JP6495996B1 - Login management system, login management method and login management program - Google Patents

Login management system, login management method and login management program Download PDF

Info

Publication number
JP6495996B1
JP6495996B1 JP2017212729A JP2017212729A JP6495996B1 JP 6495996 B1 JP6495996 B1 JP 6495996B1 JP 2017212729 A JP2017212729 A JP 2017212729A JP 2017212729 A JP2017212729 A JP 2017212729A JP 6495996 B1 JP6495996 B1 JP 6495996B1
Authority
JP
Japan
Prior art keywords
server
user terminal
handover information
login
acquired
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017212729A
Other languages
Japanese (ja)
Other versions
JP2019086890A (en
Inventor
哲也 永井
哲也 永井
真由美 赤荻
真由美 赤荻
敏伸 高木
敏伸 高木
勝也 半田
勝也 半田
圭志 屋敷
圭志 屋敷
佐保子 小野
佐保子 小野
友希 南雲
友希 南雲
泰自 須藤
泰自 須藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mizuho Information and Research Institute Inc
Mizuho Bank Ltd
Original Assignee
Mizuho Information and Research Institute Inc
Mizuho Bank Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mizuho Information and Research Institute Inc, Mizuho Bank Ltd filed Critical Mizuho Information and Research Institute Inc
Priority to JP2017212729A priority Critical patent/JP6495996B1/en
Application granted granted Critical
Publication of JP6495996B1 publication Critical patent/JP6495996B1/en
Publication of JP2019086890A publication Critical patent/JP2019086890A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】複数のサーバへのログインを管理するためのログイン管理システム、ログイン管理方法及びログイン管理プログラムを提供する。
【解決手段】第1サーバ20は、引継情報を記憶する引継情報記憶部24と、ユーザ端末10、第2サーバ30に接続される制御部21とを備える。そして、制御部21が、ユーザ端末10からログイン要求を受け付けた場合、ユーザ端末10から取得した認証情報を用いて第1の認証処理を実行してログインを許可する。ログインしたユーザ端末10から第2サーバ30への遷移要求を取得した場合、引継情報を生成し、引継情報記憶部24に記録し、第2サーバ30に対して引継情報を提供する。そして、ユーザ端末10から、再ログイン要求を受け付けた場合、引継情報を第2サーバ30から取得し、引継情報記憶部24に記録された引継情報と、取得した引継情報とを用いて第2の認証処理を実行する。
【選択図】図1A login management system for managing logins to a plurality of servers, a login management method, and a login management program are provided.
A first server (20) includes a handover information storage unit (24) storing handover information, and a control unit (21) connected to a user terminal (10) and a second server (30). Then, when the control unit 21 receives a login request from the user terminal 10, the control unit 21 executes the first authentication process using the authentication information acquired from the user terminal 10 to permit the login. When a transition request from the logged-in user terminal 10 to the second server 30 is acquired, handover information is generated and recorded in the handover information storage unit 24, and the handover information is provided to the second server 30. Then, when a re-login request is accepted from the user terminal 10, second handover information is acquired from the second server 30, and second handover information is recorded using the handover information stored in the second handover information storage unit 24 and the acquired handover information. Execute authentication process.
[Selected figure] Figure 1

Description

本発明は、複数のサーバへのログインを管理するためのログイン管理システム、ログイン管理方法及びログイン管理プログラムに関する。   The present invention relates to a login management system for managing logins to a plurality of servers, a login management method, and a login management program.

特定のユーザに対してサービスを提供する場合、ログイン手続きによりユーザを認証することがある。ここで、ログイン手続きが煩雑な場合、サービスの利用促進を図ることができない。そこで、予めユーザ名とパスワードを記憶しておき、必要な時に自動的にログインを行なうオートログイン方式が検討されている(例えば、特許文献1を参照。)。この文献に記載の技術では、ユーザ装置に接続されるアグリゲーションサーバは、サーバにログインするためのユーザ別ログイン情報を、ユーザの識別情報と対応付けて記憶するログイン情報記憶部を備える。ユーザ装置から入力されたユーザ識別情報に基づいて、ログイン情報記憶部のユーザ別ログイン情報を取得して暗号化を行ない、暗号情報を復号するための復号キーの入力を受け付けるための画面情報を、ユーザ装置に対して出力する。   When providing service to a specific user, the login procedure may authenticate the user. Here, when the login procedure is complicated, it is impossible to promote the use of the service. Therefore, there has been studied an auto log-in method in which a user name and a password are stored in advance, and log-in is performed automatically when necessary (for example, see Patent Document 1). In the technique described in this document, the aggregation server connected to the user device includes a login information storage unit that stores user-specific login information for logging in to the server in association with user identification information. Based on the user identification information input from the user device, the login information for each user of the login information storage unit is acquired and encrypted, and screen information for accepting input of a decryption key for decrypting the encryption information is Output to the user device.

また、関連する複数のサーバを利用する場合には、一度の利用者認証で複数のコンピュータやソフトウェア、サービスなどを利用できるようにするシングルサインオン方式も検討されている。このシングルサインオン技術では、複数のシステムから横断して利用できる認証基盤を用意し、利用者は一度の認証作業で連携するすべてのシステムにアクセスできるようにする。この場合、認証情報を動的に更新するシングルサインオンシステムも検討されている(例えば、特許文献2を参照。)。この文献に記載の技術では、複数のウェブサーバに対するユーザID及びパスワードを含む認証情報並びにパスワードの有効期限情報を格納するシングルサインオンデータベースと、シングルサイン機能を制御するシングルサインオンサーバとを備える。このシングルサインオンサーバが、利用者端末から任意のウェブサーバにアクセスするための認証情報を受け付けたとき、このパスワードが有効期限を越えているか否かを判定し、この有効期限を越えていると判定したとき、新たなパスワードを生成し、シングルサインオンデータベースの認証情報のパスワードを更新する。   In addition, in the case of using a plurality of related servers, a single sign-on system has also been considered, which makes it possible to use a plurality of computers, software, services and the like by one-time user authentication. This single sign-on technology provides an authentication infrastructure that can be used across multiple systems, allowing users to access all linked systems in a single authentication task. In this case, a single sign-on system that dynamically updates authentication information is also being studied (see, for example, Patent Document 2). The technology described in this document includes a single sign-on database that stores authentication information including user IDs and passwords for a plurality of web servers and expiration date information of the password, and a single sign-on server that controls the single sign function. When the single sign-on server receives authentication information for accessing any web server from the user terminal, it determines whether the password exceeds the expiration date, and the expiration date is exceeded. When it is determined, a new password is generated, and the password of the authentication information of the single sign-on database is updated.

特開2007−58487号公報JP 2007-58487 A 特開2012−33042号公報JP 2012-33042 A

金融機関においても、決済系サービスを提供する決済サイトとともに、顧客とのコミュニケーション強化のために情報系サービスを提供する関連サイトを利用することがある。このような状況でオートログイン方式を用いると、ユーザによるパスワード事前登録や、パスワードを変更した場合に各サイトでの再登録が必要となる。更に、決済系サービス及び情報系サービスを、シームレスに利用することができず、サービスの一体感を実現できない場合もある。また、決済サイト及び関連サイトの管理形態に応じて、各サイトの認証強度が異なる場合もある。このような状況でシングルサインオンを許容した場合、複数のサイトに対する広いアクセス権が与えられることになる。このため、サイト間を行き来するシングルサインオン時の認証強度を高める必要がある。例えば、認証強度が低いサイトを踏み台にして、高い認証強度が求められるサイトを利用できると、全体の認証強度の低下を招く可能性がある。   Financial institutions also use payment sites that provide payment services and related sites that provide information services to enhance communication with customers. If the auto login method is used in such a situation, password pre-registration by the user or re-registration at each site is required when the password is changed. Furthermore, payment services and information services may not be used seamlessly, and in some cases, it may not be possible to achieve a sense of service integrity. Also, the authentication strength of each site may be different depending on the management form of the settlement site and the related site. If single sign-on is permitted in such a situation, broad access to multiple sites will be given. For this reason, it is necessary to increase authentication strength at the time of single sign-on between sites. For example, if it is possible to use a site requiring high authentication strength by using a site with low authentication strength as a stepping stone, the overall authentication strength may be reduced.

