本発明は、シングルサインオンサーバ用コンピュータシステム及びプログラムの技術に関する。 The present invention relates to a computer system and program for a single sign-on server.
シングルサインオン(SSOともいう)はユーザの利便性を向上させる反面、パスワードが漏洩した場合には、1回のログインですべてのシステムが使用できてしまうので、セキュリティ上の脅威が増すという問題がある。不正に取得したパスワードを使用した攻撃者からのアクセスに対して、同一アカウントによる同時アクセスの禁止のような対策も考えられるが、一方のアクセスが正規のユーザからのアクセスだった場合は、逆に利便性を損ねることになる。 Single sign-on (also called SSO) improves user convenience, but if a password is leaked, all systems can be used with a single login, which increases the security threat. is there. For access from an attacker using an illegally obtained password, a countermeasure such as prohibiting simultaneous access by the same account can be considered, but if one access is from a legitimate user, conversely Convenience will be impaired.
なお、本発明と関連する先行技術としては特許文献1がある。この特許文献は、自身が管理するユーザと、バックエンドのサーバコンピュータで動作するアプリケーションのユーザとのマップ情報に基づいて代理認証を行う、リバースプロシキ型のSSOを開示している。 In addition, there exists patent document 1 as a prior art relevant to this invention. This patent document discloses a reverse proxy type SSO that performs proxy authentication based on map information between a user managed by the user and an application user operating on a back-end server computer.
なお、上述の背景技術および先行技術は、本発明の背景の一部を説明するためにのみ説明されている。本発明は上述の背景技術や問題点に限定されるものではない点に留意されたい。
本発明は、シングルサインオンによるセキュリティ上の脅威を緩和するシングルサインオンサーバ技術を提供することを、目的としている。 An object of the present invention is to provide a single sign-on server technology that mitigates security threats caused by single sign-on.
請求項1に記載の発明は、ユーザアカウント識別子およびユーザ認証用情報を伴う認証要求をクライアント端末から受け取ってユーザ認証を行ない、ユーザ認証に成功したユーザアカウントのバックエンドサーバコンピュータのアプリケーションサービスへのアクセスを中継する際に当該バックエンドサーバコンピュータのアプリケーションサービスとの間の認証手続を当該ユーザアカウントのユーザ情報に基づいて代理するシングルサインオンサーバ用コンピュータシステムにおいて、上記認証要求を受け取ったときの要求状況が所定の条件を充足する場合に上記バックエンドサーバコンピュータのアプリケーションサービスへのアクセスを制限するアクセス制限手段を有することを特徴とする。According to the first aspect of the present invention, an authentication request including a user account identifier and user authentication information is received from a client terminal to perform user authentication, and access to an application service of a back-end server computer of a user account that has been successfully authenticated. Status when the authentication request is received in the computer system for a single sign-on server that proxy the authentication procedure with the application service of the back-end server computer based on the user information of the user account when relaying Has an access restricting means for restricting access to the application service of the back-end server computer when a predetermined condition is satisfied.
請求項2に記載に発明は、請求項1に記載の発明において、上記所定の条件は、(1)認証要求を送信するクライアント端末が同一のユーザアカウントを使用した所定の過去の認証要求を送信したクライアント端末と異なるという条件、(2)認証要求がインターネットを介して行われるという条件、(3)ユーザ認証が成功するまでの間に行われたユーザ認証用情報の入力ミスの回数が設定値を越えているという条件、(4)ユーザ認証が成功するまでの間に行われたユーザ認証用情報の入力ミスのパターンが過去に他のユーザアカウントに対して行われた入力ミスのパターンと一致するという条件、(5)ユーザ認証が成功するまでの間に行われたユーザ認証用情報の入力ミスを構成するユーザ認証情報がユーザ名と一致するという条件、(6)同一のクライアント端末から所定数以上のユーザアカウントのユーザ認証要求が行われるという条件、(7)同一のクライアント端末からの最後のアクセスがあってから所定時間経過した後に再度アクセスがあるという条件、(8)通常と異なる時間帯に認証要求が行われるという条件、(9)当該ユーザアカウントのユーザが常時使用しているクライアント端末と異なるクライアント端末からユーザ認証要求が行われるという条件のうちの少なくとも1つであることを特徴とする。The invention according to claim 2 is the invention according to claim 1, wherein the predetermined condition is that (1) a client terminal that transmits an authentication request transmits a predetermined past authentication request using the same user account. (2) The condition that the authentication request is made via the Internet, (3) The number of user authentication information input mistakes made until the user authentication is successful is the set value. (4) The input error pattern of the user authentication information performed until the user authentication succeeds matches the pattern of the input error made for other user accounts in the past And (5) a condition that user authentication information constituting an input error of user authentication information performed before the user authentication succeeds matches the user name. (6) Condition that user authentication requests for a predetermined number or more of user accounts are made from the same client terminal, (7) Access is made again after a predetermined time has elapsed since the last access from the same client terminal Among the conditions, (8) a condition that an authentication request is made in a time zone different from normal, and (9) a condition that a user authentication request is made from a client terminal different from the client terminal that is always used by the user of the user account It is at least one of these.
