証成功トークンを把握している。
認証成功トークンの内容は、指紋スキャン端末140の秘密キーで暗号化され、指紋認証サーバ130Bにおいて公開キーで復元される。
認証成功トークンの内容には、一例として、指紋認証の識別情報、指紋(指紋登録データ)の識別情報、指紋スキャン端末140の識別情報、指紋認証の日時情報、指紋認証した際のログイン画面SSの情報(ユーザー情報を含む)が含まれている。
ステップS8では、ユーザー情報送信ステップとして、ユーザー端末110が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信する。
ここで、認証サーバログイン用ユーザー情報のシングルサインオン認証サーバ130Aへの送信については、同一人物と判定したことに基づいて、自動でユーザー端末110が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信してもよい。
または、先ず、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bをチェックして指紋認証サーバ130Bによる認証成功トークンの受信に基づいて予め設定された認証サーバログイン用ユーザー情報をユーザー端末110のブラウザ111において選択自在に表示する。
つまり、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータに基づいて、データを付き合わせて、誰の指紋認証が成功したのかを特定し、認証サーバログイン用ユーザー情報としてのアカウントの候補を挙げる。
そして、図4(B)に示すように、ユーザー端末110のブラウザ111が、SSOのログイン画面SSでアカウント選択ウィンドウSS2を表示する。
そして、ユーザー端末110のブラウザ111において認証サーバログイン用ユーザー情報の選択操作があったとき、ユーザー端末110が、選択された認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信するように構成してもよい。
【0034】
ステップS9では、認証応答発行・送信ステップとして、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行する。
このとき、シングルサインオン認証サーバ130Aが、連携している指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報をチェックする。
そして、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と、認証サーバログイン用ユーザー情報との関連付けデータに基づいて、誰の指紋認証が成功したかを確認して認証処理を行う。
つまり、シングルサインオン認証サーバ130Aと、指紋認証サーバ130Bとの間で、データを付き合わせて、誰の指紋認証が成功したかを確認して認証処理を行う。
その後、図5(A)に示すように、シングルサインオン認証サーバ130Aによるユーザーの認証が成功したので、ユーザー端末110のブラウザ111において表示されていたSSOのログイン画面SSがログイン中またはログイン完了の旨の表示に切り替わる。
このとき、シングルサインオン認証サーバ130Aが、連携している指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報をチェックする。
そして、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と、認証サーバログイン用ユーザー情報との関連付けデータに基づいて、誰の指紋認証が成功したかを確認して認証処理を行う。
つまり、シングルサインオン認証サーバ130Aと、指紋認証サーバ130Bとの間で、データを付き合わせて、誰の指紋認証が成功したかを確認して認証処理を行う。
その後、図5(A)に示すように、シングルサインオン認証サーバ130Aによるユーザーの認証が成功したので、ユーザー端末110のブラウザ111において表示されていたSSOのログイン画面SSがログイン中またはログイン完了の旨の表示に切り替わる。
【0035】
そして、シングルサインオン認証サーバ130Aが、セキュリティ認証応答をサービス供給サーバ120へ直接送信する、または、ユーザー端末110のブラウザ111を介してサービス供給サーバ120へ間接的に送信するとともに、サービス供給サーバ120のアクセス先情報をユーザー端末110のブラウザ111に案内(リダイレクト)する。
すると、ユーザー端末110が、アクセス先情報のURLに基づいてサービス供給サーバ120にアクセスして、ブラウザ111が、httpリクエストを送信する。