上記課題を解決するために、ログイン管理システムは、引継情報を記憶する引継情報記憶部と、ユーザ端末、関連サーバに接続される制御部とを備える。そして、前記制御部が、前記ユーザ端末からログイン要求を受け付けた場合、前記ユーザ端末から取得した認証情報を用いて第1の認証処理を実行してログインを許可し、前記ログインしたユーザ端末から前記関連サーバへの遷移要求を取得した場合、引継情報を生成し、前記引継情報記憶部に記録し、前記関連サーバに対して前記引継情報を提供し、前記ユーザ端末から、再ログイン要求を受け付けた場合、前記引継情報を前記関連サーバから取得し、前記引継情報記憶部に記録された引継情報と、前記取得した引継情報とを用いて第2の認証処理を実行する。   In order to solve the said subject, a login management system is provided with the transfer information storage part which memorize | stores transfer information, and the control part connected to a user terminal and a related server. Then, when the control unit receives a login request from the user terminal, the control unit executes a first authentication process using the authentication information acquired from the user terminal to permit the login, and the login is performed from the logged-in user terminal. When a transition request to a related server is acquired, handover information is generated, recorded in the handover information storage unit, the handover information is provided to the related server, and a re-login request is accepted from the user terminal In this case, the handover information is acquired from the related server, and a second authentication process is performed using the handover information recorded in the handover information storage unit and the acquired handover information.

本発明によれば、連携する複数のサーバへの効率的なログインを的確に管理することができる。   According to the present invention, efficient login to a plurality of linked servers can be accurately managed.

本実施形態のシステム概略図。BRIEF DESCRIPTION OF THE DRAWINGS The system schematic of this embodiment. 本実施形態の情報記憶部の説明図であって、(a)は第1サーバのユーザ情報記憶部、(b)は第1サーバの引継情報記憶部、(c)は第2サーバのユーザ情報記憶部。It is explanatory drawing of the information storage part of this embodiment, Comprising: (a) is a user information storage part of a 1st server, (b) is a handover information storage part of a 1st server, (c) is user information of a 2nd server Storage unit. 本実施形態の処理手順の説明図。Explanatory drawing of the process sequence of this embodiment. 本実施形態の処理手順の説明図。Explanatory drawing of the process sequence of this embodiment.

以下、図1〜図4を用いて、ログイン管理システムの一実施形態を説明する。
図1に示すように、本実施形態では、インターネット等のネットワークを介してユーザ端末10に接続された第1サーバ20及び第2サーバ30(関連サーバ)を用いる。第1サーバ20及び第2サーバ30は連携して、ユーザ端末10に対するサービスを提供する。 Hereinafter, an embodiment of the login management system will be described using FIGS. 1 to 4.
As shown in FIG. 1, in the present embodiment, a first server 20 and a second server 30 (related servers) connected to the user terminal 10 via a network such as the Internet are used. The first server 20 and the second server 30 cooperate to provide a service to the user terminal 10.

ユーザ端末10は、第1サーバ20及び第2サーバ30を利用するユーザのコンピュータ端末である。このユーザ端末10は、ディスプレイ等の出力部、キーボード及びポインティングデバイス等の入力部を備えている。本実施形態では、ユーザ端末10において起動されたブラウザ(アプリケーション)を用いて、第1サーバ20及び第2サーバ30にアクセスする。   The user terminal 10 is a computer terminal of a user who uses the first server 20 and the second server 30. The user terminal 10 includes an output unit such as a display, and an input unit such as a keyboard and a pointing device. In the present embodiment, the first server 20 and the second server 30 are accessed using a browser (application) activated in the user terminal 10.

第1サーバ20は、ユーザに対して第1のサービスを提供するコンピュータシステムである。第1のサービスとしては、例えば、銀行が提供する決済サービスがある。この第1サーバ20は、制御部21、ユーザ情報記憶部22、引継情報記憶部24を備えている。   The first server 20 is a computer system that provides a user with a first service. The first service is, for example, a payment service provided by a bank. The first server 20 includes a control unit 21, a user information storage unit 22, and a handover information storage unit 24.

制御部21は、制御手段(CPU、RAM、ROM等)を備え、後述する処理(ユーザ認証段階、サービス管理段階、引継処理段階、サーバ認証段階等の各処理)を行なう。そのためのログイン管理プログラムを実行することにより、制御部21は、ユーザ認証部211、サービス管理部212、引継処理部213、サーバ認証部214として機能する。   The control unit 21 includes control means (CPU, RAM, ROM, etc.), and performs processes described later (processes such as user authentication stage, service management stage, handover process stage, server authentication stage, etc.). By executing a login management program for that purpose, the control unit 21 functions as a user authentication unit 211, a service management unit 212, a handover processing unit 213, and a server authentication unit 214.

ユーザ認証部211は、第1サーバ20にアクセスしてきたユーザを認証する処理を実行する。
サービス管理部212は、認証されたユーザに対してサービスを提供する処理を実行する。 The user authentication unit 211 executes a process of authenticating the user who has accessed the first server 20.
The service management unit 212 executes processing for providing a service to the authenticated user.

引継処理部213は、第1サーバ20から第2サーバ30へのログイン(遷移)を支援するとともに、第2サーバ30から第1サーバ20へのログイン(戻り)を支援する処理を実行する。引継処理部213は、後述するワンタイムパスワードの有効時間(有効期間)に関するデータを保持している。   The takeover processing unit 213 supports a log-in (transition) from the first server 20 to the second server 30, and executes a process to support a log-in (return) from the second server 30 to the first server 20. The handover processing unit 213 holds data on the valid time (valid period) of the one-time password described later.

サーバ認証部214は、第1サーバ20にアクセスしてきた他のサーバを認証する処理を実行する。このため、サーバ認証部214は、第1サーバ20からの遷移を許容する第2サーバ30のサーバIDを記録した関連サーバリストを保持する。   The server authentication unit 214 executes a process of authenticating another server that has accessed the first server 20. Therefore, the server authentication unit 214 holds the related server list in which the server ID of the second server 30 that allows the transition from the first server 20 is recorded.

図2(a)に示すように、ユーザ情報記憶部22には、サービスを提供するユーザを管理するためのユーザ管理レコード220が記録される。このユーザ管理レコード220は、ユーザ登録が行なわれた場合に記録される。このユーザ管理レコード220には、ユーザID、認証情報、ログイン状況、個人情報等に関する情報が記録される。   As shown in FIG. 2A, the user information storage unit 22 records a user management record 220 for managing a user who provides a service. The user management record 220 is recorded when user registration is performed. The user management record 220 records information related to user ID, authentication information, login status, personal information, and the like.

ユーザIDデータ領域には、第1サーバ20において、各ユーザを特定するための識別子に関するデータが記録される。
認証情報データ領域には、第1サーバ20において、このユーザを認証するための情報に関するデータが記録される。ユーザ認証情報としては、パスワードや生体情報を用いることができる。 In the user ID data area, in the first server 20, data relating to an identifier for identifying each user is recorded.
In the authentication information data area, in the first server 20, data related to information for authenticating the user is recorded. A password or biometric information can be used as the user authentication information.

ログイン状況データ領域には、このユーザにおける第1サーバ20へのログイン状況を示すフラグ(ログイン済フラグ、ログアウトフラグ)が記録される。
個人情報データ領域には、このユーザの氏名や住所、連絡先、ユーザ属性等に関するデータが記録される。また、このデータ領域には、このユーザの口座情報等を記録することも可能である。 In the login status data area, flags (login completed flag, logout flag) indicating the login status of the user to the first server 20 are recorded.
In the personal information data area, data relating to the user's name and address, contact information, user attributes and the like is recorded. Moreover, it is also possible to record account information etc. of the user in this data area.

図2(b)に示すように、引継情報記憶部24には、連携する第2サーバ30への遷移状況を管理するための引継管理レコード240が記録される。この引継管理レコード240は、ユーザが第1サーバ20から第2サーバ30に遷移する場合に記録される。この引継管理レコード240には、引継キー、ワンタイムパスワード、遷移日時、状況、ユーザID、遷移先に関する情報が記録される。   As shown in FIG. 2B, in the handover information storage unit 24, a handover management record 240 for managing the transition status to the second server 30 linked is recorded. The handover management record 240 is recorded when the user transits from the first server 20 to the second server 30. In this handover management record 240, information on a handover key, one-time password, transition date and time, status, user ID, and transition destination is recorded.

引継キーデータ領域には、サーバ間の遷移を特定するための識別子に関するデータが記録される。
ワンタイムパスワードデータ領域には、ランダムに生成した一時的なパスワード(ワンタイム認証情報)が記録される。このワンタイムパスワードは、所定の有効時間(本実施形態では1時間)のみ有効とする。 Data relating to an identifier for identifying a transition between servers is recorded in the transfer key data area.
In the one-time password data area, a randomly generated temporary password (one-time authentication information) is recorded. This one-time password is valid only for a predetermined valid time (one hour in the present embodiment).