請求項3に記載の発明は、請求項1または2に記載の発明において、ユーザアカウントごと予め登録されている中継可能なアプリケーションサービスへのアクセスのみを中継可能にすることを特徴とする。 The invention according to claim 3 is characterized in that, in the invention according to claim 1 or 2, only access to a relayable application service registered in advance for each user account can be relayed.
請求項4に記載の発明は、請求項1から3のいずれかに記載の発明において、上記アクセス制限手段が、予め登録されているアプリケーションサービスに対してのみアクセスを制限することを特徴とする。 According to a fourth aspect of the present invention, in the invention according to any one of the first to third aspects, the access restriction unit restricts access only to pre-registered application services.
請求項5に記載の発明は、請求項1から4のいずれかに記載の発明において、 上記アクセス制限手段は、(1)ユーザ認証に成功したユーザアカウントのバックエンドサーバコンピュータのアプリケーションサービスへのアクセスを中継する際に、当該バックエンドサーバコンピュータのアプリケーションサービスとの間の認証手続を当該ユーザアカウントのユーザ情報に基づいて代理することなく、上記クライアント端末から少なくとも当該バックエンドコンピュータのアプリケーションサービスに対する当該ユーザアカウントの真正な認証情報が供給されて初めて当該アプリケーションサービスに対するアクセスが許可される制限処理、(2)予め登録されているバックエンドサーバコンピュータのアプリケーションサービスへのアクセスを拒否する制限処理、のいずれかを実行することを特徴とする。 The invention according to claim 5 is the invention according to any one of claims 1 to 4, wherein the access restriction means includes: (1) access to an application service of a back-end server computer of a user account that has been successfully authenticated by a user; When the user terminal relays the authentication service to / from the application service of the back-end server computer based on the user information of the user account, at least the user corresponding to the application service of the back-end computer from the client terminal Restriction processing in which access to the application service is permitted only after the authentic authentication information of the account is supplied, (2) Access to the application service of the back-end server computer registered in advance Reject limiting process the scan, and executes one of the.
請求項6に記載の発明は、ユーザアカウント識別子およびユーザ認証用情報を伴う認証要求をクライアント端末から受け取ってユーザ認証を行ない、ユーザ認証に成功したユーザアカウントのバックエンドサーバコンピュータのアプリケーションサービスへのアクセスを中継する際に当該バックエンドサーバコンピュータのアプリケーションサービスとの間の認証手続を当該ユーザアカウントのユーザ情報に基づいて代理するシングルサインオンサーバ用のプログラムにおいて、サーバコンピュータを、上記認証要求を受け取ったときの要求状況が所定の条件を充足する場合に上記バックエンドサーバコンピュータのアプリケーションサービスへのアクセスを制限するアクセス制限手段として機能させることを特徴とする。 The invention described in claim 6 receives an authentication request including a user account identifier and user authentication information from a client terminal, performs user authentication, and accesses the application service of the back-end server computer of the user account that has succeeded in user authentication. The server computer receives the above authentication request in a program for a single sign-on server that proxy the authentication procedure with the application service of the backend server computer based on the user information of the user account. When the request situation at the time satisfies a predetermined condition, it functions as an access restriction means for restricting access to the application service of the back-end server computer.
本発明によれば、認証要求時の要求状況が所定の条件を充足するときには、アプリケーションサービスへのアクセスを制限して、シングルサインオンによるセキュリティへの脅威を緩和できる。 According to the present invention, when the request status at the time of authentication request satisfies a predetermined condition, it is possible to limit access to the application service and mitigate the threat to security due to single sign-on.
以下、本発明の実施例について説明する。 Examples of the present invention will be described below.
図1は、本発明の実施例のSSOサーバを用いたサービス提供システムのネットワーク構成の例を示しており、図2はこのサービス提供システムの模式的な構成の例を示しており、図3は、SSOサーバ10の機能構成の例を示している。 FIG. 1 shows an example of a network configuration of a service providing system using an SSO server according to an embodiment of the present invention, FIG. 2 shows an example of a schematic configuration of this service providing system, and FIG. 2 shows an example of a functional configuration of the SSO server 10.
