认证联合系统及ID提供者装置

摘要

本发明涉及认证联合系统及ID提供者装置。不用改造ID提供者的SSO装置，并且能够根据用户进行了SSO时的状况而在SSO的过程中执行帐户登记及联合时不经由他人地决定服务利用可否。实施方式的ID提供者装置具备：策略信息存储部，存储表示成为服务数据的发送被允许的对象的用户的策略信息；认证联合请求事先处理部，在接收到认证联合请求的情况下，在与用户终端的登陆状态相对应的定时进行策略评价处理和帐户联合处理；和认证联合请求传送部在从服务提供者装置接收到认证联合请求的情况下，将该认证联合请求向认证联合请求事先处理部传送。

主权项

一种认证联合系统，具备：ID提供者装置，进行用户所操作的用户终端的登陆处理；和服务提供者装置，在所述登陆处理结束了的情况下，向所述用户终端发送服务数据；所述用户终端对所述服务提供者装置进行服务利用请求，其中，所述ID提供者装置具备：IDP用户属性信息存储部，存储使用户属性的项目名与所述用户属性的项目值建立了关联的IDP用户属性信息，该用户属性包含有用于识别所述用户的用户识别符，并用于确定出所述用户；IDP认证会话存储部，将所述用户ID与表示所述用户的登陆状态为登陆结束状态的认证令牌建立对应地进行存储；策略信息存储部，存储表示成为所述服务数据的发送被允许的对象的用户的策略信息；密钥存储部，存储所述ID提供者装置的署名生成密钥；IDP认证联合部，在所述用户终端的登陆处理为未结束状态的情况下，对所述用户终端进行登陆请求，在所述用户终端的登陆处理为结束状态的情况下，接收从接收到所述服务利用请求的所述服务提供者装置发行的SP认证联合请求，对包含有所述登陆处理的认证方式名的断言正文生成基于所述署名生成密钥的数字署名，制作包含有该断言正文和该数字署名的认证断言，并将包含有所述认证断言的认证联合响应向所述服务提供者装置发送；以及认证联合控制部，该认证联合控制部具有：登陆状态判定部，在从所述用户终端接收到所述SP认证联合请求的情况下，进行确认在所述认证会话存储部中是否存储有向该用户发行的认证令牌的登陆状态确认处理；认证联合请求传送部，在所述登陆状态确认处理的结果为登陆未结束的状态的情况下，将所述SP认证联合请求向所述IDP认证联合部传送；认证识别部，从所述用户终端接收基于来自所述IDP认证联合部的所述登陆请求而发送来的所述用户的认证信息，基于接收到的所述认证信息，进行所述登陆处理；策略评价部，在所述登陆状态确认处理的结果为登陆结束状态的 情况下，根据基于与向该用户发行的认证令牌建立对应地存储在所述认证会话存储部中的用户ID而从所述IDP用户属性信息存储部取得的IDP用户属性信息和所述策略信息，来评价对所述用户终端进行操作的用户是否是成为服务数据的发送被允许的对象的用户；在所述登陆状态确认处理的结果为登陆未结束的状态的情况下，根据基于所述认证信息中包含的用户ID而从所述IDP用户属性信息存储部取得的IDP用户属性信息和所述策略信息，来评价对所述用户终端进行操作的用户是否是服务数据的发送被允许的用户；帐户联合部，在所述策略评价部的评价结果为允许的情况下，参照所述取得的IDP用户属性信息进行与所述服务提供者装置之间的帐户联合处理，制作所述服务提供者装置中的作为所述用户的识别符的SP侧用户ID；和认证联合请求传送部，在所述帐户联合处理之后，向所述IDP认证联合部发送所述SP认证联合请求；所述服务提供者装置具备：验证策略存储部，存储验证策略，该验证策略包含有在接收到所述认证联合响应的情况下允许所述服务数据的发送的登陆处理的认证方式名和与所述署名生成密钥对应的署名验证密钥；SP用户属性信息存储部，存储使在所述帐户联合处理中发行的所述SP侧用户ID与所述用户属性信息中包含的用户属性的项目名及项目值之中的至少一个项目名和项目值即用户属性部分信息建立了关联的帐户登记；SP认证联合部，在接收到所述服务利用请求的情况下，判定该服务利用请求是否包含有认证令牌，在所述服务利用请求包含有所述认证令牌的情况下，将该认证令牌和所述服务数据向所述用户终端发送，在所述服务利用请求不包含有所述认证令牌的情况下，发行包含有所述用户终端的地址信息的对所述ID提供者装置的所述SP认证联合请求；在接收到所述认证联合响应的情况下，基于所述验证策略内的认证方式名和署名验证密钥，对所述认证方式名和数字署名分别进行验证，在所述验证的结果都合法时，发行认证令牌，并将所述认证令牌和所述服务数据向所述用户终端发送；以及SP认证会话存储部，将所述SP侧用户ID和所述认证令牌建立关联地进行存储。