遷移日時データ領域には、ワンタイムパスワードを生成した年月日及び時刻に関するデータが記録される。
状況データ領域には、引継キー、ワンタイムパスワードの使用状況を特定するためのフラグが記録される。このデータ領域には、第2サーバ30に遷移した場合には遷移済フラグが記録され、遷移先から戻った場合には、使用済フラグが記録される。 In the transition date and time data area, data regarding the date and time when the one-time password was generated is recorded.
In the status data area, flags for specifying the usage status of the transfer key and the one-time password are recorded. In this data area, a transition completed flag is recorded when transitioning to the second server 30, and a used flag is recorded when returning from the transition destination.

ユーザIDデータ領域には、第1サーバ20から第2サーバ30に遷移したユーザを特定するための識別子に関するデータが記録される。
遷移先データ領域には、ユーザの遷移先である第2サーバ30を特定するための識別子(サーバID)に関するデータが記録される。 In the user ID data area, data relating to an identifier for identifying a user who has transitioned from the first server 20 to the second server 30 is recorded.
Data on an identifier (server ID) for specifying the second server 30 which is the transition destination of the user is recorded in the transition destination data area.

第2サーバ30は、ユーザに対して第2のサービスを提供するコンピュータシステムである。第2のサービスとしては、例えば、銀行の決済サービスに関連する情報系サービスや、証券や保険等の金融関連サービスがある。この第2サーバ30は、制御部31、ユーザ情報記憶部32を備えている。
制御部31は、制御手段(CPU、RAM、ROM等)を備え、後述する処理(ユーザ認証段階、サービス管理段階等の各処理)を行なう。そのためのログイン管理プログラムを実行することにより、制御部31は、ユーザ認証部311、サービス管理部312として機能する。 The second server 30 is a computer system that provides a second service to the user. The second service is, for example, an information service related to the settlement service of the bank, or a financial related service such as securities or insurance. The second server 30 includes a control unit 31 and a user information storage unit 32.
The control unit 31 includes control means (CPU, RAM, ROM, etc.), and performs processing described later (processes such as user authentication stage and service management stage). By executing the login management program for that purpose, the control unit 31 functions as a user authentication unit 311 and a service management unit 312.

ユーザ認証部311は、第2サーバ30にアクセスしてきたユーザを認証する処理を実行する。
サービス管理部312は、認証されたユーザに対してサービスを提供する処理を実行する。 The user authentication unit 311 executes a process of authenticating the user who has accessed the second server 30.
The service management unit 312 executes processing for providing a service to the authenticated user.

図2(c)に示すように、ユーザ情報記憶部32には、サービスを提供するユーザを管理するためのユーザ管理レコード320が記録される。このユーザ管理レコード320は、ユーザ登録が行なわれた場合に記録される。このユーザ管理レコード320には、ユーザID、認証情報、ログイン状況、個人情報等に関する情報が記録される。   As illustrated in FIG. 2C, the user information storage unit 32 records a user management record 320 for managing a user who provides a service. The user management record 320 is recorded when user registration is performed. In the user management record 320, information related to user ID, authentication information, login status, personal information and the like is recorded.

ユーザIDデータ領域には、第2サーバ30において、各ユーザを特定するための識別子に関するデータが記録される。
認証情報データ領域には、第2サーバ30において、このユーザを認証するための情報に関するデータが記録される。 In the user ID data area, data relating to an identifier for identifying each user is recorded in the second server 30.
In the authentication information data area, the second server 30 records data related to information for authenticating the user.

ログイン状況データ領域には、このユーザにおける第2サーバ30へのログイン状況を示すフラグ(ログイン済フラグ、ログアウトフラグ)が記録される。
個人情報データ領域には、このユーザの氏名や住所、連絡先、ユーザ属性等に関するデータが記録される。 In the login status data area, flags (login completed flag, logout flag) indicating the login status of the user to the second server 30 are recorded.
In the personal information data area, data relating to the user's name and address, contact information, user attributes and the like is recorded.

(遷移処理)
図3、4を用いて、サービス利用処理を説明する。ここでは、第1サーバ20が提供するサービスを利用していたユーザが、第2サーバ30に遷移し、第2サーバ30が提供するサービスを利用する場合を想定する。 (Transition process)
The service utilization process will be described with reference to FIGS. Here, it is assumed that the user who has used the service provided by the first server 20 transitions to the second server 30, and uses the service provided by the second server 30.

図3に示すように、まず、ユーザ端末10は、アクセス処理を実行する(ステップS1−1)。具体的には、ユーザが第1サーバ20を利用する場合には、ユーザ端末10を用いて、第1サーバ20にアクセスする。この場合、ユーザ端末10は、第1サーバ20の制御部21からログイン画面を取得し、出力部に出力する。このログイン画面には、ユーザID、認証情報を入力する。   As shown in FIG. 3, first, the user terminal 10 executes an access process (step S1-1). Specifically, when the user uses the first server 20, the user terminal 10 is used to access the first server 20. In this case, the user terminal 10 acquires a login screen from the control unit 21 of the first server 20 and outputs the login screen to the output unit. A user ID and authentication information are input on this login screen.

次に、第1サーバ20の制御部21は、ユーザ認証処理を実行する(ステップS1−2)。具体的には、制御部21のユーザ認証部211は、ログイン画面に入力されたユーザID、認証情報を取得する。ユーザ端末10から取得したユーザID、認証情報が、ユーザ情報記憶部22に記録されている場合には、ユーザ認証部211は、ユーザ認証(第1の認証処理)を完了し、ユーザ管理レコード220のログイン状況データ領域にログイン済フラグを記録する。なお、ユーザ端末10から取得したユーザID、認証情報が、ユーザ情報記憶部22に記録されていない場合には、ユーザ認証部211は、ログインを拒否する。   Next, the control unit 21 of the first server 20 executes a user authentication process (step S1-2). Specifically, the user authentication unit 211 of the control unit 21 acquires the user ID and authentication information input on the login screen. When the user ID and the authentication information acquired from the user terminal 10 are recorded in the user information storage unit 22, the user authentication unit 211 completes the user authentication (first authentication process), and the user management record 220. Record the logged-in flag in the login status data area of. When the user ID and the authentication information acquired from the user terminal 10 are not recorded in the user information storage unit 22, the user authentication unit 211 rejects the login.

次に、第1サーバ20の制御部21は、サービス提供処理を実行する(ステップS1−3)。具体的には、制御部21のサービス管理部212は、ユーザが希望するサービスについてのサービス画面を提供する。そして、ユーザは、ユーザ端末10に出力されたサービス画面を用いて、所望のサービスを利用する。   Next, the control unit 21 of the first server 20 executes a service providing process (step S1-3). Specifically, the service management unit 212 of the control unit 21 provides a service screen for a service desired by the user. Then, the user uses the service screen output to the user terminal 10 to use a desired service.

次に、ユーザ端末10は、遷移要求処理を実行する(ステップS1−4)。具体的には、ユーザが第2サーバ30を利用する場合には、サービス画面において表示された第2サーバ30へのリンクのボタンを選択する。この場合、ユーザ端末10は、第1サーバ20に対して、遷移先のサーバIDを含めた遷移要求電文を送信する。   Next, the user terminal 10 executes a transition request process (step S1-4). Specifically, when the user uses the second server 30, the button of the link to the second server 30 displayed on the service screen is selected. In this case, the user terminal 10 transmits, to the first server 20, a transition request message including the server ID of the transition destination.

遷移要求を取得した第1サーバ20の制御部21は、引継キーの生成処理を実行する(ステップS1−5)。具体的には、制御部21の引継処理部213は、遷移要求電文に対して、ユニークな引継キーを生成する。   The control unit 21 of the first server 20 that has acquired the transition request executes a handover key generation process (step S1-5). Specifically, the handover processing unit 213 of the control unit 21 generates a unique handover key for the transition request message.

次に、第1サーバ20の制御部21は、引継キーの登録処理を実行する(ステップS1−6)。具体的には、制御部21の引継処理部213は、引継キーを記録した引継管理レコード240を生成し、引継情報記憶部24に記録する。更に、引継処理部213は、この引継管理レコード240に、ログインしているユーザのユーザID、遷移先(第2サーバ30のサーバID)を記録する。   Next, the control unit 21 of the first server 20 executes a handover key registration process (step S1-6). Specifically, the handover processing unit 213 of the control unit 21 generates a handover management record 240 in which the handover key is recorded, and records the handover management record 240 in the handover information storage unit 24. Further, the handover processing unit 213 records the user ID of the logged-in user and the transition destination (the server ID of the second server 30) in the handover management record 240.