図1において、SSO(シングルサインオン)サーバ10、複数のクライアント(クライアント端末ともいう)20、複数のWEBサーバ30が通信ネットワーク40を介して接続され、サービス提供システムを構築している。サービス提供システム50はこの実施例ではウェブサービスであるが、これに限定されない。 In FIG. 1, an SSO (single sign-on) server 10, a plurality of clients (also referred to as client terminals) 20, and a plurality of WEB servers 30 are connected via a communication network 40 to construct a service providing system. The service providing system 50 is a web service in this embodiment, but is not limited to this.
図1に示すサービス提供システム50は模式的には図2に示すようにクライアント20上のウェブブラウザ20aがSSOサーバ10を中継してWEBサーバ30からサービスを受けるようになっている。 A service providing system 50 shown in FIG. 1 is configured such that a web browser 20a on the client 20 receives a service from the WEB server 30 via the SSO server 10 as schematically shown in FIG.
図3において、SSOサーバ10は、機能ユニットとして制御部101、ログイン画面生成部102、認証部103、アプリケーション用認証データ取得部104、認証データ保持部105、リクエスト転送部106、不正アクセス検知部、検知モジュール108、不正アクセス通知部109等を含んで構成されている。 In FIG. 3, the SSO server 10 includes a control unit 101, a login screen generation unit 102, an authentication unit 103, an application authentication data acquisition unit 104, an authentication data holding unit 105, a request transfer unit 106, an unauthorized access detection unit, as functional units. It includes a detection module 108, an unauthorized access notification unit 109, and the like.
SSOサーバ10は、周知のとおり、CPU、主メモリ、バス、補助記憶装置、各種入出力装置等のハードウェア資源、システムソフトウェア等のソフトウェア資源から構成され、SSOの機能ユニットは、これらハードウェア資源、ソフトウェア資源およびアプリケーションプログラム等を協働させて構成される。 As is well known, the SSO server 10 includes hardware resources such as a CPU, a main memory, a bus, an auxiliary storage device, various input / output devices, and software resources such as system software. The functional units of the SSO include these hardware resources. It is configured by cooperating software resources and application programs.
制御部101は、各機能ユニットを制御するものであり、例えば、後述するような処理フロー(図5、図6および図8参照)を全体として制御するものである。 The control unit 101 controls each functional unit, and controls, for example, a processing flow (see FIGS. 5, 6, and 8) as described below as a whole.
ログイン画面生成部102は、SSOサーバ10のポータルのログイン画面を生成するものである。クライアント20がSSOのポータルをアクセスするとクライアント20にログイン画面のページが供給される。ユーザはログイン画面を用いて例えばユーザ名およびパスワードを入力してサブミットする。 The login screen generation unit 102 generates a login screen for the portal of the SSO server 10. When the client 20 accesses the SSO portal, the login screen page is supplied to the client 20. The user submits by entering, for example, a user name and a password using the login screen.
認証部103はユーザから入力されたユーザ名およびパスワードを用いてSSO自体のユーザ認証を行う。認証データ保持部105は、SSO自体のユーザ名およびパスワードを関連付けて保持し(データベース)、認証部103はこのSSO自体のユーザ認証用データを用いて認証を行う。認証データ保持部105はSSO自体のユーザ認証用データの他に、アプリケーションごとのユーザ名およびパスワードのマップデータ(図4参照)を保持している。SSOサーバ10は、このマップデータを用いてアプリケーションにおけるユーザ認証を代行する。 The authentication unit 103 performs user authentication of the SSO itself using the user name and password input by the user. The authentication data holding unit 105 holds a user name and password associated with the SSO itself (database), and the authentication unit 103 performs authentication using the user authentication data of the SSO itself. The authentication data holding unit 105 holds user name and password map data (see FIG. 4) for each application in addition to the user authentication data of the SSO itself. The SSO server 10 performs user authentication in the application using this map data.
アプリケーション用認証データ取得部104は、SSOサーバ10がアプリケーションにおけるユーザ認証を代行するときにSSOのユーザ名に基づいて認証データ保持部105からアプリケーション用のユーザ名およびパスワードを取得するものである。 The application authentication data acquisition unit 104 acquires the application user name and password from the authentication data holding unit 105 based on the SSO user name when the SSO server 10 performs user authentication for the application.
リクエスト転送部106は、クライアント20からのリクエスト(HTTPリクエスト)をWEBサーバ30に転送するものである。このリクエスト転送部106は、アプリケーションにおけるユーザ認証要求の際にアプリケーションにおけるユーザ名およびパスワードをWEBサーバに送信する。WEBサーバ30は、自らの認証用アプリケーションプログラムや外部の認証サーバを用いてユーザ認証を行う。 The request transfer unit 106 transfers a request (HTTP request) from the client 20 to the WEB server 30. The request transfer unit 106 transmits the user name and password in the application to the WEB server when a user authentication request is made in the application. The WEB server 30 performs user authentication using its own application program for authentication or an external authentication server.