そして、ブラウザ111が、サービス供給サーバ120からのhttpレスポンス待ちとなる。
セキュリティ認証応答は、認証応答メッセージ(SAMLレスポンス)とも呼ばれるものであり、セキュリティ認証応答には、一例として、シングルサインオンのクライアント証明証としてのセキュリティ認証応答の識別情報(認証応答メッセージごとに作成されるランダム英数字)、認証応答メッセージの発行日時情報(認証応答メッセージから取得した値をそのままセット)、AssertionID情報(認証応答メッセージごとに作成されるランダム英数字)、AuthUserID情報(認証されたユーザーアカウントのID。セットされる値は、「外部システム連携」の「連携ユーザーID」設定による。)、UID情報(認証されたユーザーアカウントの内部ユニークID。)、EMAIL情報(認証されたユーザーアカウントのメールアドレス。)、ユーザーの姓名情報(認証されたユーザーアカウントの姓、名。)、認証要求メッセージにセットされていたサービス供給サーバ120側のエンドポイントURL情報、AuthnRequestID(認証要求メッセージにセットされていたID(AuthnRequestノードのID属性値))、認証日時情報、NotBefore情報(認証日時-5分の日時:分数は変更可。)、NotOnOrAfter情報(認証日時+10分の日時:分数は変更可。)、Audience情報(サービス供給サーバ120から渡される認証要求メッセージ(SAMLリクエスト)内にセットされている「Issuer」値)、シングルサインオン認証サーバ130Aの識別情報、SessionIndex情報(ランダムな英数字が自動セットされる。)、SessionNotOnOrAfter情報(サービス供給サーバ120側のログインセッション期間を指示するパラメータ。)、NameIDFormat情報(SAMLRequestから取得されたNameIDのFormat文字列をセット。)が含まれている。
すると、ユーザー端末110が、アクセス先情報のURLに基づいてサービス供給サーバ120にアクセスして、ブラウザ111が、httpリクエストを送信する。
そして、ブラウザ111が、サービス供給サーバ120からのhttpレスポンス待ちとなる。
セキュリティ認証応答は、認証応答メッセージ(SAMLレスポンス)とも呼ばれるものであり、セキュリティ認証応答には、一例として、シングルサインオンのクライアント証明証としてのセキュリティ認証応答の識別情報(認証応答メッセージごとに作成されるランダム英数字)、認証応答メッセージの発行日時情報(認証応答メッセージから取得した値をそのままセット)、AssertionID情報(認証応答メッセージごとに作成されるランダム英数字)、AuthUserID情報(認証されたユーザーアカウントのID。セットされる値は、「外部システム連携」の「連携ユーザーID」設定による。)、UID情報(認証されたユーザーアカウントの内部ユニークID。)、EMAIL情報(認証されたユーザーアカウントのメールアドレス。)、ユーザーの姓名情報(認証されたユーザーアカウントの姓、名。)、認証要求メッセージにセットされていたサービス供給サーバ120側のエンドポイントURL情報、AuthnRequestID(認証要求メッセージにセットされていたID(AuthnRequestノードのID属性値))、認証日時情報、NotBefore情報(認証日時-5分の日時:分数は変更可。)、NotOnOrAfter情報(認証日時+10分の日時:分数は変更可。)、Audience情報(サービス供給サーバ120から渡される認証要求メッセージ(SAMLリクエスト)内にセットされている「Issuer」値)、シングルサインオン認証サーバ130Aの識別情報、SessionIndex情報(ランダムな英数字が自動セットされる。)、SessionNotOnOrAfter情報(サービス供給サーバ120側のログインセッション期間を指示するパラメータ。)、NameIDFormat情報(SAMLRequestから取得されたNameIDのFormat文字列をセット。)が含まれている。
【0036】
ステップS10では、認証応答検証ステップとして、サービス供給サーバ120が、受信したセキュリティ認証応答を検証する。
検証の結果OKの場合はステップS11へ進み、他方、NGの場合はエラーとする。
ステップS11では、認証応答検証ステップとして、サービス供給サーバ120が、ユーザー端末110のログインを許可する。
すると、図5(B)に示すように、ユーザー端末110のブラウザ111が、サービス供給サーバ120からのhttpレスポンスに基づいて、一例として○○サービスの電子メール画面SV3を表示する。
検証の結果OKの場合はステップS11へ進み、他方、NGの場合はエラーとする。