次に、第1サーバ20の制御部21は、ログアウト処理を実行する(ステップS1−7)。具体的には、制御部21の引継処理部213は、ユーザ管理レコード220のログイン状況データ領域に記録されたログイン済フラグを削除し、ログアウトフラグに更新する。   Next, the control unit 21 of the first server 20 executes a logout process (step S1-7). Specifically, the handover processing unit 213 of the control unit 21 deletes the logged-in flag recorded in the login status data area of the user management record 220, and updates it to the logout flag.

次に、第1サーバ20の制御部21は、リダイレクト応答処理を実行する(ステップS1−8)。具体的には、制御部21のサービス管理部212は、ユーザ端末10に対してリダイレクト要求電文を送信する。このリダイレクト要求電文には、トランザクション通番、遷移先、引継キーに関するデータを含める。このトランザクション通番は、第1サーバ20から第2サーバ30へのトランザクションを特定するための識別子である。   Next, the control unit 21 of the first server 20 executes a redirect response process (step S1-8). Specifically, the service management unit 212 of the control unit 21 transmits a redirect request message to the user terminal 10. This redirect request message contains data on the transaction sequence number, the transition destination, and the transfer key. The transaction sequence number is an identifier for identifying a transaction from the first server 20 to the second server 30.

次に、ユーザ端末10は、引継キーの保存処理を実行する(ステップS1−9)。具体的には、ユーザ端末10は、リダイレクト要求電文に含まれる引継キーをブラウザに仮記憶する。   Next, the user terminal 10 executes a transfer key storage process (step S1-9). Specifically, the user terminal 10 temporarily stores the handover key contained in the redirect request message in the browser.

次に、ユーザ端末10は、リダイレクト処理を実行する(ステップS1−10)。具体的には、ユーザ端末10は、遷移先である第2サーバ30にリダイレクト電文を送信する。このリダイレクト電文には、トランザクション通番、遷移先、引継キーに関するデータを含める。   Next, the user terminal 10 executes a redirect process (step S1-10). Specifically, the user terminal 10 transmits a redirect message to the second server 30 which is the transition destination. This redirect message contains data on the transaction sequence number, transition destination, and transfer key.

次に、第2サーバ30の制御部31は、ユーザ情報の要求処理を実行する(ステップS1−11)。具体的には、制御部31のユーザ認証部311は、第1サーバ20に対して、ユーザ情報要求電文を送信する。ユーザ情報要求電文には、サーバID、サーバ認証情報を含める。更に、ユーザ情報要求電文には、ユーザ端末10から取得したトランザクション通番、引継キーに関するデータを含める。   Next, the control unit 31 of the second server 30 executes a user information request process (step S1-11). Specifically, the user authentication unit 311 of the control unit 31 transmits a user information request message to the first server 20. The user information request message includes server ID and server authentication information. Furthermore, the user information request message includes data on the transaction serial number acquired from the user terminal 10 and the transfer key.

次に、第1サーバ20の制御部21は、クライアント認証処理を実行する(ステップS1−12)。具体的には、制御部21のサーバ認証部214は、関連サーバリストを用いて、遷移可能な第2サーバ30を認証する。ユーザ情報要求電文に含まれるサーバIDが関連サーバリストに記録されている場合には、クライアント認証を完了する。   Next, the control unit 21 of the first server 20 executes a client authentication process (step S1-12). Specifically, the server authentication unit 214 of the control unit 21 authenticates the transitionable second server 30 using the related server list. When the server ID included in the user information request message is recorded in the related server list, the client authentication is completed.

第2サーバ30についてのクライアント認証を完了した場合、第1サーバ20の制御部21は、ユーザ情報の抽出処理を実行する(ステップS1−13)。具体的には、制御部21の引継処理部213は、ユーザ情報要求電文に含まれる引継キーが記録された引継管理レコード240を、引継情報記憶部24から抽出する。そして、引継処理部213は、抽出した引継管理レコード240に記録されているユーザIDを取得する。この場合、引継処理部213は、ワンタイムパスワードを生成する。そして、引継処理部213は、引継管理レコード240に、ワンタイムパスワード、遷移済フラグ(状況)、現在日時(遷移日時)を記録する。   When the client authentication for the second server 30 is completed, the control unit 21 of the first server 20 executes a user information extraction process (step S1-13). Specifically, the handover processing unit 213 of the control unit 21 extracts from the handover information storage unit 24 the handover management record 240 in which the handover key included in the user information request message is recorded. Then, the handover processing unit 213 acquires the user ID recorded in the extracted handover management record 240. In this case, the handover processing unit 213 generates a one-time password. Then, the handover processing unit 213 records the one-time password, the transition completion flag (status), and the current date and time (transition date and time) in the handover management record 240.

次に、第1サーバ20の制御部21は、ユーザ情報の送信処理を実行する(ステップS1−14)。具体的には、制御部21の引継処理部213は、応答電文を第2サーバ30に送信する。この応答電文には、トランザクション通番、引継キー、ワンタイムパスワード、ユーザID、個人情報に関するデータを含める。なお、クライアント認証を完了できなかった場合や、引継情報記憶部24から引継管理レコード240を抽出できなかった場合には、引継処理部213は、エラー電文を第2サーバ30に送信する。エラー電文を受信した第2サーバ30は、エラーメッセージをユーザ端末10の出力部に出力する。   Next, the control unit 21 of the first server 20 executes transmission processing of user information (step S1-14). Specifically, the handover processing unit 213 of the control unit 21 transmits a response message to the second server 30. This response message contains data on transaction sequence number, transfer key, one-time password, user ID, and personal information. When the client authentication can not be completed or when the handover management record 240 can not be extracted from the handover information storage unit 24, the handover processing unit 213 transmits an error message to the second server 30. The second server 30 having received the error message outputs an error message to the output unit of the user terminal 10.

次に、第2サーバ30の制御部31は、ログイン処理を実行する(ステップS1−15)。具体的には、制御部31のユーザ認証部311は、応答電文のユーザIDの認証処理を完了し、ユーザ管理レコード320のログイン状況データ領域にログイン済フラグを記録する。そして、制御部31のサービス管理部312は、第1サーバ20から取得した個人情報を利用して、ユーザが希望するサービスについてのサービス画面を提供する。   Next, the control unit 31 of the second server 30 executes a login process (step S1-15). Specifically, the user authentication unit 311 of the control unit 31 completes the authentication process of the user ID of the response message, and records the logged-in flag in the login status data area of the user management record 320. Then, the service management unit 312 of the control unit 31 uses the personal information acquired from the first server 20 to provide a service screen for a service desired by the user.

次に、ユーザ端末10は、画面表示処理を実行する(ステップS1−16)。具体的には、ユーザ端末10は、出力部にサービス画面を表示する。このサービス画面により、ユーザは、第2サーバ30が提供するサービスを利用する。   Next, the user terminal 10 executes screen display processing (step S1-16). Specifically, the user terminal 10 displays the service screen on the output unit. The user uses the service provided by the second server 30 on the service screen.

(戻り処理)
次に、図4を用いて、戻り処理を説明する。この戻り処理は、第2サーバ30から第1サーバ20に遷移する場合に実行される。 (Return processing)
Next, the return processing will be described with reference to FIG. This return process is executed when transitioning from the second server 30 to the first server 20.

この場合、ユーザ端末10は、戻り要求処理を実行する(ステップS2−1)。具体的には、ユーザ端末10において、第1サーバ20に戻るための操作が行なわれた場合や、第2サーバ30におけるサービスを利用するために第1サーバ20に戻る必要が生じた場合、ユーザ端末10は、第2サーバ30に対して、戻り要求を送信する。   In this case, the user terminal 10 executes return request processing (step S2-1). Specifically, when the user terminal 10 performs an operation to return to the first server 20 or when it is necessary to return to the first server 20 to use the service of the second server 30, the user The terminal 10 transmits a return request to the second server 30.