不正アクセス検知部107は、「不正アクセス」の可能性のあるアクセス挙動を検知するものである。「不正アクセス」の可能性のある疑わしいアクセスについては、種々の規則で判別を行える。 The unauthorized access detection unit 107 detects an access behavior that may be “illegal access”. Suspicious access with the possibility of “illegal access” can be determined by various rules.
検知モジュール108は、種々の検知規則を実装するものである。あらかじめ複数の検知モジュールを用意しておき、どれを採用するかを設定することができる。スクリプト言語によって判定基準をプログラミングしてもよい。また、判定処理をプラガブルにすることにより、プラグインモジュールとして追加してもよい。 The detection module 108 implements various detection rules. A plurality of detection modules are prepared in advance, and it is possible to set which one is adopted. The determination criteria may be programmed by a script language. Moreover, you may add as a plug-in module by making determination processing pluggable.
不正アクセス通知部109は、「不正アクセス」すなわち疑わしいアクセスを検知後、その旨をログに出力するとともに、あらかじめ設定されたユーザ(当該アカウントを持つユーザ、管理ユーザなど)に電子メールで通知するものである(メールクライアント)。 The unauthorized access notifying unit 109 detects "illegal access", that is, suspicious access, and outputs a message to that effect and notifies a preset user (user with the account, administrative user, etc.) by e-mail. (Email client).
判定基準としては、以下のようなものが、これに限定されない。これらの判定基準は、同時に設定してもよい。 The following criteria are not limited to these. These determination criteria may be set simultaneously.
まず、同一アカウントを使用したログインの要求が、最初のアクセス時と異なるマシンからなされた場合に、疑わしいと判断する。 First, when a login request using the same account is made from a machine different from the first access, it is determined to be suspicious.
第2に、インターネット経由のリモートアクセスは、なりすましの可能性が高いとみなし、疑わしいと判断する。 Second, remote access via the Internet is considered to be suspicious because it is likely to be spoofed.
また、ログインに成功するまでに、パスワードの入力ミスの回数が設定値を越える場合には、攻撃者が試行錯誤の結果、ログインに成功した可能性があり、疑わしいと判断する。 Also, if the number of password input mistakes exceeds the set value before the login is successful, the attacker may have successfully logged in as a result of trial and error, and is determined to be suspicious.
また、ログインに成功するまでに、複数回のパスワードの入力ミスがあり、そのミスのパターンが過去に他のアカウントに対しても試されていたことがある場合には、攻撃者が複数のアカウントに対して、次々にログインを試みている可能性があり、疑わしいと判断する。 Also, if there are multiple password mistakes before successful login and the pattern of mistakes has been tried against other accounts in the past, the attacker In response to this, there is a possibility of trying to log in one after another, and it is judged suspicious.
また、ログインに成功するまでに、複数回のパスワードの入力ミスがあり、そのミスの中に、ユーザ名と同じパスワードを指定したものが含まれていた場合、攻撃者が、最も単純なパスワード(ユーザ名と同一)を使ってログインを試みた可能性があり、疑わしいと判断する。 Also, if there are multiple input mistakes before logging in successfully, and the password contains the same password as the user name, the attacker will use the simplest password ( User name is the same) and you may have tried to log in.
さらに、同一端末から、一定時間の間に複数のアカウントが使用された場合、攻撃者が、複数のアカウントを次々に攻撃している可能性があるので、疑わしいと判断する。 Furthermore, when a plurality of accounts are used from the same terminal for a certain period of time, it is determined that the attacker is suspicious because there is a possibility that the attacker is attacking the plurality of accounts one after another.
また、ある端末からの最後のアクセスがあってから一定時間経過した後に、再度アクセスがあった場合、正規のユーザが離席中に、悪意のあるユーザがなりすましでアクセスしている可能性があるので、疑わしいと判断する。 In addition, when a certain time has passed since the last access from a certain terminal, and there is an access again, there is a possibility that a malicious user is impersonating while a legitimate user is away So it is judged suspicious.
また、通常と異なるパターンのアクセス、例えば、休日もしくは深夜・早朝にアクセスがあった場合、攻撃者が、オフィスに忍び込んで使用している可能性があるので、疑わしいと判断する。 Also, if there is an unusual pattern of access, for example, a holiday or late night / early morning access, the attacker may sneak into the office and use it.
また、あるユーザが、いつも使用している端末とは異なる端末からアクセスしてきた場合、アクセスしているのが正規のユーザではない可能性があるので、疑わしいと判断する。 Further, when a user accesses from a terminal different from the terminal that is always used, there is a possibility that the user is not a legitimate user, so it is determined that the user is suspicious.