ステップS11では、認証応答検証ステップとして、サービス供給サーバ120が、ユーザー端末110のログインを許可する。
すると、図5(B)に示すように、ユーザー端末110のブラウザ111が、サービス供給サーバ120からのhttpレスポンスに基づいて、一例として○○サービスの電子メール画面SV3を表示する。
【0037】
これにより、前述したように、指紋スキャン端末140が読み取ったユーザーの指紋データによる指紋認証が所謂、シングルサインオンの認証に用いられる。
その結果、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができる。
さらに、指紋スキャン端末140に事前に登録したユーザーの指紋データと、現在読み取ったユーザーの指紋データとが比較されて同一人物判定が行われる指紋スキャン端末140によって認証成功トークンが発行されて指紋認証サーバ130Bへ送信され、それがシングルサインオン認証サーバ130Aによってチェックされる。
その結果、所謂、シングルサインオンの認証に指紋スキャン端末140による認証を組み合わせることができ、セキュリティレベルを一層高めることができる。
また、パスワード入力に代えて指紋情報が認証で用いられる。
その結果、ユーザーの利便性を高めることができる。
さらに、ユーザーの指紋データが指紋スキャン端末140内で処理されて指紋の画像データなどの生体データは指紋認証サーバ130Bおよびシングルサインオン認証サーバ130Aのいずれにもアップロードされずに指紋の生体認証が行われる。
その結果、安全、かつ、レベルの高い認証を実現することができる。
また、指紋認証サーバ130Bでは、誰の指紋認証が指紋スキャン端末140において成功したのか不明であるが、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータがあることにより、シングルサインオン認証サーバ130Aが指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報に対して、関連付けデータを付き合わせることで誰の指紋認証が成功したかが判明する。
その結果、シングルサインオン認証サーバ130Aが認証サーバログイン用ユーザー情報を受信することで安全、かつ、レベルの高い認証処理を行うことができる。
その結果、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができる。
さらに、指紋スキャン端末140に事前に登録したユーザーの指紋データと、現在読み取ったユーザーの指紋データとが比較されて同一人物判定が行われる指紋スキャン端末140によって認証成功トークンが発行されて指紋認証サーバ130Bへ送信され、それがシングルサインオン認証サーバ130Aによってチェックされる。
その結果、所謂、シングルサインオンの認証に指紋スキャン端末140による認証を組み合わせることができ、セキュリティレベルを一層高めることができる。
また、パスワード入力に代えて指紋情報が認証で用いられる。
その結果、ユーザーの利便性を高めることができる。
さらに、ユーザーの指紋データが指紋スキャン端末140内で処理されて指紋の画像データなどの生体データは指紋認証サーバ130Bおよびシングルサインオン認証サーバ130Aのいずれにもアップロードされずに指紋の生体認証が行われる。
その結果、安全、かつ、レベルの高い認証を実現することができる。
また、指紋認証サーバ130Bでは、誰の指紋認証が指紋スキャン端末140において成功したのか不明であるが、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータがあることにより、シングルサインオン認証サーバ130Aが指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報に対して、関連付けデータを付き合わせることで誰の指紋認証が成功したかが判明する。
その結果、シングルサインオン認証サーバ130Aが認証サーバログイン用ユーザー情報を受信することで安全、かつ、レベルの高い認証処理を行うことができる。
【0038】
さらに本実施例では、前述したように、指紋スキャン端末140が、同一人物と判定した場合、認証成功トークンを発行してユーザー端末110を介して指紋認証サーバ130Bへ送信する。
すると、それがシングルサインオン認証サーバ130Aによってチェックされる。
そして、図4(B)に示すように、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信に基づいて予め設定された認証サーバログイン用ユーザー情報をユーザー端末110のブラウザ111において選択自在に表示する。