次に、第2サーバ30の制御部31は、リダイレクト要求処理を実行する(ステップS2−2)。具体的には、制御部31のサービス管理部312は、ユーザ端末10に対してリダイレクト要求電文を送信する。このリダイレクト要求電文には、引継キー、サーバID、ユーザID、ワンタイムパスワードに関するデータを含める。   Next, the control unit 31 of the second server 30 executes a redirect request process (step S2-2). Specifically, the service management unit 312 of the control unit 31 transmits a redirect request message to the user terminal 10. The redirect request message includes data on the transfer key, server ID, user ID, and one-time password.

次に、ユーザ端末10は、リダイレクト処理を実行する(ステップS2−3)。具体的には、ユーザ端末10は、遷移先である第1サーバ20にリダイレクト電文を送信する。このリダイレクト電文には、引継キー、サーバID、ユーザID、ワンタイムパスワードに関するデータを含める。   Next, the user terminal 10 executes a redirect process (step S2-3). Specifically, the user terminal 10 transmits a redirect message to the first server 20 which is the transition destination. This redirect message includes data on the transfer key, server ID, user ID, and one-time password.

次に、第1サーバ20の制御部21は、引継情報の取得処理を実行する(ステップS2−4)。具体的には、制御部21の引継処理部213は、ユーザ端末10からリダイレクト電文を取得する。   Next, the control unit 21 of the first server 20 executes acquisition processing of handover information (step S2-4). Specifically, the handover processing unit 213 of the control unit 21 acquires a redirect message from the user terminal 10.

次に、第1サーバ20の制御部21は、引継情報の整合性チェック処理を実行する(ステップS2−5)。具体的には、制御部21の引継処理部213は、リダイレクト電文から引継キー、ワンタイムパスワードを取得する。次に、引継処理部213は、取得した引継キー、ワンタイムパスワードが記録された引継管理レコード240を、引継情報記憶部24において検索する。引継情報記憶部24から引継管理レコード240を抽出できた場合、引継処理部213は、引継管理レコード240に記録された遷移日時からの経過時間を算出する。経過時間が有効時間を経過していない場合には、引継情報が整合していると判定して、整合性チェック(第2の認証処理)を完了する。一方、引継管理レコード240を抽出できない場合や、経過時間が有効時間を経過している場合には、ログインできないことを示すメッセージをユーザ端末10に返信する。この場合、ユーザ認証部211は、ユーザ端末10にログイン画面を出力し、ユーザ認証処理(ステップS1−2)をやり直す。   Next, the control unit 21 of the first server 20 executes consistency check processing of handover information (step S2-5). Specifically, the handover processing unit 213 of the control unit 21 acquires a handover key and a one-time password from the redirect message. Next, the handover processing unit 213 searches the handover information storage unit 24 for the handover management record 240 in which the acquired handover key and the one-time password are recorded. When the handover management record 240 can be extracted from the handover information storage unit 24, the handover processing unit 213 calculates an elapsed time from the transition date and time recorded in the handover management record 240. If the elapsed time has not passed the valid time, it is determined that the handover information is consistent, and the consistency check (second authentication process) is completed. On the other hand, when the handover management record 240 can not be extracted, or when the elapsed time has passed the valid time, a message indicating that login can not be performed is sent back to the user terminal 10. In this case, the user authentication unit 211 outputs a login screen to the user terminal 10, and performs the user authentication process (step S1-2) again.

整合性チェックを完了した場合、第1サーバ20の制御部21は、引継情報の更新処理を実行する(ステップS2−6)。具体的には、制御部21の引継処理部213は、引継情報記憶部24に記録されている引継管理レコード240の状況データ領域に使用済フラグを記録する。   When the consistency check is completed, the control unit 21 of the first server 20 executes a handover information update process (step S2-6). Specifically, the handover processing unit 213 of the control unit 21 records a used flag in the status data area of the handover management record 240 recorded in the handover information storage unit 24.

次に、第1サーバ20の制御部21は、ログイン処理を実行する(ステップS2−7)。具体的には、制御部21の引継処理部213は、ユーザ情報記憶部22のユーザ管理レコード220のログイン状況データ領域に、ログイン済フラグを記録する。   Next, the control unit 21 of the first server 20 executes a login process (step S2-7). Specifically, the handover processing unit 213 of the control unit 21 records a logged-in flag in the login status data area of the user management record 220 of the user information storage unit 22.

次に、第1サーバ20の制御部21は、リダイレクト応答処理を実行する(ステップS2−8)。具体的には、制御部21のサービス管理部212は、サービス画面データをユーザ端末10に送信する。
次に、ユーザ端末10は、画面表示処理を実行する(ステップS2−9)。具体的には、ユーザ端末10は、出力部にサービス画面を出力する。 Next, the control unit 21 of the first server 20 executes a redirect response process (step S2-8). Specifically, the service management unit 212 of the control unit 21 transmits the service screen data to the user terminal 10.
Next, the user terminal 10 executes screen display processing (step S2-9). Specifically, the user terminal 10 outputs the service screen to the output unit.

以上、本実施形態によれば、以下のような効果を得ることができる。
(1)本実施形態によれば、遷移要求を取得した第1サーバ20の制御部21は、引継キーの生成処理(ステップS1−5)、引継キーの登録処理(ステップS1−6)、リダイレクト応答処理を実行する(ステップS1−8)。そして、第2サーバ30の制御部31は、ユーザ情報の要求処理を実行する(ステップS1−11)。第1サーバ20の制御部21は、ユーザ情報の抽出処理(ステップS1−13)、ユーザ情報の送信処理(ステップS1−14)を実行する。これにより、第1サーバ20で認証されたユーザは、第2サーバ30に効率的に遷移でき、第2サーバ30は、引継キーに基づいて、ユーザ情報を取得することができる。 As described above, according to the present embodiment, the following effects can be obtained.
(1) According to the present embodiment, the control unit 21 of the first server 20 that has acquired the transition request generates the handover key (step S1-5), registers the handover key (step S1-6), redirects A response process is executed (step S1-8). Then, the control unit 31 of the second server 30 executes a request process of user information (step S1-11). The control unit 21 of the first server 20 executes user information extraction processing (step S1-13) and user information transmission processing (step S1-14). Thereby, the user authenticated by the first server 20 can efficiently transition to the second server 30, and the second server 30 can acquire user information based on the handover key.

(2)本実施形態によれば、第1サーバ20の制御部21は、クライアント認証処理(ステップS1−12)、ユーザ情報の抽出処理(ステップS1−13)を実行する。これにより、第1サーバ20は、第2サーバ30を確認してユーザ情報を提供することができる。そして、ユーザによるユーザID、パスワードの登録を不要とし、第2サーバ30への遷移における利便性を向上させることができる。   (2) According to this embodiment, the control unit 21 of the first server 20 executes the client authentication process (step S1-12) and the user information extraction process (step S1-13). Thereby, the first server 20 can confirm the second server 30 and provide the user information. Then, it becomes unnecessary to register the user ID and password by the user, and the convenience in the transition to the second server 30 can be improved.

(3)本実施形態によれば、第2サーバ30の制御部31は、ログイン処理を実行する(ステップS1−15)。これにより、第1サーバ20へのログインに基づいて、第2サーバ30にログインすることができる。   (3) According to the present embodiment, the control unit 31 of the second server 30 executes the login process (step S1-15). Thereby, based on the login to the first server 20, it is possible to login to the second server 30.

(4)本実施形態によれば、第2サーバ30の制御部31は、リダイレクト要求処理を実行する(ステップS2−2)。そして、第1サーバ20の制御部21は、引継情報の取得処理(ステップS2−4)、引継情報の整合性チェック処理(ステップS2−5)、ログイン処理(ステップS2−7)を実行する。これにより、第2サーバ30への遷移時に、第1サーバ20をログアウトし、遷移先の第2サーバ30から、再度、第1サーバ20に戻る場合も円滑に遷移することができる。   (4) According to the present embodiment, the control unit 31 of the second server 30 executes a redirect request process (step S2-2). Then, the control unit 21 of the first server 20 executes acquisition processing of handover information (step S2-4), consistency check processing of handover information (step S2-5), and login processing (step S2-7). As a result, at the time of transition to the second server 30, the first server 20 can be logged out, and the transition from the second server 30 to the transition destination to the first server 20 can be smoothly transitioned.