つぎに実施例の動作例について説明する。ここでは、代理認証の処理をスキップしてアクセス制限を行ない場合と、登録されたアプリケーションへのアクセス拒否によりアクセス制限を行う場合について説明する。登録されたアプリケーションのアクセスについて代理認証の処理をスキップしてアクセス制限を行うようにしても良い。 Next, an operation example of the embodiment will be described. Here, a case where access restriction is performed by skipping the proxy authentication process and a case where access restriction is performed by denying access to a registered application will be described. It is also possible to perform access restriction by skipping proxy authentication processing for registered application access.
まず、代理認証の処理をスキップしてアクセス制限を行なう場合について説明する。
□前提となる処理では、SSOサーバ10が管理するユーザと、連携対象となる各アプリケーションのユーザのマップをSSOサーバが保持しており、SSOへのログインが成功すると、アクセス先のアプリケーションの対応するユーザのユーザ名とパスワードを取得して、アプリケーションのログインフォームに自動的に埋め込んでサブミットする。First, a case where access restriction is performed by skipping proxy authentication processing will be described.
□ In the premise process, the SSO server holds a map of the users managed by the SSO server 10 and the users of each application to be linked, and if the login to the SSO is successful, the access destination application corresponds Get the user's username and password and automatically embed it in the application login form and submit it.
ユーザのマップは例えば図4に示すものである。 The user map is, for example, as shown in FIG.
この処理は例えば図5に示すとおりであり、その内容は以下のとおりである。 This processing is as shown in FIG. 5, for example, and the contents are as follows.
[ステップS10]:クライアント20から、SSOサーバ10のポータルのURLにアクセスする。
[ステップS11]:ログインフォームを表示する。
[ステップS12]:ユーザはユーザ名とパスワードを入力しログインボタンをクリックする。
[ステップS13]:SSOサーバ10でログイン処理を行う。
[ステップS14]:SSOサーバ10での認証に成功したらステップ16ヘ進み、失敗したらステップS15へ進む。
[ステップS15]:SSOサーバ10の認証で失敗したらエラーをユーザに表示する。エラーログをとり、また管理者にエラーをメール等で通知しても良い。
[ステップS16]:ステップS14の認証が成功したら、アプリケーションの一覧画面を表示する。
[ステップS17]:ステップS16で表示された一覧画面で、ユーザが利用したいアプリケーションを選択する。
[ステップS18]:制限処理を行うかどうかを判別する。この例では、「不正なアクセス」の可能性があるかどうかだけを判別する。「不正なアクセス」がある場合には、自動的に制限処理を行うと判別する。なお、併せて、対象アプリケーションが制限対象として登録されているかどうかを判別して、両者が満たされる場合に制限処理を行うと判別しても良い。「不正なアクセス」かどうかの判別基準は先に説明したものを利用できる。制限処理でない場合にはステップS19へ進み、制限処理の場合にはステップS21へ進む。
[ステップS19]:ユーザのマップから、ステップS17で選択されたアプリケーションでの、アクセス中のユーザのユーザ名とパスワードを取得する。
[ステップS20]:アプリケーションが表示するログインフォームに、ステップS17で取得したユーザ名とパスワードを自動的に埋め込んでサブミットする。
[ステップS21]:選択されたアプリケーションのログインフォームをそのまま表示して、ユーザにユーザ名とパスワードの入力をさせる。エラーログを残し、管理者等にエラーをメールで通知しても良い。[Step S10]: The URL of the portal of the SSO server 10 is accessed from the client 20.
[Step S11]: A login form is displayed.
[Step S12]: The user inputs a user name and password and clicks a login button.
[Step S13]: The SSO server 10 performs login processing.
[Step S14]: If the authentication with the SSO server 10 is successful, the process proceeds to step 16; otherwise, the process proceeds to step S15.
[Step S15]: If authentication of the SSO server 10 fails, an error is displayed to the user. An error log may be taken and the administrator may be notified of the error by e-mail or the like.
[Step S16]: If the authentication in step S14 is successful, an application list screen is displayed.
[Step S17]: On the list screen displayed in Step S16, an application that the user wants to use is selected.
[Step S18]: It is determined whether or not the restriction process is performed. In this example, it is determined only whether there is a possibility of “illegal access”. When there is “illegal access”, it is determined that the restriction process is automatically performed. In addition, it may be determined whether or not the target application is registered as a restriction target, and the restriction process is performed when both are satisfied. The criteria described above can be used as a criterion for determining whether or not “unauthorized access” has occurred. If it is not a restriction process, the process proceeds to step S19, and if it is a restriction process, the process proceeds to step S21.
[Step S19]: The user name and password of the accessing user in the application selected in Step S17 are acquired from the user map.