そして、ユーザー端末110のブラウザ111において認証サーバログイン用ユーザー情報の選択操作があったとき、ユーザー端末110が、選択された認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信する。
すると、それがシングルサインオン認証サーバ130Aによってチェックされる。
そして、図4(B)に示すように、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信に基づいて予め設定された認証サーバログイン用ユーザー情報をユーザー端末110のブラウザ111において選択自在に表示する。
そして、ユーザー端末110のブラウザ111において認証サーバログイン用ユーザー情報の選択操作があったとき、ユーザー端末110が、選択された認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信する。
【0039】
すると、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信および受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバ120へ直接送信する、または、ユーザー端末110のブラウザ111を介してサービス供給サーバ120へ間接的に送信するとともに、サービス供給サーバ120のアクセス先情報をユーザー端末110のブラウザ111に案内するように構成されている。
これにより、予め設定された認証サーバログイン用ユーザー情報がユーザー端末110のブラウザ111において選択自在に表示される。
その結果、1ユーザーに対してユーザー情報が複数ある場合、ユーザーは選択操作をするだけで用途に応じて複数のユーザー情報を使い分けることができる。
なお、指紋認証の指紋成功トークンの送信と、認証サーバログイン用ユーザー情報の送信とについて、指紋成功トークンの送信が先で、認証サーバログイン用ユーザー情報の送信が後であることにより、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータに基づいて、データを付き合わせて、誰の指紋認証が成功したのかが特定される。
その結果、シングルサインオン認証サーバ130Aが、認証サーバログイン用ユーザー情報としてのアカウントの候補を挙げて、ユーザー端末110のブラウザ111のSSOのログイン画面SSのアカウント選択ウィンドウSS2に候補のアカウントを表示することができ、ユーザーは選択操作をするだけで簡単にログイン操作を行うことができる。
これにより、予め設定された認証サーバログイン用ユーザー情報がユーザー端末110のブラウザ111において選択自在に表示される。
その結果、1ユーザーに対してユーザー情報が複数ある場合、ユーザーは選択操作をするだけで用途に応じて複数のユーザー情報を使い分けることができる。
なお、指紋認証の指紋成功トークンの送信と、認証サーバログイン用ユーザー情報の送信とについて、指紋成功トークンの送信が先で、認証サーバログイン用ユーザー情報の送信が後であることにより、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋(指紋登録データ)の識別情報、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋(指紋登録データ)の識別情報と認証サーバログイン用ユーザー情報との関連付けデータに基づいて、データを付き合わせて、誰の指紋認証が成功したのかが特定される。
その結果、シングルサインオン認証サーバ130Aが、認証サーバログイン用ユーザー情報としてのアカウントの候補を挙げて、ユーザー端末110のブラウザ111のSSOのログイン画面SSのアカウント選択ウィンドウSS2に候補のアカウントを表示することができ、ユーザーは選択操作をするだけで簡単にログイン操作を行うことができる。
【0040】
また本実施例では、指紋スキャン端末140が、ユーザーの指紋登録データを指紋スキャン端末140の記憶部に事前に登録するように構成してもよい。
つまり、ユーザーの指紋登録データを指紋認証サーバ130Bに登録せず、指紋スキャン端末140の内部において登録するように構成する。
これにより、指紋の同一人物の判定が指紋スキャン端末140内で行われて指紋データが指紋スキャン端末140の外部へ送信されない。
その結果、安全、かつ、レベルの高い認証を実現することができる。
つまり、ユーザーの指紋登録データを指紋認証サーバ130Bに登録せず、指紋スキャン端末140の内部において登録するように構成する。
これにより、指紋の同一人物の判定が指紋スキャン端末140内で行われて指紋データが指紋スキャン端末140の外部へ送信されない。
その結果、安全、かつ、レベルの高い認証を実現することができる。