(5)本実施形態によれば、第1サーバ20の制御部21は、引継情報の整合性チェック処理を実行する(ステップS2−5)。この場合、引継キーに関連付けられたワンタイムパスワードの有効期間の経過を確認する。これにより、第1サーバ20から第2サーバ30への有効期間の遷移を許容することができる。そして、ワンタイムパスワードの利用を一定時間内のみに制限することにより、第1サーバ20への戻り時に用いる引継キーの不正利用を抑制することができる。   (5) According to the present embodiment, the control unit 21 of the first server 20 executes consistency check processing of handover information (step S2-5). In this case, the expiration of the effective period of the one-time password associated with the transfer key is confirmed. Thereby, the transition of the effective period from the first server 20 to the second server 30 can be permitted. Then, by restricting the use of the one-time password only within a predetermined time, it is possible to suppress the unauthorized use of the handover key used when returning to the first server 20.

また、上記実施形態は以下のように変更してもよい。
・上記実施形態では、第1サーバ20の制御部21は、引継情報の整合性チェック処理を実行する(ステップS2−5)。この場合、引継処理部213は、引継管理レコード240に記録された遷移日時からの経過時間が有効時間を経過していないかを判定する。この場合、有効時間は固定値に限定されるものではない。 The above embodiment may be modified as follows.
-In the above-mentioned embodiment, control part 21 of the 1st server 20 performs consistency check processing of takeover information (Step S2-5). In this case, the handover processing unit 213 determines whether the elapsed time from the transition date and time recorded in the handover management record 240 has not exceeded the valid time. In this case, the effective time is not limited to a fixed value.

例えば、遷移先や、遷移先で利用するサービスに応じて、有効時間を変更してもよい。この場合には、引継処理部213に、遷移先のサーバIDや、遷移先で利用するサービスIDに関連付けて有効時間を定める有効時間管理テーブルを保持させておく。そして、引継情報の整合性チェック処理(ステップS2−5)において、連係先のサーバIDやサービスIDに基づいて有効時間を特定する。   For example, the effective time may be changed according to the transition destination or the service used at the transition destination. In this case, the takeover processing unit 213 holds an effective time management table for determining the effective time in association with the server ID of the transition destination and the service ID used at the transition destination. Then, in the consistency check process of handover information (step S2-5), the valid time is specified based on the server ID of the link destination and the service ID.

・上記実施形態では、ワンタイムパスワードの有効時間として1時間を用いる。有効時間は、これに限定されるものではない。例えば、サービスの利用履歴の統計情報に基づいて、有効時間を最適化するようにしてもよい。この場合には、第1サーバ20の制御部21は、第2サーバ30においてサービスを利用する時間の長さの統計値を算出し、この統計値に基づいて有効時間を決定する。この場合、第2サーバ30において利用するサービス毎に統計値を算出するようにしてもよい。そして、第1サーバ20の制御部21は、第2サーバ30やサービスの利用状況に応じた有効時間を設定する。これにより、ログアウトから再ログインまでに時間を要する第2サーバ30やサービスの所要時間に応じて、再ログインの利便性を図ることができる。   In the above embodiment, one hour is used as the effective time of the one-time password. The effective time is not limited to this. For example, the effective time may be optimized based on statistical information of service usage history. In this case, the control unit 21 of the first server 20 calculates a statistical value of the length of time for which the second server 30 uses the service, and determines the effective time based on this statistical value. In this case, the statistical value may be calculated for each service used in the second server 30. Then, the control unit 21 of the first server 20 sets an effective time in accordance with the usage state of the second server 30 and the service. In this way, convenience of re-login can be achieved according to the required time of the second server 30 or service that requires time from logout to re-login.

また、アクセス時期(アクセス曜日や時間帯)に基づいて、有効時間を最適化するようにしてもよい。この場合には、第1サーバ20の制御部21は、アクセス時期に関連付けて、第2サーバ30のサービスの利用履歴情報を取得する。そして、制御部21は、アクセス時期に関連付けて、サービス利用時間の統計値を算出する。アクセス時期によって、第2サーバ30において利用するサービスの利用方法は異なるので、ユーザにおける第2サーバ30やサービスの利用状況に応じて、再ログインの利便性を図ることができる。   Also, the effective time may be optimized based on the access time (access day and time zone). In this case, the control unit 21 of the first server 20 acquires usage history information of the service of the second server 30 in association with the access timing. Then, the control unit 21 calculates a statistical value of service use time in association with the access time. Since the method of using the service used in the second server 30 differs depending on the access timing, convenience of re-login can be achieved according to the usage status of the second server 30 and the service by the user.

また、ユーザ毎に、有効時間を最適化するようにしてもよい。この場合には、第1サーバ20の制御部21は、ユーザIDに関連付けて、第2サーバ30のサービスの利用時間を取得する。そして、制御部21は、ユーザIDに関連付けてサービス利用時間の統計値を算出する。これにより、ユーザにおける第2サーバ30やサービスの利用状況に応じて、再ログインの利便性を図ることができる。   Also, the effective time may be optimized for each user. In this case, the control unit 21 of the first server 20 acquires the service usage time of the second server 30 in association with the user ID. Then, the control unit 21 calculates a statistical value of service usage time in association with the user ID. Thereby, the convenience of re-login can be achieved according to the use condition of the second server 30 and the service by the user.

更に、ユーザにおける第2サーバ30の利用状況(利用頻度)に基づいて、有効時間を最適化するようにしてもよい。この場合には、第1サーバ20の制御部21は、このユーザの第2サーバ30の利用頻度を取得し、利用頻度に応じて、利用時間を調整する。例えば、第2サーバ30の利用頻度が高いと判定した場合には、有効時間の初期値に対して所定割合で短くする。一方、第2サーバ30の利用頻度が低いと判定した場合には、有効時間の初期値に対して所定割合で長くする。   Furthermore, the effective time may be optimized based on the usage condition (frequency of use) of the second server 30 by the user. In this case, the control unit 21 of the first server 20 acquires the usage frequency of the second server 30 of the user, and adjusts the usage time according to the usage frequency. For example, when it is determined that the usage frequency of the second server 30 is high, the initial value of the effective time is shortened by a predetermined ratio. On the other hand, when it is determined that the use frequency of the second server 30 is low, the initial value of the effective time is made longer by a predetermined ratio.

また、サーバ状況に基づいて、有効時間を最適化するようにしてもよい。この場合には、第1サーバ20の制御部21は、第2サーバ30のサーバ稼動状況を特定し、このサーバ稼動状況に基づいて有効時間を調整する。例えば、サーバ稼動状況において、第2サーバ30が混雑していると判定した場合には、有効時間の初期値に対して所定割合で長くする。   In addition, the effective time may be optimized based on the server status. In this case, the control unit 21 of the first server 20 specifies the server operating status of the second server 30, and adjusts the effective time based on the server operating status. For example, when it is determined that the second server 30 is congested in the server operation status, the initial value of the effective time is made longer by a predetermined ratio.

・上記実施形態では、関連サーバとして第2サーバ30を用いるが、関連サーバの数は限定されるものではない。また、第1サーバ20から第2サーバ30へ遷移し、第2サーバ30から第1サーバ20に戻る場合を想定したが、再ログインするサーバは第1サーバ20に限定されない。
また、第1サーバ20、第2サーバ30が、予め停止時期が定められた計画停止や、突発的な障害発生による停止が生じた場合には、遷移や戻りを止めるようにしてもよい。この場合には、遷移元サーバにおいて、遷移先候補サーバの稼働状況を取得し、停止中には、遷移できないことを示すメッセージをユーザ端末10に出力する。 -Although the 2nd server 30 is used as a related server in the said embodiment, the number of related servers is not limited. In addition, it is assumed that the first server 20 transitions to the second server 30, and the second server 30 returns to the first server 20. However, the server that logs in again is not limited to the first server 20.
Further, when the first server 20 or the second server 30 has a planned stop whose stop time is determined in advance or a stop due to a sudden failure, the transition or return may be stopped. In this case, the transition source server acquires the operation status of the transition destination candidate server, and outputs a message indicating that the transition can not be made to the user terminal 10 while the server is stopped.

また、第1サーバ20から第2サーバ30へ遷移し、この第2サーバ30から、更に他のサーバ(第3サーバ)に遷移できるようにしてもよい。例えば、第2サーバ30から第3サーバへの遷移を希望する場合、ユーザ端末10を介してのリダイレクトにより、第2サーバ30から第1サーバに戻る。この場合、第1サーバに対して、第2サーバ30から第3サーバへの遷移要求を行なう。そして、再度、第1サーバから、ユーザ端末10を介してのリダイレクトにより、第3サーバに遷移する。この場合には、第2サーバ30への遷移時に生成した引継キーを、第3サーバへの遷移についても継続的に使用することが可能である。また、第3サーバへの遷移時に新たに引継キーを生成し、引継情報記憶部24に登録するようにしてもよい。   In addition, the first server 20 may be transitioned to the second server 30, and the second server 30 may be transitioned to another server (third server). For example, when a transition from the second server 30 to the third server is desired, the second server 30 returns to the first server by redirection via the user terminal 10. In this case, a transition request from the second server 30 to the third server is issued to the first server. Then, again, the first server makes a transition to the third server by redirection via the user terminal 10. In this case, it is possible to continuously use the handover key generated at the transition to the second server 30 also for the transition to the third server. Further, at the time of transition to the third server, a handover key may be newly generated and registered in the handover information storage unit 24.