[Step S20]: The user name and password acquired in step S17 are automatically embedded in the login form displayed by the application and submitted.
[Step S21]: The login form of the selected application is displayed as it is, and the user is prompted to enter the user name and password. You may leave an error log and notify the administrator etc. by email.
つぎに、登録されたアプリケーションへのアクセス拒否によりアクセス制限を行う場合について説明する。
□前提として、疑わしいアクセスの場合に利用不可としたいアプリケーションのURLのリストを、あらかじめ登録しておく。Next, a description will be given of a case where access restriction is performed by denying access to a registered application.
□ As a premise, a list of URLs of applications that should not be used in case of suspicious access is registered in advance.
この場合の処理の例を図6に示す。なお、図6において図5と対応する箇所には対応する符号を付した。 An example of processing in this case is shown in FIG. In FIG. 6, portions corresponding to those in FIG.
図6の処理は以下のとおりである。 The process of FIG. 6 is as follows.
[ステップS10]:クライアント20から、SSOサーバ10のポータルのURLにアクセスする。
[ステップS11]:ログインフォームを表示する。
[ステップS12]:ユーザはユーザ名とパスワードを入力しログインボタンをクリックする。
[ステップS13]:SSOサーバ10でログイン処理を行う。
[ステップS14]:SSOサーバ10での認証に成功したらステップ16ヘ進み、失敗したらステップS15へ進む。
[ステップS15]:SSOサーバ10の認証で失敗したらエラーをユーザに表示する。エラーログをとり、また管理者にエラーをメール等で通知しても良い。
[ステップS16]:ステップS14の認証が成功したら、アプリケーションの一覧画面を表示する。
[ステップS17]:ステップS16で表示された一覧画面で、ユーザが利用したいアプリケーションを選択する。
[ステップS18]:「不正なアクセス」の可能性があり、かつ対象アプリケーションが制限対象として登録されているかどうかを判別する。両者が満たされる場合に制限処理を行うと判別する。「不正なアクセス」かどうかの判別基準は先に説明したものを利用できる。制限処理でない場合にはステップS19へ進み、制限処理の場合にはステップS23へ進む。
[ステップS19]:ユーザのマップから、ステップS17で選択されたアプリケーションでの、アクセス中のユーザのユーザ名とパスワードを取得する。
[ステップS20]:アプリケーションが表示するログインフォームに、ステップS17で取得したユーザ名とパスワードを自動的に埋め込んでサブミットする。
[ステップS23]:アクセスを拒否してエラーを表示する。エラーログを残し、管理者等にエラーをメールで通知しても良い。[Step S10]: The URL of the portal of the SSO server 10 is accessed from the client 20.
[Step S11]: A login form is displayed.
[Step S12]: The user inputs a user name and password and clicks a login button.
[Step S13]: The SSO server 10 performs login processing.
[Step S14]: If the authentication with the SSO server 10 is successful, the process proceeds to step 16; otherwise, the process proceeds to step S15.
[Step S15]: If authentication of the SSO server 10 fails, an error is displayed to the user. An error log may be taken and the administrator may be notified of the error by e-mail or the like.
[Step S16]: If the authentication in step S14 is successful, an application list screen is displayed.
[Step S17]: On the list screen displayed in Step S16, an application that the user wants to use is selected.
[Step S18]: It is determined whether there is a possibility of “illegal access” and the target application is registered as a restriction target. When both are satisfied, it is determined that the restriction process is performed. The criteria described above can be used as a criterion for determining whether or not “unauthorized access” has occurred. If it is not a restriction process, the process proceeds to step S19, and if it is a restriction process, the process proceeds to step S23.
[Step S19]: The user name and password of the accessing user in the application selected in Step S17 are acquired from the user map.
[Step S20]: The user name and password acquired in step S17 are automatically embedded in the login form displayed by the application and submitted.
[Step S23]: Access is denied and an error is displayed. You may leave an error log and notify the administrator etc. by email.
なお、ステップS17で一覧を表示する際に、利用不可としたいURLを除外して表示してもよい。この場合、「不正なアクセス」かどうかをステップS17よりまえに判別しておく必要がある。 Note that when displaying the list in step S17, URLs that should not be used may be excluded and displayed. In this case, it is necessary to determine whether it is “illegal access” before step S17.