【0041】
さらに本実施例では、SSOのログイン画面SSにおいて、ユーザー端末110の端末特定情報として、所謂、MACアドレス情報をシングルサインオン認証サーバ130Aに対して送信してユーザーアカウントと関連付けて予め登録するようにしてもよい。
この場合、シングルサインオン認証サーバ130Aが、ユーザーアカウントだけでなく、ユーザー端末110についても確認して認証処理を行うことになる。
そして、ユーザー端末110が、認証サーバログイン用ユーザー情報とともにMACアドレス情報をシングルサインオン認証サーバ130Aへ送信するように構成する。
これにより、指紋認証サーバ130Bによる認証成功トークンの受信、認証サーバログイン用ユーザー情報およびMACアドレス情報に基づいてシングルサインオン認証サーバ130Aによって認証処理される。
その結果、セキュリティレベルをより一層高めることができる。
この場合、シングルサインオン認証サーバ130Aが、ユーザーアカウントだけでなく、ユーザー端末110についても確認して認証処理を行うことになる。
そして、ユーザー端末110が、認証サーバログイン用ユーザー情報とともにMACアドレス情報をシングルサインオン認証サーバ130Aへ送信するように構成する。
これにより、指紋認証サーバ130Bによる認証成功トークンの受信、認証サーバログイン用ユーザー情報およびMACアドレス情報に基づいてシングルサインオン認証サーバ130Aによって認証処理される。
その結果、セキュリティレベルをより一層高めることができる。
【0042】
このようにして得られた本発明の実施例であるログイン認証システム100は、ユーザー端末110とサービス供給サーバ120とシングルサインオン認証サーバ130Aと指紋認証サーバ130Bとを備え、ユーザー端末110が、ユーザーの操作に基づいてサービス供給サーバ120にアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信したとき、サービス供給サーバ120が、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバ130Aへ直接送信する、または、ユーザー端末110を介してシングルサインオン認証サーバ130Aへ間接的に送信するとともに、シングルサインオン認証サーバ130Aのアクセス先情報をユーザー端末110のブラウザ111に案内し、シングルサインオン認証サーバ130Aが、受信したセキュリティ認証要求に基づいてユーザー端末110のブラウザ111において認証要求を表示し、ユーザー端末110と接続された指紋スキャン端末140が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末110を介して指紋認証サーバ130Bへ送信し、ユーザー端末110が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信し、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバ120へ直接送信する、または、ユーザー端末110のブラウザ111を介してサービス供給サーバ120へ間接的に送信するとともに、サービス供給サーバ120のアクセス先情報をユーザー端末110のブラウザ111に案内し、サービス供給サーバ120が、受信したセキュリティ認証応答を検証してユーザー端末110のログインを許可する構成であることにより、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができ、所謂、シングルサインオンの認証に指紋スキャン端末140による認証を組み合わせてセキュリティレベルを一層高めることができ、ユーザーの利便性を高めることができる。
【0043】
さらに、指紋スキャン端末140が、同一人物と判定した場合、認証成功トークンを発行してユーザー端末110を介して指紋認証サーバ130Bへ送信し、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信に基づいて予め設定された認証サーバログイン用ユーザー情報をユーザー端末110のブラウザ111において選択自在に表示し、ユーザー端末110のブラウザ111において認証サーバログイン用ユーザー情報の選択操作があったとき、ユーザー端末110が、選択された認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信し、シングルサインオン認証サーバ130Aが、受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバ120へ直接送信する、または、ユーザー端末110のブラウザ111を介してサービス供給サーバ120へ間接的に送信するとともに、サービス供給サーバ120のアクセス先情報をユーザー端末110のブラウザ111に案内する構成であることにより、1ユーザーに対してユーザー情報が複数ある場合、ユーザーは選択操作をするだけで用途に応じて複数のユーザー情報を使い分けることができ、さらに、シングルサインオン認証サーバ130Aが、認証サーバログイン用ユーザー情報としてのアカウントの候補を挙げて、ユーザー端末110のブラウザ111のSSOのログイン画面SSのアカウント選択ウィンドウSS2に候補のアカウントを表示することができ、ユーザーは選択操作をするだけで簡単にログイン操作を行うことができる。