また、第2サーバ30から第3サーバに、ユーザ端末10を介してのリダイレクトにより遷移させ、第2サーバ30が、第1サーバに対して、第2サーバ30から第3サーバに遷移したことを伝えるようにしてもよい。この場合には、第2サーバ30への遷移時に生成した引継キーを、第3サーバから第1サーバ20の戻り時にも継続して使用する。
そして、第3サーバから第1サーバ20に戻る場合、上記実施形態と同様に、第1サーバ20は、引継情報の取得処理(ステップS2−4)、引継情報の整合性チェック処理(ステップS2−5)を実行する。 In addition, the second server 30 makes a transition from the second server 30 to the third server by redirection via the user terminal 10, and the second server 30 makes a transition from the second server 30 to the third server with respect to the first server. You may tell it. In this case, the handover key generated at the time of transition to the second server 30 is continuously used also at the time of return of the first server 20 from the third server.
Then, when returning from the third server to the first server 20, the first server 20 performs acquisition processing of handover information (step S2-4) and consistency check processing of handover information (step S2-) as in the above embodiment. Execute 5).

10…ユーザ端末、20…第1サーバ、21…制御部、211…ユーザ認証部、212…サービス管理部、213…引継処理部、214…サーバ認証部、22…ユーザ情報記憶部、24…引継情報記憶部、30…第2サーバ、31…制御部、32…ユーザ情報記憶部、311…ユーザ認証部、312…サービス管理部。   DESCRIPTION OF SYMBOLS 10 ... User terminal, 20 ... 1st server, 21 ... Control part, 211 ... User authentication part, 212 ... Service management part, 213 ... Takeover processing part, 214 ... Server authentication part, 22 ... User information storage part, 24 ... Takeover Information storage unit 30: second server 31: control unit 32: user information storage unit 311: user authentication unit 312: service management unit.

Claims (11)