この実施例によれば、不正な手段でパスワードを取得した攻撃者からのアクセスによる被害を最小限に抑えることができる。疑わしいと判断されたアクセスが、正規のユーザからのものであった場合でも、若干の利便性を損ねるだけであって、システムの利用に支障をきたすことがないようにする運用も可能となる。また、判定基準の種類によっては、正規のユーザからのアクセスが疑わしいと判断されたことにより、当該アカウントが何らかの攻撃を受けていると思われるケースがあるため、そのことを事前にユーザに周知しておくことにより、攻撃者による不正アクセスの早期検出を促進することができる。疑わしいと判断された後に、バックエンドのアプリケーションで認証を行う場合であっても、SSOサーバを経由するため、ログを1箇所にまとめて出力できるため、監査の観点からも好ましい。 According to this embodiment, it is possible to minimize damage caused by access from an attacker who has obtained a password by unauthorized means. Even if the access that is determined to be suspicious is from a legitimate user, it is possible to operate the system so as not to hinder the use of the system. In addition, depending on the type of criteria, there may be cases where the account seems to be under some sort of attack because it is determined that access from a legitimate user is suspicious. By doing so, it is possible to promote early detection of unauthorized access by an attacker. Even if authentication is performed by a back-end application after it is determined to be suspicious, the log can be output in one place because it passes through the SSO server, which is preferable from the viewpoint of auditing.
つぎに上述の実施例を、アクセスチケットを用いるSSO技術に適用した変形例について説明する。 Next, a modified example in which the above-described embodiment is applied to the SSO technology using an access ticket will be described.
この変形例では、前提として、ユーザごとに利用可能なアプリケーションをあらかじめ定義しておく。この定義は例えば図7に示すようなテーブルを用いる。また、疑わしいアクセスの場合に利用不可としたいアプリケーションのURLのリストを、あらかじめ登録しておく。これはユーザごとに登録しても良いし、グループ、またはシステム全体の定義として登録しても良い。 In this modification, as a premise, an application that can be used for each user is defined in advance. This definition uses, for example, a table as shown in FIG. In addition, a list of URLs of applications that should not be used in case of suspicious access is registered in advance. This may be registered for each user, or may be registered as a group or system-wide definition.
図8はこの変形例の処理を示しており、この図において図6と対応する箇所には対応する符号を付した。この例ではステップS16Aにおいて、ユーザの利用可能なアプリケーションの一覧画面を図7のテーブルを参照して表示する点が図6の処理と異なる。ステップS17Aで一覧を表示する際に、利用不可としたいURLを除外して表示してもよい。 FIG. 8 shows the process of this modification. In this figure, the parts corresponding to those in FIG. This example is different from the process of FIG. 6 in that a list screen of applications available to the user is displayed with reference to the table of FIG. 7 in step S16A. When displaying the list in step S17A, URLs that should not be used may be excluded and displayed.
なお、本発明は特許請求の範囲の記載に基づいて決定されるものであり、実施例の具体的な構成、課題、および効果には限定されない。本発明は上述の実施例に限定されるものではなくその趣旨を逸脱しない範囲で種々変更が可能である。 In addition, this invention is determined based on description of a claim, and is not limited to the specific structure of the Example, a subject, and an effect. The present invention is not limited to the above-described embodiments, and various modifications can be made without departing from the spirit of the present invention.
10 SSOサーバ
20 クライアント
20a ウェブブラウザ
30 WEBサーバ
40 通信ネットワーク
50 サービス提供システム
101 制御部
102 ログイン画面生成部
103 認証部
104 アプリケーション用認証データ取得部
105 認証データ保持部
106 リクエスト転送部
107 不正アクセス検知部
108 検知モジュール
109 不正アクセス通知部DESCRIPTION OF SYMBOLS 10 SSO server 20 Client 20a Web browser 30 WEB server 40 Communication network 50 Service providing system 101 Control unit 102 Login screen generation unit 103 Authentication unit 104 Application authentication data acquisition unit 105 Authentication data holding unit 106 Request transfer unit 107 Unauthorized access detection unit 108 Detection Module 109 Unauthorized Access Notification Unit
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007161672AJP2009003559A (en) | 2007-06-19 | 2007-06-19 | Computer system for single sign-on server, and program |
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007161672AJP2009003559A (en) | 2007-06-19 | 2007-06-19 | Computer system for single sign-on server, and program |
| Publication Number | Publication Date |
|---|---|
| JP2009003559Atrue JP2009003559A (en) | 2009-01-08 |
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007161672APendingJP2009003559A (en) | 2007-06-19 | 2007-06-19 | Computer system for single sign-on server, and program |
| Country | Link |
|---|---|
| JP (1) | JP2009003559A (en) |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011191864A (en)* | 2010-03-12 | 2011-09-29 | Nec Access Technica Ltd | Transfer device, network system, communication method, and program |
| US9166791B2 (en) | 2013-11-20 | 2015-10-20 | At&T Intellectual Property I, L.P. | Method and apparatus for user identity verification |
| JP2015191269A (en)* | 2014-03-27 | 2015-11-02 | 中国電力株式会社 | Single sign-on information management system and management method |