【0044】
また、指紋スキャン端末140が、ユーザーの指紋登録データを指紋スキャン端末140の記憶部に事前に登録する構成であることにより、安全、かつ、レベルの高い認証を実現することができる。
【0045】
さらに、本発明の実施例であるログイン認証システム100のプログラムは、ユーザー端末110が、ユーザーの操作に基づいてサービス供給サーバ120にアクセスして入力されたサービス供給サーバログイン用ユーザー情報を送信するアクセスステップS1、S2と、サービス供給サーバ120が、受信したサービス供給サーバログイン用ユーザー情報に基づいてセキュリティ認証要求を発行してシングルサインオン認証サーバ130Aへ直接送信する、または、ユーザー端末110を介してシングルサインオン認証サーバ130Aへ間接的に送信するとともに、シングルサインオン認証サーバ130Aのアクセス先情報をユーザー端末110のブラウザ111に案内するリダイレクトステップS3と、シングルサインオン認証サーバ130Aが、受信したセキュリティ認証要求に基づいてユーザー端末110のブラウザ111において認証要求を表示する認証要求ステップS4と、ユーザー端末110と接続された指紋スキャン端末140が、読み取ったユーザーの指紋データと事前に登録されたユーザーの指紋登録データとを比較して同一人物か否かを判定し、同一人物と判定した場合、認証成功トークンを発行してユーザー端末110を介して指紋認証サーバ130Bへ送信する指紋判定ステップS5~S7と、ユーザー端末110が、認証サーバログイン用ユーザー情報をシングルサインオン認証サーバ130Aへ送信するユーザー情報送信ステップS8と、シングルサインオン認証サーバ130Aが、指紋認証サーバ130Bによる認証成功トークンの受信内容に含まれる指紋識別情報、シングルサインオン認証サーバ130Aのデータベースにおいて事前に登録された指紋識別情報と認証サーバログイン用ユーザー情報との関連付けデータおよび受信した認証サーバログイン用ユーザー情報に基づいて認証処理をしてセキュリティ認証応答を発行して、サービス供給サーバ120へ直接送信する、または、ユーザー端末110のブラウザ111を介してサービス供給サーバ120へ間接的に送信するとともに、サービス供給サーバ120のアクセス先情報をユーザー端末110のブラウザ111に案内する認証応答発行・送信ステップS9と、サービス供給サーバ120が、受信したセキュリティ認証応答を検証してユーザー端末110のログインを許可する認証応答検証ステップS10、S11とを具備していることにより、ID・パスワード入力のみの構成と比べてセキュリティレベルを高めることができ、所謂、シングルサインオンの認証に指紋スキャン端末140による認証を組み合わせてセキュリティレベルを一層高めることができ、ユーザーの利便性を高めることができるなど、その効果は甚大である。
【符号の説明】
【0046】
100 ・・・ ログイン認証システム
110 ・・・ ユーザー端末
111 ・・・ ブラウザ
SV ・・・ サービスのログイン画面
SV1 ・・・ ユーザー情報入力欄
SV2 ・・・ 「次へ」ボタン
SV3 ・・・ サービスの電子メール画面
SS ・・・ SSOのログイン画面
SS1 ・・・ 指紋スキャン案内ウィンドウ
SS2 ・・・ アカウント選択ウィンドウ
120 ・・・ サービス供給サーバ
130A・・・ シングルサインオン認証サーバ
130B・・・ 指紋認証サーバ
140 ・・・ 指紋スキャン端末
110 ・・・ ユーザー端末
111 ・・・ ブラウザ
SV ・・・ サービスのログイン画面
SV1 ・・・ ユーザー情報入力欄
SV2 ・・・ 「次へ」ボタン
SV3 ・・・ サービスの電子メール画面
SS ・・・ SSOのログイン画面
SS1 ・・・ 指紋スキャン案内ウィンドウ
SS2 ・・・ アカウント選択ウィンドウ
120 ・・・ サービス供給サーバ
130A・・・ シングルサインオン認証サーバ
130B・・・ 指紋認証サーバ
140 ・・・ 指紋スキャン端末
【図1】
【図2】
【図3】
【図4】
【図5】