引継情報を記憶する引継情報記憶部と、
ユーザ端末、関連サーバに接続される制御部とを備えたログイン管理システムであって、
前記制御部が、
前記ユーザ端末からログイン要求を受け付けた場合、前記ユーザ端末から取得した認証情報を用いて第1の認証処理を実行してログインを許可し、
前記ログインしたユーザ端末から前記関連サーバへの遷移要求を取得した場合、引継情報を生成し、前記引継情報記憶部に記録し、前記関連サーバに対して前記引継情報を提供し、
前記関連サーバから、前記引継情報を取得した場合、パスワードを生成して前記引継情報記憶部に記録して、前記関連サーバに提供し、
前記ユーザ端末から、再ログイン要求を受け付けた場合、前記引継情報及び前記パスワードを前記関連サーバから取得し、前記引継情報記憶部に記録された引継情報及びパスワードと、前記取得した引継情報及びパスワードとを用いて第2の認証処理を実行することを特徴とするログイン管理システム。 A transfer information storage unit that stores transfer information;
A login management system comprising a user terminal and a control unit connected to a related server,
The control unit
When a login request is received from the user terminal, the first authentication process is executed using the authentication information acquired from the user terminal to permit login.
When a transition request to the related server is acquired from the logged-in user terminal, handover information is generated, recorded in the handover information storage unit, and the handover information is provided to the related server;
When the handover information is acquired from the related server, a password is generated, recorded in the handover information storage unit, and provided to the related server.
When a re-login request is received from the user terminal, the handover information and the password are acquired from the related server, and the handover information and password recorded in the handover information storage unit, and the acquired handover information and password A login management system, which executes a second authentication process using 引継情報を記憶する引継情報記憶部と、  A transfer information storage unit that stores transfer information;
ユーザ端末、関連サーバに接続される制御部とを備えたログイン管理システムであって、  A login management system comprising a user terminal and a control unit connected to a related server,
前記制御部が、  The control unit
前記ユーザ端末からログイン要求を受け付けた場合、前記ユーザ端末から取得した認証情報を用いて第1の認証処理を実行して、ユーザIDを特定してログインを許可し、  When a login request is received from the user terminal, a first authentication process is executed using the authentication information acquired from the user terminal, the user ID is specified, and login is permitted.
前記ログインしたユーザ端末から前記関連サーバへの遷移要求を取得した場合、引継情報を生成し、前記ユーザIDに関連付けて前記引継情報記憶部に記録し、前記関連サーバに対して前記引継情報を提供し、  When a transition request to the related server is acquired from the logged-in user terminal, handover information is generated, associated with the user ID and recorded in the handover information storage unit, and the handover information is provided to the related server And
前記関連サーバから、前記引継情報を取得した場合、前記引継情報記憶部に記録されたユーザIDに関連付けられた個人情報を前記関連サーバで利用できるように提供し、  When the takeover information is acquired from the related server, personal information associated with the user ID recorded in the takeover information storage unit is provided so that it can be used by the related server.
前記ユーザ端末から、再ログイン要求を受け付けた場合、前記引継情報を前記関連サーバから取得し、前記引継情報記憶部に記録された引継情報と、前記取得した引継情報とを用いて第2の認証処理を実行することを特徴とするログイン管理システム。  When a re-login request is received from the user terminal, the second authentication is performed using the handover information recorded in the handover information storage unit and the acquired handover information, the handover information being acquired from the related server. A login management system characterized by performing processing. 前記再ログイン要求の受け付け時に、前記認証情報を、前記関連サーバから前記ユーザ端末を介してのリダイレクトにより取得することを特徴とする請求項1又は2に記載のログイン管理システム。 The login management system according to claim 1 or 2 , wherein the authentication information is acquired from the related server by redirection via the user terminal when the re-login request is received. 前記認証情報は、有効期間が設定されているワンタイム認証情報であることを特徴とする請求項1〜3の何れか一項に記載のログイン管理システム。 The login management system according to any one of claims 1 to 3, wherein the authentication information is one-time authentication information for which a valid period is set. 前記制御部が、前記有効期間を、前記関連サーバの種類に応じて設定することを特徴とする請求項に記載のログイン管理システム。 5. The login management system according to claim 4 , wherein the control unit sets the valid period according to a type of the related server. 前記制御部が、前記有効期間を、前記関連サーバにおける利用状況に応じて設定することを特徴とする請求項又はに記載のログイン管理システム。 The login management system according to claim 4 or 5 , wherein the control unit sets the effective period according to a use situation in the related server. 前記制御部が、前記有効期間を、前記ユーザ端末における前記関連サーバの利用履歴に応じて設定することを特徴とする請求項のいずれか一項に記載のログイン管理システム。 The login management system according to any one of claims 4 to 6 , wherein the control unit sets the valid period according to a usage history of the related server in the user terminal. 引継情報を記憶する引継情報記憶部と、
ユーザ端末、関連サーバに接続される制御部とを備えたログイン管理システムを用いてログインを管理する方法であって、
前記制御部が、
前記ユーザ端末からログイン要求を受け付けた場合、前記ユーザ端末から取得した認証情報を用いて第1の認証処理を実行してログインを許可し、
前記ログインしたユーザ端末から前記関連サーバへの遷移要求を取得した場合、引継情報を生成し、前記引継情報記憶部に記録し、前記関連サーバに対して前記引継情報を提供し、
前記関連サーバから、前記引継情報を取得した場合、パスワードを生成して前記引継情報記憶部に記録して、前記関連サーバに提供し、
前記ユーザ端末から、再ログイン要求を受け付けた場合、前記引継情報及び前記パスワードを前記関連サーバから取得し、前記引継情報記憶部に記録された引継情報及びパスワードと、前記取得した引継情報及びパスワードとを用いて第2の認証処理を実行することを特徴とするログイン管理方法。 A transfer information storage unit that stores transfer information;
A method of managing login using a login management system comprising a user terminal and a control unit connected to a related server, comprising:
The control unit
When a login request is received from the user terminal, the first authentication process is executed using the authentication information acquired from the user terminal to permit login.
When a transition request to the related server is acquired from the logged-in user terminal, handover information is generated, recorded in the handover information storage unit, and the handover information is provided to the related server;
When the handover information is acquired from the related server, a password is generated, recorded in the handover information storage unit, and provided to the related server.
When a re-login request is received from the user terminal, the handover information and the password are acquired from the related server, and the handover information and password recorded in the handover information storage unit, and the acquired handover information and password A second embodiment of the present invention is a login management method characterized by performing a second authentication process using 引継情報を記憶する引継情報記憶部と、  A transfer information storage unit that stores transfer information;
ユーザ端末、関連サーバに接続される制御部とを備えたログイン管理システムを用いてログインを管理する方法であって、  A method of managing login using a login management system comprising a user terminal and a control unit connected to a related server, comprising:
前記制御部が、  The control unit
前記ユーザ端末からログイン要求を受け付けた場合、前記ユーザ端末から取得した認証情報を用いて第1の認証処理を実行して、ユーザIDを特定してログインを許可し、  When a login request is received from the user terminal, a first authentication process is executed using the authentication information acquired from the user terminal, the user ID is specified, and login is permitted.
前記ログインしたユーザ端末から前記関連サーバへの遷移要求を取得した場合、引継情報を生成し、前記ユーザIDに関連付けて前記引継情報記憶部に記録し、前記関連サーバに対して前記引継情報を提供し、  When a transition request to the related server is acquired from the logged-in user terminal, handover information is generated, associated with the user ID and recorded in the handover information storage unit, and the handover information is provided to the related server And
前記関連サーバから、前記引継情報を取得した場合、前記引継情報記憶部に記録されたユーザIDに関連付けられた個人情報を前記関連サーバで利用できるように提供し、  When the takeover information is acquired from the related server, personal information associated with the user ID recorded in the takeover information storage unit is provided so that it can be used by the related server.
前記ユーザ端末から、再ログイン要求を受け付けた場合、前記引継情報を前記関連サーバから取得し、前記引継情報記憶部に記録された引継情報と、前記取得した引継情報とを用いて第2の認証処理を実行することを特徴とするログイン管理方法。  When a re-login request is received from the user terminal, the second authentication is performed using the handover information recorded in the handover information storage unit and the acquired handover information, the handover information being acquired from the related server. A login management method characterized in that processing is performed. 引継情報を記憶する引継情報記憶部と、
ユーザ端末、関連サーバに接続される制御部とを備えたログイン管理システムを用いてログインを管理するためのプログラムであって、
前記制御部を、
前記ユーザ端末からログイン要求を受け付けた場合、前記ユーザ端末から取得した認証情報を用いて第1の認証処理を実行してログインを許可し、
前記ログインしたユーザ端末から前記関連サーバへの遷移要求を取得した場合、引継情報を生成し、前記引継情報記憶部に記録し、前記関連サーバに対して前記引継情報を提供し、
前記関連サーバから、前記引継情報を取得した場合、パスワードを生成して前記引継情報記憶部に記録して、前記関連サーバに提供し、
前記ユーザ端末から、再ログイン要求を受け付けた場合、前記引継情報及び前記パスワードを前記関連サーバから取得し、前記引継情報記憶部に記録された引継情報及びパスワードと、前記取得した引継情報及びパスワードとを用いて第2の認証処理を実行する手段として機能させることを特徴とするログイン管理プログラム。 A transfer information storage unit that stores transfer information;
A program for managing login using a login management system comprising a user terminal and a control unit connected to a related server,
The control unit is
When a login request is received from the user terminal, the first authentication process is executed using the authentication information acquired from the user terminal to permit login.
When a transition request to the related server is acquired from the logged-in user terminal, handover information is generated, recorded in the handover information storage unit, and the handover information is provided to the related server;
When the handover information is acquired from the related server, a password is generated, recorded in the handover information storage unit, and provided to the related server.
When a re-login request is received from the user terminal, the handover information and the password are acquired from the related server, and the handover information and password recorded in the handover information storage unit, and the acquired handover information and password A login management program characterized in that it functions as means for executing the second authentication process using. 引継情報を記憶する引継情報記憶部と、  A transfer information storage unit that stores transfer information;
ユーザ端末、関連サーバに接続される制御部とを備えたログイン管理システムを用いてログインを管理するためのプログラムであって、  A program for managing login using a login management system comprising a user terminal and a control unit connected to a related server,
前記制御部を、  The control unit is
前記ユーザ端末からログイン要求を受け付けた場合、前記ユーザ端末から取得した認証情報を用いて第1の認証処理を実行して、ユーザIDを特定してログインを許可し、  When a login request is received from the user terminal, a first authentication process is executed using the authentication information acquired from the user terminal, the user ID is specified, and login is permitted.
前記ログインしたユーザ端末から前記関連サーバへの遷移要求を取得した場合、引継情報を生成し、前記ユーザIDに関連付けて前記引継情報記憶部に記録し、前記関連サーバに対して前記引継情報を提供し、  When a transition request to the related server is acquired from the logged-in user terminal, handover information is generated, associated with the user ID and recorded in the handover information storage unit, and the handover information is provided to the related server And
前記関連サーバから、前記引継情報を取得した場合、前記引継情報記憶部に記録されたユーザIDに関連付けられた個人情報を前記関連サーバで利用できるように提供し、  When the takeover information is acquired from the related server, personal information associated with the user ID recorded in the takeover information storage unit is provided so that it can be used by the related server.
前記ユーザ端末から、再ログイン要求を受け付けた場合、前記引継情報を前記関連サーバから取得し、前記引継情報記憶部に記録された引継情報と、前記取得した引継情報とを用いて第2の認証処理を実行する手段として機能させることを特徴とするログイン管理プログラム。  When a re-login request is received from the user terminal, the second authentication is performed using the handover information recorded in the handover information storage unit and the acquired handover information, the handover information being acquired from the related server. A login management program characterized by functioning as a means for executing processing.
JP2017212729A 2017-11-02 2017-11-02 Login management system, login management method and login management program Active JP6495996B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017212729A JP6495996B1 (en) 2017-11-02 2017-11-02 Login management system, login management method and login management program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017212729A JP6495996B1 (en) 2017-11-02 2017-11-02 Login management system, login management method and login management program

Publications (2)

Publication Number Publication Date
JP6495996B1 true JP6495996B1 (en) 2019-04-03
JP2019086890A JP2019086890A (en) 2019-06-06

Family

ID=65999237

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017212729A Active JP6495996B1 (en) 2017-11-02 2017-11-02 Login management system, login management method and login management program

Country Status (1)

Country Link
JP (1) JP6495996B1 (en)

Also Published As

Publication number Publication date
JP2019086890A (en) 2019-06-06

Similar Documents

Publication Publication Date Title
US10735196B2 (en) Password-less authentication for access management
EP2689372B1 (en) User to user delegation service in a federated identity management environment
US7246230B2 (en) Single sign-on over the internet using public-key cryptography
US8627409B2 (en) Framework for automated dissemination of security metadata for distributed trust establishment
JP6141076B2 (en) System, control method therefor, access management service system, control method therefor, and program
US10686774B2 (en) Authentication systems and methods for online services
JP6141041B2 (en) Information processing apparatus, program, and control method
US11356261B2 (en) Apparatus and methods for secure access to remote content
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
CN108959878A (en) The method that is used in customer certification system and including information processing unit
JP5126968B2 (en) Authentication / authorization system, authentication / authorization method
JP2006031064A (en) Session management system and management method
JP2011253342A (en) Authentication device, authentication method, and authentication program
JP5177505B2 (en) Intra-group service authorization method using single sign-on, intra-group service providing system using the method, and each server constituting the intra-group service providing system
JP2012033042A (en) Single sign-on system and single sign-on method
JP6495996B1 (en) Login management system, login management method and login management program
JP2011145754A (en) Single sign-on system and method, authentication server, user terminal, service server, and program
CN109313681A (en) Virtual smart card with audit function
JP2018084979A (en) Authorization server and resource provision system
KR100982181B1 (en) OTP authentication processing system
Seak et al. A centralized multimodal unified authentication platform for web-based application
US20240283657A1 (en) Systems methods and devices for dynamic authentication and identification
JP2013097512A (en) Login authentication system and method
CN101601022B (en) The supply of digital identity representations
KR20100073884A (en) Method of intermediation and synchronization customer information based on id federation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171102

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7426

Effective date: 20171129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190307

R150 Certificate of patent or registration of utility model

Ref document number: 6495996

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250