| JP2016527605A (en)* | 2013-06-13 | 2016-09-08 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method and system for distinguishing between human and machine |
| JP2018142266A (en)* | 2017-02-28 | 2018-09-13 | 株式会社野村総合研究所 | Illegal access detector, program and method |
| CN111259355A (en)* | 2020-02-12 | 2020-06-09 | 深信服科技股份有限公司 | Single sign-on method, portal system and service platform |
| CN112541190A (en)* | 2020-12-03 | 2021-03-23 | 苏州工业园区测绘地理信息有限公司 | Map authority control method and control system based on unified user information |
| JP2021082342A (en)* | 2021-02-22 | 2021-05-27 | 株式会社野村総合研究所 | Illegal access detector, program and method |
| JP2021165977A (en)* | 2020-04-08 | 2021-10-14 | エイチ・シー・ネットワークス株式会社 | Server device and network system |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011191864A (en)* | 2010-03-12 | 2011-09-29 | Nec Access Technica Ltd | Transfer device, network system, communication method, and program |
| US10356114B2 (en) | 2013-06-13 | 2019-07-16 | Alibaba Group Holding Limited | Method and system of distinguishing between human and machine |
| JP2016527605A (en)* | 2013-06-13 | 2016-09-08 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method and system for distinguishing between human and machine |
| JP2019023946A (en)* | 2013-06-13 | 2019-02-14 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | Method and system for discriminating between human and machine |
| US9166791B2 (en) | 2013-11-20 | 2015-10-20 | At&T Intellectual Property I, L.P. | Method and apparatus for user identity verification |
| JP2015191269A (en)* | 2014-03-27 | 2015-11-02 | 中国電力株式会社 | Single sign-on information management system and management method |
| JP2018142266A (en)* | 2017-02-28 | 2018-09-13 | 株式会社野村総合研究所 | Illegal access detector, program and method |
| CN111259355A (en)* | 2020-02-12 | 2020-06-09 | 深信服科技股份有限公司 | Single sign-on method, portal system and service platform |
| JP2021165977A (en)* | 2020-04-08 | 2021-10-14 | エイチ・シー・ネットワークス株式会社 | Server device and network system |
| JP7221235B2 (en) | 2020-04-08 | 2023-02-13 | エイチ・シー・ネットワークス株式会社 | Server equipment and network system |
| CN112541190A (en)* | 2020-12-03 | 2021-03-23 | 苏州工业园区测绘地理信息有限公司 | Map authority control method and control system based on unified user information |
| CN112541190B (en)* | 2020-12-03 | 2024-03-12 | 园测信息科技股份有限公司 | Map authority control method and control system based on unified user information |
| JP2021082342A (en)* | 2021-02-22 | 2021-05-27 | 株式会社野村総合研究所 | Illegal access detector, program and method |
| Publication | Publication Date | Title |
|---|---|---|
| US8332627B1 (en) | Mutual authentication | |
| US10846432B2 (en) | Secure data leak detection | |
| JP6533871B2 (en) | System and method for controlling sign-on to web applications | |
| US10225260B2 (en) | Enhanced authentication security | |
| EP3119059B1 (en) | A system and method for secure proxy-based authentication | |
| US7685631B1 (en) | Authentication of a server by a client to prevent fraudulent user interfaces | |
| CA2448853C (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
| CN101771532B (en) | Method, device and system for realizing resource sharing | |
| US7356833B2 (en) | Systems and methods for authenticating a user to a web server | |
| CN113536258A (en) | Terminal access control method and device, storage medium and electronic equipment | |
| EP3348041B1 (en) | Secured user credential management | |
| US9805185B2 (en) | Disposition engine for single sign on (SSO) requests | |
| JP2009003559A (en) | Computer system for single sign-on server, and program | |
| US20130055386A1 (en) | Apparatus and method for preventing falsification of client screen | |
| US9237143B1 (en) | User authentication avoiding exposure of information about enumerable system resources | |
| US20210250360A1 (en) | Secure remote support authorization | |
| KR20090019443A (en) | User Authentication System Using IP Address and Method | |
| US12142073B2 (en) | Fingerprint-based device authentication | |
| CN116015824A (en) | Unified authentication method, equipment and medium for platform | |
| WO2019079567A1 (en) | Secured multi-factor authentication | |
| US20160366172A1 (en) | Prevention of cross site request forgery attacks | |
| JP6842951B2 (en) | Unauthorized access detectors, programs and methods | |
| CN115189924B (en) | OAuth2.0 open redirection vulnerability detection method and system | |
| Ćosić | Web 2.0 services (vulnerability, threats and protection measures) | |
| JP2021082342A (en) | Illegal access detector, program and method |